Безопасность информационных систем. Учебное пособие
Шрифт:
Атака без установленного виртуального соединения заключается в посылке служебных сообщений от имени сетевых управляющих устройств, например, от имени маршрутизаторов. Для идентификации пакетов возможно использование статических ключей, определенных заранее, что неудобно и требует сложной системы управления ключами. Однако в противном случае идентификация таких пакетов без установленного виртуального канала будет возможна по сетевому адресу отправителя, который легко подделать. Посылка ложных управляющих сообщений может привести к серьезным нарушениям работы сети, например, к изменению ее конфигурации.
Подмена доверенного хоста является активным воздействием, совершаемым с целью перехвата и искажения информации при наступлении на атакуемом объекте
Ложный сервер или использование недостатков алгоритма удаленного поиска
В компьютерной сети часто оказывается, что удаленные компоненты сетевой операционной системы изначально не имеют достаточно информации, необходимой для адресации пакетов обмена. Обычно такой информацией являются аппаратные (адрес сетевого адаптера) и логические адреса (IP-адрес) сетевых компьютеров. Для получения подобной информации в сетевых операционных системах используются различные алгоритмы удаленного поиска, заключа ющиеся в передаче по сети специального вида запросов, и в ожидании ответов на полученный запрос с искомой информацией. Руководствуясь полученными из ответа сведениями об искомом хосте, запросивший хост начинает адресацию к нему, т. е., после получения ответа на запрос он обладает всеми необходимыми данными для адресации. Примером подобных запросов, на которых базируются алгоритмы удаленного поиска, является SAP – запрос в операционной системе Novell NetWare, ARP и DNS – запрос в сети Internet.
При использовании сетевой операционной системы механизмов удаленного поиска существует возможность на атакующей станции перехватить посланный хостом запрос и послать на него ложный ответ. В ответе указывают данные, использование которых приведет к адресации на атакующий хост – ложный сервер. Весь поток обмена информацией между хостом и настоящим сервером будет проходить через ложный сервер.
Ложный сервер – активное воздействие, совершаемое с целью перехвата и искажения информации, являющееся атакой по запросу от атакуемого объекта. Такая удаленная атака является внутрисегментной и межсегментной и осуществляется на канальном, сетевом, транспортном, сеансовом и представительном уровнях модели OSI.
Одной из атак, которую может осуществлять ложный сервер, является перехват передаваемой между сервером и хостом информации. Факт перехвата информации возможен из-за того что при выполнении некоторых операций над файлами (чтение, копирование и т. д.) содержимое этих файлов передается по сети, а значит, поступает на ложный сервер. Простейший способ реализации перехвата – это сохранение в файле всех получаемых ложным сервером пакетов обмена. Данный способ перехвата информации оказывается недостаточно информативным. Это происходит вследствие того, что в пакетах обмена кроме полей данных существуют служебные поля, не представляющие интереса. Следовательно, для того, чтобы получить непосредственно передаваемый файл, необходимо проводить на ложном сервере динамический семантический анализ потока информации для его селекции.
Модификация информации
Одной из особенностей любой системы воздействия, построенной по принципу ложного сервера, является то, что она способна модифицировать перехваченную информацию.
Рассмотрим два вида модификации информации:
1) модификация передаваемых данных;
2) модификация передаваемого кода.
Модификация передаваемых данных. В результате селекции потока перехваченной информации и его анализа система может распознавать тип передаваемых файлов (исполняемый или текстовый). При обнаружении текстового файла или файла данных появляется возможность модифицировать данные, проходящие через ложный сервер. Особую угрозу эта функция представляет для сетей обработки конфиденциальной информации.
Модификация передаваемого кода. Ложный сервер, проводя семантический анализ проходящей через него информации, может выделять из потока данных исполняемый код. Чтобы определить, что передается код или данные по сети необходимо использовать определенные особенности, свойственные реализации сетевого обмена в конкретной сетевой операционной системе или некоторые особенности, присущие конкретным типам исполняемых файлов локальной операционной системе.
Выделяют два различных по цели вида модификации кода:
1) внедрение вредоносных программ;
2) изменение логики работы исполняемого файла. При внедрении вредоносных программ исполняемый файл модифицируется по вирусной технологии. К исполняемому файлу дописывается тело вредоносной программы и изменяется точка входа так, чтобы она указывала на внедренный код вредоносной программы. Файл поражен вирусом или вредоносной программой в момент передачи его по сети. Такое возможно лишь при использовании системы воздействия, построенной по принципу ложный сервер.
Модификация исполняемого кода с целью изменения логики его работы требует предварительного исследования работы исполняемого файла и в случае его проведения может принести негативные результаты. Например, при запуске на сервере программы идентификации пользователей распределенной базы данных ложный сервер может так модифицировать код этой программы, что появится возможность беспарольного входа с наивысшими привилегиями в базу данных.
Подмена информации
Ложный сервер позволяет не только модифицировать, но подменять перехваченную им информацию. Если модификация информации приводит к ее частичному изменению, то подмена – к ее полному изменению. При этом дезинформация в зависимости от контролируемого события может быть воспринята либо как исполняемый код, либо как данные.
Допустим, что ложный сервер контролирует событие, которое заключается в подключении пользователя к серверу. В этом случае он ожидает, например, запуска соответствующей программы входа в систему. В случае, если эта программа находится на сервере, то при ее запуске исполняемый файл передается на рабочую станцию. Вместо того чтобы выполнить данное действие, ложный сервер передает на рабочую станцию код заранее написанной специальной программы – захватчика паролей. Эта программа выполняет визуально те же действия, что и настоящая программа входа в систему, например, спрашивается имя и пароль пользователя, после чего полученные сведения посылаются на ложный сервер, а пользователю выводится сообщение о ошибке. При этом пользователь, посчитав, что он неправильно ввел пароль (пароль обычно не отображается на экране), снова запустит программу подключения к системе и со второго раза войдет в нее. Результат такой атаки – имя и пароль пользователя, сохраненные на ложном сервере.
Сетевой шпион или удаленный контроль над станцией в сети
Сетевой шпион – это программная закладка или компьютерный вирус, функционирующий в сети ЭВМ, основная цель которого получение удаленного контроля над рабочей станцией в сети. Данный вид вредоносных программ добавляет еще один тип атак на сетевые операционные системы – удаленный съем информации и получение удаленного контроля над рабочей станцией в сети.
Основные этапы работы сетевого шпиона:
1) инсталляция в памяти;
2) ожидание запроса с удаленного атакующего компьютера, на котором запущена головная сервер-программа, и обмен с ней сообщениями о готовности;
3) передача перехваченной информации на головную сервер-программу или предоставление ей контроля над зараженным компьютером.
Основные функции сетевых шпионов:
1) перехват и передача вводимой с клавиатуры формации на головную сервер-программу;
2) перехват и передача экранной информации на головную сервер-программу;