dodany: 19.11.2012 | tagi: , ,

Autor:

(Nie)bezpieczne aplikacje biznesowe – część 2

0

Identyfikacja zagrożeń dla aplikacji biznesowych

Zagrożeniami dla aplikacji biznesowych są potencjalne działania człowieka (albo sił wyższych), dotyczące bezpośrednio zasobu aplikacji i mogące spowodować, w zależności od konkretnego atrybutu bezpieczeństwa, utratę: poufności, integralności lub dostępności.

Z biznesowego punktu widzenia zidentyfikowane zagrożenia należy podzielić na:

  • strategiczne (wpływające na cele organizacji)
  • operacyjne (wpływające na codzienne funkcjonowanie organizacji)
  • finansowe (związane z działaniami finansowymi i kapitałem organizacji)
  • informacyjne (wpływające na bezpieczeństwo danych)
  • zgodności (wpływające na utrzymywanie zgodności z obowiązującymi regulacjami prawnymi)

Do typowych zagrożeń dla aplikacji biznesowych należy zaliczyć:

1. Łamanie haseł.

  • atak słownikowy (dictionary attack) – zautomatyzowany atak skierowany przeciwko systemowi uwierzytelniania, który polega na sprawdzeniu kolejnych, gotowych haseł znajdujących się w bazie danych (tzw. słowniku)
  • atak siłowy (brute-force password attack) – polega na omijaniu zabezpieczeń systemu przez podejmowanie prób zalogowania się przy użyciu każdego dopuszczalnego hasła:
    • zwyczajne ataki siłowe (normal brute force attacks) – atakujący używa nazwy użytkownika i dopasowuje do niego hasła
    • odwrócone ataki siłowe (reverse brute force attacks) – atakujący używa jednego hasła i dopasowuje do nich nazwy użytkowników. W systemach z dużą ilością kont, prawdopodobieństwo posiadania tego samego hasła przez wielu użytkowników jest wysokie

Ataki tego typu są nieustannie rozwijane. Za pomocą ataku słownikowego można złamać większość haseł wykorzystywanych przez użytkowników indywidualnych. W Internecie publikowane są słowniki haseł najczęściej używanych. Nie brakuje też programów do łamania haseł. Przykładowym narzędziem do przeprowadzenia ataku łamania hasła metodą brute force jest THC-HYDRA (http://freeworld.thc.org/thc-hydra).

2. Zagrożeniem związanym z hasłami, jest możliwość ich podsłuchania (ang. sniffing) w momencie logowania się użytkownika do systemu.

 Sniffing umożliwia wychwycenie ważnych informacji, takich jak hasła, numery kart kredytowych czy dane osobowe, czyli pozwala osobom postronnym na uzyskanie danych przesyłanych przez sieć, ale nie wpływa na ich zawartość. Informacja niezmieniona i kompletna dociera do odbiorcy. Metoda ta ma charakter bierny, nie stanowi w sposób bezpośredni większego zagrożenia. Jest jednak narzędziem pozwalającym uzyskać niezbędne dane do realizacji innych przestępstw, bardziej niebezpiecznych i stanowiących bezpośrednie zagrożenie. Za pomocą tej metody możliwe jest przechwycenie wszystkich haseł i poufnych danych, które nie są przekazywane zakodowanym kanałem.

3. Próbkowanie – próba dostępu do obiektu poprzez zbadanie jego charakterystyki.

Działanie to jest o tyle niebezpieczne, iż jest praktycznie niezauważalne. Nie jest wychwytywane przez standardowe systemy zabezpieczeń, jak i przez administratora systemu. Dokonującemu przygotowania do ataku wystarczy częstokroć jednorazowe zbadanie systemu, by następnie przeprowadzić skuteczny atak na system.

4. Skanowanie – próba dostępu do wielu obiektów naraz poprzez ustalenie obiektu z oczekiwaną charakterystyką.

Przykładem zastosowania tej techniki jest masowe skanowanie klas adresowych danego dostawcy w poszukiwaniu celu ataku,
z nastawieniem z reguły na konkretny system operacyjny. Ostatnio popularne jest skanowanie z wykorzystaniem narzędzi umożliwiających jednoczesne dokonanie ataku.

5. Przepełnienie – próba dostępu poprzez nagle przepełnienie możliwości jego przetwarzania.

Ataki tego typu są dość popularne. Najbardziej znane dwie kategorie to tzw. ataki DoS (Denial of Service – odmowa usługi) i DDoS (Distributed Denial of Service – atak rozproszony odmowy usługi polegający na wykorzystaniu wielu skompromitowanych systemów do wykonania zapytania, uniemożliwiającego późniejsze poprawne funkcjonowanie systemu).

6. Ominięcie – ominięcie procesu zabezpieczającego poprzez zastosowanie alternatywnej drogi osiągnięcia.

Ta technika z reguły ogranicza się do zastosowania oprogramowania, którego celem jest wykorzystanie dziury w oprogramowaniu atakowanego systemu, co w efekcie prowadzi do uzyskania nieautoryzowanego dostępu. Tzw. „exploity” czyli programy wykorzystujące dziury w systemie są o tyle niebezpieczne, że są dość łatwo dostępne, proste w użyciu, nawet przez niedoświadczonych sprawców. Do tego są niezwykle niebezpieczne, gdyż w większości przypadków ich skuteczne użycie prowadzi do uzyskania nieautoryzowanego dostępu na poziomie administratora systemu.

7. Podszywanie – przedstawianie się lub modyfikowanie pakietów w trakcie połączenia w celu wykazania, że posiada się prawo dostępu do zasobów.

W skutek zastosowania zaawansowanych technik szyfrowania i przenoszenia części ruchu „wrażliwych” danych do VPN (szyfrowane wirtualne sieci prywatne) technika podszywania się ma ograniczone zastosowanie. Jednak cały czas może okazać się groźna i skuteczna w stosunku do niektórych systemów. Ponadto inna forma podszywania się stosowana w tzw. ataku lokalnym, w połączeniu z inżynierią społeczną jest niesłychanie groźna, zwłaszcza dla nieprzeszkolonych administratorów.

8. Czytanie – dostęp i zapoznanie się z informacją do której nie jest się uprawnionym.

Jest to o tyle ważny element ataku, iż w myśl polskiego prawa, zapoznanie się z informacją przez osobę nieuprawnioną jest karane. Ta czynność ma szczególne znaczenie przy udowadnianiu sprawcy popełnionego czynu.

9. Kopiowanie – możliwość kopiowania informacji przez osobę nieuprawnioną. Samo kopiowanie informacji nie podlega odpowiedzialności karnej.

Kopiowanie danych ma z punktu widzenia zagrożenia znaczenie o tyle, iż osoba kopiująca dane, może nimi potem swobodnie obracać. Samo jednak kopiowanie nie musi prowadzić do dalszych czynności.

10. Kradzież – przejecie zasobów przez osobę nieuprawnioną, bez pozostawienia kopii w uprawnionej lokalizacji.

Atak ten ma pokrewne znaczenie do kopiowania, tyle że rozszerza się o uniemożliwienie osobie uprawnionej dostępu do danych poprzez ich skasowanie lub trwałe przeniesienie do innej niedostępnej lokalizacji.

11. Modyfikacja – zmiana zawartości lub charakterystyki obiektu.

Atak ten może służyć wielorakim celom. Może np. wprowadzić w błąd osoby uprawnione do korzystania z informacji czy doprowadzić do kompromitacji zaatakowanego celu przed osobami z niego korzystającego. System, który uległ modyfikacji może posłużyć jako element kolejnego ataku. Sprawca może wykorzystać go jako narzędzie uzyskania kolejnych haseł dostępu lub narzędzie do przeprowadzenie rozproszonego ataku typu DoS. Może również zmodyfikować w taki sposób, by mógł niepostrzeżenie powrócić do skompromitowanego systemu bez wiedzy osób nim zarządzających.

12. Usunięcie – zniszczenie obiektu ataku.

Najbardziej przykra forma ataku, dokonywana z reguły przez niedoświadczonych lub działających w destrukcyjnych pobudkach sprawców.

Zrozumiałe jest, że wymienione formy i elementy ataku opisane są w sposób bardzo ogólny, ponieważ „modus operandi” sprawców jest bardzo zróżnicowane i ulega ciągłym modyfikacjom wraz z rozwojem technologicznym.

Symulacyjna koncepcja ataku z podziałem na fazy, na podstawie powyższej klasyfikacji:

Fazy ataku

Woźniak T., „Opracowanie dla Studenckiego Koła Prawa Komputerowego – Zagrożenia dla biznesu wynikające z rozwoju nowych technologii”

 Na co należy zwrócić, identyfikując zagrożenia?

Identyfikując zagrożenia należy przede wszystkim postawić sobie pytania:

  • Co się stanie z informacją przetwarzaną w aplikacji w przypadku wystąpienia zagrożenia?
  • Komu może zależeć na informacji przetwarzanej w aplikacji?
  • Jaka jest przyczyna zagrożeń?
  • Jakie informacje przetwarzane w aplikacji mogą być w zainteresowaniu stron trzecich?

W następnym artykule pt. Jak chronić aplikacje biznesowe? przedstawimy sposoby na redukcję ryzyka zagrożeń aplikacji biznesowych.

 

avatar
Szef Działu Bezpieczeństwa, Ochrony Informacji i Audytu w Unizeto Technologies S.A.
Quality Manager, IT Security Manager, Audytor bezpieczeństwa informacji/ danych osobowych, ABI, Pełnomocnik Systemów Zarządzania, Menedżer zarządzający pracą grupy podległych mu osób.

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *