ОСНОВНЫЕ УГРОЗЫ БЕЗОПАСНОСТИ ОПЕРАЦИОННЫХ СИСТЕМ

Большинство программных средств защиты информации являются при­кладными программами. Для их выполнения требуется поддержка операционной системы (ОС). Окружение, в котором функционирует ОС, называется доверенной вычислительной базой (ДВБ)- ДВБ включает в себя полный набор элементов, обеспечивающих информационную безопасность: ОС, программы, сетевое оборудование, средства физической защиты и даже организационные процедуры. Краеугольным камнем этой пирамиды является защищенная ОС.

Угрозы безопасности ОС можно классифицировать по различным аспек­там их реализации [3, с.39-45].

1. По цели атаки.
2. По принципу воздействия на операционную систему.
3. По типу используемой злоумышленником уязвимости защиты.
4. По характеру воздействия на операционную систему:

Угрозы безопасности ОС можно также классифицировать по таким при­знакам, как: способ действий злоумышленника, используемые средства атаки, объект атаки, способ воздействия на объект атаки, состояние атакуемого объек­та ОС на момент атаки. ОС может подвергнуться следующим типичным атакам.

• Удаленное проникновение (remote penetration). Атаки, которые позволяют реализовать удаленное управление компьютером через сеть. Например, NetBus или
• Локальное проникновение (local penetration). Атака, которая приво­дит к получению несанкционированного доступа к узлу, на котором она запу­щена. Например,
• Удаленный отказ в обслуживании (remote denial of service). Атаки, которые позволяют нарушить функционирование или перегрузить компьютер через Internet. Например, Teardrop или
• Локальный отказ в обслуживании (local denial of service). Атаки, ко­торые позволяют нарушить функционирование или перегрузить компьютер, на котором они реализуются. Примером такой атаки является «враждебный» ап­плет, который загружает центральный процессор бесконечным циклом, что приводит к невозможности обработки запросов других приложений.
• Сетевые сканеры (network scanners). Программы, которые анализи­руют топологию сети и обнаруживают сервисы, доступные для атаки. Напри­мер, система
• Сканеры уязвимостей (vulnerability scanners). Программы, которые ищут уязвимости на узлах сети и которые могут быть использованы для реали­зации атак. Например, система SATAN или
• Взломщики паролей (password crackers). Программы, которые «под­бирают» пароли пользователей. Например, LOphtCrack для Windows или Crack для
• Анализаторы протоколов (sniffers). Программы, которые «прослу­шивают» сетевой трафик. При помощи этих программ можно автоматически искать такую информацию, как идентификаторы и пароли пользователей, ин­формацию о кредитных картах и т.д. Например, Microsoft Network Monitor, NetXRay компании Network Associates или LanExplorer [1, c. 126-128]

        Рассмотрим основные механизмы реализации атак. Это необходимо для понимания методов обнаружения этих атак. Кроме того, понимание принципов действий злоумышленников — залог успешной обороны сети.

1. Сбор информации

2.Изучение окружения

3.Идентификация топологии сети

4.Определение роли узла

5. Использование легальных каналов доступа к информации.
6. Использование скрытых каналов доступа к информации.
7. Создание новых каналов получения информации.

Классификация по характеру воздействия на операционную систему:

1. Пассивное воздействие.
2. Активное воздействие.

Отметим также классификацию по цели, осуществляемой атаки:

• Деструктивные действия по отношению к операционной системе — пол­ное разрушение, либо уничтожение отдельных частей.
• Несанкционированное чтение информации.
• Несанкционированное изменение информации.
• Несанкционированное уничтожение информации.

Перечисленные выше угрозы реализуются путем совершения атак на опе­рационную систему [4, 54-56].

Атакой на операционную систему называются преднамеренные действия злоумышленника, использующие уязвимости операционной системы и приво­дящие к нарушению доступности, целостности и конфиденциальности обраба­тываемой информации.

Традиционная модель атаки строится по принципу «один к одному» или «один ко многим», т.е. атака исходит из одного источни­ка.

Поиск уязвимостей: на этом шаге злоумышленник при помощи различных автоматизированных средств или вручную определяет уяз­вимости, которые могут быть использованы для реализации атаки. В качестве таких автоматизированных средств могут быть использованы ShadowSecurityScanner, nmap, Retina и т.д.

С этого момента начинается попытка доступа к атакуемому узлу. При этом доступ может быть как непосредственный, т.е. проникновение на узел, так и опосредованный, например, при реализации атаки типа «отказ в обслужива­нии». Реализация атак в случае непосредственного доступа также может быть разделена на два этапа:

• проникновение;
• установление контроля.

Проникновение подразумевает под собой преодоление средств защиты периметра (например, межсетевого экрана). Реализовываться это может различными путями. Например, использование уязвимости сервиса компьюте­ра, «смотрящего» наружу или путем передачи враждебного содержания по электронной почте (макровирусы) или через апплеты Java. Такое содержание может использовать так называемые «туннели» в межсетевом экране (не путать с туннелями VPN), через которые затем и проникает злоумышленник. К этому же этапу можно отнести подбор пароля администратора или иного пользовате­ля при помощи специализированной утилиты (например, LOphtCrack или Crack).

После проникновения злоумышленник устанавливает контроль над ата­куемым узлом. Это может быть осуществлено путем внедрения программы контроля над нужным узлом и «заметания» следов, злоумышленник может осуще­ствлять все необходимые несанкционированные действия дистанционно без ве­дома владельца атакованного компьютера. При этом установление контроля над узлом корпоративной сети должно сохраняться и после перезагрузки опе­рационной системы. Это может быть реализовано путем замены одного из за­грузочных файлов или вставка ссылки на враждебный код в файлы автозагруз­ки или системный реестр. Известен случай, когда злоумышленник смог пере­программировать EEPROM сетевой карты и даже после переустановки ОС он смог повторно реализовать несанкционированные действия. Более простой мо­дификацией этого примера является внедрение необходимого кода или фраг­мента в сценарий сетевой загрузки (например, для ОС Novell Netware).

Необходимо отметить, что злоумышленник на этом этапе может пре­следовать две цели. Во-первых, получение несанкционированного доступа к самому узлу и содержащейся на нем информации. Во-вторых, получение не­санкционированного доступа к узлу для осуществления дальнейших атак на другие узлы. Первая цель, как правило, осуществляется только после реализа­ции второй. То есть, сначала злоумышленник создает себе базу для дальнейших атак и только после этого проникает на другие узлы. Это необходимо для того, чтобы скрыть или существенно затруднить нахождение источника атаки.

Этапом завершения атаки является «заметание следов» со стороны зло­умышленника. Обычно это реализуется путем удаления соответствующих за­писей из журналов регистрации узла и других действий, возвращающих атако­ванную систему в исходное, «предатакованное» состояние.

Разработчики сетевых средств защиты (межсетевых экранов, систем об­наружения атак и т.д.) ориентированы именно на традиционную модель атаки. В различных точках защищаемой сети устанавливаются агенты (сенсоры) сис­темы защиты, которые передают информацию на центральную консоль управления. Это облегчает масштабирование системы, обеспечивает простоту уда­ленного управления и т.д. Однако такая модель не справляется с относительно недавно (в 1998 году) обнаруженной угрозой — распределенными атаками.

В модели распределенной атаки используются иные принципы. В отли­чие от традиционной модели в распределенной модели используются отноше­ния «многие к одному» и «многие ко многим»

Распределенные атаки основаны на «классических» атаках типа «отказ в обслуживании», а точнее на их подмножестве, известном как Flood-атаки или Storm-атаки (указанные термины можно перевести как «шторм», «наводнение» или «лавина»). Смысл данных атак заключается в посылке большого количества пакетов на атакуемый узел. Атакуемый узел может выйти из строя, поскольку он «захлебнется» в лавине посылаемых пакетов и не сможет обрабатывать за­просы авторизованных пользователей. По такому принципу работают атаки SYN-Flood, Smurf, UDP Flood, Targa3 и т.д. Однако в том случае, если пропуск­ная способность канала до атакуемого узла превышает пропускную способ­ность атакующего или атакуемый узел некорректно сконфигурирован, то к «ус­пеху» такая атака не приведет. Например, с помощью этих атак бесполезно пы­таться нарушить работоспособность своего провайдера. Но распределенная атака происходит уже не из одной точки Internet, а сразу из нескольких, что приводит к резкому возрастанию трафика и выведению атакуемого узла из строя.

Можно выделить следующие этапы реализации атаки:

• предварительные действия перед атакой или «сбор информации»,
• собственно «реализация атаки»,
• завершение атаки.

Обычно, когда говорят об атаке, то подразумевают именно второй этап, забывая о первом и последнем. Сбор информации и завершение атаки в свою очередь также могут являться атакой и могут быть разделены на три этапа.

Сбор информации — это основной этап реализации атаки. Именно на дан- ном этапе эффективность работы злоумышленника является залогом «успешности” атаки [5, c. 45-51]Сначала выбирается цель атаки и собирается информация о ней. Затем идентифицируются наиболее уязвимые места ата­куемой системы, воздействие на которые приводит к нужному злоумышленни­ку результату. Злоумышленник пытается выявить все каналы взаимодействия цели атаки с другими узлами. Это позволит не только выбрать тип реализуемой атаки, но и источник ее реализации. Например, атакуемый узел взаимодейству­ет с двумя серверами под управлением ОС Unix и Windows NT. С одним серве­ром атакуемый узел имеет доверенные отношения, а с другим — нет. От того, через какой сервер злоумышленник будет реализовывать нападение, зависит, какая атака будет задействована, какое средство реализации будет выбрано и т.д. Затем, в зависимости от полученной информации и желаемого результата, выбирается атака, дающая наибольший эффект. Например:

SYN Flood, Teardrop, UDP Bomb — для нарушения функционирования уз­ла;

CGI-скрипт — для проникновения на узел и кражи информации;

PHF — для кражи файла паролей и удаленного подбора пароля и т.п.

Традиционные средства защиты, такие как межсетевые экраны или меха­низмы фильтрации в маршрутизаторах, вступают в действие лишь на втором этапе реализации атаки, совершенно «забывая» о первом и третьем. Это приво­дит к тому, что зачастую совершаемую атаку очень трудно остановить даже при наличии мощных и дорогих средств защиты. Пример тому — распределен­ные атаки. Логично было бы, чтобы средства защиты начинали работать еще на первом этапе, т.е. предотвращали бы возможность сбора информации об ата­куемой системе. Это позволило бы если и не полностью предотвратить атаку, то хотя бы существенно усложнить работу злоумышленника. Традиционные средства также не позволяют обнаружить уже совершенные атаки и оценить ущерб после их реализации, т.е. не работают на третьем этапе реализации ата­ки. Следовательно, невозможно определить меры по предотвращению таких атак впредь.

• сканированию файловой системы. Злоумышленник просматривает фай­ловую систему компьютера и пытается прочесть (или скопировать) все файлы подряд. Рано или поздно обнаруживается хотя бы одна ошибка администрато­ра. В результате злоумышленник получает доступ к информации, который должен быть ему запрещен;
• подбору пароля. Существуют несколько методов подбора паролей поль­зователей:

1.тотальный перебор;

2.тотальный перебор, оптимизированный по статистике встречаемости символов или с помощью словарей;

3.подбор пароля с использованием знаний о пользователе (его имени, фамилии, даты рождения, номера телефона и т. д.);

• краже ключевой информации. Злоумышленник может подсмотреть па­роль, набираемый пользователем, или восстановить набираемый пользователем пароль по движениям его рук на клавиатуре. Носитель с ключевой информаци­ей (смарт-карта, Touch Memory и т. д.) может быть просто украден;
• сборке мусора. Во многих ОС информация, уничтоженная пользовате­лем, не уничтожается физически, а помечается как уничтоженная (так называе­мый мусор). Злоумышленник восстанавливает эту информацию, просматривает ее и копирует интересующие его фрагменты;
• превышению полномочий. Злоумышленник, используя ошибки в про­граммном обеспечении ОС или политике безопасности, получает полномочия, превышающие те, которые ему предоставлены в соответствии с политикой безопасности. Обычно это достигается путем запуска программы от имени дру­гого пользователя;
• программным закладкам. Программные закладки, внедряемые в ОС, не имеют существенных отличий от других классов программных закладок;
• жадным программам — это программы, преднамеренно захватывающие значительную часть ресурсов компьютера, в результате чего другие программы [2, c.31-38].

Компания Internet Security Systems, Inc. еще больше сократила число воз­можных категорий, доведя их до 5:

• Сбор информации (Information gathering).
• Попытки несанкционированного доступа (Unauthorized access at­tempts).
• Отказ в обслуживании (Denial of service).
• Подозрительная активность (Suspicious activity).
• Системные атаки (System attack).

Первые 4 категории относятся к удаленным атакам, а последняя — к ло­кальным, реализуемом на атакуемом узле. Можно заметить, что в данную клас­сификацию не попал целый класс так называемых «пассивных» атак («прослу­шивание» трафика, «ложный DNS-сервер», «подмена ARP-сервера» и т.п.).

Классификация атак, реализованная во многих системах обнаружения атак, не может быть категоричной. Например, атака, реализация которой для ОС Unix (например, переполнение буфера statd) может иметь самые плачевные последствия (самый высокий приоритет), для ОС Windows NT может быть во­обще не применима или иметь очень низкую степень риска. Кроме того, суще­ствует неразбериха и в самих названиях атак и уязвимостей. Одна и та же атака, может иметь разные наименования у разных производителей систем обнаруже­ния атак.

Анализ операционных систем на предмет надежности к атакам из вне, так же анализ этапов и атаки  выявил слабые места в операционных системах что с свою очередь говорит  о их надежности.

Список литературы:

1. Скрыпников А.В., Смирнов М.Ю., Кондрашова Е.В., Дорохин С.В., Скворцова Т.В. Методы, модели, алгоритмы управления процессом строительства, ремонта и содержания лесных автомобильных дорог в условиях ограниченных ресурсов. Международный журнал прикладных и фундаментальных исследований: материалы международной конф-ии «Актуальные вопросы науки и образования», Москва, 2014. – № 6.
2. Скрыпников А.В., Чернышова Е.В., Заець О.В. Оценка эффективности системы защиты информации автоматизированной системы проектирования сложных многокомпонентных продуктов. Материалы 5-й научно-практической конференции «Междисциплинарные исследования в области математического моделирования и информатики». Тольятти, 2015г.
3. Скрыпников А.В., Чернышова Е.В., Лыжник Е.А. Разграничение доступа к объектам операционной системы. Материалы 5-й научно-практической конференции «Междисциплинарные исследования в области математического моделирования и информатики». Тольятти, 2015г.
4. Скрыпников А.В., Чернышова Е.В., Смирнова О.В. Разработка алгоритмов обучения и распознавания с точки зрения повышения информационной безопасности. Национальная ассоциация ученых (НАУ). Ежемесячный научный журнал. №2 (7). Екатеринбург, 2015 г.
5. Скрыпников А.В., Чернышова Е.В., Чичасова И.С. Методика построения корпоративной системы защиты информации. Материалы 5-й научно-практической конференции «Междисциплинарные исследования в области математического моделирования и информатики». Тольятти, 2015г.[schema type=»book» name=»ОСНОВНЫЕ УГРОЗЫ БЕЗОПАСНОСТИ ОПЕРАЦИОННЫХ СИСТЕМ» author=»Скрыпников Алексей Васильевич, Чернышова Елена Владимировна, Василенко Алексей Владимирович» publisher=»БАСАРАНОВИЧ ЕКАТЕРИНА» pubdate=»2017-04-20″ edition=»ЕВРАЗИЙСКИЙ СОЮЗ УЧЕНЫХ_ 28.03.2015_03(12)» ebook=»yes» ]