Site icon Евразийский Союз Ученых — публикация научных статей в ежемесячном научном журнале

ОСНОВНЫЕ УГРОЗЫ БЕЗОПАСНОСТИ ОПЕРАЦИОННЫХ СИСТЕМ

Большинство программных средств защиты информации являются при­кладными программами. Для их выполнения требуется поддержка операционной системы (ОС). Окружение, в котором функционирует ОС, называется доверенной вычислительной базой (ДВБ)- ДВБ включает в себя полный набор элементов, обеспечивающих информационную безопасность: ОС, программы, сетевое оборудование, средства физической защиты и даже организационные процедуры. Краеугольным камнем этой пирамиды является защищенная ОС.

Угрозы безопасности ОС можно классифицировать по различным аспек­там их реализации [3, с.39-45].

  1. По цели атаки.
  2. По принципу воздействия на операционную систему.
  3. По типу используемой злоумышленником уязвимости защиты.
  4. По характеру воздействия на операционную систему:

Угрозы безопасности ОС можно также классифицировать по таким при­знакам, как: способ действий злоумышленника, используемые средства атаки, объект атаки, способ воздействия на объект атаки, состояние атакуемого объек­та ОС на момент атаки. ОС может подвергнуться следующим типичным атакам.

        Рассмотрим основные механизмы реализации атак. Это необходимо для понимания методов обнаружения этих атак. Кроме того, понимание принципов действий злоумышленников — залог успешной обороны сети.

  1. Сбор информации

2.Изучение окружения

3.Идентификация топологии сети

4.Определение роли узла

  1. Использование легальных каналов доступа к информации.
  2. Использование скрытых каналов доступа к информации.
  3. Создание новых каналов получения информации.

Классификация по характеру воздействия на операционную систему:

  1. Пассивное воздействие.
  2. Активное воздействие.

Отметим также классификацию по цели, осуществляемой атаки:

Перечисленные выше угрозы реализуются путем совершения атак на опе­рационную систему [4, 54-56].

Атакой на операционную систему называются преднамеренные действия злоумышленника, использующие уязвимости операционной системы и приво­дящие к нарушению доступности, целостности и конфиденциальности обраба­тываемой информации.

Традиционная модель атаки строится по принципу «один к одному» или «один ко многим», т.е. атака исходит из одного источни­ка.

Поиск уязвимостей: на этом шаге злоумышленник при помощи различных автоматизированных средств или вручную определяет уяз­вимости, которые могут быть использованы для реализации атаки. В качестве таких автоматизированных средств могут быть использованы ShadowSecurityScanner, nmap, Retina и т.д.

С этого момента начинается попытка доступа к атакуемому узлу. При этом доступ может быть как непосредственный, т.е. проникновение на узел, так и опосредованный, например, при реализации атаки типа «отказ в обслужива­нии». Реализация атак в случае непосредственного доступа также может быть разделена на два этапа:

Проникновение подразумевает под собой преодоление средств защиты периметра (например, межсетевого экрана). Реализовываться это может различными путями. Например, использование уязвимости сервиса компьюте­ра, «смотрящего» наружу или путем передачи враждебного содержания по электронной почте (макровирусы) или через апплеты Java. Такое содержание может использовать так называемые «туннели» в межсетевом экране (не путать с туннелями VPN), через которые затем и проникает злоумышленник. К этому же этапу можно отнести подбор пароля администратора или иного пользовате­ля при помощи специализированной утилиты (например, LOphtCrack или Crack).

После проникновения злоумышленник устанавливает контроль над ата­куемым узлом. Это может быть осуществлено путем внедрения программы контроля над нужным узлом и «заметания» следов, злоумышленник может осуще­ствлять все необходимые несанкционированные действия дистанционно без ве­дома владельца атакованного компьютера. При этом установление контроля над узлом корпоративной сети должно сохраняться и после перезагрузки опе­рационной системы. Это может быть реализовано путем замены одного из за­грузочных файлов или вставка ссылки на враждебный код в файлы автозагруз­ки или системный реестр. Известен случай, когда злоумышленник смог пере­программировать EEPROM сетевой карты и даже после переустановки ОС он смог повторно реализовать несанкционированные действия. Более простой мо­дификацией этого примера является внедрение необходимого кода или фраг­мента в сценарий сетевой загрузки (например, для ОС Novell Netware).

Необходимо отметить, что злоумышленник на этом этапе может пре­следовать две цели. Во-первых, получение несанкционированного доступа к самому узлу и содержащейся на нем информации. Во-вторых, получение не­санкционированного доступа к узлу для осуществления дальнейших атак на другие узлы. Первая цель, как правило, осуществляется только после реализа­ции второй. То есть, сначала злоумышленник создает себе базу для дальнейших атак и только после этого проникает на другие узлы. Это необходимо для того, чтобы скрыть или существенно затруднить нахождение источника атаки.

Этапом завершения атаки является «заметание следов» со стороны зло­умышленника. Обычно это реализуется путем удаления соответствующих за­писей из журналов регистрации узла и других действий, возвращающих атако­ванную систему в исходное, «предатакованное» состояние.

Разработчики сетевых средств защиты (межсетевых экранов, систем об­наружения атак и т.д.) ориентированы именно на традиционную модель атаки. В различных точках защищаемой сети устанавливаются агенты (сенсоры) сис­темы защиты, которые передают информацию на центральную консоль управления. Это облегчает масштабирование системы, обеспечивает простоту уда­ленного управления и т.д. Однако такая модель не справляется с относительно недавно (в 1998 году) обнаруженной угрозой — распределенными атаками.

В модели распределенной атаки используются иные принципы. В отли­чие от традиционной модели в распределенной модели используются отноше­ния «многие к одному» и «многие ко многим»

Распределенные атаки основаны на «классических» атаках типа «отказ в обслуживании», а точнее на их подмножестве, известном как Flood-атаки или Storm-атаки (указанные термины можно перевести как «шторм», «наводнение» или «лавина»). Смысл данных атак заключается в посылке большого количества пакетов на атакуемый узел. Атакуемый узел может выйти из строя, поскольку он «захлебнется» в лавине посылаемых пакетов и не сможет обрабатывать за­просы авторизованных пользователей. По такому принципу работают атаки SYN-Flood, Smurf, UDP Flood, Targa3 и т.д. Однако в том случае, если пропуск­ная способность канала до атакуемого узла превышает пропускную способ­ность атакующего или атакуемый узел некорректно сконфигурирован, то к «ус­пеху» такая атака не приведет. Например, с помощью этих атак бесполезно пы­таться нарушить работоспособность своего провайдера. Но распределенная атака происходит уже не из одной точки Internet, а сразу из нескольких, что приводит к резкому возрастанию трафика и выведению атакуемого узла из строя.

Можно выделить следующие этапы реализации атаки:

Обычно, когда говорят об атаке, то подразумевают именно второй этап, забывая о первом и последнем. Сбор информации и завершение атаки в свою очередь также могут являться атакой и могут быть разделены на три этапа.

Сбор информации — это основной этап реализации атаки. Именно на дан- ном этапе эффективность работы злоумышленника является залогом «успешности” атаки [5, c. 45-51]Сначала выбирается цель атаки и собирается информация о ней. Затем идентифицируются наиболее уязвимые места ата­куемой системы, воздействие на которые приводит к нужному злоумышленни­ку результату. Злоумышленник пытается выявить все каналы взаимодействия цели атаки с другими узлами. Это позволит не только выбрать тип реализуемой атаки, но и источник ее реализации. Например, атакуемый узел взаимодейству­ет с двумя серверами под управлением ОС Unix и Windows NT. С одним серве­ром атакуемый узел имеет доверенные отношения, а с другим — нет. От того, через какой сервер злоумышленник будет реализовывать нападение, зависит, какая атака будет задействована, какое средство реализации будет выбрано и т.д. Затем, в зависимости от полученной информации и желаемого результата, выбирается атака, дающая наибольший эффект. Например:

SYN Flood, Teardrop, UDP Bomb — для нарушения функционирования уз­ла;

CGI-скрипт — для проникновения на узел и кражи информации;

PHF — для кражи файла паролей и удаленного подбора пароля и т.п.

Традиционные средства защиты, такие как межсетевые экраны или меха­низмы фильтрации в маршрутизаторах, вступают в действие лишь на втором этапе реализации атаки, совершенно «забывая» о первом и третьем. Это приво­дит к тому, что зачастую совершаемую атаку очень трудно остановить даже при наличии мощных и дорогих средств защиты. Пример тому — распределен­ные атаки. Логично было бы, чтобы средства защиты начинали работать еще на первом этапе, т.е. предотвращали бы возможность сбора информации об ата­куемой системе. Это позволило бы если и не полностью предотвратить атаку, то хотя бы существенно усложнить работу злоумышленника. Традиционные средства также не позволяют обнаружить уже совершенные атаки и оценить ущерб после их реализации, т.е. не работают на третьем этапе реализации ата­ки. Следовательно, невозможно определить меры по предотвращению таких атак впредь.

1.тотальный перебор;

2.тотальный перебор, оптимизированный по статистике встречаемости символов или с помощью словарей;

3.подбор пароля с использованием знаний о пользователе (его имени, фамилии, даты рождения, номера телефона и т. д.);

Компания Internet Security Systems, Inc. еще больше сократила число воз­можных категорий, доведя их до 5:

Первые 4 категории относятся к удаленным атакам, а последняя — к ло­кальным, реализуемом на атакуемом узле. Можно заметить, что в данную клас­сификацию не попал целый класс так называемых «пассивных» атак («прослу­шивание» трафика, «ложный DNS-сервер», «подмена ARP-сервера» и т.п.).

Классификация атак, реализованная во многих системах обнаружения атак, не может быть категоричной. Например, атака, реализация которой для ОС Unix (например, переполнение буфера statd) может иметь самые плачевные последствия (самый высокий приоритет), для ОС Windows NT может быть во­обще не применима или иметь очень низкую степень риска. Кроме того, суще­ствует неразбериха и в самих названиях атак и уязвимостей. Одна и та же атака, может иметь разные наименования у разных производителей систем обнаруже­ния атак.

Анализ операционных систем на предмет надежности к атакам из вне, так же анализ этапов и атаки  выявил слабые места в операционных системах что с свою очередь говорит  о их надежности.

Список литературы:

  1. Скрыпников А.В., Смирнов М.Ю., Кондрашова Е.В., Дорохин С.В., Скворцова Т.В. Методы, модели, алгоритмы управления процессом строительства, ремонта и содержания лесных автомобильных дорог в условиях ограниченных ресурсов. Международный журнал прикладных и фундаментальных исследований: материалы международной конф-ии «Актуальные вопросы науки и образования», Москва, 2014. – № 6.
  2. Скрыпников А.В., Чернышова Е.В., Заець О.В. Оценка эффективности системы защиты информации автоматизированной системы проектирования сложных многокомпонентных продуктов. Материалы 5-й научно-практической конференции «Междисциплинарные исследования в области математического моделирования и информатики». Тольятти, 2015г.
  3. Скрыпников А.В., Чернышова Е.В., Лыжник Е.А. Разграничение доступа к объектам операционной системы. Материалы 5-й научно-практической конференции «Междисциплинарные исследования в области математического моделирования и информатики». Тольятти, 2015г.
  4. Скрыпников А.В., Чернышова Е.В., Смирнова О.В. Разработка алгоритмов обучения и распознавания с точки зрения повышения информационной безопасности. Национальная ассоциация ученых (НАУ). Ежемесячный научный журнал. №2 (7). Екатеринбург, 2015 г.
  5. Скрыпников А.В., Чернышова Е.В., Чичасова И.С. Методика построения корпоративной системы защиты информации. Материалы 5-й научно-практической конференции «Междисциплинарные исследования в области математического моделирования и информатики». Тольятти, 2015г.[schema type=»book» name=»ОСНОВНЫЕ УГРОЗЫ БЕЗОПАСНОСТИ ОПЕРАЦИОННЫХ СИСТЕМ» author=»Скрыпников Алексей Васильевич, Чернышова Елена Владимировна, Василенко Алексей Владимирович» publisher=»БАСАРАНОВИЧ ЕКАТЕРИНА» pubdate=»2017-04-20″ edition=»ЕВРАЗИЙСКИЙ СОЮЗ УЧЕНЫХ_ 28.03.2015_03(12)» ebook=»yes» ]

404: Not Found404: Not Found