Большинство программных средств защиты информации являются прикладными программами. Для их выполнения требуется поддержка операционной системы (ОС). Окружение, в котором функционирует ОС, называется доверенной вычислительной базой (ДВБ)- ДВБ включает в себя полный набор элементов, обеспечивающих информационную безопасность: ОС, программы, сетевое оборудование, средства физической защиты и даже организационные процедуры. Краеугольным камнем этой пирамиды является защищенная ОС.
Угрозы безопасности ОС можно классифицировать по различным аспектам их реализации [3, с.39-45].
- По цели атаки.
- По принципу воздействия на операционную систему.
- По типу используемой злоумышленником уязвимости защиты.
- По характеру воздействия на операционную систему:
Угрозы безопасности ОС можно также классифицировать по таким признакам, как: способ действий злоумышленника, используемые средства атаки, объект атаки, способ воздействия на объект атаки, состояние атакуемого объекта ОС на момент атаки. ОС может подвергнуться следующим типичным атакам.
- Удаленное проникновение (remote penetration). Атаки, которые позволяют реализовать удаленное управление компьютером через сеть. Например, NetBus или
- Локальное проникновение (local penetration). Атака, которая приводит к получению несанкционированного доступа к узлу, на котором она запущена. Например,
- Удаленный отказ в обслуживании (remote denial of service). Атаки, которые позволяют нарушить функционирование или перегрузить компьютер через Internet. Например, Teardrop или
- Локальный отказ в обслуживании (local denial of service). Атаки, которые позволяют нарушить функционирование или перегрузить компьютер, на котором они реализуются. Примером такой атаки является «враждебный» апплет, который загружает центральный процессор бесконечным циклом, что приводит к невозможности обработки запросов других приложений.
- Сетевые сканеры (network scanners). Программы, которые анализируют топологию сети и обнаруживают сервисы, доступные для атаки. Например, система
- Сканеры уязвимостей (vulnerability scanners). Программы, которые ищут уязвимости на узлах сети и которые могут быть использованы для реализации атак. Например, система SATAN или
- Взломщики паролей (password crackers). Программы, которые «подбирают» пароли пользователей. Например, LOphtCrack для Windows или Crack для
- Анализаторы протоколов (sniffers). Программы, которые «прослушивают» сетевой трафик. При помощи этих программ можно автоматически искать такую информацию, как идентификаторы и пароли пользователей, информацию о кредитных картах и т.д. Например, Microsoft Network Monitor, NetXRay компании Network Associates или LanExplorer [1, c. 126-128]
Рассмотрим основные механизмы реализации атак. Это необходимо для понимания методов обнаружения этих атак. Кроме того, понимание принципов действий злоумышленников — залог успешной обороны сети.
- Сбор информации
2.Изучение окружения
3.Идентификация топологии сети
4.Определение роли узла
- Использование легальных каналов доступа к информации.
- Использование скрытых каналов доступа к информации.
- Создание новых каналов получения информации.
Классификация по характеру воздействия на операционную систему:
- Пассивное воздействие.
- Активное воздействие.
Отметим также классификацию по цели, осуществляемой атаки:
- Деструктивные действия по отношению к операционной системе — полное разрушение, либо уничтожение отдельных частей.
- Несанкционированное чтение информации.
- Несанкционированное изменение информации.
- Несанкционированное уничтожение информации.
Перечисленные выше угрозы реализуются путем совершения атак на операционную систему [4, 54-56].
Атакой на операционную систему называются преднамеренные действия злоумышленника, использующие уязвимости операционной системы и приводящие к нарушению доступности, целостности и конфиденциальности обрабатываемой информации.
Традиционная модель атаки строится по принципу «один к одному» или «один ко многим», т.е. атака исходит из одного источника.
Поиск уязвимостей: на этом шаге злоумышленник при помощи различных автоматизированных средств или вручную определяет уязвимости, которые могут быть использованы для реализации атаки. В качестве таких автоматизированных средств могут быть использованы ShadowSecurityScanner, nmap, Retina и т.д.
С этого момента начинается попытка доступа к атакуемому узлу. При этом доступ может быть как непосредственный, т.е. проникновение на узел, так и опосредованный, например, при реализации атаки типа «отказ в обслуживании». Реализация атак в случае непосредственного доступа также может быть разделена на два этапа:
- проникновение;
- установление контроля.
Проникновение подразумевает под собой преодоление средств защиты периметра (например, межсетевого экрана). Реализовываться это может различными путями. Например, использование уязвимости сервиса компьютера, «смотрящего» наружу или путем передачи враждебного содержания по электронной почте (макровирусы) или через апплеты Java. Такое содержание может использовать так называемые «туннели» в межсетевом экране (не путать с туннелями VPN), через которые затем и проникает злоумышленник. К этому же этапу можно отнести подбор пароля администратора или иного пользователя при помощи специализированной утилиты (например, LOphtCrack или Crack).
После проникновения злоумышленник устанавливает контроль над атакуемым узлом. Это может быть осуществлено путем внедрения программы контроля над нужным узлом и «заметания» следов, злоумышленник может осуществлять все необходимые несанкционированные действия дистанционно без ведома владельца атакованного компьютера. При этом установление контроля над узлом корпоративной сети должно сохраняться и после перезагрузки операционной системы. Это может быть реализовано путем замены одного из загрузочных файлов или вставка ссылки на враждебный код в файлы автозагрузки или системный реестр. Известен случай, когда злоумышленник смог перепрограммировать EEPROM сетевой карты и даже после переустановки ОС он смог повторно реализовать несанкционированные действия. Более простой модификацией этого примера является внедрение необходимого кода или фрагмента в сценарий сетевой загрузки (например, для ОС Novell Netware).
Необходимо отметить, что злоумышленник на этом этапе может преследовать две цели. Во-первых, получение несанкционированного доступа к самому узлу и содержащейся на нем информации. Во-вторых, получение несанкционированного доступа к узлу для осуществления дальнейших атак на другие узлы. Первая цель, как правило, осуществляется только после реализации второй. То есть, сначала злоумышленник создает себе базу для дальнейших атак и только после этого проникает на другие узлы. Это необходимо для того, чтобы скрыть или существенно затруднить нахождение источника атаки.
Этапом завершения атаки является «заметание следов» со стороны злоумышленника. Обычно это реализуется путем удаления соответствующих записей из журналов регистрации узла и других действий, возвращающих атакованную систему в исходное, «предатакованное» состояние.
Разработчики сетевых средств защиты (межсетевых экранов, систем обнаружения атак и т.д.) ориентированы именно на традиционную модель атаки. В различных точках защищаемой сети устанавливаются агенты (сенсоры) системы защиты, которые передают информацию на центральную консоль управления. Это облегчает масштабирование системы, обеспечивает простоту удаленного управления и т.д. Однако такая модель не справляется с относительно недавно (в 1998 году) обнаруженной угрозой — распределенными атаками.
В модели распределенной атаки используются иные принципы. В отличие от традиционной модели в распределенной модели используются отношения «многие к одному» и «многие ко многим»
Распределенные атаки основаны на «классических» атаках типа «отказ в обслуживании», а точнее на их подмножестве, известном как Flood-атаки или Storm-атаки (указанные термины можно перевести как «шторм», «наводнение» или «лавина»). Смысл данных атак заключается в посылке большого количества пакетов на атакуемый узел. Атакуемый узел может выйти из строя, поскольку он «захлебнется» в лавине посылаемых пакетов и не сможет обрабатывать запросы авторизованных пользователей. По такому принципу работают атаки SYN-Flood, Smurf, UDP Flood, Targa3 и т.д. Однако в том случае, если пропускная способность канала до атакуемого узла превышает пропускную способность атакующего или атакуемый узел некорректно сконфигурирован, то к «успеху» такая атака не приведет. Например, с помощью этих атак бесполезно пытаться нарушить работоспособность своего провайдера. Но распределенная атака происходит уже не из одной точки Internet, а сразу из нескольких, что приводит к резкому возрастанию трафика и выведению атакуемого узла из строя.
Можно выделить следующие этапы реализации атаки:
- предварительные действия перед атакой или «сбор информации»,
- собственно «реализация атаки»,
- завершение атаки.
Обычно, когда говорят об атаке, то подразумевают именно второй этап, забывая о первом и последнем. Сбор информации и завершение атаки в свою очередь также могут являться атакой и могут быть разделены на три этапа.
Сбор информации — это основной этап реализации атаки. Именно на дан- ном этапе эффективность работы злоумышленника является залогом «успешности” атаки [5, c. 45-51]Сначала выбирается цель атаки и собирается информация о ней. Затем идентифицируются наиболее уязвимые места атакуемой системы, воздействие на которые приводит к нужному злоумышленнику результату. Злоумышленник пытается выявить все каналы взаимодействия цели атаки с другими узлами. Это позволит не только выбрать тип реализуемой атаки, но и источник ее реализации. Например, атакуемый узел взаимодействует с двумя серверами под управлением ОС Unix и Windows NT. С одним сервером атакуемый узел имеет доверенные отношения, а с другим — нет. От того, через какой сервер злоумышленник будет реализовывать нападение, зависит, какая атака будет задействована, какое средство реализации будет выбрано и т.д. Затем, в зависимости от полученной информации и желаемого результата, выбирается атака, дающая наибольший эффект. Например:
SYN Flood, Teardrop, UDP Bomb — для нарушения функционирования узла;
CGI-скрипт — для проникновения на узел и кражи информации;
PHF — для кражи файла паролей и удаленного подбора пароля и т.п.
Традиционные средства защиты, такие как межсетевые экраны или механизмы фильтрации в маршрутизаторах, вступают в действие лишь на втором этапе реализации атаки, совершенно «забывая» о первом и третьем. Это приводит к тому, что зачастую совершаемую атаку очень трудно остановить даже при наличии мощных и дорогих средств защиты. Пример тому — распределенные атаки. Логично было бы, чтобы средства защиты начинали работать еще на первом этапе, т.е. предотвращали бы возможность сбора информации об атакуемой системе. Это позволило бы если и не полностью предотвратить атаку, то хотя бы существенно усложнить работу злоумышленника. Традиционные средства также не позволяют обнаружить уже совершенные атаки и оценить ущерб после их реализации, т.е. не работают на третьем этапе реализации атаки. Следовательно, невозможно определить меры по предотвращению таких атак впредь.
- сканированию файловой системы. Злоумышленник просматривает файловую систему компьютера и пытается прочесть (или скопировать) все файлы подряд. Рано или поздно обнаруживается хотя бы одна ошибка администратора. В результате злоумышленник получает доступ к информации, который должен быть ему запрещен;
- подбору пароля. Существуют несколько методов подбора паролей пользователей:
1.тотальный перебор;
2.тотальный перебор, оптимизированный по статистике встречаемости символов или с помощью словарей;
3.подбор пароля с использованием знаний о пользователе (его имени, фамилии, даты рождения, номера телефона и т. д.);
- краже ключевой информации. Злоумышленник может подсмотреть пароль, набираемый пользователем, или восстановить набираемый пользователем пароль по движениям его рук на клавиатуре. Носитель с ключевой информацией (смарт-карта, Touch Memory и т. д.) может быть просто украден;
- сборке мусора. Во многих ОС информация, уничтоженная пользователем, не уничтожается физически, а помечается как уничтоженная (так называемый мусор). Злоумышленник восстанавливает эту информацию, просматривает ее и копирует интересующие его фрагменты;
- превышению полномочий. Злоумышленник, используя ошибки в программном обеспечении ОС или политике безопасности, получает полномочия, превышающие те, которые ему предоставлены в соответствии с политикой безопасности. Обычно это достигается путем запуска программы от имени другого пользователя;
- программным закладкам. Программные закладки, внедряемые в ОС, не имеют существенных отличий от других классов программных закладок;
- жадным программам — это программы, преднамеренно захватывающие значительную часть ресурсов компьютера, в результате чего другие программы [2, c.31-38].
Компания Internet Security Systems, Inc. еще больше сократила число возможных категорий, доведя их до 5:
- Сбор информации (Information gathering).
- Попытки несанкционированного доступа (Unauthorized access attempts).
- Отказ в обслуживании (Denial of service).
- Подозрительная активность (Suspicious activity).
- Системные атаки (System attack).
Первые 4 категории относятся к удаленным атакам, а последняя — к локальным, реализуемом на атакуемом узле. Можно заметить, что в данную классификацию не попал целый класс так называемых «пассивных» атак («прослушивание» трафика, «ложный DNS-сервер», «подмена ARP-сервера» и т.п.).
Классификация атак, реализованная во многих системах обнаружения атак, не может быть категоричной. Например, атака, реализация которой для ОС Unix (например, переполнение буфера statd) может иметь самые плачевные последствия (самый высокий приоритет), для ОС Windows NT может быть вообще не применима или иметь очень низкую степень риска. Кроме того, существует неразбериха и в самих названиях атак и уязвимостей. Одна и та же атака, может иметь разные наименования у разных производителей систем обнаружения атак.
Анализ операционных систем на предмет надежности к атакам из вне, так же анализ этапов и атаки выявил слабые места в операционных системах что с свою очередь говорит о их надежности.
Список литературы:
- Скрыпников А.В., Смирнов М.Ю., Кондрашова Е.В., Дорохин С.В., Скворцова Т.В. Методы, модели, алгоритмы управления процессом строительства, ремонта и содержания лесных автомобильных дорог в условиях ограниченных ресурсов. Международный журнал прикладных и фундаментальных исследований: материалы международной конф-ии «Актуальные вопросы науки и образования», Москва, 2014. – № 6.
- Скрыпников А.В., Чернышова Е.В., Заець О.В. Оценка эффективности системы защиты информации автоматизированной системы проектирования сложных многокомпонентных продуктов. Материалы 5-й научно-практической конференции «Междисциплинарные исследования в области математического моделирования и информатики». Тольятти, 2015г.
- Скрыпников А.В., Чернышова Е.В., Лыжник Е.А. Разграничение доступа к объектам операционной системы. Материалы 5-й научно-практической конференции «Междисциплинарные исследования в области математического моделирования и информатики». Тольятти, 2015г.
- Скрыпников А.В., Чернышова Е.В., Смирнова О.В. Разработка алгоритмов обучения и распознавания с точки зрения повышения информационной безопасности. Национальная ассоциация ученых (НАУ). Ежемесячный научный журнал. №2 (7). Екатеринбург, 2015 г.
- Скрыпников А.В., Чернышова Е.В., Чичасова И.С. Методика построения корпоративной системы защиты информации. Материалы 5-й научно-практической конференции «Междисциплинарные исследования в области математического моделирования и информатики». Тольятти, 2015г.[schema type=»book» name=»ОСНОВНЫЕ УГРОЗЫ БЕЗОПАСНОСТИ ОПЕРАЦИОННЫХ СИСТЕМ» author=»Скрыпников Алексей Васильевич, Чернышова Елена Владимировна, Василенко Алексей Владимирович» publisher=»БАСАРАНОВИЧ ЕКАТЕРИНА» pubdate=»2017-04-20″ edition=»ЕВРАЗИЙСКИЙ СОЮЗ УЧЕНЫХ_ 28.03.2015_03(12)» ebook=»yes» ]