In partea a doua a seriei dedicata atacurilor de securitate vom discuta despre:
- DNS spoofing
- DNS tunneling
- DoS/DDoS
- atacuri de tip drive-by
- eavesdropping
DNS spoofing – acest atac mai este cunoscut si sub numele de DNS cache poisoning si este o metoda prin care un hacker reuseste sa compromita un server DNS si sa introduca inregistrari incorecte in cache-ul acestuia. Cand un utilizator va incerca sa acceseze un anumit site web, serverul ii va oferi clientului adresa IP modificata de atacator, si cea reala. Astfel, clientul va stabili o conexiune cu un site gazduit de atacator, si modificat de acesta incat sa semene cat de mult cu site-ul real. Utilizatorul poate trimite catre server-ul web al atacatorului credentiale de acces sau informatii sensibile, poate download-a fisiere corupte care contin malware sau site-ul in sine poate impinge scripturi malitioase catre sistemul clientului. Serverele de DNS ale furnizorilor de Internet si ale companiilor trebuie securizate si mentinute cu update-urile de sistem si cu patch-urile de securitate la zi. Implementarea standardului DNSSEC (Secure DNS) este o alta metoda de protectie, care valideaza autenticitatea datelor primite folosind un sistem bazat de semnaturi electronice semnate de o autoritate publica de certificata.
DNS tunneling – acest tip de atac foloseste protocolul DNS drept un canal ascuns de comunicare intre un sistem compromis si un server de-alea atacatorului pentru exfiltrarea de fisiere in afara organizatiei, pentru download-area de malware sau a uneltelor prin care se pot executa alte atacuri in interiorul retelei organizatiei si pentru a mentine un “backdoor” permanent care ofera acces oricand pe acel sistem. Protocolul DNS este esential pentru accesul facil la Internet si este un serviciu permis in firewall-ul oricarei companii. Traficul de DNS este considerat ca fiind legimit, si nu este supus inspectiilor de securitate. Acest aspect ofera hackerilor un mijloc de comunicare direct din Internet cu sistemele compromise. Monitorizarea traficului de DNS de catre un NGFW (Next Generation Firewall) sau de catre o solutie de SIG (Secure Internet Gateway) pentru a identifica un volum mare de trafic si pentru a detecta cereri de DNS pentru domenii suspicioase sau chiar cereri de DNS malformate este vitala pentru detectia si stoparea acestui tip de atac.
DoS / DDoS – un atac de tip denial-of-service (DoS) este gandit astfel incat sa consume resursele unui sistem pana in punctul in care acesta nu mai poate deservi cereri legitime. Un atac distributed denial-of-service este similar, doar ca este initiat si executat la o scala mult mai mare de catre o “armata” de sisteme compromise (zombies) de catre atacatori cunoscuta drept botnet. Cele mai vizate tinte sunt de regula site-uri web care sunt victimele unui “tsunami” de cereri HTTP care vor consuma resursele alocate si vor “da” jos acel site, facand-ul inaccesibil utilizatorilor legitimi. Un atac DoS/DDos difera de restul de atacuri pentru ca nu se incearca obtinerea accesului la anumite resurse sau escaladarea privilegiilor, ci doar intreruperea activitatii unui sistem sau a unei retele. Site-urile web se pot proteja prin implementarea unui WAF (Web Application Filtering) care sa detecteze si sa opreasca atacurile DoS/DDoS. Retele pot fi protejate prin instalarea unor solutii specializate care sa preia volumul de trafic suplimentar creat de un atac DoS/DDoS si sa il directioneze catre un “black hole” pentru anulare.
Atacuri de tip drive-by – acest tip atac presupune infectarea unui sistem atunci cand utilizatorul viziteaza un site web care a fost compromis de catre un hacker. Pagina web pe care utilizatorul o viziteaza a fost modificata de atacator astfel incat la accesare aceasta sa execute un script care download-eaza malware pe calculatorul sau telefonul user-ului. Acest atac profita de vulnerabilitatile dintr-un sistem de operare, dintr-o aplicatie sau browser web pentru a injecta cod malitios, fara ca user-ul sa actioneze in vreun fel pentru a declansa atacul. Payload-ul malitios poate contine ransomware, spyware sau malware de tip zombie pentru a include sistemul intr-un botnet. Mentinerea site-ului web la zi, sanitizarea codului aplicatiei si a server-ului web, validarea inputului primit de la userii care acceseaza site-ul sunt metode care impiedica hackerii sa injecteze software malitios in site-ul web.
Eavesdropping – este procesul prin care un atacator reuseste sa “traga cu urechea” sau sa intercepteze traficul dintr-o retea, capatand astfel acces la conturi, parole si informatii sensibile ca detalii de card bancar. Eavesdropping-ul este mult mai usor de facut intr-o retea wireless, pentru ca atacatorul nu trebuie sa fie pe premisele locatiei in care se afla tinta vizata. Principala metoda de combatere a acestui tip de atac este criptarea traficului. Utilizatorii si organizatia trebuie sa foloseasca protocoale care sa cripteze comunicatia prin retea, protocoale ca HTTPS, SMTPS, IMAPS, POP3S, SFTP, SCP, pentru a securiza informatia si datele transmise.
Mihai Dumitrascu, Sr Systems Engineer
