Информационная безопасность » Типовая модель нападения

Дополнительные возможности атак изнутри

admin — Mon, 06 Oct 2008 06:27:21 +0000

Рассмотренная типовая атака была инициирована извне предприятия. Между тем, как известно, большинство взломов происходит при участии самих сотрудников предприятия. Типовая атака в этом случае будет происходить не так увлекательно и, скорее всего, сведется к попыткам раскрытия пароля пользователя, имеющего соответствующий доступ к интересующей системе.
Технические средства, описанные в этой главе в разд. “Типовая атака на систему”, вроде программ перебора паролей, или снифферов, могут быть использованы и здесь. Однако атаки “изнутри” характеризуются одним очень серьезным фактором, который отсутствует в варианте удаленной атаки, а именно — возможностью воздействия на самого пользователя. Атака, при которой злоумышленник сам активно воздействует на пользователя с целью узнать его пароль, будет рассмотрена в главе 10 в разд. “Социальная инженерия”. В нашем случае наиболее интересен и, к сожалению, весьма распространен вариант, когда пользователь сам предлагает свой пароль, прямо или косвенно.
“Косвенно” — это когда пользователь вроде и скрывает свой пароль, но делает это довольно неумело — например, записывает в блокнот (который затем забывает на столе) или консультируется с коллегами при выборе пароля (” а могу я использовать дату рождения? “).
Ну а “прямо” — это когда пользователь сообщает свой пароль другому сотруднику по различным причинам. Например, в ситуации, когда сотрудник должен срочно покинуть рабочее место и хочет, чтобы какую-либо операцию в системе сделали от его имени. Или он заболел, а начальник, звоня по телефону, требует пароль, чтобы срочно извлечь информацию, доступную только данному пользователю.
Поскольку в основе защиты на доступе по паролю лежит принцип самостоятельного сохранения пароля в секрете самим пользователем, то бороться с проявлениями таких атак можно только обучением пользователей и постоянным разъяснением им важности сохранения пароля в тайне. В тех же случаях, когда удается установить факт передачи пароля одного пользователя другому, необходимо предпринимать административные меры с доведением информации об инциденте до остальных пользователей сети.
В реальной жизни вероятнее всего атаки (быть может, только за исключением атак на отказ в обслуживании) будут совмещать оба описанных сценария — что-то удастся выяснить локально, что-то сделать удаленно.

Типовая атака на систему

admin — Mon, 06 Oct 2008 06:26:28 +0000

Рассмотрим, как происходит типовая, абстрактная хакерская атака. Не будем пока говорить о серьезных профессиональных методах с засылкой шпионов в организацию, анализе содержания мусорных корзин компании или методах социальной инженерии. Просто один любопытствующий субъект с одной стороны земного шара хочет узнать, что есть интересного на серверах компании за океаном.
Первое, о чем должен задуматься хакер — об отсутствии обратной связи, т. е. о необходимости обеспечить себе условия, когда владелец атакуемой им системы (или тот, кто будет действовать в его интересах) не сможет узнать ни адреса, ни тем более личности того, кто произвел атаку. Простой периодической сменой IP-адреса тут не обойдешься. Утилиты обратного отслеживания укажут путь минимум до провайдера атакующего, а там, используя регистрационные журналы сервиса, можно довольно быстро разыскать злоумышленника. Необходимы другие методы. Первый — физический, т. е. периодически менять физическое место атаки, например, переходя из одного интернет-кафе в другое, оставаясь анонимным клиентом. Но этот метод хорош только для очень краткосрочной работы (несколько дней, а иногда и часов), так как довольно быстро можно определить страну и город хакера, а дальше в дело вступят оперативные мероприятия соответствующих служб — переезжать же постоянно из города в город довольно дорого.
Второй метод — логический. На безбрежных просторах Интернета существуют сервера (так называемые прокси-службы, или анонимайзеры), предоставляющие свои адреса для анонимной работы в Интернете. Для работы с таким сервером достаточно знать его адрес и, атакуя удаленную систему, указать специальным образом ее адрес в сочетании с адресом прокси-сервиса. Анонимайзер скроет настоящий адрес хакера, поместив в соответствующее поле свой адрес. Таким образом, в атакуемой системе возможно будет увидеть только адрес прокси-службы, реально находящейся от хакера в тысячах километрах. Используя в атакующем запросе последовательно несколько анонимайзеров можно хорошо спрятать свой собственный адрес. Единственным утешением является то, что использование анонимайзеров возможно не для всех сетевых протоколов. Ноутбук core i5 ASUS N53JN (N53JN-5450SEHDAP) c диагональю 15.6
Однако, если хакер узнал адрес прокси-службы, значит, узнать его может и специалист по безопасности. Периодически внося подобные сервера в “черный” список своего межсетевого экрана или маршрутизатора, можно отсечь все возможные атаки с указанного адреса. Кроме того, правоохранительные органы и государственные службы в состоянии отслеживать использование анонимайзеров (а также многих других сервисов, предоставляемых пользователям услуги Интернета удаленно) и кардинально другим способом (вопрос только в затратах на оборудование и желании). Дело в том, что при всем многообразии самостоятельных и псевдосамостоятельных провайдеров, топология сети Интернет представляет собой паутину только относительно нескольких центральных узлов. Все периферийное виртуальное пространство имеет древовидную структуру, “расползающуюся” от центра, т. е. достаточно установить оборудование мониторинга всего в нескольких коммутационных узлах, чтобы получить возможность исследовать подавляющий объем трафика сети. Для России подобным объектом является московский узел обмена трафиком между провайдерами “М9″1.
Естественно, объем кросс-коммутируемого трафика даже на российском узле представляет огромные значения, и на самом деле возникает вопрос о технической возможности процесса фильтрования и логирования трафика, параллельного основной маршрутизации. Однако поддержка журналов, состоящих только из IP-адресов/номеров портов источника и получателя трафика, времени установки и завершения сессии, вполне реальна. Сетевые стандарты для журналов подобного типа разработаны уже давно (например, протокол NetFIow от Cisco Systems). Они спроектированы таким образом, что их создание отнимает очень небольшие вычислительные ресурсы маршрутизатора.
Пусть известно, что компания^ К была взломана с адреса А с использованием средства С. Если предположить^ что имеется доступ ко всему многообразию электронных журналов, можно сделать следующие выборки: кто за последние дни (недели) интересовался сайтом К, кто скачивал (или использовал) средство С и кто использовал прокси-сервис А. Сравнение результатов может существенно снизить область поисков.
Однако допустим, что хакер достаточно смел, чтобы все-таки попробовать начать атаку. Что еще ему нужно для начала? Адрес веб-сервера или шлюза организации? Возможно, но скорее всего там будут сконцентрированы наибольшие средства защиты компании. Быть может, пойти немного другим путем?
Если известен список телефонов организации (или хотя бы диапазон номеров), можно попробовать узнать, не подключен ли кто-нибудь из них к модему. Для этого необходима программа типа war-dialer, которая будет методически обзванивать телефоны по указанному списку, отмечая номера, где ответит модем. Запустив программу на ночь, утром хакер получит список номеров модемов организации.

Немного о хакерах

admin — Mon, 06 Oct 2008 06:25:51 +0000

Возможно или нет взломать данную конкретную компьютерную систему? Больной вопрос для многих специалистов и руководителей. Среди профессионалов есть мнение, что если два компьютера соединены между собой кабелем, значит, с одного из них можно взломать другой. Но это теоретически. Практически все зависит от множества факторов.
А кто этот таинственный взломщик, которого все боятся?
Многие книги по информационной безопасности посвящают одну из первых глав разъяснению различий между словами хакер и кракер (еще, быть может, фрикер). Терминология различается приблизительно следующим образом: хакер — идейный борец за свободу информации, вторгающийся в чужие системы в основном из интереса, без прямой материальной заинтересованности; кракер — как раз тот, кто взламывает чужие системы, преследуя собственный финансовый интерес. Таким образом, все те, кого мы привыкли называть хакерами — на самом деле кракеры. Фрикеры — злоумышленники, использующие в собственных интересах уязвимости в телефонных системах. Тот, кому когда-либо удалось бесплатно позвонить по междугороднему телефону из-за сбоя на АТС, — фрикер. На наш взгляд, необходимо провести несколько иную классификацию. В нее попадут только те, кто наносит своими действиями ущерб (не важно, материальный или моральный), вне зависимости от того, какие цели он преследует при этом.
В первую категорию попадут серьезные исследователи компьютерных систем, изучающие операционные системы и прикладные программы на нижнем уровне с отладчиком или дизассемблером, создающие системные драйверы, способные самостоятельно переписать большую часть ядра операционной системы и умеющие много других сложных вещей. Именно специалисты такого уровня пополняют архивы программного обеспечения для взлома на “хакерских” сайтах и находят большую часть “дыр” в системах. При этом необходимо признать, что эти люди в подавляющем большинстве не преследуют материальную выгоду.
Во вторую категорию попадут те, кто имеет представление о работе информационных систем в объеме, достаточном лишь для того, чтобы использовать имеющиеся знания в своих корыстных интересах. Они применяют на практике программное обеспечение с “хакерских” сайтов, используют найденные другими уязвимости в системах и, чаще всего, преследуют при этом личную выгоду. Иногда для их обозначения используется термин script kiddie (вольный перевод с англ. — “ребенок с пистолетом’).
Очевидно, что наибольшую опасность представляет первая категория, поскольку они используют уязвимости и средства, о которых, может быть, еще не известно специалистам по безопасности. Единственное утешение в том, что их немного и их интересы нацелены преимущественно на крупные учреждения, где получение выгоды может быть максимальным. Основной защитой от подобных злоумышленников может служить только комплексный подход, т. е. бороться не с конкретной уязвимостью системы, о которой вы узнали, а как минимум с классом уязвимостей. А еще правильнее — строить эшелонированную, модульную оборону, безотносительно атак, а известные уязвимости использовать для отслеживания тенденций появления новых типов атак.
Бороться со вторым типом проще, так как подобные злоумышленники используют уже известные уязвимости и средства. Сложность в том, что таких специалистов гораздо больше. Парочка из них может даже находиться среди наиболее продвинутых пользователей вашей собственной организации. Находятся иногда и любители проверить устойчивость собственной системы безопасности. Подобные исследования должны быть блокированы внутренними нормативными документами организации.
Вообще представление о том, что хакер — это худой длинноволосый молодой человек в очках, проводящий ночи у монитора в клубах сигаретного дыма и в окружении пивных бутылок, не всегда соответствует действительности. В одном из пресс-релизов спецслужб говорилось, что наиболее опасным хакером может стать соседский школьник или бабушка-пенсионерка из дома напротив (второе, конечно, более характерно для Запада). Словом, это любой человек, у которого есть необходимое оборудование (компьютер и модем) и достаточно свободного времени.

Классификация атак

admin — Mon, 06 Oct 2008 06:24:59 +0000

Локальной атакой будем называть случай, когда злоумышленник оказался непосредственно перед клавиатурой (дисководом, CD-ROM и т. п.) данного компьютера.
Удаленная атака — это вариант атаки, когда злоумышленник не видит (и возможно никогда не увидит) ту рабочую станцию (или сервер), с которой он работает. При этом сам атакуемый компьютер, возможно, не проявляет никакой сетевой активности.
Атака на поток данных — инцидент, когда атакуемый компьютер (компьютеры) активно отправляет, принимает или обменивается данными с другими компьютерами сети, локальной или глобальной, а местом приложения атакующего воздействия является сегмент сети или сетевой узел между этими системами.