Общая характеристика угроз безопасности информации, реализуемых с использованием протоколов межсетевого взаимодействия

Общая характеристика угроз непосредственного доступа в операционную среду информационной системы

Угрозы доступа (проникновения) в операционную среду компьютера и несанкционированного доступа к информации связаны с доступом:

· к информации и командам, хранящимся в базовой системе ввода/вывода (BIOS) информационной системы, с возможностью перехвата управления загрузкой операционной системы и получением прав доверенного пользователя;

· в операционную среду, то есть в среду функционирования локальной операционной системы отдельного технического средства информационной системы с возможностью выполнения несанкционированного доступа путем вызова штатных программ операционной системы или запуска специально разработанных программ, реализующих такие действия;

· в среду функционирования прикладных программ (например, к локальной системе управления базами данных);

· непосредственно к информации пользователя (к файлам, текстовой, аудио- и графической информации, полям и записям в электронных базах данных) и обусловлены возможностью нарушения ее конфиденциальности, целостности и доступности.

Эти угрозы могут быть реализованы в случае получения физического доступа к информационной системе или, по крайней мере, к средствам ввода информации в информационной системе. Их можно объединить по условиям реализации на три группы.

Первая группа включает в себя угрозы, реализуемые в ходе загрузки операционной системы. Эти угрозы безопасности информации направлены на перехват паролей или идентификаторов, модификацию программного обеспечения базовой системы ввода/вывода (BIOS), перехват управления загрузкой с изменением необходимой технологической информации для получения НСД в операционную среду информационной системы. Чаще всего такие угрозы реализуются с использованием отчуждаемых носителей информации.

Вторая группа – угрозы, реализуемые после загрузки операционной среды независимо от того, какая прикладная программа запускается пользователем. Эти угрозы, как правило, направлены на выполнение непосредственно несанкционированного доступа к информации. При получении доступа в операционную среду нарушитель может воспользоваться как стандартными функциями операционной системы или какой-либо прикладной программы общего пользования (например, системы управления базами данных), так и специально созданными для выполнения несанкционированного доступа программами, например:

· программами просмотра и модификации реестра;

· программами поиска текстов в текстовых файлах по ключевым словам и копирования;

· специальными программами просмотра и копирования записей в базах данных;

· программами быстрого просмотра графических файлов, их редактирования или копирования;

· программами поддержки возможностей реконфигурации программной среды (настройки ИСПДн в интересах нарушителя) и др.

Наконец, третья группа включает в себя угрозы, реализация которых определяется тем, какая из прикладных программ запускается пользователем, или фактом запуска любой из прикладных программ. Большая часть таких угроз – это угрозы внедрения вредоносных программ.

Общая характеристика угроз безопасности информации, реализуемых с использованием протоколов межсетевого взаимодействия

Если информационная система реализована на базе локальной или распределенной информационной системы, то в ней могут быть реализованы угрозы безопасности информации путем использования протоколов межсетевого взаимодействия. При этом может обеспечиваться НСД к информации или реализовываться угроза отказа в обслуживания. Особенно опасны угрозы, когда информационная система представляет собой распределенную информационную систему, подключенную к сетям общего пользования и (или) сетям международного информационного обмена. Классификационная схема угроз, реализуемых по сети, приведена на рисунке 5.1.

 

 

Рисунок 5.1 - Классификационная схема угроз с использованием протоколов межсетевого взаимодействия

В ее основу положено семь следующих первичных признаков классификации.

1. Характер угрозы. По этому признаку угрозы могут быть пассивные и активные. Пассивная угроза – это угроза, при реализации которой не оказывается непосредственное влияние на работу информационной системы, но могут быть нарушены установленные правила разграничения доступа к информации или сетевым ресурсам. Примером таких угроз является угроза «Анализ сетевого трафика», направленная на прослушивание каналов связи и перехват передаваемой информации.

Активная угроза – это угроза, связанная с воздействием на ресурсы информационной системы, при реализации которой оказывается непосредственное влияние на работу системы (изменение конфигурации, нарушение работоспособности и т.д.), и с нарушением установленных правил разграничения доступа к информации или сетевым ресурсам. Примером таких угроз является угроза «Отказ в обслуживании», реализуемая как «шторм TCP-запросов».

2. Цель реализации угрозы. По этому признаку угрозы могут быть направлены на нарушение конфиденциальности, целостности и доступности информации (в том числе на нарушение работоспособности информационной системы или ее элементов).

3. Условие начала осуществления процесса реализации угрозы. По этому признаку может реализовываться угроза:

· по запросу от объекта, относительно которого реализуется угроза. В этом случае нарушитель ожидает передачи запроса определенного типа, который и будет условием начала осуществления несанкционированного доступа;

· по наступлению ожидаемого события на объекте, относительно которого реализуется угроза. В этом случае нарушитель осуществляет постоянное наблюдение за состоянием операционной системы и при возникновении определенного события в этой системе начинает несанкционированный доступ;

· безусловное воздействие. В этом случае начало осуществления несанкционированного доступа безусловно по отношению к цели доступа, то есть угроза реализуется немедленно и безотносительно к состоянию системы.

4. Наличие обратной связи с информационной системой. По этому признаку процесс реализации угрозы может быть с обратной связью и без обратной связи. Угроза, осуществляемая при наличии обратной связи с информационной системой, характеризуется тем, что на некоторые запросы, переданные на информационную систему, нарушителю требуется получить ответ. Следовательно, между нарушителем и информационной системой существует обратная связь, которая позволяет нарушителю адекватно реагировать на все изменения, происходящие в информационной системе. В отличие от угроз, реализуемых при наличии обратной связи с информационной системой, при реализации угроз без обратной связи не требуется реагировать на какие-либо изменения, происходящие в информационной системе.

5. Расположение нарушителя относительно информационной системы. В соответствии с этим признаком угроза реализуется как внутрисегментно, так и межсегментно. Сегмент сети – физическое объединение хостов (технических средств информационной системы или коммуникационных элементов, имеющих сетевой адрес). Например, сегмент информационной системы образует совокупность хостов, подключенных к серверу по схеме «общая шина». В случае, когда имеет место внутрисегментная угроза, нарушитель имеет физический доступ к аппаратным элементам информационной системы. Если имеет место межсегментная угроза, то нарушитель располагается вне информационной системы, реализуя угрозу из другой сети или из другого сегмента информационной системы.

6. Уровень эталонной модели взаимодействия открытых систем (ISO/OSI), на котором реализуется угроза. По этому признаку угроза может реализовываться на физическом, канальном, сетевом, транспортном, сеансовом, представительном и прикладном уровне модели ISO/OSI.

7. Соотношение количества нарушителей и элементов информационной системы, относительно которых реализуется угроза. По этому признаку угроза может быть отнесена к классу угроз, реализуемых одним нарушителем относительно одного технического средства информационной системы (угроза «один к одному»), сразу относительно нескольких технических средств информационной системы (угроза «один ко многим») или несколькими нарушителями с разных компьютеров относительно одного или нескольких технических средств информационной системы (распределенные или комбинированные угрозы).

С учетом проведенной классификации можно выделить семь наиболее часто реализуемых в настоящее время угроз.

1. Анализ сетевого трафика, представлен на рисунке 5.2.

Рисунок 5.2 - Схема реализации угрозы «Анализ сетевого трафика»

Эта угроза реализуется с помощью специальной программы-анализатора пакетов (sniffer). Снифферы - это программы, которые перехватывают весь сетевой трафик. Снифферы полезны при проведении диагностики сети (для администраторов) и для перехвата паролей (для хакеров). Например, если получить доступ к одной сетевой машине, и установить там сниффер, то скоро будут известны пароли от их подсети. Снифферы ставят сетевую карту в прослушивающий режим (PROMISC), то есть они получают все пакеты. Снифферы могут перехватывать все пакеты или только первые байты от различных ftp,telnet,pop3 и т.д. (обычно примерно в первых 100 байтах содержится имя и пароль), кроме того, в настройках многих снифферов можно задавать фильтрацию отдельных пакетов.

По "месторасположению" сниффер может работать:

· на маршрутизаторе (шлюзе) – при таком раскладе вы можете перехватывать трафик, проходящий через интерфейсы этого шлюза. Например, из вашей локальной сети в другую сеть и в обратную сторону. Соответственно, если установить сниффер на маршрутизаторе провайдера Интернет, можно отслеживать трафик его пользователей.

· на оконечном узле сети – применительно к Ethernet имеем два основных возможных варианта прослушки. Классический, некоммутируемый Ethernet предполагает, что каждый сетевой интерфейс в принципе "слышит" весь траффик своего сегмента. Однако в нормальном режиме работы сетевой карты, прочитав первые 48 бит заголовка кадра, станция сравнивает свой МАС-адрес с адресом получателя, указанном в кадре. Если адрес чужой, станция перестает читать чужой кадр. Таким образом, в нормальном режиме можно перехватывать и анализировать только свой траффик. Для перехвата пакетов всех станций сегмента требуется перевести вашу сетевую карту в режим под названием promiscuous mode, чтобы она "бесстыдно" продолжала читать не предназначенные ей пакеты. Практически все реализации снифферов позволяют переход карты в promiscuous mode.

В остальном же снифферы могут отличаются друг от друга главным образом функциональными возможностями:

· поддерживаемые физические интерфейсы и протоколы канального уровня;

· качество декодирования и количество известных протоколов;

· пользовательский интерфейс и удобство отображения;

· дополнительные возможности: статистика, просмотр в реальном времени, генерирование или модификация пакетов и другое.

В дальнейшем такая угроза позволяет злоумышленнику на основе задания соответствующих команд получить, например, привилегированные права на действия в системе или расширить свои полномочия в ней, перехватить поток передаваемых данных, которыми обмениваются компоненты сетевой операционной системы, для извлечения конфиденциальной или идентификационной информации (например, статических паролей пользователей для доступа к удаленным хостам по протоколам FTP и TELNET, не предусматривающим шифрование), ее подмены, модификации и т.п.

2. Сканирование сети

Сущность процесса реализации угрозы заключается в передаче запросов сетевым службам хостов информационной системы и анализе ответов от них. Цель – выявление используемых протоколов, доступных портов сетевых служб, законов формирования идентификаторов соединений, определение активных сетевых сервисов, подбор идентификаторов и паролей пользователей.

3. Угроза выявления пароля

Цель реализации угрозы состоит в получении НСД путем преодоления парольной защиты. Злоумышленник может реализовывать угрозу с помощью целого ряда методов, таких как простой перебор, перебор с использованием специальных словарей, установка вредоносной программы для перехвата пароля, подмена доверенного объекта сети (IP-spoofing) и перехват пакетов (sniffing). В основном для реализации угрозы используются специальные программы, которые пытаются получить доступ к хосту путем последовательного подбора паролей. В случае успеха, злоумышленник может создать для себя «проход» для будущего доступа, который будет действовать, даже если на хосте изменить пароль доступа.

4. Подмена доверенного объекта сети и передача по каналам связи сообщений от его имени с присвоением его прав доступа

Такая угроза эффективно реализуется в системах, где применяются нестойкие алгоритмы идентификации и аутентификации хостов, пользователей и т.д. Под доверенным объектом понимается объект сети (компьютер, межсетевой экран, маршрутизатор и т.п.), легально подключенный к серверу. Могут быть выделены две разновидности процесса реализации указанной угрозы: с установлением и без установления виртуального соединения. Процесс реализации с установлением виртуального соединения состоит в присвоении прав доверенного субъекта взаимодействия, что позволяет нарушителю вести сеанс работы с объектом сети от имени доверенного субъекта. Реализация угрозы данного типа требует преодоления системы идентификации и аутентификации сообщений (например, атака rsh-службы UNIX-хоста).

Процесс реализации угрозы без установления виртуального соединения может иметь место в сетях, осуществляющих идентификацию передаваемых сообщений только по сетевому адресу отправителя. Сущность заключается в передаче служебных сообщений от имени сетевых управляющих устройств (например, от имени маршрутизаторов) об изменении маршрутно-адресных данных. При этом необходимо иметь в виду, что единственными идентификаторами абонентов и соединения (по протоколу TCP) являются два 32-битных параметра Initial Sequence Number – ISS (номер последовательности) и Acknowledgment Number – ACK (номер подтверждения). Следовательно, для формирования ложного TCP-пакета нарушителю необходимо знать текущие идентификаторы для данного соединения – ISSa и ISSb, где:

ISSa – некоторое численное значение, характеризующее порядковый номер отправляемого TCP-пакета, устанавливаемого TCP-соединения, инициированного хостом А;

ISSb – некоторое численное значение, характеризующее порядковый номер отправляемого TCP-пакета, устанавливаемого TCP-соединения, инициированного хостом В.

Значение ACK определяется как значение номера, полученного от респондента ISS плюс единица АСКb = ISSa+1.

Угроза представлена на рисунке 5.3.

Рисунок 5.3 – Схема реализации угрозы «Подмена доверенного объекта сети»

В результате реализации угрозы нарушитель получает права доступа, установленные его пользователем для доверенного абонента, к техническому средству информационной системы – цели угроз.

5. Навязывание ложного маршрута сети

Данная угроза реализуется одним из двух способов: путем внутрисегментного или межсегментного навязывания. Возможность навязывания ложного маршрута обусловлена недостатками, присущими алгоритмам маршрутизации (в частности, из-за проблемы идентификации сетевых управляющих устройств), в результате чего можно попасть, например, на хост или в сеть злоумышленника, где можно войти в операционную среду технического средства в составе информационной системы. Реализация угрозы основывается
на несанкционированном использовании протоколов маршрутизации (RIP, OSPF, LSP) и управления сетью (ICMP, SNMP) для внесения изменений
в маршрутно-адресные таблицы. При этом нарушителю необходимо послать от имени сетевого управляющего устройства (например, маршрутизатора) управляющее сообщение, представлены на рисунках 5.4 и 5.5.

Рисунок 5.4 - Схема реализации угрозы «Навязывание ложного маршрута» (внутрисегментное) с использованием протокола ICMP с целью нарушения связи

Рисунок 5.5 - Схема реализации угрозы «Навязывание ложного маршрута» (межсегментное) с целью перехвата трафика

6. Внедрение ложного объекта сети

Эта угроза основана на использовании недостатков алгоритмов удаленного поиска. В случае если объекты сети изначально не имеют адресной информации друг о друге, используются различные протоколы удаленного поиска (например, SAP в сетях Novell NetWare; ARP, DNS, WINS в сетях со стеком протоколов TCP/IP), заключающиеся в передаче по сети специальных запросов и получении на них ответов с искомой информацией. При этом существует возможность перехвата нарушителем поискового запроса и выдачи на него ложного ответа, использование которого приведет к требуемому изменению маршрутно-адресных данных. В дальнейшем весь поток информации, ассоциированный с объектом-жертвой, будет проходить через ложный объект сети. Угроза представлена на рисунках 5.6, 5.7, 5.8, 5.9.

Рисунок 5.6 - Схема реализации угрозы «Внедрение ложного ARP-сервера»

 

Рисунок 5.7 - Схема реализации угрозы «Внедрение ложного DNS-сервера» путем перехвата DNS-запроса

 

Рисунок 5.8 Схема реализации угрозы «внедрение ложного DNS-сервера» путем шторма DNS-ответов на компьютер сети

Рисунок 5.9 - Схема реализации угрозы «Внедрение ложного DNS-сервера» путем шторма DNS-ответов на DNS-сервер

7. Отказ в обслуживании

Эти угрозы основаны на недостатках сетевого программного обеспечения, его уязвимостях, позволяющих нарушителю создавать условия, когда операционная система оказывается не в состоянии обрабатывать поступающие пакеты.

Могут быть выделены несколько разновидностей таких угроз:

а) скрытый отказ в обслуживании, вызванный привлечением части ресурсов информационной системы на обработку пакетов, передаваемых злоумышленником со снижением пропускной способности каналов связи, производительности сетевых устройств, нарушением требований ко времени обработки запросов. Примерами реализации угроз подобного рода могут служить: направленный шторм эхо-запросов по протоколу ICMP (Ping flooding), шторм запросов на установление TCP-соединений (SYN-flooding), шторм запросов к FTP-серверу;

б) явный отказ в обслуживании, вызванный исчерпанием ресурсов информационной системы при обработке пакетов, передаваемых злоумышленником (занятие всей полосы пропускания каналов связи, переполнение очередей запросов на обслуживание), при котором легальные запросы не могут быть переданы через сеть из-за недоступности среды передачи либо получают отказ в обслуживании ввиду переполнения очередей запросов, дискового пространства памяти и т.д. Примерами угроз данного типа могут служить шторм широковещательных ICMP-эхо-запросов (Smurf), направленный шторм (SYN-flooding), шторм сообщений почтовому серверу (Spam);

в) явный отказ в обслуживании, вызванный нарушением логической связности между техническими средствами ИСПДн при передаче нарушителем управляющих сообщений от имени сетевых устройств, приводящих к изменению маршрутно-адресных данных (например, ICMP Redirect Host, DNS-flooding) или идентификационной и аутентификационной информации;

г) явный отказ в обслуживании, вызванный передачей злоумышленником пакетов с нестандартными атрибутами (угрозы типа «Land», «TearDrop», «Bonk», «Nuke», «UDP-bomb») или имеющих длину, превышающую максимально допустимый размер (угроза типа «Ping Death»), что может привести к сбою сетевых устройств, участвующих в обработке запросов, при условии наличия ошибок в программах, реализующих протоколы сетевого обмена.

Результатом реализации данной угрозы может стать нарушение работоспособности соответствующей службы предоставления удаленного доступа к информации в информационной системе, передача с одного адреса такого количества запросов на подключение к техническому средству в составе информационной системы, какое максимально может «вместить» трафик (направленный «шторм запросов»), что влечет за собой переполнение очереди запросов и отказ одной из сетевых служб или полную остановку компьютера из-за невозможности системы заниматься ничем другим, кроме обработки запросов.

8. Удаленный запуск приложений

Угроза заключается в стремлении запустить на хосте информационной системы различные предварительно внедренные вредоносные программы: программы-закладки, вирусы, «сетевые шпионы», основная цель которых – нарушение конфиденциальности, целостности, доступности информации и полный контроль за работой хоста. Кроме того, возможен несанкционированный запуск прикладных программ пользователей для несанкционированного получения необходимых нарушителю данных, для запуска управляемых прикладной программой процессов и др.

Выделяют три подкласса данных угроз:

1) распространение файлов, содержащих несанкционированный исполняемый код;

2) удаленный запуск приложения путем переполнения буфера приложений-серверов;

3) удаленный запуск приложения путем использования возможностей удаленного управления системой, предоставляемых скрытыми программными и аппаратными закладками либо используемыми штатными средствами.

Типовые угрозы первого из указанных подклассов основываются на активизации распространяемых файлов при случайном обращении к ним. Примерами таких файлов могут служить: файлы, содержащие исполняемый код в виде макрокоманд (документы Microsoft Word, Excel и т.п.); html-документы, содержащие исполняемый код в виде элементов ActiveX, Java-апплетов, интерпретируемых скриптов (например, тексты на JavaScript); файлы, содержащие исполняемые коды программ. Для распространения файлов могут использоваться службы электронной почты, передачи файлов, сетевой файловой системы.

При угрозах второго подкласса используются недостатки программ, реализующих сетевые сервисы (в частности, отсутствие контроля переполнения буфера). Настройкой системных регистров иногда удается переключить процессор после прерывания, вызванного переполнением буфера, на исполнение кода, содержащегося за границей буфера. Примером реализации такой угрозы может служить внедрение широко известного «вируса Морриса».

При угрозах третьего подкласса нарушитель использует возможности удаленного управления системой, предоставляемые скрытыми компонентами (например, «троянскими» программами типа Back Orifice, Net Bus) либо штатными средствами управления и администрирования компьютерных сетей (Landesk Management Suite, Managewise, Back Orifice и т. п.). В результате их использования удается добиться удаленного контроля над станцией в сети.

Схематично основные этапы работы этих программ выглядят следующим образом:

· инсталляция в памяти;

· ожидание запроса с удаленного хоста, на котором запущена клиент-программа, и обмен с ней сообщениями о готовности;

· передача перехваченной информации клиенту или предоставление ему контроля над атакуемым компьютером.

Возможные последствия от реализации угроз различных классов приведены в таблице 5.1.

 

Таблица 5.1 - Возможные последствия реализации угроз различных классов

№ п/п

Тип атаки