Актуальные уязвимости в системах контроля доступа | Статья в журнале «Молодой ученый»

Отправьте статью сегодня! Журнал выйдет 5 февраля, печатный экземпляр отправим 9 февраля.

Опубликовать статью в журнале

Автор:

Рубрика: Информационные технологии

Опубликовано в Молодой учёный №44 (282) ноябрь 2019 г.

Дата публикации: 01.11.2019

Статья просмотрена: 213 раз

Библиографическое описание:

Миланович, Е. А. Актуальные уязвимости в системах контроля доступа / Е. А. Миланович. — Текст : непосредственный // Молодой ученый. — 2019. — № 44 (282). — С. 88-91. — URL: https://moluch.ru/archive/282/63501/ (дата обращения: 28.01.2022).



Контроль доступа предотвращает несанкционированный доступ к объектам, которые включают доступ к информационным системам, таким как линии связи, сети, компьютеры, услуги и конфиденциальные данные. Методы защиты информации в сочетании с контролем доступа обеспечивают защиту от несанкционированного раскрытия и изменения информации.

С другой стороны, нарушение контроля доступа продолжает оставаться самой распространенной уязвимостью веб-приложений. Эта уязвимость концептуально проста — приложение позволяет пользователю делать то, на что у него нет разрешений. Несколько атак могут быть успешны, просто используя эту уязвимость. В этой статье будут рассмотрены самые актуальные и распространенные атаки нарушения контроля доступа, которые пытаются обойти методы управления доступом.

Переполнение буфера или стека

На сегодняшний день это открывает двери для наиболее распространенных и успешных системных атак. Хотя оно часто сопровождается атаками DoS, что, в свою очередь, делает ресурс недоступным, переполнение стека в приложении или системе может помочь злоумышленнику получить несанкционированный доступ к каталогу или системе. Как правило, переполнение происходит, когда протокол или приложение пытается сохранить информацию за пределами своих выделенных ресурсов. Это может привести к повреждению данных, находящихся в стеке, или к аварийному завершению приложения, или к другому ошибочному или неожиданному поведению. Например, Teardrop Attack — тип атаки переполнения стека, использует уязвимости протокола IP.

Агрегированные атаки доступа

Атаки на регулирование доступа обычно крадут учетные данные пользователя и подражают ему для создания некоторых предварительных пассивных атак. Одной из таких атак является агрегация доступа, которая объединяет несколько нечувствительных данных для получения конфиденциальных данных. Например, данные о рождении, в совокупности с именем, могут быть паролем пользователя.

Разведывательные атаки — это атаки агрегации доступа, которые объединяют несколько инструментов для сбора системных показателей, таких как баннер сервера, IP-адрес, открытые порты и операционная система, для запуска атаки.

Атака на пароли

Поскольку пароли являются самой слабой формой аутентификации, злоумышленники могут легко преуспеть в этой атаке и получить доступ к ресурсам, которые доступны для взломанной учетной записи. Если злоумышленник обошел пароль администратора или root, он может получить доступ к любой другой учетной записи, а также к ее ресурсам. В худшем случае злоумышленник создает другие учетные записи в качестве бэкдора для последующего доступа к приложению.

Злоумышленники выполняют атаки на пароли, используя несколько методов, таких как:

  • Атака по словарю

Под атакой по словарю понимается попытка найти пароль путем применения каждого возможного пароля в списке ожидаемого пароля или предопределенной базы данных. База данных атаки по словарю обычно включает символы, которые обычно не встречаются в общем словаре, но часто используются в качестве паролей.

  • Атака перебором (Brute-Force)

Brute-Force включает в себя перебор каждой возможной комбинации цифр, букв, а также символов для обнаружения пароля. Вместо ручного перебора злоумышленники используют программы, с помощью которых проверяют все комбинации автоматически. Они также могут усиливать гибридные атаки, выполняя атаку методом перебора после атак по словарю. В настоящее время, в качестве улучшенной защиты, пароли не хранятся и не передаются в виде открытого текста, а в хешированном виде. Однако некоторые инструменты для атаки на пароли теперь достаточно компетентны для поиска паролей с таким же значением хеш-функции, что и в базе данных учетных записей. Следовательно, злоумышленникам не нужно находить действительный пароль, вместо этого они могут использовать пароль, который дает такое же значение хеш-функции.

  • Атака по радужным таблицам (Rainbow Table Attack)

Такие процессы, как угадывание пароля, его хеширование и сравнение с целевым паролем занимают очень много времени. Однако злоумышленники сократили время с помощью радужной таблицы, в которой можно найти предварительно вычисленные значения хеш-функции для угаданных паролей. Взломщик может сравнивать каждое хеш-значение в радужной таблице в противовес хеш-значениям в захваченном файле базы данных. Вместо того, чтобы тратить время на угадывание паролей и вычисление хэшей, здесь они сравнивают только хэши, чтобы взломать пароль.

  • Прослушивание сети (Sniffer Attacks)

Он также известен как сниффинг, анализатор пакетов или анализатор протоколов. Он использует анализаторы для мониторинга трафика и собирает информацию, передаваемую по сети. С помощью сниффера злоумышленник может получить любую информацию, включая общие ключи, имена пользователей и пароли, переданные в виде открытого текста.

Атаки подмены

Она также известна как маскирующая атака, которая включает в себя доступ к ИТ-системе с использованием чужих учетных данных. Существуют различные типы атак подмены, такие как:

  • Подмена IP-адреса: злоумышленник заменяет исходный IP-адрес поддельным, чтобы выдать себя за систему или скрыть свою личность;
  • Подмена электронной почты: злоумышленник заменяет поле «от кого» в электронной почте, чтобы создать впечатление, что это электронное письмо отправлено надежным источником;
  • Подмена номера телефона: злоумышленник подделывает номер телефона с помощью идентификатора вызывающего абонента. Этот метод обычно используется в системах VoIP (Voice Over Internet Protocol).

Атаки социальной инженерии

Атака социальной инженерии заставляет жертву выполнить действие, которое он обычно не выполняет, или раскрыть информацию, которой она обычно не делится. В этот тип атаки вовлечен широкий спектр техник, таких как:

  • Плечевой серфинг: социальные инженеры пытаются прочитать информацию на экране через плечо жертвы.
  • Фишинг: это вид интернет-мошенничества, целью которого является получение доступа к конфиденциальным данным пользователей [3] в результате нажатия на ссылку или открытия вложения. Кроме того, эта атака также намеревается установить вредоносную программу.
  • Квид про кво (услуга за услугу): данный вид атаки подразумевает обращение злоумышленника в компанию по корпоративному телефону (используя актёрское мастерство [1]) или электронной почте. Зачастую злоумышленник представляется сотрудником технической поддержки, который сообщает о возникновении технических проблем на рабочем месте сотрудника и предлагает помощь в их устранении. В процессе «решения» технических проблем злоумышленник вынуждает цель атаки совершать действия, позволяющие атакующему запускать команды или устанавливать различное программное обеспечение на компьютере жертвы. [2]
  • Телефонный фишинг: эта атака делает автоматический звонок жертве, объясняющей проблему с их банковским счетом или другим важным счетом. Это подталкивает пользователя к вводу конфиденциальных данных, таких как номер кредитной карты или код безопасности, для проверки информации. Эта атака происходит путем подмены номера телефона для маскировки действующего банка или другого финансового учреждения.

Атаки с помощью смарт-карт

Хотя смарт-карта обеспечивает лучший контроль аутентификации, чем пароль, она также может быть подвержена атакам контроля доступа. Атака по побочному каналу, разновидность атаки с использованием смарт-карт, направлена на наблюдение за функционированием устройства. Успешная атака может заставить злоумышленника наблюдать ценную информацию, присутствующую на смарт-карте, например, ключ шифрования. Эта атака обнаруживает информацию, анализируя детали, передаваемые считывателю, или измеряя энергопотребление с помощью атаки мониторинга мощности.

Атаки отказа в обслуживании

Отказ в обслуживании или DoS блокирует систему от обработки или ответа на любые запросы или доступ к ресурсам. При сбое управления доступом злоумышленники берут на себя управление системой и вынуждают зараженную систему перезагружаться или иногда потребляют ее ресурсы. Следовательно, он больше не может продолжать свою работу.

Различные атаки могут быть успешными за счет использования уязвимостей взлома контроля доступа. Организация должна предпринять серьезные усилия для укрепления системы контроля доступа для предотвращения этих атак.

Литература:

  1. Социальная инженерия [электронный ресурс]. Режим доступа: https://ru.wikipedia.org/wiki/Социальная_инженерия
  2. Никишова А. В., Чурилина А. Е. Программный комплекс обнаружения атак на основе анализа данных реестра// Вестник ВолГУ. Серия 10. Инновационная деятельность. Выпуск 6. 2012 г. В.: Изд-во ВолГУ, 2012, стр. 152–155
  3. Федеральная торговая комиссия [электронный ресурс]. Режим доступа: https://www.consumer.ftc.gov/articles/how-recognize-and-avoid-phishing-scams
Основные термины (генерируются автоматически): атака, злоумышленник, данные, пароль, электронная почта, эта, значение хеш-функции, подмен номера телефона, радужная таблица, социальная инженерия.


Похожие статьи

Основные виды атак социальной инженерии | Статья в журнале...

Социальная инженерия — метод получения необходимого доступа к информации, основанный на особенностях психологии людей. Основной целью социальной инженерии является получение доступа к конфиденциальной информации, паролям...

Социальная инженерия, ее техники и меры противодействия

Социальная инженерияэто совокупность методов несанкционированного доступа к

Примером атаки может служить следующие ситуации. Мошенник хочет узнать пароль от

Для того, чтобы вызвать доверие к себе злоумышленник может назвать вымышленное или...

Социальная инженерия и информационная безопасность

Социальная инженерия используется ежедневно обычными людьми в повседневных ситуациях.

Социальная инженерияэто инструмент для достижения цели. Цель может иметь как

Электронные почты или аккаунты в социальных сетях подвергаются взлому...

Сетевые атаки. Виды. Способы борьбы | Статья в сборнике...

Рассмотрим способы защиты от данной атаки. Давать адрес электронной почты только

Phishing (фишинг) - процесс обмана или социальная разработка клиентов организаций для

Чтобы реализовать такой атаки злоумышленнику необходимо знать MAC адрес клиента...

Исследование механизма криптозащиты RFID-карты Hitag и его...

Данные алгоритмы шифрования на сегодняшний день не являются криптостойкими, что подтверждается приведенными в этой работе способами атаки. Кроме того, карты имеют явные уязвимости при реализации, позволяющие взломщику выполнить эффективные атаки.

Фишинг как основной метод социальной инженерии в схемах...

Атаки с использованием методов социальной инженерии на текущий момент являются одним из самых опасных и распространенных видов атак

Библиографическое описание: Гуськова А. М. Фишинг как основной метод социальной инженерии в схемах финансового мошенничества...

Угрозы безопасности информации на игровых сервисах и методы...

В данной статье рассмотрены основные виды угроз безопасности информации пользователей на игровых сервисах, способы реализации таких угроз и методы защиты от них. Ключевые слова: игровой сервис, видеоигры, фишинг, DDoS-атака, социальная инженерия, атака грубой силой...

Анализ методов аутентификации при использовании банковских...

Среди всех хищений данных можно выделить отдельную группу — кражу банковских данных, в частности данных по пластиковым картам. В качестве одного из механизмов защиты данных стоит рассматривать процедуру аутентификации держателя карты в системе.

Проблема разработки комплекса мер по противодействию атакам...

Социальная инженерия — один из наиболее опасных и актуальных векторов атак на

Они остаются неизменными, и злоумышленники давно научились ими пользоваться.

Как можно заметить, создание комплекса мер по противодействию социальной инженерии — задача...

Похожие статьи

Основные виды атак социальной инженерии | Статья в журнале...

Социальная инженерия — метод получения необходимого доступа к информации, основанный на особенностях психологии людей. Основной целью социальной инженерии является получение доступа к конфиденциальной информации, паролям...

Социальная инженерия, ее техники и меры противодействия

Социальная инженерияэто совокупность методов несанкционированного доступа к

Примером атаки может служить следующие ситуации. Мошенник хочет узнать пароль от

Для того, чтобы вызвать доверие к себе злоумышленник может назвать вымышленное или...

Социальная инженерия и информационная безопасность

Социальная инженерия используется ежедневно обычными людьми в повседневных ситуациях.

Социальная инженерияэто инструмент для достижения цели. Цель может иметь как

Электронные почты или аккаунты в социальных сетях подвергаются взлому...

Сетевые атаки. Виды. Способы борьбы | Статья в сборнике...

Рассмотрим способы защиты от данной атаки. Давать адрес электронной почты только

Phishing (фишинг) - процесс обмана или социальная разработка клиентов организаций для

Чтобы реализовать такой атаки злоумышленнику необходимо знать MAC адрес клиента...

Исследование механизма криптозащиты RFID-карты Hitag и его...

Данные алгоритмы шифрования на сегодняшний день не являются криптостойкими, что подтверждается приведенными в этой работе способами атаки. Кроме того, карты имеют явные уязвимости при реализации, позволяющие взломщику выполнить эффективные атаки.

Фишинг как основной метод социальной инженерии в схемах...

Атаки с использованием методов социальной инженерии на текущий момент являются одним из самых опасных и распространенных видов атак

Библиографическое описание: Гуськова А. М. Фишинг как основной метод социальной инженерии в схемах финансового мошенничества...

Угрозы безопасности информации на игровых сервисах и методы...

В данной статье рассмотрены основные виды угроз безопасности информации пользователей на игровых сервисах, способы реализации таких угроз и методы защиты от них. Ключевые слова: игровой сервис, видеоигры, фишинг, DDoS-атака, социальная инженерия, атака грубой силой...

Анализ методов аутентификации при использовании банковских...

Среди всех хищений данных можно выделить отдельную группу — кражу банковских данных, в частности данных по пластиковым картам. В качестве одного из механизмов защиты данных стоит рассматривать процедуру аутентификации держателя карты в системе.

Проблема разработки комплекса мер по противодействию атакам...

Социальная инженерия — один из наиболее опасных и актуальных векторов атак на

Они остаются неизменными, и злоумышленники давно научились ими пользоваться.

Как можно заметить, создание комплекса мер по противодействию социальной инженерии — задача...

Задать вопрос