Cum funcționează OS Fingerprinting: noțiuni fundamentale necesare


Creșterea numărului de Internauți va aduce o creștere corespunzătoare a amenințărilor cibernetice. Iar, odată cu creșterea numărului de atacatori, organizațiile și indivizii, deopotrivă, ar trebui să se pregătească și să își protejeze informațiile.

Amprentarea (identificarea, adică) sistemului de operare (OS) ar putea fi o intrare pentru amenințării important; pot fi implicații grave prin expunerea vulnerabilităților sistemelor informaționale ale organizațiilor.
Procesul de analiză a pachetelor de date (datagramelor) pe care un sistem informatic le distribuie într-o rețea pentru a se identifica sistemul de operare este cunoscut ca „OS Fingerprinting”.
Sunt două tipuri de OS fingerprinting:

OS Fingerprinting activă: Aceasta este tehnica de identificare a OS-ului țintei prin livrarea pachetelor de date special concepute și studierea comportamentului TCP/IP al răspunsurilor.

OS Fingerprinting pasivă: Implică doar studierea colecției ascunse a pachetelor de date trimise de un sistem – analizarea pachetelor de date eliberate în rețea de către o țintă fără a trimite în mod activ pachetele de date pregătite.

Atacatorii și inginerii de securitate utilizează amprentarea OS din diferite motive. Cei din urmă, o fac pentru identificarea vulnerabilităților și testele de penetrare (VAPT). Însă, procesul de bază al amprentării OS rămâne același. Pentru aceasta, se poate implementa amprentarea OS doar pe pachetele de date care au finalizat un „handshake” TCP.

După identificarea OS-ului unui sistem, un atacator îi poate exploata vulnerabilitățile și poate obține acces la sistem și la datele sale confidențiale. Accesul poate pune în pericol rețeaua unei organizații și poate deschide uși pentru multe infracțiuni.

OS Fingerprinting poate dezvălui informații despre tipul și versiunea OS, despre SNMP (Simple Network Management Protocol), nume de domenii, pe care atacatorii le pot folosi împotriva țintelor.

Identificarea OS Fingerprinting poate ajuta la evaluarea nivelului securității cibernetice a organizației și la rezolvarea vulnerabilităților. Dacă organizația nu are o echipă adecvată în securitate, cea mai bună investiție ar fi într-o soluție de gestionare a vulnerabilităților pentru evaluarea și monitorizarea rețelei împotriva atacurilor de amprentare a OS.

Cele mai populare instrumente utilizate pentru amprentarea OS sunt:
• Nmap
• Ettercap
P0f

Următoarele puncte evidențiază ce se poate face pentru prevenirea amprentării OS:

  1. Actualizare regulată: Menținerea la zi a OS este printre cele mai simple măsuri de securitate. Și deoarece atacatorii folosesc în principal un browser ca armă, actualizarea acestuia poate ajuta la evitarea amprentării OS

2. Contramăsuri: Firewall-urile și antivirușii sunt valoroase împotriva amprentării OS, deoarece pot preveni versiunea activă. În plus, un IDPS (Intrusion Detection and Prevention System) poate ajuta la protejarea prin monitorizarea pachetelor de date pentru identificarea potențialelor atacuri.

3. Evaluarea vulnerabilității și testarea penetrarii (VAPT): măsura trebuie să fie regulată – minim semestrial sau anual. Însă, VAPT-ul trebuie efectuată și dacă există o schimbare semnificativă în IT-ul organizației, inclusiv PS, rețea etc.

4. Politici puternice de control&monitorizare: Organizațiile pot preveni amprentarea OS analizând amănunțit traficul de rețea și punând în aplicare politici adecvate de control și monitorizare.

5. Monitorizare activă: Monitorizarea activă și regulată a jurnalelor și a NIC-urilor (Network Interface Cards), pentru amănunte și corecții neobișnuite, sau a vulnerabilităților de securitate, poate ajuta la prevenirea amprentării OS.

6. Soluții pentru managementul vulnerabilităților: O astfel de soluție excelentă, care monitorizează rețeaua organizației pentru identificarea vulnerabilităților și furnizarea de soluții, poate ajuta la protejarea OS-urilor împotriva amenințărilor legate de amprentarea lor.