Podstawy bezpieczeństwa sieci
Wykład 5: Ataki sieciowe i reagowanie na incydenty
Strona główna Wykład 1 Wykład 2 Wykład 3 Wykład 4 Wykład 5 Wykład 6
1/20
Wprowadzenie: ciemna strona sieci
Witamy na ostatnim wykładzie z cyklu „Podstawy bezpieczeństwa sieci komputerowych". Dotychczas skupialiśmy się na budowaniu systemów obronnych: od kryptografii, przez zapory NGFW, aż po tunele VPN. Dzisiaj zmieniamy perspektywę i spojrzymy na infrastrukturę oczami agresora. Zrozumienie wektorów ataku i metodologii działania hakerów jest niezbędne, aby skutecznie projektować bezpieczne systemy. Przeanalizujemy zagrożenia występujące w różnych warstwach modelu OSI – od manipulacji adresami MAC po zmasowane ataki DDoS.
Haker planujący atak
2/20
Anatomia ataku: Cyber Kill Chain
Profesjonalny cyberatak to ustrukturyzowany proces, który rzadko opiera się na przypadku. Model Cyber Kill Chain, opracowany przez firmę Lockheed Martin, dzieli atak na siedem faz: 1. Rekonesans, 2. Uzbrojenie, 3. Dostarczenie, 4. Eksploatacja, 5. Instalacja, 6. Zdalne sterowanie (C2 – ang. Command & Control) oraz 7. Działania intruzywne (np. kradzież danych). Zrozumienie tych etapów pozwala zespołom obrony (Blue Team) na przerwanie łańcucha ataku przed osiągnięciem celu przez napastnika. Im wcześniej wykryjemy intruza, tym mniejsze będą potencjalne szkody.
Schemat Cyber Kill Chain
3/20
Rekonesans pasywny i aktywny
Zwiad to fundament każdego ataku. Rekonesans pasywny wykorzystuje techniki OSINT (ang. Open-Source Intelligence – wywiad ze źródeł otwartych). Atakujący analizuje publiczne rejestry domen, profile pracowników w mediach społecznościowych czy ogłoszenia o pracę, które zdradzają technologie używane w firmie. Rekonesans aktywny polega na bezpośredniej interakcji z systemami ofiary. Atakujący skanuje sieć, aby zidentyfikować aktywne urządzenia i otwarte porty. O ile działania pasywne są niemal niewykrywalne, o tyle gwałtowny skan aktywny powinien natychmiast wzbudzić alarm systemów monitoringu.
Analiza OSINT
4/20
Narzędzia aktywne: skaner Nmap
Najpopularniejszym narzędziem do aktywnego badania sieci jest Nmap (ang. Network Mapper). Pozwala on na identyfikację usług działających na konkretnych portach (np. HTTP na porcie 80). Kluczową funkcją jest tzw. OS Fingerprinting – analiza odpowiedzi stosu TCP/IP, która pozwala określić system operacyjny i jego wersję bez bezpośredniego logowania. Dzięki temu napastnik dowiaduje się, że serwer używa np. starej wersji systemu Windows Server z niezałataną luką bezpieczeństwa, co pozwala mu dobrać odpowiedni exploit.
Terminal Nmap
5/20
Sniffing: podsłuch w sieci lokalnej
Jeśli intruz uzyska fizyczny dostęp do infrastruktury (np. wpięcie do gniazdka w biurze), może przeprowadzić sniffing – przechwytywanie ramek danych krążących w sieci. Wykorzystując kartę sieciową w trybie promiscuous (tryb nasłuchu) oraz narzędzia takie jak Wireshark lub tcpdump, atakujący może analizować ruch niezaadresowany bezpośrednio do niego. W przypadku korzystania z nieszyfrowanych protokołów (np. HTTP, FTP, Telnet), atakujący jest w stanie odczytać loginy, hasła oraz treść przesyłanych dokumentów.
Analiza pakietów Wireshark
6/20
Spoofing i zatruwanie tablic ARP
Ataki w warstwie 2 (łącza danych) uderzają w fundamenty komunikacji lokalnej. Protokół ARP, służący do mapowania adresów IP na adresy MAC, jest domyślnie ufny i nie posiada mechanizmów weryfikacji. ARP Spoofing (fałszowanie ARP) polega na wysyłaniu spreparowanych komunikatów ARP, które informują inne urządzenia, że to atakujący jest bramą domyślną (routerem). Ofiary „zatruwają" swoje tablice ARP błędnymi wpisami i zaczynają kierować cały ruch wychodzący do Internetu bezpośrednio przez maszynę atakującego.
Schemat ARP Poisoning
7/20
Atak człowiek pośrodku (MitM)
Atak Man-in-the-Middle (MitM – człowiek pośrodku) to konsekwencja skutecznego spoofingu. Napastnik staje się pośrednikiem w komunikacji między ofiarą a resztą sieci. Wszystkie pakiety – od haseł po dane bankowe – przepływają przez jego komputer. Atakujący może nie tylko podsłuchiwać transmisję, ale również modyfikować ją w locie (np. zmieniać numer konta w przelewie bankowym). Dla ofiary połączenie wydaje się poprawne, ponieważ intruz przezroczyście przekazuje pakiety do właściwego celu, wcześniej je kopiując lub edytując.
Schemat ataku MitM
8/20
Ataki na dostępność: DoS
Nie każdy atak ma na celu kradzież danych. Często celem jest paraliż usług, czyli uderzenie w dostępność z triady CIA. Ataki DoS (Denial of Service) – odmowa usługi – polegają na zasypaniu serwera taką liczbą żądań, której nie jest on w stanie obsłużyć. Zasoby maszyny (procesor, pamięć RAM) zostają całkowicie pochłonięte przez przetwarzanie fałszywego ruchu, co sprawia, że legalni użytkownicy tracą dostęp do strony lub aplikacji. To nowoczesna forma sabotażu, mogąca przynieść ogromne straty finansowe i wizerunkowe firmie.
Zasypywanie serwera pakietami
9/20
Rozproszony atak odmowy usługi: DDoS
Klasyczny DoS z jednego komputera jest łatwy do zablokowania. Dlatego napastnicy wykorzystują DDoS (Distributed DoS) – rozproszony atak odmowy usługi. W tym scenariuszu atakujący kontroluje botnet – armię tysięcy zainfekowanych urządzeń (tzw. zombie), rozproszonych po całym świecie. Na komendę agresora wszystkie te maszyny jednocześnie uderzają w jeden cel. Skala takiego ataku potrafi przytłoczyć nawet potężne centra danych i systemy ochrony typu Firewall/IPS. Walka z DDoS wymaga często zaangażowania zewnętrznych systemów oczyszczania ruchu w chmurze.
Atak z Botnetu
10/20
Złośliwe oprogramowanie: wirusy a robaki
Współczesne malware (złośliwe oprogramowanie) dzieli się na wiele kategorii. Wirus wymaga „nosiciela" (np. pliku .exe lub dokumentu Word) oraz działania użytkownika, aby się aktywować. Z kolei robak (ang. worm) to znacznie groźniejszy byt autonomiczny. Robaki potrafią samodzielnie rozprzestrzeniać się w sieci lokalnej, wykorzystując luki w protokołach (np. SMB). Jeden zainfekowany laptop wpięty do sieci firmowej może w ciągu kilku minut zarazić wszystkie pozostałe stacje robocze bez jakiejkolwiek interakcji ze strony pracowników.
Reprezentacja złośliwego kodu
11/20
Konie trojańskie i backdoory
Koń trojański to oprogramowanie, które podszywa się pod użyteczną aplikację (np. darmowy antywirus lub grę). Podczas gdy użytkownik korzysta z programu, w tle instalowane są szkodliwe moduły. Najczęstszym efektem działania trojana jest stworzenie backdoora (tylnych drzwi). Jest to ukryta metoda dostępu do systemu, która pozwala atakującemu na zdalne sterowanie komputerem ofiary, podglądanie ekranu przez kamerę czy kradzież plików, pozostając całkowicie niezauważonym przez system operacyjny.
Ilustracja konia trojańskiego
12/20
Ransomware: cyfrowy szantaż
Obecnie największym zagrożeniem dla biznesu jest ransomware (oprogramowanie wymuszające okup). Po zainfekowaniu sieci, program ten po cichu szyfruje wszystkie pliki na dyskach lokalnych i sieciowych przy użyciu silnej kryptografii (np. AES-256). Gdy dane są już nieczytelne, wyświetlany jest komunikat z żądaniem okupu w kryptowalutach (np. Bitcoin) w zamian za klucz do odszyfrowania. Brak aktualnych kopii zapasowych często oznacza dla firmy katastrofalne skutki, gdyż odzyskanie danych bez klucza jest matematycznie niemożliwe.
Blokada ransomware
13/20
Socjotechnika i phishing
Najsłabszym ogniwem w łańcuchu bezpieczeństwa jest zawsze człowiek. Phishing to metoda wyłudzania informacji poprzez podszywanie się pod zaufane instytucje (banki, firmy kurierskie, działy IT). Pracownik otrzymuje e-mail z informacją o rzekomej blokadzie konta i linkiem do fałszywej strony logowania. Wprowadzone tam dane trafiają prosto do atakującego. Ataki te są niezwykle skuteczne, ponieważ grają na emocjach (strach, pośpiech) i omijają nawet najbardziej zaawansowane zabezpieczenia techniczne.
Haczyk phishingowy
14/20
Reagowanie na incydenty (Incident Response)
Ponieważ stuprocentowe bezpieczeństwo nie istnieje, każda organizacja musi posiadać plan reagowania na incydenty (IR – ang. Incident Response). Proces ten składa się z faz:
1. Przygotowanie,
2. Detekcja (wykrycie ataku),
3. Izolacja (odcięcie zainfekowanych maszyn od sieci, aby zapobiec rozprzestrzenianiu),
4. Eliminacja zagrożenia,
5. Naprawa systemów oraz
6. Wyciągnięcie wniosków i poprawa procedur. Szybka i sprawna reakcja zespołu IR pozwala zminimalizować przestoje w pracy firmy i ograniczyć wyciek wrażliwych danych.
Cykl reagowania na incydenty
15/20
Zero Trust: nigdy nie ufaj, zawsze weryfikuj
Tradycyjny model bezpieczeństwa zakładał, że wszystko wewnątrz sieci lokalnej jest bezpieczne. Nowoczesne podejście Zero Trust (zerowe zaufanie) odrzuca to założenie. Zgodnie z tą filozofią każde żądanie dostępu – niezależnie od tego, czy pochodzi z wnętrza firmy, czy z zewnątrz – musi zostać uwierzytelnione i autoryzowane. Stosujemy tu zasadę najniższych uprawnień (Least Privilege): pracownik otrzymuje dostęp tylko do tych zasobów, które są mu niezbędne do wykonania powierzonych zadań.
Model Zero Trust
16/20
Honeypoty: miodowe pułapki na hakerów
Honeypot (pułapka miodowa) to celowo słabo zabezpieczony system, który ma zwabić atakującego. Nie zawiera on prawdziwych danych firmowych, lecz służy jako narzędzie wczesnego ostrzegania. Każda aktywność wewnątrz honeypota jest z definicji podejrzana. Dzięki temu administratorzy mogą badać techniki stosowane przez hakerów w bezpiecznym, odizolowanym środowisku i blokować ich adresy IP, zanim spróbują oni zaatakować realną infrastrukturę.
Ilustracja Honeypot
17/20
Uwierzytelnianie wieloskładnikowe (MFA)
Samo hasło w dzisiejszych czasach nie wystarczy. MFA (Multi-Factor Authentication) – uwierzytelnianie wieloskładnikowe – to jedna z najskuteczniejszych metod obrony przed przejęciem konta. Wymaga ona potwierdzenia tożsamości za pomocą co najmniej dwóch czynników: 1. Coś, co znasz (hasło), 2. Coś, co masz (klucz U2F, aplikacja na telefonie), 3. Coś, czym jesteś (odcisk palca). Nawet jeśli atakujący pozna hasło użytkownika (np. poprzez phishing), nie będzie mógł zalogować się do systemu bez drugiego składnika.
Ikona uwierzytelniania MFA
18/20
Analiza powłamaniowa i informatyka śledcza
Gdy dojdzie do włamania, do akcji wkracza informatyka śledcza (ang. Digital Forensics). Specjaliści analizują logi systemowe, zrzuty pamięci RAM oraz zawartość dysków, aby odtworzyć przebieg zdarzeń. Celem jest ustalenie, w jaki sposób atakujący wszedł do sieci, co ukradł i jak długo w niej przebywał. Zabezpieczone w ten sposób dowody mogą służyć organom ścigania w procesie karnym przeciwko cyberprzestępcom.
Lupa nad kodem binarnym
19/20
Bezpieczeństwo systemów IoT
Współczesne sieci to nie tylko laptopy, ale i urządzenia Internetu rzeczy (IoT) – ang. Internet of Things: kamery, czujniki, inteligentne lodówki. Często są one najsłabszym punktem sieci, ponieważ posiadają domyślne hasła i rzadko otrzymują aktualizacje oprogramowania. Atakujący masowo przejmują takie urządzenia, tworząc z nich ogromne botnety do ataków DDoS. Dobrą praktyką jest izolowanie urządzeń IoT w osobnych sieciach VLAN, aby ich przejęcie nie dawało dostępu do wrażliwych danych firmowych.
Sieć urządzeń IoT
20/20
Podsumowanie i zakończenie kursu
Dotarliśmy do końca cyklu „Podstawy bezpieczeństwa sieci komputerowych". Przeszliśmy drogę od fizycznych mediów transmisyjnych, przez zasady kryptografii i zaawansowane systemy NGFW/VPN, aż po mroczny świat cyberataków. Pamiętajcie: bezpieczeństwo to nie produkt, który kupujemy, lecz ciągły proces. Wiedza o tym, jak działają napastnicy, powinna towarzyszyć Wam przy każdej konfiguracji routera czy serwera. Najlepszą obroną jest świadomość i czujność – zarówno techniczna, jak i ta ludzka. Dziękuję za udział w wykładach i życzę bezpiecznych sieci!
Sukces i certyfikat bezpieczeństwa