Типовые признаки компьютерных атак. Виды компьютерных атак

До сих пор нет точного определения термина "атака" (вторжение, нападение). Каждый специалист в области безопасности трактует его по-своему. Наиболее правильным и полным я считаю следующее определение.

Атакой на информационную систему называются преднамеренные действия злоумышленника, использующие уязвимости информационной системы и приводящие к нарушению доступности, целостности и конфиденциальности обрабатываемой информации.

Устраним уязвимости информационной системы - устраним и возможность реализации атак.

На сегодняшний день считается неизвестным, сколько существует методов атак. Говорят о том, что до сих пор отсутствуют какие-либо серьезные математические исследования в этой области. Но еще в 1996 году Фред Коэн описал математические основы вирусной технологии. В этой работе доказано, что число вирусов бесконечно. Очевидно, что и число атак бесконечно, поскольку вирусы - это подмножество множества атак.

Модели атак

Традиционная модель атаки строится по принципу (рис.1) или (рис.2), т.е. атака исходит из одного источника. Разработчики сетевых средств защиты (межсетевых экранов, систем обнаружения атак и т.д.) ориентированы именно на традиционную модель атаки. В различных точках защищаемой сети устанавливаются агенты (сенсоры) системы защиты, которые передают информацию на центральную консоль управления. Это облегчает масштабирование системы, обеспечивает простоту удаленного управления и т.д. Однако такая модель не справляется с относительно недавно (в 1998 году) обнаруженной угрозой - распределенными атаками.
Рисунок 1. Отношение "один к одному"

В модели распределенной атаки используются иные принципы. В отличие от традиционной модели в распределенной модели используются отношения (рис.3) и (рис.4).

Распределенные атаки основаны на "классических" атаках типа "отказ в обслуживании ", а точнее на их подмножестве, известном как Flood-атаки или Storm-атаки (указанные термины можно перевести как "шторм", "наводнение" или "лавина"). Смысл данных атак заключается в посылке большого количества пакетов на атакуемый узел. Атакуемый узел может выйти из строя, поскольку он "захлебнется" в лавине посылаемых пакетов и не сможет обрабатывать запросы авторизованных пользователей. По такому принципу работают атаки SYN-Flood, Smurf, UDP Flood, Targa3 и т.д. Однако в том случае, если пропускная способность канала до атакуемого узла превышает пропускную способность атакующего или атакуемый узел некорректно сконфигурирован, то к "успеху" такая атака не приведет. Например, с помощью этих атак бесполезно пытаться нарушить работоспособность своего провайдера. Но распределенная атака происходит уже не из одной точки Internet, а сразу из нескольких, что приводит к резкому возрастанию трафика и выведению атакуемого узла из строя. Например, по данным России-Онлайн в течение двух суток, начиная с 9 часов утра 28 декабря 2000 г. крупнейший Internet-провайдер Армении "Арминко" подвергался распределенной атаке. В данном случае к атаке подключились более 50 машин из разных стран, которые посылали по адресу "Арминко" бессмысленные сообщения. Кто организовал эту атаку, и в какой стране находился хакер - установить было невозможно. Хотя атаке подвергся в основном "Арминко", перегруженной оказалась вся магистраль, соединяющая Армению с всемирной паутиной. 30 декабря благодаря сотрудничеству "Арминко" и другого провайдера - "АрменТел" - связь была полностью восстановлена. Несмотря на это компьютерная атака продолжалась, но с меньшей интенсивностью.

Этапы реализации атак

Можно выделить следующие этапы реализации атаки:

Обычно, когда говорят об атаке, то подразумевают именно второй этап, забывая о первом и последнем. Сбор информации и завершение атаки ("заметание следов") в свою очередь также могут являться атакой и могут быть разделены на три этапа (см. рис.5).
Рисунок 5. Этапы реализации атаки

Cбор информации - это основной этап реализации атаки. Именно на данном этапе эффективность работы злоумышленника является залогом "успешности" атаки. Сначала выбирается цель атаки и собирается информация о ней (тип и версия операционной системы, открытые порты и запущенные сетевые сервисы, установленное системное и прикладное программное обеспечение и его конфигурация и т.д.). Затем идентифицируются наиболее уязвимые места атакуемой системы, воздействие на которые приводит к нужному злоумышленнику результату. Злоумышленник пытается выявить все каналы взаимодействия цели атаки с другими узлами. Это позволит не только выбрать тип реализуемой атаки, но и источник ее реализации. Например, атакуемый узел взаимодействует с двумя серверами под управлением ОС Unix и Windows NT. С одним сервером атакуемый узел имеет доверенные отношения, а с другим - нет. От того, через какой сервер злоумышленник будет реализовывать нападение, зависит, какая атака будет задействована, какое средство реализации будет выбрано и т.д. Затем, в зависимости от полученной информации и желаемого результата, выбирается атака, дающая наибольший эффект. Например:
SYN Flood, Teardrop, UDP Bomb - для нарушения функционирования узла;
CGI-скрипт - для проникновения на узел и кражи информации;
PHF - для кражи файла паролей и удаленного подбора пароля и т.п.

Традиционные средства защиты, такие как межсетевые экраны или механизмы фильтрации в маршрутизаторах, вступают в действие лишь на втором этапе реализации атаки, совершенно "забывая" о первом и третьем. Это приводит к тому, что зачастую совершаемую атаку очень трудно остановить даже при наличии мощных и дорогих средств защиты. Пример тому - распределенные атаки. Логично было бы, чтобы средства защиты начинали работать еще на первом этапе, т.е. предотвращали бы возможность сбора информации об атакуемой системе. Это позволило бы если и не полностью предотвратить атаку, то хотя бы существенно усложнить работу злоумышленника. Традиционные средства также не позволяют обнаружить уже совершенные атаки и оценить ущерб после их реализации, т.е. не работают на третьем этапе реализации атаки. Следовательно, невозможно определить меры по предотвращению таких атак впредь.

В зависимости от желаемого результата нарушитель концентрируется на том или ином этапе реализации атаки. Например:
для отказа в обслуживании подробно анализируется атакуемая сеть, в ней выискиваются лазейки и слабые места;
для хищения информации основное внимание уделяется незаметному проникновению на атакуемые узлы при помощи обнаруженных ранее уязвимостей.

Рассмотрим основные механизмы реализации атак. Это необходимо для понимания методов обнаружения этих атак. Кроме того, понимание принципов действий злоумышленников - залог успешной обороны сети.

1. Сбор информации

Первый этап реализации атак - это сбор информации об атакуемой системе или узле. Он включает такие действия как определение сетевой топологии, типа и версии операционной системы атакуемого узла, а также доступных сетевых и иных сервисов и т.п. Эти действия реализуются различными методами.

Изучение окружения

На этом этапе нападающий исследует сетевое окружение вокруг предполагаемой цели атаки. К таким областям, например, относятся узлы Internet-провайдера "жертвы" или узлы удаленного офиса атакуемой компании. На этом этапе злоумышленник может пытаться определить адреса "доверенных" систем (например, сеть партнера) и узлов, которые напрямую соединены с целью атаки (например, маршрутизатор ISP) и т.д. Такие действия достаточно трудно обнаружить, поскольку они выполняются в течение достаточно длительного периода времени и снаружи области, контролируемой средствами защиты (межсетевыми экранами, системами обнаружения атак и т.п.).

Идентификация топологии сети

Существует два основных метода определения топологии сети, используемых злоумышленниками:

1. изменение TTL (TTL modulation),
2. запись маршрута (record route).

По первому методу работают программы traceroute для Unix и tracert для Windows. Они используют поле Time to Live ("время жизни") в заголовке IP-пакета, которое изменяется в зависимости от числа пройденных сетевым пакетом маршрутизаторов. Для записи маршрута ICMP-пакета может быть использована утилита ping . Зачастую сетевую топологию можно выяснить при помощи протокола SNMP, установленного на многих сетевых устройствах, защита которых неверно сконфигурирована. При помощи протокола RIP можно попытаться получить информацию о таблице маршрутизации в сети и т.д.

Многие из этих методов используются современными системами управления (например, HP OpenView, Cabletron SPECTRUM, MS Visio и т.д.) для построения карт сети. И эти же методы могут быть с успехом применены злоумышленниками для построения карты атакуемой сети.

Идентификация узлов

Идентификация узла, как правило, осуществляется путем посылки при помощи утилиты ping команды ECHO_REQUEST протокола ICMP. Ответное сообщение ECHO_REPLY говорит о том, что узел доступен. Существуют свободно распространяемые программы, которые автоматизируют и ускоряют процесс параллельной идентификации большого числа узлов, например, fping или nmap. Опасность данного метода в том, что стандартными средствами узла запросы ECHO_REQUEST не фиксируются. Для этого необходимо применять средства анализа трафика, межсетевые экраны или системы обнаружения атак.

Это самый простой метод идентификации узлов. Однако он имеет два недостатка.

1. Многие сетевые устройства и программы блокируют ICMP-пакеты и не пропускают их во внутреннюю сеть (или наоборот не пропускают их наружу). Например, MS Proxy Server 2.0 не разрешает прохождение пакетов по протоколу ICMP. В результате возникает неполная картина. С другой стороны, блокировка ICMP-пакета говорит злоумышленнику о наличии "первой линии обороны" - маршрутизаторов, межсетевых экранов и т.д.
2. Использование ICMP-запросов позволяет с легкостью обнаружить их источник, что, разумеется, не может входить в задачу злоумышленника.

Существует еще один метод идентификации узлов - использование "смешанного" режима сетевой карты, который позволяет определить различные узлы в сегменте сети. Но он не применим в тех случаях, в которых трафик сегмента сети недоступен нападающему со своего узла, т.е. этот метод применим только в локальных сетях. Другим способом идентификации узлов сети является так называемая разведка DNS, которая позволяет идентифицировать узлы корпоративной сети при помощи обращения к серверу службы имен.

Идентификация сервисов или сканирование портов

Идентификация сервисов, как правило, осуществляется путем обнаружения открытых портов (port scanning). Такие порты очень часто связаны с сервисами, основанными на протоколах TCP или UDP. Например:

• открытый 80-й порт подразумевает наличие Web-сервера,
• 25-й порт - почтового SMTP-сервера,
• 31337-й - серверной части троянского коня BackOrifice,
• 12345-й или 12346-й - серверной части троянского коня NetBus и т.д.

Идентификация операционной системы

Основной механизм удаленного определения ОС - анализ ответов на запросы, учитывающие различные реализации TCP/IP-стека в различных операционных системах. В каждой ОС по-своему реализован стек протоколов TCP/IP, что позволяет при помощи специальных запросов и ответов на них определить, какая ОС установлена на удаленном узле.

Другой, менее эффективный и крайне ограниченный, способ идентификации ОС узлов - анализ сетевых сервисов, обнаруженных на предыдущем этапе. Например, открытый 139-й порт позволяет сделать вывод, что удаленный узел, вероятнее всего, работает под управлением ОС семейства Windows. Для определения ОС могут быть использованы различные программы. Например, nmap или queso.

Определение роли узла

Предпоследним шагом на этапе сбора информации об атакуемом узле является определение его роли, например, выполнении функций межсетевого экрана или Web-сервера. Выполняется этот шаг на основе уже собранной информации об активных сервисах, именах узлов, топологии сети и т.п. Например, открытый 80-й порт может указывать на наличие Web-сервера, блокировка ICMP-пакета указывает на потенциальное наличие межсетевого экрана, а DNS-имя узла proxy.domain.ru или fw.domain.ru говорит само за себя.

Определение уязвимостей узла

Последний шаг - поиск уязвимостей. На этом шаге злоумышленник при помощи различных автоматизированных средств или вручную определяет уязвимости, которые могут быть использованы для реализации атаки. В качестве таких автоматизированных средств могут быть использованы ShadowSecurityScanner, nmap, Retina и т.д.

2. Реализация атаки

С этого момента начинается попытка доступа к атакуемому узлу. При этом доступ может быть как непосредственный, т.е. проникновение на узел, так и опосредованный, например, при реализации атаки типа "отказ в обслуживании". Реализация атак в случае непосредственного доступа также может быть разделена на два этапа:

• проникновение;
• установление контроля.

Проникновение

Проникновение подразумевает под собой преодоление средств защиты периметра (например, межсетевого экрана). Реализовываться это может быть различными путями. Например, использование уязвимости сервиса компьютера, "смотрящего" наружу или путем передачи враждебного содержания по электронной почте (макровирусы) или через апплеты Java. Такое содержание может использовать так называемые "туннели" в межсетевом экране (не путать с туннелями VPN), через которые затем и проникает злоумышленник. К этому же этапу можно отнести подбор пароля администратора или иного пользователя при помощи специализированной утилиты (например, L0phtCrack или Crack).

Установление контроля

После проникновения злоумышленник устанавливает контроль над атакуемым узлом. Это может быть осуществлено путем внедрения программы типа "троянский конь" (например, NetBus или BackOrifice). После установки контроля над нужным узлом и "заметания" следов, злоумышленник может осуществлять все необходимые несанкционированные действия дистанционно без ведома владельца атакованного компьютера. При этом установление контроля над узлом корпоративной сети должно сохраняться и после перезагрузки операционной системы. Это может быть реализовано путем замены одного из загрузочных файлов или вставка ссылки на враждебный код в файлы автозагрузки или системный реестр. Известен случай, когда злоумышленник смог перепрограммировать EEPROM сетевой карты и даже после переустановки ОС он смог повторно реализовать несанкционированные действия. Более простой модификацией этого примера является внедрение необходимого кода или фрагмента в сценарий сетевой загрузки (например, для ОС Novell Netware).

Цели реализации атак

Этапом завершения атаки является "заметание следов" со стороны злоумышленника. Обычно это реализуется путем удаления соответствующих записей из журналов регистрации узла и других действий, возвращающих атакованную систему в исходное, "предатакованное" состояние.

Классификация атак

Существуют различные типа классификации атак. Например, деление на пассивные и активные, внешние и внутренние, умышленные и неумышленные. Однако дабы не запутать вас большим разнообразием классификаций, мало применимыми на практике, предлагаю более "жизненную" классификацию:

1. Удаленное проникновение (remote penetration) . Атаки, которые позволяют реализовать удаленное управление компьютером через сеть. Например, NetBus или BackOrifice.
2. Локальное проникновение (local penetration) . Атака, которая приводит к получению несанкционированного доступа к узлу, на котором она запущена. Например, GetAdmin.
3. Удаленный отказ в обслуживании (remote denial of service) . Атаки, которые позволяют нарушить функционирование или перегрузить компьютер через Internet. Например, Teardrop или trin00.
4. Локальный отказ в обслуживании (local denial of service) . Атаки, которые позволяют нарушить функционирование или перегрузить компьютер, на котором они реализуются. Примером такой атаки является "враждебный" апплет, который загружает центральный процессор бесконечным циклом, что приводит к невозможности обработки запросов других приложений.
5. Сетевые сканеры (network scanners) . Программы, которые анализируют топологию сети и обнаруживают сервисы, доступные для атаки. Например, система nmap.
6. Сканеры уязвимостей (vulnerability scanners) . Программы, которые ищут уязвимости на узлах сети и которые могут быть использованы для реализации атак. Например, система SATAN или ShadowSecurityScanner.
7. Взломщики паролей (password crackers) . Программы, которые "подбирают" пароли пользователей. Например, L0phtCrack для Windows или Crack для Unix.
8. Анализаторы протоколов (sniffers) . Программы, которые "прослушивают" сетевой трафик. При помощи этих программ можно автоматически искать такую информацию, как идентификаторы и пароли пользователей, информацию о кредитных картах и т.д. Например, Microsoft Network Monitor, NetXRay компании Network Associates или LanExplorer.

Компания Internet Security Systems, Inc. еще больше сократила число возможных категорий, доведя их до 5:

1. Сбор информации (Information gathering).
2. Попытки несанкционированного доступа (Unauthorized access attempts).
3. Отказ в обслуживании (Denial of service).
4. Подозрительная активность (Suspicious activity).
5. Системные атаки (System attack).

Первые 4 категории относятся к удаленным атакам, а последняя - к локальным, реализуемом на атакуемом узле. Можно заметить, что в данную классификацию не попал целый класс так называемых "пассивных" атак ("прослушивание" трафика, "ложный DNS-сервер", "подмена ARP-сервера" и т.п.).

Классификация атак, реализованная во многих системах обнаружения атак, не может быть категоричной. Например, атака, реализация которой для ОС Unix (например, переполнение буфера statd) может иметь самые плачевные последствия (самый высокий приоритет), для ОС Windows NT может быть вообще не применима или иметь очень низкую степень риска. Кроме того, существует неразбериха и в самих названиях атак и уязвимостей. Одна и та же атака, может иметь разные наименования у разных производителей систем обнаружения атак.

Одной из лучших баз уязвимостей и атак является база данных X-Force, находящаяся по адресу: http://xforce.iss.net/. Доступ к ней может осуществляться как путем подписки на свободно распространяемый список рассылки X-Force Alert, так и путем интерактивного поиска в базе данных на Web-сервере компании ISS.

Заключение

Не будь уязвимостей в компонентах информационных систем, нельзя было бы реализовать многие атаки и, следовательно, традиционные системы защиты вполне эффективно справлялись бы с возможными атаками. Однако программы пишутся людьми, которым свойственно делать ошибки. Вследствие чего и появляются уязвимости, которые используются злоумышленниками для реализации атак. Однако это только полбеды. Если бы все атаки строились по модели "один к одному", то с некоторой натяжкой, но межсетевые экраны и другие защитные системы смогли бы противостоять и им. Но появились скоординированные атаки, против которых традиционные средства уже не так эффективны. И тут на сцене и появляются новые технологии - технологии обнаружения атак. Приведенная систематизация данные об атаках и этапах их реализации дает необходимый базис для понимания технологий обнаружения атак.

Средства обнаружения компьютерных атак

Технология обнаружения атак должна решать следующие задачи:

• Распознавание известных атак и предупреждение о них соответствующего персонала.
• "Понимание" зачастую непонятных источников информации об атаках.
• Освобождение или снижение нагрузки на персонал, отвечающий за безопасность, от текущих рутинных операций по контролю за пользователями, системами и сетями, являющимися компонентами корпоративной сети.
• Возможность управления средствами защиты не-экспертами в области безопасности.
• Контроль всех действий субъектов корпоративной сети (пользователей, программ, процессов и т.д.).

Очень часто системы обнаружения атак могут выполнять функции, существенно расширяющие спектр их применения. Например,

• Контроль эффективности межсетевых экранов. Например, установка системы обнаружения атак после межсетевого экрана (внутри корпоративной сети) позволяет обнаружить атаки, пропускаемые МСЭ и, тем самым, определить недостающие правила на межсетевом экране.
• Контроль узлов сети с неустановленными обновлениями или узлов с устаревшим программным обеспечением.
• Блокирование и контроль доступа к определенным узлам Internet. Хотя системам обнаружения атак далеко до межсетевых экранов и систем контроля доступа к различным URL, например, WEBsweeper, они могут выполнять частичный контроль и блокирование доступа некоторых пользователей корпоративной сети к отдельным ресурсам Internet, например, к Web-серверам порнографического содержания. Это бывает необходимо тогда, когда в организации нет денег на приобретение и межсетевого экрана и системы обнаружение атак, и функции МСЭ разносятся между системой обнаружения атак, маршрутизатором и proxy-сервером. Кроме того, системы обнаружения атак могут контролировать доступ сотрудников к серверам на основе ключевых слов. Например, sex, job, crack и т.д.
• Контроль электронной почты. Системы обнаружения атак могут использоваться для контроля неблагонадежных сотрудников, использующих электронную почту для выполнения задач, не входящих в их функциональные обязанности, например, рассылка резюме. Некоторые системы могут обнаруживать вирусы в почтовых сообщениях и, хотя до настоящих антивирусных систем им далеко, они все же выполняют эту задачу достаточно эффективно.

Лучшее использование времени и опыта специалистов в области информационной безопасности заключается в обнаружении и устранении причин реализации атак, скорее чем, в обнаружении самих атак. Устранив причины возникновения атак, т.е. обнаружив и устранив уязвимости, администратор тем самым устраняет и сам факт потенциальной реализации атак. Иначе атака будет повторяться раз за разом, постоянно требуя усилий и внимания администратора.

Классификация систем обнаружения атак

Существует большое число различных классификаций систем обнаружения атак, однако самой распространенной является классификация по принципу реализации:

1. host-based , то есть обнаруживающие атаки, направленные на конкретный узел сети,
2. network-based , то есть обнаруживающие атаки, направленные на всю сеть или сегмент сети.

Системы обнаружения атак, контролирующие отдельный компьютер, как правило, собирают и анализируют информацию из журналов регистрации операционной системы и различных приложений (Web-сервер, СУБД и т.д.). По такому принципу функционирует RealSecure OS Sensor. Однако в последнее время стали получать распространение системы, тесно интегрированные с ядром ОС, тем самым, предоставляя более эффективный способ обнаружения нарушений политики безопасности. Причем такая интеграция может быть реализовано двояко. Во-первых, могут контролироваться все системные вызовы ОС (так работает Entercept) или весь входящий/исходящий сетевой трафик (так работает RealSecure Server Sensor). В последнем случае система обнаружения атак захватывает весь сетевой трафик напрямую с сетевой карты, минуя операционную систему, что позволяет уменьшить зависимость от нее и тем самым повысить защищенность системы обнаружения атак.

Системы обнаружения атак уровня сети собирают информацию из самой сети, то есть из сетевого трафика. Выполняться эти системы могут на обычных компьютерах (например, RealSecure Network Sensor), на специализированных компьютерах (например, RealSecure for Nokia или Cisco Secure IDS 4210 и 4230) или интегрированы в маршрутизаторы или коммутаторы (например, CiscoSecure IOS Integrated Software или Cisco Catalyst 6000 IDS Module). В первых двух случаях анализируемая информация собирается посредством захвата и анализа пакетов, используя сетевые интерфейсы в беспорядочном (promiscuous) режиме. В последнем случае захват трафика осуществляется с шины сетевого оборудования.

Обнаружение атак требует выполнения одного из двух условий - или понимания ожидаемого поведения контролируемого объекта системы или знания всех возможных атак и их модификаций. В первом случае используется технология обнаружения аномального поведения, а во втором случае - технология обнаружения злоумышленного поведения или злоупотреблений. Вторая технология заключается в описании атаки в виде шаблона или сигнатуры и поиска данного шаблона в контролируемом пространстве (например, сетевом трафике или журнале регистрации). Эта технология очень похожа на обнаружение вирусов (антивирусные системы являются ярким примером системы обнаружения атак), т.е. система может обнаружить все известные атаки, но она мало приспособлена для обнаружения новых, еще неизвестных, атак. Подход, реализованный в таких системах, очень прост и именно на нем основаны практически все предлагаемые сегодня на рынке системы обнаружения атак.

Практически все системы обнаружения атак основаны на сигнатурном подходе.

Достоинства систем обнаружения атак

Можно долго перечислять различные достоинства систем обнаружения атак, функционирующих на уровне узла и сети. Однако я остановлюсь только на нескольких из них.

Коммутация позволяет управлять крупномасштабными сетями, как несколькими небольшими сетевыми сегментами. В результате бывает трудно определить наилучшее место для установки системы, обнаруживающей атаки в сетевом трафике. Иногда могут помочь специальные порты (span ports) на коммутаторах, но не всегда. Обнаружение атак на уровне конкретного узла обеспечивает более эффективную работу в коммутируемых сетях, так как позволяет разместить системы обнаружения только на тех узлах, на которых это необходимо.

Системы сетевого уровня не требуют, чтобы на каждом хосте устанавливалось программное обеспечение системы обнаружения атак. Поскольку для контроля всей сети число мест, в которых установлены IDS невелико, то стоимость их эксплуатации в сети предприятия ниже, чем стоимость эксплуатации систем обнаружения атак на системном уровне. Кроме того, для контроля сетевого сегмента, необходим только один сенсор, независимо от числа узлов в данном сегменте.

Сетевой пакет, будучи ушедшим с компьютера злоумышленника, уже не может быть возвращен назад. Системы, функционирующие на сетевом уровне, используют "живой" трафик при обнаружении атак в реальном масштабе времени. Таким образом, злоумышленник не может удалить следы своей несанкционированной деятельности. Анализируемые данные включают не только информацию о методе атаки, но и информацию, которая может помочь при идентификации злоумышленника и доказательстве в суде. Поскольку многие хакеры хорошо знакомы с механизмами системной регистрации, они знают, как манипулировать этими файлами для скрытия следов своей деятельности, снижая эффективность систем системного уровня, которым требуется эта информация для того, чтобы обнаружить атаку.

Системы, функционирующие на уровне сети, обнаруживают подозрительные события и атаки по мере того, как они происходят, и поэтому обеспечивают гораздо более быстрое уведомление и реагирование, чем системы, анализирующие журналы регистрации. Например, хакер, инициирующий сетевую атаку типа "отказ в обслуживании" на основе протокола TCP, может быть остановлен системой обнаружения атак сетевого уровня, посылающей TCP-пакет с установленным флагом Reset в заголовке для завершения соединения с атакующим узлом, прежде чем атака вызовет разрушения или повреждения атакуемого узла. Системы анализа журналов регистрации не распознают атаки до момента соответствующей записи в журнал и предпринимают ответные действия уже после того, как была сделана запись. К этому моменту наиболее важные системы или ресурсы уже могут быть скомпрометированы или нарушена работоспособность системы, запускающей систему обнаружения атак на уровне узла. Уведомление в реальном масштабе времени позволяет быстро среагировать в соответствии с предварительно определенными параметрами. Диапазон этих реакций изменяется от разрешения проникновения в режиме наблюдения для того, чтобы собрать информацию об атаке и атакующем, до немедленного завершения атаки.

И, наконец, системы обнаружения атак, функционирующие на сетевом уровне, не зависят от операционных систем, установленных в корпоративной сети, так как они оперируют сетевым трафиком, которым обмениваются все узлы в корпоративной сети. Системе обнаружения атак все равно, какая ОС сгенерировала тот или иной пакет, если он в соответствие со стандартами, поддерживаемыми системой обнаружения. Например, в сети могут работать ОС Windows 98, Windows NT, Windows 2000 и XP, Netware, Linux, MacOS, Solaris и т.д., но если они общаются между собой по протоколу IP, то любая из систем обнаружения атак, поддерживающая этот протокол, сможет обнаруживать атаки, направленные на эти ОС.

Совместное применение систем обнаружения атак на уровне сети и уровне узла повысит защищенность вашей сети.

Сетевые системы обнаружения атак и межсетевые экраны

Наиболее часто сетевые системы обнаружения атак пытаются заменить межсетевыми экранами, уповая на то, что последние обеспечивают очень высокий уровень защищенности. Однако не стоит забывать, что межсетевые экраны - это просто системы, основанные на правилах, которые разрешают или запрещают прохождение трафика через них. Даже межсетевые экраны, построенные по технологии "", не позволяют с уверенностью сказать, присутствует ли атака в контролируемом ими трафике или нет. Они могут сказать, соответствует ли трафик правилу или нет. Например, МСЭ сконфигурирован так, чтобы блокировать все соединения кроме TCP-соединений на 80 порту (то есть HTTP-трафик). Таким образом, любой трафик через 80-ый порт законен с точки зрения МСЭ. С другой стороны, система обнаружения атак также контролирует трафик, но ищет в нем признаки атаки. Ее мало заботит, для какого порта предназначен трафик. По умолчанию весь трафик для системы обнаружения атак подозрителен. То есть, несмотря на то, что система обнаружения атак работает с тем же источником данных, что и МСЭ, то есть с сетевым трафиком, они выполняют дополняющие друг друга функции. Например, HTTP-запрос "GET /../../../etc/passwd HTTP/1.0". Практически любой МСЭ разрешает прохождение данного запроса через себя. Однако система обнаружения атак легко обнаружит эту атаку и блокирует ее.

Можно провести следующую аналогию. Межсетевой экран - это обычный турникет, устанавливаемый на главном входе в вашу сеть. Но помимо главных дверей существуют и другие двери, а также окна. Маскируясь под реального сотрудника или войдя в доверие к охраннику на турникете, злоумышленник может пронести сквозь турникет взрывное устройство или пистолет. Мало того. Злоумышленник может залезть к вам через окно. Именно поэтому и нужны системы обнаружения атак, которые усиливают защиту, обеспечиваемую межсетевыми экранами, которые являются пусть и необходимым, но явно недостаточным элементом сетевой безопасности.

Межсетевой экран - не панацея!

Варианты реакций на обнаруженную атаку

Мало обнаружить атаку, - необходимо на нее соответствующим образом отреагировать. Именно варианты реагирования во многом определяют эффективность системы обнаружения атак. На сегодняшний день предлагаются следующие варианты реагирования:

• Уведомление на консоль (включая резервную) системы обнаружения атак или на консоль интегрированной системы (например, межсетевого экрана).
• Звуковое оповещение об атаке.
• Генерация управляющих последовательностей SNMP для систем сетевого управления.
• Генерация сообщения об атаке по электронной почте.
• Дополнительные уведомления на пейджер или факс. Очень интересная, хотя и редко применяемая возможность. Оповещение об обнаружении несанкционированной деятельности посылается не администратору, а злоумышленнику. По мнению сторонников данного варианта реагирования, нарушитель, узнав, что его обнаружили, вынужден прекратить свои действия.
• Обязательная регистрация обнаруживаемых событий. В качестве журнала регистрации могут выступать:
  • текстовый файл,
  • системный журнал (например, в системе Cisco Secure Integrated Software),
  • текстовый файл специального формата (например, в системе Snort),
  • локальная база данных MS Access,
  • SQL-база данных (например, в системе RealSecure).
  Надо только учитывать, что объемы регистрируемой информации требуют, как правило, SQL-базу - MS SQL или Oracle.
• Трассировка событий (event trace), т.е. запись их в той последовательности и с той скоростью, с которыми их реализовывал злоумышленник. Затем администратор в любое заданное время может прокрутить (replay или playback) необходимую последовательность событий с заданной скоростью (в реальном режиме времени, с ускорением или замедлением), чтобы проанализировать деятельность злоумышленника. Это позволит понять его квалификацию, используемые средства атаки и т.д.
• Прерывание действий атакующего, т.е. завершение соединения. Это можно сделать, как:
  • перехват соединения (session hijacking) и посылка пакета с установленным флагом RST обоим участникам сетевого соединения от имени каждого из них (в системе обнаружения атак, функционирующей на уровне сети);
  • блокировка учетной записи пользователя, осуществляющего атаку (в системе обнаружения атак на уровне узла). Такая блокировка может быть осуществлена либо на заданный промежуток времени, либо до тех пор, пока учетная запись не будет разблокирована администратором. В зависимости от привилегий, с которыми запущена система обнаружения атак, блокировка может действовать как в пределах самого компьютера, на который направлена атака, так и в пределах всего домена сети.
• Реконфигурация сетевого оборудования или межсетевых экранов. В случае обнаружения атаки на маршрутизатор или межсетевой экран посылается команда на изменение списка контроля доступа. Впоследствии все попытки соединения с атакующего узла будут отвергаться. Как и блокировка учетной записи злоумышленника, изменение списка контроля доступа может быть осуществлено или на заданный интервал времени или до того момента, как изменение будет отменено администратором реконфигурируемого сетевого оборудования.
• Блокирование сетевого трафика так, как это реализовано в межсетевых экранах. Этот вариант позволяет ограничить трафик, а также адресатов, которые могут получить доступ к ресурсам защищаемого компьютера, позволяя выполнять функции доступные в персональных межсетевых экранах.

Лекция 33 Виды и типы сетевых атак

Лекция 33

Тема: Виды и типы сетевых атак

Удалённая сетевая атака - информационное разрушающее воздействие на распределённую вычислительную систему, осуществляемое программно по каналам связи.

Введение

Для организации коммуникаций в неоднородной сетевой среде применяются набор протоколов TCP/IP, обеспечивая совместимость между компьютерами разных типов. Данный набор протоколов завоевал популярность благодаря совместимости и предоставлению доступа к ресурсам глобальной сети Интернет и стал стандартом для межсетевого взаимодействия. Однако повсеместное распространение стека протоколов TCP/IP обнажило и его слабые стороны. В особенности из-за этого удалённым атакам подвержены распределённые системы, поскольку их компоненты обычно используют открытые каналы передачи данных, и нарушитель может не только проводить пассивное прослушивание передаваемой информации, но и модифицировать передаваемый трафик.

Трудность выявления проведения удалённой атаки и относительная простота проведения (из-за избыточной функциональности современных систем) выводит этот вид неправомерных действий на первое место по степени опасности и препятствует своевременному реагированию на осуществлённую угрозу, в результате чего у нарушителя увеличиваются шансы успешной реализации атаки.

Классификация атак

По характеру воздействия

Пассивное

Активное

Пассивное воздействие на распределённую вычислительную систему (РВС) представляет собой некоторое воздействие, не оказывающее прямого влияния на работу системы, но в то же время способное нарушить её политику безопасности. Отсутствие прямого влияния на работу РВС приводит именно к тому, что пассивное удалённое воздействие (ПУВ) трудно обнаружить. Возможным примером типового ПУВ в РВС служит прослушивание канала связи в сети.

Активное воздействие на РВС - воздействие, оказывающее прямое влияние на работу самой системы (нарушение работоспособности, изменение конфигурации РВС и т. д.), которое нарушает политику безопасности, принятую в ней. Активными воздействиями являются почти все типы удалённых атак. Связано это с тем, что в саму природу наносящего ущерб воздействия включается активное начало. Явное отличие активного воздействия от пассивного - принципиальная возможность его обнаружения, так как в результате его осуществления в системе происходят некоторые изменения. При пассивном же воздействии, не остается совершенно никаких следов (из-за того, что атакующий просмотрит чужое сообщение в системе, в тот же момент не изменится собственно ничего).

По цели воздействия

Нарушение функционирования системы (доступа к системе)

Нарушение целостности информационных ресурсов (ИР)

Нарушение конфиденциальности ИР

Этот признак, по которому производится классификация, по сути есть прямая проекция трех базовых разновидностей угроз - отказа в обслуживании, раскрытия и нарушения целостности.

Главная цель, которую преследуют практически при любой атаке - получение несанкционированного доступа к информации. Существуют два принципиальных варианта получения информации: искажение и перехват. Вариант перехвата информации означает получение к ней доступа без возможности ее изменения. Перехват информации приводит, следовательно, к нарушению ее конфиденциальности. Прослушивание канала в сети - пример перехвата информации. В этом случае имеется нелегитимный доступ к информации без возможных вариантов ее подмены. Очевидно также, что нарушение конфиденциальности информации относится к пассивным воздействиям.

Возможность подмены информации следует понимать либо как полный контроль над потоком информации между объектами системы, либо возможность передачи различных сообщений от чужого имени. Следовательно, понятно, что подмена информации приводит к нарушению её целостности. Такое информационное разрушающее воздействие есть характерный пример активного воздействия. Примером же удалённой атаки, предназначенной для нарушения целостности информации, может послужить удалённая атака (УА) «Ложный объект РВС».

По наличию обратной связи с атакуемым объектом

С обратной связью

Без обратной связи (однонаправленная атака)

Атакующий отправляет некоторые запросы на атакуемый объект, на которые ожидает получить ответ. Следовательно между атакующим и атакуемым появляется обратная связь, позволяющая первому адекватно реагировать на всяческие изменения на атакуемом объекте. В этом суть удалённой атаки, осуществляемой при наличии обратной связи с атакующим объектом. Подобные атаки наиболее характерны для РВС.

Атаки без обратной связи характерны тем, что им не требуется реагировать на изменения на атакуемом объекте. Такие атаки обычно осуществляются при помощи передачи на атакуемый объект одиночных запросов. Ответы на эти запросы атакующему не нужны. Подобную УА можно назвать также однонаправленной УА. Примером однонаправленных атак является типовая УА «DoS-атака».

По условию начала осуществления воздействия

Удалённое воздействие, также как и любое другое, может начать осуществляться только при определённых условиях. В РВС существуют три вида таких условных атак:

Атака по запросу от атакуемого объекта

Атака по наступлению ожидаемого события на атакуемом объекте

Безусловная атака

Воздействие со стороны атакующего начнётся при условии, что потенциальная цель атаки передаст запрос определённого типа. Такую атаку можно назвать атакой по запросу от атакуемого объекта. Данный тип УА наиболее характерен для РВС. Примером подобных запросов в сети Интернет может служить DNS- и ARP-запросы, а в Novell NetWare - SAP-запрос.

Атака по наступлению ожидаемого события на атакуемом объекте. Атакующий непрерывно наблюдает за состоянием ОС удалённой цели атаки и начинает воздействие при возникновении конкретного события в этой системе. Атакуемый объект сам является инициатором начала атаки. Примером такого события может быть прерывание сеанса работы пользователя с сервером без выдачи команды LOGOUT в Novell NetWare.

Безусловная атака осуществляется немедленно и безотносительно к состоянию операционной системы и атакуемого объекта. Следовательно, атакующий является инициатором начала атаки в данном случае.

При нарушении нормальной работоспособности системы преследуются другие цели и получение атакующим незаконного доступа к данным не предполагается. Его целью является вывод из строя ОС на атакуемом объекте и невозможность доступа для остальных объектов системы к ресурсам этого объекта. Примером атаки такого вида может служить УА «DoS-атака».

По расположению субъекта атаки относительно атакуемого объекта

Внутрисегментное

Межсегментное

Некоторые определения:

Источник атаки (субъект атаки) - программа (возможно оператор), ведущая атаку и осуществляющая непосредственное воздействие.

Хост (host) - компьютер, являющийся элементом сети.

Маршрутизатор (router) - устройство, которое обеспечивает маршрутизацию пакетов в сети.

Подсетью (subnetwork) называется группа хостов, являющихся частью глобальной сети, отличающихся тем, что маршрутизатором для них выделен одинаковый номер подсети. Так же можно сказать, что подсеть есть логическое объединение хостов посредством маршрутизатора. Хосты внутри одной подсети могут непосредственно взаимодействовать между собой, не задействовав при этом маршрутизатор.

Сегмент сети - объединение хостов на физическом уровне.

С точки зрения удалённой атаки крайне важным является взаимное расположение субъекта и объекта атаки, то есть находятся ли они в разных или в одинаковых сегментах. Во время внутрисегментной атаки, субъект и объект атаки располагаются в одном сегменте. В случае межсегментной атаки субъект и объект атаки находятся в разных сетевых сегментах. Этот классификационный признак дает возможность судить о так называемой «степени удалённости» атаки.

Далее будет показано, что практически внутрисегментную атаку осуществить намного проще, чем межсегментную. Отметим так же, что межсегментная удалённая атака представляет куда большую опасность, чем внутрисегментная. Это связано с тем, что в случае межсегментной атаки объект её и непосредственно атакующий могут находиться на расстоянии многих тысяч километров друг от друга, что может существенно воспрепятствовать мерам по отражению атаки.

По уровню эталонной модели ISO/OSI, на котором осуществляется воздействие

Физический

Канальный

Сетевой

Транспортный

Сеансовый

Представительный

Прикладной

Международной организацией по стандартизации (ISO) был принят стандарт ISO 7498, который описывает взаимодействие открытых систем (OSI), к которым принадлежат также и РВС. Каждый сетевой протокол обмена, также как и каждую сетевую программу, удаётся так или иначе спроецировать на эталонную 7-уровневую модель OSI. Такая многоуровневая проекция даёт возможность описать в терминах модели OSI использующиеся в сетевом протоколе или программе функции. УА - сетевая программа, и логично рассматривать её с точки зрения проекции на эталонную модель ISO/OSI .

Краткое описание некоторых сетевых атак

Фрагментация данных

При передаче пакета данных протокола IP по сети может осуществляться деление этого пакета на несколько фрагментов. Впоследствии, при достижении адресата, пакет восстанавливается из этих фрагментов. Злоумышленник может инициировать посылку большого числа фрагментов, что приводит к переполнению программных буферов на приемной стороне и, в ряде случаев, к аварийному завершению системы.

Атака Ping flooding

Данная атака требует от злоумышленника доступа к быстрым каналам в Интернет.

Программа ping посылает ICMP-пакет типа ECHO REQUEST, выставляя в нем время и его идентификатор. Ядро машины-получателя отвечает на подобный запрос пакетом ICMP ECHO REPLY. Получив его, ping выдает скорость прохождения пакета.

При стандартном режиме работы пакеты высылаются через некоторые промежутки времени, практически не нагружая сеть. Но в «агрессивном» режиме поток ICMP echo request/reply-пакетов может вызвать перегрузку небольшой линии, лишив ее способности передавать полезную информацию.

Нестандартные протоколы, инкапсулированные в IP

Пакет IP содержит поле, определяющее протокол инкапсулированного пакета (TCP, UDP, ICMP). Злоумышленники могут использовать нестандартное значение данного поля для передачи данных, которые не будут фиксироваться стандартными средствами контроля информационных потоков.

Атака smurf

Атака smurf заключается в передаче в сеть широковещательных ICMP запросов от имени компьютера - жертвы.

В результате компьютеры, принявшие такие широковещательные пакеты, отвечают компьютеру-жертве, что приводит к существенному снижению пропускной способности канала связи и, в ряде случаев, к полной изоляции атакуемой сети. Атака smurf исключительно эффективна и широко распространена.

Противодействие: для распознавания данной атаки необходимо анализировать загрузку канала и определять причины снижения пропускной способности.

Атака DNS spoofing

Результатом данной атаки является внесение навязываемого соответствия между IP-адресом и доменным именем в кэш DNS сервера. В результате успешного проведения такой атаки все пользователи DNS сервера получат неверную информацию о доменных именах и IP-адресах. Данная атака характеризуется большим количеством DNS пакетов с одним и тем же доменным именем. Это связано с необходимостью подбора некоторых параметров DNS обмена.

Противодействие: для выявления такой атаки необходимо анализировать содержимое DNS трафика либо использовать DNSSEC.

Атака IP spoofing

Большое количество атак в сети Интернет связано с подменой исходного IP-адреса. К таким атакам относится и syslog spoofing, которая заключается в передаче на компьютер-жертву сообщения от имени другого компьютера внутренней сети. Поскольку протокол syslog используется для ведения системных журналов, путем передачи ложных сообщений на компьютер-жертву можно навязать информацию или замести следы несанкционированного доступа.

Противодействие: выявление атак, связанных с подменой IP-адресов, возможно при контроле получения на одном из интерфейсов пакета с исходным адресом этого же интерфейса или при контроле получения на внешнем интерфейсе пакетов с IP-адресами внутренней сети.

Навязывание пакетов

Злоумышленник отправляет в сеть пакеты с ложным обратным адресом. С помощью этой атаки злоумышленник может переключать на свой компьютер соединения, установленные между другими компьютерами. При этом права доступа злоумышленника становятся равными правам того пользователя, чье соединение с сервером было переключено на компьютер злоумышленника.

Sniffing - прослушивание канала

Возможно только в сегменте локальной сети.

Практически все сетевые карты поддерживают возможность перехвата пакетов, передаваемых по общему каналу локальной сети. При этом рабочая станция может принимать пакеты, адресованные другим компьютерам того же сегмента сети. Таким образом, весь информационный обмен в сегменте сети становится доступным злоумышленнику. Для успешной реализации этой атаки компьютер злоумышленника должен располагаться в том же сегменте локальной сети, что и атакуемый компьютер.

Перехват пакетов на маршрутизаторе

Сетевое программное обеспечение маршрутизатора имеет доступ ко всем сетевым пакетам, передаваемым через данный маршрутизатор, что позволяет осуществлять перехват пакетов. Для реализации этой атаки злоумышленник должен иметь привилегированный доступ хотя бы к одному маршрутизатору сети. Поскольку через маршрутизатор обычно передается очень много пакетов, тотальный их перехват практически невозможен. Однако отдельные пакеты вполне могут быть перехвачены и сохранены для последующего анализа злоумышленником. Наиболее эффективен перехват пакетов FTP, содержащих пароли пользователей, а также электронной почты.

Навязывание хосту ложного маршрута с помощью протокола ICMP

В сети Интернет существует специальный протокол ICMP (Internet Control Message Protocol), одной из функцией которого является информирование хостов о смене текущего маршрутизатора. Данное управляющее сообщение носит название redirect. Существует возможность посылки с любого хоста в сегменте сети ложного redirect-сообщения от имени маршрутизатора на атакуемый хост. В результате у хоста изменяется текущая таблица маршрутизации и, в дальнейшем, весь сетевой трафик данного хоста будет проходить, например, через хост, отославший ложное redirect-сообщение. Таким образом возможно осуществить активное навязывание ложного маршрута внутри одного сегмента сети Интернет.

Наряду с обычными данными, пересылаемыми по TCP-соединению, стандарт предусматривает также передачу срочных (Out Of Band) данных. На уровне форматов пакетов TCP это выражается в ненулевом urgent pointer. У большинства ПК с установленным Windows присутствует сетевой протокол NetBIOS, который использует для своих нужд три IP-порта: 137, 138, 139. Если соединиться с Windows машиной по 139 порту и послать туда несколько байт OutOfBand данных, то реализация NetBIOS-а, не зная, что делать с этими данными, попросту вешает или перезагружает машину. Для Windows 95 это обычно выглядит как синий текстовый экран, сообщающий об ошибке в драйвере TCP/IP, и невозможность работы с сетью до перезагрузки ОС. NT 4.0 без сервиспаков перезагружается, NT 4.0 с ServicePack 2 паком выпадает в синий экран. Судя по информации из сети подвержены такой атаке и Windows NT 3.51 и Windows 3.11 for Workgroups.

Посылка данных в 139-й порт приводит к перезагрузке NT 4.0, либо выводу «синего экрана смерти» с установленным Service Pack 2. Аналогичная посылка данных в 135 и некоторые другие порты приводит к значительной загрузке процесса RPCSS.EXE. На Windows NT WorkStation это приводит к существенному замедлению работы, Windows NT Server практически замораживается.

Подмена доверенного хоста

Успешное осуществление удалённых атак этого типа позволит злоумышленнику вести сеанс работы с сервером от имени доверенного хоста. (Доверенный хост - станция легально подключившаяся к серверу). Реализация данного вида атак обычно состоит в посылке пакетов обмена со станции злоумышленника от имени доверенной станции, находящейся под его контролем.

Технологии обнаружения атак

Сетевые и информационные технологии меняются настолько быстро, что статичные защитные механизмы, к которым относятся системы разграничения доступа, МЭ, системы аутентификации во многих случаях не могут обеспечить эффективной защиты. Поэтому требуются динамические методы, позволяющие оперативно обнаруживать и предотвращать нарушения безопасности. Одной из технологий, позволяющей обнаруживать нарушения, которые не могут быть идентифицированы при помощи традиционных моделей контроля доступа, является технология обнаружения атак.

По существу, процесс обнаружения атак является процессом оценки подозрительных действий, которые происходят в корпоративной сети. Иначе говоря, обнаружение атак (intrusion detection) - это процесс идентификации и реагирования на подозрительную деятельность, направленную на вычислительные или сетевые ресурсы

Методы анализа сетевой информации

Эффективность системы обнаружения атак во многом зависит от применяемых методов анализа полученной информации. В первых системах обнаружения атак, разработанных в начале 1980-х годов, использовались статистические методы обнаружения атак. В настоящее время к статистическому анализу добавился ряд новых методик, начиная с экспертных систем и нечёткой логики и заканчивая использованием нейронных сетей.

Статистический метод

Основные преимущества статистического подхода - использование уже разработанного и зарекомендовавшего себя аппарата математической статистики и адаптация к поведению субъекта.

Сначала для всех субъектов анализируемой системы определяются профили. Любое отклонение используемого профиля от эталонного считается несанкционированной деятельностью. Статистические методы универсальны, поскольку для проведения анализа не требуется знания о возможных атаках и используемых ими уязвимостях. Однако при использовании этих методик возникают и проблемы:

«статистические» системы не чувствительны к порядку следования событий; в некоторых случаях одни и те же события в зависимости от порядка их следования могут характеризовать аномальную или нормальную деятельность;

Трудно задать граничные (пороговые) значения отслеживаемых системой обнаружения атак характеристик, чтобы адекватно идентифицировать аномальную деятельность;

«статистические» системы могут быть с течением времени «обучены» нарушителями так, чтобы атакующие действия рассматривались как нормальные.

Следует также учитывать, что статистические методы не применимы в тех слу-чаях, когда для пользователя отсутствует шаблон типичного поведения или когда для пользователя типичны несанкционированные действия.

Экспертные системы

Экспертные системы состоят из набора правил, которые охватывают знания человека-эксперта. Использование экспертных систем представляет собой распространенный метод обнаружения атак, при котором информация об атаках формулируется в виде правил. Эти правила могут быть записаны, например, в виде последовательности действий или в виде сигнатуры. При выполнении любого из этих правил принимается решение о наличии несанкционированной деятельности. Важным достоинством такого подхода является практически полное отсутствие ложных тревог.

БД экспертной системы должна содержать сценарии большинства известных на сегодняшний день атак. Для того чтобы оставаться постоянно актуальными, экспертные системы требуют постоянного обновления БД. Хотя экспертные системы предлагают хорошую возможность для просмотра данных в журналах регистрации, требуемые обновления могут либо игнорироваться, либо выполняться администратором вручную. Как минимум, это приводит к экспертной системе с ослабленными возможностями. В худшем случае отсутствие надлежащего сопровождения снижает степень защищенности всей сети, вводя ее пользователей в заблуждение относительно действительного уровня защищенности.

Основным недостатком является невозможность отражения неизвестных атак. При этом даже небольшое изменение уже известной атаки может стать серьёзным препятствием для функционирования системы обнаружения атак.

Нейронные сети

Большинство современных методов обнаружения атак используют некоторую форму анализа контролируемого пространства на основе правил или статистического подхода. В качестве контролируемого пространства могут выступать журналы регистрации или сетевой трафик. Анализ опирается на набор заранее определённых правил, которые создаются администратором или самой системой обнаружения атак.

Любое разделение атаки во времени или среди нескольких злоумышленников является трудным для обнаружения при помощи экспертных систем. Из-за большого разнообразия атак и хакеров даже специальные постоянные обновления БД правил экспертной системы никогда не дадут гарантии точной идентификации всего диапазона атак.

Использование нейронных сетей является одним из способов преодоления указанных проблем экспертных систем. В отличие от экспертных систем, которые могут дать пользователю определённый ответ о соответствии рассматриваемых характеристик заложенным в БД правилам, нейронная сеть проводит анализ информации и предоставляет возможность оценить, согласуются ли данные с характеристиками, которые она научена распознавать. В то время как степень соответствия нейросетевого представления может достигать 100 %, достоверность выбора полностью зависит от качества системы в анализе примеров поставленной задачи.

Сначала нейросеть обучают правильной идентификации на предварительно подобранной выборке примеров предметной области. Реакция нейросети анализируется и система настраивается таким образом, чтобы достичь удовлетворительных результатов. В дополнение к начальному периоду обучения, нейросеть набирается опыта с течением времени, по мере того, как она проводит анализ данных, связанных с предметной областью.

Важным преимуществом нейронных сетей при обнаружении злоупотреблений является их способность «изучать» характеристики умышленных атак и идентифицировать элементы, которые не похожи на те, что наблюдались в сети прежде.

Каждый из описанных методов обладает рядом достоинств и недостатков, поэтому сейчас практически трудно встретить систему, реализующую только один из описанных методов. Как правило, эти методы используются в совокупности.

Любой метод атаки характеризуется некоторой совокупностью признаков. К типовым признакам атак можно отнести следующие :

1) Повтор определенных событий, действий. Например, обращение к портам (сканирование), подбор пароля, повтор запросов на установление соединения, приводящее к переполнению очереди или буфера;

2) Непредвиденные параметры в сетевых пакетах

· непредвиденные атрибуты адреса (например, немаршрутизируемые или зарезервированные IP-адреса, значение в поле порта источника или назначения равно нулю, запрос нестандартных серверов);

· непредвиденные параметры флагов сетевых пакетов (например, при установленном флаге ACK номер подтверждения равен нулю; в пакете два взаимоисключающих флага SYN+FIN; наличие только флага FIN; использование сочетания флагов SYN+RST и RST+FIN);

· непредвиденные атрибуты времени или даты;

3) Несоответствующие параметры сетевого трафика

· параметры входящего трафика (например, входящие извне в локальную сеть пакеты, имеющие адрес источника, соответствующий диапазону адресов внутренней сети);

· параметры исходящего трафика (например, исходящие из локальной сети пакеты, имеющие адрес источника, соответствующий диапазону адресов внешней сети);

· несоответствующие текущей ситуации команды (неправильные запросы или ответы);

· аномалии сетевого трафика (например, изменение коэффициента загрузки, размера пакета, среднего количества фрагментированных пакетов);

4) Несоответствующие атрибуты функционирования системы

· аномальные системные характеристики (усиленная загрузка CPU, интенсивное обращение к ОЗУ или дисковой памяти, файлам);

· несоответствие характеристик работы пользователей их профилям (отклонение от время пиковых и минимальных нагрузок, от длительности типичного сеанса работы, от обычного времени входа и выхода из системы).

Основные варианты реализации компьютерных атак

Реализация атак может быть осуществлено при непосредственном или сетевом входе в систему. Поэтому выделяют два основных варианта реализации атак:

1) системный – при котором предполагается, что нарушитель уже имеет учетную запись в атакуемой системе с некоторыми (обычно невысокими) привилегиями или существует возможность входа в систему под анонимным пользователем. При этом атака реализуется посредством входа нарушителя в систему под этой учетной записью и получения дополнительных административных полномочий. В результате проведения атаки осуществляется несанкционированный доступ к информации на объекте (хосте). В частности такой вариант атак возможно осуществить с помощью программы GetAdmin.

2) сетевой – при котором подразумевается, что нарушитель пытается дистанционно проникнуть в систему через сеть. Такое проникновение возможно при нахождении компьютера нарушителя в одном сегменте сети, в разных сегментах, при удаленном доступе к атакуемому объекту (например, с использованием коммутируемых или выделенных модемных соединений). В результате таких атак, у нарушителя может появиться возможность удаленного управления компьютером через сеть, доступа к информационным ресурсам атакованного объекта, изменение его режима функционирования, в том числе и отказ в обслуживании. В качестве программ, которые позволяют реализовать сетевой вариант атак, могут быть использованы программы NetBus или BackOrifice.

Для реализации атак могут использоваться определенные команды (последовательности команд) в интерфейсе командной строки, сценарии, программы, или автономные агенты, установленные на одном или распределенные по нескольким узлам (компьютерам) сети.

Наши компьютерные системы уязвимы к различным видам атак. Для защиты системы от этих атак,важно знать,распространенные компьютерные атаки.В сегодняшнем мире это стало почти обыденной ситуацией,когда мы слышим о персональных компьютерных системах или сетях,которые подвергаются нападению. В наш век технологий, существуют различные типы компьютерных атак,от которых надо защитить свои драгоценные данные, системы и сети.В то время как некоторые атаки могут просто повредить данные на компьютере, есть и другие атаки, где данные из компьютерной системы могут быть украдены,а также другие атаки, когда может быть закрыта вся сеть.

Проще говоря, существуют два основных типа атак, пассивные атаки и активные атаки.Пассивные атаки являются теми,когда данные на компьютере, отслеживаются и позже используются для вредоносных интересов,в то время как активные атаки,это те,когда либо изменения в данных или данные будут удалены или сети полностью разрушены.Ниже приведены некоторые из наиболее распространённых типов активных и пассивных атак, которые могут повлиять на компьютеры.

Активные виды компьютерных атак

Вирус

Наиболее известные компьютерные атаки и вирусы,которые были вокруг в течение длительного периода времени.Они устанавливаются на компьютеры и распространяются на другие файлы в системе. Они часто распространяются через внешние жесткие диски, или посредством определенных интернет-сайтов или как вложения по электронной почте.После того, как вирусы запускаются, они становятся независимыми от творца, и их цель заразить множество файлов и других систем.

Root Kit

Хакеры получают доступ в систему с использованием корневого набора драйверов и полностью берут управление компьютером.Они относятся к числу наиболее опасных компьютерных атак,так как хакер может получить больше контроля над системой, чем владелец системы. В некоторых случаях хакеры могут также включить вебкамеру и следить за деятельности потерпевшего,зная о нем всё.

Trojan

В списек компьютерных атак,троянский конь занимает самый высокий рейтинг после вирусов.Он часто встраивается в кусок программного обеспечения, в экранные заставки, или в игры,которые будет работать в обычном режиме.Однако, как только они будут скопированы в систему, они будут заражать компьютер вирусом или root-kit. Другими словами, они действуют как носители вирусов или руткиты, чтобы заразить систему.

Червь

Червями можно назвать родственниками вирусов. Разница между вирусами и интернет-червями в том,что черви заразить систему без какой-либо помощи от пользователя. Первый шаг в том, что черви сканируют компьютеры на уязвимость.Затем они копируют себя в систему и заражают систему,и процесс повторяется.

Пассивные типы компьютерных атак

Подслушивание

Как подсказывает название,хакеры будут вкрадчиво слышать разговор который происходит между двумя компьютерами в сети. Это может произойти в закрытой системе,а также через интернет. Другие имена,с которыми это связывают snooping. С подслушиванием, конфиденциальные данные могут внести свой путь по сети и могут быть доступны для других людей.

Парольные атаки

Одним из наиболее распространенных типов кибер-атак парольные атаки.Здесь хакеры получают доступ к компьютеру и ресурсам сети путем получения пароля управления.Часто можно увидеть,что злоумышленник изменил сервер и конфигурацию сети и в некоторых случаях даже могут удалить данные.Кроме того, данные могут передаваться в разные сети.

Скомпрометированный ключ атаки

Для хранения конфиденциальных данных,может быть использованы секретный код или номер.Получить ключ,без сомнения, настоящая огромная задача для хакера,и не исключено, что после интенсивных исследований хакер,действительно,способен положить руки на клавиши. Когда ключ находится в распоряжении хакера, он известен как скомпрометированный ключ. Хакер, теперь будут иметь доступ к конфиденциальным данным и может внести изменения в данные. Однако, существует также вероятность того, что хакер будет пробовать различные перестановки и комбинации ключа для доступа к другим наборам конфиденциальных данных.

Имитация удостоверения

Каждый компьютер имеет IP-адрес, благодаря которому он является действительным, и независимым в сети.Одной из распространённых компьютерных атак является предположение личности другого компьютера.Здесь IP-пакеты могут быть отправлены с действительных адресов и получить доступ к определенному IP. Как только доступ будет получен,данные системы могут быть удалены, изменены или перенаправлены.Кроме того, хакер может воспользоваться этим взломанным IP адресом и напасть на другие системы в пределах или за пределами сети.

Application Layer атаки

Целью атаки на уровне приложений-это вызвать сбой в операционной системе сервера.Как только будет создана ошибка в операционной системе,хакер сможет получить доступ к управлению сервером.Это в свою очередь приводит к изменению данных различными способами. В систему может быть внедрён вирус или могут отправляться многочисленные запросы к серверу, которые могут привести к её сбою или может быть отключен контроль безопасности, из-за которого восстановление сервера,может стать затруднительным.

Это были некоторые типы атак,которым могут подвергнуться сервера и отдельные компьютерные системы.Список новейших компьютерных атак продолжает увеличиваться с каждым днем, для этого хакеры используют новые методы взлома.

При вооруженном ограблении банка потери в среднем составляют 19 тысяч долларов, а при компьютерном преступлении — уже 560 тысяч. По оценке американских специалистов, ущерб от компьютерных преступлений на протяжении последних десяти лет ежегодно увеличивается в среднем на 35%. При этом выявляется в среднем 1% компьютерных преступлений, а вероятность того, что за раскрытое компьютерное мошенничество преступник попадет в тюрьму, — не более 10%.

Разумеется, целенаправленное применение таких традиционных средств управления безопасностью, как антивирусное ПО, межсетевые экраны, средства криптографии и так далее, способствует предотвращению несанкционированного доступа к информации. Однако в данном случае на сцену выходит человеческий фактор. Человек, конечный пользователь, оказывается самым слабым звеном системы информационной безопасности, и хакеры, зная это, умело применяют методы социальной инженерии. Какие бы ни были многоуровневые системы идентификации, от них нет никакого эффекта, если пользователи, к примеру, используют простые для взлома пароли. При профессиональном подходе к вопросам безопасности подобные проблемы в компаниях решают путем централизованной выдачи уникальных и сложных паролей или установкой жестких корпоративных правил для сотрудников и адекватных мер наказания за их несоблюдение. Однако ситуация осложняется тем, что в последнее время в роли компьютерных преступников все чаще выступают не "внешние" хакеры, а сами конечные пользователи. По словам одного из американских специалистов по информационной безопасности, "Типичный компьютерный преступник сегодня — это служащий, имеющий доступ к системе, нетехническим пользователем которой он является". В США компьютерные преступления, совершенные служащими, составляют 70-80% ежегодного ущерба, связанного с современными технологиями. При этом только в 3% мошенничеств и 8% злоупотреблений происходило специальное разрушение оборудования, уничтожение программ или данных. В остальных случаях злоумышленники только манипулировали информацией — крали ее, модифицировали или создавали новую, ложную. В наши дни все более широкое распространение Интернета позволяет хакерам обмениваться информацией в глобальном масштабе. Уже давно сложился своего рода "хакерский интернационал" — ведь Интернет как никакое другое техническое средство стирает границы между государствами и даже целыми континентами. Добавьте сюда практически полную анархичность Сети. Любой желающий сегодня может отыскать инструкции по компьютерному взлому и весь необходимый программный инструментарий, просто проведя поиск по ключевым словам типа "хакер", "взлом", "hack", "crack" или "phreak". Еще один фактор, существенно повышающий уязвимость компьютерных систем, — широкое распространение стандартизированных, простых в использовании операционных систем и сред разработки. Это позволяет хакерам создавать универсальные инструменты для взлома, а потенциальному злоумышленнику теперь не нужно, как прежде, обладать хорошими навыками программирования — достаточно знать IP-адрес атакуемого сайта, а для проведения атаки достаточно запустить найденную в Интернете программу. Вечное противостояние брони и снаряда продолжается. Специалисты по защите информации уже поняли, что вечно догонять хакерские технологии — бессмысленно, компьютерные злоумышленники всегда на шаг впереди. Поэтому новые методики все больше строятся на превентивном обнаружении нарушений в информационных системах. Однако с течением времени возникают и новые проблемы — в первую очередь связанные с развитием беспроводной связи. Поэтому компаниям, специализирующимся на информационной безопасности, все больше внимания приходится уделять защите данных, передаваемых по новым, беспроводным, стандартам.

Классификация

Сетевые атаки столь же разнообразны, сколь разнообразны системы, против которых они направлены. Чисто технологически большинство сетевых атак использует ряд ограничений, изначально присущих протоколу TCP/IP. Ведь в свое время Интернет создавался для связи между государственными учреждениями и университетами для поддержки учебного процесса и научных исследований. Тогда создатели Сети и не подозревали, насколько широко она распространится. Из-за этого в спецификациях ранних версий интернет-протокола (IP) отсутствовали требования безопасности, а потому многие реализации IP изначально являются уязвимыми. Только спустя много лет, когда началось бурное развитие электронной коммерции и произошел ряд серьезных инцидентов с хакерами, наконец, начали широко внедряться средства обеспечения безопасности интернет-протокола. Однако, поскольку изначально средства защиты для IP не разрабатывались, его реализации начали дополнять различными сетевыми процедурами, услугами и продуктами, призванными снижать риски, "от рождения" присущие этому протоколу.

Почтовая бомбардировка

Бомбардировка электронной почтой (т.н. mailbombing) — один из самых старых и примитивных видов интернет-атак. Правильнее даже будет назвать это компьютерным вандализмом (или просто хулиганством — в зависимости от тяжести последствий). Суть мэйлбомбинга — в засорении почтового ящика "мусорной" корреспонденцией или даже выведении из строя почтового сервера интернет-провайдера. Для этого применяются специальные программы — мэйлбомберы. Они попросту засыпают указанный в качестве мишени почтовый ящик огромным количеством писем, указывая при этом фальшивые данные отправителя — вплоть до IP-адреса. Все, что нужно агрессору, использующему такую программу, — указать e-mail объекта атаки, число сообщений, написать текст письма (обычно пишется что-нибудь оскорбительное), указать фальшивые данные отправителя, если программа этого не делает сама и нажать кнопку "пуск". Впрочем, большинство интернет-провайдеров имеют собственные системы защиты клиентов от мэйлбомбинга. Когда число одинаковых писем из одного и того же источника начинает превышать некие разумные пределы, вся поступающая корреспонденция такого рода просто уничтожается. Так что сегодня почтовых бомбардировок можно всерьез уже не опасаться.

Атаки с подбором пароля

Атакующий систему хакер часто начинает свои действия с попыток раздобыть пароль администратора или одного из пользователей. Для того чтобы узнать пароль, существует великое множество различных методов. Вот основные из них: IP-спуфинг и сниффинг пакетов — их мы рассмотрим ниже. Внедрение в систему "троянского коня" — один из наиболее распространенных в хакерской практике приемов, про него мы также расскажем подробнее в дальнейшем. Перебор "в лоб" (brute force attack — "атака грубой силой"). Существует множество программ, которые осуществляют простой перебор вариантов паролей через Интернет или напрямую на атакуемом компьютере. Одни программы перебирают пароли по определенному словарю, другие просто генерируют случайным образом различные последовательности символов. Логический перебор вариантов пароля. Использующий этот метод злоумышленник просто перебирает вероятные комбинации символов, которые могут быть использованы пользователем в качестве пароля. Такой подход обычно оказывается на удивление эффективным. Специалисты по компьютерной безопасности не перестают удивляться, до чего часто пользователи используют в качестве пароля такие "загадочные" комбинации как, 1234, qwerty или собственное имя, написанное задом наперед. Серьезные хакеры, подбирая заветный пароль, могут досконально изучить человека, этот пароль использующего. Имена членов семьи и прочих родственников, любимой собаки/кошки; за какие команды и в каких видах спорта "объект" болеет; какие книги и кинофильмы любит; какую газету читает по утрам — все эти данные и их комбинации идут в дело. Спастись от подобных атак можно, только используя в качестве пароля случайную комбинацию букв и цифр, желательно сгенерированную специальной программой. И, разумеется, необходимо регулярно менять пароль — следить за этим обязан системный администратор. Социальная инженерия. Это использование хакером психологических приемов "работы" с пользователем. Типичный (и самый простой) пример — телефонный звонок от якобы "системного администратора" с заявлением вроде "У нас тут произошел сбой в системе, и информация о пользователях была утеряна. Не могли бы вы сообщить еще раз свой логин и пароль?". Так жертва сама отдает пароль в руки хакеру. Защититься от таких атак, помимо обычной бдительности, помогает система "одноразовых паролей". Впрочем, из-за своей сложности она до сих пор не получила достаточно широкого распространения.

Вирусы, почтовые черви и "троянские кони"

Эти напасти поражают, в основном, не провайдеров или корпоративные коммуникации, а компьютеры конечных пользователей. Масштабы поражения при этом просто впечатляют — вспыхивающие все чаще глобальные компьютерные эпидемии приносят многомиллиардные убытки. Авторы же "зловредных" программ становятся все изощреннее, воплощая в современных вирусах самые передовые программные и психологические технологии. Вирусы и "троянские кони" — это разные классы "враждебного" программного кода. Вирусы внедряются в другие программы с целью выполнения заложенной в них вредоносной функции на рабочей станции конечного пользователя. Это может быть, например, уничтожение всех или только определенных файлов на винчестере (чаще всего), порча оборудования (пока экзотика) или другие операции. Часто вирусы запрограммированы на срабатывание в определенную дату (типичный пример — знаменитый WinChih, он же "Чернобыль"), а также на рассылку своих копий посредством электронной почты по всем адресам, найденным в адресной книге пользователя. "Троянский конь", в отличие от вируса, — самостоятельная программа, чаще всего не ориентированная на грубое разрушение информации, свойственное вирусам. Обычно цель внедрения "троянского коня" — получение скрытого удаленного контроля над компьютером для того, чтобы манипулировать содержащейся на нем информацией. "Троянские кони" успешно маскируются под различные игры или полезные программы, великое множество которых бесплатно распространяется в Интернете. Более того, хакеры иногда встраивают "троянских коней" в совершенно "невинные" и пользующиеся хорошей репутацией программы. Попав на компьютер, "троянский конь" обычно не афиширует свое присутствие, выполняя свои функции максимально скрытно. Такая программа может, к примеру, тишком отсылать своему хозяину-хакеру пароль и логин для доступа в Интернет с данного конкретного компьютера; делать и отправлять по заложенному в нее адресу определенные файлы; отслеживать все, что вводится с клавиатуры, и т.д. Более изощренные версии "троянских коней", адаптированные для атаки на конкретные компьютеры конкретных пользователей, могут по указанию хозяина заменять те или иные данные на другие, заранее заготовленные, или видоизменять хранящиеся в файлах данные, вводя тем самым в заблуждение владельца компьютера. К слову, довольно распространенный прием из арсенала промышленного шпионажа и провокаций. Борьба с вирусами и "троянскими конями" ведется при помощи специализированного программного обеспечения, причем, грамотно выстроенная защита обеспечивает двойной контроль: на уровне конкретного компьютера и на уровне локальной сети. Современные средства борьбы с вредоносным кодом достаточно эффективны, и практика показывает, что регулярно вспыхивающие глобальные эпидемии компьютерных вирусов происходят во многом благодаря "человеческому фактору" — большинство пользователей и многие системные администраторы (!) попросту ленятся регулярно обновлять базы данных антивирусных программ и проверять на вирусы приходящую электронную почту перед ее прочтением (хотя сейчас это все чаще делают сами провайдеры услуг Интернет).

Сетевая разведка

Собственно говоря, сетевую разведку нельзя назвать атакой на компьютерную систему — ведь никаких "зловредных" действий хакер при этом не производит. Однако сетевая разведка всегда предшествует собственно нападению, так как при его подготовке злоумышленникам необходимо собрать всю доступную информацию о системе. При этом информация собирается с использованием большого набора общедоступных данных и приложений — ведь хакер старается получить как можно больше полезной информации. При этом производится сканирование портов, запросы DNS, эхо-тестирование раскрытых с помощью DNS адресов и т.д. Так удается, в частности, выяснить, кому принадлежит тот или иной домен и какие адреса этому домену присвоены. Эхо-тестирование (ping sweep) адресов, раскрытых с помощью DNS, позволяет увидеть, какие хосты реально работают в данной сети, а средства сканирования портов позволяют составить полный список услуг, поддерживаемых этими хостами. Анализируются при проведении сетевой разведки и характеристики приложений, работающих на хостах, — словом, добывается информация, которую впоследствии можно использовать при взломе или проведении DoS-атаки. Полностью избавиться от сетевой разведки невозможно, в первую очередь потому, что формально враждебных действий не производится. Если, например, отключить эхо ICMP и эхо-ответ на периферийных маршрутизаторах, можно избавиться от эхо-тестирования, однако при этом окажутся потеряны данные, которые необходимы для диагностики сбоев в Сети. К тому же, просканировать порты злоумышленники могут и без предварительного эхо-тестирования. Защитные и контролирующие системы на уровне сети и хостов обычно вполне справляются с задачей уведомления системного администратора о ведущейся сетевой разведке. При добросовестном отношении администратора к своим обязанностям это позволяет лучше подготовиться к предстоящей атаке и даже принять упреждающие меры, например, оповестив провайдера, из сети которого кто-то проявляет чрезмерное любопытство.

Сниффинг пакетов

Сниффер пакетов представляет собой прикладную программу, которая использует сетевую карту, работающую в режиме promiscuous mode (в этом режиме все пакеты, полученные по физическим каналам, сетевой адаптер отправляет приложению для обработки). При этом сниффер ("нюхач") перехватывает все сетевые пакеты, которые передаются через атакуемый домен. Особенность ситуации в данном случае в том, что сейчас во многих случаях снифферы работают в сетях на вполне законном основании — их используют для диагностики неисправностей и анализа трафика. Поэтому далеко не всегда можно достоверно определить, используется или нет конкретная программа-сниффер злоумышленниками, и не произошло ли банальной подмены программы на аналогичную, но с "расширенными" функциями. При помощи сниффера злоумышленники могут узнать различную конфиденциальную информацию — такую, например, как имена пользователей и пароли. Связано это с тем, что ряд широко используемых сетевых приложений передает данные в текстовом формате (telnet, FTP, SMTP, POP3 и т.д.). Поскольку пользователи часто применяют одни и те же логин и пароль для множества приложений и систем, даже однократный перехват этой информации несет серьезную угрозу информационной безопасности предприятия. Единожды завладев логином и паролем конкретного сотрудника, хитроумный хакер может получить доступ к пользовательскому ресурсу на системном уровне и с его помощью создать нового, фальшивого, пользователя, которого можно в любой момент использовать для доступа в Сеть и к информационным ресурсам. Впрочем, используя определенный набор средств, можно существенно смягчить угрозу сниффинга пакетов. Во-первых, это достаточно сильные средства аутентификации, которые трудно обойти, даже используя "человеческий фактор". Например, однократные пароли (One-Time Passwords). Это технология двухфакторной аутентификации, при которой происходит сочетание того, что у вас есть, с тем, что вы знаете. При этом аппаратное или программное средство генерирует по случайному принципу уникальный одномоментный однократный пароль. Если хакер узнает этот пароль с помощью сниффера, эта информация будет бесполезной, потому что в этот момент пароль уже будет использован и выведен из употребления. Но это касается только паролей — к примеру, сообщения электронной почты все равно остаются незащищенными. Другой способ борьбы со сниффингом — использование анти-снифферов. Это работающие в Сети аппаратные или программные средства, которые распознают снифферы. Они измеряют время реагирования хостов и определяют, не приходится ли хостам обрабатывать "лишний" трафик. Подобного рода средства не могут полностью ликвидировать угрозу сниффинга, но жизненно необходимы при построении комплексной системы защиты. Однако наиболее эффективной мерой, по мнению ряда специалистов, будет просто сделать работу снифферов бессмысленной. Для этого достаточно защитить передаваемые по каналу связи данные современными методами криптографии. В результате хакер перехватит не сообщение, а зашифрованный текст, то есть непонятную для него последовательность битов. Сейчас наиболее распространенными являются криптографические протоколы IPSec от корпорации Cisco, а также протоколы SSH (Secure Shell) и SSL (Secure Socket Layer).

IP-спуфинг

Спуфинг — это вид атаки, при которой хакер внутри организации или за ее пределами выдает себя за санкционированного пользователя. Для этого существуют различные способы. Например, хакер может воспользоваться IP-адресом, находящимся в пределах диапазона санкционированных к применению в рамках Сети данной организации IP-адресов, или авторизованным внешним адресом, в случае если ему разрешен доступ к определенным сетевым ресурсам. Кстати, IP-спуфинг часто используется как составная часть более сложной, комплексной атаки. Типичный пример — атака DDoS, для осуществления которой хакер обычно размещает соответствующую программу на чужом IP-адресе, чтобы скрыть свою истинную личность. Однако чаще всего IP-спуфинг используется для выведения из строя системы при помощи ложных команд, а также для воровства конкретных файлов или, наоборот, внедрения в базы данных ложной информации. Полностью устранить угрозу спуфинга практически невозможно, но ее можно существенно ослабить. Например, имеет смысл настроить системы безопасности таким образом, чтобы они отсекали любой трафик, поступающий из внешней сети с исходным адресом, который должен на самом деле находиться в сети внутренней. Впрочем, это помогает бороться с IP-спуфингом, только когда санкционированными являются лишь внутренние адреса. Если таковыми являются и некоторые внешние адреса, использование данного метода теряет смысл. Неплохо также на всякий случай заблаговременно пресечь попытки спуфинга чужих сетей пользователями вашей сети — эта мера может позволить избежать целого ряда неприятностей, если внутри организации объявится злоумышленник или просто компьютерный хулиган. Для этого нужно использовать любой исходящий трафик, если его исходный адрес не относится ко внутреннему диапазону IP-адресов организации. При необходимости данную процедуру может выполнять и провайдер услуг Интернет. Этот тип фильтрации известен под названием "RFC 2827". Опять-таки, как и в случае со сниффингом пакетов, самой лучшей защитой будет сделать атаку абсолютно неэффективной. IP-спуфинг может быть реализован только при условии, что аутентификация пользователей происходит на базе IP-адресов. Поэтому криптошифрование аутентификации делает этот вид атак бесполезными. Впрочем, вместо криптошифрования с тем же успехом можно использовать случайным образом генерируемые одноразовые пароли.

Атака на отказ в обслуживании

Сегодня одна из наиболее распространенных в мире форм хакерских атак — атака на отказ в обслуживании (Denial of Service — DoS). Между тем, это одна из самых молодых технологий — ее осуществление стало возможно только в связи с действительно повсеместным распространением Интернета. Не случайно о DoS-атаках широко заговорили только после того, как в декабре 1999 года при помощи этой технологии были "завалены" web-узлы таких известных корпораций, как Amazon, Yahoo, CNN, eBay и E-Trade. Хотя первые сообщения о чем-то похожем появились еще в 1996 году, до "рождественского сюрприза" 1999 года DoS-атаки не воспринимались как серьезная угроза безопасности в Сети. Однако спустя год, в декабре 2000-го, все повторилось: web-узлы крупнейших корпораций были атакованы по технологии DoS, а их системные администраторы вновь не смогли ничего противопоставить злоумышленникам. Ну а в 2001 году DoS-атаки стали уже обычным делом. Собственно говоря, DoS-атаки производятся отнюдь не для кражи информации или манипулирования ею. Основная их цель — парализовать работу атакуемого web-узла. В сущности, это просто сетевой терроризм. Не случайно поэтому американские спецслужбы подозревают, что за многими DoS-атаками на серверы крупных корпораций стоят пресловутые антиглобалисты. Действительно, одно дело швырнуть кирпич в витрину "Макдональдса" где-нибудь в Мадриде или Праге, и совсем другое — "завалить" сайт этой суперкорпорации, давно уже ставшей своего рода символом глобализации мировой экономики. DoS-атаки опасны еще и тем, что для их развертывания кибертеррористам не требуется обладать какими-то особенными знаниями и умениями — все необходимое программное обеспечение вместе с описаниями самой технологии совершенно свободно доступно в Интернете. К тому же от подобного рода атак очень сложно защититься. В общем случае технология DoS-атаки выглядит следующим образом: на выбранный в качестве мишени web-узел обрушивается шквал ложных запросов со множества компьютеров по всему миру. В результате, обслуживающие узел серверы оказываются парализованы и не могут обслуживать запросы обычных пользователей. При этом пользователи компьютеров, с которых направляются ложные запросы, и не подозревают о том, что их машина тайком используется злоумышленниками. Такое распределение "рабочей нагрузки" не только усиливает разрушительное действие атаки, но и сильно затрудняет меры по ее отражению, не позволяя выявить истинный адрес координатора атаки. Сегодня наиболее часто используются следующие разновидности DoS-атак:

Smurf — ping-запросы ICMP (Internet Control Message Protocol) по адресу направленной широковещательной рассылки. Используемый в пакетах этого запроса фальшивый адрес источника в результате оказывается мишенью атаки. Системы, получившие направленный широковещательный ping-запрос, отвечают на него и "затапливают" сеть, в которой находится сервер-мишень.

• ICMP flood — атака, аналогичная Smurf, только без усиления, создаваемого запросами по направленному широковещательному адресу.
• UDP flood — отправка на адрес системы-мишени множества пакетов UDP (User Datagram Protocol), что приводит к "связыванию" сетевых ресурсов.
• TCP flood — отправка на адрес системы-мишени множества TCP-пакетов, что также приводит к "связыванию" сетевых ресурсов.
• TCP SYN flood — при проведении такого рода атаки выдается большое количество запросов на инициализацию TCP-соединений с узлом-мишенью, которому, в результате, приходится расходовать все свои ресурсы на то, чтобы отслеживать эти частично открытые соединения.

В случае атаки трафик, предназначенный для переполнения атакуемой сети, необходимо "отсекать" у провайдера услуг Интернет, потому что на входе в Сеть сделать это уже будет невозможно — вся полоса пропускания будет занята. Когда атака этого типа проводится одновременно через множество устройств, говорится о распределенной атаке DoS (Distributed Denial of Service — DDoS). Угрозу DoS-атак можно снизить несколькими способами. Во-первых, необходимо правильно сконфигурировать функции анти-спуфинга на маршрутизаторах и межсетевых экранах. Эти функции должны включать, как минимум, фильтрацию RFC 2827. Если хакер будет не в состоянии замаскировать свою истинную личность, он вряд ли решится на проведение атаки. Во-вторых, необходимо включить и правильно сконфигурировать функции анти-DoS на маршрутизаторах и межсетевых экранах. Эти функции ограничивают число полуоткрытых каналов, не позволяя перегружать систему. Также рекомендуется при угрозе DoS-атаки ограничить объем проходящего по Сети некритического трафика. Об этом уже нужно договариваться со своим интернет-провайдером. Обычно при этом ограничивается объем трафика ICMP, так как он используется сугубо для диагностических целей.

Атаки типа Man-in-the-Middle

Этот тип атак весьма характерен для промышленного шпионажа. При атаке типа Man-in-the-Middle хакер должен получить доступ к пакетам, передаваемым по Сети, а потому в роли злоумышленников в данном случае часто выступают сами сотрудники предприятия или, к примеру, сотрудник фирмы-провайдера. Для атак Man-in-the-Middle часто используются снифферы пакетов, транспортные протоколы и протоколы маршрутизации. Цель подобной атаки, соответственно, — кража или фальсификация передаваемой информации или же получение доступа к ресурсам сети. Защититься от подобных атак крайне сложно, так как обычно это атаки "крота" внутри самой организации. Поэтому в чисто техническом плане обезопасить себя можно только путем криптошифрования передаваемых данных. Тогда хакер вместо необходимых ему данных получит мешанину символов, разобраться в которой, не имея под рукой суперкомпьютера, попросту невозможно. Впрочем, если злоумышленнику повезет, и он сможет перехватить информацию о криптографической сессии, шифрование данных автоматически потеряет всяческий смысл. Так что "на переднем крае" борьбы в данном случае должны находиться не "технари", а кадровый отдел и служба безопасности предприятия.

Использование "дыр" и "багов" в ПО

Весьма и весьма распространенный тип хакерских атак — использование уязвимых мест (чаще всего банальных недоработок) в широко используемом программном обеспечении, прежде всего для серверов. Особо "славится" своей ненадежностью и слабой защищенностью ПО от Microsoft. Обычно ситуация развивается следующим образом: кто-либо обнаруживает "дыру" или "баг" в программном обеспечении для сервера и публикует эту информацию в Интернете в соответствующей конференции. Производитель данного ПО выпускает патч ("заплатку"), устраняющий данную проблему, и публикует его на своем web-сервере. Проблема в том, что далеко не все администраторы, по причине элементарной лени, постоянно следят за обнаружением и появлением патчей, да и между обнаружением "дыры" и написанием "заплатки" тоже какое-то время проходит: Хакеры же тоже читают тематические конференции и, надо отдать им должное, весьма умело применяют полученную информацию на практике. Не случайно же большинство ведущих мировых специалистов по информационной безопасности — бывшие хакеры.

Основная цель подобной атаки — получить доступ к серверу от имени пользователя, работающего с приложением, обычно с правами системного администратора и соответствующим уровнем доступа. Защититься от подобного рода атак достаточно сложно. Одна из причин, помимо низкокачественного ПО, состоит в том, что при проведении подобных атак злоумышленники часто пользуются портами, которым разрешен проход через межсетевой экран и которые не могут быть закрыты по чисто технологическим причинам. Так что лучшая защита в данном случае — грамотный и добросовестный системный администратор.

То ли еще будет…

Вместе с расширением посевов какой-либо сельскохозяйственной культуры всегда увеличивается и численность насекомых-вредителей этой самой культуры. Так и с развитием информационных технологий и проникновением их во все сферы современной жизни растет число злоумышленников, активно эти технологии использующих. Поэтому в обозримом будущем вопросы защиты компьютерных сетей будут становиться все более актуальными. Причем, защита будет вестись по двум основным направлениям: технологическому и консалтинговому. Что же касается основных тенденций развития отрасли защиты информации, то, по мнению специалистов известной компании The Yankee Group, в ближайшие годы они будут таковы:

1. Акцент при построении защитных систем будет плавно перемещаться — от противодействия "внешним" хакерским нападениям к защите от нападений "изнутри".

2. Будут развиваться и совершенствоваться аппаратные средства защиты от хакерских атак. На рынке появится новый класс сетевого оборудования — "защитные сервисные коммутаторы". Они смогут обеспечивать комплексную защиту компьютерных сетей, тогда как современные устройства обычно выполняют довольно ограниченный набор конкретных функций, а основная тяжесть все равно ложится на специализированное программное обеспечение.

3. Стремительное развитие обеспечено рынку услуг по защищенной доставке цифрового контента и защите самого контента от нелегального копирования и несанкционированного использования. Параллельно с развитием рынка защищенной доставки будут развиваться и сответствующие технологии. Объем же этого рынка специалисты The Yankee Group оценивают в 200 млн долл. по итогам 2001 года и прогнозируют рост до 2 млрд долл. к 2005 году.

4. Гораздо шире будут применяться системы биометрической аутентификации (по сетчатке глаза, отпечаткам пальцев, голосу и т.д.), в том числе и комплексные. В повседневную корпоративную жизнь войдет многое из того, что сейчас можно увидеть разве что в остросюжетных кинофильмах.

5. К 2005 году львиную долю услуг безопасности будут оказывать своим клиентам интернет-провайдеры. Причем основными их клиентами станут компании, бизнес которых строится именно на интернет-технологиях, то есть активные потребители услуг web-хостинга, систем электронной коммерции и т.д.

6. Быстрый рост ожидает рынок интеллектуальных услуг сетевой защиты. Это связано с тем, что новые концепции защиты IT-систем от хакеров акцентируют внимание не столько на реагирование на уже произошедшие события/атаки, а на их прогнозирование, предупреждение и проведение упреждающих и профилактических мероприятий.

7. Существенно повысится спрос на коммерческие системы криптошифрования передаваемых данных, включая "индивидуальные" разработки для конкретных компаний с учетом их сфер деятельности.

8. На рынке решений по IT-безопасности будет происходить постепенный отход от "систем стандартной комплектации", в связи с чем возрастет спрос на консалтинговые услуги по разработке концепций информационной безопасности и построению систем управления информационной безопасностью для конкретных заказчиков.

На "постсоветском пространстве" также развивается рынок систем и услуг по обеспечению информационной безопасности — хотя и не такими темпами и не в таких масштабах, как на Западе. Как сообщила газета "Коммерсант", в России на развитие информационной инфраструктуры различного типа организации тратят от 1% (металлургия) до 30% (финансовый сектор) своих бюджетов. При этом расходы на защиту составляют пока только лишь порядка 0,1-0,2% в затратной части бюджетов. Таким образом, общий объем рынка систем информационной безопасности в 2001 году в России оценен экспертами в размере 40-80 млн долларов. В 2002 году в соответствии с данными, заложенными в проект Государственного бюджета, они должны составить 60-120 млн долларов. Для сравнения: как продемонстрировали последние исследования IDC, объем одного только европейского рынка продуктов защиты информации (программных и аппаратных) должен возрасти с 1.8 миллиарда USD в 2000 году до $ 6.2 миллиарда в 2005 году.