Информационная безопасность » Классификация удаленных атак

По характеру взаимодействия с жертвой

admin — Mon, 06 Oct 2008 06:40:01 +0000

Относительно характера взаимодействия злоумышленника с системой все удаленные атаки можно разделить на “интерактивные” и “безусловные”.
□ Интерактивная атака отличается тем, что в ходе ее хотя бы раз возникает ситуация, когда ее дальнейшее успешное продолжение зависит исключительно от того, правильные или неправильные действия предпримет пользователь или администратор атакуемой системы, т. е. приложение интерактивных атак на автоматические станции невозможно. Классическими примерами подобного класса атак является:
• приглашение зайти на определенную страничку в Интернете, в теле которой злоумышленник заблаговременно разместил зловредную програму, автоматически выполняющуюся на компьютере, с которого идет ее просмотр (а ошибок в программном обеспечении (ПО), позволяющих это сделать, на сегодняшний день обнаружено порядка нескольких десятков);
• письмо, с приложенной к нему зловредной программой, но имеющей какое-либо деловое или “соблазнительное” название и описание;
• сообщение, адресованное пользователям якобы от администратора системы с требованием установить на своем компьютере новую антивирусную программу, выложенную им на каком-либо файл-сервере, и которая на самом деле является ни чем иным, как троянской программой.

По цели

admin — Mon, 06 Oct 2008 06:39:15 +0000

С точки зрения защиты, атаки можно рассматривать, как направленные на конкретные составляющие безопасности —конфиденциальность, целостность и доступность.
□ Атаки на доступность являются наиболее просто реализуемыми хотя бы потому, что атаковать можно не саму целевую систему, а, например, устройства и средства коммуникации к ней. Кроме того, почти всегда проще сломать систему, чем забраться внутрь, и тем более заставить ее работать по своим правилам.
□ Атаки на конфиденциальность сложнее в реализации и обнаружении. Так как информация из системы только копируется, оставляя саму систему в исходном состоянии (за исключением случаев, когда для успеха атаки на конфиденциальность необходимо провести атаку на целостность или доступность), обнаружить ее можно только если ведется подробный регистрационный журнал либо если система настроена на сигнализацию о несанкционированном или подозрительном доступе.
□ Атаки на целостность могут различаться как атаки на целостность данных и на целостность самой системы (в последнем случае это может быть предварительной атакой перед атакой на конфиденциальность или доступность, или атакой на целостность данных). Наиболее неприятный случай — это успешная реализация атаки на целостность системы, так как в этом случае система начинает вести себя так, как нужно атакующему и, следовательно, перестает быть доверенной системой. Для возвращения ее в доверенное состояние приходится обычно производить переустановку системы заново. Однако и атака на целостность данных (вполне возможно — на целостность единственного документа) может принести к очень серьезным последствиям. Чаще всего в этом случае злоумышленник, как и в случае атаки на конфиденциальность, старается вести себя в атакованной системе как можно незаметнее, с тем чтобы внесенные им в документ изменения как можно дольше не были обнаружены и сыграли отведенную им роль.

По сценарию

admin — Mon, 06 Oct 2008 06:38:46 +0000

С точки зрения атакующего разделим атаки следующим образом (данная классификация позволяет определить возможный сценарий атаки по имеющимся начальным признакам):
□ Атаки без предварительного сбора информации об атакуемом объекте и без направленности на конкретный объект, т. е. злоумышленник не знает ничего о потенциальной жертве (атакуемом объекте), более того, он даже может не знать, кто станет его жертвой. Злоумышленник готовит некий автоматизированный модуль (программу, скрипт, компоненту), которая распространяется им без какой-либо конкретной цели атаки. Данный модуль, попав к жертве, в условия, в которых он сможет функционировать, сообщит о результатах своей деятельности злоумышленнику, либо выполнит свою задачу автономно, без информирования создателя. К данному типу атак относятся распространение компьютерных вирусов и троянских программ, в случаях, когда они не учитывают специфику работы атакуемого (имеющиеся у него системы и службы, их особенности и т. п.), а носят некий более или менее универсальный характер.
□ Атаки без предварительного сбора информации, но направленные на конкретный объект. В этом случае атакующий чаще всего использует некий имеющийся у него набор средств, каждое из которых направлено на использование конкретной уязвимости (набора уязвимостей). Злоумышленник последовательно применяет их к жертве в надежде, что одно из них сработает.
□ Атаки с предварительным сбором информации. В этом случае атакующий производит предварительно анализ атакуемой системы, например, выясняет, какие службы запущены на ней путем сканирования портов. После этого он выбирает службу, уязвимую с наибольшей вероятностью или наиболее подходящую по имеющимся средствам.
□ Атаки со сбором информации во время атаки. Здесь атакующий, обнаружив уязвимость у жертвы, немедленно производит атаку на данную уязвимость. В этом смысле процесс сбора информации и процесс атаки практически не разорваны во времени.

Классификация удаленных атак

admin — Mon, 06 Oct 2008 06:38:12 +0000

В нашей классификации удаленными атаками называются такие атаки, реализация которых не требует иных контактов злоумышленника с атакуемым объектом, кроме собственно средств реализации самой атаки. Здесь имеется в виду, что злоумышленник не обязан физически присутствовать во время атаки или перед ней на объекте или системе, вступать в контакты с ее пользователями и т. д. Теоретически он может вообще не иметь никаких знаний об объекте атаки до ее начала. Также подразумевается, что атакуемая система (для простоты — компьютер) имеет коммуникационное соединение какого-либо рода (чаще всего подключение к компьютерной сети либо устройство доступа “точка-точка” — модем) и на ней запущены соответствующие коммуникационные сервисы.
Мы постараемся не повторять там, где без этого возможно обойтись, элементы атак предыдущей главы (глава 10), хотя в реальной жизни они чаще всего будут совмещены. Например, предварительная обработка пользователя методами социальной инженерии, затем получение файла паролей путем удаленной атаки, локальный взлом паролей на станции злоумышленником и продолжение удаленной атаки с новыми знаниями.
Внимательные читатели, углубляясь в ознакомление с этой главой, возможно, отметят, что здесь классификация атак дана несколько иная, чем в главе 10. Разъясняя такую особенность, ответим, что на страницах этой книги специально не используется какой-либо определенный тип классификации, чтобы не выстраивать догм. Классификация должна адекватно отражать текущую ситуацию и служить удобству построения защиты. Хотелось бы указать возможные принципы построения классификаций, а не описывать одну, пусть даже хорошую модель.