Наиболее распространенные угрозы

Наиболее распространенные угрозы

Знание возможных угроз, а также уязвимых мест защиты, которые эти угрозы обычно эксплуатируют, необходимо для выбора наиболее экономичных средств обеспечения безопасности.

Основные определения и критерии классификации угроз

Угроза — это потенциальная возможность определенным образом нарушить информационную безопасность. Попытка реализации угрозы называется атакой, а тот, кто предпринимает такую попытку, — злоумышленником. Потенциальные злоумышленники называются источниками угрозы.

Чаще всего угроза возникает из-за уязвимостей в защите информационных систем (таких, например, как возможность доступа посторонних лиц к критически важному оборудованию или ошибки в программном обеспечении). Промежуток времени от момента, когда появляется возможность использовать уязвимость, и до того, когда она ликвидируется, называется окном опасности, ассоциированным с данной уязвимостью. Пока существует окно опасности, возможны успешные атаки на информационную систему.

Если речь идет об ошибках в ПО, то окно опасности образуется с появлением средств использования ошибки и ликвидируется при наложении "заплат", ее исправляющих. Для большинства уязвимостей окно опасности существует довольно долго (несколько дней, иногда — недели). За это время должны произойти следующие события:

• появляется информация о средствах использования уязвимости;
• выпускаются соответствующие "заплаты";
• "заплаты" устанавливаются в защищаемой информационной системе.

Новые уязвимости и средства их использования появляются постоянно. Это означает, что, во-первых, почти всегда существуют окна опасности, и во-вторых, отслеживание таких окон должно производиться непрерывно, а выпуск и наложение "заплат" — как можно более оперативно.

Отметим, что некоторые угрозы нельзя назвать следствием каких-то ошибок или просчетов; они существуют в силу самой природы современных ИС. Например, угроза отключения электричества или выхода его параметров за допустимые границы происходит по причине зависимости аппаратного обеспечения информационных систем от электропитания.

Рассмотрим наиболее распространенные угрозы, которым подвержены современные информационные системы. Существует много мифов в информационных технологиях о возможных угрозах и уязвимостях (вспомним хотя бы пресловутую "Проблему-2000"). Незнание в данном случае ведет к перерасходу средств и, что еще хуже, к концентрации ресурсов там, где они не особенно нужны, за счет ослабления действительно уязвимых направлений.

Отметим, что само понятие "угроза" в разных ситуациях трактуется по-разному. Например, для подчеркнуто открытой организации может просто не существовать угроз конфиденциальности, так как вся информация считается общедоступной. И все же в большинстве случаев нелегальный доступ считается серьезной опасностью.

Рассмотрим отношение к угрозам с точки зрения типичной (по нашему мнению) организации. Их можно классифицировать по нескольким критериям:

• аспект информационной безопасности (доступность, целостность, конфиденциальность), против которого они (угрозы) направлены в первую очередь;
• компонент информационных систем, на который угрозы нацелены (данные, программы, аппаратура, поддерживающая инфраструктура);
• способ осуществления угроз (случайные/преднамеренные действия природного/техногенного характера);
• расположение источника угроз (внутри/вне рассматриваемой ИС).

В качестве основного критерия мы будем использовать первый (аспект ИБ), привлекая при необходимости остальные.

Примеры угроз доступности

Угрозы доступности могут выглядеть грубо — как повреждение или даже разрушение оборудования (в том числе носителей данных). Такое повреждение, как правило, происходит по естественным причинам (чаще всего из-за грозы).

К сожалению, находящиеся в массовом использовании источники бесперебойного питания не защищают от мощных кратковременных импульсов, поэтому не редки случаи выгорания оборудования.

В принципе, мощный кратковременный импульс, способный разрушить данные на магнитных носителях, можно сгенерировать и искусственным образом — с помощью так называемых высокоэнергетических радиочастотных пушек. Но, наверное, в наших условиях подобную угрозу следует признать экзотической и, следовательно, надуманной. Действительно опасны протечки водопровода и отопительной системы. Часто организации, чтобы сэкономить на арендной плате, снимают помещения в домах старой постройки, делают косметический ремонт, но не меняют ветхие трубы. Автору довелось быть свидетелем прорыва трубы отопления, в результате чего системный блок компьютера (это была рабочая станция производства Sun Microsystems) оказался заполненным кипятком. Справедливости ради стоит отметить, что когда кипяток вылили, а компьютер просушили, он возобновил нормальную работу, однако лучше такие опыты не ставить...

Летом в сильную жару, когда они больше всего нужны, норовят сломаться кондиционеры, установленные в серверных залах, набитых критически важным и дорогостоящим оборудованием. В результате весьма чувствительный ущерб наносится и репутации, и кошельку организации.

Теоретически все (или почти все) знают, что периодически необходимо производить резервное копирование данных. Однако, даже если такое копирование осуществляется на практике, резервные носители зачастую хранятся небрежно, не обеспечивая их элементарной сохранности, защиты от вредного влияния окружающей среды. И когда требуется восстановить данные, оказывается, что эти самые носители никак не желают читаться.

Перейдем теперь к угрозам доступности. Речь пойдет о программных атаках на доступность.

В качестве средства вывода системы из штатного режима эксплуатации может использоваться агрессивное использование ресурсов (полосы пропускания сетей, вычислительных возможностей процессоров или оперативной памяти). По расположению источника угрозы такое потребление подразделяется на локальное и удаленное. При просчетах в конфигурации системы локальная программа способна практически монополизировать процессор и/или физическую память, сведя скорость выполнения других программ к нулю.

Простейший пример удаленного потребления ресурсов — атака, получившая наименование "SYN-наводнение". Ее идея состоит в попытке переполнить таблицу "полуоткрытых" TCP-соединений сервера (установление соединений начинается, но не заканчивается). Такая атака, по меньшей мере, затрудняет установление новых соединений со стороны легальных пользователей, то есть сервер выглядит как недоступный.

По отношению к атаке "Papa Smurf" уязвимы сети, воспринимающие ping-пакеты с широковещательными адресами. Ответы на такие пакеты "съедают" полосу пропускания (сеть как бы самовозбуждается).

Удаленное потребление ресурсов в последнее время проявляется в особенно опасной форме — как скоординированные распределенные атаки, когда на сервер с множества разных адресов в максимально возможном темпе направляются вполне легальные запросы на соединение и/или обслуживание. Начало "моды" на подобные атаки можно отнести к февралю 2000 года, когда жертвами оказались несколько крупнейших систем электронной коммерции (точнее, владельцы и пользователи систем). Отметим, что если имеет место архитектурный просчет, нарушающий баланс между пропускной способностью сети и производительностью сервера, то защититься от распределенных атак на доступность крайне трудно.

Для выведения систем из штатного режима эксплуатации могут использоваться программные и аппаратные ошибки. Например, известная ошибка в процессоре Pentium I дает возможность локальному пользователю путем выполнения определенной команды "завесить" компьютер, так что помогает только аппаратный RESET.

Программа "Teardrop" удаленно "завешивает" компьютеры, эксплуатируя ошибку в сборке фрагментированных IP-пакетов.

Основные угрозы целостности

На втором месте по размерам ущерба (после непреднамеренных ошибок и упущений) располагаются кражи и подлоги. По данным газеты USA Today, еще в 1992 году в результате подобных противоправных действий с использованием персональных компьютеров американским организациям был нанесен суммарный ущерб в размере 882 миллионов долларов. Можно предположить, что подлинный ущерб был гораздо больше, поскольку многие организации по понятным причинам скрывают такие инциденты. Не вызывает сомнений, что в наши дни ущерб от такого рода действий вырос многократно.

В большинстве расследованных случаев виновниками оказывались штатные сотрудники организаций, отлично знакомые с режимом работы и защитными мерами. Это еще раз подтверждает опасность внутренних угроз, хотя говорят и пишут о них значительно меньше, чем о внешних.

Целесообразно провести различие между статической и динамической целостностью. С целью нарушения статической целостности злоумышленник (являющийся, как правило, штатным сотрудником) может:

• ввести неверные данные;
• изменить данные.

Иногда изменяются содержательные данные, порой — служебная информация. Показательный случай нарушения целостности имел место в 1996 году. Служащая Oracle (личный секретарь вице-президента) возбудила судебный иск против президента корпорации, обвиняя его в незаконном увольнении после того, как она отвергла его ухаживания. В доказательство своей правоты женщина привела электронное письмо, якобы отправленное ее боссом президенту. Содержание письма для нас сейчас не важно; важно время отправки.

Дело в том, что вице-президент предъявил, в свою очередь, файл с регистрационной информацией компании сотовой связи, из которого явствовало, что он (босс) в указанное время разговаривал по мобильному телефону, находясь за рулем автомобиля вдалеке от своего рабочего места. Таким образом, в суде состоялось противостояние "файл против файла". Очевидно, один из них был фальсифицирован или изменен, то есть была нарушена его целостность. Суд решил, что подделали электронное письмо (секретарша знала пароль своего босса, поскольку ей было поручено его регулярное изменение), и иск был отвергнут...

(Теоретически существует возможность, что оба фигурировавших на суде файла были подлинными, корректными с точки зрения их целостности, а письмо отправили пакетными средствами, однако, на наш взгляд, это было бы очень странное для вице-президента действие.)

Помимо прочих, из приведенного случая можно сделать вывод не только об угрозах нарушения целостности, но и об опасности слепо доверять компьютерную информацию. Заголовки электронного письма могут быть подделаны; письмо в целом может быть фальсифицировано лицом, знающим пароль отправителя. Отметим, что последняя угроза актуальна даже тогда, когда целостность контролируется криптографическими средствами. Здесь имеет место взаимодействие разных аспектов информационной безопасности: если нарушена конфиденциальность, может пострадать целостность.

Еще один урок: угрозой целостности является не только фальсификация или изменение данных, но и отказ от совершенных действий. Если нет средств обеспечить "неотказуемость", то компьютерные данные не могут рассматриваться в качестве доказательства.

Потенциально уязвимы по отношению к нарушению целостности не только данные, но и программы. Внедрение рассмотренного выше вредоносного ПО — пример подобного нарушения.

Угрозами динамической целостности являются нарушение атомарности транзакций, переупорядочение, кража, дублирование или внесение дополнительных сообщений (сетевых пакетов и т.п.). Соответствующие действия в сетевой среде называются активным прослушиванием.

Наиболее распространенные угрозы

Знание возможных угроз, а также уязвимых мест защиты, которые эти угрозы обычно эксплуатируют, необходимо для выбора наиболее экономичных средств обеспечения безопасности.

Основные определения и критерии классификации угроз

Угроза — это потенциальная возможность определенным образом нарушить информационную безопасность. Попытка реализации угрозы называется атакой, а тот, кто предпринимает такую попытку, — злоумышленником. Потенциальные злоумышленники называются источниками угрозы.

Чаще всего угроза возникает из-за уязвимостей в защите информационных систем (таких, например, как возможность доступа посторонних лиц к критически важному оборудованию или ошибки в программном обеспечении). Промежуток времени от момента, когда появляется возможность использовать уязвимость, и до того, когда она ликвидируется, называется окном опасности, ассоциированным с данной уязвимостью. Пока существует окно опасности, возможны успешные атаки на информационную систему.

Если речь идет об ошибках в ПО, то окно опасности образуется с появлением средств использования ошибки и ликвидируется при наложении "заплат", ее исправляющих. Для большинства уязвимостей окно опасности существует довольно долго (несколько дней, иногда — недели). За это время должны произойти следующие события:

• появляется информация о средствах использования уязвимости;
• выпускаются соответствующие "заплаты";
• "заплаты" устанавливаются в защищаемой информационной системе.

Новые уязвимости и средства их использования появляются постоянно. Это означает, что, во-первых, почти всегда существуют окна опасности, и во-вторых, отслеживание таких окон должно производиться непрерывно, а выпуск и наложение "заплат" — как можно более оперативно.

Отметим, что некоторые угрозы нельзя назвать следствием каких-то ошибок или просчетов; они существуют в силу самой природы современных ИС. Например, угроза отключения электричества или выхода его параметров за допустимые границы происходит по причине зависимости аппаратного обеспечения информационных систем от электропитания.

Рассмотрим наиболее распространенные угрозы, которым подвержены современные информационные системы. Существует много мифов в информационных технологиях о возможных угрозах и уязвимостях (вспомним хотя бы пресловутую "Проблему-2000"). Незнание в данном случае ведет к перерасходу средств и, что еще хуже, к концентрации ресурсов там, где они не особенно нужны, за счет ослабления действительно уязвимых направлений.

Отметим, что само понятие "угроза" в разных ситуациях трактуется по-разному. Например, для подчеркнуто открытой организации может просто не существовать угроз конфиденциальности, так как вся информация считается общедоступной. И все же в большинстве случаев нелегальный доступ считается серьезной опасностью.

Рассмотрим отношение к угрозам с точки зрения типичной (по нашему мнению) организации. Их можно классифицировать по нескольким критериям:

• аспект информационной безопасности (доступность, целостность, конфиденциальность), против которого они (угрозы) направлены в первую очередь;
• компонент информационных систем, на который угрозы нацелены (данные, программы, аппаратура, поддерживающая инфраструктура);
• способ осуществления угроз (случайные/преднамеренные действия природного/техногенного характера);
• расположение источника угроз (внутри/вне рассматриваемой ИС).

В качестве основного критерия мы будем использовать первый (аспект ИБ), привлекая при необходимости остальные.