ISSP \ Домен 02. Управление доступом. Часть 12
В этой части рассмотрены следующие вопросы:
Несколько угроз управлению доступом
Атака по словарю
Атака полного перебора (брутфорс-атака)
Подделка окна регистрации в системе
Фишинг
Кража личности
Резюме
12. Несколько угроз управлению доступом
Большинство специалистов по безопасности знают, что более высокие риски и больший ущерб для компании несут атаки внутренних злоумышленников, чем внешних. Однако многие люди не знают этого, поскольку они слышали только истории о внешних хакерах, которые делали дефейс веб-сайтов или обходили межсетевые экраны, чтобы получить доступ к внутренней конфиденциальной информации. Внешние атакующие могут войти в сеть компании через точки удаленного доступа, пройти через межсетевые экраны и веб-серверы, взломав их, или воспользоваться коммуникационными каналами партнеров (экстранет, подключения производителей и т.д.). А инсайдеры изначально имеют разрешенный доступ к системам и ресурсам, они могут использовать свои привилегии ненадлежащим образом или проводить реальные атаки. Опасность инсайдеров состоит в первую очередь в том, что они уже имеют широкие права доступа, а внешнему хакеру нужно постараться, чтобы получить даже небольшую часть этих прав. Кроме того, инсайдеры гораздо лучше знают внутреннюю среду компании, и, как правило, им доверяют. Мы рассмотрели много различных механизмов управления доступом, которые нужны для того, чтобы оставить внешних лиц снаружи и ограничить до минимума возможности инсайдеров, а также вести аудит их действий. Теперь мы рассмотрим несколько самых популярных в настоящее время атак, проводимых внешними и внутренними злоумышленниками.
12.1. Атака по словарю
Некоторые программы позволяют атакующему (или проактивному администратору) подобрать пароли пользователей по словарю. Такие программы имеют список (словарь) наиболее часто используемых в качестве паролей слов или комбинаций символов, они последовательно хэшируют их и сравнивают с перехваченным хэшем пароля или системным файлом с паролями, который также хранит не сами пароли, а результаты односторонних хэш-функций над ними. Если хэш-значения совпадают, это означает, что пароль успешно подобран. Полученный таким способом пароль атакующий может использовать для аутентификации от имени уполномоченного пользователя. Однако, поскольку многие системы ограничивают количество неудачных попыток регистрации, такой подбор возможен только в случае перехвата передаваемого по сети хэша пароля или получения системного файла с паролями. Файлы базовых словарей поставляются вместе с программами взлома паролей, а расширенные варианты словарей можно найти в сети интернет.
ПРИМЕЧАНИЕ. Пароли никогда не должны храниться или передаваться в виде открытого текста. Большинство операционных систем и приложений обрабатывает пароли с помощью алгоритмов хэширования, которые выдают в результате значения хэшей, называемые также значениями дайджестов сообщений.
Контрмеры
Для надлежащей защиты систем от взлома паролей по словарю (или другими методами подбора паролей), необходимо обеспечить следующее:
Не допускайте отправки паролей открытым текстом
Шифруйте или хэшируйте пароли
Используйте токены для генерации одноразовых паролей
Используйте сложно угадываемые пароли
Чаще меняйте пароли
Используйте IDS для выявления подозрительных действий
Самостоятельно используйте средства взлома паролей для нахождения слабых паролей, выбранных пользователями
Используйте специальные символы, цифры, заглавные и строчные буквы в пароле
Защищайте файлы, в которых хранятся пароли