ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ В ИНТЕРНЕТЕ

КЛАССИФИКАЦИЯ УГРОЗ

Основу нормативно-правовой базы информационной безопасно­сти в нашей стране составляют Доктрина информационной безопас­ности Российской Федерации [1], утвержденная Президентом Рос­сийской Федерации 9 сентября 2000 г., и принятый 27 июля 2006 г. Федеральный закон «Об информации, информационных техноло­гиях и о защите информации» № 149-ФЗ [2]. Доктрина информаци­онной безопасности Российской Федерации определяет цели, зада­чи, принципы и основные направления обеспечения информацион­ной безопасности Российской Федерации, а также основные принципы государственной политики и функции государства в об­ласти информационной безопасности. Здесь же рассмотрены меро­приятия по реализации государственной политики обеспечения ин­формационной безопасности РФ, среди которых важную роль игра­ют совершенствование и развитие законодательства в области информационной безопасности, комплексное противодействие угрозам информационной безопасности и повышение правовой культуры и компьютерной грамотности граждан.

Упомянутый Федеральный закон регулирует отношения, возни­кающие при поиске, получении, передаче, производстве и распро­странении информации; применении информационных технологий и обеспечении защиты информации.

В настоящее время в нашей стране нормативно-правовая база обеспечения информационной безопасности еще далека от совер­шенства и нуждается в развитии. Серьезные шаги в этом направле­нии на государственном уровне были сделаны только после ряда уголовных дел. Самым первым было дело программистов Волжского автомобильного завода, умышленно внесших деструктивные изме­нения в программу управления технологическим процессом, что нанесло заводу значительный ущерб. Затем последовало дело сотруд­ника Игналинской атомной электростанции, использовавшего в системе управления станцией несанкционированные программные модули, что привело к искажению информации на пульте оператора атомного реактора. Руководители многих предприятий становились

объектами шантажа со стороны уволенных сотрудников, имевших доступ к администрированию информационной системы и грозящих уничтожением важных данных или блокировкой производственных процессов. В результате Уголовный кодекс, введенный в действие 1 января 1997 г., уже содержал главу, посвященную преступлениям в сфере компьютерной информации. В ней предусматривались нака­зания за следующие преступления:

• Неправомерный доступ к компьютерной информации (ст. 272).

• Создание, использование и распространение вредоносных ком­пьютерных программ (ст. 273).

• Нарушение правил эксплуатации компьютеров, компьютерных систем и сетей (ст. 274).

Зарубежный опыт показывает, что для справедливого наказания киберпреступников вовсе не обязательно вводить дополнительные понятия и статьи в Уголовный кодекс. В некоторых странах такие преступления наказываются по конечному результату действий зло­умышленника: хищение, вымогательство, хулиганство и т.д.

Требования законодательства составляют верхнюю ступень в ие­рархии нормативных документов по информационной безопасности. Ниже идут требования ИТ стандартов и стандартов по управлению рисками (Базель //, COSJ, CoBIT, ITIL). Следующая ступень — тре­бования стандартов по безопасности {ISO 17799, ISO 27001, СТР-К, Стандарт ЦБ по И Б). Самое нижнее место в иерархии занимают внутренние стандарты, политики и регламенты предприятий. В них очень нуждаются большие и территориально распределенные орга­низации. Эти документы регламентируют использование программ­ного обеспечения и оборудования, определяют зоны ответственности администраторов и сотрудников, облегчают подготовку оборудова­ния, его администрирование, снижают расходы на лицензионное программное обеспечение и его обновление.

Широкое проникновение информационных технологий во все области современной жизни неизмеримо повышает важность борьбы с компьютерными преступлениями, особенностью которых является их низкая раскрываемость. Сам факт хищения (копирования) инфор­мации может долгое время оставаться незамеченным, если для этого заблаговременно не приняты специальные меры. Даже обнаружив «утечку» данных, пострадавшие фирмы не торопятся признавать факт преступления и ставить в известность правоохранительные органы, боясь отпугнуть вкладчиков, акционеров и клиентов таким проявле­нием халатности и ненадежности систем защиты информации. Таким образом, официальной статистике компьютерных преступлений не стоит очень доверять. Она оказывается сильно заниженной.

Анализ этой, далеко не полной, информации позволяет выделить основные черты современных компьютерных преступлений:

• компьютерные преступления совершаются группами лиц, рас­полагающими самым современным компьютерным и телеком­муникационным оборудованием;

• сотрудники атакуемых фирм принимают активное участие в по­давляющем большинстве компьютерных преступлений;

• сеть Интернет, насыщенная новыми сетевыми сервисами, постро­енная на базе широкополосных каналов связи, в отсутствие цент­рализованного управления и цензуры служит отличной средой для информационно-психологического воздействия на людей, обмена криминальной информацией и создания специальных распределенных систем для атак на намеченные заранее цели.

Подключение к сети Интернет домашнего компьютера стало пов­семестным явлением. Отсутствие навыков защиты информации на своем компьютере у большинства простых пользователей делает их домашние компьютеры легкой добычей преступников, похищающих личные конфиденциальные данные: номера кредитных карточек, номера счетов, компрометирующую информацию и т.д. Такой ком­пьютер легко превратить в элемент системы для атаки на заранее намеченную цель в Сети. Известны случаи создания очень больших распределенных систем подконтрольных преступникам компьюте­ров, принадлежащих ничего не подозревающим частным лицам. Порой такие сети служат предметом торга. Ее можно купить и ис­пользовать для атаки, например, на сетевой сервис конкурента (ин­тернет-магазин, сайт и т.д.).

В литературе, посвященной защите информации, можно найти множество различных определений самого понятия информационной безопасности. Для наших целей удобно будет определить его как защи­щенность информации, обрабатываемой в информационно-вычисли­тельной системе, от случайных или намеренных воздействий внутрен­него или внешнего характера, чреватых нанесением ущерба владельцам информационных ресурсов или пользователям информации.

Обеспечение информационной безопасности, как это следует из приведенного выше определения, не сводится только к защите ин­формационной системы от посягательств злоумышленников. Очень важной является защита от воздействий естественных случайных и стихийных факторов, таких, как сбои оборудования, аварии систем жизнеобеспечения зданий, стихийные бедствия, случайные ошибки людей, работающих в системе.

Основной целью любой информационной системы является обес­печение конфиденциальности, целостности и доступности для всей обрабатываемой в ней информации.

Конфиденциальность означает, что возможность ознакомления с информацией (со смыслом данных или сведений) должны иметь только уполномоченные на это лица.

Целостность означает, что возможность внесения изменений в информацию должны иметь только уполномоченные на это лица.

Доступность означает, что уполномоченные лица обязательно имеют возможность авторизованного доступа к информации в санк­ционированный период времени.

Этим же целям служат мероприятия по поддержанию информа­ционной безопасности, которые, естественно, должны обеспечивать выполнение информационной системой ее задач. Иногда к списку задач информационной безопасности добавляют еще две:

Учет — обязательную фиксацию и анализ всех значимых действий всех работающих с информацией лиц.

Неотрекаемость и неапеллируемость — обеспечение невозможно­сти для отправителя информации отречься от факта отправки и не­возможности для получателя отказаться от факта ее получения.

Последнее особенно важно в организациях с электронным доку­ментооборотом, включающим документы с юридической или финансовой значимостью. Правовой основой использования элект­ронного документооборота в Российской Федерации служит Феде­ральный закон № 1-ФЗ «О цифровой электронной подписи» от 10 января 2002 г. [3]. Его целью является «обеспечение правовых условий использования электронной цифровой подписи в электрон­ных документах, при соблюдении которых электронная цифровая подпись в электронном документе признается равнозначной соб­ственноручной подписи в документе на бумажном носителе».

В качестве основных направлений информационной безопасно­сти можно выделить физическую и компьютерную безопасность.

Физическая безопасность включает в себя обеспечение безопас­ности самого оборудования информационной системы и контроль доступа пользователей к этому оборудованию. Сюда же можно от­нести физическую защиту пользователей от злонамеренных действий и защиту информации невиртуального характера: распечаток, слу­жебных справочников, внешних носителей информации и т.д.

Компьютерная (сетевая, телекоммуникационная, безопасность дан­ных) безопасность — обеспечение безопасности информации, нахо­дящейся в виртуальном виде на всех этапах ее жизненного цикла в информационной системе: при создании, хранении, обработке и пе­ресылке по сети.

Угрозой информационной безопасности будем называть возможное событие, процесс или явление, которое при воздействии на инфор­мационную систему в целом или на отдельные ее компоненты может нанести ущерб интересам ее пользователей.

Разные авторы используют различные системы классификации угроз компьютерной безопасности, основанных на определенных

признаках. Перечислим некоторые из них. Самая общая классифи­кация основана на природе их возникновения.

Естественные угрозы — угрозы, вызванные объективными физи­ческими процессами и природными явлениями, независящими от деятельности человека.

К естественным угрозам относятся стихийные бедствия (пожары, наводнения, землетрясения, взрывы газа, ураганы и т.д.) и неконт­ролируемые физические явления типа молнии.

Искусственные угрозы — угрозы, вызванные деятельностью чело­века. Их можно разделить на непреднамеренные, вызванные ошиб­ками в проектировании и обслуживании информационной системы и обслуживающих ее систем (энергоснабжения, обеспечения клима­тических параметров и т.д.), ошибками в программном обеспечении. Сюда же относят угрозы от запуска технологических программ и не­санкционированного использования игровых, обучающих и других программ, не являющихся необходимыми для выполнения сотруд­никами служебных обязанностей, несанкционированное использо­вание модемов, точек беспроводного доступа и других коммуника­ционных устройств. Ввод ошибочных данных, случайное отключение систем защиты, заражение компьютерными вирусами и утрата паро­лей или ключей шифрования также относятся к этой категории. В отличие от непреднамеренных угроз, преднамеренные угрозы свя­заны с преступными целями злоумышленников, пытающихся ис­пользовать результаты реализации этих угроз в корыстных целях. Сюда можно отнести физическое разрушение всей информационной системы или отдельных ее компонентов, нарушение функциониро­вания системы, внедрение своих агентов или вербовку агентов среди обслуживающего персонала информационной системы, перехват (тем или иным способом) информации, передаваемой по каналам связи, взлом криптозащиты и т.п.

Можно классифицировать угрозы информационной безопасно­сти по отношению злоумышленника к объекту атаки.

Внутренние угрозы — это угрозы информационной безопасности со стороны персонала организации. По статистике от 70 до 80% всех компьютерных преступлений осуществляется при помощи сотруд­ников компаний, работающих или уволенных. Они хорошо понима­ют реальную цену информации, обрабатываемой информационной системой компании, и, иногда, имеют к ней доступ с правами, до­статочными для хищения.

Внешние угрозы — связаны с участием лиц, не принадлежащих к персоналу атакуемой организации.

Другая классификация основана на различиях в положении ис­точника угрозы безопасности относительно цели нападения.

Локальные угрозы — связаны с проникновением злоумышленника на территорию организации и непосредственным использованием для атаки одного из компьютеров информационной системы или прямым подключением к локальной компьютерной сети фирмы изнутри.

Удаленные угрозы — это угрозы, реализуемые издалека по каналам связи. Порой злоумышленники находятся на очень большом рассто­янии от атакуемой системы, используя для атаки компьютерную сеть или телефонные соединения. Развитие сети Интернет и повсемест­ное использование распределенных (порой глобально распределен­ных) информационных систем выводит этот тип атак на лидиру­ющие позиции.

Детализируя угрозы, можно выделить угрозы потокам данных — это угрозы передаваемой по сети информации. В современных ин­формационных системах практически каждый из составляющих их элеменов вовлечен в процесс активного обмена данными. Поэтому атака может быть направлена на сегмент сети или конкретный ее узел, а ее целью может быть даже простой анализ проходящей по сети информации, который может дать злоумышленнику достаточно дан­ных для последующего проникновения в информационную систему.

Продолжая перечисление различных способов классификации угроз информационной безопасности, необходимо упомянуть сле­дующие:

• по степени зависимости от активности атакуемой информаци­онной системы: независящие от нее и проявляющиеся в про­цессе работы системы;

• по степени воздействия на систему: пассивные, ничего не меня­ющие в системе, и активные, изменяющие ее структуру и содер­жание;

• по этапам доступа к информации: на этапе доступа пользовате­ля к ресурсам или после получения доступа к ним;

• по способу доступа к ресурсам информационной системы: пря­мой стандартный путь доступа и скрытый, нестандартный;

• по месту расположения информации в системе: доступ к внеш­ним запоминающим устройствам, доступ к оперативной памя­ти, доступ к линиям связи, доступ к информации, отобража­емой на экране монитора или на принтере, и т.д.

Этот список можно продолжать. Более детальную информацию можно легко найти в пособиях по информационной безопасности.

На практике чаще всего атаки носят смешанный характер. При этом используется вся доступная злоумышленникам информация, как полученная непосредственно от внутренних источников, так и в результате удаленного изучения атакуемой системы.

Специалисты уделяют такое большое внимание классификации угроз, поскольку эффективная защита строится как защита от типов

угроз, а не от их конкретных реализаций, число которых растет с катастрофической быстротой. При этом новые классы угроз возни­кают сравнительно редко.

Правильно построенная защита должна носить комплексный ха­рактер. Например, заражение компьютерным вирусом или троянской программой может быть достигнуто разными способами. Можно уда­ленно взломать компьютер и активировать на нем вирус. Можно зара­зить вирусом дискету, CD-диск или любое другое съемное запоминаю­щее устройство и, подойдя к компьютеру, заразить его, обратившись к зараженному носителю. Можно послать работающему за ним сотруд­нику письмо «соблазнительного» содержания, открыв которое, он сам активирует вредоносную программу или посетит зараженный сайт. Все эти действия приведут к одному и тому же результату — удачной атаке на систему. Предотвратить это можно, создав многоуровневую ком­плексную защиту не только от компьютерных вирусов и троянских программ, но и от способов их «доставки» на атакуемую систему.

Международное интернет-сообщество серьезно обеспокоено обеспечением безопасности веб-серверов, в настоящее время пред­лагающих пользователям все возрастающее количество различных сервисов в сети Интернет. Международная группа Web Application Security Consortium (www.webappsec.org), состоящая из экспертов и специалистов, обладающих большим опытом практической работы, ставит своей целью внедрение в практику лучших методов обеспече­ния безопасности веб-приложений. Они разработали детальную классификацию угроз безопасности веб-серверов, основной целью которой является выработка единого языка, так необходимого раз­работчикам приложений, специалистам в области безопасности, производителям программных продуктов и аудиторам для взаимо­действия. Детальная классификация и подробное описание угроз безопасности позволяют понять риски, связанные с возможными атаками на веб-приложения, предотвратить возникновение уязви-мостей на этапе разработки программных продуктов. Она может служить руководством для оценки правильности и полноты учета угроз при проектировании, разработке и проверке безопасности сай­тов, а также при выборе решений для защиты веб-приложений.

В основу этой классификации положены основные направления и объекты атак на веб-приложения. Ими являются:

1. Аутентификации пользователей.

2. Авторизация пользователей в системе.

3. Клиенты веб-приложений.

4. Несанкционированное выполнение кода.

5. Разглашение информации.

6. Логические атаки на сервисы.

Подробное описание перечисленных атак будет дано ниже.

Литература к главе

1. Доктрина информационной безопасности Российской Федера­ции. Утверждена Президентом Российской Федерации 9 сентяб­ря 2000 г. № Пр-1895.

2. Закон Российской Федерации от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите инфор­мации».

3. Федеральный закон от 10 января 2002 г. № 1-ФЗ «Об электрон­ной цифровой подписи».

ВНУТРЕННЯЯ И ВНЕШНЯЯ БЕЗОПАСНОСТЬ

Основное внимание будет уделено угрозам, в основе ко­торых лежит использование компьютерных сетей, применяющих протокол TCP/IP. При этом деление на внутреннюю и внешнюю безопасность позволяет выделить угрозы, исходящие изнутри ин­формационной системы и внешние по отношению к ней. Наличие в любой современной информационной системе компьютерной сети, как правило, построенной на основе TCP/IP протокола и использу­ющей веб-технологии, и внутренних систем защиты обусловливает возможность применения интернет-технологий при реализации как внутренних, так и внешних угроз.

Все процессы и объекты системы могут подвергаться атакам. По­этому для построения эффективной защиты необходимо понимание того, как происходит обработка информации в системе. Рассмотрим кратко жизненный цикл информации. Она либо попадает в систему извне в виде информационного потока, пришедшего из других ин­формационных систем, либо создается внутри самой системы поль­зователями или программами. Она может существовать в виде раз­нообразных документов, баз данных и файлов различной природы. Переходя от одной части системы к другой, исходная информация изменяет форму представления, порождает новые информационные потоки, возможно, выходящие за пределы системы. Потеряв акту­альность, она перестает существовать. Таким образом, угрозы ин­формационной безопасности могут быть направлены на процессы хранения, обработки и передачи информации. Иногда эти процессы сложно разделить, поскольку обработка подразумевает хранение промежуточных результатов и временных файлов, которые также могут являться целью атаки.

При работе с информацией происходит обмен данными как меж­ду составляющими систему частями, так и с другими информацион­ными системами, включенными в бизнес-процесс. Внутренний и внешний обмен информацией может существенно различаться по используемой среде и протоколам передачи данных. Но все эти про­цессы должны быть включены в рассмотрение наряду с процессами обработки и хранения информации, а среду передачи информации нужно изучать как полноценную информационную систему со сво­ими свойствами и уязвимостями. В хорошо защищенной системе тщательно защищенные компьютеры обмениваются данными по хорошо защищенным каналам связи. Нельзя упускать из виду воз­можные ответвления информационных потоков и не очевидные с первого взгляда места, где информация может проявляться в виде распечаток и копий на дискетах и других носителях.

Подавляющее большинство существующих ныне локальных и глобальных компьютерных сетей используют для передачи инфор­мации стек протоколов TCP/IP, а повсеместное распространение оптоволоконных линий связи сделало возможным построение боль­ших сетей масштаба города на основе технологии Ethernet, изначаль­но предназначенной для создания локальных сетей. Использование интернет-технологий для построения внутренней сети предприятия позволяет применять одни и те же инструменты как для доступа к внутренним сервисам, так и для работы в сети Интернет. За такими сетями закрепилось название Интранета. Естественно, общность используемых технологий приводит к возможности реализации од­них и тех же угроз информационной безопасности как во внутренней сети предприятия, так и в Интернете. К сожалению, создатели про­токола TCP/IP не предполагали столь широкого его распространения и не уделили должного внимания вопросам безопасности передава­емой по сети информации. Повсеместное внедрение интернет-тех­нологий привело к необходимости разработки надежных средств защиты информации, совместимых с протоколом TCP/IP. Такие средства были созданы на основе современных криптографических алгоритмов. Примером могут служить известные протоколы IPSec, ISAKMP, IKE, SSL и др.

Существует большое количество различных сетевых протоколов, реализующих сложный процесс сетевого обмена данными. Теорети­ческое описание различных стадий этого процесса дает модель взаи­модействия открытых систем (OSI). Модель выделяет семь уровней обработки информации (рис. 26.1). В передающей системе инфор­мация проходит сверху вниз от уровня Приложения до Физического уровня, а в принимающей — снизу вверх.

В случае передачи данных предназначенная для отправки ин­формация обрабатывается последовательно программными моду­лями, реализующими функции соответствующих уровней. При этом она разбивается на сетевые пакеты, которые по мере продви­жения вниз, на нижние уровни, «обрастают» данными, необходи­мыми для успешной пересылки по сети: адресами, контрольными суммами и т.д. Попав в пункт назначения, пакеты претерпевают обратную трансформацию, проходя по всем уровням снизу вверх, и на уровне Приложения вновь собираются в приемлемую для пользователя форму. Из-за симметрии процесса на одноименных уровнях в отправившей информацию системе и принимающей сис­теме пакеты имеют один и тот же вид, так что создается впечатле­ние прямого обмена данными между этими уровнями, что схема­тично показано на рис. 26.1.

Такая архитектура взаимодействия сетевых устройств позволяет независимо вносить изменения в программы, реализующие прото­колы соответствующих уровней, не затрагивая остальные. Необхо­димо отметить, что в полном объеме модель OSI не реализована ни в одном из существующих сетевых протоколов.

Защита информации и целостности данных в приложениях обес­печивается на верхних уровнях — приложения и представления. За надежность доставки отвечает транспортный уровень. На сетевом уровне можно скрыть внутреннюю сетевую структуру информаци­онной системы. На канальном уровне можно защититься от угроз, связанных с несанкционированным использованием широковеща­тельных сообщений. Защита от использования побочных излучений аппаратуры и физического внедрения в сеть связана с физическим уровнем. Все эти соображения необходимо учитывать при создании модели безопасности системы.

Одним из основных объектов атак на информационные системы являются потоки информации, связывающие отдельные части сис­темы друг с другом и систему с внешним миром. По способу воздей­ствия на передаваемую информацию атаки на потоки данных обыч­но делят на пассивные, целью которых является прослушивание или копирование сетевого трафика, и активные, направленные на изменение или полную подмену данных. Последние включают в себя блокировку данных путем физического отсоединения системы от сети или переполнения сети посторонними пакетами.

Построение надежной защиты внутрисистемного трафика бази­руется на модели информационных потоков предприятия. Создание такой модели — сложная задача, поскольку для этого не существует универсальных инструментов, способных учесть специфику бизнес-процессов и отвечающих им информационных потоков. Ошибки в модели могут впоследствии привести к образованию уязвимостей в системе информационной безопасности, созданной на ее основе. Поэтому обязательным шагом является тщательная проверка модели информационных потоков, требующая скрупулезного анализа тех­нической документации к системам и конфигураций работающих компьютеров, сетеобразующего и другого оборудования. Эта работа сравнима по объему с созданием самой модели.

Компьютерная сеть современной компании может иметь слож­ную структуру и большую протяженность. В транснациональных корпорациях сети достигают планетарного размера и порой охваты­вают несколько континентов. Такие системы, как правило, состоят из сегментов, которые с помощью программных или аппаратных шлюзов (или межсетевых экранов) и промежуточного сетеобразую­щего оборудования соединены между собой. В этом случае внутри­системный трафик можно разделить на два типа, имеющих разную природу. При так называемой внутрисегментной пересылке данные передаются от компьютера-источника к компьютеру-получателю через сетеобразующее оборудование, в пределах данного сегмента, ограниченного шлюзом или межсетевым экраном.

Если трафик выходит за пределы данного сегмента, он называет­ся межсегментным. Как правило, в этом случае сетевые пакеты идут от компьютера-отправителя через шлюз его сети и промежуточное сетеобразующее оборудование к шлюзу системы-получателя и толь­ко потом достигают адресата.

Нормальная работа современного предприятия невозможна без передачи информации между партнерами по бизнесу, поставщиками и клиентами и т.п. Широкое распространение получили средства удаленного управления банковскими счетами и осуществления электронных платежей, различные веб-сервисы для обмена инфор­мацией и размещения заказов у партнеров. В связи с этим необходи­мо очень серьезно подходить к обеспечению безопасности межсис­темной передачи информации. Это легко сделать, если обе системы используют в своей работе одинаковые протоколы безопасности или разработчики имеют детальную информацию об используемых сред­ствах обеспечения защиты обеих систем. Если же механизмы обес­печения безопасности хотя бы одной из систем неизвестны разработчикам, задача становится очень сложной. Возможно, в этом слу­чае придется пожертвовать некоторыми аспектами безопасности или использовать альтернативные способы защиты данных.

Естественно, злоумышленники используют различные методы для атак на трафик разных типов.

Прежде чем рассматривать специфические атаки на веб-службы, рассмотрим общие для всех сетевых приложений способы реализа­ции угроз безопасности. Как указывалось выше, атака на сеть и ра­ботающие в ней сервисы может быть осуществлена на любом уровне модели OSI. Существенные различия между приложениями с точки зрения передачи данных по сети возникают только на уровнях При­ложения и Представления семиуровневой модели. Способы атаки на более низких уровнях практически полностью зависят от деталей организации взаимодействия сетевых устройств, а не от специфики работающих приложений. Поэтому все они присутствуют в класси­фикации угроз веб-приложениям, разработанной международной группой Web Application Security Consortium.

Межсегментный трафик легче всего перехватить, подключив про­слушивающее устройство там, где есть гарантированная возможность копирования данных. Для этой цели более всего подходят: выход сегмента, где расположен компьютер — источник данных, вход сег­мента, в котором расположен компьютер — адресат и промежуточное сетеобразующее оборудование, если есть уверенность, что именно оно будет участвовать в передаче данных.

Лучшей точкой для подключения с целью перехвата внутрисег­ментного трафика служит оборудование, формирующее данный сег­мент сети.

С точки зрения логической топологии наиболее распространен­ные в настоящее время компьютерные сети, сети типа Ethernet, пред­ставляет собой шину, к которой подключены все компьютеры сети. Таким образом, все устройства сегмента получают все пакеты, про­ходящие по сети. Адресация осуществляется при помощи так назы­ваемого MAC (Media Acces Со/^/-о/)-адреса, физического адреса сете­вого адаптера, присваиваемого ему фирмой-производителем при изготовлении. М4С-адрес содержит информацию о фирме-произво­дителе и номере устройства и является уникальным идентификато­ром сетевого адаптера. При получении пакета данных сетевой адап­тер сравнивает содержащийся в нем М4С-адрес адресата со своим. При совпадении пакет принимается для дальнейшей обработки. В противном случае пакет отбрасывается. Такой режим работы уста­навливается для сетевого адаптера по умолчанию.

Физически эта схема реализуется при помощи двух типов сетеоб­разующего оборудования: коммутаторов и концентраторов. При этом физическая топология сети будет отличаться от ее логической топологии. Указанные приборы реализуют физическую топологию типа «звезда», при которой все сетевые устройства напрямую подключены к сетеобразующему устройству. Концентратор имеет несколько пор­тов для подключения сетевых устройств (компьютеров и сетеобразующего оборудования). Каждый входящий в любой порт пакет копи­руется во все остальные порты.

В отличие от концентратора коммутатор обладает более развитым «интеллектом». После подключения компьютера к одному из его портов коммутатор заносит в таблицу номер порта и М4С-адрес под­ключенного к нему устройства. Теперь он может направлять сетевые пакеты сразу в тот порт, к которому подключено устройство, МАС-адрес которого указан в качестве конечного пункта сетевого пакета. Если М4С-адрес получателя не значится в таблице соответствия, коммутатор работает как концентратор, копируя пакет во все порты. Переход от использования концентраторов к построению сетей на основе коммутаторов позволяет существенно снизить нагрузку на сеть и повысить ее быстродействие.

Изменив настройки, сетевой адаптер можно перевести в режим прослушивания сети, в котором он принимает все приходящие сете­вые пакеты, которые затем можно проанализировать при помощи специальной программы — сниффера. Такая технология прослуши­вания очень хорошо работает в сетях Ethernet, построенных из кон­центраторов.

Большая часть современных сетей Ethernet построена на основе сетевых коммутаторов. В этом случае описанное выше прослушива­ние сети на первый взгляд кажется невозможным. Однако уровень «интеллекта» коммутаторов ограничен размером их памяти и зало­женными в них алгоритмами работы. При переполнении внутренних таблиц, хранящих номера портов и соответствующие им М4С-адреса, коммутатор, чтобы не блокировать работу сети, временно начинает работать в режиме концентратора, копируя приходящие пакеты во все порты. В это время можно прослушивать сетевой трафик. Такую ситуацию можно создать искусственно, периодически устраивая «М4С-шторм» при помощи генератора сетевых пакетов со случайны­ми MAC адресами в поле адреса компьютера-отправителя.

Сложная топология больших сетей, построенных на коммутато­рах, дает в руки злоумышленников новые возможности получения доступа к сетевому трафику. В таких сетях для предотвращения за­цикливания пакетов используют специальный протокол — Spanning Tree Protocol (STP). Он служит для логического отключения некото­рых из портов формирующих сеть коммутаторов, что позволяет ра­зорвать сетевые «петли». Его особенностью является возможность переключения коммутатора в режим концентратора при помощи служебных команд. Таким образом, можно анализировать сетевой

трафик, периодически посылая коммутаторам сфальсифицирован­ные служебные STP- пакеты.

Такое пассивное прослушивание атакуемой сети дает богатый ма­териал для анализа на всех уровнях модели OSI. В первую очередь — это информация об адресном пространстве, структуре сети, исполь­зуемых типах сетевого оборудования и работающих в ней сетевых сервисах, некоторые из которых передают всю информацию, вклю­чая идентификационные данные пользователей, в открытом виде. Анализ сетевого трафика даже при использовании в сети криптогра­фических средств дает информацию о корреляциях между различ­ными компонентами трафика и другие статистические характерис­тики. Все эти данные могут быть использованы при разработке пла­нов новых атак.

Рассмотрим несколько типичных активных атак на потоки дан­ных на нижних уровнях модели OSI, работающих независимо от ис­пользуемых в сети сервисов.

Атака повтором заключается в повторной отправке перехваченно­го злоумышленником запроса на выполнение каких-либо действий в системе. При этом запрос не видоизменяется, а просто еще раз (а возможно, и не один) отправляется адресату. Целью такой атаки является повторное выполнение запросов авторизованного пользо­вателя системы, выгодных злоумышленнику. Это может быть пере­числение денег на его счет, запуск процессов, требующих значитель­ных вычислительных или других ресурсов, для достижения перегруз­ки системы или многократный запрос платных услуг от имени хозяина системы и т.д. Существует множество запросов, повторное выполнение которых может принести пользу атакующему и нанести ущерб остальным.

Атака типа «Man-in-the-middle» (посредник) заключается в том, что злоумышленник получает контроль над шлюзом, расположен­ным между системами, обменивающимися информацией (например, между клиентом и сервером), и становится посредником между ними. При этом оба корреспондента уверены в том, что общаются друг с другом напрямую. Такая ситуация становится возможной, ко­гда криптографические ключи при инициации процесса обмена со­общениями отправляются адресату без доверенного контроля пути следования. Контролируя шлюз, злоумышленник имеет возможность перехватить отправленные одному из корреспондентов криптогра­фические ключи и в дальнейшем отвечать от его имени системе, инициировавшей сеанс связи. При этом он отправляет второй сис­теме свои криптографические ключи и в дальнейшем поддерживает два сеанса связи — по одному с каждым из корреспондентов. Он получает сообщения от одного из них, расшифровывает и перекоди­рует их, имея возможность вносить изменения, и отправляет адреса-

ту от имени отправителя. Аналогичную обработку проходят сообще­ния, посылаемые в обратном направлении.

Атака путем перехвата сессии позволяет получить доступ к данным на одном из компьютеров системы (например, на одном из серверов) даже в том случае, когда для этого требуется авторизация пользова­теля. Для ее организации используются особенности протокола TCP, отвечающего в стеке протоколов TCP/'IP'за гарантированную достав­ку сообщений. Это один из протоколов, ориентированных на соеди­нение. Прежде чем начать передачу данных, устанавливается соеди­нение с сервером, которое может включать предварительную идентификацию и аутентификацию хоста — клиента. Если злоумыш­ленник умеет произвольно менять адрес отправителя в посылаемых в сеть пакетах, он может организовать перехват сессии между одним из компьютеров-клиентов и сервером. Для этого ему необходимо подключиться к сегменту сети, в котором находятся клиент и сервер. Прослушивая сеть, можно получить информацию о начале сеанса связи между клиентом и сервером. После ее начала отправляемые пакеты маркируются последовательными номерами, значения кото­рых увеличиваются на величину, равную количеству байтов инфор­мации в пакете. Начальный номер генерируется генератором случай­ных чисел. К сожалению, программные генераторы случайных чисел генерируют не настоящие, а так называемые псевдослучайные числа, последовательность которых всегда повторяется, но их распределе­ние на интервале от 0 до 1 очень близко к равномерному. Зная все это, злоумышленник может после удачной идентификации клиента послать ему от имени сервера сообщение о конце сессии или блоки­ровать его работу любым другим способом (например, с помощью атаки «отказ в обслуживании»). Получив изданных прослушивания трафика информацию о параметрах сессии, он может продолжать работать с сервером от имени уже прошедшего идентификацию кли­ента, посылая серверу следующие по очереди пакеты.

В сложных сетях с динамической маршрутизацией можно изме­нить направление следования пакетов путем атаки на маршрутизатор. Путем фальсификации служебных пакетов протокола маршрутиза­ции злоумышленник может изменить штатные маршруты следова­ния информации таким образом, чтобы иметь возможность ее копи­рования или изменения.

Рассмотренные выше схемы атак на потоки данных могут приме­няться как при внутрисистемной, так и межсистемной передаче ин­формации.

Удаленные атаки можно разделить на внутрисегментные и меж­сегментные в зависимости от взаимного расположения источника атаки и атакуемого объекта. Внутрисегментные атаки проще по ис­полнению, однако в этом случае службе информационной безопасности легче принять меры по локализации и устранению источника угрозы. В случае межсегментных атак обнаружить источник опасно­сти и воздействовать на него гораздо сложнее, поскольку он может находиться за тысячи километров от атакуемой системы, в другой стране.

Простейший сценарий удаленной атаки состоит в том, что зло­умышленник готовит программный модуль, способный распростра­няться по сети, не имея в виду никакой конкретной цели атаки. Данный модуль, внедрившись на компьютер случайной жертвы, вы­полняет действия, для которых он предназначен, и, возможно, сооб­щает создателю о результатах своей работы. Так распространяются компьютерные вирусы и троянские программы. В настоящее время происходит некоторое смещение акцентов в деятельности авторов подобных программ. Все чаще и чаще целью злоумышленников ста­новится поиск на компьютере жертвы информации, использование которой могло бы принести вполне материальную выгоду: конфи­денциальной информации о хозяине компьютера, пригодной для шантажа, номеров кредитных карт, информации о банковском счете и т.д. Например, такой вирус может зашифровать часть жесткого дис­ка компьютера-жертвы и потребовать плату за его расшифровку.

Если объект атаки определен заранее, возможны несколько вари­антов развития событий в зависимости от степени самоуверенности и богатства арсенала злоумышленника. На практике они могут пе­ретекать друг в друга. Различия основаны на степени подготовлен­ности к атаке. В простейшем случае злоумышленник последова­тельно применяет все имеющиеся в его распоряжении средства, направленные на использование определенных уязвимостей в опе­рационной системе, в надежде, что какое-нибудь из них сработает.

Более обстоятельный подход предполагает предварительный сбор сведений об атакуемой системе. Прежде всего необходимо опреде­лить сетевой адрес компьютера-жертвы. Для этого можно использо­вать и вполне открытые источники. Например, службу WHOIS, ко­торая может дать информацию о владельце доменного имени, со­трудниках, отвечающих за работу службы доменных имен, месте расположения фирмы, адресах .ОЛФ-серверов и т.д. Дальнейшую ин­формацию можно получить от самого A/WT-cepeepa, в базе данных которого могут быть зафиксированы основные сетевые сервисы (веб­серверы, серверы электронной почты и т.п.). При удачном стечении обстоятельств возможно и получение более детальной информации. Следующим шагом будет получение информации о работающих в системе сетевых сервисах. Для этого существует большое количество программ, доступных через сеть Интернет. Самые простые из них (сканеры портов) последовательно посылают запросы всем возмож­ным сервисам по данному сетевому адресу и фиксируют в журнале положительные ответы исследуемой системы. Далее необходимо лишь определить, в какой из работающих на компьютере-жертве служб существует уязвимость, позволяющая получить над ним конт­роль. Очень ценной может быть и информация об установленной на атакуемой машине операционной системе, поскольку входящие в нее службы также обладают уязвимостями и могут быть использова­ны для взлома системы. Например, различные операционные сис­темы по-разному реагируют на некорректные сетевые пакеты, при­ходящие в их адрес. Анализируя ответ системы на получение таких пакетов, можно определить, под управлением какой операционной системы работает атакуемый компьютер.

Существуют сложные программные комплексы, способные са­мостоятельно не только определить, какие службы работают на ком­пьютере-жертве, но и обнаружить неустраненные уязвимости, про­вести на них атаку до ее полного успешного завершения.

Сообщения об обнаруженных уязвимостях сервисов и операци­онных систем регулярно публикуются на сайтах уполномоченных организаций. Компании — производители программного обеспече­ния регулярно выпускают обновления и «заплатки» для своих про­граммных продуктов.

Перейдем к описанию наиболее известных классов удаленных атак.

Компьютерные вирусы. Компьютерные вирусы и троянские про­граммы имеют много общих свойств, поэтому имеет смысл рассмот­реть их совместно. Компьютерные вирусы — это специальные вре­доносные программы, которые могут внедряться в некоторые файлы на компьютере и выполнять на нем нежелательные для пользователя действия. В отличие от вируса троянская программа имеет своей ос­новной целью взаимодействие со своим создателем. Она отправляет ему информацию о компьютере-жертве и его пользователях или пре­доставляет ему доступ к зараженной машине. Следует отметить, что в настоящее время не существует четких границ между этими поня­тиями. Троянские программы могут также выполнять деструктивные действия, а вирусы докладывать своему автору о результатах работы.

Как правило, внедрение таких программ в систему требует неко­торых действий пользователя. Атаки, совершенно не требующие участия пользователя, возможны, но они очень сложны и встреча­ются редко. Основными причинами заражения компьютеров виру­сами являются:

1. Ошибки в работе сервисов.

2. Несвоевременное обновление программного обеспечения.

3. Ошибки в конфигурации системы.

4. Установка пользователем постороннего программного обеспе­чения.

Часто злоумышленник имеет своей целью не получение контроля над атакуемой системой, а нарушение ее функционирования. При­мером такой атаки на доступность информации может служить ата­ка типа «отказ в обслуживании».

Атака «отказ в обслуживании». Сформулированная выше цель та­кой атаки может быть достигнута различными путями. В процессе получения запроса от клиента, его обработке и отправке ответа за­действовано большое количество систем: сетеобразующее оборудо­вание и линии связи, компьютер, работающий под управлением той или иной операционной системы, запущенные на нем сервисы, ожи­дающие запросов от клиентов по сети. Атаке может подвергнуться любая из них. Удаленные атаки этого типа чаще всего направлены на:

• создание аномально большого сетевого трафика, превышающе­го пропускную способность сети, в том сегменте, к которому подключен атакуемый сервер;

• обеспечение аномально большой загрузки процессора атакуе­мого сервера путем предоставления ему большого числа вычис­лительных заданий;

• установку такого большого числа сетевых соединений с атаку­емым сервером, чтобы занять все открытые порты и все допус­тимые для каждого из них соединения;

• создание условий для перерасхода системных ресурсов, напри­мер, путем генерации огромного количества данных, которые необходимо сохранять в памяти сервера. При этом совершенно неважно, какой из работающих на компьютере сервисов создает эти данные. Недоступной становится вся система.

Добиться указанных выше целей можно двумя способами: либо сформировав специальный, не всегда правильный запрос к серверу, либо отправив в его адрес большое количество совершенно правиль­ных запросов, для обработки которых необходимы мощности, пре­вышающие возможности системы или каналов связи.

Первый способ требует хорошего знания деталей работы сетевых сервисов. Это предъявляет высокие требования к квалификации зло­умышленника, создающего фактически новый вариант атаки на сер­вис. Такая атака неотразима в силу своей неожиданности, но рабо­тает этот метод считанное число раз, пока фирма — производитель программного обеспечения не выпустит соответствующее обновле­ние для атакуемого сервиса.

Второй способ проще в исполнении. Например, пользователи иногда неумышленно организуют такую атаку на почтовый сервер своих корреспондентов, посылая им электронное письмо очень большого объема. Эта атака даже имеет свое название «mailbomb». Спамовые рассылки по электронной почте тоже можно отнести к категории таких атак. Однако по-настоящему неотразимыми эти ата ки стали после появления атак «распределенный отказ в обслужива­нии».

Распределенный отказ в обслуживании. Если трафик в направле­нии атакуемого сервера создается одним компьютером, от такой ата­ки сравнительно легко защититься, запретив системе обрабатывать запросы, идущие с данного сетевого адреса. Атакуемая фирма может даже договориться со своим интернет-провайдером о соответству­ющей фильтрации такого трафика. Поскольку для достижения по­ставленной злоумышленником цели совершенно безразлично, отку­да приходит лавина пакетов, блокирующих сервер, возникла идея использовать для генерации зловредного трафика компьютеры ни­чего не подозревающих пользователей сети Интернет по всему миру.

Такая атака проходит в два этапа. На первом, подготовительном, этапе злоумышленник заражает специальной троянской программой как можно больше компьютеров в сети Интернет, используя для это­го любые доступные ему способы. Единственное, что умеет делать эта программа, — это в заранее установленное время или по команде злоумышленника посылать поток запросов на атакуемый сервер. Та­кие компьютеры называют зомби-системами. С начала генерации запросов начинается второй этап — собственно атака.

С точки зрения атакуемого, все приходящие на сервер запросы вполне корректны и посланы большим количеством разных клиен­тов. Просто их очень много, и система не в состоянии все их обрабо­тать. Мощь такой атаки неизмеримо выше, чем в случае примитив­ной реализации, поскольку теоретически можно создать очень боль­шое число зомби-систем, что многократно увеличивает создаваемый трафик.

Атаки типа «маскировка». В этот класс атак включают все удален­ные атаки, в ходе проведения которых злоумышленник выдает себя не за того, кем он является на самом деле. Спектр таких атак доволь­но широк и простирается от атак, связанных с овладением учетными данными авторизованного пользователя системы, до манипуляций с таблицами адресов системы доменных имен и различных протоко­лов стека TCP/IP.

В случае, если в системе идентификация и аутентификация про­изводятся только на основе сетевого адреса, злоумышленник при помощи генератора сетевых пакетов имеет возможность получить к ней доступ с самыми широкими правами, вплоть до администратор­ских.

Получив доступ к серверу доменных имен, злоумышленник мо­жет изменить его базу данных таким образом, чтобы все запросы, посылаемые, например, на веб-сервер атакуемой компании, попа­дали на его собственный сервер. Дальнейшие действия ограничива­ются только его фантазией и теми целями, которые он ставит перед собой. Например, имитация приглашения ввода учетных данных позволит ему собирать идентификаторы и пароли пользователей сис­темы, чтобы в дальнейшем использовать их для доступа к ее ресур­сам.

Подмена самого сервера доменных имен на заранее подготовлен­ный злоумышленником также вызовет перенаправление запросов пользователей системы в нужное ему место. Для этого необходимо лишь в нужный момент ответить на запрос клиента от имени DNS-сервера. Если компьютеры системы получают сетевые адреса авто­матически от DHCP-сервера, то, получив к нему доступ, можно со­ответствующим образом изменить информацию об адресах различ­ных сетевых служб, передаваемую этим сервером своим клиентам. Это приведет к перенаправлению запросов на созданные злоумыш­ленником ложные серверы.

В широко распространенных сетях Ethernet для правильной адре­сации на канальном уровне модели OSI необходимо знать физичес­кий адрес своего корреспондента. Для его определения по сетевому адресу служит протокол ARP (Address Resolution Protocol). В принципе его также можно использовать для перенаправления запросов поль­зователей и ответов серверов на ложные адреса.

Рассмотрим типичные способы реализации угрозы нарушения конфиденциальности, т.е. получения несанкционированного досту­па к информации. Можно выделить следующие виды несанкциони­рованного доступа:

• доступ к носителям информации;

• локальный доступ к отдельным персональным компьютерам;

• локальный доступ к ресурсам сети;

• удаленный доступ к отдельным компьютерам или ресурсам сети.

Первые два вида не имеют отношения к интернет-технологиям и упомянуты исключительно для общности. Рассмотрим два последних случая.

Для получения доступа к ресурсам системы злоумышленники ис­пользуют любые способы. При этом объектом атаки не всегда явля­ются программно-технические средства. Пользователи и админи­страторы системы также могут подвергнуться воздействию.

Социальная инженерия. Атаки этого типа не связаны напрямую с подробностями технической реализации информационной системы. Основной инструмент таких атак — воздействие на персонал и поль­зователей системы с целью получения разного рода информации на основе психологических методов с использованием таких человече­ских качеств, как необоснованное доверие к ненадежно идентифи­цированному человеку, лень, невнимательность и другие слабости. Это не что иное, как использование так называемого человеческого фактора. В этих случаях действенной защитой могут служить только административные меры, предусматривающие строгие (например, материальные) наказания вне зависимости от последствий с опове­щением об этом всех сотрудников предприятия.

Применение интернет-технологий позволяет использовать методы социальной инженерии для атак как на информационные системы в целом, так и на отдельных людей. Ежедневно тысячи владельцев элект­ронных почтовых ящиков во всем мире получают письма якобы от своих знакомых с «интересными» предложениями посмотреть вложен­ную в письмо фотографию или перейти по указанной в письме ссылке на «замечательный» сайт. Попытка последовать совету, возможно, даже даст обещанный результат, но прежде сработает программный модуль, который заразит компьютер доверчивого пользователя троянской про­граммой, предназначенной для сбора информации о пользователе и его компьютере и отправки ее через Интернет хозяину. При этом спектр деструктивных действий может быть гораздо шире.

Клиенты известных банков получают электронные письма якобы от банка с просьбой пройти перерегистрацию (подтвердить получе­ние некоторой суммы на счет, проверить работу системы управления счетом и т.п.) на специальной странице банка в Интернете, ссылка на которую приводится в письме. Как правило, адрес и даже дизайн страницы очень похожи на настоящие. Последовав предложению авторизоваться для входа в систему, пользователь сообщит злоумыш­ленникам свою идентификационную информацию для доступа к банковскому счету через Интернет.

Можно привести множество примеров такого рода. Во всех случа­ях жертве предлагается очень важная причина для перехода по указан­ному в письме адресу. Например, срочно необходимо обновить базу данных антивирусной программы из-за эпидемии страшного компью­терного вируса или срочно проверить правильность своих данных.

Особенностью таких атак является абсолютная добровольность (вольная или невольная), с которой пользователь делится со зло­умышленником конфиденциальной информацией, необходимой для входа в систему. Бороться с такими атаками очень сложно, поскольку они используют самые разные слабости людей и могут быть нацеле­ны на особенности характера и спонтанные реакции конкретного сотрудника предприятия.

Те же результаты могут быть получены и с помощью рассмотрен­ных выше атак на потоки данных, если злоумышленнику удастся отклонить запрос клиента с правильного пути и направить его на подставной сервер.

Одним из средств противодействия угрозам нарушения конфи­денциальности является использование средств идентификации и аутентификации пользователей.

Идентификация пользователя представляет собой сравнение предъявляемого пользователем идентификатора с имеющимися в базе ранее выданных системой.

Аутентификация — проверка принадлежности предъявленного пользователем идентификатора именно этому пользователю. Это проверка подлинности пользователя.

Очень часто используется понятие учетной записи, представляю­щее собой объединение идентификатора и пароля пользователя.

Выполнение пользователем каких-либо действий в защищенной таким способом системе возможно только после удачного прохож­дения им процедур идентификации и аутентификации. При этом система может затребовать у пользователя:

• индивидуальный объект заданного типа (удостоверение, про­пуск, магнитную карту и т.д.), называемый токеном;

• биометрические характеристики (голосовые характеристики, отпечатки пальцев, рисунок сетчатки глаза и т.д.);

• знание некоторой информации (пароль).

Различают прямую аутентификацию и аутентификацию с участи­ем третьей стороны. В первом случае в процессе участвуют только две стороны: пользователь и система, ресурсами которой он хочет воспользоваться. Второй вариант подразумевает участие третьей до­веренной стороны. В случае автоматизированной информационной системы в этом качестве может выступать сервер аутентификации.

Остановимся подробно на аутентификации при помощи пароля, поскольку аутентификация при помощи токенов и биометрических характеристик применяется в основном при локальном доступе в систему. Большинство интернет-сервисов используют парольные системы.

Пароль представляет собой известную только данному пользова­телю последовательность символов. Способы проверки правильно­сти пароля могут быть различными:

• по хранимой в системе копии пароля или его свертке;

• по некоторому проверочному значению;

• без передачи информации о пароле проверяющей стороне, так называемое доказательство с нулевым разглашением. Эти мето­ды появились в середине 1980-х — начале 1990-х гг. Основная идея метода состоит в том, что существует возможность доказа­тельства знания правильного пароля без его передачи. После нескольких циклов информационного обмена проверяющая сторона с заданной вероятностью делает вывод о том, что поль­зователю пароль известен.

Особое внимание разработчики программного обеспечения уде­ляют способам хранения паролей. Наиболее часто используются следующие:

• в отрытом виде;

• в виде свертки;

• в зашифрованном виде.

Способ хранения паролей в системе изменить невозможно, по­этому необходимо очень тщательно проследить все ответвления информационных потоков, связанные с содержащими пароли фай­лами или базами данных. Во многих системах для обеспечения отка­зоустойчивости создается резервная копия этих данных. Если злоумышленник сможет получить в свое распоряжение файл с паро­лями или его копию, у него будет достаточно времени, чтобы попро­бовать его проанализировать и получить дополнительную информа­цию, которую можно использовать при взломе системы.

Одним из самых распространенных в настоящее время является протокол http, служащий основой для создания веб-сайтов. Современ­ные его модификации позволяют создавать сложные системы, вклю­чающие различные сервисы. Для подключения к такому сервису не нужны клиентские программы, достаточно использовать интернет-обозреватель, который сейчас поставляется с любой операционной системой. Широта использования протокола и тот факт, что веб-стра­ница фактически представляет собой программу, исполняемую на клиентском компьютере, естественно, привлекает злоумышленников.

Клиент-серверная технология предполагает обмен запросами и ответами между двумя участниками процесса, клиентом и сервером. В обработке клиентских запросов на веб-сервере участвуют специ­альные программы (скрипты, интерпретаторы и т.д.). Они выполня­ют на серверной стороне задания клиента для придания большей динамичности взаимодействию клиента и сервера. Злоумышленник может попытаться найти возможные уязвимости этих программ. Прежде всего это связано с ошибками разработчиков, которые не всегда обладают достаточным опытом и профессионализмом для создания сложных веб-порталов.

Рассмотрим основные угрозы безопасности веб-серверов в соот­ветствии с перечнем классификаций угроз веб-сервисам.

На первом месте в этой классификации стоят Атаки на средства аутентификации.

Основными типами угроз безопасности в процессе аутентифика­ции являются:

Подбор (Brute Force). В современной форме это автоматизирован­ный процесс проб и ошибок, направленный на определение пра­вильной информации, запрашиваемой системой. Это может быть имя пользователя, пароль, номер кредитной карточки, ключ шиф­рования и т.д.

Применительно к определению параметров учетной записи вы­деляют прямой и обратный подбор. В первом случае известно имя

пользователя, и технология подбора применяется для определения пароля. Во втором — подбором определяется имя пользователя при известном пароле. Применение обратного подбора может быть оправдано в системах с большим количеством учетных записей, где высока вероятность использования одного пароля различными поль­зователями.

Время и ресурсы, необходимые для успешного завершения под­бора, зависят от количества возможных вариантов подбираемой ком­бинации символов, а оно нелинейно зависит от ее длины и числа символов в алфавите, используемом для составления этой комбина­ции. Стремясь уменьшить время подбора, злоумышленники привле­кают дополнительные данные для оптимизации процесса. Чаще всего это достигается за счет использования словарей, содержащих возможные парольные фразы.

Недостаточная аутентификация (Insufficient Authentication). Эта уязвимость возникает, когда разработчики сайтов оставляют для час­ти ресурсов возможность доступа без проверки учетных данных пользователя. Ошибочно считать, что страница будет недоступной, если нигде на сайте не упомянут ее адрес. Методами доступа к таким страницам могут служить перебор типичных файлов и директорий, анализ сообщений об ошибках и журналов перекрестных ссылок. Даже простое чтение документации к приложению может дать зло­умышленнику необходимую информацию. Все ресурсы должны быть защищены адекватно важности их содержимого и функциональных возможностей.

Небезопасное восстановление паролей (Weak Password Recovery Vali­dation). Большая часть веб-сервисов, требующих идентификации пользователей, делает скидку на их забывчивость и предусматривает механизмы восстановления утраченного пароля. В некоторых случа­ях атакующий имеет возможность несанкционированно получать, модифицировать или восстанавливать пароли других пользователей.

Как правило, для восстановления пароля используются механиз­мы альтернативной аутентификации пользователя по ответу на сек­ретный вопрос или его персональным данным (ИНН, адрес, почто­вый индекс и т.п.), вводимым в процессе регистрации на сайте. Воз­можно также использование подсказок, позволяющих пользователю вспомнить забытую информацию. Слабым местом таких алгоритмов является простота подбора или угадывания ответов на вопросы и прозрачность подсказок, которые оставляют для себя пользователи. Нельзя забывать, что при желании персональную информацию прак­тически любого пользователя можно найти в Интернете или име­ющихся в продаже базах данных различных ведомств.

Атаки на клиентов (Client-side Attacks). Современные реализации http протокола включают в себя возможность выполнения на клиент-

ской стороне программного кода, загружаемого с сервера. Потенци­ально это открывает для злоумышленников возможность загрузки и выполнения на клиентском компьютере вредоносных программ. Си­туация осложняется тем, что пользователь не ожидает атаки со сто­роны сайта, доверяет ему. На использовании этого доверия основаны различные способы атак на клиентов сервера. Рассмотрим некоторые из них:

Подмена содержимого {Content Spoofing). Для выполнения этого класса атак злоумышленник должен тем или иным способом спро­воцировать пользователя перейти по специально созданной ссылке. Она может быть доставлена при помощи любого из существующих в сети Интернет способов обмена информацией якобы от надежно­го адресата. Возможно и автоматическое ее открытие в браузере пользователя с использованием межсайтового выполнения сцена­риев.

При подготовке такой ссылки атакующий стремится убедить пользователя, что просматриваемая им страница сгенерирована на­дежным сервером, а не передана из внешнего источника.

При генерации динамических страниц их содержимое может под­гружаться из динамических источников HTML кода, ссылка на ко­торый передается как параметр. Изменив значение этого параметра на адрес страницы со своего сервера, злоумышленник может изме­нить содержимое страницы необходимым ему контентом. При этом пользователь в строке адреса обозревателя увидит знакомый адрес сервера и будет уверен в том, что просматривает данные с безопас­ного сервера, в то время как на странице будет присутствовать внеш­нее содержимое.

Эта атака может использоваться для создания ложных страниц, таких, как формы ввода пароля, пресс-релизы и т.д.

Межсайтовое выполнение сценариев (Cross-site Scripting, XSS). Эта угроза безопасности связана с возможностью передачи злоумышлен­ником веб-серверу исполняемого кода, созданного на одном из язы­ков программирования активного содержимого веб-страниц. Этот код впоследствии будет перенаправлен на компьютер пользователя и исполнен в контексте безопасности сервера. В его распоряжении окажутся все данные, доступные с помощью интернет-обозревателя. При этом для атакующего открываются большие возможности. Он может завладеть идентификационными параметрами пользователя, перенаправить его на другой сервер, осуществив подмену содержи­мого и т.д.

Ссылки на код или сам код может быть передан в адресах, заго­ловках HTTP запросов, значениях полей форм и т.п.

Существует две разновидности атак этого типа. Постоянные от­личаются от непостоянных тем, что при их осуществлении передача

кода серверу и передача его клиенту осуществляются в разных HTTP запросах.

При организации непостоянной атаки необходимо заставить пользователя, как в случае подмены содержимого, перейти по зара­нее подготовленной ссылке. В случае удачи код, внедренный в URL или заголовки запроса, будет передан клиенту и выполнен в его брау­зере.

При постоянной атаке код передается серверу и хранится на нем до тех пор, пока атака не будет реализована. Для этого удобно ис­пользовать форумы, электронную почту с веб-интерфейсом и чаты. Пользователь подвергается атаке, просто зайдя на сайт с внедренным кодом.

Существуют и более изощренные атаки на клиентов веб-серви­сов, основанные на использовании различных уязвимостей, напри­мер, расщепление HTTP запроса и др.

Следующий класс атак направлен на несанкционированное вы­полнение команд или программного кода на веб-сервере.

Веб-сервер обрабатывает приходящие к нему запросы пользова­телей, используя данные из этих запросов для динамической генера­ции страниц, которые он потом возвращает клиентам в качестве от­вета. При этом содержащиеся в запросе данные используются для формирования команд, исполнение которых на сервере позволяет сформировать необходимый ответ. Здесь скрыта возможность моди­фикации команд по желанию злоумышленника. Очень часто специ­ально подобранные запросы приводят к неожиданным для разработ­чиков эффектам: от зависания операционной системы до предостав­ления злоумышленнику возможности выполнения любой программы на сервере.

Вопрос о проверке корректности получаемых сервером данных становится очень важным при разработке программ большим кол­лективом программистов. Ошибки подобного рода возможны при стыковке разработанных различными людьми частей программы.