Реферат: Безопасность Работы в Сети Интернет

Основныепонятия компьютернойбезопасности

Для того чтобырассматриватьв дальнейшемвопросы безопасностив Internet, необходимонапомнитьосновные понятия, которыми оперируеттеория компьютернойбезопасности.Вообще говоря, их всего три: это угрозы, уязвимостии атаки. Хотяискушенномучитателю смыслих и так достаточнохорошо ясен, постараемсянеформальнопояснить его.

Итак, угрозабезопасностикомпьютернойсистемы — этопотенциальновозможноепроисшествие, неважно, преднамеренноеили нет, котороеможет оказатьнежелательноевоздействиена саму систему, а также наинформацию, хранящуюсяв ней. Иначеговоря, угроза- это нечто плохое, что когда-нибудьможет произойти.Уязвимостькомпьютернойсистемы — этонекая ее неудачнаяхарактеристика, которая делаетвозможнымвозникновениеугрозы. Другимисловами, именноиз-за наличияуязвимостейв системе происходятнежелательныесобытия. Наконец,атака накомпьютернуюсистему — этодействие, предпринимаемоезлоумышленником, которое заключаетсяв поиске ииспользованиитой или инойуязвимости.Таким образом, атака — этореализацияугрозы. Заметим, что такое толкованиеатаки (с участиемчеловека, имеющегозлой умысел), исключаетприсутствующийв определенииугрозы элементслучайности, но, как показываетопыт, частобывает невозможноразличитьпреднамеренныеи случайныедействия, ихорошая системазащиты должнаадекватнореагироватьна любое изних.

Далее, исследователиобычно выделяюттри основныхвида угрозбезопасности- это угрозыраскрытия, целостностии отказа вобслуживании.Угроза раскрытиязаключаетсятом, что информациястановитсяизвестной тому, кому не следовалобы ее знать. Втерминах компьютернойбезопасностиугроза раскрытияимеет местовсякий раз, когда получендоступ к некоторойконфиденциальнойинформации, хранящейсяв вычислительнойсистеме илипередаваемойот одной системык другой. Иногдавместо слова«раскрытие»используютсятермины «кража»или «утечка».Угроза целостностивключает в себялюбое умышленноеизменение(модификациюили даже удаление)данных, хранящихсяв вычислительнойсистеме илипередаваемыхиз одной системыв другую. Обычносчитается, чтоугрозе раскрытияподверженыв большей степенигосударственныеструктуры, аугрозе целостности- деловые иликоммерческие.Угроза отказав обслуживаниивозникаетвсякий раз, когда в результатенекоторыхдействий блокируетсядоступ к некоторомуресурсу вычислительнойсистемы. Реальноблокированиеможет бытьпостоянным, так чтобызапрашиваемыйресурс никогдане был получен, или оно можетвызвать толькозадержкузапрашиваемогоресурса, достаточнодолгую длятого, чтобы онстал бесполезным.В таких случаяхговорят, чторесурс исчерпан.

Хакерыи кракеры, или«Что такоехорошо и чтотакое плохо?»

Просматриваябольшое количествостатей (главнымобразом, вэлектронныхжурналах) опроблемахкомпьютерноговзлома, нельзяне обратитьвнимание натот факт, чтони в одной статьене проводитсята грань, которая, по нашему мнению, четко разделяетвсех, так илииначе связанныхс компьютернойбезопасностью.В основном, мнение компьютерногомира по этомуповоду либосугубо негативное(хакеры — этопреступники), либо — скромно-позитивное(хакеры — «санитарылеса»). На самомделе у этойпроблемы существуетпо меньшей мередве стороны: положительнаяи отрицательная- и между нимипроходит четкаяграница. Этаграница разделяетвсех профессионалов, связанных синформационнойбезопасностью, на хакеров(hackers) и кракеров(crackers). И те, и другиево многом занимаютсярешением однихи тех же задач- поиском уязвимостейв вычислительныхсистемах иосуществлениематак на данныесистемы («взломом»).

Самое главноеи принципиальноеразличие междухакерами икракерамисостоит в целях, которые онипреследуют.Основная задачахакера в том, чтобы, исследуявычислительнуюсистему, обнаружитьслабые места(уязвимости)в ее системебезопасностии информироватьпользователейи разработчиковсистемы с цельюпоследующегоустранениянайденныхуязвимостей.Другая задачахакера — проанализировавсуществующуюбезопасностьвычислительнойсистемы, сформулироватьнеобходимыетребованияи условия повышенияуровня еезащищенности.

С другой стороны, основная задачакракера состоитв непосредственномосуществлениивзлома системыс целью получениянесанкционированногодоступа к чужойинформации — иначе говоря, для ее кражи, подмены илидля объявленияфакта взлома.Кракер, по своейсути, ничем неотличаетсяот обычноговора, взламывающегочужие квартирыи крадущегочужие вещи. Онвзламываетчужие вычислительныесистемы и крадетчужую информацию.Вот в чем состоиткардинальноеразличие междутеми, кого можноназвать хакерамии кракерами: первые — исследователикомпьютернойбезопасности, вторые — простовзломщики, ворыили вандалы.Хакер в даннойтерминологии- это специалист.В качестведоказательстваприведем определениеиз словаря GuyL. Steele:

HACKER сущ. 1. Индивидуум, который получаетудовольствиеот изучениядеталей функционированиякомпьютерныхсистем и отрасширенияих возможностей, в отличие отбольшинствапользователейкомпьютеров, которые предпочитаютзнать тольконеобходимыйминимум. 2. Энтузиастпрограммирования; индивидуум, получающийудовольствиеот самого процессапрограммирования, а не от теоретизированияпо этому поводу.

Данная трактовкапонятия «хакер»отличаетсяот принятойв средствахмассовой информации, которые, собственно, и привели кподмене понятий.В последнеевремя многиеспециалистыпо компьютернойбезопасностиначали аккуратнееотноситьсяк этим терминам.

Низменностьмотивов кракеровприводит ктому, что 90% изних являются«чайниками», которые взламываютплохо администрируемыесистемы, в основномблагодаряиспользованиючужих программ(обычно этипрограммыназываютсяexploit). (Причем этомнение техсамых 10% профессиональныхкракеров.) Такиепрофессионалы- бывшие хакеры, ставшие на путьнарушениязакона. Их, вотличие откракеров-«чайников», остановитьдействительноочень сложно, но, как показываетпрактика, отнюдьне невозможно(см. противоборствоМитника и Шимомурыв п. 4.5.2). Очевидно, что для предотвращениявозможноговзлома илиустраненияего последствийтребуетсяпригласитьквалифицированногоспециалистапо информационнойбезопасности- профессиональногохакера. Однако, было бы несправедливосмешать в однукучу всех кракеров, однозначноназвав их ворамии вандалами.По нашему мнению, кракеров можноразделить натри следующихкласса в зависимостиот цели, с которойосуществляетсявзлом: вандалы,«шутники» ипрофессионалы.

Вандалы — самаяизвестная (вомногом благодаряповседневностивирусов, а такжетворениямнекоторыхжурналистов)и, надо сказать, самая малочисленнаячасть кракеров.Их основнаяцель — взломатьсистему дляее разрушения.К ним можноотнести, во-первых, любителейкоманд типа:rm -f -d *, del *.*, format c:/U и т.д., и, во-вторых, специалистовв написаниивирусов или«троянскихконей». Совершенноестественно, что весь компьютерныймир ненавидиткракеров-вандаловлютой ненавистью.Эта стадиякракерстваобычно характернадля новичкови быстро проходит, если кракеруудается совершенствоваться(ведь довольноскучно осознаватьсвое превосходствонад беззащитнымипользователями).Кракеров, которыедаже с течениемвремени неминовали этустадию, а тольковсе болеесовершенствовалисвои навыкиразрушения, иначе, чемсоциальнымипсихопатами, не назовешь.

«Шутники» — наиболее безобиднаячасть кракеров(конечно, взависимостиот того, насколькозлые они предпочитаютшутки), основнаяцель которых- известность, достигаемаяпутем взломакомпьютерныхсистем и внесениемтуда различныхэффектов, выражающихих неудовлетворенноечувство юмора.«Шутники» обычноне наносятсущественныйущерб (развечто моральный).На сегодняшнийдень в Internet этонаиболеераспространенныйкласс кракеров, обычно осуществляющихвзлом Web-серверов, оставляя тамупоминаниео себе. К «шутникам»также можноотнести создателейвирусов с различнымивизуально-звуковымиэффектами(музыка, дрожаниеили переворачиваниеэкрана, рисованиевсевозможныхкартинок ит.п.). Все это, впринципе, либоневинные шалостиначинающих, либо — рекламныеакции профессионалов.

Взломщики — профессиональныекракеры, пользующиесянаибольшимпочетом и уважениемв кракерскойсреде, основнаязадача которых- взлом компьютернойсистемы с серьезнымицелями, как токража или подменахранящейсятам информации.В общем случае, для того, чтобыосуществитьвзлом системы, необходимопройти триосновные стадии: исследованиевычислительнойсистемы с выявлениемизъянов в ней, разработкапрограммнойреализацииатаки и непосредственноеее осуществление.Естественно, настоящимпрофессионаломможно считатьтого кракера, который длядостижениясвоей целипроходит всетри стадии. Снекоторойнатяжкой такжеможно считатьпрофессионаломтого кракера, который, используядобытую третьимлицом информациюоб уязвимостив системе, пишетпрограммнуюреализациюданной уязвимости.Осуществитьтретью стадию, очевидно, можетв принципекаждый, используячужие разработки.Но то, чем занимаютсявзломщики — этообычное воровство, если абстрагироватьсяот предметакражи. К сожалению, у нас, в России, все не так просто.В стране, гдебольшая частьпрограммногообеспечения, используемогопользователями, является пиратским, то есть украденнымне без помощитех же взломщиков, почти никтоне имеет моральногоправа «броситьв них камень».Конечно, взломкомпьютерныхсистем с цельюкражи ни в коемслучае нельзяназвать достойнымделом, но и упрекатькракеров-взломщиковмогут толькоте, кто легальноприобрел всеиспользуемоепрограммноеобеспечение.

Новыезаконы УК РФ, связанные с«преступлениямив сфере компьютернойинформации»

Для тех, ктохочет посмотретьна проблемубезопасностис другой стороны, со стороныкракера, хочетсянапомнить, чтос 1997 года началидействоватьновые статьиУК РФ, где, ксожалению, довольно расплывчатои нечетко описываетсята возможнаяуголовнаяответственность, которую могутнести гражданеРФ за «преступленияв сфере компьютернойинформации»(Глава 28 УК РФ):

Статья 272.Неправомерныйдоступ к компьютернойинформации.

1. Неправомерныйдоступ к охраняемойзаконом компьютернойинформации, то есть информациина машинномносителе, вэлектронно-вычислительноймашине (ЭВМ), системе ЭВМили их сети, если это деяниеповлекло уничтожение, блокирование, модификациюлибо копированиеинформации, нарушениеработы ЭВМ, системы ЭВМили их сети, — наказываетсяштрафом в размереот двухсот допятисот минимальныхразмеров оплатытруда или вразмере заработнойплаты или иногодохода осужденногоза период отдвух до пятимесяцев, либоисправительнымиработами насрок от шестимесяцев доодного года, либо лишениемсвободы на срокдо двух лет.
2.То же деяние, совершенноегруппой лицпо предварительномусговору илиорганизованнойгруппой, либолицом с использованиемсвоего служебногоположения, аравно имеющимдоступ к ЭВМ, системе ЭВМили их сети, — наказываетсяштрафом в размереот пятисот довосьмисотминимальныхразмеров оплатытруда или вразмере заработнойплаты, или иногодохода осужденногоза период отпяти до восьмимесяцев, либоисправительнымиработами насрок от одногогода до двухлет, либо арестомна срок от трехдо шести месяцев, либо лишениемсвободы на срокдо пяти лет.

Статья 273.Создание, использованиеи распространениевредоносныхпрограмм дляЭВМ.

1. Создание программдля ЭВМ иливнесение измененийв существующиепрограммы, заведомо приводящихк несанкционированномууничтожению, блокированию, модификациилибо копированиюинформации, нарушениюработы ЭВМ, системы ЭВМили их сети, аравно использованиелибо распространениетаких программили машинныхносителей стакими программами,- наказываютсялишением свободына срок до трехлет со штрафомв размере отдвухсот допятисот минимальныхразмеров оплатытруда или вразмере заработнойплаты или иногодохода осужденногоза период отдвух до пятимесяцев.
2. Теже деяния, повлекшиепо неосторожноститяжкие последствия,- наказываютсялишением свободына срок от трехдо семи лет.

Статья 274.Нарушениеправил эксплуатацииЭВМ, системыЭВМ или их сети.

1. Нарушениеправил эксплуатацииЭВМ, системыЭВМ или их сетилицом, имеющимдоступ к ЭВМ, системе ЭВМили их сети, повлекшееуничтожение, блокированиеили модификациюохраняемойзаконом информацииЭВМ, если этодеяние причинилосущественныйвред, — наказываетсялишением правазанимать определенныедолжности илизаниматьсяопределеннойдеятельностьюна срок до пятилет, либо обязательнымиработами насрок от ставосьмидесятидо двухсотсорока часов, либо ограничениемсвободы на срокдо двух лет.
2.То же деяние, повлекшее понеосторожноститяжкие последствия,- наказываетсялишением свободына срок до четырехлет.

По своей сутиданный закондолжен бытьнаправленименно на кракеров.Однако, первое, что бросаетсяв глаза, этото, что не предусмотренотакое правонарушение, как взломпрограммногообеспечения.Это позволилоизвестномуСанкт-Петербургскомукракеру открытопоказатьсяна 5 каналетелевиденияи вдоволь посмеятьсянад принятымзаконом. С другойстороны, расплывчатостьформулировокстатей закона, в случае ихформальнойтрактовки, позволяетпривлечь куголовнойответственностипрактическилюбого программистаили системногоадминистратора(например, допустившегоошибку, котораяповлекла засобой причинениеопределенногозаконом ущерба).Так что программытеперь лучшевообще не писать.

Если же серьезно, то применениена практикеданного законачрезвычайнозатруднено.Это связано, во-первых, сосложной доказуемостьюподобных дел(судя по зарубежномуопыту) и, во-вторых, с естественнымотсутствиемвысокой квалификациив данной областиу следователей.Поэтому, видимо, пройдет ещене один год, пока мы дождемсягромкого успешногоуголовногопроцесса по«преступлениюв сфере компьютернойинформации».

Нарушениябезопасностисети

Начиная с 1987 годапользователиперсональныхкомпьютеровсталкиваютсяс различнымикомпьютернымивирусами. Однакоказалось, чтомиру сетей, большая частьиз которыхбазироваласьна ОС UNIX, ничтоне угрожает.Поэтому событияноября 1988 годавсколыхнулине только тех, кто имел делос компьютерамии сетями, но иширокую общественность.2 ноября 1988 годавыпускникКорнельскогоуниверситетаРоберт ТаппанМоррис запустилсвою программу, которая вышлаиз-под контроляавтора и началабыстро перемещатьсяпо сети. В короткийсрок вирус-червьзаполнил многиеузлы Internet, загружаяоперационныесистемы своимикопиями, вызываяотказы в обслуживаниии т.п. Анализданной атакибудет проведенв главе 8, сейчасже отметимнесколькоинтересныхмоментов.

В сетевомкомпьютерноммире имя РобертаМорриса былоизвестным. Ещев 1985 году в AT&T Bell Labsим был опубликовантехническийотчет, посвященныйслабостямреализацииTCP/IP в версии 4.2 BSDUNIX [7]. Но этот отчетнаписан… РобертомМоррисом-старшим- отцом авторачервя. Моррис-старшийв это времязанимал должностьнаучного руководителяНациональногоЦентра КомпьютернойБезопасности(NCSC — National Computer Security Center) — экспертапо компьютернойбезопасности.Моррис старшиймного лет проработалв лабораторииAT&T Bell, где в 60-х годахпринимал участиев разработкепрограмм Core Wars. Кэтому необходимодобавить, чтолето 1988 годаМоррис-младшийпровел в этойже лаборатории, где был занятпереписываниемпрограмм системыбезопасностидля компьютеров, работающихпод управлениемОС UNIX. Кстати, инцидент спрограммой-червемпрактическиникак не сказалсяна карьереМорриса-старшего.В начале 1989 годаон был избранв специальныйконсультативныйсовет приНациональноминститутестандартови министерстветорговли. Взадачу этогосовета входитвыработказаключенийи рекомендацийпо вопросамбезопасностивычислительныхсистем правительственныхорганов США, а также решениевопросов, возникающихпри разработкеи внедрениистандартовзащиты информации.

Червь Моррисаинфицировал6200 компьютеров.Подсчитанныепотери, хотяформально червьне наносилкакого-либоущерба даннымв инфицированныххостах, былиразделены напрямые и косвенные.К прямым потерямбыли отнесены:

остановка, тестирование и перезагрузка 42700 машин;

идентификация червя, удаление, чистка памяти и восстановление работоспособности 6200 машин;

анализ кода червя, дизассемблирование и документирование;

исправление UNIX систем и тестирование.

Прямые потерибыли оцененыболее чем в 32000 000 долларов. Ккосвеннымпотерям былиотнесены:

потери машинного времени в результате отсутствия доступа к сети;

потери доступа пользователей к сети.

Косвенныепотери былиоценены болеечем в 66 000 000 долларов.Общие затратыбыли оцененына сумму в 98 253 260долларов.

В результатеэтого инцидентамир получилпредставлениео компьютернойопасности, аInternet — постояннуюголовную боль.После анализарезультатоватаки былаобразованаCERT (Computer Emergency Response Team), котораястала отслеживатьслучаи атаки вырабатыватьрекомендациипо защите компьютерови сетей.

В качествепримеров приведемотносительнопоследниеслучаи успешныхатак на серверыInternet:

В августе 1996 года атакован сервер департамента юстиции США. В течение нескольких часов страницы сервера были заполнены фашистской атрибутикой и содержали пародию на Билль о телекоммуникациях.

6 сентября 1996 года атаке подвергся сервер компании PANIX, являющейся одним из крупнейших провайдеров Internet. В результате атаки компания несколько дней не могла предоставлять услуги своим абонентам.

В октябре 1996 года на сервере ЦРУ вместо «Welcome to the Central Intelligent Agency» появился заголовок «Welcome to the Central Stupidity Agency» и непристойные тексты.

5 ноября 1996 года был атакован WWW-сервер газеты Нью-Йорк Таймс, в результате чего было практически невозможно следить за ходом президентских выборов.

В ноябре 1996 года румынские кракеры заменили на WWW-сервере правительства портрет президента Илиеску на портрет его соперника Константинеску.

5 марта 1997 года взломан сервер NASA в Центре управления космическими полетами Годдарда. Кракеры разместили на страницах сервера свое обращение, в котором осуждалась коммерциализация Internet и выражался протест против судебного преследования знаменитых взломщиков Кевина Митника и Эда Каммингса. В обращении содержалась угроза атаки на «корпоративную Америку».

20 марта был вскрыт сервер Сэнфорда Уоллейса — президента рекламной фирмы Cyber Promotions. Кракеры поместили в UseNet копию похищенного файла паролей, содержащего зашифрованные пароли, имена и телефоны клиентов фирмы.

Хотя по численностипользователейInternet наша странасильно уступаетСША, но числонарушенийбезопасноститакже увеличиваются.Вот несколькопоследнихслучаев.

27 октября 1996 года российскими кракерами был взломан сервер компании РОСНЕТ, среди клиентов которой Центральный банк РФ, Сбербанк России, Торгово-Промышленная Палата, Государственный Таможенный Комитет РФ и многие другие (п. 4.3.3).

22 ноября 1996 года в Белоруссии на Web-узле оппозиции, представлявшего независимые новости из различных стран и регионов, была стерта вся информация.

Многочисленные попытки осуществить мошеннические операции с кредитными карточками заставили компанию America OnLine 14 декабря 1996 года закрыть пользователям из России доступ к своим службам.

Этот списокможет бытьпродолжен.Практическикаждый деньприносит всеновые известияо нарушенияхбезопасностив различныхрайонах мира.Но печальныйопыт жертвкракеров, ксожалению, неучит других.В подтверждениеэтого сошлемсяна исследованиенезависимогоконсультантапо безопасностиДэна Фармера[8], проведенноев ноябре-декабре1996 года. Для исследованияФармер выбралдве группыWeb-серверов: основную иконтрольную.В основнуюгруппу, связаннуюс деятельностьюпользователей, исследовательвключил 50правительственныххостов, 660 банковскиххостов, 274 хостакредитныхсоюзов, 312 хостовгазет и 451 хостсекс-клубов.В контрольнуюгруппу быливключены выбранныеслучайнымобразом 469 хостов.Каждый из выбранныххостов оценивалсяна безопасностьс помощью свободнораспространяемогосредства анализаSATAN (главу 8), однимиз авторовкоторого являетсясам Фармер.Результатыисследованияговорят самиза себя. По оценкеФармера более60% хостов основнойгруппы могутбыть разрушеныпутем вторженияизвне, дополнительноот 9 до 24% могутбыть взломаныпри помощиизвестных, ноне устраненныхв данных хостах, ошибок в используемыхими программахwu-ftp и sendmail. Автор считает, что еще 10-20% хостовмогло бытьпоражено припомощи новыхатак, происшедшихв последнеевремя. Приблизительностьоценок исследованиявызвана тем, что автор, естественно, не пыталсяпроникнутьв исследуемыехосты. При сравнениис контрольнойгруппой оказалось, что уязвимостьхостов основнойгруппы вдвоевыше, чем контрольной.Хотя автор нескрывал своегоимени и намерений, только триадминистратораисследуемыххостов (два изосновной группыи один из контрольной)обнаружилифакт проведенияисследованияих хостов набезопасность.

В чем же причинатого, что нарушителипроникают вчужие машины? Попытаемсякратко перечислитьосновные причиныуязвимостихостов сети:

открытость системы, свободный доступ к информации по организации сетевого взаимодействия, протоколам и механизмам защиты;

наличие ошибок в программном обеспечении, операционных системах и утилитах, которые открыто публикуются в сети;

разнородность используемых версий программного обеспечения и операционных систем;

сложность организации защиты межсетевого взаимодействия;

ошибки конфигурирования систем и средств защиты;

неправильное или ошибочное администрирование систем;

несвоевременное отслеживание и выполнение рекомендаций специалистов по защите и анализу случаев вторжения для ликвидации лазеек и ошибок в программном обеспечении;

«экономия» на средствах и системах обеспечения безопасности или игнорирование их;

умолчание о случаях нарушения безопасности своего хоста или сети.

Классификацияудаленных атакна распределенныевычислительныесистемы

Основная цельлюбой классификациисостоит в том, чтобы предложитьтакие классификационныепризнаки, используякоторые можнонаиболее точноописать классифицируемыеявления илиобъекты. В связис тем, что ни водном из известныхавторам научномисследованиине проводилосьразличия междулокальнымии удаленнымиинформационнымивоздействиямина ВС, то применениеуже известныхобобщенныхклассификацийдля описанияудаленныхвоздействийне позволяетнаиболее точнораскрыть ихсущность иописать механизмыи условия ихосуществления.Это связанос тем, что данныйкласс воздействийхарактеризуетсясугубо специфичнымипризнакамидля распределенныхвычислительныхсистем. Поэтомудля более точногоописания удаленныхатак и предлагаетсяследующаяклассификация.

Итак, удаленныеатаки можноклассифицироватьпо следующимпризнакам:

1. По характерувоздействия

пассивное (класс 1.1)

активное (класс 1.2)

Пассивнымвоздействиемна распределеннуювычислительнуюсистему назовемвоздействие, которое неоказываетнепосредственноговлияния наработу системы, но может нарушатьее политикубезопасности.Именно отсутствиенепосредственноговлияния наработу распределеннойВС приводитк тому, что пассивноеудаленноевоздействиепрактическиневозможнообнаружить.Примером пассивноготипового удаленноговоздействияв РВС служитпрослушиваниеканала связив сети.

Под активнымвоздействиемна распределеннуюВС будем пониматьвоздействие, оказывающеенепосредственноевлияние наработу системы(изменениеконфигурацииРВС, нарушениеработоспособностии т. д.) и нарушающеепринятую в нейполитикубезопасности.Практическивсе типы удаленныхатак являютсяактивнымивоздействиями.Это связанос тем, что в самойприроде разрушающеговоздействиясодержитсяактивное начало.Очевиднойособенностьюактивноговоздействияпо сравнениюс пассивнымявляетсяпринципиальнаявозможностьего обнаружения(естественно, с большей илименьшей степеньюсложности), таккак в результатеего осуществленияв системе происходятопределенныеизменения. Вотличие отактивного, припассивномвоздействиине остаетсяникаких следов(от того, чтоатакующийпросмотритчужое сообщениев системе, втот же моментничего не изменится).

2. По целивоздействия

нарушение конфиденциальности информации либо ресурсов системы (класс 2.1)

нарушение целостности информации (класс 2.2)

нарушение работоспособности (доступности) системы (класс 2.3)

Этот классификационныйпризнак являетсяпрямой проекциейтрех основныхтипов угроз- раскрытия, целостностии отказа вобслуживании.

Основная цельпрактическилюбой атаки- получитьнесанкционированныйдоступ к информации.Существуютдве принципиальныевозможностидоступа к информации: перехват иискажение.Возможностьперехватаинформацииозначает получениек ней доступа, но невозможностьее модификации.Следовательно, перехват информацииведет к нарушениюее конфиденциальности.В этом случаеимеется несанкционированныйдоступ к информациибез возможностиее искажения.Очевидно также, что нарушениеконфиденциальностиинформацииявляется пассивнымвоздействием.Возможностьискаженияинформацииозначает либополный контрольнад информационнымпотоком междуобъектамисистемы, либовозможностьпередачи сообщенийот имени другогообъекта. Такимобразом, очевидно, что искажениеинформацииведет к нарушениюее целостности.Данное информационноеразрушающеевоздействиепредставляетсобой яркийпример активноговоздействия.

Принципиальнодругой цельюатаки являетсянарушениеработоспособностисистемы. В этомслучае непредполагаетсяполучениеатакующимнесанкционированногодоступа к информации.Его основнаяцель — добиться, чтобы операционнаясистема наатакуемомобъекте вышлаиз строя и длявсех остальныхобъектов системыдоступ к ресурсаматакованногообъекта былбы невозможен.

3. По условиюначала осуществлениявоздействия

Удаленноевоздействие, также как илюбое другое, может начатьосуществлятьсятолько приопределенныхусловиях. ВраспределенныхВС существуюттри вида условийначала осуществленияудаленнойатаки:

Атака по запросу от атакуемого объекта (класс 3.1)

В этом случаеатакующийожидает передачиот потенциальнойцели атакизапроса определенноготипа, которыйи будет условиемначала осуществлениявоздействия.Важно отметить, что данный типудаленных атакнаиболее характерендля распределенныхВС.

Атака по наступлению ожидаемого события на атакуемом объекте (класс 3.2)

В этом случаеатакующийосуществляетпостоянноенаблюдениеза состояниемоперационнойсистемы удаленнойцели атаки ипри возникновенииопределенногособытия в этойсистеме начинаетвоздействие.Как и в предыдущемслучае, инициаторомосуществленияначала атакивыступает саматакуемыйобъект. Примеромтакого событияможет бытьпрерываниесеанса работыпользователяс сервером вОС Novell NetWare без выдачикоманды LOGOUT [9].

Безусловная атака (класс 3.3)

В этом случаеначало осуществленияатаки безусловнопо отношениюк цели атаки, то есть атакаосуществляетсянемедленнои безотносительнок состояниюсистемы и атакуемогообъекта. Следовательно, в этом случаеатакующийявляется инициаторомначала осуществленияатаки. Примератаки данноговида см. в пункте4.4.

4. По наличиюобратной связис атакуемымобъектом

с обратной связью (класс 4.1)

без обратной связи (однонаправленная атака) (класс 4.2)

Удаленнаяатака, осуществляемаяпри наличииобратной связис атакуемымобъектом, характеризуетсятем, что на некоторыезапросы, переданныена атакуемыйобъект, атакующемутребуетсяполучить ответ, а, следовательно, между атакующими целью атакисуществуетобратная связь, которая позволяетатакующемуадекватнореагироватьна все изменения, происходящиена атакуемомобъекте. Подобныеудаленные атакинаиболее характерныдля распределенныхВС. В отличиеот атак с обратнойсвязью удаленныматакам безобратной связине требуетсяреагироватьна какие-либоизменения, происходящиена атакуемомобъекте. Атакиданного видаобычно осуществляютсяпередачей наатакуемыйобъект одиночныхзапросов, ответына которыеатакующемуне нужны. ПодобнуюУА можно называтьоднонаправленнойудаленнойатакой.

5. По расположениюсубъекта атакиотносительноатакуемогообъекта

внутрисегментное (класс 5.1)

межсегментное (класс 5.2)

Рассмотримряд определений:

Субъект атаки(или источникатаки) — этоатакующаяпрограмма илиоператор, непосредственноосуществляющиевоздействие.

Хост (host) — сетевойкомпьютер.

Маршрутизатор(router) — устройство, обеспечивающеемаршрутизациюпакетов обменав глобальнойсети.

Подсеть (subnetwork) (втерминологииInternet) — совокупностьхостов, являющихсячастью глобальнойсети, для которыхмаршрутизаторомвыделен одинаковыйномер подсети.Подсеть — логическоеобъединениехостов маршрутизатором.Хосты внутриодной подсетимогут взаимодействоватьмежду собойнепосредственно, минуя маршрутизатор.

Сегмент сети — физическоеобъединениехостов. Например, сегмент сетиобразуют совокупностьхостов, подключенныхк серверу посхеме «общаяшина». При такойсхеме подключениякаждый хостимеет возможностьподвергатьанализу любойпакет в своемсегменте.

С точки зренияудаленной атакичрезвычайноважно, как поотношению другк другу располагаютсясубъект и объектатаки, то естьв одном или вразных сегментахони находятся.В случае внутрисегментнойатаки, как следуетиз названия, субъект и объектатаки находятсяв одном сегменте.При межсегментнойатаке субъекти объект атакинаходятся вразных сегментах.Данный классификационныйпризнак позволяетсудить о такназываемой«степени удаленности»атаки.

В дальнейшембудет показано, что на практикемежсегментнуюатаку осуществитьзначительнотруднее, чемвнутрисегментную.Важно отметить, что межсегментнаяудаленная атакапредставляетгораздо большуюопасность, чемвнутрисегментная.Это связанос тем, что в случаемежсегментнойатаки объектеё и непосредственноатакующий могутнаходитьсяна расстояниимногих тысячкилометровдруг от друга, что может существенновоспрепятствоватьмерам по отражениюатаки.

6. По уровнюэталонноймодели ISO/OSI, накотором осуществляетсявоздействие

физический (класс 6.1)

канальный (класс 6.2)

сетевой (класс 6.3)

транспортный (класс 6.4)

сеансовый (класс 6.5)

представительный (класс 6.6)

прикладной (класс 6.7)

МеждународнаяОрганизацияпо Стандартизации(ISO) приняла стандартISO 7498, описывающийвзаимодействиеоткрытых систем(OSI). РаспределенныеВС также являютсяоткрытымисистемами.Любой сетевойпротокол обмена, как и любуюсетевую программу, можно с той илииной степеньюточностиспроецироватьна эталоннуюсемиуровневуюмодель OSI. Такаямногоуровневаяпроекция позволитописать в терминахмодели OSI функции, заложенныев сетевой протоколили программу.Удаленная атакатакже являетсясетевой программой.В связи с этимпредставляетсялогичнымрассматриватьудаленные атакина распределенныеВС, проецируяих на эталоннуюмодель ISO/OSI.

Методызащиты от атакиз сетиКак защититьсяот ложногоARP-сервера?

В том случае, если у сетевойОС отсутствуетинформацияо соответствииIP- и Ethernet-адресовхостов внутриодного сегментаIP-сети, данныйпротокол позволяетпосылатьшироковещательныйARP-запрос на поискнеобходимогоEthernet-адреса, накоторый атакующийможет прислатьложный ответ, и, в дальнейшем, весь трафикна канальномуровне окажетсяперехваченныматакующим ипройдет черезложный ARP-сервер.Очевидно, чтодля ликвидацииданной атакинеобходимоустранитьпричину, покоторой возможноее осуществление.Основная причинауспеха даннойудаленной атаки- отсутствиенеобходимойинформацииу ОС каждогохоста о соответствующихIP- и Ethernet-адресахвсех остальныххостов внутриданного сегментасети. Такимобразом, самымпростым решениембудет созданиесетевым администраторомстатическойARP-таблицы в видефайла (в ОС UNIXобычно /etc/ethers), куданеобходимовнести соответствующуюинформациюоб адресах.Данный файлустанавливаетсяна каждый хоствнутри сегмента, и, следовательно, у сетевой ОСотпадаетнеобходимостьв использованииудаленногоARP-поиска. Правда, отметим, чтоОС Windows '95 это непомогает.

Как защититьсяот ложногоDNS-сервера?

Осуществлениеудаленнойатаки, основаннойна потенциальныхуязвимостяхслужбы DNS, можетпривести ккатастрофическимпоследствиямдля огромногочисла пользователейInternet и стать причиноймассовогонарушенияинформационнойбезопасностиданной глобальнойсети. В следующихдвух пунктахпредлагаютсявозможныеадминистративныеметоды попредотвращениюили затруднениюданной удаленнойатаки дляадминистраторови пользователейсети и дляадминистраторовDNS-серверов.

Как администраторусети защититьсяот ложногоDNS-сервера?

Если отвечатьна этот вопроскоротко, тоникак. Ни административно, ни программнонельзя защититьсяот атаки насуществующуюверсию службыDNS. Оптимальнымс точки зрениябезопасностирешением будетвообще отказатьсяот использованияслужбы DNS в вашемзащищенномсегменте! Конечно, совсем отказатьсяот использованияимен при обращениик хостам дляпользователейбудет оченьне удобно. Поэтомуможно предложитьследующеекомпромиссноерешение: использоватьимена, но отказатьсяот механизмаудаленногоDNS-поиска. Выправильнодогадались, что это возвращениек схеме, использовавшейсядо появленияслужбы DNS с выделеннымиDNS-серверами.Тогда на каждоймашине в сетисуществовалhosts файл, в которомнаходиласьинформацияо соответствующихименах и IP-адресахвсех хостовв сети. Очевидно, что на сегодняшнийдень администраторуможно внестив подобный файлинформациюо лишь наиболеечасто посещаемыхпользователямиданного сегментасерверах сети.Поэтому использованиена практикеданного решениячрезвычайнозатрудненои, видимо, нереально(что, например, делать с броузерами, которые используютURL с именами?). Длязатрудненияосуществленияданной удаленнойатаки можнопредложитьадминистраторамиспользоватьдля службы DNSвместо протоколаUDP, которыйустанавливаетсяпо умолчанию, протокол TCP (хотяиз документациидалеко не очевидно, как его сменить).Это существеннозатруднит дляатакующегопередачу нахост ложногоDNS-ответа безприема DNS-запроса.

Общий неутешительныйвывод таков: в сети Internet прииспользованиисуществующейверсии службыDNS не существуетприемлемогорешения длязащиты от ложногоDNS-сервера (и неоткажешься, как в случаес ARP, и использоватьопасно)!

Как администраторуDNS-сервера защититьсяот ложногоDNS-сервера?

Если отвечатьна этот вопроскоротко, то, опять же, никак.Единственнымспособом затруднитьосуществлениеданной удаленнойатаки, этоиспользоватьдля общенияс хостами и сдругими DNS-серверамитолько протоколTCP, а не UDP. Тем неменее, это толькозатруднитвыполнениеатаки — не забывайтекак про возможныйперехват DNS-запроса, так и про возможностьматематическогопредсказанияначальногозначенияTCP-идентификатораISN.

В заключениеможно порекомендоватьдля всей сетиInternet поскорееперейти либок новой болеезащищеннойверсии службыDNS, либо принятьединый стандартна защищенныйпротокол. Сделатьэтот переход, несмотря навсе колоссальныерасходы, простонеобходимо, иначе сетьInternet может бытьпросто поставленана колени передвсевозрастающимиуспешнымипопыткаминарушения еебезопасностипри помощиданной службы!

Как защититьсяот навязыванияложного маршрутапри использованиипротокола ICMP?

Ранее рассматриваласьудаленнаяатака, котораязаключаласьв передаче нахост ложногоICMP Redirect сообщенияо смене исходногомаршрута. Этаатака приводилакак к перехватуатакующиминформации, так и к нарушениюработоспособностиатакуемогохоста. Для тогочтобы защититьсяот данной удаленнойатаки, необходимолибо фильтроватьданное сообщение(используяFirewall или фильтрующиймаршрутизатор), не допускаяего попаданияна конечнуюсистему, либосоответствующимобразом выбиратьсетевую ОС, которая будетигнорироватьэто сообщение.Однако обычноне существуетадминистративныхспособов повлиятьна сетевую ОСтак, чтобы запретитьей изменятьмаршрут и реагироватьна данное сообщение.Единственныйспособ, например, в случае ОСLinux или FreeBSD заключаетсяв том, чтобыизменить исходныетексты и перекомпилироватьядро ОС. Очевидно, что такойэкзотическийдля многихспособ возможентолько длясвободнораспространяемыхвместе с исходнымитекстами операционныхсистем. Обычнона практикене существуетиного способаузнать реакциюиспользуемойу вас ОС на ICMPRedirect сообщение, как послатьданное сообщениеи посмотреть, каков будетрезультат.Экспериментыпоказали, чтоданное сообщениепозволяетизменитьмаршрутизациюна ОС Linux 1.2.8, Windows '95 иWindows NT 4.0. Следуетотметить, что(как это видноиз 4 главы) продуктыкомпании Microsoft неотличаютсяособой защищенностьюот возможныхудаленных атак, присущих IP-сетям.Следовательно, использоватьданные ОС взащищенномсегменте IP-сетипредставляетсянежелательным.Это и будет темсамым административнымрешением позащите сегментасети от даннойудаленнойатаки.

Как защититьсяот отказа вобслуживании?

Как не раз ужеотмечалось, нет и не можетбыть приемлемыхспособов защитыот отказа вобслуживаниив существующемстандарте IPv4сети Internet. Это связанос тем, что в данномстандартеневозможенконтроль замаршрутомсообщений.Поэтому невозможнообеспечитьнадежный контрольза сетевымисоединениями, так как у одногосубъекта сетевоговзаимодействиясуществуетвозможностьзанять неограниченноечисло каналовсвязи с удаленнымобъектом и приэтом остатьсяанонимным.Из-за этоголюбой серверв сети Internet можетбыть полностьюпарализованпри помощиудаленнойатаки. Единственное, что можно предложитьдля повышениянадежностиработы системы, подвергаемойданной атаке,- это использоватькак можно болеемощные компьютеры.Чем большечисло и частотаработы процессоров, чем большеобъем оперативнойпамяти, темболее надежнойбудет работасетевой ОС, когда на нееобрушитсянаправленный«шторм» ложныхзапросов насоздание соединения.Кроме того, необходимоиспользованиесоответствующихвашим вычислительныммощностямоперационныхсистем с внутреннейочередью, способнойвместить большоечисло запросовна подключение.Ведь от того, что вы, например, поставите насуперЭВМ операционнуюсистему Linux илиWindows NT, у которыхдлина очередидля одновременнообрабатываемыхзапросов около10, а тайм-ауточистки очерединесколькоминут, то, несмотряна все вычислительныемощности компьютера, ОС будет полностьюпарализованаатакующим.

Общий выводпо противодействиюданной атакив существующемстандарте IPv4следующий: просто расслабьтесьи надейтесьна то, что выни для кого непредставляетеинтереса, илипокупайтесуперЭВМ ссоответствующейей сетевой ОС.

Как защититьсяот подменыодной из сторонпри взаимодействиис использованиембазовых протоколовсемействаTCP/IP

Как отмечалосьранее, единственнымбазовым протоколомсемействаTCP/IP, в которомизначальнопредусмотренафункция обеспечениябезопасностисоединенияи его абонентов, является протоколтранспортногоуровня — протоколTCP. Что касаетсябазовых протоколовприкладногоуровня: FTP, TELNET, r-служба,NFS, HTTP, DNS, SMTP, то ни одиниз них не предусматриваетдополнительнуюзащиту соединенияна своем уровнеи оставляетрешение всехпроблем пообеспечениюбезопасностисоединенияпротоколу болеенизкого транспортногоуровня — TCP. Однако, вспомнив овозможныхатаках наTCP-соединение, что при нахожденииатакующегов одном сегментес целью атакизащититьсяот подменыодного из абонентовTCP-соединенияв принципеневозможно, а в случае нахожденияв разных сегментахиз-за возможностиматематическогопредсказанияидентификатораTCP-соединенияISN также реальнаподмена одногоиз абонентов, несложно сделатьвывод, что прииспользованиибазовых протоколовсемействаTCP/IP обеспечитьбезопасностьсоединенияпрактическиневозможно! Это происходитиз-за того, что, к сожалению, все базовыепротоколы сетиInternet с точки зренияобеспеченияинформационнойбезопасностиневероятноустарели.

Единственно, что можнопорекомендоватьсетевым администраторамдля защитытолько отмежсегментныхатак на соединения- в качествебазового«защищенного»протоколаиспользоватьпротокол TCP исетевые ОС, вкоторых начальноезначениеидентификатораTCP-соединениядействительногенерируетсяслучайнымобразом (неплохойпсевдослучайныйалгоритм генерациииспользуетсяв последнихверсиях ОСFreeBSD).

Списокиспользуемойлитературы:

Теория и практика обеспечения информационной безопасности, под редакцией Зегжды П.Д., Изд. «Яхтсмен», 1996. Гайкович В., Першин А..

Безопасность электронных банковских систем., Изд. «Единая Европа», 1994.

Ростовцев А. Г. Элементы Криптологии, Изд. СПбГТУ

Клименко С., Уразметов В., Internet. Среда обитания информационного общества, Российский Центр Физико-Технической Информатики, 1995.