Comme nous le savons tous, nous vivons dans un monde entouré d'informations qui nécessitent chaque jour de meilleurs niveaux de sécurité, nous En tant qu'administrateurs et responsables informatiques, nous sommes directement responsables de la sécurité afin que les données de notre organisation, ou les nôtres, soient en sécurité..
Peut-être que nos informations ne sont pas si précieuses ou si importantes si elles sont perdues ou volées, mais nous pouvons avoir des informations très spéciales, telles que des comptes bancaires, des relevés de compte, des informations personnelles, etc., qui doivent rester « en sécurité » dans nos systèmes et nous ne pouvons nier que le piratage d'aujourd'hui est devenu très différent de ce qu'il était avant, il existe aujourd'hui plus de mécanismes d'attaque et de techniques différentes pour une telle activité.
Cette fois, nous parlerons des intrus, nous analyserons certaines des façons dont les pirates peuvent accéder à l'information en profitant des vulnérabilités qui peuvent exister.
Nous comprenons cela l'accès non autorisé au système constitue un grave problème de sécurité Étant donné que cette personne ou ce logiciel peut extraire des informations précieuses de notre base de données et par la suite nuire à l'organisation de différentes manières, lorsque nous parlons de logiciel qui peut entrer sans autorisation, nous pouvons penser qu'il s'agit d'un ver, d'un cheval de Troie ou, en général, d'un virus.
Nous allons nous concentrer sur ces domaines ci-dessous:
- 1. Types d'intrus
- 2. Techniques d'intrusion
- 3. Détection d'intrus
- 4. Types d'attaques
1. Types d'intrus
On peut identifier trois (3) types d'intrus :
Utilisateur frauduleuxIl s'agit d'un utilisateur qui accède illégalement aux ressources de l'organisation ou qui, disposant des autorisations, abuse des informations disponibles.
ImitateurC'est une personne qui n'a rien à voir avec l'accès légal dans l'organisation mais qui parvient à atteindre le niveau de prendre l'identité d'un utilisateur légitime pour accéder et faire le mal.
Utilisateur clandestinC'est une personne qui peut prendre le contrôle de l'audit du système de l'organisation.
Habituellement, l'imitateur est une personne externe, l'utilisateur frauduleux est interne et l'utilisateur clandestin peut être externe ou interne. Les attaques d'intrus, quel qu'en soit le type, peuvent être classées comme graves ou bénignes, dans les cas bénins elles n'accèdent que pour voir ce qui se trouve sur le réseau tandis que dans les plus graves les informations peuvent être volées et/ou modifiées au sein même du réseau.
2. Techniques d'intrusion
Comme nous le savons, la manière courante d'accéder à un système passe par les mots de passe et c'est ce que vise l'intrus, en acquérant des mots de passe en utilisant différentes techniques afin d'atteindre son objectif de violer les accès et d'obtenir des informations. Il est recommandé de protéger notre fichier de mots de passe avec l'une des méthodes suivantes :
Cryptage unidirectionnelCette option ne stocke qu'une forme cryptée du mot de passe de l'utilisateur, donc lorsque l'utilisateur entre son mot de passe, le système le crypte et le compare avec la valeur qu'il a stockée et, s'il est identique, il autorise l'accès, sinon il le refuse.
Contrôle d'accèsAvec cette méthode, l'accès par mot de passe est très limité, seulement à un ou quelques comptes.
Les méthodes couramment utilisées par les pirates, selon certaines analyses ce sont :
- Testez les mots du dictionnaire ou les listes de mots de passe possibles disponibles sur les sites de piratage
- Essayer avec les numéros de téléphone ou les documents d'identification des utilisateurs
- Test avec les numéros de plaque d'immatriculation
- Obtenir des informations personnelles des utilisateurs, entre autres
3. Détection d'intrus
En tant qu'administrateurs, nous devons analyser les vulnérabilités possibles de notre système pour éviter les maux de tête à l'avenir, nous pouvons analyser ces défaillances avec les concepts suivants :
- Si nous étudions comment un intrus peut attaquer, ces informations nous aideront à renforcer la prévention des intrusions dans notre système
- Si nous détectons rapidement l'utilisateur intrusif, nous pouvons empêcher cette personne de faire son truc dans notre système et ainsi éviter des dommages.
En tant qu'administrateurs, nous pouvons analyser le comportement des utilisateurs au sein de notre organisation et détecter, avec beaucoup d'analyse, s'ils présentent un comportement étrange, comme l'accès via l'intranet à des ordinateurs ou des dossiers auxquels il ne faut pas accéder, la modification de fichiers, etc. L'un des outils qui nous aidera beaucoup dans l'analyse des intrus est le journal d'audit car il nous permet de garder une trace des activités menées par les utilisateurs.
Nous pouvons utiliser deux (2) types de plans de vérification:
Journaux d'audit spécifiques pour la découverteNous pouvons implémenter de tels journaux afin qu'il ne nous montre que les informations requises par le système de détection d'intrusion.
Journaux d'audit natifsC'est l'outil qui vient par défaut dans les systèmes d'exploitation et stocke toutes les activités des utilisateurs, par exemple, l'observateur d'événements Microsoft Windows.
Nous pouvons détecter des anomalies en fonction des profils, c'est-à-dire du comportement des utilisateurs, pour cela, nous pouvons utiliser les variables suivantes :
- Compteur: C'est une valeur qui peut être augmentée mais pas diminuée jusqu'à ce qu'elle soit initiée par une action
- Calibre: C'est un nombre qui peut augmenter ou diminuer, et mesure la valeur actuelle d'une entité
- Intervalle de temps: Fait référence à la période de temps entre deux événements
- Utilisation des ressources: Cela implique la quantité de ressources qui sont consommées dans un certain temps
Il existe un autre type de détection et c'est celui qui est basé sur des règles, celles-ci détectent l'intrusion en fonction des événements qui se produisent dans le système et appliquent une série de règles définies pour identifier si l'activité est suspecte ou non.
Voici quelques exemples de ces règles :
Une des techniques intéressantes pour attirer l'attention des intrus est d'utiliser des pots de miel, qui sont simplement des outils de sécurité où sont créés des systèmes qui semblent être vulnérables ou faibles et dans lesquels il y a de fausses informations, mais avec une apparence agréable pour l'intrus, évidemment un pot de miel n'a pas ou n'aura pas accès à un utilisateur légitime de l'organisation.
Quoi mesure de sécurité pour empêcher les attaques d'intrus Sans aucun doute, il y a la bonne gestion des mots de passe, on sait qu'un mot de passe permet :
- Donner ou non accès à un utilisateur au système
- Fournir les privilèges qui ont été attribués à l'utilisateur
- Proposer des politiques de sécurité dans l'entreprise
Dans une étude réalisée par une organisation aux États-Unis, basée sur trois (3) millions de comptes, il a été conclu que les utilisateurs utilisent régulièrement les paramètres suivants pour leurs mots de passe (qui ne sont pas du tout sécurisés) :
- Nom du compte
- Numéros d'identification
- Noms communs
- Noms de lieux
- dictionnaire
- Noms des machines
Il est important que dans notre rôle d'administrateurs, de coordinateurs ou de responsables informatiques, nous éduquions les utilisateurs de notre organisation afin qu'ils sachent comment définir un mot de passe fort, nous pouvons utiliser les méthodes suivantes :
- Vérification réactive du mot de passe
- Vérification proactive des mots de passe
- Éducation de nos utilisateurs
- Mots de passe générés par ordinateur
Comme nous pouvons le voir, entre nous tous (administrateurs et utilisateurs), nous pouvons faire face à toute activité d'intrus.
4. Types d'attaques
Ensuite, nous passerons en revue certains des types d'attaques qui peuvent être perpétrées dans les différents systèmes, nous allons effectuer cette analyse avec une approche de hacker éthique.
Détournement
Ce type d'attaque consiste à prendre une section d'un appareil pour communiquer avec un autre appareil, il existe deux (2) types de détournement :
- actif: C'est lorsqu'une section de l'hôte est prise et utilisée pour compromettre la cible
- passif: se produit lorsqu'une section de l'appareil est saisie et que tout le trafic entre les deux appareils est enregistré
On a outils de détournement à partir de pages telles que :
- IP-Watcher
¿Comment pouvons-nous nous protéger contre le piratage? Nous pouvons utiliser l'une des méthodes suivantes en fonction du protocole ou de la fonction, par exemple :
- FTP : Utilisons sFTP
- Connexion à distance : Utilisons VPN
- HTTP : Utilisons HTTPS
- Telnet ou rlogin : utilisons OpenSSH ou SSH
- IP : Utilisons IPsec
Attaque sur un serveur Web
Les serveurs les plus courants pour implémenter des services Web sont Apache et IIS. Les intrus ou les pirates qui ont l'intention d'attaquer ces serveurs doivent avoir une connaissance d'au moins trois (3) langages de programmation tels que Html, ASP et PHP. À prendre soin de nos serveurs web nous pouvons utiliser des outils, appelé Brute Force Attack, par exemple :
- Brutus pour Windows
- Hydra pour Linux
- NIX pour Linux
Les les attaques les plus courantes que nous trouvons au niveau du serveur Web Ils sont les suivants:
- ScriptAttaque
- Mots de passe dans le même code
- Vulnérabilités dans les applications Web
- Validation du nom d'utilisateur
En tant qu'administrateurs, nous pouvons mettre en œuvre les pratiques suivantes:
- Installer et/ou mettre à jour l'antivirus
- Utiliser des mots de passe complexes
- Modifier les comptes par défaut
- Supprimer les codes de test
- Mettre à jour le système et le service pack
- Gérer et surveiller en permanence les journaux du système
Nous pouvons utiliser l'outil Acunetix qui nous permet de vérifier si notre site Web est vulnérable aux attaques, nous pouvons le télécharger à partir du lien.
Portes dérobées et chevaux de Troie
De nombreux chevaux de Troie sont exécutés en mode test pour vérifier la réactivité de l'organisation à une éventuelle attaque, mais 100 % ne proviennent pas de tests internes, mais à d'autres occasions, ils sont malveillants par un intrus.
Certains chevaux de Troie les plus courants ils sont:
- Netbus
- Au prorata
- paradis
- Duckfix
- Netchat
À empêcher les attaques de chevaux de Troie Il est important qu'en tant qu'administrateurs, nous effectuions certaines tâches telles que :
- Installer et mettre à jour un antivirus
- Exécuter et activer le pare-feu
- Utiliser un scanner cheval de Troie
- Mettre à jour les correctifs système
Attaque sur les réseaux sans fil
Nos réseaux sans fil peuvent être sujets aux attaques d'un intrus, nous savons que les technologies modernes des réseaux sans fil sont 802.11a, 802.11b, 802.11n et 802.11g, celles-ci sont basées sur leur fréquence.
À prévenir les attaques sur nos réseaux sans fil nous pouvons effectuer les tâches suivantes :
- Évitez d'utiliser un SSID vierge
- Évitez d'utiliser le SSID par défaut
- Utiliser IPsec pour améliorer la sécurité de notre IPS
- Effectuez des filtres MAC pour éviter les adresses inutiles
Certains outils utilisés pour effectuer le piratage sans fil ils sont:
- Kismet
- Carte GPS
- NetStumbler
- AirSnort
- DStumbler
Bien que dans notre entreprise, nous n'utilisions pas de réseaux sans fil en continu, il est bon de mettre en œuvre politiques de sécurité pour empêcher les attaques pour eux, il serait idéal de faire ce qui suit (en cas d'utilisation uniquement sans fil) :
- Désactiver DHCP
- Mise à jour du firmware
- Utilisez WPA2 et une sécurité supérieure
- En cas de connexion à distance, utilisez VPN
Attaques par déni de service (DoS)
L'objectif principal de ce type d'attaque est d'affecter tous les services de notre système, soit en les arrêtant, en les saturant, en les éliminant, etc.
Pouvons empêcher une attaque DoS en utilisant les activités suivantes :
- Utiliser les services dont nous avons vraiment besoin
- Désactiver la réponse ICMP sur le pare-feu
- Mettre à jour le système d'exploitation
- Mettez à jour notre pare-feu avec l'option d'attaque DoS
Certains outils que nous pouvons trouver dans le réseau pour les attaques DoS ils sont:
- FSM FSMax
- Des problèmes
- secousse 2
- Explosion20
- Panthère2
- Pinger fou, etc.
Outils de craquage de mot de passe
Une autre des attaques courantes que nous pouvons subir dans nos organisations est l'attaque des mots de passe, comme nous l'avons déjà mentionné, parfois les mots de passe établis ne sont pas assez forts, c'est pourquoi nous sommes sujets à un intrus qui vole notre mot de passe et peut accéder à notre système. Nous savons que la sécurité de nos mots de passe repose sur :
- Authentification: Autorise l'accès au système ou aux applications de l'entreprise
- Autorisation: Si le mot de passe saisi est correct, le système le validera et autorisera la saisie
Les types de les attaques les plus courantes que nous trouvons pour voler nos mots de passe ils sont:
Attaques par dictionnaireCe sont des listes de mots établis qui sont synchronisés et il est validé si notre mot de passe y est inclus.
Attaque de force bruteC'est l'une des attaques les plus efficaces car elle contient des lettres, des chiffres et des caractères spéciaux et ils forment des combinaisons jusqu'à ce qu'ils trouvent la bonne clé
Attaques hybridesC'est une combinaison des deux (2) ci-dessus.
Certains outils de piratage de mot de passe ils sont:
- Pwdump3
- Jean l'éventreur
- Boson GetPass
- Elcomsoft
N'oubliez pas que si notre mot de passe ou celui d'un utilisateur de l'organisation est découvert par un intrus, nous pouvons avoir de sérieux problèmes, il est donc important rappelez-vous que la plupart incluent les conditions suivantes pour nos mots de passe:
- Lettres minuscules
- Lettres majuscules
- Caractères spéciaux
- Nombres
- Mots complexes
Nous vous recommandons de revoir ce tutoriel pour avoir des mots de passe complètement forts.
Pouvons détecter si nous sommes victimes de craquage de mot de passe vérifier les journaux système, surveiller en permanence le trafic réseau, etc. Sur la page sectools, nous pouvons trouver différents outils qui nous aideront dans notre travail de surveillance du réseau et de ses éventuelles attaques, l'invitation est de le connaître et d'effectuer des tests.
Une autre page que nous pouvons visiter est foundstone qui appartient à McAffe et contient un groupe intéressant d'outils utiles.
Usurpation
Dans ce type, l'attaquant se fera passer pour une autre entité, pour cela, il falsifiera les données envoyées dans les communications. Ce type d'attaque peut se produire dans différents protocoles, nous avons l'usurpation d'adresse IP, l'usurpation ARP, l'usurpation DNS, l'usurpation DHCP, etc.
Voilà quelque attaques courantes:
- Spoofing non aveugle
- Usurpation aveugle
- L'homme au milieu
- Déni de service (DOS)
- Vol de port
Certains contre-mesures que nous pouvons prendre:
- Utiliser le cryptage et l'authentification
- Appliquer un filtrage d'entrée et de sortie sur le routeur
Injection de code
Elle repose sur l'exploitation d'une erreur causée par le traitement de données invalides. Il est utilisé par un attaquant pour insérer ou injecter du code dans un programme informatique vulnérable et modifier le cours de l'exécution. Une injection réussie peut avoir des conséquences désastreuses.
Certains endroits où nous pouvons mettre en place une attaque par injection:
- SQL
- LDAP
- XPath
- Requêtes NoSQL
- HTML
- Coquille
Certains mesures que nous pouvons prendre lors de la planification:
- Filtrer les entrées
- Paramétrer les instructions SQL
- Variables d'échappement
Comme nous pouvons le voir, nous avons de nombreuses alternatives pour contrer d'éventuelles attaques contre notre organisation par des intrus, il nous appartient (si c'est le cas) de faire une analyse détaillée et de prendre des mesures sur ces problèmes.
Comme nous l'avons mentionné précédemment, et heureusement, il n'y aura pas toujours un pirate informatique ou un intrus intéressé à pénétrer dans notre système et à voler des informations, mais nous ne savons jamais à l'avenir où notre organisation ou nous-mêmes serons.