Шляхи проникнення порушників у мережу

Категорії інформаційної безпеки

Інформація з погляду інформаційної безпеки має наступні категорії:

• конфіденційність - конкретна інформація доступна тільки тому колу осіб, для кого вона призначена; порушення цієї категорії визначається як розкрадання або розкриття інформації;

• цілісність - інформація існує у вихідному виді, тобто при її зберіганні або передачі не було зроблено несанкціонованих змін; порушення цієї категорії називається фальсифікацією повідомлення;

• автентичність - джерелом інформації є саме та особа, що заявлена як її автор; порушення цієї категорії також називається фальсифікацією, але вже автора повідомлення;

• апеллюємість - гарантія того, що при необхідності можна буде довести, що автором повідомлення є саме заявлена людина, і не може бути ніхто іншої; відмінність цієї категорії від попередньої в тім, що при підміні автора, хтось іншої намагається заявити, що він автор повідомлення, а при порушенні апеллюємості - сам автор намагається відмовитися від своїх слів, підписаних їм один раз (категорія, досить часто застосовувана в електронній комерції).

Відносно технічних характеристик інформаційних систем застосовуються наступні параметри й показники:

• надійність - імовірність того, що система поводиться в штатному й аварійному режимах так, як закладено при її проектуванні;

• контроль доступу - гарантія того, що різні групи осіб мають різний доступ до інформаційних об'єктів, і ці обмеження доступу постійно виконуються;

• контрольованість - можливість проведення повноцінної перевірки будь-якого компонента програмного комплексу в будь-який момент часу;

• контроль ідентифікації - імовірність того, що клієнт, підключений у цей момент до системи, є саме тим, за кого себе видає;

• стійкість до навмисних збоїв - імовірність того, що при навмисному внесенні помилок у межах заздалегідь обговорених норм система буде поводитися так, як установлено технічним завданням на проектування.

Фізичне вторгнення.Якщо порушник має фізичний доступ до комп'ютера (тобто він може використати клавіатуру або частину системи), то можливо проникнення його в систему. Методи можуть бути різними: від використання спеціальних привілеїв, які має консоль, до можливості використання частини системи й зняття вінчестера (і читання/запису його на іншій машині).

Системне вторгнення.Порушник уже має обліковий запис у системі як користувач із невисокими привілеями. Якщо в системі не встановлені самі останні патчи захисти, у порушника є гарний шанс спробувати зробити певну атаку для одержання додаткових адміністративних привілеїв.

Вилучене вторгнення.Зловмисник намагається проникнути в систему через мережу з вилученої машини. Порушник діє без яких-небудь спеціальних привілеїв. Існує кілька видів такий хакерськой діяльності. Наприклад, порушник витрачає набагато більше часу й зусиль, якщо між ним і обраною машиною встановлений міжмережевий захисний екран.

Одним з розповсюджених способів доступу до системи є злом пароля.Порушники намагаються використати всі слабкі сторони цього виду захисту. До них ставляться наступні.

Дійсно слабкі паролі.Більшість людей використають як паролі свої імена, імена своїх дітей, дружина/чоловік і жінка, кохано-го(ї) або моделі машини. Є також користувачі, які як пароль вибрали слово "пароль" або "password" або взагалі ніякого слова. У цілому існує більше 30 можливостей, якими може скористатися порушник для підбора паролів.

Атака по словнику.Зазнавши невдачі у випадку вищевказаної атаки, порушник може потім спробувати використати "атаку по словнику". У цьому випадку зловмисник намагається використати програму, що формує як пароль кожне можливе слово, наведене в словнику. Атаки по словнику можуть здійснюватися або шляхом кількаразові реєстрації в атакує системі, що, або шляхом збору шифрованих паролів і спроб знайти їм незашифровану пару. Для цих цілей порушники, як правило, мають копію російського й англійського словників, а також словники інших іноземних мов. Всі вони застосовують додаткові словники, як з іменами, так і зі списками найпоширеніших паролів.

Підбір пароля.Аналогічно атаці по паролі порушник намагається використати всі можливі комбінації символів. Короткий пароль, що складається з 4-х букв у нижньому регістрі, може бути зламаний за кілька секунд (приблизно півмільйонну можливих комбінацій). Довгий семизначний пароль, що складається із символів у нижньому й верхньому регістрі, а також чисел і розділових знаків (10 трильйонів комбінацій) може зажадати не один місяць для злому, розраховуючи на те, що пристрій перебору може здійснювати мільйон комбінацій у секунду.

Перехоплення незахищеного трафіку.На традиційному Ethernet можливо розмістити перехоплювач (sniffer), щоб перехоплювати весь трафік на сегменті. У цей час це стає усе більше й більше важким, тому що багато організацій використають комутирують сети, що, що складаються з багатьох ізольованих сегментів. Однак у комутирують сетях, що, можливо встановити сниффер на сервері, тим самим одержати доступ до всій циркулюючій у мережі інформації. Наприклад, зловмисник може не знати пароля певного користувача, але перехоплення пароля, переданого по протоколі Telnet дозволяє йому одержати доступ до вилученого вузлу.

Яким же образом порушники одержують паролі? Для цього вони можуть використати наступні шляхи.

Перехоплення відкритого тексту.Велика кількість протоколів (Telnet, FTP, HTTP) виконують передачу незашифрованих паролів при обміні по мережі між клієнтом і сервером. Порушник за допомогою аналізатора протоколів може "слухати" мережа в пошуках таких паролів. Ніяких подальших зусиль не 1ребуется; порушник може почати негайно використати ці паролі для реєстрації в системі (мережі). Прикладом аналізатора протоколів є програма dsniff,що забезпечує можливість збору різних паролів, переданих через локальну мережу. Використовуючи програму dsniff, можна зібрати користувальницькі паролі служб FTP, Telnet, SMTP, HTTP, POP і ряду інших.

Перехоплення зашифрованого тексту.Більшість протоколів, однак, використає деяке шифрування паролів. У цих випадках порушникові буде потрібно провести атаку по словнику або "підбор пароля" для того, щоб спробувати провести дешифрування. Помітимо, що клієнти мережі не знають про присутність порушника, оскільки він є повністю пасивним і нічого не передає по мережі. Злом пароля не вимагає того, щоб передавати що-небудь у мережу, власний комп'ютер порушника використається тільки для аутентифікації пароля законного користувача.

Повторне використання.У деяких випадках порушникам немає необхідності розшифровувати пароль. Вони можуть повторно передати зашифрований пароль у процесі аутентифікації.

Крадіжка файлу з паролями.Вся база даних про паролі користувачів звичайно зберігається в одному файлі на диску. В ОС UNIX цим файлом є /etc/passwd (або деякий різновид цього файлу), а в ОС Windows NT це SAM-файл. У кожному разі, як тільки порушник одержує цей файл, він може запускати програми злому (описані вище) для того, щоб знайти слабкі паролі усередині даного файлу.

Спостереження.Одна із традиційних проблем при захисті паролів полягає в тім, що паролі повинні бути довгими й важкими для розшифровування. Однак часто такі паролі дуже важко запам'ятати, тому користувачі їх записують. Порушники можуть часто обшукувати робочі місця користувачів для того, щоб знайти паролі, записані найчастіше на невеликих клаптиках паперу. Вони можуть також підглядати паролі, коштуючи за спиною користувача.

У загальному випадку в будь-якій процедурі вторгнення зловмисника в інформаційну систему можна виділити п'ять стадій (малюнок 18.1).

Малюнок 18.1 - Процедура реалізації типового вторгнення

На початковій стадії порушник здійснює збір інформації про об'єкт атаки, щоб на її основі спланувати подальші етапи вторгнення. Цим цілям може служити, наприклад, інформація про тип і версію ОС, установленої на хостах інформаційної системи; список користувачів, зареєстрованих у системі; відомості про використовуваному прикладний ПО й т.д. Стадія збору інформації може підрозділятися на зовнішню й внутрішню розвідку.

При зовнішній розвідціпорушники збирають якнайбільше інформації про атакує системе, що, нічим себе не видаючи. Вони можуть робити це, збираючи доступну інформацію, або маскуючись під звичайного користувача. На цій стадії їх неможливо виявити. Порушник буде виглядати "хто є хто", щоб зібрати якнайбільше інформації про потенційну жертву. Нападаючий може пройтися по DNS-таблицях (застосовуючи програми nslookup, dig або інші утиліти, використовувані для роботи з DNS), щоб знайти імена машин досліджуваної мережі.

На стадії внутрішньої розвідкипорушник використає могутніші способи для одержання інформації, але як і раніше не робить нічого шкідливого. Він може пройти через всі Web-сторінки інформаційної системи й подивитися CGI-скрипти, які дуже часто піддаються хакер-скім атакам. Можливий запуск утиліти ping для виявлення активних комп'ютерів у мережі. У процесі розвідки можливе сканування UDP/TCP-портів на намічені для атаки комп'ютерах для того, щоб визначити доступні сервіси. Нападаючий може запустити утиліти типу rpcinfo, showmount, snmpwalk і т.д. для того, щоб визначити, які служби є доступними. У цей момент порушник веде "нормальну" діяльність у мережі й немає нічого, що могло б бути класифіковане як порушення.

На етапі вторгнення порушник одержує несанкціонований доступ до ресурсів тих хостов, на які відбувається атака. Порушник перетинає границю й починає використати можливі уразливості на виділених комп'ютерах. Він може спробувати скомпрометувати CGI скрипт, посилаючи команди shell у полях вхідних даних. Порушник може спробувати використати эксплоіти {exploits) або добре відомі уразливості "переповнення буфера", посилаючи велику кількість даних, або почати перевірку облікових записів з підбира легко (або порожніми) паролями. Эксплоиты- це програми, що використають помилки в якомусь конкретному програмному забезпеченні. Вони застосовуються для одержання доступу до комп'ютера, головним чином із правами суперкористувача.

Послу етапу вторгнення наступає стадія атакуючого впливу. Протягом цієї стадії реалізуються мети, заради яких і вживала атака. Наприклад, якщо хакер зміг одержати доступ до облікового запису звичайного користувача, те потім він буде намагатися робити подальші дії для одержання доступу до облікового запису супервізора root/admin. Потім може піти порушення працездатності інформаційної системи, крадіжка конфіденційної інформації, видалення або модифікація даних і т.д.

У наступній стадії зловмисник прагне розвити атаку, тобто розширити коло жертв атаки, щоб продовжити несанкціоновані операції на інших складового об'єкта напади. Стадія завершення вторгнення характеризується прагненням атакуючі виконати дії, спрямовані на видалення слідів його присутності в інформаційній системі шляхом виправлення журналів реєстрації. Хакер буде намагатися використати систему як опорна площадка для проникнення в інші системи або комп'ютери, оскільки більшість мереж мають незначне число засобів для захисту від внутрішніх атак. Нижче розглянуті більш докладно способи реалізації цих стадій.