Hekerski napad

Kibernetski napad

Kibernetski napad - predstavitev najpogostejših metod vdorov v informacijske sisteme

V sedanjem povezanem digitalnem okolju kibernetski kriminalci izvedejo kibernetski napad na podjetja z  izpopolnjenimi orodji. Cilji njihovih napadov so osebni računalniki, računalniška omrežja, informacijska infrastruktura in informacijski sistemi.

Vrste kibernetskih napadov

Trojanski konj

Virus trojanski konj je vrsta zlonamerne programske opreme, ki se v računalnik prenese prikrito kot legitimen program. Pri tem načinu prenosa napadalec običajno uporabi socialni inženiring, s katerim zlonamerno kodo skrije v legitimno programsko opremo in poskuša s svojo programsko opremo pridobiti uporabnikov dostop do sistema.

Na vprašanje “kaj je trojanski konj” lahko preprosto odgovorimo, da gre za vrsto zlonamerne programske opreme, ki se običajno skrije kot priponka v e-poštnem sporočilu ali datoteka za brezplačen prenos, nato pa se prenese v uporabnikovo napravo. Po prenosu zlonamerna koda izvede nalogo, za katero jo je napadalec zasnoval, na primer pridobi dostop z zadnjimi vrati do sistemov podjetja, vohuni za spletnimi dejavnostmi uporabnikov ali ukrade občutljive podatke.

Virus trojanskega konja lahko pogosto ostane v napravi več mesecev, ne da bi uporabnik vedel, da je njegov računalnik okužen. Vendar pa so opozorilni znaki prisotnosti trojanskega konja nenadna sprememba nastavitev računalnika, zmanjšanje zmogljivosti računalnika ali nenavadne dejavnosti. Trojanskega konja najbolje prepoznate tako, da napravo preiščete s programom za pregledovanje trojanskih konjev ali programsko opremo za odstranjevanje zlonamerne programske opreme.

V sedanjem povezanem digitalnem okolju kibernetski kriminalci izvedejo kibernetski napad na podjetja z izpopolnjenimi orodji. Cilji njihovih napadov so osebni računalniki, računalniška omrežja, informacijska infrastruktura in informacijski sistemi.

Napad s križanjem spletnih strani (XSS)

Navzkrižno skriptiranje (XSS) je vnašanje skript na strani odjemalca v spletne aplikacije, ki ga omogoča pomanjkljivo preverjanje in pravilno kodiranje uporabniškega vnosa. Zlonamerne skripte se izvajajo v brskalniku končnega uporabnika in omogočajo različne napade, od kraje seje končnega uporabnika do spremljanja in spreminjanja vseh dejanj, ki jih končni uporabnik izvaja na prizadetem spletnem mestu. To je mogoče vedno, kadar uporabniški vnos (na primer na spletnem mestu) ni ustrezno potrjen na strani odjemalca ali strežnika.

To vključuje spreminjanje vseh uporabnikovih dejanj na tem spletnem mestu, saj brskalnik ne ve, da tej skripti ni mogoče zaupati. Ker je ta skripta zaupanja vredna, lahko dostopa npr. do piškotkov ali žetonov sej ali celo spremeni vsebino strani HTML.

Vnese se lahko trajno ali netrajno, odvisno od vrste uporabljenega XSS. Običajni nosilci napadov z navzkrižnim skriptnim pisanjem so obrazci za iskanje, forumi ali razdelki s komentarji.

Ker napad s križnim pisanjem spletnega mesta okuži uporabnikov brskalnik, se vam morda zdi, da je za vašo spletno aplikacijo precej neškodljiv. Vendar pa žal ni nič dlje od resnice:

Napadalec lahko spremeni dele spletne strani ali uporabnika z vbrizganim skriptom pošlje na drugo (potencialno zlonamerno) spletno stran. Vaš uporabnik bo to opazil in manj verjetno bo nadaljeval z uporabo vaše spletne aplikacije na kakršen koli način.

Obstajajo različne vrste napadov XSS, ki razlikujejo, ali so zlonamerne skripte lahko vbrizgane na nepersistenten ali persistenten način. Poleg tega razlikujemo med ranljivostjo, ki jo povzroči pomanjkljivo preverjanje vnosa na strani odjemalca ali strežnika.

Obstajajo tri glavne vrste napadov s križnimi skriptnimi datotekami na spletnem mestu:

shranjeni XSS: Shranjena ranljivost Cross-site Scripting omogoča napadalcu, da v spletno aplikacijo trajno vnese zlonamerno skripto.

odbiti XSS: Odbita ranljivost Cross-site Scripting se pojavi, če se uporabniku neposredno prikaže nepreverjen vnos.

XSS, ki temelji na DOM: DOM pomeni Document Object Model in je vmesnik za spletne strani. V bistvu gre za API strani, ki programom omogoča branje in upravljanje vsebine, strukture in slogov strani.

Zavrnitev storitve (DoS)

Napad z zavrnitvijo storitve (DoS) je napad, katerega namen je onemogočiti delovanje stroja ali omrežja, tako da postane nedostopno za predvidene uporabnike. Napadi DoS to dosežejo tako, da cilj preplavijo s prometom ali mu pošljejo informacije, ki sprožijo okvaro. V obeh primerih napad DoS prikrajša zakonite uporabnike (tj. zaposlene, člane ali imetnike računov) za storitev ali vir, ki so ga pričakovali.

Žrtve napadov DoS pogosto ciljajo na spletne strežnike uglednih organizacij, kot so bančna, trgovska in medijska podjetja ali vladne in trgovinske organizacije. Čeprav napadi DoS običajno ne povzročijo kraje ali izgube pomembnih informacij ali drugih sredstev, lahko žrtvi povzročijo veliko stroškov in časa.

Obstajata dve splošni metodi napadov DoS: preplavljanje storitev ali onemogočanje storitev. Napadi s poplavljanjem se zgodijo, ko sistem prejme preveč prometa, da bi ga strežnik lahko izločil, zaradi česar se upočasni in sčasoma ustavi. Med priljubljene napade s poplavo spadajo:

napadi s prepolnitvijo medpomnilnika – najpogostejši napad DoS. Koncept je, da se na omrežni naslov pošlje več prometa, kot so ga programerji zasnovali, da ga sistem lahko prenese. Vključuje napade, navedene spodaj, poleg drugih, ki so zasnovani za izkoriščanje napak, značilnih za določene aplikacije ali omrežja

Poplava ICMP – izkorišča napačno konfigurirane omrežne naprave s pošiljanjem podtaknjenih paketov, ki pingajo vse računalnike v ciljnem omrežju in ne le enega določenega stroja. Omrežje se nato sproži, da se promet poveča. Ta napad je znan tudi kot napad Smurf ali ping smrti.

Poplava SYN – pošlje zahtevo za vzpostavitev povezave s strežnikom, vendar nikoli ne zaključi ročnega dogovora. Nadaljuje se, dokler niso vsa odprta vrata zasičena z zahtevami in ni na voljo nobenega, s katerim bi se lahko povezali legitimni uporabniki.

Drugi napadi DoS preprosto izkoriščajo ranljivosti, ki povzročijo sesutje ciljnega sistema ali storitve. Pri teh napadih se pošlje vnos, ki izkoristi napake v ciljnem sistemu, ki posledično zrušijo ali močno destabilizirajo sistem, tako da do njega ni mogoče dostopati ali ga uporabljati.

Zlonamerna programska oprema

Zlonamerna programska oprema je krovni izraz, ki označuje vsak zlonamerni program ali kodo, ki je škodljiva za sisteme.

Sovražna, vsiljiva in namerno grda zlonamerna programska oprema poskuša vdreti v računalnike, računalniške sisteme, omrežja, tablične računalnike in mobilne naprave, jih poškodovati ali onemogočiti, pogosto tako, da prevzame delni nadzor nad delovanjem naprave. Podobno kot človeška gripa moti normalno delovanje.

Motivi za zlonamerno programsko opremo so različni. Namen zlonamerne programske opreme je lahko zaslužiti na račun vas, sabotirati vašo zmožnost opravljanja dela, podati politično izjavo ali se samo pohvaliti. Čeprav zlonamerna programska oprema ne more poškodovati fizične strojne opreme sistemov ali omrežne opreme (z eno znano izjemo – glejte spodnji razdelek Google Android), lahko ukrade, šifrira ali izbriše vaše podatke, spremeni ali ugrabi osnovne funkcije računalnika ter vohuni za vašimi računalniškimi dejavnostmi brez vaše vednosti ali dovoljenja.

Dva najpogostejša načina dostopa zlonamerne programske opreme do vašega sistema sta internet in e-pošta. V bistvu ste ranljivi vedno, ko ste povezani s spletom.

Zlonamerna programska oprema lahko prodre v vaš računalnik, ko (zdaj globoko vdihnite) brskate po vdretih spletnih mestih, si ogledate legitimno spletno mesto, ki prikazuje zlonamerne oglase, prenesete okužene datoteke, namestite programe ali aplikacije iz neznanih ponudnikov, odprete zlonamerno priponko e-pošte (malspam) ali skoraj vse drugo, kar prenesete iz spleta v napravo brez kakovostne varnostne aplikacije proti škodljivi programski opremi.

Zlonamerne aplikacije se lahko skrivajo v navidezno zakonitih aplikacijah, zlasti če jih prenesete s spletnih mest ali neposrednih povezav (v e-poštnem, besedilnem ali klepetalnem sporočilu) namesto iz uradne trgovine z aplikacijami. Pri tem je pomembno, da pri nameščanju aplikacij preverite opozorilna sporočila, zlasti če zahtevajo dovoljenje za dostop do vaše e-pošte ali drugih osebnih podatkov.

Phishing

Ribarjenje je vrsta kibernetskega napada socialnega inženiringa, ki se pogosto uporablja za krajo uporabniških podatkov, vključno s prijavnimi podatki in številkami kreditnih kartic. Do tega pride, ko napadalec, ki se izdaja za zaupanja vredno osebo, zavede žrtev, da odpre e-poštno sporočilo, takojšnje sporočilo ali besedilno sporočilo. Prejemnika nato zavede, da klikne zlonamerno povezavo, kar lahko privede do namestitve zlonamerne programske opreme, zamrznitve sistema v okviru napada z izsiljevalsko programsko opremo ali razkritja občutljivih podatkov.

Napad ima lahko uničujoče posledice. Za posameznike to vključuje nepooblaščene nakupe, krajo sredstev ali krajo identitete.

Poleg tega se ribarjenje pogosto uporablja za utrditev v podjetniških ali vladnih omrežjih kot del večjega napada, na primer dogodka napredne trajne grožnje (APT). V tem zadnjem primeru so zaposleni kompromitirani, da bi obšli varnostne meje, razširili zlonamerno programsko opremo v zaprtem okolju ali pridobili privilegiran dostop do zavarovanih podatkov.

Organizacija, ki je žrtev takšnega napada, običajno utrpi hude finančne izgube, poleg tega pa se ji zmanjšajo tržni delež, ugled in zaupanje potrošnikov. Odvisno od obsega lahko poskus ribarjenja preraste v varnostni incident, po katerem si bo podjetje težko opomoglo.

Kako preprečiti ribarjenje

Zaščita pred napadi phishing zahteva ukrepe, ki jih morajo sprejeti tako uporabniki kot podjetja.

Za uporabnike je ključnega pomena pazljivost. Podtaknjeno sporočilo pogosto vsebuje subtilne napake, ki razkrivajo njegovo pravo identiteto. Te lahko vključujejo pravopisne napake ali spremembe imen domen, kot je razvidno iz prejšnjega primera URL. Uporabniki se morajo tudi ustaviti in razmisliti, zakaj sploh prejemajo takšno sporočilo.

Podjetja lahko sprejmejo številne ukrepe za ublažitev tako phishing kot tudi spear phishing napadov:

Dvofaktorsko preverjanje pristnosti (2FA) je najučinkovitejša metoda za preprečevanje phishing napadov, saj dodaja dodatno raven preverjanja pri prijavi v občutljive aplikacije. 2FA temelji na tem, da imajo uporabniki dve stvari: nekaj, kar poznajo, kot sta geslo in uporabniško ime, in nekaj, kar imajo, kot so pametni telefoni. Tudi če so zaposleni kompromitirani, 2FA preprečuje uporabo njihovih kompromitiranih poverilnic, saj le te ne zadostujejo za vstop.

Poleg uporabe 2FA morajo organizacije uveljavljati stroge politike upravljanja gesel. Na primer, od zaposlenih je treba zahtevati, da pogosto spreminjajo svoja gesla in da ne smejo ponovno uporabiti gesla za več aplikacij.

Tudi izobraževalne kampanje lahko pomagajo zmanjšati nevarnost phishing napadov z uveljavljanjem varnih praks, kot je na primer, da ne klikate na zunanje e-poštne povezave.

Ransomware

Ransomware je zlonamerna programska oprema, ki s šifriranjem zahteva odkupnino za podatke žrtve. Ključni podatki uporabnika ali organizacije so šifrirani, tako da ne morejo dostopati do datotek, podatkovnih zbirk ali aplikacij. Za zagotovitev dostopa se nato zahteva odkupnina. Odkupnina je pogosto zasnovana tako, da se širi po omrežju in cilja na strežnike podatkovnih zbirk in datotek ter tako lahko hitro ohromi celotno organizacijo. Gre za vse večjo grožnjo, ki kibernetskim kriminalcem prinaša milijarde dolarjev plačil, podjetjem in vladnim organizacijam pa povzroča veliko škodo in stroške.

Ransomware uporablja asimetrično šifriranje. To je kriptografija, ki za šifriranje in dešifriranje datoteke uporablja par ključev. Javno-zasebni par ključev edinstveno ustvari napadalec za žrtev, zasebni ključ za dešifriranje datotek pa je shranjen v napadalčevem strežniku. Napadalec zasebni ključ žrtvi da na voljo šele po plačilu odkupnine, čeprav se to, kot je razvidno iz nedavnih kampanj izsiljevalske programske opreme, ne zgodi vedno. Brez dostopa do zasebnega ključa je skoraj nemogoče dešifrirati datoteke, za katere se zahteva odkupnina.

Obstaja veliko različic izsiljevalske programske opreme. Pogosto se izsiljevalska (in druga zlonamerna) programska oprema razširja s kampanjami neželene elektronske pošte ali z usmerjenimi napadi. Zlonamerna programska oprema potrebuje vektor napada, da vzpostavi svojo prisotnost na končni točki. Ko je prisotnost vzpostavljena, zlonamerna programska oprema ostane v sistemu, dokler ne opravi svoje naloge.

Po uspešnem izkoriščanju izsiljevalska programska oprema spusti in izvede zlonamerno binarno datoteko v okuženem sistemu. Ta binarni program nato poišče in šifrira dragocene datoteke, kot so dokumenti Microsoft Word, slike, podatkovne zbirke itd. Ransomware lahko izkorišča tudi ranljivosti sistema in omrežja, da se razširi na druge sisteme in po možnosti na celotne organizacije.

Ko so datoteke šifrirane, izsiljevalska programska oprema od uporabnika zahteva odkupnino, ki jo je treba plačati v 24 do 48 urah, da se datoteke dešifrirajo, sicer bodo za vedno izgubljene. Če varnostna kopija podatkov ni na voljo ali pa so bile te varnostne kopije same šifrirane, je žrtev soočena s plačilom odkupnine za obnovitev osebnih datotek.

Vbrizgavanje SQL

Vbrizgavanje SQL, znano tudi kot SQLI, je pogost vektor napada, ki uporablja zlonamerno kodo SQL za manipulacijo zaledne podatkovne zbirke in omogoča dostop do informacij, ki niso bile predvidene za prikaz. Te informacije lahko vključujejo poljubno število elementov, vključno z občutljivimi podatki podjetja, seznami uporabnikov ali zasebnimi podatki strank.

Vpliv, ki ga ima lahko SQL injection na podjetje, je daljnosežen. Rezultat uspešnega napada je lahko nepooblaščen vpogled v sezname uporabnikov, izbris celotnih tabel, v nekaterih primerih pa lahko napadalec pridobi upraviteljske pravice do zbirke podatkov, kar je za podjetje zelo škodljivo.

Pri izračunu morebitnih stroškov napada SQLi je treba upoštevati izgubo zaupanja strank, če bi bili ukradeni osebni podatki, kot so telefonske številke, naslovi in podatki o kreditnih karticah.

Čeprav je ta vektor mogoče uporabiti za napad na katero koli podatkovno zbirko SQL, so najpogostejše tarče spletne strani.

SQL je standardiziran jezik, ki se uporablja za dostop do podatkovnih zbirk in manipuliranje z njimi, da se ustvarijo prilagodljivi prikazi podatkov za vsakega uporabnika. Poizvedbe SQL se uporabljajo za izvajanje ukazov, kot so pridobivanje podatkov, posodobitve in odstranjevanje zapisov. Te naloge izvajajo različni elementi SQL, npr. poizvedbe z uporabo stavka SELECT za pridobivanje podatkov na podlagi parametrov, ki jih določi uporabnik.

Injekcije SQL običajno spadajo v tri kategorije: Vbodni SQLi (klasični), sklepalni SQLi (slepi) in nebodni SQLi. Vrste vbodov SQL lahko razvrstite glede na metode, ki jih uporabljajo za dostop do zalednih podatkov, in glede na možnost povzročitve škode.

In-band SQLi

Napadalec uporablja isti komunikacijski kanal za izvajanje svojih napadov in zbiranje rezultatov. Zaradi preprostosti in učinkovitosti je napad v pasu SQLi ena najpogostejših vrst napadov SQLi.

Inferenčni (slepi) SQLi

Napadalec pošilja podatkovne obremenitve strežniku ter opazuje odziv in obnašanje strežnika, da bi izvedel več o njegovi strukturi. Ta metoda se imenuje slepi SQLi, ker se podatki iz podatkovne zbirke spletnega mesta ne prenesejo do napadalca, zato napadalec ne more videti informacij o napadu v pasu.

Izvenpasovni SQLi

To obliko napada lahko napadalec izvede le, če so v strežniku podatkovne zbirke, ki ga uporablja spletna aplikacija, omogočene določene funkcije. Ta oblika napada se uporablja predvsem kot alternativa tehnikam SQLi v pasu in inferenčnim tehnikam SQLi.

Izkoriščanje ničelnega dne

“Zero-day” je širok izraz, ki označuje nedavno odkrite varnostne ranljivosti, ki jih lahko hekerji uporabijo za napade na sisteme. Izraz “zero-day” se nanaša na dejstvo, da je prodajalec ali razvijalec šele zdaj izvedel za napako, kar pomeni, da ima “nič dni” časa, da jo odpravi. Napad ničelnega dne se zgodi, ko hekerji izkoristijo pomanjkljivost, preden jo razvijalci lahko odpravijo.

Včasih se zero-day zapiše kot 0-day. Ob besedah ranljivost, izkoriščanje in napad se običajno uporabljajo tudi besede zero-day, zato je koristno razumeti razliko:

Ranljivost ničelnega dne je ranljivost programske opreme, ki jo napadalci odkrijejo, preden se je prodajalec zaveda. Ker se prodajalci tega ne zavedajo, za ranljivosti ničtega dne ni popravkov, zato so napadi verjetno uspešni.

Izkoriščanje ničelnega dne je metoda, ki jo hekerji uporabljajo za napade na sisteme s predhodno neznano ranljivostjo.

Napad nultega dne je uporaba izkoriščevalske rešitve nultega dne za povzročitev škode ali krajo podatkov iz sistema, na katerega vpliva ranljivost.

Programska oprema ima pogosto varnostne ranljivosti, ki jih lahko hekerji izkoristijo in povzročijo opustošenje. Razvijalci programske opreme vedno iščejo ranljivosti, ki jih lahko “popravijo”, tj. razvijejo rešitev, ki jo objavijo v novi posodobitvi.

Včasih pa hekerji ali zlonamerni akterji odkrijejo ranljivost, še preden jo odkrijejo razvijalci programske opreme. Medtem ko je ranljivost še vedno odprta, lahko napadalci napišejo in izvedejo kodo, ki jo izkoristi. Ta koda je znana kot koda za izkoriščanje.

Koda za izkoriščanje lahko povzroči, da so uporabniki programske opreme žrtve – na primer s krajo identitete ali drugimi oblikami kibernetskega kriminala. Ko napadalci ugotovijo ranljivost ničelnega dne, potrebujejo način, kako priti do ranljivega sistema. To pogosto storijo s pomočjo družbeno zavajajočega elektronskega sporočila – tj. elektronskega sporočila ali drugega sporočila, ki naj bi prihajalo od znanega ali zakonitega dopisovalca, v resnici pa je od napadalca. Sporočilo poskuša uporabnika prepričati, da izvede dejanje, na primer odpre datoteko ali obišče zlonamerno spletno mesto. S tem se prenese napadalčeva zlonamerna programska oprema, ki vdre v uporabnikove datoteke in ukrade zaupne podatke.

Ko je ranljivost znana, jo razvijalci poskušajo popraviti, da bi ustavili napad. Vendar varnostne ranljivosti pogosto niso odkrite takoj. Včasih lahko traja dneve, tedne ali celo mesece, preden razvijalci odkrijejo ranljivost, ki je povzročila napad. Tudi ko je popravek ničelnega dne objavljen, ga vsi uporabniki ne izvedejo hitro. V zadnjih letih so hekerji hitreje izkoriščali ranljivosti kmalu po odkritju.

Izkoristke lahko prodajo na temnem spletu za velike vsote denarja. Ko je ranljivost odkrita in popravljena, se ne označuje več kot grožnja ničelnega dne.

Napadi ničelnega dne so še posebej nevarni, ker zanje vedo le napadalci sami. Ko enkrat prodrejo v omrežje, lahko kriminalci napadejo takoj ali pa sedijo in čakajo na najugodnejši trenutek za napad.

    Povpraševanje



    Storitve IT-varnosti
    Kontakt
    Pišite nam ...

    info@varnost-it.si

    Obiščite nas ...

    Proletarska cesta 4, Ljubljana

    Potrebujete pomoč?