O αριθμός και η σοβαρότητα των επιθέσεων στον κυβερνοχώρο συνεχίζει να αυξάνεται. Δεν είναι και λίγες οι φορές που αφήνουν πίσω τους “καμμένη γη”. Κάποιοι υποστηρίζουν ότι κρύβονται και οι ίδιες οι εταιρείες που φτιάχνουν λογισμικό Antivirus. Όπως και νά χει, είναι σημαντικό να κατανοήσουμε τα βήματα που κάνουν οι λεγόμενοι “εγκληματίες του Κυβερνοχώρου”προκειμένου να επιτεθούν στο σύστημα ή το δίκτυό σας.
Για να μπορέσετε να νικήσετε τον εχθρό, πρέπει πρώτα να τον μελετήσετε και να τον καταλάβετε!
Τα βασικά βήματα μιας επίθεσης στον κυβερνοχώρο περιλαμβάνουν τη φάση της αναγνώρισης κι εύρεσης τρωτών σημείων, της Εισβολής και πραγματικής διείσδυσης στο Σύστημα ή το Δίκτυο, της τοποθέτησης Malware και στο τέλος συνήθως ακολουθεί ένα clean –up για να καλυφθούν τα ίχνη του εισβολέα. Το Malware έρχεται σε διάφορες μορφές, που κυμαίνονται από τις ενοχλητικές απλώς πωλήσεις έως σε δυνητικά καταστροφικές για τα συστήματα και δίκτυα επιχειρήσεων επιθέσεις.
Βήμα 0: Αναγνώριση και καταμέτρηση
Ο στόχος της αναγνώρισης είναι να μάθουν τις ευπάθειες του στοχευμένου δικτύου και των συστημάτων, συμπεριλαμβανομένων των διαπιστευτηρίων, εκδόσεις λογισμικού και εσφαλμένες ρυθμίσεις. Μια μέθοδος για τη συλλογή αυτών των πληροφοριών είναι εκμεταλλευόμενοι τα social media, μέσω των οποίων ξεγελούν τους τελικούς χρήστες για την παράδοση των ευαίσθητων δεδομένων. Αυτό είναι συχνά διαπράττεται μέσω phishing (με δόλια e-mail), pharming ή farming με δόλια web sites (δείτε σχετικό άρθρο μας εδώ) και driveby pharming (ανακατεύθυνση των ρυθμίσεων DNS για πειρατεία σε σημεία ασύρματης πρόσβασης Access Points).
Οι επιτιθέμενοι θα κάνουν οτιδήποτε για να βρουν και να εκμεταλλευτούν τις αδυναμίες σας.
Κατά την φάση τη “καταμέτρησης”, διευρύνουν κρυφά τις γνώσεις και τα δεδομένα που έχουν αποκτήσει κατά τη διάρκεια της αναγνώρισης. Το Service scann (Σάρωση Υπηρεσιών) και το War Dialingείναι δημοφιλή όπλα κατά τη φάση αυτή. Το Service scanning προσδιορίζει τα συστήματα δικτύου και συσχετίζει γνωστά σφάλματα και αδυναμίες του λογισμικού. Το War Dialing, είναι μια τεχνική μέσω της οποίας ένα μόντεμ σαρώνει αυτόματα μια λίστα των τηλεφωνικών αριθμών. Μ’ αυτόν τον τρόπο ελπίζουν ότι θα βρουν κάποια άμεση πρόσβαση μέσω του τηλεφωνικού δικτύου, στους εσωτερικούς πόρους της εταιρείας.
Βήμα 1: Εισβολή και επίθεση
Μόλις οι επιτιθέμενοι εντοπίσουν και συσχετίσουν τα τρωτά σημεία, τότε μπορούν να τα εκμεταλλευτούν για να διεισδύσουν στο δίκτυο.
Ένας αόρατος εισβολέας μπορεί να έχει πρόσβαση σε κάθε πτυχή των συστημάτων και του δικτύου σας.
Πολύ επικίνδυνες και σοφιστικέ είναι οι λεγόμενες επιθέσεις “zero-day”. Αυτές εκμεταλλεύονται τις όποιες αδυναμίες ενός λογισμικού που, ενώ δεν είναι έχουν αποκαλυφθεί δημοσίως, έχουν διανεμηθεί μέσω της μαύρης αγοράς στους επιτιθέμενους που μπορεί να είναι από μικρής εμβέλειας χάκερ ή εγκληματίες μέχρι οργανωμένες εγκληματικές συμμορίες. Να σημειώσω εδώ τον διαχωρισμό ενός χάκερ από έναν εγκληματία του κυβερνοχώρου μιας κι ένας χάκερ δεν είναι απαραίτητα εγκληματική φιγούρα με κακό σκοπό. Μια προηγμένη μορφή των εισβολών είναι και η Denial of Service (DoS) επίθεση για την οποία μιλήσαμε κάπως αναλυτικότερα σε πρόσφατο άρθρο.
Βήμα 2: Προσθήκη κακόβουλου Λογισμικού
Το επόμενο βήμα, προκειμένου να διατηρηθεί ο συνεχής κι εξ’ αποστάσεως έλεγχος σε μια επίθεση, είναι η τοποθέτηση κακόβουλου λογισμικού. Σκοπός είναι να εκτελεστεί κάποιο πρόγραμμα ή κώδικας στο πλαίσιο του δικτύου για την επίτευξη ενός συγκεκριμένου στόχου.
Το κρυφό κακόβουλο λογισμικό είναι αυτό που δίνει στον ειβολέα τα κλειδιά του συστήματος σας.
Κακόβουλο λογισμικό μπορεί να είναι μια ενόχληση όπως π.χ. διαφημίσεις, μπορεί να είναι λογισμικό ελέγχου με σκοπό την παροχή θύρας πρόσβασης ή ενός είδους “τηλεχειριστηρίου” ή ακόμα χειρότερα κάποια καταστροφικής φύσεως λογισμικά που ο σκοπός τους είναι να προκαλέσει βλάβη στο σύστημα ή να καλύψει τα ίχνη του εισβολέα. Πιο αναλυτικά:
Στην πρώτη ομάδα περιλαμβάνονται τα malware που δεν είναι υπερβολικά καταστροφικού χαρακτήρα, αλλά μπορεί να προκαλέσει ενόχληση και να επηρεάσει την απόδοση του συστήματος και την παραγωγικότητα. Τέτοια είναι:
- Το Spyware, το οποίο χρησιμοποιείται για τη συλλογή και τη μεταφορά ευαίσθητων πληροφοριών, χωρίς τη γνώση του χρήστη, για σκοπούς μάρκετινγκ όχι πάντα με καλό σκοπό. Συνήθως μολύνει προγράμματα περιήγησης στο Web που ενδέχεται να τα καταστήσει σχεδόν ακατάλληλα για χρήση.
- Το Adware (ή Addware), όπως υποδηλώνει το όνομα, είναι συνήθως χρησιμοποιείται για να διαδώσει τις διαφημίσεις, παρέχοντας κάποιο είδος οικονομικό όφελος για τον εισβολέα. Το αποτέλεσμα είναι βομβαρδιζόμαστε από pop-ups, γραμμές εργαλείων και άλλα είδη διαφημίσεων, κάθε φορά που προσπαθούμε να χρησιμοποιήσουμε τον υπολογιστή.
Στην δεύτερη ομάδα βρίσκονται αυτά που τίθενται σε αναμονή για εκτέλεση κάποιας επίθεσης ή για τον έλεγχο του συστήματος. Τα συγκεκριμένα συχνά χρησιμοποιούνται για τη δημιουργία συστημάτων “ζόμπι”, από τα οποία μπορούν να ξεκινήσουν εξερχόμενες επιθέσεις botnet. Σε αυτήν την ομάδα ανήκουν:
- Τα Trojans που διαθέτουν συνήθως έναν εκτελέσιμο κώδικα ενσωματωμένο σε μια εφαρμογή. Έχει σχεδιαστεί για να ξεκινήσει εν αγνοία ενός χρήστη με σκοπό την απομακρυσμένη πρόσβαση δημιουργώντας Κερκόπορτες για το απομακρυσμένο έλεγχο του συστήματος.
- Τα rootkits είναι ακόμη πιο ύπουλα. Κρύβονται στο low level, των υποπόρων του Λειτουργικού συστήματος και παρέχουν στους επιτιθέμενους απεριόριστη πρόσβαση σε αυτό.
Στην τελευταία ομάδα βρίσκονται τα κακόβουλα λογισμικά καταστροφικού χαρακτήρα. Αυτά έχουν σχεδιαστεί για να προκαλέσουν σοβαρή ζημιά. Σ’αυτά περιλαμβάνονται:
- Οι ιοί των υπολογιστών που μπορούν να αδειάσουν έναν ολόκληρο σκληρό δίσκο, καθιστώντας τα δεδομένα άχρηστα σε κλάσματα δευτερολέπτου. Μεταδίδονται μέσω κοινόχρηστων αρχείων, ή συνημμένων από λήψεις web ή e-mail. Μόλις ενεργοποιηθούν, οι ιοί αναπαράγουν τον εαυτό τους συχνά σε όλο το μολυσμένο σύστημα. Ιοί του τύπου seek-and-destroy στοχεύoυν σε συγκεκριμένα αρχεία ή τμήματα του σκληρού δίσκου.
- Σε αντίθεση με τους ιούς, τα worms (σκουλήκια) μπορούν να εξαπλωθούν σε όλο το δίκτυο χωρίς ενεργοποίηση από το χρήστη. Μόλις ένα σύστημα μολυνθεί από έναν ιό τύπου worm, θα ξεκινήσει η σάρωση του τοπικού δικτύου σε μια προσπάθεια εντοπιστούν κι άλλα συστήματα-στόχοι. Ο συγκεκριμένος τύπος ιού, εκμεταλλεύεται τα τρωτά σημεία του λειτουργικού συστήματος στο οποίο και δημιουργεί προβλήματα και ενοχλήσεις ακόμα και βλάβες.
Οι Ιοί και τα Worms μπορούν να αφανίσουν το σύστημα σας αλλά και την επιχείρηση σας…
Βήμα 3: Καθάρισμα του συστήματος, παντού…..
Η φάση του clean up είναι συνήθως η τελευταία μιας επίθεσης. Πρωταρχικός στόχος αυτού του βήματος είναι να σβήσει κάθε ίχνος της επίθεσης από το σύστημα. Αυτό μπορεί να γίνει με το χέρι ή αυτόματα, με διαγραφή ή προσθήκη κάποιας ή κάποιων γραμμών εντολών ή τη διαγραφή αρχείων καταγραφής συμβάντων. Ακόμα υπάρχει η απενεργοποίηση των συναγερμών καθώς και η αναβάθμιση ή επιδιόρθωση λογισμικού αφού η επίθεση έχει ολοκληρωθεί. Επιπλέον πολλές φορές έχει συμβεί ο επιτιθέμενος να εξαπολύει ιούς και worms για να καταστρέψει όλα τα δυνητικά ενοχοποιητικά στοιχεία.
Αλλά ποια είναι η άμυνα μας απέναντι σε όλες αυτές τις επιθέσεις;
Σαφώς ένα καλό λογισμικό antivirusμπορεί να προστατέψει από ιούς, trojans και worms. Αλλά όταν έχουμε να κάνουμε με μεγαλύτερης έκτασης επιθέσεις το λογισμικο μόνο είναι λίγο… Δεν μπορεί σαφώς ν’ανατρέψει μια DoS ή επιθέσεις που έχουν να κάνουν με το Δίκτυο μας. Μια καλή λύση, όπως αναφέραμε και στο προηγούμενο σχετικό άρθρο, είναι σίγουρα ένα καλό και σύγχρονο Firewallπου μπορεί να εξοστρακίσει ένα μεγάλο μέρος αυτών των επιθέσεων.
Αλλά πάντα υπάρχει και ο κανόνας που λέει ότι:
Ένας έμπειρος χάκερ μπορεί να θέσει σε κίνδυνο το δίκτυό σας, χωρίς να το καταλάβετε…
Και όταν το καταλάβετε πιθανόν να είναι πλέον αργά…