В условиях цифровизации большинства отраслей и социальной сферы, актуальна безопасность от несанкционированных доступов. Важно обеспечивать конфиденциальность внутренней информации, во избежание утечки персональных данных, последующих финансовых и моральных, репутационных потерь. Ведущую роль в этом играет предупреждение сниффинга – несанкционированного перехвата корпоративных информационных потоков.
Работа с информацией невозможна без нормально организованной кибербезопасности. Защита данных от злоумышленников необходима для сбережения ценных сведений, которые они превращают в свой доход и ваши потери. Их кража или ее угроза подрывает деятельность бизнеса, промышленных и государственных структур. Эффективность защиты зависит от комплекса организационных, технических, и административных мер.
В перечне защитных действий должно быть предупреждение сниффинг-атак – перехвата данных в сети, которые для вас составляют ценность, а их утеря превращается в убытки.
Что такое сниффинг-атака
Сниффинг-атаками называются способы отслеживания преступниками сетевых трафиков, с целью сбора и анализа проходящих в потоке данных (в английском языке одно из значений sniffing – обнюхивать). Проблема в том, что сниффинг как исследование трафика выполняет много легальных полезных задач – тестирования и диагностики проблем, сетевой аналитики и отладки, но злоумышленниками он используется в корыстных целях завладения чужой информацией.
Целью несанкционированного сниффинга является выуживание ценных для злоумышленников сведений, в том числе:
- Логинов и паролей, учетных данных – с их помощью они войдут в личные кабинеты онлайн-банкинга, интернет-магазинов, сайтов.
- Номеров банковских карт и их секретных кодов – для кражи денежных средств.
- Личных сообщений из чатов, в которых содержится ценная информация. Ее можно использовать для шантажа и обогащения.
- Деловой электронной переписки.
- Конфигураций роутеров – для полного доступа к трафику.
- DNS-трафиков между компьютерами и серверами, с файлами важной технической, корпоративной, ведомственной, государственной информации.
Итогом атак снифферов является их обогащение и ослабление конкурентов, а для пострадавшей стороны – убытки в финансах и репутации, потеря места на рынке, утрата секретов.
Как работает сниффинг: технический механизм
Сниффинг основан на перехвате данных из сетевых трафиков снифферами – техническими устройствами или программными комплексами (приложениями). Они подслушивают и анализируют пакеты информации при запросах между приложениями пользователей и серверами, с их записью и детализацией. Работают с заголовками, телами запросов, статус-кодами ответов, потом передают на нужные адреса.
Сниффинг может быть:
- Локальным – прямо на устройствах (компьютерах), отправляющих и принимающих трафик. Настраивается из прокси-серверов сниффера и тестирует конкретные приложения.
- Сетевым – при прослушивании всего трафика какого-либо сетевого сегмента. Охватывается все сетевое оборудование.
По способу реализации он бывает:
- Аппаратным – для эффективного исследования потоков на отдельных сетевых участках, с физическим подключением в систему.
- Программным – собирающим весь трафик из сетевого интерфейса.
Кроме этого, перехват может осуществляться подключениями в разрывы каналов, или ответвлениями трафика – программно или аппаратно направляя его копии снифферу.
Рабочими приложениями и программами взаимодействие со снифферами воспринимается как привычная работа с серверами. Такие процессы возможны с незашифрованными соединениями (HTTP, FTP, SMTP, POP3), где информация передается в виде открытых текстов.
Классификация сетевых атак: где место сниффингу
Видов сетевых атак много, как и разновидностей самих сетей, под которые они и подстраиваются.
Виды
Распространенные виды в классификации сетевых атак:
- сниффер пакетами;
- IP- или ARP-спуфингом, когда его инициаторы притворяются любыми хостами, и перехватывают все проходящие потоки;
- отказами в обслуживании;
- парольными атаками;
- атаками типа Man-in-the-Middle;
- атаками на уровне приложений;
- сетевой разведкой;
- злоупотреблением доверием;
- переадресацией портов;
- несанкционированным доступом;
- вирусами и приложениями типа «троянских коней».
В этой массе нападений сниффинг является пассивной сетевой атакой – не влияя на функционирование систем, он нарушает их политику конфиденциальности. Его работа возможна только в сегментах локальных сетей и их отдельных точках. С его помощью изучаются данные трафика, чтобы получить доступ в сеть или ее отдельные системы, для участия в их взаимодействии.
Сниффинг как один из базовых инструментов MITM
Атаки MITM (Man-in-the-Middle – человек-посредник) более изощренные – они изменяют коммуникации между участниками в сетях. Сниффинг в этом способе используется для обзора сетей и выуживания конфиденциальных данных (паролей, номеров, идентификаторов), а дальше манипулированеия такой информацией от имени того, у кого ее украли.
Злоумышленники-посредники:
- Пропускают поток запросов через свои устройства.
- Перехватывают информацию из незашифрованных протоколов. Манипулируют ней, с модификацией содержимого на веб-страницах, подменой файлов, внедрением вредоносных кодов.
- После обработки перенаправляют потоки получателям, которые не замечают вмешательства и подмены.
При этом посредники применяют снифферов:
- Intercepter-NG – для перехвата логинов и паролей от сайтов, восстановления передаваемых файлов.
- Bettercap – для перехвата и обработки трафика сетей, с автоматизированными сценариями посредством плагинов.
Таким образом, сниффинг может быть компонентом в сложных изощренных атаках, когда задействован комплекс различных техник, аппаратных средств и ПО.
Где чаще всего применяются сниффинг-атаки
Наиболее подвержены опасности легко доступные, публичные Wi-Fi подключения, потому что они практически не защищены, или защищены очень слабо.
Распространенная массовая среда для снифф-атак – корпоративные сети, с множеством потенциальных точек для внедрения, включая недобросовестность или халатность сотрудников в области безопасности.
Хоть они и защищены, но имеют особый интерес у инициаторов сниффа: банки и платежные системы, турфирмы и маркетплейсы, страховые и логистические компании. Они ценны для злоумышленников огромными массивами персональных сведений людей и организаций, имеющих непосредственное отношение к деньгам и материальным ресурсам.
Кто в зоне риска
В первую очередь, рискуют быть взломанными все пользователи, пользующиеся общедоступными Wi-Fi подключениями в расположениях аэропортов, гостиниц, пунктов общественного питания, отдыха и развлекательных заведений.
Все организации и компании, пропускающие через свои сайты платежные реквизиты и сведения компаний и граждан, без хорошей защиты рискуют потерять конфиденциальную информацию. Пострадают в этом случае и их клиенты, включая вероятность кражи их средств со счетов.
Корпорации, большие компании, отраслевые ведомства (особенно силовые), государственные учреждения. Такие структуры имеют разветвленные локальные сети, и много потенциальных точек для несанкционированного снифф-внедрения.
Указанные места, независимо от уровня защищенности, рискуют стать объектами сниффинга.
Как распознать, что вас атакуют
Простым персональным пользователям обнаружить внедрение снифферов трудно. Это можно сделать организованно:
- Исследуя сетевую активность мониторингом трафиков, обнаруживая подозрительные действия.
- Работая с сетевыми и антивирусными сканерами. С их помощью легко выделяются аномальные искажения в привычных потоках.
- Проверяя динамику по ARP-таблицам. Когда в них выявляются дублирования IP-адресов, или ячейки с незнакомыми MAC-адресами, это прямой сигнал об атаке снифферов.
- Контролировать трафик с файрфолами.
После обнаружения снифф-атак или перахвата ними пакетов, выполняется ряд мер по отсечению от них затронутых устройств и сегментов сети. Усиливается защита данных.
Как защитить себя от сниффинг-атаки
Идеально, когда системы и пользователи защищены организаторами сетей. Но для личной защиты рекомендуется предусмотреть следующее:
- Не пользоваться открытыми и публичными сетями, где нет VPN. Использовать его при необходимости войти в открытые Wi-Fi-сети. Не включать автоматическое к ним подсоединение. На сайтах проверять наличие протокола HTTPS (зеленый значок замка).
- Исключить переходы на сомнительные сайты и по непроверенным ссылкам. Тем более, не вводить в таких точках персональные данные и пароли.
- Регулярно обновляться с антивирусами и драйверами, ОС и ПО.
- При постоянной и объемной работе для автономности и безопасности арендовать серверы VPS.
- Пользоваться надежными антивирусами и программами-антишпионами, файерволами для обнаружения, приложениями по мониторингу.
- Работать с двухфакторной аутентификацией и сложными паролями, меняя их дважды в год и чаще.
Администраторам, руководителям бизнес-структур и крупных организаций, корпораций, следует принимать меры:
- Пользоваться защищенными HTTPS-протоколами для веб-трафика. Но полная защита – это VPN-серверы и виртуальные частные сети, используя между ними зашифрованные тоннели с информацией.
- Сегментировать сети изолированными локальными участками VLAN, многоуровневыми файрволами. Все время наблюдать трафик.
- С помощью современных IDS/IPS-систем автоматически обнаруживать и предотвращать (блокировать) вторжения или подозрительную активность.
- Следить за проверкой сертификатов.
Для постоянной защищенности, необходимо отслеживать все нововведения в сфере безопасности, и внедрять в своих системах.
Законность и этика
Юридическая сторона обработки информации, в том числе сниффинга, регламентируется государством по ФЗ-152 (запрет сбора сведений без согласия), ФЗ-149 (регулирование открытого доступа), ФЗ-187 (запрет несанкционированных доступов), и КоАП РФ.
Этически необходимо соблюдать анонимность и конфиденциальность при сборе данных. Сниффинг с легальными инструментами открыто возможен в отдельных случаях:
- Анализировать трафик собственных сетей. Диагностировать и тестировать проблемы систем.
- Для обнаружения проникновений пентестами, когда это разрешает владелец. Аудит систем, имитируя злоумышленные атаки.
- При обучении в лабораторных условиях.
- По запросам правоохранительных органов.
Случаи, когда перехват – уголовное преступление по ФЗ-187 и статьям УК РФ:
- Несанкционированный доступ в чужие компьютерные системы и сети.
- Внедрение вредоносных программ.
- Копирование, модификация, блокирование, уничтожение информации при сниффинге.
Столкнуться с правовыми проблемами можно даже при случайных перехватах данных. Поэтому пользоваться снифферами рекомендуется только в своих сетях, и для тестов.
Лучшие инструменты для анализа сетевого трафика
Есть множество программ, анализирующих потоки в сети, бесплатные и платные, универсальные, и специализированные под конкретные задачи.
Бесплатные программы, имеющие открытый код:
- Wireshark – с глубоким анализом трафика, фильтрами, многими протоколами.
- Ntopng – классифицирует потоки со статистикой по IP-адресам, геолокациям, и протоколам. Выявляет подозрительную активность.
- Zeek анализирует сеть, регистрируя все активные действия.
- Suricata обнаруживает вторжения в реальном времени, предотвращает их.
В перечне платных программ для безопасности:
- SolarWinds NPM для автоматического обнаружения устройств и трафика в сетях с анализом и графиками для корпораций.
- PRTG Network Monitor отслеживает устройства, серверы, приложения. Работает с разными датчиками, оповещает при проблемах.
- Datadog Network Performance Monitoring работает в облаке для глубокого анализа с визуализацией потоков. Интегрируется с автоматизированными системами.
Администраторы сетей и систем пользуются этими же программами, а также бесплатной Zabbix – она следит за сотнями тысяч сетевых устройств. Мониторит серверы, оборудование, операционные системы.
Для обучения практике работы с сетевым трафиком могут применяться бесплатные программы:
- Wireshark анализирует до 2 тысяч протоколов с захватом и анализом, фильтрами трафика.
- tcpdump захватывает пакеты, автоматизирует работу с серверами.
- NetworkMiner для сетевой криминалистики, извлечения файлов из перехваченных трафиков.
- Xplico анализирует протоколы по веб-интерфейсам и автоматизации.
В числе платных программ для обучения и практики:
- PRTG Network Monitor с удобной визуализацией.
- SolarWinds NPM мониторит производительные сети, дает обширную аналитику.
- Scrutinizer для корпораций с расширенной отчетностью.
- Cisco AI Network Analytics обнаруживает аномалии, прогнозирует проблемы.
Всегда нужно помнить, что злоупотребление анализаторами трафика влечет ответственность.
Частые вопросы
Сниффер — это вирус?
Нет, обычные снифферы (устройства и программы) пассивно наблюдают за трафиком, не внедряясь в него. Но их используют те, кто вирусы распространяет.
Можно ли перехватывать мессенджеры?
Сами мессенджеры пока не взламывались снифферами, имея высокую защиту. Внедряться они могут к их пользователям через точки доступа.
Правда ли, что VPN полностью защищает?
Виртуализация защитит передачу данных, но не обеспечит полной анонимности.
А что делать, если уже произошло?
Это заметно по замедлениям, подозрительной активности, аномалиям в таблицах. Если это уже произошло, отключиться от сети. Обновить все ПО. Ввести шифрование. Не возвращаться на открытый Wi-Fi. Перейти на запароленный доступ. Проверить все протоколы на доступах – они должны быть защищенными.
Заключение
Сниффинг-атаки не являются самыми изощренными хакерскими нападениями. Но и защититься от них проще. Только соблюдать рекомендации, не использовать открытые сети и точки доступа. Применять инструменты для анализа трафика строго в закрытых сетях, в ограниченных целях для тестирования и обучения (кроме специальных целей в уполномоченных ведомствах).


