В контексте информационной безопасности , и особенно сетевой безопасности , атака спуфинга представляет собой ситуацию, в которой человек или программа успешно идентифицируют себя как другое лицо путем фальсификации данных , чтобы получить незаконное преимущество. [1]
Многие протоколы в наборе TCP/IP не предоставляют механизмов для аутентификации источника или получателя сообщения, [2] делая их уязвимыми для атак спуфинга, когда приложения не принимают дополнительных мер предосторожности для проверки личности отправляющего или получающего хоста. IP-спуфинг и ARP-спуфинг в частности могут использоваться для использования атак типа «человек посередине» против хостов в компьютерной сети . Атаки спуфинга, которые используют преимущества протоколов набора TCP/IP, могут быть смягчены с помощью брандмауэров , способных выполнять глубокую проверку пакетов , или путем принятия мер для проверки личности отправителя или получателя сообщения.
Термин «Подмена доменного имени» (или просто, хотя и менее точно, «Подмена домена») используется в общем смысле для описания одного или нескольких видов фишинговых атак, которые основаны на фальсификации или искажении имени интернет-домена . [3] [4] Они предназначены для того, чтобы убедить ничего не подозревающих пользователей посетить веб-сайт, отличный от предполагаемого, или открыть электронное письмо, которое на самом деле не с указанного адреса (или кажущегося показанным). [5] Хотя атаки подмены веб-сайтов и электронной почты более широко известны, любая служба, которая полагается на разрешение доменного имени, может быть скомпрометирована.
Некоторые веб-сайты, особенно порнографические платные сайты , разрешают доступ к своим материалам только с определенных одобренных (login-) страниц. Это обеспечивается проверкой заголовка реферера HTTP - запроса. Однако этот заголовок реферера может быть изменен (известно как « подмена реферера » или « подмена Ref-tar »), что позволяет пользователям получать несанкционированный доступ к материалам.
« Спуфинг » может также означать размещение правообладателями искаженных или не поддающихся прослушиванию версий произведений в файлообменных сетях.
Информация об отправителе, отображаемая в электронных письмах ( From:
поле ), может быть легко подделана. Этот метод обычно используется спамерами для сокрытия источника своих электронных писем и приводит к таким проблемам, как неправильно направленные возвраты (т. е. обратное рассеивание спама по электронной почте ).
Подделка адреса электронной почты выполняется точно так же, как и написание поддельного обратного адреса с помощью обычной почты . Пока письмо соответствует протоколу (т. е. марке, почтовому индексу ), Simple Mail Transfer Protocol (SMTP) отправит сообщение. Это можно сделать с помощью почтового сервера с telnet . [6]
Подмена геолокации происходит, когда пользователь применяет технологии, чтобы его устройство казалось находящимся в другом месте, чем оно есть на самом деле. [7] Наиболее распространенный спуфинг геолокации осуществляется с помощью виртуальной частной сети (VPN) или DNS- прокси, чтобы пользователь выглядел находящимся в другой стране, штате или на другой территории, чем там, где он на самом деле находится. Согласно исследованию GlobalWebIndex , 49% пользователей VPN во всем мире используют VPN в основном для доступа к территориально ограниченному развлекательному контенту. [8] Этот тип подмены геолокации также называется геопиратством, поскольку пользователь незаконно получает доступ к материалам, защищенным авторским правом, с помощью технологии подмены геолокации. Другой пример подмены геолокации произошел, когда игрок в онлайн-покер в Калифорнии использовал методы подмены геолокации для игры в онлайн-покер в Нью-Джерси , что противоречит законам как Калифорнии , так и Нью-Джерси. [9] Судебно-медицинская экспертиза подтвердила факт подмены геолокации, и игрок лишился выигрыша в размере более 90 000 долларов.
Общественные телефонные сети часто предоставляют информацию об идентификаторе вызывающего абонента , которая включает номер вызывающего абонента, а иногда и имя вызывающего абонента, при каждом звонке. Однако некоторые технологии (особенно в сетях Voice over IP (VoIP) ) позволяют вызывающим абонентам подделывать информацию об идентификаторе вызывающего абонента и представлять ложные имена и номера. Шлюзы между сетями, которые позволяют такую подмену, и другими общественными сетями затем пересылают эту ложную информацию. Поскольку поддельные звонки могут исходить из других стран, законы в стране получателя могут не применяться к вызывающему абоненту. Это ограничивает эффективность законов против использования поддельной информации об идентификаторе вызывающего абонента для дальнейшего мошенничества . [10] [ неудавшаяся проверка ]
Атака спуфинга глобальной навигационной спутниковой системы (GNSS) пытается обмануть приемник GNSS, транслируя поддельные сигналы GNSS, структурированные так, чтобы напоминать набор обычных сигналов GNSS, или ретранслируя подлинные сигналы, захваченные в другом месте или в другое время. [11] Атаки спуфинга, как правило, сложнее обнаружить, поскольку злоумышленники генерируют поддельные сигналы. Эти поддельные сигналы сложно отличить от подлинных сигналов, тем самым сбивая с толку расчеты позиционирования, навигации и времени (PNT) судов. [12] Это означает, что поддельные сигналы могут быть изменены таким образом, чтобы заставить приемник оценить свое местоположение как находящееся где-то в другом месте, чем оно есть на самом деле, или находиться там, где оно находится, но в другое время, как определено злоумышленником. Одна из распространенных форм атаки спуфинга GNSS, обычно называемая атакой с перехватом, начинается с трансляции сигналов, синхронизированных с подлинными сигналами, наблюдаемыми целевым приемником. Затем мощность поддельных сигналов постепенно увеличивается и отводится от подлинных сигналов. [11]
Несмотря на то, что GNSS является одной из самых надежных навигационных систем, она продемонстрировала критические уязвимости к атакам спуфинга. Было показано, что спутниковые сигналы GNSS уязвимы из-за того, что сигналы относительно слабы на поверхности Земли, что делает сигналы GNSS конечными целями для атак спуфинга. Кроме того, было высказано предположение, что системы постоянно и безрассудно считаются заслуживающими доверия, хотя в настоящее время нет никаких средств защиты систем, сигналов или безопасной охраны судов от вредоносных атак спуфинга. [13] В результате, зависимость от таких систем, как GNSS, открыла дверь для внешних злоумышленников для отправки вредоносных команд, которые могут привести к потере человеческих жизней, загрязнению окружающей среды, навигационным авариям и финансовым издержкам. [14] [15] [16] Однако, учитывая, что более 80% мировой торговли осуществляется через судоходные компании, необходимо полагаться на системы GNSS для навигации, даже несмотря на то, что морские суда будут уязвимы для атак спуфинга с ограниченными мерами противодействия. [17] [18]
Все системы GNSS, такие как американская GPS, российская ГЛОНАСС , китайская BeiDou и европейская группировка Galileo , уязвимы к этой технике. [19] Было высказано предположение, что для смягчения некоторых уязвимостей, с которыми сталкиваются системы GNSS в отношении атак спуфинга, рекомендуется использовать более одной навигационной системы одновременно. [20]
Было высказано предположение, что захват беспилотного самолета Lockheed RQ-170 в декабре 2011 года на северо-востоке Ирана был результатом такой атаки. [21] Атаки с использованием спуфинга GNSS были предсказаны и обсуждались в сообществе GNSS еще в 2003 году. [22] [23] [24] Атака «доказательства концепции» была успешно проведена в июне 2013 года, когда роскошная яхта White Rose of Drachs была сбита с толку с помощью поддельных сигналов GPS группой студентов-аэрокосмических инженеров из Инженерной школы Кокрелла Техасского университета в Остине . Студенты находились на борту яхты, позволяя своему спуфинговому оборудованию постепенно перегружать силу сигнала реальных спутников созвездия GPS, изменяя курс яхты. [25] [26] [27]
В 2019 году британский нефтяной танкер Stena Impero стал целью спуфинговой атаки, которая направила судно в иранские воды, где оно было захвачено иранскими силами. Следовательно, судно, включая его экипаж и груз, было использовано в качестве пешек в геополитическом конфликте. Несколько судоходных компаний, чьи суда курсируют вокруг иранских вод, инструктируют суда проходить опасные районы на высокой скорости и в дневное время. [28]
15 октября 2023 года Армия обороны Израиля (АОИ) объявила, что GPS «ограничена в зонах активных боевых действий в соответствии с различными оперативными потребностями», но публично не прокомментировала более продвинутые помехи. Однако в апреле 2024 года исследователи Техасского университета в Остине обнаружили ложные сигналы и отследили их происхождение до конкретной авиабазы в Израиле, которой управляет АОИ. [29]
В июне 2017 года около двадцати судов в Черном море пожаловались на аномалии GPS, показывающие, что суда перемещаются на много миль от их фактического местоположения, что, по мнению профессора Тодда Хамфриса, скорее всего, было атакой спуфинга. [27] [30] Аномалии GPS вокруг дворца Путина и Московского Кремля , продемонстрированные в 2017 году норвежским журналистом в прямом эфире, заставили исследователей предположить, что российские власти используют спуфинг GPS везде, где находится Владимир Путин . [27] [31]
Сообщается, что мобильные системы под названием «Борисоглебск-2» , «Красуха» и «Житель» способны обманывать GPS. [32]
Инциденты, связанные с российским спуфингом GPS, произошли во время учений НАТО в Финляндии в ноябре 2018 года, которые привели к столкновению судов (не подтверждено властями). [33] и инцидент 2019 года со спуфингом из Сирии российскими военными, который затронул гражданский аэропорт в Тель-Авиве . [34] [35]
В декабре 2022 года служба GPSJam сообщила о значительных помехах в работе GPS в нескольких городах России; помехи были приписаны защитным мерам, принятым российскими властями после вторжения в Украину. [19]
С появлением программно-определяемой радиосвязи (SDR) приложения-симуляторы GPS стали доступны широкой публике. Это сделало подделку GPS гораздо более доступной, то есть ее можно выполнять с ограниченными затратами и с минимальными техническими знаниями. [36] Применима ли эта технология к другим системам GNSS, еще предстоит продемонстрировать.
Департамент внутренней безопасности в сотрудничестве с Национальным центром кибербезопасности и интеграции коммуникаций ( NCCIC ) и Национальным координационным центром коммуникаций ( NCC ) опубликовал документ, в котором перечислены методы предотвращения этого типа спуфинга. Некоторые из наиболее важных и рекомендуемых к использованию: [37]
Эти стратегии установки и эксплуатации, а также возможности разработки могут значительно повысить способность GPS-приемников и соответствующего оборудования защищаться от ряда помех, глушения и спуфинга. Программное обеспечение обнаружения, не зависящее от системы и приемника, предлагает применимость в качестве межотраслевого решения. Программное обеспечение может быть реализовано в разных местах системы в зависимости от того, где используются данные GNSS, например, как часть прошивки устройства, операционной системы или на уровне приложения. [ необходима цитата ]
Метод, предложенный исследователями из Департамента электротехники и вычислительной техники Мэрилендского университета в Колледж-Парке и Школы оптической и электронной информации Хуачжунского университета науки и технологий, направленный на смягчение последствий атак спуфинга GNSS с использованием данных из шины CAN-сети контроллера транспортных средств. Информация будет сравниваться с полученными данными GNSS и сравниваться для обнаружения возникновения атаки спуфинга и реконструкции траектории движения транспортного средства с использованием собранных данных. Такие свойства, как скорость транспортного средства и угол поворота рулевого колеса, будут объединены и смоделированы регрессией для достижения минимальной ошибки определения местоположения в 6,25 метра. [39] Аналогичным образом, метод, изложенный исследователями в докладе конференции IEEE Intelligent Vehicles Symposium 2016 года, обсуждает идею использования кооперативного адаптивного круиз-контроля (CACC) и коммуникаций между транспортными средствами (V2V) для достижения аналогичной цели. В этом методе коммуникационные возможности обоих автомобилей и радиолокационные измерения используются для сравнения с предоставленным положением GNSS обоих автомобилей, чтобы определить расстояние между двумя автомобилями, которое затем сравнивается с радиолокационными измерениями и проверяется, чтобы убедиться, что они совпадают. Если две длины совпадают в пределах порогового значения, то подделка не произошла, но выше этого порога пользователь уведомляется, чтобы он/она мог предпринять действия. [40]
Информационные технологии играют все большую роль в современном мире, и для ограничения доступа к информационным ресурсам используются различные методы аутентификации, включая голосовую биометрию. Примерами использования систем распознавания говорящего являются системы интернет-банкинга, идентификация клиента во время звонка в колл-центр, а также пассивная идентификация возможного преступника с использованием предустановленного «черного списка». [41]
Технологии, связанные с синтезом и моделированием речи, развиваются очень быстро, позволяя создавать записи голоса, практически неотличимые от настоящих. Такие сервисы называются Text-to-Speech (TTS) или Style Transfer Services. Первый направлен на создание нового человека. Второй направлен на идентификацию себя как другого в системах голосовой идентификации.
Большое количество ученых заняты разработкой алгоритмов, которые могли бы отличать синтезированный голос машины от настоящего. С другой стороны, эти алгоритмы должны быть тщательно протестированы, чтобы убедиться, что система действительно работает. [42] Однако раннее исследование показало, что дизайн функций и маскировка аугментации оказывают значительное влияние на способность обнаруживать поддельный голос. [43]
Технология распознавания лиц широко применяется в различных областях, включая иммиграционные проверки и телефонную безопасность, а также на популярных платформах, таких как Airbnb и Uber, для проверки личности людей. Однако возросшее использование сделало систему более уязвимой для атак, учитывая широкую интеграцию систем распознавания лиц в общество. Некоторые онлайн-источники и руководства подробно описывают методы обмана систем распознавания лиц с помощью практик, известных как подделка лица или атаки с использованием презентации, которые могут представлять риск с точки зрения несанкционированного доступа. Чтобы смягчить эти опасности, были введены такие меры, как проверки жизнеспособности (проверка моргания), глубокое обучение и специализированные камеры, такие как 3D-камеры, для предотвращения подделки распознавания лиц. Важно внедрить комплексные процедуры безопасности, подобные этим, для защиты от попыток подделки лица и поддержания общей безопасности и целостности систем, полагающихся на аутентификацию с использованием распознавания лиц. [44]
Очевидная массовая и вопиющая атака с использованием подмены GPS, в которой участвовало более 20 судов в Черном море в прошлом месяце, заставила экспертов по навигации и руководителей морских служб почесать голову.