Sicurezza: La sicurezza in un mondo wireless

Solo perché la maggior parte degli utenti sono senza fili non significano che essi devono operare non garantiti.

John Vacca

Adattato da "Manuale di sicurezza informazioni e Computer" (Elsevier Science & Libri di tecnologia).

Pensi che molto circa il tempo che si spende usando il segnale Wi-Fi gratuito di un coffee shop navigare, controlla la tua e-mail o aggiorna la tua pagina di Facebook? Probabilmente non. Ma in questi giorni, la persona seduta accanto a te tranquillamente sorseggiando il suo caffè e lavoro via sul suo computer portatile può sedersi e guardare quali siti Web che hai visitato, quindi assumere la tua identità e accedere ad i siti che hai visitato. Come?

Un programma gratuito chiamato Firesheep può afferrare dal browser Web, i cookie per ogni sito che si visita. Tali cookies contengono informazioni di identificazione sul tuo computer e le impostazioni del sito per ogni sito che hai visitato, più le vostre informazioni private personalizzate per ogni sito. Una volta che Firesheep afferra quel biscotto, un utente malintenzionato può utilizzare per accedere a siti come voi e, in alcuni casi, avere pieno accesso al tuo account.

Si può essere se stessi chiedendo, "Così che cosa ha a che fare con la mia rete?" Se l'ignaro utente in modalità wireless sta completando una vendita transazione o bonifico bancario quando software come Firesheep strappa i cookie del browser, l'hacker può accedere nuovamente dentro il vostro sito come utente compromessa e drenare l'account dell'utente.

In precedenza, solo gli hacker più esperti e smaliziati con strumenti costosi e un sacco di tempo potrebbe fare molto danno a reti protette. Come ladri professionali con grimaldelli su misura, gli hacker oggi possono ottenere una gamma spaventosa di strumenti per testare velatamente la rete di punti deboli.

Tali strumenti comprendono semplice rubare password malware e battitura registratori (logger) metodi di impiantare stringhe di sofisticati software parassita che copiare i flussi di dati provenienti da clienti che desiderano effettuare una transazione di commercio elettronico con la vostra azienda. Alcuni degli strumenti più diffusi includono:

  • **Sniffer wireless:**Questi dispositivi non possono solo individuare segnali wireless entro un certo intervallo, si possono ricavare i dati trasmessi sopra i segnali. Con l'aumento della popolarità di dispositivi wireless remoti, questa pratica è sempre più responsabile per la perdita di dati critici e rappresenta un notevole mal di testa per esso reparti.
  • **Sniffer di pacchetti:**Una volta piantato in un flusso di dati di rete, questi strumenti passivamente analizzano i pacchetti di dati in movimento dentro e fuori un'interfaccia di rete. Altre utilità cattura i pacchetti di dati passando attraverso un'interfaccia di rete.
  • **Port scanner:**Una buona analogia per queste utilità è un ladro involucro un quartiere, alla ricerca di una porta aperta o sbloccata. Queste utilità inviano le richieste di connessione successive, sequenziale alle porte di un sistema di destinazione per vedere quale si risponde o è aperto a richiesta. Alcuni scanner porta lascia l'hacker rallentare la velocità di scansione di porto — l'invio di richieste di connessione per un periodo prolungato di tempo — quindi il tentativo di intrusione è meno probabilità di essere notato. I soliti bersagli di questi dispositivi sono vecchio, dimenticato "backdoor", o porti inavvertitamente lasciati incustoditi dopo le modifiche di rete.
  • **Porta bussare:**A volte gli amministratori di rete creano un metodo di backdoor segreto di ottenere attraverso porti protetti da firewall — una bussata segreta che consente loro di rapidamente accedere alla rete. Bussare porta strumenti trovano queste voci non protette e impiantare un cavallo di Troia che ascolta traffico di rete per la prova di quel colpo segreto.
  • **Keystroke logger:**Queste sono le utilità di spyware piantato su sistemi vulnerabili che registra le battiture di un utente. Ovviamente, quando qualcuno può sedersi e registrare ogni battitura rende un utente, non ci vuole molto per ottenere importanti informazioni di log-su quali nomi utente, password e numeri di ID.
  • **Strumenti di amministrazione remota:**Questi programmi sono incorporati nel sistema di un utente ignaro e lasciate l'hacker di prendere il controllo di tale sistema.
  • **Scanner di rete:**Queste esplorare reti per vedere il numero e il tipo di sistemi host su una rete, i servizi disponibili, sistema operativo dell'host e il tipo di filtraggio dei pacchetti o firewall utilizzato.
  • **Password cracker:**Questi sniffare reti per i flussi di dati associati con le password, quindi utilizzare un metodo di forza bruta di staccando eventuali strati di crittografia proteggendo le password.

Bot per la vendita

Tre anni fa, i bot sono stati una minaccia emergente. Ora, organizzata cyber criminali hanno cominciato a creare e vendere kit sul mercato che inesperto non-programmazione hacker possono utilizzare per creare le proprie botnet. Essi offrono una vasta gamma di moduli facile da usare (o pre-programmati) che colpiscono specificamente le tecnologie più lucrative. Essi includono spesso una console di gestione che può controllare ogni sistema infetto e interrogare le macchine infette bot. Sono disponibili moduli kit Zeus che aiutano gli utenti a creare virus che mutano ogni volta stai impiantati in un nuovo sistema di host.

Che cosa sono i bot? I bot sono noti anche come Internet bot, robot Web o robot WWW. Sono applicazioni piccolo software che esegue compiti automatizzati tramite Internet. Solitamente, essi eseguire semplici compiti che un essere umano altrimenti avrebbe dovuto svolgere, ma ad un tasso molto più veloce.

Quando usato con cattiveria, sono essenzialmente un virus. Essi ottenere surrettiziamente piantati in gran numero di computer non protetti. Essi dirottare tali computer, solitamente senza conoscenza dei proprietari e trasformarli in schiavi a fare il cracker offerta. Questi computer compromessi, noto come i bot, sono collegati a reti di vaste e irrintracciabile solitamente chiamato botnet. Le botnet sono progettate per operare in modo che le istruzioni vengono da un PC centrale e sono rapidamente condiviso da altri computer "bottiglia" nella rete.

Botnet più recenti sono ora utilizzando un metodo di "peer-to-peer" che, perché manca un punto identificabile centrale di controllo, rende difficile se non impossibile per le forze dell'ordine individuare. Perché essi spesso attraversano i confini nazionali in paesi senza i mezzi per indagare e spegnerle, possono crescere con allarmante velocità. Essi sono diventati così redditizi che ora sono strumento di un hacker, di scelta.

Ci sono tutti i tipi di bot. Ci sono i bot che raccolgono indirizzi di posta elettronica (spambot); virus e worm; modificatori del nome del file. bot per comprare i grandi numeri delle sedi di concerto; e i bot che collaborano in botnet, o attacchi coordinati nei computer della rete. Botnet esistono in gran parte a causa del numero di utenti che non riescono a rispettare i principi di base della sicurezza informatica, quali l'installazione e l'aggiornamento di software antivirus, esegue scansioni regolari per codice sospetto e così via. In tal modo, diventano complici inconsapevoli.

Una volta preso sopra e bottiglia, macchine vengono trasformati in canali attraverso cui grandi volumi di spam indesiderato o codice dannoso può essere rapidamente distribuito. Le stime attuali sono che i 800 milioni di computer su Internet, fino a 40 per cento sono bot controllati da cyber ladri li utilizzano per diffondere nuovi virus, inviare e-mail di spam indesiderato, sopraffare i siti Web in attacchi di tipo Denial of Service (DoS) o appropriarsi di dati utente sensibile da banking o shopping siti Web che guardare e agire come legittimi siti con i quali i clienti precedentemente hanno fatto affari.

Controller di bot, chiamato anche pastori, può anche fare soldi da loro reti ad altri che hanno bisogno di un mezzo grande e irrintracciabile per l'invio di grandi quantità di messaggi pubblicitari di leasing, ma non hanno le risorse finanziarie o tecniche per creare le proprie reti. Rendere gli argomenti peggio è il fatto che la tecnologia botnet è disponibile su Internet per meno di $100. Ciò lo rende relativamente facile da ottenere cominciato in quello che può essere un business estremamente redditizio.

Sintomi di intrusione

Solo cercando di essere sul Web mette un bersaglio sulla schiena. È solo una questione di tempo prima che si verifica il primo attacco. Potrebbe essere qualcosa come innocente cercando come vari tentativi di accesso non riusciti o così evidente come un attaccante, avendo reso illeggibile il tuo sito Web o paralizzato la tua rete. È importante che si va in questo sapendo che sei vulnerabile.

Gli hacker stanno andando al primo sguardo noto debolezze nel sistema operativo o qualsiasi applicazione che stai usando. Successivamente, faranno iniziare a sondare, cercando di fori, aprire porte o backdoor dimenticata — guasti nella vostra postura di sicurezza possono rapidamente o facilmente sfruttare.

Senza dubbio uno dei sintomi più comuni di un'intrusione — tentato o di successo — è ripetuti segni che qualcuno sta cercando di sfruttare i sistemi di sicurezza dell'organizzazione. Gli strumenti utilizzati per mantenere l'orologio per l'attività di rete sospetto in realtà possono essere utilizzati abbastanza efficacemente contro di voi. Strumenti quali la sicurezza di rete e scanner di integrità di file, che può essere prezioso per aiutare a condurre in corso valutazioni di vulnerabilità della rete, sono disponibili anche e possono essere utilizzati dagli hacker in cerca di un modo nella vostra rete.

Gran numero di tentativi di login fallito è anche un buon indicatore di che sistema è stato mirato. È possibile configurare gli strumenti di test di penetrazione con soglie tentativo che, superata, attiverà un allarme. Essi passivamente può distinguere tra attività legittime e sospettoso di natura ripetitiva, monitorare gli intervalli di tempo tra attività (avvisandovi quando il numero supera la soglia che impostato) e costruire un database di firme visto più volte in un dato periodo.

il "elemento umano" (gli utenti) è un fattore costante in operazioni di rete. Gli utenti saranno frequentemente immettere una risposta di errore di digitazione ma solitamente correggere l'errore al tentativo successivo. Tuttavia, una sequenza di comandi di battitura o risposte login errata (con tentativi di recuperare o riutilizzarli) può essere un segno di tentativi di intrusione di forza bruta.

Incoerenze pacchetto — direzione (in entrata o in uscita), originario di indirizzo o sede e sessione caratteristiche (entrate sessioni contro sessioni in uscita) — possono anche essere buoni indicatori di un attacco. Se un pacchetto è una fonte insolita o è stato indirizzato a una porta di anormale, come ad esempio una richiesta di servizio incoerente, potrebbe essere un segno di scansione del sistema casuale. I pacchetti provenienti dall'esterno che hanno indirizzi di rete locale e richiedono servizi al suo interno possono essere un segno di un IP spoof tentativo.

Comportamento a volte strano o inaspettato del sistema è di per sé un segno. Anche se questo a volte è difficile tenere traccia, è necessario essere consapevoli di attività quali modifiche per gli orologi di sistema, server o server scendendo processi inspiegabilmente arresto (con tentativi di riavvio del sistema), problemi di risorse del sistema (ad esempio insolitamente alta attività della CPU o overflow nel file System), i registri di controllo comportarsi in modi strani (diminuendo in dimensioni senza intervento dell'amministratore) o imprevisto utente l'accesso alle risorse. Si dovrebbe indagare ogni attività inconsuete — compreso il pesante sistema utilizzare (possibile attacco DoS) o CPU (tentativi di forza bruta password cracking) — a orari regolari sul dato giorni.

Cosa puoi fare?

Va da sé che il più sicuro rete — quello che ha meno probabilità di essere compromessa — è quella che non ha alcun collegamento diretto con il mondo esterno. Che è quasi una soluzione pratica, però, come tutta la ragione avete un Web presenza è quello di fare affari. E nel gioco del commercio su Internet, la più grande preoccupazione non è la pecora provenienti, ma i lupi vestita come pecore entrando con loro. Così, come a colpire un equilibrio accettabile tra mantenendo la tua rete senza intrusioni e mantenendola accessibile allo stesso tempo?

Si cammina una linea sottile tra esigenze di sicurezza e utente di rete. Devi avere una buona postura difensiva che consente ancora di accesso. Gli utenti e i clienti possono essere sia la linfa vitale del vostro business e la più grande fonte potenziale di infezione. Inoltre, se il vostro business prospera su permettendo l'accesso utente, avete altra scelta se non lasciarli. Sembra un compito monumentale difficile al meglio.

Ogni misura difensiva che metti fino alla fine sarà compromessa dalle legioni di ladri motivati, cercando di ottenere. È un gioco di mossa e contromossa. È regolare, si adattano. Quindi devi iniziare con le difese che possono rapidamente ed efficacemente adattare e modificare come adattano le minacce esterne.

Innanzitutto, è necessario garantire che le difese di perimetro sono forti come possibile. Ciò significa che al passo con le minacce in rapida evoluzione intorno a voi. I giorni di basarsi esclusivamente su un firewall che semplicemente firewall funzioni sono andati. Gli hacker di oggi hanno capito come aggirare il firewall sfruttando debolezze nelle applicazioni stesse.

Semplicemente essere reattivi a intrusioni e visite, non è una buona opzione, sia. È come lì in piedi in attesa di qualcuno che ti ha colpito prima di decidere cosa fare. È necessario essere flessibili nel vostro approccio alle più recenti tecnologie, controllo costantemente le tue difese per garantire che l'armatura difensiva della rete può soddisfare l'ultima minaccia. Devi avere una politica efficace e dinamica di controllo costantemente per attività sospette. E quando li trovate, dovete trattare rapidamente con loro, così qualcuno qualcosa non scivola passato senza il preavviso. Una volta che succede, è troppo tardo.

Un altro principio fondamentale: Bisogna educare gli utenti. Non importa quanto è buono un lavoro che hai fatto presso i vostri processi di sicurezza di rete e sistemi di serraggio, hai ancora a che fare con l'anello più debole della tua armatura — gli utenti.

Non fa nulla di buono per avere processi antiproiettili sul posto se sono così difficili da gestire che gli utenti lavorano intorno a loro per evitare la difficoltà, o se sono così liberamente configurato che casualmente navigando utente che visita un sito infetto passerà tale infezione lungo alla vostra rete. Il grado di difficoltà nell'assicurare la tua rete aumenta drammaticamente come il numero di utenti va in su.

Educazione dell'utente diventa particolarmente importante riguarda l'informatica mobile. Perdendo un dispositivo, usando in un luogo (o modalità) in cui gli occhi indiscreti possono vedere le password o dati, consapevolezza di hacking di strumenti specificamente progettato per annusare i segnali wireless per dati e accesso a reti non protette sono tutti potenziali aree problematiche con cui gli utenti devono essere a conoscenza.

È anche possibile impostare esche — sorta di agnello sacrificale — come esca. Questi sono anche noti come "vasi di miele". Queste reti userless sono specificamente impostate per disegnare in un attaccante e guadagnare preziosi dati su metodi, strumenti e qualsiasi nuovo malware che potrebbe utilizzare.

Come potete vedere, stabilendo una postura di sicurezza efficace significa mettere a punto gli elementi di infrastrutture adeguate, mantenendo la vigilanza nel guardare oltre le reti e costantemente educare e tenere d'occhio gli utenti.

John Vacca

John Vacca è consulente di tecnologia di informazione, scrittore professionista, redattore, revisore e internazionalmente noto autore migliore-vendente di Pomeroy, Ohio. È autore di oltre 50 titoli nelle aree di archiviazione avanzate, sicurezza informatica e tecnologia aerospaziale. Vacca era anche uno specialista di gestione configurazione, uno specialista di computer e il funzionario di sicurezza del computer (CSO) per il programma della stazione spaziale della NASA (libertà) e il programma della stazione spaziale internazionale dal 1988 fino al suo ritiro dalla NASA nel 1995.

Per ulteriori informazioni su questo e altri titoli di Elsevier, check out Elsevier Science & Libri di tecnologia.

Contenuti correlati