Милославская сетевые атаки на открытые системы на примере 2012
.pdfМИНИСТЕРСТВО ОБРАЗОВАНИЯ И НАУКИ РОССИЙСКОЙ ФЕДЕРАЦИИ
НАЦИОНАЛЬНЫЙ ИССЛЕДОВАТЕЛЬСКИЙ ЯДЕРНЫЙ УНИВЕРСИТЕТ «МИФИ»
Н.Г. МИЛОСЛАВСКАЯ
СЕТЕВЫЕ АТАКИ НА ОТКРЫТЫЕ СИСТЕМЫ НА ПРИМЕРЕ ИНТРАНЕТА
Рекомендовано УМО «Ядерные физика и технологии» в качестве учебного пособия
для студентов высших учебных заведений
Москва 2012
УДК 004.056 ББК 32.973.2-018.2я73 М60
Милославская Н.Г. Сетевые атаки на открытые системы на примере интранета: Учебное пособие. - М.: НИЯУ МИФИ, 2012. – 64 с.
Составлено в соответствии с Государственным образовательным стандартом высшего профессионального образования для специальности 075500 (090105) – « Комплексное обеспечение информационной безопасности автоматизированных систем» по дисциплине «Информационная безопасность открытых систем».
Изучаются удаленные сетевые атаки, для чего определяются типовые атаки, такие как анализ сетевого трафика, подмена доверенного объекта или субъекта, создание ложного объекта, атаки типа "отказ в обслуживании" и получение удаленного контроля над станцией в сети. Описываются некоторые типичные сценарии и этапы реализации атак и их уровни. Рассматриваются классические и современные методы взлома, используемые нападающими для проникновения в открытые системы. Основными иллюстрациями современных методов, описанными в разделе, являются методы перехвата данных, мониторинг в графических интерфейсах, подмена системных утилит, а также атаки с использованием сетевых протоколов.
Предназначено для студентов высших учебных заведений, обучающихся по направлению подготовки «Информационная безопасность».
Подготовлено в рамках программы создания и развития НИЯУ МИФИ.
Рецензент:
В.А. Конявский, д.т.н., профессор, научный руководитель ФГУП ВНИИ ПВТИ
ISBN 978-5-7262-1691-1 |
© |
Национальный исследовательский |
|
|
ядерный университет «МИФИ», 2012 |
ОГЛАВЛЕНИЕ
Список используемых сокращений…………………………..4 1. Удаленные атаки на открытые системы………………….5
1.1.Анализ сетевого трафика………………………......................15
1.2.Подмена доверенного объекта или субъекта……………..20
1.3.Ложный объект……………………………………………………..22
1.4. "Отказ в обслуживании"………………… |
……………………….24 |
1.5. Удаленный контроль над станцией в сети………………..30
2. Типичные сценарии и уровни атак………………………..33
2.1.Этапы реализации атак………………………………………….33
2.2.Уровни атак………………………………………………………….41
3. Классические и современные методы, используемые нападающими для проникновения в открытые системы……………………………………………………………..44
3.1.Перехват данных…………………………………………………...45
3.2.Мониторинг в графических интерфейсах………………….45
3.3.Подмена системных утилит…………………………………...47
3.4.Атаки с использованием сетевых протоколов…………..48
3.5.Примеры некоторых атак……………………………………….58
ЗАКЛЮЧЕНИЕ……………………………………………………..63
Список использованной литературы……………………….64
3
|
Список используемых сокращений |
ИБ |
информационная безопасность |
ИС |
информационная система |
ДМЗ |
демилитаризованная зона |
МЭ |
межсетевой экран |
НСД |
несанкционированный доступ |
ОС |
операционная система |
ПО |
программное обеспечение |
РВС |
распределенная вычислительная система |
УА |
удаленная атака |
УД |
удаленный доступ |
ТУА |
типовая удаленная атака |
4
1. Удаленные атаки на открытые системы
Дадим определения основных понятий, которыми в дальнейшем будем пользоваться.
Угрозы (threats) – совокупность условий и факторов, создающих потенциальную или реально существующую опасность нарушения безопасности информации [1]. Иначе это потенциально возможное событие, действие или процесс, которое посредством воздействия на компоненты системы может привести к нанесению ущерба. Наличие угрозы необязательно означает, что она реализуется и нанесет вред.
Уязвимость (vulnerability) информационной системы (ИС) – свойство ИС, обуславливающее возможность реализации угроз безопасности обрабатываемой в ней информации [1]. Это и любая характеристика ИС, использование которой нарушителем может привести к реализации угрозы безопасности.
Вторжение (intrusion) – процесс попытки несанкционированного проникновения в ИС. Под вторжением может пониматься любое действие нарушителя, приводящее к реализации угрозы, путем использования уязвимостей. Поэтому это реализовавшаяся угроза.
Атака (attack) – это событие (момент), при котором злоумышленник проникает внутрь ИС или совершает по отношению к ней какое-либо несанкционированное действие. Атака является результатом вторжения.
Компьютерная атака – целенаправленное несанкционированное воздействие на информацию, на ресурс автоматизированной ИС или получение несанкционированного доступа (НСД) к ним с применением программных или программно-аппаратных средств
[2].
Сетевая атака – компьютерная атака с использованием протоколов межсетевого взаимодействия [2].
Принципиальным отличием атак, осуществляемых злоумышленниками на открытые сети, является фактор расстояния от компьютера, выбранного в качестве жертвы, или "прослушиваемого" канала связи до местоположения злоумышленника. Этот фактор нашел выражение в определении их как "удаленных" (в отличие от
5
локальных, осуществляемых средствами НСД непосредственно в отношении отдельного компьютера). Под удаленной атакой принято понимать несанкционированное информационное воздействие на распределенную вычислительную систему (РВС), программно осуществляемое по каналам связи [3]. Или, проще говоря, УА — это любое нападение, которое начато против компьютера, над которым нападающий в настоящее время еще не имеет контроля; то есть это нападение на любой компьютер, который не является собственностью атакующего [4].
Для УА можно выделить наиболее общие схемы их осуществления. Такие УА получили название типовых УА (ТУА) — удаленных несанкционированных информационных воздействий, программно осуществляемых по каналам связи и характерных для любой РВС.
Особенностью сетевых систем является распределенность как самих аппаратных средств (компьютеров), так и информации. Поэтому можно выделить два основных подвида УА. Первый тип атак направлен на инфраструктуру и протоколы сети, и при этом нарушитель использует уязвимости в сетевых протоколах и инфраструктуре сети (сложившейся системе организации отношений между объектами сети и используемыми в ней сервисными службами). Во втором случае атаки нацелены на телекоммуникационные службы из-за наличия уязвимостей именно в них. Тогда объектом УА могут стать следующие виды сетевых устройств: оконечные устройства, каналообразующее оборудование и промежуточные устройства типа ретрансляторов, шлюзов, модемов и т.п.
Результат, которого чаще всего добиваются злоумышленники, проводя свои атаки, таков: расширение прав доступа в сети, на конкретном узле (например, с установлением контроля за рабочей станцией); искажение информации; раскрытие информации (то есть ее распространение среди лиц без соответствующих полномочий доступа); кража сервисов (их несанкционированное использование); "отказ в обслуживании" (снижение производительности или блокировка доступа, например, к базе данных).
6
Цель УА на компьютеры интранет состоит, например, в получении доступа к их информационным и сетевым ресурсам. Примером первого типа ресурсов могут быть базы данных (БД), файлсерверы и т.п. Ко второму типу ресурсов относятся различные сетевые сервисы, например, Telnet, электронная почта, телеконференции и т.д.
По данным, приводимым в обзорах ФБР «CSI/FBI Computer Crime and Security Survey», частота обнаружения различных атак такова: вирусы — 85 %; злоупотребления в Интернет со стороны сотрудников — 78 %; НСД со стороны сотрудников — 38 %; « отказ в обслуживании» — 40 %; атаки внешних злоумышленников — 40 %; кража конфиденциальной информации — 20 %.
Можно выделить ряд характерных признаков атак [5]: явные признаки — сбои, неправильное функционирование программ, повтор определенных событий, неправильные команды, непредвиденные атрибуты, несоответствующие параметры сетевого трафика и т.п.; отсутствие/повреждение некоторых файлов, появление новых; откорректированые файлы регистрации; обнаружено, что пользователи входили в систему из странных мест в неподходящее время или выполняли странные команды; необъяснимые проблемы.
Источники информации об атаках бывают
∙основными: сетевой трафик, журналы регистрации (ОС, СУБД, прикладных и сетевых приложений), текущая деятельность субъектов системы (пользователей, процессов, сервисов, портов), уведомления;
∙дополнительными: информация от пользователей, списки рассылки по безопасности, журналы, конференции, веб-серверы по безопасности (например, по адресу http://www.dshield.org можно посмотреть, какие порты на текущую дату наиболее часто атакуются злоумышленниками, какова тенденция за последнее время по тем или иным атакам — растет их число или снижается, с каких адресов чаще всего в последнее время исходят атаки и т.п.).
По мере развития сетевых технологий сложность атак и знания самих взломщиков претерпевали некоторые изменения, причем
7
можно отметить тенденцию к возрастанию сложности атак при снижении общего уровня знаний злоумышленников (рис. 1).
Рис. 1. Сложность атак и знания злоумышленников (источник —
Cnews.ru)
C 2004 г. появились и новые атаки – фишинг (Phishing) и фар-
минг (Pharming).
Фишинг — это атака с использованием приемов социальной инженерии, при которой жертву обманом заставляют переслать по почте свои персональные данные. Phishing является классической формой кражи банковских данных пользователей с помощью электронных писем — трюка, на который попалось множество ничего не подозревающих пользователей. Жертва получает электронные сообщения, замаскированные под полезные послания, якобы отправленные клиентской службой хорошо известного банка. В письмах содержится просьба подтвердить или предоставить конфиденциальные персональные данные. Попав на такой поддельный
8
сайт, жертва сообщает злоумышленникам свои персональные данные, номера кредитных карт, ПИНы и т.д. Кроме социальной инженерии в данной атаке применяются и технические приемы, которые заключаются в том, что на компьютер жертвы для кражи данных устанавливается ПО атаки (crimeware), чаще всего в виде троянцев, перехватывающих ввод с клавиатуры (Trojan keylogger spyware).
Фарминг — более сложный и опасный тип атак, чем phishing. При этом преследуется сходная цель — обмануть ничего не подозревающего пользователя и перенаправить трафик на вредоносный сайт или прокси-сервер для сбора конфиденциальной информации, особенно относящейся к онлайновым банкам и крупным интернетмагазинам. В отличие от фишинга в фарминге социальная инженерия не применяется, а атака направлена не на самого пользователя, а на его компьютер или сервер DNS. С помощью технологий DNS Poisoning или URL Hijacking даже правильно введенные URL-
адреса приводят на вредоносные сайты, которые специально замаскированы под реально существующие ресурсы, посещаемые пользователем. Если при попытке пользователя получить доступ к нужной ему веб-странице DNS-сервер не сможет правильно разрешить IP-адрес, соответствующий введенному доменному имени, то пользователь не увидит корректную страницу. Атаки могут быть выполнены напрямую против DNS-сервера так, что изменение адреса повлияет на всех пользователей, обращающихся к серверу во время просмотра Интернета, или на отдельные компьютеры. Второй сценарий гораздо более опасен из-за его большей эффективности и проще в реализации для атакующих. Им требуется выполнить всего два относительно несложных действия: изменить файл hosts, который можно найти на любом компьютере под управлением Windows и использующем Internet Explorer для доступа в Интернет, и создать фальсифицированную веб-страницу. Чтобы для конвертации URL наиболее часто посещаемых пользователем сайтов в IP-адреса не обращаться к DNS-серверу, файл hosts хранит таблицу соответствия имен серверов и их IP-адресов. Если этот файл перезаписан и в него внесены фальсифицированные адреса онлайновых банков, каж-
9
дый раз, когда пользователь вводит их URL в браузере, он попадает на страницу, заблаговременно созданную злоумышленником. Механизм атаки вступает в действие, когда жертва открывает непрошеное почтовое послание или посещает веб-узел с исполняемым файлом, который тайно запускается в фоновом режиме.
Для запуска атаки злоумышленники пользуются старыми и недостаточно защищенными расширениями DNS комплекса BIND, которые лежат в основе работы подавляющего большинства DNSсерверов в Интернете, или слабыми по умолчанию настройками DNS в операционной системе (ОС). (Сразу оговоримся, что возможными средствами противостояния названным атакам являются замена DNS ее обновленной версией — Secure DNS, установка антивирусного ПО, совмещающего предупреждающие и реагирующие системы обнаружения, и персонального МЭ, мешающего проникновению в компьютер пользователя через незащищенный порт и модификации системы, а также регулярное обновление всего ПО, что устранить его известные уязвимости.)
Сложность атаки определяется уровнем технических возможностей или общим уровнем знаний атакующего и бывает:
∙низкая — атакующий запускает программу взлома, компилирует легкодоступный код или применяет широко известный метод атаки, практически не внося ничего нового в свое поведение;
∙средняя — атакующий использует широко известный метод нападения, но разворачивает атаку и незначительно модифицирует стандартную тактику атаки;
∙сложная — атакующий умен (как правило, пишет собственный код) и опытен, его атака может долго быть незамеченной;
∙очень сложная — взломщик очень опытен, использует либо неизвестные разработки, либо самые современные технологии, применяет нестандартные методы и, хорошо заметая следы, часто оставляет скрытые входы для повторного проникновения.
В зависимости от количества атакующих и жертв атаки можно разделить на два класса — традиционные и распределенные. Традиционные атаки (рис. 2, а-в) осуществляются одним злоумышленником со своего компьютера или с использованием одного или не-
10