# Риски, угрозы и моделирование угроз корпоративной инфраструктуры ## 1. Fishing! **Что такое фишинг?** > *Фишинг — это набор методик, которые используют злоумышленники, чтобы стащить личную информацию, какой-нибудь логин с паролем или данные кредитных карточек. Эти техники отличаются от других вариантов взлома подходом к взаимодействию с жертвой. Внедрение вирусов или DOS-атака зачастую направлены на программное обеспечение. Фишинг же завязан на контакте с живым человеком, который, в силу отсутствия навыков работы с компьютером или банальной наивности, сам подставится под хакера и выдаст ему что-то конфиденциальное.* ### **1.1. Как работает фишинг?** --- ### **a. «Официальные» электронные письма** >*Вам приходит письмо якобы от крупной компании, чьими услугами вы пользуетесь. В письме есть всякие логотипы, адреса, да и название ящика вроде тоже официальное. Но просьба странная. Просят либо отправить свой логин с паролем, либо пройти по какой-нибудь подозрительной ссылке для подтверждения учетной записи (еще иногда приписывают, что скоро ее удалят, если этого не сделать). Жертва не видит угрозы, доверяет крупному бизнесу и попадается на эту уловку. В итоге или «сливает» злоумышленникам персональные данные для входа в условный Apple ID, или скачивает на компьютер вирус собственными руками.* ### **b. Подставные сайты** >*В ход идут веб-сайты. Подставные сайты редко пробираются в выдачу поисковиков на адекватные позиции, и встретить их там непросто. А вот ошибиться при вводе адреса сайта вручную или наткнуться на фальшивку в мессенджере или почтовом клиенте можно. >Зачастую ссылка выглядит как официальная. Ну, может, домен другой или один символ отсутствует. Мало кто станет на такое обращать внимание? Страница тоже выглядит привычно, без изысков. Есть поле для ввода логина и пароля. Только это форма отправки логина и пароля злоумышленникам.* ### **1.2. Как защить себя от фишинга?** > Знание о том, что такое фишинг, уже помогает себя защитить. Как минимум повысится бдительность и возникнет четкое понимание того, что в интернете слишком много персонажей, желающих стащить у вас персональные данные или деньги. ### **a. Изучаем техники фишинга** > Злоумышленники постоянно выдумывают что-то новое, учатся обходить спам-фильтры, ищут новые пути добраться до почтовых ящиков людей, лучше оформляют подставные веб-сайты, ищут подход к жертвам и натаскивают себя в психологии, чтобы увести побольше добычи. Поэтому лучше интересоваться темой и время от времени посещать новостные сайты о безопасности в интернете. Так можно побольше разузнать о проблеме и быть подготовленным. ### **b. Дважды думаем, прежде чем перейти по какой-либо ссылке** ### **c. Используем программы для защиты от фишинга** ### **d. Смотрим на содержимое адресной строки** > Некоторые злоумышленники делают подставные страницы, оставляя очевидные ошибки в адресе. vkantakte.ru, aple.net, netlixx.com. Бывают и более завуалированные. Те, кто похитрее, используют специальные символы, что похожи на английские буквы, но таковыми не являются. Поэтому спокойно регистрируют домен с названием популярной компании. Отличить почти нереально. Также стоит обращать внимание на наличие SSL-шифрования. В адресной строке должен отображаться значок в виде навесного замка. Но опять же это не показатель. Мошенники до того преисполнились в своем мастерстве, что заказывают сертификаты для своих подставных сайтов. И это работает. ## **2. DNS-спуфинг, или отравление кэша DNS** ### 2.1. Что такое DNS-спуфинг? >DNS-спуфинг, или отравление кэша DNS, представляет собой кибератаку, при которой ложная информация о системе доменных имен (DNS) вводится в кэш распознавателя DNS. Это приводит к тому, что DNS-запросы возвращают неправильный ответ, который обычно перенаправляет пользователей с законного веб-сайта на вредоносный веб-сайт, предназначенный для кражи конфиденциальной информации или установки вредоносного ПО. Существует ряд причин, по которым подмена DNS возможна, но основная проблема заключается в том, что DNS был построен в 1980-х годах, когда Интернет был намного меньше, а безопасность не была основной проблемой. Таким образом, не существует встроенного способа проверки достоверности данных, которые они хранят, и неправильная информация DNS может оставаться до истечения срока жизни (TTL) или вручную. ### 2.2. Как работает кэширование DNS? > Чтобы повысить производительность, устройства будут кэшировать (запоминать) преобразование доменного имени в IP-адрес, так что в следующий раз, когда вы попросите перейти на веб-сайт, ему не нужно будет запрашивать серверы доменных имен в течение определенного периода времени, известного как время жизни (TTL). По истечении срока жизни процесс повторяется. В целом, это хорошо, так как это экономит время и ускоряет Интернет. Однако при успешных DNS-атаках изменяются параметры DNS и предоставляется распознавателю DNS неправильный IP-адрес, трафик может идти в неправильное место до истечения срока жизни или исправления кэшированной информации вручную. Когда распознаватель получает ложную информацию, это известно как атака отравления кэша DNS, и говорят, что у сопоставителя есть отравленный кэш DNS. При этом типе атаки распознаватель может вернуть неправильный IP-адрес, перенаправляя трафик с реального веб-сайта на поддельный веб-сайт. ### 2.3. Как злоумышленники отравляют кэш DNS? >Отравление DNS или атаки DNS-спуфинга работают путем олицетворения DNS-серверов имен, запроса к распознавателю DNS, а затем подделки ответа, когда техника запрашивает сервер имен. Это возможно, потому что DNS использует UDP, незашифрованный протокол, который позволяет легко перехватывать трафик с помощью спуфинга, а DNS-серверы не проверяют IP-адреса, на которые они направляют трафик. #### Существует два распространенных метода отравления кэшей DNS: 1. MITM: Перехват связи между пользователями и DNS-сервером с целью маршрутизации пользователей на другой или вредоносный IP-адрес. В этом случае злоумышленник находится между распознавателем-заглушкой компьютера и рекурсивным резольвером, отправляя обратно поддельный результат DNS. 2. Компрометация DNS-сервера: Этот тип атаки возникает, когда злоумышленник получает прямой доступ к DNS-серверу домена, как правило, с помощью целевого фишинга, и обновляет записи DNS, чтобы они указывали на вредоносный веб-сайт. Этот тип атаки также известен как захват DNS. > Причина, по которой это работает, заключается в том, что в отличие от TCP, который полагается на то, что обе взаимодействующие стороны выполняют «рукопожатие» для инициирования связи и проверки подлинности устройств, DNS-запросы и ответы полагаются на UDP или user Datagram Protocol. С UDP нет никакой гарантии, что соединение открыто, что получатель готов к получению или что отправитель является тем, за кого себя выдает. Это делает UDP-коммуникации уязвимыми для атак MITM, злоумышленник может отправить сообщение через UDP, притворяясь, что он является законным сервером доменных имен, подделывая данные заголовка. Если принимающий РАСПОЗНАВАТЕЛЬ DNS принимает поддельный ответ и кэширует, что может произойти, так как нет возможности проверить, является ли информация точной и поступает из законного источника. С учетом сказанного, атаки DNS-спуфинга нелегко осуществить, поскольку распознаватель DNS фактически запрашивает авторитетный сервер имен, давая злоумышленникам всего несколько миллисекунд, чтобы подделать ответ до получения реального ответа. ### 2.4. Как защититься от DNS-спуфинга? > Расширения безопасности системы доменных имен (DNSSEC или DNS Security Extensions) представляют собой набор спецификаций Internet Engineering Task Force (IETF), которые предназначены для защиты определенных видов информации, предоставляемой DNS. DNSSEC обеспечивает проверку подлинности DNS-данных, аутентифицированное отрицание существования и целостности данных, но не доступность или конфиденциальность. #### DNSSEC предоставляет две функции безопасности для DNS: * Аутентификация источника данных: Позволяет распознавателю криптографически проверять данные, поступающие из запрашиваемой зоны. * Защита целостности данных: Позволяет распознавателю знать, что данные не были изменены при передаче и изначально были подписаны закрытым ключом владельца зоны. #### Помимо DNSSEC, существуют и другие способы предотвращения спуфинга DNS: * Активный мониторинг: Данные DNS должны постоянно отслеживаться на предмет изменений, таких как появление нового внешнего хоста, которые могут быть индикатором компрометации * Исправление: Как и все остальное, DNS-серверы и программное обеспечение DNS могут быть уязвимы для эксплойтов и уязвимостей нулевого дня. Убедитесь, что тот, кто размещает ваши записи DNS, тщательно относится к управлению уязвимостями и управлению поверхностью атаки. * Обновления DNS: В более новых версиях DNS используется рандомизация портов и криптографически защищенные идентификаторы транзакций для защиты от злоумышленников DNS, убедитесь, что ваши серверы обновлены. * Политика паролей: Убедитесь, что вы используете надежные пароли и в идеале двухфакторную аутентификацию для учетной записи, которая управляет вашими записями DNS. И не забывайте об изменении паролей по умолчанию на сетевом оборудовании, таком как маршрутизаторы, которые могут подвергнуть опасности каждое устройство и пользователя в случае взлома. Для получения дополнительной информации ознакомьтесь с нашими руководствами по защите паролем и сетевой безопасности. ## 3. Использование SSH соеденение с внутренней Linux-"Машинкой" ### 3.1. Как это работает? >Злоумышленник приносит в компанию и приносит с собой, к примеру, мини-пк Raspberry Pi. >Подключив мини-пк в сеть, злоумышленник получает возможность подключаться из вне по ssh к своему девайсу. >Linux-машинка внутри корпоративной сети даёт злоумышленнику множество возможностей эксплуатации уязвимостей. Злоумышленник может насроесть VPN-туннель внутрь компании, использовать вредоносные скрипты для хищения информации и многое другое.