TACACS : Oznacza Terminal Access Controller Access Control System, protokół bezpieczeństwa dla Uwierzytelniania, Autoryzacji i Rozliczania (AAA)
TACACS+ : Rozszerzona wersja protokołu bezpieczeństwa TACACS . TACACS jest protokołem bezpieczeństwa używanym dla uwierzytelniania, autoryzacji i rozliczania (AAA), stworzony w latach 80-tych XX wieku przez Defense Data Network (DDN) dla MILNET, wojskową część Internetu w USA. TACACS jest podobny w działaniu do standardu przemysłowego protokołu Remote Authentication Dila-In User Service (RADIUS) używanego przez dostawców usług dla uwierzytelniania użytkowników dla zdalnego dostępu lub połączenia internetowego TACACS+ jest rozszrzoną wersją TACACS stworzonym przez Cisco Systems, który ma poszerzone funkcje bezpieczeństwa, w tym obsługa do 16 różnych poziomów uprzywilejowania i szeroki zakres metod uwierzytelniania. TACACS+ nie jest kompatybilny z oryginalnym TACACS i jest używany głównie dla serwerów AAA używanych przez dostawców Internetu (ISP)
TCPA : Oznacza Trusted Computing Platform Alliance, konsorcjum przemysłowe dedykowane poprawieniu zaufania i bezpieczeństwa platform informatycznych
Tcpdump : Narzędzie UNIX′owe dla monitorowania ruchu sieciowego. Tcpdump jest darmowym narzędziem sniffowania dla "zrzucenia" (wyświetlania) ruchu w sieci TCP/IP. Tcpdump jest silnym narzędziem , które działa z linii poleceń i ma liczne opcje. Pozwala nam przechwytywać pakiety , które mają nagłówki dopasowane do określonych wyrażeń logicznych a potem wyświetla pakiety lub zapisuje je do pliku danych dla późniejszej analizy Tcpdump może być również użyty do parsowania lub filtrowania poprzednio zapisanych plików danych dla analizy offline ruchu sieciowego. Tcpdump może kontynuować przechwytywanie ruchu w tle, dopóki sygnał przerwania nie zostanie wysłane lub określona liczba pakietów nie zostanie przetworzona
Tcp_scan : Popularne narzędzie UNIX dla skanowania portów. Tcp_scan to darmowe narzędzie do skanowania aby sprawdzić porty TCP nasłuchują połączeń przychodzących. Na przykład , serwer Apache zazwyczaj nasłuchuje zazwyczaj na porcie 80 TCP dla żądania Hypertext Transfer Protocol (HTTP) wydane przez przeglądarki sieciowe uruchomione na komputerach klienckich, a Tcp_scan zidentyfikuje ,że port 80 jest w stanie LISTENING na maszynie Apache. Tcp_scan jest narzędziem wiersza poleceń stworzonym przez Wietes'a Venema i działającym na rożnych platformach Unix/Linux, które wspierają użycie surowych gniazd Internet Control Message Protocol (ICMP). Jak większość narzędzi bezpieczeństwa, może być używane dla dobrych lub złych celów. Na przykład administratorzy mogą użyć narzędzia do konfiguracji zapory lub testowania usług audytorskich działających w sieci. Złośliwy hacker prawdopodobnie użyłby go do enumeracji usług jakie są uruchomione na hoście docelowym w ramach przygotowań do wykorzystania znanych luk związanych z tą usługą . Tcp_scan jest dołączane jako jedno z narzędzi ,które tworzą System Administrator Tool for Analyzing Networks (SATAN), kompleksowy pakiet opracowany w 1995 roku przez Dana Farmera i Wietese Venema dla badania bezpieczeństwa sieci, i podobnego narzędzia o nazwie Security Admnistrator's Integrated Network Tool (SAINT)
TCP sesji przechwytywanie : Przejęcie kontroli nad sesją Transsmision Control Protocol (TCP) między dwoma hostami. Przechwytywanie sesji TCP jest terminem używanym do opisu różnych technik używanych przez atakujących dla "złamania" sesji TCP i podszycie się pod jedną lub obie strony komunikacji. Przechwytywanie sesji TCP wymaga aby atakujący najpierw mógł podsłuchać sesję, zazwyczaj używając sniffera dla przechwycenia ruchu na słabo zabezpieczonym połączeniu sieciowym lub przez włamanie do hosta w zdalnej sieci i zainstalowanie oprogramowania sniffującego do monitorowania sieci. Po zmonitorowaniu sesji, atakujący używa narzędzi do spoofingu dla sfałszowania pakietu IP i wprowadzenie go do strumienia danych w ramach sesji. Jest kilka metod dzięki którym można wykonać przechwycenie sesji TCP :
• Wykorzystanie routingu źródłowego dla przekierowania pakietów IP do hosta kontrolowanego przez atakującego gdzie narzędzia do sniffingu i spoofingu są używane dla przechwycenia sesji
• Próba odgadnięcia lub przewidzenia numeru sekwencji TCP dla sesji i ślepego wprowadzenia pakietów, mając nadzieję ,że jeden z hostów potwierdzi pakiet i rozpocznie się przekierowywanie pakietów do atakującego
Jeśli wysiłki przechwycenia sesji TCP są skierowane przeciwko tylko jednemu końcowi połączenia, atakujący może użyć ataku denial of service (DoS) dla czasowego przejęcia hosta na drugim końcu połączenia podczas próby wykonania exploita. Jeśli atakujący próbuje przechwycić oba końce sesji, atak generalnie określany jest jako atak man-in-the-middle (MITM).
TCP SYN flooding : Inna nazwa dla SYN floodingu , typu ataku denial of service używającego pakietów SYN
TCP three-way handshake , procedura : Procedura używana przez Transmission Control Protocol (TCP) dla ustanowienia sesji. TCP jest protokołem zorientowanym na połączenie dla niezawodnego przenoszenia pakietów IP między hostami w sieci. Dla dwóch hostów rozpoczynających komunikację między sobą, najpierw należy ustanowić sesję między nimi, a jest to wykonywane przy użyciu procedury nazwanej TCP three-way handshake. Te trzy kroki w tym procesie to:
1.Host inicjujący wysyła pakiet TCP SYN (pakiet TCP z ustawioną flagą SYN) do portu na hoście docelowym, wskazując ,że pragnie ustanowić sesję i aby zobaczyć czy cel "nasłuchuje" prób połączenia
2.Jeśli host docelowy nasłuchuje , odpowie przez wysłanie pakietu TCP SYN ACK (pakiet z ustawionymi flagami ACK i SYN) z powrotem do hosta inicjującego aby potwierdzić , że jest gotowy do ustanowienia połączenia i zweryfikowania czy host inicjujący również nasłuchuje.
3.Host inicjujący odpowiada pakietem TCP ACK dla potwierdzenia nasłuchiwania, a połączenie zostało ustanowione między dwoma hostami, pozwalając na sesję komunikacyjną z wymianą pakietów IP. Wiedza o tym jak ustanawiane są sesje TCP jest używana przez atakujących do kilku celów, w tym:
• Skanowanie hostów aby określić jakie usługi są uruchomione aby wykorzystać znane luki
• Przechwycenia sesji TCP i spoofowania pakietów aby podszyć się pod pakiety jednego lub obu hostów w sesji.
Tcp_wrapper : Narzędzie Unix dla monitorowania i filtrowania przychodzących żądań dla wspólnych usług sieciowych. Tcp_wrapper jest popularnym narzędziem filtrowania pakietów dla systemów Unix powszechnie używanym dla poprawy bezpieczeństwa sieci TCP/IP. Narzędzie zostało stworzone przez Eindhoven University of Technology w Holandii dla monitorowania prób łamania systemów Unix przez złośliwych hackerów. Tcp_wrapper działa przez zastąpienie zwykłego połączenia klienta tworząc demona (usługę) z wywołaniem programu, zatem zawijając próbę połączenia TCP dodatkową warstwą bezpieczeństwa. Tcp_wrapper może być używany do monitorowania i filtrowania prób połączenia TCP i może kontrolować jakie adresy IP mają dostęp do wspólnych portów TCP. Z Tcp_wrapperem, administrator może monitorować adres źródłowy IP wszystkich połączeń i filtrować próby połączeń z klientem z określonymi adresami; wiadomość e-mail jest wysyłana do administratora kiedy taki klient próbuje się połączyć .W połączeniu z demonem Ident, opisanym w RFC 931, Tcp_wrapper może również być użyty dla monitorowania i filtrowania użytkowników, którzy próbują zdalnie zalogować się do systemu lub w inny sposób łączą się z usługami sieciowymi
TCT : Oznacza The Coroner's Toolkit, pakiet narzędzi dla analizy kryminalistycznej zainfekowanych systemów UNIX
Teardrop attack [atak kropli łzy] : Jeden z wczesnych ataków denial of service (DoS). Atak Teardrop pojawił się w 1997 roku i wykorzystywał słabości w implementacji stosu TCP/IP na platformach Linux i Windows. Teardrop wykorzystuje fakt ,że podprogram do ponownego składania pofragmentowanych pakietów nie działa właściwie jeśli fragmenty zachodziły na siebie, coś co nie zdarza się zwykle w poprawnym ruchu sieciowym, ale jest to sytuacja, która łatwo może być utworzona przez atakującego za pomocą narzędzia dla fałszowania pakietów IP .Atak Teardrop, który został nazwany tak po programie C , Teardrop.c, który mógł być skompilowane do narzędzia dla jego wykonania, stosując nakładane pakiety User Datagram Protocol (UDP) dla wykonania exploita. Port 53 UDP, port Domain Name System (DNS) został wybrany do exploita ponieważ jest często otwierany przez firewalle. Teardrop fałszuje dwa pakiety UDP, zwykle ze sfałszowanym adresem źródłowym ukrytego hosta wykonującego atak, i wysyła te pakiety do maszyny docelowej działającej na platformie Windows lub Linux i podłączonymi do Internetu. Kiedy host docelowy odbierze pakiety i spróbuje je złożyć, wystąpi naruszenie pamięci a host albo ulegnie awarii albo się zawiesi. W początkowej fazie ataku, hosty z domenami .edu i .gov były zazwyczaj celami, ale rozszerzyło się to wkrótce bardziej. Pojawiły się łatki , które rozwiązywały problem stosu TCP/IP, ale pojawiły się nowe warianty ataku w tym Teardrop2, Newtear, Bonk i Boink.
Temporal Key Integrity Protocol (TKIP) : Zamiennik dla Wired Equivalent Privacy (WEP) w specyfikacji 802.11i dla bezpieczeństwa sieci bezprzewodowej. Temporal Key Integrity Protocol (TKIP) został zaprojektowany jako zamiennik dla WEP, protokołu bezpieczeństwa , który jest częścią standardu 802.11 dla sieci bezprzewodowych. TKIP dodaj kilka dodatkowych cech dl WEP, w tym
• Hashowanie wektora inicjalizacyjnego, który jest dodawany do klucza WEP dla stworzenia klucza sesyjnego dla szyfrowania ruchu. Ta funkcja pomaga TKIP chronić sieci bezprzewodowe przeciwko wykorzystaniu sniffingu, który może pomóc atakującemu podsłuchiwać połączenia i podszywać się pod legalne stacje
• Message Integity Code (MIC) używany dla zagwarantowania integralności pakietów i określania kiedy atak ma przechwycić i zmodyfikować pakiety. Funkcja ta pomaga bronić się przed atakami łamania klucza opartego o wstrzykiwanie pakietów
• Mechanizm generowania kluczy dynamicznych zastępujących łatwiejsze do złamania klucze statyczne używane przez WEP. Pomaga to chronić się przed atakami łamania klucza opartego o brute-force
Wsparcie dla TKIP jest również zawarte w WiFi Protected Access (WAP), przejściowym protokole stworzonym przez WiFi Alliance jako rozwiązanie problemów WEP, do zakończenia specyfikacji 802.11i.
Terminal Access Controller Access Control System (TACACS) : Protokół bezpieczeństwa używany dla uwierzytelnienia, autoryzacji i ewidencji. TACACS został stworzony w latach 80-tych XX wieku przez Defense Data Network (DDN) dla MILNET, wojskowej części amerykańskiego Internetu. TACACS jest podobny w funkcjonalności do protokołu standardu przemysłowego Remote Authetication Dial-In User Service (RADIUS) dla uwierzytelniania użytkowników dla zdalnego dostępu lub połączenia internetowego. TACACS jest bardziej elastyczny niż RADIUS ponieważ pozwala oddzielać komponenty uwierzytelniania, autoryzacji i ewidencji, i używać ich niezależnie jeden od drugiego.
TFN : Oznacza Tribal Flood Network , typ ataku distributed denial of service (DDoS) stworzonego przez "Mixter" 'a
The Coroner's Toolkit (TCT) : Pakiet narzędzi dla analizy śledczej złamanych systemów Unix. Informatyka śledcza jest procesem analizy przełamanych systemów dla uzyskania dowodów działalności przestępczej. Generalnie, informatyka śledcza obejmuje stosowanie zarówno technologii komputerowych i ekspertyz prawnych, i może być trudnym i złożonym zadaniem, gdy systemy uczyniono niebootowalnym lub gdy skradziono bądź zniszczono dane .Jednym z narzędzi, które mogą pomóc w identyfikacji działań intruzów jest The Coroner's Toolkit (TCT), bezpłatny zbiór darmowych narzędzi Unix, które wykonują "migawkę" uszkodzonego systemu aby pozwolić na analizę śledczą dla wydobycia przydatnych informacji, które mogłyby wskazać na przebieg ataku. TCT obejmuje kilka programów analizy śledczej, w tym
• Grave-robber : służy do przechwytywania informacji o systemie dla analizy kryminalistycznej
• Ils and Mactime : używany do wyświetlania wzorców dostępu do plików
&byll; Unm and Lazarus : używany do tworzenia kopii plików wymiany i usuwania przestrzeni dyskowej a potem próby odzyskania z niej danych.
TCT został napisany przez Dana Farmera u Wietese Venema, którzy również stworzyli System Administrator Tool for Analyzing Networks (SATAN), kompleksowy pakiet narzędzi dla audytowania bezpieczeństwa sieci. TCT jest dostępny na liczne platformy Unix
threat [groźba, zagrożenie] : Zwane również atakiem, metoda używana do próby złamania bezpieczeństwa sieci lub systemu
ticket [bilet] : W uwierzytelnianiu Kerberos, struktura danych używana dla zapewniania dostępu do zasobów. Bilet jest zbiorem danych identyfikujących dla zasad bezpieczeństwa (użytkownika lub aplikacji) wydanych przez usługę wydawania biletów (TGS), usługa Kerberos uruchomiona w centrum dystrybucji klucza (KDC). Bilety zawierają informację o tożsamości mocodawcy i są używane dla uwierzytelnienia mocodawcy wewnątrz domeny Kerberosa. Są dwa typy biletów Kerberosa
• Ticket-granting ticket (TGT) : wydawane użytkownikowi przez usługę uwierzytelniającą (AS), inna usługa Kerberosa uruchomiona na KDC w lokalnej sferze, kiedy użytkownik przeniesie dane logowania do sieci. .Gdy użytkownik ma TGT, może przedstawić TGT do TGS żądania usługi biletu
• Usługa biletu : wydawana użytkownikowi przez TGS w odpowiedzi na złożenie przez użytkownika jego / jej TGT. Gdy użytkownik ma usługę biletu , może zaprezentować to w usłudze sieciowej aby uwierzytelnić tą usługę i ustanowić sesję.
Struktura usługi biletu posiada standardowy wzorze z następującymi polami:
• Typ wiadomości : Bilety są używane w kilku rodzajach wiadomości Kerberos
• Numer wersji protokołu : 5 dla wersji 5 protokołu Kerberosa
• Sname i Realm : Nazwa i domena części Kerberosa do której bilet jest przedstawiany; na przykład, usługa sieciowa na serwerze
• Flagi : Seria opcji używanych dla określania jak bilet może być używany przez rożne części
• Klucz : Klucz sesyjny podany posiadaczowi biletu do szyfrowania komunikacji podczas
uwierzytelniania z innymi częściami
• Cname i Crealm :nazwa i dziedzina posiadacza biletu
• Transited : Nazwy i dziedziny które muszą być skrzyżowane, aby posiadacz biletu przedstawił go stronie docelowej
• Znacznik czasowy : Wartości opisujące kiedy bilet został wystawiony i kiedy wygasa
• Caddr : Opcjonalny zbiór adresów z których ten bilet musi być przedstawiany jako akceptowany i ważny stronie docelowej
• Dane autoryzacji : Informacje ograniczające prawa posiadacza biletu (zależnie od stosowanej aplikacji)
Zauważ ,że pierwsze trzy pola są w postaci zwykłego tekstu, a dane w pozostałych polach są szyfrowane za pomocą klucza głównego części docelowej.
Tlist : Narzędzie dla wyświetlania uruchomionych procesów na maszynie z Windows NT lub wersjach późniejszych. Tlist jest narzędziem Resource Kit, który wyświetla "drzewo zadań" uruchomionych procesów na lokalnym lub zdalnym komputerze. Tlist może wyszukiwać procesy używając wyrażeń regularnych i może dopasowywać procesy do nazw zadań lub nazw wyświetlanych w oknie tytułowym. Tlist również może wyświetlić aktywne usługi dla każdego procesu i zwrócić ID procesu (PID) dla każdego procesu.
TLS : Oznacza Transport Layer Security, internetowa wersja Secure Sockets Layer (SSL), protokół Netscape dla bezpiecznej komunikacji w Internecie
Traceroute : Narzędzie UNIX dla wyświetlania ścieżki pakietów w sieci. Traceroute jest przydatnym narzędziem dal rozwiązywania problemów w sieciach TCP/IP przez wyświetlenie drogi pakietów przez sieć. Traceroute wykorzystuje pole Time To Live (TTL) w pakietach Internet Protocol (IP) dla wypróbowania wywołania odpowiedzi Time Exceeded Internet Control Message Protocol (ICMP) z każdego routera wzdłuż ścieżki pakietów podróżujących do określonego zdalnego hosta. Zdalny host może być określony przez adres IP lub w pełni kwalifikowaną nazwę domeny (FQDN). Traceroute często jest używany przez złośliwych hackerów dla dwóch celów
• Dla śledzenia dużej sieci w celu lepszego zrozumienia potencjalnych celów które mogą być zaatakowane
• W celu określenia specjalnych hostów, takich haj zapory ogniowe, które mogą reprezentować problemy dla zmontowania ataku
Nie wszystkie routery lub IP hostów odpowiadają Traceroute przez wysłanie odpowiedzi, albo dlatego, że ICMP została wyłączona na hoście lub zablokowana przez firewall. W wyniku tego, wyjście z Traceroute nie jest niezawodną wskazówką dla badania struktury sieci. Niektórzy operatorzy blokują działania Traceroute całkowicie blokując cały ruch przychodzący ICMP na swoich routerach
Tracert : Wersja Windows dla Traceroute, narzędzia Unix dla wyświetlanie ścieżki pakietów w sieci
Transport Layer Security (TLS) : Standardowa wersja internetowa Secure Sockets Layer (SSL), protokołu Netscape dla bezpiecznej komunikacji przez Internet. Transport Layer Security (TLS) jest prawie identyczny z Secure Sockets Layer wersja 3 (SSLv3) i jest ustandaryzowane przez RFC 2246 i w późniejszych RFC. TLS różnic się od SSL w poniższych miejscach
• TSL wyraźniej oddziela proces uzgadniania z mechanizmem warstwy zapisu
• Protokół może być rozszerzony przez dodanie nowych metod uwierzytelniania do swego działania
• Poprawa wydajności wobec SSL za pomocą sesji buforowania
trapdoor [zapadnia] : Ukryty punkt wejścia w programie lub systemie. Zapadki są czasami kodowane w aplikacjach lub systemach operacyjnych. Zapadnie są czasami kodowane w aplikacjach lub systemach operacyjnych, aby zapewnić projektantom tajny sposób wejścia do systemu przez obejście normalnych wymogów bezpieczeństwa takich jak uwierzytelnianie czy kontrola dostępu. Zapadki nie są na ogół realizowane ze złośliwości, ale aby uprościć zadanie debuggowania kodu podczas procesu projektowania, i często są zapominane przy wydawania kodu końcowego. Oczywiście, takie zapadnie mogą być wykorzystywane przez atakujących jak również złośliwi użytkownicy mogą je odkryć, a zapadki generalnie stanowią zagrożenie dla bezpieczeństwa lub luk w zabezpieczeniach, które mogą być wykorzystywane. Wyrażenia zapadka [trapdoor] i tylne drzwi [backdoor]są często używane zamiennie, ale w kontekście bezpieczeństwa informacji, backdoor generalnie oznacza mechanizm , w którym atakujący może ukradkiem ponownie wprowadzić się do złamanego wcześniej systemu. Termin trapdoor również czasami jest używany do przedstawiania depozytu kluczy lub innego mechanizmu, który pozwala użytkownikowi z prawną zgodą ominąć zabezpieczenia bezpieczeństwa systemu lub uzyskać dostęp danych bez zgody użytkowników w systemie.
Trash2 : Exploit denial of service (DoS) ,który używa pakietów Internet Control Message Protocol (ICMP) dla zawieszenia lub uszkodzenia systemów docelowych. Trash2 pojawił się w 1999 roku i został zapisany w kodzie C dla wykonywania na platformach Unix/Linux. Trash2 celował w ograniczenia w bufor pamięci TCP/IP na platformie Windows Trash2 działa poprzez generowanie dużej liczby pakietów ICMP z losową informacją o ich polach Type i Code. Pakiety te są następnie wysyłane do hosta docelowego połączonego z Internetem i szybko wyczerpują zasoby pamięci bufora ICMP na hoście, zazwyczaj powodując awarię hosta i wymuszony restart. Aby uchronić administratora docelowego przed prostym filtrowaniem floodowania, Trash2 również fałszuje adres źródłowy Internet Protocol (IP) dla każdego pakietu przez przypisanie go do losowo wygenerowanego adresu. Trash2 jest jednym z wielu exploitów DoS, który używa ICMP dla odrzucenia usług legalnych użytkowników w sieci; niektóre z nich jak Gin, ICMPEX, Smurf, PapaSmurf i Twinge. Zwykły sposób obsługi takich exploitów to blokowanie ruchu ICMP za firewallu lub routerze.
Tribal Flood Network (TFN) : Typ ataku distributed denial of service (DDoS) stworzony przez "Mixter". Tribal Flood Network (TFN) jest podobny do wcześniejszego TRin00 w swoim ogólnym działaniu i uruchamiany na platformach Unix/Linux. TFN może użyć zbioru złamanych "zombie" uruchamiając kilka typów ataków denial of service (DoS) przeciwko hostom docelowym, w tym ataki Smurf, ICMP flood, UDP flood i SYN flood. Aby rozpocząć atak, atakujący używa programu klienckiego wiersza poleceń TFN uruchomionego w powłoce roota na złamanym systemie "głównym" dla wysłania wiadomości echo reply ICMP do programu serwera TFN uruchomionego na każdym zombie. Używając wiadomości ICMP dla uruchomienia ataku dodajemy do ukrytej natury TFN i czyni go trudniejszym do śledzenia. Rzeczywiste polecenie ataku ukryte w polu ID pakietów ICMP. Aby uczynić trudniejszym wyłączenie ataku, TFN zazwyczaj używa wielu masterów rozmieszczonych w różnych sieciach połączonych w Internecie.
TRibal Fllod Network 2000 (TFN2K) : Narzędzie distributed denial of service (DDoS) oparte o wcześniejszy exploit Tribal Flood Network (TFN). TFN2K jest podobny w działaniu do TFN, ale różni się w kilku miejscach, mianowicie:
• Podczas gdy klienic TFN na złamanych maszynach "master" używa pakietów echo reply Internet Control Message Protocol (ICMP) dla komunikowania się z serwerami TFBN na "zombie", klienckie TFN2K również mogą używać pakietów Transmission Control Protocol (TCP) lub User Datagram Protocol (UDP) z losowym numerem portu
• Polecenie ataku TFN2K wysyłana przez mastera do zombie są powtarzane 20 razy aby upewnić, że dotrą ze względu na niewiarygodne mechanizmy dostawy UDP i ICMP
• TFN2K wysyła pakiety poleceń ataku do losowych hostów jako wabiki aby uczynić go trudniejszym dla administratorów określania która maszyna jest aktualnie zombie.
• TFN2K szyfruje wszystkie polecenia ataku używając szyfrowania CAST-256, a polecenia są binarne a nie łańcuchami
• TFN2K zombie są całkowicie ciche i nie wydają żadnych poleceń do ataku odbieranych od masterów
Trin00 : Oryginalny atak distributed denial of service (DDoS) jaki pojawił się w 1999 roku. Trin00 (lub Trinoo) był pierwszym atakiem DDoS jaki pojawił się w środowisku naturalnym i był prototypem późniejszych, podobnych exploitów. Trin00 jest oparty na złamanych hostów "masterów" używanych przez atakujących do sterowania systemami "zombie", które wykonują rzeczywisty atak. Host mastera uruchamia program kliencki Trin00, a zombie ma zainstalowany demon (usługę). Atakujący jest na innym komputerze, przec co trudno jest prześledzić źródło ataku. Aby uruchomić atak Trin00, atakujący najpierw używa Telnetu dla połączenia z masterem na porcie 27665 TCP. Po nawiązaniu połączenia, atakujący może wydać polecenie dla klienta Trin00, które następnie przekierowuje polecenie do portu 27444 UDP na zombie. Niektóre z poleceń mogą być wydawane masterom to :
• Dos : uruchamia atak DoS przeciwko hostowi z określonym adresem
• Mtimer : ustawienie czasu trwania ataku
• Msize : ustawienie rozmiaru pakietu DoS
Kiedy polecenie ataku DoS zostało wysłane do zombie, zombie zaczyna wysyłanie zalew pakietów UDP dla losowych portów na hoście docelowym. Jeśli zaangażowano wystarczającą ilość zombie i dostępnej przepustowości sieci, cel jest zalany a poprawni użytkownicy nie są w stanie uzyskać dostępu do swoich usług. Zarówno programy klienta jaki i serwera są chronione hasłem aby nikt nie uzyskał kontroli nad exploitem .Ataki Trin00 były stosunkowo łatwe do blokowania ponieważ adresy źródłowe pakietów IP wysyłane przez zombie nie były fałszowane. W rezultacie, poprzez skonfigurowanie firewalla do zablokowania adresów wszystkich zombie, atak jest skutecznie zatrzymany. Późniejsze ataki DDoS takie jak Tribal Flood Network (TFN) używały adresu źródłowego sfałszowanego dla uczynienia trudniejszym zablokowanie ataków.
Trinux : Zbiór narzędzi bezpieczeństwa dla Linuksa, które uruchamiają się z dyskietki lub CD-ROM. Linux jest popularną platformą dla wielu specjalistów ds. bezpieczeństwa i hackerów czarnych kapeluszy z powodu szerokiego wachlarza narzędzi bezpieczeństwa UNIX, które uruchomione są na platformie. Trinux jest zbiorem narzędzi , zapewniające popularny wybór narzędzi bezpieczeństwa. Trinux zawiera narzędzia bezpieczeństwa, takie jak Nmap, tcpdump, ngrep, OpenSSH . Trinux jest oprogramowaniem typu open source wydanym na licencji GPL, i zarządzanym przez Matthew Franza.
Triple-A : Ogólnie znane jako AAA lub Authentication, Authorization i According, struktura bezpieczeństwa dla kontrolowania dostępu do zasobów sieciowych
Triple DES : Zazwyczaj nazywany 3DES, algorytm szyfrowania kluczem tajnym opartym o powtarzalnym zastosownaiu Data Encryption Standard (DES)
Tripwire : Popularny kontroler integralności plików. Tripwire może być używany do monitorowania systemu wyszukując prób modyfikowania lub zastąpienia ważnych plików takich jak krytyczne pliki systemu operacyjnego i dzienniki plików. Tripwire monitoruje atrybuty plików, które zazwyczaj nie powinny się zmieniać, wliczając w to rozmiar pliku, sygnatura binarna itp. Tripwire jest popularny wśród specjalistów ds. bezpieczeństwa i może być używany do wykrywania włamań, zapewnienie integralności danych i badanie zgodności z zasadami. Tripwire był pierwotnie stworzony prze dr. Eugene'a Spafforda i Gene'a Kima na Uniwersytecie Perdue w 1992 roku. Tripwire istnieje w dwóch formach : open source i komercyjnym
Trojan, trojański koń : Forma złośliwego oprogramowania, które często może dokonać szkód w systemie lub w sieci. Trojany są wyróżniane z innego oprogramowania złośliwego takiego jak wirusy i robaki na dwa sposoby
• Generalnie ukrywają swoje działanie i często udają poprawne programy, podczas gdy wirusy i robaki zazwyczaj mają bardziej oczywiste efekty takie jak uszkadzanie plików lub powodowanie awarii systemu
• Zwykle nie replikuje się jak wirusy i robaki.
Terminy trojan i koń trojański pierwotnie oznaczały kod ukryty wewnątrz poprawnego, przydatnego programu, podobnie jak koń trojański ukrywał żołnierzy wroga w niewinnie wyglądającej rzeźbie. Jeśli trojan dołączył się do zwykłego programu, modyfikuje zachowanie tego programu, czasami nazywamy to wirusem trojanem. Większość obecnych Trojanów jest plikami samowystarczającymi wykonywalnymi (*.exe), które złośliwi hackerzy wstawili w zaatakowane systemy dla uzyskania kontroli nad systemem lub kradzieży danych użytkowników . Trojan może zainfekować system, gdy użytkownik pobiera aplikacje takie jak gry z niezaufanych źródeł w Internecie. Taka gra może mieć kod trojana osadzony w sobie , który może dać przyczółek crackerowi w systemie i zagrozić integralności danych. Niektóre przykłady różnych rodzajów Trojanów obejmują :
• Kradzież haseł : mogą wyszukiwać zapisanych w systemie haseł i wysyłać je e-mailem do atakującego. Alternatywnie, mogą maskować się jako poprawne ekrany logowania i czekać na wprowadzenie hasła, a następnie je ukraść.
• Rejestracja naciśnięć klawiszy : monitorują wszystkie kliknięcia i wysyłanie e-maila do atakującego lub zapisać go w pliku dla późniejszego odtworzenia
• Narzędzi zdalnej administracji (RAT). umożliwiają uzyskanie atakującemu uzyskanie pełnej kontroli nad systemem i zrobić z nim coś ze zdalnej lokalizacji. Popularnymi przykładami są Back Oorifice i SubSeven
• Zombie są używane do uruchamia ataków distributed denial of cervice (DDoS) przeciwko hostom docelowym przez atakującego
Wykrycie obecności trojana w systemie nie jest łatwe. Jedynym sposobem jest zobaczenie jakie porty nasłuchują w systemie przez uruchomienie Netstat lub innego narzędzia z wiersza poleceń. Ponieważ wiele Trojanów uruchamia usługi w tle, mogą one otrzymywać polecenia od zdalnej stacji atakującego, niespotykane porty TCP i UDP, w stanie LISTENING są dobrą wskazówką ,że może być trojan. Inny sposób wykrywania Trojanów jest inwentaryzacja wszystkich plików wykonywalnych w systemie i porównać tą listę z wcześniejszą listą wykonana, gdy system został zainstalowany i skonfigurowany . Nietypowe pliki, szczególnie jeśli są one nazwane podobnie do poprawnych plików ("service.exe" zamiast "services.exe", na przykład), mogą być trojanem. Jeśli znajdziesz trojana w systemie , powinieneś albo zrobić pełne przywrócenie z kopii zapasowej, albo zainstalować wszystko od podstaw. Możesz mieć ochotę po prostu usunąć trojana ,ale jego obecność często może oznaczać, że system został naruszony i wcześniej wykonane były inne exploity .Zamiast spędzać dni i godziny śledząc każdą zmianę w systemie, po prostu przeinstaluj system.
trust [zaufanie] : Związek między domenami, które pozwalają użytkownikowi w jednej domenie być uwierzytelnionym dla dostępu do innej. Zaufania są używane do tworzenia ścieżek uwierzytelniania między domenami w Windows NT i późniejszych wersji systemu operacyjnego. Zaufania są budowane na podstawie dwóch protokołów uwierzytelniania wspieranych przez platformy Windows :
• NTLM : wspierane przez Windows NT, Windows 2000, Windows XP Professional i Windows Server 2003
• Kerberos : wspierane przez Windows 2000 i Windows Server 2003
Zaufanie jest zawsze związkiem między dwoma domenami z następującymi charakterystykami:
• Zaufana domena jest domeną w której użytkownik się zalogował
• Zaufaną domeną jest domena w której zasoby ,do których użytkownik chce mieć dostęp, leżą.
Trustbridge : Technologia Microsoft dla stowarzyszenia zarządzania tożsamością wśród przedsiębiorców. Trustbridge to kodowa nazwa nowej technologii opracowanej przez Microsoft, która pozwala przedsiębiorcom wymieniać informację o tożsamości użytkownika między aplikacjami i organizacjami. Trustbridge jest zbudowany na podstawie, która obejmuje zaufany protokół uwierzytelniania Kerberos i standard Web Services Security (WS-Security) dla dodawania bezpieczeństwa usług Extensible Markup Language (XML). Trustbridge stworzono dla wspierania interoperacyjności między własnymi a standardowymi systemami zarządzania tożsamości używanych przez różnych sprzedawców. Używając Trustbridge, na przykład, sieć oparta o Windows uruchamia usługę katalogową Active Directory będzie mogła rozpoznać i współdzielić tożsamości użytkownika w organizacjach używając sieci Unix wspierając uwierzytelnianie Kerberos. Trustbridge wykorzystuje moc Simple Object Access Protocol (SOAP) pracując na Hypertext Transfer Protocol (HTTP) z bezpieczeństwem WS-Security dla łączenia przedsiębiorstw i czyniąc łatwiejszym budowaniu głębszych i bardziej dynamicznych relacji z klientami, partnerami i dostawcami, i jest również pomocny pracownikom mobilnym zwiększając ich produktywność. Trustbridge może by również stowarzyszony z systemem zarządzania tożsamości singel sign-on (SSO) Microsoft ,NET Passport i innymi systemami uwierzytelniania WS-Security.
TRUSTe : Organizacja nonprofit , która monitoruje jaka uczestniczące firmy internetowe są zgodne ze swoją polityką prywatności. TRUSTe to niezależna organizacja, której celem jest tworzenie zaufania w e-handlu przez dostarczanie mechanizmów standardowych dla monitorowania jak są egzekwowane zasady prywatności. Kiedy biznes internetowy zostanie licencjonowanym członkiem TRUSTe, zgadza się on postępować zgodnie z praktykami TRUSTe. TRUSTe działa jako "broker ubezpieczeń" w celu zapewnienia ,że formy robią to co obiecały konsumentom dotyczącą prywatności informacji osobowych, zbieranych od nich. Jeżeli konsument wyczuł ,że członek nadużywa jego lub jej danych, taka osoba może złożyć skargę do TRUSTe, która zbada naruszenie oraz, jeśli to konieczne, podjąć jakąś formę działania wobec swojego członka. Takie działania mogą obejmować egzekwowanie kary, wykonywanie audytu, lub nawet cofnięcie przywilejów TRUSTe. W skrajnych przypadkach TRUSTe może nawet zgłosić naruszenie do Federalnej Komisji Handlu (FTC) dla dalszych działań.
Trusted Computer System Evaluation Criteria (TCSEC) : Zbiór klasyfikacji bezpieczeństwa dla systemów komputerowych stworzony przez Departament Obrony USA. Trusted Computer System Evaluation Criteria (TCSEC), znane są jako Orange Book z powodu koloru okładki, jest standardem dla bezpieczeństwa komputerowego w 1983 roku i są ważne również dzisiaj. TCSEC określa procedury i metody oceny bezpieczeństwa zarówno systemów operacyjnych autonomicznych i sieciowych i klasyfikuje systemy w zależności od poziomu bezpieczeństwa, jaki zapewniają. Te poziomy klasyfikacyjne to :
• D Minimal Protection : systemy , które nie pasują do żadnych innych klasyfikacji
• C Discretionary Protection : systemy , które używają pliku, katalogu lub ochrony urządzenia
- C1 Discretionary Security Protection : systemy, które używają uznaniowej kontroli dostępu (DAC). Niektóre wczesne platformy Unix otrzymywały certyfikat C1
-C2 Controlled Access Protection : taki sam jak C1 z dodatkiem bezpieczeństwa obiektu użytkownika poprzez listę kontroli dostępu (ACL). Jest to najczęstszy poziom bezpieczeństwa, a przykłady systemów C2 obejmuje Windows NT, NetWare 4.11., Oracle 7 i IBM OS/400.
• B Mandatory Protection : System , który używa obowiązkowej kontroli dostępu (MAC)
- B1 Labelede Security Protection : tak samo jak C2 z dodatkiem znakowania plików, procesów i urządzeń
-B2 Structured Protection : To samo co B1 z dodatkową separacją krytycznych i niekrytycznych elementów i ochrony przeciw ukrytemu wejściu
-B3 Security Domains : To samo co B2 z dodatkowym odniesieniem monitorowania odniesienia wszystkich procedur dostępu do obiektu i odzyskiwania systemu.
• A Verified Protection : Najwyższy poziom bezpieczeństwa systemu komputerowego
-A1 Verified Protection : To samo co B3 z dodatkiem formalnego dowodu integralności i weryfikacji projektu.
-A2 i wyższe : TS+CSEC dostarcza dla wyższych poziomów ale nie zostały formalnie zdefiniowane
Trusted Computing Platform Alliance (TCPA) : Konsorcjum przemysłowe dedykowane poprawie zaufania i bezpieczeństwa na platformach komputerowych. TCPA została utworzona w 1999 roku przez firmy Compaq Hewlett-Packard (HP) , IBM , Intel i Microsoft i wzrosła dl 150 firm . Celem TCPA jest rozwój zaawansowanych technologii sprzętowych i programowych, które zawierałyby zaufanie bezpośrednio do platform sprzętowych, systemów operacyjnych i aplikacji. TCPA rozwija zbiór specyfikacji dla osiągnięcia tych celów, które są następujące:
• Ulepszenie ,w jaki sposób technologie kryptograficzne są włączone do sprzętu i oprogramowaniu
• Poprawa mechanizmu dla mierzenia integralności platformy
Trustworthy Computing : Pomysł ,że Microsoft tworzy technologie komputerowe bardziej bezpieczne i niezawodne. Trustworthy Computing jest pojęciem o szerokim zakresie rozwiązań technologicznych które muszą być wykonane aby zwykli ludzie czuli się bezpiecznie i komfortowo używając komputerów . Cele Trustworthy Computing rozpatrują zaufanie z punktu widzenia użytkownika i obejmuje cztery główne cele :
• Bezpieczeństwo : Klienci mogą spodziewać się ,że systemy są odporne na ataki i ,że poufność, integralność i dostępność systemu i jego dane są chronione
• Prywatność : Klienci mogą są w stanie kontrolować dane o sobie
• Niezawodność : Klienci mogą polegać a produkcie spełniającym swoje funkcje kiedy jest to wymagane
• Integralność działalności : Sprzedawca produktu zachowuje się w sposób elastyczny i odpowiedzialny
Sposoby realizacji tych celów rozważając zaufanie z punktu widzenia przemysłowego są następujące:
• Bezpieczeństwo projektu, domyślnie, i we wdrożeniu : Podjęte kroki dla ochrony poufności, integralności i dostępności danych i systemów na każdym etapie procesu rozwoju oprogramowania
• Zasady uczciwej informacji : Dane użytkownika końcowego nie są zbierane i udostępniane osobom lub organizacjom bez zgody tej osoby. Prywatność jest szanowana, gdy informacja jest zbierana, przechowywana i używana zgodnie z Uczciwymi Praktykami Informacyjnymi
• Dostępność : System jest obecny i gotowy do użycia w razie potrzeby
• Łatwość zarządzania : System jest łatwy do instalacji i zarządzania, relatywnie do rozmiaru u złożoności. (Skalowalność, wydajność i opłacalność są uważane za część zarządzania)
• Dokładność : System wykonuje swoje funkcje prawidłowo. Wyniki obliczeń są wolne od błędów, a dane są chronione przed utratą lub uszkodzeniem
• Funkcjonalność : Oprogramowanie jest łatwe w użyciu i nadaje się do potrzeb użytkownika
• Elastyczność : Firma akceptuje elastyczność dla problemów i podejmuje działania w celu ich skorygowania. Zapewnia pomoc klientom w planowaniu, instalacji i działania produktu.
• Przejrzystość: Firma jest otwarta w kontaktach z klientami. Jej motywy są jasne , dotrzymuje słowa a klienci wiedzą gdzie znajdują się w transakcji lub interakcji z firmą.
Wykonanie tych środków jest sposobem w jaki organizacja prowadząca działania dostarcza wymaganych komponentów dla Trustworthy Computing; zawiera następujące elementy:
• Zamiary
- Polityka firmy, dyrektywy, normy, wytyczne
- Umowy i zobowiązania wobec klientów, w tym Service Level Agreemnts (SLA)
- Standardy firmowe, przemysłowe i regulacyjne
- Prawodawstwo, rządowe, polityka i regulacje
• Realizacje
- Analiza ryzyka
- Praktyki programistyczne w tym architektura, kodowanie, dokumentacja i testowanie
- Szkolenia i edukacja
- Zasady działalności
- Praktyki marketingu i sprzedaży
-Praktyka działania, wdrażanie, konserwacją, sprzedać i wsparcie, ryzyko zarządzania
Wykonywanie zamiarów i rozwiązywanie sporów
• Dowód
- Samoocena
- Akredytacja przez jednostki trzecie
-Audyt zewnętrzny
TSEnum : Narzędzie dla skanowania na obecność serwerów terminali Windows. TSEnum jest narzędziem bezpieczeństwa, które może skanować sieci lokalne dla zlokalizowania serwerów terminali na nich uruchomionych. Narzędzie identyfikuje takie serwery nawet jeśli nie używają swojego domyślnego portu nasłuchu TCP 3389 i działają przez zapytanie usługi Browser, która buduje listę uruchomionych usług w sieci. TSEnum nie wymaga specjalnych uprawnień dla uruchomienia i może być użyte przez atakującego do celów enumeracji.
tunelowanie : Przenoszenie pakietów z sieci prywatnej przez sieć publiczną. Tunelowanie jest używane w wirtualnych sieciach prywatnych (VPN) dla zapewnienia zdalnego dostępu dołączeniowego przez Internet. Aby stworzyć tunel dla zdalnego klienta dla połączenia do serwera VPN, protokół tunelowania jest używany do hermetyzacji ruchu sieciowego u klienta na pakiety, które mogą być przenoszone przez Internet. Przykładami protokołów tunelowania mogą być Point-To-Point Tunneling Protocol (PPTP) i Layer 2 Tuneling Protocol (L2TP). W scenariuszu PPTP, pakiety Internet Protocol (IP) są najpierw hermetyzowane w pakiety Point-To-Point Protocol (PPP) zazwyczaj używane dla zdalengo dostępu przez połączenie dial-up. Następnie te pakiety są hermetyzowane po raz drugi do pakietów IP i wysyłane przez Internet między zdalnym klientem a serwerem VPN jako logiczne połączenie point-to-point lub tunel. Tunelowanie i hermetyzacja same w sobie nie dodają bezpieczeństwa do transmisji przez wewnętrznie niezabezpieczone medium takie jak Internet , ale PPTP również szyfruje ruch aby upewnić się ,że nie będzie odczytany przez podsłuchującego. L2TP nie obejmuje szyfrowania ale jest zazwyczaj używane razem z Interent Protocl Security (IPSec), który dodaje szyfrowanie do tunelowania aby zapewnić poufność.
two-factor authentication [uwierzytelnianie dwuskładnikowe] : Uwierzytelnianie , które używa dwóch oddzielnych pozycji lub zadań dla weryfikacji tożsamości. Uwierzytelnianie oparte na hasłach jest szeroko stosowane jako standardowy mechanizm egzekwowania bezpieczeństwa sieciowego. Kiedy użytkownicy chcą zalogować się do sieci, wprowadza swoją nazwę i tajne hasło a bezpieczny dostawca przyjmuje lub odmawia dostępu według tego czy dane były prawidłowe lub nie. Problem z hasłami jest taki ,że mogą zostać utracone, zgubione lub odgadnione. Przykładem innego podejścia do uwierzytelnienia będzie przesunięcie karty przez czytnik kat. Inteligentna karta może zawierać w obudowie szyfrowane poświadczony dowód właściciela. Karty inteligentne mają również mają swoje problemy związane z bezpieczeństwem, ponieważ również mogą być zgubione , skradzione itp. Przez połączenie karty inteligentnej z hasłem znanym tylko właścicielowi karty, mianowicie numer PIN, mamy schemat uwierzytelniania dwuskładnikowego, który wymaga dwóch kroków dla uwierzytelnienia użytkownika : przesunięcia karty i wprowadzenie numeru PIN. Ten schemat jest z natury bardziej bezpieczny niż schematy jednoskładnikowe, ponieważ karta inteligentna i PIN są zabezpieczone inaczej : karta inteligentna jest trzymana w kieszeni, a PIN jest w pamięci właściciela. System uwierzytelniania dwuskładnikowego jest powszechny w środowiskach o wysokim poziomie bezpieczeństwa, takich jak banki czy instytucje rządowe.
Twofish : Szyfr blokowy , który był jednym z pięciu kandydatów za Advanced Encryption Standard (AES). Twofish został zaprojektowany przez zespół kryptografów z Counterpane Labs, i został zaproponowany jako AES , ale przegrał z Rijndaelem, zwycięzcą konkusru. Twofish wykorzystuje stałą wielkość bloku 128 bitowego i klucza o zmiennej długości 128, 192 lub 256 bitów. Szyfr wykorzystuje 16 rund dla konwersji tekstu jawnego na tekst zaszyfrowany, i wspiera wszystkie standardowe tryby szyfru blokowego. Twofish nie jest opatentowany, nie chroniony prawami autorskimi i darmowy dla każdego