Síťové útoky (32)
Fragmented_distribution attack
Tsunami SYN Flood útok je zajímavý varianta tradičního SYN flood útoku. Věříme, že útočníci se snaží napadat chráněné prostředí, které by obvykle blokují klasický SYN Flood, ale ne této variantě. Naproti tomu, povodeň tsunami SYN může způsobit saturaci internet potrubí. Na rozdíl od jiných známých nasycení potrubí trestných činů spáchaných prostřednictvím většinou UDP, povodeň útok Tsunami SYN se provádí přes běžnější protokolu TCP. Zaznamenali jsme útoky na celé IP adresu a port rozsahy, opět se snaží obejít tradiční SYN protipovodňové ochrany očekával útok na konkrétní IP adresu a port.
SYN-ACK Flood
SYN-ACK povodeň je metoda útok, který zahrnuje odeslání cílový server falešnou SYN-ACK paket vysokou rychlostí. Vzhledem k tomu, server vyžaduje značnou výpočetní výkon se pochopit, proč to je s přijetím těchto paketů out-of-order (není v souladu s běžným SYN, SYN-ACK, ACK TCP třícestné mechanismus), může to být tak zaneprázdněn manipulaci útok provoz, že to nemůže zvládnout legitimní provoz, a tím i útočníci dosáhnout stavu denial-of-service.
Síť Solipsis je pravděpodobně vhodné pro UDP nejlepší: jednosměrný krátkých zpráv s oznámením, bez kritického obsahu (alespoň ne ve vrstvě, která se stará o topologie a údržba). Také Solipsis má být využitelná na ad-hoc mobilních sítí, kde TCP nemusí být velmi dobrou volbou (?). Je zřejmé, UDP má tu nevýhodu, že vede velmi málo věci v porovnání s TCP. Jedním z problémů je fragmentace; as UDP je datagram protocole, fragmentace musí být řešeny na jakékoliv úrovni.
PUSH a ACK Flood
Při připojení se serverem, může klient požádat o potvrzení, že údaje jsou poskytovány nastavením ACK vlajky, nebo to může donutit server zpracovává informace v paketu nastavením PUSH vlajku. Obě žádosti vyžadují server, udělat více práce než s jinými typy žádostí. Záplavami server s rušivých tlačit a ACK žádosti, útočník může zabránit serveru reagovala na platné provozu. Tato technika se nazývá PUSH nebo ACK povodeň. Vzhledem k tomu, PUSH a ACK zprávy jsou součástí standardní dopravního proudu, obrovská záplava těchto zpráv sama označuje zneužívání. Použití plné-proxy architekturu řídit každý rozhovor mezi klientem a serverem může rychle vyřadit zneužití. Oba F5 BIG-IP Local Traffic Manager (LTM) a BIG-IP Advanced Firewall Manager (AFM), jsou postaveny na plné-proxy architektury, takže mohou určit platné plynulost dopravy a pokles tlačit a ACK dopravní povodně tak se nikdy předat chráněné síť.
Chargen služba byla detekována jako běh. (Port 19), služba chargen mohou být falešné do odesílání dat z jedné služby na jednom počítači s jinou službou v jiném počítači. Tato akce způsobí nekonečnou smyčku a vytváří odmítnutí služby útoku. Útok může spotřebovat rostoucí množství šířky pásma sítě, což způsobuje snížení výkonu nebo úplného vypnutí dotčených síťových segmentů. Kromě toho, adresy URL, například "http: // localhost: 19" by mohlo způsobit podobný odmítnutí služby do systému se systémem Lynx a chargen. Netscape Navigator zakazuje přístup k portu 19 a není zranitelný.
SSDP (Simple Service Discovery Protocol) - známý jako Universal Plug and Play (UPnP) - umožňuje zařízením objevit své sousedy, a to buď prostřednictvím zjišťování sítě služeb (Search) nebo síť vysílání (Notify). Po rekordním DNS a NTP útoky na začátku tohoto roku, tento všudypřítomný protokol se stal dalším obětí vykořisťování hackery, kvůli zranitelnostínalezených v populárních zařízení, jako jsou routery a NAS. Tento článek obsahuje 1) analýzu o povaze SSDP DDoS útoků, ve srovnání s ostatními v zesílené reflexivní útoku rodině; 2) Některé statistiky jsme shromážděné od SSDP DDoS útok vzorků; a 3) poradenství v oblasti zmírňování SSDP. Zvláštní poděkování patří do bezpečnostní komunitě přispívání vzorků SSDP DDoS útoků a za jejich velkou pomoc při analýze ty.
Sockstress DDoS útok: TCP-Connection Clogger
Podobně jako Slowloris , útok Sockstress používá TCP spojení vyčerpat jiné zdroje.
Exploit je kód pro napadení zranitelného počítače.
Fake wireless access points
Ne hack je snazší dosáhnout než falešné WAP (Wireless Access Point). Každý, kdo používá trochu softwaru a bezdrátová síťová karta může inzerovat svůj počítač jako k dispozici WAP, která je spojena se skutečnou, legitimní WAP na veřejném místě. Myslet na všechny časy jste vy - nebo vaši uživatelé - šly do místní kavárny, letiště, či veřejném místě sběru a je propojen s "bezplatné bezdrátové připojení k síti". Hackeři v Starbucks, kteří volají své falešné WAP "Starbucks k bezdrátové síti" nebo na letišti Atlanta volají ji "Atlanta letiště zdarma bezdrátový" mají všechny druhy lidí napojených na svém počítači během několika minut. Hackeři pak může čichat nechráněné data z datových toků zasílaných mezi bezděčné oběti a jejich určených vzdálených hostitelů. To byste se divila, kolik dat, a to i hesla, jsou stále odesílány ve formátu prostého textu. Čím více hanebné hackeři požádá své oběti vytvořit nový účet pro přístup k použití jejich WAP. Tito uživatelé budou více než pravděpodobné, že používají společnou přihlašovací na jméno nebo jedno z jejich e-mailové adresy, spolu s heslem, které používají jinde. WAP Hacker pak může zkusit pomocí stejných přihlašovacích pověření na oblíbené webové stránky - Facebook, Twitter, Amazon, iTunes, a tak dále - a oběti se nikdy nedozví, jak se to stalo. Lekce: Nemůžete věřit veřejných bezdrátových přístupových bodů. Vždy chránit důvěrné informace zaslané přes bezdrátovou síť. Zvážit použití připojení VPN, který chrání všechny vaše komunikace, a ne recyklovat hesla mezi veřejným a soukromým míst.
Cookie theft
Cookies jsou skvělý vynález, který zachovává "stav", když uživatel přejde na webové stránky. Tyto malé textové soubory, zaslané na naše stroje prostřednictvím internetových stránek, pomáhají webové stránky nebo služby sledovat nás přes naší návštěvy nebo v průběhu několika návštěvách, což nám umožňuje snadněji kupovat džíny, například. Co se ti nelíbí? Odpověď: Když se hacker krade naše sušenky, a na základě Přitom se stane nás - stále častější výskyt těchto dnech. Spíše se stávají ověřen našich webových stránkách, jako kdyby nás byli a dodala platné přihlašovací jméno a heslo. Jistě, krádež cookie byl asi od vynálezu webu, ale v těchto dnech nástroje, aby byl proces stejně snadné jako kliknutí, cvak, cvak. Firesheep , například, je prohlížeč Firefox add-on, který umožňuje lidem krást nechráněných cookies další. Při použití s falešným WAP nebo na sdíleném veřejné síti, cookie únos může být velmi úspěšný. Firesheep se zobrazí všechny názvy a umístění cookies je nález, a s jednoduchým kliknutím myši, může hacker převzít relaci (viz blog Codebutler pro příklad , jak snadné je používat Firesheep ). Horší je, že hackeři nyní může ukrást i SSL / TLS-chráněné soubory cookie a čichat je z řídkého vzduchu. V září 2011, útok označené "BEAST" jeho tvůrci se ukázalo, že i SSL / TLS-chráněné soubory cookie mohou být získány. Další vylepšení a vylepšení tento rok, včetně dobře pojmenované CRIME , dělali krádeže a opakované použití šifrované soubory cookie ještě jednodušší. S každým propuštěn cookie útoku, webové stránky a vývojáři aplikací řečeno, jak chránit své uživatele. Někdy odpověď je používat nejnovější šifrovací šifru; jindy je zakázat nějaké obskurní funkci, že většina lidí nepoužívá. Klíčem k úspěchu je, že všechny webové vývojáře je nutné použít bezpečné techniky rozvoje ke snížení krádeží cookie. Pokud vaše webové stránky neaktualizoval svou ochranu kódováním během několika let, jste pravděpodobně v nebezpečí. Poučení: I šifrované soubory cookie mohou být ukradené. Připojení k webové stránky, které využívají bezpečné techniky vývoje a nejnovější silné šifrování. Https webové stránky by měly být s využitím nejmodernějších silné šifrování TLS, včetně verze 1.2.
File name tricks
Hackeři byly pomocí názvů souborů triků, abychom se dostali ke spuštění škodlivého kódu od začátku malware. Brzy příklady součástí pojmenování souborů něco, co by povzbudit nic netušící oběti na něj klikněte (jako AnnaKournikovaNudePics) a používáte více přípony souborů (například AnnaKournikovaNudePics.Zip.exe). Až do dnešního dne, ostatní operační systémy Microsoft Windows a snadno schovat "dobře známých" přípony souborů, které učiní AnnaKournikovaNudePics.Gif.Exe vypadat AnnaKournikovaNudePics.Gif. Před lety, malware virus programy označované jako "dvojčata", "jikrnáčů," nebo "společník viry" spoléhal na málo známé funkce systému Microsoft Windows / DOS, kde i když jste zadali v názvu souboru Start.exe, Windows bude vypadat pro a pokud je nalezen, spusťte Start.com místo. Doprovodné viry bude vypadat pro všechny exe soubory na pevném disku, a vytvořit virus se stejným názvem jako EXE, ale s příponou .com. To už dávno byla stanovena společností Microsoft, ale jeho objev a využití časnými hackery položila základy pro nápadité způsoby, jak skrýt viry, které i nadále vyvíjet dnes. Mezi více sofistikovaných triků souborových přejmenování v současné době používaných je použití znaků Unicode, které mají vliv na výstup z uživatelů název souboru jsou prezentovány. Například znak Unicode (U + 202E), nazvaný zprava doleva napojení, může oklamat mnoho systémů do zobrazení souboru ve skutečnosti s názvem AnnaKournikovaNudeavi.exe jako AnnaKournikovaNudexe.avi. Lekce: Kdykoliv je to možné, ujistěte se, že znát skutečnou, kompletní název jakéhokoliv souboru před spuštěním.
Location, location, location
Dalším zajímavým stealth trik, který používá operační systém proti sobě je umístění souboru trik známý jako "relativní proti absolutní." Ve starších verzích systému Windows (Windows XP, 2003 a starší) a jiných časných operačních systémů, pokud jste zadali v názvu souboru a stiskněte klávesu Enter, nebo v případě, že operační systém šel hledat soubor vaším jménem, to by vždy začínat aktuální složky nebo umístění adresáře první, než se podíváme na jiném místě. Toto chování může zdát efektivní a neškodné dost, ale hackeři a malware používá ji ve svůj prospěch. Předpokládejme například, že jste chtěli spustit vestavěný, neškodný kalkulačka Windows (Calc.exe). Je to dost snadné (a často rychlejší než pomocí několika kliknutí myší) otevřít příkazový řádek, zadejte Calc.exe a stiskněte klávesu Enter. Ale malware by mohl vytvořit škodlivý soubor s názvem calc.exe a schovat ji v aktuálním adresáři nebo složce domácí; při pokusu spustit Calc.exe, bylo by to spustit falešný kopie místo. Miloval jsem tuto chybu jako penetrace testeru . Často poté, co jsem se vloupal do počítače a potřeboval pozvednout své oprávnění správce, tak bych vzít unpatched verzi známého, předem zranitelné kus softwaru a umístit jej do dočasné složky. Většinu času vše, co jsem musel udělat, bylo místo jediné zranitelné spustitelný nebo DLL, při odchodu z celokrajné, dříve nainstalované opravenou programu sám. Byl bych zadejte název souboru spustitelný program v mé dočasné složky a Windows by načíst můj zranitelný, trojského spustitelný soubor z mé dočasné složky namísto více nedávno opravenou verzi. Milovala jsem to - jsem mohl využít plně opravenou systém s jediným špatným souboru. Linux, UNIX a BSD systémy mají tento problém vyřešen po dobu delší než deset let neměl. Microsoft opravil problém v roce 2006 s verzí systému Windows Vista / 2008, ačkoli problémem zůstává starších verzích z důvodu problémů zpětné kompatibility. Microsoft byl také varovné a učení vývojářům používat absolutní (nikoli relativních) jména souboru / cesta v rámci svých vlastních programů po mnoho let. Přesto desítky tisíc starších programů jsou náchylné k umístění triků. Hackeři vědí lépe než kdokoliv jiný. Lekce: Použití operační systémy, které prosazení absolutní adresáře a složek cesty a hledat soubory ve výchozí systémové oblasti jako první.
Hosts file redirect
Neznámý pro většinu dnešních počítačových uživatelů je existence souboru hosts s názvem DNS související. Nachází se pod C: \ Windows \ System32 \ drivers \ etc v systému Windows, soubor hostitelé mohou obsahovat položky, které odkazují zadali-in doménových jmen na jejich odpovídající IP adresy. Soubor Hosts byl původně používán DNS jako způsob, jak pro hostitele lokálně name-to-IP adresa vyřešit vyhledáváními aniž by bylo nutné kontaktovat servery DNS a provádět překlad názvů rekurzivní. Ve většině případů, DNS funguje stejně dobře a většina lidí nikdy komunikovat s jejich souboru Hosts, když je to tam. Hackery a malware rád psát své vlastní škodlivé položky k hostitelům, takže když někdo typů v oblíbené doménového jména - řekněme bing.com - jsou přesměrováni někam jinam více škodlivý. Přesměrování škodlivý často obsahuje téměř dokonalé kopie původního požadovaného webové stránky, takže ohrožený uživatel neví spínače. Toto využití je ještě v širokém používání dnes. Poučení: Pokud nemůžete přijít na to, proč jste přesměrováni nebezpečným způsobem, podívejte se na soubor Hosts.
Waterhole attacks
Napajedlo útoky dostal svůj název od svého geniálního metodiky. V těchto útocích hackeři využít skutečnosti, že jejich cílené oběti často setkat nebo práce na konkrétním fyzickém nebo virtuálním místě. Pak se "jed", která poloha pro dosažení cílů škodlivé. Například většina velkých firem má místní kavárnu, bar nebo restauraci, která je oblíbená u zaměstnanců společnosti. Útočníci se budou vytvářet falešné WAPs, ve snaze získat co nejvíce firemních pověření jak je to možné. Nebo útočníci budou nebezpečným způsobem modifikovat hojně navštěvovanou webovou stránku, aby učinili totéž. Oběti jsou často mnohem uvolněnější a nic netušící, protože cílené umístění je veřejný nebo společenský portál. Napajedlo útoky se staly velkou novinkou tohoto roku, kdy několik high-tech profil společnosti, včetně společnosti Apple, Facebook a Microsoft, mimo jiné, byly ohroženy kvůli populární pro vývoj aplikací webových stránek jejich vývojáři navštívili. Na webových stránkách byl otráven pomocí škodlivého JavaScriptu přesměruje které byly instalovány malware (někdy nula dní) na počítačích vývojářů. Ohrožena vývojářské pracovní stanice pak byly použity pro přístup k vnitřní sítě oběti společností. Lekce: Ujistěte se, že vaši zaměstnanci si uvědomit, že populární "zalévání díry" jsou obyčejné hackerů cíle.
Bait and switch
Jedním z nejzajímavějších probíhající hackerské techniky se nazývá návnada a vypínač. Oběti jsou řečeno, že stahování nebo spuštění jednu věc, a dočasně jsou, ale to se pak přepne se s nebezpečným položky. Příklady přetékají. Je běžné, že sypače malware kupovat reklamní prostor na oblíbené webové stránky. Na webových stránkách, kdy potvrzení objednávky, jsou zobrazeny na nonmalicious odkaz nebo obsah. Na webových stránkách schvaluje reklamy a bere peníze. Špatný člověk přepne propojení nebo obsah s něčím více škodlivý. Často oni budou kódovat nový škodlivé webové stránky k přesměrování diváky zpět do původního odkazu nebo obsah při pohledu zpředu někdo z IP adresy patřící k původnímu schvalovatele. To komplikuje rychlou detekci a vzít dolů. Mezi nejzajímavější návnadu a přepínač útoky jsem viděl, jak pozdě zapojit padouchy, kteří vytvářejí "volné" obsah, který lze stáhnout a používat kdokoli. (Think konzoly pro správu nebo počítadlo návštěvnosti na spodní části webové stránky). Často tyto volné aplety a prvky obsahovat ustanovení o licenční který říká, že v tom smyslu, "může být libovolně opakovaně tak dlouho, dokud původní odkaz zůstane." Nic netušící uživatelé používají obsah v dobré víře, přičemž původní odkaz nedotčený. Obvykle původní odkaz bude obsahovat nic kromě grafického souboru znaku nebo něco jiného triviálního a malé. Později, po falešné prvek byl zahrnut v tisících internetových stránek, originální škodlivý developer mění neškodný obsah pro něco škodlivého (jako škodlivý JavaScript přesměrování). Lekce: Dejte si pozor na jakékoliv vazby na jakýkoliv obsah není pod přímou kontrolou, protože může být vypnut v co nejkratší době bez vašeho souhlasu.