Лекция по "Информатике"

Лекция: Категории атак: версия для печати и PDA  
В лекции рассмотрены различные категории атак, даны их определения и условия для их осуществления. Коротко рассмотрен механизм проведения атак.

Во время работы компьютерных систем часто возникают различные  проблемы. Некоторые - по чьей-то оплошности, а некоторые являются результатом  злоумышленных действий. В любом  случае при этом наносится ущерб. Поэтому будем называть такие  события атаками, независимо от причин их возникновения.

Существуют четыре основных категории атак:

• атаки доступа;
• атаки модификации;
• атаки на отказ в обслуживании;
• атаки на отказ от обязательств.

Давайте подробно рассмотрим каждую категорию. Существует множество  способов выполнения атак: при помощи специально разработанных средств, методов социального инжиниринга, через уязвимые места компьютерных систем. При социальном инжиниринге  для получения несанкционированного доступа к системе не используются технические средства. Злоумышленник  получает информацию через обычный  телефонный звонок или проникает  внутрь организации под видом  ее служащего. Атаки такого рода наиболее разрушительны.

Атаки, нацеленные на захват информации, хранящейся в электронном  виде, имеют одну интересную особенность: информация не похищается, а копируется. Она остается у исходного владельца, но при этом ее получает и злоумышленник. Таким образом, владелец информации несет убытки, а обнаружить момент, когда это произошло, очень трудно.

Определение атаки  доступа

Атака доступа - это попытка  получения злоумышленником информации, для просмотра которой у него нет разрешений. Осуществление такой  атаки возможно везде, где существует информация и средства для ее передачи (рис. 2.1). Атака доступа направлена на нарушение конфиденциальности информации.

 
Рис. 2.1.  Атака доступа возможна везде, где существуют информация и средства для ее передачи

Подсматривание

Подсматривание (snooping) - это просмотр файлов или документов для поиска интересующей злоумышленника информации. Если документы хранятся в виде распечаток, то злоумышленник будет вскрывать ящики стола и рыться в них. Если информация находится в компьютерной системе, то он будет просматривать файл за файлом, пока не найдет нужные сведения.

Подслушивание

Когда кто-то слушает разговор, участником которого он не является, это  называется подслушиванием (eavesdropping). Для получения несанкционированного доступа к информации злоумышленник должен находиться поблизости от нее. Очень часто при этом он использует электронные устройства (рис. 2.2).

Внедрение беспроводных сетей  увеличило вероятность успешного  прослушивания. Теперь злоумышленнику не нужно находиться внутри системы  или физически подключать подслушивающее устройство к сети. Вместо этого  во время сеанса связи он располагается  на стоянке для автомобилей или  вблизи здания.

Внимание!

Появление беспроводных сетей  создало многочисленные проблемы безопасности, открыв несанкционированный доступ злоумышленников к внутренним сетям. Эти проблемы будут подробно рассмотрены  далее.

 
Рис. 2.2.  Подслушивание

Перехват

В отличие от подслушивания  перехват (interception) - это активная атака. Злоумышленник захватывает информацию в процессе ее передачи к месту назначения. После анализа информации он принимает решение о разрешении или запрете ее дальнейшего прохождения (рис. 2.3).

 
Рис. 2.3.  Перехват

Как выполняются  атаки доступа

Атаки доступа принимают  различные формы в зависимости  от способа хранения информации: в  виде бумажных документов или в электронном  виде на компьютере.

Документы

Если необходимая злоумышленнику информация хранится в виде бумажных документов, ему потребуется доступ к этим документам. Они, возможно, отыщутся в следующих местах:

• в картотеках;
• в ящиках столов или на столах;
• в факсе или принтере;
• в мусоре;
• в архиве.

Следовательно, злоумышленнику необходимо физически проникнуть во все эти места. Если он является служащим данной организации, то сможет попасть  в помещения с картотекой. Письменные столы он найдет в незапертых офисах. Факсы и принтеры обычно располагаются  в общедоступных местах, и люди имеют привычку оставлять там  распечатанные документы. Даже если все офисы закрыты, можно покопаться в мусорных корзинках, выставленных в холл для очистки. А вот архивы станут для взломщика проблемой, особенно если они принадлежат разработчикам  и расположены в охраняемом месте.

Замки на дверях, возможно, и  остановят кого-то, но всегда отыщутся помещения, оставленные открытыми  на время обеда. Замки на ящиках картотеки  и в столах относительно просты, их можно легко открыть отмычкой, особенно если знать, как это делается.

Физический доступ - это ключ к получению данных. Следует заметить, что надежная защита помещений оградит данные только от посторонних лиц, но не от служащих организации или внутренних пользователей.

Информация в  электронном виде

Информация в электронном  виде хранится:

• на рабочих станциях;
• на серверах;
• в портативных компьютерах;
• на флоппи-дисках;
• на компакт-дисках;
• на резервных магнитных лентах.

Злоумышленник может просто украсть носитель данных (дискету, компакт-диск, резервную магнитную ленту или  портативный компьютер). Иногда это  сделать легче, чем получить доступ к файлам, хранящимся в компьютерах.

Если злоумышленник имеет  легальный доступ к системе, он будет  анализировать файлы, просто открывая один за другим. При должном уровне контроля над разрешениями доступ для  нелегального пользователя будет закрыт, а попытки доступа зарегистрированы в журналах.

Правильно настроенные разрешения предотвратят случайную утечку информации. Однако серьезный взломщик постарается  обойти систему контроля и получить доступ к нужной информации. Существует большое количество уязвимых мест, которые помогут ему в этом.

При прохождении информации по сети к ней можно обращаться, прослушивая передачу. Взломщик делает это, устанавливая в компьютерной системе  сетевой анализатор пакетов (sniffer). Обычно это компьютер, сконфигурированный для захвата всего сетевого трафика (не только трафика, адресованного данному компьютеру). Для этого взломщик должен повысить свои полномочия в системе или подключиться к сети (рис. 2.2). Анализатор настроен на захват любой информации, проходящей по сети, но особенно - на пользовательские идентификаторы и пароли.

Как уже говорилось выше, появление беспроводной технологии позволяет взломщикам перехватывать  трафик без физического доступа к системе. Беспроводные сигналы считываются на довольно большом расстоянии от их источника:

• на других этажах здания;
• на автомобильной стоянке;
• на улице рядом со зданием.

Подслушивание выполняется  и в глобальных компьютерных сетях  типа выделенных линий и телефонных соединений. Однако такой тип перехвата  требует наличия соответствующей  аппаратуры и специальных знаний. В этом случае наиболее удачным местом для размещения подслушивающего  устройства является шкаф с электропроводкой.

Перехват возможен даже в  системах оптико-волоконной связи с  помощью специализированного оборудования, обычно выполняется квалифицированным  взломщиком.

Информационный доступ с использованием перехвата - одна из сложнейших задач для злоумышленника. Чтобы добиться успеха, он должен поместить свою систему в линии передачи между отправителем и получателем информации. В интернете это выполняется посредством изменения разрешения имени, в результате чего имя компьютера преобразуется в неправильный адрес (рис. 2.4). Трафик перенаправляется к системе атакующего вместо реального узла назначения. При соответствующей настройке такой системы отправитель так и не узнает, что его информация не дошла до получателя.

Вопрос к эксперту

Вопрос. Что вы можете рассказать о так называемом "вочокинге" (от англ. warchalking)?

Ответ. Этот термин означает нанесение мелом специальных знаков на тротуарах около зданий офисов. Такие отметки сигнализируют взломщикам о наличии поблизости беспроводных сетей.

Перехват возможен и во время действительного сеанса связи. Такой тип атаки лучше всего  подходит для захвата интерактивного трафика типа telnet. В этом случае взломщик должен находиться в том же сегменте сети, где расположены клиент и сервер. Злоумышленник ждет, когда легальный пользователь откроет сессию на сервере, а затем с помощью специализированного программного обеспечения занимает сессию уже в процессе работы. Взломщик получает на сервере те же привилегии, что и пользователь.

 
Рис. 2.4.  При перехвате используется неправильная информация о разрешении имени

Примечание

Перехват более опасен, чем прослушивание, он означает направленную атаку против человека или организации.