Rychlý kontakt
Guard Dynamics
Adresa: Hlavní třída 107
  738, 01, Frýdek-Místek
Web: www.guard-dynamics.cz
Telefon: +420 777 722 391
E-mail: info@guard-dynamics.cz
Aktuality, znalosti báze
  • AES-NI je nová sada šifrovacích instrukcí, která urychluje...
  • Spoofing - co to je, jak funguje? Spoofing je velice často využívaná technika z...
  • Phishing je typ útoku s cílem výlákat z uživatele osobní data...
  • BFU je anglická zkratka pro termín Bloody Fucking User - což je v překladu...
Úvodní strana

Spoofing

Spoofing - co to je, jak funguje?

Spoofing je velice často využívaná technika z oblasti informatiky. Jde o jisté maskování uživatele v síti. Nejčastěji využívanou formou je IP spoofing, který falšuje IP adresu paketů.

Bližší charakteristika spoofingu

Pokud na server odesíláme paket s pozměněnou IP adresou odesílatele, nedokážeme zachytit odpověď serveru. Proto je možné techniku využívat při jednostranné komunikaci se serverem, nikoli při oboustranné. Spoofing se může využívat i u mobilních telefonů, kde jde o stejné zamaskování autora zpráv. Slovo Spoofing významem vystihuje vtip a jisté napálení cílové osoby.

Zneužití spoofingu

Velice často se spoofing využívá k vedení útoku na nějaký server. Například při útoku DoS (Denial of Service) maskuje spoofing odesílatele paketů, které zahlcují server. Díky němu se může uživatel v síti vydávat za někoho jiného. Není potom těžké zneužít cizí práva. Náchylné jsou potom i služby využívající IP adresu jako ověření uživatele. Jde především o

  • X Window System
  • RPC (Remote Procedure Call)
  • R services suite

Falšováním IP adresy se dá také docílit změny odesílatele emailů. Služba Gmail umí spoofing rozpoznat a zjistit skutečného odesílatele emailu. Více informací naleznete v článku obrana proti spoofingu. Často se stává, že se útočník tváří jako správce nějaké banky. Email vám přijde z oficiálního účtu společnosti a může loudit přihlašovací údaje. V žádném případě není dobré tyto údaje někomu zasílat.

Využití spoofingu

Spoofing se využívá především při rozesílání reklamních emailů. Zajistí anonymitu odesílatele, která při oslovení většího počtu lidí určitě přijde vhod. Anonymní email je hodně žádaný. Odesílatel ale nesmí zapomínat na jednostrannost spoofingu a počítat se ztrátou zpětné vazby.

 

Spoofing: Jak se bránit? Jaká je ochrana?

Co to je spoofing a jak funguje, jsme si už vysvětlili. Nyní je na čase představit si pár způsobů, jak se proti nebezpečnému spoofingu vlastně bránit.

Filtrování paketů - Firewall

Žádná obrana není 100%. Filtrování paketů nám alespoň zajistí částečnou ochranu. Kde ale tohle filtrování paketů probíhá? Bezpečnost našeho počítače je zásluhou firewallu. Jestliže máme ochranný štít zapnutý, firewall obvykle blokuje pakety přicházející z vnějšku, které mají adresu nacházející se ve vnitřní síti.

Firewall by měl také kontrolovat odchozí pakety. U odchozích paketů kontroluje adresu, která by měla být v používaném rozsahu.

Transmission Control Protocol (TCP)

TCP patří mezi základní protokoly internetu. Tento protokol obsahuje vlastní ochranu proti poofingu. Tato obrana je postavená na nutnosti zpětné vazby. TCP protokol využívá čísla, synchronizovaná se vzdáleným počítačem. Tyto čísla jsou klíče, bez kterých komunikace nemůže probíhat. Jedinou možností, jak může spoofing tuto ochranu obejít, je náhodně zkoušet různá čísla(klíče). Tato praktika je ale časově náročná a minimálně úspěšná.

Gmail - odhalení spoofingu

Velikou hrozbou útoků spoofingu může být také email. Případů, kdy se uživatel vydával za někoho jiného je nespočet. Uživatele Gmailu mají v rukách velikou zbraň, právě proti onomu spoofingu. Stačí kliknout na rozbalovací nabídku, která se nachází napravo od tlačítka odpovědět (na vodorovné úrovni se jménem odesílatele) a v rozbalené nabídce klikneme na položku zobrazit originál. Zobrazí se vám nová stránka, na které jsou veškerá data o příchozím emailu. Jestliže nebyla adresa zfalšovaná, hodnota From se bude rovnat hodnotě X-Sender (Reply-to).

 

ARP Spoofing

Adress Resolution Protocol

Pomocí spoofingu můžeme také zneužít Adress Resolution Protocol (ARP). Uživatel se pak může v místní síti vydávat za jiný počítač. Tato praktika se velice často zneužívá a je jedním ze zdrojů hackerských útoků.

Adress Resolution Protocol

ARP zjišťuje MAC adresu. Tato adresa slouží jako jedinečný identifikátor síťového zařízení. Adress Resolution Protocol se využívá v případě, kdy je třeba odeslat nějaký paket na adresu ležící ve stejné síti. Na zjištění MAC adresy stačí IP adresa cílového počítače.

Jak ARP spoofing funguje?

Protože zná protokol pouze IP adresu příjemce paketů, odešle dotaz na všechny stroje v síti. Jestliže podle IP adresy nalezne příjemce, onen stroj pak zpátky odešle MAC adresu. Útočníkovi tedy stačí, když bude zasílat jako odpověď svoji MAC adresu. Cíl si pak tuto MAC adresu uloží a bude na ni odesílat všechna data.

Tato metoda slouží pro takzvaný odposlech komunikace dvou zařízení umístěných v síti. Přijatá data pak může útočník zasílat pravému příjemci, díky čemuž zabrání jistému podezření z odposlechu.

Obrana proti ARP spoofingu

Bezpečnost nám můžou zajistit statické ARP tabulky. Tyto tabulky mají pevně zadané MAC adresy příjemců. Protokol se tedy na tyto adresy neptá, čímž zabrání podstrčení falešné MAC adresy. Přidávání nových uzlů se ale za použití statických tabulek stává obtížnější. Bránit se také můžeme zabezpečením jednotlivých portů switche. K tomuto opatření slouží protokol IEEE 802.1X, který přenos zablokuje v případě, že nejsou poskytnuty autentizační údaje.

 

Antispoofing - paketový filtr

Nejčastěji využívanou formou ochrany počítače proti spoofingu bývá paketový filtr (stavový firewall).

Jak paketový filtr funguje

Paketový filtr kontroluje a nahlíží do všech síťových paketů jím procházejících. Z těchto paketů filtr vytahuje velice užitečná data, podle kterých se rozhoduje jestli paket propustit, nebo nikoli.

Podobným způsobem funguje i samotný směrovač. Paketový filtr se do paketu ale dívá mnohem hlouběji. Například z něj vytáhne název softwaru, který stál za vznikem dat. Z podobných informací se dá daleko lépe a přesněji rozhodovat o tom, jestli může být daný paket hrozbou. Paketový filtr je tedy účinná softwarová nástavba směrovače.

Žádná ochrana není 100%

Stavový firewall ale nedokáže zachytit všechny nebezpečné pakety. Zablokování paketu si může dovolit jen v případě, kdy si je naprosto jistý, že o hrozbu jde. Jsou tu ale i jiná úskalí. Nové operační systémy (např. Windows 7) používají jiný druh škálování, které některým firewallům vadí. Jedná se tedy o jistou nekompatibilitu mezi stavovým firewallem a novými operačními systémy.

Základem zdravého počítače je prevence

V našem případě můžeme jako prevenci považovat časté aktualizace. Cílem útoku se totiž může stát sám firewall. Často aktualizovaný software je daleko více obranyschopný. V případě úspěšného napadení firewallu ho může útočník vyřadit z provozu. Tehdy by se náš počítač stal nechráněný a velice lehce zneužitelný.

Zdroj: www.spoofing.cz

Tisk aktuální strany