Acerca de la ofensiva y defensa de los piratas informáticos

La red informática es como una caja de Pandora, llena de todo tipo de cosas extrañas. Pero si bien añade diversión infinita a la vida de las personas, también está lleno de demasiadas estafas y trampas, que a menudo hacen que los usuarios de Internet no puedan protegerse contra ellas. Este hecho inevitable advierte a las personas que estén siempre alerta cuando naveguen por Internet. ¿Qué hacemos?

La mayoría de estafas en Internet provienen de "hackers". De hecho, los "hackers" no son monstruos, sino personas comunes y corrientes como usted y yo. Muchos de los "hackers" que han sido descubiertos son simplemente estudiantes adolescentes de primaria y secundaria. Si tiene algunos conocimientos de red necesarios, puede "piratearlos" si lo desea. Por supuesto, no estoy alentando a todos a hacer esto, pero quiero que todos entiendan que los "hackers" no son misteriosos y que podemos lidiar con ellos siempre que estemos dispuestos.

Los métodos adoptados por los "hackers" más "estúpidos" parecen muy torpes y sus estrategias se basan completamente en la "fórmula de Jiang Tai". Dichos "hackers" incluyen "hacker", "hacker", ". Hacker", "hacker", "hacker", "hacker", "hacker", "hacker", etc. Los "hackers" a menudo crean varias excusas en sus propias páginas de inicio o utilizan ganar la lotería como cebo para exigir a los visitantes que dejen su información personal confidencial, como nombres de usuario de la red, números de cuenta, contraseñas, contraseñas de tarjetas de crédito, etc. Asegúrate de recordar: ¡No reveles impulsivamente toda tu información! No importa cuánto se jacte la otra parte, mientras usted trabaje duro, los ojos de la otra parte serán agudos y la otra parte no podrá hacer nada.

Por supuesto, los "hackers" no son todos tan "retrasados ​​mentales". Siempre se devanan los sesos y cambian constantemente su "modus operandi" para encontrar formas de irrumpir en la "ciudad de la gente de" de otras personas. el mundo". El enfoque típico es que los "hackers", sin saberlo, trasplanten algunos pequeños programas "misteriosos" a su máquina a través del correo electrónico o cuando descarga software. Estos pequeños programas acecharán y modificarán automáticamente el núcleo del sistema operativo. del sistema operativo, abre canales de datos y deja puertas traseras peligrosas. Cuando su máquina vuelva a conectarse a la red, actuarán como un "caballo de Troya" y enviarán su cuenta, contraseña y otra información a la computadora que está disfrutando. "Hacker" con fines de lucro.

Debido a que estos programas "espía" se "actualizan" constantemente como el software normal, son difíciles de prevenir. Pero el principio en la práctica sigue siendo el mismo, es decir: esté atento a los archivos adjuntos de correo electrónico o las listas de correo y no los abra tan pronto como los reciba. Sólo después de que el software antivirus los haya autenticado podrán liberarse al descargar el software. Trate de no frecuentar esos sitios web personales que no conocen los detalles, sino vaya a sitios web de descarga profesionales, principalmente por seguridad y velocidad garantizada. Además, también es muy necesario y prudente cambiar la contraseña de su cuenta con regularidad.

Lo anterior trata sobre cómo prevenir "ataques de piratas informáticos" personales. En comparación con los individuos, la seguridad de la red de las empresas es sin duda mucho más importante, ya sea una sala de informática de una escuela, un banco o una institución comercial. o incluso un ISP, una vez que la red que configuran se ve comprometida, las consecuencias suelen ser desastrosas. Por lo tanto, es particularmente urgente para ellos "estrechar la cerca" y bloquear la "puerta trasera", y los "hackers" "profesionales" a menudo apuntan a esos objetivos. Echemos un vistazo a algunos de los métodos de ataque que suelen utilizar los piratas informáticos.

1. Verdadero y Falso Li Kui

Al iniciar sesión en algunos sitios web, especialmente aquellos que brindan servicios personales (como acciones, bancos, etc.), el sitio web a menudo requiere que los visitantes Complete algunas contraseñas y otra información personal para ingresar. Algunos "hackers" "inteligentes" se han aprovechado de este proceso y han falsificado cuidadosamente una página de inicio de sesión que aparece antes de la página de inicio de sesión real. Cuando escribe "cuidadosamente" la información de inicio de sesión y la envía, se enviará la página de inicio de sesión real. tú. Después de escribir "cuidadosamente" la información de inicio de sesión y enviarla, la página de inicio de sesión real llega demasiado tarde y su secreto ha sido robado. Esta táctica fue utilizada por astutos delincuentes en un caso de fraude bancario en línea en Taiwán en septiembre de este año. La mejor manera de lidiar con este tipo de "hacker" es cortarlo de raíz, verificar el registro de ejecución del servidor con frecuencia y, si encuentra alguna duda, resolverla de manera resuelta y temprana para cortar el peligro de raíz.

2?

Algunos "hackers" aprovechan las vulnerabilidades de ciertos cortafuegos y configuran inteligentemente sus solicitudes de IP para que apunten a la ruta del cortafuegos en lugar del host protegido por el cortafuegos, de modo que puedan acercarse al cortafuegos sin obstáculos. En este momento se ha logrado el propósito del "hacker". El objetivo del "hacker" se ha logrado porque en este momento pueden matar dos pájaros de un tiro, usar el firewall como trampolín y conducir fácilmente al host directamente. Si esto sucede, debe considerar si reemplazar el firewall o actualizarlo. El firewall original y aplica un parche.

3. Da en el clavo

Aquellos que pueden "cultivarse" hasta este nivel generalmente son maestros de los "hackers" en los que confían. Sus excelentes habilidades para analizar directamente el DNS (Sistema de nombres de dominio) obtienen la dirección IP de hosts como servidores web, eliminando así por completo los obstáculos para ingresar al "campo enemigo". "hacker". Quizás no valga la pena intentar aceptar servicios de nombres de dominio gratuitos, porque los servicios de nombres de dominio registrados formalmente generalmente tienen medidas de seguridad efectivas para garantizar que sean menos propensos a ser atacados o no.

4. Herejía

El correo electrónico es en realidad un medio de comunicación muy frágil. Su seguridad es deficiente y, por otro lado, es probable que la información transmitida se pierda o sea interceptada; ", como los "caballos de Troya", se envían principalmente por correo electrónico. El correo electrónico ingresa a la máquina del usuario. El correo electrónico es simplemente lo más utilizado en Internet. Muchos sitios web públicos y LAN de grandes empresas ofrecen correo electrónico gratuito o servicios de correo electrónico interno por necesidad. para atraer visitantes o trabajo, y el servidor de correo se convierte en La famosa compañía Microsoft incluso fue víctima de "hackers" y se vio obligada a cerrar su servidor de correo por un día. Por supuesto, para prevenir estos "hackers", se pueden tomar las siguientes medidas. tomar: Por ejemplo, el servidor de correo está dedicado a personal dedicado y no se usa internamente. Está relacionado con la LAN; active la función de retransmisión de correo del firewall y permita que la estación de retransmisión filtre todos los correos entrantes y salientes, etc.

Lo anterior es solo una pequeña parte de la seguridad de la red. De hecho, hay muchos fenómenos que no se han discutido en su totalidad debido a la apertura de la red. Determina su complejidad y diversidad. Con el continuo avance de la tecnología, seguirán naciendo varios "hackers" inteligentes. Los métodos que utilizan serán cada vez más avanzados y es imposible cortarles las manos negras. Solo podemos continuar fortaleciendo la investigación sobre firewalls y otros aspectos, junto con la vigilancia necesaria en la vida diaria, creo que el escenario para los "hackers" será cada vez más importante.

Varios. Niveles de ataque

Este capítulo describe los distintos niveles de ataque. "Un ataque" es cualquier acción no autorizada. El propósito de dicha conducta es interferir, comprometer o destruir la seguridad del servidor. Los ataques pueden variar desde simplemente desactivar un servicio hasta comprometer completamente el servidor. El grado en que puede atacar con éxito su red depende de las medidas de seguridad que emplee.

⒈¿Cuándo ocurrió el ataque?

La mayoría de los ataques (o al menos los ataques comerciales) suelen ocurrir a altas horas de la noche cuando se encuentra el servidor. En otras palabras, si estás en Los Ángeles y el intruso está en Londres, es probable que el ataque ocurra en algún momento entre la noche y la madrugada en Los Ángeles. Se podría pensar que un intruso lanzaría un ataque durante el día (cuando es de día en la ubicación del objetivo) porque la gran cantidad de datos que se transmiten puede enmascarar sus acciones. Hay varias razones por las que los intrusos evitan atacar a plena luz del día:

■ Razones objetivas. Durante el día, la mayoría de los intrusos están en el trabajo, la escuela o en otros entornos, por lo que no tienen tiempo para llevar a cabo un ataque. En otras palabras, estas personas no pueden sentarse frente a una computadora todo el día. Esto es diferente a antes, donde los intrusos eran personas sentadas en casa sin nada que hacer.

■ Motivos de velocidad. La red está cada vez más congestionada, por lo que el mejor momento para trabajar es cuando la red puede proporcionar transmisión de alta velocidad. El período de tiempo óptimo varía según la ubicación del objetivo.

■ Razones de confidencialidad. Supongamos que en algún momento un intruso descubre una vulnerabilidad. Supongamos que son las 11:00 a. m. y tres administradores del sistema están conectados a la red. ¿Qué puede hacer el intruso en este momento? Me temo que no se puede hacer mucho una vez que el administrador del sistema nota algún comportamiento inusual. Serán rastreados.

A los intrusos siempre les gusta atacar las máquinas que no están en uso.

Una vez, aproveché una estación de trabajo en Japón porque parecía una máquina en la que nadie había iniciado sesión. Luego utilicé esta máquina para iniciar sesión de forma remota en los Estados Unidos. En Roma encontré un nuevo ISP con una situación similar. Con este tipo de computadora, usted tiene control temporal sobre ella, puede configurarla según sus requisitos exactos y tiene mucho tiempo para cambiar los registros. Vale la pena señalar que la gran mayoría de estos ataques ocurren por la noche (hora local del objetivo).

Consejo: si ya registras mucho, pero tienes tiempo y recursos limitados para analizarlos, te recomiendo que te concentres en registrar las solicitudes de conexión de la noche anterior. Sin duda, esta parte del registro proporcionará información interesante e inusual.

Pico ¿Qué sistema operativo está usando el intruso?

Los sistemas operativos utilizados por los intrusos varían. UNIX es la plataforma más utilizada, incluidas FreeBSD y Linux.

1) Sun

Es bastante común que los intrusos utilicen SolarisX86 o SCO como plataforma. Esto se debe a que, aunque estos productos requieren licencias, son fáciles de obtener. Normalmente, los intrusos que utilizan estas plataformas son estudiantes porque pueden aprovechar los grandes descuentos en productos de software comercializados para el sector educativo y los estudiantes. Además, dado que estos sistemas operativos se ejecutan en PC, estos sistemas operativos son una opción más económica.

(2)UNIX

Una de las razones de la popularidad de la plataforma UNIX es que consume sólo una pequeña fracción de los recursos del sistema.

(3)Microsoft

Las plataformas de Microsoft admiten muchas herramientas de seguridad legítimas que pueden usarse para atacar hosts remotos. Como resultado, cada vez más intrusos utilizan Windows NT. Windows NT superó con creces a Windows 95 y tenía muchas herramientas de red avanzadas; NT se hizo cada vez más popular porque los intrusos sabían que tenían que dominar la plataforma. A medida que NT se convierte en una plataforma operativa cada vez más popular para servidores de Internet, los intrusos necesitarán saber cómo entrar en estas máquinas. El personal de seguridad desarrollará herramientas para probar la seguridad interna de NT. Como resultado, el número de personas que utilizan NT como plataforma de intrusión aumentará drásticamente.

Orígenes de los ataques

Hace unos años, muchos ataques se originaban en las universidades porque desde allí tenían acceso a Internet. La mayoría de los intrusos son jóvenes y en ningún lugar Internet es más accesible que en la universidad. Naturalmente, esto afecta no sólo al origen del ataque, sino también al momento en que se produce. Al mismo tiempo, utilizar TCP/IP no era tan fácil como lo es hoy.

Las cosas han cambiado drásticamente y los intrusos pueden ingresar a su red desde su hogar, oficina o automóvil. Sin embargo, aquí hay algunas reglas.

Características de un intruso típico

Un intruso típico tiene al menos las siguientes características:

■ Capacidad para escribir código en C, C++ o Perl. Esto se debe a que muchas herramientas de seguridad básicas están escritas en uno de estos lenguajes. El intruso puede al menos interpretar, compilar y ejecutar correctamente estos programas. Un intruso más poderoso podría trasladar herramientas no desarrolladas específicamente para una plataforma específica a la plataforma que utiliza. También pueden desarrollar herramientas extensibles como SATAN y SAFESuite (que permiten adjuntar a estas herramientas herramientas desarrolladas por el usuario).

■ Cualquier intruso que se precie debe tener un conocimiento profundo de TCP/IP. Como mínimo, el intruso debe entender cómo funciona Internet.

■Pase al menos 50 horas al mes en línea. No hay sustituto para la experiencia y los intrusos deben tener experiencia. Algunos intrusos están obsesionados con Internet y suelen sufrir de insomnio.

■ Trabajar en trabajos relacionados con la informática. No todos los intrusos pasan la mayor parte del día pirateando. Algunos de ellos trabajan en la administración de sistemas o en el desarrollo de sistemas.

■ Recopilar hardware o software antiguo, obsoleto pero clásico.

Tenga cuidado al caracterizar los objetivos típicos

Es difícil decir cuál es un objetivo típico porque diferentes intrusos atacan diferentes tipos de redes por diferentes motivos. Sin embargo, un tipo común de ataque se produce en pequeñas redes privadas.

Esto se debe a que:

■ Los propietarios de redes todavía están en las primeras etapas del uso de Internet

■ Sus administradores de sistemas están más familiarizados con las LAN que con TCP/IP

■ Sus equipos y software son más antiguos (quizás desactualizados)

Otro tema es la familiaridad. Desde una perspectiva de uso, la gran mayoría de los intrusos están familiarizados con dos o más sistemas operativos, pero desde una perspectiva de intrusión, normalmente sólo están familiarizados con un sistema operativo. Pocos intrusos saben cómo hackear múltiples plataformas.

Las universidades son objetivos principales, en parte debido a su inmenso poder de computación y procesamiento.

Otro motivo es que hay demasiados usuarios de la red. Incluso en un segmento de red relativamente pequeño, hay cientos de usuarios. Administrar una red tan grande es una tarea difícil y existe una alta posibilidad de que dichas cuentas se vean comprometidas. Otros objetivos frecuentes son los sitios web gubernamentales.

Razón para elegir al intruso

■Resentimiento

■Reto

■Estupidez

■Curiosidad

■ p>

■Propósito político

Todas estas razones son comportamientos poco éticos y, si se llevan demasiado lejos, violarán la ley. Violar la ley puede generar algunos sentimientos emocionantes, que a su vez pueden tener un impacto negativo en su caso.

Ataque de préstamo

La definición legal de ataque es que ocurre sólo cuando la intrusión se completa por completo y el intruso ha obtenido acceso a la red objetivo. Pero creo que todas las acciones que puedan comprometer una red deberían llamarse "ataque". En otras palabras, cuando el intruso comienza a atacar la red objetivo, el ataque ya ha comenzado.

Se pueden encontrar ejemplos de intrusiones en el siguiente artículo:

ftp://research.att.com/dist/internet_security/berferd.ps

/ evidencia/ Anklebiters/mlf/index.html Configuración de usuario->Plantillas administrativas->Panel de control "Sucursal".

Luego habilite la política "Bloquear acceso al Panel de control" en la ventana derecha.

Esta configuración evitará que se inicien los archivos de programa del Panel de control, por lo que otros no podrán iniciar el Panel de control ni ejecutar ningún proyecto del Panel de control. Además, esta configuración eliminará el Panel de control del menú Inicio y eliminará la carpeta Panel de control del Explorador de Windows.

Consejo: Si intenta seleccionar un elemento del Panel de control desde el elemento Propiedades en el menú contextual, aparece un mensaje que indica que esta configuración impide esta operación.

Consejo 6: Establezca permisos de usuario

Para configurar permisos de usuario en Windows XP cuando varias personas están usando la computadora, siga estos pasos:

1) Ejecute el Programa Editor de políticas de grupo.

2) Expanda la rama "Configuración de la computadora → Configuración de Windows → Configuración de seguridad → Política local → Asignación de derechos de usuario" en el lado izquierdo de la ventana del editor. 3) Haga doble clic en los permisos de usuario que deben cambiarse, luego haga doble clic en el botón "Agregar usuario o grupo" y luego haga doble clic en el botón "Agregar usuario o grupo". Haga clic en el botón "Agregar usuario o grupo", luego haga doble clic en la cuenta de usuario para asignar permisos y finalmente haga clic en el botón "Aceptar" para salir.

Consejo 7: configure la auditoría para la carpeta

Windows XP Sí La auditoría de archivos y carpetas en una partición NTFS puede garantizar la seguridad de archivos y carpetas mediante el uso de la auditoría para rastrear cuentas de usuario, intentos de inicio de sesión, apagados o reinicios del sistema y eventos similares para acceder a archivos u otros objetos. Los pasos para la auditoría de carpetas son los siguientes:

1) En la ventana Política de grupo, expanda la rama "Configuración del equipo → Configuración de Windows → Configuración de seguridad → Políticas locales" en la ventana derecha y luego seleccione "Auditar". en la opción Política de sucursal".

2) Hay una opción "Política de auditoría" en el lado derecho de la ventana.

2) En la ventana derecha, haga doble clic en Opción "Auditar acceso a objetos" y en la ventana emergente En la ventana Configuración de política de seguridad local, seleccione Configuración de política local en el cuadro Éxito.

En la ventana emergente "Configuración de la política de seguridad local", marque las casillas de verificación "Éxito" y "Error" en el cuadro "Configuración de la política local" y luego haga clic en el botón "Aceptar".

3) Haga clic derecho en el archivo o carpeta que desea auditar, seleccione el comando "Propiedades" en el menú emergente y luego seleccione la pestaña "Seguridad" en la ventana emergente.

4) Haga clic en el botón "Avanzado" y seleccione la pestaña "Auditoría".

5) Seleccione la acción según la situación específica:

Si desea configurar la auditoría para un nuevo grupo o usuario, puede hacer clic en el botón "Agregar" y escribir el nuevo usuario en el cuadro "Nombre" y haga clic en el botón "Aceptar".

Haga clic en el botón Aceptar para abrir el cuadro de diálogo Auditar proyecto.

Para ver o cambiar una auditoría de grupo o usuario existente, seleccione el nombre de usuario y haga clic en el botón Ver/Editar.

Para eliminar un grupo existente o una auditoría de usuario, seleccione el nombre de usuario y haga clic en el botón Eliminar.

6) Si es necesario, seleccione dónde auditar en la lista "Aplicar a" en el cuadro de diálogo "Auditar proyecto".

7) Si desea evitar que los archivos y subcarpetas en el árbol de directorios hereden estos elementos de auditoría, seleccione la casilla de verificación Aplicar solo estos elementos de auditoría a objetos y/o contenedores en este contenedor.

Nota: Debe ser miembro del grupo Administradores o tener el permiso Administrar registros de seguridad y auditoría en la Política de grupo para auditar un archivo o carpeta. Antes de que Windows XP pueda auditar archivos y carpetas, debe habilitar el acceso a objetos de auditoría en Política de auditoría en Política de grupo. De lo contrario, cuando configure la auditoría de archivos y carpetas, se devolverá un mensaje de error y el archivo o carpeta no será auditado.