в чем опасность сниффера
В чем опасность сниффера
Снизить угрозу сниффинга пакетов можно с помощью таких средств как:
Аутентификация
Сильные средства аутентификации являются первым способом защиты от сниффинга пакетов. Под «сильным» понимается такой метод аутентификации, который трудно обойти. Примером такой аутентификации являются однократные пароли (OTP – One-Time Passwords). ОТР – это технология двухфакторной аутентификации, при которой происходит сочетание того, что у вас есть, с тем, что вы знаете. Типичным примером двухфакторной аутентификации является работа обычного банкомата, который опознает вас, во-первых, по вашей пластиковой карточке и, во-вторых, по вводимому вами ПИН-коду. Для аутентификации в системе ОТР также требуется ПИН-код и ваша личная карточка. Под «карточкой» (token) понимается аппаратное или программное средство, генерирующее (по случайному принципу) уникальный одномоментный однократный пароль. Если хакер узнает этот пароль с помощью сниффера, эта информация будет бесполезной, потому что в этот момент пароль уже будет использован и выведен из употребления. Заметим, что этот способ борьбы со сниффингом эффективен только для борьбы с перехватом паролей. Снифферы, перехватывающие другую информацию (например, сообщения электронной почты), не теряют своей эффективности.
Криптография
Самый эффективный способ борьбы со сниффингом пакетов не предотвращает перехвата и не распознает работу снифферов, но делает эту работу бесполезной. Если канал связи является криптографически защищенным, это значит, что хакер перехватывает не сообщение, а зашифрованный текст (то есть непонятную последовательность битов). Криптография Cisco на сетевом уровне базируется на протоколе IPSec. IPSec представляет собой стандартный метод защищенной связи между устройствами с помощью протокола IP. К прочим криптографическим протоколам сетевого управления относятся протоколы SSH (Secure Shell) и SSL (Secure Socket Layer).
Антиснифферы
Способ борьбы со сниффингом заключается в установке аппаратных или программных средств, распознающих снифферы, работающие в вашей сети. Эти средства не могут полностью ликвидировать угрозу, но, как и многие другие средства сетевой безопасности, они включаются в общую систему защиты. Так называемые «антиснифферы» измеряют время реагирования хостов и определяют, не приходится ли хостам обрабатывать «лишний» трафик.
Коммутируемая инфраструктура
Еще одним способом борьбы со сниффингом пакетов в вашей сетевой среде является создание коммутируемой инфраструктуры. Если, к примеру, во всей организации используется коммутируемый Ethernet, хакеры могут получить доступ только к трафику, поступающему на тот порт, к которому они подключены. Коммутируемые инфраструктуры не ликвидирует угрозу сниффинга, но заметно снижает ее остроту.
Эксперты предупредили об опасности недооценки снифферов
Снифферы представляют собой программный аналог скиммеров для похищения данных банковских карт.
Компания Group-IB выпустила первый в России отчет по исследованию JavaScript-снифферов – вредоносного ПО для кражи данных банковских карт посетителей сайтов электронной коммерции.
Ранее черный рынок снифферов в России не изучался, а первыми, кто начал исследовать данную тему на мировой арене, стали специалисты компаний RiskIQ и Flashpoint. Они выделили 12 киберпреступных группировок, использующих вышеупомянутое вредоносное ПО, и объединили их под общим названием MageCart. Эксперты Group-IB изучили обнаруженные снифферы и с помощью собственных аналитических систем исследовали инфраструктуру и получили доступ к исходным кодам, панелям администраторов и инструментам злоумышленников.
В ходе исследования специалисты проанализировали 2440 взломанных интернет-магазинов, посетители которых подверглись риску компрометации (порядка 1,5 млн человек в день). В общей сложности им удалось выявить 38 разных семейств снифферов, отличающихся уникальными признаками.
Более половины изученных сайтов были заражены снифферами семейства MagentoName, операторы которого используют уязвимости в устаревших версиях систем управления контентом Magento. Более 13% заражений приходится на долю снифферов семейства WebRank, использующего схему атаки на сторонние сервисы для внедрения вредоносного кода на атакуемые сайты. Также более 11% приходится на заражения снифферами семейства CoffeMokko, использующего обфусцированные скрипты для кражи данных из платежных форм определенных платежных систем. Названия полей вшиты в код самого вредоноса.
«При заражении сайта в цепочку пострадавших вовлечены все – конечные пользователи, платежные системы, банки и крупные компании, торгующие своими товарами и услугами через интернет. Тот факт, что об инцидентах и ущербе, нанесенном JS-снифферами, до сих пор почти ничего неизвестно, говорит о слабой изученности этой проблемы и позволяет группам, создающим снифферы для воровства денег онлайн-покупателей, чувствовать себя безнаказанными», – отметил главный технический директор Group-IB Дмитрий Волков.
Сниффинг — что это такое в ИТ-отрасли?
В ИТ-сфере «Сниффинг» — это один из простейших методов мониторинга трафика, проходящего через компьютерную сеть. Его суть заключается в перехвате данных, которые доставляются в рамках наблюдаемой сети в виде пакетов.
Метод называют «сниффинг» потому что он напоминает «обнюхивание» данных анализаторами сетевых протоколов, которые установил системный администратор. «Sniffing» переводится с английского как «втягивать носом», «нюхать», «чуять».
Что такое сниффинг-атаки и чем они вредны?
Чтобы выловить из потока пакетов данных в сети пароли, логины, информацию о платёжных картах и прочие конфиденциальные сведения, злоумышленник должен установить на системе жертвы соответствующий «сниффер» (анализатор сетевых протоколов), например, Wireshark, Ettercap, Bettercap, Tcpdump, WinDump. Это может быть не только софт. Иногда мониторинг выполняется с аппаратного устройства, подключённого к системе.
Что значит «Сниффинг» для ИТ-отрасли?
Системные администраторы используют метод «обнюхивания» (перехвата и анализа) трафика, чтобы:
Для работоспособности процесса нужно подключить сниффер к существующей сети при помощи сетевого адаптера. Далее требуется запуск программного обеспечения для регистрации, просмотра или анализа данных, собранных устройством. Пакеты данных проходят через сниффер, собираются, распознаются, регистрируются независимо от того, как именно был сформирован пакет и куда направлен.
Аппаратные снифферы
Наиболее эффективны при исследовании трафика отдельного участка сети. Подключается физически к системе в соответствующем месте. У аппаратного анализатора есть гарантия, что 100% пакетов данных этого сегмента пройдут через сниффер. Это главное преимущество перед программными средствами, на которые воздействуют алгоритмы фильтрации, маршрутизации и другие преднамеренные или случайные причины.
Программные снифферы
Нашли массовое применение из-за простоты установки в сетевую инфраструктуру. То есть в основном сейчас применяются именно программные анализаторы сети. Функциональность сводится к разделению, повторной сборке и регистрации всех пакетов программного обеспечения, которые проходят через интерфейс независимо от их адресов назначения. Такие снифферы собирают столько трафика, сколько проходит через физический сетевой интерфейс с условием, что никакие другие факторы не воздействуют на процесс. Затем данные регистрируются и используются в соответствии с настройками.
Чтобы избежать сниффинговых атак на вашу систему и ИТ-инфраструктуру, избегайте подключения к незащищённым сетям (например, не подключайтесь к общественным точкам доступа Wi-Fi). Используйте шифрование трафика (Encryption), чтобы превратить все ценные сведения в набор тарабарщины из случайных символов (например, пользуйтесь VPN). В организациях и офисах следует выполнять сканирование сети и её внутренний мониторинг.
Выполните ИТ-аудит вашего предприятия или офиса для экспертной поддержки в вопросе защиты от сниффинговых атак. Имея аудит ИТ-инфраструктуры на руках, станет проще снижать риски и консультироваться по любым техническим вопросам касательно вашей организации и её будущего.
Снифферы (Sniffers)
Снифферы (sniffers) — это программы, способные перехватывать и анализировать сетевой трафик. Снифферы полезны в тех случаях, когда нужно извлечь из потока данных какие-либо сведения (например, пароли) или провести диагностику сети. Программу можно установить на одном устройстве, к которому есть доступ, и в течение короткого времени получить все передаваемые данные.
Принцип работы снифферов
Перехватить трафик через сниффер можно следующими способами:
Поток данных, перехваченный сниффером, подвергается анализу, что позволяет:
Примеры известных снифферов:
Классификация снифферов (sniffers)
Перехватывать потоки данных можно легально и нелегально. Понятие «сниффер» применяется именно по отношению к нелегальному сценарию, а легальные продукты такого рода называют «анализатор трафика».
Решения, применяемые в рамках правового поля, полезны для того, чтобы получать полную информацию о состоянии сети и понимать, чем заняты сотрудники на рабочих местах. Помощь таких программ оказывается ценной, когда необходимо «прослушать» порты приложений, через которые могут отсылаться конфиденциальные данные. Программистам они помогают проводить отладку, проверять сценарии сетевого взаимодействия. Используя анализаторы трафика, можно своевременно обнаружить несанкционированный доступ к данным или проведение DoS-атаки.
Нелегальный перехват подразумевает шпионаж за пользователями сети: злоумышленник сможет получить информацию о том, какие сайты посещает пользователь, и о том, какие данные он пересылает, а также узнать о применяемых для общения программах. Впрочем, основная цель незаконного «прослушивания» трафика — получение логинов и паролей, передаваемых в незашифрованном виде.
Снифферы различаются следующими функциональными особенностями:
Источник угрозы
Снифферы могут работать на маршрутизаторе (router), когда анализируется весь трафик, проходящий через устройство, или на оконечном узле. Во втором случае злоумышленник эксплуатирует следующее обстоятельство: все данные, передаваемые по сети, доступны для всех подключенных к ней устройств, но в стандартном режиме работы сетевые карты не замечают «чужую» информацию. Если перевести сетевую карту в режим promiscuous mode, то появится возможность получать все данные из сети. И, конечно, снифферы позволяют переключаться в этот режим.
Анализ рисков
Любая организация и любой пользователь могут оказаться под угрозой сниффинга — при условии, что у них есть данные, которые интересны злоумышленнику. При этом существует несколько вариантов того, как обезопасить себя от утечек информации. Во-первых, нужно использовать шифрование. Во-вторых, можно применить антиснифферы — программные или аппаратные средства, позволяющие выявлять перехват трафика. Следует помнить, что шифрование само по себе не может скрыть факт передачи данных, поэтому можно использовать криптозащиту совместно с антисниффером.
Кибератаки в подробностях: атаки с применением снифферов
В прошлых статьях серии мы рассмотрели атаки отказа в обслуживании и атаки, основанные на спуфинге пакетов. В данной статье мы перейдем к рассмотрению широко применяемой техники атак, основанной на использовании снифферов, которая обычно применяется взломщиками для получения информации. Мы рассмотрим несколько инструментов, используемых для захвата пакетов и обсудим пути защиты IT-инфраструктуры от этих атак.
Использование сниффера в сетях, работающих по протоколу TCP/IP подразумевает захват, декодирование, исследование и интерпретацию данных, передающихся в пакетах по сети. Целью атак с использованием сниффера является похищение информации, обычно такой, как идентификационные номера пользователей, данные о функционировании сети, номера кредитных карт и.т.д. Использование сниффера считается типом «пассивной» атаки, при котором атакующие не могут быть замечены в сети. Это обстоятельство затрудняет определение наличия данной атаки и, поэтому, этот тип атаки является опасным.
Как мы узнали из предыдущих статей серии, пакет TCP/IP содержит информацию, необходимую для соединения двух сетевых интерфейсов. Он содержит такие поля с информацией об исходном и целевом IP-адресах, номерах портов, номере пакета и типе протокола. Каждое из этих полей является необходимым для функционирования различных уровней сетевого стека и особенно приложений, относящихся к прикладному уровню (уровню 7 OSI), обрабатывающих принятые данные.
По своей природе протокол TCP/IP занимается только тем, что проверяет, сформирован ли пакет, добавлен ли он в Ethernet-фрейм и доставлен ли он от отправителя по сети к адресату. Однако, в этом протоколе не имеется механизмов для контроля безопасности данных. Таким образом, задача по установлению того, не произошло ли вмешательство в передачу данных, перекладывается на высшие уровни сетевого стека.
Для понимания того, для чего взломщики используют снифферы, нам следует знать о том, какие данные они могут получить из сети. Рисунок 1 иллюстрирует уровни OSI и ту информацию, которой взломщик может завладеть на каждом уровне, успешно использовав сниффер.
Рисунок 1. Распределение уровней OSI
Использование сниффера помогает взломщикам либо получить информацию непосредственно из сетевого трафика, либо получить данные о работе сети, которые могут быть использованы для подготовки последующих атак. Взломщики очень часто прибегают к использованию сниффера, так как возможно длительное его использование без риска быть разоблаченным.
Как используют сниффер?
В ходе атак, заключающихся в захвате пакетов, используются снифферы, являющиеся либо программным обеспечением с открытым исходным кодом, либо коммерческим программным обеспечением. Грубо говоря, существуют три пути перехвата трафика в сети, показанные на рисунке 2.
Рисунок 2: Направления атак с использованием сниффера
Важно помнить о том, что атаки с использованием сниффера могу затрагивать диапазон от 1 до 7 уровня OSI. Если говорить о физическом соединении, кто-либо, уже имеющий доступ к внутренней локальной сети (чаще всего это работник компании), может использовать программы для прямого захвата сетевого трафика. Применяя техники спуфинга, взломщик, находящийся за пределами атакуемой сети, может вести перехват пакетов на уровне межсетевого экрана и и похищать данные. В последнее время все чаще используется атака, направленная на перехват данных беспроводных сетей, при которой задача атакующего упрощается, так как нужно всего лишь находиться в радиусе действия сети для сбора информации о ней и проникновения в нее.
В зависимости от того, каково нахождение взломщиков в сети, где производится перехват данных, они используют программы для захвата или программы для исследования пакетов. Современные снифферы предназначаются для диагностики сетей, но при этом также могут быть использованы и для взлома. Рассмотрите таблицу, описывающую этичные и неэтичные примеры использования снифферов.
В отношении технической стороны захвата пакетов следует помнить о том, что программы, осуществляющие захват пакетов всегда работают в promiscous-режиме, что делает возможным захват и сохранение всех данных, передающихся по сети, с их помощью. Это также означает то, что даже если пакет не предназначается для сетевого интерфейса, на котором работает сниффер, он все равно будет захвачен, сохранен и проанализирован.
В составе сниффера содержится свой собственный сетевой драйвер и выделяется большой участок памяти для буфера, вмещающего большое количество пакетов. Современные снифферы обладают возможностями анализа захваченных пакетов и конвертирования их в удобную для восприятия форму со статистической информацией. Теперь давайте рассмотрим несколько способов захвата данных в сети для того, чтобы понять, как действуют взломщики.
Захват данных в локальной сети (LAN sniff)
Сниффер, работающий во внутренней сети может захватывать данные со всего диапазона IP-адресов. Это помогает злоумышленнику получить данные о функционировании сети, такие, как список активных узлов, список открытых портов, данные об оборудовании серверов и другие. Как только получен список открытых портов, становится возможной атака на основе эксплуатации уязвимостей отдельных служб, работающих на определенных портах.
Захват информации об используемых протоколах (Protocol sniff)
Этот метод подразумевает захват данных, относящихся к различным протоколам, используемым в сети. Сначала создается список протоколов на основе захваченных данных. Этот список в будущем может использоваться для захвата данных, относящихся к отдельным протоколам. Например, если данных, относящихся к протоколу ICMP не было обнаружено во время захвата, считается, что этот протокол заблокирован. Однако, если при захвате обнаружены UDP-пакеты, отдельный сниффер для UDP-трафика начинает использоваться для захвата и расшифровки трафика, относящегося к Telnet, PPP, DNS и другим приложениям.
Захват ARP-трафика (ARP sniff)
В ходе этого популярного метода атаки злоумышленник захватывает как можно больший объем данных для создания таблицы соответствия IP-адресов MAC-адресам. Эта таблица впоследствии может быть использована для подмены ARP-записей (APR poisoning), спуфинг-атак или для эксплуатации уязвимостей маршрутизатора.
Похищение TCP-сессий (TCP session stealing)
Этот метод заключается в простом захвате трафика между IP-адресом отправителя и адресата, проходящего через сетевой интерфейс в promiscous-режиме. Такие подробности, как номера портов, типы служб, порядковые номера TCP и сами данные интересуют взломщиков в первую очередь. После захвата достаточного количества пакетов, опытные взломщики могут самостоятельно создавать TCP-сессии, вводя в заблуждение узлы, являющиеся источником и адресатом пакетов, а также осуществлять атаку перехвата с участием человека (man-in-the-middle) в отношении активной TCP-сессии.
Захват данных приложений (Application-level sniffing)
Обычно из захваченных пакетов данных можно получить некоторое количество информации относительно приложений, осуществляющих обмен данными, и на основе этой информации провести другие атаки или просто похитить эту информацию. Например, протокол захвата данных может быть исследован с целью идентификации операционной системы, анализа SQL-запросов, получения информации о TCP-портах, специфических для приложения, и.т.д. С другой стороны, создание списка приложений, исполняющихся на сервере является хорошим началом атаки в отношении этих приложений.
Похищение паролей (Web password sniffing)
Как становится ясно из названия, в ходе атаки перехватываются данные HTTP-сессий и из них выделяются идентификаторы пользователей и пароли, которые похищаются. Хотя для защиты HTTP-сессий от таких атак и разработан протокол SSL, существует множество сайтов во внутренних сетях, использующих стандартное менее безопасное шифрование. Достаточно просто перехватить данные зашифрованные по алгоритмам Base64 или Base128 и получить пароль, применив специальное программное обеспечение. В современных снифферах присутствует функция захвата и получения информации, передаваемой в рамках SSL-сессий, но использовать эту функцию непросто.
Определение наличия сниффера
На уровне узлов вы можете использовать небольшие утилиты для того, чтобы определить, работает ли сетевая карта в promiscous-режиме на каждом узле сети. Так как основным требованием к системе для корректной работы сниффера является работа сетевого интерфейса в режиме приема всех приходящих пакетов, отключение этого режима может значительно помочь в прекращении работы отдельных снифферов.
В случае работы на уровне сети, существует программное обеспечение для определения наличия снифферов по наличию специфических пакетов. С другой стороны, на каждом узле могут выполняться сценарии для определения наличия известных снифферов, процессов, и.т.д. Современные антивирусные программы обладают возможностями определения наличия снифферов и их отключения.
Защита от снифферов
Хотя первым шагом для защиты от перехвата трафика и является правильное проектирование системы безопасности с жесткими правилами во время разработки архитектуры сети, существуют несколько методов, которые следует применить для того, чтобы сделать сетевую инфраструктуру менее уязвимой для подобного рода атак. Следующие методы позволяют повысить защиту сети.
Отключение promiscous-режима на сетевых интерфейсах приводит к отключению большинства снифферов. Это действие может быть автоматизировано путем создания специального сценария и добавления его в качестве задачи cron для ежедневного выполнения или контролироваться путем создания политики доступа к настройкам сетевой карты на уровне узла.
Программы для определения наличия снифферов могут использоваться для определения режима работы сетевых карт, а также для контроля за процессами и приложениями, присутствующими на серверах или узлах сети. Эта возможность интегрирована в современные системы обнаружения проникновений.
Технология шифрования IPSec может быть использована для защиты пакетов, передающихся в рамках сетевой инфраструктуры, в случае обмена конфиденциальными данными. IPSec позволяет производить инкапсуляцию и шифрование данных и поддерживается современными маршрутизаторами, межсетевыми экранами и другими компонентами сетей. Практически все операционные системы поддерживают IPSec и эта технология широко используется в важной IT-инфраструктуре. Для защиты уровня сессий может использоваться шифрование трафика SSL и TLS.
Защита систем, основанных на свободном программном обеспечении
Давайте рассмотрим несколько снифферов для того, чтобы знать, какие программы для захвата пакетов используются в мире свободного программного обеспечения в наши дни. Linux-cистемы используют утилиту tcpdump, являющуюся прекрасным сниффером, поставляемым в комплекте системы и позволяющим захватывать и сохранять TCP-пакеты. В качестве сторонних инструментов с открытым исходным кодом следует упомянуть программу Wireshark (Ethereal), очень популярную из-за своего графического интерфейса и возможностей фильтрации и отображения захваченных пакетов. Утилиты Sniffit, Dsniff и Ettercap подобны названным выше, но предназначены для других целей. Например, утилита DSniff обладает мощными возможностями перехвата SSL-трафика.
Свободные операционные системы не имеют встроенных механизмов для защиты себя от снифферов. Методы, описанные выше, вполне могут быть использованы в различных дистрибутивах Linux для снижения их уязвимости к атакам с использованием сниффера. Мощная утилита AntiSniff, доступная в дистрибутивах Linux, может быть использована в сценарии для определения сетевых интерфейсов, работающих в promiscous-режиме.
Атаки с использованием сниффера очень сложно идентифицировать, поскольку они относятся к атакам пассивного типа. Существуют методы для обнаружения и отключения снифферов, которые следует использовать администраторам сетей для защиты IT-инфраструктуры от потерь и кражи данных.