5. Avancerade användare
6.2 Typer av fjärrangrepp
Det finns många olika tekniker som gör det möjligt för angripare att skada säkerheten för fjärrsystem. Dessa delas in i flera kategorier.
6.2.1 DOS-attacker
DoS eller Denial of Service, är ett försök att göra en dator eller ett nätverk oåtkomligt för sina avsedda användare.
Kommunikationen mellan drabbade användare förhindras och går inte längre att upprätthålla. Datorer som utsätts för DoS-attacker måste vanligtvis startas om för att fungera korrekt.
I de flesta fall är målen webbservrar och syftet är att göra dem otillgängliga för användare under en viss tid.
6.2.2 DNS-förgiftning
Med DNS-förgiftning (Domain Name Server) lurar hackare DNS-servern till en dator att tro att den falska information hackarna anger är korrekt och autentisk. Den falska informationen cachas en viss tidsperiod och gör det möjligt för sabotörer att skriva om IP-adressers DNS-svar. Det innebär att användare som försöker komma åt webbplatser på Internet hämtar datorvirus eller maskar i stället för det ursprungliga innehållet.
6.2.3 Maskattacker
En datormask är ett program som innehåller skadlig kod och som attackerar värddatorer och sprider sig via ett nätverk.
Nätverksmaskar utnyttjar sårbarheter i säkerheten hos olika program. På grund av Internets tillgänglighet kan de spridas över hela världen inom några timmar från det att de släpps.
Det går att undvika de flesta maskangrepp (Sasser, SqlSlammer) genom att använda standardinställningarna för säkerhet i brandväggen, eller genom att blockera oskyddade och oanvända portar. Det är även nödvändigt att operativsystemet uppdateras med de senaste säkerhetskorrigeringsfilerna.
6.2.4 Portgenomsökning
Portgenomsökning används för att avgöra vilka datorportar som är öppna på en nätverksvärd. En portskanner är ett program som hittar dessa portar.
En datorport är en virtuell punkt som hanterar inkommande och utgående data, vilket är mycket viktigt ur säkerhetssynpunkt. I ett stort nätverk kan information som samlas in av portskannrar hjälpa till att identifiera potentiella sårbarheter. Sådan användning är legitim.
Portgenomsökning används dock ofta av hackare som försöker skada säkerheten. Deras första steg är att skicka paket till alla portar. Beroende på svarstypen går det att avgöra vilka portar som används. Själva genomsökningen ger inte upphov till några skador, men du bör vara medveten om att denna aktivitet kan identifiera potentiella sårbarheter och tillåta att angripare tar kontrollen över fjärrdatorer.
Det rekommenderas att nätverksadministratörer blockerar alla oanvända portar och skyddar de som används från obehörig åtkomst.
6.2.5 TCP-desynkronisering
TCP-desynkronisering är en teknik som används vid TCP-kapningsattacker. Den utlöses av en process där det sekventiella numret i inkommande paket skiljer sig från det förväntade sekventiella numret. Paket med ett oväntat sekventiellt nummer ignoreras (eller sparas i buffertminnet, om de förekommer i det aktuella kommunikationsfönstret).
I desynkronisering avvisar båda kommunikationsslutpunkterna mottagna paket som ger fjärrangripare möjlighet att infiltrera och tillhandahålla paket med korrekt sekventiellt nummer. Angriparna kan även manipulera eller ändra kommunikation.
TCP-kapningsattacker försöker avbryta kommunikation mellan server och klient eller serverlös kommunikation. Det går att undvika många angrepp genom att använda autentisering för alla TCP-segment. Du bör också använda
rekommenderade konfigurationer för nätverksenheter.
6.2.6 SMB-relä
SMBRelay och SMBRelay2 är speciella program som kan genomföra angrepp mot fjärrdatorer. Programmen utnyttjar fildelningsprotokollet SMB (Server Message Block) som ligger ovanpå NetBIOS. En användare som delar en eller katalog på det lokala nätverket använder troligen detta fildelningsprotokoll.
Inom den lokala nätverkskommunikationen utväxlas hash-värden för lösenord.
SMBRelay tar emot en anslutning på UDP-portarna 139 och 445 och vidarebefordrar paketen som skickas mellan klienten och servern samt modifierar dem. När anslutningen och autentiseringen har utförts kopplas klienten bort.
SMBRelay skapar en ny virtuell IP-adress. Det går att få åtkomst till den nya adressen med kommandot net use \
\192.168.1.1. Därefter kan adressen användas av alla nätverksfunktioner i Windows. SMBRelay vidarebefordrar
kommunikation med SMB-protokollet förutom förhandling och autentisering. Fjärrangripare kan använda IP-adressen så länge klientdatorn är ansluten.
SMBRelay2 fungerar enligt samma princip som SMBRelay, förutom att det använder NetBIOS-namn i stället för IP-adresser. Båda kan utföra MITM-attacker (angrepp från tredje man). Dessa angrepp gör det möjligt för fjärrangripare att läsa, infoga och ändra meddelanden som utväxlas mellan två kommunikationsslutpunkter utan att upptäckas.
Datorer som utsätts för sådana angrepp slutar ofta svara eller startar oväntat om.
Vi rekommenderar att undvika angrepp genom att använda autentiseringslösenord eller nycklar.
6.2.7 ICMP-attacker
ICMP (Internet Control Message Protocol) är ett populärt och vanligt Internetprotokoll. Det används främst av nätverksanslutna datorer för att skicka olika felmeddelanden.
Fjärrangripare försöker utnyttja svagheterna i ICMP-protokollet. ICMP-protokollet är gjort för envägskommunikation som inte kräver autentisering. Det gör att fjärrangripare kan utlösa så kallade DoS-attacker (Denial of Service) eller attacker som ger obehöriga tillgång till inkommande och utgående paket.
Typiska exempel på attacker är ping-flood, ICMP_ECHO-flood och smurfattacker. Datorer som utsätts för ICMP-attacken är mycket långsammare (det gäller alla program som använder Internet) och har problem att ansluta till Internet.
6.3 E-post
E-post eller elektronisk post, är ett modernt sätt att kommunicera med många fördelar. Det är flexibelt, snabbt och direkt och spelade en avgörande roll för Internets popularitet i början av 1990-talet.
Dessvärre gör e-postens och Internets höga anonymitetsnivå att det finns utrymme för olagliga aktiviteter som
skräppost, s.k. spam. Spam innehåller oönskad reklam, bluffar och spridning av skadlig programvara. Det blir ännu mer besvärligt och farligt för användaren genom att det kostar mycket lite att skicka spam och spammare har många verktyg och källor för att hitta nya e-postadresser. Dessutom är spam mycket svårt att reglera eftersom det finns så mycket och den är så mångskiftande. Ju längre du använder din e-postadress, desto högre sannolikhet att den hamnar i en databas i ett spamprogram. Några tips för att förhindra spam:
Publicera om möjligt inte din e-postadress på Internet Ge bara din e-postadress till personer du litar på
Använd om möjligt inte vanliga alias - med mer invecklade alias blir det mindre sannolikt att de hittar dig Svara inte på spam som redan har kommit till inkorgen
Var försiktig när du fyller i formulär på Internet - var extra försiktig med kryssrutor som ”Ja, jag vill ha mer information om... via e-post.”
Använd ”specialiserade” e-postadresser, t.ex. en till arbetet, en annan till att skriva till vänner osv.
Byt e-postadress då och då Använd en antispamlösning 6.3.1 Annonser
Annonsering på Internet är en av de annonseringsformer som växer snabbast. De största fördelarna när det gäller marknadsföring är minimala kostnader samt en hög riktningsnivå. Dessutom levereras annonserna nästan omedelbart.
Många företag använder marknadsföring via e-post för effektiv kommunikation med både befintliga och potentiella kunder.
Denna annonseringsmetod är legitim, eftersom användaren kan vara intresserad av att få reklam om vissa produkter.
Men många företag skickar oönskad reklam via e-post. I sådana fall går e-postannonsering över gränsen och blir spam.
Mängden oönskad e-post har blivit ett problem och visar inga tecken på att avta. Författare till oönskad e-post försöker maskera spam som legitima meddelanden.
6.3.2 Bluffar
En bluff (hoax) är felinformation som sprids via Internet. Bluffar sprids vanligen med e-post och
kommunikationsverktyg som ICQ och Skype. Själva meddelandet är ofta ett skämt eller en vandringssägen.
Datorvirusbluffar försöker skrämma mottagarna och få dem att tro att det finns ett "oupptäckbart virus" som raderar filer och stjäl lösenord eller skadar systemet på något annat sätt.
En del bluffar fungerar genom att mottagarna ombeds att vidarebefordra meddelandena till sina kontakter, vilket håller bluffen levande. Det finns mobiltelefonbluffar, vädjanden om hjälp, folk som erbjuder sig att skicka dig pengar från andra länder osv. I de flesta fall är det omöjligt att veta avsikten.
Om du får ett meddelande som ber dig vidarebefordra det till alla du känner kan det mycket väl vara en bluff. Det finns många webbplatser på Internet som verifierar att ett e-postmeddelande är äkta. Sök på Internet om alla meddelanden du misstänker kan vara bluffar innan du vidarebefordrar dem.
6.3.3 Nätfiske
Termen nätfiske (phishing) definierar en kriminell teknik där användare manipuleras att lämna ifrån sig konfidentiell information. Målet är att få tillgång till känsliga data som bankkontonummer, PIN-koder och så vidare.
Detta sker oftast genom att någon skickar ett e-postmeddelande och utger sig för att vara en trovärdig person eller företag (t.ex. en finansinstitution, ett försäkringsbolag eller liknande). E-postmeddelandet kan verka äkta och det kan innehålla grafik och innehåll som ursprungligen kommer från källan som imiteras. Med olika förevändningar (verifiering av data, finansiella aktiviteter, osv.) uppmanas du att lämna ifrån dig personliga data, till exempel bankkontonummer, användarnamn eller lösenord. Alla sådana data kan lätt stjälas och missbrukas om de anges.
Tänk på att banker, försäkringsbolag och andra legitima företag aldrig begär användarnamn eller lösenord via oönskad e-post.
6.3.4 Känna igen spambedrägerier
Det finns några allmänna kännetecken som kan hjälpa dig identifiera spam (oönskad e-post) i inkorgen. Om ett meddelande uppfyller några av följande villkor är det troligen ett spammeddelande.
Avsändaradressen tillhör inte någon på din kontaktlista.
Du blir erbjuden en stor summa pengar men måste först skicka en mindre summa.
Med olika förevändningar (verifiering av data, finansiella aktiviteter, osv.) uppmanas du att ange personliga data, till exempel bankkontonummer, användarnamn eller lösenord.
Meddelandet är skrivet på ett främmande språk.
Du ombeds köpa en produkt du inte är intresserad av. Om du bestämmer dig för att köpa den ändå bör du kontrollera att meddelandets avsändare är en pålitlig försäljare (kontrollera detta med produktens tillverkare).
Vissa ord är felstavade i ett försök att lura spamfiltret. T.ex. ”v1agra” i stället för ”viagra” osv.
6.3.4.1 Regler
När det handlar om antispamlösningar och e-postklienter är regler verktyg för manipulering av e-postfunktioner. De består av två logiska delar:
1. villkor (exempelvis ett inkommande meddelande från en viss adress) 2. åtgärd (exempelvis att ta bort meddelandet eller flytta det till en viss mapp).
Olika antispamlösningar har olika många regler och de kan kombineras på olika sätt. Dessa regler skyddar mot spam (oönskad e-post). Typiska exempel:
1. Villkor: Ett inkommande e-postmeddelande innehåller vissa ord som normalt förekommer i spammeddelanden 2. Åtgärd: Ta bort meddelandet
1. Villkor: Ett inkommande e-postmeddelande innehåller en bifogad fil med tillägget .exe 2. Åtgärd: Ta bort den bifogade filen och leverera meddelandet
1. Villkor: Ett inkommande e-postmeddelande ankommer från din arbetsgivare 2. Åtgärd: Flytta meddelandet till mappen Arbete
Vi rekommenderar att använda en kombination av olika regler i antispamprogram så att administrationen blir enklare och spam filtreras på ett effektivt sätt.
6.3.4.2 Vitlista
I allmänhet är en vitlista en lista med objekt eller personer som har accepterats, eller som har fått behörighet. En "vitlista för e-post" anger en lista med kontakter som användaren vill ta emot meddelanden från. Sådana vitlistor baseras på nyckelord som förekommer i e-postadresser, domännamn eller IP-adresser.
Om en vitlista fungerar i exklusivt läge går det inte att ta emot meddelanden från någon adress, domän eller IP-adress som inte förekommer i listan. Om vitlistan inte är exklusiv tas sådana meddelanden inte bort, utan filtreras på något annat sätt.
En vitlista baseras på en princip som är motsatt den för en svartlista. Vitlistor är relativt enkla att underhålla, särskilt jämfört med svartlistor. Det rekommenderas att du använder både vitlistor och svartlistor så att spamfiltreringen blir så effektiv som möjligt.
6.3.4.3 Svartlista
En svartlista är vanligtvis en lista med oacceptabla eller förbjudna objekt eller personer. I den virtuella världen är det en teknik som gör att det går att acceptera meddelande från alla användare som inte finns med i en sådan lista.
Det finns två typer av svartlistor: Listor som skapas av användare i deras antispamprogram och professionella svartlistor på Internet som skapas av specialiserade organisationer och uppdateras regelbundet.
Det är nödvändigt att använda svartlistor för framgångsrik spamfiltrering, men de är mycket svåra att underhålla eftersom nya objekt som ska blockeras tillkommer varje dag. Vi rekommenderar att använda både vitlistor och svartlistor så att spamfiltreringen blir så effektiv som möjligt.
6.3.4.4 Kontroll på serversidan
Kontroll på serversidan är en teknik som gör det möjligt att identifiera massutskickad spam baserat på antalet
mottagna meddelanden och på användarnas reaktioner. Varje meddelande lämnar kvar ett unikt digitalt ”fingeravtryck”
baserat på innehållet i meddelandet. Det unika ID-numret säger inget om e-postmeddelandets innehåll. Två identiska meddelanden får identiska fingeravtryck, medan olika meddelanden får olika fingeravtryck.
Om ett meddelande markeras som spam skickas dess fingeravtryck till servern. Om servern tar emot fler identiska fingeravtryck (som motsvarar ett visst spammeddelande) lagras fingeravtryck i databasen med spamavtryck. Vid genomsökning av inkommande meddelanden skickar programmet meddelandenas fingeravtryck till servern. Servern returnerar information om vilka fingeravtryck som motsvarar meddelanden som redan har markerats som spam av användarna.