5. Typowe symptomy działania intruzów
- Powtarzanie się podejrzanego działania. Jest to jedna z najlepszych metod wykrywania włamań. Zwykle intruz nie wie dokładnie jak za pierwszym razem uzyskać dostęp. Posługuje się wobec tego techniką prób i błędów. Problemem jest rozpoznanie tego powtarzania oraz określenie ile powtórzeń traktować jako potencjalne włamanie. Kolejne próby może dzielić duży odstęp czasowy i to znacznie utrudnia lub wręcz uniemożliwia wykrycie włamania. Metoda ta umożliwia wykrywanie włamań bez znajomości ich szczegółów.
- Omyłkowe polecenia lub odpowiedzi pojawiające się podczas wykonywania sekwencji automatycznych. Będą to niezwykłe komunikaty o błędach od programów pocztowych i demonów usług systemowych. Trudno jest scharakteryzować rodzaj omyłkowych informacji. Można założyć, że polecenia lub odpowiedzi redagowane przez procesy systemowe lub użytkowe nie redagują ich błędnie. Można wobec tego przyjąć, że prawdopodobnie są redagowane przez człowieka podszywającego się pod określony proces. Przykładem mogą być komunikaty redagowane przez proces sendmail. Obserwowane błędy to np. próby usunięcia lub poprawienia błędnie wprowadzonych poleceń, tzw. literówki, lub błędy występujące w jednej próbie połączenia z danej lokalizacji a w pozostałych już nie.
- Wykorzystanie znanych słabych punktów. W każdym systemie istnieją słabe punkty, które są dobrze znane i opisane. Dostępne są narzędzia darmowe i komercyjne, które umożliwiają skanowanie integralności. Należą do nich m.in. NESSUS, Tripwire, SAFEsuite, NetSonar. Są one niekiedy bezcenne podczas oceny bezpieczeństwa systemu. Posługują się nimi jednak nie tylko administratorzy lecz również potencjalni włamywacze. Wobec tego skuteczną techniką wykrywania włamań jest monitorowanie użycia skanerów integralności oraz wykorzystywania znanych słabych punktów systemu. Znane skanery przejawiają pewne regularności w działaniu i wobec tego można utworzyć ich model. Można następnie zaimplementować narzędzia, które będą wskazywały wystąpienie wyszukiwania słabego punktu. Problem polega jednak na tym, że nowe słabe punkty i ataki są ciągle odkrywane, testowane, wykorzystywane i rozpowszechniane. Wymaga to ciągłego śledzenia najnowszych technik hakerskich aby wiedzieć co należy monitorować.
- Niespójności kierunkowe w pakietach przychodzących lub wychodzących. Za symptomy włamania można uważać:
- pojawienie się zewnętrznych pakietów wejściowych z wewnętrznym adresem źródłowym IP,
- pojawienie się pakietów wyjściowych z zewnętrznym adresem źródłowym,
- pojawienie się pakietów z nieoczekiwanymi portami źródła lub przeznaczenia, tzn. niezgodnymi z żądaniem usługi,
- pojawienie się pakietów z niespodziewanymi potwierdzeniami (ustawiony ACK), tzn. takimi, z którymi nie można związać uprzedniego żądania.
- Niespodziewane atrybuty pewnego żądania usługi lub pakietu. W danym środowisku pewne typy zdarzeń mogą występować regularnie w określonych momentach czasowych lub nie występują w określonych porach (np. transakcje finansowe - EDI). Odstępstwo od takiej reguły może być traktowane jako włamanie. Niektóre włamania mogą być wykryte na podstawie wykorzystywanego unikatowego zestawu zasobów systemowych, np. wzrastanie wykorzystanie procesora przy blokowaniu usługi. Dotyczyć to może również innych zasobów jak określone procesy, usługi, rozmiary systemu plików, natężenie ruchu sieciowego, w itd.
- Niewyjaśnione problemy z pewnym żądaniem usługi, z systemem lub środowiskiem. Mogą one dotyczyć problemów ze sprzętem, zasobami systemowymi, wydajnością systemu, zachowaniem użytkowników, dziennikiem audytu (np. maleje zamiast rosnąć).
- Zewnętrzna wiedza o włamaniu. Czasopisma, książki, grupy dyskusyjne, konferencje, spotkania.
- Pojawianie się podejrzanych objawów w ruchu pakietów w sieci. Może to być podejrzana treść ze względu na miejsce przeznaczenia lub źródła.