Meniul
AcasăTehnică

Amenințări de rețea la adresa datelor utilizatorilor - cum să vă protejați. Care sunt tipurile de amenințări de rețea: să le privim în ordine

Smartphone-uri, tablete, computere – le considerăm elementul principal al realității noastre. Le folosim pentru muncă, pentru joacă, pentru școală, pentru a gestiona conturi bancare, plătim facturi, verificăm e-mailurile, facem cumpărături...

Puteți enumera acest lucru aproape la nesfârșit, dar totul se rezumă la un singur lucru - cu ajutorul lor transmitem o gamă întreagă de date importante, care, dacă ajung pe mâini greșite, pot duce la o situație critică.

Pierderea de fotografii memorabile sau de copii ale lucrărilor științifice, în acest caz, este cea mai mică dintre problemele noastre. Dacă economiile noastre sau contul de e-mail prin care transmitem corespondență importantă sunt atacați, atunci amenințarea capătă un caracter mai sinistru. Și, deși rușii înțeleg că internetul este infestat de amenințări, adesea nu iau măsuri pentru a se proteja corespunzător.

Potrivit unui studiu comandat de Intel, numai fiecare al cincilea utilizator folosește protecție avansată plătită Acest lucru se întâmplă în ciuda faptului că până la 93% dintre noi au căzut victime ale unui virus informatic.

Chiar și în cazul smartphone-urilor, unde gradul de conștientizare a pericolului este foarte mare (96%), până la ⅓ dintre respondenți nu aveau idee dacă pe dispozitivul lor a fost instalat vreun pachet de securitate, având în vedere că 55% dintre utilizatorii de internet se conectează la Internet folosind smartphone-uri, acest lucru pare foarte surprinzător.

Faptul că noi ne este frică de amenințările rețelei(82% dintre respondenți), rareori duce la acțiuni concrete. Există multe indicii că pur și simplu nu acordăm suficientă atenție păstrării confidențialității propriilor noastre date... dar ar trebui. Pentru că lista amenințărilor este foarte lungă.

Programele malware reprezintă o amenințare pentru computerul dvs

De departe, malware-ul a fost cel mai frecvent menționată dintre toate amenințările online. Și cu un motiv întemeiat - la urma urmei, aceasta este cea mai populară „formă de acțiune” printre oamenii care doresc să dăuneze altor utilizatori.

Protecția corespunzătoare necesită ca programul antivirus să își actualizeze în mod constant baza de date- Noi tipuri de malware apar aproape în fiecare zi. De la instrumente obișnuite de gestionare a echipamentelor de la distanță care transferă controlul computerului către o altă persoană, până la nenumărați viruși și cai troieni. Iar la aceasta ar trebui adăugate viermii, rootkit-urile sau keylogger-urile, care sunt adesea imposibil de detectat prin metode tradiționale.

Parolele salvate în browser

Una dintre cele mai utile caracteristici ale browserelor web reprezintă, de asemenea, o amenințare. Având în vedere confortul și economiile semnificative de timp, aproape toată lumea îl folosește, dar într-o situație în care un telefon sau un computer cade pe mâini greșite, avem probleme serioase, iar un hoț, fără niciun efort, se poate conecta la căsuța poștală sau la contul nostru de rețea socială. .

Înseamnă asta că ar fi mai sigur să nu-ți amintești deloc parolele? Desigur că nu - Este suficient să ai un manager de parole de încredere, care în sine este o caracteristică suplimentară de securitate.

Phishing-ul și pharmingul sunt o amenințare pentru creduli

Phishingul este un tip din ce în ce mai popular de fraudă pe internet care încearcă să obțină date confidențiale de la utilizatori pentru a le utiliza apoi, de exemplu, pentru a obține controlul asupra unui cont bancar.

Încercările de a extrage informații cheie iau deseori forma unor scrisori false - de la oficiul poștal rus, o bancă sau altă organizație în care majoritatea utilizatorilor au încredere. Aproape 60% dintre utilizatori s-au confruntat cu amenințări de acest tip în viața lor. Cei care nu pot distinge mesajele false de cele reale (conform unui studiu Intel, până la 15% dintre utilizatorii de internet ruși) sunt foarte susceptibili la acest tip de acțiune.

Ce zici de pharming? Aceasta, la rândul său, este o formă de phishing mai avansată și adesea mai greu de detectat, care utilizează adrese instituționale autentice, dar redirecționează către copii false ale paginilor.

Singura protecție complet de încredere în acest caz va fi o bază de date de viruși actualizată în software-ul dvs. și o verificare independentă a certificării site-ului.

Spamul este o amenințare informațională

În acest caz, este mult mai puțin despre o amenințare directă la adresa datelor de pe un smartphone sau computer (deși în unele cazuri, desigur, există), ci mai mult despre frustrarea care însoțește utilizarea e-mailului.

Serviciile de poștă prin internet, desigur, au filtre de bază, dar totuși, uneori, ceva ajunge în cutia poștală. 80% dintre utilizatorii de Internet își folosesc în mod regulat căsuța poștală și nici unul dintre ei probabil nu trebuie să fie convins cât de dăunător este spamul.

Problema dispare dacă folosim pachete avansate de securitate și avem și o licență pentru versiunea sa mobilă.

Rețeaua botnet

Acesta este un tip de pericol de care de multe ori nici măcar nu suntem conștienți. Prezența lui este practic de neobservat, nu face rău, pentru că are o cu totul altă sarcină. Utilizează puterea de calcul a computerelor infectate, de exemplu, pentru a trimite spam sau pentru a ataca serverele selectate.

Protecție de încredere

Lista pericolelor este mult mai lungă și, ceea ce este și mai rău, este în continuă extindere. Fiecare dintre ele, însă, reprezintă o amenințare cu adevărat serioasă, care, din cauza neatenției utilizatorului, poate duce la o situație în care acesta pierde accesul la datele critice.

Cel mai important lucru, în orice caz, este utilizarea tehnologiilor și soluțiilor care ne oferă încredere că datele stocate pe discuri sau rețele sunt protejate în mod fiabil. Deși nici cel mai complet pachet nu ne eliberează de nevoia de a menține bunul simț atunci când lucrăm pe Internet.

Articolul este destinat celor care au început să se gândească la securitatea rețelei sau continuă să o facă și consolidează protecția aplicațiilor web împotriva noilor amenințări - la urma urmei, mai întâi trebuie să înțelegeți ce amenințări pot exista pentru a le preveni.

Din anumite motive, nevoia de a se gândi la securitatea rețelei este considerată dreptul doar al companiilor mari, precum Badoo, Google și Google, Yandex sau Telegram, care anunță deschis concursuri pentru găsirea vulnerabilităților și creșterea securității produselor, aplicațiilor web și infrastructuri de rețea din toate punctele de vedere. În același timp, marea majoritate a sistemelor web existente conțin „găuri” de diferite tipuri (un studiu din 2012 de la Positive Technologies, 90% dintre sisteme conțin vulnerabilități cu risc mediu).

Ce este amenințarea rețelei sau vulnerabilitatea rețelei?

WASC (Web Application Security Consortium) a identificat mai multe clase de bază, fiecare dintre ele conținând mai multe grupuri, în total 50, vulnerabilități comune, a căror utilizare poate provoca daune unei companii. Clasificarea completă este postată sub forma WASC Thread Classification v2.0, iar în rusă există o traducere a versiunii anterioare din InfoSecurity - Clasificarea amenințărilor de securitate a aplicațiilor web, care va fi folosită ca bază pentru clasificare și extinsă semnificativ.

Principalele grupuri de amenințări la securitatea site-ului web

Autentificare insuficientă la accesarea resurselor

Acest grup de amenințări include atacuri Brute Force, Abuz de funcționalitate și Predictable Resource Location. Principala diferență față de autorizarea insuficientă este că nu există o verificare suficientă a drepturilor (sau caracteristicilor) unui utilizator deja autorizat (de exemplu, un utilizator autorizat obișnuit poate obține drepturi administrative pur și simplu cunoscând adresa panoului de control dacă este suficientă verificarea drepturilor de acces nu se efectuează).

Astfel de atacuri pot fi contracarate eficient doar la nivelul logicii aplicației. Unele atacuri (de exemplu, atacuri de forță brută prea frecvente) pot fi blocate la nivelul infrastructurii de rețea.

Autorizare insuficientă


Acestea pot include atacuri care vizează forțarea cu ușurință a detaliilor de acces sau exploatarea oricăror erori la verificarea accesului la sistem. În plus față de tehnicile Brute Force, acestea includ acreditările și predicția sesiunii și fixarea sesiunii.

Protecția împotriva atacurilor din acest grup necesită un set de cerințe pentru un sistem fiabil de autorizare a utilizatorilor.

Aceasta include toate tehnicile de modificare a conținutului unui site web fără nicio interacțiune cu serverul care deservește cererile - de ex. amenințarea este implementată prin intermediul browserului utilizatorului (dar, de obicei, browserul în sine nu este „veriga slabă”: problema constă în filtrarea conținutului pe partea de server) sau un server cache intermediar. Tipuri de atacuri: falsificare de conținut, scriptare între site-uri, abuz de redirecționare URL, falsificare de solicitări între site-uri, împărțire răspuns HTTP, contrabandă contrabandă răspuns HTTP, precum și ocolire de rutare, împărțire solicitări HTTP și contrabandă cereri HTTP.

O parte semnificativă a acestor amenințări poate fi blocată la nivelul configurării mediului server, dar aplicațiile web trebuie să filtreze cu atenție atât datele primite, cât și răspunsurile utilizatorilor.

Cod de executare

Atacurile de execuție de cod sunt exemple clasice de hacking de site-uri prin vulnerabilități. Un atacator poate să-și execute codul și să obțină acces la găzduirea unde se află site-ul, trimițând o solicitare special pregătită către server. Atacuri: Buffer Overflow, Format șir, Integer Overflow, LDAP Injection, Mail Command Injection, Null Byte Injection, Execuție comenzi OS (comandă OS), Execuție fișier extern (RFI, Includere fișier la distanță), Injectare SSI, Injecție SQL, Injectare XPath, Injectarea XML, Injectarea XQuery și Implementarea XXE (Entități Externe XML).

Nu toate aceste tipuri de atacuri vă pot afecta site-ul, dar sunt corect blocate doar la nivelul WAF (Web Application Firewall) sau filtrarea datelor în aplicația web în sine.

Dezvaluire de informatii

Atacurile din acest grup nu reprezintă o amenințare pură pentru site-ul în sine (deoarece site-ul nu suferă în niciun fel de ele), dar pot dăuna unei afaceri sau pot fi folosite pentru a efectua alte tipuri de atacuri. Tipuri: Amprentare și Traversare a căii

Configurarea corectă a mediului server vă va permite să vă protejați complet de astfel de atacuri. Cu toate acestea, trebuie să acordați atenție și paginilor de eroare ale aplicației web (care pot conține o mulțime de informații tehnice) și gestionării sistemului de fișiere (care poate fi compromisă de filtrarea insuficientă a intrării). De asemenea, se întâmplă ca în indexul de căutare să apară link-uri către unele vulnerabilități ale site-ului, iar aceasta în sine este o amenințare semnificativă la securitate.

Atacurile logice

Acest grup include toate atacurile rămase, a căror posibilitate constă în principal în resursele limitate ale serverului. În special, acestea sunt Denial of Service și atacuri mai direcționate - SOAP Array Abuse, XML Attribute Blowup și XML Entity Expansion.

Protecția împotriva acestora este doar la nivel de aplicație web sau blocarea cererilor suspecte (echipamente de rețea sau proxy web). Dar, odată cu apariția unor noi tipuri de atacuri direcționate, este necesar să se auditeze aplicațiile web pentru vulnerabilități.

Atacurile DDoS


După cum ar trebui să fie clar din clasificare, un atac DDoS în sens profesional este întotdeauna epuizarea resurselor serverului într-un fel sau altul. Alte metode (deși menționate în Wikipedia) nu sunt direct legate de un atac DDoS, ci reprezintă unul sau altul tip de vulnerabilitate a site-ului. Wikipedia descrie și metodele de protecție suficient de detaliat; nu le voi duplica aici.

Internetul este o lume nemărginită de informații care oferă oportunități ample de comunicare, învățare, organizare a muncii și a petrecerii timpului liber și, în același timp, este o bază de date uriașă, actualizată zilnic, care conține informații despre utilizatori care sunt interesante pentru atacatori. Există două tipuri principale de amenințări la care utilizatorii pot fi expuși: ingineria tehnică și socială.

Materiale conexe

Principalele amenințări tehnice la adresa utilizatorilor sunt programele malware, botnet-urile și atacurile DoS și DDoS.

Amenințare- acesta este un eveniment potențial posibil, o acțiune care, prin impactul său asupra obiectului de protecție, poate duce la pagube.

Programe malware

Scopul malware-ului este de a provoca daune unui computer, server sau rețea de calculatoare. Ele pot, de exemplu, să corupă, să fure sau să șteargă datele stocate pe computer, să încetinească sau să oprească complet funcționarea dispozitivului. Programele rău intenționate sunt adesea „ascunse” în scrisori și mesaje cu oferte tentante de la persoane și companii necunoscute, în paginile site-urilor de știri sau alte resurse populare care conțin vulnerabilități. Utilizatorii vizitează aceste site-uri și malware intră în computer nedetectat.

Programele rău intenționate sunt, de asemenea, distribuite prin e-mail, medii de stocare amovibile sau fișiere descărcate de pe Internet. Fișierele sau linkurile trimise prin e-mail vă pot expune dispozitivul la infecție.

Programele rău intenționate includ viruși, viermi și cai troieni.

Virus– un tip de program de calculator, a cărui trăsătură distinctivă este capacitatea de a reproduce (auto-replica) și de a fi introdus în fișiere, sectoare de boot ale discurilor și documente neobservate de utilizator. Denumirea „virus” în legătură cu programele de calculator provine din biologie tocmai pe baza capacității sale de a se auto-reproduce. Un virus care se află ca fișier infectat pe un disc nu este periculos până când nu este deschis sau lansat. Are efect numai atunci când utilizatorul îl activează. Virușii sunt proiectați să se reproducă pentru a infecta computerele, de obicei distrugând fișierele în acest proces.

Viermi- Acesta este un tip de virus. Își respectă pe deplin numele, deoarece se răspândesc prin „crawling” de la dispozitiv la dispozitiv. La fel ca virușii, aceștia sunt programe autoreplicabile, dar spre deosebire de viruși, un vierme nu are nevoie de ajutorul utilizatorului pentru a se răspândi. El găsește singur portița.

troieni– programe rău intenționate care sunt introduse intenționat de atacatori pentru a colecta informații, a le distruge sau a le modifica, a perturba funcționarea unui computer sau pentru a-i folosi resursele în scopuri nefaste. În exterior, programele troiene arată ca produse software legale și nu trezesc suspiciuni. Spre deosebire de viruși, aceștia sunt complet pregătiți pentru a-și îndeplini funcțiile. Pe asta se bazează atacatorii: sarcina lor este să creeze un program pe care utilizatorii să nu le fie frică să îl lanseze și să îl folosească.

Atacatorii pot infecta un computer pentru a-l face parte din el botnet– rețele de dispozitive infectate situate în întreaga lume. Rețelele bot mari pot include zeci sau sute de mii de computere. De multe ori, utilizatorii nici măcar nu realizează că computerele lor sunt infectate cu programe malware și sunt folosite de criminali. Rețelele bot sunt create prin distribuirea de programe malware în diferite moduri, iar mașinile infectate primesc ulterior comenzi regulate de la administratorul rețelei bot, astfel încât să devină posibilă organizarea acțiunilor coordonate ale computerelor bot pentru a ataca alte dispozitive și resurse.

Atacurile DoS și DDoS

Un atac DoS (denial of service) este un atac care paralizează funcționarea unui server sau a unui computer personal din cauza unui număr mare de solicitări care ajung la resursa atacată cu viteză mare.

Esența unui atac DoS este că un atacator încearcă să facă temporar indisponibil un anumit server, să supraîncarce rețeaua, procesorul sau să umple discul. Scopul atacului este pur și simplu de a dezactiva computerul, și nu de a obține informații, de a sechestra toate resursele computerului victimă, astfel încât alți utilizatori să nu aibă acces la ele. Resursele includ: memorie, timp CPU, spațiu pe disc, resurse de rețea etc.


Există două moduri de a efectua un atac DoS.

Cu prima metodă Un atac DoS folosește o vulnerabilitate în software-ul instalat pe computerul atacat. Vulnerabilitatea vă permite să provocați o anumită eroare critică care va duce la întreruperea sistemului.

Cu a doua metodă atacul este efectuat prin trimiterea simultană a unui număr mare de pachete de informații către computerul atacat, ceea ce determină supraîncărcarea rețelei.

Dacă un astfel de atac este efectuat simultan de la un număr mare de computere, atunci în acest caz se vorbește despre un atac DDoS.

Atacul DDoS (denegare de serviciu distribuit) este un tip de atac DoS care este organizat folosind un număr foarte mare de computere, datorită căruia serverele chiar și cu lățime de bandă Internet foarte mare pot fi supuse atacului.


Pentru a organiza atacuri DDoS, atacatorii folosesc o rețea botnet – o rețea specială de computere infectate cu un tip special de virus. Un atacator poate controla fiecare astfel de computer de la distanță, fără știrea proprietarului. Folosind un virus sau un program mascalat cu pricepere drept unul legitim, pe computerul victimei este instalat un cod software rău intenționat, care nu este recunoscut de antivirus și rulează în fundal. La momentul potrivit, la comanda proprietarului rețelei botnet, un astfel de program este activat și începe să trimită cereri către serverul atacat, în urma cărora se umple canalul de comunicare dintre serviciul atacat și furnizorul de internet și server. încetează să funcționeze.

Inginerie sociala

Majoritatea atacatorilor se bazează nu numai pe tehnologie, ci și pe slăbiciunile umane, folosind Inginerie sociala. Acest termen complex denotă o modalitate de a obține informațiile necesare nu cu ajutorul capacităților tehnice, ci prin înșelăciune și viclenie obișnuită. Inginerii sociali folosesc tehnici psihologice pentru a influența oamenii prin e-mail, rețele sociale și servicii de mesagerie instantanee. Ca urmare a muncii lor pricepute, utilizatorii renunță în mod voluntar la datele lor, fără să realizeze întotdeauna că au fost înșelați.

Mesajele frauduloase conțin cel mai adesea amenințări, cum ar fi închiderea conturilor bancare ale utilizatorilor, promisiuni de câștiguri uriașe cu puțin sau deloc efort sau solicitări de donații voluntare în numele organizațiilor caritabile. De exemplu, un mesaj de la un atacator poate arăta astfel: „Contul dvs. este blocat. Pentru a restabili accesul la acesta, trebuie să confirmați următoarele date: număr de telefon, e-mail și parolă. Trimite-le la o astfel de adresă de e-mail.” Cel mai adesea, atacatorii nu lasă utilizatorului timp să se gândească, de exemplu, cer să plătească în ziua în care este primită scrisoarea.

phishing

Phishing-ul este cea mai populară metodă de a ataca utilizatorii și una dintre metodele de inginerie socială. Este un tip special de fraudă pe internet. Scopul phishing-ului este de a obține acces la date sensibile, cum ar fi adresă, număr de telefon, numere de card de credit, nume de utilizator și parole, prin utilizarea paginilor web false. Adesea, un atac de tip phishing are loc după cum urmează: vi se trimite un e-mail prin care vă cere să vă conectați la sistemul dvs. bancar prin internet în numele unui presupus angajat al băncii. Scrisoarea conține un link către un site fals care este greu de distins de cel real. Utilizatorul introduce informații personale pe un site fals, iar atacatorul le interceptează. După ce a intrat în posesia datelor personale, el poate, de exemplu, să obțină un împrumut în numele utilizatorului, să retragă bani din contul său și să plătească cu cardurile sale de credit, să retragă bani din conturile sale sau să creeze o copie a unui card de plastic și să o folosească să retragă bani oriunde în lume.

False programe antivirus și de securitate.

Atacatorii distribuie adesea malware sub masca unui software antivirus. Aceste programe generează notificări, care, de regulă, conțin un avertisment că computerul este presupus infectat și o recomandare de a urma linkul specificat pentru un tratament cu succes, de a descărca fișierul de actualizare de pe acesta și de a-l rula. Adesea, notificările sunt deghizate ca mesaje din surse legitime, cum ar fi companiile de software antivirus. Sursele de răspândire a antivirusurilor false includ e-mailul, reclamele online, rețelele sociale și chiar ferestrele pop-up de pe computer care imită mesajele sistemului.

Înlocuirea adresei de retur

Este bine cunoscut faptul că utilizatorii au încredere în mesajele primite de la oameni pe care îi cunosc mult mai mult și au șanse mai mari să le deschidă fără să se aștepte la o captură. Atacatorii profită de acest lucru și falsifică o adresă de retur către o persoană cunoscută utilizatorului pentru a-l păcăli să viziteze un site care conține malware sau să afle informații personale. De exemplu, clienții băncilor pe internet devin adesea victime ale propriei creduli.

Modalități de a vă proteja de amenințările online

Există multe tipuri și metode de atac, dar există și un număr suficient de moduri de a se apăra împotriva lor. Când navigați pe internet, vă recomandăm să îndepliniți următoarele cerințe:

Folosește parole

Pentru a crea o parolă complexă, trebuie să utilizați o combinație de cel puțin opt caractere. Este recomandabil ca parola să includă caractere mari și mici, numere și caractere speciale. Parola nu trebuie să repete parolele anterioare și nici nu trebuie să conțină date, nume, numere de telefon sau informații similare care ar putea fi ușor de ghicit.

Utilizați computerul cu un cont cu drepturi limitate

Înainte de a începe să utilizați sistemul de operare, este recomandat să creați un cont de utilizator pentru utilizarea zilnică a computerului și să îl utilizați în locul contului de administrator. Contul de utilizator vă permite să efectuați aceleași acțiuni ca și contul de administrator, dar vi se va solicita o parolă de administrator atunci când încercați să faceți modificări la setările sistemului de operare sau să instalați un software nou. Acest lucru reduce riscul de ștergere sau modificare accidentală a setărilor importante de sistem, precum și de infectarea computerului cu programe malware.

Utilizați criptarea datelor

Criptarea datelor este o modalitate suplimentară de a proteja informațiile importante de utilizatorii neautorizați. Programele speciale criptografice codifică datele astfel încât doar utilizatorul care deține cheia de decriptare le poate citi. Multe sisteme de operare au criptare încorporată. De exemplu, Windows 7 folosește criptarea unității BitLocker pentru a proteja toate fișierele stocate pe discul sistemului de operare și pe hard disk-urile interne, iar BitLocker To Go este folosit pentru a proteja fișierele stocate pe hard disk-uri externe și dispozitive USB.

Actualizați-vă software-ul în mod regulat

Mențineți software-ul actualizat și în mod regulat, inclusiv sistemul de operare și toate aplicațiile pe care le utilizați. Cel mai convenabil este să setați modul de actualizare automată, care va permite ca toate lucrările să fie efectuate în fundal. Se recomandă insistent să descărcați actualizările numai de pe site-urile web ale producătorilor de software.

Utilizați și actualizați în mod regulat programele antivirus

Pentru a vă proteja sistemul de posibile amenințări online. Antivirusul este o componentă cheie a protecției anti-malware. Trebuie instalat și actualizat în mod regulat pentru a-l ajuta să lupte cu noile programe malware, al căror număr crește în fiecare zi. Programele antivirus moderne, de regulă, actualizează automat bazele de date antivirus. Ei scanează zonele critice ale sistemului și monitorizează toate căile posibile de intruziune a virușilor, cum ar fi atașamentele de e-mail și site-urile web potențial periculoase, în fundal, fără a interfera cu experiența utilizatorului. Antivirusul ar trebui să fie întotdeauna pornit: dezactivarea acestuia este recomandată. De asemenea, încercați să verificați toate mediile amovibile pentru viruși.

Utilizați un firewall

Un firewall, sau firewall, este un filtru special a cărui sarcină este să controleze pachetele de rețea care trec prin el în conformitate cu regulile specificate. Un firewall funcționează după cum urmează: monitorizează comunicațiile dintre un dispozitiv și Internet și examinează toate datele primite de la sau trimise în rețea. Dacă este necesar, blochează atacurile de rețea și împiedică trimiterea secretă a datelor personale pe Internet. Firewall-ul nu permite intrarea informațiilor suspecte și nu permite informațiilor importante să iasă din sistem.

Producătorii de routere adesea nu le pasă prea mult de calitatea codului lor, motiv pentru care vulnerabilitățile sunt comune. Astăzi, routerele sunt o țintă prioritară pentru atacurile de rețea, permițând oamenilor să fure bani și date ocolind sistemele de securitate locale. Cum pot verifica singur calitatea firmware-ului și adecvarea setărilor? Utilități gratuite, servicii de verificare online și acest articol vă vor ajuta în acest sens.

Routerele de calitate pentru consumatori au fost întotdeauna criticate pentru nefiabilitatea lor, dar un preț ridicat nu garantează o securitate ridicată. În decembrie anul trecut, specialiștii Check Point au descoperit peste 12 milioane de routere (inclusiv modele de top) și modemuri DSL care ar putea fi piratate din cauza unei vulnerabilități în mecanismul de obținere a setărilor automate. Este utilizat pe scară largă pentru configurarea rapidă a echipamentelor de rețea pe partea clientului (CPE - echipamentul sediului clientului). În ultimii zece ani, furnizorii folosesc protocolul de gestionare a echipamentelor abonaților CWMP (CPE WAN Management Protocol) în acest scop. Specificația TR-069 oferă posibilitatea de a trimite setări utilizând-o și de a conecta servicii prin intermediul serverului de configurare automată (ACS - Server de configurare automată). Angajații Check Point au constatat că multe routere au o eroare în procesarea cererilor CWMP, iar furnizorii complică și mai mult situația: majoritatea nu criptează conexiunea dintre ACS și echipamentele client și nu restricționează accesul prin adrese IP sau MAC. Împreună, acest lucru creează condițiile pentru un atac ușor de tip om-in-the-middle.

Printr-o implementare vulnerabilă a CWMP, un atacator poate face aproape orice: setează și citește parametrii de configurare, reseta setările la valorile implicite și repornește dispozitivul de la distanță. Cel mai frecvent tip de atac implică înlocuirea adreselor DNS din setările routerului cu servere controlate de atacator. Acestea filtrează cererile web și le redirecționează pe cele care conțin apeluri către servicii bancare către pagini false. Pagini false au fost create pentru toate sistemele de plată populare: PayPal, Visa, MasterCard, QIWI și altele.

Particularitatea acestui atac este că browserul rulează pe un sistem de operare curat și trimite o solicitare la adresa introdusă corect a unui sistem de plată real. Verificarea setărilor de rețea ale computerului și căutarea de viruși pe acesta nu dezvăluie nicio problemă. Mai mult, efectul persistă dacă te conectezi la sistemul de plată printr-un router piratat din alt browser și chiar de pe alt dispozitiv din rețeaua de acasă.

Deoarece majoritatea oamenilor își verifică rareori setările routerului (sau chiar încredințează acest proces tehnicienilor ISP-ului), problema rămâne nedetectată pentru o lungă perioadă de timp. De obicei, ei află despre asta prin excludere - după ce banii au fost furați din conturi și un control computerizat nu a dat nimic.

Pentru a se conecta la un router prin CWMP, un atacator folosește una dintre vulnerabilitățile comune tipice dispozitivelor de rețea entry-level. De exemplu, acestea conțin un server web terță parte, RomPager, scris de Allegro Software. Cu mulți ani în urmă, a fost descoperit un bug în procesarea cookie-urilor, care a fost corectat prompt, dar problema rămâne. Deoarece acest server web face parte din firmware, nu este posibil să-l actualizezi dintr-o singură lovitură pe toate dispozitivele. Fiecare producător a trebuit să lanseze o nouă versiune pentru sute de modele deja puse în vânzare și să-și convingă proprietarii să descarce actualizarea cât mai curând posibil. După cum a arătat practica, niciunul dintre utilizatorii casnici nu a făcut acest lucru. Prin urmare, numărul dispozitivelor vulnerabile ajunge la milioane chiar și la zece ani de la lansarea corecțiilor. Mai mult decât atât, producătorii înșiși continuă să folosească vechea versiune vulnerabilă a RomPager în firmware-ul lor până în prezent.

Pe lângă routere, vulnerabilitatea afectează telefoanele VoIP, camerele de rețea și alte echipamente care pot fi configurate de la distanță prin CWMP. De obicei, pentru aceasta este folosit portul 7547. Puteți verifica starea acestuia pe router folosind serviciul gratuit Shields Up de la Steve Gibson. Pentru a face acest lucru, introduceți adresa URL (grc.com) și apoi adăugați /x/portprobe=7547.

Captura de ecran arată doar un rezultat pozitiv. Negativul nu garantează că nu există vulnerabilitate. Pentru a o exclude, va trebui să efectuați un test complet de penetrare - de exemplu, folosind scanerul Nexpose sau cadrul Metasploit. Dezvoltatorii înșiși nu sunt adesea pregătiți să spună ce versiune de RomPager este utilizată într-o anumită versiune a firmware-ului lor și dacă există deloc. Această componentă cu siguranță nu este prezentă doar în firmware-ul open source alternativ (vom vorbi despre ele mai târziu).

Înregistrarea unui DNS securizat

Este o idee bună să verificați mai des setările routerului și să înregistrați imediat manual adrese alternative de server DNS. Iată câteva dintre ele disponibile gratuit.

  • Comodo Secure DNS: 8.26.56.26 și 8.20.247.20
  • Norton ConnectSafe: 199.85.126.10, 199.85.127.10
  • DNS public Google: 8.8.8.8, 2001:4860:4860:8888 - pentru IPv6
  • OpenDNS: 208.67.222.222, 208.67.220.220

Toate blochează doar site-urile infectate și de phishing, fără a restricționa accesul la resursele pentru adulți.

Deconectați-vă și rugați-vă

Există și alte probleme cunoscute de mult timp pe care proprietarii de dispozitive de rețea sau (mai rar) producătorii lor nu sunt dispuși să le rezolve. În urmă cu doi ani, experții DefenseCode au descoperit un întreg set de vulnerabilități în routere și alte echipamente active de rețea de la nouă companii importante. Toate acestea sunt asociate cu implementarea software incorectă a componentelor cheie. În special, stiva UPnP în firmware pentru cipurile Broadcom sau folosind versiuni mai vechi ale bibliotecii deschise libupnp. Împreună cu specialiștii Rapid7 și CERT, angajații DefenseCode au găsit aproximativ șapte mii de modele de dispozitive vulnerabile. Peste șase luni de scanare activă a unei game aleatorii de adrese IPv4, au fost identificate peste 80 de milioane de gazde care au răspuns la o solicitare UPnP standard către un port WAN. Fiecare cincime dintre ei a susținut serviciul SOAP (Simple Object Access Protocol) și 23 de milioane au permis executarea de cod arbitrar fără autorizație. În cele mai multe cazuri, un atac asupra routerelor cu o astfel de gaură în UPnP este efectuat printr-o solicitare SOAP modificată, ceea ce duce la o eroare de procesare a datelor și restul codului ajungând într-o zonă arbitrară a RAM-ului routerului, unde se execută cu drepturi de superutilizator. Pe routerele de acasă, este mai bine să dezactivați complet UPnP și să vă asigurați că solicitările către portul 1900 sunt blocate. Același serviciu al lui Steve Gibson va ajuta în acest sens. Protocolul UPnP (Universal Plug and Play) este activat în mod implicit pe majoritatea routerelor, imprimantelor de rețea, camerelor IP, NAS și a aparatelor inteligente pentru casă. Este activat implicit pe Windows, OS X și multe versiuni de Linux. Dacă este posibil să-i ajustezi utilizarea, nu este chiar atât de rău. Dacă singurele opțiuni disponibile sunt „activare” și „dezactivare”, atunci este mai bine să o alegeți pe cea din urmă. Uneori, producătorii introduc în mod deliberat software în echipamentele de rețea. Cel mai probabil, acest lucru se întâmplă la ordinul serviciilor de informații, dar în cazul unui scandal, răspunsurile oficiale menționează întotdeauna „necesitate tehnică” sau „un serviciu proprietar pentru îmbunătățirea calității comunicării”. Au fost găsite uși din spate încorporate în unele routere Linksys și Netgear. Au deschis portul 32764 pentru a primi comenzi de la distanță. Deoarece acest număr nu corespunde niciunui serviciu cunoscut, această problemă este ușor de detectat - de exemplu, folosind un scanner de porturi extern.

INFO

O altă modalitate de a efectua un audit gratuit al rețelei de acasă este să descărcați și să rulați antivirusul Avast. Noile sale versiuni conțin vrăjitorul de verificare a rețelei, care identifică vulnerabilitățile cunoscute și setările de rețea periculoase.

Valorile implicite sunt pentru miei

Cea mai frecventă problemă cu securitatea routerului rămân setările din fabrică. Acestea nu sunt doar adrese IP interne comune, parole și login administrativ pentru întreaga serie de dispozitive, ci și servicii incluse care sporesc confortul cu prețul securității. Pe lângă UPnP, protocolul de telecomandă Telnet și serviciul WPS (Wi-Fi Protected Setup) sunt adesea activate implicit. Erorile critice se găsesc adesea în procesarea solicitărilor Telnet. De exemplu, routerele D-Link din seriile DIR-300 și DIR-600 au făcut posibilă primirea de la distanță a unui shell și executarea oricărei comenzi prin demonul telnetd fără nicio autorizație. Pe routerele Linksys E1500 și E2500, injectarea codului a fost posibilă prin ping obișnuit. Parametrul ping_size nu a fost verificat, drept urmare backdoor-ul a fost încărcat pe router folosind metoda GET într-o singură linie. În cazul lui E1500, nu au fost necesare trucuri suplimentare în timpul autorizării. O nouă parolă ar putea fi pur și simplu setată fără a o introduce pe cea actuală. O problemă similară a fost identificată cu telefonul Netgear SPH200D VoIP. În plus, la analiza firmware-ului, s-a dovedit că un cont de serviciu ascuns cu aceeași parolă era activ. Folosind Shodan, puteți găsi un router vulnerabil în câteva minute. Ele vă permit în continuare să modificați orice setări de la distanță și fără autorizare. Puteți profita de asta imediat, sau puteți face o faptă bună: găsiți acest utilizator nefericit pe Skype (după IP sau nume) și trimiteți-i câteva recomandări - de exemplu, schimbați firmware-ul și citiți acest articol.

Supercluster de găuri masive

Problemele rareori vin de la sine: activarea WPS duce automat la activarea UPnP. În plus, PIN-ul standard sau cheia de pre-autentificare utilizată în WPS anulează toată protecția criptografică la nivel WPA2-PSK. Din cauza erorilor de firmware, WPS rămâne adesea activat chiar și după ce este dezactivat prin interfața web. Puteți afla despre acest lucru folosind un scaner Wi-Fi - de exemplu, aplicația gratuită Wifi Analyzer pentru smartphone-uri care rulează sistemul de operare Android. Dacă serviciile vulnerabile sunt folosite de administratorul însuși, atunci nu va fi posibil să le refuze. Este bine dacă routerul vă permite să le securizați cumva. De exemplu, nu acceptați comenzi pe portul WAN sau setați o anumită adresă IP pentru utilizarea Telnet. Uneori pur și simplu nu există nicio modalitate de a configura sau pur și simplu de a dezactiva un serviciu periculos în interfața web și este imposibil să închideți gaura folosind mijloace standard. Singura cale de ieșire în acest caz este să căutați un firmware nou sau alternativ cu un set extins de funcții.

Servicii alternative

Cele mai populare firmware-uri deschise sunt DD-WRT, OpenWRT și furca Gargoyle. Acestea pot fi instalate doar pe routere din lista celor acceptate - adică cele pentru care producătorul chipset-ului a dezvăluit specificațiile complete. De exemplu, Asus are o serie separată de routere care au fost proiectate inițial cu un ochi spre utilizarea DD-WRT (bit.ly/1xfIUSf). Are deja douăsprezece modele de la entry-level la nivel corporativ. Routerele MikroTik rulează RouterOS, care nu este inferior ca flexibilitate față de familia *WRT. Acesta este, de asemenea, un sistem de operare de rețea cu drepturi depline, bazat pe nucleul Linux, care acceptă absolut toate serviciile și orice configurație imaginabilă. Firmware-ul alternativ poate fi instalat astăzi pe multe routere, dar aveți grijă și verificați numele complet al dispozitivului. Cu același număr de model și aspect, routerele pot avea versiuni diferite, care pot ascunde platforme hardware complet diferite.

Verificare de securitate

Puteți verifica vulnerabilitatea OpenSSL folosind utilitarul gratuit ScanNow de la Rapid7 (bit.ly/18g9TSf) sau versiunea sa online simplificată (bit.ly/1xhVhrM). Verificarea online are loc în câteva secunde. Într-un program separat, puteți seta o serie de adrese IP, astfel încât testul durează mai mult. Apropo, câmpurile de înregistrare ale utilitarului ScanNow nu sunt verificate în niciun fel.

După scanare, va fi afișat un raport și o ofertă de a încerca scanerul mai avansat de vulnerabilități Nexpose, destinat rețelelor companiei. Este disponibil pentru Windows, Linux și VMware. În funcție de versiune, perioada de probă gratuită este limitată la 7 până la 14 zile. Limitările se referă la numărul de adrese IP și zonele de scanare.

Din păcate, instalarea unui firmware open source alternativ este doar o modalitate de a crește securitatea și nu va oferi securitate completă. Tot firmware-ul este construit pe un principiu modular și combină o serie de componente cheie. Când este detectată o problemă în ele, aceasta afectează milioane de dispozitive. De exemplu, o vulnerabilitate din biblioteca OpenSSL open source a afectat și routerele cu *WRT. Funcțiile sale criptografice au fost folosite pentru a cripta sesiunile de acces la distanță prin SSH, pentru a organiza VPN-uri, pentru a gestiona un server web local și alte sarcini populare. Producătorii au început să lanseze actualizări destul de repede, dar problema încă nu a fost eliminată complet.

Noi vulnerabilități sunt găsite în mod constant în routere, iar unele dintre ele sunt exploatate chiar înainte de lansarea unei remedieri. Tot ce poate face proprietarul routerului este să dezactiveze serviciile inutile, să schimbe setările implicite, să limiteze controlul de la distanță, să verifice setările mai des și să actualizeze firmware-ul.

Ecran Depanare Vă permite să modificați setările implicite pentru a rezolva eventualele probleme de performanță și compatibilitate cu Avast Antivirus.

Se recomandă să părăsiți configurația implicită. Acestea ar trebui modificate numai dacă aveți o înțelegere aprofundată a Avast Antivirus sau dacă vi se solicită de către un reprezentant de asistență Avast pentru a rezolva problemele. După efectuarea oricăror modificări, faceți clic Bine pentru a salva setările.

Notă. Alte informații de depanare pot fi găsite pe pagina Noțiuni de bază.

Gestionați setările de depanare

  • Permiteți scanarea pentru rootkit-uri la pornirea sistemului: Scanați rootkit-uri în timpul pornirii computerului, înainte ca majoritatea aplicațiilor și serviciilor să fie încărcate. Pentru a asigura o protecție maximă, această setare este activată în mod implicit. Debifarea acestei casete poate accelera ușor pornirea, dar vă va slăbi protecția împotriva virusului.
  • Permiteți accesul direct la unități atunci când Avast efectuează scanări de pornire: permiteți scanării la pornire Avast să acceseze și să scaneze tot spațiul pe disc (inclusiv fișierele în mișcare și fragmentele de fișiere care pot conține cod rău intenționat). În mod implicit, această opțiune este activată. Debifarea acestei casete de selectare poate accelera ușor scanarea de pornire, dar vă va slăbi protecția antivirus.
  • Omiteți verificarea semnăturilor digitale ale fișierelor infectate: Permiteți lui Avast să raporteze toate fișierele ca suspecte, chiar dacă provin de la un editor de încredere, accelerând procesul de scanare. Cu toate acestea, această setare este dezactivată implicit pentru a evita cazurile de alarme false, deoarece fișierele de încredere cu semnături digitale valide Nu sunt detectate ca malware și, prin urmare, nu sunt eliminate.
  • Activați modulul de auto-apărare Avast: Previne modificarea sau ștergerea tuturor fișierelor principale Avast Antivirus. În mod implicit, această opțiune este activată. Debifarea acestei casete poate permite atacatorilor să modifice și să șteargă fișiere antivirus pentru a dezactiva protecția antivirus și a infecta computerul.
    Notă. Debifați această casetă de selectare doar temporar atunci când este solicitat de un reprezentant de asistență Avast pentru a rezolva anumite probleme.
  • Încărcați serviciile Avast numai după încărcarea altor servicii de sistem: Selectarea acestei opțiuni întârzie încărcarea Avast Antivirus până la finalizarea încărcării tuturor celorlalte servicii de sistem, ceea ce poate accelera procesul de pornire a computerului, dar va lăsa temporar sistemul neprotejat împotriva programelor malware. În mod implicit, această opțiune este dezactivată pentru a permite serviciilor Avast să înceapă chiar de la începutul pornirii computerului și pentru a asigura securitatea completă.
  • Restricționați accesul la program pentru un cont de invitat: Restricționați accesul și modificările la setările Avast pentru invitați (conturi secundare folosite pentru a vă conecta la computer). Această opțiune este activată în mod implicit, astfel încât numai utilizatorii înregistrați au permisiunea de a efectua astfel de acțiuni. Debifarea acestei casete va permite tuturor utilizatorilor (conturilor) să acceseze și să modifice setările.
  • Activați virtualizarea asistată de hardware: Îmbunătățiți performanța virtualizării. Avast folosește virtualizarea hardware în componentele sale Anti-Rootkit, Sandbox, CyberCapture și Self-Defense. În mod implicit, această opțiune este activă. Dacă Avast detectează alt software pe computerul dvs. care utilizează virtualizarea, această opțiune va fi dezactivată automat. Dacă Avast Nu software-ul instalat pe computerul dvs. care utilizează virtualizarea este detectat și cauzează probleme de compatibilitate și performanță, vă recomandăm să dezactivați temporar această setare.

Activarea modului pasiv

Modul pasiv dezactivează toată protecția activă, inclusiv diverse instrumente de securitate și firewall-ul. În acest mod, puteți utiliza mai multe programe antivirus simultan, fără a reduce performanța computerului și fiabilitatea detectării virușilor. În modul pasiv, Avast primește toate actualizările programului și definițiile virușilor, permițându-vă să rulați scanări manuale pentru a detecta problemele pe computer. Cu toate acestea, Avast protecție activă Nu lucrări.

Această caracteristică este dezactivată în mod implicit, cu excepția cazului în care instalați Avast pe un computer care are instalat un alt program antivirus. Pentru a activa manual modul pasiv, faceți clic pe glisor Oprit astfel încât să schimbe valoarea în Inclus. Apoi apasa BineȘi Restarteaza acum pentru a confirma modificările.

Dacă doriți ca protecția activă a Avast Antivirus să vă protejeze de programe malware și alte amenințări de securitate, asigurați-vă că modul pasiv inchis, iar următoarele condiții sunt îndeplinite.

  • Toate programele antivirus de la terți au fost eliminate.
  • Se afișează ecranul principal al Avast Antivirus Esti protejat.

Notă. Dacă Avast este singurul software antivirus instalat pe computerul dvs., activați modul pasiv doar temporar pentru a elimina anumite defecțiuni.

Restabilirea valorilor implicite

Rezolvarea problemelor poate necesita să vă restabiliți setările Avast Antivirus la setările lor implicite. Pentru a face acest lucru, urmați acești pași:

  1. Bifați casetele de selectare pentru una sau mai multe dintre următoarele opțiuni pentru a selecta setările pe care doriți să le restaurați.
    • Setări program (cu tipuri standard de scanare): Toate setările programului, cu excepția setărilor ecranului.
    • Setări ecran: Numai setările ecranului. Modificarea setărilor ecranului poate afecta starea protecției.
  2. Clic Resetați pentru a vă restabili setările.

Acțiune Resetați elimină toate setările dvs. de utilizator. Această acțiune nu poate fi anulată.

Notă.Înainte de a restabili setările implicite, puteți face o copie de rezervă a setărilor selectând Setări Faceți o copie de rezervă a setărilor.

Gestionarea setărilor de redirecționare

Dacă întâmpinați probleme la trimiterea sau primirea de e-mailuri în timpul utilizării ecran de e-mail cu un client de e-mail ( Microsoft Outlook, Mozilla Thunderbird etc.), puteți remedia această problemă identificând porturile care sunt utilizate de furnizorul dvs. de servicii de e-mail în Poștă.

În mod implicit, fiecare protocol are numerele standard de porturi enumerate mai jos.

Port(e) SMTP: 25 857 Porturi protejate: 465
Port(e) POP: 110 Porturi protejate: 995
Port(e) IMAP: 143 Porturi protejate: 993
Port(e) NNTP: 119 Porturi protejate: 563

Dacă dvs. (sau furnizorul dvs. de servicii de e-mail) utilizați alte porturi, introduceți-le în casetele de text de lângă protocoalele adecvate pentru a vă asigura că Avast vă scanează mesajele de e-mail. Utilizați virgule pentru a separa mai multe numere de porturi.

Într-un câmp de text Adrese ignorate introduceți adresele serviciilor sau porturilor pe care doriți să le excludeți de la scanare (de exemplu, smtp.example.com). Dacă este necesar, separați mai multe adrese cu virgule.

Selectarea unei casete de selectare pentru o opțiune Ignorați comunicarea localăÎmpiedică Avast să scaneze comunicațiile interne ale sistemului între aplicațiile care rulează pe computer. În mod implicit, această opțiune este activă. Dezactivarea acestei setări va permite Avast să scaneze toate comunicările prin e-mail, ceea ce îmbunătățește securitatea, dar poate reduce performanța sistemului.