Ataki na sieci
komputerowe
Paula Mróz
Karolina Łączyńska
Mariusz Osmólski
Marcel Stachura
Ataki na sieci
komputerowe
Paula Mróz
Karolina Łączyńska
Mariusz Osmólski
Marcel Stachura
Agnieszka Korusiewicz „Zagrożenia w sieci
Internet” CEBID, Warszawa, 2007r.,
Peter Szor „Wirusy rozpoznawanie i
obrona” PWN, Warszawa, 2006 r.,
Tadeusz Jemioła, Jerzy Kisielnicki, Kazimierz
Rajchel „ Cyberterroryzm nowe wyzwania
XXI wieku” Warszawa, 2009r.
Bibliografia:
2011-11-15
2
1. Istota ataków na sieci komputerowe,
2. Programy destrukcyjne,
bomby e-mailowe i podłączanie do list,
bomby na kanałach IRC i skrypty wojenne,
3. DoS - Denial of Service,
4. Wirusy,
Podział ze względu na infekowany obiekt,
Podział ze względu na sposób infekcji,
5. Programy skanujące,
Zastosowanie skanerów,
Podstawowe atrybuty skanerów,
6. Łamanie haseł,
Metoda słownikowa,
Metoda siłowa,
7. Koń trojański.
8. Podsumowanie.
Układ prezentacji:
2011-11-15
3
Najprostszy atak w cyberprzestrzeni może
polegać na bezpośrednim zakatowaniu
oprogramowania w danym komputerze,
uniemożliwiając jego poprawne
funkcjonowanie lub samego komputera
powodując trwałe zniszczenie jego części.
Istota ataków na sieci
komputerowe
2011-11-15
4
bomby e-mailowe,
bomby na kanałach IRC i skrypty wojenne,
Programy destrukcyjne:
2011-11-15
5
Jest to przesyłka wysyłana na dane konto pocztowe.
Po dotarciu i próbie jej odczytania przez adresata,
„wybucha” setkami lub tysiącami bezwartościowych
wiadomości, które zapychają konto pocztowe
uniemożliwiając korzystanie z niego. Do tworzenia
takich bomb używane jest specjalne
oprogramowanie (dostępne w Sieci) umożliwiające
wysłanie na dane konto bomby zawierającej nawet i
100000 listów lub podłączających ofiarę do kilkuset
list dyskusyjnych bądź dystrybucyjnych nie
wymagających potwierdzenia zapisania się na nie
przez użytkownika.
bomba e-mailowe
2011-11-15
6
Up Yours,
KaBoom,
Avalanche,
Unabomber,
eXtreme Mail,
Homicide,
Bombtrack,
FlameThrower.
Bomby e-mailowe:
2011-11-15
7
Oba rodzaje narzędzi są ściśle powiązane z
pogaduszkami na IRC.
IRC wynaleziono w Finlandii w późnych latach 80.
IRC umożliwia rozmowy mniej więcej jak poprzez e-
mail.
IRC rządzi się w sieci swoimi własnymi prawami.
Pozwala na szybkie ukrycie własnej osobowości. Co
więcej, umożliwia tworzenie własnych kanałów lub
podłączanie się do innych. Każdy kanał IRC posiada
swojego operatora, który może kogoś wyrzucić lub
zablokować komuś dostęp. Zwykle osobą taką jest
założyciel danego kanału.
Bomby na kanałach IRC i
skrypty wojenne
2011-11-15
8
crash.irc,
botkill2.irc,
ACME,
SAGA,
THUGS,
The 7th Sphere
Bomby na kanałach IRC i
skrypty wojenne:
2011-11-15
9
Atak typu DoS - jest jednym ze skuteczniejszych
sposobów unieruchomienia serwera sieciowego.
Głównym celem takiego ataku jest częściowe
zablokowanie dostępu do wybranych usług np.
www czy e-mail lub całkowite unieruchomienie
serwera. W skrajnych przypadkach dochodzi
nawet do zupełnego zawieszenia pracy systemu
co wymaga podniesienia takiego systemu
poprzez
fizyczną interwencję administratora czyli RESET.
DoS - Denial of Service
2011-11-15
10
Atak ten polega na wysyłaniu w krótkim czasie
bardzo dużej ilości zapytań do serwera
sieciowego. Serwer na każde zapytanie stara
się odpowiedzieć, kraker natomiast nie
czekając na odpowiedź ze strony serwera
ciągle wysyła kolejne zapytania. Doprowadza to
do sytuacji, w której serwer jest wręcz "zalany„
zapytaniami i nie nadąża z odpowiedziami.
DoS - Denial of Service
2011-11-15
11
Wzrasta obciążenie systemu i kiedy ilość
zapytań przekroczy możliwości obliczeniowe
serwera, następuje jego blokada. Z powodu
dużej skuteczności metoda ta cieszy się
bardzo dużą popularnością wśród krakerów.
Jednak że ze względu na łatwość wykrycia
sprawcy oraz w miarę prostych metod
obrony, jest ciągle udoskonalana.
DoS - Denial of Service
2011-11-15
12
Wirusy potrafią zrobić najwięcej spustoszenia
i zainfekować i unieruchomić pracę tysięcy
komputerów. Wirus to samo reprodukujący się kod ,
który uszkadza dane, programy, a niektóre jego
odmiany mogą nawet zniszczyć komputer. Jest on
zazwyczaj obcym fragmentem kodu dołączanym do
programu. Jego uruchomienie powoduje dołączenie go
do innych „zdrowych” programów zainstalowanych na
komputerze. Działa on kaskadowo , zarażając kolejne
nie zainfekowane programy. Obecnie istnieje wiele
odmian wirusów , które liczone są w setkach tysięcy.
Praktycznie codziennie pojawia się jego nowa
odmiana.
Wirusy
2011-11-15
13
wirusy boot sektorowe:
Wirusy te są najstarszym i dziś już prawie nie istniejącym
typem. Atakowały dyskietki oraz twarde dyski i
uaktywniały się, gdy zakażony dysk rozpoczynał prace
komputera. Kiedy komputer był restartowany albo zasilacz
był włączony w tym momencie, gdy zainfekowana
dyskietka znajdowała się w stacji A, wirus rozprzestrzeniał
się na twardym dysku. Ponieważ twardy dysk był zarażony,
sytuacja powtarzała się ze wszystkimi innymi dyskietkami,
które znajdowały się w tym samym czasie w komputerze
.
Wirusy komputerowe najczęściej
klasyfikuje się ze względu na
infekowany obiekt:
2011-11-15
14
Wirusy plikowe:
Zwane też wirusami pasożytniczymi – ten typ wirusów zaszywa się
w kodzie programu. Uruchomienie tak zainfekowanej aplikacji
powoduje oczywiście uaktywnienie wirusa, którego kod jest
wykonywany przed kodem właściwego programu. Są to najbardziej
popularne wirusy, bo dość łatwo jest je stworzyć, a ponad to
szybko się rozprzestrzeniają. Ze względu na miejsce w kodzie
programu, w którym zagnieżdża się wirus dzieli się je na:
nadpisujące początek pliku- nie zapamiętujące jego poprzedniej zawartości, co
nieodwracalnie niszczy plik,
nagłówkowe -wirusy te nie przekraczają rozmiaru jednego sektora (512 bajtów),
wykorzystujące niezapisaną część ostatniej jednostki alokacji pliku,
lokujące się w pliku w miejscach gdzie jest niewykorzystany obszar pliku,
lokujące się w dowolnym miejscu pliku.
lokujące się na końcu pliku- modyfikują pewne ustalone struktury na początku pliku tak,
aby wskazywały na wirusa, poczym dopisują się na końcu pliku.
Wirusy komputerowe najczęściej klasyfikuje
się ze względu na infekowany obiekt:
2011-11-15
15
Wirusy makr:
Bardzo popularny typ wirusów. Działają na tej samej zasadzie
jak makra programów typu Word, Excel, PowerPoint. Zarażenie
wirusem następuje poprzez otwarci makra w jednym z
wymienionych programów. Ten typ wirusów komunikuje się z
Outlook Expressem i rzadko kiedy bywa groźny.
Wirusy skryptowe:
Wirusy, które używają języki skryptów: wykorzystują pliki o
rozszerzeniu bat, js, vbs oraz html,css, php i inne. Ich działanie
polega na tym, że dopisuje się do programu napisanego w
języku skryptowym lub samodzielnie się powielają, a po
spełnieniu określonych warunków uaktywniają się.
Wirusy komputerowe najczęściej
klasyfikuje się ze względu na
infekowany obiekt:
2011-11-15
16
Wirusy towarzyszące:
To rodzaj klasycznych wirusów, plikowych, które nie
modyfikują atakowanego pliku. Zamiast tego tworzą się
kopie zawierające wirusy. Podczas uruchomiania
zainfekowanego pliku pierwsza zostaje aktywowana kopia
zawierająca wirusy.
Bomby logiczne:
To rodzaj wirusa, który może pozostać w ukryciu przez długi
czas. Jego aktywacja następuje w momencie nadejścia
określonej daty luk wykonania przez użytkownika określonej
czynności takiej jak np.: skasowanie określonego pliku.
Wirusy komputerowe najczęściej klasyfikuje
się ze względu na infekowany obiekt:
2011-11-15
17
Wirusy rezydentne
Są to wirusy instalujące się w pamięci
operacyjnej komputera. Ukrywają swój kod
przed programami przeglądającymi
pamięć przez co mogę pozostać nie
wykryte przez długi czas. Pomimo tego są
wciąż aktywne, działają i mogą infekować
kolejne programy.
Podział wirusów ze względu na
sposób infekcji:
2011-11-15
18
szybkie ich celem jest jak najszybsza infekcja całego
systemu. Przejmują wszystkie możliwe funkcje
systemu operacyjnego używane do obsługi plików i
zarażają wszystko, co się da, w jak najkrótszym
czasie. Często pierwszą czynnością wykonywaną przez
szybkiego wirusa jest zamazanie swoim kodem
fragmentu kodu interpretera poleceń, co sprawia, że
przy wywołaniu jakiegokolwiek polecenia, kod binarny
wirusa zaczyna na nowo działać. Działanie takiego
wirusa jest zwykle łatwo zauważalna dla użytkownika
komputera np. ze względu na irytujące opóźnienia i
anomalie podczas wykonywania jego poleceń.
Ze względu na szybkość działania,
wirusy rezydentne dzielimy na:
2011-11-15
19
wolne można powiedzieć, że są bardziej inteligentne od
wirusów szybkich. Ich głównym celem jest jak najdłuższe
przetrwanie w celu infekowania systemu tak, aby
użytkownik się w niczym nie zorientował. Wirusy te używają
powolnych, zmiennych procedur szyfrujących i techniki
ukrywania się (ang. stealth). Infekują przeważnie tylko takie
pliki, które tworzy lub modyfikuje użytkownik. Powoduje to,
że niedoświadczony użytkownik, nawet w przypadku
sygnalizowania niebezpiecznej operacji przez program
antywirusowy, będzie przekonany, że potwierdza
wykonywane przez siebie czynności. Wirusy tego typu są
trudne do wykrycia i usunięcia nawet przez programy
antywirusowe i zaawansowanych użytkowników znających
dobrze system operacyjny.
Ze względu na szybkość działania,
wirusy rezydentne dzielimy na:
2011-11-15
20
Wirusy nierezydentne:
To gatunek wirusów, który nie instaluje się do pamięci.
Infekują pliki i po uruchomieniu szukają kolejnych ofiar. Ze
względu na poszukiwanie możliwych do zainfekowania
plików tylko podczas startu programu- opóźniają znacznie
start właściwej aplikacji.
Podział wirusów ze względu na
sposób infekcji:
2011-11-15
21
Mówi się, że dobry skaner jest więcej wart niż tysiąc haseł
użytkownika, jest to program, który samodzielnie potrafi wykrywać -
nawet na odległość - słabości sieci oraz serwerów.
Prawdziwe skanery podłączają się do portu TCP i atakują go oraz
inne porty odpowiedzialne za usługi sieciowe (Telnet, FTP itp.).
Następuje wówczas kumulacja informacji na temat danego serwera,
np. czy można się na nim anonimowo zalogować.
Programy, które zbierają dane o działaniu usług na danym serwerze,
tak naprawdę nie są skanerami. Mimo to można ich jednak używać
do zbierania niezbędnych informacji i często są one również
przydatne. Przykładem takich programów lub komend w systemie
UNIX są ruser (zbiera informacje o aktualnie zalogowanych
użytkownikach) i finger (narzędzie UNIXowe zbierające nazwy
serwerów).
Programy
skanujące(skaner)
2011-11-15
22
Skanery wykrywają słabości systemów
sieciowych i nieważne, czy używają ich
hakerzy. Programy te działają zawsze na
korzyść zabezpieczeń w internecie. Nawet
jeśli haker włamie się do systemu za
pomocą skanera, to administrator szybko
taką lukę odkryje i zlikwiduje. Skanery
pisane są dla większości systemów
operacyjnych, przy czym większy nacisk
kładzie się na narzędzia dla Windows NT.
Zastosowanie skanerów
2011-11-15
23
umiejętność odnalezienia komputera lub
sieci,
umiejętność wykrycia obsługiwanych przez
serwer usług,
umiejętność diagnozowania tychże usług.
Podstawowe atrybuty skanerów
to:
2011-11-15
24
NSS (Network Security Scanner),
SATAN ,
Jakal ,
CONNECT,
FSPScan,
XSCAN.
Skanery:
2011-11-15
25
Wyróżnia się dwa sposoby łamania haseł:
metoda słownikowa ,
metoda siłowa.
Łamanie haseł
2011-11-15
26
Atak słownikowy polega na sprawdzaniu
kolejnych, gotowych haseł znajdujących się
w bazie danych, w tzw. słowniku.
Słownikiem takim jest zazwyczaj zwykły plik
tekstowy. Atak może polegać np.: na
kolejnych próbach zalogowania się do
systemu na czyjeś konto, przy założeniu, że
znana jest nazwa konta (login).
Łamanie haseł – metoda
słownikowa
2011-11-15
27
Metoda siłowa polega na omijaniu zabezpieczeń
systemu przez podejmowanie prób zalogowania
się przy użyciu każdego dopuszczalnego hasła.
W tej metodzie analizowany jest każdy możliwy
przypadek - atak polega na sprawdzaniu po kolei
każdego znaku i jego kombinacji, np. z literami,
cyframi, znakami specjalnymi.
Metoda ta jest czasochłonna, ponieważ
sprawdzenie wszystkich możliwych kombinacji
znaków wymaga dużej mocy obliczeniowej.
Łamanie haseł – metoda siłowa
2011-11-15
28
Przy stosowaniu tej metody trzeba dysponować
wydajnym komputerem, a czas łamania hasła
zależy od złożoności oraz długości hasła.
Mimo długiego czasu łamania hasła, ten rodzaj
ataku ma przewagę nad metodą słownikową,
ponieważ umożliwia łamanie haseł
typu„#ds23c#$%BFsat", z którymi metoda
słownikowa raczej sobie nie poradzi. Teoretycznie
za pomocą metody siłowej można złamać każde
hasło.
Łamanie haseł – metoda siłowa
2011-11-15
29
Koń trojański, częściej nazywany „trojan” lub „ trojan
horse” jest jednym z najgroźniejszych programów
używanych przez cyberprzestepców. Po zainfekowaniu
systemu dokonuję on nieprzewidywalnych działań na
komputerze. Może on usunąć określone pliki lub
wszystkie dane z twardego dysku komputera. Jest
wstanie sam zainicjować procedurę formatowania lub
przesłać dane do swojego twórcy. Trojona można
dołączyć do każdego oprogramowania. Najprostszym
sposobem jego rozpowszechniania jest poczta
elektroniczna, lecz często uruchamia się przez wejście
na zainfekowaną stronę Internetową.
Koń trojański
2011-11-15
30
Konie trojańskie służą także do wyłapywania
haseł. Sytuacja taka następuje, w przypadku gdy
cyberprzestepca zastępuje standardowy
program rejestrujący się na komputerze wersją z
trojanem. Użytkownik nie zdając sobie sprawy z
zagrożenia loguje się do systemu, a w między
czasie jego hasło przechwytywane jest przez
program z koniem trojańskim. Metoda ta jest
często łączona z spoofingiem i stosowana przez
cyberprzestepców do przechwytywania haseł
dostępu do kont bankowych.
Koń trojański
2011-11-15
31
Na ataki cybernetyczne są narażeni
praktycznie wszyscy, którzy są podłączeni
do sieci, ponieważ nie ma takich systemów
zabezpieczeń, które dają stuprocentową
ochronę przed wrogimi działaniami.
Istnieje bardzo dużo metod działań ataków
na sieci komputerowe, a twórcy wirusów i
złośliwi hakerzy nie ustają w wymyślaniu
nowych metod ataku.
Podsumowanie
2011-11-15
32
Dziękujemy za Uwagę!!!
2011-11-15
33