Mạng gia đình của bạn dễ bị hacker tấn công. Các mối đe dọa bảo mật máy tính và thông tin cơ bản về bảo vệ chống vi-rút

Internet giống như một bãi mìn hành tinh nơi bạn có thể dễ dàng gặp phải những nguy hiểm.

1. Các chương trình độc hại và trước hết là Trojan sống trên các trang web lừa đảo. Chúng thường được ngụy trang dưới dạng phần mềm hữu ích và những chương trình “hấp dẫn” này được chính người truy cập Internet tải xuống và cài đặt trên PC của chúng.
2. Các trang web khai thác lỗ hổng trình duyệt để tải phần mềm độc hại. Hơn nữa, các trang có mã nguy hiểm cũng có thể được đặt trên các trang web hoàn toàn tốt đã bị kẻ tấn công tấn công.
3. Các trang web lừa đảo bắt chước giao diện của các trang web phổ biến (từ dịch vụ email, mạng xã hội đến hệ thống thanh toán) nhằm lấy thông tin xác thực của khách truy cập.
4. Người dùng hầu hết các phương tiện liên lạc hiện có: điện tử đều nhận được thư rác
thư, tin nhắn tức thời, mạng xã hội, v.v. Những tin nhắn như vậy có thể chỉ chứa thông tin quảng cáo và liên kết đến các trang web lừa đảo hoặc các trang web phân phối phần mềm độc hại.
5. Chặn dữ liệu được truyền ở dạng không được mã hóa. Đồng thời, thông tin mật có thể rơi vào tay bọn tội phạm

Trên thực tế, tất cả những rắc rối liên quan đến việc truy cập Internet đều có thể tránh được bằng cách tuân theo các quy tắc an toàn cơ bản.

Bảo vệ quyền truy cập vật lý vào máy tính

Hệ thống của bạn có thể được bảo vệ và khóa bằng các công cụ mới nhất, nhưng nếu kẻ tấn công giành được quyền truy cập vật lý vào nó, mọi nỗ lực của bạn sẽ bị vô hiệu. Đảm bảo máy tính không bao giờ bị bỏ mặc.

Không sử dụng tài khoản quản trị cho công việc hàng ngày

Trong thời đại Windows NT, trước máy khách Remote Desktop Connection và lệnh runas, các quản trị viên thường đặt tài khoản cá nhân của mình vào nhóm Domain Admins. Điều này không được khuyến khích vào lúc này; Tốt hơn hết là tạo thêm các tài khoản quản trị Active Directory (ví dụ: đối với tôi, tôi có thể tạo một tài khoản rallen cá nhân và một tài khoản rallen.adm quản trị). Để chạy các chương trình yêu cầu quyền quản trị, hãy sử dụng dịch vụ Remote Desktop Connection hoặc lệnh runas. Điều này sẽ làm giảm khả năng (mặc dù không nhiều) thiệt hại do tai nạn đối với hệ thống.

Sử dụng tài khoản người dùng thông thường cũng làm giảm thiệt hại tiềm ẩn mà vi-rút hoặc sâu có thể gây ra cho hệ thống của bạn.

Cập nhật định nghĩa virus và ứng dụng chống spyware thường xuyên

Một trong những nguyên nhân khiến virus lây lan nhanh như vậy là do các định nghĩa về virus được cập nhật quá ít. Ngày nay, các loại virus, sâu mới xuất hiện với tần suất đáng báo động và để có thể chống lại mối đe dọa từ virus thì cần phải sử dụng các định nghĩa mới nhất. Điều tương tự cũng áp dụng cho phần mềm gián điệp, ngày nay gần như đã trở thành một vấn đề lớn hơn cả virus.

Đảm bảo tất cả các bản vá quan trọng đã được cài đặt trên máy tính của bạn

Ngay cả khi các định nghĩa về vi-rút không được cập nhật thường xuyên như mong muốn thì hầu hết vi-rút và sâu đều có thể bị chặn khi đăng nhập nếu bạn cài đặt các bản cập nhật bảo mật quan trọng ngay khi chúng có sẵn. Tất nhiên, khi Windows NT được sử dụng rộng rãi và Windows 2000 mới ra mắt, điều này không thực sự cần thiết, nhưng ngày nay, một hệ thống không cài đặt các bản cập nhật bảo mật mới trong vài ngày (và đôi khi vài phút) sau khi phát hành hoàn toàn mở cho các bản cập nhật bảo mật mới. virus và sâu Chúng tôi khuyên bạn nên thêm trang web sau vào danh sách yêu thích của mình và truy cập trang web đó định kỳ để luôn cập nhật các công nghệ bảo mật mới nhất của Microsoft:
http://windowsupdate.microsoft.com.

Cho phép kiểm tra các hành động quan trọng
Windows cung cấp khả năng ghi nhật ký các hành động và hoạt động nhất định của hệ thống; Nhờ đó, bạn có thể theo dõi nhật ký sự kiện các hành động cần thiết, chẳng hạn như sửa đổi một số tệp nhất định, nếu có mối đe dọa bảo mật phát sinh.

Kiểm tra nhật ký sự kiện thường xuyên

Nhật ký sự kiện chứa rất nhiều thông tin quan trọng liên quan đến bảo mật hệ thống nhưng chúng thường bị lãng quên. Trong số những thứ khác, lý do cho điều này là do có một lượng lớn "rác" trong nhật ký, tức là các thông báo về các sự kiện không đáng kể. Xây dựng quy trình tập trung và thường xuyên xem xét nhật ký sự kiện. Việc có cơ chế quét nhật ký thường xuyên sẽ đặc biệt giúp ích cho bạn khi kiểm tra các hoạt động quan trọng đã thảo luận ở phần trước.

Xây dựng kế hoạch hành động khi bị tấn công

Hầu hết mọi người nghĩ rằng điều này sẽ không bao giờ xảy ra với họ, nhưng cuộc sống cho thấy điều này không hề xảy ra. Trên thực tế, hầu hết người dùng thậm chí không có một phần kiến thức bảo mật mà những kẻ tấn công “chuyên nghiệp” có thể tự hào. Nếu một kẻ tấn công cụ thể (hoặc tệ hơn là một nhóm kẻ tấn công) để mắt tới tổ chức của bạn, bạn sẽ cần phải sử dụng tất cả sự khéo léo, trí thông minh và kiến thức của mình để ngăn chặn sự xâm nhập vào hệ thống. Ngay cả những công ty lớn nhất thế giới cũng bị tấn công. Bài học là thế này: mọi người nên chuẩn bị cho sự thật rằng mục tiêu của cuộc tấn công tiếp theo có thể là hệ thống của họ. Phải làm gì?
Dưới đây là một số liên kết hữu ích để giúp bạn phát triển kế hoạch ứng phó.

Vì một lý do nào đó, nhu cầu suy nghĩ về an ninh mạng được coi là quyền của chỉ các công ty lớn như Badoo, Google và Google, Yandex hay Telegram, những công ty công khai công bố các cuộc thi tìm kiếm lỗ hổng và tăng cường tính bảo mật cho sản phẩm, ứng dụng web và cơ sở hạ tầng mạng về mọi mặt. Đồng thời, phần lớn các hệ thống web hiện có đều chứa nhiều loại “lỗ hổng” khác nhau (một nghiên cứu năm 2012 của Positive Technologies, 90% hệ thống có chứa các lỗ hổng có mức rủi ro trung bình).

Mối đe dọa mạng hoặc lỗ hổng mạng là gì?

WASC (Hiệp hội bảo mật ứng dụng web) đã xác định một số lớp cơ bản, mỗi lớp chứa một số nhóm, tổng cộng có 50 lỗ hổng phổ biến, việc sử dụng chúng có thể gây thiệt hại cho một công ty. Phân loại đầy đủ được đăng dưới dạng Phân loại chủ đề WASC v2.0 và bằng tiếng Nga, có bản dịch của phiên bản trước từ InfoSecurity - Phân loại các mối đe dọa bảo mật ứng dụng web, sẽ được sử dụng làm cơ sở cho việc phân loại và được mở rộng đáng kể.

Các nhóm mối đe dọa bảo mật trang web chính

Xác thực không đầy đủ khi truy cập tài nguyên

Nhóm các mối đe dọa này bao gồm các cuộc tấn công Brute Force, Lạm dụng chức năng và Vị trí tài nguyên có thể dự đoán được. Sự khác biệt chính so với ủy quyền không đầy đủ là không có xác minh đầy đủ về quyền (hoặc tính năng) của người dùng đã được ủy quyền (ví dụ: người dùng được ủy quyền thông thường có thể có được quyền quản trị chỉ bằng cách biết địa chỉ của bảng điều khiển nếu xác minh đủ quyền truy cập không được thực hiện).

Những cuộc tấn công như vậy chỉ có thể được chống lại một cách hiệu quả ở cấp độ logic ứng dụng. Một số cuộc tấn công (ví dụ: các cuộc tấn công bạo lực quá thường xuyên) có thể bị chặn ở cấp cơ sở hạ tầng mạng.

Ủy quyền không đầy đủ

Điều này có thể bao gồm các cuộc tấn công nhằm mục đích dễ dàng ép buộc các chi tiết truy cập hoặc khai thác bất kỳ lỗi nào khi kiểm tra quyền truy cập vào hệ thống. Ngoài các kỹ thuật Brute Force, điều này còn bao gồm Thông tin xác thực và Dự đoán phiên cũng như Cố định phiên.

Việc bảo vệ khỏi các cuộc tấn công từ nhóm này yêu cầu một bộ yêu cầu đối với hệ thống ủy quyền người dùng đáng tin cậy.

Điều này bao gồm tất cả các kỹ thuật để thay đổi nội dung của trang web mà không có bất kỳ tương tác nào với máy chủ phục vụ các yêu cầu - tức là. mối đe dọa được thực hiện thông qua trình duyệt của người dùng (nhưng thông thường bản thân trình duyệt không phải là “liên kết yếu”: vấn đề nằm ở việc lọc nội dung ở phía máy chủ) hoặc máy chủ bộ đệm trung gian. Các loại tấn công: Giả mạo nội dung, Tập lệnh chéo trang, Lạm dụng chuyển hướng URL, Giả mạo yêu cầu trên nhiều trang web, Tách phản hồi HTTP, Lừa đảo phản hồi HTTP, cũng như Định tuyến đường vòng, Tách yêu cầu HTTP và buôn lậu yêu cầu HTTP.

Một phần đáng kể của các mối đe dọa này có thể bị chặn ở cấp độ thiết lập môi trường máy chủ, nhưng các ứng dụng web cũng phải lọc cẩn thận cả dữ liệu đến và phản hồi của người dùng.

Mã thực thi

Các cuộc tấn công thực thi mã là những ví dụ điển hình về việc hack trang web thông qua các lỗ hổng. Kẻ tấn công có thể thực thi mã của mình và giành quyền truy cập vào máy chủ lưu trữ nơi đặt trang web bằng cách gửi yêu cầu được chuẩn bị đặc biệt đến máy chủ. Các cuộc tấn công: Tràn bộ đệm, Chuỗi định dạng, Tràn số nguyên, Chèn LDAP, Chèn lệnh thư, Tiêm byte Null, Thực thi lệnh hệ điều hành (Lệnh hệ điều hành), Thực thi tệp bên ngoài (RFI, Bao gồm tệp từ xa), Tiêm SSI, Tiêm SQL, Tiêm XPath, Chèn XML, Chèn XQuery và Triển khai XXE (Các thực thể bên ngoài XML).

Không phải tất cả các kiểu tấn công này đều có thể ảnh hưởng đến trang web của bạn nhưng chúng chỉ bị chặn chính xác ở cấp độ WAF (Tường lửa ứng dụng web) hoặc lọc dữ liệu trong chính ứng dụng web.

Tiết lộ thông tin

Các cuộc tấn công từ nhóm này không phải là mối đe dọa thuần túy đối với chính trang web (vì trang web không gặp phải chúng theo bất kỳ cách nào), nhưng có thể gây hại cho doanh nghiệp hoặc được sử dụng để thực hiện các loại tấn công khác. Các loại: Lấy dấu vân tay và Truyền tải đường dẫn

Cấu hình thích hợp của môi trường máy chủ sẽ cho phép bạn bảo vệ mình hoàn toàn khỏi các cuộc tấn công như vậy. Tuy nhiên, bạn cũng cần chú ý đến các trang lỗi của ứng dụng web (có thể chứa nhiều thông tin kỹ thuật) và cách xử lý hệ thống tệp (có thể bị xâm phạm do lọc đầu vào không đủ). Điều này cũng xảy ra khi các liên kết đến một số lỗ hổng trang web xuất hiện trong chỉ mục tìm kiếm và bản thân điều này đã là một mối đe dọa bảo mật đáng kể.

Tấn công logic

Nhóm này bao gồm tất cả các cuộc tấn công còn lại, khả năng xảy ra chủ yếu nằm ở nguồn tài nguyên máy chủ hạn chế. Đặc biệt, đây là các cuộc tấn công Từ chối dịch vụ và các cuộc tấn công có chủ đích hơn - Lạm dụng mảng SOAP, Làm nổ tung thuộc tính XML và Mở rộng thực thể XML.

Việc bảo vệ chống lại chúng chỉ ở cấp ứng dụng web hoặc chặn các yêu cầu đáng ngờ (thiết bị mạng hoặc proxy web). Nhưng khi các kiểu tấn công có mục tiêu mới xuất hiện, cần phải kiểm tra các lỗ hổng ứng dụng web.

tấn công DDoS

Như cần phân loại rõ ràng, một cuộc tấn công DDoS theo nghĩa chuyên nghiệp luôn là sự cạn kiệt tài nguyên máy chủ theo cách này hay cách khác (chữ D thứ hai là Phân phối, tức là tấn công DoS phân tán). Các phương pháp khác (mặc dù được đề cập trên Wikipedia) không liên quan trực tiếp đến cuộc tấn công DDoS nhưng đại diện cho một hoặc một loại lỗ hổng trang web khác. Wikipedia cũng mô tả các phương pháp bảo vệ khá chi tiết; tôi sẽ không lặp lại chúng ở đây.

Các nhà sản xuất bộ định tuyến thường không quan tâm quá nhiều đến chất lượng mã của họ, đó là lý do tại sao các lỗ hổng phổ biến. Ngày nay, bộ định tuyến là mục tiêu ưu tiên của các cuộc tấn công mạng, cho phép mọi người đánh cắp tiền và dữ liệu qua hệ thống an ninh cục bộ. Làm cách nào tôi có thể tự mình kiểm tra chất lượng của chương trình cơ sở và tính đầy đủ của các cài đặt? Các tiện ích miễn phí, dịch vụ kiểm tra trực tuyến và bài viết này sẽ giúp ích cho việc này.

Các bộ định tuyến dành cho người tiêu dùng luôn bị chỉ trích vì độ tin cậy không cao, nhưng giá cao không đảm bảo tính bảo mật cao. Tháng 12 năm ngoái, các chuyên gia của Check Point đã phát hiện hơn 12 triệu bộ định tuyến (bao gồm cả các mẫu hàng đầu) và modem DSL có thể bị tấn công do lỗ hổng trong cơ chế lấy cài đặt tự động. Nó được sử dụng rộng rãi để thiết lập nhanh chóng thiết bị mạng ở phía máy khách (CPE - thiết bị tại cơ sở của khách hàng). Trong mười năm qua, các nhà cung cấp đã sử dụng giao thức quản lý thiết bị thuê bao CWMP (CPE WAN Management Protocol) cho mục đích này. Thông số kỹ thuật TR-069 cung cấp khả năng gửi cài đặt bằng cách sử dụng nó và kết nối các dịch vụ thông qua Máy chủ cấu hình tự động (ACS - Máy chủ cấu hình tự động). Nhân viên của Check Point đã phát hiện ra rằng nhiều bộ định tuyến gặp lỗi khi xử lý các yêu cầu CWMP và các nhà cung cấp còn làm tình hình trở nên phức tạp hơn: hầu hết trong số họ không mã hóa kết nối giữa ACS và thiết bị khách cũng như không hạn chế quyền truy cập bằng địa chỉ IP hoặc MAC. Cùng với nhau, điều này tạo điều kiện cho một cuộc tấn công trung gian dễ dàng.

Thông qua việc triển khai CWMP dễ bị tổn thương, kẻ tấn công có thể thực hiện hầu hết mọi việc: đặt và đọc các tham số cấu hình, đặt lại cài đặt về giá trị mặc định và khởi động lại thiết bị từ xa. Kiểu tấn công phổ biến nhất liên quan đến việc thay thế địa chỉ DNS trong cài đặt bộ định tuyến bằng các máy chủ do kẻ tấn công kiểm soát. Chúng lọc các yêu cầu web và chuyển hướng những yêu cầu chứa cuộc gọi đến dịch vụ ngân hàng đến các trang giả mạo. Các trang giả mạo được tạo cho tất cả các hệ thống thanh toán phổ biến: PayPal, Visa, MasterCard, QIWI và các hệ thống khác.

Điểm đặc biệt của cuộc tấn công này là trình duyệt chạy trên một hệ điều hành sạch và gửi yêu cầu đến địa chỉ được nhập chính xác của hệ thống thanh toán thực. Kiểm tra cài đặt mạng của máy tính và tìm kiếm vi-rút trên đó không phát hiện bất kỳ vấn đề nào. Hơn nữa, hiệu ứng vẫn tiếp diễn nếu bạn kết nối với hệ thống thanh toán thông qua bộ định tuyến bị tấn công từ một trình duyệt khác và thậm chí từ một thiết bị khác trên mạng gia đình.

Vì hầu hết mọi người hiếm khi kiểm tra cài đặt bộ định tuyến của họ (hoặc thậm chí giao phó quá trình này cho kỹ thuật viên của ISP), nên sự cố không bị phát hiện trong một thời gian dài. Họ thường phát hiện ra điều đó bằng cách loại trừ - sau khi tiền đã bị đánh cắp khỏi tài khoản và việc kiểm tra máy tính không mang lại kết quả gì.

Để kết nối với bộ định tuyến thông qua CWMP, kẻ tấn công sử dụng một trong những lỗ hổng phổ biến điển hình của các thiết bị mạng cấp thấp. Ví dụ: chúng chứa máy chủ web của bên thứ ba, RomPager, được viết bởi Allegro Software. Nhiều năm trước, người ta đã phát hiện ra một lỗi trong quá trình xử lý cookie, lỗi này đã được sửa chữa kịp thời nhưng vấn đề vẫn còn tồn tại. Vì máy chủ web này là một phần của chương trình cơ sở nên không thể cập nhật nó cùng một lúc trên tất cả các thiết bị. Mỗi nhà sản xuất phải phát hành bản phát hành mới cho hàng trăm mẫu đã được bán và thuyết phục chủ sở hữu tải xuống bản cập nhật càng sớm càng tốt. Như thực tế đã cho thấy, không người dùng gia đình nào làm được điều này. Do đó, số lượng thiết bị dễ bị tấn công lên tới hàng triệu, thậm chí mười năm sau khi phát hành bản sửa lỗi. Hơn nữa, bản thân các nhà sản xuất vẫn tiếp tục sử dụng phiên bản RomPager cũ dễ bị tấn công trong phần sụn của họ cho đến ngày nay.

Ngoài bộ định tuyến, lỗ hổng còn ảnh hưởng đến điện thoại VoIP, camera mạng và các thiết bị khác có thể được cấu hình từ xa thông qua CWMP. Thông thường, cổng 7547 được sử dụng cho việc này. Bạn có thể kiểm tra trạng thái của cổng này trên bộ định tuyến bằng dịch vụ Shields Up miễn phí của Steve Gibson. Để thực hiện việc này, hãy nhập URL của nó (grc.com), sau đó thêm /x/portprobe=7547.

Ảnh chụp màn hình chỉ hiển thị một kết quả tích cực. Tiêu cực không đảm bảo rằng không có lỗ hổng. Để loại trừ nó, bạn sẽ cần tiến hành kiểm tra thâm nhập đầy đủ - ví dụ: sử dụng máy quét Nexpose hoặc khung Metasploit. Bản thân các nhà phát triển thường không sẵn sàng cho biết phiên bản RomPager nào được sử dụng trong một bản phát hành chương trình cơ sở cụ thể của họ và liệu nó có ở đó hay không. Thành phần này chắc chắn không chỉ có trong phần sụn nguồn mở thay thế (chúng ta sẽ nói về chúng sau).

Đăng ký DNS an toàn

Bạn nên kiểm tra cài đặt bộ định tuyến của mình thường xuyên hơn và đăng ký ngay các địa chỉ máy chủ DNS thay thế theo cách thủ công. Dưới đây là một số trong số chúng có sẵn miễn phí.

DNS bảo mật Comodo: 8.26.56.26 và 8.20.247.20
Norton ConnectSafe: 199.85.126.10, 199.85.127.10
DNS công cộng của Google: 8.8.8.8, 2001:4860:4860:8888 - dành cho IPv6
OpenDNS: 208.67.222.222, 208.67.220.220

Tất cả chúng chỉ chặn các trang web bị nhiễm bệnh và lừa đảo mà không hạn chế quyền truy cập vào tài nguyên người lớn.

Rút phích cắm và cầu nguyện

Có những vấn đề đã biết từ lâu khác mà chủ sở hữu thiết bị mạng hoặc (ít gặp hơn) nhà sản xuất của họ không sẵn lòng khắc phục. Hai năm trước, các chuyên gia của DefenseCode đã phát hiện ra một loạt lỗ hổng trong bộ định tuyến và các thiết bị mạng đang hoạt động khác của chín công ty lớn. Tất cả chúng đều liên quan đến việc triển khai phần mềm không chính xác của các thành phần chính. Đặc biệt, ngăn xếp UPnP trong phần sụn cho chip Broadcom hoặc sử dụng các phiên bản cũ hơn của thư viện libupnp mở. Cùng với các chuyên gia Rapid7 và CERT, nhân viên của DefenseCode đã tìm thấy khoảng 7.000 mẫu thiết bị có lỗ hổng bảo mật. Hơn sáu tháng tích cực quét một phạm vi địa chỉ IPv4 ngẫu nhiên, hơn 80 triệu máy chủ đã được xác định đã phản hồi yêu cầu UPnP tiêu chuẩn tới cổng WAN. Cứ một phần năm trong số họ hỗ trợ dịch vụ SOAP (Giao thức truy cập đối tượng đơn giản) và 23 triệu mã tùy ý được thực thi mà không được phép. Trong hầu hết các trường hợp, một cuộc tấn công vào các bộ định tuyến có lỗ hổng UPnP như vậy được thực hiện thông qua yêu cầu SOAP đã sửa đổi, dẫn đến lỗi xử lý dữ liệu và phần còn lại của mã nằm ở một vùng tùy ý trên RAM của bộ định tuyến, trong đó nó được thực thi với quyền siêu người dùng. Trên các bộ định tuyến gia đình, tốt hơn hết bạn nên tắt hoàn toàn UPnP và đảm bảo rằng các yêu cầu tới cổng 1900 đều bị chặn. Dịch vụ tương tự của Steve Gibson sẽ giúp ích cho việc này. Giao thức UPnP (Universal Plug and Play) được bật theo mặc định trên hầu hết các bộ định tuyến, máy in mạng, camera IP, NAS và các thiết bị gia dụng thông minh. Nó được bật theo mặc định trên Windows, OS X và nhiều phiên bản Linux. Nếu có thể tinh chỉnh việc sử dụng nó thì cũng không tệ lắm. Nếu các tùy chọn duy nhất có sẵn là "bật" và "tắt", thì tốt hơn nên chọn tùy chọn sau. Đôi khi các nhà sản xuất cố tình đưa phần mềm vào thiết bị mạng. Rất có thể, điều này xảy ra theo lệnh của các cơ quan tình báo, nhưng trong trường hợp xảy ra vụ bê bối, các phản hồi chính thức luôn đề cập đến “sự cần thiết về mặt kỹ thuật” hoặc “một dịch vụ độc quyền để cải thiện chất lượng liên lạc”. Các cửa hậu tích hợp đã được tìm thấy trong một số bộ định tuyến Linksys và Netgear. Họ đã mở cổng 32764 để nhận lệnh từ xa. Vì con số này không tương ứng với bất kỳ dịch vụ nổi tiếng nào nên sự cố này rất dễ được phát hiện - ví dụ: sử dụng máy quét cổng bên ngoài.

THÔNG TIN

Một cách khác để thực hiện kiểm tra mạng gia đình miễn phí là tải xuống và chạy chương trình chống vi-rút Avast. Các phiên bản mới của nó chứa Trình hướng dẫn kiểm tra mạng, xác định các lỗ hổng đã biết và cài đặt mạng nguy hiểm.

Mặc định là dành cho những con cừu

Vấn đề phổ biến nhất với bảo mật bộ định tuyến vẫn là cài đặt gốc. Đây không chỉ là địa chỉ IP nội bộ, mật khẩu và thông tin đăng nhập quản trị viên phổ biến cho toàn bộ loạt thiết bị mà còn bao gồm các dịch vụ làm tăng sự tiện lợi với chi phí bảo mật. Ngoài UPnP, giao thức điều khiển từ xa Telnet và dịch vụ WPS (Wi-Fi Protected Setup) thường được bật theo mặc định. Các lỗi nghiêm trọng thường được tìm thấy trong quá trình xử lý các yêu cầu Telnet. Ví dụ: các bộ định tuyến D-Link thuộc dòng DIR-300 và DIR-600 cho phép nhận shell từ xa và thực thi bất kỳ lệnh nào thông qua daemon telnetd mà không cần bất kỳ sự cho phép nào. Trên bộ định tuyến Linksys E1500 và E2500, việc chèn mã có thể thực hiện được thông qua ping thông thường. Tham số ping_size không được kiểm tra, do đó cửa sau đã được tải lên bộ định tuyến bằng phương thức GET trong một dòng. Trong trường hợp của E1500, không cần thêm thủ thuật nào trong quá trình ủy quyền. Mật khẩu mới có thể được đặt đơn giản mà không cần nhập mật khẩu hiện tại. Một vấn đề tương tự đã được xác định với điện thoại VoIP Netgear SPH200D. Ngoài ra, khi phân tích phần sụn, hóa ra một tài khoản dịch vụ ẩn có cùng mật khẩu đã hoạt động. Sử dụng Shodan, bạn có thể tìm thấy bộ định tuyến dễ bị tấn công trong vài phút. Họ vẫn cho phép bạn thay đổi mọi cài đặt từ xa và không cần ủy quyền. Bạn có thể tận dụng lợi thế này ngay lập tức hoặc bạn có thể làm một việc tốt: tìm người dùng không may này trên Skype (theo IP hoặc tên) và gửi cho anh ta một vài đề xuất - ví dụ: thay đổi chương trình cơ sở và đọc bài viết này.

Siêu đám lỗ lớn

Rắc rối hiếm khi xảy ra một mình: kích hoạt WPS tự động dẫn đến kích hoạt UPnP. Ngoài ra, mã PIN tiêu chuẩn hoặc khóa xác thực trước được sử dụng trong WPS sẽ vô hiệu hóa tất cả bảo vệ mật mã cấp WPA2-PSK. Do lỗi phần sụn, WPS thường vẫn được bật ngay cả khi nó bị tắt qua giao diện web. Bạn có thể tìm hiểu điều này bằng cách sử dụng máy quét Wi-Fi - ví dụ: ứng dụng Phân tích Wifi miễn phí dành cho điện thoại thông minh chạy hệ điều hành Android. Nếu các dịch vụ dễ bị tấn công được chính quản trị viên sử dụng thì sẽ không thể từ chối chúng. Thật tốt nếu bộ định tuyến cho phép bạn bảo mật chúng bằng cách nào đó. Ví dụ: không chấp nhận các lệnh trên cổng WAN hoặc đặt địa chỉ IP cụ thể để sử dụng Telnet. Đôi khi đơn giản là không có cách nào để định cấu hình hoặc đơn giản là vô hiệu hóa một dịch vụ nguy hiểm trong giao diện web và không thể đóng lỗ hổng bằng các phương tiện tiêu chuẩn. Lối thoát duy nhất trong trường hợp này là tìm kiếm phần sụn mới hoặc phần sụn thay thế với bộ chức năng mở rộng.

Dịch vụ thay thế

Các phần mềm mở phổ biến nhất là DD-WRT, OpenWRT và nhánh Gargoyle của nó. Chúng chỉ có thể được cài đặt trên các bộ định tuyến từ danh sách những bộ định tuyến được hỗ trợ - nghĩa là những bộ định tuyến mà nhà sản xuất chipset đã tiết lộ đầy đủ thông số kỹ thuật. Ví dụ: Asus có một loạt bộ định tuyến riêng biệt được thiết kế ban đầu nhằm mục đích sử dụng DD-WRT (bit.ly/1xfIUSf). Nó đã có 12 mô hình từ cấp cơ bản đến cấp công ty. Bộ định tuyến MikroTik chạy RouterOS, có tính linh hoạt không thua kém gì dòng *WRT. Đây cũng là một hệ điều hành mạng hoàn chỉnh dựa trên nhân Linux, hỗ trợ hoàn toàn tất cả các dịch vụ và mọi cấu hình có thể tưởng tượng được. Phần sụn thay thế có thể được cài đặt trên nhiều bộ định tuyến hiện nay, nhưng hãy cẩn thận và kiểm tra tên đầy đủ của thiết bị. Với cùng số kiểu và hình thức, các bộ định tuyến có thể có các phiên bản khác nhau, điều này có thể ẩn các nền tảng phần cứng hoàn toàn khác nhau.

Kiểm tra an ninh

Bạn có thể kiểm tra lỗ hổng OpenSSL bằng tiện ích ScanNow miễn phí từ Rapid7 (bit.ly/18g9TSf) hoặc phiên bản trực tuyến đơn giản hóa của tiện ích này (bit.ly/1xhVhrM). Xác minh trực tuyến diễn ra trong vài giây. Trong một chương trình riêng biệt, bạn có thể đặt một dải địa chỉ IP, do đó quá trình kiểm tra sẽ mất nhiều thời gian hơn. Nhân tiện, các trường đăng ký của tiện ích ScanNow không được kiểm tra dưới bất kỳ hình thức nào.

Sau khi quét, một báo cáo sẽ được hiển thị và lời đề nghị dùng thử trình quét lỗ hổng Nexpose nâng cao hơn, nhắm vào các mạng công ty. Nó có sẵn cho Windows, Linux và VMware. Tùy thuộc vào phiên bản, thời gian dùng thử miễn phí được giới hạn từ 7 đến 14 ngày. Những hạn chế liên quan đến số lượng địa chỉ IP và vùng quét.

Thật không may, việc cài đặt chương trình cơ sở nguồn mở thay thế chỉ là một cách để tăng cường bảo mật và nó sẽ không cung cấp bảo mật hoàn toàn. Tất cả phần sụn đều được xây dựng trên nguyên tắc mô-đun và kết hợp một số thành phần chính. Khi một vấn đề được phát hiện ở chúng, nó sẽ ảnh hưởng đến hàng triệu thiết bị. Ví dụ: lỗ hổng trong thư viện nguồn mở OpenSSL cũng ảnh hưởng đến các bộ định tuyến có *WRT. Các chức năng mã hóa của nó đã được sử dụng để mã hóa các phiên truy cập từ xa thông qua SSH, tổ chức VPN, quản lý máy chủ web cục bộ và các tác vụ phổ biến khác. Các nhà sản xuất bắt đầu phát hành bản cập nhật khá nhanh nhưng vấn đề vẫn chưa được loại bỏ hoàn toàn.

Các lỗ hổng mới liên tục được tìm thấy trong các bộ định tuyến và một số trong số chúng bị khai thác ngay cả trước khi bản sửa lỗi được đưa ra. Tất cả những gì chủ sở hữu bộ định tuyến có thể làm là vô hiệu hóa các dịch vụ không cần thiết, thay đổi cài đặt mặc định, hạn chế điều khiển từ xa, kiểm tra cài đặt thường xuyên hơn và cập nhật chương trình cơ sở.

Bài viết dành cho những người đã bắt đầu nghĩ đến bảo mật mạng hoặc tiếp tục làm như vậy và đang tăng cường bảo vệ các ứng dụng web khỏi các mối đe dọa mới - sau cùng, trước tiên bạn cần hiểu những mối đe dọa nào có thể tồn tại để ngăn chặn chúng.

Vì lý do nào đó, nhu cầu suy nghĩ về an ninh mạng được coi là quyền của chỉ các công ty lớn, chẳng hạn như, và, hoặc, công bố các cuộc thi tìm kiếm lỗ hổng và cải thiện tính bảo mật của sản phẩm, ứng dụng web và cơ sở hạ tầng mạng của họ trong mọi khả năng có thể. đường. Đồng thời, phần lớn các hệ thống web hiện có đều chứa nhiều loại “lỗ hổng” khác nhau (90% hệ thống chứa các lỗ hổng có mức độ rủi ro trung bình).

Mối đe dọa mạng hoặc lỗ hổng mạng là gì?

WASC (Hiệp hội bảo mật ứng dụng web) đã xác định một số lớp cơ bản, mỗi lớp chứa một số nhóm lỗ hổng phổ biến, việc sử dụng chúng có thể gây thiệt hại cho công ty. Việc phân loại đầy đủ được trình bày dưới dạng biểu mẫu và bằng tiếng Nga, có bản dịch của phiên bản trước đó từ InfoSecurity - phiên bản này sẽ được sử dụng làm cơ sở cho việc phân loại và được mở rộng đáng kể.

Các nhóm mối đe dọa bảo mật trang web chính

Xác thực không đầy đủ khi truy cập tài nguyên

Nhóm mối đe dọa này bao gồm các cuộc tấn công dựa trên Lựa chọn (), Lạm dụng chức năng () và Vị trí tài nguyên có thể dự đoán (). Sự khác biệt chính so với ủy quyền không đầy đủ là không có xác minh đầy đủ về quyền (hoặc tính năng) của người dùng đã được ủy quyền (ví dụ: người dùng được ủy quyền thông thường có thể có được quyền quản trị chỉ bằng cách biết địa chỉ của bảng điều khiển nếu xác minh đủ quyền truy cập không được thực hiện).

Ủy quyền không đầy đủ

Điều này có thể bao gồm các cuộc tấn công nhằm mục đích dễ dàng ép buộc các chi tiết truy cập hoặc khai thác bất kỳ lỗi nào khi kiểm tra quyền truy cập vào hệ thống. Ngoài các kỹ thuật Selection(), kỹ thuật này còn bao gồm Access Guessing() và Session Fixing().

Việc bảo vệ khỏi các cuộc tấn công từ nhóm này yêu cầu một bộ yêu cầu đối với hệ thống ủy quyền người dùng đáng tin cậy.

Điều này bao gồm tất cả các kỹ thuật để thay đổi nội dung của trang web mà không có bất kỳ tương tác nào với máy chủ phục vụ các yêu cầu - tức là. mối đe dọa được thực hiện thông qua trình duyệt của người dùng (nhưng thông thường bản thân trình duyệt không phải là “liên kết yếu”: vấn đề nằm ở việc lọc nội dung ở phía máy chủ) hoặc máy chủ bộ đệm trung gian. Các loại tấn công: Giả mạo nội dung (), Yêu cầu trên nhiều trang web (XSS, ), Lạm dụng chuyển hướng (), Giả mạo yêu cầu trên nhiều trang web (), Tách phản hồi HTTP (, Lừa đảo phản hồi HTTP () và Bỏ qua định tuyến (), Tách yêu cầu HTTP () và Buôn lậu yêu cầu HTTP ().

Mã thực thi

Các cuộc tấn công thực thi mã là những ví dụ điển hình về việc hack trang web thông qua các lỗ hổng. Kẻ tấn công có thể thực thi mã của mình và giành quyền truy cập vào máy chủ lưu trữ nơi đặt trang web bằng cách gửi yêu cầu được chuẩn bị đặc biệt đến máy chủ. Tấn công: Tràn bộ đệm(), Định dạng chuỗi(), Tràn số nguyên(), LDAP Tiêm(), Tiêm thư(), Null Byte(), Thực thi lệnh hệ điều hành(), Thực thi tệp bên ngoài (RFI, ), SSI Tiêm() , Tiêm SQL (), Tiêm XPath (), Tiêm XML (), Tiêm XQuery () và Tiêm XXE ().

Tiết lộ thông tin

Tấn công logic

Nhóm này bao gồm tất cả các cuộc tấn công còn lại, khả năng xảy ra chủ yếu nằm ở nguồn tài nguyên máy chủ hạn chế. Đặc biệt, đó là các cuộc tấn công Từ chối dịch vụ () và nhiều cuộc tấn công có chủ đích hơn - Lạm dụng SOAP (), Tràn thuộc tính XML và Mở rộng thực thể XML ().

Việc bảo vệ chống lại chúng chỉ ở cấp ứng dụng web hoặc chặn các yêu cầu đáng ngờ (thiết bị mạng hoặc proxy web). Nhưng với sự xuất hiện của các kiểu tấn công có mục tiêu mới, việc kiểm tra các lỗ hổng ứng dụng web là cần thiết.

tấn công DDoS

Như cần phân loại rõ ràng, một cuộc tấn công DDoS theo nghĩa chuyên nghiệp luôn làm cạn kiệt tài nguyên máy chủ theo cách này hay cách khác. Các phương pháp khác () không liên quan trực tiếp đến cuộc tấn công DDoS, nhưng đại diện cho một hoặc một loại lỗ hổng trang web khác. Wikipedia cũng mô tả các phương pháp bảo vệ khá chi tiết; tôi sẽ không lặp lại chúng ở đây.

Avast luôn cố gắng đi đầu trong việc bảo vệ người dùng khỏi các mối đe dọa mới. Ngày càng có nhiều người xem phim, thể thao và chương trình truyền hình trên TV thông minh. Họ kiểm soát nhiệt độ trong nhà bằng máy điều nhiệt kỹ thuật số. Họ đeo đồng hồ thông minh và vòng đeo tay thể dục. Kết quả là nhu cầu bảo mật đang mở rộng ra ngoài máy tính cá nhân để bao gồm tất cả các thiết bị trên mạng gia đình.

Tuy nhiên, bộ định tuyến gia đình, là thiết bị quan trọng trong cơ sở hạ tầng mạng gia đình, thường gặp vấn đề về bảo mật và khiến tin tặc dễ dàng truy cập. Một nghiên cứu gần đây của Tripwire cho thấy 80% bộ định tuyến bán chạy nhất đều có lỗ hổng. Hơn nữa, các kết hợp phổ biến nhất để truy cập vào giao diện quản trị, đặc biệt là quản trị viên/quản trị viên hoặc quản trị viên/không có mật khẩu, được sử dụng trong 50% bộ định tuyến trên toàn thế giới. 25% người dùng khác sử dụng địa chỉ, ngày sinh, họ hoặc tên của họ làm mật khẩu bộ định tuyến. Kết quả là hơn 75% bộ định tuyến trên toàn thế giới dễ bị tấn công bằng mật khẩu đơn giản, mở ra cơ hội cho các mối đe dọa triển khai trên mạng gia đình. Bối cảnh bảo mật bộ định tuyến ngày nay gợi nhớ đến những năm 1990, khi các lỗ hổng mới được phát hiện hàng ngày.

Tính năng bảo mật mạng gia đình

Tính năng Home Network Security trong Avast Free Antivirus, Avast Pro Antivirus, Avast Internet Security và Avast Premier Antivirus cho phép bạn giải quyết những vấn đề này bằng cách quét bộ định tuyến và cài đặt mạng gia đình để tìm các sự cố tiềm ẩn. Với Bản cập nhật Avast Nitro, công cụ phát hiện của công cụ Bảo mật mạng gia đình đã được thiết kế lại hoàn toàn, bổ sung thêm hỗ trợ cho chức năng quét đa luồng và trình phát hiện xâm nhập DNS được cải tiến. Công cụ hiện hỗ trợ quét ARP và quét cổng được thực hiện ở cấp trình điều khiển kernel, cho phép quét nhanh hơn nhiều lần so với phiên bản trước.

Bảo mật mạng gia đình có thể tự động chặn các cuộc tấn công giả mạo yêu cầu chéo trang (CSRF) trên bộ định tuyến của bạn. CSRF khai thác lỗ hổng trang web và cho phép tội phạm mạng gửi lệnh trái phép đến trang web. Lệnh mô phỏng hướng dẫn từ người dùng đã biết đến trang web. Do đó, tội phạm mạng có thể mạo danh người dùng, chẳng hạn như chuyển tiền cho nạn nhân mà họ không hề hay biết. Nhờ các yêu cầu CSRF, bọn tội phạm có thể thực hiện các thay đổi từ xa đối với cài đặt bộ định tuyến để ghi đè cài đặt DNS và chuyển hướng lưu lượng truy cập đến các trang web lừa đảo

Thành phần Bảo mật Mạng Gia đình cho phép bạn quét cài đặt mạng gia đình và bộ định tuyến để tìm các sự cố bảo mật tiềm ẩn. Công cụ này phát hiện mật khẩu Wi-Fi yếu hoặc mặc định, bộ định tuyến dễ bị tấn công, kết nối Internet bị xâm phạm và IPv6 được bật nhưng không được bảo mật. Avast liệt kê tất cả các thiết bị trên mạng gia đình của bạn để người dùng có thể kiểm tra xem chỉ những thiết bị đã biết mới được kết nối. Thành phần này cung cấp các khuyến nghị đơn giản để loại bỏ các lỗ hổng được phát hiện.

Công cụ này cũng thông báo cho người dùng khi có thiết bị mới tham gia mạng, TV được kết nối mạng và các thiết bị khác. Bây giờ người dùng có thể phát hiện ngay một thiết bị không xác định.

Cách tiếp cận chủ động mới nhấn mạnh khái niệm tổng thể về việc cung cấp sự bảo vệ toàn diện tối đa cho người dùng.