logo search
otvety_po_uib

10. Этапы реализации компьютерных атак. Основное содержание этапов.

Общая характеристика этапов реализации компьютерных атак

Реализация атаки представляет собой совокупность различных этапов, составляющих некоторую последовательность действий нарушителя. В общем виде атака может быть описана следующей последовательностью действий:

1) информационно-поисковая (разведывательно-аналитическая) дея-тельность: пассивная и активная;

2) получение доступа к атакуемому объекту (информационное взаимо-действие с ним), с возможным расширением полномочий в системе, в целях

- несанкционированного доступа к данным (несанкционированное чте-ние или изменение данных);

- нарушение функционирования системы;

3) сохранение последующего доступа к атакуемому объекту;

4) сокрытие факта атаки.

На первом этапе нарушитель собирает общую информацию об объекте атаки. Для этого используются как пассивные (например, уточнение имени до¬мена, системы, серверов организации), так и активные методы (IP-адрес, открытые порты, версии и типы операционных систем атакуемого объекта). Одним из наиболее популярных видов пассивной атаки является анализ сетевых пакетов, который осуществляется посредством анализаторов протоколов (sniffers). Это программы, устанавливаемые, как правило, на оп-ределенный сегмент сети, "прослушивают" весь проходящий по нему сетевой трафик. При помощи этих программ нарушитель имеет возможность автоматического поиска такой информации, как идентификаторы и пароли зарегистрированных пользователей. К таким программам можно отнести Microsoft Network Monitor, NetXRay, Аnalyzer, Ethereal.

Активные методы предполагают, как правило, сканирование атакуемого объекта для выяснения его особенностей. Основными данными, которые нарушитель стремится получить в ходе применения активных методов, являются: доступные узлы сети, расположение и тип маршрутизаторов и межсетевых экранов, версии установленных операционных систем, открытые порты, функционирующие службы, версии программных продуктов. С этой целью нарушителем могут использоваться такие программы, как XSpider, Nmap, Nessus, Internet и Shadow Security Scanner, а так же программы сканирования телефонных линий.

На втором этапе нарушитель пытается получить доступ к атакуемому объекту: установить информационное взаимодействие с ним, т.е. организовать сеанс или войти в систему (по сети или интерактивно), после успешного осуществления процесса аутентификации или некоторым образом минуя его. Основной целью нарушителя на этом этапе является осуществление несанкционированного чтения или изменения данных, или же нарушениие функционирования объекта (системы).

Атаки, реализуемые в рамках второго этапа, характеризуются, как правило, сетевым характером проникновения в систему, т.е. удаленным доступом по сети к атакуемому объекту. Часто к таким атакам относят следующие классы атак: подмены (spoofing), захват сеанса и отказ в обслуживании (Denial of Service — DoS).

Во многих случаях организация сеанса в компьютерных IP-сетях осуществляется на основе некриптографического трехэтапного процесса аутентификации, используя пакеты протокола TCP. В этом случае нарушитель для установления соединения пытается “захватить” сеанс, т.е. подменить легитимного субъекта выдав себя за него. Возможно также установление информационного взаимодействия с атакуемым объектом, в т.ч. и одностороннее, посредством подмены адреса (MAC, IP или символьного адреса, зарегистрированного в системе доменных имен или DNS-сервере). Это приводит к созданию на запланированном нарушителем хосте ложного объекта (ARP-сервера или DNS-сервера), и прохождению информационного потока данных через него. Кроме этого, возможна атака, при которой осуществляется перенаправление пакетов по ложному маршруту, посредством создания ложного маршрутизатора.

Нарушитель для доступа и проникновения в компьютерную систему может использовать различные варианты: службы, порты, недоваренное программное обеспечение, учетные записи пользователей (пароли), люки, скрытые функциональные возможности программ ("троянские кони").

Сервисная служба – это специальная серверная программа, которая работает на компьютере и выполняет определенную задачу по обеспечению информационного взаимодействия. Например, на DNS-сервере работает служба, которая обрабатывает запросы на распознавание символьных имен и их преобразование в IP-адреса. Службы, как правило, запускаются и функционируют с полномочиями администратора. При этом взлом нарушителем службы может привести к получению им соответствующего уровня доступа. За сервисными службами закрепляются привилегированные порты (Приложение 1). Анализ атак на сервисные службы приведен в следующем параграфе. Открытость портов обусловливает возможность организации соединения нарушителя с атакуемой системой через них с последующим выполнением информационных воздействий или неправомерных запросов. Опасность использования недоваренного стороннего программного обеспечения заключается в возможности наличия в нем встроенных вирусов или люков в программе. Неправильная парольная политика может обусловить хищение хэш-кодов паролей, их взлом и последующий вход в систему под зарегистрированным пользователем. Распространенный метод получения доступа к удаленной системе состоит во внедрении программы типа "троянский конь". У нее есть открытая и скрытая функции. Открытая функция работает и отвлекает внимание пользователя, в то время как скрытая выполняет определенные действия. Так, например, для проникновения в вашу систему, нарушитель может отправить электронное письмо с вложением, которое по содержанию не вызывает опасения, однако при его запуске, оно создает люк для доступа к компьютеру, которым может позднее воспользоваться злоумышленник.

Вход в систему, как правило, осуществляется с использованием зарегистрированной учетной записи: идентификатором и паролем легитимного пользователя, которые могли быть установлены в ходе первого этапа атаки или же подобраны с помощью специализированных программ. Возможен вход нарушителя в систему (или на объект, например FTP-сервер) и под анонимным пользователем.

В случае, если нарушитель не получает доступа к конфиденциальным данным, то он предпринимает попытку расширения своих полномочий. С этой целью нарушитель пытается воспользоваться известными для конкретной операционной системы эксплоитами, осуществляет перебор возможных уязвимостей для рабочих приложений, а также поиск возможностей неправильной конфигурации объекта атаки. Например, субъект атаки “взломал” учетную запись зарегистрированного пользователя, чтобы войти в систему, но так как у него нет доступа с правами администратора, то он не сможет прочитать важный файл. В этом случае требуется расширение полномочий для получения статуса необходимого для доступа ко всей критичной (конфиденциальной) информации. При расширении полномочий, вплоть до полного доступа, у нарушителя появляется возможность несанкционированного получения критичных данных.

В общем случае для расширения полномочий нарушителю необходимо вскрытие (взлом) паролей высокопривилегированных пользователей (например, группа Администраторы). С этой целью осуществляется несанкционированный доступ к базе данных учетных записей (SAM – Security Account Maager), где хранятся идентификаторы и пароли всех пользователей системы, и извлечение хэш-кодов парольной информации и последующее применение программ автоматического подбора паролей по его хэш-коду. Такие программы реализуются на основе двух методов: полный перебор возможных вариантов («метод грубой силы»), подбор пароля с использованием словаря возможных вариантов. Примером программ, которые подбирают пароли зарегистрированных пользователей являются программы LOphtCrack, PWDump2 для Windows или Crack, XIT, Slurpie для Unix. Если нарушитель получает права пользователя, используя его ID и пароль, то в его распо¬ряжении будут все файлы этого пользователя.

Помимо несанкционированного чтения и изменения конфиденциальных данных, нарушитель может нарушить режим обслуживания легитимных пользователей или компьютеров сети. Такой класс атак получил наименование отказ в обслуживании. Атаки этого класса позволяют нарушить функционирование системы или перегрузить компьютер. При этом такие атаки так же, как и многие атаки других классов, могут быть реализованы локально либо удаленно. Так при реализации локального варианта атаки может быть использована программа, которая загружает центральный процессор компьютера бесконечным циклом, что приводит к невозможности обработки запросов других приложений. Реализация удаленного варианта атаки отказа в обслуживании может быть осуществлена при использовании нарушителем таких программ, как Teardrop или trin00. Примером класса удаленных атак, приводящих к отказу в обслуживании, является «шторм» или «лавина» пакетов направленных на атакуемый объект (flooding, например SYN-flooding).

Если нарушителем получен доступ к системе, то он может предусмотреть варианты для последующего входа в нее. Это осуществляется для несанкционированного чтения/изменения данных или для подготовки к проведению последующей атаки другой системы или узла.

Для сохранения возможности последующего доступа нарушитель загружает на атакуемый объект необходимые для этого люки и программы, ти-па "троянских коней", в которых есть открытые и скрытые функции. Возможный вариант применения люков состоит в замене одного из системных файлов другим, который позволяет скрыто войти в систему. Например, нарушитель может переписать программу регистрации в системе, которую используют легитимные пользователи для доступа. Она будет работать, как и раньше, но если встроить определенное имя пользователя, то через него можно будет входить в систему, автоматически получая права администратора. Такие измененные программы называются "троянскими версиями" исходных программ из-за внедренных в них скрытых функций. Лазейку в систему можно создать также, установив программу, которая будет работать через некий порт, при подключении к которому нарушитель получает полный доступ к компьютеру. Для обеспечения повторного доступа используются программы типа Back Orifice (программа позволяющая реализовать атаку удаленного проникновения на атакуемый объект). Следует заметить, что иногда нарушителю не обязательно сохранять свои полномочия на будущее.

Последний этап заключается в сокрытии нарушителем факта проводимой атаки. С этой целью нарушитель может использовать различные способы сокрытия своей несанкционированной деятельности: подмена адреса источника атаки; изменение содержания журналов регистрации; создание ложных пакетов; использование чужих компьютеров для атаки; фрагментация атаки; скрытие файлов и данных. Основным способом можно считать обновление регистрационных файлов журналов аудита. Это обусловлено тем, что в них содержится информация о том, кто получал доступ и когда, а следовательно, при его просмотре администратор безопасности может обнаружить, что в системе побывал нарушитель, и проследить его действия.

На основе анализа рассмотренных этапов можно заключить, что атака не всегда будет характеризоваться наличием всех четырех этапов. Многие атаки могут быть реализованы посредством действий нарушителя только на первых двух этапах, или на одном из них, при этом второй этап можно считать основным.