 |
2.1. Шляхи проникнення порушників у мережу
|
|
|
|
Фізичне вторгнення. Якщо порушник має фізичний доступ до комп'ютера (тобто він може використовувати клавіатуру або частину системи), то можливо проникнення його в систему. Методи можуть бути різними: від використання спеціальних привілеїв, що має консоль, до можливості використання частини системи і зняття вінчестера (і читання/запису його на іншій машині).
Системне вторгнення. Порушник уже має обліковий запис у системі як користувач з невисокими привілеями. Якщо в системі не встановлені самі останні патчи захисти, у порушника є гарний шанс спробувати зробити визначену атаку для одержання додаткових адміністративних привілеїв.
Вилучене вторгнення. Зловмисник намагається проникнути в систему через мережу з вилученої машини. Порушник діє без яких-небудь спеціальних привілеїв. Існує кілька видів такий хакерской діяльності. Наприклад, порушник витрачає набагато більше часу і зусиль, якщо між ним і обраною машиною встановлений міжмережний захисний екран.
Одним з розповсюджених способів доступу до системи є злом пароля. Порушники намагаються використовувати всі слабкі сторони цього виду захисту. До них відносяться наступні.
Дійсно слабкі паролі. Більшість людей використовують як паролі свої імена, імена своїх дітей, дружина/чоловік і жінка, улюбленого(ой) або моделі машини. Є також користувачі, що як пароль вибрали слово " пароль" або " password" або взагалі ніякого слова. У цілому існує більш 30 можливостей, якими може скористатися порушник для підбора паролів.
Атака по словнику. Потерпівши невдачу у випадку вищевказаної атаки, порушник може потім спробувати використовувати " атаку по словнику". У цьому випадку зловмисник намагається використовувати програму, що формує як пароль кожне можливе слово, приведене в словнику. Атаки по словнику можуть здійснюватися або шляхом кількаразові реєстрації в системі, що атакується, або шляхом збору шифрованих паролів і спроб знайти їм незашифровану пару. Для цих цілей порушники, як правило, мають копію російського й англійського словників, а також словники інших іноземних мов. Усі вони застосовують додаткові словники, як з іменами, так і зі списками найбільш розповсюджених паролів.
|
|
|
Підбор пароля. Аналогічно атаці по паролі порушник намагається використовувати всі можливі комбінації символів. Короткий пароль, що складається з 4-х букв у нижньому регістрі, може бути зламаний за кілька секунд (приблизно півмільйона можливих комбінацій). Довгий семизначний пароль, що складається із символів у нижньому і верхньому регістрі, а також чисел і розділових знаків (10 трильйонів комбінацій) може зажадати не один місяць для злому, у розрахунку на те, що пристрій перебору може здійснювати мільйон комбінацій у секунду.
Перехоплення незахищеного трафіка. На традиційному Ethernet можливо розмістити перехватчик (sniffer), щоб перехоплювати весь трафік на сегменті. В даний час це стає усе більш і більш важким, тому що багато організацій використовують мережі, що комутируються, яки складаються з багатьох ізольованих сегментів. Однак у мережах, що комутируються, можливо установити сниффер на сервері, тим самим одержати доступ до всій циркулюючій у мережі інформації. Наприклад, зловмисник може не знати пароля визначеного користувача, але перехоплення пароля, переданого по протоколі Telnet дозволяє йому одержати доступ до вилученого вузлові.
Шляхи одержання порушниками паролів.
Перехоплення відкритого тексту. Велика кількість протоколів (Telnet, FTP, HTTP) виконують передачу незашифрованих паролів при обміні по мережі між клієнтом і сервером. Порушник за допомогою аналізатора протоколів може " слухати" мережу в пошуках таких паролів. Ніяких подальших зусиль не потрібно; порушник може почати негайно використовувати ці паролі для реєстрації в системі (мережі). Прикладом аналізатора протоколів є програма dsniff, що забезпечує можливість збору різних паролів, переданих через локальну мережу. Використовуючи програму dsniff, можна зібрати користувальницькі паролі служб FTP, Telnet, SMTP, HTTP, POP і ряду інших.
|
|
|
Перехоплення зашифрованого тексту. Більшість протоколів, однак, використовує деяке шифрування паролів. У цих випадках порушникові буде потрібно провести атаку по словнику або " підбор пароля" для того, щоб спробувати провести дешифрування. Помітимо, що клієнти мережі не знають про присутність порушника, оскільки він є цілком пасивним і нічого не передає по мережі. Злом пароля не вимагає того, щоб передавати що-небудь у мережу, власний комп'ютер порушника використовується тільки для аутентифікації пароля законного користувача.
Повторне використання. У деяких випадках порушникам немає необхідності розшифровувати пароль. Вони можуть повторно передати зашифрований пароль у процесі аутентификации.
Крадіжка файлу з паролями. Уся база даних про паролі користувача звичайно зберігається в одному файлі на диску. В ОС UNIX цим файлом є /etc/passwd (або деякий різновид цього файлу), а в ОС Windows NT це SAM-файл. У будь-якому випадку, як тільки порушник одержує цей файл, він може запускати програми злому (описані вище) для того, щоб знайти слабкі паролі усередині даного файлу.
Спостереження. Одна з традиційних проблем при захисті паролів полягає в тім, що паролі повинні бути довгої і важкими для розшифровки. Однак часто такі паролі дуже важко запам'ятати, тому користувачі їх записують. Порушники можуть часто обшукувати робочі місця користувачів для того, щоб знайти паролі, записані найчастіше на невеликих клаптиках папера. Вони можуть також підглядати паролі, коштуючи за спиною користувача.
У загальному випадку в будь-якій процедурі вторгнення зловмисника в інформаційну систему можна зыделить п'ять стадій (рис. 2).
| Сбор информации |
| Вторжение в систему |
| Атакующее воздействие |
| Развитие атаки |
| Завершение атаки |
| Информационная система |
| Рис. 2. Процедура реализации типового вторжения |
|
|
|
На початковій стадії порушник здійснює збір інформації про об'єкт атаки, щоб на її основі спланувати подальші етапи вторгнення. Цим цілям може служити, наприклад, інформація про тип і версію ОС, установленої на хостах інформаційної системи; список користувачів, зареєстрованих у системі; зведення про використовуваному прикладний ПО і т. д.
Стадія збору інформації може підрозділятися на зовнішню і внутрішню розвідку.
При зовнішній розвідці порушники збирають якнайбільше інформації про систему, що атакується, нічим себе не видаючи. Вони можуть робити це, збираючи доступну інформацію, або маскуючи під звичайного користувача. На цій стадії їх неможливо знайти. Порушник буде виглядати " хто є хто", щоб зібрати якнайбільше інформації про потенційну жертву. Нападаючий може пройтися по DNS-таблицях (застосовуючи програми nslookup, dig або інші утиліти, використовувані для роботи з DNS), щоб знайти імена машин досліджуваної мережі.
На стадії внутрішньої розвідки порушник використовує більш могутні способи для одержання інформації, але як і раніше не робить нічого шкідливого. Він може пройти через усі Web-сторінки інформаційної системи і подивитися CGI-скрипты, що дуже часто піддаються хакерским атакам.. Можливий запуск утиліти ping для виявлення активних комп'ютерів у мережі. У процесі розвідки можливе сканування UDP/TCP-портів на намічених для атаки комп'ютерах для того, щоб визначити доступні сервіси. Нападаючий може запустити утиліти типу rpcinfo, showmount, snmpwalk і т. д. для того, щоб визначити, які служби є доступними. У даний момент порушник веде " нормальну" діяльність у мережі і немає нічого, що могло б бути класифіковане як порушення.
На етапі вторгнення порушник одержує несанкціонований доступ до ресурсів тих хостов, на які відбувається атака. Порушник перетинає границю і починає використовувати можливі уразливості на виділених комп'ютерах. Він може спробувати скомпрометувати CGI-скрипт, посилаючи команди shell у полях вхідних даних. Порушник може спробувати використовувати эксплоиты ( exploits ) або добре відомі уразливості " переповнення буфера", посилаючи велику кількість даних, або почати перевірку облікових записів з підбору легко (або порожніми) паролями. Эксплоиты - це програми, що використовують помилки в якомусь конкретному програмному забезпеченні. Вони застосовуються для одержання доступу до комп'ютера, головним чином із правами суперкористувача.
|
|
|
Після етапу вторгнення настає стадія впливу, що атакує. Протягом цієї стадії реалізуються мети, заради яких і починалася атака. Наприклад, якщо хакер зміг одержати доступ до облікового запису звичайного користувача, те потім він буде намагатися робити подальші дії для одержання доступу до облікового запису супервізора root/admin. Потім може піти порушення працездатності інформаційної системи, крадіжка конфіденційної інформації, видалення або модифікація даних і т. д.
У наступній стадії зловмисник прагне розвити атаку, тобто розширити коло жертв атаки, щоб продовжити несанкціоновані операції на інших складового об'єкта нападу. Стадія завершення вторгнення характеризується прагненням що атакує виконати дії, спрямовані на видалення слідів його присутності в інформаційній системі шляхом виправлення журналів реєстрації. Хакер буде намагатися використовувати систему як опорну площадку для проникнення в інші системи або комп'ютери, оскільки більшість мереж мають незначне число засобів для захисту від внутрішніх атак. Нижче розглянуті більш докладно способи реалізації цих стадій.
Білет №22
1. Способи опису ЛБХ
2. Класифікація інформації по ступеню обмеження доступу
Відповіді
|
|
|
