Professional Documents
Culture Documents
Modul 2 Sieťové Hrozby
Modul 2 Sieťové Hrozby
Threat = hrozba
Vulnerability = zraniteľnosť
Risk = riziko
assets - aktívom je čokoľvek, čo má pre organizáciu hodnotu. Zahŕňa ľudí, vybavenie, zdroje a údaje.
vulnerability - zraniteľnosť je slabina v systéme alebo jeho koncepcii, ktorú by mohla zneužiť hrozba
threat - hrozba je potenciálne nebezpečenstvo pre majetok, údaje alebo sieťové funkcie spoločnosti
exploit - exploit je mechanizmus, ktorý využíva zraniteľnosť, spôsob šírenia
mitigation - Zmierňovanie je protiopatrením, ktoré znižuje pravdepodobnosť alebo závažnosť potenciálnej hrozby
alebo rizika. Zabezpečenie siete zahŕňa niekoľko techník zmierňovania
risk =riziko predstavuje pravdepodobnosť hrozby zneužitia zraniteľnosti majetku s cieľom negatívneho ovplyvnenia
organizácie. Riziko sa meria pomocou pravdepodobnosti výskytu udalosti
Hacker
je bežný termín používaný na označenie útočníka. Pôvodne sa tento výraz vzťahoval na niekoho, kto bol
zručným počítačovým expertom, ako napríklad programátor. Dnes rozlišujeme 3 typy hackerov:
- Script Kiddies - ide o tínedžerov alebo neskúsených hackerov, ktorí používajú existujúce skripty, nástroje a
exploity, ktoré spôsobujú škodu, zvyčajne však nie pre zisk.
1
- Vulnerability Broker – (Sprostredkovateľ zraniteľnosti) - spravidla ide o hackerov so šedými klobúkmi, ktorí sa
snažia odhaliť zneužitie a nahlásiť ho predajcom, niekedy za ceny alebo odmeny.
- Hacktivists - Ide o hackerov sivých klobúkov, ktorí verejne protestujú proti organizáciám alebo vládam
zverejňovaním článkov, videí, únikom citlivých informácií a sieťovými útokmi.
- Cyber criminals = Kybernetickí zločinci - Ide o hackerov typu black hat, ktorí sú buď samostatne zárobkovo
činní, alebo pracujú pre veľké organizácie zaoberajúce sa počítačovou kriminalitou
- State-Sponsored - Sponzorované štátom - Ide buď o hackerov v bielom alebo čiernom klobúku, ktorí kradnú
vládne tajomstvá, zhromažďujú spravodajské informácie a sabotujú siete. Ich terčom sú zahraničné vlády,
teroristické skupiny a korporácie. Väčšina krajín sveta sa do istej miery podieľa na štátom sponzorovanom
hackingu.
2. Typy útokov:
Eavesdropping Attack (Odposluch) - To je prípad, keď útočník ohrozenia zachytí a „odpočúva“ sieťový prenos.
Data Modification Attack (Úprava údajov) - Ak útočníci zachytia sieťový tok dát, môžu meniť údaje v pakete bez
vedomia odosielateľa alebo príjemcu.
IP Address Spoofing Attack (navádzanie na nesprávnu akciu) - útočník skonštruuje paket IP, ktorý akoby pochádza z
platnej adresy v podnikovom intranete, ale v skutočnosti je falošný
Password-Based Attacks (Útoky založené na prelomení hesla) - Ak útočníci objavia platný používateľský účet, majú
aktéri hrozieb rovnaké práva ako skutočný používateľ. Útočníci môžu použiť tento platný účet na získanie zoznamov
ďalších používateľov, informácií o sieti, zmeny konfigurácie servera a siete a úpravy, presmerovanie alebo
odstránenie údajov.
Denial of Service Attack (Útok odmietnutia služby) - Útok DoS zabráni normálnemu používaniu počítača alebo siete
platnými používateľmi. Útok DoS môže zaplaviť počítač alebo celú sieť prenosom, kým nedôjde k vypnutiu z dôvodu
preťaženia. Útok DoS môže tiež blokovať prenos, čo vedie k strate prístupu oprávnených používateľov k sieťovým
prostriedkom.
Man-in-the-Middle Attack - K tomuto útoku dôjde, keď sa útočníci dostanú medzi zdroj a cieľ. Teraz môžu
komunikáciu aktívne monitorovať, zachytávať a riadiť transparentne.
Compromised-Key Attack (Prelomený kľúč) - Ak útočník získa tajný kľúč, bude sa tento kľúč označovať ako zneužitý.
Prelomený kľúč je možné použiť na získanie prístupu k zabezpečenej komunikácii bez toho, aby si odosielateľ alebo
príjemca bol vedomý útoku.
Sniffer Attack (sniffer = sledovacie zariadenie) - Sniffer je aplikácia alebo zariadenie, ktoré dokáže čítať, monitorovať
a zachytávať sieťové výmeny dát a čítať sieťové pakety. Ak pakety nie sú šifrované, sledovač poskytuje úplné
zobrazenie údajov vo vnútri paketu.
3. Typy malware
a) Vírus
● Vírus je typ malvéru, ktorý sa šíri vložením svojej kópie do iného programu. Po spustení programu sa vírusy
šíria z jedného počítača na druhý a infikujú počítače. Väčšina vírusov vyžaduje ľudskú pomoc, aby sa šírili.
● Vírusy môžu byť neškodné, alebo môžu byť deštruktívne, napríklad tie, ktoré upravujú alebo vymazávajú
súbory na pevnom disku. Vírusy môžu byť tiež naprogramované tak, aby mutovali, aby sa vyhli detekcii.
2
b) Trójsky kôň
● Termín trójsky kôň pochádza z gréckej mytológie. Grécki bojovníci ponúkli obyvateľom Tróje (Trójskym
koňom) ako dar obrovského dutého koňa. Trójania priviedli obrovského koňa do svojho opevneného mesta,
nevediac, že je v ňom veľa gréckych bojovníkov. V noci, keď väčšina Trójanov spala, bojovníci vyskočili z
koňa, otvorili mestské brány a umožnili veľkej sile vstúpiť a prevziať mesto.
● Malvér trójskeho koňa je softvér, ktorý sa javí ako legitímny, ale obsahuje škodlivý kód, ktorý využíva
privilégiá používateľa, ktorý ho spúšťa
● Často sú trójske kone pripojené k online hrám. Používatelia sú bežne oklamaní, aby nahrali a spustili
trójskeho koňa na svojich systémoch. Počas hrania hry používateľ nezaznamená problém. Na pozadí je do
systému používateľa nainštalovaný trójsky kôň. Škodlivý kód z trójskeho koňa pokračuje v činnosti aj po
ukončení hry.
Typy trójskych koňov:
Type of Trojan Horse Description
c) Červ
● Počítačové červy sú podobné vírusom, pretože sa replikujú a môžu spôsobiť rovnaký typ poškodenia.
Konkrétne sa červy replikujú samy nezávislým využívaním zraniteľností v sieťach. Červy môžu spomaliť siete,
keď sa šíria zo systému do systému.
● Zatiaľ čo vírus vyžaduje na spustenie hostiteľský program, červy sa môžu spúšťať samy. Okrem počiatočnej
infekcie už nevyžadujú účasť používateľa. Po infikovaní hostiteľa sa červ dokáže veľmi rýchlo šíriť po sieti.
● Počiatočná infekcia červa SQL Slammer je známa ako červ, ktorý „zjedol“ internet. SQL Slammer bol útok
odmietnutia služby (DoS), ktorý zneužil chybu pretečenia vyrovnávacej pamäte na serveri Microsoft SQL
3
Server. Na svojom vrchole sa počet infikovaných serverov zdvojnásobil každých 8,5 sekundy. To je dôvod,
prečo bol schopný infikovať 250 000+ hostiteľov v priebehu 30 minút. Keď bol vydaný cez víkend 25. januára
2003, narušil internet, finančné inštitúcie, bankomaty a ďalšie. Je iróniou, že oprava tejto zraniteľnosti bola
vydaná pred 6 mesiacmi. Infikované servery nemali aplikovanú aktualizovanú opravu. Pre mnohé organizácie
to bol budíček, aby implementovali bezpečnostnú politiku vyžadujúcu včasnú aplikáciu aktualizácií a záplat.
d) Ransomvér
● typicky zakazuje používateľovi prístup k jeho súborom šifrovaním súborov a následným zobrazením správy
požadujúcej výkupné za dešifrovací kľúč.
● Používatelia bez aktuálnych záloh musia za dešifrovanie svojich súborov zaplatiť výkupné
e) Spyware
● používa sa na zhromažďovanie informácií o používateľovi a na zasielanie aktérom hrozieb bez jeho
súhlasu.
● môže predstavovať malú hrozbu pre zhromažďovanie údajov o prehliadaní ale veľkú hrozbu pre
zhromažďovanie osobných a finančných informácií.
f) Adware
g) Scareware
● Zahŕňa podvodný softvér, ktorý využíva sociálne inžinierstvo na šokovanie alebo vyvolanie úzkosti
vytváraním vnímania hrozby.
● Vo všeobecnosti je zameraná na nič netušiaceho používateľa a pokúša sa presvedčiť používateľa, aby
infikoval počítač podniknutím krokov na riešenie falošnej hrozby.
h) Phishing
● Pokusy presvedčiť ľudí, aby prezradili citlivé informácie.
● Príklady zahŕňajú prijatie e-mailu od ich banky, v ktorom žiadajú používateľov, aby prezradili svoj
účet a čísla PIN.
i) Rootkity
● sa používajú na získanie prístupu k počítaču na úrovni správcovského účtu
● Je veľmi ťažké ich odhaliť, pretože môžu skryť svoju prítomnosť a zmeniť tak bránu firewall,
antivírusovú ochranu, systémové súbory a dokonca aj príkazy operačného systému
4
● Môžu poskytnúť zadné vrátka aktérom hrozieb, ktorí im umožňujú prístup k počítaču a umožňujú im
nahrávať súbory a inštalovať nový softvér, ktorý sa použije pri útoku DDoS.
● Na ich odstránenie je potrebné použiť špeciálne nástroje na odstránenie rootkitov, inak môže byť
potrebná kompletná preinštalovanie operačného systému.
Prieskumné útoky:
Technique Description
5. Prístupové útoky
Pri útoku na heslo sa aktér hrozby pokúša odhaliť kritické systémové heslá pomocou rôznych metód. Útoky
na heslá sú veľmi bežné a možno ich spustiť pomocou rôznych nástrojov na prelomenie hesiel.
b) Spoofingové útoky
Pri spoofingových útokoch sa zariadenie útočníka pokúša vystupovať ako iné zariadenie falšovaním údajov.
Bežné útoky spoofingu zahŕňajú spoofing IP, MAC spoofing a DHCP spoofing.
5
● Trust exploitations - Pri útoku na zneužívanie dôvery používa útočník neoprávnené privilégiá na získanie
prístupu do systému, čím môže ohroziť cieľ.
● Port redirections - Pri útoku s presmerovaním portov používa útočník kompromitovaný systém ako
základňu pre útoky proti iným cieľom.
● Man-in-the-middle attacks - Pri útoku typu man-in-the-middle je útočník umiestnený medzi dve legitímne
entity, aby mohol čítať alebo upravovať údaje, ktoré prechádzajú medzi týmito dvoma stranami.
● Buffer overflow attacks - Pri útoku s pretečením vyrovnávacej pamäte útočník využíva vyrovnávaciu pamäť
a zahlcuje ju neočakávanými hodnotami. To zvyčajne spôsobí nefunkčnosť systému a vytvorí DoS útok.
Social
Engineering Description
Attack
Útočník predstiera, že potrebuje osobné alebo finančné údaje na
Pretexting
potvrdenie identity príjemcu.
Útočník posiela podvodný e-mail, ktorý je zamaskovaný ako z
legitímneho dôveryhodného zdroja, aby oklamal príjemcu, aby si
Phishing
nainštaloval malvér do svojho zariadenia, alebo aby zdieľal
osobné alebo finančné informácie.
Spear phishing
Útočník vytvára cielený phishingový útok prispôsobený
(spear- oštep,
konkrétnemu jednotlivcovi alebo organizácii.
kopija...)
Tiež známy ako nevyžiadaná pošta, ide o nevyžiadanú poštu,
Spam ktorá často obsahuje škodlivé odkazy, malvér alebo klamlivý
obsah.
Something for Niekedy sa to nazýva „Quid pro quo“, keď útočník požaduje
Something osobné informácie od strany výmenou za niečo ako darček.
Útočník nechá flash disk infikovaný škodlivým softvérom na
Baiting verejnom mieste. Obeť nájde disk a nič netušiac ho vloží do
svojho notebooku, pričom neúmyselne nainštaluje malvér.
Pri tomto type útoku sa útočník vydáva za niekoho iného, aby si
Impersonation
získal dôveru obete.
Toto je miesto, kde útočník rýchlo nasleduje oprávnenú osobu na
Tailgating
bezpečné miesto, aby získal prístup do zabezpečenej oblasti.
Toto je miesto, kde sa útočník nenápadne pozerá niekomu cez
Shoulder surfing
rameno, aby ukradol jeho heslá alebo iné informácie.
Toto je miesto, kde sa aktér hrozby prehrabáva v odpadkových
Dumpster diving
košoch, aby objavil dôverné dokumenty.
DOS a DDOS
6
Útok DoS (Denial of Service) vytvára určitý druh prerušenia sieťových služieb pre používateľov, zariadenia alebo
aplikácie.
Sú dva typy:
Overwhelming Quantity of Traffic (Ohromné množstvo prenosu) – útočník posiela obrovské množstvo údajov
rýchlosťou, ktorú sieť, hostiteľ alebo aplikácia nedokážu spracovať. To spôsobí spomalenie času prenosu a odozvy.
Môže tiež zlyhať zariadenie alebo službu.
Maliciously Formatted Packets (Škodlivo naformátované pakety) – útočník odošle hostiteľovi alebo aplikácii
škodlivo naformátovaný paket a príjemca ho nedokáže spracovať. To spôsobí, že prijímacie zariadenie beží veľmi
pomaly alebo havaruje.
Component Description
Toto sa vzťahuje na primárny server príkazov a riadenia (CnC alebo C2) ovládajúci
handlers skupiny zombie. Pôvodca botnetu môže použiť Internet Relay Chat (IRC) alebo
webový server na serveri C2 na diaľkové ovládanie zombie.
Mirai je malvér, ktorý sa zameriaval na zariadenia internetu vecí (IoT), ktoré sú nakonfigurované s predvolenými
prihlasovacími údajmi. Kamery uzavretého televízneho okruhu (CCTV) tvorili väčšinu cieľov Mirai. Pomocou
slovníkového útoku hrubou silou Mirai prešiel zoznam predvolených používateľských mien a hesiel, ktoré boli na
internete všeobecne známe.
Metódy úniku
Útočníci sa už dávno naučili, že „skryť sa znamená prosperovať“. To znamená, že ich malvér a metódy útoku sú
najúčinnejšie, keď nie sú zistené. Z tohto dôvodu mnoho útokov používa tajné únikové techniky na zamaskovanie
užitočného zaťaženia útoku. Ich cieľom je zabrániť detekcii vyhýbaním sa obrane siete a hostiteľa.
7
Evasion Method Description
Podobne ako pri nahrádzaní prevádzky, ale aktér hrozby vkladá ďalšie bajty
Traffic insertion údajov do škodlivej sekvencie údajov. Pravidlám IPS chýbajú škodlivé
údaje a akceptujú celú sekvenciu údajov.