В контексте информационной безопасности , и особенно сетевой безопасности , спуфинг-атака — это ситуация, в которой человек или программа успешно идентифицируются как другой человек путем фальсификации данных для получения незаконного преимущества. [1]
Многие протоколы пакета TCP/IP не предоставляют механизмов аутентификации источника или места назначения сообщения, [2] что делает их уязвимыми для спуфинговых атак, когда приложения не принимают дополнительных мер предосторожности для проверки личности отправителя или получателя. хозяин. Подмена IP-адреса и подмена ARP , в частности, могут использоваться для усиления атак «человек посередине» против хостов в компьютерной сети . Атаки спуфинга, в которых используются преимущества протоколов набора TCP/IP, можно смягчить с помощью межсетевых экранов , способных выполнять глубокую проверку пакетов , или путем принятия мер по проверке личности отправителя или получателя сообщения.
Термин «Подмена доменного имени» (или просто, хотя и менее точно, «Подмена домена») используется в общем для описания одного или нескольких классов фишинговых атак, которые основаны на фальсификации или искажении имени домена в Интернете . [3] [4] Они предназначены для того, чтобы убедить ничего не подозревающих пользователей посетить веб-сайт, отличный от запланированного, или открыть электронное письмо, которое на самом деле не отправлено с указанного (или явно показанного) адреса. [5] Хотя атаки с подменой веб-сайтов и электронной почты более широко известны, любая служба, использующая разрешение доменных имен, может быть скомпрометирована.
Некоторые веб-сайты, особенно порнографические платные сайты , разрешают доступ к своим материалам только с определенных одобренных страниц (входа). Это обеспечивается путем проверки заголовка реферера HTTP - запроса. Однако этот заголовок реферера можно изменить (известно как « подмена реферера » или «подмена Ref-tar»), что позволяет пользователям получить несанкционированный доступ к материалам.
« Спуфинг » также может относиться к владельцам авторских прав , размещающим искаженные или непригодные для прослушивания версии произведений в файлообменных сетях.
Информацию об отправителе, отображаемую в электронных письмах ( From:
поле), можно легко подделать. Этот метод обычно используется спамерами , чтобы скрыть происхождение своих электронных писем, и приводит к таким проблемам, как неправильные возвраты писем (т. е. обратное рассеяние спама по электронной почте ).
Подмена адреса электронной почты осуществляется точно так же, как написание поддельного обратного адреса с использованием обычной почты . Если письмо соответствует протоколу (т. е. марке, почтовому индексу ), простой протокол передачи почты (SMTP) отправит сообщение. Это можно сделать с помощью почтового сервера с помощью telnet . [6]
Подмена геолокации происходит, когда пользователь применяет технологии, позволяющие создать впечатление, что его устройство находится не там, где оно находится на самом деле. [7] Наиболее распространенным способом подмены геолокации является использование виртуальной частной сети (VPN) или DNS- прокси, чтобы создать впечатление, что пользователь находится в другой стране, штате или территории, отличной от того, где он находится на самом деле. Согласно исследованию GlobalWebIndex , 49% пользователей VPN по всему миру используют VPN в первую очередь для доступа к территориально ограниченному развлекательному контенту. [8] Этот тип подмены геолокации также называется геопиратством, поскольку пользователь получает незаконный доступ к материалам, защищенным авторским правом, с помощью технологии подмены геолокации. Другой пример подделки геолокации произошел, когда игрок в онлайн-покер из Калифорнии использовал методы подмены геолокации для игры в онлайн-покер в Нью-Джерси , что противоречило законам штата Калифорния и Нью-Джерси. [9] Судебно-медицинская геолокация доказала подделку геолокации, и игрок лишился выигрыша на сумму более 90 000 долларов.
Телефонные сети общего пользования часто предоставляют информацию об идентификаторе вызывающего абонента , которая включает номер звонящего, а иногда и имя звонящего, при каждом вызове. Однако некоторые технологии (особенно в сетях передачи голоса по IP (VoIP) ) позволяют вызывающим абонентам подделывать информацию об идентификаторе вызывающего абонента и предоставлять ложные имена и номера. Шлюзы между сетями, допускающими такой подмену, и другими общедоступными сетями затем пересылают эту ложную информацию. Поскольку поддельные вызовы могут исходить из других стран, законы страны получателя могут не распространяться на звонящего. Это ограничивает эффективность законов против использования поддельной информации об идентификаторе вызывающего абонента для дальнейшего мошенничества . [10] [ не удалось проверить ]
Атака с использованием подделки глобальной навигационной спутниковой системы ( ГНСС ) пытается обмануть приемник ГНСС путем трансляции ложных сигналов ГНСС, структурированных так, чтобы напоминать набор обычных сигналов ГНСС, или путем ретрансляции подлинных сигналов, полученных в другом месте или в другое время. [11] Спуфинг-атаки, как правило, труднее обнаружить, поскольку злоумышленники генерируют поддельные сигналы. Эти поддельные сигналы сложно отличить от законных сигналов, что сбивает с толку расчеты местоположения, навигации и времени судов (PNT). [12] Это означает, что поддельные сигналы могут быть изменены таким образом, что приемник определит, что его положение находится где-то в другом месте, чем то, где он находится на самом деле, или что он находится там, где он находится, но в другое время, как это определено нападавший. Одна из распространенных форм атаки спуфинга GNSS, обычно называемая атакой с переносом, начинается с широковещательной передачи сигналов, синхронизированных с подлинными сигналами, наблюдаемыми целевым приемником. Затем сила поддельных сигналов постепенно увеличивается и ускользает от подлинных сигналов. [11]
Несмотря на то, что GNSS является одной из наиболее надежных навигационных систем, она продемонстрировала критические уязвимости к спуфинговым атакам. Было показано, что сигналы спутников GNSS уязвимы из-за того, что сигналы относительно слабы на поверхности Земли, что делает сигналы GNSS главными целями для поддельных атак. Более того, было высказано предположение, что системы постоянно и безрассудно считаются заслуживающими доверия, даже несмотря на то, что в настоящее время не существует средств защиты систем, сигналов или безопасной охраны судов от злонамеренных спуфинговых атак. [13] В результате использование таких систем, как GNSS, открыло возможность внешним злоумышленникам отправлять вредоносные команды, которые могут привести к человеческим жертвам, загрязнению окружающей среды, навигационным авариям и финансовым затратам. [14] [15] [16] Однако, поскольку более 80% мировой торговли осуществляется через судоходные компании, необходимо полагаться на системы GNSS для навигации, даже несмотря на то, что морские суда будут уязвимы для спуфинговых атак с ограниченными контрмерами. [17] [18]
Все системы GNSS, такие как GPS США, российская ГЛОНАСС , китайская BeiDou и европейская группировка Galileo , уязвимы для этой технологии. [19] Было высказано предположение, что для смягчения некоторых уязвимостей, с которыми сталкиваются системы GNSS в отношении спуфинговых атак, рекомендуется использовать более одной навигационной системы одновременно. [20]
Было высказано предположение, что результатом такой атаки стал захват в декабре 2011 года беспилотника Lockheed RQ-170 на северо-востоке Ирана . [21] Атаки с подменой GNSS были предсказаны и обсуждались в сообществе GNSS еще в 2003 году. [22] [23] [24] Атака «доказательства концепции» была успешно проведена в июне 2013 года, когда роскошная яхта White Группа студентов аэрокосмической инженерии инженерной школы Кокрелла при Техасском университете в Остине с помощью поддельных сигналов GPS направила «Розу Драхса» по неверному пути . Студенты находились на борту яхты, позволяя своему спуфинговому оборудованию постепенно подавлять мощность сигнала реальных спутников созвездия GPS, изменяя курс яхты. [25] [26] [27]
В 2019 году британский нефтяной танкер Stena Impero стал объектом мошеннической атаки, в результате которой судно было направлено в иранские воды, где оно было захвачено иранскими войсками. Следовательно, судно, его экипаж и груз были использованы как пешки в геополитическом конфликте. Несколько судоходных компаний, суда которых курсируют в иранских водах, дают указания судам проходить через опасные районы на высокой скорости и в светлое время суток. [28]
15 октября 2023 года Армия обороны Израиля (ЦАХАЛ) объявила, что GPS «ограничена в зонах активных боевых действий в соответствии с различными оперативными потребностями», но публично не прокомментировала более серьезные помехи. Однако в апреле 2024 года исследователи из Техасского университета в Остине обнаружили ложные сигналы и проследили их происхождение до конкретной авиабазы в Израиле, которой управляет ЦАХАЛ. [29]
В июне 2017 года около двадцати кораблей в Черном море пожаловались на аномалии GPS, показывающие, что суда перемещаются на многие мили от их фактического местоположения, что, по мнению профессора Тодда Хамфриса, скорее всего, было спуфингом. [27] [30] Аномалии GPS вокруг дворца Путина и Московского Кремля , продемонстрированные в 2017 году норвежским журналистом в прямом эфире, заставили исследователей полагать, что российские власти используют подмену GPS везде, где находится Владимир Путин . [27] [31]
Сообщается, что мобильные системы «Борисоглебск-2» , «Красуха» и «Житель» способны подделывать GPS. [32]
Инциденты, связанные с подделкой российского GPS, включают во время учений НАТО в Финляндии в ноябре 2018 года, которые привели к столкновению кораблей (не подтверждено властями). [33] и инцидент с сирийской подделкой со стороны российских военных в 2019 году, затронувший гражданский аэропорт в Тель-Авиве . [34] [35]
В декабре 2022 года о значительных помехах GPS в нескольких городах России сообщил сервис GPSJam; вмешательство было объяснено защитными мерами, принятыми российскими властями после вторжения на Украину. [19]
С появлением программно-конфигурируемой радиосвязи (SDR) приложения-симуляторы GPS стали доступны широкой публике. Это сделало подмену GPS гораздо более доступной, а это означает, что ее можно выполнить с ограниченными затратами и с минимальными техническими знаниями. [36] Еще предстоит продемонстрировать, применима ли эта технология к другим системам GNSS.
Министерство внутренней безопасности в сотрудничестве с Национальным центром интеграции кибербезопасности и коммуникаций ( NCCIC ) и Национальным координационным центром коммуникаций ( NCC ) опубликовало документ, в котором перечислены методы предотвращения этого типа подделки. Некоторые из наиболее важных и наиболее рекомендуемых к использованию: [37]
Эти стратегии установки и эксплуатации, а также возможности развития могут значительно повысить способность GPS-приемников и связанного с ними оборудования защищаться от ряда помех, помех и спуфинга. Программное обеспечение для обнаружения, независимое от системы и приемника, предлагает возможность применения в качестве межотраслевого решения. Программная реализация может осуществляться в разных местах системы, в зависимости от того, где используются данные GNSS, например, как часть встроенного ПО устройства, операционной системы или на уровне приложения. [ нужна цитата ]
Метод, предложенный исследователями из кафедры электротехники и вычислительной техники Университета Мэриленда, Колледж-Парк и Школы оптической и электронной информации Хуачжунского университета науки и технологий, целью которого является смягчение последствий атак с подменой GNSS с использованием данных. от шины локальной сети контроллера транспортного средства (CAN). Информация будет сравниваться с полученными данными GNSS и сравниваться, чтобы обнаружить возникновение спуфинговой атаки и восстановить траекторию движения транспортного средства с использованием этих собранных данных. Такие свойства, как скорость транспортного средства и угол поворота рулевого колеса, будут объединены и смоделированы регрессионным способом, чтобы достичь минимальной ошибки определения местоположения в 6,25 метра. [39] Аналогичным образом, метод, изложенный исследователями в документе конференции симпозиума IEEE Intelligent Vehicles Symposium 2016 года, обсуждает идею использования совместного адаптивного круиз-контроля (CACC) и связи между транспортными средствами (V2V) для достижения аналогичной цели. В этом методе коммуникационные возможности обоих автомобилей и измерения радара используются для сравнения с предоставленным GNSS-положением обоих автомобилей для определения расстояния между двумя автомобилями, которое затем сравнивается с измерениями радара и проверяется, чтобы убедиться, что они совпадают. Если две длины совпадают в пределах порогового значения, то подделки не произошло, но при превышении этого порога пользователь уведомляется, чтобы он/она мог принять меры. [40]
Информационные технологии играют все большую роль в современном мире, и для ограничения доступа к информационным ресурсам используются различные методы аутентификации, в том числе голосовая биометрия. Примерами использования систем распознавания говорящих являются системы интернет-банкинга, идентификация клиентов при звонке в колл-центр, а также пассивная идентификация возможного преступника с использованием заранее заданного «черного списка». [41]
Технологии, связанные с синтезом и моделированием речи, развиваются очень быстро, позволяя создавать записи голоса, практически неотличимые от реальных. Такие службы называются службами преобразования текста в речь (TTS) или передачи стиля . Первый был направлен на создание нового человека. Второй направлен на идентификацию другого в системах голосовой идентификации.
Большое количество учёных занято разработкой алгоритмов, которые смогли бы отличить синтезированный голос машины от реального. С другой стороны, эти алгоритмы необходимо тщательно протестировать, чтобы убедиться, что система действительно работает. [42] Однако раннее исследование показало, что дизайн функций и усиление маскировки оказывают значительное влияние на способность обнаруживать поддельный голос. [43]
Технология распознавания лиц широко используется в различных областях, включая иммиграционные проверки и безопасность телефонов, а также на таких популярных платформах, как Airbnb и Uber, для проверки личности людей. Однако более широкое использование сделало систему более уязвимой для атак, учитывая широкую интеграцию систем распознавания лиц в обществе. В некоторых онлайн-источниках и учебных пособиях подробно описаны методы обмана систем распознавания лиц с помощью методов, известных как подмена лица или атака на презентацию, которые могут представлять риск с точки зрения несанкционированного доступа. Чтобы смягчить эти опасности, были введены такие меры, как проверки активности (проверка моргания), глубокое обучение и специальные камеры, такие как 3D-камеры, для предотвращения подделки распознавания лиц. Важно внедрить подобные комплексные процедуры безопасности для защиты от попыток подделки лица и поддержания общей безопасности и целостности систем, использующих аутентификацию с распознаванием лиц. [44]
Очевидная массовая и вопиющая атака с использованием подмены GPS, в которой участвовало более 20 судов в Черном море в прошлом месяце, заставила экспертов по навигации и руководителей морских компаний чесать затылки.