Средства нарушения безопасности компьютерных сетей
Если вирусы и троянские кони наносят ущерб посредством лавинообразного саморазмножения или явного разрушения, то основная функция РПС, действующих в компьютерных сетях, —взлом атакуемой системы, т.е. преодоление защиты с целью нарушения безопасности и целостности.
В более 80%компьютерных преступлений, расследуемых ФБР, "взломщики" проникают в атакуемую систему через глобальную сетьInternet. Когда такая попытка удается, будущее компании, на создание которой ушли годы, может быть поставлено под угрозу за какие-то секунды.
Этот процесс может быть автоматизирован с помощью специального вида РПС, называемого сетевой червь. Червями называют вирусы, которые распространяются по глобальным сетям, поражая целые системы, а не отдельные программы. Несомненно, это самый опасный вид вирусов, так как объектами нападения в этом случае становятся информационные системы государственного масштаба. С появлением глобальной сети Internetэтот вид нарушения безопасности представляет наибольшую угрозу, т. к. ему в любой момент может подвергнуться любой из 30миллионов компьютеров, подключенных к этой сети.
Наиболее известен вызвавший всемирную сенсацию и привлекший внимание к вирусной проблеме инцидент с вирусом-червем в глобальной сети Internet. Второго ноября1988года студент Корнелловского университета Роберт Моррис (RobertMorris) запустил на компьютере Массачусетского технологического института программу-червь, которая передавала свой код с машины на машину, используя ошибки в системеUNIXна компьютерахVAXиSun. В течение 6часов были поражены 6000компьютеров, в том числе Станфордского университета, Массачусетского технологического института, Университета Беркли и многих других. Кроме того, были поражены компьютеры Исследовательского института НАСА и Национальной лаборатории Лоуренса в Ливерморе —объекты, на которых проводятся самые секретные стратегические исследования и разработки. Червь представлял собой программу из 4000 строк на языке "С" и входном языке командного интерпретатора системыUNIX. Следует отметить, что вирус только распространялся по сети и не совершал каких-либо разрушающих действий. Однако это стало ясно только на этапе анализа его кода, а пока вирус распространялся, в вычислительных центрах царила настоящая паника. Тысячи компьютеров были остановлены, ущерб составил многие миллионы долларов.
Обычно целью взлома сетей является приобретение нелегальных прав на пользование ресурсами системы. Таким образом, если раньше РПС пассивно вносился в систему, и для его инициализации необходимы были действия пользователя, то сейчас РПС сам проникает в систему и само определяет время и степень своей активности.
Иногда взлому системы предшествует "разведка" — исследование средств защиты атакуемой системы с целью обнаружения слабых мест и выбора оптимального метода атаки. Это могут быть как тривиальные попытки подбора паролей (кстати, 80%атак осуществляются именно этим способом) так и попытки проанализировать имеющееся на атакуемой машине программное обеспечение на предмет наличия в нем "дыр" или "люков", позволяющих злоумышленнику проникнуть в систему.
Таким образом, возникает специфический вид РПС — программы, осуществляющие проникновение в удаленную систему. Это дает возможность злоумышленнику лично, или с помощью других программ, осуществлять НСД к ресурсам этой системы, нарушать ее безопасность и целостность и т. д.
- Сборник информационных материалов по курсу «Защита информации и информационная безопасность»
- Вопрос 1.
- Основные понятия безопасности компьютерных систем.
- Современные программные угрозы информационной безопасности.
- Компьютерные вирусы.
- Троянские кони (программные закладки).
- Средства нарушения безопасности компьютерных сетей
- Вопрос 2.
- Угроза раскрытия
- Угроза целостности
- Угроза отказа служб
- Субъекты, объекты и доступ
- Уровни безопасности, доверие и секретность
- Вопрос 3.
- Объектно-концептуальная модель рпс.
- Пространство отношений доступа к объектам вс.
- Использование понятия легитимности при построении модели безопасности вс.
- Вопрос 4. Классификация удаленных атак на компьютерные сети Понятие удаленной атаки
- Вопрос 5. Политики и модели безопасности
- Модели дискретного доступа
- Модели мандатного доступа
- Модель Белла и Лападула
- Удаленное чтение
- Доверенные субъекты
- Проблема системы z
- Модель системы безопасности с полным перекрытием
- Модели контроля целостности
- Модель понижения уровня субъекта
- Модель понижения уровня объекта
- Объединение моделей безопасности
- Проблемы контроля целостности ядра системы
- Вопросы 6 и 7. Методы анализа безопасности программного обеспечения.
- Контрольно-испытательные методы анализа безопасности по.
- Логико-аналитические методы анализа безопасности по.
- Вопрос 8. Анализ novell netware с точки зрения таксономии причин нарушения информационной безопасности
- Неправильное внедрение модели безопасности
- 1. Отсутствие подтверждения старого пароля при его смене.
- 2. Недостатки в реализации опций Intruder detection и Force periodic password changes.
- 3. Слабое значение идентификатора супервизора.
- 4. Право на создание файлов в каталоге sys:mail.
- 5. Ненадежность атрибута «только для выполнения».
- 6. Получение прав пользователя сервером очереди.
- 1. Возможность обращения хэш-функции
- 2. Атака с использованием сервера печати.
- 3. Использование состояния отсутствия информации.
- 1. Приведение базы данных связок в неработоспособное состояние.
- 2. Недостатки механизма подписи пакетов.
- 1. Передача нешифрованных паролей программой syscon.
- Ошибки в администрировании системы
- 1. Наличие права на запись в системный каталог
- 2. Наличие права на чтение sys:system
- Вопросы 9-10. Механизмы реализации основных типов удаленных атак
- 1. Анализ сетевого трафика.
- 6. Сетевой червь (worm).
- Вопрос 11. Удаленные атаки на ос novell netware 3.12
- 2. Ложный сервер сети Novell NetWare 3.12.
- Вопрос 13. Удаленные атаки на хосты internet
- 1. Исследование сетевого трафика сети Internet.
- 2. Ложный arp-сервер в сети Internet.
- 3. Ложный dns-сервер.
- 4. Навязывание хосту ложного маршрута с помощью протокола icmp для создания в сети ложного маршрутизатора.
- 5. Подмена одного из участников сетевого обмена в сети при использовании протокола tcp.
- 6. Использование недостатков идентификации tcp-пакетов для атаки на rsh-сервер.
- Вопросы 14 – 16. Использование систем firewall
- Достоинства применения Firewall.
- Недостатки, связанные с применением Firewall.
- Структура и функционирование Firewall.
- Принципы работы Firewall.
- Режим доступа к службам.
- Усиленная аутентификация.
- Фильтрация пакетов.
- Шлюзы прикладного и сетевого уровня.
- Вопросы 17-21. Основные схемы защиты на основе Firewall.
- Firewall — маршрутизатор с фильтрацией пакетов.
- Firewallна основе шлюза.
- Экранированный шлюз.
- Firewall –экранированная подсеть.
- Объединение модемного пула с Firewall
- Вопрос 22. Особенности защиты сетей на основе Firewall
- Этапы разработки политики доступа к службам.
- Гибкость политики.
- Обеспечение Firewall.
- Администрирование Firewall.