Более подробную информацию об Аароне Маргосисе вы можете найти по ссылкам:
• Troubleshooting with the Windows Sysinternals Tools (2-е издание): https://www.amazon.com/Troubleshooting-Windows-SysinternalsTools-2nd/dp/0735684448;
• Windows Sysinternals Administrator’s Reference: https://www.amazon.com/Windows-Sysinternals-Administrators-Reference-Margosis/dp/073565672X;
• блог Аарона Маргосиса о работе не-администратора: https://blogs.msdn.microsoft.com/Aaron_Margosis;
• технический блог Аарона Маргосиса на US Government Configuration Baseline (USGCB): https://blogs.technet.microsoft.com/fdcc;
• блог Аарона Маргосиса на Microsoft Security Guidance: https://blogs.technet.microsoft.com/SecGuide.
Во второй главе «Как хакеры взламывают» описывались различные способы, которыми злоумышленники пытаются использовать вычислительное устройство. Это физические нападения, уязвимости нулевого дня, устаревшие программы, социальная инженерия, пароли, проблемы, атака через посредника, утечка данных, DDoS-атаки, ошибки пользователей и вредоносные программы. Все эти атаки могут быть выполнены как на самом вычислительном устройстве, так и в сети, подключенной к вычислительному устройству.
Сетевые атаки могут произойти в любом месте модели Open Systems Interconnection (OSI) (https://en.wikipedia.org/wiki/OSI_model). Модель OSI – широко известная и используемая конструкция, показывающая различные уровни взаимодействия по сети и сетевому вычислительному устройству. У модели OSI есть семь уровней:
• физический;
• канальный;
• сетевой;
• транспортный;
• сеансовый;
• представительский;
• прикладной.
Взлом сети, а также устройств управления сетями может осуществляться на всех уровнях (сетевые устройства так же могут запускать приложения), при этом взлом компьютера в сети также может осуществляться на многих уровнях. Атака на физическом уровне осуществляется путем получения доступа, поломки или кражи сетевого оборудования. Для атак на канальном уровне используются сетевые мосты, коммутаторы, а также протоколы и стандарты этих уровней, например MAC-адрес устройства (https://en.wikipedia.org/wiki/MAC_address). Сетевой уровень отвечает за маршрутизацию, транспортный и сеансовый обеспечивают передачу данных на верхние уровни, а прикладной и представительский отвечают за отображение данных на устройстве или в приложении. Если в сетевой среде передачи данных работают несколько пользователей и нет дополнительной защиты, то всегда есть вероятность, что один узел сети может вмешиваться в работу других узлов. В следующих разделах описаны самые популярные виды сетевых атак.
Это несанкционированное прослушивание и/или запись приватного разговора, предназначенные для других целей. Несмотря на то что сейчас это не так успешно, много лет назад вы могли подключить приложение сетевого прослушивания к любой сети и видеть текстовые потоки разговоров и информацию об аутентификации. В Интернете есть множество бесплатных инструментов для захвата текстовых паролей. Есть и другие инструменты, которые позволяют захватывать файлы cookie. В большинстве случаев это не требует специальных знаний, необходимо лишь умение запускать программное обеспечение.
Атаки «через посредника» (MitM) также могут быть выполнены на любом уровне модели OSI. Атака MitM врывается в несанкционированный поток связи и притворяется уполномоченной стороной для всех других уполномоченных сторон. Большую часть времени вовлеченная оригинальная, законная сторона подвергается воздействию и часто выбивается из потока связи. MitM-атаки совершаются по тем же причинам, что и подслушивание, в том числе для просмотра и кражи личных данных. Тем не менее они также могут манипулировать коммуникационным потоком, чтобы изменить данные, например заменить «да» на «нет», когда кто-то задает вопрос или неправильно направляет одну или несколько прослушивающих сторон в несанкционированное место.
Сегодня у многих сетевых протоколов и приложений есть защита от атак MitM, но они не всегда включены по умолчанию, часто из-за проблем производительности или совместимости. Например, открытый стандарт DNSSEC был создан в 2004 году для предотвращения атак подмены DNS, но прошло уже более десяти лет, и менее 1 % DNS-серверов в мире используют его.
Атаки типа «отказа в обслуживании» (DDoS), возможно, наиболее распространенные и легкодоступные атаки в Интернете. Ежедневно в Интернете отправляются терабайты данных для прерывания работы законных сайтов и служб. DDoS-атаки могут атаковать на любом уровне модели OSI.
Существует множество средств защиты от сетевых атак, в том числе описанные в следующих разделах.
Изоляция домена означает создание безопасной границы между авторизованным и несанкционированным сетевым трафиком. Это можно сделать с помощью различных средств и методов, включая брандмауэры (как сетевые, так и на основе хостов), виртуальные частные сетевые подключения, IPSEC, маршрутизаторы, программно-определяемые сети и другие типы сетей. Если сетевая атака не может добраться до вашего устройства или сети, она, как правило, не сможет им навредить. Есть пограничные случаи, когда, например, DDoS-атака компрометирует зависимость восходящей или нисходящей сети, которая, в свою очередь, влияет на предполагаемую цель в любом случае. Но изоляция домена так или иначе защитит вас по крайней мере от части сетевых атак.