Каналы, способы и средства воздействия угроз




ЗНАЕТЕ ЛИ ВЫ?

Каналы, способы и средства воздействия угроз



 

Говоря о каналах, способах и средствах воздействия угроз, а также, изучая СЗИ, в дальнейшем будем иметь ввиду антропогенные угрозы умышленного характера, поскольку они, как правило, наиболее изощренны и опасны. Реализация такой угрозы является ни чем иным, как компьютерным преступлением. Обобщенный алгоритм (способ) его совершения приведен на рис. 11. Он состоит из трех этапов – подготовки, реализации и завершения. На этапе подготовки осуществляется изучение КС и определение методов и средств нападения. На этапе реализации злоумышленник получает несанкционированный доступ к КС и воздействует на нее в нужном направлении, а затем на завершающем этапе уничтожает следы преступления. Разумеется, все приведенные на схеме элементы далеко не всегда присутствуют в реальных ситуациях - их количество убывает со снижением сложности КС и степени “разумности” угрозы. Рассмотрим наиболее типичные способы и каналы воздействия умышленной угрозы на КС. Согласно руководящим документам Гостехкомиссии РФ к основным способам НСД относятся:

-непосредственное обращение к объектам доступа;

-создание программных и технических средств, выполняющих обращение к объектам доступа в обход средств защиты;

-модификация средств защиты, позволяющая осуществить НСД;

-внедрение в технические средства КС программных или технических механизмов, нарушающих структуру и функции КС и позволяющих осуществить НСД.

Рис. 12. Обобщенный алгоритм воздействия угрозы

Каждый способ НСД характеризуется множеством программно-аппаратных средств и действий субъектов с использованием этих средств. Человек (субъект НСД) способен придумать принципиально новый способ реализации НСД или применить новые варианты известных способов.

В общем случае все способы НСД являются результатом композиций "первичных" действий, таких как:

-запись информации;

-считывание информации;

-физическое воздействие на элементы компьютерных систем, приводящее либо к уничтожению информации, либо к нарушению правил ее обработки и хранения.

К примеру, несанкционированная модификация информации является композицией чтения и записи информации. Несанкционированное уничтожение информации, как и ее блокирование, может произойти в результате или несанкционированной записи, или физического воздействия на элемент компьютерных систем. Несанкционированное копирование информации осуществляется путем последовательного чтения и записи информации. Подбор пароля состоит в последовательности записи и чтения результатов обработки этой записи, при этом обычно пуск несанкционированного процесса является следствием несанкционированной записи или модификации (чтения и записи) информации.

Все каналы проникновения в систему и утечки информации разделяют на прямые и косвенные. Под косвенными понимают такие каналы, использование которых не требует проникновения в помещения, где расположены компоненты системы. Для использования прямых каналов такое проникновение необходимо. Прямые каналы могут использоваться без внесения изменений в компоненты системы или с изменениями компонентов. По способу получения информации каналы доступа можно разделить на:

-физический;

-электромагнитный (перехват излучений);

-информационный (программно-математический).

При контактном НСД (физическом, программно-математическом) возможные угрозы информации реализуются путем доступа к элементам КС, к носителям информации, к самой вводимой и выводимой информации (и результатам), к программному обеспечению (в том числе к операционным системам), а также путем подключения к линиям связи. При бесконтактном доступе (например, по электромагнитному каналу) возможные угрозы информации реализуются перехватом излучений аппаратуры КС, в том числе наводимых в токопроводящих коммуникациях и цепях питания, перехватом информации в линиях связи, вводом в линии связи ложной информации, визуальным наблюдением (фотографированием) устройств отображения информации, прослушиванием переговоров персонала КС и пользователей.

В качестве наиболее известных сочетаний способов и каналов воздействия угроз можно выделить следующие.

1). Собирание информации, которая осталась на носителях после ее обработки ("сборка мусора"). Информация может остаться в ОЗУ, на магнитных и других носителях. Это могут быть “удаленные” и различные временные файлы, сбойные кластеры и т.п.

2). Проникновение в КС непосредственно через ее интерфейсы (терминалы) с путем подбора или использования чужого пароля или обход защиты ("взлом”).

Подбор пароля может быть осуществлен различными способами: вскрытие пароля простым перебором (который может выполнить специальная программа); использование знаний о паролях, обычно применяемых пользователями; использование программной закладки или вируса для "подсматривания" паролей. Обход защиты можно осуществить, используя ошибки программы защиты или воздействуя на нее специальными программами.

3). Использование скрытых, недокументированных разработчиками возможностей ПО, так называемых "люков": в процессе разработки сложных программ могут для целей отладки создаваться специальные технологические точки входа в систему, которые потом не удаляются по забывчивости или по другим мотивам разработчиками ПО; у модулей ПО могут появляться непрогнозируемые обратные связи и свойства, дезавуирующие встраиваемые в него СЗИ.

4). Внедрение в КС вредоносных программ через носители информации (дискеты, CD-ROM) или через сеть (ЭП, пересылка файлов по FTP...). К вредоносным программам относятся:

-"вирус" - программа, способная к самовоспроизводству (размножению) и включению в другие программы своей, возможно модифицированной, копии (сетевая разновидность - “червь”);

-"троянский конь" - программа, выполняющая побочные функции, неизвестные пользователю.

Спектр деструктивных воздействий вредоносных программ очень широк – от безобидной шутки до стирания информации, хранящейся на носителе или форматирования носителя с помощью штатного ПО.

5). Использование для исследования ПО дизассемблеров и отладчиков, с помощью которых машинный код программы можно представлять в более удобном для понимания виде. Отладчик обычно обладает следующими функциональными возможностями:

-диалоговый режим использования; наличие механизма точек прерывания, который позволяет приостанавливать процесс выполнения программы и анализировать ее состояние;

-наличие механизма пошагового выполнения исследуемой программы;

-поиск по шаблону в оперативной памяти; сканирование (пошаговое выполнение с анализом выполняемых действий) исследуемой программы;

-построение трассы выполнения программы.

В результате исследования кода программы с помощью отладчика выясняется семантика последовательности команд, определяющая выполнение функций защиты. После этого осуществляется корректировка кода программы или имитация запрашиваемых и идентифицируемых программой данных, что может быть оформлено в отдельную программу.

6). Вывод из строя блоков питания и электронных схем компонентов КС путем подачи импульсов высокого напряжения по сети электропитания или создания в ней резких перепадов напряжения.

7). Перехват побочных электромагнитных излучений и наводок (ПЭМИН) по эфиру или по линиям коммуникаций (в том числе на цепи электропитания и заземления, системы водо-, тепло-, газоснабжения, выходящие за пределы контролируемой зоны). Значимость ПЭМИН как канала утечки информации в современный период постоянно снижается, в связи с тем, что:

-технические средства ведущих производителей, как правило, соответствуют жестким стандартам по уровню излучений, принятым в США и ЕЭС;

-происходит постепенный переход на оптоволоконные линии связи, ЖК-мониторы и слаботочные устройства, лазерные и струйные принтеры;

-быстро увеличиваются тактовые частоты процессоров, шин, памяти.

8). Проведение сетевых атак. Протоколы семейства IP являются основой построения сетей intranet и глобальной сети Internet, но не обладают абсолютной защищенностью и допускают различные типы атак. Самой атаке, как правило, предшествует мониторинг каналов и информационных потоков для выявления данных аутентификации администратора или пользователя с достаточными полномочиями, а также анализа шифров. Для этого используются анализаторы протоколов сети, которые позволяют осуществлять следующие действия:

-удаленное управление ресурсами сети, доступ к узлам и ресурсам распределенной сети;

-сбор статистических сведений о сетевом трафике;

-декодирование пакетов, пересылаемых по сети;

-проведение фильтрации данных во время их перехвата для последующего анализа.

Атаки на TCP/IP можно разделить на два вида: пассивные и активные.

В ходе пассивной атаки субъект не обнаруживают себя и не вступают напрямую во взаимодействие с другими системами. Фактически все сводиться к наблюдению за доступными данными или сессиями связи. К ним относятся:

- Подслушивание - перехват сетевого потока и его анализ ("sniffing"). Поскольку TCP/IP-трафик, как правило, не шифруется, используя соответствующий инструментарий, можно перехватывать TCP/IP-пакеты, например, telnet- сессий и извлекать из них имена пользователей и их пароли.

При осуществлении активной атаки субъект взаимодействует с получателем информации, отправителем и/или промежуточными системами, возможно, модифицируя и/или фильтруя содержимое TCP/IP-пакетов. Активные атаки можно разделить на две части. В первом случае субъект предпринимает определенные шаги для перехвата и модификации сетевого потока или попыток "притвориться" другой системой. Во втором случае протокол TCP/IP используется для того, чтобы привести систему-жертву в нерабочее состояние. Обладая достаточными привилегиями субъект может вручную формировать IP-пакеты и передавать их по сети.

-Предсказание TCP sequence number (IP-spoofing). Цель субъекта - притвориться другой системой, которой "доверяет" система-жертва. Если система A доверяет системе B, так, что пользователь системы B может сделать "rlogin A"_ и оказаться на A, не вводя пароля. Крэкер расположен на системе C. Система A выступает в роли сервера, системы B и C - в роли клиентов.

-Ввод соединения в "десинхронизированное состояние", когда присылаемые сервером sequence number и acknowledge number не будут совпадать с ожидаемым значениями клиента, и наоборот. В данном случае крэкер, "прослушивая" линию, может взять на себя функции посредника, генерируя корректные пакеты для клиента и сервера и перехватывая их ответы. Метод позволяет полностью обойти такие системы защиты, как, например, одноразовые пароли, поскольку крэкер начинает работу уже после того, как произойдет авторизация пользователя.

-Пассивное сканирование. Сканирование часто применяется крэкерами для того, чтобы выяснить, на каких TCP-портах работают демоны, отвечающие на запросы из сети. Обычная программа-сканер последовательно открывает соединения с различными портами. В случае, когда соединение устанавливается, программа сбрасывает его, сообщая номер порта крэкеру.

-Затопление ICMP-пакетами ("ping flood"). Основан на том, что программа "ping", предназначенная для оценки качества линии, имеет ключ для "агрессивного" тестирования. В этом режиме запросы посылаются с максимально возможной скоростью, и программа позволяет оценить, как работает сеть при максимальной нагрузке. При стандартном режиме работы пакеты выслаются через некоторые промежутки времени, практически не нагружая сеть. Но в "агрессивном" режиме поток ICMP echo request/reply-пакетов может вызвать перегрузку небольшой линии, лишив ее способности передавать полезную информацию. Приметы затопления - резко возросшая нагрузка на сеть (или канал) и повышение количество специфических пакетов (таких, как ICMP).

-Затопление SYN-пакетами ("SYN flooding"). Затопление SYN-пакетами основано на переполнении очереди сервера, после чего сервер перестает отвечать на запросы пользователей. Самая известная атака такого рода - атака на Panix, нью-йоркского провайдера. Panix не работал в течение 2-х недель.

После истечение некоторого времени (зависит от реализации) система удаляет запросы из очереди. Однако ничего не мешает крэкеру послать новую порцию запросов. Таким образом, даже находясь на соединение 2400 bps, крэкер может посылать каждые полторы минуты по 20-30 пакетов на FreeBSD-сервер, поддерживая его в нерабочем состоянии (естественно, эта ошибка была скорректирована в последних версиях FreeBSD).

- Угрозы, связанные с электронной почтой.

Основные протоколы передачи почты(SMTP, POP3,IMAP4) обычно не осуществляют надежной аутентификации, что позволяет легко создать письма с фальшивыми адресами. Ни один из этих протоколов не использует криптографию, которая могла бы гарантировать конфиденциальность электронных писем. Хотя существуют расширения этих протоколов, решение использовать их должно быть явно принято как составная часть политики администрации почтового сервера. Некоторые такие расширения используют уже имеющиеся средства аутентификации, а другие позволяют клиенту и серверу согласовать тип аутентификации, который будет использоваться в данном соединении.

-Фальшивые адреса отправителя: адресу отправителя в электронной почте Интернета нельзя доверять, так как отправитель может указать фальшивый обратный адрес, или заголовок может быть модифицирован в ходе передачи письма, или отправитель может сам соединиться с SMTP-портом на машине, от имени которой он хочет отправить письмо, и ввести текст письма.

-Перехват письма: заголовки и содержимое электронных писем передаются в чистом виде. В результате содержимое сообщения может быть прочитано или изменено в процессе передачи его по Интернету. Заголовок может быть модифицирован, чтобы скрыть или изменить отправителя, или для того чтобы перенаправить сообщение.

-Почтовая бомба - атака с помощью электронной почты. Атакуемая система переполняется письмами до тех пор, пока она не выйдет из строя. Как это может случиться, зависит от типа почтового сервера и того, как он сконфигурирован. Некоторые провайдеры Интернета дают временные логины любому для тестирования подключения к Интернету, и эти логины могут быть использованы для начала подобных атак. Типовые варианты выхода почтового сервера из строя:

-почтовые сообщения принимаются до тех пор, пока диск, где они размещаются. Не переполнится. Следующие письма не принимаются. Если этот диск также основной системный диск, то вся система может аварийно завершиться;

-входная очередь переполняется сообщениями, которые нужно обработать и передать дальше, до тех пор, пока не будет достигнут предельный размер очереди. Последующие сообщения не попадут в очередь;

-может быть превышена квота диска для данного пользователя, что помешает принять последующие письма, и может помешать ему выполнять другие действия.

 





Последнее изменение этой страницы: 2016-04-26; Нарушение авторского права страницы

infopedia.su Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав. Обратная связь - 3.239.242.55 (0.017 с.)