Пассивные атаки
Пассивные атаки направлены на получение информации без изменения содержимого передаваемых данных. Их основная цель – прослушивание или анализ трафика с целью сбора сведений. Злоумышленники при этом не вмешиваются в процесс передачи данных, а лишь наблюдают за ней, что делает подобные атаки сложными для обнаружения.
Прослушивание (eavesdropping): в рамках такой атаки злоумышленник отслеживает передаваемые данные, надеясь получить важную информацию, например, пароли, логины или содержимое сообщений. Для защиты от подобных атак широко используется шифрование данных.
Анализ трафика: даже если данные зашифрованы, злоумышленник может изучать характер трафика – его объем, частоту запросов, временные метки и маршруты. На основе этих данных можно сделать выводы о поведении пользователей и систем, что потенциально позволяет идентифицировать уязвимости.
Шифрование данных: самое очевидное средство защиты от прослушивания. Использование современных криптографических протоколов, таких как TLS (Transport Layer Security), IPsec, позволяет защитить передаваемые данные от несанкционированного доступа. Ведь неспроста даже в http-протокол повсеместно добавили знаменитую букву S, и при продвижении защищенного шифрованного веба Google даже в ранжировании и выдаче веб-страниц при поиске учитывает данный фактор как важный.
Маскирование трафика: для противодействия анализу трафика применяются методы его маскировки, такие как паддинг (добавление фиктивных данных) и многозначные каналы связи. Эти методы усложняют анализ, скрывая реальные объемы передаваемых данных.
Ниже некоторые популярные инструменты и методы.
1. Stunnel: утилита, которая позволяет создавать защищенные соединения через SSL/TLS. Она может использоваться для маскировки VPN-трафика, так как она шифрует данные и передает их через обычный HTTPS-трафик.[27]
2. Obfsproxy: это обфускационный прокси-сервер, который помогает скрыть использование Tor или VPN*. Он изменяет структуру передаваемых данных, чтобы сделать их похожими на обычный веб-трафик.[28]
3. Shadowsocks: хотя это прокси, а не традиционный VPN*, он использует обфускацию трафика и часто применяется для обхода цензуры, маскируя трафик под HTTPS.
4. V2Ray: это более сложный инструмент, который позволяет создавать обфускационные соединения и настраивать разные способы маскировки трафика.
5. DNS-over-HTTPS (DoH): этот протокол шифрует DNS-запросы и может использоваться для скрытия самого факта отправки DNS-запросов, что тоже может служить для маскировки VPN-трафика.[29]
Активные атаки
Активные атаки включают вмешательство злоумышленника в процесс передачи данных. В этом случае атакующий может не только перехватывать информацию, но и изменять ее, удалять или перенаправлять, что может привести к серьезным последствиям, включая утечку данных, нарушение работы систем и взломы.
«Атака посредника» (Man in the Middle, MitM): в этой атаке злоумышленник перехватывает и изменяет передаваемые данные между двумя сторонами, при этом оставаясь незаметным. MitM-атака может быть применена как к незащищенным, так и к шифрованным каналам, если злоумышленник сумеет обойти или подменить криптографические ключи.
Повторная атака (Replay Attack): злоумышленник перехватывает и повторно отправляет данные, которые ранее были переданы по каналу связи. Это может использоваться для имитации легитимных действий пользователя, таких как повторная авторизация или транзакция.
Подмена данных: атакующий может изменить содержимое передаваемых сообщений, включая команды для систем или запросы от пользователей. Это может привести к серьезным последствиям, таким как повреждение данных или выполнение небезопасных действий.
Аутентификация: для защиты от MitM-атак необходимо использовать механизмы аутентификации сторон, такие как цифровые сертификаты или предварительно согласованные ключи. Это позволяет убедиться в подлинности участников коммуникации.
Метки времени и одноразовые токены: применение временных меток или одноразовых ключей при каждом сеансе передачи данных снижает риск повторных атак, так как перехваченные данные быстро утрачивают свою актуальность.
Цифровые подписи и хеширование: для предотвращения подмены данных используются цифровые подписи и контрольные суммы (хеш-функции). Они позволяют убедиться в целостности данных и отсутствии изменений при передаче.
Мобильная связь и GSM
GSM (Global System for Mobile Communications) – самый распространенный и повседневный способ общения. Это попросту мобильный телефон. Этот стандарт отлично трудится уже много лет, обеспечивает передачу голоса, данных и сообщений. Используется повсеместно, и даже многократно мы диверсифицируем выбор провайдера как в личной, так и в корпоративной сфере для повседневного взаимодействия и ввиду необходимости оставаться на связи. Связью пользуются все, включая политиков, топ-менеджеров компаний и прочих сильных мир сего. Запомните, всегда есть способ получить доступ к связи, а вместе с тем и доступ к личным данным. Практически любая регистрация сегодня требует ввода номера телефона. Мобильные сети обеспечивают глобальную доступность, но и их безопасность имеет слабые места, которые можно использовать в атаках на бизнес.
Восстановление сим-карт, или sim swap
Одна из больших проблем GSM-связи – мошенническое восстановление сим-карт через оператора связи. Атака, известная как SIM-swapping, проводимая злоумышленниками, позволяет им получить доступ к сим-карте и полному контролю телефона жертвы. В ход идут все доступные методы, например, не пренебрегают поддельными документами или вовлечением сотрудников оператора. Для корпоративных пользователей это особенно опасно, поскольку сим-карты часто связаны с двухфакторной аутентификацией и доступом к инфраструктуре, к банковским счетам и другой критической информации или путям нарушения работы компании.
Для минимизации таких рисков операторы связи предоставляют специальные услуги.
1. Корпоративные тарифы с запретом на восстановление. Восстановление сим-карт возможно только через заранее подтвержденного корпоративного администратора.
2. Система полного контроля. Сим-карты остаются под управлением заказчика через выделенные платформы, где операции с картами контролируются внутренними службами безопасности компании.
3. Мультифакторная аутентификация. Для изменения данных корпоративным номерам требуется не только физическое подтверждение, но и дополнительные проверки со стороны компании, например, персональные сертификаты SSL или переменные коды вроде google auth.
4. Контроль за сменой сим-карты. При отправке данных, авторизации или в иные критичные моменты можно дополнительно контролировать не номер телефона, а непосредственно идентификатор абонента, вшитый в сим-карту так называемый IMSI. Так, например, поступают банки, и поэтому же, если сменить сим-карту, и если вы используете современный адекватный банкинг, то, вероятнее всего, доступ в личный кабинет будет вам закрыт и такое действие приведет к дополнительным проверкам со стороны службы информационной безопасности.
Атаки на SS7
Основные уязвимости GSM связаны с архитектурой протоколов и тем, насколько закрыта сама технология. Этот протокол являет собой отличный антипример метода, применяемого в ИБ, который рассматривается под названием «безопасность через неизвестность». Проблема сервисного протокола SS7, обеспечивающего нам роуминг и взаимодействие операторов между собой, существует именно на уровне архитектуры или дизайна сетей GSM. При наличии подключения к SS7 злоумышленники могут получить доступ к данным о местоположении абонента, перехватывать сообщения и звонки или перенаправлять их на поддельные номера, в том числе реализуя атаку «человек посередине» на уровне операторов. Стоимость ее может сильно варьироваться, но тем не менее ничтожна и начинается от нескольких сотен долларов.
«Восточная принцесса» – один из громких примеров использования уязвимостей SS7, связан с атакой, в ходе которой правительство отследило местоположение принцессы Латифы бинт Мохаммед аль-Мактум. Дочь правителя Дубая попыталась бежать из ОАЭ в 2018 году, но была задержана в международных водах индийскими и эмиратскими спецслужбами. По некоторым данным, ее местоположение даже на открытой воде удалось отследить благодаря возможностям протокола SS7: атакующие через специальные запросы получили данные по ее местоположению с точностью, достаточной, чтобы перехватить судно.
Приведенный кейс не единичный, есть не менее известные случаи.
1. Атака на канцлера Германии Ангелу Меркель (2013): хотя изначально использовалась другая техника, ее прослушивание подтолкнуло интерес злоумышленников к GSM-уязвимостям.
2. Атака на европейских дипломатов (2018): независимым исследователям стала доступна информация, с помощью которой зафиксировали использование SS7 для атак на чиновников с целью доступа к их конфиденциальным данным.
3. Атака на членов Европарламента: хакеры перехватывали сообщения о голосованиях и иных конфиденциальных решениях, которые не должны быть известны никому.
4. Атаки на банковские аккаунты и иные учетные записи.
Дабы унять гул про то, «кому мы нужны»… Подсвеченное выше касается и значительно менее значимых персон. Как уже сказано выше, стоимость атаки может быть всего несколько сотен долларов, а экономическая выгода реализации являет простую формулу: если гешефт составит больше вложенного. Потому не в безопасности буквально никто. В последнее время, когда об атаках стало известно широкой публике, операторы хоть как-то стали бороться, вводя своеобразные файрволы для запросов извне, однако ключевое слово тут – то самое «как-то». Злоумышленники по-прежнему имеют возможность перехва