04 Атака.

Защита

• 01 Варианты атаки
• 02 Подготовка к атаке
• 03 Проблема на уровне 8 (социальная инженерия)
• 04 Шпионское программное обеспечение, фишинг, захват браузера
• 05 Вредоносное программное обеспечение
• 06 Программное обеспечение безопасности

01 Варианты атаки
• Массовая атака
• Целенаправленные атаки

02 Массовая атака
Не определена прямая цель, принцип максимума: определенное применение с
максимальным эффектом
• Атакующий отправляет электронные письма максимальному числу получателей
• Текст, содержание, макет остаются неизменными
• Вредоносное программное обеспечение прикреплено или содержится ссылка

02 Целенаправленная атака
Выбирается конкретная жертва, и атака адаптируется
• Высокие временные затраты
• Требуется много исследовательской работы
• Например, поиск актуальной информации о компании через Facebook
• Поиск сотрудников
• Выбор атаки в соответствии с проведенным исследованием

02 Подготовка к атаке
24.06.2022 ISDS | Безопасность 8
• Сканирование сети
• Wardriving (поиск беспроводных сетей, обычно на автомобиле)
• Социальная инженерия

Массовая атака
• Примеры целей:
- Добавление к ботнету
- Шпионаж данных
- Манипуляция аппаратной части
- Кража личности
- Показ рекламы
• Поиск уязвимостей
• Использование вероятности поведения
• Drive-by инфицирование через веб-сайты вытесняет электронную почту с первого места

Целенаправленная атака
• Цель
• Исследование
• Цепочка событий
• Социальная инженерия - Человек как более уязвимая цель, чем техника, или
• Проблема на уровне 8 (социальная инженерия)
03 Проблема на уровне 8 (социальная инженерия)
• Примерно 85% всех успешных кибератак происходят из-за сознательного или
бессознательного участия пользователей!
• Беззаботное обращение
• Легкомысленное предоставление разрешений (например, на смартфоне)
• Игнорирование политик безопасности
• Неумышленное раскрытие личной информации (например, в социальных сетях)
• Удобство в ущерб безопасности
• Власть привычки

Заблуждения 21 века:
• У меня ведь нет ничего, что стоит скрывать.
• Какие данные они у меня могут взять?
Более 7 500 компаний по всему миру сделали торговлю (теоретически анонимизированными)
персональными данными своим основным бизнесом.
Также ваши . .
Объем персональных данных, который можно собрать законным путем, поражает.

Смартфон
• Группы разрешений (камера, микрофон, SMS и т. д.), за этим скрывается больше, посмотрите
• Автоматическое обновление
нежелательные функции могут быть добавлены, отозванные разрешения могут быть восстановлены

Пароль
• 123456, 123456789, 12345678, 1234567, password, 111111, 1234567890, 123123,
000000, abc123 (2019)
• Как сделать лучше?
• Групповые политики! (group policies)

Удобство и беспроводные сети (WLAN)

• Не всегда лучший выбор
• Сценарии атаки
Например, "зловредный близнец" (evil twin)

Иллюзия анонимности
• Интернет-провайдер знает больше, чем можно представить
• Деанонимизация происходит легче, чем можно предположить
• Анонимизация
• Псевдонимизация
• Искусственные интеллекты думают быстрее, чем можно себе представить

Все это и многое другое приводит к выводу,

что людей легче взламывать, чем машины.
 04 Шпионское программное обеспечение, фишинг, захват браузера

• Человек как цель, человек как слабое место. Знание - это сила, и чем больше я знаю о человеке,
тем выше вероятность, что я могу его манипулировать.
• Множество вредоносного программного обеспечения помогает в сборе информации. Как при
массовых атаках, так и при целенаправленных атаках.

Spyware
• Шпионское программное обеспечение (Spyware) - это программы, специализирующиеся на сборе
информации о пользователе ПК.
• Личные данные, привычки в сети, предпочтения и учетные данные - некоторые
примеры информации, на которую направлено шпионское программное обеспечение.

Phishing
• Письма, с помощью которых киберпреступники "ловят" пароли и другую личную
информацию.
• Часто такие письма оформляются под письма финансовых учреждений, PayPal, Amazon или
что-то подобное, чтобы обмануть жертв. Получателей просят ввести свои
учетные данные (пример)

Keylogger
• Кейлоггер (Keylogger) предназначен для записи ввода пользователя с клавиатуры.
• Преступники используют кейлоггеры, чтобы напрямую захватывать личные данные, такие как
пароли, "по пальцам" пользователя.

Browser-Hijacker
• Браузер-хайджекеры (Browser-Hijacker)- это небольшие программы, которые манипулируют
настройками браузера, чтобы перенаправлять запросы страниц (например, стартовую страницу) и
поисковые запросы на определенные веб-сайты. Например, на фишинговые страницы.

05 Вредоносное программное обеспечение

Вирусы
• Компьютерный вирус распространяется от ПК к ПК
• Он заражает файлы или носители информации своим программным кодом
• Вирус активируется только с "помощью" пользователя (и триггера)
• Файловые или ссылочные вирусы
• Они заражают исполняемые программные файлы (например, .exe)
• Почти все компоненты Windows и установленного программного обеспечения
подвержены этому
• Они вставляют свой код в соответствующие файлы
• При запуске приложения вирус может быть выполнен
• Макровирусы
• Они не скрываются в приложениях, а скрываются в документах Word и Excel.
• При загрузке зараженного документа вирус начинает свою вредоносную рутину.
• Это может быть просто шутка, но также может причинить серьезный вред.
• Черви
• Они способны распространяться самостоятельно внутри сети, не заражая файлы напрямую
и, как правило, без необходимости доступа пользователя.
• Часто используются в качестве вложений в электронной почте, после освобождения они
могут неограниченно размножаться в сети, парализуя ее.
• Часто они также могут нести с собой вирусы или трояны.
• Трояны
• Троян или троянский конь - это кажущиеся безвредными программы, которые скрывают
дополнительное вредоносное программное обеспечение, чтобы внедрить его на ПК.
• Очень опасной формой является троян с обратной дверью (RAT = Remote Access Trojan),
который включает в себя вспомогательные программы, позволяющие удаленный доступ к
зараженному компьютеру после активации.
• Ransomware (ransom = выкуп)
• Также относящаяся к семье троянцев, эта вредоносная программа принадлежит к быстро
растущей области киберпреступности. Она используется как при массовых атаках
(например, Бундестроянер), так и при целенаправленных атаках. В случае
целенаправленных атак обычно вся система заражается таким вредоносным программным
обеспечением и шифруется. Часто атакующие, проведя обширные исследования, очень
точно знают, насколько затратной может быть восстановление системы через резервные
копии, и предлагают соответствующие ключи по значительно более низкой цене.
• PUA и Adware часто бывают более раздражающими, чем угрожающими
• PUA (потенциально нежелательное приложение) или PUP (потенциально нежелательная
программа) обычно не представляют прямой угрозы для системы. Одним из самых
известных примеров является панель инструментов, которая устанавливается вместе с
загруженным приложением.
• Тем не менее, за такими приложениями часто стоят прилежные сборщики данных, и их
следует немедленно удалять.
• Adware известна большинству людей благодаря использованию "бесплатных"
приложений.
• В дополнение к основному приложению отображается реклама или устанавливается
дополнительная программа, которая также показывает рекламу.
• Часто "бесплатное" программное обеспечение можно использовать только с
соответствующей рекламной программой.
• При покупке лицензии на приложение Adware удаляется.
• Всё имеет свою цену...

06 Программное обеспечение безопасности

Кибербезопасность – программное обеспечение
• Уже давно это гораздо больше, чем просто антивирус...
• Антивирус, Антималвар, Анти... уступают место безопасности конечных точек на основе
искусственного интеллекта (AI).
• Однако перспективные подходы идут гораздо дальше
• Концепции безопасности только на уровне устройств или приложений устарели и в будущем будут
лишь составной частью Системы Управления Информационной Безопасностью (ISMS).

Антивирусные программы принадлежат прошлому!

• Мониторинг состояния безопасности и угроз
Брандмауэр и программное обеспечение безопасности на хостах работают в тесном
взаимодействии и непрерывно обмениваются информацией о безопасности. Таким образом, вы
всегда в курсе состояния безопасности вашей сети и мгновенно получаете уведомление в случае
активных угроз.
• Автоматическая изоляция угроз
Если обнаруживается угроза, оба компонента автоматически принимают совместные реакционные
меры с использованием динамических правил брандмауэра и защиты от бокового перемещения.
Зараженные хосты изолируются для предотвращения распространения, взаимодействия хакера и
потери данных.
• Искусственный интеллект с глубоким обучением стал неотъемлемой частью области
безопасности.
• Анализ приложений
• Точная изоляция угроз
• Незатронутые части сети остаются работоспособными.
• Высококомплексные комбинации и сотрудничество.

• Техники антивирусных программ:

• Реактивные: при этом виде обнаружения вредоносное ПО распознается только тогда, когда
соответствующая сигнатура (или известное значение хэша в облаке) была предоставлена
производителем антивирусного программного обеспечения.
• Преимущество: сигнатуру можно создать в течение короткого времени, и поэтому она по-
прежнему является основой для каждого сканера (при подключении к интернету также облачное
обнаружение).
• Недостаток: без обновленных сигнатур новые вредоносные программы не будут обнаруживаться.

• Проактивные: это обозначает обнаружение вредоносных программ без наличия соответствующей

сигнатуры. Из-за быстрого увеличения числа новых вредоносных программ такие техники
становятся все более важными. Проактивные методы включают в себя эвристику, анализ поведения
или техники песочницы.
• Преимущество: обнаружение еще неизвестных вредоносных программ.
• Недостаток: сложная техника требует высоких затрат на разработку и длительных циклов
разработки. Проактивные методы, по своей природе, имеют более высокий уровень ложных
срабатываний по сравнению с реактивными. Но лучше один раз слишком много, чем один раз
слишком мало.

05 Атака. Защита.

• 01 Эксплойты
• 02 Rootkits (корневые программы)
• 03 Брутфорс (грубая сила)
• 04 DoS, DDoS, DDoS – Отражение
• 05 Атаки с повторением (Replay Atacken)
• 06 Перехват TCP/IP (TCP/IP Hijacking)
• 07 Инструменты (Tools)
• 08 Ответственный за информационную безопасность (IT Sicherheitsbeau�ragter)

01 Эксплойты
• Под эксплойтом понимается метод или программный код, с помощью которого через уязвимость
в аппаратных или программных компонентах можно выполнить не предусмотренные команды или
функции.
• В зависимости от типа уязвимости с использованием эксплойта, например, можно вызвать сбой
программы, расширить права пользователя или выполнить произвольный программный код.

Exploit-Kit
• Эксплойт-киты или пакеты эксплойтов - это инструменты для кибератак, размещаемые на
законных веб-сайтах.
• С использованием различных эксплойтов автоматически пытаются найти уязвимость в веб-
браузере или его плагинах и использовать ее для установки вредоносных программ.
02 Rootkits
• Как и в случае с эксплойтами, термин "киты" мы рассматриваем как обозначение набора
программных инструментов.
• Термин "root" обозначает уровень прав администратора.
• После вторжения в систему эти инструменты в основном служат тому, чтобы действовать скрытно.
• Прослушивание, шпионаж, кража данных, установка, внедрение задней двери для подготовки
более сложных сценариев атак.

Некоторые примеры:
• Руткиты приложений (Applica�on Rootkits) - эти руткиты ориентированы на приложения в системе
и стараются скрыть свое присутствие на уровне приложений.
• Руткиты ядра (Kernel Rootkits)- воздействуют на ядро операционной системы, что делает их более
сложными для обнаружения и удаления.
• Руткиты пользовательского уровня (Userland Rootkits)- воздействуют на пользовательское
пространство, что означает, что они нацелены на уровень, где работают приложения и
пользователи.
• Руткиты памяти (Speicher Rootkits) - затрагивают оперативную память системы и могут изменять ее
содержимое.
• Руткиты виртуализации (Virtualisierungs Rootkits)- ориентированы на виртуализацию, что может
затруднить их обнаружение в виртуальных средах.

03 Brute Force
Нет прямой цели, максимальный принцип: определенное применение с максимальным эффектом
• При атаке методом грубой силы предпринимается попытка взлома учетных данных, таких как
имена пользователей и пароли, или поиска ключа, с помощью которого данные были
зашифрованы.
• Упрощенно говоря, предпринимается попытка угадать учетные данные или ключи.
• Из-за большого количества вариантов хакеры создают инструменты, способные проверить
множество вариантов за очень короткое время.

04 DoS, DDoS, DDoS-Reflek�on

• DoS - Отказ в обслуживании («Отказ в предоставлении услуг»)
Это отсутствие доступности услуги, как правило, вызванное перегрузкой сети данных.
Такая перегрузка может возникнуть случайно или быть вызвана целенаправленной атакой.
При атаке множеством целенаправленных запросов с целью намеренного отключения услуги такую
атаку называют «атакой отказа в обслуживании» (Denial of Service Atack).

• DDoS - Распределенная атака отказа в обслуживании (Distributed-Denial-of-Service)

Если такую атаку не осуществляет один злоумышленник, а целый ряд злоумышленников, это
называется «распределенной атакой отказа в обслуживании». Поскольку в этом случае атаки
исходят из множества источников, невозможно заблокировать соответствующих злоумышленников.
Однако за последние годы такие атаки утратили многие из своих угроз. Тем не менее, по-прежнему
могут наносить значительный ущерб неподготовленным и не защищенным жертвам.
• Однако увеличение взаимосвязи устройств ведет к своего рода второй весне.

• DRDoS - Распределенная отраженная атака отказа в обслуживании (Distributed-Reflected-Denial-of-

Service)
В этом варианте атаки злоумышленник направляет запросы к обычным службам, а не напрямую к
цели. Однако он присваивает своему запросу другой "адрес отправителя", который принадлежит
реальной цели.
Примером такой атаки может служить "атака с усилением DNS", при которой система доменных
имен используется в качестве "рефлектора".
Такой подход делает выявление истинного источника гораздо сложнее.
05 Атака повторного воспроизведения (Replay Atack)
• Атака повторного воспроизведения используется для подделки подлинности.
• Как правило, предшествует так называемая атака "человек посередине" (man in the middle).
• Пример:
A и B обмениваются сообщениями и проверяют свою подлинность, например, с использованием
хеш-функции. Обе стороны сравнивают хеш-код и проводят соответствующие вычисления. C
подслушивает процесс и записывает его. Затем C общается с B, выдаёт себя за A и использует
запись для аутентификации.

06 TCP/IP Hijacking
• Даже в этой форме атак шпионаж играет центральную роль.
• Здесь в фокусе находятся пакеты TCP.
• Злоумышленник подслушивает трафик выбранного соединения и встраивается в коммуникацию с
помощью манипулированных пакетов.
• Хабы были "дружелюбной" аппаратной поддержкой для этой формы атак.

07 Инструменты
Инструменты злоумышленников также являются инструментами защиты. Даже если многие из них
свободно доступны, их использование без разрешения вне собственной тестовой среды
(лабораторной среды) является ПРЕСТУПЛЕНИЕМ!!! Специалистам по информационной
безопасности следует быть осторожными, согласно § 202c Abs. 2 (htps://www.gesetze-im-
internet.de/stgb/__202c.html).

Brute Force инструменты (Примеры)

• Gobuster
• BruteX
• Dirsearch
• SSB
• THC-Hydra
• Burp Suite
• Patator
• Pydictor
• Ncrack
• Hashcat

DDoS инструменты (Примеры)

• HOIC
• LOIC
• ByteDOS
• PyLoris

Другие инструменты (Примеры)

• Wireshark
• Nmap
• Aircrack-ng
• Owasp ZAP

Сборники инструментов (Примеры)

•Parrot
•Kali Linux
•Black Arch
08 IT-Sicherheitsbeau�ragter
Обязанности:
• Как правило, выступает в роли штабной структуры.
• Согласование целей информационной безопасности с целями учреждения, ведомства или
предприятия.
• Разработка политики информационной безопасности (политики)
• Создание, эксплуатация и развитие организации информационной безопасности.
• Разработка концепции информационной безопасности (ИБСУ) и ее адаптация к новым
законодательным нормам.
• Информирование руководства компании о текущем состоянии информационной безопасности.

Aufgaben:
• Обеспечение информационного потока для управления информационной безопасностью.
• Документирование мер по обеспечению информационной безопасности и их контроль.
• Проведение обучающих мероприятий по теме информационной безопасности.
• Руководство анализом и последующей обработкой инцидентов информационной безопасности.
• Управление ресурсами, предоставленными для обеспечения информационной безопасности.
• IT-ответственное лицо является контактным лицом по вопросам информационной безопасности
для коллег, а также для внешних деловых партнеров и клиентов.

Законодательная база:
• Нет аналогичного законодательного регулирования, как в случае с уполномоченным по защите
данных.
• Только в Законе о телекоммуникациях в § 109 Abs. 4 Satz 1 требуется, чтобы операторы
общедоступных или общедоступных телекоммуникационных сетей назначали ответственного за
информационную безопасность и разрабатывали концепцию безопасности.
• Кроме того, в Законе об информационной безопасности 2.0 предписывается операторам так
называемой "критической инфраструктуры" нанимать ответственного за информационную
безопасность.

Закон об информационной безопасности 2.0

• Вступил в силу с 28 мая 2021 года
• Больше обязанностей для операторов, больше полномочий для государства
• Регламент о критической инфраструктуре, KRITIS-Verordnung 2.0, конкретизирует Закон об
информационной безопасности и описывает пороговые значения.