Тема лекции №2. Угрозы компьютерной безопасности и основные виды атак на компьютерные системы.

Учебные вопросы:

1. Проблемы безопасности компьютерных систем ( сетей). Понятие угрозы. Причины возникновения угроз безопасности информации.

2. Факторы, воздействующие на защищаемую информацию. Классификация угроз.

3. Основные направления и методы реализации угроз.

4. Основные виды атак на АС.

Вопрос №1.

 

Проблемы обеспечения ИБ в корпоративных компьютерных системах (сетях) обусловлены угрозами безопасности для локальных рабочих станций, локальных сетей и атаками на корпоративные сети, имеющими выход в общедоступные сети передачи данных.

Целями нарушителей, осуществляющих атаки, являются (слайд):

- нарушение конфиденциальности передаваемой информации;

- нарушение целостности и достоверности передаваемой информации;

- нарушение работоспособности всей системы или отдельных ее частей.

Распределенные системы подвержены прежде всего удаленным атакам, поскольку компоненты распределенных систем обычно используют открытые каналы передачи данных, и нарушитель может не только проводить пассивное прослушивание передаваемой информации, но и модифицировать передаваемый трафик (активное воздействие).

Трудность выявления факта удаленной атаки выводит этот вид неправомерных действий на первое место по степени опасности и препятствует своевременному реагированию на осуществленную угрозу, в результате чего у нарушителя увеличиваются шансы успешной реализации атаки.

Безопасность локальной сети отличается от безопасности межсетевого взаимодействия тем, что на первое по значимости место выходят нарушения зарегистрированных пользователей, поскольку в этом случае каналы передачи данных локальной сети находятся на контролируемой территории и защита от несанкционированного подключения к которым, реализуется административными методами (слайды).

Угроза – потенциальная возможность нарушения защиты.

Угроза безопасности – совокупность условий и факторов, создающих опасность жизненно важным интересам личности, общества и государства.

Угроза безопасности информации – совокупность условий и факторов, создающих потенциальную или реально существующую опасность, связанную с утечкой информации и/или непреднамеренными и/или несанкционированными воздействиями на неё.

Виды угроз:

· угрозы конституционным правам и свободам человека и гражданина;

· угрозы информационному обеспечению государственной политики РФ;

· угрозы развитию отечественной индустрии информации;

· угрозы безопасности ИТКС.

Информационные сферы РФ (слайд)

- внутренняя политика;

- внешняя политика;

- правопорядок и суды;

- наука и техника;

- чрезвычайная ситуация;

- ЕСЭ;

- оборона;

- ИТКС;

- экономика.

 

Причинами возникновения угроз безопасности информации являются (слайд):

· утечка информации;

· несанкционированное воздействие;

· непреднамеренное воздействие.

 

Вопрос №2 (слайды).

Факторы, воздействующие на защищаемую информацию – явления, действия или процессы, результатом которых могут быть утечка, искажение, уничтожение защищаемой информации и блокирование доступа к ней (ГОСТ Р 51275-99) (слайд).

Угрозы ИБ и их классификация представлены на слайде.

Вопрос №3.

Основные направления и методы реализации угроз показаны на слайдах.

Вопрос №4.

I. Информация, обрабатываемая в корпоративных компьютерных системах (сетях), является особенно уязвимой, чему способствуют:

- увеличение объемов обрабатываемой, передаваемой и хранимой в компьютерах информации;

- сосредоточение в базах данных информации различного уровня важности и конфиденциальности;

- расширение доступа круга пользователей к информации, хранящейся в БД, и к ресурсам вычислительной сети;

- увеличение числа удаленных рабочих мест;

- широкое использование глобальной сети Интернет и различных каналов связи;

- автоматизация обмена информацией между компьютерами пользователей.

 

Проблемы обеспечения информационной безопасности в проводных КС (слайд) связаны с:

- угрозами безопасности локальных рабочих станций;

- угрозами ЛВС;

- с угрозами корпоративных сетей.

На практике компьютерные системы (сети) уязвимы для многих способов несанкционированного вторжения в процесс обмена данными. По мере развития компьютерных и сетевых технологий (с появлением мобильных Java -приложений и элементов ActiveX) список возможных типов угроз (сетевых атак) на компьютерные системы (сети) постоянно расширяется.

Наиболее распространёнными являются следующие виды угроз (атак) (слайд):

· подслушивание (sniffing)

В основном данные по компьютерным сетям передаются в незащищенном формате (открытым текстом), что создает возможность подслушивать или считывать трафик. Для подслушивания в компьютерных сетях используют сниффер. Сниффер пакетов – представляет собой прикладную программу, которая перехватывает все сетевые пакеты, передаваемые через определенный домен.

В настоящее время снифферы работают в сетях на вполне законном основании. Они используются для диагностики неисправностей и анализа трафика. Поскольку некоторые сетевые приложения передают данные в текстовом формате (Telnet, FTP, SMTP, POP3 и т.д.), с помощью сниффера можно узнать полезную, а иногда и конфиденциальную информацию (имена пользователей и пароли).

Перехват пароля, передаваемого по сети в незашифрованной форме, путем «подслушивания» канала является разновидностью атаки подслушивания, которую называют password sniffing. Перехват имен и паролей таит большую опасность, так как пользователи часто применяют один и тот же логин и пароль для множества приложений и систем. Если приложение работает в режиме клиент/сервер, а аутентификационные данные передаются по сети в читаемом текстовом формате, эту информацию с большой вероятностью можно использовать для доступа к другим корпоративным или внешним ресурсам.

Предотвратить угрозу сниффинга пакетов можно с помощью применения для аутентификации однократных паролей, установки аппаратных и программных средств, распознающих снифферы, применения криптографической защиты каналов связи.

· изменение данных

При прочтении данных со стороны злоумышленника существует возможность их изменения. Данные в пакете могут быть изменены, даже если злоумышленник ничего не знает ни об отправителе, ни о получателе.

· анализ сетевого трафика.

Целью атак подобного типа является прослушивание каналов связи и анализ передаваемых данных и служебной информации для изучения топологии и архитектуры построения системы, получения критической пользовательской информации (паролей пользователей, номеров кредитных карт, передаваемых в открытом виде). Атакам этого типа подвержены такие протоколы, как FTP или Telnet, особенностью которых является то, что имя и пароль пользователя передаются в рамках этих протоколов в открытом виде.

· подмена доверенного субъекта

Подмена IP-адреса отправителя другим называют фальсификацией адреса (IP-spoofing). Имеет место, когда злоумышленник, находящийся внутри корпорации или вне ее, выдает себя за законного пользователя. Он может воспользоваться IP-адресом, находящимся в пределах диапазона санкционированных IP-адресов, или авторизованным внешним адресом, которому разрешается доступ к определенным сетевым ресурсам. Могут быть использованы специальные программы, формирующие IP-пакеты таким образом, чтобы они выглядели как исходящие с разрешенных внутренних адресов корпоративной сети.

Атаки IP-спуфинга порождают атаки типа «отказ в обслуживании» (DoS), которые начинаются с чужого адреса, скрывающего истинную личность хакера.

Угрозу спуфинга можно ослабить (но не устранить) с помощью правильной настройки управления доступом из внешней сети, пресечения попыток спуфинга чужих сетей пользователями своей сети.

Атаки IP-спуфинга можно предотвратить путем введения дополнительных методов аутентификации пользователей (на основе одноразовых паролей или других методов криптографии).

 

· посредничество

Атака подразумевает активное подслушивание, перехват и управление передаваемыми данными невидимым промежуточным узлом. При взаимодействии компьютеров на низких сетевых уровнях, не всегда можно определить, адресата, с которым производится обмен данными.

· посредничество в обмене незашифрованными ключами

(атака man-in-the-middle)

Для проведения этой атаки необходим доступ к пакетам, передаваемым по сети. Такой доступ ко всем пакетам, передаваемым от провайдера ISP в любую другую сеть, может, например, получить сотрудник этого провайдера. Для атак этого типа часто используются снифферы пакетов, транспортные протоколы и протоколы маршрутизации.

Атаки данного вида проводятся с целью кражи информации, перехвата текущей сессии и получения доступа к частным сетевым ресурсам, для анализа трафика и получения информации о сети и ее пользователях, для проведения атак типа DoS, искажения передаваемых данных и ввода несанкционированной информации в сетевые сессии.

Самый эффективный способ борьбы с такими атаками – использование криптографии. Для противодействия атакам данного типа используется инфраструктура управления открытыми ключами (PKI)(Public Key Infrastructure).

· перехват сеанса

По окончании начальной процедуры аутентификации соединение, установленное законным пользователем, например, с почтовым сервером, переключается злоумышленником на новый хост, а исходному серверу выдается команда на разрыв соединения. В результате «собеседник» законного пользователя оказывается незаметно подмененным.

После получения доступа к сети атакующий злоумышленник может:

- отправлять некорректные данные приложениям и сетевым службам, что приводит к аварийному завершению сеансов или неправильному функционированию системы;

- наполнить компьютер или всю сеть трафиком, пока не произойдет перегрузка и остановка системы;

- блокировать трафик, что приведет к потере доступа авторизованных пользователей к сетевым ресурсам.

· отказ в обслуживании (Denial of Service, DoS)

Основное отличие этого вида атаки от других заключается в том, что она не нацелена на обеспечение доступа в сеть или на получение из сети какой-либо информации. В результате DoS-атаки сеть предприятия становится недоступной для обычного использования за счет превышения допустимых пределов функционирования сети, ОС или приложения. Данный вид атаки лишает обычных пользователей доступа к информационным ресурсам или компьютерам сети организации.

Большинство DoS-атак опирается на общие изъяны системной архитектуры. В случае использования некоторых серверных приложений (web-сервер или FTP-сервер) DoS-атаки могут занять все соединения, доступные для этих приложений, и держать их в занятом состоянии, не допуская обслуживания обычных пользователей. В ходе DoS-атак могут использоваться обычные Internet-протоколы – TCP и ICMP (Internet Control Message Protocol).

DoS-атаки трудно предотвратить, поскольку требуется координация действий с провайдером. Если трафик, предназначенный для переполнения сети, не остановить у провайдера, то на входе в сеть из-за загруженности полосы пропускания, это сделать уже не удастся.

Когда DoS-атака проводится одновременно через множество устройств, то говорят о распределенной атаке отказа в обслуживании DDoS (distributed DoS).

Атаки на уровне приложений

Могут проводиться несколькими способами. Самый распространенный из них состоит в использовании известных слабостей серверного ПО (FTP, HTTP,web-сервера).

Главная проблема с атаками на уровне приложений состоит в том, что они часто пользуются портами, которым разрешен проход через межсетевой экран. Сведения об атаках на уровне приложений широко публикуются, чтобы дать возможность администраторам исправить проблему с помощью коррекционных модулей (патчей). К сожалению, многие хакеры также имеют доступ к этим сведениям.

Полностью исключить атаки на уровне приложений невозможно. В Интернете хакерами постоянно публикуются сведения об уязвимых местах прикладных программ.

Для снижения уязвимости от атак этого типа, необходимо хорошее системное администрирование, в частности:

- проводить анализ log -файлов ОС и сетевые log -файлы с помощью специальных аналитических приложений;

- отслеживать данные CERT (служба реагирования на компьютерные инциденты) о слабых местах прикладных программ;

- пользоваться самыми свежими версиями ОС и приложений и самыми последними коррекционными модулями (патчами);

- использовать системы распознавания атак IDS (Intrusion Detection Systems).

Сетевая разведка

Это сбор информации о сети с помощью общедоступных данных и приложений. При подготовке атаки против какой-нибудь сети хакер, как правило, пытается получить о ней как можно больше информации.

Проводится в форме запросов Domen Name Services (Доменная служба сервисов), эхо-тестирования (ping sweep) и сканирования портов. Запросы DNS, помогают выяснить владельца домена и присвоенные ему адреса. Эхо -тестирование адресов, раскрытых с помощью DNS, позволяет увидеть, какие хосты в данной среде работают. Получив список хостов, использует средства сканирования портов, чтобы составить полный список услуг, поддерживаемых этими хостами. В результате появляется доступ к информации, которую можно использовать для взлома.

Злоупотребление доверием

Данный тип действий представляет собой злонамеренное использование отношений доверия, существующих в сети. Примером этого служит ситуация в периферийной части корпоративной сети. В этом сегменте обычно располагаются серверы DNS, SMTP, и HTTP. Поскольку все они принадлежат одному и тому же сегменту, взлом одного из них приводит к взлому и всех остальных, так как эти серверы доверяют другим системам своей сети.

Риск злоупотребления доверием можно снизить за счет более жесткого контроля уровней доверия в пределах своей сети. Системы, расположенные с внешней стороны межсетевого экрана, никогда не должны пользоваться абсолютным доверием со стороны систем, защищенных межсетевым экраном.

Отношения доверия должны ограничиваться определенными протоколами и аутентифицироваться не только по IP-адресам, но и по другим параметрам.

Парольные атаки

Целью парольных атак является завладение паролем и логином законного пользователя. Данный вид атак проводится с использованием следующих методов:

- подмена IP-адреса (IP-спуфинг);

- подслушивание (сниффинг);

- простой перебор.

IP-спуфинг и сниффинг позволяют завладеть паролем и логином пользователя, когда они передаются открытым текстом по незащищенному каналу.

Метод подбора пароля и логина с использованием многочисленных попыток доступа называется атакой полного перебора (brute force attack). Данный вид атаки использует программу, которая пытается получить доступ к ресурсу общего пользования (к серверу). Если удается подобрать пароль, то доступ к сетевым ресурсам осуществляется на правах обычного пользователя.

Парольные атаки можно предотвратить, если не пользоваться паролями в текстовой форме. А использование одноразовых паролей и криптографической аутентификации обеспечит надежную защиту от таких атак. Необходимо учитывать, что не все приложения, хосты и устройства поддерживают указанные методы аутентификации.

При использовании обычных паролей следует придумать такой пароль, который было бы трудно подобрать. Минимальная его длина должна быть не менее 8 символов. Пароль должен включать символы верхнего регистра, цифры и специальные символы (#,$,&,%).

Угадывание ключа

Криптографический ключ представляет собой код или число, предназначенное для расшифровки необходимой информации. Для определения значения ключа может быть использована специальная программа, реализующая метод полного перебора. Ключ, к которому получает доступ атакующий, называют скомпромитированным. Атакующий использует скомпромитированный ключ для получения доступа к защищенным передаваемым данным без ведома отправителя и получателя. Ключ дает возможность расшифровать и изменять данные.

Анализ наиболее распространенных угроз, которым подвержены современные проводные корпоративные компьютерные системы (сети), показывает, что источники угроз могут изменяться от неавторизованных вторжений злоумышленников до компьютерных вирусов, при этом весьма существенной угрозой безопасности являются человеческие ошибки. Необходимо учитывать, что источники угроз безопасности могут находиться как внутри КИС – внутренние источники, так и вне ее – внешние источники. Такое деление вполне оправдано, поскольку для одной и той же угрозы методы противодействия для внешних и внутренних источников различны. Знание возможных угроз, а также уязвимых мест КИС необходимо для выбора наиболее эффективных средств обеспечения безопасности.

Самыми частыми и опасными (с точки зрения размера ущерба) являются непреднамеренные ошибки пользователей, операторов и системных администраторов, обслуживающих КИС. Иногда такие ошибки приводят к прямому ущербу (неправильно введенные данные, ошибки в программе, вызвавшие остановку или разрушение системы), а иногда создают слабые места, которыми могут воспользоваться злоумышленники (ошибки администрирования).

По данным Национального института стандартов и технологий США (NIST), 55% случаев нарушения безопасности ИС – следствие непреднамеренных ошибок. Работа в глобальной ИС делает этот фактор достаточно актуальным, причем источником ущерба могут быть как действия пользователей организации, так и пользователей глобальной сети, что особенно опасно.

На слайде приведена круговая диаграмма, иллюстрирующая статистические данные по источникам нарушений безопасности в КИС.

На втором месте по размерам ущерба располагаются кражи и подлоги. В большинстве расследованных случаях виновниками оказывались штатные сотрудники организаций, хорошо знакомые с режимом работы и защитными мерами. Наличие мощного информационного канала связи с глобальными сетями при отсутствии должного контроля за его работой может дополнительно способствовать такой деятельности.

Обиженные сотрудники, даже бывшие, знакомы с порядками в организации и способны вредить весьма эффективно. Поэтому при увольнении сотрудника его права доступа к информационным ресурсам должны аннулироваться.

Преднамеренные попытки получения НСД через внешние коммуникации занимают около 10% всех возможных нарушений. Почти каждый Интернет-сервер по нескольку раз в день подвергается попыткам проникновения. Тесты Агентства защиты информационных систем (США) показали, что 88% компьютеров имеют слабые места с точки зрения ИБ, которые могут активно использоваться для получения НСД. Случаи удаленного доступа к информационным структурам рассматриваются отдельно.

До построения политики безопасности необходимо оценить риски, которым подвержена компьютерная среда организации и предпринять соответствующие шаги.

Очевидно, что затраты организации на контроль и предотвращение угроз безопасности не должны превышать ожидаемых потерь.

 

II. Принцип действия беспроводной сети приводит к возникновению большого числа уязвимостей для атак и проникновений (слайд).

Оборудование беспроводных локальных сетей WLAN включает точки беспроводного доступа и рабочие станции для каждого абонента.

Точки доступа AP (Access Point) выполняют роль концентраторов, обеспечивающих связь между абонентами и между собой, а также функцию мостов, осуществляющих связь с кабельной локальной сетью и с Интернет. Каждая точка доступа может обслуживать несколько абонентов. Несколько близкорасположенных точек доступа образуют зону доступа Wi-Fi, в пределах которой все абоненты, снабжённые беспроводными адаптерами, получают доступ к сети. Такие зоны доступа создаются в местах массового скопления людей: в аэропортах, библиотеках, магазинах, бизнес-центрах и т.д.

У точки доступа есть идентификатор набора сервисов SSID (Service Set Identifier). SSID – это 32-битная строка, используемая в качестве имени беспроводной сети, с которой связаны все узлы. SSID необходим для подключения рабочей станции к сети. Для связи рабочей станции с точкой доступа обе системы должны иметь один и тот же SSID. Если рабочая станция не имеет нужного SSID, то она не сможет связаться с точкой доступа и соединиться с сетью.

Главное отличие между проводными и беспроводными сетями – наличие неконтролируемой зоны между конечными точками беспроводной сети. Это создает возможность для проведения атак.

При использовании беспроводного доступа к локальной сети угрозы безопасности существенно возрастают.

Возможными уязвимостями и угрозами беспроводных сетей являются:

Вещание радиомаяка. Точка доступа включает с определённой частотой широковещательный радиомаяк, чтобы оповещать окрестные беспроводные узлы о своём присутствии. Эти широковещательные сигналы содержат основную информацию о точке беспроводного доступа, включая SSID, и приглашают беспроводные узлы зарегистрироваться в данной области. Любая рабочая станция, находящаяся в режиме ожидания, может получить SSID и добавить себя в соответствующую сеть.

Многие модели позволяют отключать содержащую SSID часть этого вещания, чтобы несколько затруднить беспроводное подслушивание, но SSID, между тем, посылается при подключении, поэтому всё равно существует небольшое окно уязвимости.

Обнаружение WLAN. Для обнаружения беспроводных сетей WLAN используется утилита NetStumber совместно со спутниковым навигатором системы GPS. Эта утилита идентифицирует SSID сети WLAN и определяет наличие системы шифрования WEP (Wired Equivalent Privacy). Применение внешней антенны на портативном компьютере даёт возможность обнаруживать сеть WLAN во время обхода нужного района или поездки по городу. Надёжным методом обнаружения WLAN является обследование офисного здания с переносным компьютером в руках.

Подслушивание. Осуществляется для сбора информации о сети, которую предполагается атаковать впоследствии. Злоумышленник может использовать добытые данные для получения доступа к сетевым ресурсам. Оборудование, используемое для подслушивания в сети, может быть аналогично тому, что используется для обычного доступа к этой сети. По своей природе беспроводные сети позволяют соединять компьютеры с физической сетью, находящиеся на расстоянии от неё. Возможно подключение к беспроводной сети, располагающейся в здании из машины, находящейся на стоянке вблизи этого здания. Атаку посредством пассивного прослушивания обнаружить практически невозможно.

Ложные точки доступа в сеть. Опытный злоумышленник может организовать ложную точку доступа с имитацией сетевых ресурсов. Абоненты, ничего не подозревая, обращаются к этой ложной точке доступа и сообщают ей свои реквизиты (аутентификационную информацию). Этот тип атак иногда применяют в сочетании с прямым «глушением» истинной точки доступа в сеть.

Отказ в обслуживании. Атака типа DoS может вызвать полную парализацию сети. Её цель состоит в создании помехи при доступе пользователя к сетевым ресурсам. Беспроводные системы особенно восприимчивы к таким атакам. Физический уровень в беспроводной сети – абстрактное пространство вокруг точки доступа. Злоумышленник может включить устройство, заполняющее весь спектр рабочих частот помехами и нелегальным трафиком. Сам факт проведения DoS-атаки на физическом уровне в беспроводной сети практически недоказуем.

Атаки типа «человек-в-середине». Атаки этого типа выполняются в беспроводной сети гораздо проще. Этот вид атак используется для разрушения конфиденциальности и целостности сеанса связи. Злоумышленник обычно подменяет идентификацию одного из сетевых ресурсов, используя возможность прослушивания и нелегального захвата потока данных с целью изменения его содержимого, необходимого для спуфинга IP-адресов, изменения MAC-адреса для имитирования другого хоста.

Анонимный доступ в Интернет. Незащищённые беспроводные ЛВС обеспечивают хакерам наилучший анонимный доступ для атак через Интернет, не оставляя, при этом, хакерами никаких следов. Организация с незащищённой ЛВС становится источником атакующего трафика, нацеленного на другую компьютерную систему.

Контрольные вопросы

1. Назовите основные цели нарушителей, осуществляющих угрозы (атаки) на ИС.

2. Что подразумевает угроза безопасности информации?

3. Перечислите основные направления реализации угроз.

4. Назовите основные факторы, воздействующие на защищаемую информацию.

5. С чем связаны проблемы обеспечения информационной безопасности в проводных компьютерных сетях?

6. Что такое «сетевая разведка»?

7. Какие угрозы и уязвимости существуют в беспроводных сетях?