|
Ich nazwa to „packet sniffery” i używane są zarówno w dobrych jak i złych celach. Oto jak zyskać przewagę. Administratorzy sieci korzystają z programów typu „packet sniffer”, aby zdiagnozować problemy w sieci, ale technologia może również dostarczyć wyrzutnię dla podstępnych ataków sieciowych.
Źródło: http://www.itsecurity.com
Tłumaczenie: Agnieszka Hawro, Wrocław
„Packet sniffer” to oprogramowanie lub urządzenie sprzętowe, które monitoruje dane przesyłane w sieci. Prawidłowe używanie oznacza wykrywanie i usuwanie usterek w sieci oraz testowanie zapór ogniowych. Z drugiej strony packet sniffery mogą zostać użyte, aby odeprzeć zaplanowane ataki.
Powszechnie packet sniffer jest używany do wyłapania nazw użytkowników oraz haseł, które mogą zostać wykorzystane do dalszej eksploatacji sieci. Inne części poufnych informacji również mogą być wyłapane.
Zła nowina
Niestety packet sniffery mogą zostać połączone z innymi złośliwymi narzędziami.
„W ostatnich latach wykorzystanie programów typu packet sniffer jako części składowej ataku dosyć się rozrosło” – mówi Kevin Prince, odpowiedzialny za bezpieczeństwo danych oraz informacji w Perimeter eSecurity, dostawcy SaaS (software as a service) w Milford, Connecticut.
Na przykład: atakujący może użyć programu typu packet sniffer, aby sprawić, że program „backdoor” będzie trudniejszy do wykrycia.
„Kiedyś atakujący instalował program „backdoor”, który pozwalał mu kontrolować system” – powiedział Prince. „Jednak porty do tych urządzeń mogą zostać wykryte skanerem portów lub innym, podobnym systemem. Niektórzy atakujący używają packet sniffera razem z programem „backdoor” i w ten sposób porty są zawsze zamknięte do momentu aż packet sniffer wykryje poszczególną sekwencję ruchu w sieci i następnie uruchomi program „backdoor”, aby zaakceptował połączenie atakującego.”
Takie połączenie narzędzi dostarcza „atakującemu bardzo obrzydliwy sposób, aby sprawić, że zaatakowany system nie będzie zauważony” – powiedział Prince.
Połączone ataki mogą przyjąć inne formy. David Lawson - dyrektor ds. zarządzania ryzykiem w Acumen Solutions Inc. - powiedział, że intruzi mogą rozpocząć korzystanie z packet sniffera po rozmieszczeniu rootkitów. Nazwał tę czynność "pierwszą rzeczą, którą robi haker po zainstalowaniu oprogramowania zdalnej kontroli" na komputerze.
SANS Institute - organizacja z Maryland prowadząca szkolenia i wystawiająca certyfikaty bezpieczeństwa - opublikowała dokument, w którym zasugerowano, że nadużycia z wykorzystaniem packet snifferów są stosunkowo łatwe do osiągnięcia w sieci niekomutowanej. Jednak nawet organizacje, które przenoszą się z sieci węzłowej do komutowanej ciągle są narażone na ataki. Przełączniki przesyłają ruch sieciowy tylko do tych urządzeń, dla których są przeznaczone, lecz w raporcie można przeczytać, że ataki przez pośrednika (typu "man-in-the-middle") sprawiają, że podsłuchiwanie jest możliwe w środowiskach komutowanych.
Według SANS Institute podszywanie się typu ARP (Address Resolution Protocol) należy do powszechnych technik ataków przez pośredników.
Packet sniffery mogą być kupione, ale duża ilość popularnych narzędzi jest dostępna za darmo w Internecie. Stephen Northcutt - prezes SANS Institute - powiedział, że Wireshark (wcześniej Ethereal) jest teraz "narzędziem do wyboru wśród darmowego, węszącego oprogramowania".
W międzyczasie dokument SANS Institute podkreślił, że dsniff jest narzędziem do wychwytywania nazw użytkowników oraz haseł. Lecz Northcutt zauważa, że - od momentu opublikowania tego dokumentu - wiele osób używa narzędzia Cain w celu "oszustwa ARP" zamiast dsniff.
Ochrona przed węszeniem "packet sniffing"
Packet sniffer może zostać zainstalowany przez złośliwe osoby mające dostęp do poufnych informacji. Jeśli chodzi o ataki z zewnątrz, popularnym środkiem do umieszczenia packet sniffera jest złośliwe oprogramowanie, które zostaje załadowane, gdy użytkownik ma dostęp do zainfekowanej strony WWW - podkreśla Prince. Dodał też, że początkowo, aby przyciągnąć użytkowników do zainfekowanej strony WWW, wysyłany był e-mail. Później zaczęto wykorzystywać czat oraz wiadomości przesyłane przez komunikatory.
"Teraz możliwe są bardziej zaawansowane ataki, w tym XSS, które przekierowują użytkowników lub pokazują użytkownikom link do kliknięcia. Link ten wydaje się bezpiecznym adresem witryny WWW" - powiedział Prince.
Aby packet sniffer mógł działać, w trybie odbierania musi zostać skonfigurowana karta interfejsu sieciowego (NIC).
Tak więc wykrycie packet sniffera staje się sprawą dowiedzenia się czy karta interfejsu sieciowego działa w trybie odbioru.
"Każdy system operacyjny ma raczej prostą metodę stwierdzenia czy NIC jest w tym trybie, lecz wymaga to poświęcenia chwili każdemu komputerowi" - powiedział Prince.
Inna metoda polega na wysłaniu specjalnie przygotowanego żądania ARP do każdego systemu i przyglądnięcia się na rodzaje odpowiedzi - zauważa Prince i dodaje, że to podejście wymaga zazwyczaj obecności wykwalifikowanego informatyka.
Jednakże dokument SANS Institute przytacza szyfrowanie jako najbardziej realną formę ochrony przed packet snifferami. Technologie szyfrowania takie jak IPsec oraz SSL VPN pozwalają organizacjom nadal używać protokołów opartych na czystym tekście (plain-text protocols), ponieważ IPsec zawiera wszystkie dane i szyfruje je do transportu w sieci - jak podaje SANS Institute.
Źródło: http://www.itsecurity.com
Tłumaczenie: Agnieszka Hawro, Wrocław |
