Instrumente și metodologie Script Kiddie
Comandantul meu ma învățat că dacă vreau să mă protejez de inamic, mai întâi trebuie să aflu ce este. Această doctrină militară este la fel de aplicabilă în lumea securității rețelelor. Ca și armata, încercați să organizați apărarea unor resurse. Pentru a face față cu succes acestei sarcini, trebuie să știți exact cine vă amenință și cum va ataca. În acest articol, primul din această serie, discută doar instrumentele și metodologia uneia dintre cele mai frecvente surse de amenințări - Script Kiddie. Dacă dvs. sau organizația dvs. aveți resurse legate de Internet, această amenințare vă privește în mod direct.
Cine este Script Kiddie?
Copiii scripturi - căutători de pradă ușoară. Nu încearcă să obțină acces la informații specifice sau să atace o anumită companie. Scopul lor este acela de a obține drepturi de rădăcini în cel mai simplu mod posibil. Ei realizează acest lucru prin alegerea unui număr mic de vulnerabilități și apoi prin scanarea Internetului în căutarea lor. Mai devreme sau mai târziu găsesc un sistem vulnerabil.
Unii dintre ei sunt utilizatori avansați care își dezvoltă propriile instrumente și lasă lacune destul de inteligente. Alte concepte nu au ceea ce fac și știu doar cum să tastați "go" pe linia de comandă. Indiferent de nivelul de dezvoltare, toți folosesc aceeași strategie: să găsească un sistem cu o vulnerabilitate specifică și să profite de această vulnerabilitate pentru penetrare.
Este aleatoritatea alegerii scopului care face ca scripturile de script să fie o amenințare periculoasă. Mai devreme sau mai târziu, sistemele și rețelele dvs. vor fi investigate. Nu puteți evita acest lucru. Știu administratorii, care au fost foarte surprinși de faptul că le-au scanat sistemele, pe care nimeni altcineva nu le știa, pentru că au fost pe Internet numai acum două zile. Nu este nimic surprinzător aici. Cel mai probabil, sistemele lor au fost scandate scripturi scripturi, care doar "sniffed" această secțiune a rețelei.
Dacă cazul a fost limitat la mai multe fapte separate de scanare - legile teoriei probabilității ar fi de partea dumneavoastră. Sistemul dvs., cel mai probabil nu ar fi fost găsit printre milioane de alte sisteme de pe Internet. Cu toate acestea, nu este cazul deloc. Cele mai multe instrumente de scanare sunt ușor de folosit și distribuite pe scară largă, pot fi folosite de aproape oricine. Numărul persoanelor care utilizează aceste fonduri crește în mod alarmant. Deoarece Internetul nu cunoaște granițele geografice, această amenințare sa răspândit rapid peste tot în lume, iar legea numărului mare sa întors brusc împotriva noastră. Cu un număr atât de mare de utilizatori de Internet care utilizează aceste instrumente, faptul că scanarea nu mai este pusă la îndoială, singura întrebare este când vine vorba de sistemul dvs.
Toate acestea sunt un bun exemplu, care poate duce la siguranță prin ignorarea amenințării (securitate prin obscuritate). Puteți profund crede că nimeni nu știe pur și simplu despre existența sistemelor voastre. Alții cred că sistemele lor nu conțin nimic interesant, de ce ar fi scanat cineva? Dar copilul scripturilor caută un scop pe un principiu diferit - au nevoie de un sistem neprotejat, care va deveni pradă ușoară.
metodologie
Puteți susține că toate aceste scanări sunt prea "zgomotoase" și atrag atenția. Cu toate acestea, mulți administratori nu își monitorizează sistemele și nici nu presupun că sunt scanați. În plus, mulți copiii scripturi găsesc un sistem vulnerabil, care este apoi folosit ca o rampă de lansare pentru acțiuni ulterioare. Acum ei pot scana intregul Internet, fara teama de retributie. Dacă acțiunile lor sunt detectate, atunci toate reclamațiile se fac către administratorul de sistem al sistemului utilizat și nu la pălăria neagră.
Pălării negre mai avansate lasă programe troian și logouri negre după intrarea în sistem, ceea ce vă permite să intrați rapid și imperceptibil în sistem, dacă este necesar. Programele troiene permit intructorului să rămână nedetectabil. Prezenta sa nu se reflectă în fișierele jurnal de sistem, lista proceselor care rulează și sistemul de fișiere. El creează un paradis confortabil și sigur, din care puteți să scanați deschis Internetul. Pentru mai multe informații, consultați articolul "Ei obțin drepturi de rădăcină".
Toate aceste acțiuni nu se limitează la un anumit moment al zilei. Mulți administratori verifică doar jurnalele zilnice ale jurnalelor de sistem pentru semne de atacuri, considerând că acestea pot apărea doar în acest moment. Scriptul copilului acționează în orice moment. Deoarece scanează 24 de ore pe zi, în general nu poți ști când se va întâmpla exact asta. În plus, aceste atacuri pot veni oriunde în lume. Deoarece Internetul nu cunoaște limitele geografice, conceptul de timp al zilei este foarte neclar. Acolo, acolo unde există o pălărie neagră, poate fi o noapte profundă și la tine - în mijlocul zilei.
Metodologia descrisă pentru căutarea sistemelor vulnerabile poate fi utilizată în diverse scopuri. Recent, au apărut noi tipuri de atacuri de negare a serviciilor (Denial of Service - DoS), așa-numitele atacuri DDoS (Denial Distributed of Service). Aceste atacuri sunt efectuate de un utilizator care controlează sute, dacă nu chiar mii, de sisteme compromise din întreaga lume care sunt coordonate de la distanță pentru a efectua un atac DDoS asupra unei victime sau unui grup de victime. Deoarece se implică un număr mare de sisteme, este extrem de dificil să se reziste la astfel de atacuri și să se identifice sursa acestora. Pentru a obține controlul asupra unui număr atât de mare de sisteme, se folosesc și tactici de tip kiddie. Sistemele vulnerabile sunt alese aleatoriu și sunt utilizate mai târziu ca site-uri de lansare pentru atacurile DDoS. Cu cât mai multe sisteme sunt luate sub control, cu atât mai puternic poate fi efectuat atacul DDoS. Un exemplu de astfel de atac este "stacheldraht". Mai multe informații despre atacurile distribuite de refuzuri de serviciu și despre protecția împotriva acestora pot fi găsite pe site-ul Denialinfo al lui Paul Ferguson
banc de lucru
Cum să vă protejați de această amenințare
Sfaturile de mai jos vă vor ajuta să vă protejați de această amenințare. În primul rând, amintiți-vă că scripturile de scripturi caută o pradă ușoară utilizând vulnerabilități cunoscute. Asigurați-vă că sistemele și rețelele dvs. nu au aceste vulnerabilități. Sursele excelente de informații pe această temă sunt www.cert.org și www.ciac.org. De asemenea, o sursă foarte bună este lista de discuții bugtraq (arhivele sunt pe site-ul securityfocus.com). O altă modalitate de a vă proteja este să rulați numai servicii cu adevărat necesare în sistem. Dacă nu aveți nevoie de un anumit serviciu - nu o rulați. Dacă aveți nevoie de aceasta, asigurați-vă că utilizați cea mai recentă versiune a software-ului. Exemple de configurare sigură a sistemelor sunt date în lucrările "Armoring Solaris". "Armoring Linux" și "Armoring NT".
concluzie
Copiii scripturi reprezintă o amenințare pentru toate sistemele. Nu au preferințe, scanează toate sistemele într-un rând, indiferent de locație și semnificație. Mai devreme sau mai târziu, sistemul dvs. va fi inspectat. Prin înțelegerea motivelor și a metodelor, puteți să vă protejați mai bine sistemele de această amenințare.
Trimiteți-le prietenilor: