![]() Главная страница Случайная страница КАТЕГОРИИ: АвтомобилиАстрономияБиологияГеографияДом и садДругие языкиДругоеИнформатикаИсторияКультураЛитератураЛогикаМатематикаМедицинаМеталлургияМеханикаОбразованиеОхрана трудаПедагогикаПолитикаПравоПсихологияРелигияРиторикаСоциологияСпортСтроительствоТехнологияТуризмФизикаФилософияФинансыХимияЧерчениеЭкологияЭкономикаЭлектроника |
Введем ряд определений. 2 страница
• технологические пульты управления; • линии связи между аппаратными средствами системы; • побочные электромагнитные излучения от аппаратуры, линий связи, сетей электропитания и заземления и др. Из всего разнообразия способов и приемов НСД остановимся на следующих распространенных и связанных между собой нарушениях: • перехват паролей; • «маскарад»; • незаконное использование привилегий. Перехват паролей осуществляется специально разработанными программами. При попытке законного пользователя войти в систему программа-перехватчик имитирует на экране дисплея ввод имени и пароля пользователя, которые сразу пересылаются владельцу программы-перехватчика, после чего на экран выводится сообщение об ошибке и управление возвращается ОС. Пользователь предполагает, что допустил ошибку при вводе пароля. Он повторяет ввод и получает доступ в систему. Владелец программы-перехватчика, получивший имя и пароль законного пользователя, может теперь использовать их в своих целях. Существуют и другие способы перехвата паролей. «Маскарад» - это выполнение каких-либо действий одним пользователем от имени другого пользователя, обладающего соответствующими полномочиями. Целью «маскарада» является приписывание каких-либо действий другому пользователю либо присвоение полномочий и привилегий другого пользователя. Примерами реализации «маскарада» являются: • вход в систему под именем и паролем другого пользователя (этому «маскараду» предшествует перехват пароля); • передача сообщений в сети от имени другого пользователя. «Маскарад» особенно опасен в банковских системах электронных платежей, где неправильная идентификация клиента из-за «маскарада» злоумышленника может привести к большим убыткам законного клиента банка. Незаконное использование привилегий. Большинство систем защиты устанавливают определенные наборы привилегий для выполнения заданных функций. Каждый пользователь получает свой набор привилегий: обычные пользователи – минимальный, администраторы – максимальный. Несанкционированный захват привилегий, например посредством «маскарада», приводит к возможности выполнения нарушителем определенных действий в обход системы защиты. Следует отметить, что незаконный захват привилегий возможен либо при наличии ошибок в системе защиты, либо из-за халатности администратора при управлении системой и назначении привилегий. В соответствии с существующими подходами считают, что информационная безопасность системы обеспечена в случае, если для информационных ресурсов в системе поддерживаются определенные уровни: • конфиденциальности (невозможности несанкционированного получения какой-либо информации); • целостности (невозможности несанкционированной или случайной ее модификации); • доступности (возможности за разумное время получить требуемую информацию). Для современных ИТ подсистемы защиты являются неотъемлемой частью системы обработки информации. Атакующая сторона должна преодолеть эту подсистему защиты, чтобы нарушить, например, конфиденциальность системы. Однако нужно сознавать, что не существует абсолютно стойкой системы защиты, вопрос лишь во времени и средствах, требующихся на ее преодоление. Исходя из данных условий, рассмотрим следующую модель: защита информационной системы считается преодоленной, если в ходе исследования этой системы определены все ее уязвимости. Преодоление защиты также представляет собой угрозу, поэтому для защищенных систем можно рассматривать еще один вид угрозы – угрозу раскрытия параметров системы, включающей в себя подсистему защиты. На практике любое проводимое мероприятие предваряется этапом разведки, в ходе которого определяются основные параметры системы, ее характеристики и т. п. Результатом этого этапа является уточнение поставленной задачи, а также выбор наиболее оптимального технического средства. Угрозу раскрытия параметров системы можно считать опосредованной угрозой. Последствия ее реализации не причиняют какой-либо ущерб обрабатываемой информации, но дают возможность реализовать первичные или непосредственные угрозы, перечисленные выше. При рассмотрении вопросов защиты системы целесообразно использовать четырехуровневую градацию доступа к хранимой, обрабатываемой и защищаемой системой информации. Такая градация доступа поможет систематизировать как возможные угрозы, так и меры по их нейтрализации и парированию, т. е. поможет систематизировать весь спектр методов обеспечения защиты, относящихся к информационной безопасности. Это следующие уровни доступа: • уровень носителей информации; • уровень средств взаимодействия с носителем; • уровень представления информации; • уровень содержания информации. Введение этих уровней обусловлено следующими соображениями. Во-первых, информация для удобства манипулирования чаще всего фиксируется на некотором материальном носителе. Во-вторых, если способ представления информации таков, что она не может быть непосредственно воспринята человеком, возникает необходимость в преобразователях информации в доступный для человека способ представления. Например, для чтения информации с дискеты необходим компьютер, оборудованный дисководом соответствующего типа. В-третьих, как уже было отмечено, информация может быть охарактеризована способом своего представления: языком символов, языком жестов и т. п. В-четвертых, человеку должен быть доступен смысл представленной информации, ее семантика. К основным направлениям реализации злоумышленником информационных угроз относятся: • непосредственное обращение к объектам доступа; • создание программных и технических средств, выполняющих обращение к объектам доступа в обход средств защиты; • модификация средств защиты, позволяющая реализовать угрозы информационной безопасности; • внедрение в технические средства системы программных или технических механизмов, нарушающих предполагаемую структуру и функции системы. Для достижения требуемого уровня информационной безопасности системы необходимо обеспечить противодействие различным техническим угрозам и минимизировать возможное влияние «человеческого фактора». Основные методы реализации угроз информационной безопасности
Анализ угроз сетевой безопасности Рост популярности Интернет-технологий сопровождается ростом серьезных угроз разглашения персональных данных, критически важных корпоративных ресурсов, государственных тайн и т. д. Хакеры и другие злоумышленники подвергают угрозам сетевые информационные ресурсы, пытаясь получить к ним доступ с помощью специальных атак. Эти атаки становятся все более изощренными по воздействию и несложными в исполнении. Этому способствуют два основных фактора. Во-первых, это повсеместное проникновение Интернета. К этой сети подключены миллионы компьютеров. В ближайшем будущем их число во много раз возрастет, поэтому вероятность доступа хакеров к уязвимым компьютерам и компьютерным сетям также постоянно возрастает. Кроме того, широкое распространение Интернета позволяет хакерам обмениваться информацией в глобальном масштабе. Во-вторых, это всеобщее распространение простых в использовании ОС и сред разработки. Этот фактор резко снижает требования к уровню знаний злоумышленника. Раньше от хакера требовались хорошие знания и навыки программирования, чтобы создавать и распространять вредоносные программы. Теперь, для того чтобы получить доступ к хакерскому средству, нужно просто знать IP-адрес нужного сайта, а для проведения атаки достаточно щелкнуть мышкой. Проблемы обеспечения информационной безопасности в корпоративных компьютерных сетях обусловлены угрозами безопасности для локальных рабочих станций, локальных сетей и атаками на корпоративные сети, имеющими выход в общедоступные сети передачи данных. Сетевые атаки столь же разнообразны, как и системы, против которых они направлены. Одни атаки отличаются большой сложностью, другие может осуществить обычный оператор, даже не предполагающий, какие последствия будет иметь его деятельность. Распределенные системы подвержены прежде всего удаленным атакам, поскольку компоненты распределенных систем обычно используют открытые каналы передачи данных, и нарушитель может не только проводить пассивное прослушивание передаваемой информации, но и модифицировать передаваемый трафик (активное воздействие). И если активное воздействие на трафик может быть зафиксировано, то пассивное воздействие практически не поддается обнаружению. Но поскольку в ходе функционирования распределенных систем обмен служебной информацией между компонентами системы осуществляется тоже по открытым каналам передачи данных, то служебная информация становится таким же объектом атаки, как и данные пользователя. Трудность выявления факта проведения удаленной атаки выводит этот вид неправомерных действий на первое место по степени опасности и препятствует своевременному реагированию на осуществленную угрозу, в результате чего у нарушителя увеличиваются шансы успешной реализации атаки. Безопасность локальной сети отличается от безопасности межсетевого взаимодействия тем, что на первое по значимости место выходят нарушения зарегистрированных пользователей, поскольку в этом случае каналы передачи данных локальной сети находятся на контролируемой территории и защита от несанкционированного подключения к которым реализуется административными методами. На практике IP-сети уязвимы для многих способов несанкционированного вторжения в процесс обмена данными. По мере развития компьютерных и сетевых технологий (например с появлением мобильных Java-приложений и элементов ActiveX) список возможных типов сетевых атак на IP-сети постоянно расширяется. Наиболее распространены следующие атаки. Подслушивание (sniffing). В основном данные по компьютерным сетям передаются в незащищенном формате (открытым текстом), что позволяет злоумышленнику, получившему доступ к линиям передачи данных в сети подслушивать или считывать трафик. Для подслушивания в компьютерных сетях используют сниффер. Сниффер пакетов представляет собой прикладную программу, которая перехватывает все сетевые пакеты, передаваемые через определенный домен. В настоящее время снифферы работают в сетях на вполне законном основании. Они используются для диагностики неисправностей и анализа трафика. Однако ввиду того, что некоторые сетевые приложения передают данные в текстовом формате (Telnet, FTP, SMTP, POP3 и т. д.), с помощью сниффера можно узнать полезную, а иногда и конфиденциальную информацию (например, имена пользователей и пароли). Перехват пароля, передаваемого по сети в незашифрованной форме, путем «подслушивания» канала является разновидностью атаки подслушивания, которую называют password sniffing. Перехват имен и паролей создает большую опасность, так как пользователи часто применяют один и тот же логин и пароль для множества приложений и систем. Многие пользователи вообще имеют один пароль для доступа ко всем ресурсам и приложениям. Если приложение работает в режиме клиент/сервер, а аутентификационные данные передаются по сети в читаемом текстовом формате, эту информацию с большой вероятностью можно использовать для доступа к другим корпоративным или внешним ресурсам. Предотвратить угрозу сниффинга пакетов можно с помощью применения для аутентификации однократных паролей, установки аппаратных или программных средств, распознающих снифферы, применения криптографической защиты каналов связи. Изменение данных. Злоумышленник, получивший возможность прочитать ваши данные, сможет сделать и следующий шаг – изменить их. Данные в пакете могут быть изменены, даже если злоумышленник ничего не знает ни об отправителе, ни о получателе. Даже если вы не нуждаетесь в строгой конфиденциальности всех передаваемых данных, то наверняка не захотите, чтобы они были изменены по пути. Анализ сетевого трафика. Целью атак подобного типа является прослушивание каналов связи и анализ передаваемых данных и служебной информации для изучения топологии и архитектуры построения системы, получения критической пользовательской информации (например, паролей пользователей или номеров кредитных карт, передаваемых в открытом виде). Атакам этого типа подвержены такие протоколы, как FTP или Telnet, особенностью которых является то, что имя и пароль пользователя передаются в рамках этих протоколов в открытом виде. Подмена доверенного субъекта. Большая часть сетей и ОС используют IP-адрес компьютера, для того чтобы определять, тот ли это адресат, который нужен. В некоторых случаях возможно некорректное присвоение IP-адреса (подмена IP-адреса отправителя другим адресом). Такой способ атаки называют фальсификацией адреса (IP-spoofing). IP-спуфинг имеет место, когда злоумышленник, находящийся внутри корпорации или вне ее, выдает себя за законного пользователя. Он может воспользоваться IP-адресом, находящимся в пределах диапазона санкционированных IP-адресов, или авторизованным внешним адресом, которому разрешается доступ к определенным сетевым ресурсам. Злоумышленник может также использовать специальные программы, формирующие IР-пакеты таким образом, чтобы они выглядели как исходящие с разрешенных внутренних адресов корпоративной сети. Атаки IP-спуфинга часто становятся отправной точкой для других атак. Классическим примером является атака типа «отказ в обслуживании» (DoS), которая начинается с чужого адреса, скрывающего истинную личность хакера. Следует иметь в виду, что IP-спуфинг может быть осуществлен при условии, что аутентификация пользователей производится на базе IP-адресов, поэтому атаки IP-спуфинга можно предотвратить путем введения дополнительных методов аутентификации пользователей (на основе одноразовых паролей или других методов криптографии). Посредничество. Эта атака подразумевает активное подслушивание, перехват и управление передаваемыми данными невидимым промежуточным узлом. Когда компьютеры взаимодействуют на низких сетевых уровнях, они не всегда могут определить, с кем именно они обмениваются данными. Посредничество в обмене незашифрованными ключами (атака man-in-the-middle). Для проведения атаки man-in-the-middle (человек-в-середине) злоумышленнику нужен доступ к пакетам, передаваемым по сети. Такой доступ ко всем пакетам, передаваемым от провайдера ISP в любую другую сеть, может, например, получить сотрудник этого провайдера. Для атак этого типа часто используются снифферы пакетов, транспортные протоколы и протоколы маршрутизации. Атаки man-in-the-middle проводятся с целью кражи информации, перехвата текущей сессии и получения доступа к частным сетевым ресурсам, для анализа трафика и получения информации о сети и ее пользователях, для проведения атак типа DoS, искажения передаваемых данных и ввода несанкционированной информации в сетевые сессии. Эффективно бороться с атаками типа man-in-the-middle можно только с помощью криптографии. Для противодействия атакам этого типа используется инфраструктура управления открытыми ключами - PKI (Public Key Infrastructure). Перехват сеанса (session hijacking). По окончании начальной процедуры аутентификации соединение, установленное законным пользователем, например с почтовым сервером, переключается злоумышленником на новый хост, а исходному серверу выдается команда разорвать соединение. В результате «собеседник» законного пользователя оказывается незаметно подмененным. После получения доступа к сети атакующий злоумышленник может: • посылать некорректные данные приложениям и сетевым службам, что приводит к их аварийному завершению или неправильному функционированию; • наводнить компьютер или всю сеть трафиком, пока не произойдет останов системы в результате перегрузки; • блокировать трафик, что приведет к потере доступа авторизованных пользователей к сетевым ресурсам. Отказ в обслуживании (Denial of Service, DoS). Эта атака отличается от атак других типов: она не нацелена на получение доступа к сети или на получение из этой сети какой-либо информации. Атака DoS делает сеть организации недоступной для обычного использования за счет превышения допустимых пределов функционирования сети, ОС или приложения. По существу, она лишает обычных пользователей доступа к ресурсам или компьютерам сети организации. Большинство атак DoS опирается на общие слабости системной архитектуры. В случае использования некоторых серверных приложений (таких как web-сервер или FTP-сервер) атаки DoS могут заключаться в том, чтобы занять все соединения, доступные для этих приложений, и держать их в занятом состоянии, не допуская обслуживания обычных пользователей. В ходе атак DoS могут использоваться обычные Интернет-протоколы, такие как TCP и ICMP (Internet Control Message Protocol). Атаки DoS трудно предотвратить, так как для этого требуется координация действий с провайдером. Если трафик, предназначенный для переполнения сети, не остановить у провайдера, то на входе в сеть это сделать уже нельзя, потому что вся полоса пропускания будет занята. Если атака этого типа проводится одновременно через множество устройств, то говорят о распределенной атаке отказа в обслуживании DDoS (distributed DoS). Простота реализации атак DoS и огромный вред, причиняемый ими организациям и пользователям, привлекают к ним пристальное внимание администраторов сетевой безопасности. Парольные атаки. Их цель – завладение паролем и логином законного пользователя. Злоумышленники могут проводить парольные атаки, используя такие методы, как: • подмена IP-адреса (IР-спуфинг); • подслушивание (сниффинг); • простой перебор. IP-спуфинг и сниффинг пакетов были рассмотрены выше. Эти методы позволяют завладеть паролем и логином пользователя, если они передаются открытым текстом по незащищенному каналу. Часто хакеры пытаются подобрать пароль и логин, используя для этого многочисленные попытки доступа. Такой метод носит название атака полного перебора (brute force attack). Для этой атаки используется специальная программа, которая пытается получить доступ к ресурсу общего пользования (например, к серверу). Если в результате злоумышленнику удается подобрать пароль, он получает доступ к ресурсам на правах обычного пользователя. Парольных атак можно избежать, если не пользоваться паролями в текстовой форме. Использование одноразовых паролей и криптографической аутентификации может практически свести на нет угрозу таких атак. К сожалению, не все приложения, хосты и устройства поддерживают указанные методы аутентификации. При использовании обычных паролей необходимо придумать такой пароль, который было бы трудно подобрать. Минимальная длина пароля должна быть не менее 8 символов. Пароль должен включать символы верхнего регистра, цифры и специальные символы (#, $, &, % и т. д.). Угадывание ключа. Криптографический ключ представляет собой код или число, необходимое для расшифровки защищенной информации. Хотя узнать ключ доступа не просто и требует больших затрат ресурсов, тем не менее это возможно. В частности, для определения значения ключа может быть использована специальная программа, реализующая метод полного перебора. Ключ, к которому получает доступ атакующий, называется скомпрометированным. Атакующий использует скомпрометированный ключ для получения доступа к защищенным передаваемым данным без ведома отправителя и получателя. Ключ дает возможность расшифровывать и изменять данные. Атаки на уровне приложений могут проводиться несколькими способами. Самый распространенный из них состоит в использовании известных слабостей серверного ПО (FTP, HTTP, web-cepeepa). Главная проблема с атаками на уровне приложений состоит в том, что они часто пользуются портами, которым разрешен проход через межсетевой экран. Сведения об атаках на уровне приложений широко публикуются, чтобы дать возможность администраторам исправить проблему с помощью коррекционных модулей (патчей). К сожалению, многие хакеры также имеют доступ к этим сведениям, что позволяет им учиться. Невозможно полностью исключить атаки на уровне приложений. Хакеры постоянно открывают и публикуют на своих сайтах в Интернете все новые уязвимые места прикладных программ. Здесь важно осуществлять хорошее системное администрирование. Чтобы снизить уязвимость от атак этого типа, можно предпринять следующие меры: • анализировать log-файлы ОС и сетевые log-файлы с помощью специальных аналитических приложений; • отслеживать данные CERT о слабых местах прикладных программ; • пользоваться самыми свежими версиями ОС и приложений и самыми последними коррекционными модулями (патчами); • использовать системы распознавания атак IDS (Intrusion Detection Systems). Сетевая разведка – это сбор информации о сети с помощью общедоступных данных и приложений. При подготовке атаки против какой-либо сети хакер, как правило, пытается получить о ней как можно больше информации. Сетевая разведка проводится в форме запросов DNS, эхо-тестирования (ping sweep) и сканирования портов. Запросы DNS помогают понять, кто владеет тем или иным доменом и какие адреса этому домену присвоены. Эхо-тестирование адресов, раскрытых с помощью DNS, позволяет увидеть, какие хосты реально работают в данной среде. Получив список хостов, хакер использует средства сканирования портов, чтобы составить полный список услуг, поддерживаемых этими хостами. В результате добывается информация, которую можно использовать для взлома. Системы IDS на уровне сети и хостов обычно хорошо справляются с задачей уведомления администратора о ведущейся сетевой разведке, что позволяет лучше подготовиться к предстоящей атаке и оповестить провайдера (ISP), в сети которого установлена система, проявляющая чрезмерное любопытство. Злоупотребление доверием. Данный тип действий не является атакой в полном смысле этого слова. Он представляет собой злонамеренное использование отношений доверия, существующих в сети. Типичный пример такого злоупотребления - ситуация в периферийной части корпоративной сети. В этом сегменте обычно располагаются серверы DNS, SMTP и HTTP. Поскольку все они принадлежат одному и тому же сегменту, взлом одного из них приводит к взлому и всех остальных, так как эти серверы доверяют другим системам своей сети. Риск злоупотребления доверием можно снизить за счет более жесткого контроля уровней доверия в пределах своей сети. Системы, расположенные с внешней стороны межсетевого экрана, никогда не должны пользоваться абсолютным доверием со стороны систем, защищенных межсетевым экраном. Отношения доверия должны ограничиваться определенными протоколами и аутентифицироваться не только по 1Р-адресам, но и по другим параметрам. Компьютерные вирусы, сетевые «черви», программа «троянский конь». Вирусы представляют собой вредоносные программы, которые внедряются в другие программы для выполнения определенной нежелательной функции на рабочей станции конечного пользователя. Вирус обычно разрабатывается злоумышленниками таким образом, чтобы как можно дольше оставаться необнаруженным в компьютерной системе. Начальный период «дремоты» вирусов является механизмом их выживания. Вирус проявляется в полной мере в конкретный момент времени, когда происходит некоторое событие вызова, например пятница 13-е, известная дата и т. п. Разновидностью программы-вируса является сетевой «червь», который распространяется по глобальной сети и не оставляет своей копии на магнитном носителе. Этот термин используется для именования программ, которые подобно ленточным червям перемещаются по компьютерной сети от одной системы к другой. «Червь» использует механизмы поддержки сети для определения узла, который может быть поражен. Затем с помощью этих же механизмов передает свое тело в этот узел и либо активизируется, либо ждет подходящих условий для активизации. Сетевые «черви» являются опасным видом вредоносных программ, так как объектом их атаки может стать любой из миллионов компьютеров, подключенных к глобальной сети Internet. Для защиты от «червя» необходимо принять меры предосторожности против несанкционированного доступа к внутренней сети. К компьютерным вирусам примыкают так называемые «троянские кони» (троянские программы). «Троянский конь» - это программа, которая имеет вид полезного приложения, а на деле выполняет вредные функции (разрушение ПО, копирование и пересылка злоумышленнику файлов с конфиденциальными данными и т. п.). Термин «троянский конь» был впервые использован хакером Даном Эдварсом, позднее ставшим сотрудником Агентства национальной безопасности США. Опасность «троянского коня» заключается в дополнительном блоке команд, вставленном в исходную безвредную программу, которая затем предоставляется пользователям системы. Этот блок команд может срабатывать при наступлении какого-либо условия (даты, состояния системы) либо по команде извне. Пользователь, запустивший такую программу, подвергает опасности как свои файлы, так и всю систему в целом. Рабочие станции конечных пользователей очень уязвимы для вирусов, сетевых «червей» и «троянских коней». Для защиты от указанных вредоносных программ необходимо: • исключение несанкционированного доступа к исполняемым файлам; • тестирование приобретаемых программных средств; • контроль целостности исполняемых файлов и системных областей; • создание замкнутой среды исполнения программ. Борьба с вирусами, «червями» и «троянскими конями» ведется с помощью эффективного антивирусного программного обеспечения, работающего на пользовательском уровне и, возможно, на уровне сети. Антивирусные средства обнаруживают большинство вирусов, «червей» и «троянских коней» и пресекают их распространение. Получение самой свежей информации о вирусах помогает эффективнее бороться с ними. По мере появления новых вирусов, «червей» и «троянских коней» нужно обновлять базы данных антивирусных средств и приложений. Перечисленные атаки на IP-сети возможны в результате: • использования общедоступных каналов передачи данных. Важнейшие данные, передаются по сети в незашифрованном виде; • уязвимости в процедурах идентификации, реализованных в стеке TCP/IP. Идентифицирующая информация на уровне IP передается в открытом виде; • отсутствия в базовой версии стека протоколов TCP/IP механизмов, обеспечивающих конфиденциальность и целостность передаваемых сообщений; • аутентификации отправителя по его IP-адресу. Процедура аутентификации выполняется только на стадии установления соединения, а в дальнейшем подлинность принимаемых пакетов не проверяется; • отсутствия контроля за маршрутом прохождения сообщений в сети Internet, что делает удаленные сетевые атаки практически безнаказанными, Первые средства защиты передаваемых данных появились практически сразу после того, как уязвимость IP-сетей дала о себе знать на практике. Характерными примерами разработок в этой области могут служить: PGP/Web-of-Trust для шифрования сообщений электронной почты, Secure Sockets Layer (SSL) для защиты Web-трафика, Secure SHell (SSH) для защиты сеансов Telnet и процедур передачи файлов. Общим недостатком подобных широко распространенных решений является их «привязанность» к определенному типу приложений, а значит, неспособность удовлетворять тем разнообразным требованиям к системам сетевой защиты, которые предъявляют крупные корпорации или Internet-провайдеры. Самый радикальный способ преодоления указанного ограничения сводится к построению системы защиты не для отдельных классов приложений (пусть и весьма популярных), а для сети в целом.
|