К основным направлениям реализации злоумышленником информационных угроз на локальной, изолированной или включенной в сеть КС можно отнести следующие:
1. Непосредственное обращение к объектам доступа. Злоумышленник пытается войти в систему, используя подсмотренный полностью или частично пароль легального пользователя; пытается получить доступ к объектам (файлам, сетевым портам и др.), надеясь на ошибки в политике безопасности.
2. Создание программных и технических средств, выполняющих обращение к объектам доступа. Злоумышленник, получив в своё распоряжение файл паролей с помощью программ, осуществляющих перебор паролей, пытается его расшифровать; использует программы, просматривающие содержимое жёстких дисков с целью получения информации о незащищённых каталогах и файлах, имена таких файлов программа фиксирует; использует в сети со связью по модему программы, выполняющие автодозвон, и фиксирующие номера ответивших узлов, а затем программы, прослушивающие сетевые порты для определения открытого порта; в локальной сети использует программы перехвата и сохранения всего трафика сети.
3. Модификация средств защиты, позволяющая реализовать угрозы информационной безопасности. Злоумышленник, получив права доступа к подсистеме защиты, подменяет некоторые её файлы с целью изменения реакции подсистемы на права доступа к объектам, расширяя права легальных пользователей или предоставляя права нелегальным пользователям.
4. Внедрение в технические средства программных или технических механизмов, нарушающих структуру и функции КС. Злоумышленник, на этапе разработки или модернизации технических средств КС, внедряет аппаратуру или изменяет программы, содержащиеся в постоянном запоминающем устройстве КС, которые наряду с полезными функциями, выполняют некоторые функции НСД к информации, например, сбор сведений о паролях или считывание, сохранение и передача данных, оставшихся в оперативной памяти после завершения работы приложения; использует недостатки охраны КС и подключает дополнительные устройства, например, клавиатурные шпионы, которые позволяют перехватывать пароли и конфиденциальную информацию и, в зависимости от сложности устройства, позволяет их сохранять в собственной памяти или передавать по радиоканалу.
Получение доступа к информации, обычно, осуществляется злоумышленником в несколько этапов. На первом этапе решаются задачи получения тем или иным способом доступа к аппаратным и программным средствам КС. На втором этапе решаются задачи внедрения аппаратных или программных средств с целью хищения программ и данных.
Основные методы, применяемые злоумышленником для получения НСД к информации, состоят в определении:
- типов и параметров носителей информации;
- архитектуры, типов и параметров технических средств КС, версия операционной системы, состав прикладного программного обеспечения;
- основных функций, выполняемых КС;
- средств и способов защиты;
- способов представления и кодирования информации.
После решения задач определения параметров системы злоумышленник переходит к этапу получения сведений о режимах доступа, паролях и сведений о пользователях системы. Для этого он пытается получить доступ к использованным расходным материалам и сменным носителям:
- съёмные носители информации, содержащие секретную информацию;
- визуальное наблюдение или съёмка экранов терминалов, анализ распечаток и отходов работы графопостроителей и т.д.
- перехват побочных электромагнитных и звуковых излучений и наводок по цепям питания.
Получив доступ к КС или возможность входа в систему, злоумышленник, в зависимости от преследуемых целей, среди которых можно выделить получение секретной информации, искажение секретных данных, нарушение работы системы, предпринимает следующие действия:
- несанкционированный доступ к информации;
- перехват данных по каналам связи;
- изменение архитектуры КС, путём установки дополнительных перехватывающих устройств или замены отдельных узлов на специальные, содержащие возможность проводить несанкционированные действия в КС, например, установка клавиатурных шпионов, перепрограммирование ПЗУ, установка сетевых карт, способных фиксировать и сохранять или искажать проходящие через них пакеты;
- уничтожение машинных носителей информации;
- внесение искажений в программные компоненты КС;
- внедрение дезинформации;
- раскрытие способов представление информации и ключей шифрования;
- изменение доступа к информации.
8.2.2. Типичные приёмы атак на локальные и удалённые компьютерные системы
1. Сканирование файловой системы. Злоумышленник пытается просматривать файловую систему и прочесть, скопировать или удалить файлы. Если доступ к файлу закрыт, сканирование продолжается. Если объём файловой системы велик, то рано или поздно обнаружится хотя бы одна ошибка администратора. Такая атака проводится с помощью специальной программы, которая выполняет эти действия в автоматическом режиме.
2. Кража ключевой информации. Пароль может быть подсмотрен по движению рук на клавиатуре или снят видеокамерой. Некоторые программы входа в КС удалённого сервера допускают набор пароля в командной строке, где пароль отображается на экране, а иногда для ввода используются пакетные файлы для упрощения входа в ОС. Кража такого файла компрометирует пароль. Известны случаи, когда для кражи пароля использовался съём отпечатков пальцев пользователя с клавиатуры. Кража внешнего носителя с ключевой информацией: диски или Touch Memory.
3. Сборка мусора. Информация, удаляемая пользователем, не удаляется физически, а только помечается к удалению и помещается в сборщик мусора. Если получить доступ к этой программе, можно получить и доступ к удаляемым файлам. Сборка мусора может осуществляться и из памяти. В этом случае программа, запускаемая злоумышленником, выделяет себе всю допустимо возможную память и читает из неё информацию, выделяя заранее определённые ключевые слова.
4. Превышение полномочий. Используя ошибки в системном программном обеспечении и/или политики безопасности, пользователь пытается получить полномочия, превышающие те, которые были ему выделены. Это воздействие может быть так же результатом входа в систему под именем другого пользователя или заменой динамической библиотекой, которая отвечает за выполнение функций идентификации пользователя.
5.Программные закладки. Программы, выполняющие хотя бы одно из следующих действий:
- внесение произвольных искажений в коды программ, находящихся в оперативной памяти (программная закладка первого типа);
- перенос фрагментов информации из одних областей оперативной или внешней памяти в другие (программная закладка второго типа);
- искажение информации, выводимой другими программами на внешние устройства или каналы связи (программная закладка третьего типа).
6.Жадные программы. Программы, преднамеренно захватывающие значительную часть ресурсов КС, в результате чего другие программы работают значительно медленнее или не работают вовсе. Часто запуск такой программы приводит к краху ОС.
7. Атаки на отказ в обслуживании (deny-of-service – DoS). Атаки DoS являются наиболее распространёнными в компьютерных сетях и сводятся к выведению из строя объекта, а не к получению несанкционированного доступа. Они классифицируются по объекту воздействия:
перегрузка пропускной способности сети – автоматическая генерация, возможно из нескольких узлов, большого сетевого трафика, которое полностью занимает возможности данного узла;
перегрузка процессора – посылка вычислительных заданий или запросов, обработка которых превосходят вычислительные возможности процессора узла;
занятие возможных портов – соединяясь с портами сервисов узла, занимает все допустимое число соединений на данный порт;
Такие атаки могут быть обнаружены и устранены администратором путём выдачи запрета на приём пакетов от данного источника. Чтобы лишить администратора узла этой возможности, атака идёт с множества узлов, на которые предварительно внедряется вирус. Вирус активизируется в определённое время, производя DoS атаку. Этот тип атаки получил название DDoS (Distributed DoS).
8. Атаки маскировкой. Маскировка – общее название большого класса сетевых атак, в которых атакующий выдаёт себя за другого пользователя. Если существенные права получают процессы, инициируемые доверенными хостами (т.е. пакеты с адресом доверенного источника пропускаются без применения к ним ограничивающих правил), то достаточно указать доверенный адрес отправителя, и он будет пропущен.
9. Атаки на маршрутизацию. Для достижения узла – жертвы в таких атаках применяется изменение маршрута доставки пакета. Каждый путь может иметь свои права доступа, узел может по-разному реагировать на пакеты, поступившие различными путями. Поэтому интерес злоумышленника распространяется не только на сам атакуемый узел, но и на промежуточные пункты – маршрутизаторы.
10. Прослушивание сети (sniffing). Различают межсегментный и внутрисегментный сниффинг. В первом случае устройство подслушивания должно быть размещено у входа или выхода взаимодействующих узлов или у одного из транзитных узлов. Для защиты от прослушивания, в основном, используются средства шифрования. При внутрисегментном прослушивании в равноранговой сети с общей шиной (Ethernet), в качестве прослушивающего устройства может использоваться одна из КС сети. Для организации прослушивания необходимо, с помощью программы-сниффера, перевести режим Ethernet-карты в "неразборчивый режим", когда карта принимает не только пакеты со своим сетевым адресом а и все, проходящие по сети пакеты. Для борьбы со снифферами используются сниффер-детектор. Принцип его работы заключается в формировании пакета с некорректным сетевым адресом, который должен быть проигнорирован всеми узлами сети. Та КС, которая примет такой пакет должна быть проверена на наличие сниффера.
8.3. Основы противодействия нарушению конфиденциальности информации
Требования безопасности определяют набор средств защиты КС на всех этапах её существования: от разработки спецификации на проектирование аппаратных и программных средств до их списания. Рассмотрим комплекс средств защиты КС на этапе её эксплуатации.
На этапе эксплуатации основной задачей защиты информации в КС является предотвращение НСД к аппаратным и программным средствам, а так же контроль целостности этих средств. НСД может быть предотвращён или существенно затруднён при организации следующего комплекса мероприятий:
- идентификация и аутентификация пользователей;
- мониторинг несанкционированных действий – аудит;
- разграничение доступа к КС;
- криптографические методы сокрытия информации;
- защита КС при работе в сети.
При создании защищённых КС используют фрагментарный и комплексный подход. Фрагментарный подход предполагает последовательное включение в состав КС пакетов защиты от отдельных классов угроз. Например, незащищённая КС снабжается антивирусным пакетом, затем системой шифрования файлов, системой регистрации действий пользователей и т.д. Недостаток этого подхода в том, что внедряемые пакеты, произведённые, как правило, различными пользователями, плохо взаимодействуют между собой и могут вступать в конфликты друг с другом. При отключении злоумышленником отдельных компонентов защиты остальные продолжают работать, что значительно снижает надёжность защиты.
Комплексный подход предполагает введение функций защиты в КС на этапе проектирования архитектуры аппаратного и системного программного обеспечения и является их неотъемлемой частью. Однако, учитывая возможность появления новых классов угроз, модули КС, отвечающие за безопасность, должны иметь возможность заменены их другими, поддерживающими общую концепцию защиты.
Организация надёжной защиты КС невозможна с помощью только программно-аппаратных средств. Очень важным является административный контроль работы КС. Основные задачи администратора по поддержанию средств защиты заключаются в следующем:
· постоянный контроль корректности функционирования КС и её защиты;
· регулярный просмотр журналов регистрации событий;
· организация и поддержание адекватной политики безопасности;
· инструктирование пользователей ОС об изменениях в системе защиты, правильного выбора паролей и т.д.;
· регулярное создание и обновление резервных копий программ и данных;
· постоянный контроль изменений конфигурационных данных и политики безопасности отдельных пользователей, чтобы вовремя выявить взлом защиты КС.
Рассмотрим подробнее наиболее часто используемые методы защиты и принципы их действия.