Spoofing - wilk w owczej skórze
Wakacje dobiegają końca, a razem
z nim okres urlopowy i wypoczynkowy. Niektórzy jeszcze zostawili sobie urlop na
wrzesień. Jednakże czuć już zbliżający się wielkimi krokami koniec lata. Tak
się składa, że wielkimi krokami zbliża się koniec części teoretycznej z zakresu
Cyberbezpieczeństwa. Ostatnim odłamem Phishingu, któremu poświęce trochę uwagi
jest Spoofing. Do tej pory pisałem już o DarkNecie i DeepWebie (o którym tutaj),
było o Skimmingu (tutaj),
Phishingu (tutaj),
o SMSINGU, VISHINGU I QRISHINGU (tutaj)
i ostatnio o Pharmingu (tutaj)
Spoofing (z języka ang. Fałszowanie,
oszukiwanie) polega na podszywaniu się przez „hakera” pod inne urządzenie lub
innego użytkownika w sieci, w celu zainstalowania złośliwego oprogramowania lub
uzyskać kontrolę do dostępu nad urządzeniem elektrycznym, a co prowadzić ma do wykradzenia
danych.
Literatura przedmiotu rozróżnia:
- IP spoofing, który polega na wysyłaniu komunikatów do komputera z adresu IP, który sugeruje, że wiadomość pochodzi z zaufanego źródła;
- e-mail spoofing – polega na podrabianiu nagłówka adresu e-mail, aby nie można było na pierwszy rzut oka odkryć skąd rzeczywiście pochodzi;
- DNS spoofing – modyfikacja serwera DNS w celu przekierowania ruchu z konkretnej domeny na inny adres IP;
- ARP spoofing - każdy komputer w sieci dysponuje tablicą ARP. Zawarte są w niej adresy MAC i powiązane z nimi adresy IP komputerów oraz urządzeń w danej sieci. Jeżeli dowolny komputer chce się skomunikować w sieci z innym, wysyła zapytanie ARP do wszystkich hostów o dany adres IP. Odpowie mu tylko jeden host, przekazując adres IP oraz adres fizyczny MAC. Host pytający zapisuje tak utworzoną parę IP-MAC w tablicy ARP. Komputer szukając ponownie jakiegoś hosta w sieci, przeszukuje początkowo lokalną tablicę ARP. Jeżeli nie znajdzie odpowiedniego wpisu, rozsyła pakiet ARP broadcast do wszystkich komputerów w sieci. Uzyskując odpowiedź ARP reply od właściwego hosta, dopisuje ją znowu do tablicy ARP. ARP spoofing stosuje konstrukcję fałszowanego pakietu ARP request oraz ARP reply. Po wysłaniu sfałszowanego pakietu ARP reply docelowy host będzie przesyłał pakiety do hosta atakującego, zamiast do właściwego. Taki atak to "zatruwanie" tablicy ARP (ARP poisoning). Istnieją programy automatycznie wykonujące proces zatruwania (np. ARPoison). Drugą metodą fałszowania ARP jest wykorzystanie oprogramowania typu sniffer do badania ruchu, w celu zdobycia tablicy ARP sieci lokalnej. Zmiana adresu MAC karty sieciowej jest możliwa praktycznie w przypadku każdego systemu. Fałszując dane MAC, możemy "udawać" dowolny komputer w sieci lokalnej, uzyskując dostęp do informacji nieprzeznaczonych dla danego użytkownika. W ten sposób można ominąć ograniczenia związane z regułami zapory ogniowej, przydziałem dynamicznych adresów, czy dostępem do określonego VLAN. Zabezpieczeniem chroniącym przed takim atakiem może być wprowadzenie statycznej tablicy ARP na przełączniku. Do monitorowania zmian ARP w lokalnej sieci można użyć oprogramownia ArpWatch, dostępnego w wersji dla systemu Unix.
- Web spoofing – Jest wiele dróg prowadzących do realizacji spoofingu stron www. Wstępem do takiego działania jest przeważnie kradzież zawartości, przez skopiowanie publicznie dostępnej strony z serwera. Można znaleźć wiele programów umożliwiających stworzenie kopii strony, tak aby użytkownik mógł oglądać stronę w trybie offline bez podłączenia do Internetu.
- GPS spoofing - który polega na oszukaniu odbiornika GPS poprzez nadawanie sfałszowanego sygnału GPS, złożonego tak by przypominał zwyczajny sygnał GPS, lub poprzez powtórne nadawanie oryginalnego sygnału zdobytego gdzie indziej lub o innym czasie. Te sfałszowane sygnały mogą być modyfikowane w taki sposób by odbiorca błędnie oszacował swoją aktualną pozycję lub by odbiorca poprawnie zlokalizował swoją pozycję, ale o innym czasie. Jedna z popularnych form ataku GPS spoofing, często nazywana atakiem carry-off, zaczyna się od nadania sygnału GPS zsynchronizowanym z oryginalnym sygnałem obserwowanym przez cel ataku. Siła sygnału fałszowanego jest wtedy stopniowo zwiększana i zmieniana w stosunku do oryginalnego sygnału. Zostało zasugerowane, że przechwycenie dronu Lockheed RQ-170 w północno-wschodnim Iranie, 2011, był wynikiem takiego ataku. Ataki GPS spoofing były uprzednio przewidywane i omawiane w społeczności GPS, ale nie potwierdzono do tej pory przeprowadzenia żadnego znanego groźnego ataku typu spoofing. Atak w celu udowodnienia koncepcji został z sukcesem przeprowadzony w czerwcu, 2013, gdy luksusowy jacht „Biała Róża” został mylnie nawigowany przy użyciu podszywającego sygnału GPS z Monako do wyspy Rodos przez grupę studentów mechaniki z Cockrell School of Engineering w University of Texas w Austin. Studenci byli na pokładzie jachtu, co pozwoliło by ich podszywający ekwipunek stopniowo zdominował siłę sygnału prawdziwego satelity GPS, zmieniając kurs jachtu. Oczywiście sytuacja może być gorsza jeżeli wzięlibyśmy pod uwagę firmy korzystające z lokalizacji GPS i podszywanie się pod te firmy w celu prowadzenia porwań na narządu lub dla okupu.
- Spoofing identyfikatoru dzwoniącego - Publiczne sieci telefoniczne często dostarczają CLIP (Calling Line Identification Presentation – wyświetlanie numeru telefonu osoby do nas dzwoniącej), czyli informacje, która zawiera imię dzwoniącego i numer, z każdym połączeniem. Jednakże niektóre technologie (zwłaszcza w sieciach Voice over Internet Protocol) pozwalają dzwoniącym na podrobienie tej informacji i przedstawienie fałszywego nazwiska i numeru. Bramki sieciowe pomiędzy sieciami, które pozwalają na taki spoofing i inne publicznie sieci następnie przekazują dalej tą fałszywą informacje. W sytuacji gdy spoofing połączenia pochodzą z innych krajów, prawo w kraju odbiorcy może nie dotyczyć wykonującego połączenie. To ogranicza efektywność prawa przeciwko użyciu fałszowanych informacji CLIP do dalszych oszustw.
Jak przeprowadza się atak
fałszowania stron webowych? Istnieje kilka metod, wykorzystujących:
- atak na serwer DNS, który odwzorowuje adres URL na adres sieciowy;
- modyfikacje strony www, tak aby podawała zły URL;
- błędy w przeglądarce HTTP, zła interpretacja skryptów CGI, JavaScripts itp.
Przeprowadzenie ataku web
spoofing najczęściej umożliwiają błędy w przeglądarkach internetowych. Nawet
bezpieczne połączenie SSL nie eliminuje całkowicie tego zjawiska. Atak może
zostać przeprowadzony przy użyciu JavaScript oraz skryptów serwera. Atak jest
inicjowany, gdy ofiara odwiedzi niebezpieczną stronę www lub odbierze
niebezpieczny e-mail (w przypadku czytnika wiadomości HTML). Atakujący
przekierowuje wszystkie zapytania z przeglądarki użytkownika na własny serwer.
Na nim strona jest nadpisywana, ale w taki sposób, że wizualnie nie różni się
od oryginału. Każda akcja podjęta przez ofiarę (np. kliknięcie na linku) może
być dowolnie wykorzystana przez atakującego.
W tym przypadku jak i w
pozostałych opisanych przeze mnie przypadkach głównym celem jest osiągnięcie
korzyści majątkowej, poprzez dostęp do danych prywatnych lub do kont bankowych.
Spoofing polega na podszywaniu
się pod kogoś lub coś w celu oszukania sieci lub osoby, że źródło danej
informacji jest godne zaufania, podczas gdy nie jest, aby przekierować Cię na
podrobione lub przerobione strony, które w następstwie zainfekują komputer i
wyłudzą dane.
Czy można rozpoznać
Spoofing? Można. Najłatwiej jest
rozpoznać spoofing e-maili, ponieważ bezpośrednio angażuje on użytkowników.
Należy sprawdzić, czy aby e-mail przysłany rzekomo od zaufanej osoby, pochodzi z
jej adresu. Można to sprawdzić w książce adresowej lub jeżeli była prowadzona
korespondencja z tą osobą. Jeżeli nigdy nie korespondowaliśmy z tą osobą to
można bezpośrednio zwrócić się do tej osoby, telefonicznie, osobiście lub w inny
sposób w celu potwierdzenia wiadomości. Wiadomym jest, że jeżeli odbiorcę z
nadawcą łączy jakakolwiek zażyłość należy zastanowić się czy ta osoba
skontaktowałaby się w tej sprawie za pomocą maila. Każda dziwna wiadomość, w
której jest prośba o prywatne lub poufne informacje, może być próbą spoofingu.
szczególnie w przypadku zapytań o nazwy użytkownika lub hasła.
Rzetelne strony nigdy nie proszą
o podanie nazw użytkownika lub hasła.
Inna sytuacja jest w przypadku
spoofingu IP lub DNS, ponieważ możesz nigdy nie zorientować się, co tak
naprawdę ma miejsce, choć warto zwracać uwagę na drobne zmiany lub nietypowe
zjawiska, które mogą pomóc rozpoznać to zjawisko.
Jak zapobiegać spoofingowi:
- Nie odpowiadaj na e-maile z pytaniami o dane do logowania lub dane konta.
- Sprawdzaj dokładnie, czy adres nadawcy nie jest podejrzany.
- Zwracaj uwagę, czy zaufane strony internetowe nie wyglądają ani nie zachowują się dziwnie.
Warto zaznaczyć, że bardzo niebezpiecznym zjawiskiem
powiązanym z fałszowaniem jest oprogramowanie adware lub spyware. Program tego
typu potrafi przekierować funkcję wyszukiwania, podmienić domyślny mechanizm
wyszukiwarki, czy pobrać niebezpieczny kod. Użytkownik może zostać
przekierowany na fałszywą stronę (web spoofing). W ten sposób można oszukać
internautę, który bardzo często ujawnia informacje osobiste, hasła, niejawne
dane. Wśród najczęściej spotykanych tego typu zagrożeń warto wyróżnić Istbar
oraz Shopnay.
Fałszowanie jest podstawą najczęściej występującego
zagrożenia ostatnich miesięcy, jakim jest phishing. Pierwszym etapem jest
spoofing poczty elektronicznej i wysyłanie wiadomości podszywających się pod
legalne źródła. Fałszywa wiadomość najczęściej zawiera linki, które kierują na
fałszywe strony banku czy innych instytucji (web spoofing). Obecnie coraz
trudniej odróżnić strony lub wiadomości pochodzące z pewnych źródeł od źródeł
fałszywych.
Czy możliwa jest skuteczna obrona?
W ostatnich latach obserwujemy znaczny wzrost zjawisk
związanych z fałszowaniem. Spoofing ciągle ewaluuje i przybiera nowe formy.
Nadużycia związane z fałszowaniem są zagrożeniem bardzo realnym i dotykającym
praktycznie każdej jednostki w sieci rozległej.
Stan rozwojowy protokołu IP nie umożliwia podjęcia
skutecznej walki z narastającymi atakami. Warto jednak rozważyć możliwość
autoryzacji użytkowników oraz wdrożenia systemów kontroli dostępu. Konieczne
jest także wprowadzenie filtracji pakietów na brzegu sieci, wykorzystując
zapory ogniowe. Metody powyższe pozwolą zabezpieczyć się przed atakami w
niższych warstwach modelu sieciowego OSI/ISO. Wiele problemów rozwiąże z
pewnością wdrożenie infrastruktury klucza publicznego.
Atak fałszowania jest jednym z częściej stosowanych ataków.
Od tego, co jest fałszowane, zależy stopień zagrożenia. Jeśli fałszowane są
adresy MAC kart sieciowych w sieci lokalnej, to atakujący może podszywać się
pod inną maszynę, może przechwytywać ruch sieciowy kierowany do innych stacji.
Dzięki tej technice podsłuchiwanie ruchu sieciowego w sieciach przełączanych
jest możliwe i efektywne. Podsłuchanie sesji innych użytkowników daje możliwość
poznania haseł czy przechwycenia niezaszyfrowanych danych.
Dzięki spoofingowi można przeprowadzić także atak typu
man-in-the-middle, przechwytując sesje innych użytkowników. Nawet te
szyfrowane. Jeśli dane nie będą dodatkowo zabezpieczone przed ich wysłaniem,
staną się dostępne dla atakującego. Podszywanie się pod inną maszynę pozwala
także na obejście systemów kontroli do sieci. Często adres MAC karty sieciowej
decyduje o przyznanym adresie IP, dostępie do podsieci (reguły na zaporze,
przydzielony VLAN). Oszukanie takich zabezpieczeń daje dostęp do wydzielonych
podsieci czy maszyn przechowujących cenne dane. Pozwala także na zakłócenie
pracy sieci komputerowych. Atakujący może rozgłaszać fałszywe dane (np. o
routingu). Atak polegający na podszywaniu się pod inną stację można
zaklasyfikować jako atak bezpośredni bądź aktywny. Atakujący wpływa na
zachowanie atakowanej stacji czy podsieci. Podobnie można zaklasyfikować ataki
zniekształcające dane w usługach DNS (np. DNS cache poisoning). Atak ma na celu
skierowanie ofiary pod fałszywy adres IP, na którym atakujący umieszcza
spreparowany przez siebie serwis. Jeśli jest to strona www, to może ona udając
inny ośrodek, wykradać informacje o maszynie czy wyłudzać informacje od użytkowników
(np. numer
i PIN kart kredytowych, dane teleadresowe, dane do uwierzytelniania). Strony takie mogą zawierać kod aktywny, czy też obrazki pozwalające na wykonanie dowolnego programu na przeglądającej je maszynie. Luki w przeglądarkach internetowych pozwalają na zdalne przejęcie kontroli nad zaatakowaną maszyną.
i PIN kart kredytowych, dane teleadresowe, dane do uwierzytelniania). Strony takie mogą zawierać kod aktywny, czy też obrazki pozwalające na wykonanie dowolnego programu na przeglądającej je maszynie. Luki w przeglądarkach internetowych pozwalają na zdalne przejęcie kontroli nad zaatakowaną maszyną.
Podszywanie się pod nadawców wiadomości pocztowych pozwala
na wykorzystanie zaufania do różnych instytucji. Nieostrożny odbiorca takiej
wiadomości jest często proszony o odwiedzenie strony (adres często fałszywy) i
wypełnienie formularza z informacjami o swoim koncie (np. w banku czy na
stronie internetowej). W chwili obecnej jest to często stosowana metoda na
wyłudzanie informacji o użytkowniku. Atakujący nie musi włamywać się na dobrze zabezpieczone
serwery. Jeśli znajdzie naiwnych użytkowników i będzie mógł wykorzystać ich
konta do dostania się do systemu, osiągnie zamierzony cel dużo łatwiej i
szybciej. Należy także pamiętać, iż w Internecie ruch może być transmitowany
wieloma drogami. Atakujący posiadający wpływ na pracę urządzeń szkieletowych ma
duże pole do popisu. Może on przekierować ruch przez wybrane przez siebie węzły
lub do wybranych przez siebie serwerów. Udany atak tego typu pozwala na
przechwycenie ruchu sieciowego, jego podsłuchanie lub podstawienie fałszywych
serwerów bez konieczności stosowania innych metod. Pamiętać też należy o
konieczności zamykania sesji. Każde niezamknięte połączenie stanowi furtkę,
przez którą atakujący może dostać się do systemu. Podszywając się pod klienta,
atakujący może podłączyć się do istniejącej sesji.
Tendencje w zabezpieczeniach sieci przed fałszowaniem
Aby uchronić się przed fałszowaniem, można wykorzystać wiele
technik. Ich zastosowanie ma na celu jednoznaczną identyfikację obu stron połączenia
lub uniemożliwienie atakującemu odczytania przechwyconych danych czy też
powtórnego ich wykorzystania.
Zastosowanie rozbudowanej kontroli dostępu pozwala na
uniemożliwienie podłączania obcych stacji do chronionej sieci. Metody tego typu
pozwalają na wykrycie atakującego sieć jeszcze zanim atak się rozpocznie.
Jeśli ruch odbywa się poza obszarem, który możemy
kontrolować, chcemy mieć pewność, że komunikujemy się rzeczywiście z zadaną
maszyną. W tym celu możemy wykorzystać infrastrukturę klucza publicznego.
Pozwala ona na identyfikację komunikujących się maszyn. Pozwala także na
zaszyfrowanie przesyłanych danych. Przechwycone dane są wówczas nieczytelne dla
podsłuchującego transmisje.
Inną metodą przeciwko podszywaniu się pod usługi jest
stosowanie haseł jednorazowych. Nawet jeśli atakujący wykradnie informacje o
nazwie użytkownika i jego haśle, podczas kolejnej próby połączenia będzie
proszony o inne, nowe hasło.
Komentarze
Prześlij komentarz