…in the name of… Security

Omówmy teraz coś, co nazywa się atakami online i offline. Niektóre z nich do pewnego stopnia już omówiliśmy, ale po prostu omówmy to, aby upewnić się, że umieściliśmy je we właściwym kontekście tego, co jest online, a co offline. Najpierw mamy atak kolizyjny. Omówiliśmy już wcześniej kolizje i jest to atak, który próbuje znaleźć dwa wejścia haszujące, które mają takie same dane wyjściowe. Dwa oddzielne dane wejściowe, które dają ten sam wynik, są określane jako kolizja. Może być używany do ominięcia zabezpieczeń i sprawienia, by złośliwy plik wyglądał na autentyczny, jeśli wartości skrótu są takie same. Omówiliśmy to już wcześniej w kontekście nazwy użytkownika i hasła, próbując uzyskać dostęp do systemu. Ale możemy to również zrobić, gdy próbujemy zweryfikować poprawność pliku. Jeśli mam prawidłowy plik i uruchamiam w nim jakąś funkcję skrótu, a następnie mam złośliwy plik, niezależnie od tego, czy jest to wirus, złośliwe oprogramowanie, uruchamiam również wartość skrótu w tym pliku. Jeśli znajdę taki, który pasuje do tych wartości skrótu, to ten plik będzie wyglądał na legalny. Może ominąć zabezpieczenia. Może ominąć program antywirusowy, anty-malware. Mogę zastąpić legalny plik złośliwym, wszczepiając do tego systemu złośliwe oprogramowanie, oprogramowanie szpiegujące lub jakiś rodzaj wirusa, obchodząc zabezpieczenia. W ten sposób, gdy użytkownik chce uzyskać dostęp do tego pliku, wierzy, że uzyskuje dostęp do legalnego, podczas gdy w rzeczywistości uzyskuje dostęp do złośliwego pliku.

Dla każdego ze zidentyfikowanych zasobów krytycznych firma powinna określić dopuszczalne czasy przestojów. Maksymalny dopuszczalny czas przestoju to okres niedostępności zasobu, w którym firma nie odczuje poważnych skutków. Ponownie, różne organizacje będą miały różne maksymalne dopuszczalne czasy przestojów w zależności od ich podstawowych procesów biznesowych. Na przykład sklep e-commerce ma krótszy maksymalny dopuszczalny czas przestoju dla swojej sieci w porównaniu do branży produkcyjnej. Organizacja musi bacznie obserwować swoje kluczowe procesy i oszacować maksymalny dopuszczalny czas, w którym mogą one pozostać niedostępne bez negatywnych konsekwencji. Najlepsze szacunkowe czasy przestoju należy uzyskać, równoważąc koszt zakłócenia i koszt odzyskania zasobu IT.

Tak jak centrum operacyjne potrzebuje ograniczonego dostępu, tak też programy i dane produkcyjne. Z funkcjonalnego punktu widzenia istnieją trzy kategorie osób, które mogą mieć dostęp do programów i danych, od których zależy przedsiębiorstwo: użytkownicy, programiści i personel operacyjny.

Kiedy próbujemy obliczyć wszystkie różne odmiany znaków alfanumerycznych, jest to bardzo czasochłonne. Próbujemy uzyskać te wartości skrótów, aby móc określić lub wyszukać kolizje skrótów. Cóż, na tęczowym stole zamierzamy wstępnie obliczyć lub przeprowadzić inżynierię wsteczną tych skrótów kryptograficznych. W przypadku MD5 lub SHA1, niezależnie od używanego przez nas algorytmu mieszającego, utworzymy osobną tabelę tęczy, która wchodzi z wyprzedzeniem i analizuje wszystkie te liczby, wszystkie te kombinacje alfanumeryczne. Daje nam to gigantyczną listę, którą możemy następnie wykorzystać do dopasowania do hasha użytkownika. W ten sposób w locie nie musimy próbować obliczać wszystkich tych różnych wartości jedna po drugiej. Wszystko, co teraz musimy zrobić, to zrobić szybkie porównanie. Powiedz, czy to pasuje? Nie. Czy to pasuje? Nie. Przez całą drogę, aż znajdziemy pasujący hash. Gdy tylko się o tym dowiemy, wiemy, że hashe pasują wcześniej, możemy wziąć to hasło i zastąpić je hasłem użytkownika i uzyskać dostęp do tego systemu. Przy dzisiejszych rozmiarach dysków, terabajtach łatwo osiągalnych, można uzyskać pendrive’y z terabajtami pamięci, bardzo łatwo jest nosić duże tęczowe tablice. W rzeczywistości możesz wejść do Internetu i pobrać gotowe tęczowe tablice dla różnych rodzajów hashów. Możemy zmniejszyć skuteczność tęczowych tablic, robiąc coś, co nazywa się soleniem haseł. Dodanie losowych danych do algorytmu haszującego, aby hash każdego użytkownika był unikalny. Może to być dowolna liczba zmiennych, które zostaną zastosowane do hasła tego użytkownika. W ten sposób, nawet jeśli masz dwóch użytkowników, którzy mają dokładnie to samo hasło, sól będzie unikalna dla tego użytkownika. Im większa wartość soli, tym większe bezpieczeństwo będziemy mieć. W ten sposób za każdym razem, gdy tworzone jest hasło użytkownika, nawet jeśli są identyczne, czynnik solenia będzie tworzyć zupełnie inne skróty. To sprawia, że ​​szansa na przejechanie przez jakiś rodzaj tęczowej tabeli i znalezienie pasujących skrótów jest znacznie trudniejsza.

Chociaż infrastruktura IT może być czasami złożona i składać się z wielu komponentów, tylko kilka z nich jest krytycznych. Są to zasoby, które wspierają podstawowe procesy biznesowe, takie jak przetwarzanie płac, przetwarzanie transakcji czy kasa w sklepie e-commerce. Zasoby krytyczne to serwery, sieć i kanały komunikacyjne. Różne przedsiębiorstwa mogą jednak posiadać własne, odrębne zasoby krytyczne.

Często, gdy konieczne jest zmodyfikowanie niewielkiej części systemu operacyjnego, zamiast instalowania całej nowej wersji, producenci proszą użytkowników o załatanie systemu operacyjnego. Programy poprawek modyfikują skompilowany kod w miejscu. Jeśli sumy kontrolne lub podpisy cyfrowe są używane do utrzymania integralności systemu operacyjnego, kody te będą musiały zostać ponownie wygenerowane po zastosowaniu poprawki. Jednak, aby utrzymać znany dobry stan, nakładanie łaty powinno przebiegać według sztywnej kolejności:

1. Załaduj aktualne znane dobre oprogramowanie z odpowiedniego nośnika (np. V2B1).
2. Zainstaluj poprawkę.
3. Natychmiast utwórz znany dobry nośnik rozruchowy przed uruchomieniem jakiegokolwiek innego oprogramowania (w naszym przykładzie tym nośnikiem będzie V2B2).

Atak urodzinowy to atak brute-force, który działa na kryptograficzne zjawisko kolizji hash. Dowiedzieliśmy się wcześniej, że jeśli haszujesz określone słowo, ciąg znaków lub znak, a nawet cały słownik, który powinien dać ci bardzo unikalną wartość skrótu. Jeśli miałbyś wejść i zmienić jedną literę w całym słowniku z dużej na małą lub po prostu zamienić literę, ta wartość skrótu byłaby inna. Cóż, to prawda. Jednak biorąc pod uwagę wystarczająco dużo czasu i w zależności od algorytmu, niezależnie od tego, czy jest to MD5, czy SHA1, każdy algorytm skrótu ma nieco inny sposób osiągnięcia tego. Ale mając wystarczająco dużo czasu, możesz napotkać sytuację, w której masz dwie niezależne wartości, które dają tę samą wartość skrótu. W grę wchodzi więc przykład paradoksu urodzinowego, stąd nazwa ataku urodzinowego. W paradoksie urodzinowym stwierdza, że ​​jest to algorytm matematyczny, który mówi w pokoju pełnym ludzi, jakie jest prawdopodobieństwo, że dwoje będzie miało te same urodziny? Cóż, 23 osoby. Jeśli masz 23 osoby w pokoju, istnieje 50% prawdopodobieństwo, że 2 osoby będą dzielić te same urodziny. Jeśli masz pokój na 30 osób, to jest 70% szans. Jeśli masz 70 osób w pokoju, to szansa na 99,9%. Jeśli masz 253 osoby w pokoju, to jest 100% szansa, że ​​dowolne 2 osoby będą dzielić urodziny. Skok z 72 do 253 to całkiem spory skok i zyskujemy tylko 1/10 procenta. Jeśli patrzymy na zabezpieczenie naszych zakładów i skupienie naszych zasobów z najwyższym prawdopodobieństwem sukcesu, możesz zobaczyć, jak ataki urodzinowe i zastosowanie tego samego rodzaju procesu myślowego pozwalają nam zmniejszyć skalę i skupić się, ale nadal mamy wysokie prawdopodobieństwo osiągnięcia sukcesu . Innymi słowy, niekoniecznie musimy znać hasło użytkownika. Wszystko, co musimy zrobić, to przejrzeć wszystkie iteracje kombinacji znaków alfanumerycznych, aż znajdziemy wartość skrótu, która odpowiada wartości skrótu użytkownika. Jeśli ich hasło to MIKE123, a nasze hasło to MIKE-MILLER-123, jeśli te dwie rzeczy dają tę samą wartość skrótu, ponieważ mamy kolizję skrótów, to nie muszę znać ich hasła. Wszystko, co muszę wiedzieć, to to, że skróty się zgadzają. Mogę wtedy wziąć moje hasło, które ma taką samą wartość hash jak hasło użytkownika, zalogować się do systemu za pomocą swojej nazwy użytkownika i wprowadzić moje hasło. Hasze będą pasować. Uzyskuję dostęp do tego systemu. W tym miejscu pojawia się niebezpieczeństwo związane z tym zjawiskiem kolizji haszów.

Dobry plan awaryjny musi być oparty na jasnej polityce, która określa cele awaryjne organizacji i wyznacza pracowników odpowiedzialnych za planowanie awaryjne. Wszyscy starsi pracownicy muszą wspierać program awaryjny. Powinny one być zatem włączone do opracowania ogólnozakładowej, uzgodnionej polityki planowania awaryjnego, która określa role i obowiązki związane z planowaniem awaryjnym. Opracowana przez nich polityka musi zawierać następujące kluczowe elementy:

* Zakres, który obejmie plan awaryjny

* Wymagane zasoby

* Potrzeby szkoleniowe użytkowników organizacyjnych

* Harmonogramy testów, ćwiczeń i konserwacji

* Harmonogramy tworzenia kopii zapasowych i ich lokalizacje

* Definicje ról i obowiązków osób wchodzących w skład planu awaryjnego

Przeprowadzanie analizy wpływu biznesowego Przeprowadzenie analizy wpływu biznesowego (BIA) pomoże koordynatorom planowania awaryjnego w łatwym scharakteryzowaniu wymagań systemowych organizacji i ich współzależności. Informacje te pomogą im w określeniu wymagań awaryjnych i priorytetów organizacji podczas opracowywania planu awaryjnego. Głównym celem przeprowadzenia BIA jest jednak skorelowanie różnych systemów z oferowanymi przez nie krytycznymi usługami (6). Na podstawie tych informacji organizacja może zidentyfikować indywidualne konsekwencje zakłócenia każdego systemu. Analizę wpływu na biznes należy przeprowadzić w trzech krokach.

Kontynuując ten przykład, jak utrzymywać znane dobre oprogramowanie operacyjne, może okazać się konieczne zainstalowanie nowej wersji systemu operacyjnego — powiedzmy wersji 2 na nośniku V2B0. Przed użyciem V2B0 operacje ponownie instalowałyby obecny znany dobry system operacyjny, powiedzmy z V1B1. Dopiero wtedy zostanie zainstalowany V2B0, a nowy nośnik startowy V2B1 zostanie utworzony natychmiast.

 

Istnieją trzy główne obszary, które chcemy omówić, a dotyczy to ataków brute-force, na które składają się ataki słownikowe i ataki hybrydowe. Za chwilę porozmawiamy o nich bardziej szczegółowo. Mówimy też o urodzinowych atakach i tęczowych stołach. Haker zazwyczaj stosuje podejście systematyczne. Najpierw próbował najłatwiejszych rzeczy, a następnie przechodził przez wiele różnych technik, dopóki nie był w stanie wejść lub nie. Pierwszym z nich jest atak brutalnej siły. Jak sama nazwa wskazuje, zamierzamy po prostu rzucić w to wszystko, co mamy. Nie znamy hasła. Spróbujemy złamać to hasło, używając każdej możliwej kombinacji znaków alfanumerycznych, wielkich i małych liter. Jest to bardzo czasochłonne. Większość kont zostanie zablokowana po X próbach, czasem trzech lub pięciu. Długość hasła zwykle wydłuża czas do złamania. W zależności od kombinacji liter i cyfr, które mamy, jeśli są symbole, jeśli są to słowa ze słownika lub nietypowe słowa, może to być trudniejsze. Ale niekoniecznie oznacza to, że będzie to mniej lub bardziej czasochłonne, jeśli będziemy mieć odpowiednie narzędzia. Jeśli mamy rozproszony zestaw komputerów, które się na tym chrupią, potencjalnie możemy go wyłączyć w ciągu kilku godzin lub może to zająć kilka dni. To zależy od tego, jak złożone jest to hasło. W ataku słownikowym karmimy to narzędzie do łamania haseł metodą brute force. Zamierzamy nakarmić go listą znanych słów lub fraz. To, co próbujemy zrobić, to ograniczyć liczbę rzeczy, przez które musisz się przebić. Jeśli karmimy go rzeczywistymi słowami ze słownika, nie próbujemy losowo każdego znaku alfanumerycznego jeden po drugim i przeskakujemy każdą możliwą kombinację. Zamiast tego podamy mu listę słów, które mają większe prawdopodobieństwo sukcesu. Istnieje wiele popularnych narzędzi, których możemy w tym celu użyć. Wszystkie te narzędzia umożliwiają przeprowadzanie ataków słownikowych na cel. Niektóre z nich są wbudowane w różne dystrybucje Linuksa. Niektóre z nich to specyficzne programy do pobierania, które można pobrać i uruchomić w systemie Windows, Linux lub Mac. Następna jest metoda hybrydowa. Hybryda to atak brute-force, który łączy atak słownikowy z odmianami słów, zanim wyniknie w zwykłym, starym ataku brute-force. Możemy go rozpocząć i określić, aby użyć tej listy słów. Następnie wypróbuj każdą kombinację słów. Wtedy, jeśli żadna z tych rzeczy nie zadziała, uciekniemy się do zwykłego, starego ataku brutalnej siły. To połączenie brutalnej siły i słownika.