Segurança: Segurança em um mundo sem fio
Só porque a maioria dos usuários são sem fio não significa que eles precisam para operar sem garantia.
John Vacca
Adaptado de "Computador e manual de segurança de informações" (Elsevier Science & Livros de tecnologia).
Você pensa muito sobre o tempo que você gasta usando o sinal de Wi-Fi gratuito do café para navegar, verifique seu e-mail ou atualizar sua página do Facebook? Provavelmente não. Mas hoje em dia, a pessoa sentada ao seu lado em silêncio tomando seu café e trabalhar em seu laptop pode sentar e ver quais Web sites você visitou, em seguida, assume a sua identidade e faça logon em um dos sites que você visitou. Como?
Um programa gratuito chamado Firesheep pode pegar do seu Web browser cookies para cada site que você visita. Os cookies contêm informações de identificação sobre o seu computador e configurações do site para cada site você visitou, além de suas informações privadas personalizadas para cada site. Uma vez que o Firesheep agarra aquele biscoito, um usuário mal-intencionado pode usá-lo para fazer logon em sites como você e, em alguns casos, ter acesso completo às suas contas.
Você pode estar se perguntando, "Então o que isso tem a ver com a minha rede?" Se o usuário desavisado sem fio está completando uma vendas transação ou transferência bancária, quando o software como o Firesheep arrebata o cookie do navegador, o hacker pode entrar volta seu site como o usuário comprometido e drenar a conta do usuário.
Anteriormente, apenas os hackers mais experientes e mais experientes com ferramentas caras e muito tempo poderia fazer muitos danos a redes seguras. Como ladrões profissionais com fechamento feito por picaretas, os hackers hoje podem obter um assustador conjunto de ferramentas para testar secretamente sua rede para pontos fracos.
Estas ferramentas variam simples roubo de senhas malware e pressionamento de tecla gravadores (registradores) aos métodos de implantação de seqüências de caracteres de software sofisticado parasitárias que copiar fluxos de dados de clientes que desejam realizar uma transação de comércio eletrônico com sua empresa. Algumas das ferramentas mais utilizadas incluem:
- **Sniffers sem fio:**Estes dispositivos não somente podem localizar sinais sem fio em um determinado intervalo, eles podem desviar os dados sendo transmitidos através dos sinais. Com o aumento da popularidade dos dispositivos remotos sem fio, esta prática é cada vez mais responsável pela perda de dados críticos e representa uma dor de cabeça significativa para os departamentos.
- **Sniffers de pacote:**Uma vez plantada em um fluxo de dados da rede, essas ferramentas analisam passivamente entrando e uma interface de rede de pacotes de dados. Outros utilitários de capturam de pacotes de dados, passando através de uma interface de rede.
- **Scanners de porta:**Uma boa analogia para esses utilitários é um ladrão invólucro um bairro, procurando por uma porta aberta ou desbloqueada. Estes utilitários enviam solicitações de conexão sucessivas e seqüencial aos portos do sistema alvo para ver qual deles responde ou está aberto para o pedido. Alguns scanners de porta deixem o hacker diminuir a taxa de varredura de porta — enviar solicitações de conexão durante um longo período de tempo — portanto, a tentativa de invasão é menos provável de ser notada. Os alvos usuais destes dispositivos são "backdoors" velho, esquecido, ou portas inadvertidamente deixadas desprotegidas após as modificações da rede.
- **Porta batendo:**Às vezes os administradores de rede criam um método secreto de backdoor de entrar pelas portas protegido por firewall — um toque secreto que lhes permite rapidamente acessar a rede. Ferramentas de porta em porta encontrar essas entradas desprotegidas e implante um cavalo de Tróia que escuta o tráfego de rede para provas daquela batida secreta.
- **Registradores de pressionamento de tecla:**Estas são utilitários de spyware plantados em sistemas vulneráveis que gravar as teclas de um usuário. Obviamente, quando alguém pode sentar e gravar todas as teclas que um usuário faz, isso não demora muito para obter informações importantes de logon como nomes de usuário, senhas e números de identificação.
- **Ferramentas de administração remota:**Estes programas são incorporados no sistema de um usuário desavisado e deixem o hacker assuma o controle desse sistema.
- **Scanners de rede:**Estas exploram redes para ver o número e o tipo de sistemas de host em uma rede, os serviços disponíveis, sistema operacional do host e o tipo de filtragem de pacotes ou firewalls sendo usados.
- **Crackers de senha:**Estas cheirar redes para fluxos de dados associado com senhas e, em seguida, empregam um método de força bruta de descascar afastado quaisquer camadas de criptografia protege as senhas.
Bots para venda
Três anos atrás, robôs eram uma ameaça emergente. Agora, organizado cyber criminosos começaram a criar e vender kits no mercado que inexperiente de programação hackers podem usar para criar seus próprios botnets. Eles oferecem uma grande variedade de módulos de fácil de usar (ou pre-programmed) voltados especificamente para as tecnologias mais lucrativas. Eles geralmente incluem um console de gerenciamento que pode controlar todos os sistemas infectados e interrogar máquinas infectadas por bot. Estão disponíveis módulos de kit de Zeus que ajudar os usuários a criar vírus que mutam toda vez que eles são implantados em um novo sistema de host.
Então o que são bots? Bots são também conhecidos como robôs de Internet, Web robots ou robôs WWW. Eles são pequenos aplicativos executando tarefas automatizadas através da Internet. Geralmente, eles executar tarefas simples que um ser humano caso contrário teria que realizar, mas em uma taxa muito mais rápida.
Quando usada maliciosamente, eles são essencialmente um vírus. Plantaram-se sub-repticiamente em grandes números de computadores desprotegidos. Eles seqüestrar esses computadores, geralmente sem o conhecimento dos proprietários e transformá-los em escravos para fazer o biscoito lance. Esses computadores comprometidos, conhecidos como bots, estão ligados em redes vastas e geralmente indetectáveis chamadas botnets. Botnets são projetados para operar de modo a que as instruções vêm de um PC central e são rapidamente compartilhadas entre outros "botted" computadores na rede.
Botnets mais novos estão usando um método "peer-to-peer", porque lhes falta um ponto central identificável de controle, torna difícil se não impossível, para aplicação da lei identificar. Porque eles muitas vezes atravessar fronteiras internacionais para países sem os meios para investigar e desligá-los, eles podem crescer com uma velocidade alarmante. Eles se tornaram tão lucrativos que estão agora a ferramenta do hacker de escolha.
Há todos os tipos de robôs. Existem bots que coletar endereços de e-mail (spambots); vírus e worms; modificadores do nome do arquivo; bots para comprar um grande número de lugares de concerto; e bots que trabalham juntos em botnets, ou ataques coordenados em computadores em rede. Botnets existe em grande parte devido ao número de usuários que não respeitam os princípios básicos de segurança do computador, como instalar e atualizar o software antivírus, executando exames regulares para códigos suspeitos e assim por diante. Desse modo, eles se tornam cúmplices involuntários.
Uma vez tomadas sobre e botted, máquinas são transformadas em canais através da quais grandes volumes de spam indesejado ou código malicioso pode ser rapidamente distribuído. As estimativas atuais são que os 800 milhões de computadores na Internet, até 40 por cento são robôs controlados por ladrões cibernéticos usá-los para espalhar vírus novos, enviar correio electrónico indesejado spam, oprimi-Web sites em ataques de negação de serviço (DoS) ou desviar dados confidenciais do usuário de bancário ou sites que olhar e agir como sites legítimos com que os clientes fizeram anteriormente negócios de compras.
Controladores de bot, também chamados de pastores, também podem ganhar dinheiro por suas redes para outras pessoas que precisam de um meio grande e indetectável de envio de grandes quantidades de anúncios de locação, mas não têm os recursos técnicos ou financeiros para criar suas próprias redes. Fazer as coisas piores é o fato de que tecnologia botnet está disponível na Internet por menos de US $100. Isso torna relativamente fácil começar no que pode ser um negócio extremamente lucrativo.
Sintomas de intrusão
Sendo meramente na Web coloca um alvo nas suas costas. É só uma questão de tempo antes de você experimentar seu primeiro ataque. Pode ser algo tão inocente como várias tentativas de login falhas ou tão óbvio como um invasor ter desfigurado o seu Web site ou aleijado a sua rede. É importante que você entra esta sabendo que você está vulnerável.
Os hackers vão primeiro olhar as fraquezas conhecidas no sistema operacional ou qualquer aplicação que você está usando. Em seguida, eles começam a sondar, procurando por furos, abrir portas ou backdoors esquecido — falhas em sua postura de segurança que eles possam explorar rapidamente ou facilmente.
Indiscutivelmente um dos sintomas mais comuns de uma intrusão — tentativa ou bem sucedida — repetidos sinais de que alguém está tentando tirar vantagem de seus sistemas de segurança da organização. As ferramentas que você usa para manter o relógio para actividades suspeitas na rede na verdade podem ser usadas contra você bastante eficaz. Ferramentas tais como a segurança da rede e scanners de integridade do arquivo, que podem ser inestimáveis em ajudá-lo a conduzir em curso avaliações de vulnerabilidade da sua rede, também estão disponíveis e podem ser usadas por hackers, procurando uma maneira em sua rede.
Um grande número de tentativas de logon malsucedidas é também um bom indicador de que seu sistema tem sido alvo. Você pode configurar as ferramentas de teste de penetração com limiares de tentativa que, quando ultrapassado, irá acionar um alerta. Eles passivamente podem distinguir entre legítima e desconfiada de atividade de natureza repetitiva, monitorar os intervalos entre as atividades (alertando quando o número excede o limite que você definir) e construir um banco de dados de assinaturas visto várias vezes durante um determinado período.
O "elemento humano" (os usuários) é um fator constante em suas operações de rede. Usuários serão freqüentemente entrar uma resposta digitado incorretamente, mas geralmente, corrigir o erro na próxima tentativa. No entanto, uma sequência de comandos digitado incorretamente ou respostas login incorreto (com tentativas de recuperar ou reutilizá-los) pode ser um sinal de tentativas de intrusão de força bruta.
Inconsistências pacote — direção (entrada ou saída), originando o endereço ou localização e sessão características (entradas sessões versus sessões de saída) — também podem ser bons indicadores de ataque. Se um pacote tem uma fonte incomum ou foi abordado para uma porta anormal, como uma solicitação de serviço inconsistente, ele poderia ser um sinal de varredura do sistema aleatório. Pacotes vindo do exterior que tenham endereços de rede local e solicitar serviços no interior podem ser um sinal de um IP spoof tentativa.
Comportamento do sistema às vezes estranho ou inesperado em si é um sinal. Embora isso às vezes é difícil de controlar, você deve estar ciente da atividade, tais como alterações de relógios do sistema, servidor ou servidores que ficam em baixo processa inexplicavelmente parar (com tentativas de reinício do sistema), problemas de recurso do sistema (tais como invulgarmente alta atividade da CPU ou estouros em sistemas de arquivos), comportando-se de maneiras estranhas (diminuindo de tamanho sem intervenção do administrador), ou inesperado usuário acesso a recursos de logs de auditoria. Você deve investigar toda e qualquer atividade incomum — incluindo sistema pesado use (possível ataque DoS) ou CPU (tentativas de cracking de senha de força bruta) — no horário normal na dada dias.
O que pode fazer?
Escusado será dizer que a mais segura rede — aquele que tem menos chance de ser comprometida — é aquele que não tem nenhuma ligação direta com o mundo exterior. Isso é quase uma solução prática, porém, como a razão de você ter uma Web presença é para fazer negócios. E no jogo do comércio na Internet, sua maior preocupação não é a ovelha chegando, mas os lobos vestiram como ovelhas, entrando com eles. Então, como um equilíbrio aceitável entre manter sua rede livre de intrusão e mantê-lo acessível ao mesmo tempo?
Você andar uma linha tênue entre necessidades de segurança e do usuário de rede. Você tem que ter uma boa postura defensiva que ainda permite o acesso. Os usuários e clientes podem ser tanto a força vital do seu negócio e sua maior fonte potencial de infecção. Além disso, se seu negócio prospera em permitir o acesso do usuário, você não tem nenhuma escolha mas para deixá-los entrar. Parece uma tarefa difícil monumentalmente, na melhor das hipóteses.
Cada medida defensiva que você colocar será eventualmente comprometida pelas legiões de ladrões motivados, querendo para entrar. É um jogo de movimento e contra-ataque. Você ajustar, adaptam-se. Então você tem que começar com as defesas que podem rápida e eficazmente adaptar-se e mudar como se adaptar as ameaças externas.
Primeiro e acima de tudo, você precisa assegurar que suas defesas de perímetro são tão fortes quanto possível. Isso significa manter o ritmo com as ameaças de rápida evolução em torno de você. Os dias de depender exclusivamente de um firewall que simplesmente firewall funções sumiram. Os hackers de hoje tem descoberto como contornar o firewall por explorar fraquezas nos próprios aplicativos.
Simplesmente reativo de hits e intrusões não é uma opção muito boa, também. Isso é como ali esperando alguém bater em você antes de decidir o que fazer. Você precisa ser flexível em sua abordagem para as mais recentes tecnologias, auditoria constantemente suas defesas para garantir que a armadura defensiva da sua rede pode atender a mais recente ameaça. Você tem que ter uma política eficaz e dinâmica de constante monitoramento de atividades suspeitas. E quando você encontrá-los, você tem que lidar rapidamente com eles, então alguém não escorregar algo passado sem seu aviso. Quando isso acontece, é tarde demais.
Outro ingrediente crucial: Você tem que educar os usuários. Não importa quão bom um trabalho que fez em seus processos de segurança de rede e sistemas de aperto, você ainda tem que lidar com o elo mais fraco na sua armadura — seus usuários.
-Não adianta ter processos à prova de balas no lugar, se eles são tão difíceis de gerenciar que usuários contorná-las para evitar a dificuldade, ou se eles são tão livremente configurado que um surf casualmente usuário que visita um site infectado passará essa infecção ao longo de sua rede. O grau de dificuldade em proteger a sua rede aumenta dramaticamente como sobe o número de usuários.
Educação de usuário torna-se particularmente importante quando computação móvel está em causa. Perder um dispositivo, usá-lo em um lugar (ou forma), em que os olhares indiscretos podem ver senhas ou dados, conhecimento de ferramentas de hacking, especificamente projetado para detectar sinais sem fio para dados, e fazendo logon em redes não seguras são todas as áreas de problema potencial com o qual os usuários precisam estar familiarizado.
Você também pode configurar com chamarizes — tipo do cordeiro sacrificial — como isca. Estes são também conhecidos como "potes de mel." Estas redes userless são especificamente criadas para desenhar em um invasor e obter dados valiosos sobre os métodos, ferramentas e quaisquer novos malwares que possam estar usando.
Como você pode ver, estabelecer uma postura de segurança eficaz significa colocar no lugar dos elementos de infra-estrutura adequada, mantendo vigilância cuidando de suas redes e constantemente educar e mantendo um olho em seus usuários.
.jpg)
John Vacca é um consultor de tecnologia da informação, profissional escritor, editor, revisor e internacionalmente conhecido autor best-selling baseado em Pomeroy, Ohio. Ele é autor de mais de 50 títulos nas áreas de armazenamento avançado, segurança informática e tecnologia aeroespacial. Vacca era também uma especialista em gestão de configuração, uma especialista de computador e o oficial da segurança do computador (CSO) para programa de estação espacial da NASA (liberdade) e o programa da estação espacial internacional a partir de 1988 até sua aposentadoria da NASA em 1995.
Para mais informações sobre este e outros títulos da Elsevier, confira Elsevier Science & Livros de tecnologia.