Τα δεδομένα σας θα μπορούσαν να κινδυνεύουν απλώς μεταφέροντας αρχεία μεταξύ της δικής σας συσκευής και ενός ιστότοπου. Για να προστατεύσετε τα προσωπικά σας στοιχεία, οι ρυθμίσεις του τείχους προστασίας τόσο για εξωτερικούς όσο και για εσωτερικούς διακομιστές πρέπει να έχουν ρυθμιστεί σωστά. Γι' αυτό είναι σημαντικό να είστε εξοικειωμένοι με τον διακομιστή FTP και να κατανοείτε διάφορες στρατηγικές επίθεσης από την οπτική γωνία ενός εισβολέα.
Τι είναι λοιπόν οι διακομιστές FTP; Πώς μπορούν οι εγκληματίες του κυβερνοχώρου να υποκλέψουν τα δεδομένα σας εάν δεν έχουν ρυθμιστεί σωστά;
Τι είναι οι διακομιστές FTP;
Το FTP σημαίνει Πρωτόκολλο μεταφοράς αρχείων. Παρέχει μεταφορά αρχείων μεταξύ δύο υπολογιστών που είναι συνδεδεμένοι στο διαδίκτυο. Με άλλα λόγια, μπορείτε να μεταφέρετε τα αρχεία που θέλετε στους διακομιστές του ιστότοπού σας μέσω FTP. Μπορείτε να αποκτήσετε πρόσβαση στο FTP από τη γραμμή εντολών ή το πρόγραμμα-πελάτη γραφικού περιβάλλοντος χρήστη (GUI).
Η πλειοψηφία των προγραμματιστών που χρησιμοποιούν FTP είναι άτομα που διατηρούν τακτικά ιστότοπους και μεταφέρουν αρχεία. Αυτό το πρωτόκολλο βοηθά στη συντήρηση της εφαρμογής web εύκολη και χωρίς προβλήματα. Αν και είναι αρκετά παλιό πρωτόκολλο, εξακολουθεί να χρησιμοποιείται ενεργά. Μπορείτε να χρησιμοποιήσετε το FTP όχι μόνο για τη μεταφόρτωση δεδομένων αλλά και για τη λήψη αρχείων. Ένας διακομιστής FTP, από την άλλη πλευρά, λειτουργεί σαν μια εφαρμογή που χρησιμοποιεί το πρωτόκολλο FTP.
Για να μπορέσει ένας εισβολέας να επιτεθεί αποτελεσματικά στον διακομιστή FTP, τα δικαιώματα του χρήστη ή οι γενικές ρυθμίσεις ασφαλείας πρέπει να έχουν ρυθμιστεί εσφαλμένα.
Πώς οι χάκερ διακυβεύουν την επικοινωνία RCP;
Το RCP σημαίνει Κλήση απομακρυσμένης διαδικασίας. Αυτό βοηθά τους υπολογιστές σε ένα δίκτυο να κάνουν ορισμένα αιτήματα μεταξύ τους χωρίς να γνωρίζουν τις λεπτομέρειες του δικτύου. Η επικοινωνία με το RCP δεν περιέχει καμία κρυπτογράφηση. οι πληροφορίες που στέλνετε και λαμβάνετε είναι σε απλό κείμενο.
Εάν χρησιμοποιείτε RCP κατά τη φάση ελέγχου ταυτότητας του διακομιστή FTP, το όνομα χρήστη και ο κωδικός πρόσβασης θα μεταβούν στον διακομιστή σε απλό κείμενο. Σε αυτό το στάδιο, ο εισβολέας, που ακούει την επικοινωνία, εισέρχεται στην κίνηση και φτάνει στις πληροφορίες σας καταγράφοντας αυτό το πακέτο κειμένου.
Ομοίως, δεδομένου ότι η μεταφορά πληροφοριών μεταξύ του πελάτη και του διακομιστή είναι μη κρυπτογραφημένη, ο εισβολέας μπορεί κλέψετε το πακέτο που λαμβάνει ο πελάτης και αποκτήστε πρόσβαση στις πληροφορίες χωρίς την ανάγκη κωδικού πρόσβασης ή όνομα χρήστη. Με τη χρήση SSL (Secure Socket Layer), μπορείτε να αποφύγετε αυτόν τον κίνδυνο, επειδή αυτό το επίπεδο ασφαλείας θα κρυπτογραφήσει τον κωδικό πρόσβασης, το όνομα χρήστη και όλη την επικοινωνία δεδομένων.
Για να χρησιμοποιήσετε αυτήν τη δομή, πρέπει να έχετε λογισμικό που υποστηρίζεται από SSL στην πλευρά του πελάτη. Επίσης, εάν θέλετε να χρησιμοποιήσετε SSL, θα χρειαστείτε έναν ανεξάρτητο, τρίτο πάροχο πιστοποιητικών, δηλαδή την Αρχή Πιστοποίησης (CA). Εφόσον η ΑΠ πραγματοποιεί τη διαδικασία ελέγχου ταυτότητας μεταξύ του διακομιστή και του πελάτη, και τα δύο μέρη πρέπει να εμπιστεύονται αυτό το ίδρυμα.
Τι είναι οι διαμορφώσεις ενεργής και παθητικής σύνδεσης;
Το σύστημα FTP λειτουργεί σε δύο θύρες. Αυτά είναι τα κανάλια ελέγχου και δεδομένων.
Το κανάλι ελέγχου λειτουργεί στη θύρα 21. Εάν έχετε κάνει λύσεις CTF χρησιμοποιώντας λογισμικό όπως το nmap πριν, πιθανότατα έχετε δει τη θύρα 21. Οι πελάτες συνδέονται σε αυτή τη θύρα του διακομιστή και ξεκινούν την επικοινωνία δεδομένων.
Στο κανάλι δεδομένων πραγματοποιείται η διαδικασία μεταφοράς αρχείων. Αυτός είναι λοιπόν ο κύριος σκοπός της ύπαρξης του FTP. Υπάρχουν επίσης δύο διαφορετικοί τύποι σύνδεσης κατά τη μεταφορά αρχείων: ενεργή και παθητική.
Ενεργή σύνδεση
Ο πελάτης επιλέγει τον τρόπο αποστολής των δεδομένων κατά τη διάρκεια μιας ενεργής σύνδεσης. Στη συνέχεια ζητούν από τον διακομιστή να ξεκινήσει τη μετάδοση δεδομένων από μια συγκεκριμένη θύρα και ο διακομιστής το κάνει.
Ένα από τα πιο σημαντικά ελαττώματα σε αυτό το σύστημα ξεκινά όταν ο διακομιστής ξεκινά τη μεταφορά και το τείχος προστασίας του πελάτη εγκρίνει αυτήν τη σύνδεση. Εάν το τείχος προστασίας ανοίξει μια θύρα για να το ενεργοποιήσει και δέχεται συνδέσεις από αυτές τις θύρες, είναι εξαιρετικά επικίνδυνο. Κατά συνέπεια, ένας εισβολέας μπορεί να σαρώσει τον πελάτη για ανοιχτές θύρες και να εισβάλει στο μηχάνημα χρησιμοποιώντας μία από τις θύρες FTP που ανακαλύφθηκε ότι είναι ανοιχτή.
Παθητική σύνδεση
Σε μια παθητική σύνδεση, ο διακομιστής αποφασίζει με ποιον τρόπο θα μεταφέρει δεδομένα. Ο πελάτης ζητά ένα αρχείο από τον διακομιστή. Ο διακομιστής στέλνει τις πληροφορίες πελάτη από οποιαδήποτε θύρα μπορεί να τις λάβει ο διακομιστής. Αυτό το σύστημα είναι πιο ασφαλές από μια ενεργή σύνδεση, επειδή το μέρος εκκίνησης είναι ο πελάτης και ο διακομιστής συνδέεται στη σχετική θύρα. Με αυτόν τον τρόπο, ο πελάτης δεν χρειάζεται να ανοίξει τη θύρα και να επιτρέψει τις εισερχόμενες συνδέσεις.
Αλλά μια παθητική σύνδεση μπορεί να εξακολουθεί να είναι ευάλωτη καθώς ο διακομιστής ανοίγει μια θύρα στον εαυτό του και περιμένει. Ο εισβολέας σαρώνει τις θύρες του διακομιστή, συνδέεται στην ανοιχτή θύρα πριν ο πελάτης ζητήσει το αρχείο και ανακτά το σχετικό αρχείο χωρίς να χρειάζεται λεπτομέρειες όπως διαπιστευτήρια σύνδεσης.
Σε αυτήν την περίπτωση, ο πελάτης δεν μπορεί να προβεί σε καμία ενέργεια για την προστασία του αρχείου. Η διασφάλιση της ασφάλειας του ληφθέντος αρχείου είναι μια εντελώς διαδικασία από την πλευρά του διακομιστή. Πώς μπορείτε λοιπόν να σταματήσετε να συμβαίνει αυτό; Για προστασία από αυτόν τον τύπο επίθεσης, ο διακομιστής FTP πρέπει να επιτρέπει μόνο το Διεύθυνση IP ή MAC που ζήτησε το αρχείο να συνδεθεί στη θύρα που ανοίγει.
Απόκρυψη IP/MAC
Εάν ο διακομιστής διαθέτει έλεγχο IP/MAC, ο εισβολέας πρέπει να εντοπίσει τις διευθύνσεις IP και MAC του πραγματικού πελάτη και να καλυφθεί ανάλογα για να κλέψει το αρχείο. Φυσικά, σε αυτήν την περίπτωση, η πιθανότητα επιτυχίας της επίθεσης θα μειωθεί επειδή είναι απαραίτητο να συνδεθείτε στον διακομιστή πριν ο υπολογιστής ζητήσει το αρχείο. Μέχρι ο εισβολέας να πραγματοποιήσει κάλυψη IP και MAC, ο υπολογιστής που ζητά το αρχείο θα συνδεθεί στον διακομιστή.
Χρονική περίοδος
Μια επιτυχημένη επίθεση σε διακομιστή με φιλτράρισμα IP/MAC είναι δυνατή εάν ο πελάτης αντιμετωπίσει σύντομες περιόδους αποσύνδεσης κατά τη μεταφορά αρχείων. Οι διακομιστές FTP ορίζουν γενικά μια συγκεκριμένη περίοδο χρονικού ορίου, έτσι ώστε η μεταφορά αρχείων να μην τερματίζεται σε περίπτωση βραχυπρόθεσμων διακοπών στη σύνδεση. Όταν ο πελάτης αντιμετωπίζει ένα τέτοιο πρόβλημα, ο διακομιστής δεν αποσυνδέεται από τη διεύθυνση IP και τη διεύθυνση MAC του πελάτη και περιμένει να αποκατασταθεί η σύνδεση έως ότου λήξει το χρονικό όριο.
Εκτελώντας απόκρυψη IP και MAC, ο εισβολέας συνδέεται με την ανοιχτή περίοδο λειτουργίας του διακομιστή κατά τη διάρκεια αυτού του χρονικού διαστήματος και συνεχίζει να κατεβάζει αρχεία από το σημείο που σταμάτησε ο αρχικός πελάτης.
Πώς λειτουργεί ένα Bounce Attack;
Το πιο σημαντικό χαρακτηριστικό της επίθεσης αναπήδησης είναι ότι δυσκολεύει την εύρεση του επιτιθέμενου. Όταν χρησιμοποιείται σε συνδυασμό με άλλες επιθέσεις, ένας κυβερνοεγκληματίας μπορεί να επιτεθεί χωρίς να αφήσει ίχνη. Η λογική σε αυτόν τον τύπο επίθεσης είναι να χρησιμοποιήσετε έναν διακομιστή FTP ως διακομιστή μεσολάβησης. Οι κύριοι τύποι επίθεσης για τους οποίους υπάρχει η μέθοδος αναπήδησης είναι η σάρωση θυρών και η διέλευση βασικών φίλτρων πακέτων.
Σάρωση θυρών
Εάν ένας εισβολέας χρησιμοποιεί αυτήν τη μέθοδο για τη σάρωση θυρών, όταν κοιτάξετε τις λεπτομέρειες των αρχείων καταγραφής διακομιστή, θα δείτε έναν διακομιστή FTP ως υπολογιστή σάρωσης. Εάν ο διακομιστής στόχος που πρόκειται να δεχθεί επίθεση και ο διακομιστής FTP που λειτουργεί ως διακομιστής μεσολάβησης βρίσκονται στο ίδιο υποδίκτυο, ο διακομιστής προορισμού δεν πραγματοποιεί φιλτράρισμα πακέτων στα δεδομένα που προέρχονται από τον διακομιστή FTP. Τα πακέτα που αποστέλλονται δεν είναι συνδεδεμένα στο τείχος προστασίας. Δεδομένου ότι δεν θα εφαρμοστούν κανόνες πρόσβασης σε αυτά τα πακέτα, η πιθανότητα επιτυχίας του εισβολέα αυξάνεται.
Διαβίβαση βασικών φίλτρων πακέτων
Χρησιμοποιώντας αυτήν τη μέθοδο, ένας εισβολέας μπορεί να έχει πρόσβαση στον εσωτερικό διακομιστή πίσω από έναν ανώνυμο διακομιστή FTP που προστατεύεται από ένα τείχος προστασίας. Ο εισβολέας που συνδέεται με τον ανώνυμο διακομιστή FTP εντοπίζει τον συνδεδεμένο εσωτερικό διακομιστή με τη μέθοδο σάρωσης θύρας και μπορεί να τον προσεγγίσει. Και έτσι, ένας χάκερ μπορεί να επιτεθεί στον διακομιστή που προστατεύει το τείχος προστασίας από εξωτερικές συνδέσεις, από ένα ειδικά καθορισμένο σημείο επικοινωνίας με τον διακομιστή FTP.
Τι είναι η επίθεση άρνησης υπηρεσίας;
Επιθέσεις DoS (Denial of Service). δεν είναι νέος τύπος ευπάθειας. Οι επιθέσεις DoS γίνονται για να εμποδίσουν τον διακομιστή να παραδώσει αρχεία σπαταλώντας τους πόρους του διακομιστή προορισμού. Αυτό σημαίνει ότι οι επισκέπτες ενός παραβιασμένου διακομιστή FTP δεν μπορούν να συνδεθούν στον διακομιστή ή να λάβουν τα αρχεία που ζητούν κατά τη διάρκεια αυτής της επίθεσης. Σε αυτήν την περίπτωση, είναι πιθανό να υποστείτε τεράστιες οικονομικές απώλειες για μια διαδικτυακή εφαρμογή υψηλής επισκεψιμότητας—και να κάνετε τους επισκέπτες πολύ απογοητευμένους!
Κατανοήστε πώς λειτουργούν τα πρωτόκολλα κοινής χρήσης αρχείων
Οι εισβολείς μπορούν εύκολα να ανακαλύψουν τα πρωτόκολλα που χρησιμοποιείτε για τη μεταφόρτωση αρχείων. Κάθε πρωτόκολλο έχει τα δυνατά και τα αδύνατα σημεία του, επομένως θα πρέπει να κατακτήσετε διάφορες μεθόδους κρυπτογράφησης και να αποκρύψετε αυτές τις θύρες. Φυσικά, είναι πολύ καλύτερο να βλέπεις τα πράγματα μέσα από τα μάτια ενός επιθετικού, για να βρεις καλύτερα ποια μέτρα πρέπει να λάβεις για να προστατέψεις τον εαυτό σου και τους επισκέπτες.
Θυμηθείτε: οι επιτιθέμενοι θα είναι ένα βήμα μπροστά σας από πολλές απόψεις. Εάν μπορείτε να βρείτε τα τρωτά σημεία σας, μπορείτε να αποκτήσετε μεγάλο πλεονέκτημα έναντι αυτών.
