Возможные атаки и методы взлома ОС

Все виды атак, которые могут быть проведенные против ОС можно разделить на два класса: локальные и удаленные атаки.

Локальные атаки являются наиболее эффективными и действенными. Они возможны тогда, когда проводящее их лицо имеет прямой физический доступ к системе или объект, проводящий локальную атаку, представлен какой-либо исполняемой сущностью, например, программой-вирусом или трояном. К другим типам локальных взломщиков относятся специальные письма, содержащие деструктивный («психологический») код, а также другие методы воздействия на пользователя или систему, связанные с запуском соответствующих программ-взломщиков на компьютере пользователя.

Удаленные атаки являются наиболее распространенными и производятся в локальных или глобальных сетях, включая модемные соединения Интернет. Удаленные атаки бывают не столь эффективны, в худшем случае заканчиваются DoS (Denied of Service) атакой, в ходе которой нарушается нормальное функционирование компьютера подключенного к сети, что приводит к его зависанию или перезагрузке, в результате могут оказаться потерянными данные, которые пользователь не успел сохранить. Если же компьютер, против которого осуществлялась атака, был сервером организации, то из-за прекращения его работы компания может понести убытки. Для рабочих станций, использующих модемное соединение для выхода в Интернет, взломщикам атаки провести гораздо сложнее.

Чтобы избежать локальных атак посредством вирусов и троянов достаточно использовать антивирусы, которые осуществляют мониторинг системы и электронной почты.

Удаленные и локальные атаки имеют общую структуру проникновения на компьютер. В н.в. для проникновения на компьютер используются сложные технологии, основывающиеся на системном программиро­вании и знании архитектуры ОС, против которой они проводятся. За­частую, чтобы найти метод проникновения, взломщику необ­ходимо провести несколько месяцев в исследовании операционной системы, приложений, системных сервисов и программ, предположительно запущенных на компьютере-жертве.

Однако, независимо от конкретного пути проникновения в каждую опреде­ленную систему, взломщиками используется один и тот же метод, называе­мый «переполнение буфера» (buffer overflow). Этот метод заключается в запуске программы взломщиков, посредством программного обеспечения, например, сервиса удаленного вызова процедур (RPC), контроля сети или даже какого-либо драйвера уст­ройства, запущенного на компьютере-жертве.

Сущностью этой технологии взлома является «подсовывание» программе постоянно работающей или часто запускаемой в системе, например, в ответ на какое-либо событие, некоторой информации, которая содержит в себе не только сами данные, но и исполняемую программу, составленную взломщиками для данной системы. Программа на компьютере-жертве при­нимает вместе с исполняемой программой данные, предложенные ей взломщиками, а затем, после специального запроса, запускается и сама программа сетевых взломщиков.

Чаще всего для этих целей используется методика, в которой данные налагаются на стек таким образом, чтобы при выходе из процедуры получения данных, в программе-жертве произошел запуск программы сетевых взломщиков. Даже в самой простой программе могут быть сотни мест, в которых взломщики могут произвести переполнение буфера и запустить свой код. Производители стараются быстро находить такие места в своих программных продуктах и быстро их корректировать, но взломщики находят все новые и новые уязвимости.

В настоящий момент более или менее действующим средством от удален­ных атак переполнения буфера является установка брандмауэров (firewall), отбрасывающих все подозрительные соединения, которые пыта­ются установить сетевые пользователи. Однако перегрузки буфера возможны и в самом брандмауэре. Поэтому до недавнего времени считалось, что надежной защиты от атак пере­грузкой буфера не существует.

Ситуация начала меняться лишь в последнее время, когда компания AMD (Advanced Micro Devices, https://www.amd.com/) впервые в истории компь­ютерной индустрии предложила радикальное решение этой проблемы. Оно основывается на аппаратной защите Enhance Virus Protection, зало­женной в новейшие и наиболее технологичные микропроцессоры этой компании. Основной идей является предотвращение исполнения подозри­тельного кода. Однако данные функции, помимо микропроцессора, долж­на поддерживать и сама операционная система. Для функционирования данной системы защиты под Windows XP необходимо обновление Service Pack 2 или выше.

Если взломщикам удалось запустить свою программу на компьютере, первое, о чем они подума­ют: какие права они имеют в вашей системе, а также смогут ли они с этими правами выполнить свои задачи или нет, т.к. все процессы в Windows XP работают с разными правами. Чаще всего у взломщиков будут те права, которые имеет програм­ма, от имени которой они действуют.

Если взломщикам удалось методом перегрузки буфера взломать какой-то сетевой сервис в случае удаленной атаки, то они смогут работать в системе только от его имени и под его правами (вероятно, что это будет группа SYSTEM или какая-либо другая, в зависимости от сервиса и настроек системы). Поэтому для обеспечения защиты системы необходимо стремиться к тому, чтобы запущенные приложения и сервисы обладали только теми права­ми, которые им действительно нужны.

Однако это понимают и взломщики (сетевые кракеры), поэтому они используют двойной взлом системы, который заключается в том, чтобы вначале провести удаленную атаку и получить доступ к системе-жертве, а затем повысить свои права в системе. Это достигается за счет второго взлома какой-либо исполняемой сущности, которая имеет требуемые права. Второй взлом фактически является локаль­ной атакой, так как взломщики уже имеют доступ к компьютеру. Локальные атаки выполняются с целью получение больших прав, в идеале – прав системного админи­стратора. Поэтому необходимо поставить взломщикам дополнительные барьеры от проникновения в систему, для чего необходимо всем пользователям ра­ботать в системе только с теми правами, которые им действительно нужны.

В случае если взломщики получили права системного администратора или опытных пользователей группы Power Users, то система становится уже управляемой ими, что может привести к полной потере важной информации или к утечке коммерческой информации за пределы компании.