Attackmetoder

Bild 1: Attackmetoder

Det finns många olika typer av attackmetoder som ett nätverk kan utsättas till än virus, maskar och trojanska hästar. För att mildra eller förhindra nätverksattacker är det nödvändigt att kategorisera först de olika typerna av attack. Genom att kategorisera nätverksattacker blir det möjligt att analysera de och utveckla specifika säkerhetsmetoder. Det finns ingen standardiserat sätt att kategorisera nätverksattacker. Här nedan anges ett exempel på kategorisering av attackmetoder:

  • spaningsattacker
  • åtkomstattacker
  • DoS attacker.

För att beskriva de mest kända attackmetoder används flera begrepp, ibland på svenska och oftast på engelska. En webb sajt som tillhandahåller enkla men illustrerande definitioner är Computer Hope.

Spaningsattacker (Reconnaissance Attacks)

Rekognosering – Det här är en funktionsprocess som används för att hitta information om ett visst nätverk/system. Det kan innehålla skanningar i nätverket för att ta reda på vilka IP-adresser som används, och ytterligare skanningar för att se vilka portar på enheterna på dessa IP-adresser är öppna. Detta är vanligtvis det första steget som tas för att upptäcka vad som finns på ett visst nätverk och för att identifiera eventuella sårbarheter. Dessa attacker använder ofta paketsniffare och port-skannrar som är allmänt tillgängliga exempelvis för gratis nedladdningar på Internet.

Följande verktyg kan användas för spaningsattacker:

  • Packet sniffer – använder nätverkskortet i promiscuous mode för att fånga alla nätverkspaket i ett nätverk. När paketen inte är krypterade behandlas de av lämpliga applikationer för att komma åt paketens innehåll. Det finns flera frikostnads applikationer som kan skanna datatrafiken exempelvis Wireshark.
  • Ping sweep (fping och andra liknande verktyg)
  • Port scans – Port-nummer är en form av adress som är associerad oftast till en tjänst/applikation. När en enhet attackeras med port-skanner vill man samla information om portar som lyssnar på specifika datatrafik.
  • Internet information queries – diverse web-baserade tjänster som tillhandahåller information om företag/organisationer och deras domäner associerade till IP-adresser.

Spaningsattacker kan stoppas med hjälp av övervakningssystem som larmar när vissa parametrar överfylls exempelvis med ett stort antal av ICMP förfråga per sekund. Cisco Adaptive Security Appliance (ASA) inkluderar funktionen “intrusion detection“.

Åtkomstattacker (Access Attacks)

Åtkomstattacker utnyttjar kända sårbarheter i autentiseringstjänster, FTP-tjänster och webbtjänster för att få tillträde till webbkonton, konfidentiella databaser och annan känslig information i ett system. En åtkomstattack kan utföras på många olika sätt. Till exempel ordlexikon-attack för att räkna ut ett lösenord. Det finns också specialiserade ordböcker för olika språk som kan användas.

Bild 2: Lösenordsattacker

Hackare använder åtkomstattacker mot nätverk eller system av tre skäl:

  • hämta data
  • få inloggningsuppgifter
  • få fram behörigheter.

Åtkomstattacker använder ofta lösenordsattacker som genomförs med olika metoder inklusive brute-force. Brute-force baseras på inbyggda ordlistor för att identifiera användarkonto och lösenord. Lösenordsattacker kan genomföras med hjälp av trojaner, IP spoofing och Paketsniffare. En brute-force attack utförs ofta med hjälp av ett program som körs över nätverket för att komma åt lösenordet. Efter en angripare kommer åt lösenordet verifieras kontots behörigheter genom att testa åtkomst till nätverksresurser. Om kontot har tillräcklig behörighet kan angriparen skapa en bakdörr för framtida åtkomst (privilegierade eskalering).

Som ett exempel på brute-force program kan en angripare köra L0phtCrack 7. När lösenordet har forcerats kan angriparen installera en keylogger som skickar en kopia av alla tangenttryckningar till en önskad destination. Eller installera en trojansk häst som skickar till angriparen en kopia av alla paket som skickas och tas emot av datoranvändare.

Fler exempel på åtkomstattacker:

  • Social ingenjörsteknik – Det utnyttjar vår svagaste sårbarhet i ett säkert system, nämligen användaren. Om angriparen kan få användaren att avslöja information är det mycket lättare för angriparen att komma åt känslig information än att använda någon annan rekognoseringsmetod exempelvis e-post, länkar i webbsidor. Denna attackmetod görs oftast via tillfälliga besök eller telefon.
  • Nätfiske eller Phishing – Det presenterar en länk som ser ut som en giltig pålitlig resurs till en användare. När användaren klickar på det uppmanas användaren att avslöja konfidentiell information, t.ex. namn, lösenord, PIN kod, kontonummer, mm.
  • Pharming – Orden odling och nätfiske motsvarar Pharming, en nätfiskebluff som kan drabba flera användare samtidigt. Pharming utnyttjar grunderna till hur man surfar på Internet. Du ger en adress t.ex. www.google.com som måste konverteras till en IP-adress via en DNS-server för att anslutningen ska fungera. Hackaren har två alternativ för att utnyttja processen:
    • installera ett virus eller en trojan på användarens dator så att datatrafiken kan dirigeras om från det avsedda målet till en falsk webbplats.
    • förgifta en DNS-server och därigenom förmår flera användare att oavsiktligt besöka den falska webbplatsen. De falska webbplatserna kan användas för att installera virus eller trojaner på användarens dator. De kan även användas för att samla in personuppgifter och ekonomisk information som ett led i identitetsstölder.
  • Privilegierade eskalering – När angripare får tillgång till ett system vill de vanligtvis också ha permanent tillgång och de vill att det ska bli enkelt. Ett bakdörrs-program kan installeras för att tillåta framtida åtkomst och dessutom för att samla in information som ska användas vid ytterligare angrepp.
  • Kod-exekvering – När angripare lyckas komma åt en nätverksenhet vill man oftast ha tillräckligt med behörighet så att kod i olika kommando kan exekveras. Kod-exekvering kan medföra en negativ inverkan på sekretessen (attacker kan visa information på enheten), integritet (angriparen kan ändra konfiguration av enheten) och tillgänglighet (angripare kan skapa avslag på tjänst genom kodändring) av en enhet.
    • IFrame attack – Namnet IFrame attack relateras till det sätt på vilket hackningen görs med en iframe-tagg. Iframe är kort för inline-frame och är i huvudsak namnet på en HTML-tagg – <iframe> </ iframe>. I en IFrame-attack inbäddar hacker en skadlig iframe kod på en hemsida. När någon besöker den sidan hämtar den dolda iframe-koden och installerar en trojan eller en skadlig kod, såsom <em>key-logger</em>. På en kort tid flera av webbsidans besökare smittas med den skadliga iframe-koden.  Det tar inte så lång tid innan webbsidan identifieras som källa till virus och den kan bli svartlistad.  Även sökmotorer kommer att förbjuda den webbplatsen.
      Här nedan en 4 minuters video från Cisco SIO som beskriver hur ett cyberattack kan ske genom använda enkla åtkomstattacker exempelvis via IFrame attack.

  • Bild 3: man-in-the-middle
  • Man-in-the-middle – Precis som det låter så är det en man ”i mitten” som utgör hotet: någon som tagit sig in mellan två parter som genomför en inloggning, utbyter information, avslutar ett köp eller kanske byter lösenord. Bild 3 illustrerar hur en man-in-the-middle anger sig vara en webb-server, konverterar https-begär från klientdatorn till http-begär för att undvika kryptering. Informationen kan avlyssnas, och kanske till och med förändras, och ofta utan att någon av parterna är medvetna om vad som händer.
    Ett annat exempel är det som händer när en kund köper en produkt av en leverantör. Leverantören skickar ett e-postmeddelande med en bekräftelse och länk för betalning. Kunden klickar på länken och gör sin betalning. Men med en man i mitten som kan påverka informationen som skickas, så kan beloppet och mottagare ändras.Bild 4 används för förklaringar här nedan:
  • Port redirection – På Host A, den svaga säkerhetslänken, kan installeras en applikation som omdirigerar datatrafik genom att manipulera port-numren.
  • Trust exploitation – som exempel kan beskrivas en situation där angriparen vill komma åt en målstation/server och därefter till en databas som innehåller information. Bilden illustrerar att servern skyddas av en brandvägg därmed ändrar hackare sin attackmetod. Host A är utanför brandväggens skydd, men har tillräckliga behörigheter för att komma åt servern B. Angriparen inriktar sig till dator A och därefter till servern.

    Bild 4: Port-omdirigering
  • Buffertöverskridning – En överbelastad buffert inträffar när en process försöker lagra data i större mängder än tilldelat minneskapacitet. Detta kan resultera i att extra data skrivs intilliggande minnesplatser vilket kan orsaka andra oväntade beteenden.
  • Aftonbladet besökte Sentor den 23 oktober 2013, ett svensk företag som arbetar med säkerhetsfrågor inom IT och som erbjuder varierande lösningar. På reportagen visas hur lätt det är att kapa ett facebook-konto:

    DoS attacker

    Bild 5: The Pirate Bay sajt tas ner, 2006

    Denial of Service attacker är egentligen överbelastningsattacker från en eller flera datorer som skickar extremt stort antal förfrågningar över ett nätverk eller Internet till en förutbestämd destination. Dessa orimliga antal förfrågningar tvingar systemet att arbeta kontinuerligt tills den kollapsar. Det attackerade system blir otillgängligt för legitim åtkomst och användning.

    Enligt Wikipedia ett av de mer uppmärksammade DDoS-attack i Sverige utfördes mot svenska Polisen den 1-2 juni 2006, troligen som en följd av att sajten The Pirate Bay stängdes den 31 maj och organisationens servrar togs i beslag. Intensiteten uppskattades vara 500 000 anrop i sekunden och den fientliga trafiken kom från flera länder. Polisens webbsajt var utslagen från kvällen den 1 juni och stora delar av den 2 juni 2006.

    DDoS-attack (Distributed Denial of Service attack)

    Det är en teknik som används genom att ett stort antal datorer deltar i attacker till ett nätverk, en webbplats, ett datorsystem eller en webbtjänst. I Sverige kallas attacken ibland även för en överbelastningsattack. För den drabbade kan en överbelastningsattack innebära att all server- eller förbindelsekapacitet kraschar. Den här typen av attacker slår givetvis hårt mot drabbade företag, banker och nätbutiker. Paypal, Amazon, Visa, svenska banker, Arbetsförmedlingen, Polis, Telia och CNN är några exempel på företag och myndigheter som drabbats av en överbelastningsattack.

    Botnät

    Det första steget i en DDoS-attack är att angriparen kapar ett större antal uppkopplade datorer och skapar ett botnät. I vissa fall kan flera hundratusen datorer kapas.

    Bild 7: Botnet

    Användaren är i regel helt ovetande om vad som har skett och att dennes dator används för att sänka en server eller en webbsida. Datorerna kan ha installerade program som ligger vilande under en längre tid innan de aktiveras för att initiera attacken.

    Efter att ha skapat ett botnet kan angriparen skapa ett stort antal anrop till ett datasystem. Angreppet kan riktas mot en dator, en port, ett program, ett helt nätverk eller riktas mot resurser som bandbredd, diskutrymme eller processortid. Därutöver kan skadlig kod rikas mot processorn och vid attacken kan sårbarheter i operativsystemet också utnyttjas.

    Det finns flera olika typer av DDoS attacker:

    • Ping of Death – en gammal exploit som gick ut på att man kunde krascha en dator genom att skicka för stora paket till den (ping  -l 65600 hostIP) Max storlek på ett paket är 65 535 bytes. Som en variant av ping of death kan istället skickas fraktioner av ett paket som innehåller ICMP begären (“missbildade paket“)

      Bild 8: Smurf-attack
    • Smurf Attack – angriparen skickar ICMP förfrågningar via en broadcastadress till en router (amplifikations maskin) som vidarebefordrar till alla enheter anslutna till ett nätverk. Enheterna svarar och svämmar den attackerade maskinen, exempelvis en annan router.
    • TCP SYN Flood – eller protokollutnyttjande attacker där klientdatorer begär kommunikation med en server och får en ACK paket tillbaka, men aldrig tackar ja paketet.