Основные методы реализации угроз информационной безопасности

К основным направлениям реализации злоумышленником информационных угроз на локальной, изолированной или включенной в сеть КС можно отнести следующие:

1.Непосредственное обращение к объектам доступа. Злоумышленник пытается войти в систему, используя подсмотренный полностью или частично пароль легального пользователя; пытается получить доступ к объектам (файлам, сетевым портам и др.), надеясь на ошибки в политике безопасности.

2. Создание программных и технических средств, выполняющих обращение к объектам доступа. Злоумышленник, получив в свое распоряжение файл паролей с помощью программ, осуществляющих перебор паролей, пытается его расшифровать; использует программы, просматривающие содержимое жестких дисков, с целью получения информации о незащищенных каталогах и файлах, имена таких файлов программа фиксирует; использует в сети со связью по модему программы, выполняющие автодозвон и фиксирующие, номера ответивших узлов, а затем программы, прослушивающие сетевые порты для определения открытого порта; в локальной сети применяет программы перехвата и сохранения всего трафика сети.

3. Модификация средств защиты, позволяющая реализовать угрозы информационной безопасности. Злоумышленник, получив права доступа к подсистеме защиты, подменяет некоторые ее файлы с целью изменения реакции подсистемы на права доступа к объектам, расширяя права легальных пользователей или предоставляя права нелегальным пользователям.

4. Внедрение в технические средства программных или технических механизмов, нарушающих структуру и функции КС. Злоумышленник, на этапе разработки или модернизации технических средств КС, внедряет аппаратуру или изменяет программы, содержащиеся в постоянном запоминающем устройстве КС, которые, наряду с полезными функциями, выполняют некоторые функции НСД к информации, например, сбор сведений о паролях или считывание, сохранение и передача данных, оставшихся в оперативной памяти после завершения работы приложения; использует недостатки охраны КС и подключает дополнительные устройства, например, клавиатурные шпионы, которые позволяют перехватывать пароли и конфиденциальную информацию и, в зависимости от сложности устройства, позволяет их сохранять в собственной памяти или передавать по радиоканалу.

Получение доступа к информации обычно осуществляется злоумышленником в несколько этапов. На первом этапе решаются задачи получения тем или иным способом доступа к аппаратным и программным средствам КС. На втором этапе решаются задачи внедрения аппаратных или программных средств с целью хищения программ и данных.

Основные методы, применяемые злоумышленником для получения НСД к информации, состоят в определении:

· типов и параметров носителей информации;

· архитектуры, типов и параметров технических средств КС, версии операционной системы, состава прикладного программного обеспечения

· основных функций, выполняемых КС;

· средств и способов защиты;

· способов представления и кодирования информации.

После решения задач определения параметров системы злоумышленник переходит к этапу получения сведений о режимах доступа, паролях и сведений о пользователях системы. Для этого он пытается получить доступ к использованным расходным материалам и сменным носителям:

· съемные носители информации, содержащие секретную информацию;

· визуально, наблюдение или съемка экранов терминалов, анализ.,. распечаток и. отходов работы графопостроителей и т.д.;

· перехват побочных электромагнитных и звуковых излучений и наводок по цепям питания.

Получив доступ к КС или возможность входа в систему, злоумышленник, в зависимости, от преследуемых целей, среди которых можно выделить получение секретной информации, искажение секретных данных, нарушение работы системы; предпринимает следующие действия:

· несанкционированный доступ к информации;

· перехват данных по каналам связи;

· изменение архитектуры КС, путем установки дополнительных перехватывающих устройств или замены отдельных узлов на специальные, содержащие возможность проводить несанкционированные действия в КС, например, установка клавиатурных шпионов, перепрограммирование ПЗУ, установка сетевых карт, способных фиксировать и сохранять или искажать проходящие через них пакеты.

· уничтожение машинных носителей информации; внесение искажений в программные компоненты КС; внедрение дезинформации;

· раскрытие способов представления информации и ключей шифрования;

· изменение доступа к информации.

Типичные приемы атак на локальные и удаленные компьютерные системы

1. Сканирование файловой системы. Злоумышленник пытается просматривать файловую систему и прочесть, скопировать или удалить файлы. Если доступ к файлу закрыт, сканирование продолжается. Если объем файловой системы велик, то рано или поздно обнаружится хотя бы одна ошибка администратора. Такая атака проводится с помощью специальной программы, которая выполняет эти действия в автоматическом режиме.

2. Кража ключевой информации. Пароль может быть подсмотрен по движению рук на клавиатуре или снят видеокамерой. Некоторые программы входа в КС удаленного сервера допускают набор пароля в командной строке, где пароль отображается на экране, а иногда для ввода используются пакетные файлы для упрощения входа в ОС. Кража такого файла компрометирует пароль. Известны случаи, когда для кражи пароля использовался съем отпечатков пальцев пользователя с клавиатуры. Кража внешнего носителя с ключевой информацией: диски или Touch Memory.

3. Сборка мусора. Информация, удаляемая пользователем, не удаляется физически, а только помечается к удалению и помещается в сборщик мусора. Если получить доступ к этой программе, можно получить и доступ к удаляемым файлам. Сборка мусора может осуществляться К из памяти. В этом случае программа, запускаемая злоумышленником, выделяет себе всю допустимо возможную память и читает из нее информацию, выделяя заранее определенные ключевые слова.

4. Превышение полномочий. Используя ошибки в системном программном обеспечении и/или политики безопасности, пользователь пытается получить полномочия, превышающие те, которые были ему выделены. Это воздействие может быть также результатом входа в систему под именем другого пользователя или заменой динамической библиотекой, которая отвечает за выполнение функций идентификации пользователя.

5. Программные закладки. Программы, выполняющие хотя бы одно из следующих действий:

· внесение произвольных искажений в коды программ, находящихся в оперативной памяти (программная закладка первого типа);

· перенос фрагментов информации из одних областей оперативной или внешней памяти в другие (программная закладка второго типа);

· искажение информации, выводимой другими программами на внешние устройства или каналы связи (программная закладка третьего типа).

6. Жадные программы. Программы, преднамеренно захватывающие значительную часть ресурсов КС, в результате чего другие программы работают значительно медленнее или не работают вовсе. Часто запуск такой программы приводит к краху ОС.

7. Атаки на отказ в обслуживании (deny-of-service - DoS). Атаки DoS являются наиболее распространенными в компьютерных сетях и сводятся к выведению из строя объекта, а не к получению несанкционированного доступа. Они классифицируются по объекту воздействия:

· перегрузка пропускной способности сети - автоматическая генерация, возможно, из нескольких узлов, большого сетевого трафика, которое полностью занимает возможности данного узла;

· перегрузка процессора - посылка вычислительных заданий или запросов, обработка которых превосходит вычислительные возможности процессора узла;

· занятие возможных портов - соединяясь с портами сервисов узла, занимает все допустимое число соединений на данный порт.

Такие атаки могут быть обнаружены и устранены администратором путем выдачи запрета на прием пакетов от данного источника. Чтобы лишить администратора узла этой возможности, атака идет с множества узлов, на которые предварительно внедряется вирус. Вирус активизируется в определенное время, производя DoS-атаку. Этот тип атаки получил название DDoS (Distributed DoS).

8. Атаки маскировкой. Маскировка - общее название большого класса сетевых атак, в которых атакующий выдает себя за другого пользователя. Если существенные права получают процессы, инициируемые доверенными хостами (т.е. пакеты с адресом доверенного источника пропускаются без применения к ним ограничивающих правил), то достаточно указать доверенный адрес отправителя, и он будет пропущен.

9. Атаки на маршрутизацию. Для достижения узла - жертвы в таких атаках применяется изменение маршрута доставки пакета. Каждый путь может иметь свои права доступа, узел может по-разному реагировать на пакеты, поступившие различными путями. Поэтому интерес злоумышленника распространяется не только на сам атакуемый узел, но и на промежуточные пункты - маршрутизаторы.

10. Прослушивание сети (sniffing). Различают межсегментный и внутрисегментный сниффинг. В первом случае устройство подслушивания должно быть размещено у входа или выхода взаимодействующих узлов или у одного из транзитных узлов. Для защиты от прослушивания, в основном, используются средства шифрования. При внутрисегментном прослушивании в равноранговой сети с общей шиной (Ethernet), в качестве прослушивающего устройства может использоваться одна из КС сети. Для организации прослушивания необходимо, с помощью программы - сниффера, перевести режим Ethernet-карты в «неразборчивый режим», когда карта принимает не только пакеты со своим сетевым адресом, но и все, проходящие по сети пакеты. Для борьбы со снифферами используются сниффер - детектор. Принцип его работы заключается в формировании пакета с некорректным сетевым адресом, который должен быть проигнорирован всеми узлами сети. Та КС, которая примет такой пакет, должна быть проверена на наличие сниффера.