Ασφάλεια Υπολογιστικών Συστημάτων Ενότητα 8: Malware Νικολάου Σπύρος Τμήμα Μηχανικών Πληροφορικής ΤΕ
Άδειες Χρήσης Το παρόν εκπαιδευτικό υλικό υπόκειται σε άδειες χρήσης Creative Commons. Για εκπαιδευτικό υλικό, όπως εικόνες, που υπόκειται σε άλλου τύπου άδειας χρήσης, η άδεια χρήσης αναφέρεται ρητώς. 2
Χρηματοδότηση Το παρόν εκπαιδευτικό υλικό έχει αναπτυχθεί στα πλαίσια του εκπαιδευτικού έργου του διδάσκοντα. Το έργο «Ανοικτά Ακαδημαϊκά Μαθήματα στο TEI Δυτικής Μακεδονίας και στην Ανώτατη Εκκλησιαστική Ακαδημία Θεσσαλονίκης» έχει χρηματοδοτήσει μόνο τη αναδιαμόρφωση του εκπαιδευτικού υλικού. Το έργο υλοποιείται στο πλαίσιο του Επιχειρησιακού Προγράμματος «Εκπαίδευση και Δια Βίου Μάθηση» και συγχρηματοδοτείται από την Ευρωπαϊκή Ένωση (Ευρωπαϊκό Κοινωνικό Ταμείο) και από εθνικούς πόρους. 3
Σκοποί ενότητας Αυτή η ενότητα πραγματεύεται ζητήματα σχετικά με τα malware. 4
Περιεχόμενα ενότητας (1/4) Κακόβουλα προγράμματα. Σκουλήκια - worms. Σκουλήκια - Δράση. Σκουλήκια - Κατηγορίες. Σκουλήκια - Αντιμετώπιση. Σκουλήκια Παραδείγματα. Τεχνολογίες σκουληκιών. Κερκόπορτα - backdoor ή trap door. Λογική βόμβα - Logic Bomb. 5
Περιεχόμενα ενότητας (2/4) Δούρειος Ίππος - Trojan Horse. Ζόμπι. Dialers. Άλλα κακόβουλα προγράμματα. Ιοί - Γενικά. Ιοί - Μόλυνση. Η νέα φιλοσοφία των ιών. Φάσεις του Ιού. Δομή των Ιών. 6
Περιεχόμενα ενότητας (3/4) Ιός Συμπίεσης. Είδη Ιών. Ιοί Μακροεντολών. Ιοί Μακροεντολών Παράδειγμα. Ιοί Ηλεκτρονικού Ταχυδρομείου. Μέτρα αντιμετώπισης Ιών. Γενιές λογισμικού αντιβιοτικών. Προηγμένες τεχνικές αντιβιοτικών. Κατανεμημένες επιθέσεις άρνησης εξυπηρέτησης. 7
Περιεχόμενα ενότητας (4/4) Επίθεση DDoS. Επίθεση DDos εσωτερικού πόρου. Άλλες επιθέσεις DDoS. Δημιουργία δικτύου επίθεσης. Αντίμετρα DDoS. Βιβλιογραφία. 8
Malware
Κακόβουλα προγράμματα 2 βασικές κατηγορίες: Βασιζόμενα σε πρόγραμμα ξενιστή. Ιοί, λογικές βόμβες, κερκόπορτες κτλ. Ανεξάρτητα. Σκουλήκια, ζόμπι κτλ. 10
Σκουλήκια - worms Λογισμικά που εξαπλώνονται μέσω δικτυακών επικοινωνιών αντιγράφοντας επαναληπτικά τον εαυτό τους. Απαιτούνται ειδικές γνώσεις πρωτοκόλλων επικοινωνίας, ευπαθειών δικτύων και λειτουργικών συστημάτων. 11
Σκουλήκια - Δράση Αμέσως μετά την μόλυνση συστήματος, αναζητεί συνδέσεις του με άλλους υπολογιστές. Αν εντοπιστούν, αντιγράφει τον εαυτό του σε αυτούς. Σκοπεύουν στην: Καταστροφή αρχείων. Υποκλοπή πληροφοριών. Αποδιοργάνωση λειτουργικού συστήματος με σκοπό πρόκληση DoS. 12
Σκουλήκια - Κατηγορίες 2 κατηγορίες: Host Computer Worms (ή rabbits). Λειτουργούν σε ένα μόνο υπολογιστή. Network Worms (ή octopuses). Χωρισμένα σε τμήματα. Απλωμένα σε δίκτυο υπολογιστών (συνήθως LAN). Εξαπλώνονται συνήθως μέσω κοινών μέσων πρόσβασης. Π.χ. σκληρός δίσκος με κοινή πρόσβαση από πολλούς χρήστες. 13
Σκουλήκια - Αντιμετώπιση Δύσκολος εντοπισμός σημείων προσβολής. Πρέπει να εντοπιστούν και αντιμετωπιστούν όλα τα σημεία προσβολής του συστήματος ή δικτύου. Επιβάλλεται η χρήση δύσκολων συνθηματικών. Έτσι θα είναι πιο δύσκολη η απόκτηση πρόσβασης από τα σκουλήκια σε ένα δίκτυο. Ιδιαίτερα αποτελεσματική η χρήση Τείχους Προστασίας (firewall). Προσοχή! Δεν ανοίγουμε emails από άγνωστους αποστολείς. Ούτε φυσικά συνημμένα εκτελέσιμα αρχεία και links! 14
Σκουλήκια Παραδείγματα (1/3) ILOVEYOU (ή LoveLetter). Μόλυνε 10.000.000 χρήστες Windows τo 2000. Email με subject ILOVEYOU και attachment LOVE- LETTER-FOR-YOU.TXT.vbs. Η κατάληξη του αρχείου δεν ήταν ορατή για να παραπλανεί τους χρήστες. Το άνοιγμα του αρχείου είχε σαν αποτέλεσμα. Την αποστολή του μηνύματος σε όλες τις διευθύνσειςεπαφές του χρήστη με αποστολέα τον μολυσμένο χρήστη. Την δημιουργία σοβαρών αλλαγών στο ΛΣ του χρήστη. 15
Σκουλήκια Παραδείγματα Code Red. (2/3) Προκάλεσε μεγάλη δημοσιότητα και ανησυχία για τα αποτελέσματά του το 2001. Επιβράδυνε την κυκλοφορία στο Διαδίκτυο αναπαράγοντας τον εαυτό του. Έψαχνε συστήματα στο Διαδίκτυο με Windows NT ή Windows 2000 που να μην έχουν εγκατεστημένο το security patch της Microsoft. Μόλις εντόπιζε ευπαθή server αντέγραφε τον εαυτό του σε αυτόν. 16
Σκουλήκια Παραδείγματα Code Red (Συνέχεια). Σκοπός. (3/3) Να αναπαράγει τον εαυτό του κατά τις 20 πρώτες μέρες του μήνα. Να αντικαθιστά τις σελίδες των μολυσμένων servers με μια σελίδα με το μήνυμα HELLO! Welcome to http://www.worm.com! Hacked By Chinese. Να ξεκινήσει οργανωμένη επίθεση κατά του Web server του Λευκού Οίκου με σκοπό την κατάρρευσή του. 17
Τεχνολογίες σκουληκιών Πολλαπλές πλατφόρμες (multiplatform). Πολλαπλές τεχνικές (multiexploit). Ταχεία Εξάπλωση (ultrafast spreading). Πολυμορφισμός (polymorphic). Μεταμορμφισμός (metamorphic). Οχήματα για μεταφορά (transport vehicles). Εκμετάλλευση αδυναμίας την «Ημέρα-Μηδέν» (Zero-day exploit). 18
Κερκόπορτα - Backdoor ή trap door (1/2) Μυστικό σημείο εισόδου σε λογισμικό. Πρόσβαση παρακάμπτοντας τις διαδικασίες ασφαλείας. Χρησιμοποιούνται νόμιμα για διόρθωση/έλεγχο προγραμμάτων (π.χ. στο debugging). Υπάρχουν λογισμικά για δημιουργία backdoor σε ένα σύστημα. Π.χ. BO (Back Orifice), Netbus. 19
Κερκόπορτα - Backdoor ή trap door (2/2) Χρησιμοποιούνται παράνομα για απόκτηση μη εξουσιοδοτημένης πρόσβασης. Αποτελούνται από 2 τμήματα: Server: Εγκαθίσταται και λειτουργεί στον υπολογιστήστόχο. Client: Χρησιμοποιείται από τον επιτιθέμενο για να επικοινωνεί με τον server αποκτώντας πρόσβαση σε ευαίσθητα δεδομένα και αρχεία. 20
Λογική βόμβα - Logic Bomb Από τα παλαιότερα είδη απειλής. Κώδικας ενσωματωμένος σε άλλο πρόγραμμα προγραμματισμένος να «εκραγεί» σε κατάλληλες συνθήκες. Παρουσία/απουσία συγκεκριμένων αρχείων. Συγκεκριμένη ημερομηνία. Εκτέλεση από συγκεκριμένους χρήστες. Τροποποιεί/διαγράφει δεδομένα, παγώνει τον υπολογιστή κτλ. 21
Δούρειος Ίππος - Trojan Horse (1/4) Κρυφός κώδικας που όταν καλείται πραγματοποιεί ανεπανόρθωτη βλάβη. Π.χ. αλλαγή δικαιωμάτων πρόσβασης σε αρχεία ώστε να είναι αναγνώσιμα από όλους. Συνήθως είναι ενσωματωμένος σε φαινομενικά χρήσιμα προγράμματα (droppers) σαν δέλεαρ. Π.χ. σε πρόγραμμα αριθμομηχανή.ς Πολλές φορές το κίνητρο είναι η καταστροφή δεδομένων. 22
Δούρειος Ίππος - Trojan Horse (2/4) Συνήθως αποτελείται από 2 τμήματα: client, server: Οι επιτιθέμενοι επιδιώκουν την εγκατάσταση server σε κάποιο υπολογιστή. Ο εισβολέας επικοινωνεί μέσω client από τον υπολογιστή του. 23
Δούρειος Ίππος - Trojan Horse (3/4) Επικαλούνται ότι εκτελούν μια λειτουργία αλλά στην πραγματικότητα εκτελούν και άλλες. Π.χ. κλοπή συνθηματικών. Πολλές φορές η υποτιθέμενη εργασία που εκτελούν δεν υπάρχει καθόλου. Πολλές φορές λειτουργούν με συγκαλυμμένο τρόπο, χωρίς να προκαλούν υποψίες. 24
Δούρειος Ίππος - Trojan Horse (4/4) Δούρειος Ίππος μπορεί να θεωρηθεί οποιοδήποτε πρόγραμμα με επιπρόσθετες λειτουργίες από αυτές που αναφέρονται στο εγχειρίδιο χρήσης. Δεν είναι απαραίτητο να αντιγράφουν τον εαυτό τους. Βασικές μέθοδοι πρόληψης. Ενημέρωση. Χρήση αυθεντικών προγραμμάτων. 25
Ζόμπι (1/2) Κομμάτι λογισμικού που αναλαμβάνει κρυφά τον έλεγχο κάποιου υπολογιστή στο Διαδίκτυο. Στη συνέχεια τον χρησιμοποιεί για επιθέσεις. Δύσκολος ο εντοπισμός της προέλευσης. Χρησιμοποιούνται συνήθως σε επιθέσεις DoS ενάντια σε ιστοσελίδες. Χρησιμοποιούνται και για την αποστολή spam emails. 26
Ζόμπι (2/2) Εγκαθίστανται σε εκατοντάδες υπολογιστές. Συνήθως οι χρήστες αυτών των υπολογιστών δεν γνωρίζουν/αντιλαμβάνονται την ύπαρξή τους. Δημιουργούν τεράστιο δικτυακό φόρτο εργασίας. 27
Dialers (1/2) Διαδεδομένη μορφή κακόβουλου λογισμικού. Σκοπός δεν είναι η υποκλοπή δεδομένων ή πρόκληση ανεπιθύμητων ενεργειών στο ΛΣ μας. Αλλά η χρέωσή μας! Αρχικά δημιουργήθηκαν για την πληρωμή μικροποσών από υπηρεσίες του Διαδικτύου μέσω τηλεφωνικού λογαριασμού. 28
Dialers (2/2) Σήμερα αποτελούν λογισμικά που αναγκάζουν τον υπολογιστή μας να συνδεθεί χωρίς την άδειά μας με ISPs διαφορετικούς από τον τοπικό μας πάροχο (π.χ. ΟΤΕΝΕΤ, CYTA, Forthnet κτλ). Αυτό συνήθως έχει σαν αποτέλεσμα την υψηλή χρέωσή μας από τον απομακρυσμένο πάροχο. Προέρχονται από επισκέψεις σε συγκεκριμένες ιστοσελίδες. Κατά την επίσκεψη του χρήστη εγκαθίσταται στο σύστημά του χωρίς να γίνει αντιληπτό. Μερικές φορές υπάρχουν και σε αρχεία συνημμένα σε e- mail. Συνήθως απειλούν συνδρομητές PSTN ή ISDN. 29
Άλλα κακόβουλα προγράμματα Spammer. Kit. (1/2) Στέλνει μεγάλο όγκο e-mail. Δημιουργεί αυτόματα νέους ιούς. Rootkit. Χρησιμοποιείται μετά από διείσδυση σε ένα σύστημα για απόκτηση σε αυτό δικαιωμάτων διαχειριστή. 30
Άλλα κακόβουλα προγράμματα (2/2) Exploits (Σημεία εκμετάλλευσης). Προγράμματα που εκμεταλλεύονται συγκεκριμένες αδυναμίες με σκοπό την εκτέλεση ανεπιθύμητων ενεργιών, DoS κ.α. Flooder. Για μαζικές επιθέσεις εναντίον δικτύων, προκαλούν άρνηση εξυπηρέτησης. Keylogger. Καταγράφει τη χρήση του πληκτρολογίου. 31
Ιοί - Γενικά (1/2) Ο συνηθέστερος τρόπος μόλυνσης υπολογιστή. Συνήθως μεταδίδονται μέσω e-mail, από συνημμένα εκτελέσιμα αρχεία. Για να εκτελεστούν θα πρέπει πρώτα να εκτελεστεί το αρχείο-ξενιστής. Το αρχείο ξενιστής συνήθως είναι ένα φαινομενικά «φυσιολογικό» πρόγραμμα. 32
Ιοί - Γενικά (2/2) Εκμεταλλεύονται τις αδυναμίες του λειτουργικού συστήματος και τις αδυναμίες των πρωτοκόλλων επικοινωνίας. Έχουν αναφερθεί περίπου 90.000 είδη ιών τα τελευταία 15 χρόνια. 400 περίπου ενεργοί. 33
Ιοί - Μόλυνση Ένας υπολογιστής μπορεί να μολυνθεί από ιό μέσω. Δισκέτα, CD, DVD ή οποιοδήποτε άλλο μέσο αποθήκευσης. Μέσω ηλεκτρονικού ταχυδρομείου. Μέσω αρχείων που κάνουμε download από το Διαδίκτυο. Μέσω επίσκεψης κάποιας Ιστοσελίδας. 34
Η νέα φιλοσοφία των ιών Οι νέοι ιοί έχουν σαν σκοπό την υποκλοπή και αξιοποίηση πληροφοριών και δεδομένων. Εγκληματικοί, στρατηγικοί λόγοι. Στο μέλλον πολύ πιθανό να χρησιμοποιηθούν εκτενώς για κατασκοπεία και στον στρατό για καταστροφή αρχείων ή συλλογή πληροφοριών. Πολύ αναλυτές αναφέρονται στους ιούς νέας γενιάς με νέους όρους. Blended Threats (συνδυασμένες απειλές). Flash Threats (ακαριαίες απειλές). 35
Φάσεις του Ιού Φάση ύπνωσης (dormant phase). Ιός σε αδράνεια. Περιμένει κάποιο γεγονός προς ενεργοποίηση. Φάση διάδοσης (propagation phase). Ο ιός τοποθετεί ακριβές αντίγραφό του σε άλλα προγράμματα ή περιοχές στον δίσκο (κλώνοι). Φάση πυροδότησης (triggering phase). Ενεργοποίηση ιού για εκτέλεση της λειτουργίας για την οποία προορίζεται. Φάση εκτέλεσης (execution phase). Εκτέλεση λειτουργίας. 36
Δομή των Ιών Τοποθετούνται στην αρχή ή το τέλος εκτελέσιμου προγράμματος ή ενσωματώνονται σε αυτό. Όταν καλείται το μολυσμένο πρόγραμμα εκτελείται πρώτα ο ιός και μετά το ίδιο. Ψάχνει για αρχεία που δεν έχουν μολυνθεί και τα μολύνει. Στην φάση πυροδότησης εκτελεί την ζημιά για την οποία δημιουργήθηκε. Αν η φάση μόλυνσης είναι γρήγορη, ο χρήστης δεν θα αντιληφθεί διαφορά. 37
Ιός Συμπίεσης Στο προηγούμενο παράδειγμα η μολυσμένη έκδοση του προγράμματος είναι μεγαλύτερη από την αμόλυντη. Εύκολος εντοπισμός ιού. Λύση: Συμπίεση του εκτελέσιμου αρχείου. Ο ιός συμπιέζει το αρχείο που θέλει να μολύνει. Τοποθετεί αντίγραφό του στην αρχή του συμπιεσμένου αρχείου. Αποσυμπιέζει το καινούριο αρχείο. Εκτελεί το αποσυμπιεσμένο αρχικό πρόγραμμα. 38
Είδη Ιών (1/2) Παρασιτικός ιός (parasitic virus). Προσαρτάται σε εκτελέσιμα, χωρίς να τα καταστρέφει. Ιός μόνιμα εγκατεστημένος στη μνήμη (memory resident virus). Εγκαθίσταται στην ΚΜ ως τμήμα μόνιμου προγράμματος συστήματος. Ιός τομέα εκκίνησης (boot sector virus). Μολύνει τον κύριο τομέα εκκίνησης. H εκτέλεσή τους προηγείται αυτής του λειτουργικού συστήματος. Μπορούν να χρησιμοποιήσουν του BIOS. 39
Είδη Ιών (2/2) Αόρατος ιός (stealth virus). Κρύβεται από τον εντοπισμό από αντιβιοτικά. Πολυμορφικός ιός (polymorphic virus). Μεταλλάσσεται με κάθε μόλυνση (κρύβουν τον κώδικά τους με διαφορετικό τρόπο κάθε φορά), αδύνατος ο εντοπισμός του. Μεταμορφικός ιός (metamorphic virus). Μεταλλάσσεται πλήρως αυξάνοντας την δυσκολία ανίχνευσης. 40
Ιοί Μακροεντολών Είναι γραμμένοι σε γλώσσα υψηλού επιπέδου. Εκμεταλλεύονται τις μακροεντολές (macros) του Word κτλ. Τα macros χρησιμοποιούνται για αυτοματοποίηση επαναλαμβανόμενων διαδικασιών. Είναι ανεξάρτητοι πλατφόρμας. Μολύνουν έγγραφα, όχι εκτελέσιμα. Διαδίδονται εύκολα. Κυρίως μέσω e-mail. 41
Melissa. Ιοί Μακροεντολών Παράδειγμα Iός μακροεντολών του Word. Μόλυνε έγγραφα δημιουργημένα με τις εκδόσεις του Office 97 και 2000. Έστελνε αυτόματα τον εαυτό του με email στις 50 πρώτες επαφές του Βιβλίου Διευθύνσεων του Outlook του μολυσμένου υπολογιστή. 42
Ιοί Ηλεκτρονικού Ταχυδρομείου Χρησιμοποιούν μακροεντολή συνημμένου εγγράφου. Στέλνονται σε όλα τα άτομα των επαφών. Προκαλούν τοπική ζημιά. 43
Μέτρα αντιμετώπισης Ιών Ιδανική λύση: Η αποτροπή. Άλλη λύση. Ανίχνευση. Αναγνώριση. Κατάργηση. 4 γενιές λογισμικού αντιβιοτικών: 1η γενιά: Απλοί ανιχνευτές. 2η γενιά: Ευρετικοί ανιχνευτές. 3η γενιά: Παγίδες δραστηριότητας. 4η γενιά: Πλήρης προστασία. 44
Γενιές λογισμικού αντιβιοτικών 1η γενιά. (1/2) Χρειαζόταν υπογραφή του ιού για να αναγνωριστεί. Το μοτίβο του ιού ήταν σταθερό. Ανίχνευαν μόνο γνωστούς ιούς. Ψάχνουν για αλλαγή στο μήκος του προγράμματος. 2η γενιά. Δεν βασίζονταν σε υπογραφή. Χρησιμοποιεί checksum για να ελέγξει πιθανή αλλαγή στο πρόγραμμα. 45
Γενιές λογισμικού αντιβιοτικών 3η γενιά. (2/2) Τα αντιβιοτικά παραμένουν στη μνήμη. Αναγνωρίζουν τον ιό από τις ενέργειες και όχι από την δομή. 4η γενιά. Πακέτα αποτελούμενα από ποικιλία αντιβιοτικών τεχνικών. Περιλαμβάνουν ανιχνευτές και παγίδες δραστηριότητας. Περιλαμβάνουν δυνατότητες ελέγχου πρόσβασης. Περιορίζεται η ικανότητα των ιών να διεισδύουν σε σύστημα. Περιορίζεται η ικανότητα των ιών να ενημερώνουν αρχεία και να εξαπλώνονται. 46
Προηγμένες τεχνικές αντιβιοτικών Γενική αποκρυπτογράφηση (generic decryption). Τα αντιβιοτικά εντοπίζουν εύκολα και τους πιο σύνθετους ιούς. Περιλαμβάνει. Εξομοιωτής CPU. Εικονικός υπολογιστής. Τα εκτελέσιμα διερμηνεύονται από τον εξομοιωτή. Ανιχνευτής υπογραφής ιού. Εξετάζει τον κώδικα αναζητώντας γνωστές υπογραφές ιών. Υπομονάδα ελέγχου προσομοίωσης. Ελέγχει την εκτέλεση κώδικα. 47
Κατανεμημένες επιθέσεις άρνησης εξυπηρέτησης Distributed Denial of Service (DDoS). Σημαντική απειλή για εταιρείες. 2001: Περισσότερες από 12000 επιθέσεις σε περισσότερους από 5000 στόχους. Amazon, hotmail, απλές τηλεφωνικές συνδέσεις κτλ. Καθιστούν τα συστήματα μη προσπελάσιμα. Πλημμυρίζουν διακομιστές, τερματικά με άχρηστη κίνηση. Στέλνουν άχρηστα πακέτα. Παρεμποδίζουν έτσι τους χρήστες να προσπελάσουν υπηρεσίες. 48
Επίθεση DDoS Στόχος: Η κατανάλωση των πόρων του στόχου. Πόροι: Εσωτερικοί. Χωρητικότητα δικτύου. 49
Επίθεση DDos εσωτερικού πόρου Σε πολλά συστήματα υπάρχει περιορισμένος αριθμός δομών δεδομένων για διατήρηση πληροφοριών διεργασιών. Ο εισβολέας εξαντλεί τις δομές αντιγράφοντας συνέχεια τον εαυτό του. Ο εισβολέας καταναλώνει χώρο σε σκληρούς. Υπερβολικά μεγάλο πλήθος μηνυμάτων ηλ. ταχυδρομείου. Εσκεμμένη πρόκληση σφαλμάτων για τα οποία πρέπει να γίνει καταγραφεί (log). Τοποθέτηση αρχείων σε κοινόχρηστες περιοχές. 50
Άλλες επιθέσεις DDoS (1/2) Άμεσες επιθέσεις. Ο επιτιθέμενος τοποθετεί ζόμπι σε διάφορες θέσεις στο Διαδίκτυο. Κύρια ζόμπι και ζόμπι σκλάβοι. Ο επιτιθέμενος συντονίζει τα κύρια ζόπι και αυτά τα ζόμπι σκλάβους. 2 επίπεδα δυσκολότερος εντοπισμός, πιο ανθεκτικό δίκτυο επιτιθέμενων. 51
Άλλες επιθέσεις DDoS (2/2) Ανακλαστικές επιθέσεις. Τα ζόμπι σκλάβοι δημιουργούν πακέτα που ζητούν απάντηση με ΙΡ προέλευσης αυτή του στόχου. Τα πακέτα στέλνονται στους «ανακλαστήρες», που είναι καθαροί υπολογιστές. Ακόμα δυσκολότερος ο εντοπισμός προέλευσης της επίθεσης αφού αυτή προέρχεται από διάσπαρτούς, μη μολυσμένους υπολογιστές. 52
Δημιουργία δικτύου επίθεσης Απαραίτητα στοιχεία. (1/3) Κατάλληλο λογισμικό που θα εκτελεστεί σε μεγάλο αριθμό υπολογιστών. Το λογισμικό να μπορεί να συγκαλύπτει την ύπαρξή του. Το λογισμικό να μπορεί να επικοινωνεί με τον επιτιθέμενο ή να διαθέτει μηχανισμό πυροδότησης. Ο επιτιθέμενος πρέπει να γνωρίζει κάποια ευπάθεια που δεν την γνωρίζουν ή δεν έχουν διορθώσει οι διαχειριστές. Πρέπει να υπάρχει στρατηγική για τον εντοπισμό ευπαθών συστημάτων (scanning). 53
Δημιουργία δικτύου επίθεσης (2/3) Στρατηγικές σάρωσης. Τυχαία. Οι προσβεβλημένοι υπολογιστές δοκιμάζουν τυχαίες διευθύνσεις ΙΡ. Λίστα στόχων. Κατασκευάζεται λίστα με ευπαθή συστήματα. Χρονοβόρα διαδικασία. Κάθε μολυσμένο σύστημα παίρνει μέρος της λίστας. 54
Δημιουργία δικτύου επίθεσης (3/3) Στρατηγικές σάρωσης (Συνέχεια). Τοπολογική. Χρησιμοποιεί πληροφορίες που βρίσκονται στο μολυσμένο υπολογιστή για να εντοπίσει άλλους στόχους. Τοπικό δίκτυο. Αν υπολογιστής που χρησιμοποιεί firewall μπορεί να προσβληθεί, τότε μπορεί να ψάξει στόχους στο τοπικό του δίκτυο. 55
Αντίμετρα DDoS (1/2) Αποτροπή και προεκτοπισμός επίθεσης. Το θύμα έχει αντοχή σε απόπειρες επίθεσης. Εφαρμογή πολιτικής σχετικά με την δέσμευση πόρων. Ύπαρξη εφεδρικών πόρων. Χρησιμοποιούν πρωτόκολλα Διαδικτύου για να ελαττώσουν την πιθανότητα επίθεσης. Ανίχνευση και φιλτράρισμα επίθεσης. Προσπάθεια ανίχνευσης της επίθεσης όταν ξεκινά. Παρακολούθηση για ύποπτα μοτίβα συμπεριφοράς. Φιλτράρισμα πακέτων. 56
Αντίμετρα DDoS (2/2) Εντοπισμός και αναγνώριση προέλευσης επίθεσης. Προσπάθεια αναγνώρισης της πηγής της επίθεσης. Σκοπός: Η αποφυγή μελλοντικών επιθέσεων. Συνήθως δεν δίνει γρήγορα (ή και καθόλου) αποτελέσματα. 57
Σημείωμα Αναφοράς Copyright ΤΕΙ Δυτικής Μακεδονίας, Νικολάου Σπύρος. «Ασφάλεια Υπολογιστικών Συστημάτων». Έκδοση: 1.0. Κοζάνη 2015. Διαθέσιμο από τη δικτυακή διεύθυνση: 58
Σημείωμα Αδειοδότησης Το παρόν υλικό διατίθεται με τους όρους της άδειας χρήσης Creative Commons Αναφορά, Μη Εμπορική Χρήση Παρόμοια Διανομή 4.0 [1] ή μεταγενέστερη, Διεθνής Έκδοση. Εξαιρούνται τα αυτοτελή έργα τρίτων π.χ. φωτογραφίες, διαγράμματα κ.λ.π., τα οποία εμπεριέχονται σε αυτό και τα οποία αναφέρονται μαζί με τους όρους χρήσης τους στο «Σημείωμα Χρήσης Έργων Τρίτων». [1] http://creativecommons.org/licenses/by-nc-sa/4.0/ Ως Μη Εμπορική ορίζεται η χρήση: που δεν περιλαμβάνει άμεσο ή έμμεσο οικονομικό όφελος από την χρήση του έργου, για το διανομέα του έργου και αδειοδόχο. που δεν περιλαμβάνει οικονομική συναλλαγή ως προϋπόθεση για τη χρήση ή πρόσβαση στο έργο. που δεν προσπορίζει στο διανομέα του έργου και αδειοδόχο έμμεσο οικονομικό όφελος (π.χ. διαφημίσεις) από την προβολή του έργου σε διαδικτυακό τόπο. Ο δικαιούχος μπορεί να παρέχει στον αδειοδόχο ξεχωριστή άδεια να χρησιμοποιεί το έργο για εμπορική χρήση, εφόσον αυτό του ζητηθεί. 59
Διατήρηση Σημειωμάτων Οποιαδήποτε αναπαραγωγή ή διασκευή του υλικού θα πρέπει να συμπεριλαμβάνει: το Σημείωμα Αναφοράς. το Σημείωμα Αδειοδότησης. τη δήλωση Διατήρησης Σημειωμάτων. το Σημείωμα Χρήσης Έργων Τρίτων (εφόσον υπάρχει). μαζί με τους συνοδευόμενους υπερσυνδέσμους. 60
Βιβλιογραφία 1. Κρυπτογραφία για Ασφάλεια Δικτύων Αρχές και Εφαρμογές, Stallings. 2. Βασικές Αρχές Ασφάλειας Δικτύων: Εφαρμογές και Πρότυπα, William Stallings. 3. Ασφάλεια δικτύων 6η Έκδοση, McClure Stuart, Scambray Joel, Kurtz George. 4. Ασφάλεια Πληροφοριακών συστημάτων, Παγκαλος Γ., Μαυριδης Ι. 61
Τέλος Ενότητας