7 התקפות התגנבות המשמשות את האקרים הערמומיים ביותר בימינו

מיליוני חתיכות של תוכנות זדוניות ואלפי כנופיות האקרים זדוניות מסתובבים בעולם המקוון של ימינו וטורפים דפים קלים. שימוש חוזר באותן טקטיקות שעבדו במשך שנים, אם לא עשרות שנים, אינן עושות דבר חדש או מעניין בניצול העצלות שלנו, פגיונות בשיפוט או בטמטום פשוט.

אבל בכל שנה חוקרים נגד תוכנות זדוניות נתקלים בכמה טכניקות שמרימות גבות. טכניקות השראה אלה משמשות על ידי תוכנות זדוניות או האקרים, מותחות את גבולות הפריצה הזדונית. תחשוב עליהם כחידושים בסטייה. כמו כל דבר חדשני, רבים הם מדד לפשטות.

[השלם את עצמך ב -14 טריקים מלוכלכים של יועצי אבטחת IT, 9 שיטות אבטחת IT פופולריות שפשוט לא עובדות, ו -10 טריקים אבטחתיים מטורפים שכן. | למד כיצד לאבטח את המערכות שלך באמצעות הדוח המיוחד של Deep Dive PDF של דפדפן האינטרנט ועלון האבטחה המרכזית, שניהם מאת. ]

קח את וירוס המאקרו של Microsoft Excel משנות התשעים שהחליף בשקט באופן אקראי אפסים באותיות O בגליונות האלקטרוניים, והפך מיד מספרים לתוויות טקסט עם ערך אפס - שינויים שהלכו, לרוב, לא זוהו עד שהמערכות לגיבוי לא הכילו אלא נתונים גרועים.

התוכנות הזדוניות וההאקרים הגאוניים ביותר של ימינו הם פחות חשאיים ונוטים. להלן כמה מהטכניקות העדכניות ביותר לציון אשר עוררו את התעניינותי כחוקר אבטחה ואת הלקחים שנלמדו. חלקם עומדים על כתפיהם של חדשנים זדוניים בעבר, אך כולם מאוד באופנה כיום כדרכים להפיל אפילו את המשתמשים החביבים ביותר.

התקפת התגנבות מספר 1: נקודות גישה אלחוטיות מזויפות

קל יותר לבצע שום פריצה מאשר WAP מזויף (נקודת גישה אלחוטית). כל מי שמשתמש במעט תוכנה ובכרטיס רשת אלחוטי יכול לפרסם את המחשב שלו כ- WAP זמין שמחובר לאחר מכן ל- WAP האמיתי והלגיטימי במיקום ציבורי.

חשוב על כל הפעמים שאתה - או המשתמשים שלך - הלכת לבית הקפה המקומי, לשדה התעופה או למקום ההתכנסות הציבורי והתחברת לרשת "האלחוטית החינמית". להאקרים בסטארבקס המכנים את ה- WAP המזויף שלהם "רשת האלחוטית של סטארבקס" או בשדה התעופה באטלנטה קוראים לזה "שדה תעופה חינם באטלנטה" יש כל מיני אנשים שמתחברים למחשב שלהם בתוך דקות. לאחר מכן ההאקרים יכולים לרחרח נתונים לא מוגנים מזרמי הנתונים שנשלחו בין הקורבנות הלא מודעים למארחים המרוחקים המיועדים שלהם. תתפלא כמה נתונים, אפילו סיסמאות, עדיין נשלחים בטקסט ברור.

ההאקרים המפחידים יותר יבקשו מהקורבנות שלהם ליצור חשבון גישה חדש לשימוש ב- WAP שלהם. משתמשים אלה ישתמשו ככל הנראה בשם כניסה משותף או באחת מכתובות הדוא"ל שלהם, יחד עם סיסמה בה הם משתמשים במקום אחר. לאחר מכן האקר ה- WAP יכול לנסות להשתמש באותם אישורי כניסה באתרים פופולריים - פייסבוק, טוויטר, אמזון, iTunes וכן הלאה - והקורבנות לעולם לא יידעו איך זה קרה.

שיעור: אינך יכול לסמוך על נקודות גישה אלחוטיות ציבוריות. הגן תמיד על מידע סודי שנשלח ברשת אלחוטית. שקול להשתמש בחיבור VPN שמגן על כל התקשורת שלך ואל תמחזר סיסמאות בין אתרים ציבוריים ופרטיים.

התקפת התגנבות מס '2: גניבת עוגיות

עוגיות דפדפן הן המצאה נפלאה השומרת על "מצב" כאשר משתמש מנווט באתר. קבצי טקסט קטנים אלה, שנשלחו למכונות שלנו על ידי אתר, עוזרים לאתר או לשירות לעקוב אחרינו במהלך ביקורנו, או על פני מספר ביקורים, ומאפשרים לנו לרכוש בקלות רבה יותר ג'ינס, למשל. מה לא לאהוב?

תשובה: כאשר האקר גונב את העוגיות שלנו, ובזכות כך הוא הופך להיות אנחנו - תופעה שכיחה יותר ויותר בימינו. במקום זאת, הם מאומתים באתרי האינטרנט שלנו כאילו הם אנחנו וסיפקו שם כניסה וסיסמה תקפים.

בטח, גניבת עוגיות קיימת מאז המצאת האינטרנט, אך בימינו כלים מקלים על התהליך כמו לחיצה, לחיצה, לחיצה. Firesheep, למשל, היא תוסף לדפדפן פיירפוקס המאפשר לאנשים לגנוב מאחרים עוגיות לא מוגנות. בשימוש עם WAP מזויף או ברשת ציבורית משותפת, חטיפת עוגיות יכולה להיות מוצלחת למדי. Firesheep יציג את כל השמות והמיקומים של העוגיות שהוא מוצא, ובלחיצת עכבר פשוטה, ההאקר יכול להשתלט על ההפעלה (עיין בבלוג Codebutler לדוגמא כמה קל להשתמש ב- Firesheep).

גרוע מכך, האקרים יכולים כעת לגנוב אפילו עוגיות מוגנות SSL / TLS ולרחרח אותן מאוויר. בספטמבר 2011, מתקפה שכונתה "BEAST" על ידי יוצריה הוכיחה שאפשר להשיג אפילו עוגיות מוגנות SSL / TLS. שיפורים וחידודים נוספים השנה, כולל CRIME הנקרא היטב, הפכו את הגניבה והשימוש החוזר לעוגיות מוצפנות לקלה עוד יותר.

בכל התקפת עוגיות שפורסמה, לאתרים ולמפתחי אפליקציות נאמר כיצד להגן על המשתמשים שלהם. לפעמים התשובה היא להשתמש בצופן הצפנה האחרון; בפעמים אחרות זה לבטל תכונה לא ברורה שרוב האנשים לא משתמשים בה. המפתח הוא שעל כל מפתחי האינטרנט להשתמש בטכניקות פיתוח מאובטחות כדי להפחית את גניבת העוגיות. אם האתר שלך לא עדכן את הגנת ההצפנה שלו כבר כמה שנים, אתה כנראה בסיכון.

לקחים: ניתן לגנוב אפילו עוגיות מוצפנות. התחבר לאתרים המשתמשים בטכניקות פיתוח מאובטחות ובקריפטו האחרון. אתרי HTTPS שלך צריכים להשתמש בקריפטו האחרון, כולל TLS גרסה 1.2.

התקפת התגנבות מס '3: טריקים של שם קובץ

האקרים השתמשו בטריקים של שמות קבצים כדי לגרום לנו לבצע קוד זדוני מאז תחילת התוכנה הזדונית. דוגמאות מוקדמות כללו את שמות הקובץ למשהו שיעודד קורבנות תמימים ללחוץ עליו (כמו AnnaKournikovaNudePics) ושימוש במספר סיומות קבצים (כגון AnnaKournikovaNudePics.Zip.exe). עד היום, Microsoft Windows ומערכות הפעלה אחרות מסתירות בקלות סיומות קבצים "ידועות", מה שיגרום ל- AnnaKournikovaNudePics.Gif.Exe להיראות כמו AnnaKournikovaNudePics.Gif.

לפני שנים, תוכניות וירוסי תוכנה זדוניות המכונות "תאומים", "שרצים" או "וירוסים נלווים" הסתמכו על תכונה מעט מוכרת של Microsoft Windows / DOS, שגם אם הקלדת את שם הקובץ Start.exe, Windows היה נראה. עבור, ואם נמצא, לבצע את Start.com במקום זאת. נגיפים נלווים יחפשו את כל קבצי ה- exe בכונן הקשיח ויצרו וירוס בשם זהה ל- EXE, אך עם סיומת הקובץ .com. זה תוקן זה מכבר על ידי מיקרוסופט, אך גילויו וניצולו על ידי האקרים מוקדמים הניחו את היסודות לדרכים המצאות להסתיר וירוסים הממשיכים להתפתח גם כיום.

בין הטריקים המתוחכמים יותר לשינוי שם הקבצים הנהוגים כיום השימוש בתווי Unicode המשפיעים על תפוקת שם הקובץ שמוצגים משתמשים. לדוגמא, דמות ה- Unicode (U + 202E), הנקראת Right to Left Override, יכולה להטעות מערכות רבות כדי להציג קובץ בשם AnnaKournikovaNudeavi.exe בשם AnnaKournikovaNudexe.avi.

שיעור: במידת האפשר, ודא שאתה יודע את השם האמיתי, המלא של כל קובץ לפני ביצוע אותו.

מתקפת התגנבות מס '4: מיקום, מיקום, מיקום

טריק התגנבות מעניין נוסף המשתמש במערכת הפעלה כנגד עצמה הוא טריק מיקום קבצים המכונה "יחסי לעומת מוחלט". בגרסאות מדור קודם של Windows (Windows XP, 2003 ומעלה) ומערכות הפעלה מוקדמות אחרות, אם הקלדת שם קובץ והקש Enter, או אם מערכת ההפעלה חיפשה קובץ מטעמך, זה תמיד יתחיל ב תחילה את מיקום התיקיה או הספריה הנוכחיים שלך, לפני שתחפש במקום אחר. התנהגות זו אולי נראית יעילה ולא מזיקה מספיק, אך האקרים ותוכנות זדוניות השתמשו בה לטובתם.

לדוגמא, נניח שרצית להפעיל את מחשבון Windows המובנה ולא מזיק (calc.exe). זה קל מספיק (ולעתים קרובות מהיר יותר משימוש במספר לחיצות עכבר) כדי לפתוח שורת פקודה, הקלד calc.exeולחץ על Enter. אך תוכנות זדוניות עלולות ליצור קובץ זדוני בשם calc.exe ולהסתיר אותו בספריה הנוכחית או בתיקיית הבית שלך; כשניסית לבצע את calc.exe, הוא היה מריץ את העותק המזויף במקום.

אהבתי את התקלה הזו כבודק חדירה. פעמים רבות, לאחר שפרצתי למחשב והייתי צריך להעלות את ההרשאות שלי למנהל, הייתי לוקח גרסה לא מתוקנת של תוכנת תוכנה ידועה ופגיעה בעבר ומניחה אותה בתיקיה זמנית. לרוב כל מה שהייתי צריך לעשות היה למקם הפעלה או DLL פגיע אחד, תוך השארת התוכנית התיקונית המותקנת כולה לבד. הייתי מקליד את שם הקובץ של תוכנית ההפעלה בתיקיה הזמנית שלי, ו- Windows היה טוען את ההפעלה הטרויאנית הפגיעה שלי מהתיקיה הזמנית שלי במקום מהגרסה שתוקנה לאחרונה. אהבתי את זה - יכולתי לנצל מערכת עם תיקון מלא עם קובץ גרוע יחיד.

מערכות לינוקס, יוניקס ו- BSD תוקנו את הבעיה כבר יותר מעשור. מיקרוסופט תיקנה את הבעיה בשנת 2006 עם מהדורותיה של Windows Vista / 2008, אם כי הבעיה נותרה בגרסאות מדור קודם בגלל בעיות תאימות לאחור. מיקרוסופט גם מזהירה ומלמדת מפתחים להשתמש בשמות קבצים / נתיבים מוחלטים (ולא יחסית) בתוכניות שלהם במשך שנים רבות. ובכל זאת, רבבות תוכניות מורשת חשופות לטריקים של מיקום. האקרים יודעים זאת טוב יותר מכולם.

שיעור: השתמש במערכות הפעלה המאכפות נתיבי ספריות ותיקיות מוחלטים, וחפש תחילה קבצים באזורי ברירת מחדל של המערכת.

מתקפת התגנבות מס '5: הפניית קובצי מארחים

לא ידוע לרוב משתמשי המחשב של ימינו הוא קיומו של קובץ הקשור ל- DNS בשם Hosts. ממוקם תחת C: \ Windows \ System32 \ Drivers \ Etc ב- Windows, הקובץ Hosts יכול להכיל ערכים המקשרים בין שמות דומיין שהוקלדו לכתובות ה- IP המתאימות שלהם. קובץ ה- Hosts שימש במקור על ידי DNS כדרך למארחים לפתור באופן מקומי חיפושי כתובות ל- IP מבלי שיהיה צורך ליצור קשר עם שרתי DNS ולבצע רזולוציה של שם רקורסיבי. לרוב, DNS מתפקד בסדר גמור, ורוב האנשים לעולם אינם מתקשרים עם קובץ ה- Hosts שלהם, למרות שהוא שם.

האקרים ותוכנות זדוניות אוהבים לכתוב רשומות זדוניות משלהם למארחים, כך שכאשר מישהו מקליד שם דומיין פופולרי - נניח, bing.com - הוא מנותב למקום אחר זדוני יותר. ההפניה הזדונית מכילה לעיתים קרובות עותק כמעט מושלם של האתר הרצוי המקורי, כך שהמשתמש המושפע אינו מודע למתג.

ניצול זה נמצא עדיין בשימוש נרחב כיום.

שיעור: אם אינך מצליח להבין מדוע אתה מנותב מחדש בזדון, עיין בקובץ המארחים שלך.

התקפת התגנבות מספר 6: התקפות חורי מים

התקפות חור מים קיבלו את שמם מהמתודולוגיה הגאונית שלהן. בהתקפות אלה, האקרים מנצלים את העובדה שהקורבנות הממוקדים שלהם נפגשים לעיתים קרובות או עובדים במקום פיזי או וירטואלי מסוים. ואז הם "מרעילים" את המיקום הזה כדי להשיג יעדים זדוניים.

למשל, ברוב החברות הגדולות יש בית קפה, בר או מסעדה מקומיים הפופולריים בקרב עובדי החברה. תוקפים ייצרו WAPs מזויפים בניסיון להשיג כמה שיותר אישורי חברה. לחלופין התוקפים ישתנו בזדון אתר שביקרתם בו לעתים קרובות כדי לעשות את אותו הדבר. הקורבנות לרוב רגועים יותר וחסרי חשד מכיוון שהמיקום הממוקד הוא פורטל ציבורי או חברתי.

התקפות חור המים הפכו לחדשות גדולות השנה כאשר כמה חברות טכנולוגיה מתקדמות, בהן אפל, פייסבוק ומיקרוסופט, בין היתר, נפגעו בגלל אתרי אינטרנט פופולריים לפיתוח אפליקציות שמפתחים ביקרו בהן. אתרי האינטרנט הורעלו להפניות JavaScript זדוניות שהותקנו תוכנות זדוניות (לפעמים אפס ימים) במחשבי המפתחים. בתחנות העבודה של המפתחים שנפרצו, שימשו אז לגישה לרשתות הפנימיות של חברות הקורבן.

שיעור: ודא שעובדיך מבינים ש"נקבי השקיה "פופולריים הם מטרות האקרים נפוצות.

התקפת התגנבות מספר 7: פיתיון ומתג

אחת מטכניקות ההאקרים המתמשכות ביותר נקראת bait and switch. נאמר לקורבנות שהם מורידים או מריצים דבר אחד, ובאופן זמני הם כן, אך לאחר מכן הוא נכבה עם פריט זדוני. דוגמאות יש בשפע.

מקובל שמפיצי תוכנות זדוניות קונים שטחי פרסום באתרים פופולריים. אתרי האינטרנט, כאשר הם מאשרים את ההזמנה, מוצג קישור או תוכן לא מזיק. האתר מאשר את הפרסום ולוקח את הכסף. הבחור הרע מחליף את הקישור או את התוכן במשהו זדוני יותר. לעתים קרובות הם יקודדו את האתר הזדוני החדש כדי להפנות את הצופים בחזרה לקישור או לתוכן המקורי אם הם צפו על ידי מישהו מכתובת IP השייכת למאושר המקורי. זה מסבך איתור והורדה מהירים.

התקפות הפיתיון והחלף המעניינות ביותר שראיתי עד כה מאוחרות כוללות בחורים רעים שיוצרים תוכן "בחינם" שניתן להוריד ולשמש אותו לכל אחד. (חשוב על קונסולה ניהולית או על דלפק מבקרים בתחתית דף אינטרנט.) לעתים קרובות יישומונים ואלמנטים בחינם אלה מכילים סעיף רישוי שאומר על כך, "ניתן לעשות בהם שימוש חופשי כל עוד נשאר הקישור המקורי." משתמשים חסרי חשד מעסיקים את התוכן בתום לב ומותירים את הקישור המקורי ללא פגע. בדרך כלל הקישור המקורי לא יכלול דבר מלבד סמל קובץ גרפי או משהו אחר טריוויאלי וקטן. מאוחר יותר, לאחר שהאלמנט המזויף נכלל באלפי אתרים, המפתח הזדוני המקורי משנה את התוכן הלא מזיק למשהו זדוני יותר (כמו הפניית JavaScript מזיקה).

שיעור: היזהר מכל קישור לתוכן שאינו בשליטתך הישירה מכיוון שניתן לכבות אותו בהתראה של רגע ללא הסכמתך.