Nhược điểm của việc bảo vệ chống lại các cuộc tấn công của hacker. Các cách vượt tường lửa. Cách lưu trữ file công việc trực tuyến
Giữa bức tường lửa hoặc bức tường lửa- một bộ phần cứng hoặc phần mềm giám sát và lọc các gói mạng đi qua nó theo các quy tắc được chỉ định.Nhiệm vụ chính của tường lửa là bảo vệ mạng máy tính hoặc các nút riêng lẻ khỏi bị truy cập trái phép. Ngoài ra, tường lửa thường được gọi là bộ lọc, vì nhiệm vụ chính của chúng là không cho (lọc) các gói không đáp ứng các tiêu chí được xác định trong cấu hình đi qua.
Tùy thuộc vào phạm vi bao phủ của luồng dữ liệu được kiểm soát, tường lửa được chia thành:
mạng truyền thống(hoặc mạng lưới) màn hình- một chương trình (hoặc một phần không thể thiếu của hệ điều hành) trên một cổng (máy chủ truyền lưu lượng giữa các mạng) hoặc giải pháp phần cứng, kiểm soát luồng dữ liệu đến và đi giữa các mạng được kết nối.
tường lửa cá nhân- chương trình được cài đặt trên máy tính người dùng và được thiết kế để chỉ bảo vệ máy tính này khỏi bị truy cập trái phép.
cấp độ mạng, khi quá trình lọc diễn ra dựa trên địa chỉ người gửi và người nhận của gói, số cổng lớp vận chuyển Mô hình OSI và các quy tắc tĩnh do quản trị viên đặt ra;
cấp độ phiên(còn được gọi là trạng thái) - theo dõi các phiên giữa các ứng dụng không cho phép các gói vi phạm thông số kỹ thuật TCP/IP đi qua, thường được sử dụng trong các hoạt động độc hại - quét tài nguyên, hack thông qua việc triển khai TCP/IP không chính xác, kết nối bị rớt/chậm, tiêm dữ liệu .
cấp độ ứng dụng, lọc dựa trên phân tích dữ liệu ứng dụng được truyền trong gói. Những loại màn hình này cho phép bạn chặn việc truyền thông tin không mong muốn và có khả năng gây hại dựa trên các chính sách và cài đặt.
không quốc tịch(lọc đơn giản), không giám sát các kết nối hiện tại (ví dụ: TCP), nhưng chỉ lọc luồng dữ liệu dựa trên các quy tắc tĩnh;
có trạng thái,(lọc nhận biết ngữ cảnh), giám sát các kết nối hiện tại và chỉ truyền những gói đáp ứng logic và thuật toán của các giao thức và ứng dụng tương ứng. Những loại tường lửa này giúp chống lại hiệu quả hơn nhiều loại khác nhau Các cuộc tấn công DoS và lỗ hổng của một số giao thức mạng. Ngoài ra, chúng còn đảm bảo hoạt động của các giao thức như H.323, SIP, FTP, v.v., sử dụng các sơ đồ truyền dữ liệu phức tạp giữa những người nhận, khó mô tả bằng các quy tắc tĩnh và thường không tương thích với các quy tắc tiêu chuẩn. không quốc tịch tường lửa.
^ Mối đe dọa từ bên trong. Các mối đe dọa không phải lúc nào cũng chỉ đến từ bên ngoài ITU, từ Internet. Một số lượng lớn tổn thất có liên quan chính xác đến các sự cố bảo mật từ phía người dùng nội bộ (theo thống kê, có tới 80% sự cố đến từ bên trong). Cần làm rõ rằng tường lửa chỉ kiểm tra lưu lượng ở ranh giới giữa mạng nội bộ và Mạng internet. Nếu lưu lượng khai thác lỗ hổng bảo mật không bao giờ đi qua tường lửa thì tường lửa sẽ không tìm thấy vấn đề gì.
Đường hầm. Tường lửa lọc lưu lượng truy cập và đưa ra quyết định về việc cho phép hoặc chặn các gói mạng dựa trên thông tin về giao thức được sử dụng. Nói chung, các quy tắc cung cấp thử nghiệm thích hợp để xác định xem một giao thức cụ thể có được phép hay không. Ví dụ: nếu cổng 25 và 80 được cho phép trên ITU thì lưu lượng thư (SMTP) và Web (HTTP) sẽ được phép đi vào mạng nội bộ. Nguyên tắc xử lý này được những kẻ tấn công lành nghề sử dụng. Tất cả các hoạt động trái phép được thực hiện trong khuôn khổ giao thức được phép, từ đó tạo ra một đường hầm mà qua đó kẻ tấn công thực hiện cuộc tấn công. Ví dụ đơn giản nhất minh họa việc sử dụng đường hầm là sâu Internet và virus macro được đưa vào mạng công ty dưới dạng tệp đính kèm vào tin nhắn. E-mail. Nếu tường lửa cho phép lưu lượng SMTP đi qua (và tôi chưa bao giờ thấy tường lửa nào không làm điều này), thì “lây nhiễm vi-rút” có thể xâm nhập vào mạng nội bộ.Một cuộc tấn công kênh bí mật hiện đại phổ biến là cuộc tấn công Loki. Cuộc tấn công này sử dụng giao thức ICMP để truyền dữ liệu, mặc dù giao thức này không được thiết kế để sử dụng theo cách này nhưng nó chỉ nhằm mục đích gửi thông báo trạng thái và lỗi. Nhưng ai đó đã phát triển một công cụ đặc biệt (Loki) cho phép kẻ tấn công ghi dữ liệu ngay sau tiêu đề ICMP.
Điều này cho phép kẻ tấn công liên lạc với hệ thống khác thông qua kênh bí mật. Cuộc tấn công này thường khá thành công vì hầu hết các tường lửa đều được cấu hình để cho phép lưu lượng ICMP vào và ra. Cái này kênh ẩn, bởi vì nó sử dụng một giao thức liên lạc không được thiết kế cho mục đích này. Thông tin chi tiết về cuộc tấn công Loki có thể được tìm thấy tại http://xforce.iss.net/xforce/xfdb/1452.
Mã hóa. Rất thường xuyên từ miệng của nhiều nhà phát triển trong nước VPN có nghĩa là Bạn có thể nghe nói rằng công cụ mà anh ấy phát triển để xây dựng mạng riêng ảo có thể giải quyết được nhiều vấn đề về bảo mật. Họ nhấn mạnh rằng vì mạng được bảo vệ liên lạc với đối thủ của nó ( văn phòng từ xa, đối tác, khách hàng, v.v.) chỉ qua kết nối VPN thì sẽ không có “sự lây nhiễm” nào xâm nhập được. Điều này đúng một phần nhưng chỉ với điều kiện đối thủ cũng không liên lạc với bất kỳ ai thông qua các kênh không an toàn. Và điều này thật khó tưởng tượng. Và vì hầu hết các tổ chức sử dụng mã hóa để bảo vệ bên ngoài kết nối mạng, sự quan tâm của kẻ tấn công sẽ được hướng đến những nơi trong mạng nơi thông tin mà anh ta quan tâm có thể không an toàn, nghĩa là đến các nút hoặc mạng đã thiết lập mối quan hệ đáng tin cậy. Và ngay cả trong trường hợp Tạo VPN- kết nối giữa mạng được bảo vệ bởi tường lửa có chức năng VPN và mạng đáng tin cậy, kẻ tấn công sẽ có thể thực hiện các cuộc tấn công của mình với hiệu quả tương tự. Hơn nữa, hiệu quả của các cuộc tấn công của anh ta sẽ còn cao hơn nữa, vì thường các yêu cầu bảo mật đối với các nút và mạng đáng tin cậy thấp hơn nhiều so với tất cả các nút khác. Kẻ tấn công sẽ có thể xâm nhập vào một mạng đáng tin cậy và chỉ sau đó thực hiện các hành động trái phép chống lại mục tiêu tấn công của hắn từ đó.
^ Các lỗ hổng trong tường lửa. Sau khi tấn công tường lửa và vô hiệu hóa nó, những kẻ tấn công có thể bình tĩnh mà không sợ bị phát hiện thực hiện các kế hoạch tội phạm của mình liên quan đến tài nguyên của mạng được bảo vệ. Ví dụ, kể từ đầu năm 2001, nhiều lỗ hổng đã được phát hiện trong quá trình triển khai các tường lửa nổi tiếng khác nhau.
^ Giả mạo địa chỉ- Đây là một cách để che giấu địa chỉ thực của kẻ tấn công. Tuy nhiên, nó cũng có thể được sử dụng để vượt qua các cơ chế bảo vệ tường lửa. Một phương pháp đơn giản như thay thế địa chỉ nguồn của các gói mạng bằng địa chỉ từ mạng được bảo vệ không còn có thể đánh lừa các tường lửa hiện đại nữa. Họ đều sử dụng nhiều cách khác nhau bảo vệ chống lại sự thay thế đó. Tuy nhiên, nguyên tắc thay thế địa chỉ vẫn có liên quan. Ví dụ, kẻ tấn công có thể thay thế địa chỉ thựcđến địa chỉ của nút đã thiết lập mối quan hệ đáng tin cậy với hệ thống bị tấn công và thực hiện tấn công từ chối dịch vụ chống lại nó.
Ví dụ trên slide
Google vs Tường lửa
Như đã đưa tin trong số 21 của PCWeek/RE năm 2001, do tường lửa ở Yuzhny bị tắt tạm thời Đại học Bách khoa Atlanta máy tìm kiếm Google đã lập chỉ mục mạng nội bộ của trường đại học này và có thể truy cập các tệp về sinh viên - địa chỉ nhà, số an sinh xã hội, v.v.
Một sự hiểu lầm phổ biến là tường lửa không nhận ra các cuộc tấn công và không chặn chúng. Tường lửa (Firewall) là một thiết bị đầu tiên cấm mọi thứ và sau đó chỉ cho phép những thứ “tốt”. Nghĩa là, khi cài đặt tường lửa, bước đầu tiên là cấm tất cả các kết nối giữa thiết bị được bảo vệ và mạng mở. Sau đó, quản trị viên sẽ thêm các quy tắc cụ thể cho phép lưu lượng truy cập nhất định đi qua tường lửa. Cấu hình tường lửa thông thường sẽ từ chối tất cả lưu lượng truy cập ICMP đến, chỉ cho phép lưu lượng truy cập đi và một số lưu lượng truy cập dựa trên giao thức UDP và TCP đến (ví dụ: HTTP, DNS, SMTP, v.v.). Điều này sẽ cho phép nhân viên của tổ chức được bảo vệ làm việc với Internet và từ chối những kẻ tấn công truy cập vào tài nguyên nội bộ. Tuy nhiên, đừng quên rằng tường lửa chỉ đơn giản là các hệ thống dựa trên quy tắc cho phép hoặc từ chối lưu lượng truy cập đi qua chúng. Ngay cả tường lửa sử dụng công nghệ kiểm tra trạng thái cũng không cho phép người ta nói chắc chắn liệu có một cuộc tấn công trong lưu lượng hay không. Họ chỉ có thể thông báo liệu lưu lượng truy cập có phù hợp với quy tắc hay không.
Một sự tương tự tốt có thể được rút ra với thế giới vật chất. Tường lửa chỉ đơn giản là một hàng rào xung quanh mạng của bạn mà không thể bị phát hiện khi ai đó đào sâu bên dưới nó. ITU chỉ hạn chế quyền truy cập vào một số điểm nhất định bên ngoài hàng rào của bạn. Và để không vô căn cứ, chúng tôi sẽ đưa ra một số ví dụ khi tường lửa không cứu bạn khỏi những kẻ xâm nhập [Lukatsky1-01].
Tấn công qua đường hầm tường lửa
Đường hầm là một phương pháp đóng gói (che đậy) các tin nhắn thuộc một loại (có thể bị chặn bởi bộ lọc ITU) bên trong các tin nhắn thuộc loại khác. Các cuộc tấn công thông qua “đường hầm” phát sinh do sự hiện diện của các thuộc tính tương ứng trong nhiều giao thức mạng. Tường lửa lọc lưu lượng mạng và đưa ra quyết định về việc cho phép hoặc chặn các gói dựa trên thông tin về giao thức mạng được sử dụng. Thông thường các quy tắc cung cấp một biện pháp kiểm tra thích hợp để xác định xem một giao thức cụ thể có được bật hay không. Ví dụ: nếu cổng 25 và 80 được cho phép trên ITU thì lưu lượng thư (SMTP) và Web (HTTP) sẽ được phép đi vào mạng nội bộ. Nguyên tắc xử lý này được những kẻ tấn công lành nghề sử dụng. Tất cả các hoạt động trái phép được thực hiện trong khuôn khổ giao thức được phép, từ đó tạo ra một đường hầm mà qua đó kẻ tấn công thực hiện cuộc tấn công. Ví dụ: một khiếm khuyết như vậy trong tường lửa được sử dụng để thực hiện cuộc tấn công LOKI, cho phép tạo đường hầm các lệnh khác nhau vào Yêu cầu tiếng vang ICMP và phản hồi chúng thành phản hồi Trả lời tiếng vang ICMP, điều này làm thay đổi đáng kể kích thước của trường dữ liệu so với trường dữ liệu tiêu chuẩn.
Dành cho tường lửa và bất kỳ công cụ truyền thống nào khác an ninh mạng Những hành động này trông khá bình thường. Ví dụ: đây là cách truyền tệp mật khẩu trong “đường hầm” 1CMR được hiển thị bởi bộ phân tích giao thức TCPdump.
Một ví dụ khác về tấn công đường hầm là tấn công lớp ứng dụng, liên quan đến việc khai thác lỗ hổng trong ứng dụng bằng cách gửi các gói liên quan trực tiếp đến ứng dụng đó.
Cơm. 1.3. Tấn công qua đường hầm tường lửa
Ví dụ đơn giản nhất chứng minh việc sử dụng các đường hầm như vậy là sâu Internet và virus macro được đưa vào mạng công ty dưới dạng tệp đính kèm vào thư email. Nếu tường lửa cho phép lưu lượng SMTP đi qua (tác giả chưa bao giờ thấy tường lửa không làm điều này), thì “lây nhiễm virus” có thể xâm nhập vào mạng nội bộ. Chúng tôi sẽ cung cấp thêm ví dụ phức tạp. Ví dụ: một máy chủ Web đang chạy phần mềm Microsoft(Máy chủ thông tin Internet), được bảo vệ bởi tường lửa chỉ cho phép cổng 80. Thoạt nhìn, nó được cung cấp bảo vệ hiệu quả. Nhưng chỉ thoạt nhìn thôi. Nếu bạn đang sử dụng IIS phiên bản 3.0, hãy liên hệ với http://www.domain.ru/default.asp. (có dấu chấm ở cuối) cho phép kẻ tấn công truy cập vào nội dung của tệp ASP có thể lưu trữ dữ liệu nhạy cảm (ví dụ: mật khẩu truy cập cơ sở dữ liệu). Và ngay cả khi bạn cài đặt nhiều nhất phiên bản mới nhất IIS 5.0.
Hơn nữa, một số lượng lớn các quy tắc làm giảm hiệu suất của tường lửa và kết quả là, thông lượng kênh truyền thông đi qua nó.
Các cuộc tấn công vượt qua tường lửa
Lời bài hát trong bộ phim thiếu nhi “Aibolit-66” - “Những anh hùng bình thường luôn đi đường vòng” - minh họa một cách hoàn hảo cho vấn đề vốn có của tường lửa sau đây. Tại sao phải cố gắng truy cập các tài nguyên được bảo vệ thông qua các biện pháp bảo mật khi bạn có thể cố gắng vượt qua chúng?
Một ví dụ từ một lĩnh vực liên quan
Vào ngày 21 tháng 2 năm 1990, nhà phân tích ngân sách Mary Pircham đến làm việc. Tuy nhiên, cô ấy không thể đi đến chỗ cô ấy. nơi làm việc ngay cả sau khi quay mã bốn chữ số và nói từ mã vào hệ thống bảo mật. Muốn vẫn vào, Mary mở cửa sau bằng một chiếc nĩa nhựa và một chiếc tuốc nơ vít bỏ túi. Mới nhất hệ thống bảo vệ, mà Mary Pierham đã chuyển giao, được quảng cáo là “không an toàn và đáng tin cậy” và có giá 44.000 USD [Vakka1-97].
Tương tự với tường lửa, chỉ có modem mới có thể đóng vai trò là cửa sau. Bạn có biết có bao nhiêu modem được cài đặt trên mạng của bạn và chúng được sử dụng để làm gì không? Đừng trả lời khẳng định ngay lập tức, hãy suy nghĩ về nó. Trong một cuộc khảo sát trên một mạng, những người đứng đầu bộ phận tự động hóa và bảo mật thông tin đã xé áo tuyên bố rằng họ biết từng modem được cài đặt trên mạng của mình. Bằng cách chạy hệ thống phân tích bảo mật Internet Scanner, chúng tôi thực sự đã tìm thấy các modem mà họ chỉ ra đã được sử dụng để cập nhật cơ sở dữ liệu hệ thống kế toán và pháp lý. Tuy nhiên, hai modem không xác định cũng được phát hiện. Một cái đã được một nhân viên của bộ phận phân tích sử dụng để truy cập vào các thư mục làm việc ở nhà. Modem thứ hai được sử dụng để truy cập Internet vượt qua tường lửa.
Một ví dụ khác liên quan đến khả năng vượt qua tường lửa. Các mối đe dọa không phải lúc nào cũng chỉ đến từ bên ngoài ITU, từ Internet. Như số liệu thống kê cho thấy, một số lượng lớn tổn thất có liên quan chính xác đến các sự cố bảo mật từ phía người dùng nội bộ, từ bên trong. Cần làm rõ rằng tường lửa chỉ xem xét lưu lượng ở ranh giới giữa mạng nội bộ và Internet. Nếu lưu lượng khai thác lỗ hổng bảo mật không bao giờ đi qua tường lửa thì tường lửa sẽ không phát hiện vấn đề gì
Thành thật mà nói: đối với nhiều người trong chúng ta, máy tính làm việc của chúng ta giống như một hòn đảo nhỏ ở nhà bên ngoài ngôi nhà. Điều này có lẽ chỉ công bằng, vì máy tính ở nhà thường là một văn phòng chi nhánh bên ngoài văn phòng. Vì vậy, giữa việc viết báo cáo và suy nghĩ về bảng tính với các phép tính, chúng ta sử dụng máy tính ở cơ quan cho cuộc sống cá nhân của mình. Chúng ta mua đồ tạp hóa cho ngày sinh nhật của mình, xem những clip hài hước trên YouTube và trò chuyện với bạn bè qua ICQ hoặc email.
Và rất thường xuyên, một số việc được thực hiện dễ dàng hơn với công nghệ tiêu dùng so với công nghệ phức tạp của doanh nghiệp - chỉ cần so sánh Gmail với hộp thư của công ty.
Điều này đặt ra một vấn đề: người sử dụng lao động không hài lòng với hành vi của chúng tôi tại nơi làm việc. Một phần vì họ muốn chúng tôi làm việc tại nơi làm việc. Và một phần họ sợ rằng việc chúng tôi đang làm sẽ gây nguy hiểm cho mạng nội bộ của công ty. Vì vậy, họ yêu cầu bộ phận CNTT ngăn chúng tôi kéo cuộc sống cá nhân từ nhà đến cơ quan.
Vậy câu chuyện cổ tích đã kết thúc chưa? À không, không nhanh thế đâu. Để tìm hiểu xem có thể vượt qua các hạn chế của bộ phận CNTT hay không, chúng tôi đã tìm đến các chuyên gia mạng để xin lời khuyên. Cụ thể, chúng tôi yêu cầu họ tìm ra 10 bí mật hàng đầu mà những người trong bộ phận CNTT đang giấu chúng tôi. Ví dụ: cách truy cập một trang web bị chặn mà không để lại dấu vết hoặc cách trò chuyện trong thời gian thực mà không tải xuống chương trình bị cấm.
Tuy nhiên, để đảm bảo mọi thứ được công bằng, chúng tôi cũng đã liên hệ với các chuyên gia bảo mật để tìm hiểu xem chúng tôi đang gặp rủi ro gì khi thực hiện các giải pháp thay thế này.
Để biết các mẹo về hack, chúng tôi đã liên hệ với Gina Trapani, biên tập viên hướng dẫn trực tuyến để sử dụng hiệu quả mạng Lifehacker.com, Leon Ho, biên tập viên blog Lifehack.org và Mark Frauenfelder, người sáng lập blog BoingBoing.net và biên tập viên của tạp chí Make, nơi cung cấp lời khuyên về công nghệ theo hình thức tự làm.
Để đánh giá rủi ro, chúng tôi đã nói chuyện với ba chuyên gia kiếm sống bằng việc giúp các bộ phận CNTT viết ra các quy tắc và truy tìm những kẻ xấu muốn vi phạm chúng. Đây là John Pironti, chiến lược gia trưởng mối đe dọa thông tin Công ty tư vấn Getronics có trụ sở tại Amsterdam, chuyên gia bảo mật thông tin của PricewaterhouseCoopers Mark Lowbel và chuyên gia về mối đe dọa từ một công ty phần mềm bảo mật Phần mềm McAfee Craig Shmugar.
Vì vậy, đây là 10 bí mật mà bộ phận CNTT đang giấu bạn, những mối nguy hiểm liên quan đến chúng cũng như các mẹo để bảo vệ bản thân và tránh mất việc khi bạn áp dụng chúng vào thực tế.
1. Cách gửi file khổng lồ
Vấn đề: Tất cả chúng ta đều cần gửi đi theo thời gian tập tin lớn, từ các slide thuyết trình cho đến những bức ảnh về kỳ nghỉ. Nhưng nếu bạn đang gửi bất cứ thứ gì lớn hơn vài megabyte, bạn có nguy cơ nhận được thông báo cho biết bạn đã vượt quá giới hạn của công ty mình.
Các công ty có thể giới hạn lượng dữ liệu mà nhân viên của họ có thể gửi qua thư vì một lý do đơn giản: họ muốn tránh làm máy chủ của mình bị quá tải, điều này sẽ làm chậm máy chủ. Và việc tiếp cận ban quản lý với yêu cầu tăng giới hạn đối với các tệp đã gửi có thể là một quá trình rất tẻ nhạt.
Biện pháp giải quyết: Sử dụng các dịch vụ trực tuyến như YouSendIt, SendThisFile hoặc DropSend, cho phép bạn gửi các tệp lớn - đôi khi lên tới vài gigabit - miễn phí. Để sử dụng dịch vụ của họ, thông thường bạn cần phải đăng ký bằng cách cung cấp thông tin cá nhân, chẳng hạn như tên và địa chỉ email của bạn. Sau đó, bạn có thể nhập địa chỉ email của người nhận và tin nhắn cho họ và trang web sẽ cung cấp cho bạn hướng dẫn về cách tải xuống tệp. Trong hầu hết các trường hợp, một liên kết sẽ được gửi đến địa chỉ của người nhận, sau đó anh ta có thể tải tệp xuống.
Rủi ro: Vì các trang dịch vụ này gửi tệp của bạn qua Internet nên chúng nằm ngoài tầm kiểm soát của công ty. Điều này giúp những kẻ xấu có thể chặn các tệp này trong quá trình vận chuyển dễ dàng hơn.
Làm thế nào để bảo vệ chính mình: Một số trang web này có danh tiếng tốt hơn những trang khác. Ví dụ: YouSendIt - công ty mới, được điều hành bởi cựu giám đốc Adobe Systems và được tài trợ bởi các công ty đầu tư mạo hiểm nổi tiếng. Các trang web khác cung cấp ít thông tin về họ và do đó có nhiều khả năng tạo ra các lỗ hổng bảo mật mà tin tặc có thể khai thác để đánh cắp thông tin của bạn.
Nếu chủ sở hữu của một trang web không rõ ràng thì sẽ có những tiêu chuẩn khác để đánh giá nó. Hãy tìm các biểu tượng bảo mật - trong Internet Explorer, biểu tượng này trông giống như một ổ khóa nhỏ ở cuối màn hình - biểu thị rằng trang web sử dụng hệ thống mã hóa để bảo vệ quyền riêng tư của thông tin đối với khách truy cập.
2. Cách sử dụng phần mềm công ty cấm tải về
Vấn đề: Nhiều công ty yêu cầu nhân viên phải xin phép bộ phận CNTT trước khi tải phần mềm. Tuy nhiên, điều này có thể có vấn đề nếu bạn muốn tải xuống một chương trình mà nhân viên CNTT đã đưa vào danh sách đen.
Biện pháp giải quyết: Có hai cách dễ dàng để giải quyết vấn đề này: tìm một giải pháp thay thế cho chương trình này trên Internet hoặc đưa chương trình đó đến phương tiện truyền thông bên ngoài.
Phương pháp đầu tiên dễ dàng hơn. Giả sử công ty của bạn không cho phép bạn tải xuống chương trình trò chuyện thời gian thực phổ biến AOL Instant Messenger. Bạn vẫn có thể liên lạc với bạn bè và đồng nghiệp của mình bằng phiên bản trực tuyến của chương trình có tên AIM Express (AIM.com/aimexpress.adp). Ngoài ra, Google còn có dịch vụ liên lạc theo thời gian thực Google Talk, có sẵn tại Google.com/talk. Những chương trình như máy nghe nhạc và trò chơi điện tử - chúng thường bị lược bỏ phần nào so với các chương trình gốc.
Cách tiếp cận thứ hai để giải quyết vấn đề phức tạp hơn, nhưng với sự trợ giúp của nó, bạn có thể truy cập vào chính chương trình đó trên máy tính của mình. Cả ba chuyên gia của chúng tôi đều đặt tên cho công ty Rare Ideas LLC (RareIdeas.com), công ty cung cấp phiên bản miễn phí các chương trình phổ biến như Firefox và OpenOffice. Bạn có thể tải các chương trình về thiết bị cầm tay, ví dụ: trên iPod hoặc trên ổ đĩa flash, thông qua dịch vụ Ứng dụng di động (PortableApps.com). Sau đó, bạn kết nối thiết bị này với máy tính ở cơ quan là xong. (Đúng, nếu công ty của bạn cấm sử dụng thiết bị bên ngoài, hãy coi mình là người không may mắn.)
Rủi ro: Việc sử dụng các dịch vụ trực tuyến có thể gây áp lực quá mức lên nguồn lực của công ty. Và các chương trình trên phương tiện bên ngoài tạo ra rủi ro bảo mật. Dân CNTT thích giữ quyền kiểm soát phần mềm được nhân viên sử dụng để nếu xảy ra vi-rút hoặc sự cố khác, họ có thể dễ dàng khắc phục. Nếu bạn mang theo các chương trình bên mình, mức độ kiểm soát chúng sẽ giảm đi.
Một điều khác cần lưu ý là một số chương trình kém an toàn hơn, đặc biệt là các chương trình chia sẻ tệp, có thể chứa phần mềm gián điệp.
Cách bảo vệ bản thân: Lowbell cho biết, nếu bạn đưa chương trình này lên phương tiện bên ngoài, ít nhất hãy thay đổi cài đặt của chương trình chống vi-rút trên máy tính ở cơ quan của bạn để nó quét thiết bị để tìm các mối đe dọa tiềm ẩn. Điều này có thể dễ dàng thực hiện bằng cách vào menu “cài đặt” hoặc “tùy chọn”. Tương tự như vậy, nếu bạn sử dụng các dịch vụ chia sẻ tệp, hãy định cấu hình chúng để người khác không thể truy cập vào tệp của bạn, cũng thông qua “cài đặt” hoặc “tùy chọn”.
3. Cách truy cập các trang web bị công ty bạn chặn
Vấn đề: Các công ty thường hạn chế quyền truy cập của nhân viên vào một số trang web nhất định, từ những trang thực sự tục tĩu (trang web khiêu dâm) và những trang có vẻ thiếu cẩn trọng (trang web cờ bạc) cho đến những trang gần như vô tội (trang web email).
Biện pháp giải quyết: Ngay cả khi công ty của bạn không cho phép bạn truy cập các trang web này bằng cách nhập địa chỉ của họ vào dòng trên cùng, đôi khi bạn vẫn có thể tiếp cận chúng theo đường vòng. Bạn vào một trang có tên là "proxy" và nhập Thanh tìm kiếmđịa chỉ Internet bạn cần. Sau đó, trang proxy sẽ truy cập trang bạn cần và cung cấp cho bạn hình ảnh của trang đó - bằng cách này bạn có thể xem trang đó mà không cần truy cập trực tiếp vào trang đó. Ví dụ: Proxy.org phục vụ hơn 4 nghìn trang web proxy.
Frauenfelder và Trapani đề xuất một cách khác để đạt được kết quả tương tự: sử dụng Google Dịch và yêu cầu nó dịch tên trang web từ tiếng Anh sang tiếng Anh. Chỉ cần nhập văn bản tiếp theo: "Google.com/translate?langpair=en|en&u=www.blockedsite.com", thay thế "blockedsite.com" bằng địa chỉ của trang web bạn cần. Về cơ bản, Google hoạt động như một máy chủ proxy, tìm kiếm trang web nhân bản cho bạn.
Rủi ro: Nếu bạn sử dụng trang proxy để xem email hoặc video YouTube thì mối nguy hiểm chính là bạn sẽ bị cấp trên bắt quả tang. Nhưng cũng có những mối đe dọa an ninh nghiêm trọng hơn. Lowbell cảnh báo, đôi khi kẻ xấu trên Internet mua các địa chỉ trang web chỉ cách các trang web phổ biến một hoặc hai chữ cái và sử dụng chúng để lây nhiễm vi-rút vào máy tính của khách truy cập. Thông thường các công ty cũng chặn những trang web này - nhưng nếu bạn sử dụng proxy, bạn sẽ không thể chống lại được chúng.
Cách bảo vệ bản thân:Đừng biến việc sử dụng các trang proxy thành thói quen. Chỉ sử dụng phương pháp này để truy cập một số trang web nhất định mà công ty của bạn đã đóng quyền truy cập nhằm cải thiện năng suất - ví dụ: YouTube. Và hãy cẩn thận hơn với chính tả.
4. Cách che dấu vết của bạn trên máy tính xách tay của công ty
Vấn đề: Nếu bạn đang sử dụng thuộc sở hữu của công ty máy tính xách tay để làm việc tại nhà, rất có thể bạn sử dụng nó cho mục đích cá nhân: tổ chức kỳ nghỉ gia đình, mua sách đọc trên bãi biển, sưu tập album ảnh trên Internet, v.v. Nhiều công ty có quyền theo dõi mọi việc bạn làm trên máy tính đó vì về mặt kỹ thuật, đó là tài sản của công ty. Điều gì sẽ xảy ra nếu... ừ... bạn của bạn vô tình truy cập vào một trang web khiêu dâm hoặc tìm kiếm trên Internet cách chữa khỏi căn bệnh đáng xấu hổ nào đó?
Biện pháp giải quyết: Phiên bản mới nhất Trình duyệt Internet Explorer và Firefox cho phép bạn che giấu dấu vết của mình. Trong IE7 chọn Công cụ rồi Xóa Lịch sử duyệt web. Tại đây, bạn có thể xóa toàn bộ lịch sử duyệt web của mình bằng cách chọn Xóa tất cả hoặc chọn nhiều liên kết mà bạn muốn xóa. Trong Firefox, chỉ cần nhấn Ctrl-Shift-Del hoặc nhấp vào Clear Private Data trong menu Tools.
Rủi ro: Ngay cả khi bạn xóa lịch sử của mình, việc lướt Internet thoải mái vẫn khiến bạn gặp rủi ro. Bạn có thể vô tình nhận được phần mềm gián điệp trên một trang web mờ ám hoặc gây ra các vấn đề pháp lý cho sếp bằng hành vi của bạn. Nếu bị bắt, tốt nhất bạn có thể rơi vào tình thế khó xử và tệ nhất là bạn có thể mất việc.
Cách bảo vệ bản thân: Dọn dẹp dữ liệu cá nhân của bạn thường xuyên nhất có thể. Tốt hơn hết, đừng sử dụng máy tính ở nơi làm việc của bạn cho bất cứ việc gì mà bạn không muốn sếp biết.
5. Cách tìm tài liệu công việc tại nhà
Vấn đề: Bạn hoàn thành công việc của mình vào đêm khuya hoặc cuối tuần - nhưng tài liệu bạn cần vẫn còn trên máy tính văn phòng.
Biện pháp giải quyết: Google, Microsoft, Yahoo và IAC/InterActiveCorp cung cấp phần mềm để tìm kiếm nhanh chóng các tài liệu trên màn hình máy tính của bạn. Ngoài ra, một số trong số chúng cho phép bạn tìm kiếm từ một máy tính các tài liệu được lưu trên màn hình của máy tính khác. Làm thế nào nó hoạt động? Công ty công cụ tìm kiếm lưu trữ bản sao tài liệu của bạn trên máy chủ của họ. Bằng cách này, nó có thể quét các bản sao này khi bạn tìm kiếm từ xa.
Để sử dụng phần mềm Google - một trong những phần mềm phổ biến nhất - bạn cần phải làm bước tiếp theo. Đầu tiên, hãy thiết lập tài khoản Google trên cả hai máy bằng cách truy cập Google.com/accounts. (Đảm bảo sử dụng cùng một tài khoản trên cả hai máy tính.)
Sau đó truy cập Desktop.Google.com và tải xuống phần mềm tìm kiếm trên máy tính để bàn. Sau khi cài đặt xong, trên cả hai máy, hãy nhấp lại vào Tùy chọn màn hình, sau đó bật Tài khoản GoogleĐặc trưng. Chọn hộp bên cạnh cụm từ Tìm kiếm trên máy tính. Từ thời điểm này trở đi, tất cả tài liệu bạn mở trên cả hai máy tính đều được sao chép vào máy chủ Google, điều này sẽ cho phép bạn tìm thấy chúng từ cả hai máy tính.
Rủi ro: Các chuyên gia công nghệ doanh nghiệp tưởng tượng ra một kịch bản thảm khốc: Bạn đã lưu trữ thông tin tài chính rất nhạy cảm trên máy tính làm việc của mình. Chúng tôi đã cài đặt một chương trình để truy cập các tệp này từ máy tính xách tay cá nhân của mình. Và rồi chiếc laptop bị thất lạc. À à à à.
Ngoài ra, các chuyên gia đã phát hiện ra các lỗ hổng trong phần mềm tìm kiếm máy tính của Google có thể cho phép tin tặc lừa người dùng cấp cho họ quyền truy cập vào các tệp, Shmugar của McAfee cho biết. (Những vấn đề đó đã được khắc phục nhưng có thể vẫn còn những vấn đề khác, ông nói.)
Cách bảo vệ bản thân: Nếu bạn có các tệp trên máy tính ở cơ quan không bao giờ được chia sẻ công khai, hãy yêu cầu quản trị viên hệ thống CNTT giúp bạn cài đặt Google Desktop theo cách không bị rò rỉ.
6. Cách lưu trữ file công việc trực tuyến
Vấn đề: Ngoài việc tìm kiếm trên máy tính để bàn, hầu hết những người thường xuyên phải làm việc tại nhà đều đã tìm ra giải pháp cho riêng mình. Họ lưu các tập tin công việc trên các thiết bị di động hoặc trên mạng công ty, từ đó sau này họ sẽ truy xuất chúng từ xa. Nhưng các thiết bị di động có thể quá cồng kềnh và việc liên lạc với mạng làm việc có thể chậm và không đáng tin cậy.
Biện pháp giải quyết: Sử dụng các dịch vụ lưu trữ trực tuyến như Box.net, Streamload hay Xdrive của AOL. Hầu hết trong số họ cung cấp dịch vụ miễn phí để lưu trữ thông tin từ một đến năm gigabyte và cho một gói có không gian thêm họ tính phí vài đô la một tháng. Một phương pháp du kích khác là gửi cho chính bạn những tệp này đến email cá nhân của bạn, chẳng hạn như Gmail hoặc Hotmail.
Rủi ro: Kẻ xấu có thể đánh cắp mật khẩu của bạn trên một trong những trang web này và đánh cắp các bản sao tài liệu mật Công ty của bạn.
Cách bảo vệ bản thân: Khi bạn chuẩn bị lưu một tệp cụ thể trên Internet, hãy tự hỏi điều gì sẽ xảy ra nếu nó được phổ biến rộng rãi hoặc rơi vào tay người đứng đầu một công ty là đối thủ cạnh tranh chính của bạn. Nếu không có gì xấu xảy ra thì hãy tiếp tục.
Vấn đề: Nhiều công ty có khả năng theo dõi email nhân viên tại địa chỉ cơ quan của họ và tại các địa chỉ email khác, cũng như liên lạc qua ICQ.
Biện pháp giải quyết: Khi bạn gửi email từ cá nhân của bạn Hộp thư điện tử hoặc từ email công việc, bạn có thể mã hóa chúng để chỉ người nhận mới có thể đọc được. Trong Microsoft Outlook, nhấp vào Công cụ, sau đó nhấp vào Tùy chọn và chọn dòng Bảo mật.
Tại đây bạn có thể nhập mật khẩu và không ai có thể mở được thư nếu không biết mật khẩu này. (Tất nhiên, bạn phải cung cấp trước mật khẩu này cho những người mà những lá thư này dự định gửi đến.)
Đối với thư từ cá nhân sử dụng dịch vụ bưu chính trên Internet, hãy sử dụng lời khuyên của Frauenfelder. Khi bạn kiểm tra email, hãy thêm chữ s sau "http" vào thanh địa chỉ của trang web email của bạn - ví dụ: https://www.Gmail.com. Bằng cách này, bạn sẽ bắt đầu một phiên an toàn và không ai có thể theo dõi email của bạn. Tuy nhiên, không phải tất cả các dịch vụ web đều hỗ trợ điều này.
Để mã hóa thông tin liên lạc của bạn trong thời gian thực, hãy sử dụng dịch vụ Trillian của Cerulean Studios, dịch vụ này hoạt động với AOL Instant Messenger, Yahoo Messenger và các chương trình trò chuyện thời gian thực khác và giúp bạn mã hóa các cuộc hội thoại của mình để không ai khác có thể đọc được chúng.
Rủi ro: Lý do chính khiến các công ty theo dõi thư điện tử nhân viên, điều này là để bắt những người truyền thông tin bí mật. Bằng cách sử dụng tất cả các thủ thuật trên, bạn có thể kích động báo động sai và khiến nhân viên bộ phận CNTT gặp khó khăn hơn trong việc chống lại mối đe dọa thực sự.
Cách bảo vệ bản thân: Chỉ thỉnh thoảng sử dụng các phương pháp được mô tả và không sử dụng chúng theo mặc định.
8. Làm thế nào để có được Truy cập từ xaĐẾN Email công việc, nếu công ty của bạn không muốn phá sản với PDA
Vấn đề: Bất cứ ai không có PDA đều biết cảm giác: bạn đến nhà hàng để ăn trưa hoặc uống bia sau giờ làm việc, và mọi người thò tay vào túi để lấy PDA và bạn là người duy nhất buộc phải đung đưa chiếc ly trên tay. .
Biện pháp giải quyết: Bạn cũng có thể giữ liên lạc bằng email công việc của mình bằng nhiều loại thiết bị di động. Chỉ cần thiết lập email công việc để email được chuyển tiếp đến địa chỉ email cá nhân của bạn.
Trong Microsoft Outlook, bạn có thể thực hiện việc này bằng cách nhấp chuột phải vào bất kỳ email nào, chọn "Tạo quy tắc" và yêu cầu chuyển tiếp tất cả email đến địa chỉ khác. Sau đó thiết lập của bạn điện thoại di độngđể bạn có thể kiểm tra email của mình bằng cách sử dụng nó, làm theo hướng dẫn từ nhà cung cấp của bạn (công ty gửi hóa đơn điện thoại cho bạn).
Rủi ro: Giờ đây, tin tặc có thể hack không chỉ máy tính mà còn cả điện thoại của bạn.
Cách bảo vệ bản thân: Có một cách "chính xác" để truy cập email công việc bằng nhiều cách sử dụng cá nhân khác nhau. thiêt bị di động bằng cách lấy mật khẩu và các thông tin khác từ bộ phận CNTT.
9. Cách truy cập thư cá nhân từ PDA công việc
Vấn đề: Nếu công ty của bạn cung cấp cho bạn một chiếc PDA, có thể bạn đang gặp phải vấn đề ngược lại. Bạn có muốn kiểm tra của bạn thư cá nhân dễ dàng như làm việc.
Biện pháp giải quyết: Hãy chú ý đến phần "Cài đặt" trong hộp thư cá nhân của bạn và đảm bảo rằng bạn đã kích hoạt POP ( giao thức bưu chính), dùng để nhận thư qua các địa chỉ khác. Sau đó truy cập trang web của nhà cung cấp dịch vụ BlackBerry PDA của bạn. Nhấp vào nút "Hồ sơ", tìm phần Tài khoản Email ở đó (" hộp thư") và chọn Tài khoản Email khác. Sau đó nhấp vào Thêm tài khoản và nhập thông tin về cá nhân của bạn địa chỉ email. Bây giờ thư cá nhân của bạn sẽ đến cùng nơi với thư công ty.
Rủi ro: Công ty của bạn có thể sử dụng rất nhiều công cụ bảo mật và chống vi-rút. phần mềm gián điệp. Khi bạn nhận được email cá nhân trên BlackBerry, nó sẽ vượt qua các rào cản bảo mật này. Điều đó có nghĩa là phần mềm gián điệp hoặc virus có thể xâm nhập vào PDA thông qua email cá nhân của bạn, Shmugar của McAfee cho biết.
Điều tệ hơn là, ông nói, khi bạn cắm chiếc BlackBerry vào máy tính ở cơ quan, có khả năng phần mềm gián điệp sẽ truyền vào ổ cứng của bạn.
Cách bảo vệ bản thân: Hãy cầu mong rằng nhà cung cấp dịch vụ email của bạn đang cố gắng hết sức để bảo vệ khỏi vi-rút và phần mềm gián điệp (có thể họ làm như vậy).
10. Cách giả vờ như bạn đang làm việc
Vấn đề: Bạn đang bận thực hiện một tìm kiếm quan trọng trên Internet thì đột nhiên sếp xuất hiện phía sau bạn. Hành động của bạn?
Biện pháp giải quyết: Nhấn nhanh Alt-Tab để thu nhỏ một cửa sổ (như cửa sổ bạn đang duyệt trên ESPN.com) và mở một cửa sổ khác (để chuẩn bị cho bài thuyết trình hôm nay).
Rủi ro: Tin tốt là không có mối đe dọa nào đối với an ninh của công ty.
Cách bảo vệ bản thân: Bắt đầu làm.
Tìm thấy một lỗi đánh máy? Chọn văn bản và nhấn Ctrl + Enter
Tường lửa chỉ đơn giản là một hàng rào xung quanh mạng của bạn. Nó có thể rất cao hoặc rất dày để bạn có thể trèo qua hoặc tạo một cái lỗ trên đó. Nhưng... hàng rào này không thể phát hiện khi ai đó đang đào đường hầm bên dưới nó hoặc cố gắng đi dọc theo cây cầu bắc qua hàng rào. ITU chỉ hạn chế quyền truy cập vào một số điểm nhất định bên ngoài hàng rào của bạn.Mọi người mắc sai lầm
Như bạn đã biết, tường lửa, giống như các biện pháp bảo mật khác, được cấu hình bởi con người. Và mọi người đều có xu hướng mắc sai lầm, ngay cả các chuyên gia bảo mật thông tin. Thực tế này được nhiều kẻ tấn công sử dụng.
Chỉ cần tìm thấy một điểm yếu trong cài đặt tường lửa là đủ, chúng ta có thể cho rằng “đó là vấn đề của bạn”. Điều này được xác nhận bởi nhiều nghiên cứu khác nhau.
"Những anh hùng bình thường luôn đi đường vòng"
Tại sao phải cố gắng truy cập các tài nguyên được bảo vệ thông qua các biện pháp bảo mật khi bạn có thể cố gắng vượt qua chúng? Điều này có thể được minh họa bằng một ví dụ từ một lĩnh vực liên quan. Thứ Tư, ngày 21 tháng 2 năm 1990, Mary Pierham, nhà phân tích ngân sách của một công ty Mỹ, đến làm việc. Tuy nhiên, cô không thể vào nơi làm việc của mình ngay cả sau khi nhập mã gồm bốn chữ số và nói từ mã vào hệ thống kiểm soát truy cập. Vẫn muốn đi làm, Mary đi vòng quanh tòa nhà và mở cửa sau bằng giũa móng tay và một chiếc lược nhựa.
Hệ thống an ninh mới nhất mà Mary Pierham vượt qua được quảng cáo là “an toàn và đáng tin cậy” và có giá hàng chục nghìn đô la. Tương tự với tường lửa, chỉ có modem mới có thể đóng vai trò là cửa sau. Bạn có biết có bao nhiêu modem được cài đặt trên mạng của bạn và chúng được sử dụng để làm gì không? Đừng trả lời khẳng định ngay lập tức, hãy suy nghĩ về nó. Khi kiểm tra một mạng, những người đứng đầu bộ phận tự động hóa và bảo mật thông tin đã xé áo tuyên bố rằng họ biết từng modem được cài đặt trên mạng của mình.
Sau khi chạy hệ thống phân tích bảo mật Internet Scanner, chúng tôi thực sự đã tìm thấy các modem mà họ chỉ ra đã được sử dụng để cập nhật cơ sở dữ liệu của hệ thống kế toán và pháp lý. Tuy nhiên, hai modem không xác định cũng được phát hiện.
Một cái đã được một nhân viên của bộ phận phân tích sử dụng để truy cập vào các thư mục làm việc ở nhà. Modem thứ hai được sử dụng để truy cập Internet, vượt qua tường lửa.
Một ví dụ khác liên quan đến khả năng vượt qua tường lửa. Các mối đe dọa không phải lúc nào cũng chỉ đến từ bên ngoài ITU, từ Internet.
Một số lượng lớn tổn thất có liên quan chính xác đến các sự cố bảo mật từ phía người dùng nội bộ (theo thống kê, có tới 80% sự cố đến từ bên trong). Cần làm rõ rằng tường lửa chỉ xem xét lưu lượng ở ranh giới giữa mạng nội bộ và Internet. Nếu lưu lượng khai thác lỗ hổng bảo mật không bao giờ đi qua tường lửa thì tường lửa sẽ không tìm thấy vấn đề gì. Năm 1985, tại một trong những nhà máy đóng tàu của Nga, một nhóm tội phạm gồm hơn 70 (!) Người đã bị vạch trần, trong thời gian 1981 - 1985. bằng cách giới thiệu vào hệ thống thông tin cô ta đã lấy trộm hơn 200 nghìn rúp bằng cách sử dụng các tài liệu giả để tính lương.
Những trường hợp tương tự cũng được ghi nhận tại các nhà máy ở Leningrad và Gorky. Ngay cả tường lửa hiệu quả nhất cũng không thể phát hiện được hoạt động đó.
Đường hầm không chỉ được sử dụng trong tàu điện ngầm
Nhưng ngay cả việc xem lưu lượng truy cập ở ranh giới giữa mạng bên ngoài và mạng nội bộ cũng không đảm bảo được bảo vệ hoàn toàn. Tường lửa lọc lưu lượng truy cập và đưa ra quyết định về việc cho phép hoặc chặn các gói mạng dựa trên thông tin về giao thức được sử dụng. Nói chung, các quy tắc cung cấp thử nghiệm thích hợp để xác định xem một giao thức cụ thể có được phép hay không.
Ví dụ: nếu cổng 25 và 80 được cho phép trên ITU thì lưu lượng thư (SMTP) và Web (HTTP) sẽ được phép đi vào mạng nội bộ. Nguyên tắc xử lý này được những kẻ tấn công lành nghề sử dụng. Tất cả các hoạt động trái phép được thực hiện trong khuôn khổ giao thức được phép, từ đó tạo ra một đường hầm mà qua đó kẻ tấn công thực hiện cuộc tấn công. Ví dụ đơn giản nhất minh họa việc sử dụng đường hầm là Internet - sâu và virus macro được đưa vào mạng công ty dưới dạng tệp đính kèm vào thư email.
Nếu tường lửa cho phép lưu lượng SMTP đi qua (và tôi chưa bao giờ thấy tường lửa nào không làm điều này), thì “lây nhiễm vi-rút” có thể xâm nhập vào mạng nội bộ.
Hãy để tôi cho bạn một ví dụ phức tạp hơn. Ví dụ: một máy chủ Web chạy phần mềm Microsoft (Máy chủ thông tin Internet) được bảo vệ bởi tường lửa trên đó chỉ cho phép cổng 80. Thoạt nhìn, sự bảo vệ hoàn toàn được cung cấp. Nhưng chỉ thoạt nhìn thôi. Nếu bạn đang sử dụng IIS phiên bản 3.0, hãy liên hệ:
http://www.domain.ru/default.asp. (có dấu chấm ở cuối)
cho phép kẻ tấn công có quyền truy cập vào nội dung của tệp ASP có thể lưu trữ dữ liệu bí mật (ví dụ: mật khẩu truy cập cơ sở dữ liệu).
Trong hệ thống phát hiện tấn công RealSecure, cuộc tấn công này được gọi là "HTTP IIS 3.0 Asp Dot". Và ngay cả khi bạn đã cài đặt phiên bản IIS 5.0 mới nhất, thì ngay cả trong trường hợp này, bạn cũng có thể không cảm thấy thoải mái. an toàn tuyệt đối. Địa chỉ liên hệ:
http://SOMEHOST/scripts/georgi.bat/..%C1%9C..%C1%9C..%C1%9Cwinnt/system32/cmd.exe?/c%20dir%20C:\
làm cho lệnh "dir C:\" được thực thi. Theo cách tương tự, bạn có thể đọc bất kỳ tệp nào, kể cả những tệp chứa thông tin bí mật:
http://SOMEHOST/scripts/georgi.asp/..%C1%9C..%C1%9C..%C1%9Ctest.txt
Ví dụ cuối cùng là cuộc tấn công Loki, cho phép các lệnh khác nhau (chẳng hạn như yêu cầu chuyển tệp mật khẩu /etc/passwd) được chuyển vào Yêu cầu tiếng vang ICMP và phản hồi chúng thành Phản hồi tiếng vang ICMP.
Mã hóa, không mã hóa, tất cả đều giống nhau...
Rất thường xuyên, từ lời nói của nhiều nhà phát triển công cụ VPN trong nước, bạn có thể nghe nói rằng công cụ họ phát triển để xây dựng mạng riêng ảo có thể giải quyết nhiều vấn đề bảo mật. Họ nhấn mạnh rằng vì mạng được bảo vệ chỉ liên lạc với các đối thủ của nó (văn phòng từ xa, đối tác, khách hàng, v.v.) thông qua kết nối VPN nên sẽ không có “sự lây nhiễm” nào xâm nhập được.
Điều này đúng một phần nhưng chỉ với điều kiện đối thủ cũng không liên lạc với bất kỳ ai thông qua các kênh không an toàn. Và điều này thật khó tưởng tượng. Và vì hầu hết các tổ chức sử dụng mã hóa để bảo vệ các kết nối mạng bên ngoài, mối quan tâm của kẻ tấn công sẽ hướng đến những nơi trên mạng mà thông tin mà anh ta quan tâm có thể không an toàn, nghĩa là tới các nút hoặc mạng có mối quan hệ đáng tin cậy. thành lập. Và ngay cả khi các kết nối VPN được tạo giữa mạng được bảo vệ bởi tường lửa có chức năng VPN và mạng đáng tin cậy, kẻ tấn công vẫn có thể thực hiện các cuộc tấn công của mình với hiệu quả tương tự.
Hơn nữa, hiệu quả của các cuộc tấn công của anh ta sẽ còn cao hơn nữa, vì thường các yêu cầu bảo mật đối với các nút và mạng đáng tin cậy thấp hơn nhiều so với tất cả các nút khác. Kẻ tấn công sẽ có thể xâm nhập vào một mạng đáng tin cậy và chỉ sau đó thực hiện các hành động trái phép chống lại mục tiêu tấn công của hắn từ đó.
Vào tháng 3 năm 1995, người quản trị an ninh tại Trung tâm Vũ trụ Johnson nhận được thông báo rằng hai máy tính của trung tâm đã bị những kẻ xâm nhập tấn công. Tuy nhiên, theo kết quả điều tra, hóa ra những máy tính này đã bị xâm nhập vào tháng 12 năm 1994 và các chương trình đã được cài đặt trên chúng để chặn ID và mật khẩu người dùng. Nhật ký từ các chương trình này chứa khoảng 1.300 ID người dùng và mật khẩu từ hơn 130 hệ thống được kết nối với máy chủ bị xâm nhập.
Và một lần nữa về sự thay thế
Giả mạo địa chỉ là một cách để che giấu địa chỉ thực của kẻ tấn công. Tuy nhiên, nó cũng có thể được sử dụng để vượt qua các cơ chế bảo vệ tường lửa. Một phương pháp đơn giản như thay thế địa chỉ nguồn của các gói mạng bằng địa chỉ từ mạng được bảo vệ không còn có thể đánh lừa các tường lửa hiện đại nữa. Tất cả đều sử dụng các phương pháp bảo vệ khác nhau chống lại sự thay thế đó. Tuy nhiên, nguyên tắc thay thế địa chỉ vẫn có liên quan. Ví dụ: kẻ tấn công có thể thay thế địa chỉ thực của mình bằng địa chỉ của một nút đã thiết lập mối quan hệ đáng tin cậy với hệ thống bị tấn công và thực hiện một cuộc tấn công từ chối dịch vụ vào nó.
Tường lửa - là mục tiêu tấn công
Tường lửa thường là mục tiêu tấn công. Sau khi tấn công tường lửa và vô hiệu hóa nó, những kẻ tấn công có thể bình tĩnh mà không sợ bị phát hiện thực hiện các kế hoạch tội phạm của mình liên quan đến tài nguyên của mạng được bảo vệ.
Ví dụ, kể từ đầu năm 2001, nhiều lỗ hổng đã được phát hiện trong quá trình triển khai các tường lửa nổi tiếng khác nhau. Ví dụ: việc xử lý không chính xác các gói TCP có cờ ECE trong tường lửa ipfw hoặc ip6fw đã cho phép kẻ tấn công từ xa bỏ qua các quy tắc đã tạo. Một lỗ hổng khác đã được phát hiện trong BorderWare Tường lửa Server 6.1.2. Việc khai thác lỗ hổng này, liên quan đến việc phát sóng Yêu cầu tiếng vang ICMP, đã dẫn đến sự gián đoạn về tính khả dụng của tường lửa BorderWare.
Các tường lửa khác cũng không bị loại bỏ - Tường lửa Cisco Secure Pix, Hộp cứu hỏa WatchGuard, v.v.
Đợi đã, ai đang đến? Xuất trình hộ chiếu của bạn!
Phần lớn tường lửa được xây dựng trên mô hình cổ điển Kiểm soát truy cập được phát triển vào những năm 70 và 80 của thế kỷ trước trong các cơ quan quân sự. Theo các mô hình này, một chủ thể (người dùng, chương trình, quy trình hoặc gói mạng) được phép hoặc từ chối quyền truy cập vào một số đối tượng (ví dụ: tệp hoặc nút mạng) khi trình bày một số phần tử duy nhất vốn chỉ dành cho chủ thể này. Trong 80% trường hợp, phần tử này là mật khẩu. Trong các trường hợp khác, yếu tố duy nhất đó là máy tính bảng Bộ nhớ cảm ứng, Thẻ thông minh hoặc Thẻ lân cận, đặc điểm sinh trắc học của người dùng, v.v. gói mạng phần tử như vậy là các địa chỉ hoặc cờ được tìm thấy trong tiêu đề gói, cũng như một số tham số khác.
Có thể thấy rằng liên kết yếu nhất trong sơ đồ này là phần tử duy nhất. Nếu kẻ xâm nhập bằng cách nào đó đã nhận được chính phần tử này và đưa nó vào tường lửa, thì anh ta sẽ coi nó là “của riêng mình” và cho phép anh ta hành động theo quyền của thực thể có phần tử bí mật đã được sử dụng trái phép. Với tốc độ phát triển công nghệ như hiện nay, việc tiếp cận được một yếu tố bí mật như vậy không phải là điều khó khăn.
Nó có thể bị "nghe thấy" khi được truyền qua mạng bằng cách sử dụng các bộ phân tích giao thức, bao gồm cả những bộ phân tích được tích hợp trong hệ điều hành (ví dụ: Network Monitor trong Windows NT 4.0). Nó có thể được tìm thấy bằng cách sử dụng các chương trình đặc biệt có sẵn trên Internet, chẳng hạn như sử dụng L0phtCrack cho Windows hoặc Crack cho Unix.
Cái đó. Ngay cả tường lửa mạnh mẽ và đáng tin cậy nhất cũng sẽ không bảo vệ khỏi kẻ xâm nhập vào mạng công ty nếu kẻ sau có thể đoán hoặc đánh cắp mật khẩu của người dùng được ủy quyền. Hơn nữa, tường lửa thậm chí sẽ không phát hiện ra các hành vi vi phạm, vì đối với nó, kẻ xâm nhập lấy trộm mật khẩu là người dùng được ủy quyền.
Ví dụ: vào ngày 22 tháng 3 năm 1995, một kẻ tấn công không rõ danh tính, sử dụng mật khẩu và phần mềm bị đánh cắp từ chi nhánh Pinsk của BelAKB Magnatbank, đã xâm nhập vào mạng máy tính Trung tâm thanh toán liên ngân hàng Belarus và chuyển 1 tỷ 700 triệu rúp vào tài khoản thanh toán của Aresa LTD LLC tại chi nhánh BelAKB Promstroibank của Liên Xô.
Quản trị viên - Chúa và Vua
Mọi tổ chức đều có người dùng có quyền hầu như không giới hạn trên mạng. Cái này quản trị mạng. Họ không bị ai kiểm soát và có thể làm hầu hết mọi việc trực tuyến. Theo quy định, họ sử dụng các quyền vô hạn của mình để thực hiện trách nhiệm chức năng. Nhưng hãy tưởng tượng trong giây lát rằng quản trị viên đang bị xúc phạm bởi điều gì đó. Có thể là lương thấp, đánh giá thấp năng lực của anh ta, trả thù, v.v.
Có những trường hợp những quản trị viên bị xúc phạm như vậy đã “làm hỏng máu” của nhiều công ty và dẫn đến thiệt hại rất nghiêm trọng. Vào mùa thu năm 1985, Giám đốc An ninh Máy tính của USPA & IRA Donald Burlison đã cố gắng yêu cầu ban lãnh đạo công ty giảm số thuế thu nhập mà ông thường xuyên phải nộp và ông không hài lòng với điều đó.
Tuy nhiên, anh ta đã bị sa thải. Ba ngày sau khi bị sa thải, anh ta đến làm việc và sau khi truy cập được vào mạng của công ty, anh ta đã xóa 168.000 hồ sơ khỏi cơ sở dữ liệu bảo hiểm và bảo hộ thương mại. Sau đó, anh ta tung ra một số chương trình sâu vào mạng, được cho là sẽ tiếp tục xóa các mục tương tự trong tương lai. Và Nga đã không đứng sang một bên.
Năm 1991, với sự trợ giúp của công nghệ máy tính, số tiền 125,5 nghìn đô la từ Vnesheconombank đã bị đánh cắp và chuẩn bị cho vụ trộm hơn 500 nghìn đô la nữa. Cơ chế trộm cắp rất đơn giản. Một cư dân ở Moscow, cùng với người đứng đầu bộ phận tự động hóa hoạt động phi giao dịch của Vnesheconombank, đã mở tài khoản bằng sáu hộ chiếu giả và gửi 50 USD vào đó. Sau đó, bằng cách thay đổi phần mềm ngân hàng, 125 nghìn đô la đã được chuyển vào các tài khoản mở, số tiền này được nhận bằng hộ chiếu giả.
Hai ví dụ này chứng minh rằng ngay cả tường lửa hiệu quả nhất cũng không thể bảo vệ mạng công ty nếu nó bị quản trị viên tấn công.
Phần kết luận
Tường lửa không cung cấp đủ bảo mật mạng công ty. Mặc dù trong mọi trường hợp không nên bỏ rơi chúng. Chúng sẽ giúp cung cấp mức độ cần thiết nhưng rõ ràng là không đủ để bảo vệ các nguồn lực của công ty. Như đã nhiều lần lưu ý, các công cụ truyền thống, bao gồm tường lửa, được xây dựng trên cơ sở các mô hình được phát triển vào thời điểm các mạng chưa phổ biến và các phương pháp tấn công các mạng này chưa phát triển như hiện nay.
Để chống lại các cuộc tấn công này một cách thỏa đáng, cần phải sử dụng các công nghệ mới. Ví dụ, công nghệ phát hiện xâm nhập bắt đầu tích cực phát triển ở nước ngoài và đến Nga cách đây 4 năm. Công nghệ này đại diện tiêu biểu là dòng sản phẩm RealSecure của công ty bảo mật mạng Systems, cho phép bạn bổ sung hiệu quả các tường lửa hiện có, cung cấp nhiều hơn cấp độ cao bảo vệ.
4.13.2. Bỏ qua tường lửa
Tường lửa không thể cung cấp bảo mật tuyệt đối vì thuật toán hoạt động của nó không hoàn hảo. Trong thế giới của chúng ta không có gì hoàn hảo, đáng tin cậy một trăm phần trăm, nếu không cuộc sống sẽ nhàm chán và không thú vị.
Tường lửa bảo vệ máy tính hoặc máy chủ của bạn như thế nào? Mọi thứ đều dựa trên những quy tắc nhất định, theo đó màn hình sẽ kiểm tra mọi thứ đi qua giao diện mạng giao thông và đưa ra quyết định về khả năng vượt qua nó. Nhưng không có bộ lọc nào ngoài sự cấm đoán tuyệt đối có thể đảm bảo an toàn và không có quy tắc nào là không thể lách được.
Rất dễ thực hiện một cuộc tấn công DoS trên hầu hết các tường lửa. Khi chúng tôi xem xét công nghệ cho cuộc tấn công này ( xem phần 1.1.6), thì họ nói rằng nó có thể được tổ chức dễ dàng trong hai trường hợp:
1. Sức mạnh kênh của bạn lớn hơn của kẻ thù.
2. Có một nhiệm vụ trên máy chủ yêu cầu nhiều tài nguyên máy tính và có cơ hội để hoàn thành nó.
Tường lửa là một hệ thống phần mềm phức tạp đòi hỏi tiềm năng kỹ thuậtđể phân tích tất cả lưu lượng truy cập đi qua, hầu hết trong số đó được dành cho các gói có bộ cờ đồng bộ, tức là. tới một yêu cầu kết nối. Các tham số của mỗi gói như vậy phải được so sánh với tất cả các quy tắc đã được thiết lập.
Đồng thời, không cần tài nguyên lớn và kênh mạnh để gửi các gói đồng bộ. Một hacker có thể dễ dàng làm tràn cổng máy chủ được phép bằng các gói mặt trời trong đó địa chỉ của người gửi được thay thế ngẫu nhiên. Bộ xử lý của máy bị tấn công có thể không đáp ứng được luồng yêu cầu lớn cần được kiểm tra dựa trên các bộ lọc và một hàng đợi sẽ hình thành khiến không cho phép xử lý các kết nối từ những người dùng đáng tin cậy.
Điều tồi tệ nhất là nếu tường lửa được cấu hình để gửi thông báo lỗi. Trong trường hợp này, tải bộ xử lý tăng lên do việc tạo và gửi các gói đến các địa chỉ không tồn tại hoặc không thuộc về tin tặc.
Nếu máy khách gửi quá nhiều dữ liệu không thể chứa trong một gói thì thông tin sẽ được chia thành nhiều khối. Quá trình này được gọi là phân mảnh gói. Hầu hết các tường lửa chỉ phân tích các khối đầu tiên trong phiên và tất cả các khối còn lại được coi là chính xác. Logic của việc kiểm soát như vậy rất rõ ràng: nếu gói đầu tiên đúng thì tại sao phải kiểm tra tất cả chúng và lãng phí tài nguyên máy chủ quý giá vào đó? Nếu không, những cái khác sẽ không có tác dụng vì kết nối không được thiết lập và tính toàn vẹn của thông tin bị xâm phạm.
Để đảm bảo tường lửa cho phép dữ liệu của hacker đi qua, các gói có thể được phân mảnh theo một cách đặc biệt. Bạn chỉ có thể tự bảo vệ mình khỏi cuộc tấn công như vậy nếu Tường lửa thực hiện lắp ráp tự động các gói bị phân mảnh và xem chúng ở dạng tập hợp. Hầu hết các tường lửa không có tính năng này.
Tường lửa rất thường xuyên trở thành mục tiêu của một cuộc tấn công và thực tế không phải là nỗ lực đó sẽ không thành công. Nếu kẻ tấn công chiếm được Tường lửa, mạng sẽ mở ở chế độ xem toàn bộ. Trong trường hợp này, chỉ tường lửa cá nhân trên mỗi máy tính mới có thể cứu bạn khỏi thất bại hoàn toàn. Trong thực tế, chính sách bảo mật trên máy tính cá nhân không quá nghiêm ngặt nhưng có thể khá đủ để ngăn chặn hacker xâm nhập sâu hơn vào mạng.
Một cuộc tấn công vào tường lửa không phụ thuộc vào việc triển khai nó. Lỗi xảy ra cả trong hệ điều hành Linux và trong các thiết bị định tuyến có khả năng lọc.
Nhiệm vụ chính mà tường lửa giải quyết là cấm truy cập vào các tài nguyên đóng. Nhưng có những tài nguyên mở. Ví dụ: nếu người dùng Internet cần có thể truy cập máy chủ Web thì tường lửa sẽ không thể bảo vệ khỏi việc bị hack thông qua các lỗi trong các tập lệnh trên máy chủ Web.
Bảo mật tối đa đi kèm với một số bất tiện. Vì vậy, tôi đã nói rằng tốt nhất là cấm mọi nỗ lực kết nối từ bên ngoài. Một kết nối chỉ có thể được thiết lập theo sáng kiến của một khách hàng trên mạng của bạn, chứ không phải máy tính điều khiển từ xa. Trong trường hợp này, hacker sẽ bị bỏ lại phía sau, nhưng người dùng mạng cũng có thể gặp sự cố, chẳng hạn như khi cố gắng kết nối với máy chủ FTP ở chế độ hoạt động. Chúng tôi đã biết rằng dịch vụ này chạy trên hai cổng: ftp và ftp-data (ftpd). Người dùng kết nối với máy chủ cổng ftp và khi bạn yêu cầu nhận tệp, máy chủ sẽ tự khởi tạo kết nối với máy khách và tường lửa sẽ không cho phép điều này. Đối với dịch vụ FTP, chúng tôi đã giải quyết vấn đề này bằng cách thêm khả năng hoạt động trong chế độ thụ động, nhưng trong các chương trình khác (ví dụ: trong cuộc trò chuyện), câu hỏi vẫn mở.
Một hacker có thể thiết lập kết nối tới một mạng an toàn thông qua một đường hầm trên mở cổng và có địa chỉ hợp lệ trong mạng. Không có lối thoát khỏi điều này, bởi vì ít nhất một cái gì đó phải được cho phép.
TRONG các công ty lớn có thể có nhiều máy chủ trên một mạng. Tôi chỉ từng thấy ở một công ty cấp nước và trong phim cách các quản trị viên làm việc sau nhiều màn hình và bàn phím cùng lúc để quản lý từng màn hình. Ngoài đời, những chuyên gia như vậy quá lười biếng, công việc đơn điệu mệt mỏi nên chỉ ngồi trước một máy tính và sử dụng kết nối từ xa để kết nối với máy chủ.
