Skip to main content

Pesë sulmet më të rrezikshme të DNS-it


Në Konferencën RSA 2019, ekspertët e Institutit SANS kanë diskutuar teknikat më të rrezikshme të sulmeve që ata kanë parë, duke përfshirë manipulimin e DNS-ve dhe dominimin e domain-it.
     

Kur është fjala për kërcënimet më të rrezikshme kibernetike të sotme, sulmet DNS dalin të jenë si disa nga më të keqijat. Në Konferencën RSA 2019, ekspertët e sigurisë nga Instituti SANS përshkruan pesë nga ato që ata i quajtën "teknikat më të rrezikshme të sulmit" që po fitojnë vrull në vitin 2019 - veçanërisht sulmet DNS - dhe caktojnë masa që profesionistët e sigurisë kibernetike mund të vendosin për të mbrojtur veten kundër këtyre teknikave të sulmeve.
Panelistët e SANS thanë se shkëmbimi i informacionit është thelbësor për të trajtuar sfidat e sigurisë në kibernetikë, duke përfshirë teknikat e evolimit të sulmeve, të cilat përfshijnë fushën e dominimit dhe shfrytëzimin e defekteve të CPU.
E vetmja mënyrë për të përmirësuar është duke mësuar nga gabimet e të tjerëve", tha Johannes Ullrich, dekan i hulumtimit në Institutin SANS. "Nëse bëni gabime, ndani ato, le të dijnë të gjithë për to dhe shpresojnë se nuk do të bëjnë të njëjtat gabime përsëri, dhe ata të ndajnë gabimet e tyre me ju në mënyrë që ju të mund të mësoni prej tyre".

Manipulimi i DNS

Një lloj sulmi i DNS që ka ndikuar ndjeshëm në organizata të ndryshme gjatë disa muajve të fundit është manipulimi i infrastrukturës së DNS (DNS) të lidhur me ndërmarrjet specifike, tha  Ed Skoudis, një ndjeksë i SANS.                                             
Sulmuesit po përdorin kredencialet e komprometuar, emrat e përdoruesve dhe fjalëkalimet për të hyrë në ofruesit e DNS dhe regjistruesit e emrave për të manipuluar regjistrimet DNS atje në mënyrë që një DNS të ndërmarrjeve të vendosë diku tjetër në vend të infrastrukturës së një organizate, tha Skoudis.
"Në fakt, ajo që po bëjnë është se po manipulojnë rekordin e shkëmbimit të postës në mënyrë që email-i i destinuar për organizatën tuaj në të vërtetë të ridrejtohet te serverat e emaileve të liqeneve, kështu që ata mund të përgjojnë emailin në këtë mënyrë", tha ai për të pranishmit  e konferencës RSA.
Ata po aplikojnë gjithashtu për certifikatat TLS dhe po përdorin autoritetet e certifikatave (AC) që lejojnë organizatat të verifikojnë se ata zotërojnë një domain thjesht duke klikuar në lidhjet që dërgohen në email për domenin e tyre të dhënë, tha ai.
"Keqëbërsit do të aplikojnë për një certifikatë në një vend si Comodo ose Let's Encrypt ... ku email-i shkon nga AC-ja në ndërmarrjen tuaj, e cila natyrisht po rrjedh përmes serverit të postës së keqëbërsit", tha ai. "Ata do të klikojnë në lidhjen duke thënë" po, unë e posedoj këtë domen "dhe pastaj e marrin një certifikatë të lëshuar."
Skoudis i referohej sulmeve të gjera DNS të ndërmarrë kundër ndërmarrjeve dhe agjencive qeveritare kohët e fundit në një fushatë të quajtur "DNSpionage", e cila më vonë u atribuohet aktorëve iranianë të kërcënimit. Stuart McKenzie, nënkryetar i konsultimit Mandiant, EMEA në FireEye, diskutoi sulmet DNS në një panel tjetër të RSA dhe tha se ndërsa fushata përfshinte planifikim të kujdesshëm dhe disa faza. Ndryshimi i të dhënave DNS për të përcjellë trafikun nuk është gjithçka sfiduese.
McKenzie gjithashtu tha se është jashtëzakonisht e vështirë për të zbuluar këtë lloj manipulimi DNS, sepse "ndodh aq shpejt".
Një mënyrë efektive për të mbrojtur kundër sulmeve DNS, Skoudis tha, është duke zbatuar vërtetimin e shumëfaktorëve, ose të paktën me dy faktorë, sa herë që organizatat po bëjnë ndryshime në infrastrukturën e tyre DNS. Personeli i operacioneve duhet gjithashtu të monitorojë për çdo ndryshim të lidhur publikisht me të dhënat e tyre DNS ose çertifikatat digjitale të lidhura me organizimin e tyre, shtoi ai.
Ai gjithashtu i këshilloi ata që të vendosin Domain Name System Security Extensions (DNSSEC), e cila forcon autentifikimin në DNS duke përdorur nënshkrime digjitale të bazuara në kriptografinë kryesore të çelsit publik."Nëse vendosni DNSSEC mos harroni se ju duhet të keni të dy të regjistruara regjistrimet DNS, si dhe validim për ato; nëse vendosni vetëm gjysmën e kësaj ju nuk keni vendosur DNSSEC," tha ai.

Domain fronting

Domain fronting është një teknikë e përdorur nga sulmuesit për të fshehur atë se ku ndodhet sulmuesi, ku vjen komanda dhe kontrolli, dhe ku keqëbërsi po exfiltron te dhena , tha Skoudis. Kjo abuzon mënyrën se si rrjetet e shpërndarjes së përmbajtjes (CDNs) dhe ofruesit e shërbimeve të cloud-it përcjellin trafikun.
"Mënyra se si fillon kjo është makina e komprometuar me malware në të, do të dërgojë një kërkesë DNS për disa faqe interneti të besuar, një faqe interneti e besuar që është e pritur në një CDN ku sulmuesi është gjithashtu një klient - sulmuesi vendos disa llogari në atë CDN të veçantë, "shpjegon ai. "Pastaj, malware do të lëshojë një kërkesë HTTP 1.1 me një kokë host duke kërkuar diçka tjetër përveç asaj faqe të besuar - është në të vërtetë duke kërkuar vendndodhjen e sulmuesit, por është brenda lidhjes TLS, kështu që mbrojtësit e rrjetit nuk mund të shohin se çfarë ka brenda , është e gjitha e koduar ".
Fundi para për CDN dërgon kërkesën në instancën e web serverit që kontrollon sulmuesi në rrjetin e shpërndarjes së përmbajtjes, i cili pastaj e përcjell atë kërkesë në serverin e origjinës së sulmuesit, shpjegoi ai.
Domain fronting ka treguar sulmuesit se ata mund të presin gjërat në shërbimet cloud dhe se ende minojnë shumë organizata, tha ai. Sulmuesit po përfitojnë nga fakti se organizatat që përdorin shërbime të bazuara në cloud shpesh do të besojnë në ofruesin e tyre të cloud, sikur të ishte pjesë e infrastrukturës së tyre, shtoi ai.
Ndërhyrja e ndërmarrjes TLS është një mënyrë efektive për të mbrojtur kundër sulmeve të tilla, tha ai. Një mjet i lirë i quajtur Analiza e Hetimit të Inteligjencës së Vërtetë mund të ndihmojë në zbulimin e malware-ve të frontit të domain-it dhe aktiviteteve të tjera të dëmshme në rrjet, tha ai.

Kapja e trafikut DNS

Ndërsa monitorimi i regjistrave DNS u siguron mbrojtësve kibernetikë aftësinë për të skanuar atë që po ndodh në rrjetin e tyre, duke përfshirë trafikun e sulmit, tha Ullrich, aktorët e kërcënimit po përdorin sulmet DNS për të mbledhur regjistra të trafikut.
"Nga pikëpamja e privatësisë, lidhja e vërtetë e rrezikshme është ajo midis jush dhe serverit tuaj të emrit të rekursive, sepse në qoftë se keqbërsi është në gjendje të kapë atë trafik, ata mësojnë shumë për trafikun tuaj, çfarë po bëni dhe çfarë webfaqeje ju do të jeni, "tha ai.
Një mënyrë për të zgjidhur këtë duhet bë enkriptimin e trafikut DNS  me DNS mbi HTTPS, por një mbrojtës që bën monitorimin e rrjetit do të humbasë një nga mjetet më të rëndësishme që ata kanë për të gjetur në rrjetin e tyre, shtoi ai.

Gabimet e CPU

Ullrich u kujtoi të pranishmëve në konferencën RSA se sistemet kompjuterike nuk janë vetëm një CPU e vetme, por përbëhen nga patate të skuqura të tjera që kanë fuqi përpunimi, memorie dhe kod drejtimin mbi to.
"Nëse një sulmues ka marrë një nga serverat tuaj ... ata në fakt mund t'i përdorin këto sisteme kundër jush", tha Ullrich.
Një shembull i kësaj janë sulmuesit që përdorin kontrollorët e menaxhimit të bazës (BMCs) për të fituar qasje më të vazhdueshme në një sistem, tha ai.
"Herën e fundit që morët me qira një server në cloud, a kontrolluat nëse BMC ishte akoma në gjendjen e tij origjinale apo nëse dikush e ndryshoi atë, një përdorues paraprak i atij sistemi", tha Ullrich.
BMC-të shpesh përdoren për të rinisur sistemet dhe duhet të lidhen me një rrjet menaxhues, tha ai. Një sulmues që kontrollon se BMC tani ka qasje në atë rrjet të menaxhimit, shtoi ai.
Organizatat duhet të mbajnë në mend se rrjetet e menaxhimit që ata krijojnë nuk kanë boshllëk, tha ai, dhe se monitorimi i rrjetit pasiv është i nevojshëm për këto rrjete të menaxhimit.
"Ne duhet të aplikojmë të njëjtin lloj monitorimi të rrjetit që ne përdorim në rrjetet tona të jashtme që ballafaqohen me këto rrjete të menaxhimit", tha ai. "Mos u mbështetni vetëm në identifikimin, ndërto në këto BMCs sepse kjo është ajo që sulmuesi mund të ketë qasje dhe kjo është ajo që mund të kompromentohet".


Sulmet individuale me shënjetstër në  cloud

Heather Mahalik, drejtor i inxhinierisë së forenzikës në ManTech dhe drejtor i kurseve të forenzikës mobile në Institutin SANS, mori një hap prapa nga detajimi i teknikave të sulmit në nivel ndërmarrjeje si sulmet DNS dhe informoi pjesëmarrësit në konferencën e RSA rreth sulmeve të personalizuara ndaj individëve.
Sot është shumë e lehtë për sulmuesit që të mbledhin informacion rreth ndonjë individi, tha Mahalik.
"Ata do të dinë jo vetëm ku ndodheni, por edhe ku mund të synoni të shkoni, sepse është gjetur në cloud", tha ajo. "Sapo të infiltrojnë një cloud, ata mund të bëjn vetëm kapërcim në informacionin tjetër."
Këto sulme mund të ndodhin kudo dhe shpesh pikat hyrëse të përbashkëta përfshijnë malware Android, ku u bënin përdoruesve të futnin adresën e tyre të emailit dhe fjalëkalimet ose malware që përdor FairPlay DRM të Apple për të sulmuar përdoruesit e iOS.
Një problem tjetër, theksoi Mahalik, është përdoruesit që ndajnë shumë informacione në internet, duke përfshirë detajet personale si ditët e lindjes dhe emrat e kafshëve të tyre.
"Të gjitha këto gjëra mund të përdoren kundër jush," tha ajo.
Përdoruesit duhet të rishikojnë përdorimin e aplikacioneve dhe shërbimeve cloud që nuk ofrojnë vërtetim me dy faktorë, tha ajo. Ajo u bëri thirrje përdoruesve të bëjnë kontrolle të shpeshta të sigurisë, duke përfshirë rishikimin e cilësimeve të tyre të reve dhe kontrollin e asaj që aplikacionet e palëve të treta kanë qasje në informacionin e tyre.
"Merrni parasysh për atë që ju jepni leje dhe vendosni fjalëkalime vërtet të forta," tha ajo. "Nëse nuk jeni në gjendje ta bëni këtë, përdorni një menaxher fjalëkalimi që do ta bëjë atë për ju dhe pastaj sigurohuni që fjalëkalimi të jetë vërtet i sigurt".

Labels:

Comments

Post a Comment

Popular posts from this blog

Oracle SQL92_SECURITY parameter

The Oracle SQL92_SECURITY parameter must be set to TRUE. The configuration option SQL92_SECURITY specifies whether table-level SELECT privileges are required to execute an update or delete that references table column values. If this option is disabled (set to FALSE), the UPDATE privilege can be used to determine values that should require SELECT privileges. The SQL92_SECURITY setting of TRUE prevents the exploitation of user credentials with only DELETE or UPDATE privileges on a table from being able to derive column values in that table by performing a series of update/delete statements using a where clause, and rolling back the change.  In the following example, with SQL92_SECURITY set to FALSE, a user with only delete privilege on the scott.emp table is able to derive that there is one employee with a salary greater than 3000. With SQL92_SECURITY set to TRUE, that user is prevented from attempting to derive a value.  SQL92_SECURITY = FALSE SQL> delete from s...
Post a Comment
Read more

Ofruesit e sistemeve të menaxhimit të bazës së të dhënave

Ofruesit e sistemeve të menaxhimit të bazës së të dhënave Cila është mënyra më e mirë për të përcaktuar se cili lloj i shërbimit të bazës së të dhënave ose bazës së të dhënave është më e mira për ndërmarrjen tuaj? E gjitha varet nga lloji i rastit të përdorimit që ju nevojitet. Zbuloni më shumë në këtë artikull , dhe artikujt vijues. Sistemi I menaxhimit të të dhenave Në thelb të gjitha informacionet digjitale që përdorim në baza ditore janë në një sistem të menaxhimit të bazës së të dhënave ose një grupi ruajtës diku në botë. Këto mund të shkojnë nga një pajisje e vogël e ruajtjes si një smartphone   ose a aq i madh sa një sistem ruajtje relativisht i pakufizuar i cloud. Më së miri është të zbuloni se cila DBMS është për ndërmarrjen tuaj? A duhet të abonoheni në një shërbim në AWS, Azure, Google ose ofrues tjetër cloud ose duhet të blini magazinimin e qendrës së të dhënave dhe serverat dhe ta ekzekutoni atë vetë? E gjitha varet nga lloji i rastit të përdorimit që ju ...
Post a Comment
Read more

Autentifikimi, Autorizimi dhe Llogaritja (AAA)- Authentication, Authorization, and Accounting (AAA)

Autentifikimi, Autorizimi dhe Llogaritja (AAA)- Authentication, Authorization, and Accounting (AAA) Autentifikimi, autorizimi dhe llogaritja (AAA) është një term për një kornizë për kontrollin inteligjent të qasjes në burimet kompjuterike, zbatimin e politikave, përdorimin e auditimit dhe sigurimin e informacionit të nevojshëm për të faturuar shërbimet. Këto procese të kombinuara konsiderohen të rëndësishme për menaxhimin efektiv të rrjetit dhe sigurinë. Si proces i parë, autentifikimi siguron një mënyrë për identifikimin e një përdoruesi, zakonisht duke i dhënë përdoruesit një emër përdoruesi të vlefshëm dhe një fjalëkalim të vlefshëm përpara se qasja të jepet. Procesi i legalizimit bazohet në secilin përdorues që ka një grup të kritereve unike për të fituar akses. Serveri AAA krahason kredencialet e identifikimit të përdoruesit me kredencialet e tjera të përdoruesit të ruajtura në një bazë të dhënash. Nëse kredencialet përputhen, përdoruesit i jepet aksesi në rrjet. Nëse kre...
Post a Comment
Read more