Ataki na usługi trzecie

Ataki na usługi trzecie (thirdparty attacks) nie mają związku z usługami, które zamierzasz udostępniać, ale wykorzystują luki, które otworzyłeś w celu udostępnienia jednej usługi, aby zaatakować zupełnie inną. Jeśli na przykład pozwolisz na przychodzące połączenia TCP z dowolnym portem powyżej 124, aby umożliwić działanie jakiegoś protokołu, dasz wiele okazji do ataku na usługi trzecie, ponieważ napastnicy będą mogli łączyć się z wieloma innymi serwerami.

Sfałszowane uwierzytelnianie klientów. Dużym zagrożeniem związanym z połączeniami przychodzącymi jest sfałszowane uwierzytelnianie (false authentication): napastnik rozbraja twój mechanizm uwierzytelniania i uchodzi za jednego z twoich legalnych użytkowników. Ryzyko zwiększają pewne specjalne właściwości haseł.

W większości przypadków, gdy chcesz przesłać przez sieć jakiś sekret, szyfrujesz go i przesyłasz tą drogą. Szyfrowanie na nic się nie zda, jeśli można użyć informacji bez jej zrozumienia. Na przykład szyfrowanie haseł jest bezprzedmiotowe, ponieważ napastnik podsłuchujący ruch w sieci może przechwycić hasło i przesłać je ponownie, bez konieczności rozszyfrowywania go (taki atak nazywamy odtworzeniowym, ponieważ napastnik rejestruje interakcję, a potem ją odtwarza). Uwierzytelnianie przez Internet wymaga więc czegoś więcej niż szyfrowania haseł. Potrzebujesz metody uwierzytelniania, w której dane przekazywane przez sieć nie nadają się do ponownego użycia, aby napastnik nie mógł ich przechwycić i odtworzyć.

Samo zabezpieczenie się przed atakami odtworzeniowymi również nie wystarczy. Napastnik, który może odkryć lub odgadnąć hasło, nie będzie musiał posługiwać się atakiem odtworzeniowym, a systemy zapobiegające odtwarzaniu haseł niekoniecznie zapobiegają ich odgadywaniu. Na przykład system wyzwanieodpowiedź w Windows NT jest dość dobrze zabezpieczony przed atakami odtworzeniowymi, ale hasła wpisywane przez użytkowników są za każdym razem takie same, więc jeśli użytkownik wybierze sobie hasło „hasło”, napastnik bez trudu je odgadnie.

Ponadto, jeśli napastnik przekona twojego użytkownika, że jego komputer jest twoim serwerem, użytkownik sam dostarczy mu swoją nazwę i hasło, które napastnik będzie mógł wykorzystać natychmiast albo później. Aby temu zapobiec, klient musi

się uwierzytelniać wobec serwera za pomocą pewnych informacji, które nie są przekazywane przez połączenie (na przykład przez szyfrowanie połączenia), albo serwer musi uwierzytelniać się wobec klienta.

Leave a reply

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>