Программно-аппаратные средства обеспечения информационной безопасности вычислительных сетей

В результате выполнения этого шага разрабатываются рекомендации по средствам защиты и альтернативные решения для уменьшения риска.

Результирующие документации. После выполнения оценки риска (источники угроз и уязвимости идентифицированы, риск оценен, рекомендации по контролю подготовлены) результаты должны быть представлены в результате отчета. Соответствующий отчет по оценке риска описывает угрозы, уязвимости, измерение риска и дает рекомендации по применению средств защиты.

1.4.3 Уменьшение рисков

После получения результатов анализа рисков основной задачей является изменение рисков на приемлемые и неприемлемые. Если риск является неприемлемым, то необходимость применять процедуры уменьшается. Процесс применения рисков включает в себя установление приоратов отдельными составляющими общей оценки риска , оценку и применение соответствующих уменьшающих риск рекомендованных средств защиты. Поскольку устранение обычно всех рисков невозможно, обязанность администрации является выполнение анализа затрат и результатов и применение наиболее соответствующих средств зашиты для уменьшения риска до допустимого уровня, характеризующего минимальным нежелательным влиянием на ресурсы и миссию организации.

В общем случае уменьшение риска может быть достигнуто по средством применения одной или комбинации следующих операций уменьшения риска:

1) Принятие риска (применять потенциальй риск и продолжать функционирование ИТ системы или применять средства защиты для уменьшения риска до допустимого уровня);

2) Уклонение от риска (уклонится от риска, устранив причину риска и (или) последствий. т.е. оказаться от определенных функций системы или выключить систему, когда идентифицируется риск);

3) Ограничение риска (ограничить риск применения средств защиты, которые минимизируют нежелательное влияние реализации уязвимости угрозой, т.е. использовать поддерживающие, предупредительные или лбнаруживающие средства);

4) Планирование риска (управлять риском, разрабатывая план уменьшения риска, который устанавливает приоритеты, применяет и поддерживает средства защиты);

5) Исследование и подтверждение риска(уменьшить риск потерь подтверждения уязвимости или дефекта и применением исследовательских средств защиты для устранения уязвимости;

6) Передача риска (передать риск, используя другие варианты для компенсации потерь, такие, например, как покупка страховки).

При принятии решения для уменьшения риска должны быть рассмотрены цели и миссия организации. Может оказаться непрактичным рассматривать все идентификационные риски, поэтому должны быть устранены приоритеты для пар угроза- уязвимость, которые имеют потенциальную возможность оказывать наибольшее влияние на миссию или ущерб. Кроме того, при защите миссии организации и ее ИТ систем варианты используемые для уменьшения риска, и методы, используемые для применения средств защиты, могут варьироваться. Наилучшим подходом является использование соответствующих технологий, в число которых входит использование средств защиты различных производителей, соответствующие варианты измерения риска и нетехнические административные меры.

Общая схема процесса уменьшения риска приведена на (рис 1.9.). соответствующие точки приведения действий среды защиты на рисунке помечены словом «да»

Общая схема процесса уменьшения риск рис 1.9.

Рассмотрим правила, которые являются руководством по действиям уменьшения риска от преднамеренных угроз:

1) Когда уязвимость существует - применить технику передачи для уменьшения вероятности реализации уязвимости;

2) Когда уязвимость может быть осуществлена - применить уровневую защиту, специальное проектирование архитектуры и административные средства для минимизации риска и предупреждения его;

3) Когда затраты окупающего меньше, чем потенциальный выигрыш, - применить защиту для уменьшения мотивации атакующего так, чтобы увеличить затраты атакующего;

4) Когда потери очень велики - применить принципы конструирования, архитектуру, техническую и нетехническую защиту для ограничения степени влияния атаки, и таким образом, уменьшить потенциал потерь.

Такая стратегия, также применима для уменьшения риска, возрастающего в результате аппаратных или непреднамеренных человеческих угроз (т.е.ошибок ситемы или пользователей).

Как правило, основным методом снижения риска является применение соответствующих средств защиты. При этом необходимо применять следующее правило: «В первую очередь рассматривать наибольший риск, стремясь к значительному уменьшению риска при минимальной стоимости и минимальном влиянии на другие свойства рассматриваемого объекта».

Для уменьшения риска используются следующие методологии, описывающая подход к применению средств защиты.

Шаг 1 - присвоить приоритетные действия. Базируясь на уровнях риска, представленных в отчете по оценке риска, расставить приоритетные действия. При применение к ресурсам наивысший приоритет должен быть дан значениями риска с неотъемлемо большими рангами. Эти пары угроза -уязвимость будет требовать немедленных корректирующих действий для защиты интересов и миссии организации. Выход шага 1 - ранжированные риски.

Шаг 2 - оценить рекомендуемые варианты защиты. Рекомендованные в результате процесса оценки риска средств защиты могут быть неподходящими и неосуществимыми для определения организации и ИТ системы. Во время этого шага анализируются их осуществимость и эффективность рекомендованных средств защиты. Цель - выбрать наиболее подходящие средства для минимизации риска. Выход шага 2 - список подходящих средств защиты(контроля).

Шаг 3 - провести анализ затрат и результатов. Анализ выполняется для помощи руководству и применения решения и идентификации эффективной стоимости средств. Выход шага 3 - анализ затрат и результатов, описывающий стоимость и результаты применения или не применения средств защиты.

Шаг 4 - выбрать средства защиты. На основе анализа затрат и результатов управления организации определяет средства защиты для уменьшения риска для миссии организации на основе критерия риска стоимости - эффективность. Выбранные средства должны комбинировать технические, операционные и управляющие средствами элементы, чтобы обеспечить адекватную защиту ИТ системы и организации. Выход шага 4 - список выбранных средств.

Шаг 5 - назначить ответственных. Идентифицируются подходящие персоны которые имеют соответствующий опыт и знания в применении выбранных средств защиты, и назначаются ответственными. Выход шага 5 - список ответственных персон.

Шаг 6 - разработать план реализации защиты. Этот план содержит информацию:

1) Риски(пары угроза - уязвимость) и соответствующие уровни риска(выход отчета оценки риска);

2) Рекомендуемые средства защиты(из отчета оценки риска);

3) Приоритетные действия(с приоритетами, данными с учетом высокого и высокого уровня риска);

4) Выбранные и планируемые к применению средства защиты(определенные на основе осуществимости);

5) Требуемые ресурсы для применения выбранных планированных средств;

6) Списки ответственных команд и персонала;

7) Начальная дата применения;

8) Назначенная дата для завершения применения;

9) Требуемые средства и необходимое обслуживание;

Этот план расставляет приоритеты действиями по применению средств защиты и составлен от даты начала до даты конца. Он поможет упростить процесс уменьшения риска. Выход шага 6 - план применения средств защиты.

Шаг 7 - применить выбранные средства защиты. В зависимости от индивидуальной ситуации применение средств защиты может уменьшить уровень риска, но не уничтожить его. Выход шага 7 - остаточный риск.

При применении рекомендованных средств для уменьшения риска организации должна рассмотреть технические и операционные средства защиты или их комбинацию, чтобы обеспечить максимальную эффективность защиты для своей ИТ системы и организации. Средства защиты, используемые надлежащим образом, могут защитить, ограничить или восстановить ущерб источника угроз.

Остаточный риск. Применение средств защиты не гарантирует уничтожение риска, более того, это в принципе невозможно. Поэтому всегда остается какой то уровень риска, называемый остаточным риском. Цель процесса уменьшения риска и состоит в получении остаточного риска, который допустим для выполнения миссии организации. Общая схема получения остаточного риска показана на ри 1.10.

Организация может анализировать оценку уменьшения риска в результате применения новых или усовершенствованных средств защиты в терминах уменьшения вероятности угрозы или влияния - двух параметров, которые определяют уменьешние уровня риска миссии организации на (рис 1.11).

Для получения допустимого остаточного риска организация может использовать новые или усовершенствованные средства защиты, которые уменьшают риск посредством:

1) Удаление некоторых системных уязвимостей(дефектов и слабостей) путем уменьшения числа возможных пар источников угрозы - уязвимость;

Добавление специальных нацеленных средств для уменьшения способности и мотивации у источника угроз. Например, если определено, что стоимость инсталляции и поддержки дополнительного ПО безопасности для отдельного компьютера, хранящего чувствительную информацию, слишком высока для организации, то может быть применен усиленный административный и физический контроль, чтобы затруднить физический доступ к данному компьютеру;

Общая схема получения остаточного риска рис 1.10

межсетевой экран атака взлом



2) Уменьшение величины нежелательного влияния.

Вычисление и оценивание риска. Тенденции развития организаций показывают. Что их компьютерные сети непрерывно расширяются и обновляются, компоненты сетей и ИТ меняются и дополняются, прикладное ПО заменяются или обновляются новыми версиями. Кроме того, изменения затрагивают персонал организации и соответственно политику безопасности. Эти изменения означают, что появляются новые риски, а риски, раннее подвергшиеся уменьшению, снова становятся значительными. Поэтому процесс управления рисками должен быть непрерывным и эволюционирующим.

В США процесс оценки риска обычно повторяется каждые 3 года государственными органами(OMB Circulator A-130). Управление рисками должно интегрироваться с жизненным циклом ИТ системы, поэтому что это является хорошей практикой и поддерживается выполнение бизнеса организаций. Периодическое проведение процесса оценки риска позволит гибко и быстро реагировать на изменение в системе ИТ обслуживающем оборудовании. Для успешного выполнения своей миссии организация должна иметь соответствующую программу управления риском.

1.4.4 Пример содержания результирующего отчета

Рассмотрим примерную структуру оценки риска.

1 Введение:

1) Цель;

2) Масштабы данной оценки риска.

Описание системных компонентов, элементов, пользователей, расположение частей организации и другие детали системы, включенные в рассмотренные для оценки риска.

2 Подход к оценке риска - кратко описывается подход, используемый для оценки риска:

1) Участники (т.е члены команды оценки риска);

2) Техника, используемые для сбора информации;

3) Разработка и описание шкалы рисков (т.е. 3?3, 4?4, или 5?5 матрицы уровней риска).

3 Характеристика системы - характеризуется система, включая аппаратуру ( серверы, маршрутизаторы, коммутаторы) программное обеспечение приложение, ОС, протоклы), системные интерфейсы (коммуникационные каналы), данные (хранимые,передаваемые и обрабатываемые) , и пользователи системы. Приводятся диаграммы связности или схемы системных входов и выходов для очерчивания границ оценки рисков.

4 Ведомость угроз - собираются и перечисляются потенциальные источники угроз и ассоциированные с ними действия, соответствующие оцениваемой системе.

5 Результаты оценки риска - перечисляются потенциальные источники. Каждое утверждение должно включать в себя:

1) Номер утверждения и краткое описание(например, «Утверждение 1: пароли систем пользователей могут быть подобраны или взломаны»);

2) Обсуждение источников пар угроз - уязвимостей;

3) Идентификация существенных средств защиты;

4) Обсуждение частоты появления оценок влияния(высокое, средняя, низкая);

5) Обсуждение анализа и оценки влияния (высокое, средняя, низкая);

6) Ранжирование риска на основе матрицы уровней риска (высокий, средний, уровни риска) ;

7) Рекомендуемые средства или альтернативные варианты уменьшения риска.

6 Заключение - сводка утверждений, ассоциированных уровней риска, рекомендации и любые комментарии, сведенные в таблицу для удобства пользования руководством организации и облегчения применения рекомендованных средств во время процесса уменьшения риска.

1.5 Аудит информационной системы

Под аудитом информационной системы (информационной технологии) понимается системный процесс получения и оценки объективных данных о текущем состоянии системы, действиях и событиях, проходящих в ней, который устанавливает уровень или соответствия определенному критерию и предоставляется результаты заказщику.

Проведение аудита позволит оценить текущею безопасность функционирования ИТ, оценить риски и управлять ими, прогнозировать их влияние на бизнес- процессы организации, корректно и обосновано подходить к вопросу обеспечения безопасности информационных активов организации, основными из которых являются:

1) Идеи;

2) Знания;

3) Проекты;

4) Результаты внутренних обследований;

Общее понятие аудита.

Датой рождения аудита принято считать 1844 г. Когда в Англии приняли закон об акционерных компаниях, согласно которому их правление должны были ежегодно отчитывается перед аукционерами, причем отчет должен был быть проведен и подтвержден специальным человеком - независимым аудитором.

В настоящее время аудит, пройдя несколько этапов своего развития, стал частью хозяйственной жизни развитых стран. От проверки бухгалтерских счетов акционерных компаний отдельными профессиональными аудитами аудит развивается до комплексного понятия, включая в себя ряд услуг оказываемых профессиональными аудиторами и аудиторскими фирмами. Среди таких фирм есть и небольшие, включающие в себя десяток сотрудников, и гиганты с численностью до нескольких тысяч человек. Назовем компании из так называемой большой пятерки: Ernest & Young, CPMG, Price Waterhouse Coopers, Arthur Anderson, Delay & Touche.

Концепция регулирования аудиторской деятельности в мировой практике различны. В Германии, Франции и Испании, где основными пользователями бухгалтерской отчетности считаются государственные организации и банки, более распространено государственное регулирование аудиторской деятельности. В Великобритании и США, где основными пользователями бухгалтерской отчетности считаются аукционеры, кредиторы, инвесторы, более распространено урегулирование.

В Российской Федерации система регулирования аудиторской деятельности, особенно в сфере ИТ, находится в процессе становления. В настоящее время преобладают государственное регулирование, но появляются и элементы саморегулирования. Уполномоченные органы, регулирующие аудиторскую деятельность в Российской Федерации, является Министерство Финансов Российской Федерации(основным документом является закон «об аудиторской деятельности» №119-ФЗ от 07.08.2001).

При этом при разработке общероссийских стандартов принимаются во внимание международные стандарты, которые признаны решать те же задачи.

Внутрифирменные стандарты решают те же задачи, что и международные и общероссийские, но в масштабе аудиторской фирмы. Общероссийским стандартом «Требования представляемые к внутренним стандартам аудиторских организаций» от 20.10.1999 установлено, что каждая аудиторская организация должна сформировать пакет своих внутренних стандартов, отражающих подход к проведению проверки и становлению заключения.

Виды аудита.

Аудит безопасности информационных систем обычно подразделяют на внешний и внутренний.

Подробнее рассмотрим эти виды аудита применительно к сетевым технологиям, применяемым современными ИС.

Внешний аудит проводится в основном вне организации и, как правило, специализированными организациями, занимающимися аудитами информационной безопасности. В этом случае анализируются меры риска от внешних атак со стороны. При проведении внешнего аудита осуществляется сканирование портов, поиск уязвимостей в сетевом и прикладном программном обеспечении.

Осуществляются попытки взаимодействия с Web - серверами, почтовыми и файловыми серверами, попытки вхождения в локальные сети организации.

Внутренний аудит, как правило, приводится специальной командой из числа персонала организации. Его задачей оценка риска существующей технологии применяется ИС. Это вид аудита выполняется с привлечением средств автоматизации аудита, реализующих какой-либо стандарт. Внутренний аудит проводится внутри сетевого пространства, ограниченного межсетевым экраном организации. Он также включает в себя сканирование портов и уязвимостей внутренних хостов организации. Кроме того, анализируется организация и выполнение установленной политики безопасности, контроль и управление доступом и ресурсам, парольная политик персонала организации и ее выполнение. Данный вид аудита дополняет стандартные методики проведения аудита более исчерпывающим рассмотрением сетевых уязвимостей.

1.6 Механизмы и службы защиты

Поскольку не существует одного устройства, обеспечивающего защиту от атак на целостность, конфиденциальность и доступность, используются комбинации компонентов защиты, что значительно уменьшает возможность успешной атаки. К основным компонентам относятся:

1) межсетевые экраны;

2) системы обнаружения вторжений;

3) средства контроля целостности;

4) средства проверки содержимого;

5) сканеры;

6) средства контроля конфигурации;

7) средства контроля доступа и аутентификации;

8) виртуальные частные сети (Virtual Private Network, VPN);

9) встроенные средства безопасности (операционные системы, средства аудита, списки контроля доступа и т.д).

Построение и применение основных компонентов безопасности будет рассмотрено далее.

Контрольные вопросы

1) Чем отличаются понятия «интранет» и «экстраверт»?

2) Перечислите основные устройства межсетевого взаимодействия.

3) В чем сходства и отличия понятий угрозы и уязвимости?

4) Сформируйте основные источники угроз.

5) Перечислите основные виды утечки информации.

6) В чем состоит сущность комплексного подхода к обеспечению информационной безопасности?

7) Сформулируйте назначение политики безопасности.

8) Перечислите основные шаги определения политики безопасности.

9) Перечислите основные шаблоны политики безопасности для известной организации.

10) Перечислите основные задачи сетевой политики безопасности.

11) Что такое сетевой периметр?

12) Сформулируйте определение демилитаризованной зоны.

13) Перечислите основные составляющие эшелонизированной обороны.

14) Что такое управление рисками?

15) Сформулируйте составляющие общей оценки риска.

16) Каковы основные подходы к количественной оценке рисков?

17) Перечислите основные методы, применяемые для уменьшения риска.

18) Что такое остаточный риск?

19) Сформулируйте назначение и сущность аудита информационных систем.

20) Перечислите основные виды аудита и их особенности.

21) Перечислите основные механизмы и службы защиты.

Глава 2. Удаленные сетевые атаки

Основные виды угроз были рассмотрены в 1 главе. Далее рассмотрим угрозы при сетевом взаимодействии. Эти обобщенные виды угроз не дают представления о конкретной угрозе. Поэтому, исходя из общей системы межсетевого взаимодействия, для случая удаленных атак можно выделить два основных типа угроз.

Общепринято выделить следующие основный угроза:

1) Угрозы целостности;

2) Угрозы конфиденциальности;

3) Угрозы доступности;

Эти обобщенные виды угроз не дают представления о конкретной угрозе. Поэтому, исходя их общей схемы межсетевого взаимодействия, для случая удаленных атак можно выделить два основных типа угроз.

1. Угрозы, вызываемые участниками информационного обмена:

1) Отказ от получения данных после их получения;

2) Отказ от передачи данных после их передачи;

3) Отказ от достигнуто соглашение.

2. Угрозы, вызываемые третьей стороной:

1) Вставка данных в обмен;

2) Отказ в обслуживании.

Среди угроз для сети организации и ее систем можно выделить старые и новые угрозы.

Старые угрозы реализуются атаками, базирующимися на использование хорошо известных уязвимостей и скрипов атак. Такие угрозы исходят от недостаточного компонентных хакеров (называемых scpi rt kiddes) или совершенно некомпетентных (называемых newbies). Эти категории нарушителей используют готовые скрипы атак и могут совершенно не понимать действительных механизмов применяемых (используемых) эксплойтов, а также их возможных побочных действий. Но это не уменьшает их опасность для организаций, так как реализация старых незащищенных угроз может нанести значительный ущерб, если организация не примет соответствующих мер.

Новые угрозы являются более серьезными и потенциально опасными для организации. Эти угрозы характеризующиеся направленными попытками нанести ущерб получить информацию, нарушить операции функционирования . реализуют новые угрозы обычно квалифицированные взломщики, обладающие детальными знаниями механизмов сетевого взаимодействия и логики функционирования приложений. Для получений необходимой информации нарушители используют специально разработанные средства и скрипты. Как правило, новые угрозы используют неизвестные или только что обнаруженные уязвимости.

2.1. Сетевые атаки

Каждый год открываются новые уязвимости, но знания, необходимые для проведения атаки, уменьшаются, чему в значительной мере способствует сеть Интернет.

Новые и старые внешние угрозы реализуются посредством сетевых атак или удаленных сетевых атак. Под удаленной сетевой атакой понимают воздействие на программный компоненты целевой системы с помощью программных средств. Таким образом, атака является получить данные или осуществить проникновение. Обычно выделяют три основных типа атак:

1) Атаки разведки (проб сбора информации);

2) Атаки получения доступа;

3) Атаки отказа в обслуживании;

Эти типы атак не всегда используются отдельно и обычно применяются в сочетании для достижения атакующими своих целей.

Атаки разведки используются для сбора информации о целевой сети или системе. Такие атаки кажутся безобидными для целевой системы и могут рассматривается сетевыми администраторами сетевыми администраторами как сетевой шум, или надоедливое поведение. Но информация, собранная на этапе разведки, используется для проведения атаки. Средства проведения разведки могут быть как обычными, входящими в сосав операционной системы, так и специально разработанными. Поскольку точные знания о целевой системе и ее уязвимости могут обеспечить успешность атаки, атаки разведки должны рассматривается как серьезная угроза.

Сеть Интернет Рис 2.1

Атаками получения доступа являются такие атака, которые включают неавторизованное использование целевого хоста или группы хостов. Средство, с помощью которого атакующий получает доступ к инфраструктуре, обычно зависит от используемой уязвимости, которая присутствует в ОС, в приложении или защитном механизме. Часто эти уязвимости открываются атакующим при проведении разведки. Атаки получения доступа могут осуществляться вручную или с использованием автоматизированных или даже автоматических средств.

Атаки получения доступа можно разбить на 3 вида неавторизованной деятельности:

1) Извлечение данных(чтение, копирование, перемещение);

2) Доступ к системе(нарушитель получает реальный доступ к системе с различным уровнем привилегий);

3) Расширение привилегий(необходимость атакующего как для полного управления системой, так и для вскрытия своего взлома).

Третьим типом атак являются атаки отказа в обслуживании, когда атакующий пытается препятствовать доступу легальных пользователей к системе или службе. Часто эти атаки могут быть направлены как на отдельный хост, так и на сеть в целом.

Одной из серьезных проблем в области компьютерной безопасности является отсутствие единой терминологии. Данная проблема усугубляется следующими обстоятельствами:

1) Многообразием используемых терминов, которые уже существуют в языке;

2) Преобладанием переводных книг, которых переводчики используют неоднозначные термины( исключением из этого правила является блестящий перевод книги «новый словарь хакера», в котором, к сожалению, не содержатся термины, вошедшие в компьютерный обиход за последние годы);

3) Некорректным использованием производителями и продавцами средств защиты терминов и устоявшейся терминологии;

4) Отсутствием стандартизированных списков терминов и устоявшейся терминологии.

Любая сетевая атака направлена на программное средство сетевого хоста. В качестве атакуемого сетевого средства может выступать сетевой стек операционной системы, другой системный код, прикладная программа, т.е элемент прикладного и системного программного обеспечения. Атака, как правило, возможна из-за наличия ошибок и просчетов при разработке, реализации, настройки или использования данного программного обеспечения.

Ошибка - погрешность в программном коде данного программного обеспечения. Возможны ошибки, которые еще не появились или не были использованы злоумышленниками.

Просчет - недостаток программного средства, который определяется как его программным кодом, так и недостатком самого проекта или способом применения средства.

Уязвимость - это недостаток программного средства, которым может воспользоваться злоумышленник.

Злоумышленник для известной ему уязвимости разрабатывает или использует готовые (разработанные другими) шаблоны атак. Экземпляр шаблоны атак, созданный для компрометации конкретного фрагмента кода программного средства, является программой атаки, или эксплойтов.

При проведении атаки злоумышленник использует сценарий атаки, который предусматривает использование различных шаблонов в зависимости от проведения атакуемой системы. Таким образом - это процесс реализации некоторого сценария атаки. В ходе атаки злоумышленник получает данные(реакция атакующей системы), которые свидетельствуют об успехе (неудаче) применения данного шаблона атаки. Описание, каждой атаки может быть основанных на используемых ею уязвимостях атакуемой системы.

Успешная атака называется вторжением. При осуществлении вторжении злоумышленник достигает своей основной цели - получает доступ к системе, приобретает возможность программного кода или вызывает прекращение (ограничения) выполнения функций атакованной системы. Дальнейшие цели или этапы злоумышленника могут включать в себя расширение полученных привилегий, внедрение своего программного кода, принятие мер по маскировке своего присутствия и факта вторжения и т.д.

2.2. Обобщенный сценарий атаки

Статистика нарушений безопасности показывает, что количество атак имеет тенденцию к экспоненциальному росту. Сама сеть Интернет является благодатной почвой для вторжений в компьютерные системы. Объединение компьютеров в сети позволяет пользователям совместно использовать данные, данные программы и вычислительные ресурсы. Поэтому даже пользователи с минимальными познаниями могут осуществлять успешный взлом. Это связано с тем, что значительная часть пользователей Интернета не уделяет достаточного внимания проблемам обеспечения безопасности. При обнаружении уязвимости в программном продукте требуется время для ее устранения. Это время складывается из времени разработки корректирующей программы установки этого патча на соответствующий сервер компании и выставлении объявления о наличии платча. Это требует от пользователя и системного администратора постоянного просмотра соответствующих сайтов производителей программного обеспечения программного продукта. При наличии

В организации множества компьютерных систем, множества операционных систем и программных компьютеров такие операции становятся достаточно дорогими и ресурсоемкими. Поэтому значительная часть пользователей и не подозревает о наличии уязвимостей, наличии соответствующих патчей и необходимости их установки. В таком случае злоумышленнику нужно тольк38о найти соответствующею компьютерную систему.

Рассмотрим обобщенный сценарий атаки, который можно представить в виде следующих шагов:

1) Пассивная разведка;

2) Активная разведка;

3) Выбор экстлойта;

4) Взлом целевой системы;

5) Загрузка последнего груза;

6) Сокрытие следов взлома.

Конечно, данная последовательность может быть нарушена или могут быть исключены отдельными отдельные шаги данного сценария. Кратко рассмотрим эти этапы.

2.2.1 Пассивная разведка

Данный этап называется пассивным, так как злоумышленник не входит в непосредственный контакт с целью или входит с соблюдение общепринятых правил.

Целью данного этапа является сбор информации о цели, поэтому часто его называют рекогносцировкой цели. В качестве цели может выступать как конкретный хост, так и целая сеть организации. Достаточно часто цель выбирается из условия простого поиска системы, содержащей известную уязвимость, в которой злоумышленник имеет эксплойт.

Для сбора информации могут использоваться существующие в Интернете сайты и базы данных, представляющие сетевые адреса доменных имен и блоки сетевых адресов. Злоумышленник может отыскать номера телефонов, имена и фамилии персонала организации, их почтовые адреса. Большой интерес для злоумышленников представляют собой партнерские и дочерние организации, взаимодействующие с целевой организацией. Кроме того, используются возможные открытые источники и публикации.

Сбору информации способствует определение базы данных, находящиеся в Интернете, и специальные программы, позволяющие получить такую информацию. Среди них отметим whois, базу данных ARIN(American Regstry for Internet Numbers)? ARIC (Asia - Pasific Network Information Centr) и др.

Например, запрос в whois, содержащий название компании Microsoft, дает следующие результаты (значительная часть информации опущена для краткости):

Microsoft Corp (MSFT)

Microsoft Corporation (ZM23-ARIN) noc@microsoft.com +1-425-882-8080

Microsoft (ZM23-ARIN) noc@microsoft.com +1-425-882-8080

Microsoft Corp (AS13811) MSLI 13811

Microsoft Corp (AS14719) Microsoft-CORP-bcentral 14719

Microsoft Corp (AS8068) Microsoft-CORP---msn-as-block 8068 - 8075

Microsoft Corp (AS3598) Microsoft-CORP-as 3598

Microsoft Corp (AS5761) Microsoft-CORP---msn-as---saturn 5761

Microsoft Corp (AS6182) Microsoft-CORP--msn-as-4 6182

Microsoft Corp (AS6194) Microsoft-CORP--msn-as-3 6194

Microsoft Corp (AS6291) Microsoft-CORP---msn-as 6291

Microsoft Corp (AS13399) Microsoft-CORP---msn-as-2 13399

Microsoft Corp (AS23468) Microsoft-corp-xbox-online 23468

Microsoft Corp Netblk-msoft-net (net-198-105-232-0-1)198.105.232.0 - 198.105.235.255

Microsoft Corp Msoft-2 (net-198-105-232-0-1) 198.105.232.0 - 198.105.235.255

Microsoft Corp Msoft-4 (net-198-105-232-0-1) 198.105.232.0 - 198.105.235.255

Microsoft Corp Msoft-3 (net-198-105-232-0-1) 198.105.232.0 - 198.105.235.255

Microsoft Corp Msoft-1 (net-198-105-232-0-1) 198.105.232.0 - 198.105.235.255

Microsoft Corp Microsoft-1 (net-199-103-90-0-1) 199.103.90.0 - 199.103.91.255

Microsoft Corp Microsoft- Corp- msn-3 (net-199-103-122-0-1) 199.103.122.0 - 199.103.122.255

Microsoft Corp Microsoft17 (net-199-6-92-0-1) 199.6.92.0 - 199.6.94.255

Microsoft Corp Microsoft-2 (net-204-79-7-0-1) 204.79.7.0 - 204.79.7.255

Microsoft Corp Microsoft-net1 (NET-204-79-27-0-1) 204.79.27.0 - 204.79.27.255 и т.д.

2.2.2 Активная разведка

Этап проведения активной разведки называется сканированием. Злоумышленник пытается определить структуру интересующей его сети, точки доступа, доступные узлы и хосты, расположение маршрутизаторов и межсетевых экранов, установленные операционные системы и их версии, открытые порты и их службы, версии установленных программных продуктов. На этом этапе злоумышленник входит в контакт с объектами интересующей его системы, поэтому его действия могут быть обнаружены средствами защиты целевой системы.

Для решения задач проведения открытой разведки злоумышленник может использовать большое количество разнообразных средств, многие из которых являются общедоступными. Среди них такие средства, как ping, traceroute, nmap (http://www.insecure.org/nmap) SupperScan (http://www. found stone.com).Свободное наличие таких средств во многом обусловлено тем. Что они активно используются системным администратором для решения текущих проблем управления и защиты сетей.

Существует множество методик и средств, позволяющих определить операционную систему, установленную на хосте, и ее версию. Разобраны методы так называемого скрытого сканирования, не позволяющие определить источник, проводящий сканирование. Кроме того, может использоваться «замедленное» сканирование, когда злоумышленник может посылать отдельное запросы через большие интервалы времени. В этом случае достаточно высока вероятность того, что на целевой системе не обратят внимания на отдельные запросы.

2.2.3 Выбор эксплойт

На основании полученных данных злоумышленник выбирает эксплойт для проведения взлома.

Большое число малоопытных взломщиков начинают взлом на основании имеющегося экстлойта. Тогда на этапе разведки ищется система, которая не имеет соответствующие уязвимости. При этом возможен простой перебор адресов, чтобы каким - то образом, выбрать уязвимый хост, который и станет целью взлома. Напомним, что IP - адрес в пакете занимает 32 разряда и представляет собой двоичное число. Имена же хостов, которые задаются в браузере, имеют вид. Удобный для пользователя. Например, можно задать адрес компании Microsoft или 207.46.20.30. этот же адрес можно представить в шестнадцатеричной системе счисления (СF2E14IE) или двоичной (1100111100101011100001010000011110). Поэтому достаточно легко использовать в эксплойте программный цикл перебора значений адреса. Данный метод был использован в январе 2003 г. червем Slammer, который для перебора адресов использовал следующею рекуррентную зависимость

х?+1=(2140013? хn+2531011)mod2??.

Применение данного метода ограничивается тем обстоятельством, что во всем диапазоне адресов имеются неиспользованные адреса.

После получения необходимой информации и выбора экстлойта злоумышленник может переходить к взлому системы.

2.2.4 Взлом целевой системы

Существует множество различных способов взлома. К их числу можно отнести получение доступа к системе, расширению имеющихся или полученных полномочий и отказа в обслуживании.

Взлом практически всегда выполняется с помощью программного обеспечениями направлении на программное обеспечение.

Успешная атака включает в себя несколько последовательных действий. Напомним, что шаблон атаки - это вариант взлома по отношению к уязвимому месту программного обеспечения. Поэтому в шаблоне атаки не может быть предусмотрено использование нескольких свойств уязвимых мест и должны быть указаны данные, необходимые для взлома системы. Среди методов взлома можно выделить и такие, как внедрение команды, использование каналов и портов, изменение права доступа, использование свойств файловой системы, манипулирование элементами среды, использование внешних переменных, использование некорректных данных, подбор параметров, использование некорректной обработки ошибок и т.д.

Методы взлома могут быть простыми и сложными. В качестве простого взлома приведем пример посылки пакета ping, общий размер которого превышает допустимую величину:

C:/>ping -1 65550

Сейчас ОС Windows на такую команду выдает сообщение:

Недопустимое значение параметра -1, допустимый диапазон с 0 по 65500.

Атака уже упоминающегося червя Slammer состояла всего в посылке одного пакета UDP размером404 байта. Собственно червь занимал 376 байт и использовал уязвимость Microsoft SQL Server или MSDE 2000, открытую еще в июле 2002 г. насмотря на это червь инфицировал около 75000 хостов.

Нападающий и защищающий находятся в неразрывных условиях. Для защиты системы от атак необходимо знание обо всех возможных атаках против данной системы, а для проведения атаки достаточно найти только одну эффективную программу атаки.

2.2.5 Загрузка «полезного груза»

Как правило атака проводится не только ради самого процесса взлома. Обычно злоумышленник хочет иметь возможность возврата во взломанную систему или использования ее в качестве плацдарма для атаки других систем. Кроме того, его может интересовать получение конфиденциальности данных во взломанной системе. К действиям по загрузке «полезного груза» атаки можно отнести следующее:

1) Установка программ «прослушивания» сетевого трафика локальной сети, в которой находится взломанная система, для получения информации, позволяющей осуществить взлом сетевых соседей;

2) Осуществление перенаправления портов, чтобы обеспечить передачу пакетов на взломанную систему, минуя межсетевой экран;

3) Установка «заплаток» на использованную или имеющуюся уязвимость, чтобы исключить взлом системы другими злоумышленниками;

4) Создание фальшивых учетных записей, наделенных привилегиями суперпользователя;

5) Создание и установка готового потайного входа во взломанную систему;

6) Установка «троянских коней» для сбора конфиденциальной информации, последующего входа в систему или для проведения атак других систем.

Эти и другие операции проводятся при отключении аудита на взломанной системе.

2.2.6 Сокрытие следов взлома

Чтобы администратор или пользователь взломанной системы не смог обнаружить наличие следов взлома, модификации и вставки в программное обеспечение, злоумышленник прибегает к удалению следов пребывания во взломанной системе. Для этого используются программы удаления записей из различных журналов, ведущихся в системе, скрытие установленных файлов, использование потоков файлов в файловой системе NTFS операционной системе Windows, троянизирование систем программ и утилит и замена программных компонентов операционной системы.

Для реализации этих задач используются специальные наборы средств(rootkit) для взлома. Термин rootkit взят из Unix, где первоначально означал учетную запись суперпользователя (root) и используемые им средства. Поэтому первые наборы таких средств были разработаны в начале 90 - х годов ХХ века для Unix. В настоящее время они существуют практически для всех операционных систем, включая Microsoft Windows. Первые такие наборы представляли собой «троянские» файлы, в которые были встроены потайные ходы. Они предназначались для подмены наиболее часто используемых программ типа PS Netstat.

Различают два основных вида таких наборов средств: наборы уровня ядра и наборы уровня пользователя. Это различие вызвано теми компонентами программного обеспечения, которые перезаписывается в атаковой системе. Чтобы использовать набор средств, атакующий должен получить права root или администратора на атакованной системе.

Наибольшую опасность представляют наборы средств уровня ядра. С их помощью устанавливается подключаемые модули или драйверы устройств, что обеспечивает доступ к компьютеру на аппаратном уровне. Поскольку они имеют высшие права, то могут быть полностью скрыты от другого программного обеспечения запущенного в системе. Как правило, в набор средств входят двоичные файла, которые заменяют программные модули в ядре операционной системы или отдельные библиотеки, различные вспомогательные средства для получения дополнительной информации, а также скрипты инсталляции. Одной из гланых задач атакующего с подобными наборами является обеспечение выживаемости установленных средств после перезагрузки и обеспечения их «невидимости» для пользователя или администратора.

2.3 Примеры атаки

Для пояснения механизмов действия сетевых атак будем использовать записи журналов программных windump.

Программа tcpdump для исследования дампов сетевого трафика была разработана компанией Network Research Group в лаборатории Lawrence Berkey National Lab. Она представляет собой набор средств, которые дают возможность исследования дампов сетевого трафика различными уровнями детализации. На ее основе была создана программа windump, которая выполняет те же функции, но не имеет дополнительные опции. В качестве примера рассмотрим элементы записи программы windumpв журнал регистрации:

15:51:54.78475 IP 194.85.97.54.1076>

194.85.97.56.21:

&S 2739395289:273995289(0) win 16384

&<mss 1460,nor,nor,sackOK> (DF)

Рассмотрим данную запись поэлементно:

Для IP 194.85.97.54.1076>194.85.97.56.21:

15:51:54.781475 -значение времени анализа пакета;

IP -контролируемый протокол;

194.85.97.54.1076 -адрес и порт отпавителя;

> - направление трафика;

194.85.97.56.21 - адрес и порт получателя;

: -признак окончания адресной части;

? - признак продолжения записи строки журнала;

Для S 2739395289:2739395289 (0) win 16384

S - значение установленных TCP флагов;

2739395289:2739395289 - начальный и завершающий порядковый номер;

(0) - количетсво байтов в пакете;

win 16384 -размер окна передачи.

Для <mss 1460,nop,nop,sackOK>

Ё - ограничивающие TCP - опцию скобки,

параметры

опции разделяются запятыми;

mss 1460,nop,nop - максимальный размер сегмента для данного

соединения. Так как длина этой операции

меньше 32 бит, то для выравнивания свободное

место заполняется нулями;

sackOK - параметр;

(DF ) - запрет дефрагментации.

При получении фрагментированного пакета в записи журнала появляется запись вида (frag 1109:32@0+), где

Frag - признак фрагмента пакета;

1109 -идентификатор фрагмента;

32 - длина содержимого фрагмента в байтах без учета заголовка IP, который занимает 20 байт;

@ - разделитель значений длины фрагмента и смещения;

0 - содержимое фрагмента смещено на 0 байт;

+ - указывает на наличие дополнительных фрагментов для данного IP - пакета;

1109 - тот же идентификатор, так как фрагменты относиться к одному исходному пакету;

16 - длина фрагмента.

Отсутствие знака + означает что это конец фрагмента.

2.3.1 Некоторые атаки

В современных изданиях описано множетсво различных атак. Для иллюстрации рассмотрим несколько простейших примеров атак, приводивших к отказу в обслуживании ( в настоящее время эти атаки будут обнаружены и заблокированы опреационной системой).

Атака Land заключается в посылке пакета TCP с установленным SYN на открытый порт. В пакете адрес источника равен адресу назначения, а также указываются одинаковые номера портов:

12:00:00:1000 192.168.1.1.80>192.168.1.1.80

12:00:00:1010 192.168.1.1.31337 > 192.168.1.1.31337

В случае атаки Smurf злоумышленник вводит широковещательные эхо - запросы с ложным адресом источника. Хост жертвы получает большое число эхо - ответов:

00:00:05.327 spoofed.pound.com>192.168.15.255: icmp: echo request

При проведении атаки Teardrop злоумышленник посылает группу фрагментированных пакетов, в которых фрагменты перекрываются:

00:25:48 wild.com.45958>target.com.3964: udp 28 (frag 242:36@0+)

00:25:48:wild.com>target.com: (frag 242:4@24)

В этом примере посылается фрагмент номера 242 с 36 октетами данных со смещением 0. Во второй строке - дополнительные 4 октета данных со смещением 24. Таким образом, чтобы обработать этот пакет система должна вернутся от 36 к 24.

Атака ring of death заключается в посылке большого пакета ICMP при помощи команды ring. Команда ring использует ICMP для проверки доступности адресата посылкой ECHO_ REQUEST и ожиданием отклика. Пакеты ring имеют длину 32 байт.

Для Windows ring -1 65527 target.com

Для Unix ring -s 65527 target.com

Заголовок IP имеет длину 20 байт, поэтому реализующий ракет (65527 +32) будет превышать максимально разрешенный размер пакета.

2.3.2 Атака К. Митника

Часто атаки различных типов используются совместно для достижения атакующим своей цели. В качестве примера комбинированной атаки рассмотрим атаку К.Митника (Kevin Mitnick)схема которой показана на рис 2.2. проиллюстрируем основные этапы этой атаки данными (Tsotomu Shimomura)/

Tcpdump, которые приведены Шимомурой.

В приведенных данных используется следующие обозначения: server - рабочая станция SPARCstation; terminal (x - terminal)- бездисковая рабочая станция.

В ходе атаки К.Митник выполнил следующие основные действия:

1) Проведение проб атакуемых машин для определения наличия доверительных отношений между ними:

14:10:21 toad.com# finger -1@server

14:10:50 toad.com#finger -1 root@server

14:10:07 toad.com#finger -11@x-terminal

14:10:38 toad.com#showmount -e x-terminal

14:10:49 toad.com#rpcinfo -p x-terminal

14:10:05 toad.com#finger -1 root@x-terminal

2) Инициирование атаки отказа в обслуживании против сервера, чтобы воспрепятствовать ответам сервера на запросы терминала. Адрес источника 30.92.6.97. выбран из неиспользуемых или неактивных в тот момент адресов, чтобы данный хост не отвечал на получаемые пакеты:



Схема Интернета Рис.2.1.

14:18:22. 516699 130.92.6.97.600 >server.login:S

1382726960:1382726960 (0) win 4096

14:18:22.566069 130.92.6.97.601 > server.login:S

1382726961:1382726961 (0) win 4096

14:18:22.744477 130.92.6.97.602 > server.login:S

1382726962: 1382726962 (0) win 4096

Пропущены записи для краткости.

14:18:25.48327 130.92.6.97.627 > server.login:S

1382726967: 1382726987 (0) win 4096

14:18:25.59982 130.92.6.97.628 > server.login:S

1382726988: 1382726988 (0) win 4096

14:18:25.653131 130.92.6.97.629 > server.login:S

1382726989: 1382726989 (0) win 4096

Сервер сгенерировал ответы (SYN и ACK) на первые восемь запросов, после чего очередь запросов была заполнена.

3) Посылка 20 запросов (от Apollo.it.luc.edu) на установление соединения с терминалом для определения поведения генератора последовательных номеров TCP - соединений терминала:

14:18:25.906002 apollo.it.luc.edu.1000 >x terminal.shell:S1382726990:1382726990(0) win 4096

14:18:25.094731 x terminal.shell > apollo.it.luc.edu.1000 >:S

2021824000:2021824000(0) ask 1382726991 win 4096

14:18:26/507560 apollo.it.luc.edu.1000 >x terminal.shell:R1382726991:1382726991(0) win 0

14:18:26/172394 apollo.it.luc.edu.999 >x terminal.shell:S 1382726991:1382726991(0) win 4096

14:18:26/694691 x-terminal.shell> apollo.it.luc.edu.999 S 2021952000:2021952000(0) ask 1382726992 win 4096

14:18:26.775037 apollo.it.luc.edu.999> x-terminal.shell:R 1382726992: 1382726992(0) win 0

14:18:35.225869 apollo.it.luc.edu.999 >x terminal.shell:S1382727008: 1382727008 (0) win 4096

14:18:35.395723 x-terminal.shell> apollo.it.luc.edu.982 : S2024128000: 2024128000(0) ask 1382727009 win 4096

14:18:35.472150 apollo.it.luc.edu.982 > x terminal.shell: К 1382727009:1382727009(0) win 0

14:18:35.735007 apollo.it.luc.edu.981 > x terminal.shell:S 1382277009:1382727009(0) win 4096

14:18:35.905684 x terminal.shell > apollo.it.luc.edu.981:S 2024256000:2024256000(0) ask 1382727010 win 4096

14:18:35.983078 apollo.it.luc.edu.981 > x-terminal.shell:R1382727010:1382721010(0) win 0

Из приведенных записей видно, что каждый пакет с SYN и ASK, постанный терминалом, имеет начальный последовательный номер на 128 000 больше предыдущего, если это соединение будет следующим. Установление данного факта позволяет атакующему предсказать очередной номер, для получения самого пакета.

4. Инициирование соединения с терминалом от имени сервера в предложении, что терминал доверяет серверу.

14:18:36.245045 server. login > x-terminal. shell: S 1382727010: 1382727010(0) win 4096

5. При получении запроса терминал посылает серверу ответ (SYN и ASK), который должен быть подтвержденным сервером (ASK ) для установления соединения. Так сервер не посылал пакета на установление соединения, то должен был бы ответить RST - пакетом и разорвать установку соединения. Но в результате начавшейся 14 секундами раньше атаки сервер наводнен запросами ан установку соединений и не может ответить.

6. Атакующий посылает пакет с ASK от имени сервера с предсказанным номером (без получения ответа SYN и ASK).

14:18:36. server. Login > x-terminal. shell: ask 2024384001 win 4096

7. Пока сервер заблокирован, соединение с доверительными отношениями используется для выполнения следующей команды:

14:18:37 server # rsh x-terminal”echo + + >>/.rhosts”

Эта команда указывает терминалу указывать всем хостам и всем пользователям всех хостов:

Машина атакующего, таким образом имеет соединение с термином, которое установлено от имени сервера. Атакующий может сохранять соединение, посылая необходимые подтверждения терминалу. Атакующий посылает следующие пакеты:

14:18:37.265404 server.login > x-terminal.shell: P 0:2(2) ask 1 win 4096

14:18:37.775872 server.login > x-terminal.shell: P 2:7(5) ask 1 win 4096

14:18:38.287404 server.login > x-terminal.shell: P 7:32(25) ask 1 win 4096

Эти пакеты соответствуют выполнение на терминале следующей команды:

14:18:37 server # rsh x-terminal”echo + + >>/.rhosts”

Теперь К.Митник имеет возможность подключится к терминалу с любого хоста и выполнить на терминале любую команду.

8. Закрываются все соединения с терминалом от имени сервера:

14:18:41.347003 sever.login > x-terminal.shell: ask 2 win 4096

14:18:42.255978 sever.login > x-terminal.shell: ask 3 win 4096

14:18:43.165874 sever.loginserver.login > x-terminal.shell: А 32:32 (0) ask 3 win 4096

14:18:52.179922 sever.loginserver.login > x-terminal.shell: R 1382727043:1382727043 (0) win 4096

14:18:52.236452 sever.loginserver.login > x-terminal.shell: R 1382727044:1382727044 (0) win 4096

Запросы все полуоткрытие запросы на установление соединения с сервером, чтобы другие пользователи не обнаружили безуспешность попыток установления соединений:

14:18:52.298431 130.92.6.97.600 R 1382726960:1382726960(0) win 4096

14:18:52.363877 130.92.6.97.601 R 1382726961:1382726961(0) win 4096

14:18:52.416916 130.92.6.97.602 R 1382726962:1382726962(0) win 4096

14:18:52.476873 130.92.6.97.603 R 1382726963:1382726963(0) win 4096

Сервер теперь функционирует в обычном режиме, т.е. готов отвечать на запросы установления соединений.

Таким образом, для проведения атаки К.Митник использовал недостатки протокола TCP, которые были хорошо известны по публикациям, но не учитывались разработчиками систем.

Классификации удаленных атак.

Для того чтобы защитится то атак, необходимо их изучать и классифицировать. Систематизация знаний об атаках помогает разработке мер и систем защиты от них.

Поэтому специалисты в области информационной безопасности не прекращают попыток построения различных классификационных схем, которые в той или иной мере способствуют пониманию процессов, ведущих к проникновению в системы, и помогают разрабатывать меры защиты и реализовать системы защиты. В качестве примеров построения таких классификационных схем рассмотрим списки терминов, списки категорий, матричные схемы, процессы Столингса, таксоматические схемы Ховарда и онтологию сетевых атак.

Списки терминов.

В качестве примера приведем часть списка наиболее часто употребляемых терминов, предложенного Коэном:

Backup theft - кража резервных коней

Combined attacks - комбинированные атаки

Computer viruses - компьютерные вирусы

Data aggregation - агрегироание данных

e - mail overflow - переполнение почты

e - mail spoofing - обман почты

fictitious people - фиктивные люди

human engineering - социальная инженерия

...