10 geriausių įsilaužimo būdų, kuriuos turėtumėte žinoti

Ar nerimaujate, kokie pavojingi gali būti įsilaužėliai? Čia pateikiami populiariausi įsilaužimo būdai ir jų keliami pavojai.

  • Nnamdi OkekeBy
  • Atnaujinta
  • Skaitymo laikas9 min
Hakerių

Interneto technologijų plėtra atnešė daug augimo ir verslo galimybių, taip pat naujų įsilaužimo metodų.

Nuo privačių socialinės žiniasklaidos vartotojų iki mažų įmonių ir didelių korporacijų – šiuolaikinio įsilaužėlio aukų skaičius yra didžiulis.

Todėl jūsų interesas yra suvokti galimus pavojus, kurie tyko žiniatinklį, ir turėti reikiamos informacijos, kaip sumažinti šias grėsmes saugumui. Šis įrašas šiek tiek nušviečia.

Turinys paslėpti
Populiariausi įsilaužimo metodai
Išvada

Populiariausi įsilaužimo metodai

Čia yra populiariausi įsilaužimo būdai:

1. Socialinė inžinerija

Socialinė inžinerija yra manipuliavimo potencialia auka procesas, siekiant atskleisti svarbią informaciją arba imtis tam tikrų veiksmų, kurie užpuolikui suteiks reikiamą prieigą. Yra daug būdų, kaip kreiptis į socialinę inžineriją, pavyzdžiui, paskambinti aukai telefonu ir prašyti neskelbtinos informacijos. Šis metodas vadinamas vizavimas ir dažnai naudojamas banko informacijai rinkti iš nieko neįtariančių aukų, kurios mano, kad kitame gale yra tikras banko darbuotojas.

Kitas populiarus metodas yra phishing, kaip ir telefono metodas, jis apima apsimetinėjimą. Čia tai gali būti netikra banko svetainė, kuri 100 % atrodo kaip pirminė banko svetainė. Auka gauna el. laišką arba tekstinį pranešimą su nuoroda į netikrą svetainę, kuriame prašoma skubiai atnaujinti savo duomenis saugumo sumetimais. Tačiau visą informaciją, įvestą netikroje svetainėje, užpuolikas nukopijuoja ir panaudoja aukos paskyrai ištuštinti.

Kiti būdai yra tai, kad įsilaužėlis susidraugauja su auka ir palaipsniui įgyja prieigą prie reikiamos informacijos, arba apsimeta autoritetu, pavyzdžiui, vyriausybės tarnautoju, viršininku ar saugumo agentu, kad įbaugintų auką, kad ji atskleistų informaciją.

Būdai, kaip netapti socialinės inžinerijos auka, yra nepasitikėti nepažįstamais žmonėmis, visada tikrinti, ar esate tinkamoje svetainėje su „https://” ir niekada neišduokite savo slaptažodžių ar PIN kodų, nesvarbu.

2. Pasiklausymas

Kitas pavojingas įsilaužimo būdas – pasiklausymas. Tai pavojinga, nes yra tiek daug būdų, kaip tai padaryti, ir informacijos, kurią įsilaužėlis gali gauti, kiekis neribojamas.

Metodų pavyzdžiai apima tinklo paketų uostymą, kad būtų galima išgauti informaciją naudojant tinklo analizatoriaus programinę įrangą, pvz., wireshark. Kitas būdas – aukos kompiuteryje ar išmaniajame telefone įdiegti nedidelę programėlę, kuri registruoja kiekvieną klavišo paspaudimą arba fiksuoja visą tekstinį ryšį.

Kiti pasiklausymo būdai apima tarpininko atakas, leidžiančias įsilaužėliams perduoti informaciją dviem šalims, kai jos mano, kad bendrauja tiesiogiai. Pavyzdžiui, GSM tinklai automatiškai susieja su stipriausiu signalu, todėl apgaudinėjant konkretaus tinklo GSM bokštą, visi mobilieji telefonai toje srityje automatiškai susieja su įsilaužėliu ir perduoda informaciją per jo sistemą.

3. Seansų ir slapukų užgrobimas

Naršyklės ir programos bendrauja su serveriais naudodamos sesijos. Norėdami pradėti seansą su serveriu, vartotojas pirmiausia turi identifikuoti save naudodamas prisijungimo / slaptažodžio derinį ir galbūt 2 faktorių autentifikavimą. Patvirtinus vartotojo tapatybę, serveris pradeda seansą su vartotojo naršykle, kurio metu nereikia daugiau tikrinti, kol vartotojas neatsijungia.

Viena nedidelė problema yra ta, kad serveris saugos a sausainis autentifikuotame vartotojo kompiuteryje arba pridėkite sesijos ID prie URL, sakydami kažką panašaus šis vartotojas yra geras, jūs gaunate dreifą. Tačiau problema yra ta, kad jei įsilaužėlis gali pavogti tuos slapukus arba seanso ID, tada jis įgyja prieigą prie tos ribotos aplinkos, kurią auka turėjo patvirtinti, kad į ją patektų. Tada jis gali skelbti įrašus, pervesti pinigus ar daryti bet ką, kas jam patinka.

Dabar yra daug būdų tai pasiekti:

  1. XSS arba Cross-Site Scripting – Tai reiškia, kad auka apgaudinėjama, kad spustelėtų nuorodą į teisėtą svetainę, tačiau tai apima „JavaScript“ kodą, kad būtų pavogti tos teisėtos svetainės slapukus ir išsiųsti juos į įsilaužėlio svetainę.
  2. Seanso uostymas – Įsilaužėlis gali naudoti tinklo uostytojus, tokius kaip „Wireshark“, kad perimtų sesijos ir slapukų informaciją.
  3. Seanso fiksavimas – Užpuolikas siunčia aukai saitą, kuriame yra seanso ID. Jei auka prisijungia ir sistemai nepavyksta sugeneruoti naujo seanso ID, įsilaužėlis gali naudoti tą patį seanso ID prisijungimui. Sprendimas čia yra tas, kad sistema visada generuotų naują seanso ID po kiekvieno prisijungimo.
  4. Sesijos dovanojimas – Įsilaužėlis prisijungia prie teisėtos svetainės, tada siunčia nuorodą su seanso duomenimis aukai, prašydamas atnaujinti informaciją. Auka matys, kad yra prisijungęs, ir jei nepastebės, kad tai ne jo paskyra, gali įvesti neskelbtiną informaciją, kurią įsilaužėlis vėliau gali pavogti. Vienas iš sprendimų yra visada atsijungti, kai baigsite.

4. XSS ir CSRF

Kaip jau minėta, XSS reiškia Cross-Site Scripting, o CSRF reiškia Cross-Site Request Forgery. Turėtumėte atkreipti dėmesį į tai, kad XSS neapsiriboja įprastomis slapukų vagystėmis, nes tai susiję su scenarijaus paleidimu puslapyje, kuriuo auka pasitiki prisijungdama prie kitų, mažiau patikimų svetainių.

Auka neturi būti prisijungusi, autentifikuota ar imtis jokių veiksmų, kad patektų į XSS ataką, kuri paprastai yra automatinė. Tačiau naudojant CSRF, auka turi būti prisijungusi prie konkrečios svetainės ir papildomai imtis veiksmų, pavyzdžiui, spustelėti mygtuką.

Pavyzdžiui, auka Bobas yra prisijungęs prie savo banko svetainės, tada kažkas atitraukia jo dėmesį ir jis patenka į svetainę, kurioje siūloma Nemokamos atostogos į Makao, jam tereikia paspausti mygtuką. Tačiau kai jis jį spustelėja, svetainė pateikia jo bankui pinigų pervedimo užklausą, o kadangi jis aktyviai bendradarbiauja su banku, jis gali būti įvykdytas. 

Užpuoliko svetainei tereikia sukurti formą, nukreiptą į banką su tinkamais laukais, tokiais kaip:

5. Hotspot Honeypot

Ar kada nors naudojote nemokamą „WiFi“ prieigą prie žiniatinklio? Tikimės, kad apsisaugodami naudojote VPN (virtualųjį privatų tinklą), kitaip galėjote tapti medaus puodo auka.

Schema tokia: įsilaužėlis užkulisiuose sukuria nemokamą „WiFi“ viešosios interneto prieigos tašką su paketų šnipinėjimu, kad nemokamai paimtų slaptažodžius ir kitas vertybes iš naršančių internete. Kai kurie netgi įsteigia netikrus įmonių viešosios interneto prieigos taškus, tokius, kokius rastumėte kavinėse, oro uostuose ir restoranuose.

Norėdami išvengti tokių įsilaužimų, tiesiog būkite atokiau nuo nemokamų viešosios interneto prieigos taškų arba naudokite VPN, jei turite naudoti viešąjį „WiFi“.

6. Brute Force

Brute force ataka – tai bandymas prisijungti prie aukos paskyros, išbandant visas įmanomas vartotojo vardo ir slaptažodžio kombinacijas. Tai taip pat gali reikšti algoritmo nulaužimą bandant kuo daugiau klavišų.

Kali Linux, populiari įsilaužėlių operacinė sistema, pateikiama su žiaurios jėgos įrankiais, tokiais kaip Johnas Ripperis, įtrūkimas, bei hidra. Taip pat yra žodžių sąrašų, kurie padeda atakuoti žodynus. Juose yra populiariausių slaptažodžių ir žodžių iš žodyno sąrašas, pvz., beždžionė, 12345, slaptas slaptažodis, 00000,  ir taip toliau.

Metodai, kaip išvengti žiaurios jėgos atakų, apima „captcha“ įtraukimą į prisijungimo puslapį, prisijungimo bandymų skaičiaus ribojimą ir saugių slaptažodžių – 8 ar daugiau simbolių – su simbolių, skaičių ir didžiųjų bei mažųjų raidžių deriniu. laiškus.

7. DoS ir DDoS

DoS reiškia Tarnybos atsisakymas ataka, o DDoS reiškia Platinama Denial of Service puolimas. Šiuo atveju siekiama kompiuterinę sistemą, pvz., serverį, apkrauti tiek daug užklausų, kad ji nebegalėtų įvykdyti tolesnių užklausų – atsijungtų.

DoS ateina iš vieno įrenginio ir yra lengva pastebėti ir blokuoti. Kita vertus, DDoS ateina iš kelių kompiuterių ir tai gali būti visame pasaulyje išplitęs botnetas, dažnai kilęs iš kompiuterių, užkrėstų kenkėjiška programa.

Turėtumėte atkreipti dėmesį, kad skirtingai nuo daugelio kitų šiame sąraše esančių metodų, DDoS atakomis nesiekiama pavogti ar vykdyti kenkėjiško kodo aukos kompiuteryje. Atvirkščiai, jie naudojami verslo serveriams apgulti, nes šios įmonės negali tęsti savo paslaugų, kol bus sumokėta išpirka.

Paprasčiausias būdas išvengti DDoS atakų – naudoti žiniatinklio prieglobą, kurios siūlomame pakete yra DDoS apsauga.

8. Tikslinės ir netikslinės svetainės atakos

Tikslinė ataka yra ataka, nukreipta būtent į aukos svetainę, o netikslinė ataka įvyksta prieš svetainę, nes užpuolikas pasinaudojo bendru programinės įrangos trūkumu.

Pavyzdžiui, „WordPress“ svetainės yra linkusios į netikslinius atakas, ypač tos, kurios veikia senesnėse, neatnaujintose versijose. Užpuolikas aptinka išnaudojimą, kuris veikia su tam tikra platforma, versija ar kūrimo sistema, tada paleidžia išnaudojimą per platformą naudojančių svetainių adresų sąrašą, kad pamatytų, kurie iš jų sugenda.

Tikslinių atakų atveju įsilaužėlis praleis šiek tiek daugiau laiko susipažindamas su aukos svetaine, o tai gali trukti nuo kelių dienų iki kelių mėnesių. Tikslinės atakos paprastai yra pavojingesnės ir gali būti pražūtingos, ypač didelėms įmonėms.

9. SQL įpurškimas

Kada LulzSec 2011 m. įsiveržė į Sony PlayStation Network serverius ir pavogė 1 milijoną slaptažodžių, jie apibūdino operaciją kaip paprastą SQL injekcijos įsilaužimą.

SQL įpurškimas – tai veiksmas, kai į svetainės užklausos adresą įtraukiamos SQL kalbos direktyvos, tikintis, kad programuotojas neišvalė tokių potencialiai žalingų įvesties elementų. O kai veikia SQLi, įsilaužėlis dažnai gauna administratoriaus prieigą prie duomenų bazės, kaip atsitiko Sony.

Užkirsti kelią SQL įterpimui galima naudojant naujausias populiarių platformų ir sistemų versijas. Tačiau tie, kurie kuria patys, turės sutelkti dėmesį į tinkamą įvesties patvirtinimą, paruoštų teiginių naudojimą, saugomas procedūras ir pažeidžiamumo nuskaitymą.

10. Įskiepių pažeidžiamumas

Kita vertus, neskaitant pagrindinių saugumo problemų, susijusių su populiariomis platformomis, tokiomis kaip „WordPress“, kurių dažnai galima išvengti atnaujinus į naujausias programinės įrangos versijas, papildiniai gali sukelti didelę įsilaužimo grėsmę.

„WordPress“ ekosistemoje yra daugiau nei 50,000 XNUMX papildinių, ir kiekvienas iš jų kelia galimą pavojų saugumui, nes dauguma dabartinių „WordPress“ įsilaužimų kyla dėl šių papildinių spragų.

Nors 100 % saugumo čia neįmanoma, vis tiek galite pagerinti svetainės apsaugą nuo įskiepių pažeidžiamumo pasirinkę tik aukščiausios kokybės įskiepius su aukštais įvertinimais. Tada reguliariai atnaujinkite pagrindinę sistemą ir papildinius ir nenaudokite senų temų ar bet kokių plėtinių.

Išvada

Mes išvardijome 10 geriausių įsilaužėlių metodų, o jūs matėte jų priežastis ir galimus prevencijos metodus. Kaip jūs taip pat padarėte išvadą, įsilaužimas yra kompiuterių pasaulio dalis, todėl su įsilaužimo grėsmėmis visada reikia atsižvelgti. 

Tačiau žinodami apie šias grėsmes ir prireikus taikydami tinkamas apsaugos priemones, jūs taip pat galite drastiškai sumažinti įsilaužimo riziką.

Nnamdi Okeke

Nnamdi Okeke

Nnamdi Okeke yra kompiuterių entuziastas, mėgstantis skaityti įvairias knygas. Jis teikia pirmenybę „Linux“, o ne „Windows“ / „Mac“ ir naudoja
Ubuntu nuo pirmųjų dienų. Galite sugauti jį Twitter per bongotraksas

Straipsniai: 298

Gaukite techninių dalykų

Technikos tendencijos, paleidimo tendencijos, apžvalgos, pajamos internetu, žiniatinklio įrankiai ir rinkodara kartą ar du per mėnesį

Susiję straipsniai

Dalintis
Kopijuoti nuorodą
×