Sécurité : La sécurité dans un monde sans fil
Tout simplement parce que la plupart de vos utilisateurs sont sans fil ne signifie pas que dont ils ont besoin pour l'exploitation non garantis.
John Vacca
Adapté de « Computer and Information Security Handbook » (Elsevier Science & Livres de technologie).
Pensez vous que beaucoup sur le temps que vous passez pour surfer, consulter vos messages à l'aide de signal Wi-Fi gratuit d'un café-restaurant ou mettre à jour votre page Facebook ? Probablement pas. Mais ces jours-ci, la personne assise à côté de vous tranquillement en sirotant son café et travailler loin sur son portable peut rester les bras croisés et regarder quels sites vous avez visités, puis suppose que votre identité et ouvrez une session sur les sites que vous avez visité. Comment ?
Un programme gratuit appelé Firesheep pouvez attraper depuis votre navigateur Web, les cookies pour chaque site que vous visitez. Ces cookies contiennent des informations permettant d'identifier votre ordinateur et les paramètres de site pour chaque site vous avez visitées, ainsi que vos informations privées sur mesure pour chaque site. Après que Firesheep s'empare de ce cookie, un utilisateur malveillant pouvez l'utiliser pour se connecter à des sites comme vous et, dans certains cas, obtenir un accès complet à vos comptes.
Vous pouvez demander vous-même, « Alors ce que cela a à voir avec mon réseau? » Si l'utilisateur non averti sans fil termine une vente transaction ou virement bancaire lorsque le logiciel comme Firesheep arrache le cookie de navigateur, le pirate peut ouvrir une session dans votre site que l'utilisateur infecté et vider le compte d'utilisateur.
Auparavant, seuls les pirates plus expérimentés et les plus avertis avec des outils coûteux et beaucoup de temps pourrait faire beaucoup de dégâts aux réseaux sécurisés. Comme les voleurs professionnels avec choix de serrure sur mesure, les pirates aujourd'hui peuvent obtenir un tableau effrayant des outils pour tester secrètement votre réseau pour les points faibles.
Ces outils varient simple vol de mot de passe logiciel malveillant et frappe enregistreurs (bûcherons) aux méthodes d'implantation des chaînes de logiciel parasite sophistiqué copier les flux de données en provenance de clients qui souhaitent effectuer une transaction de commerce électronique avec votre entreprise. Certains des outils plus largement utilisées incluent :
- **Sans fil "renifleurs" :**Ces dispositifs ne peuvent pas seulement localiser les signaux sans fil dans une certaine plage, ils peuvent détourner les données transmises aux signaux. Avec la montée en popularité des appareils sans fil à distance, cette pratique est de plus en plus responsable de la perte de données critiques et constitue un mal de tête important pour elle de ministères.
- **Renifleurs de paquets :**Une fois plantée dans un flux de données réseau, ces outils analysent passivement des paquets de données se déplaçant dans et hors d'une interface réseau. Autres utilitaires de capturent des paquets de données en passant par une interface réseau.
- **Scanners de port :**Une bonne analogie de ces utilitaires est un voleur caissons pour un quartier, à la recherche d'une porte ouverte ou déverrouillée. Ces utilitaires envoient des demandes de connexion successives, séquentiel aux ports d'un système cible pour voir celui qui répond ou est ouvert à la demande. Certains scanners de port laissez le hacker ralentir la vitesse de balayage de port — envoi de demandes de connexion sur une plus longue période de temps — donc la tentative d'intrusion est moins susceptible d'être remarqué. Les cibles habituelles de ces dispositifs sont vieux, oublié "backdoors", ou les ports laissés par inadvertance après modifications du réseau.
- **Port knocking :**Administrateurs réseau créent parfois une méthode secrète de porte dérobée d'obtenir par le biais de ports protégés par pare-feu — un coup secret qui leur permet de rapidement accéder au réseau. Port-knocking outils Rechercher ces entrées non protégées et un cheval de Troie qui écoute le trafic réseau pour preuve de cette frappe secrète de l'implant.
- **Enregistreurs de frappe :**Ce sont des utilitaires logiciels espions plantés sur les systèmes vulnérables qui enregistrent les frappes de l'utilisateur. Évidemment, quand quelqu'un peut s'asseoir en arrière et enregistrer toutes les frappes, un utilisateur fait, il ne faut pas longtemps pour obtenir des informations importantes d'ouverture de session comme noms d'utilisateur, mots de passe et numéros d'identification.
- **Outils d'administration à distance :**Ces programmes sont intégrées sur le système de l'utilisateur un peu méfiants et laissez le pirate de prendre le contrôle de ce système.
- **Scanners réseau :**Ces explorent les réseaux afin de voir le nombre et la nature des systèmes hôtes sur un réseau, les services offerts, les OS de l'hôte et le type de filtrage de paquets ou le pare-feu utilisés.
- **Craquelins de mot de passe :**Ces reniflent les réseaux aux flux de données associés à des mots de passe, puis utilisent une méthode de force brute d'épluchant loin des couches de cryptage protégeant ces mots de passe.
Bots pour la vente
Trois ans auparavant, les bots étaient une menace émergente. Maintenant, organisé des cyber-criminels ont commencé à créer et vendre des kits sur le marché libre qu'inexpérimentés hors programmation les pirates peuvent utiliser pour créer leurs propres réseaux de zombies. Ils offrent une grande variété de modules faciles à utiliser (ou programmées) qui ciblent spécifiquement les technologies les plus lucratifs. Ils comprennent souvent une console de gestion qui permet de contrôler tous les systèmes infectés et d'interroger les machines infectées par le bot. Zeus kit modules existent qui aider les utilisateurs à créer des virus qui mutent chaque fois qu'ils sont implantés dans un nouveau système de l'hôte.
Quelles sont donc les bots ? Les bots sont également connu sous le nom Internet bots, de robots Web ou de robots WWW. Ils sont de petits logiciels en cours d'exécution des tâches automatisées sur Internet. Habituellement, ils courent les tâches simples qu'un être humain aurait autrement à effectuer, mais à un rythme beaucoup plus rapide.
Lorsqu'il est utilisé de façon malveillante, ils ont essentiellement un virus. Ils obtenir subrepticement plantés dans un grand nombre d'ordinateurs non protégés. Ils piratent les ordinateurs, habituellement sans connaissances des propriétaires et les transforment en esclaves pour faire appel d'offres du pirate. Ces ordinateurs compromis, appelés bots, sont liées dans des réseaux vastes et généralement introuvables appelés botnets. Les botnets sont conçus pour fonctionner de telle sorte que les instructions proviennent d'un PC central et sont rapidement partagées entre autres ordinateurs « botted » dans le réseau.
Botnets plus récents utilisent maintenant une méthode de « peer-to-peer » qui, parce qu'ils n'ont pas un point identifiable central de contrôle, il est difficile voire impossible pour les chargés de repérer. Parce qu'ils traversent souvent la frontière internationale dans le pays sans avoir les moyens d'enquêter et de les arrêter, ils peuvent grandir avec alarme de vitesse. Ils sont devenus tellement lucratifs qu'ils sont maintenant d'outil un pirate informatique de choix.
Il y a toutes sortes de robots. Il ya des bots qui récoltent les adresses de messagerie (spambots) ; virus et les vers ; modificateurs de nom de fichier ; bots pour acheter un grand nombre de places de concert ; et les robots qui travaillent ensemble dans les réseaux de zombies, ou des attaques coordonnées sur des ordinateurs en réseau. Réseaux d'ordinateurs zombies existe en grande partie en raison du nombre d'utilisateurs qui ne respectent pas les principes fondamentaux de la sécurité informatique, comme l'installation et la mise à jour de logiciels antivirus, exécutant des analyses régulières pour code suspect et ainsi de suite. Ainsi, ils deviennent complices involontaires.
Une fois pris sur et botted, les machines sont transformés en canaux à travers les grands volumes de spam indésirable ou malveillants peuvent être rapidement distribués. Les estimations actuelles sont que les 800 millions ordinateurs sur l'Internet, jusqu'à 40 pour cent sont bots contrôlés par cyber voleurs leur utilisation à la propagation de nouveaux virus, envoyer des pourriels indésirables, submerger des sites Web dans les attaques de déni de Service (DoS) ou siphonner des données utilisateur sensibles d'opérations bancaires ou des sites Web qui ressemblent et agissent comme des sites légitimes avec laquelle clients ont déjà fait des affaires d'achats.
Contrôleurs de bot, appelés aussi des éleveurs, peuvent également faire de l'argent en louant leurs réseaux à d'autres qui ont besoin d'envoyer des quantités massives de publicités de manière grande et introuvable, mais n'ont pas les ressources financières ou techniques pour créer leurs propres réseaux. Faire des questions pire est le fait que la technologie botnet est disponible sur Internet pour moins de 100 $. Cela le rend relativement facile de se lancer dans ce qui peut être une activité extrêmement lucrative.
Symptômes de l'intrusion
Être simplement sur le Web met une cible sur le dos. C'est seulement une question de temps avant que vous rencontrez votre première attaque. Il pourrait être quelque chose comme innocent regardant comme plusieurs tentatives de connexion qui ont échoué ou aussi évidente comme un attaquant ayant effacé de votre site Web ou estropié de votre réseau. Il est important que vous abordiez ce savoir, que vous êtes vulnérable.
Les pirates vont d'abord étudier les faiblesses connues dans le système d'exploitation ou les applications que vous utilisez. Ensuite, ils va commencer à sonder, à la recherche de trous, ouvrir des ports ou backdoors oubliés — failles dans votre posture de sécurité, elles peuvent rapidement ou facilement exploiter.
Sans doute un des symptômes plus courants d'une intrusion — soit tentative réussie ou non — est signes répétés que quelqu'un essaye de tirer parti de vos systèmes de sécurité de l'organisation. Les outils que vous permet de surveiller pour activité réseau suspecte peuvent effectivement être utilisés contre vous assez efficacement. Des outils tels que la sécurité des réseaux et des analyseurs d'intégrité de fichiers, qui peuvent être précieux pour vous aider à effectuer des évaluations de la vulnérabilité de votre réseau en cours, sont également disponibles et peuvent être utilisés par les pirates à la recherche d'un chemin dans votre réseau.
Un grand nombre de tentatives de connexion infructueuses est également un bon indicateur que votre système a été pris pour cible. Vous pouvez configurer les outils de test de pénétration avec des seuils de tentative qui, lorsque dépassée, va déclencher une alerte. Ils peuvent passivement faire la distinction entre une activité légitime et soupçonneux de nature répétitive, surveiller les intervalles de temps entre les activités (vous alerte lorsque le nombre dépasse le seuil que vous définissez) et construire une base de données de signatures vu plusieurs fois sur une période donnée.
Le « facteur humain » (vos utilisateurs) est un facteur constant dans vos opérations de réseau. Utilisateurs seront fréquemment entrer une réponse mal orthographiée, mais généralement corriger l'erreur sur le prochain essai. Toutefois, une séquence de commandes mal orthographiés ou réponses de connexion incorrecte (avec tente de récupérer ou de les réutiliser) peut être un signe des tentatives d'intrusion de force brute.
Incohérences paquet — direction (entrant ou sortant), originaires des caractéristiques de l'adresse ou le lieu et session (sessions entrantes par rapport aux séances sortants) — peut également être de bons indicateurs d'une attaque. Si un paquet a une source inhabituelle ou a été adressé à un port anormal, comme une demande de service incompatible, ça pourrait être un signe de balayage du système aléatoire. Les paquets venant de l'extérieur qui ont des adresses de réseau local et de demandent des services à l'intérieur peuvent être le signe d'une adresse IP spoof tentative.
Comportement parfois bizarre ou inattendu du système lui-même est un signe. Si c'est parfois difficile à suivre, vous devriez être au courant d'activités tels que les changements aux horloges de système, serveur ou les serveurs descendant traite inexplicablement arrêt (avec les tentatives de redémarrage du système), problèmes de ressources système (telles qu'exceptionnellement haute activité de l'UC ou débordements dans les systèmes de fichiers), les journaux d'audit se comportant parfois d'étranges détours (diminuant en taille sans intervention de l'administrateur) ou inattendu utilisateur l'accès aux ressources. Vous devriez étudier toute activité inhabituelle — y compris système lourd utilisez (possible attaque DoS) ou CPU (tentatives de piratage de mot de passe par force brute) — à des heures régulières sur donné jours.
Que pouvez-vous faire ?
Il va sans dire que la plupart de réseau sécurisé — celui qui a le moins une chance d'être compromise — est celui qui n'a aucun lien direct avec le monde extérieur. C'est presque une solution pratique, cependant, comme toute la raison vous avez un site Web présence est de faire des affaires. Et dans le jeu du commerce sur Internet, votre plus grande préoccupation n'est pas le mouton en, mais les loups habillés comme des moutons à venir avec eux. Alors, comment vous frapper un équilibre acceptable entre garder votre réseau sans intrusion et le maintenir accessible en même temps ?
Vous marchez une ligne fine entre les besoins de sécurité et de l'utilisateur réseau. Vous devez avoir une bonne posture défensive qui permet toujours l'accès. Utilisateurs et clients peuvent être aussi bien les forces vives de votre entreprise et sa plus grande source potentielle d'infection. En outre, si votre entreprise se développe sur permettant l'accès de l'utilisateur, vous n'avez pas d'autre choix que de les laisser. On dirait une tâche monumentalement difficile au mieux.
Chaque mesure défensive que vous mettez vers le haut sera éventuellement compromise par les légions de voleurs motivés qui cherchent à obtenir. C'est un jeu de mouvement et un autre. Vous réglez, ils s'adaptent. Il faut donc commencer par les défenses qui peuvent rapidement et efficacement à adapter et à changer à mesure que les menaces extérieures s'adapter.
Tout d'abord, vous devez vous assurer que vos défenses du périmètre sont aussi forts que possible. Cela signifie garder le contact avec les menaces qui évoluent rapidement autour de vous. Les jours de se baser uniquement sur un pare-feu qui a simplement firewall fonctions ont disparu. Les pirates d'aujourd'hui ont trouvé comment contourner le pare-feu en exploitant les faiblesses dans les applications elles-mêmes.
Simplement être réactif aux hits et intrusions n'est pas une très bonne option, non plus. C'est comme là attendre que quelqu'un de vous frapper avant de décider quoi faire. Vous devrez faire preuve de souplesse dans votre approche des plus récentes technologies, audit constamment vos défenses pour faire en sorte que l'armure défensive de votre réseau atteigne la dernière menace. Vous devez avoir une politique dynamique et efficace de surveillance constante des activités suspectes. Et quand vous les trouvez, il faut rapidement traiter avec eux pour quelqu'un ne glisse pas quelque chose de passé sans votre avis. Une fois que cela arrive, il est trop tard.
Un autre élément crucial : Il faut éduquer vos utilisateurs. Peu importe comment bon travail vous avez fait au resserrement de vos systèmes et processus de sécurité réseau, vous devez toujours traiter le maillon faible de votre armure, vos utilisateurs.
Il ne fait aucun bien d'avoir des processus pare-balles en place si ils sont si difficiles à gérer que les utilisateurs travailler autour d'eux pour éviter la difficulté, ou s'ils ne sont donc faiblement configuré qui une par hasard en surfant utilisateur qui visite un site infecté va passer cette infection le long de votre réseau. Le degré de difficulté dans la sécurisation de votre réseau augmente considérablement la mesure que le nombre d'utilisateurs augmente.
Éducation de l'utilisateur devient particulièrement importante d'informatique mobile qui concerne. Perdre un périphérique, l'utiliser dans un endroit (ou mode) dans laquelle les regards indiscrets peuvent voir mots de passe ou des données, connaissance des outils de piratage, spécifiquement conçu pour renifler les signaux sans fil de données et vous connecter à des réseaux non sécurisés sont tous problèmes éventuels avec lesquels les utilisateurs doivent être familiers.
Vous pouvez également configurer des leurres — sorte de l'agneau sacrificiel — comme appât. Ce sont également connu sous le nom de « pots de miel ». Ces réseaux userless est spécifiquement mis en place pour attirer dans un attaquant et d'acquérir des données précieuses sur les méthodes, les outils et les tout nouveaux malwares qu'ils pourraient utiliser.
Comme vous pouvez le voir, établissant une posture de sécurité efficace signifie mettre en place les éléments de l'infrastructure appropriée, maintenir la vigilance en veillant sur vos réseaux, éduquer et en gardant un œil sur vos utilisateurs.
.jpg)
John Vacca est un consultant en informatique, écrivain professionnel, éditeur, réviseur et auteur de Best-sellers renommée internationale basée à Pomeroy, Ohio. Il est l'auteur de plus de 50 titres dans les zones de stockage avancées, sécurité informatique et de la technologie aérospatiale. Vacca était également un spécialiste de gestion de configuration, un spécialiste en informatique et le responsable de la sécurité informatique (CSO) pour le programme de station spatiale de la NASA (liberté) et le programme de Station spatiale internationale de 1988 jusqu'à sa retraite de la NASA en 1995.
Pour en savoir plus sur les autres titres Elsevier, Découvrez Elsevier Science & Livres technologie.