Istnieje nieskończenie wiele powodów dla których człowiek pragnie zdobyć informacje. Największym zagrożeniem komputerowym nie jest luka w systemie, czy też nieuprawniona próba włamania różnymi mechanizmami. Głównym zagrożeniem jest człowiek, potrafiący odnajdować owe luki, czy bardziej negatywnie oddziaływać na system – włamując się. Jest to ogólna definicja „hakera”, przestępcy komputerowego którego technologiczna wiedza wykracza ponad przeciętne standardy statystyczne. W początkach istnienia sieci i wczesnej telefonii tonowej istniały tylko dwa rodzaje hakerów. Ten „zły” – dzisiaj nazywany black hat hakerem (hakerem w czarnym kapeluszu^[8]) i phreaker – haker znający się na mechanizmach telefonicznych, który w łatwy sposób może je wykorzystać za darmo do własnych celów. O ile liczba phreakerów znacznie się obniżyła z uwagi na tanie połączenia operatorów, o tyle liczba „czarnych kapeluszy” rośnie.

Poniższa tabela reprezentuje współczesny podział pozyskania informacji według potrzeby oraz sposobu w jaki zostanie odnaleziona kondensując dane do odpowiedniego użytkownika:

Cel pozyskania informacji	Sposób pozyskania informacji
	Legalny	Nielegalny
Naukowo-badawczy	zwykły użytkownik, student, naukowiec	white hat
Materialny, dla zysku	pracownik, reklamobiorca	black hat
Prywatny	zwykły użytkownik, grey hat	grey hat
Wewnętrzna potrzeba	zwykły użytkownik, p2p	hacktivist
Inne	zwykły użytkownik, script kiddie	phreaker, script kiddie

Rys 3.1. Rodzaje użytkowników pozyskujących informacje i ich współczesny podział. (Źródło: Opracowanie własne.)

Cele jakimi kierują się użytkownicy dla pozyskania informacji mogą być różne. Z reguły jest to wewnętrzna potrzeba pozyskania wiedzy. Np. surfowanie po ulubionym portalu z wiadomościami sportowymi, lub ze względu na istnienie anonimowości w sieci, pozyskanie nielegalnych pirackich kopii utworów do celów własnych. Haker może zostać opłacony do wydobycia, bądź narażenia na szkody konkurencji, lub może dostać zlecenie na przeprowadzenie szerokiego audytu bezpieczeństwa wychwytując wszystkie luki i zabezpieczając je na przyszłość.

Rodzaje użytkowników:

1. zwykły użytkownik – osoba na co dzień pracująca, bądź relaksująca się przy komputerze. Stanowi uogólnioną klasę nadrzędną dla pozostałych rodzajów użytkowników.
2. pracownik – osoba, której zawód jest ściśle związany z komputerem. Nieświadomy zagrożeń sam w sobie stanowi bardzo podatny wyciek informacji z wnętrza sieci korporacyjnej.
3. haker white hat – osoba, która posiada ogromną wiedzę nt. zabezpieczeń komputerów, lecz nie wykorzystuje jej w ogóle w złych celach. Haker w „białym kapeluszu” uogólniając bardziej stanowi postawę ideologiczną i zbiór zasad etycznych jakimi powinni kierować się inni znawcy bezpieczeństwa komputerowego. Najbardziej znanym hakerem etycznym jest Richard Stallman – twórca ruchu wolnego oprogramowania, licencji GNU i założyciel Fundacji Wolnego Oprogramowania. Jego programistyczne umiejętności przyczyniły się do utworzenia kluczowych aplikacji dla systemu GNU/Linux takich jak kompilator GCC czy edytor Emacs. Powszechnie znany z pozytywnego nastawienia do życia.

   
   Rys. 3.2. Richard Stallman „Ostatni wielki haker”. Haker-aktywista w białym kapeluszu. (Źródło: http://www.benchmark.pl/aktualnosci/Richard_Stallman_na_konferencji_IT_Giants_2009_w_Krakowie-16101.html 04.06.2009 r.)

4. haker black hat – najbardziej znany filmowy przykład osoby, która zna się na zabezpieczeniach, lecz wykrada te informacje w celach materialnych. Dla sławy, dla pieniędzy, na zlecenie. Kevin Mitnick jest przykładem na to jak można stać się sławnym po tym, gdy zostanie się pochwyconym. Pomimo, że Mitnick stosował głównie ataki socjotechniczne to nie zarzuca mu się braku wiedzy o mechanizmach telekomunikacyjnych. W nagłośnieniu przez media Mitnicka jako hakera o czarnym kapeluszu po odsiedzeniu wyroku wydał bestsellerową książkę – „Sztuka Podstępu”.

   
   
   Rys. 3.3. Kevin Mitnick – najsłynniejszy pochwycony socjotechnik, phreaker i haker w czarnym kapeluszu. (Źródło: http://fergdawg.blogspot.com/2008/08/kevin-mitnick-looks-back-in-forbes.html (04.06.2009 r.)

5. haker grey hat – stanowi granicę między czarnym a białym. Najpowszechniejszy rodzaj hakera. Zna się na bezpieczeństwie, lecz potrafi zostawić sobie tylne drzwi do systemu, który został mu zlecony w celach diagnostycznych, bądź przeprowadzenia audytu bezpieczeństwa. Zdobyte informacje wykorzystuje w celach własnych.
6. hacktivist – haker-aktywista. Osoba, która może działać na zlecenie, bądź pod przymusem wydobywając poufne informacje sklasyfikowane jako bardziej tajne niż poufne (np. rządowe). Może działać według własnych wewnętrznych przekonań. Również jest filmowym przykładem hakera „walczącego z systemem”.
7. script kiddie – osoba w gruncie rzeczy nie znająca się na mechanizmach bezpieczeństwa, lecz wykorzystująca darmowe oprogramowanie napisane przez hakerów. Stanowi największą część zewnętrznych użytkowników zagrażających wewnętrznej sieci firmowej, lecz ataki, którymi operują są dość proste w ominięciu i zablokowaniu.

Jednakże z pojawieniem się poważnej luki w większości buforów programów komputerowych, sprzętowych i protokołów (atak DoS) grupa ta również musi być mocno brana pod uwagę przy zabezpieczaniu i audycie bezpieczeństwa firmowej sieci.

Za najogólniejszy podział rodzajów ataków przyjęto podział ze względu na źródło powstania.

W ten sposób ataki dzielone są na:

1. Zewnętrzne
2. Wewnętrzne

Zewnętrzne – czyli wszystkie, które powstają poza firmową siecią, z reguły w Internecie. Stanowią grupę ataków, które zachodzą najczęściej ze względu na fakt istnienia anonimowości w globalnej sieci internetowej. Każdy internauta silniej związany z komputerem prędzej czy później ogląda film „Hakerzy”, bądź wchodzi na stronę o tematyce bezpieczeństwa. Sam zaczyna próbować wywoływać ataki za pomocą dostępnego oprogramowania i zostaje script kiddie pozostając jednocześnie anonimowym. Zupełnie jak w przypadku namacalnego ataku na drugą osobę. Napastnik z reguły pragnie zachować swoją tożsamość i przykładowo atakuje ofiarę w masce. Napastnik komputerowy tak samo zostawia ślady, lecz są one trudniejsze do analizy ze względu na zasięg sieci globalnej – mogą być dokonywane zewsząd. W wypadku ataku fizycznego istnieje zawężone pole poszukiwań do miasta, czy państwa. Ataki zewnętrzne z założenia swojego umiejscowienia są atakami wyłącznie komputerowymi. Jedynym realnym przykładem może być włamanie przez osobę niepowołaną i nieznaną do pomieszczenia w którym znajdują się urządzenia sieciowe – lecz przy dzisiejszych zabezpieczeniach fizycznych, owy rodzaj ataku można zaobserwować na hollywoodzkich filmach, lecz nie można oczywiście lekceważyć ich istnienia.

Jednakże bardziej niebezpieczne są ataki, które powstają wewnątrz sieci firmowej – przez bardzo długi okres czasu, przedsiębiorstwa na tej płaszczyźnie były bezradne. Jeżeli pracownik został przekupiony przez konkurencję do wykradzenia danych, bądź nieświadomie podłączał niesprawdzone urządzenia – atak był realny i w zasadzie nie istniała na niego skuteczna obrona. W dzisiejszych czasach specjaliści ds. bezpieczeństwa komputerowego zwracają dużą uwagę na zabezpieczenie sieci po obu stronach granicy.

W dobie rozwiązań telepracy, łączenia oddziałów tunelami VPN rzec można, że zabezpieczenie wnętrza sieci jest ważniejsze niż od lat sprawdzone i działające techniki ograniczania dostępu od zewnątrz za pomocą firewalli, które de facto są już bardzo skuteczne.

Ataki ze względu na źródło powstania dzielą się na równorzędne podgrupy ataków komputerowych i uzyskania fizycznego dostępu do sprzętu komputerowego.

Istnieją trzy główne cele ataków z zastosowaniem powyższych podziałów, w sumie będącymi równocześnie wskaźnikami prawidłowego podziału sektorów bezpieczeństwa komputerowego:

1. Poufność danej
2. Integralność danej
3. Dostępność danej

Ad. a. Za poufność rozumie się, że informacja, sklasyfikowana jako tajna ma zostać przetransferowana z bezpiecznego, znanego źródła do celu, do którego jest przynależna i do żadnego innego. Grupa ataków na poufność zawiera w sobie obie podgrupy ataków równorzędnych (fizycznych i komputerowych).

Ad. b. Integralność – skoro dana przesyłana jest z zaufanego źródła do zaufanego celu to podczas swojej podróży winna nie zostać w żaden sposób zmodyfikowana w celu dokonania przekłamania bądź innych niejawnych malwersacji. Grupa ataków na integralność danych w głównej mierze skupia się wokół ataków komputerowych.

Ad. c. Dostępność – jeżeli dana jest przesyłana z zaufanego źródła do zaufanego celu i działa mechanizm badania jej integralności po obu stronach stacji to należy zapewnić danej bezpieczną trasę oraz nieprzerwalną działalność punktów transmisyjnych by pakiet mógł zostać poprawnie przesłany. Grupa ta jest najtrudniejsza do obrony ze względu na powszechność błędów w konstrukcjach protokołów, programów, a nawet mechanizmów zabezpieczających. Atak na dostępność nawet nie musi być atakiem, a jedynie nagłą zbyt mocną eksploatacją zasobów sieci. Należy włożyć duży nacisk w prawidłowe zabezpieczenie klasy ataków na dostępność zasobów sieciowych. [2]

3.1 Przedstawienie ataków i sposobów obrony po stronie fizycznej

Pierwszorzędną i najczęściej najsłabiej zabezpieczoną linią obrony jest zabezpieczenie fizycznego dostępu do zasobów przedsiębiorstwa. Nie chodzi jedynie o zamknięcie na klucz pomieszczeń. Włamywacz potrafi wykorzystać każdą fizyczną lukę w zabezpieczeniu by móc dostać się do informacji, które musi uzyskać.

Głównymi celami ataku są tutaj:

• oczywisty dostęp fizyczny,
• niedopatrzenie w kontaktowym zabezpieczaniu informacji,
• podatność pracownika,
• podatność sprzętu na warunki klimatyczne (korozje, przegrzania, zalania),
• podatność sprzętu na zakłócenia elektryczne.

Ochrona dostępu fizycznego jest podstawowym czynnikiem utrudniającym włamanie, lecz w przypadku powstania niedopatrzenia gdy firma może posiadać doskonałe drzwi, zamki, systemy monitorowania, rozumie się, że firma pada ofiarą włamania nie dbając o właściwą procedurę usuwania danych uważanych za niepotrzebne. W przypadku małych firm problem ten jest uważany za mniej-ważny, jednakże jeśli mamy do czynienia z ogromnym przedsiębiorstwem drukującym dziennie kilogramy makulatury i nagrywającym setki płyt – problem staje się równie ważny co wdrożenie skutecznego monitoringu. Również pracownik sam w sobie wykonujący swoją pracę poprawnie, może zostać ofiarą technik socjotechnicznych wykorzystywanych w celu pozyskania zestawu nazwy użytkownika i hasła dla zestawienia zaufanej relacji wewnątrz firmy pomiędzy urządzeniami.

Dobry inżynier projektujący bezpieczną, zbieżną sieć musi myśleć przyszłościowo. Nie tylko patrząc na rozwój sprzętu i oprogramowania zabezpieczającego, lecz musi zwracać uwagę na fakt, że sprzęt ciągle eksploatowany –jak wszystko inne- po czasie ulega częściowemu zniszczeniu. Przez niewłaściwą konserwację, nie dbanie o prawidłowe warunki klimatyczne panujące w pomieszczeniach, nieświadomy administrator może doprowadzić do stworzenia przypadkowej, samo rozwijającej się podatności w bezpieczeństwie systemu prowadzącej do zniszczenia sieci.

3.1.1. Ataki klimatyczne

Zwykle najgorszą grupą ataków są takie, o których się nie wie. Mając wiedzę i świadomość z której strony system może zostać zaatakowany, można się przygotować na taką ewentualność. Jednakże w przypadku wystąpienia ataku, o którym administrator, czy szef działu bezpieczeństwa informatycznego nie mają pojęcia – trudno jest nagle zapanować nad zaistniałym kryzysem. Ataki klimatyczne są taką grupą ataków wykonanych nieświadomie, czasem bez wyraźnego ludzkiego winowajcy.

W zasadzie nie biorąc pod uwagę czynniku ludzkiego to nie należałoby pisać o atakach, a raczej podatności metalowego sprzętu komputerowego na wpływy różnych czynników środowiska. Łatwo jest przeoczyć środowiskowe zabezpieczenia skupiając się na innych, dobrze udokumentowanych, powszechnych sposobach obrony komputerowej.

Do grupy zagrożeń klimatycznych zalicza się (od najpowszechniejszych):

1. Zakłócenia elektryczne
2. Zaburzenia temperatury, wilgotności, zaniedbania
3. Kataklizm i inne

Ad. a. Najczęściej spotykanym zagrożeniem dowolnego sprzętu, nie tylko komputerowego jest jego ogromna podatność na występujące zakłócenia elektryczne powodujące w najlepszym wypadku przerwę w działaniu, a w najgorszym trwałe jego uszkodzenie.

Zakłócenia elektryczne można podzielić w następujący sposób:

• zaciemnienie – krótkotrwałe obniżenie się poziomu napięć. Jest to najpowszechniej występujące zakłócenie dotyczące aż 87% usterek sprzętu związanego z zakłóceniami elektrycznymi. Zaciemnienie spowodowane jest najczęściej przez podłączenie do sieci i uruchomienie wielu urządzeń w jednej chwili. Jest również powiązane z wysoką temperaturą w pomieszczeniu, która może wpływać na poziom napięcia na urządzeniach. W wyniku wystąpienia zaciemnienia może wystąpić twardy restart komputera, błędne działanie urządzeń peryferyjnych. Najważniejszym efektem jednak jest procentowa utrata żywotności każdego z urządzeń.
• zanik napięcia – jak sama nazwa wskazuje, jest to całkowita utrata napięcia przez urządzenie spowodowana dowolnym czynnikiem zewnętrznym takim jak: wyładowania elektrostatyczne (pioruny), uszkodzenie linii przesyłowych wysokiego napięcia, kataklizmy itp. Dla pracownika zanik napięcia oznacza całkowitą utratę zawartości pamięci RAM i schowka z którym pracował, dlatego tak często w firmach podkreśla się cykliczne zapisywanie części wykonanej pracy. Gorszym scenariuszem może być jeszcze przykładowo uszkodzenie tablicy alokacji plików dysku twardego. Zanik napięcia tak jak zaciemnienie wpływa na zmniejszenie żywotności każdego urządzenia, lecz w mniejszym stopniu.
• skok napięcia – dramatyczny wzrost wartości napięcia. Może przedostać się dowolnym medium elektrycznym do dowolnego podpiętego urządzenia w sieci korporacyjnej. Poprzez kabel UTP, linię telefoniczną, przez prąd przemienny. Najczęstszą przyczyną wystąpienia skoku wysokiego napięcia jest niewłaściwe uziemienie okablowania zewnętrznego i nieprawidłowa instalacji piorunochronów. Niestety natura bywa nieobliczalna i nawet najlepsze zabezpieczenia mogą nie powstrzymać całkowitego zniszczenia elektronicznego sprzętu, który miał styczność ze skokiem napięcia.
• nagły wzrost napięcia – krótkotrwały, trwający zwykle 1/120 sekundy wzrost wartości napięcia. Jest antagonizmem zaciemnienia, tudzież w przypadku nagłego wyłączenia wielu urządzeń pobierających duże napięcie, pozostaje ono na linii docierając do reszty podłączonego sprzętu. Wszystkie urządzenia elektroniczne są skonstruowane by otrzymywać napięcie mieszczące się w odpowiednim zakresie. Jeśli owy zakres zostanie przekroczony, urządzenie odczuwa delikatne uszkodzenia, przepalenia w zależności od tego jak bardzo zakres został przekroczony.
• szum, EMI, RFI – zaszumienie pojawia się wtedy, gdy w pobliżu pracują urządzenia wytwarzające swoje pole elektromagnetyczne, które będąc odpowiednio duże może zaburzyć prawidłową falę sinusoidalną, której oczekuje inne urządzenie. W przypadku okablowania miedzianego ma się do czynienia z interferencjami elektromagnetycznymi (EMI), natomiast w przypadku transmisji bezprzewodowej z interferencjami radiowymi (RFI). Poza przekłamaniem i błędami w działaniu oprogramowania na sprzęcie dotkniętym zaszumieniem, większe zagrożenia nie występują.

Do obowiązków szefa działu bezpieczeństwa informatycznego przedsiębiorstwa nie należy instalacja sieci elektrycznej. Robi to wykwalifikowany elektryk, specjalista. W sprawach elektrycznych informatyk w firmie winien znać się do poziomu instalacji i konserwacji systemów podtrzymywania napięcia – UPS, które chronią przed nagłą awarią zasilania. Jednak serwerownie z reguły są skonstruowane jako strefa w której się nie pracuje, a system UPS nie podtrzymuje napięcia bardzo długo, więc teoretycznie w przypadku awarii czas reakcji pracownika mógłby być dłuższy niż czas przez jaki UPS podtrzymuje zasilanie. Stąd istnieje potrzeba implementacji układu zewnętrznego monitorującego stan UPS–a. Firma TechBase w swojej ofercie prezentuje komputer przemysłowy NPE 9201-GPRS, który po instalacji odpowiednich modułów i czujników potrafi przekazać informacje o zaistniałej anomalii bądź braku zasilania z odpowiednich urządzeń do organów zarządzających serwerownią, bądź układem elektrycznym w budynku.

Rys. 3.1.1.1. Schemat ideowy współpracy komputera NPE 9201 i systemów UPS. (Źródło: http://www.a2s.pl/monitoring-zasilaczy-awaryjnych-systemach-informatycznych-a-1775.html 23.05.2009 r.)

Osobny zarządzający komputer przemysłowy jest więc czynnikiem krytycznym we właściwym zabezpieczeniu infrastruktury informatycznej. Szczególnie ważnym atutem takiego rozwiązania jest możliwość automatycznego zamknięcia systemu poddanemu awaryjnemu zasilaniu, co wpływa na skuteczną ochronę sprzętu i danych przed zniszczeniem.

Zasilacze UPS umożliwiają połączenia logiczne poprzez szeregowe łącza i można się z nimi komunikować poprzez protokół SNMP gdzie można monitorować parametry zasilacza i zasilania (napięcie, wartość obciążenia, nominalny czas pracy z baterii). Za pomocą kontroli SNMP administrator może ułatwić sobie kontrolę zasilania czyniąc z każdego UPS–a niezależny węzeł sieci. W przypadku zaistnienia zawieszenia się serwera administrator nie mający możliwości wykonania jego restartu może wyłączyć UPS–a zasilającego owy serwer to spowoduje zamknięcie systemu operacyjnego w sposób nieuszkadzający pliki. Wykorzystując komputer NPE-9201 można zaplanować odpowiednią reakcję systemów zasilania awaryjnego na konkretne zdarzenie elektryczne.

Ad. b. O ile zakłóceń elektrycznych można się spodziewać, o tyle zakłóceń działania sprzętu w przypadku grupy zagrożeń klimatycznych nie. Trudno jest je wychwycić z uwagi na fakt, że zakłócenia te nie mają nagłego skutku, a są pracą długotrwałego niedopatrzenia. Np. zbyt wysokiej temperatury w pomieszczeniu, złego poziomu wilgotności co powoduje korozję miedzi. Sprzęt po pewnym czasie skorodowania nie psuje się nagle, lecz początkowo użytkownik może odczuwać jedynie dyskomfort w szybkości transmisji w sieci bądź istnieniu pewnych przekłamań, a sprzęt w dalszym ciągu ulega nieuchronnej korozji.

Mając na uwadze zabezpieczenie sieci należy brać pod uwagę każdy czynnik, który potencjalnie może wydawać się, że nie ma żadnego związku z bezpieczeństwem.

W przypadku zagrożeń klimatycznych poza wyżej wymienionymi czynnikami takimi jak właściwa wilgotność i temperatura w pomieszczeniach należy zadbać też o estetykę samego sprzętu. Nieprawidłowe rozmieszczenie okablowania i osprzętu w sposób niechlujny może doprowadzić do:

• braku rozeznania w topologii – przy zaistnieniu niewielkiej usterki o podłożu sprzętowym poruszając się po serwerowni inżynier pragnie jak najszybciej naprawić zaistniały problem. W przypadku porozrzucanego sprzętu i okablowania zapewnia on sobie stratę czasu na dochodzenie do tego, który kabel jest do czego wpięty.

  
  
  Rys. 3.1.1.2. Instalacja grożąca zagrożeniem braku rozeznania w topologii. (Źródło: http://englishrussia.com/?p=1836 02.05.2009 r.)

• mechanicznego uszkodzenia instalacji – przy wyjątkowo niechlujnej instalacji oprócz porozrzucanego okablowania w pomieszczeniu może być też nieprawidłowo przymocowany sprzęt do ścian, szaf rakowych czy innych miejsc. W wyniku powstałych naprężeń okablowania owy sprzęt może ulec uszkodzeniu w wyniku upadku, lub w najlepszym przypadku dla administratora – rozłączyć się. Zagrożenie mechanicznego uszkodzenia instalacji sieciowej w jasny sposób może się spotęgować z nieprawidłowym rozmieszczeniem okablowania.
• pożaru – ostatecznie nieprawidłowo zaimplementowana instalacja może doprowadzić do małego wewnętrznego kataklizmu, jakim jest pożar. Jest to najgorsze możliwe zagrożenie wynikające z niedbałości o sprzęt. Zapalenie się instalacji zależy od każdego z wyżej wymienionych typów zagrożeń, zwłaszcza elektrycznych i należy skupić się na tym problemie gdyż jego wystąpienie jest realne i zniszczenia są długotrwałe, czasami nieodwracalne.

Rys. 3.1.1.3. Przykład instalacji sumującej zagrożenie nieznajomości topologii, naprężenia sprzętu i pożaru. (Źródło: http://englishrussia.com/?p=1836 02.05.2009 r.)

Jedyną znaną obroną przed takimi nieprzewidzianymi zachowaniami się sprzętu sieciowego jest jego właściwa instalacja od samego początku. Z ustalonym, przemyślanym projektem, rozpisaną dokumentacją i kompetentnym personelem technicznym realizującym założenia wymienionych dokumentów (Model SDLC, rozdział 4.1). Natomiast jeżeli chodzi o anomalia w pomieszczeniu, to niezbędne jest zainstalowanie specjalnie zaprojektowanych czujników temperatury, wilgotności i wycieku wody. Wcześniej wspomniana firma TechBase oferuje rozwiązania dla informatyki przemysłowej pokrywające się z założeniami bezpieczeństwa także przed anomaliami klimatycznymi. Przykładem jest już wcześniej opisany komputer przemysłowy NPE 9201-EDGE lub 9201-GPRS instalowany na linii szafy serwerowej i klimatyzatora.

Rys. 3.1.1.4. Schemat ideowy działania komputera przemysłowego TechBase NPE 9201. (Źródło: http://www.a2s.pl/monitoring-klimatyzatora-pomieszczeniu-serwerem-a-1774.html 23.05.2009 r.)

Zawiera w zestawie dwa czujniki temperatury. Jeden wykonujący pomiary w pomieszczeniu, a drugi w samej szafie z głównymi serwerami. Oprócz tego jest zewnętrzny czujnik wilgotności i oddzielnie czujnik wycieku wody. W razie wystąpienia jakichkolwiek odchyleń od ustalonych norm (temperatura: 21°C, relatywna wilgotność: 45%) system powiadamia personel odpowiedzialny za utrzymanie i konserwacje właściwej struktury w serwerowni poprzez wysłanie SMS’a i wiadomości e-mail.

Ad. c. Przed kataklizmami można się zabezpieczyć, lecz w przypadku braku istnienia tzw. lokalizacji odtwórczej, sprzęt dotknięty przez pożar, powódź, trzęsienie ziemi na pewno w jakimś stopniu ulegnie trwałemu uszkodzeniu. Człowiek nie ma na to wielkiego wpływu, lecz może zrobić jak najwięcej by zaradzić skutkom wystąpienia katastrofy.

O ile szef działu bezpieczeństwa sam nie stworzy projektu lokalizacji odtwórczej to jest wiele firm oferujących taką usługę.

Rys. 3.1.1.5. Przykładowa topologia logiczna struktury sieciowej przedsiębiorstwa podczas codziennej pracy. (Źródło: Opracowanie własne.)

Polega ona na odzwierciedleniu fizycznego stanu sprzętowego przedsiębiorstwa w innej lokalizacji, której to teoretycznie kataklizm nie powinien sięgnąć, lub dotknąć w minimalnym stopniu powodującym uszkodzenia. W zależności od tego ile firma jest w stanie zapłacić, tudzież jak dla nich ważne jest jak najszybsze przywrócenie sprzętu i konfiguracji do stanu sprzed katastrofy wyróżnia się trzy podstawowe lokalizacje odtwórcze:

1. Gorąca lokalizacja odtwórcza (ang. hot site) – stanowi całkowitą redundancję prawdziwego sprzętu korporacyjnego i aktualnej konfiguracji. Koszty utrzymania drugiej, identycznej struktury informatycznej dokładnie odzwierciedlonej w innej lokalizacji geograficznej są ogromne, jednakże w pewnych przypadkach bardziej opłaca się takie rozwiązanie aniżeli firma miałaby w ciągu kilku dni lub nawet tygodni odtworzyć wszystko co zostało zniszczone przez ten czas tracąc jeszcze większe sumy pieniężne niż zostały przeznaczone na lokalizację odtwórczą. W razie wystąpienia kataklizmu, redundantna struktura informatyczna jest w stanie przejąć rolę głównej lokalizacji w ciągu kilku minut.
2. Ciepła lokalizacja odtwórcza (ang. warm site) – stanowi pośrednią redundancję, gdyż odzwierciedla jedynie stan fizyczny sprzętu przedsiębiorstwa bez jego konfiguracji. Jest to najbardziej optymalne rozwiązanie, gdyż przeniesienie konfiguracji może zająć maksymalnie kilka dni. Ciepła lokalizacja jest najczęściej wybierana przez przedsiębiorstwa, którym nie zależy na tyle na priorytetowym działaniu sieci, że są w stanie poczekać z naprawą usterek do kilku dni. Z reguły jednak przeniesienie konfiguracji dobrym administratorom zajmuje nie więcej niż jeden dzień.
3. Chłodna lokalizacja odtwórcza (ang. cold site) – jest to najsłabsza lokalizacja odtwórcza. Nie zawiera redundancji pod względem sprzętu, ani konfiguracji. Stanowi alternatywne źródło działania w przypadku wystąpienia awarii. Czynnikiem decydującym jest bardzo niska cena utrzymania takiej struktury. W przypadku małych przedsiębiorstw w zasadzie można mówić, że chłodna lokalizacja może być ciepłą, gdyż firmowy sprzęt jest na tyle tani i nierozległy, że alternatywne źródła działania jest podobne parametrami do lokalizacji głównej. Zwykle gdy mała firma wymaga jedynie stałego dostępu do Internetu bez osobnych funkcji to poprowadzone zostaje wolne łącze ISDN lub DSL stanowiące chłodną redundancję. Utrzymanie jest bardzo tanie, lecz w przypadku wystąpienia katastrofy sprzęt z lokalizacji nią dotkniętą może być serwisowany w naprawie przez bardzo długi okres czasu sięgający kilku tygodni.

Rys. 3.1.1.6. Przykłady wszystkich lokalizacji odtwórczych dla topologii przedsiębiorstwa z rysunku 3.1.1.3. (Źródło: Opracowanie własne.)

Z punktu widzenia obrony przed zagrożeniem kataklizmu lokalizacja odtwórcza jest najskuteczniejszym rozwiązaniem dającym gwarancję powrotu do normalnego działania infrastruktury przedsiębiorstwa w czasie zależnym od tego ile firma przeznaczyła na ten cel środków. [2]

3.1.2. Ataki związane z fizycznym kontaktem

Historycznie najstarsze i najprymitywniejsze zagrożenie jest związane z naruszeniem prywatności niepodległego terytorium, np. poprzez włamanie do pomieszczenia, naruszenie nietykalności ciała człowieka itp. W przypadku świata komputerów jest tak samo. Maszyny są narażone na konfrontację z włamywaczem i w zasadzie wtedy żadne stricte komputerowe zabezpieczenia nie pomagają, gdyż jak ktoś ma fizyczny dostęp do sprzętu, ma dostęp do wszystkiego co z nim związane. Istnieją trzy zadania jakimi może kierować się włamywacz uzyskujący dostęp do sprzętu:

1. Podpięcie sprzętowego podsłuchu – celem włamywacza jest kradzież informacji. Zadanie to może być wielokrokowe. Podsłuch może zostać założony w celu wydobycia zestawu nazwy użytkownika i hasła, które dopiero da dostęp do zdobycia pożądanej informacji, ewentualnie naruszenia zabezpieczeń systemu w celu czysto destrukcyjnym, bądź pozostawienia sobie tylnej furtki (być może dla dostępu zdalnego). Dlatego ważne jest by nawet w serwerowni, gdzie ruch zarządzany na zewnątrz może być nieosiągalny, nie zostawiać standardowych nazw użytkownika i hasła.

Dla przykładu na znaczącej ilości domowych i dla średnich firm routerów (SOHO^[9]) bezprzewodowych zestaw ten to po prostu:

nazwa użytkownika: admin
hasło: admin

Podsłuch komputerowy ma dwie definicje:

• sniffer – jest to rodzaj sprzętu lub oprogramowania, który przechwytuje pakiety przemieszczające się w sieci lokalnej. Poprzez odpowiednie filtry widokowe w łatwy sposób można odczytać zawartość przechwyconych, niezabezpieczonych pakietów. Sprzętem podsłuchującym w sieciach komputerowych może być zwykły rozdzielacz sygnału niezauważalnie wpięty w kabel. Sniffer ma też dobre znaczenie. W kwestii programowej może również być narzędziem pracy administratora, który analizuje działanie sieci.

  
  
  Rys. 3.1.2.1. Przykład umiejscowienia podsłuchu sprzętowego. (Źródło: Opracowanie własne.)

Stosunkowo trudno jest wykryć sprzętowy podsłuch. Bez analizy wartości napięć jakie przepływają przez oba końce kabla w zasadzie pozostaje jedynie odnalezienie podsłuchu za pomocą własnej percepcji wzrokowej. Dlatego tak ważne jest zabezpieczenie sprzętu przed niepowołanym fizycznym dostępem. Hub z uwagi na sposób w jaki działa również może być sprzętowym podsłuchem, lecz dzisiaj nie jest uważany za zagrożenie, a jedynie niedopatrzenie administratora, więc zostanie opisany w sekcji zagrożeń komputerowych.

Rys. 3.1.2.2. Przykłady snifferów, podsłuch w sieci Ethernet kabla UTP; podsłuch w sieci Thicknet kabla RG-8. (Źródło: http://atel.com.pl, http://yagi.pl 10.05.2009 r.)

• keylogger – podsłuch klawiszowy również dzieli się na sprzętowy i programowy rodzaj, lecz jego funkcja jest zawężona. Sprowadza się do przechwytywania wprowadzonych wartości z urządzeń IO (wejścia-wyjścia) takich jak klawiatura, myszka. Przykładowo użytkownik wpisuje w przeglądarce nazwę użytkownika i hasła, a keylogger przechwytuje i zapisuje w swojej pamięci kolejność i wartości klawiszy jakie zostały wciśnięte.

Keylogger PS/2

Cechy charakterystyczne:

1. Wygląd – keylogger wygląda jak typowa przelotka kabla PS/2, nawet jeśli zostanie przez kogoś spostrzeżony to istnieje duże prawdopodobieństwo, że zostanie zignorowany.
2. Niewykrywalny przez oprogramowanie z uwagi na swoją konstrukcję.
3. Pojemność: ~2MB czyli około 2.000.000 przechwyconych stuknięć w klawiaturę co odpowiada 12 miesiącom pracy przy komputerze
4. Cena: 125 zł/szt.

Keylogger USB

Cechy charakterystyczne:

1. Wygląd – tak jak keylogger PS/2 ten podsłuch imituje przelotkę kabla USB stosowanego w urządzeniach firmy Apple, gdzie biały kabel i płaska końcówka są ich produkcją seryjną.
2. Monitoring aktywności – potrafi zapisywać strony po jakich surfowała ofiara.
3. Zwiększona pojemność w stosunku do keyloggera PS/2 (~4MB).
4. Cena: 200 zł/szt.

Keylogger wewnętrzny

Rys. 3.1.2.3. Przykłady różnych sprzętowych przechwytywaczy. (Źródło: http://keylogger.com.pl 10.05.2009 r.)

Cechy charakterystyczne:

1. Niewykrywalny
2. Wymaga podmiany klawiatury
3. Wysoka cena (289 zł/szt.)

Rys. 3.1.2.4. Miejsca potencjalnych prób instalacji podsłuchu klawiszowego. (Źródło: Opracowanie własne.)

Główną cechą sprzętowego podsłuchu klawiszowego jest jego kamuflujący wygląd, lecz porównując go cenowo do sniffera wychodzi o wiele drożej, za mniejszą funkcjonalność, ale mniejszym trudem można osiągnąć zamierzony cel.

Keylogger programowy działa dokładnie tak samo jak sprzętowy, lecz nie ma takich wąskich ograniczeń pojemnościowych, gdyż może wysyłać wciśnięte klawisze co pewien okres czasu na skrzynkę pocztową atakującego, bądź przechowywać te informacje na dysku. W obu przypadkach istnieje ryzyko wykrycia przez programy zabezpieczające.

2. Podsłuch drogą elektromagnetyczną – w zapewnieniu bezpiecznego przetwarzania poufnych danych w branży IT nie należy mówić o braku ryzyka podsłuchu elektromagnetycznego. Fale elektromagnetyczne przenikają człowieka dzisiaj na każdym etapie jego życia. Poczynając od tego, że ich zbyt duże natężenie może nieść negatywne skutki zdrowotne, a kończąc na tym, że prywatność człowieka całkowicie zanika (telefon komórkowy – idealne źródło antenowe rozsyłające w około emisję elektromagnetyczną). W wyniku wyświetlania lub przetwarzania informacji podzespoły komputerowe emitują silne fale radiowe. Płyta główna stacji roboczej jest w stanie stać się nadajnikiem radiowym w wyniku przetwarzania, który osiąga częstotliwości z zakresu kilku GHz. Wynika to z faktu, że producenci sprzętu zrezygnowali z metalowego ekranowania obudów komputerów zastępując go tanim plastikiem. Istnieje szyfrowanie informacji w transmisji, jednakże w przypadku podsłuchu elektromagnetycznego nie jest to żadne zabezpieczenie. W końcu dana prezentowana na monitorze nie jest w postaci zaszyfrowanej i napastnik za pomocą odpowiedniego sprzętu odczytuje zawartość monitora ofiary, bądź częstotliwość dysku twardego, gdzie dane te nie są szyfrowane przed ludzkim okiem. Emisja ujawniająca jest problemem powszechnym każdego sprzętu, medium przez które przepływa prąd, gdyż każde z tych urządzeń zgodnie z prawami fizyki emituje wtedy część swojej energii elektrycznej jako pole elektromagnetyczne.

Rys. 3.1.2.5. Sposób emisji pola elektromagnetycznego przez urządzenie elektryczne. (Źródło: Opracowanie własne.)

Jedyną skuteczną metodą ochrony jest zapewnienie ekranowania i zabezpieczenie możliwych miejsc wycieku fali radiowej. Ekranowanie jest obniżeniem natężenia elektromagnetycznego pola urządzenia na zewnątrz za pomocą strat cieplnych lub odbić na ekranie. Sam ekran jest to bardzo cienka siatka o drobnych otworach skonstruowana z metalu i jego pochodnych (blacha, folia). Głównym jego zadaniem jest powstrzymanie rozchodzenia się fal radiowych.

W projekcie implementacyjnym działu IT jako pomieszczenie serwerowe z reguły wybiera się pomieszczenia nie posiadające okien i podwieszanych sufitów – wynika to z faktu, że ekranowanie jest skuteczne tylko wtedy gdy jest szczelne. Gdyby w serwerowni były okna, byłoby to potencjalne miejsce podsłuchu i nieświadomego wycieku emisji elektromagnetycznej. Tanim sposobem zabezpieczenia pokoju serwerowni jest zbudowanie w niej klatki Faradaya. Należy dokładnie pokryć całe ściany, podłogę i sufit metalową, bardzo drobną siatką, np. z miedzi. Powstanie w ten sposób rodzaj wewnętrznego płaszcza ekranującego. Nie należy także zapomnieć o zabezpieczeniu paneli i przewodów wentylacyjnych za pomocą wkładek przewodzących, które przepuszczają strumień powietrza, a nie przepuszczają fal elektromagnetycznych. Po zamontowaniu takiego ekranowania warto jest przeprowadzić bardzo prosty test polegający na sprawdzeniu zasięgu w telefonie komórkowym poza pomieszczeniem i w nim samym. Celem jest osiągnięcie minimalnego zasięgu antenowego lub jego brak. Telefon komórkowy może posłużyć więc jako tester fal elektromagnetycznych do potencjalnych wycieków, które będzie można sprawnie załatać spoiwem lub taśmą termoprzewodzącą. Kable w serwerowni (poza horyzontalnymi dochodzącymi do szaf rakowych) powinny być kablami światłowodowymi, które nie emitują fal elektromagnetycznych. Kabel typu skrętka z uwagi na swoje parametry stanowi idealną antenę nadawczą dla napastnika. Jeżeli chodzi o pomieszczenie serwerowe to ochrona na tym etapie się kończy, lecz znacznie trudniej jest chronić komputery robocze, gdyż istnieje wiele pomieszczeń i żaden nie powinien być obłożony miedzianą siatką, poza specjalnym przypadkiem z pomieszczeniami zawierającymi ściśle tajne dane. Raczej chodzi tutaj o zwykłe pomieszczenia biurowe, pracownicze, więc nie byłoby to rozwiązanie estetyczne. Problemem jest także podsłuch w tym samym pomieszczeniu z uwagi na jego rozmiary, więc taka ochrona klatką nie sprawdziłaby się. Należy więc zabezpieczać każdą stację roboczą indywidualnie. Można osiągnąć bezpieczeństwo zakupując niedrogie ekranowane obudowy. W dużym stopniu ograniczą one wyciek informacji. Jednak największym uznawanym źródłem emisji jest przewód wideo łączący monitor z portem w obudowie. Są dość długie, ustawione przeważnie w bliskim pionie i nieekranowane, dlatego łatwo emitują informacje trafiające na monitor użytkownika. Należy wtedy zastosować ekran elektromagnetyczny ze specjalnej folii ochronnej.

Rys. 3.1.2.6. Przykład oryginalnego obrazu i jego wycieku elektromagnetycznego na monitorze oddalonym 15 m. (Źródło: http://g1.computerworld.pl/news/1/9/191811 27.05.2009 r.)

W celu zapewnienia większej ochrony należy również zaopatrzyć się w telefony cyfrowe z mechanizmem DECT z kodowaniem przekazu pomiędzy telefonem, a jego słuchawką. Na pewno w transmisji sieciowej nie zaszkodzi szyfrować pakiety, gdyż sprzęt do podsłuchu kabla jest relatywnie tańszy niż ten do podsłuchu elektromagnetycznego z monitora (około kilkadziesiąt tys. złotych). [4]

3. Przełamanie fizycznej kontroli dostępu – jeżeli celem włamania jest uszkodzenie sprzętu to jeśli włamywacz przejdzie przez drzwi serwerowni i dostanie się do szafy rakowej to można uznać, że sprzęt nie zostanie w żaden sposób przed zagrożeniem uchroniony. Wynika to z faktu, że jest to sprzęt elektroniczny. Szkodzi mu uszkodzenie mechaniczne, elektryczne, zbyt niska i zbyt wysoka temperatura, pożar, zalanie. Włamywacz mający na celu zniszczenie sprzętu ma więc do wyboru w jaki sposób to osiągnie. Co ciekawe poprzez uszkodzenie mechaniczne, takie jak uderzenie sprzętu może dojść do spięcia w instalacji elektrycznej, która następnie może się zapalić i w wyniku naszego zabezpieczenia przeciwogniowego zostać zalana wodą.

Zapewne po takim zestawie uszkodzeń sprzęt w żaden sposób nie będzie nadawał się do użytku. Wprowadzenie zabezpieczeń fizycznej kontroli dostępu jest stosunkowo proste w porównaniu do przeprowadzenia komputerowego audytu bezpieczeństwa. Podstawową składową obrony są solidne drzwi. Montaż skomplikowanych, specjalistycznych zamków w mało solidnych drzwiach mija się z celem. Zamiast drzwi wewnętrznych z reguły zbudowanych z cienkich warstw sklejek należy stosować bardzo solidne drzwi kancelaryjne. Są wytrzymałe z uwagi na pokrycie ich warstwą stali o grubości około 2mm. Podstawą do takich drzwi są zamki rozporowe zamykające się na każdą ścianę w połączeniu z blokadą przeciwwyważeniową. Jeżeli chodzi o zamek można zastosować tradycyjne rozwiązanie mechaniczne, lecz preferowanym sposobem z uwagi na funkcjonalność i programowalność, jest stosowanie zamków cyfrowych z elektronicznymi wkładkami. Plusem takiego zamka jest fakt, że nie musi być montowany w drzwiach chroniących wyłącznie pokoje. Pracownik ochrony może zaprogramować kartę w taki sposób by blokowała dostęp do innych miejsc. Przykładowo, jeżeli czytnik karty umieszczony jest w windzie to omija ona wyznaczone przez pasażera piętro jeśli nie zostanie zautoryzowany. Dodatkową wadą kluczy tradycyjnych jest sposób ich opisywania. Mając pęk kluczy z reguły każdy jest podpisany z etykietą jakiego dotyczy pokoju. W przypadku karty magnetycznej lub zbliżeniowej, nie jest ona oznaczana (co najwyżej kolorem), ani podpisywana, co utrudnia włamywaczowi, który pozyskał kartę odnalezienie właściwego pomieszczenia.

Warto pamiętać o dodatkowych elementach bezpieczeństwa jeżeli należy w sposób szczególny zabezpieczyć cenne rzeczy.

Drzwi dodatkowo mogą być ognioodporne (do 60min) i posiadać certyfikat Ministerstwa Obrony Narodowej z 17.11.205r oznaczony numerem EI60 związany z funkcjonowaniem i organizacją kancelarii tajnych (norma PN-90/B-92270 lub Rozporządzenie RM z 18.10.2005 Dz. U. 208, poz. 1741).

Jako wyposażenie warto pamiętać o ryglu elektromagnetycznym, mechanizmie samozamykacza i o gałce z zewnątrz. Drzwi w razie niedopatrzenia pracownika poprzez niedomykanie lub szarpanie, nie mogą zostać otwarte bez użycia karty.

Lecz po co komu solidne drzwi jeśli są wmontowane w ścianę działową z płyty kartonowo-gipsowej lub warstw spienionego betonu. Włamywacz jest inteligentny. Włamanie z pewnością zostało zaplanowane, więc jeśli przeprowadził on rekonesans to sprawdził, że łatwiej będzie mu się przebić przez cienką ścianę niż forsować antywłamaniowe, wzmocnione drzwi. Intruz może stosunkowo szybko wyciąć otwór za pomocą młota udarowego lub piły mechanicznej. Jest to głośne rozwiązanie, lecz krótkie i skuteczne. W ochronie pomieszczenia, więc ważne jest zabezpieczenie każdego miejsca przez które włamywacz jest w stanie się przedrzeć – okna, drzwi, ściany, kanały wentylacyjne, sufit, podłoga. Mniej wartościowe przedmioty mogą być przechowywane w szafach na dokumenty. Te droższe – w sejfach. Odporność sejfu i szafy zależy od ich przeznaczenia. Szafy na dokumenty typowo mogą być wyposażone w zamki mechaniczne lub elektroniczne, regulowane półki i miejsce do zaplombowania. Warto przeczytać regulację prawną o wymaganiach wobec szaf na dokumenty niejawne w rozporządzeniu Rady Ministrów (Dz. U. 208, poz. 1741). Przedmiotami przechowywanymi w takich szafach mogą być teczki osobowe zatrudnionych pracowników, dokumentacja techniczna lub handlowa, bądź inne poufne dokumenty.

Konstrukcja skrzydła:

Rys. 3.1.2.7. Parametry techniczne drzwi antywłamaniowych firmy Gerda Star SX. (Źródło: http://www.gerda.agp.pl/drzwi-starsx.html 22.05.2009 r.)

1. Blacha stalowa ocynkowana o grubości 1,25 mm
2. Pianka poliuretanowa (samo gasnąca, bezfreonowa)
3. Stalowe żebra i pręty ze stali hartowanej
4. Panele dekoracyjne odporne na warunki atmosferyczne
5. Zamek centralny
6. Zamki pomocnicze
7. Zamek dodatkowy
8. Sztywny łańcuch
9. Stałe bolce przeciwwyważeniowe
10. Regulowane zawiasy
11. Dolna listwa zamykająca z uszczelką szczotkową

Droższym rozwiązaniem, lecz bezpieczniejszym jest zaopatrzenie firmy w kasę pancerną, w której można np. przechowywać bardzo ważne informacje, takie jak krytyczne kopie bezpieczeństwa systemów informatycznych przedsiębiorstwa, bądź walory pieniężne. Sejf stanowi jeden z najtrudniejszych elementów do sforsowania podczas włamania. Może być zamontowany ze specjalnym systemem samo reakcji na próbę włamania, jakim jest obrona przed wyrwaniem zawiasów czy system samoczynnego ryglowania. Dodatkowo popularnym rozwiązaniem są zamki ze szklaną płytką. Jeśli sejf zostanie poddany zbyt intensywnym wstrząsom, bądź rozwiercaniu to płytka pęka i sejf ulega zaryglowaniu od wewnątrz i nie jest możliwe jego otwarcie w sposób szybki i konwencjonalny. Szafy i sejfy mogą być ognioodporne, lecz nie są wodoodporne. Jednak jednym z ważniejszych czynników bezpieczeństwa jest instalacja monitoringu przemysłowego, czyli regularne, całodobowe badanie aktywności w pomieszczeniach ważnych i poufnych z wykorzystaniem do tego celu pracownika ochrony. W przedsiębiorstwie każdy sektor, nawet najmniej ważny obszar powinien być stale monitorowany. Newralgicznymi punktami są przejścia służbowe i bezpośrednie korytarze do ważnych pomieszczeń.

3.1.3. Atak socjotechniczny

O socjotechnice, inaczej zwaną inżynierią społeczną słyszał prawie każdy człowiek. Większość zastrzega się, że w skuteczny sposób potrafią się przed jej atakami obronić, lecz każdy kiedyś staje się na nie podatny. Z technikami wpływania na innych, człowiek ma do czynienia przez całe swoje życie i w każdym środowisku społecznym. W większości przypadków nie jest nawet świadomy, że padł ich ofiarą. Przykładowo klient sklepu elektronicznego skusił się na zakup nowego telewizora LCD, bo był on w promocji, po obniżonej cenie, gdzie tabliczka cenowa zawierała również przekreśloną –rzekomo- wyższą wartość. Klient zrozumiał to jako okazję. Jest to typowy, życiowy przykład zastosowania elementów socjotechniki. Jednak najpowszechniejszym i najbardziej rozpoznawanym przykładem inżynierii społecznej jest reklama telewizyjna, mająca na celu nastawić odbiorcę na zakup produktu, bądź usługi. Z reguły wywołuje w widzu pozytywne emocje takie jak radość, śmiech, upodobnienie do nadawcy. Aktorzy są weseli, pewni siebie, dobrze dobrani do roli. Często są to osoby sławne – rozpoznawalne przez widza. Przedstawiany produkt jest także często idealizowany poprzez porównanie go do innego, gorszego produktu.

Socjotechnika wykorzystuje wszystkie możliwe luki umysłu ludzkiego:

• zaciekawienie
• pewność bezpiecznej relacji z rozmówcą
• podatność człowieka na kłamstwo
• emocje, w tym strach

Nie jest ważne w jaki sposób zdobędzie się informacje, czy to poprzez typowe kłamstwo, czy może bardziej skomplikowany scenariusz. Liczy się fakt uzyskania informacji, bądź zachęty ofiary do wykonania odpowiednich działań mających na celu przynieść atakującemu pożądane korzyści. Socjotechnika stanowi bardzo skuteczne narzędzie, wystarczy poznać mechanizmy kierujące ludzką psychiką.

Rys. 3.1.3.1. Cykl życiowy ataku socjotechnicznego. (Źródło: Opracowanie własne.)

Występuje wiele technik inżynierii społecznej. Do najpowszechniejszych należą:

1. Pozorny wybór – socjotechnik przedstawia kilka punktów widzenia, jednakże zdanie odpowiadające jego poglądom jest przedstawiane w bardziej pozytywnym odczuciu. Jednocześnie daje widzowi rzekomą władzę nad dokonaniem własnego, świadomego wyboru.
2. Ośmieszanie – socjotechnik manipuluje ofiarą ośmieszając nie odpowiadające mu idee zgodnie z zasadą – Jeśli coś zostało ośmieszone – nie może zostać pozytywnie przyjęte.
3. Świadectwo autorytatywne – powołanie się na powszechnie rozpoznawany autorytet (np. aktor, naukowiec, dyrektor lub szef).
4. Przeniesienie – manipulator przeprowadza skojarzenie swojego przesłania z ugruntowanym pozytywnym pojęciem wśród odbiorcy. Budzenie pozytywnych wspomnień np. z dzieciństwa, tworzenie otoczki do całości.
5. Niezależne zdanie – kształtowanie przekazu w taki sposób, aby sprawiał wrażenie, że mówcy nie zależy na uzyskaniu aprobaty widza, lecz buduje szacunek „własnego zdania”. Technika powoduje w odbiorcy poczucie słuszności wypowiedzi mówcy.
6. Selekcja faktów – częsta technika inżynierii społecznej nieświadomie wykorzystywana przez dzieci. Wypowiedzenie tylko tych faktów, które odpowiadają manipulatorowi przy jednoczesnym zatajeniu pozostałej prawdy.
7. Nowomowa – tworzenie nowego pojęcia z silnym tłem emocjonalnym, często przywoływanym w przyszłości. Technika bardzo popularna w reklamach telewizyjnych telefonów komórkowych.
8. Wskazywanie negatywnego odniesienia – konsolidacja promowanych idei przez manipulatora w świetle wskazania ich wroga.
9. Zdanie większości – stworzenie trwałej relacji z odbiorcami, często nazywanych „swoimi”, którzy mają takie same zdanie jak mówca. Skoro większość ma rację to musi być dobra decyzja.
10. Kłamstwo – niemówienie prawdy z jednoczesnym ograniczeniem odbiorcy do dostępu do innych źródeł informacji o prawdzie.
11. Tworzenie stereotypu – używanie stworzonego stereotypu. Często przywoływany o silnym podłożu emocjonalnym.
12. Slogan – powtarzanie specjalnie spreparowanego tekstu – sloganu wykorzystującego mieszane techniki socjotechniczne. Stosowane przez polityków podczas wyborów, bądź w promocjach sklepowych.

Socjotechnika komputerowa w dzisiejszym świecie traktowana jest po macoszemu. Każdy ma świadomość jej istnienia, lecz nie każdy wie jak się przed nią świadomie obronić. Zdobycie informacji technikami socjotechnicznymi poprzez komputer w zasadzie niczym nie różni się od typowego wydobycia informacji od człowieka bez komputera, gdyż to właśnie sam człowiek jest głównym celem ataku jako najsłabsze ogniwo w sieci korporacyjnej, a dopiero później komputer służy jako narzędzie włamania.

W rozdziale 3. wspomniany został Kevin Mitnick, najsłynniejszy komputerowy socjotechnik. Został oskarżony i osadzony w więzieniu za wykorzystywanie umiejętności inżynierii społecznej do wyłudzania informacji. W zarzucie można wyczytać, że Mitnick wcielał się często w osoby trzecie. Najciekawszym aspektem jego kradzieży jest jednak to, że de facto nie była to kradzież! Wszystkie informacje naruszające zabezpieczenia firmowe służące mu do dalszych celów zdobył poprzez prośby skierowane do zwykłych ludzi, pracowników danej firmy. W jednej ze swoich książek pt. „Sztuka podstępu” opisuje on siedem metod jakimi posługiwał się podczas infiltracji przedsiębiorstw.

1. Metoda pytania bezpośredniego – trudny do oparcia błyskawiczny „atak” z zaskoczenia. Napastnik wprost pyta ofiarę o konkretne dane, bądź kieruje ją dobrym uzasadnieniem, pewnością siebie.

PRZYKŁAD:

Napastnik: Dzień dobry Pani, moje nazwisko Jan Swojski, mamy w firmie problemy z działaniem sieci. Proszę na chwilę zmienić swoje hasło na „test123”…

…

Ok. wygląda na to, że w tym segmencie sieci wszystko jest w porządku. Dziękuję Pani za pomoc. Może już Pani zmienić swoje hasło na stare. W razie problemów proszę dzwonić do nas na dział techniczny. Pozdrawiam.

Powyższy dialog z pozoru wygląda jak normalna rozmowa z firmowym technikiem. Cechy jakimi operuje to: grzeczność, gra na emocjach, nakaz, pozorny wybór. Pracownik firmy nieświadomej zagrożenia w rozmowie z grzeczną osobą z działu technicznego wydaje się, że ma władzę nad tym co robi, bo przecież nie podaje mu swojego hasła. Technik tylko sprawdzi czy wszystko jest w porządku. Lecz w momencie zmiany hasła socjotechnik może podejrzeć pytanie pomocnicze w razie zapomnienia hasła, zmienić szybko hasło blokując pracownicy dostęp lub po prostu wykorzystać zaufaną relację konta pracownicy z serwerem instalując w szybkim tempie swoje konie trojańskie. Socjotechnik grzecznie kończy rozmowę, więc pracownicy wydaje się, że postąpiła jak najbardziej słusznie. Jeżeli wyszedłby jakiś problem podczas rozmowy, albo rozmówca nie byłby przyjemny, z pewnością pozostałoby to w pamięci pracownika co mogłoby w konsekwencji doprowadzić do namierzenia źródła wystąpienia przyszłego (z punktu widzenia pracownika – zaszłego) problemu.

2. Metoda budowania sztucznej osobowości – socjotechnik może zebrać niepozorne, z punktu bezpieczeństwa firmy nieistotne informacje odpowiednio uzasadniając swoje prośby. Do zbiorów mogą należeć m.in. dane osobowe administratora, numer pracownika, numery telefonów wewnętrznych, znajomość wewnętrznej terminologii. Dzięki zebraniu tychże informacji socjotechnik może wcielić się w pracownika korporacji. Kogoś zaufanego, kogoś z wewnątrz. Napastnik, który wykaże się znajomością pewnych nazwisk, informacji wewnętrznych firmy jest w stanie potwierdzić swoją sfałszowaną tożsamość.

PRZYKŁAD:

Zdobyte imię administratora: Stefan

Napastnik dzwoni do ofiary:

Ofiara: Dział handlowy, w czym mogę pomóc?

Napastnik: Dzień dobry, jest tam może w pobliżu gdzieś Stefan?

Ofiara: Jaki Stefan?

Napastnik: No Stefcio z informatycznego, bo padł jeden segment sieci i nie ma się do niego przelogować jak nie przez waszą handlówkę

Ofiara: A, ten Stefan, nie niestety nie ma go

Napastnik: Cholera! Miał już tam u was być, przecież to musi działać! Może Pani zmienić u siebie hasło na test123 sprawdzę czy wszystko jest w porządku na serwerze.

Ofiara: … już.

«MOMENT ATAKU»

Napastnik: OK, uf, już gotowe. Wszystko OK, niech Pani już zmieni z powrotem na swoje hasło, a jak tam Stefcio do Pani przyjdzie to proszę przekazać, że wszystko już działa.

Ofiara: Dobrze, dziękuję za pomoc

Napastnik: Również dziękuję, do zobaczenia

Z reguły owa metoda jest skuteczniejsza im więcej informacji jest w stanie wydobyć napastnik przed wykonaniem właściwego ataku.

3. Metoda budowania zaufania z wykorzystaniem emocji do przełamania barier psychicznych – połączenie tych dwóch metod w jedną daje praktycznie zawsze dobre rezultaty. Czynnikiem znaczącym jest tutaj jedynie fakt ile czasu jest w stanie napastnik poświęcić by ofiara była w stanie mu w jakiś sposób zaufać. Czasami może to potrwać kilkanaście dni. Socjotechnik może stworzyć ciekawy scenariusz w raz z odpowiednim wyborem osobowości jaką będzie musiał odgrywać.

PRZYKŁAD:

Napastnik odgrywa rolę nowego, zagubionego pracownika, który potrzebuje pomocy, gdyż nie potrafi sobie jeszcze zbytnio poradzić na nowym stanowisku w nowej firmie.

Napastnik: Dzień dobry, nazywam się Zenon Marchewka, czy może mi Pani pomóc?

Ofiara: W czym problem?

Napastnik: Dzwonię z działu księgowego, pracuję tutaj od wczoraj i mi bardzo zależy na nie straceniu tej posady. Czy mogłaby mi Pani podać numer do administratora, gdyż mój komputer coś szwankuje?

Ofiara: Tak, niech Pan dzwoni do Bolka pod wewnętrzny 45.

Napastnik: Ślicznie Pani dziękuję i pozdrawiam!

Ofiara: Do widzenia.

«MOMENT ATAKU»

W ten sposób mamy numer do administratora, a nawet za darmo została wydobyta informacja o jego imieniu. Im więcej takich nieproszonych informacji socjotechnik jest w stanie przechwycić tym więcej może dzięki nim osiągnąć.

4. Metoda wykorzystania autorytetu – socjotechnik powołując się na osobę z wyższego stanowiska w pewien sposób kontroluje zachowanie pracownika. Nikt nie sprzeciwi się bez uzasadnienia decyzji swojego przełożonego, więc z reguły wykona przekazane polecenie.

PRZYKŁAD:

Ofiara: Dzień dobry.

Napastnik: Dzień dobry Pani, tu Antek z marketingu, szef prosił przekazać, że ma mi Pani przesłać na pocztę faktury z tego tygodnia.

Ofiara: E-mailem czy faksem?

Napastnik: A jak Pani woli… myślę, że mailem będzie szybciej, proszę słać na antek@poczta.pl.

«MOMENT ATAKU»

Dobry socjotechnik musi mieć zawsze przygotowany scenariusz typowych odpowiedzi i zachowań na jakie powinien w odpowiedni sposób reagować. Z przykładu powyżej, manipulant był przygotowany na ewentualne pytanie o sposób przesłania informacji, gdyż nie uwzględnił je w swojej pierwszej wypowiedzi. Dał pracownikowi pozorny wybór, lecz wyraźnie nakreślił negatywne odniesienie nieodpowiadającej mu metody odbioru. Faks zostałby przesłany na wewnętrzny numer firmowy, a z założenia napastnik nie ma autoryzacji do przebywania w pomieszczeniu biurowym z faksem przeznaczonym dla pracowników.

5. Metoda ankiety – najbardziej popularna metoda wyciągania informacji od rozmówcy, jednakże ze względu nasilonej liczby swoich wystąpień jest w dużej mierze powszechnie uważana już za nieskuteczną. Ankieter-napastnik może zadać wiele pytań pośród których będzie tylko jedno, które go interesuje. Dodatkowo może stymulować psychikę ofiary zapewniając np. o przysłaniu zestawu upominkowego złożonego z drobiazgów za wypełnienie ankiety. Oczywiście pobierając od ofiary w tym celu dane prywatne o zamieszkaniu. Lepszym typem napastnika w wypadku ankiety jest kobieta z uwagi na delikatność głosu, wrodzony brak agresji i typowość wykonywania takiej pracy przez płeć piękną (co usilnie w telewizji potwierdzają różnego rodzaju reklamy).

PRZYKŁAD:

Napastnik: Dzień dobry Panu, moje nazwisko Ola Poter, czy zechciałby Pan otrzymać ode mnie upominkowy zestaw złożony z kremu do golenia i naszej nowej maszynki Philips 3 w 1?

Ofiara: Za darmo? Ale co muszę zrobić w tym celu?

Napastnik: Tak, oczywiście zestaw jest całkowicie darmowy. Wystarczy, że odpowie nam Pan na dwa króciutkie pytania. Czy mogę je teraz Panu zadać?

Ofiara: No słucham.

Napastnik: Czy goli się Pan codziennie?

Ofiara: Nie, co drugi dzień.

Napastnik: Czy stosuje Pan kremy pielęgnacyjne po goleniu?

Ofiara: Nie, wystarczy woda.

Napastnik: Super, dziękuję za udział Pana w naszej ankiecie. Proszę teraz podać dane adresowe, na który zostanie przesłany Panu zestaw upominkowy.

Ofiara: Krzysztof Jarzyna, ul. Rozbójników 40, Szczecin

Napastnik: Dziękuję ślicznie, listonosz przyniesie paczkę, do usłyszenia.

«MOMENT ATAKU»

Zadając pytania socjotechnik zataił fakt uzyskania adresu pod pretekstem otrzymania darmowego prezentu. Każdy chce coś otrzymać minimalnym wkładem, a ofiara i tak uważa, że należy jej się owy upominek chociażby przez fakt, że postanowił poświęcić chwilę swojego cennego czasu na odpowiedzenie na pytania bez większego znaczenia dla jego życia. Mając pewność, że rozmawiano z pracownikiem firmy i mając jego dane osobowe można je w odpowiedni sposób wykorzystać w rozmowie z inną osobą pracującą z ofiarą potwierdzając tym samym jej znajomość.

6. Metoda socjotechniki zwrotnej – skomplikowana metoda wymagająca synchronizacji w rozmowie z wieloma ofiarami. Interesując ofiarę scenariuszem postępowania socjotechnik skłania ją do nawiązania ze sobą kontaktu w przypadku wystąpienia odpowiedniego zdarzenia.

PRZYKŁAD:

Napastnik przedstawiający się jako administrator dzwoni do pierwszej ofiary informując ją o możliwych problemach w działaniu sieci.

Napastnik: Dzień dobry, Ryszard z serwerownii, informuję Panią, że przez najbliższą godzinę mogą wystąpić problemy z otwieraniem się stron WWW, w razie ich wystąpienia prosiłbym o kontakt na mój numer 123-456-789.

Ofiara#1: Dobrze, dziękuję.

Następnie napastnik wykonuje telefon do działu administracyjnego przedstawiając się za pracownika firmy, który ma problem ze swoim komputerem.

Napastnik: Witam, czy to dział komputerowy?

Ofiara#2: Tak w czym mogę pomóc?

Napastnik: Nie działają mi strony internetowe a obok zegarka mam napisane w takiej żółtej chmurce, że kabel sieciowy jest odłączony, mógłby Pan to jakoś u siebie sprawdzić?

Ofiara#2: Dobrze, już sprawdzam, momencik

W tym czasie istnieje szansa, że administrator sprawdzi połączenie kabla przełącznikiem na chwile go wypinając. Jeżeli w tym momencie pracownica próbowała przeglądać strony internetowe to wyskoczy jej komunikat przekroczenia czasu połączenia. Zgodnie z zaleceniami powinna zadzwonić do napastnika, który będzie mógł rozwiązać jej problem.

Ofiara#1: Dzień dobry, dzwonił Pan przed chwilą do mnie

Napastnik: A witam, i co? Przestało coś działać, prawda?

Ofiara#1: Tak no właśnie przeglądałam stronę jednego producenta i wyskoczyło mi, że przekroczono czas połączenia, co z tym zrobić?

Napastnik: Tak jak myślałem, w porządku, proszę zmienić swoje hasło na chwilkę na pracownik000, system ustawi sobie standardowe parametry internetowe po naszej zmianie.

Ofiara#1: Gotowe.

«MOMENT ATAKU»

Napastnik: Proszę sprawdzić czy strony teraz działają.

Ofiara#1: O rzeczywiście działają.

Napastnik: No to po problemie, proszę z powrotem ustawić swoje hasło

Ofiara#1: Super, dziękuje ślicznie Panu za pomoc

Napastnik: Do usłyszenia!

Metoda wymaga pewnej elastyczności i zaawansowania w stosowaniu technik inżynierii społecznej. Na pewno nie jest zalecana dla początkujących napastników. Dodatkowo wymaga posiadania kilku informacji wewnętrznych. Wadą jest, że napastnik podaje swój numer telefonu i o ile nie dzwoni z budki, bądź innego nienamierzanego źródła to w przypadku niepowodzenia może zostać schwytany.

7. Metoda socjotechniki odwrotnej – jest wariacją socjotechniki zwrotnej. Napastnik nawiązuje kontakt z ofiarą, lecz w rozmowie objaśniając potrzebę stara się być stroną pasywną. Metoda także wymaga elastyczności i zaawansowania w stosowaniu technik. Uczy wykorzystywać w rozmowie jak najmniej słów, a nawet milczenia we właściwym momencie. Socjotechnika odwrotna często jest stosowana w przesłuchaniach policyjnych.

PRZYKŁAD:

Napastnik wszedł w posiadanie skradzionego telefonu komórkowego pracownika. Dzwoni do serwisu komórkowego bez konieczności przedstawiania się. Krótko opisuje problem:

Napastnik: Dzień dobry, wypadła mi bateria, a nie pamiętam jaki ustawiałem ten kod początkowy, mógłby mi Pan jakoś pomóc?

Ofiara: Chodzi Panu o kod PIN. Proszę podać markę i model telefonu.…

Ofiara: (…)

Ofiara: Musi Pan zrobić (…) następnie (…) i ustawić (…).

Napastnik: Ślicznie dziękuję, do widzenia.

Wszystkie wyżej opisane techniki i metody są jedynie składowymi ataku łączących się w większą całość, w tzw. klasę ataków socjotechnicznych, do których zalicza się:

• Pretekst
• Wabik
• Zasada Quid Pro Quo
• Vishing i IVR

Pretekst – jest to akt stworzenia i użycia wymyślnego scenariusza (pretekstu), który posłuży za zbudowanie w ofierze punktu zaufania do napastnika. Celem jest perswazja ofiary, której efektem jest zdobycie pożądanej informacji. Częstokroć pretekst wymaga wstępnego rozeznania z atakowaną firmą i zebranie cząstkowych informacji wykorzystanych do scenariusza. Z tej definicji jasno wynika, że jest to najbardziej podstawowa klasa ataku. Wykorzystywana w dowolnym środowisku, nie tylko komputerowym. Socjotechnik atakując pretekstem musi dobrze przemyśleć scenariusz, który stworzy i ewentualne odpowiedzi na pytania jakie mogłyby paść ze strony ofiary, która nie może wyczuć niebezpieczeństwa np. poprzez zawahanie, zamyślenie.

Wabik – klasa stricte komputerowego ataku socjotechnicznego. Jest to zmyślne pozostawienie haczyka, który ma zostać połknięty. Wabienie ofiary jest podobne jak w wędkarstwie. Poprzez analogię należy przyjąć wędkarza za napastnika, a rybę za ofiarę. Natomiast haczyk jest przykładowo pozostawionym pendrivem na schodach firmy. Na dzień dzisiejszy pendrive USB jest bardzo popularnym urządzeniem. Pojemność pokrywa zapotrzebowanie pracownika, wymiary także, lecz cena niejednokrotnie jest wysoka. Dlaczego pracownik nie miałby przyswoić drugiego pendrive’a i sprawdzić jego zawartość? Każdy z nas znajdując na ulicy, w biurze, w szkole owe kompaktowe urządzenie z pewnością wpiąłby do swojego komputera i sprawdził co się na nim znajduje. W tym momencie zostałby odpalony atak poprzez zainicjowanie konia trojańskiego bądź innego szkodliwego oprogramowania. Nawet jeśli pracownik ma świadomość bezpieczeństwa i nie wepnie go w swój komputer to może to zrobić inny powiadomiony pracownik. O ile komputer sam nie zablokuje infekcji to w jeśli w systemie jest ustawiona opcja automatycznego uruchamiania to już od tego momentu zabezpieczenia systemu zostają naruszone bez przeglądania zawartości przez ofiarę.

Zasada Quid Pro Quo – jest to łaciński zwrot oznaczający „coś za coś”. Napastnik wchodzi w korelację z ofiarą. Dobrym przykładem obrazującym ataki z klasy QPQ jest atak metodą socjotechniki zwrotnej opisany wyżej. Ofiara otrzymuje od socjotechnika telefon kontaktowy w razie wystąpienia problemu. Zgłasza się sama do niego realizując jego polecenia i kończy rozmowę z czystym sumieniem.

Vishing i IVR^[10] – Vishing jest to odmiana phishingu^[11] stosowanego w telefonii. Napastnik wyłudza poufne informacje za pomocą telefonu różnymi technikami i metodami socjotechnicznymi. Np. za pomocą połączenia stworzonego skutecznego pretekstu i sfałszowanego systemu IVR. IVR jest to automatyczny system interakcji z obsługiwanym użytkownikiem stosowany w telekomunikacji. Osoba, która dzwoni na system IVR po wysłuchaniu serii komunikatów ma za zadanie wybrać odpowiedni numer klawisza do którego przypisana jest zakomunikowana funkcja. Np. wybór języku rozmowy, aktualizacja usług, autentykacja, dostęp do wybranych informacji z bazy danych. Atak socjotechniczny na system polega na podszyciu się pod system IVR by odtworzyć oryginalne nagranie firmowej instytucji np. banku w celu wyłudzenia informacji. Klasa wymaga połączenia kilku metod i technik socjotechnicznych, gdyż użytkownik najpierw musi zostać skłoniony do połączenia się z systemem w konkretnym celu. Np. może do niego zostać wysłana informacja na e-mail, że powinien połączyć się telefonicznie do oddziału banku, gdyż wygasa jego lista haseł jednorazowych do obsługi transakcji i winien on potwierdzić wysłanie do niego nowej listy. W tej sposób socjotechnik nagrywając wybory klawiszy od ofiary otrzymuje kod PIN lub inne hasła potrzebne do logowania do banku.

Dobry socjotechnik potrafi skorelować ze sobą wszystkie klasy, co jest bardzo trudnym elementem do wykrycia, gdyż jedynym punktem odniesienia jest ludzki umysł i jego podatność na podświadome kontrolowanie sposobu myślenia.

Podstawowym czynnikiem obronnym jest zasada ograniczonego zaufania. Jeśli nie jest wymagane podawanie jakichkolwiek informacji to nie należy tego robić. Jeśli natomiast istnieje potrzeba ich podania to należy zweryfikować cel do którego zostaną przekazane informacje. Każdy pracownik winien mieć tę zasadę „zakodowaną” w swojej głowie.

By zrozumieć problem należy odpowiedzieć sobie na trzy pytania do następującej sceny:

Obca niezatrudniona osoba wchodzi sobie bez problemów do siedziby firmy, siada do komputera i zaczyna w nim przeszukiwać informacje. Pytania:

Czy któryś z pracowników stałby się podejrzany wobec tego zdarzenia?
(Potencjalnie przecież może to być nowy pracownik, bądź jakikolwiek usługobiorca, przykładowo serwisant komputerowy)

Czy któryś z pracowników postanowiłby to zdarzenie zgłosić?
(Czy pracownikowi na tyle zależy na firmie i swoich danych, by mógł to zgłosić?)

Czy pracownik wiedziałby w jaki sposób zgłosić zdarzenie i komu?
(Czy istnieje odpowiednio napisany zestaw reguł i zachowań w takich sytuacjach?)

Jeżeli na któreś z pytań odpowiedź pada negatywna należy zainwestować w przedsiębiorstwie w odpowiednie szkolenia i seminaria dla pracowników.

Powszechnie stosowanym, skutecznym sposobem obrony przed atakami socjotechnicznymi jest przeprowadzanie periodycznych szkoleń pracowników, zwłaszcza nowozatrudnionych w przedsiębiorstwie. Pobudzenie ludzkiej świadomości na obowiązkowym szkoleniu na których przedstawiane są przykładowe podejścia ataku stanowią źródło przyszłej obrony w gotowym umyśle pracowniczym. Dodatkową motywacją dla pracownika może być także poważniejsze szkolenie, zakańczane egzaminem. Jeśli pracownik zda go pozytywnie – otrzyma certyfikat. W przypadku dużych przedsiębiorstw może się to wiązać z podwyżką, więc jeśli nawet nie obchodzą pracownika losy firmy, to na pewno obchodzi go ilość banknotów we własnym portfelu. Pracownik ma własną motywację (zarobek) i dyrektor ma także swoją (pobudzenie umysłu do zapamiętania skali problemu socjotechniki). Jest to podstawowa linia obrony przed atakiem wyłudzającym informacje. Wspomniano, że pracownikowi może nie zależeć na losach jego firmy. W końcu może odbyć całe szkolenie, uzyskać certyfikat, osiągnąć swój cel – wyższy zarobek, a dalej przekazać socjotechnikowi poufne informacje. Świadomie, lub nie.

Istnieje więc dodatkowa linia obrony, która obowiązuje każdego z pracowników – prawnie chroniona polityka bezpieczeństwa. Jest to dokument przedstawiany pracownikowi w formie drukowanej, z którym musi się zapoznać. Treść dotyczy posługiwania się sprzętem komputerowym i sieciowym w przedsiębiorstwie. Jakie zadania można wykonywać, jakie czynności są zabronione oraz czym to grozi. Pracownik jest zobowiązany także złożyć podpis na takim dokumencie oświadczając w ten sposób, że zna konsekwencje niewłaściwego postępowania i na jakie sankcje prawne mógłby zostać narażony. W ten prosty sposób wyklucza się niejawnych sabotażystów – pracowników w przedsiębiorstwie, którym los firmy jest obojętny. [3]

W pełni zabezpieczone przedsiębiorstwo przed atakami socjotechnicznymi obrazuje poniższy rysunek zbierający powyższe informacje:

Rys. 3.1.3.2. Algorytm skutecznej obrony w strukturze przedsiębiorczej. (Źródło: Opracowanie własne.)

3.2 Przedstawienie ataków i sposobów obrony po stronie komputerowej

O ile atak na fizyczny dostęp do urządzeń jest możliwy do wykrycia to atak komputerowy może zostać tak skonstruowany, że nie będzie on zauważalny. Ataki komputerowe są w dzisiejszych czasach najpowszechniejszym zagrożeniem, ale także najniebezpieczniejszym. Jeżeli system zawiedzie i przepuści niedozwoloną transmisję w sieć korporacyjną to zostaje ona poważnie narażona na uszkodzenie danych na stacjach roboczych, a co gorsza – na serwerach, a przecież dana jest dzisiaj krytycznym czynnikiem zysku w dowolnej branży w której narzędziem pośrednim jest komputer – czyli teoretycznie w każdej. Sposobów na wykradzenie informacji czy też na naruszenie spójności systemu przybywa z dnia na dzień w ilości postępu geometrycznego. Są to w przykładowo wirusy, konie trojańskie, a przede wszystkim tzw. złośliwe oprogramowanie (malware i spyware), czyli robaki internetowe, krążące samoczynnie po sieci, dołączające się do stron, do treści wiadomości e-mail itp. Sposoby te mogą służyć różnym celom: włamaniu, podszyciu się, zebraniu informacji, uszkodzeniu systemu, replikacji i dalszej infekcji. Pozostałymi sposobami są przeważnie niegroźne skanowania systemów, próby ataków wyszkolonego hakera oraz ataki typu DoS.

Jako specjalista do spraw bezpieczeństwa informatycznego, warto przyjrzeć się aktualnym raportom stworzonym przez największe stowarzyszenia, firmy zajmujące się reakcją i kreowaniem zespołów bezpieczeństwa. W Polsce największą z takich organizacji jest CERT Polska^[12] będący zespołem działającym w ramach Naukowej Akademickiej Sieci Komputerowej NASK.pl. Zespół CERT zajmuje się reagowaniem na zdarzenia naruszające jakiekolwiek działania w stronę bezpieczeństwa komputerowego w Internecie. Co roku organizacja na podstawie zgłoszonych informacji, przygotowuje i udostępnia statystki dotyczące przypadków naruszenia bezpieczeństwa w zasobach polskiego Internetu.

Przedstawiony zostaje fragment raportu z 2008r.

Rys. 3.2.1. Prezentowane kategorie ataków odnotowanych do CERT Polska w 2008 r. (Źródło: http://www.cert.pl/PDF/Raport_CP_2008.pdf 24.05.2009 r.)

Rysunek 3.2.1 opisuje procentowy udział zanotowanych ataków z konkretnych kategorii na polskie systemy. W poprzednim roku, tj. 2008 została znacząco uwydatniona przewaga kategorii Oszustwa komputerowe, na które składa się głównie atak typu phishing i vishing (z podgrupy ataków socjotechnicznych) – średnio co piąte zgłoszenie. Pozwala to zobrazować jak łatwym celem ataku na system komputerowy jest jego użytkownik, podatny na inżynierię społeczną. Kategoria Obraźliwe i nielegalne treści podobnie jak w latach poprzednich utrzymuje się na wysokim poziomie procentowego udziału zgłoszeń. Co czwarty przypadek był zgłoszeniem o próbie rozsyłania niechcianej korespondencji – spamu. Niechciane systemy reklamowe rozwijają się w niezwykłym tempie i filtry pocztowe nie są w stanie codziennie wszystkich wychwycić. Kategoria Złośliwe oprogramowanie podobnie jak spamming, utrzymuje swój poziom od kilku lat na podobnej wysokości powolnie zwiększając skalę zasięgu. W dużej mierze by doszło do infekcji złośliwym oprogramowanie wymagane jest działanie człowieka, który wejdzie na daną stronę (drive by download) lub włączy niesprawdzony program. Kategoria Gromadzenie informacji nazywana po prostu skanowaniem uległa znacznemu spadkowi, gdyż dotychczas ataki rekonesansowe uważane były za najliczniejszą grupę ataków na jakie narażony jest system. Zmiana nastąpiła w wyniku tego, że zabezpieczenia w sektorze obrony przed skanowaniem znacznie się polepszyły, a z uwagi na fakt, że nikt nie jest w stanie kontrolować każdego skanowania przechodzącego przez sieć globalną, zostało ono uznane za naturalny szum Internetu. [5]

Grupa i typ ataku	Liczba zanotowanych ataków	SUMA
Obraźliwe i nielegalne treści
Spam	466	482
Dyskredytacja	8
Przemoc / pornografia dziecięca	8
Złośliwe oprogramowanie
Wirus	3	133
Robak sieciowy	24
Koń trojański	104
Oprogramowanie szpiegujące	2
Dialer	0
Gromadzenie informacji
Skanowanie	84	86
Podsłuch	0
Inżynieria społeczna	2
Próby włamań
Wykorzystanie znanych luk systemowych	24	88
Próby nieuprawnionego logowania	62
Wykorzystanie nieznanych luk systemowych	0
Włamania
Włamania na konto uprzywilejowane	6	79
Włamania na konto zwykłe	16
Włamanie do aplikacji	57
Atak na dostępność zasobów
DoS	4	26
DDoS	22
Sabotaż komputerowy	0
Atak na bezpieczeństwo informacji
Nieuprawniony dostęp do informacji	5	6
Nieuprawniona zmiana informacji	1
Oszustwa komputerowe
Nieuprawnione wykorzystanie zasobów	5	721
Naruszenie praw autorskich	316
Kradzież tożsamości, phishing	400
Inne
Inne	10	10

Rys. 3.2.2. Rozkład liczbowy zaprezentowanych typów incydentów w kategoriach. (Źródło: Opracowanie własne na podstawie: http://www.cert.pl/PDF/Raport_CP_2008.pdf 24.05.2009 r.)

Wyżej opisane są jedynie kategorie ogólne ataków, jednak są to tylko wytyczne ataków egzekwowane w konkretnym celu. Nadrzędne cele ataku zostały opisane w rozdziale 1 i są to:

• Atak na poufność danej
• Naruszenie integralności danej
• Ograniczenie dostępności danej

I tak można wykreować drzewo powiązań celów nadrzędnych do poszczególnych grup ogólnych ataków jakimi są:

1. atak pasywny
2. atak aktywny, w którego w skład wchodzą:
   • atak zbliżeniowy
   • atak wewnętrzny
   • atak dystrybucyjny

Rys. 3.2.3. Powiązane klasy ataków z celami nadrzędnymi naruszenia bezpieczeństwa danej. (Źródło: Opracowanie własne.)

Ataki opisane na rysunku 3.2.3 stanowią próbę ogólnego sklasyfikowania kategorii ataków. Stąd istnieją powiązania jednego ataku nie tylko z jednym celem. Przykładowo naruszyć integralność danej można na wiele sposobów, za pomocą typowego włamania (atak aktywny), lub za pomocą ataku wewnętrznego (przez pracownika firmy naruszającego politykę bezpieczeństwa i jeszcze instalując złośliwe oprogramowanie replikujące się po wnętrzu sieci korporacyjnej (atak dystrybucyjny). Wszystkie mogą doprowadzić do zmiany danej przechodzącej przez sieć, lub komputer roboczy, gdzie atak miał miejsce. [8]

3.2.1. Atak pasywny

Atak pasywny – jak nazwa wskazuje, jest to atak nie powodujący uszkodzeń systemu. Rodzaj rekonesansu, gdzie następuje próba wydobycia pożądanych informacji, które mogą posłużyć do wykonania ataku aktywnego, wewnętrznego, lub dystrybucyjnego. W czasie wojennej bitwy, dowódca wysyła swoich zwiadowców w celu przeprowadzenia zbiórki informacji o siłach wroga, ich słabych stronach. Tak samo jest w przypadku zdobywania informacji o systemie komputerowym. Różnymi sposobami są wysyłani automatyczni „zwiadowcy” zbierający dla napastnika informacje o dziurach w systemie, otwartych portach itp. Skanowania przeprowadzane są w ogromnych ilościach w całej sieci globalnej i nikt nie jest w stanie je kontrolować, czy też zabronić. W większości przypadków ze względu, że są wykonywane przez aplikacje diagnostyczne służące administratorom sieci do wykrycia własnych luk zanim zrobi to ktoś inny. 90% aplikacji skanujących jest całkowicie legalnych (oczywiście, niekoniecznie darmowych) i powszechnie wykorzystywanych przez użytkowników.

Do sposobów wywołania ataku pasywnego zalicza się:

• narzędzie ping, trace, finger
• skanowanie w poszukiwaniu otwartych portów
• przechwycenie pakietów za pomocą podsłuchu programowego
• wyłudzenie informacji za pomocą technik inżynierii społecznej
• grzebanie w wyrzuconych biurowych odpadach

a. Ping i trace

Najprostszym przykładem jest narzędzie ping badające osiągalność połączenia źródła z celem. Narzędzie w podstawowej wersji jest bardzo proste. Operując protokołem ICMP w warstwie sieci (L3) modelu OSI , podając w syntaktyce komendy docelowy adres IP, otrzymuje się w odpowiedzi średni czas potrzebny na wysłanie zapytania i otrzymanie odpowiedzi od celu. Protokół ICMP jest wykorzystywany również w narzędziu trace, służącym do szczegółowej analizy trasy routingu jaką obiera pakiet. W transmisji od źródła do celu podawane są kolejne adresy interfejsów routerów przez które on przechodzi. Narzędzie trace przyjmuje różne nazwy w konkurentnych systemach operacyjnych. W Windowsie XP jest to tracert, w Linuksie w zależności od dystrybucji jest to komenda traceroute lub trace, a w systemie Cisco IOS – komenda traceroute.

Rys. 3.2.1.1. Przykład użycia narzędzia ping i tracert w systemie Windows XP. (Źródło: Opracowanie własne.)

Rys. 3.2.1.2. Przykład użycia narzędzia ping i traceroute na routerze Cisco 7200. (Źródło: Opracowanie własne.)

Rys. 3.2.1.3. Przykład użycia narzędzia ping i traceroute w systemie Linux. (Źródło: Opracowanie własne.)

Za pomocą polecenia ping i trace napastnik może zebrać informacje o urządzeniach składających się na sieć firmową. W praktyce takie skanowanie jest z reguły przeprowadzane z Internetu, gdzie napastnik ma możliwość zakrycia swojej tożsamości. Atakujący ma za cel włamanie się. Mając wiedzę, że większość firm na świecie wykorzystuje w swojej sieci protokół IPv4 – musi ona także wykorzystywać usługę translacji adresów prywatnych na publiczne. Adresami prywatnymi są oznaczane interfejsy wewnątrz sieci i te adresy nie są routowalne w Internecie. Oznacza to tyle, że jest miliony takich samych adresów IP, przeważnie zaczynających się prefiksem klasy C takim jak 192.168.*.*, którymi są zaadresowane różne stacje robocze, interfejsy, terminale, lecz nikt poza wewnętrzną siecią ich nie widzi. Odwrotnie jest z adresami publicznymi, które są przydzielane przez odpowiednie organizacje. Firma z reguły może dostać jeden globalny adres IP, który widzą wszyscy. Takie rozwiązanie musiało zaistnieć, gdyż nikt nie przewidywał, że sieć Internet stanie się siecią o zasięgu globalnym i tak szybko wyczerpie się całkowita pula adresów o długości 32bitów poprzez ciągłe podłączanie do sieci nowych maszyn. Informatyk w przedsiębiorstwie musi sobie radzić więc stawiając usługę NAT (PAT), gdzie setki komputerów z wnętrza sieci widziane są na Internecie jako jeden globalny adres IP. Klasy i zasięgi adresów dla konkretnych masek opisuje dokument RFC 1918.

Napastnik mając świadomość, że adresacja wewnętrzna w firmie to zapewne 192.168.*.* wykonuje on polecenie ping na adres rozgłoszeniowy dla tej sieci. W tablicy ARP napastnika pojawiają się odpowiedzi ICMP Echo Reply z adresami IP komputerów, których napastnik nie musiał zgadywać, gdyż wysłał polecenie ICMP Echo Request na całą pulę adresową, a komunikacja typu broadcast (rozgłoszenie) jest komunikacją do wszystkich komputerów z danej podsieci.

Rys. 3.2.1.4. Schemat skanowania sieci za pomocą polecenia ping. (Źródło: Opracowanie własne.)

Haker w ten prosty sposób zyskuje wiedzę o ewentualnych komputerach, serwerach czy interfejsach, które mogą posiadać potencjalne luki, które on może wykorzystać by dostać się do systemu.

Świadomą obroną przed tym zagrożeniem jest blokowanie puli adresów z dokumentu RFC 3330. Przenigdy z Internetu do wnętrza sieci nie powinien trafić pakiet z adresem z puli adresów prywatnych lub zarezerwowanych. Blokowanie można przeprowadzić na kilka sposobów.

• za pomocą listy kontroli dostępu (ACL^[13]) w kierunku wchodzącym do interfejsu od strony Internetu, wycinać adresy:
  • 0.0.0.0
  • 10.0.0.0/8
  • 127.0.0.1/32
  • 172.16.0.0/12
  • 192.168.0.0/16
• Za pomocą usługi SPI^[14] badać stan pakietu z wnętrza sieci, jeżeli nie został on zainicjowany wewnątrz (sesja TCP, pakiet ICMP), to należy go zablokować.
• Za pomocą mechanizmu ZFW^[15] – nie zezwalać na przychodzenie pakietów z Internetu jeśli nie zostały one do tego uprawnione między strefą zaufaną, a niezaufaną.

b. Skanowanie portów

Po skutecznie przeprowadzonym rekonesansie pingiem można przeprowadzić skanowanie portów. Jest to podobny mechanizm, lecz dotyczy adresacji warstwy transportowej, a nie sieciowej. Wszystkie aplikacje, usługi komputerowe działają na przypisanych portach na stałe lub dynamicznie. Jeżeli na danym porcie pracuje jakaś aplikacja to uważa się to za podatność na atak. Uważa się wtedy, że port jest otwarty – podatny. Analogicznie jeżeli przyjąć, że port to furtka do domu i jest otwarta to niejako wysyła się zaproszenie dla włamywacza, który ma mniej zabezpieczeń do sforsowania. Tak samo jest w przypadku furtek komputerowych. Napastnik łącząc się na otwarty port może wykonać z niego próbę logowania, lub odpalić na nim tzw. exploit’a, czyli aplikacje wykorzystującą błędy oprogramowania. O ile próba skanowania na maszynie brzegowej łączącej sieć wewnętrzną i globalną, z reguły kończy się niepowodzeniem (zwraca się uwagę na zabezpieczanie tych maszyn) to po przeprowadzeniu skutecznego rekonesansu za pomocą ping’a możliwe jest przeskanowanie odnalezionej maszyny, która nie dość, że może mieć otwarte porty to dodatkowo wewnątrz sieci ma zaufaną relację z innymi urządzeniami. Haker włamując się do takiej maszyny ma wtedy ułatwione zadanie podwójnie. Istnieje wiele narzędzi do skanowania portów. Najbardziej znanym jest program Nmap posiadający wiele zróżnicowanych funkcji. Wykorzystują go zarówno administratorzy w audycie swojej sieci jak i anonimowi napastnicy z Internetu. Dodatkowym atutem jest fakt, że program jest darmowy i wieloplatformowy. Używać powinien go każdy świadomy swojego niebezpieczeństwa w sieci użytkownik, lecz z uwagi, że program jest dość skomplikowany w obsłudze to wykorzystywany w dobrym celu jest tylko przed administratorów i informatyków. Poprzez dobry cel rozumie się przeprowadzenie własnego audytu bezpieczeństwa w zgodzie z zasadą, że jeśli samemu się czegoś nie sprawdzi, to nie ma się pewności czy jest to skuteczne rozwiązanie problemu, zwłaszcza w przypadku bezpieczeństwa systemu informatycznego.

Rys. 3.2.1.5. Zrzut ekranu z udanego skanowania przeprowadzonego przez narzędzie Nmap. (Źródło: Opracowanie własne.)

Analizując rysunek 3.2.1.5 widać, że porty 37, 53, 80, 81, 82, 90 i 113 są portami otwartymi. Działają na nich odpowiednie usługi takie jak TIME, DNS i HTTP, które stanowią potencjalne miejsce luk w systemie. Dodatkowo narzędzie Nmap może próbować rozpoznać system operacyjny ofiary i adres fizyczny karty sieciowej której skanował przydzielony adres IP.

c. Skanowanie użytkownika

Do lat 90. XX wieku narzędzie finger było powszechnie w sieciach stosowane w celu sprawdzenia kto jest w danym momencie zalogowany na skanowanej maszynie dając o nim podstawowe informacje takie jak:

• nazwa użytkownika
• jego dane osobowe
• czas nieaktywności jego klawiatury (tzw. czas idle)

Finger jest to historyczny protokół komunikacyjny wycofany już z użytku, ze względu, że stanowił dużą lukę bezpieczeństwie. Przez podawanie informacji o nazwie użytkownika można było na systemie przeprowadzać próby logowań za pomocą ataku siłowego lub słownikowego. Narzędzie służyło administratorom do podglądania systemu by zapewnić mu spójne działanie przed niewłaściwymi, często nieświadomymi czynnościami pracowników.

Rys. 3.2.1.6. Przykład użycia narzędzia finger w systemie Linux. (Źródło: http://pl.wikipedia.org/wiki/Finger 27.05.2009 r.)

Linijka No plan. informuje, że użytkownik nie posiada w swoim katalogu domowym ukrytego pliku .plan, który zawiera plany do realizacji na najbliższy czas i czym użytkownik się w danej chwili zajmuje. Plik w prawach dostępu ma odczyt dla wszystkich – więc również jest to kolejna luka w bezpieczeństwie. Pomimo, że protokół został wycofany z użytku, to jest zaimplementowany w każdym systemie, gdzie niegdzie nawet świeżo po instalacji pozostaje nadal włączony. O ile w sieci nie stosuje się pułapki honey-pot na włamywaczy to należy niezwłocznie tę usługę wyłączyć. Obecnie finger został zastąpiony narzędziem who (whois), które informuje jedynie o zalogowanych użytkownikach do systemu. Who można używać tylko lokalnie i badać tylko system na którym jest zainstalowany, więc nie stanowi potencjalnego wycieku informacji.

d. Przechwytywanie pakietów – sniffer programowy

Zasada działania podsłuchu programowego jest taka sama jak wcześniej opisanego podsłuchu sprzętowego. Liczy się umiejscowienie sniffera. Jednak podsłuch programowy może być realizowany w sposób legalny – przez administratora w celach czysto diagnostycznych, lub nielegalny – przez włamywacza. Większość sieci LAN w dzisiejszych czasach jest oparte o technologię Ethernet, czyli urządzenia są spięte kablem UTP/STP/FTP w topologię gwiazdy z jednym centralnym punktem przełączania, lub w topologię rozgałęzionej gwiazdy, gdzie każdy centralny punkt posiada węzeł do innego centralnego punktu.

Rys. 3.2.1.7. Współczesne topologie sieci lokalnej Ethernet. (Źródło: Opracowanie własne.)

Uzyskując dostęp do urządzenia centralnego, zwykle jest to hub lub przełącznik, osoba ma kontrolę nad ruchem jaki przepływa między węzłami. O tyle jest to łatwo zrobić w przypadku koncentratora, że ruch który otrzymuje na dany port, przesyła do wszystkich innych poza portem źródłowym, więc podsłuchiwanie wymaga jedynie instalacji sniffera lub ustawienie karty sieciowej w tryb rozwiązły (promiscuous). W normalnym trybie pracy komputer analizuje ruch sieciowy z każdym otrzymanym pakietem. Bada czy ramka jest adresowana do niego. Jeśli jest to deenkapsuluje jej zawartość. Natomiast jeśli adres fizyczny ramki jest inny niż karty sieciowej to zostaje ona zignorowana przez interfejs. W trybie promisc karta sieciowa przyjmuje każdy ruch niezależny od adresacji. Tryb ten powstał jak każdy inny sniffer, w celu badania wydajności sieci przez administratora za pomocą wczesnej zubożałej wersji narzędzia typu SPAN^[16]. Mając narzędzie typu Cisco Wireshark można analizować dowolny pakiet krążący po sieci lokalnej.

Rys. 3.2.1.8. Zrzut ekranu z programu Wireshark firmy Cisco. (Źródło: http://www.topsofts.com/images/product/screenshot/4/48380.gif 27.05.2009 r.)

Rys. 3.2.1.9. Schemat rozgłaszania pakietów przez koncentrator i przechwytywania ruchu przez napastnika. (Źródło: Opracowanie własne.)

Ten rodzaj podsłuchu jako samego ataku nosi nazwę Man-In-The-Middle, czyli „osoba w środku”. Technika MITM jest często stosowana przy atakach wewnętrznych i aktywnych. Koncentrator z uwagi na swoje poważne wady konstrukcyjne wynikające z działania jedynie w warstwie fizycznej, został powoli wyparty w komercyjnym stosowaniu w przedsiębiorstwach przez przełączniki, niemniej nadal są w sprzedaży i sprawdzają się w rozwiązaniach domowych. Jednak z uwagi na fakt, że przełącznik jest znacznie bezpieczniejszy, a jest w podobnej cenie zaleca się kupić go kupić zamiast huba.

Znacznie trudniej jest przechwytywać pakiety, gdy jako punkt centralny w topologiach gwiazd jest używany przełącznik. Pracuje on w warstwie łącza danych i nie rozgłasza każdego pakietu, a jedynie wtedy gdy został tak zaadresowany. Switch otrzymując ramkę od źródła uczy się jego adresu MAC i zapisuje go do swojej tablicy adresów CAM (Content-Addressable Memory) wraz z portem z którego ramka przybyła. W ten sposób po zbudowaniu swojej topologii przełącznik bada wartość pola adresu docelowego w ramce Ethernet i przełącza ją na odpowiedni port docelowy. Szczegółowy opis budowania tablicy CAM zostanie przeprowadzony w sekcji ataków aktywnych. Sposób podsłuchiwania przełącznika jest inny, dopóki nie dozna on uszkodzeń w wyniku ataku wewnętrznego. Normalnie każdy pakiet nie zostaje przechwytywany przez sniffer, a mogą zostać wychwytywane jedynie te, które idą przez przełącznik do serwera i z serwera są badane. Innymi słowy, dopóki przełącznikowi nic nie przerwie prawidłowej pracy to będzie on przesyłał tylko ramki od źródła do celu i nigdzie indziej. Natomiast administrator z poziomu serwera może uruchomić narzędzie tcpdump lub linsniff i tylko z tamtego poziomu analizować pakiety. Napastnik mając dostęp do serwera może również przechwytywać pakiety, lecz opłaca się to stosować tylko w przypadku transmisji otwartych, czyli nieszyfrowanych, takich jak Telnet, http, ftp/tftp, smtp, gdyż czas rozkodowania zaszyfrowanych pakietów SSH/SSL byłby zbyt długi.

Rys. 3.2.1.10. Schemat przełączania ramki w topologii Ethernet z zastosowaniem przełącznika. (Źródło: Opracowanie własne.)

Rys. 3.2.1.11. Zrzut ekranu z programu tcpdump ustawionego do przechwytywania pakietów SMTP. (Źródło: Opracowanie własne.)

Przełącznik według powyższych argumentów, sam w sobie stanowi więc obronę przed podsłuchiwaniem, lecz żeby była ona skuteczna przełącznik winien być zarządzany. Dodatkowo administrator powinien wyłączyć usługi transmitujące pakiety w sposób nieszyfrowany, takie jak: Telnet, FTP/TFTP, HTTP, SMTP i zastąpić je protokołami szyfrowanymi: SSH, SCP, HTTPS, ESMTP. Zdecydowanie utrudni to napastnikowi odczytanie zawartości pakietów.

e. Podsłuch socjotechniczny

Oczywiście atakiem pasywnym są także niektóre z technik inżynierii społecznej, za pomocą której zbierane są cząstkowe informacje służące do zdobycia tej krytycznej, właściwej dla napastnika. Wszystko w kwestii vishingu i metod stosowanych w socjotechnice zostało opisane w rozdziale 3.1.3. Jednakże dodatkowo administrator może sam przeprowadzić tzw. samodzielny test penetracyjny. Powinien podszyć się pod pracownika firmy i wykorzystać metody socjotechniczne sprawdzając poziom kompetencji pracownika z którym rozmawia przez telefon lub prowadzi konwersację za pomocą faksu i poczty elektronicznej. Ostatecznie po przeprowadzonych testach nie powinien on zdradzać swojej tożsamości. Taki samodzielny legalny rekonesans uczy także pracowników jak mają postępować w takich sytuacjach. Jednak mogliby stać się wyczuleni na kolejne próby traktując je jako kolejne testy, a jak wiadomo bezpieczeństwo IT to nieustanny monitoring i testowanie. Mogłoby to spowodować potencjalny wyciek informacji znużonego pracownika, który na żarty mógłby podać swoje poufne dane w celu sprawdzenia co może się stać. Może on jednak nie wiedzieć, że podaje je napastnikowi, zamiast człowiekowi ze swojej firmy.

Innym rodzajem ataku socjotechnicznego podsłuchującego jest tzw. atak „przez ramię”. Potencjalny napastnik stoi za użytkownikiem logującym się do systemu patrząc mu w klawiaturę jaką kombinację klawiszy naciska. Napastnik też może celowo zerknąć na wyświetlone na monitorze dane konfiguracyjne, gdzie jest wypisane niezaszyfrowane hasło. Rozwiązaniem jest oczywiście zaszyfrowanie hasła, które utrudni jego zapamiętanie, oraz nauka szybkiego pisania na klawiaturze :)

Rys. 3.2.1.12. Zrzut ekranu z konfiguracji routera z zagrożeniem ataku „przez-ramię”. (Źródło: Opracowanie własne.)

f. Wydobywanie informacji ze śmietnika

Pomimo, że tytuł podpunktu wydaje się być śmieszny, problem wycieku informacji przez błędną utylizację nośników jest poważny. Niewłaściwe niszczenie dokumentów, nośników informacji może być czynnikiem powodującym skuteczne odpalenie ataku w stronę sieci korporacyjnej. Człowiek jest w stanie zrobić bardzo wiele by osiągnąć swój cel i nie zawaha się ubrudzić śmieciami z kontenera jeśli tam znajdzie potrzebne mu dane. Terminem „dumpster diving” jednak nie określa się tylko wydobywaniem informacji z kontenerów. Poufne dane można znaleźć na pracowniczych biurkach, tabliczkach, zostawionych notesach, kartkach, niezamykanych szafkach. Podobnie jak w przypadku podsłuchu socjotechnicznego administrator mógłby wykonać test penetracyjny w celu sprawdzenia jak poufne informacje są przechowywane przez pracowników podając się np. za sprzątacza, lub przeglądając biurka po godzinach pracy. Pracownicy bardzo często zostawiają zapisane kartki z hasłami do systemów. Wynika to z faktu, że dobry administrator wymaga od swoich użytkowników dobrych haseł złożonych ze znaków alfabetu, cyfr, znaków specjalnych i różnicowania wielkości liter. Na domiar wszystkiego wymaga dodatkowo cyklicznych zmian haseł np. co okres kwartalny. Początkowo każdy pracownik może mieć problem z zapamiętaniem swojego hasła, więc w dobrej wierze może je sobie gdzieś zapisać. Polityka bezpieczeństwa przedstawiona pracownikowi, pod którą się on podpisuje powinna bardzo wyraźnie zabraniać takich sposobów przechowywania haseł. Jeśli już gdzieś musiałyby być składowane to w miejscu trudno dostępnym i zabezpieczonym. Nie tylko dokument papierowy jest zagrożeniem. Powoli standardowym nośnikiem informacji staje się pendrive, jednak płyty CD jeszcze przez pewien okres czasu na pewno będą istniały jako nośniki ważnych informacji w wielu przedsiębiorstwach. Należy pamiętać o ich skutecznej utylizacji poprzez składowanie w specjalnych pomieszczeniach do okresu aż ich poufność nie będzie miała znaczenia, lub poprzez usuwanie za pomocą specjalnych niszczarek biurowych z wkładami do niszczenia płyt CD. Również polityka bezpieczeństwa winna zawierać informacje o prawidłowej utylizacji nośników.

3.2.2. Atak aktywny i jego wariacje

Jeżeli celem nie jest jedynie zdobycie informacji poprzez naruszenie jej poufności poprzez atak pasywny to jedynie inną możliwością jest naruszenie tej informacji poprzez atak aktywny. Przez naruszenie rozumie się wpływ na jej integralność – czyli zmianę danych, lub wpływ na jej dostępność – czyli jej istnienie w systemie i możliwość jej odczytania. O ile atak pasywny w żaden sposób nie musi szkodzić poza wyciekiem danych (oczywiście krytycznie ważnym) o tyle atak aktywny zawsze niesie za sobą konkretne, namacalne szkody. Sam atak aktywny polega na włamaniu się do systemu, naruszeniu jego zabezpieczeń za pomocą dostępu zdalnego, z poziomu zaufanej relacji, lub poprzez kontakt fizyczny. Atak aktywny niesie za sobą poważne konsekwencje karne pomimo raczkowania w ustalaniu ustaw w sektorze prawa komputerowego. W głównej mierze skazywani są jednak przestępcy naruszający komputerowe praco autorskie, czyli piraci, nielegalni dystrybutorzy, użytkownicy nielegalnego oprogramowania (głównie systemu operacyjnego). Jednak by zwyciężyć w takiej sprawie należy mieć trzy efektywne argumenty oskarżające jakimi są:

motyw – odpowiadający na pytanie „dlaczego przestępca dokonał czynu karalnego?”

Motyw zadaje pytanie o cel jaki przyświeca przestępcy komputerowemu. W zależności o tego jakim jest hakerem według klasyfikacji może mieć różne cele opisane w rozdziale 3.

dowody rzeczowe – „czym przestępca posługiwał się podczas dokonania czynu karalnego?”

Dowodem rzeczowym mogą być umiejętności przestępcy, bądź zebrany materiał dowodowy (płyty CD, logi ze sprzętu). Jest to trudne z uwagi, że logi komputerowe łatwo można spreparować, jednak właściwe ich zabezpieczanie i tworzenie rutynowych kopii bezpieczeństwa poświadczane przez inne osoby z sektora bezpieczeństwa stanowią mocną podstawę oskarżającą.

sposobność – „w jakich okolicznościach przestępca mógł dokonać czynu karalnego?”

Sposobność, powszechnie nazwana „alibi” oznacza czy przestępca mógł dokonać tego czynu, czy nie był w tym czasie w innym miejscu co może go wykluczyć z kręgu podejrzanych. Podobnie jak dowody rzeczowe, sposobność przestępcy komputerowemu jest dosyć trudno udowodnić, ze względu, że atak mógł zostać wywołany z dowolnej lokalizacji, z dowolnego komputera.

Atak pasywny z reguły wygląda tak samo, zawiera te same algorytmy postępowania. W przypadku ataku aktywnego występuje wiele jego postaci. Jest modyfikowalny, każdy atak może wyglądać inaczej.

Pomijając wariację, wyróżnia się trzy podstawowe ataki aktywne nazwane po głównych celach nadrzędnych zagrożenia komputerowego wraz z podklasami ataków:

1. Ogólny aktywny atak na poufność danej
   • Wewnętrzne i zbliżeniowe ataki na poufność:
     • MAC Spoofing
     • DHCP Spoofing
     • ARP Spoofing
     • Wykorzystanie podatności protokołu DTP i VLAN Hopping
     • Atak idle
2. Ogólny aktywny atak na integralność danej
   • Dystrybucyjne i zbliżeniowe ataki na integralność:
     • Złośliwe oprogramowanie:
     • Koń trojański
     • Wirus
     • Robak
     • Metody ataku na logowanie lub deszyfrowanie danej
3. Ogólny aktywny atak na dostępność danej
   • Wewnętrzne i zbliżeniowe ataki na dostępność:
     • Wykorzystanie podatności protokołu STP
     • Wykorzystanie podatności protokołu VTP
     • Wykorzystanie podatności protokołu NTP
     • Wykorzystanie podatności protokołu SNMP
     • Szkodliwe debugowanie i niekontrolowany sztorm rozgłoszeniowy

Ad. a. Ogólny atak na poufność danej – najmniej szkodliwy atak aktywny. Charakteryzuje się wykradzeniem informacji po naruszeniu zabezpieczeń systemu bez jego modyfikacji lub uszkadzania.

Rys. 3.2.2.1. Schemat aktywnego ataku na poufność danej na przykładzie ataku na bank. (Źródło: Opracowanie własne.)

Typowy schemat postępowania:

1. Napastnik przeprowadził skuteczny rekonesans na system komputerowy banku. Zauważył, że serwer stron internetowych posiada przestarzałe zabezpieczenia. Włamuje się na serwer za pomocą swoich umiejętności i narzędzi jakimi dysponuje (exploity, programy).
2. Zauważa, że serwer bazy danych z danymi kart kredytowych jest bardzo dobrze zabezpieczony i nie uda mu się tak prosto włamać jak na serwer HTTP. Wykorzystuje on więc zaufaną relację jaka istnieje wewnątrz systemu banku pomiędzy serwerem HTTP, a serwerem bazy danych. Napastnik zbiera poufne informacje o kartach kredytowych, hasłach dostępu i danych osobowych właścicieli kart.
3. Napastnik po zebraniu poufnych danych wykorzystuje numery kart kredytowych do wykonania całkowicie legalnych zakupów, bądź przetransferowania pieniędzy na odległe konto, stamtąd na jeszcze jedno i tak dalej w odległe zapętlenie uniemożliwiające szybkie jego schwytanie.[8]

IP Spoofing

Dostęp do systemu, przestępca może uzyskać wykorzystując skierowany atak podszywania się pod adres IP (IP Spoofing).

Rys. 3.2.2.2. Schemat ataku IP Spoofing. (Źródło: Opracowanie własne.)

W transmisji wykorzystującej protokół połączeniowy – TCP w celu nawiązania połączenia stosuje się tzw. sekwencje „potrójnego uścisku dłoni” (ang. three-way handshake). Polega ona na zsynchronizowaniu się źródła z celem na odpowiednim porcie w zależności od żądanej usługi. Składa się z tytułowych trzech kroków:

• wysłaniu ze źródła segmentu powitalnego (pakiet SYN), numer sekwencyjny wynosi 1.
• odpowiedzi celu w postaci segmentu potwierdzającego (pakiet SYN-ACK), numer sekwencyjny wynosi np. 2 co oznacza, że cel otrzymał sekwencję numer 1 i oczekuje na przesłanie sekwencji numer 2.
• wysłaniu przez źródło segmentu odpowiadającego i zatwierdzającego połączenie (pakiet ACK), potwierdzenie wysłania sekwencji numer 2.

W praktyce zostają wysłane kolejne numery sekwencyjne, oczywiście liczba ta jest losowa, tak samo jak port źródłowy. Jednak jeśli napastnik posiadałby wiedzę jaki numer sekwencyjny potrzebuje CEL, jako potwierdzenie mógłby w odpowiednim czasie przesłać pakiet ACK szybciej niż rzeczywiste źródło i to z napastnikiem wtedy serwer nawiązałby połączenie, gdyż w procesie enkapsulacji, w segmencie nie jest już badany adres IP, a same porty, więc komputer nie ma świadomości, że jest w transmisji z napastnikiem. Potwierdził on losowy numer sekwencyjny oczekiwany przez serwer więc jest zaufaną relacją do czasu wygaśnięcia transmisji. Istnieją dwa rodzaje ataku IP Spoofing:

• non-blind – komputer źródłowy, cel i napastnik są komputerami z jednej sieci i napastnik wykorzystuje podsłuch (np. sniffer) w celu zdobycia informacji o numerze sekwencyjnym – łatwy atak, lecz wymaga dużej mocy obliczeniowej komputera, gdyż nawiązanie połączenia w sieci lokalnej trwa relatywnie krócej niż w sieci Internet.
• blind – komputer źródłowy, cel lub napastnik znajdują się w różnych sieciach. Z reguły komputer źródłowy i cel są w jednej, a napastnik w drugiej, stąd określenie „ślepe trasowanie”. W celu zdobycia informacji o numerze sekwencyjnym wykorzystuje on jeden z podstawowych ataków na integralność danej – tzw. trasowanie pakietu (ang. IP source-routing).

Rys. 3.2.2.3. Schemat ataku IP source-route. (Źródło: Opracowanie własne.)

Istnieją dwie wariacje:

• loose ip soure-route – napastnik określa listę interfejsów IP przez które pakiet może przejść, lecz może obrać w ostateczności inną trasę by dojść do napastnika.
• strict ip source-route – napastnik określa listę interfejsów IP przez które pakiet musi przejść.

Jak widać ataki aktywne z reguły są mieszaniną powiązanych ze sobą technik w celu osiągnięcia ostatecznego celu. W przypadku aktywnego ataku na poufność danej wykorzystuje się techniki spotykane przy ataku Man-In-The-Middle, co wynika z umiejscowienia napastnika pomiędzy stacją źródłową, a docelową.

Formą obrony przed atakiem podszywania się pod adres IP i trasowania pakietu jest włączenie na routerze trybu TCP Intercept, implementacja refleksyjnej listy kontroli dostępu lub nowsza metoda – implementacja firewalla (SPI/ZFW). Należy także wyłączyć usługę IP source-routing i IP redirects.

MAC Spoofing

Podszywanie się pod adres fizyczny karty sieciowej jest wewnętrznym atakiem aktywnym na poufność danych. Zmiana adresu MAC na inny, prawdopodobnie dostępny w sieci jako inny komputer może spowodować, że komputer źródłowy będzie przesyłał pakiety do niewłaściwego komputera. Zmiana adresu MAC, pomimo, że jest to adres fizyczny jest bardzo prosta. [10]

W systemie Windows należy użyć narzędzia SMAC. Natomiast w systemie Linux wystarczy wydać polecenie:

z3@darkstAr#: ifconfig eth0 ether 00:01:02:03:04:ff

I w ten sposób adres fizyczny karty sieciowej z interfejsu eth0 został zmieniony na heksadecymalną wartość 00:01:02:03:04:ff.

Rys. 3.2.2.4. Przedstawienie zapełniania tablicy CAM na przełączniku w normalnej pracy i przy podszywaniu się. (Źródło: Opracowanie własne.)

Ataki polegające na podszywaniu się do adres MAC są stosunkowo także proste do wykrycia. W celu zabezpieczenia sieci lokalnej przed podszyciem należy włączyć usługę port-security na przełączniku, przypisać statycznie adresy MAC do portów i ustawić odpowiednią reakcję (wyłącz port, ogranicz dostęp i powiadom, ogranicz dostęp) na zaistnienie innego adresu MAC na porcie na którym został przypisany statycznie przez administratora.

DHCP Spoofing

Kolejny z ataków typu MITM polega podszyciu się w lokalnej sieci za serwer DHCP, od którego stacja robocza dostaje konfigurację sieciową. W ten sposób napastnik może przejmować cały ruch z komputera na który wysłał ustawienia DHCP np. ustawiając bramkę domyślną na swój komputer. Atak DHCP Spoofing jest wewnętrznym atakiem aktywnym na poufność informacji.

Rys. 3.2.2.5. Schemat ataku DHCP Spoofing. (Źródło: Opracowanie własne.)

Komputer po włączeniu zasilania i załadowaniu systemu operacyjnego jeśli jest podpięty do sieci zaczyna rozgłaszać broadcastowe pakiety DHCP DISCOVER w cel odnalezienia serwera DHCP od którego mógłby pobrać automatyczną konfigurację bez potrzeby jej statycznego wpisywania [1]. Jeżeli napastnik usłyszy pakiet DHCP DISCOVER to jeśli będzie szybszy w transmisji niż prawdziwy serwer DHCP i spreparuje pakiet DHCP OFFER z przedstawieniem swojej oferty konfiguracji protokołu IP to komputer oczekujący ją po prostu przyjmie [2]. Potwierdzi to pakietem DHCP REQUEST [3] i napastnik w celu zakończenia procesu konfiguracji wyśle swoje potwierdzenie zajęcia danego adresu IP przez komputer o odpowiednim adresie fizycznym [4]. W ten sposób jeśli napastnik ustawił w przekazywanej konfiguracji jako bramkę domyślną lub serwer DNS swój adres IP, lub adres IP komputera do którego ma bezpośredni dostęp to przez nie będzie przechodził cały ruch sieciowy z komputera źródłowego. W szczególności podmiany bramki domyślnej, bo zmiana DNS’a wpłynie jedynie kopiowanie pakietów z protokołów wykorzystujących rozwiązywanie nazw.

Rozwiązaniem tego problemu jest implementacja usługi DHCP Snooping, w której wyróżnia się dwa rodzaje portów konfigurowanych przez administratora:

• port zaufany – port przełącznika, który może otrzymywać odpowiedzi serwera DHCP.
• port niezaufany – port przełącznika, jeśli otrzyma pakiet z serwera DHCP to przejdzie w stan nieużywalny, err-disabled.

Jednak jeżeli napastnikiem jest osoba z wewnątrz firmy to może ona wykorzystać zaufany port w celu postawienia na nim swojego serwera DHCP. Można zapobiec otrzymaniu konfiguracji przez taki serwer ograniczając liczbę pakietów DHCP przyjmowanych na sekundę, np. do wartości 3. Jeżeli wartość ta zostanie przekroczona zostanie wygenerowana informacja Syslog na przełączniku i port będzie posiadał status ograniczonego dostępu.

ARP Spoofing

W sieci Ethernet istnieje mechanizm wykrywania konfliktów konfiguracji IP/MAC komputerów. Konfliktem w tym wypadku jest duplikacja adresów IP w podsieci, co może prowadzić do złego trasowania pakietów. Większość systemów operacyjnych podczas uruchamiania generuje pakiet GARP (Gratuitous ARP) w celu odnalezienia komputera o takiej samej konfiguracji adresowej i wyświetleniu odpowiedniego komunikatu. Dzieje się to w sposób, że pakiet GARP Probe jest rozgłaszany na całą podsieć zawierając w nagłówku własny adres IP. Jeśli nie wróci do niego pakiet ARP Reply z odpowiedzią tzn. że komputer posiada skonfigurowany adres IP, który nie jest aktualnie w podsieci używany przez inny komputer. Powinny wrócić tylko odpowiedzi z adresami MAC i IP innych komputerów. Mechanizm GARP z założenia – jak wiele stworzonych mechanizmów – miał pomagać, jednak w ostateczności tworzy podatność dla napastnika, który w łatwy sposób może przechwytywać pakiety. W czasie rozsyłania przez stacje pakietów ARP Probe, napastnik może sfałszować pakiety ARP Reply i posłać je do komputerów, w których tablice ARP Cache zmienią wpisy powiązań IP-MAC. Zmyślnie ustawiając powiązanie na swój komputer, transmisja z innych hostów będzie przebiegać przez jego własny.

Rys. 3.2.2.6. Schemat wstrzykiwania pakietów ARP Reply i konsekwencje przekłamań w tablicach ARP komputerów. (Źródło: Opracowanie własne.)

Napastnik wie, że komputery w sieci lokalnej ciągle wysyłają zapytania ARP. Preparując odpowiedzi ARP Reply, mając wiedzę o hostach przesyła on informacje do hosta A o odnalezieniu w podsieci hosta B z jego adresem IP lecz z adresem MAC napastnika. Przełączniki działają w warstwie drugiej, więc trasowanie polega na przesyłaniu pakietów na odpowiedni adres fizyczny, a nie jak w przypadku routingu – na logiczny. Stąd cały ruch z hosta A do hosta B będzie przechodził przez napastnika. Analogicznie jest w przypadku wysłania odpowiedzi ARP do hosta B z adresem IP hosta A, lecz z adresem MAC napastnika. [11]

Sposobem obrony jest wyłączenie usługi Gratuitous ARP na przełączniku, routerze i stacjach roboczych. Jednak takie rozwiązanie może spowodować konflikt w działaniu sieci lokalnej, gdyż nie wiadomo, czy któraś stacja robocza nie ma statycznie skonfigurowanego adresu IP, pomimo zabezpieczenia przed duplikacją dzieląc adresy IP przez serwer DHCP. Dodatkowo należy wykorzystać mechanizm DAI (ang. Dynamic ARP Inspection) działający jedynie przy współpracy z mechanizmem DHCP Snooping, który również dzieli porty przełącznika na dwa typy:

• port zaufany – zezwalaj na odpowiedzi ARP Reply
• port niezaufany – porównaj zawartość odpowiedzi ARP Reply z tabelą powiązań DHCP. Jeżeli powiązanie IP-MAC jest identyczne – zezwalaj na ruch. Jeżeli nie jest – wyłącz port.

Porównanie zawartości odpowiedzi pakietu ARP Reply można wykonywać na trzy sposoby: porównując źródłowy adres fizyczny, docelowy lub porównanie adresów IP – najmniej skuteczne. Z założenia by wykluczyć atak ARP Spoofing całkowicie należy ustawić porty stacji roboczych jako niezaufane, natomiast porty łączące przełączniki jako zaufane. Dodatkowo na ważnych stacjach można wprowadzić statyczne wpisy ARP, które nie są dynamicznie usuwane z tablicy. [2]

Wykorzystanie podatności protokołu DTP i VLAN Hopping

Protokół DTP (ang. Dynamic Trunking Protocol) jest to firmowy protokół firmy Cisco Systems zbudowany w celu zapewnienia automatycznej negocjacji typu portu trunkowego^[17] pomiędzy dwoma przełącznikami i rodzaju enkapsulacji wykorzystanej w oznaczaniu ramek konkretnym VLAN–em. Po spięciu ze sobą dwóch przełączników kablem krosowanym następuje automatyczna negocjacja trybu portu na trunk, gdzie od tego momentu może zaistnieć komunikacja między tymi dwoma urządzeniami.

Istnieją trzy stany portów przełącznika:

• dynamic – jeżeli jest możliwe nawiązanie połączenia trunkowego (auto, on, desirable) to port przełącznika automatycznie z pomocą protokołu DTP stanie się portem trunkowym.
• access – port przełącznika na stałe jest przypisane jako port dostępowy w VLAN’ie dla stacji roboczej.
• trunk – port przełącznika na stałe jest przypisany jako port trunkowy pomiędzy przełącznikami.

Istnieje kilka ustalanych trybów portów protokołu DTP:

• auto – port nie stanie się portem trunkowym jeśli po drugiej stronie urządzenie nie jest ustawione w tryb desirable. Jest to tryb standardowy każdego portu przełącznika.
• on – powoduje, że port na stałe staje się portem trunkowym, nawet jeśli urządzenie po drugiej stronie się na to nie zgadza.
• off – powoduje, że port na stałe staje się portem dostępowym, nawet jeśli urządzenie po drugiej stronie się na to nie zgadza.
• desirable – port aktywnie próbuje stać się portem trunkowym dla portów typu auto, on i desirable po drugiej stronie.
• nonegotiate – powoduje, że przełącznik przestaje rozsyłać ramki DTP w celu nawiązania połączenia trunkowego.

Protokół DTP odciąża administratora przy instalacji przełączników do manualnego formowania połączeń trunkowych między nimi, lecz stanowi także sporą podatność na zbliżeniowy atak wewnętrzny. Standardowy typ portu po włączeniu nieskonfigurowanego przełącznika to: dynamic auto, więc napastnik mając fizyczny dostęp do przełącznika może podpiąć się kablem krosowanym z własnym przełącznikiem co spowoduje nawiązanie połączenia trunkowego między przełącznikami i to, że ramki przechodzące przez pierwszy przełącznik trafią też na ten drugi przy transmisji pomiędzy VLAN–ami.

Ramki pomiędzy VLAN’ami mogą być enkapsułowane dwoma standardami:

• ISL – jest to enkapsulacja całej ramki według Cisco, obecnie standard jest wymarły.
• IEEE 802.1Q (w skrócie: dot1q) – jest to otwarty standard i enkapsuluje tylko nagłówek ramki, zmniejszając w ten sposób narzut na sieć lokalną.

Jednakże standard dot1q otwiera pewną metodę ataku. W standardzie dot1q istnieje pojęcie tzw. VLAN’u natywnego, jest to VLAN zarządzany przełącznika, na którym nie powinno być żadnych portów, a jedynie fizyczny interfejs VLAN1 służący do zdalnego połączenia się z przełącznikiem. 802.1q w celu zmniejszenia narzutu nie dodaje informacji VLAN’owej do ramki jeżeli jest to VLAN natywny, więc jeżeli napastnik wyśle na przełącznik ramkę oznaczoną VLAN–em natywnym to przełącznik usunie z nagłówka tę informację. W tym momencie nic to nie daje napastnikowi, lecz może on spreparować ramkę podwójnym oznaczeniem VLAN’u. Ma do czynienia wtedy z atakiem VLAN Hopping.

Rys. 3.2.2.7. Schemat ataku VLAN Hopping. (Źródło: Opracowanie własne.)

Pomimo, że z założenia dostęp do VLAN20 jest zamknięty z komputerów z innego VLAN’u to napastnik podwójnie oznaczając ramkę jest w stanie przedostać się przez przełączniki, gdzie ramka prawidłowo zostanie przesłana do komputerów z VLAN20. Ramki tak przesłane mogą transportować inne ataki takie jak robaki, konie trojańskie czy może podatności wyżej opisane. Podstawową linią obrony jest właściwe przypisanie portów. Dla portów przełącznika łączącymi stacje robocze ma to być tryb access, natomiast dla trunków – ma to być na sztywno trunk. Dodatkowo można zmienić wartość natywnego VLAN’u ze standardowej liczby 1 na inną. Napastnik nie mający dostępu do sieci musiałby go najpierw odgadnąć by wykorzystać atak VLAN Hopping. Zabezpieczenie przed wpinaniem portów zostanie szerzej opisane w podrozdziale dotyczącym ataków na protokół STP, gdyż tam odgrywa to większe znaczenie.

Atak idle

Ostatnim atakiem aktywnym na poufność danej jest atak zbliżeniowy polegający na pozostawieniu stacji roboczej pracownika bez nadzoru fizycznego. Pracownik może być właśnie zalogowany w jakieś ważne miejsce i nagle otrzymał telefon (być może od socjotechnika), że musiał zmienić on swoją lokalizację w krótkim czasie, więc pozostawił swój komputer włączony. Jeżeli nie miał zdefiniowanego licznika mierzącego czas nieaktywności klawiatury lub myszki to jest narażony na włamanie fizyczne. W celu obrony należy zdefiniować na przełącznikach i routerach liczniki exec-timeout na odpowiednią wartość, a na stacji roboczej w najłatwiejszy sposób ustawić automatyczne włączanie wygaszacza ekranu, który na powrót prosi o podanie hasła.

Ad. b. Ogólny atak na integralność danej – polega na podmianie danych, naruszeniu ich struktury i jej zamianie. Jest to najczęściej spotykany atak komputerowy. Stosowany np. przy hakowaniu stron internetowych, gdzie haker po udanym włamaniu pod firmową domeną zostawia swoje przesłanie, podpis, logotypy itp.

Rys. 3.2.2.8. Schemat ogólnego ataku na integralność danej. (Źródło: Opracowanie własne.)

Na rysunku 3.2.2.8 przedstawiono sposób ataku napastnika, w którym przechwytuje on transmisję pakietów zawierające dane do transakcji bankowej. Klient banku nie zauważył, że numer konta do przelewu został zmieniony na konto napastnika, gdyż z reguły w ostatnim kroku potwierdzenia sprawdza się jedynie czy właściwa kwota została wpisana. Klient banku zatwierdza transakcję i wszystko przebiegło po myśli napastnika. Na domiar złego jeżeli klient po czasie zorientuje się, że się pomylił to nie może mieć do banku żadnych roszczeń gdyż widział przed sobą dane do przelewu i sam je potwierdził. Inną sprawą oczywiście jest bezpieczny transfer, który bank gwarantuje, o to już klient może wystąpić w roszczeniach swoich praw do zwrotu. Ogólny atak na integralność danej posiada swoje trzy wariacje.

• atak salami – polega na wykonaniu ogólnego ataku na integralność danej jednak powodując bardzo małe szkody, przykładowo powyższy przelew mógłby być realizowany z kwotą 0,01zł lecz zastosowany na ogromnej ilości klientów. Łatwo nie zauważyć takiego ataku, a odpalany może być za pomocą hakera, bądź robaków, wirusów i koni trojańskich.
• atak żonglerski – jest wariacją ataku ogólnego z tą różnicą, że ofiara nie widzi wprowadzonych zmian na monitorze. W sensie, widzi na monitorze dane które sam podał, a w rzeczywistości w transmisji pakietów następuje naruszenie ich integralności i dopiero w efekcie końcowym można odnaleźć nieprawidłowości. Również nie jest łatwo zauważalny i może zostać tak samo odpalony jak atak salami.
• atak z zaufaną relacją – jest to atak podobny do ogólnego ataku aktywnego na poufność danych gdzie wykorzystywana jest zaufana relacja pomiędzy maszynami, lecz tam jedynie wydobywało się informacje, a tutaj następuje także ich zmiana.

Skuteczną obroną przeciwko powyższym atakom na integralność danej są rozwiązania mieszane takie jak szyfrowane tunele VPN w Internecie, zaawansowane technologicznie ściany ogniowe i systemy IPS wczesnego wykrywania zagrożeń.

Złośliwe oprogramowanie

W zasadzie poza wyżej wymienionymi typami ataków na integralność to w tej grupie dominują próby zdobywania hasła do systemu za pomocą:

• sniffera programowego (przykładowo Wireshark) – opisano w rozdziale 3.2.1d.
• konia trojańskiego
• wirusa
• robaka
• ataku siłowego i słownikowego

Wszystkie wymienione sposoby powyżej są inteligentnymi fragmentami kodu, niewielkimi programami napisanymi w celu szkodliwego oddziaływania na system lub wiele systemów.

Złośliwe oprogramowanie w dzisiejszym świecie jest bardzo szeroko sklasyfikowane na wiele podgrup. Najpowszechniejszymi są: koń trojański, wirus i robak, jednak jest ich znacznie więcej. Klasyfikacja reszty polega stricte na działaniu bądź treści z jaką program konsoliduje. Wszystkie jednak noszą wspólną nazwę: malware.

Rys. 3.2.2.9. Drzewo klasyfikacji złośliwego oprogramowania. (Źródło: Wikipedia 30.05.2009 r.)

Zostaną opisane tylko najpowszechniejsze rodzaje oprogramowania złośliwego, ze względu na fakt, że są to także główne zagrożenia malware jakie można spotkać w firmie.

Koń trojański

Jest to niewielki program podszywający się pod przydatną aplikację dla użytkownika, która dodatkowo zawiera w swoim kodzie inną specjalnie ukrytą funkcjonalność mającą na celu wpłynięcie szkodliwie na system (poprzez wydobycie informacji, kontrolę nad systemem lub jego sparaliżowanie). Nazwa pochodzi oczywiście z mitologii, gdyż ideologia tego oprogramowania odpowiada założeniom oszustwa spod bram Troi.

Do głównych celów konia trojańskiego należą:

• atak dystrybucyjny – pozostawienie w systemie furtki dla napastnika w celu kontrolowanego rozsyłania konia trojańskiego do dalszych systemów lub odpalenie innego dowolnego ataku aktywnego
• utrudnianie pracy programów antywirusowych
• kontrola nad systemem – zmienianie stron startowych przeglądarki, zmiana tapety pulpitu, niekontrolowane wysunięcia się tacek napędów optycznych czy po prostu zawieszenia się systemu, wyłączenia monitora.

Rys. 3.2.2.10. Zrzuty ekranów głównych najbardziej znanych koni trojańskich – NetBus oraz Back Oriffice. (Źródło: http://www.columbia.edu/acis/rhno/security/moredetails.html 30.05.2009 r.)

Koń trojański z uwagi na swoją architekturę klienta (zainfekowanej maszyny) i serwera (maszyny napastnika) często jest też podsłuchem programowym. Nie posiada on wtedy żadnej innej funkcji poza podsłuchiwaniem klawiatury i innych czynności jakie przeprowadza użytkownik na swoim komputerze (przeglądanie stron WWW itp.).

Głównym sposobem obrony przed końmi trojańskimi jest trwała profilaktyka polegająca na ostrożnym przestrzeganiu zasad polityki bezpieczeństwa, w której powinno być jasno napisane, że należy zwrócić szczególną uwagę na otwieranie nieznanych załączników do wiadomości e-mail. Do roli administratora należy natomiast używanie ściany ogniowej i zapewnienie stacjom roboczym aktualnego oprogramowania chroniącego z automatycznymi aktualizacjami definicji koni trojańskich.

Wirus

Jest także prostym programem komputerowym, który zupełnie jak wirus biologiczny powiela się w sposób niekontrolowany, lecz wymaga nosiciela – w tym wypadku innego programu komputerowego, pliku. Najczęściej ofiarami wirusów padają niedoświadczeni użytkownicy systemów operacyjnych surfujący po Internecie i ściągający różne pliki bez ich weryfikacji lub nawet zainstalowanego systemie pakietu antywirusowego. Rodzajów wirusów jest bardzo wiele. Ogólnie wirus różni się tym od konia trojańskiego, że nie jest aplikacją typu klient-serwer i napastnik nie ma wpływu w jaki sposób jego program się namnoży i gdzie się namnoży poza pierwszym nosicielem. Zagrożenie wirusami jest powszechnie znane i nie wymaga większego komentarza, poza faktem, że należy się przed nimi zabezpieczać instalując na stacjach roboczych dobre, aktualne programy antywirusowe, gdyż stacje robocze z reguły mają zainstalowany system Windows, a to on w szczególności jest podatny na wirusy (dystrybucje linuksowe z uwagi na architekturę nie są w ogóle podatne na zagrożenie wirusem).

Robak

Robak komputerowy jest obecnie najpowszechniejszym zagrożeniem z grupy złośliwego oprogramowania. Najszybciej się rozprzestrzenia z tego względu, że jego samo replikacja na inne maszyny nie wymaga interakcji człowieka. Zadania robaka są przede wszystkim złożone. W celu replikacji musi on pozyskać dane o innych maszynach (za pomocą książek adresowych, samopingowania sieci, bądź replikacji rozgłoszeniowej), musi zebrać informacje poufne z systemu i szkodliwie na niego oddziaływać. Robak dodatkowo może pełnić dowolną funkcję innego złośliwego oprogramowania – wirusa, konia trojańskiego, aplikacji spyware czy dialera połączeniowego.

Rys. 3.2.2.11. Fazy ataku robaka komputerowego. (Źródło: Opracowanie własne.)

Fazy ataku robaka komputerowego:

• skanowanie – robak opuszczając maszynę napastnika przeprowadza rekonesans ogólny w poszukiwaniu podatnych systemów na mechanizmy jego ataku
• próba włamania – po pomyślnym skanowaniu robak próbuje dostać się do systemu, w zależności od tego w jaki sposób został napisany może atakować z poziomu przeglądarki stron internetowych, z załączników e-mail lub innych źródeł.
• zapewnienie przetrwania – jeżeli włamanie przebiegło pomyślnie to robak musi zapewnić sobie przetrwanie w systemie na wypadek ponownego uruchomienia komputera, w tym wypadku kopiuje się na dysk. Z reguły w postaci pliku systemowego o nazwie niebudzącej zastrzeżeń.
• samoreplikacja – po zapewnieniu sobie stałego miejsca do ataku, robak przeprowadza samo replikację na systemy lokalne ofiary do której się włamał, przeprowadzając ponownie skanowanie maszyn.
• szkodliwe działanie – jeżeli robak odnalazł inne podatne systemy to wykonuje zamierzone szkodliwe działanie na systemie wedle celów jego autora. Czasami robak może oddziaływać na system także gdy wystąpiło niepowodzenie w stosunku do samo replikacji, jednakże w dobie komputerów każdy w jakiś sposób ma kontakt z innym komputerem, co zapewnia robakowi przetrwanie.

Bardzo trudno jest się bronić przeciwko oprogramowaniu złośliwemu jeżeli użytkownik systemu nie jest świadomy zagrożenia. W przedsiębiorstwie najlepszym wtedy rozwiązaniem jest implementacja narzędzi NIPS i HIPS służących do wczesnego wykrywania i oddziaływania na intruzów. [2]

Atak siłowy i słownikowy

Atak siłowy (ang. brute force) jest najprymitywniejszą formą ataku komputerowego. Stąd jego nazwa, że nie wymaga żadnych specjalnych technik do włamania, a jedynie siłowo, łopatologicznie wypróbowywane są kolejne ciągi znaków celu odgadnięcia prawidłowego hasła uzyskując ten sam ciąg. Atak słownikowy jest bardzo podobny do siłowego, lecz nie wykonuje on prób wszystkich znaków, a podawane są znane ciągi znaków stosowane w mowie i piśmie. Stąd nazwa ataku słownikowego, że z reguły pliki z ciągami znaków są słownikami wyrazów wzmocnionymi o typowe kombinacje i modyfikacje zwrotów. Np. w dobrym pliku słownikowym można odnaleźć wyraz „kot” i jego społeczne wariacje: „Kot”, „KOt”, „KOT”, „kOt”, „kOT” oraz „k0t”, „K0t” i „k07”, „K07”. Na domiar złego nie potrzeba samemu konstruować tak skomplikowanego słownika złożonego z ogromnej liczby ciągu znaków, gdyż są takie dostępne w sieci.

Jednak te najstarsze ataki nie są dość skuteczne jeżeli chodzi o próby logowań do systemu, gdyż wystarczy ograniczyć tę próbę do odpowiedniej liczby w odpowiednim czasie i w ten sposób konstruując trudne hasło napastnik musiałby spędzić kilka tysięcy lat na odgadnięciu właściwego ciągu nawet gdy atak słownikowy jest o wiele szybszy od siłowego.

Atak siłowy i słownikowy jednak zyskuje na znaczeniu gdy napastnik uzyskał dostęp do poufnego, zaszyfrowanego pliku. Wtedy mając odpowiednią maszynę o dużej mocy obliczeniowej jest w stanie rozszyfrować zawartość pliku, więc należy się skupić na prawidłowym zabezpieczaniu dostępu do plików, co w sektorze bezpieczeństwa komputerowego jest sprawą oczywistą.

Rys. 3.2.2.12. Zrzut ekranu z wydobytymi hasłami za pomocą narzędzia Cain. (Źródło: Program Cain: http://oxid.it/ 30.05.2009 r.)

Istnieje wiele narzędzi wykorzystujących atak siłowy i słownikowy. Jednym z potężniejszych jest kombajn łamiący o nazwie Cain, służący jako narzędzie rozszyfrowujące, podsłuch i dekoder. Program jest darmowy i każdy po minucie jest w stanie nauczyć się z niego korzystać.

Ważne jest by uwzględnić w polityce bezpieczeństwa, że pracownicy nie mogą ze swojego komputera transferować żadnych plików systemowych, gdyż każdy może zawierać informacje o podatności na ten system. Pliki mogą zostać wydobyte także w sposób socjotechniczny, więc należy zwrócić na ten fakt pracownikowi uwagę.

Ad. c. Ogólny aktywny atak na dostępność danej – charakteryzuje się tym, że atak jest swoistą próbą jednej lub wielu stacji mających na celu ograniczyć używalność atakowanego systemu. Jest to najniebezpieczniejszy atak, powodujący znaczne uszkodzenia w sieci produkcyjnej z powodu, że przerywa jej działanie. Dodatkowo do niedawna ataki na ograniczenie dostępności były trudno wykrywalne, gdyż potencjalnie nie wykorzystują luk w systemach lecz jego ograniczenia zasobowe. Ogólny atak aktywny na dostępność jest właśnie próbą zajęcia wszystkich zasobów serwera.

Rys. 3.2.2.13. Schemat ogólnego aktywnego wyżerania zasobów z atakowanego serwera. (Źródło: Opracowanie własne.)

Wyróżnia się następujące ataki na ograniczenie dostępności:

DoS (TCP SYN Flood, atak ICMP)

Atak DoS (Denial of Service) jest atakiem znamiennym grupy ataków na dostępność. Przykładem jest atak TCP SYN Flood. Stacja robocza napastnika generuje ogromną ilość pakietów synchronizacyjnych w trybie TCP Three-way Handshake, jednak nie wysyła pakietu ACK na sam koniec tym samym pozostawiając otwarte gniazda na serwerze, których ilość w końcu się skończy.

Rys. 3.2.2.14. Schemat ataku TCP SYN Flood. (Źródło: Opracowanie własne.)

Obrona przed atakiem typu TCP-SYN Flood polega na włączeniu usługi TCP Intercept badającej stan nawiązywania połączenia zorientowanego. Może działać w dwóch trybach:

• intercept – router symuluje rolę serwera wysyłając na pakiet SYN odpowiedź SYN-ACK, jeżeli otrzyma on pakiet ACK to wtedy przenosi konwersację na serwer i nawiązuje połączenie z nadawcą. Jest to rozwiązanie obciążające router, lecz bezpieczniejsze niż przepuszczanie ruchu na serwer produkcyjny
• watch – w trybie patrzenia router sprawdza czy połączenia są całe, jeżeli nie to tworzy blokadę dla połączenia pomiędzy serwerem, a nadawcą.

Z kolei atak ICMP, zwany również „Pingiem Śmierci” polega na wysłaniu wielu pakietów z tak dobranym rozmiarem, że powoli zacznie obciążać zasoby ofiary poprzez fragmentację dużych pakietów na mniejsze, częściej występujące. Rozmiar dobranego pakietu zależy od wielu czynników takich jak przepustowość łącza ofiary, którą wersję Ethernetu obsługuje karta sieciowa oraz system operacyjny.

DDoS (atak Smurf, atak Botnetu)

Atak DDoS jest nowszą wersją ataku Denial of Service. Dodano słowo „Distributed” oznaczające, że atak na dostępność jest przeprowadzany z wielu komputerów napastniczych i skierowanych w jedną ofiarę co spowoduje szybsze przepełnienie się zasobów serwerowych. Zbiór nieświadomie posłusznych komputerów wykonujących za napastnika atak jest nazywana botnetem. Przykładem ataku DDoS jest Smurf, wykorzystujący legalne małe narzędzie ping do wywołania lawiny pakietów pochłaniającej zasoby odbiorcy, który próbuje na nie odpowiedzieć.

Rys. 3.2.2.15. Schemat ataku Smurf. (Źródło: Opracowanie własne.)

Zgodnie z normalnym trybem działania protokołu ICMP przy zapytaniu ping jest odpowiedź na adres IP źródłowy z jakiego przyszło zapytanie, więc jeżeli napastnik wyśle zapytanie ze sfałszowanym adresem źródłowym na adres rozgłoszeniowy sieci zawierającej wiele komputerów to zaczną one jednocześnie odpowiadać na zapytanie do serwera, który ich się nie spodziewa i jego zasoby określające przepustowość zaczną być ograniczane.

Ogólną wadą wyżej wymienionych ataków jest czas w którym muszą one działać by przynieść pożądany dla napastnika szkodliwy skutek. Czas ten jest zależny od tego jaką mocą obliczeniową i jakim łączem dysponuje ofiara. Jeżeli te parametry są lepsze to atak musi potrwać dłużej. Inaczej jest w przypadku ataków wewnętrznych i zbliżeniowych na dostępność. Skutek, którym może być awaria, przerwanie działania sieci jest natychmiastowy.

Atak na protokół STP i VTP

Protokół drzewa opinającego STP (ang. Spanning-tree Protocol) wykorzystywany jest w celu zapewnienia redundantnych łącz lokalnych na przełącznikach. Został stworzony by zniwelować możliwość wystąpienia pętli przełączeniowych w sieci lokalnej na skutek podłączenia do przełącznika innego przełącznika za pomocą dwóch lub większej ilości kabli.

W protokole STP występuje pojęcie przełącznika głównego (ang. Root bridge), który jest wybierany z pomocą algorytmów przeliczających lepszą wartość w protokole. Algorytmy STP porównując tzw. BID (Bridge Identifier) – identyfikator przełącznika wybiera na przełącznik główny ten, którego BID jest najniższą wartością pomiędzy liczbą 32768, a 1. BID składa się z wartości priorytetu, adresu fizycznego przełącznika i numeru VLAN.

Protokół VTP (VLan Trunking Protocol) powstał w celu usprawnienia przesyłania informacji o bazie sieci wirtualnych do innych przełączników bez konieczności wprowadzania tych danych oddzielnie na każdy z nich. W protokole występują tzw. numery rewizyjne konfiguracji na podstawie których przełącznik wie, czy przyjąć rozgłaszaną konfigurację VTP, czy może jest to już nieaktualna wersja i należy ją zignorować.

Oba protokoły mogą być w jawny sposób wykorzystane w celu zniszczenia sieci produkcyjnej za pomocą ataku wewnętrznego lub zbliżeniowego z grupy ataków na dostępność.

W wersji ataku zbliżeniowego na protokół STP, napastnik może pojawić się w miejscu gdzie przełącznik firmowy jest słabiej chroniony i podłączyć do niego swój przełącznik, który będzie miał specjalnie spreparowaną niższą wartość BID w taki sposób, że przy przeliczaniu wartości topologii po jego wpięciu wygra elekcję na przełącznik główny. Porty, które początkowo przesyłały dane nagle mogą zmienić swój tryb na blokowanie ruchu w celu zapewnienia topologii wolnej od zapętleń.

Rys. 3.2.2.16. Schemat ataku zbliżeniowego STP. (Źródło: Opracowanie własne.)

Takie działanie napastnika może zakłócić nieprzerwaną pracę całej sieci produkcyjnej, która będzie przesyłać ramki w inny niż ustalony wcześniej sposób, lecz atak zbliżeniowy STP może być także niewiedzą pracownika. Załóżmy, że pracownik przyszedł do pracy ze swoim laptopem, mając na biurku komputer stacjonarny i jedno gniazdo Ethernetowe. Przyniósł swój przełącznik i go podłączył, nagle sieć przestała działać, bo przełącznik był starszy niż firmowe, czyli jego MAC adres był na pewno niższy, więc jego urządzenie zwyciężyło w nowej elekcji na przełącznik główny odcinając sieć od zasobów serwerowych. Inaczej jest w przypadku świadomego działania, lecz w sposób wewnętrzny. Napastnik być może ma możliwość przeprowadzania zmian konfiguracyjnych na urządzeniach. Uzyskał ten dostęp wykorzystując dowolną podatność w systemie. Zmienia on priorytet zaatakowanego przełącznika na niższy co znowu spowoduje rekalkulacje i zakłócenie działania sieci. Dwa pierwsze przypadki winny być opisane w sekcji zagrożeń fizycznych, lecz nie powodują one takich uszkodzeń, a jedynie komputerowe, więc sklasyfikowano je do grupy ataków komputerowych. Podobnie jest atakiem zbliżeniowym na protokół VTP. Napastnik lub pracownik firmy może podłączyć przełącznik, który został skonfigurowany świadomie bądź nie w taki sposób, że numer rewizyjny konfiguracji będzie większy niż te w sieci produkcyjnej. Oznacza to wtedy, że wszystkie przełączniki w trybie klienckim lub serwerowym przyjmą tę konfigurację VLAN-ów za swoją, zwiększając swoje numery rewizyjne do wartości z wpiętego przełącznika +1.

Rys. 3.2.2.17. Schemat ataku VTP. (Źródło: Opracowanie własne.)

Nowe informacje z serwera VTP mogą powodować wymazanie prawidłowo dla firmy skonfigurowanych informacji o VLAN’ach i na jakich portach pracują, co całkowicie ograniczy funkcjonalność sieci produkcyjnej w działaniu.

Sposobami obrony na ataki STP są trzy rozwiązania. Włączenie mechanizmu ochrony portów przełącznika (port-security). Włączenie Root Guard chroniącego przełącznik główny przed niespodziewaną elekcją. Włączenie BPDU Guard – mechanizmu wyłączającego porty stacji roboczych wtedy gdy otrzymają one ramki z BPDU (porty na stacjach roboczych nigdy nie powinny jej otrzymać, gdyż komputer pracowniczy takich ramek nie wysyła, a jedynie przełącznik. Jeśli pojawił się przełącznik na porcie typu access oznacza to naruszenie zasad bezpieczeństwa.). W przypadku obrony przed atakami VTP również stosuje się mechanizm port-security. Reszta zabezpieczeń wynika z ulepszeń w nowej wersji protokołu VTP, chronionej hasłem i przypisaniem do domeny. Ewentualnie jeżeli wszystko w sieci produkcyjnej jest prawidłowo ustawione można zmienić tryby VTP przełączników na przeźroczyste co spowoduje ignorowanie ramek rozgłoszeniowych VTP z numerami rewizyjnymi. Z innowacyjnych metod można zastosować autentykację 802.1x po porcie przełącznika. Jednak wymaga ona obsługi protokołu EAPoL na stacji roboczej (dopiero od Windows Vista), na przełączniku i serwerze 802.1x. Nie mniej jest to rozwiązanie bardzo skuteczne i elastyczne. Np. za pomocą mechanizmu dot1x można przenieść nieprawidłowo zautentykowanego użytkownika do osobnego VLANu z bardziej rygorystycznymi zasobami lub użytkownika, który jest ograniczony brakiem możliwości logowania z pomocą protokołu EAPoL, do ograniczonych zasobów. [2]

Atak na protokół SNMP

Napastnik, który uzyskał dostęp do sieci produkcyjnej i działa w niej zarządzanie zdalne za pomocą protokołu SNMP – może on spowodować zmianę konfiguracji urządzeń lub pozyskać z nich poufne informacje. Problem zostanie szerzej opisany w rozdziale dotyczącym skutecznego monitoringu i zarządzania, jednak z uwagi na fakt, że jest to atak aktywny na dostępność – informacja została tutaj zamieszczona.

Atak na protokół NTP

Protokół synchronizacji czasu NTP z pozoru nie ma zbyt wielkiego znaczenia w istnieniu sieci produkcyjnej. Lecz często atak na protokół NTP jest powiązany z groźniejszym atakiem aktywnym. Atak dystrybucyjny na czas ma na celu pozostawienie furtki dla napastnika dla przyszłych ataków i włamań. Jeżeli zaatakuje on sektor sieci odpowiedzialny za synchronizację czasu urządzeń to jest w stanie zmodyfikować czasy logów urządzeń w taki sposób, że w teorii nikt nigdy nie zauważyłby, że napastnik włamał się do systemu. Taka zmiana również w razie wpadki włamywacza jest trudniejsza do udowodnienia przed sądem, gdzie głównym przeważnie dowodem w sprawie są właśnie logi wydrukowane z urządzeń. Łatwo jednak się przed atakiem NTP zabezpieczyć, gdyż wystarczy wysyłać te logi w kilka niezależnych od siebie miejsc i starannie konserwować.

Groźne debugowanie i niekontrolowany sztorm rozgłoszeniowy

Debugowanie – czyli podglądanie komunikatów systemowych na bieżąco, mocno obciąża dany system. Nie jest to polecane działanie w przypadku sieci produkcyjnych, gdyż może spowodować to zator lub przerwę w działaniu ze względu na ogromne ilości danych jakie musi generować urządzenie w celu pokazania ich człowiekowi. W polityce bezpieczeństwa winna być napisana informacja, że nie wolno debugować urządzeń. Jednak napastnik mając dostęp zbliżeniowy do urządzenia może włączyć debugowanie na urządzeniach i w szybkim tempie się oddalić. W krótkim czasie szybkość działania sieci na pewno zmaleje, a znalezienie winowajcy może się wtedy okazać bardzo trudne. Skutecznym sposobem obrony przed takim działaniem jest odpowiedni przydział praw dostępu dla odpowiednich pracowników. Innymi słowy, jeżeli pracownik nie potrzebuje czegoś w swojej pracy to powinno to zostać dla niego ograniczone w dostępie.

Pojęcie sztormu rozgłoszeniowego oznacza, że przez sieć zaczyna przepływać za dużo pakietów typu broadcast, które w krótkim czasie zaczynają się namnażać nie mając ujścia. Powodem może być zapętlenie się przełączników, gdy protokół STP lub VTP zacznie źle działać w przypadku wpięcia przez napastnika jego przełącznika lub poprzez atak typu DoS/DDoS wysyłający zapytania ICMP na adresy rozgłoszeniowe wewnątrz sieci. Jeżeli w sieci lokalnej wystąpi sztorm rozgłoszeniowy to normalna transmisja już się nie mieści w granicy przepustowości urządzeń i medium, co ogranicza lub wyłącza działanie sieci. O tyle jest to groźny atak, że uderza nie tylko w urządzenia produkcyjne w sieci, ale także w zwykłe stacje robocze, które również mogą zostać wyłączone z prawidłowego działania poprzez zbyt duży napływ pakietów do karty sieciowej. Powszechnie stosowanym rozwiązaniem jest implementacja usługi Kontroli Sztormu na przełączniku i routerze. Poprzez zdefiniowanie procentowego poziomu przepustowości osiągniętego przez pakiety rozgłoszeniowe i zdefiniowanie typu akcji na to zdarzenie można w prosty sposób kontrolować
„przepływność” transmisji w sieci lokalnej.