Опции

[cmb]

1. Задачи системы защиты информации
Информационная безопасность – под ней будем понимать защищенность информации, информационных ресурсов и систем от случайных или преднамеренных воздействий, которые могут нанести ущерб субъектам информационных отношений.
Объекты информационной безопасности:
- информационные ресурсы государства, предприятий и юридических и физических лиц;
- права граждан, юридических лиц и государства на получение, распространение и использование информации;
- права граждан, юридических лиц и государства на защиту конфиденциальной информации и интеллектуальной собственности;
- система формирования, распространения и использование информационных ресурсов (информационные. сети, архивы и т.д.);
- информационная инфраструктура., которая включает центры обработки и анализа информации, каналы информационного обмена и коммуникаций, включая также механизмы обеспечения и функционирования телекоммуникационных систем и сетей;
- системы формирования общественного сознания, базирующееся на СМИ и пропаганды;
Защита Информации - это комплекс мероприятий организационно-правовых и технических, направленных на обеспечение информационной безопасности.
1. Обеспечение подлинности и сохранности информации. Если задача обеспечения сохранности информации обычно не вызывает каких либо вопросов и сомнений, то задача обеспечения подлинности информации возникнув относительно недавно не всегда привлекает к себе достаточное внимание. Тем не менее, современные темпы ведения деловых операций делают системы электронного обмена информацией все более привлекательными, что делает вопросы гарантии подлинности информации существенно важными. При этом гарантия подлинности не ограничивается гарантией подлинности источника информации, но также включает в себя гарантию подлинности содержимого. Обеспечение сохранности информации – это обеспечение ее сохранности в случае природных катаклизмов, пожаров и так далее, включая аппаратные и программные сбои, а также действия злоумышленников по намеренному уничтожению информации. Относительно новым аспектом задачи обеспечения сохранности информации является собственно задача сбора информации, то есть фиксации, отображения в системе действий пользователей, прохождения информации и прочих событий реального мира, связанных с информационной системой предприятия.
2. Обеспечение функционирования системы Обеспечения функционирования информационной системы включает в себя:
- Обеспечение функционирования аппаратного и программного обеспечения;
- Обеспечение системы достаточным количеством потребляемых ресурсов (электроэнергии, каналов связи и так далее);
- Защита от злоумышленного вывода системы из строя;
- Обеспечение пользователям доступа к системе;
3. Обеспечение разграничения доступа к информации и ресурсам системы. Эта задача включает в себя следующие подзадачи:
- Идентификация пользователя;
- Систему описания прав и режима доступа к информации и ресурсам системы;
- Мониторинг системы и пользователей; Как правило, эта задача рассматривается в ракурсе только разграничения доступа к информации. Но сами ресурсы системы – аппаратное обеспечение, каналы связи – тоже часто становятся целью злоумышленника. Иногда неправомерное использование ресурсов приносит не только прямые, но и косвенные убытки – ущерб имиджу предприятия в деловых кругах, ухудшения условий предоставления услуг провайдерами связи и так далее.
2. Источники угроз внешние и внутренние. Примеры
Угроза безопасности информационных систем – набор факторов, приводящих к сбоям или неработоспособности системы, а также наносящих урон целостности информации. Для правильного построения комплекса защиты информационной системы необходимо четко представлять виды угроз и их возможные источники.
2.1. Источники угроз Все перечисленные выше виды угроз должны приниматься в расчет при построении системы безопасности ИС предприятия. Тем не менее, необходимо еще учитывать возможные источники угроз. Принято выделять два основных типа источников:
2.1.1. Внешние источники
Под внешними источниками угроз подразумеваются источники, находящиеся за пределами предприятия, действия которых не могут быть проконтролированы. Как правило, система безопасности заранее «подозревает» эти источники в «плохих намерениях» и предпринимает профилактические меры по предотвращению угроз. Потенциальными точками приложения внешних угроз являются:
- Каналы связи: Internet , модемная связь, телефонные линии, факс;
- Источники информации: веб-сайты, электронная почта, файлы, передаваемые на дискетах и т.п.;
- Аппаратное обеспечение, приобретаемое или получаемое в аренду;
- Спецтехника;
- Форс-мажор факторы.
2.1.2 . Внутренние источники
Наиболее распространенное заблуждение, связанное с защитой информационных систем, состоит в том, что достаточно отгородится от внешнего мира, чтобы быть уверенным в собственной безопасности. Внутренние источники, представляют не меньшую угрозу компьютерным системам, чем набивший оскомину хакер из, скажем, Китая.
К внутренним источникам угроз можно отнести:
- Персонал предприятия, в том числе временные и бывшие работники;
- Программное обеспечение, в том числе и разработанное на предприятии;
- Оборудование, коммуникации, системы водоснабжения и прочие вещи, не имеющие прямого отношения к компьютерной информационной системе, но участвующие в процессе производства.
3. Классификация атак и угроз
1. По характеру воздействия
- пассивное (класс 1.1)
- активное (класс 1.2)
Пассивное воздействие на распределенную вычислительную систему - воздействие, которое не оказывает непосредственного влияния на работу системы, но может нарушать ее политику безопасности. Именно отсутствие непосредственного влияния на работу распределенной ВС приводит к тому, что пассивное удаленное воздействие практически невозможно обнаружить. Примером пассивного типового удаленного воздействия в РВС служит прослушивание канала связи в сети.
Активное воздействие на распределенную ВС - воздействие, оказывающее непосредственное влияние на работу системы (изменение конфигурации РВС, нарушение работоспособности и т. д.) и нарушающее принятую в ней политику безопасности. Практически все типы удаленных атак являются активными воздействиями. Особенностью активного воздействия по сравнению с пассивным является принципиальная возможность его обнаружения, так как в результате его осуществления в системе происходят определенные изменения. В отличие от активного, при пассивном воздействии не остается никаких следов (от того, что атакующий просмотрит чужое сообщение в системе, в тот же момент ничего не изменится).
2. По цели воздействия
- нарушение конфиденциальности информации либо ресурсов системы (класс 2.1)
- нарушение целостности информации (класс 2.2)
- нарушение работоспособности (доступности) системы (класс 2.3)
Основная цель практически любой атаки - получить несанкционированный доступ к информации. Существуют две принципиальные возможности доступа к информации: перехват и искажение. Возможность перехвата информации означает получение к ней доступа, но невозможность ее модификации. Следовательно, перехват информации ведет к нарушению ее конфиденциальности. Примером перехвата информации может служить прослушивание канала в сети. В этом случае имеется несанкционированный доступ к информации без возможности ее искажения. Нарушение конфиденциальности информации является пассивным воздействием.
Возможность искажения информации означает либо полный контроль над информационным потоком между объектами системы, либо возможность передачи сообщений от имени другого объекта. Таким образом, искажение информации ведет к нарушению ее целостности. Данное информационное разрушающее воздействие представляет собой яркий пример активного воздействия.
Принципиально другой целью атаки является нарушение работоспособности системы. В этом случае не предполагается получение атакующим несанкционированного доступа к информации. Его основная цель - добиться, чтобы операционная система на атакуемом объекте вышла из строя и для всех остальных объектов системы доступ к ресурсам атакованного объекта был бы невозможен.
3. По условию начала осуществления воздействия
Удаленное воздействие, также как и любое другое, может начать осуществляться только при определенных условиях. В распределенных ВС существуют три вида условий начала осуществления удаленной атаки:
- Атака по запросу от атакуемого объекта (класс 3.1) В этом случае атакующий ожидает передачи от потенциальной цели атаки запроса определенного типа, который и будет условием начала осуществления воздействия. Примером подобных запросов в сети Internet могут быть - DNS- и ARP-запросы.
- Атака по наступлению ожидаемого события на атакуемом объекте (класс 3.2) В этом случае атакующий осуществляет постоянное наблюдение за состоянием операционной системы удаленной цели атаки и при возникновении определенного события в этой системе начинает воздействие. Как и в предыдущем случае, инициатором осуществления начала атаки выступает сам атакуемый объект.
- Безусловная атака (класс 3.3) В этом случае начало осуществления атаки безусловно по отношению к цели атаки, то есть атака осуществляется немедленно и безотносительно к состоянию системы и атакуемого объекта. Следовательно, в этом случае атакующий является инициатором начала осуществления атаки.
4. По наличию обратной связи с атакуемым объектом
- с обратной связью (класс 4.1)
- без обратной связи (однонаправленная атака) (класс 4.2)
Удаленная атака, осуществляемая при наличии обратной связи с атакуемым объектом, характеризуется тем, что на некоторые запросы, переданные на атакуемый объект, атакующему требуется получить ответ, а, следовательно, между атакующим и целью атаки существует обратная связь, которая позволяет атакующему адекватно реагировать на все изменения, происходящие на атакуемом объекте. Подобные удаленные атаки наиболее характерны для распределенных ВС.
В отличие от атак с обратной связью удаленным атакам без обратной связи не требуется реагировать на какие-либо изменения, происходящие на атакуемом объекте. Атаки данного вида обычно осуществляются передачей на атакуемый объект одиночных запросов, ответы на которые атакующему не нужны. Подобную УА можно называть однонаправленной удаленной атакой.
5. По расположению субъекта атаки относительно атакуемого объекта
- внутрисегментное (класс 5.1)
- межсегментное (класс 5.2)
6. По уровню эталонной модели ISO/OSI, на котором осуществляется воздействие
- физический (класс 6.1)
- канальный (класс 6.2)
- сетевой (класс 6.3)
- транспортный (класс 6.4)
- сеансовый (класс 6.5)
- представительный (класс 6.6)
- прикладной (класс 6.7)
4. Классификация сетевых атак

Снифферы пакетов Сниффер пакетов представляет собой прикладную программу, которая использует сетевую карту, работающую в режиме promiscuous mode (в этом режиме все пакеты, полученные по физическим каналам, сетевой адаптер отправляет приложению для обработки). При этом сниффер перехватывает все сетевые пакеты, которые передаются через определенный домен. В настоящее время снифферы работают в сетях на вполне законном основании. Они используются для диагностики неисправностей и анализа графика. Однако ввиду того, что некоторые сетевые приложения передают данные в текстовом формате (Telnet, FTP, SMTP, POP3 и т.д.), с помощью сниффера можно узнать полезную, а иногда и конфиденциальную информацию (например, имена пользователей и пароли). Смягчить угрозу сниффинга пакетов можно с помощью следующих средств:
- Аутентификация. Сильные средства аутентификации являются первым способом защиты от сниффинга пакетов. Под "сильным" мы понимаем такой метод аутентификации, который трудно обойти. Примером такой аутентификации являются однократные пароли (OTP - One-Time Password). OTP - это технология двухфакторной аутентификации, при которой происходит сочетание того, что у вас есть, с тем, что вы знаете. Типичным примером двухфакторной аутентификации является работа обычного банкомата, который опознает вас, во-первых, по вашей пластиковой карточке и, во-вторых, по вводимому вами ПИН-коду. Для аутентификации в системе ОТР также требуется ПИН-код и ваша личная карточка. Под "карточкой" (token) понимается аппаратное или программное средство, генерирующее (по случайному принципу) уникальный одномоментный однократный пароль. Если хакер узнает этот пароль с помощью сниффера, эта информация будет бесполезной, потому что в этот момент пароль уже будет использован и выведен из употребления. Заметим, что этот способ борьбы со сниффингом эффективен только для борьбы с перехватом паролей. Снифферы, перехватывающие другую информацию (например, сообщения электронной почты), не теряют своей эффективности.
- Коммутируемая инфраструктура. Еще одним способом борьбы со сниффингом пакетов в вашей сетевой среде является создание коммутируемой инфраструктуры. Если, к примеру, во всей организации используется коммутируемый Ethernet, хакеры могут получить доступ только к графику, поступающему на тот порт, к которому они подключены. Коммутируемая инфраструктура не ликвидирует угрозу сниффинга, но заметно снижает ее остроту.
- Анти-снифферы. Третий способ борьбы со сниффингом заключается в установке аппаратных или программных средств, распознающих снифферы, работающие в вашей сети. Эти средства не могут полностью ликвидировать угрозу, но, как и многие другие средства сетевой безопасности, они включаются в общую систему защиты, Так называемые "анти-снифферы" измеряют время реагирования хостов и определяют, не приходится ли хостам обрабатывать "лишний" график. Одно из таких средств, поставляемых компанией LOpht Heavy Industries, называется AntiSniff.
- Криптография. Самый эффективный способ борьбы со сниффингом пакетов не предотвращает перехвата и не распознает работу снифферов, но делает эту работу бесполезной. Если канал связи является криптографически защищенным, это значит, что хакер перехватывает не сообщение, а зашифрованный текст (то есть непонятную последовательность битов). IPSec представляет собой стандартный метод защищенной связи между устройствами с помощью протокола IP. К прочим криптографическим протоколам сетевого управления относятся протоколы SSH (Secure Shell) и SSL (Secure Socket Level).
IP-спуфинг IP-спуфинг происходит, когда хакер, находящийся внутри корпорации или вне ее, выдает себя за санкционированного пользователя. Это можно сделать двумя способами. Во-первых, хакер может воспользоваться IP-адресом, находящимся в пределах диапазона санкционированных IP-адресов, или авторизованным внешним адресом, которому разрешается доступ к определенным сетевым ресурсам. Атаки IP-спуфинга часто являются отправной точкой для прочих атак. Классический пример - атака DoS, которая начинается с чужого адреса, скрывающего истинную личность хакера. Угрозу спуфинга можно ослабить (но не устранить) с помощью следующих мер:
- Контроль доступа. Самый простой способ предотвращения IP-спуфинга состоит в правильной настройке управления доступом. Чтобы снизить эффективность IP-спуфигна, настройте контроль доступа на отсечение любого графика, поступающего из внешней сети с исходным адресом, который должен располагаться внутри вашей сети. Заметим, что это помогает бороться с IP-спуфингом, когда санкционированными являются только внутренние адреса. Если санкционированными являются и некоторые адреса внешней сети, данный метод становится неэффективным.
- Фильтрация RFC 2827. Вы можете пресечь попытки спуфинга чужих сетей пользователями вашей сети (и стать добропорядочным "сетевым гражданином"). Для этого необходимо отбраковывать любой исходящий трафик, исходный адрес которого не является одним из IP-адресов вашей организации. Этот тип фильтрации, известный под названием "RFC 2827", может выполнять и ваш провайдер (ISP). В результате отбраковывается весь трафик, который не имеет исходного адреса, ожидаемого на определенном интерфейсе. К примеру, если ISP предоставляет соединение с IP-ад-ресом 15.1.1.0/24, он может настроить фильтр таким образом, чтобы с данного интерфейса на маршрутизатор ISP допускался только трафик, поступающий с адреса 15.1.1.0/24. Заметим, что до тех пор, пока все провайдеры не внедрят этот тип фильтрации, его эффективность будет намного ниже возможной. Кроме того, чем дальше от фильтруемых устройств, тем труднее проводить точную фильтрацию. Так, например, фильтрация RFC 2827 на уровне маршрутизатора доступа требует пропуска всего графика с главного сетевого адреса (10.0.0.0/8), тогда как на уровне распределения (в данной архитектуре) можно ограничить трафик более точно (адрес - 10.1.5.0/24).
Наиболее эффективный метод борьбы с IP-спуфингом тот же, что и в случае со сниффингом пакетов: необходимо сделать атаку абсолютно неэффективной. IP-спуфинг может функционировать только при условии, что аутентификация происходит на базе IP-адресов. Поэтому внедрение дополнительных методов аутентификации делает этот вид атак бесполезными. Лучшим видом дополнительной аутентификации является криптографическая. Если она невозможна, хорошие результаты может дать двухфакторная аутентификация с использованием одноразовых паролей.
Отказ в обслуживании (Denial of Service - DoS) Атаки DoS отличаются от атак других типов. Они не нацелены на получение доступа к вашей сети или на получение из этой сети какой-либо информации. Атака DoS делает вашу сеть недоступной для обычного использования за счет превышения допустимых пределов функционирования сети, операционной системы или приложения. В случае использования некоторых серверных приложений (таких как Web-сервер или FTP-сервер) атаки DoS могут заключаться в том, чтобы занять все соединения, доступные для этих приложений, и держать их в занятом состоянии, не допуская обслуживания обычных пользователей. В ходе атак Во5 могут использоваться обычные Интернет-протоколы, такие как TCP и ICMP (Internet Control Message Protocol). Большинство атак DoS опирается не на программные ошибки или бреши в системе безопасности, а на общие слабости системной архитектуры. Угроза атак типа DoS может снижаться тремя способами:
- Функции анти-спуфинга. Правильная конфигурация функций анти-спуфинга на ваших маршрутизаторах и межсетевых экранах поможет снизить риск DoS. Эти функции, как минимум, должны включать фильтрацию RFC 2827, Если хакер не сможет замаскировать свою истинную личность, он вряд ли решится провести атаку.
- Функции анти-DoS. Правильная конфигурация функций анти-DoS на маршрутизаторах и межсетевых экранах может ограничить эффективность атак. Эти функции часто ограничивают число полуоткрытых каналов в любой момент времени.
- Ограничение объема графика (traffic rate limiting). Организация может попросить провайдера (15Р) ограничить объем графика. Этот тип фильтрации позволяет ограничить объем некритического графика, проходящего по вашей сети. Обычным примером является ограничение объемов графика ICMP, который используется только для диагностических целей. Атаки (D)DoS часто используют ICMP.
Парольные атаки Хакеры могут проводить парольные атаки с помощью целого ряда методов, таких как простой перебор (brute force attack), "троянский конь", IP-спуфинг и сниффинг пакетов. Хотя логин и пароль часто можно получить при помощи IP-спуфинга и сниффинга пакетов, хакеры часто пытаются подобрать пароль и логин, используя для этого многочисленные попытки доступа. Такой подход носит название простого перебора (brute force attack). Часто для такой атаки используется специальная программа, которая пытается получить доступ к ресурсу общего пользования (например, к серверу). Если в результате хакер получает доступ к ресурсам, он получает его на правах обычного пользователя, пароль которого был подобран. Если этот пользователь имеет значительные привилегии доступа, хакер может создать для себя "проход" для будущего доступа, который будет действовать, даже если пользователь изменит свой пароль и логин.
Атаки типа Man-in-the-Middle Для атаки типа Man-in-the-Middle хакеру нужен доступ к пакетам, передаваемым по сети. Такой доступ ко всем пакетам, передаваемым от провайдера в любую другую сеть, может, к примеру, получить сотрудник этого провайдера. Для атак этого типа часто используются снифферы пакетов, транспортные протоколы и протоколы маршрутизации. Атаки проводятся с целью кражи информации, перехвата текущей сессии и получения доступа к частным сетевым ресурсам, для анализа графика и получения информации о сети и ее пользователях, для проведения атак типа DoS, искажения передаваемых данных и ввода несанкционированной информации в сетевые сессии, Эффективно бороться с атаками типа Man-in-the-Middle можно только с помощью криптографии. Если хакер перехватит данные зашифрованной сессии, у него на экране появится не перехваченное сообщение, а бессмысленный набор символов. Заметим, что если хакер получит информацию о криптографической сессии (например, ключ сессии), это может сделать возможной атаку Man-in-the-Middle даже в зашифрованной среде.
Атаки на уровне приложений Атаки на уровне приложений могут проводиться несколькими способами. Самый распространенный из них состоит в использовании хорошо известных слабостей серверного программного обеспечения (sendmail, HTTP, FTP). Используя эти слабости, хакеры могут получить доступ к компьютеру от имени пользователя, работающего с приложением (обычно это бывает не простой пользователь, а привилегированный администратор с правами системного доступа). Сведения об атаках на уровне приложений широко публикуются, чтобы дать возможность администраторам исправить проблему с помощью коррекционных модулей (патчей). Меры, которые можно предпринять, чтобы снизить уязвимость для атак этого типа:
- Читайте лог-файлы операционных систем и сетевые лог-файлы и/или анализируйте их с помощью специальных аналитических приложений.
- Подпишитесь на услуги по рассылке данных о слабых местах прикладных программ: Bugtrad и CERT
- Пользуйтесь самыми свежими версиями операционных систем и приложений и самыми последними коррекционными модулями (патчами).
- Кроме системного администрирования, пользуйтесь системами распознавания атак (IDS).
Сетевая разведка Сетевой разведкой называется сбор информации о сети с помощью общедоступных данных и приложений. При подготовке атаки против какой-либо сети хакер, как правило, пытается получить о ней как можно больше информации.
Злоупотребление доверием Собственно говоря, этот тип действий не является "атакой" или "штурмом". Он представляет собой злонамеренное использование отношений доверия, существующих в сети. Классическим примером такого злоупотребления является ситуация в периферийной части корпоративной сети. В этом сегменте часто располагаются серверы DNS, SMTP и HTTP. Поскольку все они принадлежат к одному и тому же сегменту, взлом одного из них приводит к взлому и всех остальных, так как эти серверы доверяют другим системам своей сети. Другим примером является система, установленная с внешней стороны межсетевого экрана, имеющая отношения доверия с системой, установленной с его внутренней стороны. В случае взлома внешней системы хакер может использовать отношения доверия для проникновения в систему, защищенную межсетевым экраном.
Переадресация портов Переадресация портов представляет собой разновидность злоупотребления доверием, когда взломанный хост используется для передачи через межсетевой экран графика, который в противном случае был бы обязательно отбракован. Представим себе межсетевой экран с тремя интерфейсами, к каждому из которых подключен определенный хост. Внешний хост может подключаться к хосту общего доступа (DMZ), но не к хосту, установленному с внутренней стороны межсетевого экрана. Хост общего доступа может подключаться и к внутреннему, и к внешнему хосту. Если хакер захватит хост общего доступа, он сможет установить на нем программное средство, перенаправляющее трафик с внешнего хоста прямо на внутренний хост. Хотя при этом не нарушается ни одно правило, действующее на экране, внешний хост в результате переадресации получает прямой доступ к защищенному хосту. Примером приложения, которое может предоставить такой доступ, является netcat. Основным способом борьбы с переадресацией портов является использование надежных моделей доверия. Кроме того, помешать хакеру установить на хосте свои программные средства может хост-система IDS (HIDS).
Несанкционированный доступ
Вирусы и приложения типа "троянский конь"
5. Общая схема проведения атаки
1)Разведка
2) – собственно действия направленные на достижения целей атаки: отказ в обслуживании, похищение информации и так далее. Как правило, этот этап достаточно компактен по времени, тем не менее, если целью злоумышленника было, например, неправомочное использование ресурсов, то атака может повторяться и повторяться. Особенно, если взломщик уверен в своей безнаказанности. Редко, когда администратору удается отследить факт проведения атаки, непосредственно в момент ее проведения, однако, если по счастливой случайности, это ему удалось, вполне возможно непосредственно противодействовать взломщику.
3)Заметание следов Грамотный взломщик всегда постарается скрыть следы своего вторжения (особенно если оно было неуспешным) в компьютерную систему. Причем меры по сокрытию принимаются еще до начала атаки. Во многом успех атаки зависит от умения замаскировать сам факт атаки или на крайний случай ее истинные цели.
6. Разведка, способы разведки
Разведка На этой стадии происходит сбор как можно большего количества информации о цели атаки. (версии программного обеспечения, имена, фамилии, даты рождения пользователей и администраторов системы, режим их работы, используемое аппаратное обеспечение и так далее.) Полезным может оказаться навести справки об администраторе системы – будет возможно сделать предположение о его опыте и знаниях. Система содержит большое количество каналов взаимодействия с внешним миром. Основным помощником тут является человеческий фактор. Социальная инженерия Можно дать следующее определение социальной инженерии как способу разведки: социальная инженерия – есть набор действий по получению интересующей информации, основанный на типовых поведенческих реакциях человека, психологических ловушках и изучении побочных результатов деятельности пользователей системы. По умолчанию, практически все версии серверного программного обеспечения, «представляются» при подключении к ним. Таким образом, выполняя простейшее (и вполне легальное) подключение к некоторым «хорошо известным» портам TCP / UDP можно составить достаточно полную картину об используемом программном обеспечении. Вот список наиболее популярных портов, при подключении к которым можно узнать «много интересного»:
TCP 20, TCP 21 - Служба FTP сервера
TCP 22 - Security shell , служба безопасного терминального доступа, применяется для дистанционного управления UNIX серверами
TCP 23 - Служба обычного, незащищенного терминального доступа
TCP 25 - SMTP сервер, наиболее распространенная служба обмена сообщениями электронной почты
TCP 110 - Служба POP 3, предназначена для передачи сообщений электронной почты с сервера на клиентские места
TCP 80 - Web сервер
Вот список некоторых портов, которые используют новые службы Windows 2000/ XP : TCP / UDP 445 - Основной порт службы Directory Service , через который осуществляется управления и взаимодействие. Примером того, как программное обеспечение может оставлять отпечатки на информации, проходящей «сквозь» него, могут служить сообщения электронной почты. Из заголовка сообщения электронной почты можно сделать следующие выводы:
1. Можно узнать IP адрес почтового сервера отправителя
2. Можно узнать IP адрес машины отправителя
3. Можно узнать версии программного обеспечения сервера отправителя
4. Можно узнать версию почтового клиента отправителя
С помощью программы nslookup – штатного средства проверки корректности настроек серверов DNS , можно получить список адресов компьютеров внутри сети предприятия, на основании которого можно сделать определенные выводы о структуре сети.
Цели разведки: 1. Определить потенциальные «точки входа» в информационную систему. 2. Определить оптимальное время и способ проведения атаки. 3. Определить средства и вероятность достижения атаки. Как уже говорилось раньше, в ходе реализации атаки, разведка помогает злоумышленнику скорректировать действия, поэтому тут задачи разведки немного меняются: 1. Наиболее полно определить тип, версии и настройки работающего программного обеспечения. 2. Вовремя обнаружить «колпак» над собой 3. «Сориентироваться» в информационной системе и найти искомую информацию или другую цель вторжения.
7. Атака «Отказ в обслуживании ( DoS , DDos )»
Отказ в обслуживании (Denial of Service - DoS)
DoS, без всякого сомнения, является наиболее известной формой хакерских атак. Кроме того, против атак такого типа труднее всего создать стопроцентную защиту. Атаки DoS отличаются от атак других типов. Они не нацелены на получение доступа к вашей сети или на получение из этой сети какой-либо информации. Атака DoS делает вашу сеть недоступной для обычного использования за счет превышения допустимых пределов функционирования сети, операционной системы или приложения. В случае использования некоторых серверных приложений (таких как Web-сервер или FTP-сервер) атаки DoS могут заключаться в том, чтобы занять все соединения, доступные для этих приложений, и держать их в занятом состоянии, не допуская обслуживания обычных пользователей. В ходе атак DoS могут использоваться обычные Интернет-протоколы, такие как TCP и ICMP (Internet Control Message Protocol). Когда атака этого типа проводится одновременно через множество устройств, мы говорим о распределенной атаке DoS (DDoS - distributed DoS). Угроза атак типа DoS может снижаться тремя способами:
- Функции анти-спуфинга. Правильная конфигурация функций анти-спуфинга на ваших маршрутизаторах и межсетевых экранах поможет снизить риск DoS. Эти функции, как минимум, должны включать фильтрацию RFC 2827, Если хакер не сможет замаскировать свою истинную личность, он вряд ли решится провести атаку.
- Функции анти-DoS. Правильная конфигурация функций анти-DoS на маршрутизаторах и межсетевых экранах может ограничить эффективность атак. Эти функции часто ограничивают число полуоткрытых каналов в любой момент времени.
- Ограничение объема графика (traffic rate limiting). Организация может попросить провайдера (15Р) ограничить объем графика. Этот тип фильтрации позволяет ограничить объем некритического графика, проходящего по вашей сети. Обычным примером является ограничение объемов графика ICMP, который используется только для диагностических целей. Атаки (D)DoS часто используют ICMP. Данный способ атаки может заключаться в следующем: 1. Превышение «разумного» размера передаваемых данных 2. Противоречие передаваемых данных 3. Передача данных на вход в «неподходящий» момент
Для реализации первого способа используется ситуация переполнения буфера (стека), заключается она в особенностях механизма вызова процедур или распределения памяти. Например, при распределении памяти блок данных может оказаться рядом с блоком кода. Использование логически противоречивых данных может привести не только к «падению» системы, но и к бессмысленному ее функционированию, что отнимает значительные ресурсы от полезной работы. Изменение заголовка пакета.
Вторая разновидность этой типовой удаленной атаки состоит в передаче с одного адреса такого количества запросов на атакуемый объект, какое позволит трафик (направленный "шторм" запросов). В этом случае, если в системе не предусмотрены правила, ограничивающие число принимаемых запросов с одного объекта (адреса) в единицу времени, то результатом этой атаки может являться как переполнение очереди запросов и отказа одной из телекоммуникационных служб, так и полная остановка компьютера из-за невозможности системы заниматься ничем другим, кроме обработки запросов. И последней, третьей разновидностью атаки "Отказ в обслуживании" является передача на атакуемый объект некорректного, специально подобранного запроса. В этом случае при наличии ошибок в удаленной системе возможно зацикливание процедуры обработки запроса, переполнение буфера с последующим зависанием системы
8. Атака НСД (дезинформация, хищение, модификация).
Несанкционированный доступ (НСД) – второй по популярности вид угрозы, заключается в неправомочном использовании системы или получении секретной информации. Дезинформация – это умышленная подмена информации поступающей, хранящейся или выдаваемой системой в ответ на запросы пользователя.
1. Перехват ключей, паролей, трафика (Пример атаки 1. глушим днс. 2. отвечаем на запросы ДНС.3 Транслируем запросы к серверу)
2. Подделка IP , MAC или ИД беспроводной сети обратного адреса почты, ICQ и так далее. Результаты высоко интеллектуального анализа, как правило, существенно влияют на стратегию развития предприятия и в случае их искажения могут привести к весьма плачевному итогу. Данные для анализа, зачастую не только хранятся внутри самой системы, но и берутся из открытых источников. Результаты анализа тоже попадают заказчику через определенные каналы связи. Подмена на любом из этапов – весьма хитрая и трудно обнаружимая угроза безопасности информационной системы. Ложный объект позволяет не только модифицировать, но и подменять перехваченную им информацию. Если модификация информации приводит к ее частичному искажению, то подмена - к ее полному изменению. При возникновении в сети определенного контролируемого ложным объектом события одному из участников обмена посылается заранее подготовленная дезинформация. При этом такая дезинформация в зависимости от контролируемого события может быть воспри-нята либо как исполняемый код, либо как данные. Рассмотрим пример подобного рода дезинформации. Предположим, что ложный объект контролирует событие, которое состоит в подключении пользователя к серверу. В этом случае он ожидает, например, запуска соответствующей программы входа в систему. В случае, если эта программа находится на сервере, то при ее запуске исполняемый файл передается на рабочую станцию. Вместо того, чтобы выполнить данное действие, ложный объект передает на рабочую станцию код заранее написанной специальной программы - захватчика паролей. Эта программа выполняет визуально те же действия, что и настоящая программа входа в систему, например, запрашивая имя и пароль пользователя, после чего полученные сведения посылаются на ложный объект, а пользователю выводится сообщение об ошибке. При этом пользователь, посчитав, что он неправильно ввел пароль (пароль обычно не отображается на экране) снова запустит программу подключения к системе (на этот раз настоящую) и со второго раза получит доступ. Результат такой атаки - имя и пароль пользователя, сохраненные на ложном объекте. Намеренное введение в заблуждение (приписки)
9. Атака «Модификация информации»
Одной из особенностей любой системы воздействия, построенной по принципу ложного объекта, является то, что она способна модифицировать перехваченную информацию. Следует особо отметить, что это один из способов, позволяющих программно модифицировать поток информации между объектами РВС с другого объекта. Ведь для реализации перехвата информации в сети необязательно атаковать распределенную ВС по схеме "ложный объект" . Эффективней будет атака, осуществляющая анализ сетевого трафика (п. 3.2.1), позволяющая получать все пакеты, проходящие по каналу связи, но, в отличие от удаленной атаки по схеме "ложный объект" , она не способна к модификации информации. Далее рассмотрим два вида модификации информации:
• модификация передаваемых данных;
• модификация передаваемого кода.
Одной из функций, которой может обладать система воздействия, построенная по принципу "ложный объект", является модификация передаваемых данных. В результате селекции потока перехваченной информации и его анализа система может распознавать тип передаваемых файлов (исполняемый или текстовый). Соответственно, в случае обнаружения текстового файла или файла данных появляется возможность модифицировать проходящие через ложный объект данные. Особую угрозу эта функция представляет для сетей обработки конфиденциальной информации. Другим видом модификации может быть модификация передаваемого кода. Ложный объект, проводя семантический анализ проходящей через него информации, может выделять из потока данных исполняемый код. Известный принцип неймановской архитектуры гласит, что не существует различий между данными и командами. Следовательно, для того, чтобы определить, что передается по сети - код или данные, необходимо использовать определенные особенности, свойственные реализации сетевого обмена в конкретной распределенной ВС или некоторые особенности, присущие конкретным типам исполняемых файлов в данной локальной ОС. Представляется возможным выделить два различных по цели вида модификации кода:
• внедрение РПС (разрушающих программных средств);
• изменение логики работы исполняемого файла. В первом случае при внедрении РПС исполняемый файл модифицируется по вирусной технологии: к исполняемому файлу одним из известных способов дописывается тело РПС ,а также одним из известных способов изменяется точка входа так, чтобы она указывала на начало внедренного кода РПС. Описанный способ, в принципе, ничем не отличается от стандартного заражения исполняемого файла вирусом, за исключением того, что файл оказался поражен вирусом или РПС в момент передачи его по сети! Такое возможно лишь при использовании системы воздействия, построенной по принципу "ложный объект" . Конкретный вид РПС, его цели и задачи в данном случае не имеют значения, но можно рассмотреть, например, вариант использования ложного объекта для создания сетевого червя - наиболее сложного на практике удаленного воздействия в сетях, или в качестве РПС использовать сетевые шпионы. Во втором случае происходит модификация исполняемого кода с целью изменения логики его работы. Данное воздействие требует предварительного исследования работы исполняемого файла и, в случае его проведения, может принести самые неожиданные результаты. Например, при запуске на сервере (например, в ОС Novell NetWare) программы идентификации пользователей распределенной базы данных ложный объект может так модифицировать код этой программы, что появится возможность беспарольного входа с наивысшими привилегиями в базу данных.
10. Атака «НИР» (Неправомочное использование ресурсов)
В отличие от НСД, речь идет об использовании вспомогательных ресурсов (каналов связи, например), над которыми, как правило, собственно информационная система контроля не имеет. Помимо прямых убытков (увеличение платы за канал и т.п.) эта угроза может привести и к замедлению работы системы или даже к отказу в обслуживании.