СОКРЫТИЕ СЛЕДОВ ПРОВЕДЕННОЙ АТАКИ

После взлома системы и создания люка последнее, в чем должен убедиться хакер, — это в своей безнаказанности. Стоит ли создавать потайной ход, если его легко обнаружить и закрыть? А потому следует тщательно скрыть следы.

Первым делом необходимо изменить регистрационные файлы журналов. В них содержится информация о том, кто получал доступ и когда, а следовательно, при его просмотре можно будет с уверенностью сказать, что в системе побывал хакер, и проследить за его действиями. С точки зрения взломщика, это довольно неприятно, и следует найти файл журнала, чтобы изменить или удалить все записи о недавней атаке.

Однако почему бы просто не удалить все содержимое файла, чтобы ничего ненароком не забыть?

Есть два главных препятствия. Во-первых, пустой регистрационный файл немедленно вызовет подозрения администратора. И, во-вторых, большинство систем помещает в файл специальную пометку, в которой говорится о том, что содержимое файла было удалено. Это все равно, что взмахнуть красным флагом перед разъяренным быком в лице администратора. Вот почему полезно хранить файлы журналов на других компьютерах, а в идеальном варианте — регистрационная информация должна храниться на устройствах, позволяющих производить только запись, но не дальнейшее изменение. В таком случае хакеру не удастся вернуться и удалить следы своего пребывания.

Еще один популярный хакерский прием состоит в отключении регистрации после проникновения в сеть. Зачем забивать себе голову мыслями о том, как удалить компрометирующее содержимое системных файлов, если их можно просто выключить? Ведь так взломщик останется незамеченным. Для этого нужны дополнительные знания, но в конечном итоге они себя оправдают. Необходимо запомнить, что хотя злоумышленник и может успешно отключить систему регистрации, в правильно настроенной сети все равно останутся сведения о способе и времени проникновения, как и многое другое.

Когда хакер изменяет или переписывает файлы, он должен убедиться в том, что они не вызовут подозрения. Почти во всех файлах отмечается время последнего к ним доступа и их размер. Существуют программы, которые определяют, какие данные были изменены, поэтому взломщик должен попробовать обмануть систему. Хотя время доступа к файлу и его размер будут отличаться от изначальных, можно изменить эти параметры и все восстановить. Это значительно усложняет работу по определению взлома.

2. Класифікація атак на інформаційні ресурси

Для понимания того, как можно использовать найденные уязвимости, необходимо систематизировать возможные удаленные атаки злоумышленника на сетевые ресурсы.

Систематизация знаний об атаках помогает разработке мер и систем защиты от них. Поэтому специалисты в области информационной безопасности не прекращают попыток построения различных классификационных схем, которые в той или иной мере способствуют пониманию процессов, ведущих к проникновению в системы, и помогают разрабатывать меры защиты и реализовывать системы защиты.

В качестве примеров построения таких классификационных схем рассмотрим:

- списки категорий Чезвика и Белловина,

- матричные схемы,

- процессы Столингса,

- таксономические схемы Ховарда,

- онтологию сетевых атак.

Списки категорий Чезвика и Белловина (Cheswick and Bellovin). Атаки подразделяются на следующие семь категорий:

1. кража паролей (stealing passwords) — методы получения паролей пользователей;

2. социальная инженерия (social engineering) — использование некоторых психологических приемов по отношению к пользователям для получения желаемой информации или информации ограниченного использования;

3. ошибки и потайные ходы (bugs and backdoors) — поиск состояния системы, не соответствующего спецификации, или перезапись компонент ПО скомпрометированными компонентами;

4. отказы аутентификации (authentication failures) — удаление механизмов, использующихся для аутентификации;

5. отказы протоколов (protocol failures) — протоколы сами по себе либо плохо спроектированы, либо плохо реализованы;

6. утечка информации (information leakage) — использование таких систем, как finger или DNS, для получения информации, необходимой администраторам для надлежащего функционирования сети, но используемой атакующим;

7. отказ в обслуживании (denial-of-service) — усилия для прекращения возможности пользователей пользоваться службами.

В данном подходе также существует перекрытие понятий, что потребовало применения списков внутри категорий.