Безпека Роботи в Мережі Інтернет

Основні поняття комп'ютерної безпеки

Для того щоб розглядати у подальшому питання безпеки в Internet, необхідно нагадати основні поняття, якими оперує теорія комп'ютерної безпеки. Взагалі кажучи, їх всього три: це загрози, вразливості і атаки. Хоча досвідченому читачеві сенс їх і так досить добре ясний, постараємося неформально пояснити його.

Отже, загроза безпеки комп'ютерної системи - це потенційно можливе пригода, неважливо, навмисне або ні, яка може негативно впливали на саму систему, а також на інформацію, що зберігається в ній. Інакше кажучи, загроза - це щось погане, що коли-небудь може відбутися. Уразливість комп'ютерної системи - це якась її невдала характеристика, яка робить можливим виникнення загрози. Іншими словами, саме через наявність вразливостей в системі відбуваються небажані події. Нарешті, атака на комп'ютерну систему - це дії, що робляться зловмисником, яке полягає в пошуку і використанні тієї або іншої уразливості. Таким чином, атака - це реалізація загрози. Зауважимо, що таке тлумачення атаки (за участю людини, має злий умисел), виключає присутній у визначенні загрози елемент випадковості, але, як показує досвід, часто буває неможливо розрізнити навмисні і випадкові дії, і хороша система захисту повинна адекватно реагувати на будь-яке з них .

Далі, дослідники звичайно виділяють три основних види загроз безпеки - це загрози розкриття, цілісності та відмови в обслуговуванні. Загроза розкриття полягає тому, що інформація стає відомою того, кому не варто було б її знати. У термінах комп'ютерної безпеки загроза розкриття має місце щоразу, коли отримано доступ до деякої конфіденційної інформації, що зберігається в обчислювальній системі чи передається від однієї системи до іншої. Іноді замість слова "розкриття" використовуються терміни "крадіжка" або "витік". Загроза цілісності включає в себе будь-навмисна зміна (модифікацію або навіть видалення) даних, що зберігаються в обчислювальній системі чи передаються з однієї системи в іншу. Зазвичай вважається, що загрозі розкриття схильні більшою мірою державні структури, а загрозу цілісності - ділові або комерційні. Загроза відмови в обслуговуванні виникає кожного разу, коли в результаті деяких дій блокується доступ до деякого ресурсу обчислювальної системи. Реально блокування може бути постійним, так щоб запитуваний ресурс ніколи не був отриманий, або воно може викликати тільки затримку запитуваного ресурсу, досить довгу для того, щоб він став непотрібним. У таких випадках кажуть, що ресурс вичерпаний.

Хакери і кракери, або "Що таке добре і що таке погано?"

Переглядаючи велику кількість статей (головним чином, в електронних журналах) про проблеми комп'ютерного злому, не можна не звернути увагу на той факт, що ні в одній статті не проводиться та межа, яка, на нашу думку, чітко поділяє всіх, так чи інакше пов'язаних з комп'ютерною безпекою. В основному, думка комп'ютерного світу з цього приводу або суто негативне (хакери - це злочинці), або - скромно-позитивне (хакери - "санітари лісу"). Насправді у цієї проблеми існує щонайменше дві сторони: позитивна і негативна - і між ними проходить чітка межа. Ця межа розділяє всіх професіоналів, пов'язаних з інформаційною безпекою, на хакерів (hackers) і кракерів (crackers). І ті, і інші багато в чому займаються вирішенням одних і тих же завдань - пошуком вразливостей в обчислювальних системах і здійсненням атак на дані системи ("зломом").

Найголовніше і принципова відмінність між хакерами і кракерами полягає в цілях, які вони переслідують. Основне завдання хакера в тому, щоб, досліджуючи обчислювальну систему, виявити слабкі місця (уразливості) в її системі безпеки та інформувати користувачів і розробників системи з метою подальшого усунення знайдених вразливостей. Інше завдання хакера - проаналізувавши існуючу безпеку обчислювальної системи, сформулювати необхідні вимоги і умови підвищення рівня її захищеності.

З іншого боку, основна задача кракерами полягає у безпосередньому здійсненні злому системи з метою отримання несанкціонованого доступу до чужої інформації - інакше кажучи, для її крадіжки, підміни або для оголошення факту злому. Кракер, за своєю суттю, нічим не відрізняється від звичайного злодія, зламувати чужі квартири і краде чужі речі. Він зламує чужі обчислювальні системи і краде чужу інформацію. Ось у чому полягає кардинальна відмінність між тими, кого можна назвати хакерами і кракерами: перші - дослідники комп'ютерної безпеки, другі - просто зломщики, злодії або вандали. Хакер в даній термінології - це фахівець. Як доказ наведемо визначення зі словника Guy L. Steele:

HACKER сущ. 1. Індивідуум, який одержує задоволення від вивчення деталей функціонування комп'ютерних систем і від розширення їх можливостей, на відміну від більшості користувачів комп'ютерів, які вважають за краще знати тільки необхідний мінімум. 2. Ентузіаст програмування; індивідуум, який одержує задоволення від самого процесу програмування, а не від теоретизування з цього приводу.

Дане трактування поняття "хакер" відрізняється від прийнятої в засобах масової інформації, які, власне, і привели до підміни понять. Останнім часом багато фахівців з комп'ютерної безпеки почали акуратніше відноситися до цих термінів.

Низовина мотивів кракерів призводить до того, що 90% з них є "чайниками", які зламують погано адміністровані системи, в основному завдяки використанню чужих програм (зазвичай ці програми називаються exploit). (Причому це думка тих же 10% професійних кракерів.) Такі професіонали - колишні хакери, що стали на шлях порушення закону. Їх, на відміну від кракерів-"чайників", зупинити дійсно дуже складно, але, як показує практика, зовсім не неможливо (див. протиборство Митника і Шимомури у п. 4.5.2). Очевидно, що для запобігання можливого злому або усунення його наслідків потрібно запросити кваліфікованого фахівця з інформаційної безпеки - професійного хакера. Однак, було б несправедливо змішати в одну купу усіх кракерів, однозначно назвавши їх злодіями і вандалами. На нашу думку, кракерів можна розділити на три наступні класу залежно від мети, з якою здійснюється злом: вандали, "жартівники" і професіонали.

Вандали - найвідоміша (багато в чому завдяки повсякденності вірусів, а також витворам деяких журналістів) і, треба сказати, найменша частина кракерів. Їх основна мета - зламати систему для її руйнування. До них можна віднести, по-перше, любителів команд типу: rm-f-d *, del *.*, format c: / U і т.д., і, по-друге, фахівців в написанні вірусів або "троянських коней ". Цілком природно, що весь комп'ютерний світ ненавидить кракерів-вандалів лютою ненавистю. Ця стадія кракерства зазвичай характерна для новачків і швидко проходить, якщо кракери вдається удосконалюватися (адже досить нудно усвідомлювати свою перевагу над беззахисними користувачами). Кракерів, які навіть з часом не минули цю стадію, а тільки все більш удосконалювали свої навики руйнування, інакше, ніж соціальними психопатами, не назвеш.

"Жартівники" - найбільш нешкідлива частина кракерів (звичайно, в залежності від того, наскільки злі вони воліють жарти), основна мета яких - популярність, що досягається шляхом злому комп'ютерних систем і внесенням туди різних ефектів, що виражають їх незадоволене відчуття гумору. "Жартівники" зазвичай не завдають істотної шкоди (хіба що моральний). На сьогоднішній день в Internet це найпоширеніший клас кракерів, зазвичай здійснюють злом Web-серверів, залишаючи там згадку про себе. До "жартівникам" також можна віднести творців вірусів з різними візуально-звуковими ефектами (музика, тремтіння або перевертання екрану, малювання всіляких картинок і т.п.). Все це, в принципі, або безневинні витівки початківців, або - рекламні акції професіоналів.

Зломщики - професійні кракери, що користуються найбільшою шаною і повагою в кракерской середовищі, основне завдання яких - злом комп'ютерної системи з серйозними цілями, як то крадіжка або підміна зберігається там інформації. У загальному випадку, для того, щоб здійснити злом системи, необхідно пройти три основні стадії: дослідження обчислювальної системи з виявленням недоліків у ній, розробка програмної реалізації атаки і безпосереднє її здійснення. Природно, справжнім професіоналом можна вважати того кракерами, який для досягнення своєї мети проходить всі три стадії. З деякою натяжкою також можна вважати професіоналом того кракерами, який, використовуючи здобуту третьою особою інформацію про уразливість в системі, пише програмну реалізацію даної уразливості. Здійснити третю стадію, очевидно, може в принципі кожен, використовуючи чужі розробки. Але те, чим займаються зломщики - це звичайна крадіжка, якщо абстрагуватися від предмету крадіжки. На жаль, у нас, в Росії, все не так просто. У країні, де велика частина програмного забезпечення, використовуваного користувачами, є піратським, тобто вкраденим не без допомоги тих же зломщиків, майже ніхто не має морального права "кинути в них камінь". Звичайно, злом комп'ютерних систем з метою крадіжки у жодному випадку не можна назвати гідною справою, але і дорікати кракерів-зломщиків можуть тільки ті, хто легально придбав все використовуване програмне забезпечення.

Нові закони КК РФ, пов'язані з "злочинами у сфері комп'ютерної інформації"

Для тих, хто хоче подивитися на проблему безпеки з іншого боку, з боку кракерами, хочеться нагадати, що з 1997 року почали діяти нові статті КК РФ, де, на жаль, досить розпливчасто і нечітко описується та можлива кримінальна відповідальність, яку можуть нести громадяни РФ за "злочини у сфері комп'ютерної інформації" (Глава 28 КК РФ):

Стаття 272. Неправомірний доступ до комп'ютерної інформації.

1. Неправомірний доступ до охоронюваної законом комп'ютерної інформації, тобто інформації на машинному носії, в електронно-обчислювальної машини (ЕОМ), системі ЕОМ або їх мережі, якщо це діяння спричинило знищення, блокування, модифікацію або копіювання інформації, порушення роботи ЕОМ, системи ЕОМ чи їх мережі, - карається штрафом в розмірі від двохсот до п'ятисот мінімальних розмірів оплати праці або в розмірі заробітної плати або іншого доходу засудженого за період від двох до п'яти місяців, або виправними роботами на строк від шести місяців до одного року, або позбавленням волі на строк до двох років.
2. Те саме діяння, вчинене групою осіб за попередньою змовою або організованою групою, або особою з використанням свого службового становища, а так само мають доступ до ЕОМ, системі ЕОМ або їх мережі, - карається штрафом в розмірі від п'ятисот до восьмисот мінімальних розмірів оплати праці, або у розмірі заробітної плати, або іншого доходу засудженого за період від п'яти до восьми місяців, або виправними роботами на строк від одного року до двох років, або арештом на строк від трьох до шести місяців, або позбавленням волі на строк до п'яти років.

Стаття 273. Створення, використання і поширення шкідливих програм для ЕОМ.

1. Створення програм для ЕОМ або внесення змін в існуючі програми, явно призводять до несанкціонованого знищення, блокування, модифікації або копіювання інформації, порушення роботи ЕОМ, системи ЕОМ або їх мережі, а так само використання або поширення таких програм або машинних носіїв з такими програмами, - караються позбавленням волі на строк до трьох років зі штрафом у розмірі від двохсот до п'ятисот мінімальних розмірів оплати праці або в розмірі заробітної плати або іншого доходу засудженого за період від двох до п'яти місяців.
2. Ті самі діяння, що спричинили з необережності тяжкі наслідки, - караються позбавленням волі на строк від трьох до семи років.

Стаття 274. Порушення правил експлуатації ЕОМ, системи ЕОМ чи їхньої мережі.

1. Порушення правил експлуатації ЕОМ, системи ЕОМ чи їхньої мережі особою, яка має доступ до ЕОМ, системі ЕОМ або їх мережі, що призвело до знищення, блокування або модифікацію охороняється законом інформації ЕОМ, якщо це діяння заподіяло істотну шкоду, - карається позбавленням права займати певні посади або займатися певною діяльністю на строк до п'яти років, або обов'язковими роботами на строк від ста вісімдесяти до двохсот сорока годин, або обмеженням волі на строк до двох років.
2. Те саме діяння, що призвело з необережності тяжкі наслідки, - карається позбавленням волі на строк до чотирьох років.

За своєю суттю цей закон має бути спрямований саме на кракерів. Проте, перше, що кидається в очі, це те, що не передбачено таке правопорушення, як злом програмного забезпечення. Це дозволило відомому Санкт-Петербурзькому кракери відкрито здатися на 5 каналі телебачення і вдосталь посміятися над прийнятим законом. З іншого боку, розпливчастість формулювань статей закону, у разі їх формальної трактування, дозволяє залучити до кримінальної відповідальності практично будь-якого програміста або системного адміністратора (наприклад, допустив помилку, яка спричинила за собою заподіяння визначеного законом збитку). Так що програми тепер краще взагалі не писати.

Якщо ж серйозно, то застосування на практиці цього закону надзвичайно ускладнене. Це пов'язано, по-перше, зі складно доказовий подібних справ (судячи із закордонного досвіду) і, по-друге, з природним відсутністю високої кваліфікації в даній області у слідчих. Тому, мабуть, пройде ще не один рік, поки ми дочекаємося гучного успішного кримінального процесу з "злочину в сфері комп'ютерної інформації".

Порушення безпеки мережі

Починаючи з 1987 року користувачі персональних комп'ютерів зіштовхуються з різними комп'ютерними вірусами. Проте здавалося, що світу мереж, велика частина з яких базувалася на ОС UNIX, ніщо не загрожує. Тому події листопада 1988 сколихнули не тільки тих, хто мав справу з комп'ютерами та мережами, але й широку громадськість. 2 листопада 1988 випускник Корнельського університету Роберт Таппан Морріс запустив свою програму, яка вийшла з-під контролю автора і почала швидко переміщатися по мережі. У короткий термін вірус-хробак заповнив багато вузлів Internet, завантажуючи операційні системи своїми копіями, викликаючи відмови в обслуговуванні і т.п. Аналіз даної атаки буде проведено в главі 8, зараз же відзначимо кілька цікавих моментів.

У мережевому комп'ютерному світі ім'я Роберта Моріса було відомим. Ще в 1985 році в AT & T Bell Labs ним був опублікований технічний звіт, присвячений слабостям реалізації TCP / IP у версії 4.2 BSD UNIX [7]. Але цей звіт написаний ... Робертом Морісом-старшим - батьком автора хробака. Морріс-старший у цей час обіймав посаду наукового керівника Національного Центру Комп'ютерної Безпеки (NCSC - National Computer Security Center) - експерта з комп'ютерної безпеки. Морріс старший багато років пропрацював у лабораторії AT & T Bell, де в 60-х роках брав участь у розробці програм Core Wars. До цього необхідно додати, що літо 1988 Морріс-молодший провів у цій же лабораторії, де був зайнятий переписуванням програм системи безпеки для комп'ютерів, що працюють під управлінням ОС UNIX. До речі, інцидент з програмою-хробаком практично ніяк не позначився на кар'єрі Моріса-старшого. На початку 1989 року він був обраний до спеціального консультативна рада при Національному інституті стандартів і міністерстві торгівлі. У завдання цієї ради входить вироблення висновків і рекомендацій з питань безпеки обчислювальних систем урядових органів США, а також вирішення питань, що виникають при розробці і впровадженні стандартів захисту інформації.

Хробак Морріса інфікував 6200 комп'ютерів. Підраховані втрати, хоча формально хробак не наносив якого-небудь збитку даним в інфікованих хостах, були розділені на прямі і непрямі. До прямих втрат були віднесені:

• зупинка, тестування і перезавантаження 42700 машин;

• ідентифікація хробака, видалення, чистка пам'яті і відновлення працездатності 6200 машин;

• аналіз коду хробака, дизасемблювання та документування;

• виправлення UNIX систем і тестування.

Прямі втрати були оцінені більш ніж в 32 000 000 доларів. До непрямих втрат були віднесені:

• втрати машинного часу в результаті відсутності доступу до мережі;

• втрати доступу користувачів до мережі.

Непрямі втрати були оцінені більш ніж в 66 000 000 доларів. Загальні витрати були оцінені на суму в 98253260 доларів.

У результаті цього інциденту світ отримав уявлення про комп'ютерну небезпеку, а Internet - постійний головний біль. Після аналізу результатів атаки була утворена CERT (Computer Emergency Response Team), яка стала відслідковувати випадки атак і виробляти рекомендації з захисту комп'ютерів і мереж.

В якості прикладів наведемо щодо останні випадки успішних атак на сервери Internet:

• У серпні 1996 року атакований сервер департаменту юстиції США. Протягом декількох годин сторінки сервера були заповнені фашистською атрибутикою і містили пародію на Білль про телекомунікації.

• 6 вересня 1996 атаці піддався сервер компанії PANIX, що є одним з найбільших провайдерів Internet. У результаті атаки компанія кілька днів не могла надавати послуги своїм абонентам.

• У жовтні 1996 року на сервері ЦРУ замість "Welcome to the Central Intelligent Agency" з'явився заголовок "Welcome to the Central Stupidity Agency" і непристойні тексти.

• 5 листопада 1996 був атакований WWW-сервер газети Нью-Йорк Таймс, у результаті чого було практично неможливо стежити за ходом президентських виборів.

• У листопаді 1996 року румунські кракери замінили на WWW-сервері уряду портрет президента Ілієску на портрет його суперника Константинеску.

• 5 березня 1997 зламаний сервер NASA у Центрі керування космічними польотами Годдарда. Кракери розмістили на сторінках сервера своє звернення, в якому засуджувалася комерціалізація Internet і виражався протест проти судового переслідування знаменитих зломщиків Кевіна Митника і Еда Каммінгса. У зверненні містилася погроза атаки на "корпоративну Америку".

• 20 березня був розкритий сервер Сенфорда Уоллейса - президента рекламної фірми Cyber ​​Promotions. Кракери помістили в UseNet копію викраденого файлу паролів, що містить зашифровані паролі, імена і телефони клієнтів фірми.

Хоча за чисельністю користувачів Internet наша країна сильно поступається США, але число порушень безпеки також збільшуються. Ось кілька останніх випадків.

• 27 жовтня 1996 російськими кракерами був зламаний сервер компанії РОСНЕТ, серед клієнтів якої Центральний банк РФ, Ощадбанк Росії, Торгово-Промислова Палата, Державний Митний Комітет РФ і багато інших (п. 4.3.3).

• 22 листопада 1996 в Білорусії на Web-сайті опозиції, який представляв незалежні новини з різних країн і регіонів, була стерта вся інформація.

• Численні спроби здійснити шахрайські операції з кредитними картками змусили компанію America OnLine 14 грудня 1996 закрити користувачам з Росії доступ до своїх служб.

Цей список може бути продовжений. Практично кожен день приносить все нові звістки про порушення безпеки в різних районах світу. Але сумний досвід жертв кракерів, на жаль, не вчить інших. На підтвердження цього пошлемося на дослідження незалежного консультанта по безпеці Дена Фармера [8], проведене в листопаді-грудні 1996 року. Для дослідження Фармер вибрав дві групи Web-серверів: основну і контрольну. До основної групи, пов'язану з діяльністю користувачів, дослідник включив 50 урядових хостів, 660 банківських хостів, 274 хоста кредитних спілок, 312 хостів газет і 451 хост секс-клубів. У контрольну групу були включені обрані випадковим чином 469 хостів. Кожен з обраних хостів оцінювався на безпеку за допомогою вільно поширюваного засоби аналізу SATAN (розділ 8), одним з авторів якого є сам Фармер. Результати дослідження говорять самі за себе. За оцінкою Фармера більше 60% хостів основної групи можуть бути зруйновані шляхом вторгнення ззовні, додатково від 9 до 24% можуть бути зламані за допомогою відомих, але не усунутих в даних хостах, помилок у використовуваних ними програмах wu-ftp і sendmail. Автор вважає, що ще 10-20% хостів могло бути уражена за допомогою нових атак, що відбулися останнім часом. Приблизність оцінок дослідження викликана тим, що автор, природно, не намагався проникнути в досліджувані хости. При порівнянні з контрольною групою виявилося, що уразливість хостів основної групи вдвічі вище, ніж контрольної. Хоча автор не приховував свого імені і намірів, тільки три адміністратори досліджуваних хостів (два з основної групи і один з контрольної) виявили факт проведення дослідження їх хостів на безпеку.

У чому ж причина того, що порушники проникають у чужі машини? Спробуємо коротко перелічити основні причини уразливості хостів мережі:

• відкритість системи, вільний доступ до інформації з організації мережної взаємодії, протоколам і механізмам захисту;

• наявність помилок у програмному забезпеченні, операційних системах і утиліти, які відкрито публікуються в мережі;

• різнорідність використовуваних версій програмного забезпечення та операційних систем;

• складність організації захисту міжмережевої взаємодії;

• помилки конфігурації систем і засобів захисту;

• неправильне або помилкове адміністрування систем;

• несвоєчасне відстеження і виконання рекомендацій фахівців із захисту й аналізу випадків вторгнення для ліквідації лазівок і помилок у програмному забезпеченні;

• "Економія" на засобах і системах забезпечення безпеки або ігнорування їх;

• умовчання про випадки порушення безпеки свого хоста чи мережі.

Класифікація віддалених атак на розподілені обчислювальні системи

Основна мета будь-якої класифікації полягає в тому, щоб запропонувати такі класифікаційні ознаки, використовуючи які можна найбільш точно описати класифікуються явища або об'єкти. У зв'язку з тим, що ні в одному з відомих авторам науковому дослідженні не проводилося відмінності між локальними і віддаленими інформаційними впливами на ПС, то застосування вже відомих узагальнених класифікацій для опису вилучених впливів не дозволяє найбільш точно розкрити їх сутність і описати механізми та умови їх здійснення . Це пов'язано з тим, що даний клас впливів характеризується суто специфічними ознаками для розподілених обчислювальних систем. Тому для більш точного опису вилучених атак і пропонується наступна класифікація.

Отже, віддалені атаки можна класифікувати за такими ознаками:

1. За характером впливу

• пасивне (клас 1.1)

• активне (клас 1.2)

Пасивним впливом на розподілену обчислювальну систему назвемо вплив, яке не має безпосереднього впливу на роботу системи, але може порушувати її політику безпеки. Саме відсутність безпосереднього впливу на роботу розподіленої НД призводить до того, що пасивне віддалене вплив практично неможливо виявити. Прикладом пасивного типового віддаленого впливу у РВС служить прослуховування каналу зв'язку в мережі.

Під активним впливом на розподілену НД будемо розуміти вплив, що надає безпосередній вплив на роботу системи (зміна конфігурації РВС, порушення працездатності і т. д.) і порушує прийняту в ній політику безпеки. Практично всі типи віддалених атак є активними впливами. Це пов'язано з тим, що в самій природі руйнуючої дії міститься активний початок. Очевидною особливістю активного впливу порівняно з пасивним є принципова можливість його виявлення (природно, з більшою чи меншою мірою складності), тому що в результаті його здійснення в системі відбуваються певні зміни. На відміну від активного, при пасивному впливі не залишається ніяких слідів (від того, що атакуючий перегляне чуже повідомлення в системі, в той же момент нічого не зміниться).

2. За цілі впливу

• порушення конфіденційності інформації або ресурсів системи (клас 2.1)

• порушення цілісності інформації (клас 2.2)

• порушення працездатності (доступності) системи (клас 2.3)

Цей класифікаційна ознака є прямою проекцією трьох основних типів загроз - розкриття, цілісності та відмови в обслуговуванні.

Основна мета практично будь-якої атаки - дістати несанкціонований доступ до інформації. Існують дві принципові можливості доступу до інформації: перехоплення і спотворення. Можливість перехоплення інформації означає отримання до неї доступу, але неможливість її модифікації. Отже, перехоплення інформації веде до порушення її конфіденційності. У цьому випадку є несанкціонований доступ до інформації без можливості її спотворення. Очевидно також, що порушення конфіденційності інформації є пасивним впливом. Можливість спотворення інформації означає або повний контроль над інформаційним потоком між об'єктами системи, або можливість передачі повідомлень від імені іншого об'єкта. Таким чином, очевидно, що спотворення інформації веде до порушення її цілісності. Дане інформаційне руйнівний вплив являє собою яскравий приклад активного впливу.

Принципово іншою метою атаки є порушення працездатності системи. У цьому випадку не передбачається отримання атакуючим несанкціонованого доступу до інформації. Його основна мета - домогтися, щоб операційна система на атакується об'єкті вийшла з ладу і для всіх інших об'єктів системи доступ до ресурсів атакованого об'єкта був би неможливий.

3. За умовою початку здійснення впливу

Віддалене вплив, також як і будь-яке інше, може почати здійснюватися тільки за певних умов. У розподілених ОС існують три види умов початку здійснення віддаленої атаки:

• Атака за запитом від атакується об'єкта (клас 3.1)

У цьому випадку атакуючий чекає передачі від потенційної цілі атаки запиту певного типу, який і буде умовою початку здійснення впливу. Важливо відзначити, що даний тип віддалених атак найбільш характерний для розподілених НД

• Атака по настанню очікуваної події на атакується об'єкті (клас 3.2)

У цьому випадку атакуючий здійснює постійне спостереження за станом операційної системи віддаленої цілі атаки і при виникненні певної події в цій системі починає вплив. Як і в попередньому випадку, ініціатором здійснення початку атаки виступає сам атакується об'єкт. Прикладом такої події може бути переривання сеансу роботи користувача з сервером в ОС Novell NetWare без видачі команди LOGOUT [9].

• Безумовна атака (клас 3.3)

У цьому випадку початок здійснення атаки безумовно по відношенню до цілі атаки, тобто атака здійснюється негайно і безвідносно до стану системи і атакується об'єкта. Отже, в цьому випадку атакуючий є ініціатором початку здійснення атаки. Приклад атаки даного виду див. у пункті 4.4.

4. За наявності зворотного зв'язку з атакується об'єктом

• зі зворотним зв'язком (клас 4.1)

• без зворотного зв'язку (односпрямована атака) (клас 4.2)

Дистанційна атака, здійснювана за наявності зворотного зв'язку з атакується об'єктом, характеризується тим, що на деякі запити, передані на атакується об'єкт, атакуючому потрібно отримати відповідь, а, отже, між атакуючим і метою атаки існує зворотний зв'язок, що дозволяє атакуючому адекватно реагувати на всі зміни, що відбуваються на атакується об'єкті. Подібні віддалені атаки найбільш характерні для розподілених НД На відміну від атак з зворотним зв'язком віддаленим атакам без зворотного зв'язку не потрібно реагувати на будь-які зміни, що відбуваються на атакується об'єкті. Атаки даного виду звичайно здійснюються передачею на атакується об'єкт одиночних запитів, відповіді на які атакуючому не потрібні. Подібну УА можна називати односпрямованої віддаленої атакою.

5. По розташуванню суб'єкта атаки щодо атакується об'єкта

• внутрішньосегментний (клас 5.1)

• межсегментной (клас 5.2)

Розглянемо ряд визначень:

Суб'єкт атаки (або джерело атаки) - це атакуюча програма або оператор, що безпосередньо здійснюють вплив.

Хост (host) - мережевий комп'ютер.

Маршрутизатор (router) - пристрій, що забезпечує маршрутизацію пакетів обміну у глобальній мережі.

Підмережа (subnetwork) (у термінології Internet) - сукупність хостів, що є частиною глобальної мережі, для яких маршрутизатором виділено однаковий номер підмережі. Підмережа - логічне об'єднання хостів маршрутизатором. Хости всередині однієї підмережі можуть взаємодіяти між собою безпосередньо, минаючи маршрутизатор.

Сегмент мережі - фізична об'єднання хостів. Наприклад, сегмент мережі утворюють сукупність хостів, підключених до сервера за схемою "загальна шина". При такій схемі підключення кожен хост має змогу піддавати аналізу будь-який пакет у своєму сегменті.

З точки зору віддаленої атаки надзвичайно важливо, як по відношенню один до одного розташовуються суб'єкт та об'єкт атаки, тобто в одному або в різних сегментах вони знаходяться. У разі внутрішньосегментний атаки, як випливає з назви, суб'єкт та об'єкт атаки знаходяться в одному сегменті. При межсегментной атаці суб'єкт та об'єкт атаки знаходяться в різних сегментах. Даний класифікаційна ознака дозволяє судити про так звану "ступеня віддаленості" атаки.

Надалі буде показано, що на практиці міжсегментний атаку здійснити значно важче, ніж внутрішньосегментний. Важливо відзначити, що міжсегментний віддалена атака представляє набагато більшу небезпеку, ніж внутрішньосегментний. Це пов'язано з тим, що в разі межсегментной атаки об'єкт її і безпосередньо атакуючий можуть знаходитися на відстані багатьох тисяч кілометрів один від одного, що може істотно перешкодити заходам щодо відбиття атаки.

6. За рівнем еталонної моделі ISO / OSI, на якому здійснюється вплив

• фізичний (клас 6.1)

• канальний (клас 6.2)

• мережевий (клас 6.3)

• транспортний (клас 6.4)

• сеансовий (клас 6.5)

• представницький (клас 6.6)

• прикладної (клас 6.7)

Міжнародна Організація по Стандартизації (ISO) прийняла стандарт ISO 7498, що описує взаємодію відкритих систем (OSI). Розподілені ВС також є відкритими системами. Будь-який мережевий протокол обміну, як і будь-яку мережеву програму, можна з тим або іншим ступенем точності спроектувати на еталонну семирiвневу модель OSI. Така багаторівнева проекція дозволить описати в термінах моделі OSI функції, закладені в мережевий протокол або програму. Дистанційна атака також є мережевою програмою. У зв'язку з цим представляється логічним розглядати віддалені атаки на розподілені ЗС, проектуючи їх на еталонну модель ISO / OSI.

Методи захисту від атак з мережі

Як захиститися від помилкового ARP-сервера?

У тому випадку, якщо у мережевої ОС відсутня інформація про відповідність IP-і Ethernet-адрес хостів усередині одного сегмента IP-мережі, даний протокол дозволяє посилати широкомовний ARP-запит на пошук необхідного Ethernet-адреси, на який атакує може надіслати помилкову відповідь, і , надалі, весь трафік на канальному рівні виявиться перехопленим атакуючим і пройде через помилковий ARP-сервер. Очевидно, що для ліквідації даної атаки необхідно усунути причину, по якій можливо її здійснення. Основна причина успіху даної віддаленої атаки - відсутність необхідної інформації в ОС кожного хоста про відповідні IP-та Ethernet-адреси всіх інших хостів всередині даного сегменту мережі. Таким чином, самим простим рішенням буде створення мережевим адміністратором статичної ARP-таблиці у вигляді файлу (в ОС UNIX зазвичай / etc / ethers), куди необхідно внести відповідну інформацію про адреси. Даний файл встановлюється на кожен хост всередині сегменту, і, отже, у мережевої ОС відпадає необхідність у використанні віддаленого ARP-пошуку. Правда, відзначимо, що ОС Windows '95 це не допомагає.

Як захиститися від помилкового DNS-сервера?

Здійснення віддаленої атаки, заснованої на потенційних вразливості служби DNS, може призвести до катастрофічних наслідків для величезного числа користувачів Internet і стати причиною масового порушення інформаційної безпеки даної глобальної мережі. У наступних двох пунктах пропонуються можливі адміністративні методи щодо запобігання чи ускладнення даної віддаленої атаки для адміністраторів і користувачів мережі і для адміністраторів DNS-серверів.

Як адміністратора мережі захиститися від помилкового DNS-сервера?

Якщо відповідати на це питання коротко, то ніяк. Ні адміністративно, ні програмно не можна захиститися від атаки на існуючу версію служби DNS. Оптимальним з точки зору безпеки рішенням буде взагалі відмовитися від використання служби DNS в вашому захищеному сегменті! Звичайно, зовсім відмовитися від використання імен при зверненні до хостів для користувачів буде дуже не зручно. Тому можна запропонувати наступне компромісне рішення: використовувати імена, але відмовитися від механізму віддаленого DNS-пошуку. Ви правильно здогадалися, що це повернення до схеми, що використовувалася до появи служби DNS з виділеними DNS-серверами. Тоді на кожній машині в мережі існував hosts файл, в якому знаходилася інформація про відповідні імена і IP-адреси всіх хостів у мережі. Очевидно, що на сьогоднішній день адміністратору можна внести в подібний файл інформацію про лише найбільш часто відвідуваних користувачами даного сегмента серверах мережі. Тому використання на практиці даного рішення надзвичайно утруднене і, мабуть, нереально (що, наприклад, робити з браузерами, які використовують URL з іменами?). Для утруднення здійснення даної віддаленої атаки можна запропонувати адміністраторам використовувати для служби DNS замість протоколу UDP, який встановлюється за умовчанням, протокол TCP (хоча з документації далеко не очевидно, як його змінити). Це істотно ускладнить для атакуючого передачу на хост помилкового DNS-відповіді без прийому DNS-запиту.

Загальний невтішний висновок такий: у мережі Internet при використанні існуючої версії служби DNS не існує прийнятного рішення для захисту від помилкового DNS-сервера (і не відмовишся, як у випадку з ARP, і використовувати небезпечно)!

Як адміністратору DNS-сервера захиститися від помилкового DNS-сервера?

Якщо відповідати на це питання коротко, то, знову ж, ніяк. Єдиним способом утруднити здійснення даної віддаленої атаки, це використовувати для спілкування з хостами і з іншими DNS-серверами тільки протокол TCP, а не UDP. Тим не менш, це тільки ускладнить виконання атаки - не забувайте як про можливе перехоплення DNS-запиту, так і про можливість математичного передбачення початкового значення TCP-ідентифікатора ISN.

На закінчення можна порекомендувати для всієї мережі Internet скоріше перейти або до нової більш захищеною версії служби DNS, або прийняти єдиний стандарт на захищений протокол. Зробити цей перехід, незважаючи на всі колосальні витрати, просто необхідно, інакше мережа Internet може бути просто поставлена ​​на коліна перед усезростаючим успішними спробами порушення її безпеки за допомогою даної служби!

Як захиститися від нав'язування помилкового маршруту при використанні протоколу ICMP?

Раніше розглядалася віддалена атака, яка полягала в передачі на хост помилкового ICMP Redirect повідомлення про зміну вихідного маршруту. Ця атака приводила як до перехоплення атакуючим інформації, так і до порушення працездатності атакується хоста. Для того щоб захиститися від даної віддаленої атаки, необхідно або фільтрувати дане повідомлення (використовуючи Firewall або фільтрувальний маршрутизатор), не допускаючи її потрапляння на кінцеву систему, або відповідним чином вибирати мережну ОС, яка буде ігнорувати це повідомлення. Проте зазвичай не існує адміністративних способів вплинути на мережну ОС так, щоб заборонити їй змінювати маршрут і реагувати на дане повідомлення. Єдиний спосіб, наприклад, у випадку ОС Linux або FreeBSD полягає в тому, щоб змінити вихідні тексти і перекомпілювати ядро ​​ОС. Очевидно, що такий екзотичний для багатьох спосіб можливий тільки для вільно розповсюджуваних разом з вихідними текстами операційних систем. Зазвичай на практиці не існує іншого способу дізнатися реакцію використовуваної у вас ОС на ICMP Redirect повідомлення, як надіслати це повідомлення й подивитися, який буде результат. Експерименти показали, що дане повідомлення дозволяє змінити маршрутизацію на ОС Linux 1.2.8, Windows '95 і Windows NT 4.0. Слід зазначити, що (як це видно з 4 глави) продукти компанії Microsoft не відрізняються особливою захищеністю від можливих віддалених атак, властивих IP-мереж. Отже, використовувати дані ОС в захищеному сегменті IP-мережі є небажаним. Це і буде тим самим адміністративним рішенням по захисту сегмента мережі від даної віддаленої атаки.

Як захиститися від відмови в обслуговуванні?

Як не раз уже зазначалося, немає і не може бути прийнятних способів захисту від відмови в обслуговуванні в існуючому стандарті IPv4 мережі Internet. Це пов'язано з тим, що в даному стандарті неможливий контроль за маршрутом повідомлень. Тому неможливо забезпечити надійний контроль за мережевими з'єднаннями, тому що в одного суб'єкта мережевого взаємодії існує можливість зайняти необмежене число каналів зв'язку з віддаленим об'єктом і при цьому залишитися анонімним. Через це будь-який сервер в мережі Internet може бути повністю паралізований за допомогою віддаленої атаки. Єдине, що можна запропонувати для підвищення надійності роботи системи, що піддається даної атаці, - це використовувати як можна більш потужні комп'ютери. Чим більше число і частота роботи процесорів, чим більший об'єм оперативної пам'яті, тим більш надійною буде робота мережевої ОС, коли на неї обрушиться спрямований "шторм" помилкових запитів на створення з'єднання. Крім того, необхідно використання відповідних вашим обчислювальних потужностей операційних систем з внутрішньої чергою, здатної вмістити велику кількість запитів на підключення. Адже від того, що ви, наприклад, поставите на суперЕОМ операційну систему Linux або Windows NT, у яких довжина черги для одночасно оброблюваних запитів близько 10, а тайм-аут очищення черзі кілька хвилин, то, незважаючи на всі обчислювальні потужності комп'ютера, ОС буде повністю паралізована атакуючим.

Загальний висновок з протидії даної атаки в існуючому стандарті IPv4 наступний: просто розслабтеся і сподівайтеся на те, що ви ні для кого не уявляєте інтересу, або купуйте суперЕОМ з відповідною їй мережевої ОС.

Як захиститися від підміни однієї із сторін при взаємодії з використанням базових протоколів сімейства TCP / IP

Як зазначалося раніше, єдиним базовим протоколом сімейства TCP / IP, в якому спочатку передбачена функція забезпечення безпеки з'єднання і його абонентів, є протокол транспортного рівня - протокол TCP. Що стосується базових протоколів прикладного рівня: FTP, TELNET, r-служба, NFS, HTTP, DNS, SMTP, то жоден з них не передбачає додатковий захист з'єднання на своєму рівні і залишає рішення всіх проблем щодо забезпечення безпеки з'єднання протоколу нижчого транспортного рівня - TCP. Однак, згадавши про можливі атаки на TCP-з'єднання, що при знаходженні атакуючого в одному сегменті з метою атаки захиститися від підміни одного з абонентів TCP-з'єднання в принципі неможливо, а в разі знаходження в різних сегментах через можливість математичного передбачення ідентифікатора TCP- з'єднання ISN також реальна підміна одного з абонентів, нескладно зробити висновок, що при використанні базових протоколів сімейства TCP / IP забезпечити безпеку з'єднання практично неможливо! Це відбувається через те, що, на жаль, всі базові протоколи мережі Internet з точки зору забезпечення інформаційної безпеки неймовірно застаріли.

Єдино, що можна порекомендувати мережевим адміністраторам для захисту тільки від міжсегментний атак на з'єднання - в якості базового "захищеного" протоколу використовувати протокол TCP і мережеві ОС, в яких початкове значення ідентифікатора TCP-з'єднання дійсно генерується випадковим чином (непоганий псевдовипадковий алгоритм генерації використовується в останніх версіях ОС FreeBSD).

Список використовуваної літератури:

1. Теорія і практика забезпечення інформаційної безпеки, під редакцією Зегжди П.Д., Вид. "Яхтсмен", 1996. Гайкович В., Першин А..

2. Безпека електронних банківських систем., Вид. "Єдина Європа", 1994.

3. Ростовцев А. Г. Елементи криптології, Вид. СПБДТУ

4. Клименко С., Уразметов В., Internet. Навколишнє середовище інформаційного суспільства, Російський Центр Фізико-Технічної Інформатики, 1995.