Flere og flere norske og internasjonale virksomheter og organisasjoner rammes av målrettede dataangrep. Nasjonal sikkerhetsmyndighet (NSM) forventer at konsekvensene av datakrim vil øke i årene fremover. Dataangrepene og metodene blir stadig mer avanserte. Men hvilke typer angrep finnes det egentlig per i dag? I denne ukens innlegg ser vi nærmere på 10 av de vanligste dataangrepene.
1. Denial-of-service-angrep (DoS) og distribuerte denial-of-service-angrep (DDos)
Dos og DDos overvelder et system med data, slik at det ikke lenger kan respondere og utføre jobben det er satt til. Gir i utgangspunktet angriperen ingen gevinst. Brukes gjerne til sabotasje eller som avledning i forbindelse med et annet angrep.
2. Man-in-the-middle-angrep (MitM)
En angriper hekter seg på kommunikasjon mellom en klient og en server for å ta kontroll over et system eller stjele data.
3. Phishing og spearphishing
Phishing-angrep går ut på å sende e-postmeldinger som ser ut til å være fra klarerte kilder. Formålet er å skaffe personlig informasjon eller påvirke brukerne til å gjøre noe. Den kombinerer sosial manipulering og tekniske triks. Det kan innebære et vedlegg til en e-post som laster skadelig programvare på datamaskinen din. Det kan også være en lenke til en ulovlig nettside som kan lure deg til å laste ned skadelig programvare eller hente ned din personlige informasjon.
Spearfishing er en svært målrettet type phishing-aktivitet. Angriperne tar seg tid til å utføre sondering på mål og skape meldinger som er personlige og relevante. På grunn av dette kan spearphishing være svært vanskelig å identifisere og enda vanskeligere å forsvare seg mot.
En av de enkleste måtene en hacker kan utføre et phishing-angrep på, er såkalt spoofing, som vil si at informasjonen i ‘Fra’-delen av e-posten er forfalsket, slik at den vises som om den kommer fra noen du kjenner, for eksempel din ledelse eller en bedrift dere samarbeider med.
En annen teknikk svindlere bruker for å skape mer troverdighet, er kloning av nettsider. De kopierer legitime nettsteder for å lure deg til å legge inn personlig identifiserbar informasjon (PII) eller påloggingsinformasjon.
4. ‘Drive-by’-angrep
‘Drive-by’-angrep er en vanlig metode for å spre malware. Hackere leter etter usikre nettsteder og planter et ondsinnet skript i HTTP eller PHP-kode på en av sidene. Dette skriptet kan installere skadelig programvare direkte på datamaskinen til noen som besøker nettstedet, eller det kan omdirigere offeret til et nettsted som kontrolleres av hackerne.
Nedlastinger kan kjøre når du besøker et nettsted eller viser en e-postmelding eller et popup-vindu. I motsetning til mange andre typer sikkerhetsangrep, er det ikke en bruker som gjør noe for å aktivere angrepet – du trenger ikke å klikke på en nedlastingsknapp eller åpne et skadelig e-postvedlegg for å bli smittet.
En nedlasting kan utnytte en app, et operativsystem eller en nettleser som inneholder sikkerhetsfeil som følge av mislykkede oppdateringer eller manglende oppdateringer.
5. Passord-angrep
Siden passord er den mest brukte mekanismen for å autentisere brukere til et informasjonssystem, er det å få tak i passord et vanlig og effektivt angrep. Tilgang til en persons passord kan fås ved å se på vedkommendes skrivebord, "snuse" tilkoblingen til nettverket for å skaffe ukrypterte passord, bruke sosial manipulering, få tilgang til en passorddatabase, eller ved direkte gjetting. Den siste tilnærmingen kan gjøres på en tilfeldig eller systematisk måte:
Brute-force går ut på å prøve forskjellige passord – med tilknytning til personens navn, jobbtittel, hobbyer eller lignende – og håpe at man treffer.
I et ordbokangrep brukes en ordbok med vanlige passord til å forsøke å få tilgang til en brukers datamaskin og nettverk. En vanlig tilnærming er å kopiere en kryptert fil som inneholder passordene, bruke samme kryptering til en ordbok med vanlige passord, og sammenligne resultatene.
6. SQL injection-angrep
SQL injection har blitt et vanlig problem med database-drevne nettsteder. Det oppstår når en angriper kjører en SQL-spørring til databasen via inngangsdata fra klienten til serveren. SQL-kommandoer er satt inn i inputfelter (for eksempel i stedet for påloggingen eller passordet) for å kunne kjøre forhåndsdefinerte SQL-kommandoer.
En vellykket SQL-injeksjonsutnyttelse kan lese sensitive data fra databasen, modifisere (sette inn, oppdatere eller slette) databasedata, utføre administrasjonsoperasjoner (for eksempel avslutning) på databasen, gjenopprette innholdet i en gitt fil, og i noen tilfeller kommandoer til operativsystemet.
7. Cross-site scripting (XSS-angrep)
XSS-angrep bruker tredjeparts webressurser til å kjøre skript i offerets nettleser eller skriptbar applikasjon. Spesielt angriper angriperen en nyttelast med skadelig JavaScript inn i en nettsides database. Når offeret ber om en side fra nettstedet, sender nettsiden siden, med angriperens nyttelast som en del av HTML-kroppen, til offerets nettleser, som utfører det ondsinnede skriptet. For eksempel kan det sende offerets informasjonskapsel til angriperens server, og angriperen kan trekke den ut og bruke den til øktkapring.
De farligste konsekvensene oppstår når XSS brukes til å utnytte ytterligere sårbarheter. Disse sikkerhetsproblemene kan gjøre det mulig for en angriper å ikke bare stjele informasjonskapsler, men også logge tastetrykk, ta skjermbilder, oppdage og samle nettverksinformasjon og fjerne tilgang til og kontrollere offerets maskin.
8. Eavesdropping (avlyttingsangrep)
Avlyttingsangrep forekommer gjennom avlytting av nettverkstrafikk. Ved avlytting kan en angriper oppnå passord, kredittkortnummer og annen konfidensiell informasjon som en bruker kan sende over nettverket. Avlytting kan være passiv eller aktiv:
- Passiv avlytting. En hacker oppdager informasjonen ved å lytte til meldingsoverføringen i nettverket.
- Aktiv avlytting. En hacker griper aktivt informasjonen ved å skjule seg som vennlig enhet og ved å sende forespørsler til sendere. Dette kalles probing, scanning eller manipulering.
Detekteringen av passive avlyttingsangrep er ofte viktigere enn å oppdage aktive, siden aktive angrep krever at angriperen får kunnskap om de vennlige enhetene ved å gjennomføre passiv avlytting før.
9. Birthday attack
Birthday attack er angrep mot hash-algoritmer som brukes til å verifisere integriteten til en melding, programvare eller digital signatur. En melding som behandles av en hash-funksjon, produserer en meldingskanal (MD) med fast lengde, uavhengig av lengden på inngangsmeldingen. Denne MD-hashen karakteriserer meldingen som unik.
Birthday attack henviser til sannsynligheten for å finne to tilfeldige meldinger som genererer den samme MD når de behandles av en hash-funksjon. Hvis en angriper beregner samme MD for meldingen som brukeren har, kan han trygt erstatte brukerens melding med sin egen, og mottakeren vil ikke kunne oppdage erstatningen, selv om han sammenligner MD-er.
10. Malware-angrep
Ondsinnet programvare kan beskrives som uønsket programvare som er installert i systemet uten ditt samtykke. Det kan feste seg til lovlig kode og forplante seg, det kan lure seg inn i nyttige applikasjoner eller replikere seg over internett. Her er noen av de vanligste formene for malware:
- Makrovirus. Disse virusene smitter applikasjoner som Microsoft Word eller Excel. Makrovirusene knyttes til en applikasjons initialiseringssekvens. Når programmet åpnes, utfører viruset instruksjoner før overføring av kontroll til applikasjonen. Viruset replikerer seg selv og festes til annen kode i datasystemet.
- Filinfektorer. Filinfeksjonsvirusene legger seg vanligvis til kjørbar kode, for eksempel .exe-filer. Viruset er installert når koden er lastet. En annen versjon av en filinfektor knytter seg til en fil ved å lage en virusfil med samme navn, men en .exe-utvidelse. Derfor, når filen åpnes, vil viruskoden utføres.
- System- eller boot-record-virus. Et boot-record-virus festes til boot-sektoren på harddisker. Når systemet startes, vil det se på boot-sektoren og laste viruset inn i minnet, der det kan forplante seg til andre disker og datamaskiner.
- Polymorfe virus. Disse virusene skjuler seg gjennom varierende krypterings- og dekrypteringssykluser. Det krypterte viruset og en tilhørende mutasjonsmotor dekrypteres først av et dekrypteringsprogram. Viruset fortsetter å infisere et område med kode. Mutasjonsmotoren utvikler deretter en ny dekrypteringsrutine, og viruset krypterer mutasjonsmotoren og en kopi av viruset med en algoritme som tilsvarer den nye dekrypteringsrutinen. Den krypterte pakken med mutasjonsmotor og virus er festet til ny kode, og prosessen gjentar seg. Slike virus er vanskelige å oppdage, men har et høyt nivå av entropi på grunn av de mange modifikasjoner av kildekoden. Antivirusprogramvare eller gratis verktøy som Process Hacker kan brukes for å oppdage disse.
- Stealth-virus. Stealth-virus tar over systemfunksjonene for å skjule seg selv. De gjør dette ved å kompromittere verktøy for skadelig programvare, slik at programvaren vil rapportere et infisert område som uinfisert. Disse virusene skjuler enhver økning i størrelsen på en infisert fil eller endrer filens dato og tidspunkt for siste endring.
- Trojanere. En trojaner eller en trojansk hest er et program som gjemmer seg i et nyttig program og vanligvis har en ondsinnet funksjon. En stor forskjell mellom virus og trojaner er at trojanere ikke replikerer seg selv. I tillegg til å starte angrep på et system kan en trojaner etablere en bakdør som kan utnyttes av angripere. For eksempel kan en trojaner programmeres til å åpne en høyt nummerert port, slik at hackeren kan bruke den til å lytte og deretter utføre et angrep.
- Logiske bomber. En logisk bombe er en type ondsinnet programvare som er vedlagt et program og utløses av en bestemt forekomst, for eksempel en logisk tilstand eller en bestemt dato og klokkeslett.
- Ormer. Ormer er forskjellige fra virus, fordi de ikke knytter seg til en vertsfil, men er selvforsynte programmer som sprer seg over nettverk og datamaskiner. Ormer spres vanligvis gjennom e-postvedlegg. Å åpne vedlegget aktiverer ormeprogrammet. En typisk ormeutnyttelse (worm infection) innebærer at ormen sender en kopi av seg selv til hver kontakt i en infisert datas e-postadresse. I tillegg til å utføre ondsinnede aktiviteter kan en orm som sprer seg over Internett og overbelastning av e-postservere, føre til avslag på angrep mot noder på nettverket.
- Droppers. En dropper er et program som brukes til å installere virus på datamaskiner. I mange tilfeller er droppers ikke smittet med ondsinnet kode, og kan derfor ikke oppdages av virusskanningsprogramvare. En dropper kan også koble til Internett og laste ned oppdateringer til virusprogramvare som er bosatt på et kompromittert system.
- Ransomware. Ransomware er en type malware som blokkerer tilgangen til offerets data og truer med å publisere eller slette det med mindre en løsepengesum betales. Selv om noen enkle løsepengevirus kan låse systemet på en måte som ikke er vanskelig for en kunnskapsrik person å reversere, bruker mer avansert malware en teknikk som kalles kryptoviral utpressing. Dette krypterer offerets filer på en måte som gjør dem nesten umulige å gjenopprette uten dekrypteringsnøkkel.
- Adware. Adware er et program som brukes av bedrifter til markedsføringsformål. Annonsebannere vises når et program kjører. Adware kan automatisk lastes ned til systemet ditt mens du surfer på et nettsted og kan vises via popup-vinduer eller via en linje som vises automatisk på skjermen.
- Spyware. Spyware er en type program som er installert for å samle inn informasjon om brukere, deres datamaskiner eller deres vaner. Den sporer alt du gjør, uten at du vet om det, og sender dataene til en ekstern bruker. Det kan også laste ned og installere andre ondsinnede programmer fra internett. Spyware fungerer som en adware, men installeres ofte uten din viten for å utføre andre funksjoner, som f. eks. call-home til en angriper.
Konklusjon
Som leder for en bedrift er det viktig at du forstår omfanget av trusselbildet, om ikke alle detaljene. Grunnleggende kunnskap om hvilke typer angrep som finnes kan være nyttig når en skal rådføre med seg interne og eksterne fageksperter. For å forstå forsvaret må man først forstå angrepet.
