När du tar datasäkerhetsfrågor på allvar






 Startsida
 Tjänster
 Kunder
 Kontakt
 Utbildning
-------------------

ODIT

E-mail: posta@odit.se

Tel:
08-449 72 29


Mobil:
070 521 69 25

 

 

Illvillig kod och applikationsattacker

Illasinnad kod

Illvillig kod är programmerbara datasäkerhetshot som exploaterar olika nätverkssystem, operativsystem, program och fysisk säkerhetssårbarhet för att sprida elaka nyttolast till datasystemen. Några illvilliga kod-objekten som datavirus och trojaner sprids, beroende på oansvariga dataanvändare, med framgång från system till system. Andra objekt som maskar sprider sig snabbt, på egen hand bland sårbara system.

Virus

Datavirus är den äldsta form av illvillig kod . Som det biologiska viruset, dataviruset har två grundfunktioner: att fortplanta sig och förstöra. För att kunna undvika upptäckt och förbigå de sofistikerade antivirus-teknologier, utformas koden för att implementera dess funktioner i nya och innovativa metoder . Spridningsfunktionen definiera hur viruset skall sprida sig från system till system och infektera varje maskin. Virusets nyttolast implementerar de elaka aktiviteter som virusmakaren har programmerat.

Virusspridnings-tekniker

Per definition, ett virus måste bestå av teknik som ser till att viruset prider sig från system till system, ibland med hjälp av oanade datoranvändare som vill dela med sig data/information genom utbyte av diskett/CD, delade nätverksresurser, skickade e-post, osv. När viruset nåt systemet använder det sig av en av många spridnings-tekniker för att infektera nya offer och expanderar sig. Det finns tre spridningstekniker: Master Boot Record infection, file infector och macro infection.

  1. Master Boot Record (MBR) virus

    Master Boot Record infection (MBR) är en de tidigaste kända form av virus. Dessa virus attackerar MBR som är den delen av hårddisken eller diskett som datorn använder för att ladda operativsystemet under boot-processen. Eftersom MBR är extremt litet (512 kb), kan den inte innehålla allt som koden kräver för att implementera virusets spridnings- och förstörande funktioner. För att kringgå den begränsningen lagrar MBR virus majoritet av dess koder i andra delar av lagringsmedia. När systemet läser den infekterade MBR, instruerar viruset systemet att läsa och exekvera koden som är lagrade i den delen av lagringsmedia, därvid laddas hela viruset i minnet.

     

  2. File infector virus

    Det viruset infekterar olika typer av exekverbara filer och utlöses när operativsystemet försöker att exekvera filerna. För Windows-baserade system, slutar dessa filer med .EXE och .COM. Spridningsrutiner av file infector virus kan lätt ändra koden av ett exekverbart program, därför implanterar teknologin som virus behöver för att kopiera sig och skada systemet. I vissa fall kan viruset kopiera hela filen med en infekterad version. Standard file infector virus som inte använder masktekniken (cloaking techniques) som smyg, förslutet (steath) eller kryptering upptäcks ganska lätt genom att jämföra filens egenskaper (storlek, modifieringsdatum) innan eller efter infektionen eller genom att jämföra hash-värdet.

    En variant av file infector virus är companion virus. Dessa virus innehåller isig exekverbara filer som undgår upptäckt genom användning av ett liknande filnamn men annorlunda form till en legitim operativsystem-fil. De förtröstar sig på en default extension som DOS-baserad operativsystem-tillägg till kommandon när programfiler exekveras (.COM, .EXE och .BAT, i den ordning). Ex. om du har ett program, i din hårddisk som heter GAME.EXE, en companion virus kan använda namnet GAME.COM. Om sedan du öppnar en DOS-prompt och helt enkelt skriver GAME, kommer operativsystemet att exekvera virusfilen, GAME.COM, istället för den avsedda filen GAME:EXE. Därför är det viktigt att undvika förkortningar när man arbetar i DOS-prompt.

  3. Macro virus

    Många vanliga applikationer implementerar en slags skriptfunktionalitet som hjälp för att automatisera de upprepade uppgifterna. Dessa funktionalitet använder ofta enkla men kraftfulla programmeringsspråk som Visual Basic for Application (VBA). Fastän makro erbjuder möjligheten till ökad produktivitet för datoranvändare, de öppnar systemen för andra möjligheter av infektion- makro virus. Melissa och I Love You är exempel på makro-virus. Makro-virus förökar sig snabbt på grund av att det enkelt skriva koden i skriptspråken som VBA som används av moderna applikationer.

Plattform

De flesta (99%) datavirusen är utformade för de populära operativsystemet Microsoft Windows.

Antivirus-mekanismer

Majoritet av antivirus-produkter använder en metod känd som signature based detection för att identifiera virus. En antivirus-produkt innehåller en extremt stor databas som innehåller egenskaper av alla kända virus. Den periodisk undersöker alla filer som innehåller data som matchar dessa kriterier. Vid upptäckt, gör antivirus-programmet följande:

  • om det går att utrota viruset, antivirus-programmet desinfektera filen/filer

  • om antivirus-programmet känner igen viruset, men vet inte hur desinfektera filer, läggs det i karantän som sedan manuellt undersökas av användare

  • om det inte går att sätta i karantän, kan antivirus-programmet ta bort den infekterade filer för att bevara systemets tillförlitlighet.

Vid användning av signatur-baserad antivirus-program, kom ihåg då att antivirus-programmet är lika effektiv som den virus definitionsfilen är baserad på. Eftersom nya virus upptäck hela tiden skall därför antivirus-programmet ofta uppdateras.

Antivirus-programmet bekämpar även andra illasinnade koder så som trojaner, maskar, logiska bomber och andra olika form av e-post och webb-burna koder.

Andra säkerhetsprodukter som den populära Tripwire data integrity assurance package erbjuder en annan antivirus-funktionalitet. Tripwire är designade för att larma (varna) om otillåtna fil-modifikationer. Den ofta upptäcker vanställda webbserver och liknande attacker, men kan också varnar om kritiska system-exekverbara filer som COMMAND.COM är modifierade. Dessa system verkar genom att erhålla en databas av hashade värde av alla filer lagrade i systemet för att den ska kunna jämföra mellan två perioder.

Virus teknologier

Eftersom virus-detektering och utrotnings-teknologier ökar för att möta nya hot, har ny sort av virus utformade för att kringgå eller bekämpa dessa system dykt upp. Följande 4 specifika typer av virus som använder sneaky (smyg) tekniker för att undgå upptäckt: multipartite viruses, stealth viruses, polymorphic virus och encrypted virus.

  1. Multipartite viruses

    Multipartite viruses använder mer är en spridningsteknik i försök att penetrera systemen som försvarar sig endast mot en metod. T ex Marzia viruset som upptäcktes 1993 infekterade kritiska .COM och .EXE filer, framförallt COMMAND.COM-systemfil genom att addera 2048 bytes av illvillig kod till varje fil. två timar efter att ha infekterat systemet, skriver den illvilliga kol i systemets Master Boot Record, känd som boot sector virus.

     

  2. Stealth viruses

    Stealth viruses gömmer sig själva genom att manipulera operativsystemet för att lura antivirus-programmet att tro att allt är i sin ordning. T ex en stealh boot sector virus kan skriva i översystemets master boot Record illvillig kod men sedan också modifiera operativsystemets filens access-funktionalitet för att täcka över sina spår. När antivirus-programmet frågar efter en kopia av MRF, den modifierade operativsystemets koden förse den med exakt vad antivirus-programmet avser nämligen en ren version av MBR fri från virus. När system bootar det läses den infekterade MBR och därmed laddas viruset i minnet.

  3. Polymorphic virus

    Polymorphic virus modifiera sin egen kod när de förflyttar sig från system till system. Virusets spridnings- och förstörelse-tekniker kvarstår, men virusets signaturen ändras alltid och är ny för varje gång när viruset infekterar ett nytt system. Man har dock på senare tid crackat koden till många polimorphiska tekniker och idag kan många antivirus-program upptäcka kända polimorphiska virus.

  4. Encrypted virus

    Encrypted virus använder sig av krypteringsteknik för att undvika upptäckt. De liknar polymorphiska virus- varje infekterat system har ett virus med annorlunda signatur. De genererar inte dessa modifierade signaturer genom att ändra koden, utan istället de ändrar sättet att lagra sig i disken. Krypterade virus använder ett mycket kort segment av kod, känd som ”the virus decryption routine”, som innehåller nödvändig kryptografisk information för att ladda och kryptera huvudvirus-koden som är lagrad någon annan stans i disken.

Hoaxes

Hoaxes är inget virus det ett skämt, en myt eller en falsk varning som sprids via e-post och orsakar förlust av tid och energi www.vmyths.com

Logic bombs (Logiska bomber)

Logis bomb är illasinnade kod-objekt som infekterar systemet och lägger sig i vilande tillstånd tills den utlöses genom uppfyllelse av ett eller flera villkor som tid, programkörning, webbsida-inloggning, osv. De flesta logiska bomber är programmerade av programvaruutvecklare för att se till att förstöra programmet/applikationen ifall de t ex får sparken från jobbet. Logisk bomb kan finns i virus och trojanks hästar.

Trojan horses (Trojanska hästar)

Ett program som ser ut att vara välvilligt, nyttigt och generöst, men innehåller elak kod-objekt som har möjlighet att utlösa förstörelse/ödeläggelse i ett system eller nätverk.

Trojaner skiljer sig i funktionalitet. Somliga förstör all data lagrad i systemet i syfte att åstadkomma en stor förödelse under kort tid. Andra är ganska harmlösa. Back Orifice som betyder "bakre kroppsöppning" är en (finns också i en nyare version kallad Back Orifice 2000 som är Open Source ) välkänd trojan som infekterade olika versioner av operativsystemet Windows. Back Orifice körs i bakgrunden och ge boven fjärrtillträde till system som kan därmed kontrollera användarens dator

Worms (Maskar)

Maskar är en oerhörd säkerhetsrisk för nätverk. Masker innehåller skadliga kod-objekt och de utlöses och sprider sig själva utan medverkan från människan. Det finna idag 100 tals maskar (med 1000 tals varianter) som cirkulerar i Internet.

Cod Red masken fick stor medial-uppmärksamhet sommaren 2001, den spred sig bland webb serverar som körde opatchade versioner av Microsoft´s Internet information Server (IIS). Code Red utförde 3 olika händelser på de system den penetrerade:

  1. Slumpmässigt valde 100 tals IP-adresser och sedan undersökte dessa datorer för att se om de kör en sårbar version av IIS för att kompromettera dem.

  2. Den vanställde HTML sidorna i den lokale webb-servern, ersatte innehållet med Welcome to http://www.worm.com!

    Hackedby Chinese!

  3. Den planterade en logik bomb som initierade en oavvislighets attack (DOS) mot IP-adressen 198.137.240.91 som då hörde till Vita Husets hemsida.

Den destruktiva styrkan av Internet masken Code Red, och deras olika varianter ställer till en extrem risk för Internet. Därför ska systemadministratörer se till att ha en lämplig patch till de Internet-förbindelse-systemen.

Active Content

Den efterfrågan man har på mer dynamisk innehåll i de sidorna man besöker har skapat ett dilemma för webbadministratörer. Dynamisk innehåll kräver enorma programmeringsbörda på servern och mycket resurser. För att lösa detta har man skapat ett koncept av active content, webbprogrammen som laddas ner för exekvering istället för att konsumera serverns resurser. Dessa program använder tekniker som Java applets och Active X controller. De flesta Webb browser tillåter användaren att välja att automatiskt ha den active content nedladdad, installerad och exekverad, från pålitliga sidor.

Denna teknologin innehåller tyvärr hot mot klient-system. Ouppmärksamma användare kan ladda ner Active content från otillförlitliga källor och tillåter de exekveras i det egna systemet, därmed skapa signifikant sårbarhet. Sårbarheten leder till skapande av en helt ny typ av illasinnade-kod the hostile applet. Som alla andra former av fientlig programvara hostile applet har varierande intentioner, från att orsaka oavvislighets (DOS) attack som konsumerar systemresurser till andra lömska mål, som stöld av data.

Motåtgärder

Först och främsta ska man installera antivirus-filtrering-program. Dessa program är som regel signatur-baserade-system, utformade för att upptäcka redan kända virus. Antivirus bör installeras på 3 enheter:

  1. Klient system: varje arbetsstation ska ha ett antivirus-program installerat. Det söker det lokala filsystemet för illasinnad kod

  2. Server-systemen: servrar ska ha samma skydd. Det viktigare att skydda servern än att skydda klienten. Detta beror på att ett enskilt virus i en gemensam servern kan snabbt sprida sig genom hela nätverket.

  3. Content filter: de flesta virus utväxlas över internet. Det är därför klokt att implementera content filter i nätverket som scannar inkommande och utgående e-post och webb-trafik.

    Att tänka på

    - Borttagning tar bor virus-koden men reparerar inte koden. Det gör Cleaning!

    - De flesta antivirus-program är signatur-baserade och de är så bra som uppdatering av deras virusdefinitions-filer. Därför skall antivirus-verktyg uoftappdateras!

  • Tillförlitlighets kontrollverktyg som Tripwire (öppen källa www.tripwire.org) scannar filsystemet för oväntade ändringar och periodiskt rapportera detta.

  • Accesskontroll skall upprätthållas, för att begränsa att illasinnade kod skada systemet och sprider sig i nätverket

Det finns ytterligare 2 olika tekniker som speciellt används för att förebygga system att bli infekterade av illasinnade kod inbäddade i active content, dessa är :

  • Javas sandbox förse applets med en isolerade miljö i vilken de kan köras säkert utan att ha tillgång till systemkritiska resurser.

  • Active X controll signing använder ett system av digitala signaturer för att tillförsäkra att koden är från en säker källa. Sedan är det upp till slutanvändare att bestämma sig.

Passord-attacker

Ett enkelt sätt att få illegitimt access till ett system är att skaffa sig ett användarkonto utav en legitim användare. Sedan kan man använda sig av andra tekniker, inklusive automatisk rootkits-verktyg (Rootkit är en typ av program som döljer sig själv genom att fånga upp anrop till operativsystemet och inte visa dem för användarna. Rootkits i sig är inte skadliga men genom att de kan dölja fientliga program kan de leda till skada. Ett virus eller en trojan kan därmed förbli oupptäckta under lång tid.). Man kan också använda systemet som startpunkt för att attackera andra system i samma nätverk.

Det finns olika sätt att skaffa sig ett legitimt passord. Dessa är :

  • gissning av lösenordet

  • dictionary attack

  • social engineerings attackerar

Gissning av lösen

Man gissar lösenordet utifrån användarens egenskaper som namn, familjen, personnummer, annat som relateras till användaren.

Dictionary attack

Man använder automatiserade verktyg som crack-program som kör automatiserad dictionary attack man. Kör en fil som innehåller tusentals ord och sedan kör krypterings funktionen mot alla dessa ord för att erhålla deras krypterings motsvarigheter. . Man använder sig av dessa funktioner

  • ordning av orden i olika slag

  • lägger till siffror i orden

  • ersätter bokstäver med siffror, etc.

  • kombinera två ord i samma form, etc.

Social engineering

Social engineering är det lättaste och effektivaste sätt att skaffa sig tillgång till ett system. Man helt enkelt frågar användare om sitt lösenord. Ex. Man kan utge sig för att vara systemadministratör , helpdesk eller chef och frågar användaren om hans/hennes lösenord i syfte att t ex fixa ett säkerhetsproblem

Motåtgärder

Motåtgärd eller skydd för säkerhet är först och främst utbildning. Användaren skall ges en grundutbildning om datasäkerhet. Användaren skall alltid påminnas om vikten att ha ett starkt lösenord som är lätt att komma ihåg och att behålla det hemlig, att det kan byta ut med jämna mellanrum, 2 till 4 gånger per år

Oavvislighetsattack (DOS)

Hackare använder sig av oavvislighetsattack i syfte att förhindra legitima användaren access till resurser. Detta görs ofta som sista utväg när man inte kan komma åt systemet. (Om jag inte kan ha det, då ska ingen annan heller ha det!). Det finns ett antal grundläggande DOS-attakmekanismer som används för att neka eller förhindra access till systemet:

  • SYN FLOOD

  • Distribuerad DOS Toolkits

  • Smurf

  • Teardrop

  • Land

  • DNS Poisoning

  • Ping of death

SYN FLOOD

TCP/IP protokollet använder sig av av trevägs handskaknings-process för att sätta upp en uppkoppling mellan två datorer. En enhet sänder ett singelpaket innehållande en SYN-flagga i ett försök att öppna en sida av kommunikationskanal. Destinationsenheten tar emot paketet och svarar med en inbäddade ACK-flagga (konfirmerar att den första sidan är öppen) plus en SYN-flagga (försök att öppna den reserverade kanalen). Slutligen den organila enheten sänder en ACK-flagga inbäddade och därmed konfirmera att den reserverade kanalen är öppen och att förbindelse är etablerad. Enkelt och bra!. Om av någon anledning är processen inte fullbordad, lämnar de kommunicerade enheter förbindelsen i ett halv-öppet läge för en förbestämd tidsperiod. (se fig. 1).

I en SYN flood attack , använder hackern ett speciellt verktyg som sänder ett stort antal fejkade paket med SYN-flagga till det attackerade systemet. Offret reserverar en plats i minnet för förbindelse och sänder en SYN/ACK-flagga som svar men får hör aldrig tillbaka från når bekräftelse. Denna upprepas hundra tals och även tusentals gånger tills minnet fylls och systemet kraschar.

Distribuerade DOS toolkits

Distribuerade DOS attacker är ett sätt för hacker att använda styrka av flera tredje-part system för att attacker det ultimata målet. Hackern använder först andra tekniker för att kompromettera ett stort antal system. Sedan installerar programvara så att de ska samverka i huvudattacken,.Effektivt värva dem.

Trinoo och Tribal Flood Network (TFN) är två vanliga DDOS-verktyg. Hacker installerar dessa verktyg i tredje-part systemen som kommer att vänta på instruktionen att börja attackera. När hackarn har tillräckligt med klienter använder han Trinoo/Tribal Flood Network master servern för att väcka upp klienterna och initierar en koordinerad attack mot ett singel destinationssystem eller nätverk från olika håll. Trinoo och Tribal Flood Network tillåter master servern att initiera många DoS attacker, som SYN floods och Smurf attack från tredjepart-system. Distribuerade DOS attacker med hjälp av dessa verktyg är en extrem risk för Internet anslutna system och är mycket svårt att skydda sig emot. Det anses att Distribuerade DOS attacker är den det största enskilda hotet mot Internet idag.

Smurf

Smurf attack lyfter DDoS attacken till nästa nivå, genom att utnyttja styrkan av de kapade omedvetna tredjepartssystemen för att attackera ett enskilt system. Attacker som Smurf förstärks genom användning av tredjepartsnätverk som är känd som Distributed reflective denial of service (DRDoS) attacks.

Smurf DRDoS attack exploaterar en sårbarhet i implementationen av Internet Control Message Protocol (ICMP). Ping tillåter användaren att sända ett ping ”Are you there?”paket till andra system. Om systemet är vid liv svarar då med ett ”Yes, I am” paket till andra system. Detta är ett enkelt sätt att kolla nätverkets anslutning och diagnosera eventuella nätverksproblem.

I Smurf attacken skapar ett falsk paket som ser ut som om det kom från det attackerade systemet. Paketets destination är tredjepartsnätverkets broadcast adressen, därför varje maskin i det tredjepartsnätverker mottar en kopia av Ping frågan. Denna process mycket snabbt upprepas ette stort antal gånger från olika nätverk så att offret blir överbelastat. Ett liknande attack, Fraggl attacken, anänder dock User Datagram Protocol (UDP) istället för ICMP.

Förebyggande av Smurf attack beror på ett ansvarsfullt användning av filtreringsregel i nätverket. Systemadministratören bör sätta regler i routern och/eller brandväggen som förbjuder ankommande Ping-paket till broadcast adress, eller helt enkel förbjuda ankommande Ping. Vidare administratören kan använda egress filtering (utträde)– en teknik som hindrar systemen i ett nätverk att sända paket med IP-adress som inte hör till nätverket. Detta är en åtgärd mot maskeringsattack.

Teardrop

Teardrop attacken är en slags DoS attack känd som fragmentation attacks, som exploaterar fragment åter sätta ihop funktionalitet av TCP/IP protokollstacken. Systemadministratören kan konfigurera max storlek tillåten för TCP/IP paket som överförs i nätverket. I vanliga fall är valet värdet baseras på hårdvara, tjänstens kvalitet, nätverkstrafik-parameter för att maximera nätverkets effektivitet och kapacitet.

När ett nätverk emottar ett paket som är större är max tillåten storlek, delar det ut i flera fragment. Var och en av dessa fragment tilldelas en storlek (motsvarar längden på fragmentet) och en offset (motsvarar startpunkten på fragmentet), om ett paket är 250 byte lång och max storlek för nätverket är 100 byte ska det fragmenteras. I en korrekt TCP/IP stack kommer paketet att delas in i tre fragment (se. Fig)

I Teardrop attacken, använder hackaren en programvara som sänder ut paketfragmenten som inte passar protokollspecifikationen.. De sänder två eller fler överlappande fragment (se fig.). Den illvilliga kan sända ut fragment 1, ett normalt paketfragment på 100, i normalt förhållande, detta fragment följs av ett andra fragment med offset 100 som motsvarar första fragmentets längd. I Teardrop attacken, hackern sänder ett andra fragment med lägre offset-värde, placerar det andra fragmentet i mitten av det första fragment. När mottagarsystemet försöker att sätta ihop fragment-paketet, vet då det inte hur hantera de överlappade fragmenten och fryses eller kraschar.

Land

Land- DoS attack orskar många äldre OS (Windows NT 4, Windows 95, SunOS 4.1.4) att fryses och beter sig på ett oförutsett sätt. Det fungerar så att det skapar ett artificiellt TCP paket med SYN-flagg. Den som attackerar sätter destinations IP-adressen till adressen av offrets maskin och destinations porten till en öppen port i maskinen. Sedan, sätter den som attackerar källans IP-adressen och källans port till samma värde som maskinens destinations IP adress och port. När enheten emottar detta ovanliga paketet, vet inte OS hur processa det och fryses, eller kraschar, eller beter sig konstigt.

DNS Poisoning

DNS Poisoning som är en annan DoS attack, har inte ens kontakt med tilltänkta offret (datorn), den istället exploaterar svagheter i DNS protokollet och försöker omdirigerar trafiken till en alternativ server utan offrets vetskap. Hackern vill t ex omdirigera all legitim trafik till www.witehouse.gov till säg en alternativ sida ex www.youhavebeenhacked.com. Säg att witehouse sidan är extremt säkert, istället för att direkt penetrera denna sida, hackern försöker lägga till i det DNS systemet falsk data som tillhandahåller www.youhavebeenhacked.com IP-adressen när man frågar efter witehouse IP-adressen. Detta sker eftersom när man skapar ett domännamn, centralt registrerar man ett domännamn. Om hackarn lyckas få tag på ditt registrerat konto (eller registrens infrastruktur), Han kan då ändra DNS:s förteckning utan din vetskap.

Ping of Death

DoS Ping of Seath attacken är ganska enkel. Enligt ICMP specifikationen är största tillåtna ICMP- paketet 65 536 bitar. Om ett paket överstiger denna summa, fanns det i de gamla Os inga rutiner att hanterar det problemet.

Hackern försöker exploatera Ping of Death:s sårbarhet, helt enkelt genom att paket genererings program som skapar ett Ping of Death paket med storlek som är minst 65 537 bitar. Om offret OS inte kollar längden på paketet, och försöker bearbeta det, kan systemet hängs eller kraschar.

Applikationsattack

Några tekniker som hacker använder för att exploatera sårbarheter i applikationer:

Buffer Overflows

Vid programutveckling, lägger man stor vikt på variabeln som medger användarens input. Flera programmeringsspråk tvingar inte max-storlek på variabel- det upplåtas till programmerare att själv bestämma. Många programmerare tar inte hänsyn till att kontrollera parametern (den dämpar utvecklingsprocessen). Varje gång en programvariabel medger användning av input, programmeraren bör ta dessa steg för att säkerställa att följande villkor är uppnådda.

  • användaren skall inte ge ett värde som är längre än storleken på buffert (t ex ett tio-bokstäver- ord i en 5 bokstäver string variabel)

  • användaren skall inte ge ett ogiltigt värde for variabel typen som som innehåller det (ex en karaktär i en numerisk variabel)

  • användaren skall inte ge ett värde som orsaker att programmet opererar utifrån dess specifika parametrar (ex. ”Ja eller nej” med ”kanske”)

misslyckande att genomföra enkel kontroll för att säkra att dessa villkor uppfylls kan resultera i en buffert overflow- sårbarhet som kan orsaka system krasch eller t om tillåter att användaren kan exekvera system kommando och får access till systemet. Buffert overfow sårbarhet är framförallt rådande i kod-utveckling för webb genom användning av CGI eller andra språk som tillåter programmerare att utveckla interaktiva webbsidor.

Time-of-Check-to-Time-of-Use

Time-of-Check-to-Time-of-Use (TOCTTOU eller TOC/TOU) använder en tajming-sårbarhet som inträffar när ett program undersäker tillåtelse för fort i förväg av en förfråga till resurs. T ex en OCTTOU sårbarhet bilds om ett OS bildar en lista av access-tillåtelse för en användare genom login-sessionen. Om systemadministratören återkallar/annullerar ett särskilt tillstånd, denna restriktion börjar gälla först när användaren loggar in nästa gång. Om användaren är redan inloggade kan då den tillgång i evighet. Användaren behöver helt enkelt bara lämna sessionen öppet och restriktionen kommer aldrig att gälla.

Trap doors

trap doors (lönndörr) är en odokumenterad kommandosekvens som tillåter programutvecklaren att förbigå systemets accessrestriktionerna. De oftast utvecklas under utvecklingsprocessen för att speeda upp arbetet och undviker autentisering av utvecklaren. Utvecklaren åtgärdar inte detta senare av olika själ, kan vara glömska eller medvetet för att komma åt systemet vid senare tillfälle. Trap door hotet är signifikant speciellt om den inte är dokumenterat. (industri spionage)

Rotkits

rootkits är särskilt programvara som har endast ett syfte: att ge utvidgad access till systemet. Rootkits finns att hämta på Internet och exploatera kända sårbarheter i många OS. När en hacker kommer åt systemet kan han då utöka rättigheter genom att använda sig av rootkits. Få access till root-nivå eller systemadminstratörs-nivå. Det finns en enkel skyydsåtgärd mot rootkits och det är att installera nys säkerhets-patchar och förstärka nätet mot alla rootkits-attacker.

Reconnaissance attacks

Reconnaissance attacks är automatiserade verktyg som som känner igen och undersöker nätverken för att hitta sårbarhet (hål) för att komma åt systemet. Här kommer tre automatiserad verktyg:

  • IP-probe

  • port scan

  • vulnerability scans

  1. IP-probe

    IP-probe (kallas även IP sweeps) är ofta det första verktyg för att undersöka nätverket. Med denna teknik, automatiserade verktyg helt enkelt pinga varje adress i en spännvidd. Ytterligare analys görs för de systemen som svarar, resten ignoreras. IP-probe är härskande på Internet i dag. Alla som har förbindelse med Internet med publika IP-adress tar emot minst en IP-probe en gång i timmen! Motåtgärd är att att ta bort ping-funktion. Åtminstånde externt.

  2. Port Scans

    Port Scans efter IP-probe, hackaren får tillgång till en lista av aktiva system. Nästa steg är att välja ett eller två system för ytterligare attack. Primära mål är oftast webbserver och andra kritiska systemkomponenter. För att sina sökningar, hacker använder port scan-mjukvara och undersöker alla aktiva system i ett nätverket och fastställer vilka publika tjänster som körs på varje maskin. T ex om hackern vill attackera webb servern, kan han köra prot scan för att lokalisrea varje system som kör tjänsten på port 80, default port för HTTP tjänster.

  3. Vulnerability scans

    Vulnerability scans. När hackern en gång väljer ett system, undersöker han specifika sårbarheter som kan exploateras för att få tillträde till detsamma. Det finna ett antal verktyg på nätet för det ändamålet. Två välkända och populära verktyg SATAN och SAINT – sårbarhetsscanner. Dessa verktyg innehåller en databas bestående av kända sårbarheter och undersökningstekniker för att hitta säkerhetshål. De producerar en attraktiv rapport som beskriver i detalj varje upptäckt sårbarhet. Sedan är det bara att lokalisera en skript som exploatera en specifik sårbarhet och börja attacken. Motåtgärd är att uppdatera OS dessutom ska administratören tänka precis som förövaren, dvs köra verktyg på sitt eget system för att upptäcka sårbarheter.

Dumpster Diving

En mycket enkel källa till information om ett företag. Också mycket känslig information slängs ofta utan vidare makulering. Företagets säkerhet och med det även bristerna går ofta att avslöja bara genom att man går igenom vad som betecknats som skräp. De flesta vägarna in i organisationen går ofta att finna alltför lätt genom att gå igenom soprummet - ofta för att det inte finns en säkerhetspolicy kring makulering av känsliga eller viktiga dokument. Ett gott råd är här att göra en riskutvärdering som gör att man bättre förstår de risker som finns och kan vidta åtgärder. Finns det känslig data om nätverkets-konfiguration eller installerade nya version programvara? Lista över anställda uppgifter som kan användas för social engineerings attack, policy-manuell som beskriver procedurer hur skapa nya konto?, etc.

Masquerading Attacks

Ett av de enklaste sätt att skaffa sig behörighetsaccess till resurser som du inte har rätt till är att utge sig för någon som har behörighet helt enkelt. Man ”lånar” en behörigsidentitet. Denna teknik kallas för maskerad attack. Två vanliga maskerad attack är IP spoofing och Session Hijacking:

IP spoofing

I IP spoofing attack, den illvillige konfigurerar sitt system så att det har IP-adressen av ett pålitligt system för att sedan försöka få tillträde till andra externa resurser. Detta fungerar på de system som inte har installerat en filter för att förhindra denna typ av trafik. Systemadministratören borde såtta en filter i varje nätverk för att säkerställa att dessa kriterier:

  • paket med intern IP-adress får inte komma från ett externt nätverk

  • paket med extern IP-adress existerar inte i det interna nätet

  • paket med privat IP-adress ska inte passera routern från båda riktningarna (om inget annat anges)

Session Hijacking

Session Hijacking attacks inträffar när den illvillige snappar upp del av kommunikation mellan en behörig användare och en resurs för att sedan använda Hijacking tekniken för att ta över sessionen och anta identiteten av den behöriga användare. Vid användning av Session Hijacking attacks, r förekomma dessa tekniker:

  • infånga detaljer av autentisering mellan en klient och server och använda uppgifterna och anta klientens identitet

  • lura klienten att tro att hackerns systemet är servern, agera som mellanhand när klienten sätter upp en legitimt förbindelse med servern och kopplar ur klienten

  • få tillgång till Webb-applikation genom användning av cookie-data av en server som inte ordentligt stänger av förbindelsen

dessa tekniker kan vara förödande för slutanvändare och måste åtgärdas med dels administrativ kontroll (anti-replay authentication techniques) och applikations kontroll (upphäva cookies inom en godtagbar tidsperiod)

Decoy Techniques

Decoy Techniques (lockbete teknik). Administratören kan använda sig av Decoy Techniques för att lura hacker och därmed säkra system och samla bevis. Två kända tekniker som kan användas av kreativa administratörer: Honey Pots och Pseudo.flows

Honey Pots

administratören skapar Honey Pots system som ser ut som ett mycket lukrativt mål för hackern. De kan innehålla filer som ser ut att innehålla känslig och värdefull data eller kör falska tjänster (som Webb tjänsten) som är kritiska för organisationens verksamhet. Dessa system är ingenting än lockbete för att lura hackern bort från de kritiska systemen samt är det ett sätt för administratören att övervaka och spåra hackerns aktiviteter.

Pseudo.flows

Pseudo.flows är falska sårbarhet eller synbara kryphål avsiktligt inplanterade i ett system för att upptäcka hackers. De används ofta i Honey pots system och på kritiska resurser för att emulera (efterlikna) välkända OS-sårbarheter. Hackern som letar efter kända flöden kan snubbla över en Pseudo.flow och tror att de med framgång har penetrerat systemet. Mer sofistikerade Pseudo.flows mekanismer simulerar penetrationen och övertygar hackern att de har lyckat få tillgång till ytterligare privilegier till ett system. I bakgrunden kan ett övervaknings- och larmsystem köras för att varna administratören och på så sätt ökas försvaret mot kritiska närverks-resurser .