Особенности применения специализированных программ для разведки и взлома защищенных ресурсов вычислительных сетей

 















Особенности применения специализированных программ для разведки и взлома защищенных ресурсов вычислительных сетей

Любая сетевая атака в общем случае может быть разделена на четыре стадии:

Стадия рекогносцировки. На этом этапе нарушитель осуществляет сбор данных об объекте атаки, на основе которых планируются дальнейшие стадии атаки. Примерами такой информации являются: тип и версия операционной системы (ОС), установленной на узлах АС, список пользователей, зарегистрированных в системе, сведения об используемом прикладном ПО и др. При этом в качестве объектов атак могут выступать рабочие станции пользователей, серверы, а также коммуникационное оборудование АС.

Стадия вторжения в АС и атакующего воздействия на АС. На этом этапе нарушитель получает несанкционированный доступ к ресурсам тех узлов АС, по отношению к которым совершается атака. Далее действия направлены на достижение нарушителем тех целей, ради которых предпринималась атака. Примерами таких действий могут являться нарушение работоспособности АС, кража конфиденциальной информации, хранимой в системе, удаление или модификация данных системы и др. При этом атакующий может также осуществлять действия, которые могут быть направлены на удаление следов его присутствия в АС.

Стадия дальнейшего развития атаки. На этом этапе выполняются действия, которые направлены на продолжение атаки на ресурсы других узлов АС.

В качестве потенциальных целей атаки могут выступать рабочие станции, серверы, коммуникационное оборудование, а также каналы связи АС. Атаки могут носить однонаправленный или распределенный характер. Распределенные атаки, в отличие от однонаправленных, проводятся одновременно из нескольких источников. Примером служат распределенные атаки типа «отказ в обслуживании», которые реализуются путем формирования и одновременной посылки из нескольких источников большого числа пакетов данных узлам, являющимся объектами атаки.

Для того, чтобы лучше понять специфику реализации информационной атаки, рассмотрим более подробно каждую из стадий ее жизненного цикла.

Стадия рекогносцировки

Действия атакующего на этапе рекогносцировки направлены на сбор информации, которая используется для выбора методов и средств для дальнейшей реализации атаки. Как правило, для сбора искомой информации используются методы сетевого сканирования. В процессе проведения сканирования атакующий посылает хостам по сети серию запросов, после чего анализирует полученные ответы с целью получения необходимых данных. Наиболее распространенными методами сканирования являются:

сканирование системы на основе протокола ICMP (Internet Control Message Protocol);

сканирование портов, позволяющее получить информацию о сетевых службах, запущенных на хостах АС;

сканирование, предназначенное для идентификации типа операционной системы, установленной на узлах АС;

сканирование прикладных сервисов АС, направленное на получение информации о зарегистрированных пользователях, общедоступных информационных ресурсах и др.

Основное назначение протокола ICMP заключается в формировании диагностических сообщений о работе сетевого оборудования. Эти же служебные ICMP-сообщения могут использоваться для сканирования узлов АС. Для автоматизации процесса ICMP-сканирования могут использоваться различные программные утилиты. Так, например, в состав любой ОС входит служебная утилита «ping», которая позволяет определить доступность узла путем посылки сообщений типа «ICMP Echo», Другими примерами подобных утилит являются «icmpush» и «icmpquery».

Легко видеть, что ICMP-сканирование позволяет получить лишь базовую информацию о работоспособности узлов, а также некоторых других параметрах функционирования системы. Для того, чтобы определить перечень сетевых сервисов, используемых в АС, могут применяться различные способы сканирования TCP- и UDP-портов.

На сегодняшний день можно выделить следующие основные методы сканирования портов:

Метод «TCP Connect», который реализуется путем попытки установления TCP-соединения по заданному порту. В случае, если соединение успешно устанавливается, то это означает, что порт является открытым, в противном случае - закрытым. При этом, согласно стандарту RFC 793, в данном методе сканирования реализуется полноценный трехступенчатый алгоритм установления TCP-соединения, который схематично показан на рис. 1.12.

Метод «TCP SYN», который, в отличие от предыдущего способа, не предполагает полноценного установления TCP-соединения. При использовании данного метода сканируемому узлу посылается только TCP-пакет с флагом SYN. Если в ответ на это сообщение поступает TCP-пакет с флагами SYN и АСК, то порт считается открытым. Если же порт закрыт, то в ответ должен быть получен пакет с флагом RST. Рассмотренный метод также называется «полуоткрытым» сканированием поскольку использует только первый этап установления ТСР-соединения.

Метод «SYN/АСК», согласно которому сканируемому узлу направляется TCP-пакет с флагами SYN и АСК, что соответствует второму этапу установления TCP-соединения (рис. 1.12). В случае, если сканируемый порт является закрытым, то в ответ будет получено сообщение с флагом RST. При поступлении пакета с флагами SYN и АСК на открытый порт, он будет отброшен.

Метод «TCP FIN», при использовании которого хосту посылается TCP-пакет с установленным флагом FIN. В случае если порт, на который посылается такое сообщение, является закрытым, то тогда в ответ должен быть направлен пакет с флагом RST. Данный метод сканирования применим только для ОС класса UNIX, поскольку в системах Windows не предусмотрена отправка каких-либо пакетов в ответ на TCP-пакеты с флагом FIN.

Метод «XMAS tree», в процессе применения которого хосту направляется TCP-пакет с установленными флагами FIN, URG и PUSH. В результате сканирования хост должен послать в ответ сообщение с флагом RST для всех закрытых портов.

Метод нулевого сканирования, предполагающий посылку хосту ТСР- пакета, в котором отсутствуют установленные флаги. В соответствии со стандартом RFC 793 операционная система сканируемого хоста должна отправить в ответ TCP-пакет с флагом RST для всех закрытых портов.

Метод скрытого сканирования «FTP Bounce», позволяющий скрыть реальный источник сканирования за счет использования промежуточных файловых FTP-серверов. Для реализации данного метода атакующийу достаточно подключиться к одному из общедоступных FTP-серверов, после чего при помощи команды PORT попытаться установить соединение со сканируемым хостом по указанному адресу и порту. Затем необходимо выполнить команду LIST для проверки статуса установленного соединения. Если сканируемый порт открыт, то тогда от FTP-сервера будет получен ответ с кодами 150 и 226, в противном случае поступит сообщение с кодом 425 (рис. 1.13). Рассмотренный режим работы протокола FTP более подробно описан в спецификации RFC 959.

Метод «Ident», который предполагает использование в процессе сканирования одноименной сетевой службы ident, характерной для систем класса UNIX. При помощи данной службы удаленные пользователи имеют возможность получить информацию о текущих сетевых соединениях, установленных с сервером. Для этого пользователю достаточно подключиться к службе ident по 113-му порту и ввести в качестве входных данных номера портов отправителя и получателя, после чего будет получена информация о сетевом соединении, которое соответствует введенным параметрам. При помощи перебора значений портов отправителя и получателя потенциальный нарушитель может получить информацию обо всех текущих соединениях и тем самым определить список открытых портов.

Метод сканирования UDP-портов, в процессе которого на заданное множество портов посылается пакет UDP. Получение в ответ сообщения «ICMP port unreachable» означает, что порт закрыт, в противном случае порт может считаться открытым. Однако, учитывая, что в стандарте, описывающем протокол UDP, не определены методы реагирования на UDP-пакеты, поступающие на закрытые порты, точность этого метода зависит от конкретных типов ОС.

Необходимо отметить, что рассмотренные методы сканирования ТСР- портов применимы не ко всем ОС. В частности, некоторые типы систем формируют TCP-пакеты с флагом RST не только по отношению к открытым, но и закрытым портам.

В целях маскирования своих действий по сканированию портов узлов АС атакующийи могут использовать один из следующих способов:

использование фрагментированных IP-дейтаграмм и ТСР-пакетов, разделенных на несколько пакетов данных меньшего размера;

проведение сканирования портов с определенной временной задержкой. Так, например, для того чтобы не вызвать подозрений, атакующийи могут сканировать лишь по несколько портов в день;

сканирование хостов от имени ложных хостов путем подмены реального IP-адреса отправителя.

Использование всех вышеперечисленных способов маскирования направлено на усложнение процесса обнаружения попыток сканирования средствами защиты АС.

После определения списка открытых портов действия нарушителя могут быть направлены на идентификацию прикладных сервисов, которые на них запущены. Для этого, как правило, применяется метод сбора и анализа заголовков ответов (banners) на посланные запросы. В таких заголовках может содержаться информация о типе и версии прикладного ПО, прослушивающего сканируемый порт, и, в некоторых случаях, информация об ОС и аппаратной платформе узла. Текст заголовка можно получить при помощи стандартных утилит типа «telnet». Так, например, на рис. 1.14 приведен пример заголовка, который был получен в ответ на попытку установить соединение с хостом «ftp.netscape.com» по 21 порту при помощи telnet.

На основе информации, показанной на рис. 1.14, можно определить, что на 21-м порте сканируемого хоста запущен FTP-сервер, функционирующий под управлением ОС Sun Solaris.

В настоящее время в сети Интернет существует большое количество программных утилит, позволяющих провести сканирование портов и идентификацию сетевых сервисов АС при помощи рассмотренных выше методов. Наиболее распространенными программами этого типа являются «strobe», «netcat», «portscan» и «пmар».

Кроме сканирования портов на этапе рекогносцировки нарушитель также может совершать действия, направленные на сбор информации о типе ОС, установленной на узлах системы. Для определения типа ОС может быть использован рассмотренный выше метод сбора и анализа заголовков, возвращаемых сетевыми службами. В тех случаях, когда не представляется возможным определить тип ОС на основе полученных заголовков, может быть использован другой метод, который основан на том факте, что разные системы по-разному реализуют требования стандартов RFC, в которых определены правила взаимодействия на основе различных сетевых протоколов. Таким образом, при формировании одних и тех же сетевых запросов разные ОС в ответ отправляют отличные друг от друга данные, на основе которых можно с большой долей вероятности определить характеристики используемой ОС. Данный метод в некоторых случаях также позволяет определить тип аппаратной платформы, на основе которой функционирует та или иная ОС. Ниже приводится описание методов, которые могут быть использованы для идентификации типа ОС с учетом различных реализаций стека TCP/IP:

Метод «FIN Probe», который подразумевает посылку сканируемому хосту TCP-пакета с установленным флагом FIN. Согласно спецификации RFC 793 узлы не должны отвечать на такие сообщения, однако некоторые типы ОС, такие как Windows, BSDI, Cisco, HP/UX, MVS и IRIX отправляют в ответ TCP-пакет с флагами FIN и АСК.

Метод «BOGUSflag Probe», при использовании которого сканируемому хосту посылается TCP-пакет с неопределенным флагом. Некоторые ОС передают аналогичный флаг в ответе на такое сообщение. Примером таких ОС является Linux, версия ядра которой меньше 2.0.35.

Метод анализа значений начальных порядковых номеров ISN (Initial Sequence Numbers), которые используются для идентификации ТСР- соединения. Данный метод основан на том факте, что различные ОС используют разные способы для генерации номеров ISN.

Метод анализа значения флага DF (Dont Fragment). Некоторые типы ОС устанавливают в отправляемых IP-пакетах флаг DF в целях повышения производительности.

Метод анализа начального размера окна TCP. Данный метод позволяет идентифицировать тип ОС на основе значения размерности окна TCP, которое устанавливается различными ОС. Так, например, системы класса Windows используют значение «0х402Е», в то время как системы AIX - «0x3F25».

Метод анализа номеров подтверждения (Acknowledge Number) в полях TCP-пакетов. Метод базируется на том предположении, что различные типы ОС по-разному формируют значения номеров подтверждения.

Метод анализа частоты поступления ICMP-сообщений об ошибках. Согласно стандарту RFC 1812 операционные системы должны ограничивать частоту посылки ICMP-сообщений об ошибках. Некоторые ОС, такие как Linux, выполняют это требование, что делает возможным их идентификацию путем формирования большого количества UDP-пакетов на закрытый порт и анализа частоты поступления сообщений об ошибках.

Метод анализа текста сообщений об ошибках в ICMP-пакетах. Различные виды ОС отсылают разный объем информации для одних и тех же сообщений об ошибках. Эта особенность позволяет определить тип ОС путем анализа полученного текста сообщения.

Метод проверки целостности поступающих ICMP-сообщений об ошибках. Согласно спецификации протокола ICMP, все сообщения об ошибках должны также содержать копию исходного IP-пакета, в ответ на который и отсылается сообщение. Однако некоторые ОС модифицируют исходные поля IP-пакета в возвращаемых сообщениях, что дает возможность провести их идентификацию.

Метод анализа поля «Туре of Service», который основан на проверке поля «ToS» сообщений «ICMP port unreachable». В зависимости от типа ОС в этом поле будут содержаться различные числовые значения.

Метод сканирования на основе фрагментированных IP-дейтаграмм. Метод основан на том, что различные ОС по-разному обрабатывают некорректным образом фрагментированные пакеты данных. В зависимости от результатов этой обработки имеется возможность идентифицировать тип ОС.

Метод сканирования с использованием различных параметров TCP, который предполагает анализ реакции узла на TCP-пакеты с различными значениями в поле «Параметры» (Options).

Наиболее распространенной утилитой для идентификации типа ОС является «пгпар»4, в которой реализовано большинство из рассмотренных методов сканирования ОС.

Еще одним методом сбора информации о параметрах системы может являться сканирование прикладных сервисов, работающих в АС. В данном случае для проведения сканирования используются протоколы прикладного уровня стека TCP/IP, которые поддерживаются прикладными сервисами. В качестве примеров методов сканирования этой группы можно привести следующие:

Метод SNMP-сканирования. Протокол SNMP (Simple Network Management Protocol) предназначен для мониторинга и управления параметрами работы хостов АС. В основу данного протокола заложена модель взаимодействия между агентом и менеджером, в рамках которой в качестве агента выступает управляемый программный модуль, выполняющий функции сбора необходимой информации о работе АС, а также выполнения команд, полученных от менеджера. Агенты SNMP могут быть установлены на рабочих станциях пользователей, серверах, коммуникационном оборудовании и других узлах АС. При этом на стороне агентов информация хранится в специальных структурированных базах данных MIB (Management Information Base). Сканирование заключается в извлечении информации из MIB-баз агентов при помощи SNMP-запросов. Состав информации, которую можно получить при помощи SNMP-сканирования зависит от структуры баз данных MIB. Так, например, сканирование штатного SNMP-агента ОС Windows 2000 может позволить получить список зарегистрированных пользователей, перечень общедоступных файловых ресурсов, имя домена, сведения о запущенных службах и др.

Метод NetBIOS-сканирования, который позволяет использовать одноименный протокол для получения информации о параметрах ОС Windows. Данный метод сканирования позволяет получать информацию о зарегистрированных пользователях, общедоступных файловых ресурсах, списке доменов Windows и др. При этом для сбора этой информации могут использоваться штатные утилиты ОС Windows, такие как «net view» и «nbtstat». Метод NetBIOS-сканирования основан на возможности анонимного подключения к общедоступному ресурсу 1РС$, который по умолчанию присутствует в ОС Windows.

Сканирование при помощи сетевого сервиса finger. Служба finger используется в ОС класса UNIX для предоставления удаленным клиентам информации о пользователях, зарегистрированных в системе. Атакующий может сформировать запросы к данной службе с целью получения списка пользователей, работающих на сканируемом сервере.

Сканирование на основе протокола RPC. Протокол RPC (Remote Procedure Call) обеспечивает возможность взаимодействия распределенных приложений посредством удаленного вызова и исполнения процедур на стороне сервера. Согласно данному протоколу для получения доступа к приложению все клиенты сначала должны подключиться к так называемому картографу портов (RPC portmapper), который предоставляет возможность получения списка приложений, запущенных на сервере, а также номеров портов, по которым они доступны. Эта функциональная особенность протокола RPC может быть использована потенциальным атакующийом для сбора информации о приложениях, присутствующих в АС.

Кроме рассмотренных выше методов сканирования существуют также и другие способы сбора информации, которые могут применяться нарушителем для получения необходимых данных. К таким способам можно отнести следующие:

Анализ сетевого трафика посредством перехвата передаваемых пакетов данных. Для этого атакующий может использовать специальные программные анализаторы трафика, при помощи которых можно определить существующие информационные потоки АС, схему адресации узлов, а также типы сетевых сервисов, используемых в АС;

Анализ информации, опубликованной в общедоступных источниках сети Интернет. Например, такие данные об особенностях АС организации могут присутствовать на ее DNS-серверах или Web-сайтах. Подобная информация также может быть найдена в сообщениях Интернет- форумов, которые публикуются сотрудниками компании;

Использование методов «социальной инженерии» для сбора необходимой информации у сотрудников компании. Методы этого типа предполагают использование обмана и мошенничества для получения нужных данных.

Основная задача сбора информации на этапе рекогносцировки заключается в поиске уязвимых мест АС, которые могут быть использованы при проведении дальнейших стадий атаки.

Итак: Применяем снифферы и сканеры: Xspider 7.5, Nmap, Nessus.

Стадия вторжения и атакующего воздействия

Методы реализации этапов вторжения и атакующего воздействия зависят от большого количества факторов, а именно: откуда проводится атака, что является ее целью, какими средствами защищена система, какие уязвимости используются во время атаки и др. С учетом этого, для иллюстрации возможных действий нарушителя на этих этапах лучше всего рассмотреть несколько примеров различных моделей информационных атак.

Модель информационной атаки на общедоступный Web-портал. Web- порталы представляют собой автоматизированные системы, предназначенные для предоставления различных услуг и сервисов через сеть Интернет. Порталы этого типа могут применяться для решения самых разнообразных задач, таких, например, как реклама в сети Интернет характера деятельности компании, организация Интернет-торговли или же обеспечение работы системы «Клиент-Банк». Этому способствует тот факт, что на сегодняшний день на отечественном рынке информационных технологий представлено несколько готовых промышленных решений, на основе которых возможно построение полнофункциональных Web- порталов. К таким решениям относится семейство продуктов «Internet Information Services» компании Microsoft, «Sun ONE Portal» компании Sun Microsystems и «WebSphere» компании IBM.

Типовая архитектура Web-портала, как правило, включает в себя следующие основные компоненты:

публичные Web-серверы, которые обеспечивают доступ пользователей сети Интернет к информационным ресурсам портала;

кэш-серверы, обеспечивающие временное хранение копии ресурсов, к которым получали доступ Интернет-пользователи. При обращении к ресурсам Web-портала первоначально производится попытка извлечения ресурса из памяти кэш-серверов, и только, если ресурс там отсутствует, запрос передается публичным Web-серверам. Использование кэш-серверов позволяет снизить нагрузку на основные публичные серверы, а также уменьшить время доступа пользователей к кэшированным ресурсам;серверы, обеспечивающие возможность преобразования символьных имен серверов Web-портала в соответствующие им 1Р-адреса;

серверы приложений, на которых установлено специализированное программное обеспечение, предназначенное для управления информационным содержимым Web-портала;

серверы баз данных, которые обеспечивают централизованное хранение информационных ресурсов Web-портала;

коммуникационное оборудование, обеспечивающее взаимодействие между различными серверами Web-портала.



Таблица1Варианты реализации атак на эти компоненты Web-портала

№Компонент Web-порталаОписание возможных атак на Web-портал1Пограничный маршрутизаторАтаки, направленные на нарушение работоспособности маршрутизатора посредством использования уязвимостей реализации стека TCP/IP. В результате реализации атак данного типа блокируется доступ пользователей к ресурсам Web-портала; атаки, направленные на несанкциониров. изменение таблиц маршрутизации с целью блокирования корректного перенаправления пакетов данных Web-cepBepy портала2DNS-серверАтаки, направленные на нарушение целостности таблиц соответствия символьных имен и IP-адресов Web-cepBepa (в случае успешного проведения атаки пользователи будут перенаправляться на ложный сервер и не смогут получить доступ к ресурсам портала); атаки, направленные на нарушение работоспособности DNS-сервера посредством использования уязвимостей типа «buffer overflow»3Web-cepвepРаспределенные атаки типа «отказ в обслуживании», направленные на блокирование доступа к серверу посредством формирования большого количества запросов на установление TCP-соединения из различных источников; атаки, направленные на искажение документов, хранящихся на сервере при помощи вредоносного кода, запущенного посредством использования уязвимостей типа «format string»4Сервер СУБДАтаки, направленные на искажение содержимого баз данных портала посредством использования уязвимостей типа «SQL Injection»; атаки, направленные на нарушение работоспособности сервера СУБД посредством использования уязвимостей типа «buffer overflow»

Как правило, серверы Web-порталов размещаются на территории Интернет-провайдеров, имеющих возможность обеспечить необходимую полосу пропускания каналов, по которым серверы портала подключаются к сети Интернет. Управление Web-порталом в этом случае осуществляется удаленно через Интернет с АРМ. Учитывая, что на публичных Web-порталах, как правило, хранится открытая информация, доступная любому пользователю сети Интернет, то атаки атакующийов могут быть направлены на нарушение конфиденциальности и целостности ресурсов портала.


Исходя из приведенной выше структуры Web-портала, атаки нарушителей могут быть направлены на пограничные маршрутизаторы, публичные Web-серверы, серверы приложений и баз данных, а также DNS-серверы. Различные варианты реализации атак на эти компоненты Web-портала рассмотрены в табл. 1.

Модель атаки, направленной на утечку конфиденциальной информации.

Информационные атаки, направленные на утечку конфиденциальной информации, могут быть разделены на два типа - внешние и внутренние. Источник внешних информационных атак находится за пределами АС, поэтому для их реализации атакующий должен сначала получить несанкционированный доступ к одному из внутренних ресурсов системы. Для этого, как правило, первоначально проводится атака на сетевые службы, доступные из сети Интернет, такие как Web-сервисы, почтовые службы, файловые сервисы и др. В случае успешной атаки на эти ресурсы они могут быть использованы в качестве плацдарма для проведения атаки изнутри АС.

Однако наиболее опасными являются внутренние атаки, в которых в качестве потенциальных атакующийов часто выступают сотрудники компании. При этом такие сотрудники имеют легальный доступ к конфиденциальной информации, который им необходим для выполнения своих функциональных обязанностей. Целью такого рода нарушителей является передача информации за пределы АС с целью ее последующего несанкционированного использования - продажи, опубликования ее в открытом доступе и т. д. В этом случае можно выделить следующие возможные каналы утечки конфиденциальной информации:

Несанкционированное копирование конфиденциальной информации на внешние носители и вынос ее за пределы контролируемой территории предприятия. Примерами таких носителей являются флоппи-диски, компакт-диски CD-ROM, Rash-диски и др.

Вывод на печать конфиденциальной информации и вынос распечатанных документов за пределы контролируемой территории. Необходимо отметить, что в данном случае могут использоваться как локальные принтеры, которые непосредственно подключены к компьютеру атакующего, так и удаленные, взаимодействие с которыми осуществляется по сети.

Несанкционированная передача конфиденциальной информации по сети на внешние серверы, расположенные вне контролируемой территории предприятия. Так, например, атакующий может передать конфиденциальную информацию на внешние почтовые или файловые серверы сети Интернет, а затем загрузить ее оттуда, находясь дома или в любом другом месте. Для передачи информации нарушитель может использовать протоколы SMTP, HTTP, FTP или любой другой протокол в зависимости от настроек фильтрации исходящих пакетов данных, применяемых в АС. При этом с целью маскирования своих действий нарушитель может предварительно зашифровать отправляемую информацию или передать ее под видом стандартных графических или видео-файлов при помощи методов стеганографии.

Хищение носителей, содержащих конфиденциальную информацию - жестких дисков, магнитных лент, компакт-дисков CD-ROM и др.

Модель вирусной сетевой атаки на внутренние информационные ресурсы АС. Информационный вирус представляет собой специально созданный программный код, способный самостоятельно распространяться в компьютерной среде. В настоящее время можно выделить следующие типы вирусов: файловые и загрузочные вирусы, «сетевые черви», бестелесные вирусы, а также комбинированный тип вирусов. В данном разделе рассматривается лишь одна из разновидностей вирусов - «сетевые черви», которые распространяются в системе посредством использования имеющихся уязвимостей программного обеспечения. Вот лишь несколько примеров компьютерных вирусов данного типа, которые основываются на уязвимостях типа «buffer overflow»:

«W32. Blaster.Worm», который базируется на уязвимости «buffer overflow» в службе DCOM RPC ОС Windows 2000/ХР;

«W32.Slammer.Worm», распространение которого по сети осуществляется на основе переполнения буфера в одной из подпрограмм сервера СУБД Microsoft SQL Server 2000;

«W32.Sasser.Worm», который инфицирует хосты путем использования уязвимости «buffer overflow», содержащейся в системной службе LSASS.

Источники вирусных угроз безопасности могут находиться как внутри, так и вовне АС. Внутренние угрозы связаны с действиями пользователей и персонала, обслуживающего АС. Внешние угрозы связаны с вирусными атаками из сети Интернет или других сетей связи общего пользования, к которым подключена АС.

Инфицирование АС вирусами может осуществляться посредством локального или сетевого взаимодействия с узлами АС. Локальное взаимодействие предполагает использование съемных носителей, таких как диски CD-ROM или DVD-ROM, floppy- и zip-диски, USB-диски, а также карты дополнительной памяти, которые применяются в мобильных устройствах, таких как PDA, смартфоны, фотоаппараты и т. д. Инфицирование АС в этом случае может осуществляться посредством загрузки хоста с зараженного носителя или запуска зараженного файла. При этом съемные носители могут подключаться к хостам АС при помощи внешних портов типа USB, FireWire, COM, LPT и др.

Для инфицирования АС через сетевое взаимодействие может быть использован один из следующих базовых методов:

Электронная почта. В соответствии с результатами последних исследований ассоциации ICSA электронная почта является основным каналом проникновения вирусов в АС. В большинстве случае рассылка вируса осуществляется по тем адресам, которые входят в состав адресных книг, хранящихся на зараженных хостах. При этом для передачи инфицированных почтовых сообщений вирусы могут использовать как штатные почтовые клиенты, установленные на хостах, так и собственное клиентское ПО, интегрированное в код вируса.

Инфицирование вирусами может осуществляться по любым протоколам, обеспечивающим возможность передачи почтовых сообщений - SMTP, POP3, IMAP и др.

Пиринговые сети P2P (Peer-To-Peer), которые представляют собой файлообменные сети, для подключения к которым должно использоваться специализированное ПО. Примерами таких сетей являются «eDonkey», «DirectConnet», «BitTorrent» и «Kazaa». За последние несколько лет было зафиксировано несколько видов вирусов, которые распространяли инфицированные файлы через сети данного типа.

Сетевые каталоги и файлы, в которых хранится информация общего доступа. Данный метод инфицирования АС предполагает удаленное заражение файлов, расположенных в общедоступных каталогах. Такие каталоги также могут быть использованы для копирования в них инфицированных файлов. Доступ вирусов к сетевым каталогам и файлам может осуществляться по таким протоколам как SMB, NFS, FTP и др.

Система обмена мгновенными сообщениями (instant messaging). На сегодняшний день большинство систем данного типа, такие как ICQ и Windows Messenger позволяют обмениваться не только текстовыми сообщениями, но и файлами. Эта функциональная возможность может быть использована вирусами для своего распространения среди пользователей, которые применяют на своих рабочих станциях системы обмена сообщениями.

Протоколы доступа к Интернет-ресурсам. Инфицированные файлы могут попасть в АС из сети Интернет по таким протоколам как HTTP, FTP, NNTP и др. При этом заражение хоста через протокол HTTP может осуществляться не только посредством передачи инфицированных файлов, но и ActiveX-объектов, Java-апплетов, а также JavaScript/VBScript-сценариев.

Протоколы доступа к внутренним корпоративным информационным ресурсам, такие как DCOM, CORBA, TDS, RPC и др.

Вирусные атаки могут быть направлены на рабочие станции пользователей, серверы, коммуникационное оборудование и каналы связи. Как правило, сетевые вирусные атаки приводят к следующим последствиям:

нарушение работоспособности инфицированных хостов;

нарушение работоспособности определенных сетевых сервисов, запущенных на инфицированных хостах;

нарушение работоспособности каналов связи в результате генерации большого объема трафика.

Модель атаки на рабочие станции пользователей, работающих с Интернет-ресурсами. Информационные атаки на рабочие станции пользователей, как правило, направлены на получение несанкционированного доступа к информации, хранящейся на этих станциях. Другой распространенной целью атакующийов является получение полного контроля над компьютером пользователя с целью его последующего использования для выполнения несанкционированных действий от имени пользователей. Для реализации этих атак атакующийи могут использовать имеющиеся уязвимости клиентского ПО, установленного на рабочих станциях пользователей. Примером программных продуктов, которые могут быть подвержены атакам, являются Интернет-браузеры, почтовые клиенты, FTP-клиенты для загрузки файлов и др. Для успешного проведения атаки к клиентской программе должен поступить вредоносный код, предназначенный для использования имеющейся в ней уязвимости. Для этого нарушитель может сделать так, чтобы пользователь при помощи Интернет-браузера обратился к ресурсу определенного Web-сайта, с которого автоматически на компьютер пользователя будет загружен вредоносный код. Еще одним способом проведения атаки является посылка пользователю электронного письма, содержащего вредоносный код, который автоматически будет запущен при просмотре почтового сообщения.

Наиболее распространенные уязвимости Интернет-браузеров, на основе которых атакующийи могут реализовывать информационные атаки, приведены ниже.

Уязвимости типа «buffer overflow», при помощи которых нарушитель может запустить на стороне рабочей станции произвольный вредоносный код.

Неправильная конфигурация Интернет-браузера, позволяющая загружать вредоносные объекты ActiveX. ActiveX-объекты представляют собой полноценные программные приложения, имеющие высокие привилегии работы в ОС.

Уязвимости в реализации виртуальной машины Java, интегрированной в Интернет-браузеры. Данную уязвимость могут использовать Java- апплеты, являющиеся специальными программами, которые выполняются в среде браузера. В результате использования уязвимости такого типа может быть нарушена работоспособность браузера или собрана информация о компьютере, на котором запущен Java-апплет.

Ошибки в ПО браузера, позволяющие получать несанкционированный доступ к файловым ресурсам рабочих станций. Уязвимости данного типа могут быть использованы при помощи сценариев JavaScript/VBScript, запускаемых при доступе пользователя к ресурсам Web-сайта атакующего.

Ошибки в ПО браузера, которые могут использоваться атакующегоми для подделки Web-сайтов. На основе уязвимости данного типа может быть проведена атака, в результате которой пользователь будет перенаправлен на Web-сайт нарушителя, в то время как в адресной строке браузера будет отображаться имя легального информационного ресурса.

Рассмотренные уязвимости характерны для большинства современных Интернет-браузеров, включая Internet Explorer, Mozilla FireFox и Opera, для которых не установлены соответствующие модули обновления программного обеспечения.

На этой стадии работаем с программами по взлому.

Наиболее распространенные и востребованные программы от журнала «Хакер»: 1. Back Orifice #"justify">.Flood Bot Front End #"justify">4.ICQ Flooder #"justify">у в ICQ сети. Очень проста в обращении. Приятный интерфейс. 6.WinNuke #"justify">.MultiLate #"justify">.Essential Net Tools #"justify">.Legion.NetBiosTool #"justify">а. Сама подключает сетевые диски.

.Ident IRC crasher #"justify">.IRC Killer #"justify">.Icq Shut Down #"justify">.PortScan 7 Phere #"justify">.PortFuck #"justify">.KaBoom #"justify">.NetBus Version2.0 Pro #"justify">21.Multi Trojan Cleaner #"justify">.PGP http:/www.pgpi.com Самая популярная программа шифрования с открытым ключом. Широко используется в электронной почте (e-mail).

Применение некоторых из перечисленных программ в целях совершения неправомерных действий может привести к уголовной ответственности (как, впрочем, и использование в тех же целях кухонного ножа, топора, ксерокса или, например, монтировки).

Стадия дальнейшего развития атаки

На последней стадии проведения информационной атаки атакующий может совершать следующие основные группы действий:

установка вредоносного ПО на атакованный узел с целью получения удаленного канала управления;

использование атакованного узла в качестве плацдарма для проведения атаки на другие узлы АС;

скрытие следов своего присутствия в системе.

После того, как атакующий смог получить несанкционированный доступ к ресурсам узла АС посредством использования различных уязвимостей, он может установить на этот узел вредоносное программное обеспечение типа «троянский конь» (Trojan Horses). В настоящее время можно выделить два основных вида программ типа «Троянский конь»:

программы типа RAT (Remote Access Trojans) или «Backdoor», предоставляющие атакующийу возможность удаленного несанкционированного доступа к хостам АС. Примерами таких программ являются «BackOrifice», «SubSeven», «Cafeene» и др.

программы типа «Rootkits», которые представляют собой набор специализированных программных средств, позволяющих нарушителю получить удаленный доступ к хостам АС, а также выполнять действия по перехвату клавиатурного ввода, изменению журналов регистрации, подмены установленных приложений и т. д.

Как правило, троянские программы маскируются под штатное ПО операционной системы, что осложняет процесс их выявления и удаления из АС. Программы данного класса предполагают наличие удаленного канала управления, при помощи которого нарушитель может выполнять команды на хостах. Каналы управления троянскими программами могут быть двух типов.

Канал, в котором инициатором соединения является узел атакующего. Такой метод управления предполагает запуск на инфицированном компьютере сетевой службы, прослушивающей определенный TCP- или UDP-порт. При возникновении необходимости в передаче команды управления программа нарушителя устанавливает соединение с хостом и посылает заданную информацию. Характерной особенностью каналов управления данного типа является использование нестандартных номеров портов и протоколов, по которым передаются команды программам типа «Троянский конь».

Канал, в рамках которого команды передаются по инициативе троянской программы. При использовании такого метода управления троянская программа с заданной периодичностью подключается к внешнему ресурсу и получает от него определенные команды. Как правило, передача команд управления в этом случае осуществляется по стандартным протоколам сети Интернет, таким как SMTP, POP3 или HTTP. Обнаружение несанкционированных каналов управления данного типа осложнено тем, что в процессе их работы не используется специфических протоколов или номеров портов.

Кроме троянских программ нарушитель может также установить на рабочую станцию пользователя другой вид вредоносного ПО - «spy- ware» или «adware». Программы типа «spyware» предназначены для сбора определенной информации о работе пользователя. Примером таких данных может служить: список Web-сайтов, посещаемых пользователем, список программ, установленных на рабочей станции пользователя, содержимое сообщений электронной почты и др. Собранная информация перенаправляется программами «spyware» на заранее определенные адреса в сети Интернет. Вредоносное ПО данного типа может являться потенциальным каналом утечки конфиденциальной информации из АС.

Основная функциональная задача вредоносных программ класса «adware» заключается в отображении рекламной информации на рабочих станциях пользователей. Для этого, как правило, эти программы показывают на экране пользователя рекламные баннеры, содержащие информацию о тех или иных товарах и услугах. В большинстве случаев программы «adware» распространяются вместе с другим ПО, которое устанавливается на узлы АС. Несмотря на то, что программы типа «adware» не представляют непосредственную угрозу для конфиденциальности или целостности информационных ресурсов АС, их работа может приводить к нарушению доступности вследствие несанкционированного использования вычислительных ресурсов рабочих станций. Кроме того, программы «adware» могут отвлекать пользователей от выполнения своих служебных обязанностей из-за необходимости выполнять действия, связанные с закрытием диалоговых окон с рекламной информацией.

На основе удаленного канала управления, установленного при помощи программ типа «троянский конь», атакующийи могут использовать скомпрометированные узлы в качестве стартовой площадки для проведения других атак. При этом обеспечивается анонимность атаки, поскольку реализуется она фактически от имени чужих узлов. Вот лишь некоторые примеры действий, которые может совершать нарушитель при помощи узлов:

Рассылка спама. Для этого на контролируемые атакующийом узлы устанавливается ПО почтового сервера, при помощи которого осуществляется массовая рассылка почтовой корреспонденции.

Проведение распределенных атак типа «отказ в обслуживании». В этом случае по команде атакующего узлы, находящиеся под его контролем, могут начать одновременную атаку на указанный хост. Примером такой атаки может являться генерация большого количества запросов на установление соединения, в результате которых может быть заблокирован доступ к атакованному хосту.

Проведение сканирования подсети, в которой расположен скомпрометированный узел. Для этого выполняются действия, относящиеся к стадии рекогносцировки жизненного цикла атаки.

Для снижения риска обнаружения информационной атаки атакующий может применять различные методы скрытия следов своего присутствия в АС. Для этого, в первую очередь, осуществляется удаление записей журналов регистрации, которые могут указывать на признаки проведения атаки. При этом удаляется информация не только из системных журналов, таких как SysLog или EventLog, но и журналов прикладного ПО, на которое совершалась атака. Так, например, если была проведена атака на WеЬ-сервер Microsoft IIS, то данные о действиях нарушителя могут быть сохранены в журнале этого сервера.

Помимо очистки журналов аудита нарушителем могут совершаться действия и по маскированию вредоносного ПО, которое было установлено в системе. Для этого файлы вредоносных программ могут заменять собой файлы компонентов ОС. В данном случае можно не заметить изменений, поскольку не изменится состав файлов, хранящихся на компьютере.

программа вычислительный сеть портал



Особенности применения специализированных программ для разведки и взлома защищенных ресурсов вычислитель

Больше работ по теме:

Предмет: Информационное обеспечение, программирование

Тип работы: Контрольная работа

Новости образования

КОНТАКТНЫЙ EMAIL: MAIL@SKACHAT-REFERATY.RU

Скачать реферат © 2018 | Пользовательское соглашение

Скачать      Реферат

ПРОФЕССИОНАЛЬНАЯ ПОМОЩЬ СТУДЕНТАМ