Мельников Д. А. - Организация и обеспечение безопасности информационно-технологических сетей и систем - 2012
.pdf492 |
Глава 26. Компьютерный шпионаж |
рушению функционирования объекта КШ или обслуживаю щей его инфраструктуры. В результате у объекта КШ или об служивающей его инфраструктуры, если они, конечно, обна ружат «что-то неладное», «должно сложиться впечатление, что произошло нештатное событие, связанное с какой-либо техно логической ошибкой. Фактически, подготовительные актив ные мероприятия позволяют нарушителю протестировать комплекс последующих прямых активных мероприятий и вне сти в него необходимые корректировки и/ или дополнения на основе выявления и определения реакции объекта КШ или об служивающей его инфраструктуры;
впрямые активные мероприятия. Эта группа мероприятий про водится для достижения поставленной нарушителем цели (це лей). К мероприятиям этой группы относятся:
-навязывание объекту КШ или обслуживающей его инфра структуре ложной информации, на основе модификации последней, а также генерации и передачи ложных сообще ний или полей (последовательностей байтов или битов) в сообщении, например, в целях изменения режима функ ционирования (благоприятного для нарушителя) или соз дания условий для возникновения нештатной ситуации;
-несанкционированный доступ к объекту КШ (его компо нентам) или обслуживающей его инфраструктуре (её ком понентам), например, с целью модификации программного обеспечения или записей в базе(ах) данных для последую щего изменения режима функционирования (благоприят ного для нарушителя) или создания условий для возникно вения нештатной ситуации, а также получения дополни тельной информации об объекте КШ или обслуживающей его инфраструктуре;
-внедрение вредоносного ПО в программные компоненты объекта КШ или обслуживающей его инфраструктуры для воздействия на их функциональные процессы и процедуры и/или создания условий для возникновения нештатной си
туации (вплоть до их блокирования и/ или разрушения);
-создание и использование скрытых каналов управления вре доносным ПО в целях его активации и последующего воз действия на функциональные процессы и процедуры объек та КШ или обслуживающей его инфраструктуры и/ или соз дания условий для возникновения в них нештатной ситуа ции (вплоть до их блокирования и/или разрушения);
-захват Су (её компонентов) объекта КШ (его компонентов) или обслуживающей его инфраструктуре (её компонентов), например, с целью изменения режима их функционирова
Раздел IV. |
493 |
ния (благоприятного для нарушителя) или создания усло вий для возникновения в них нештатной ситуации (вплоть до их блокирования и/или разрушения);
-нарушение работоспособности (вывод из строя) объекта КШ (его компонентов) или обслуживающей его инфраструктуры (её компонентов) вследствие прямого или косвенного (на
пример, путём захвата СУ) разрушающего воздействия, на пример, с помощью внедрённого вредоносного ПО.
Комплекс активных мероприятий в интересах решения задач криптоанализа и дешифрования. Все перечисленные ранее активные мероприятия (в совокупности с комплексом пассивных мероприятий) могут применяться только в интересах решения за дач криптоанализа и дешифрования. Однако они не направлены на полное нарушение работоспособности объекта КШ или обслужи вающей его инфраструктуры. Например, активные мероприятия могут иметь целью принуждения объекта КШ или обслуживающей его инфраструктуры к отказу от перехода к новым условиям (режи мам) функционирования, которые могут повлечь за собой смену криптографических алгоритмов, способов и средств, а также и сис темы управления криптоключами.
26.2. Обеспечение максимального уровня маскировки активных мероприятий КШ
По своей значимости этот принцип, пожалуй, является са мым главным принципом современных методов ведения КШ. Даже мероприятия контроля, анализа и перехвата интересующего тра фика никоим образом не должны вызвать какие-либо подозрения со стороны объекта КШ. Другими словами, этот принцип должен «пронизывать» все пассивные и активные мероприятия КШ. И при чина этого очевидна: любое нарушение этого принципа может привести к серьёзным материальным потерям, связанными с преодолением допол нительных мер защиты, которые могут быть приняты объектами КШ, вплоть до полной потери доступности объектов КШ, т.е. к раскрытию и провалу всей операции КШ.
26.3.Понятие способа нападения типа «маскарад»
Вобщем, под атакой типа «маскарад» понимается способ нападе ния на ИТС, при котором нарушитель способен имитировать все не обходимые информационные и служебные процедуры на основе пе рехвата, дешифрования, модификации и передачи ложных информа
494 |
Глава 26. Компьютерный шпионаж |
ционных и/или служебных сообщений, в целях создания у реальных пользователей и административных служб иллюзии корректности функционирования ИТС и добывания необходимой нарушителю информации, которая в последствии может быть использована в пре ступных целях против легальных пользователей и самой ИТС.
ПОДГОТОВКА АТАКИ ТИПА "МАСКАРАД"
ВЫБОР ОБЪЕКТА АТАКИ
Предварительная информационно
АНАЛИТИЧЕСКАЯ РАБОТА
Проведение подготовительны*
мероприятий
1
|
|
_ |
ВЫБОР СРЕДСТВ |
д |
|
|
|
ПРОВЕДЕНИЯ ПАССИВНОЙ |
1 |
||
|
|
_ |
АТАКИ |
_ |
|
|
|
|
|||
АТАКИ j |
j |
' |
ВЫБОР АЛГОРИТМОВ, |
|
t |
|
МЕТОДОВ И СПОСОБОВ |
|
1 |
||
|
^ Е Д Е Н И Я АКТИВНОЙ АТАКИ^ |
1 |
|||
|
|
|
|||
ВЫБОРПРАКТИЧЕСКОЙРЕАЛИЗАЦИИ # СПОСОБАПРОВЕДЕНИЯАТАКИ“МАСКАРАД
ПРОВЕДЕНИЕ АТАКИ ТИПА "МАСКАРАД"
Рис. 26.2. Модель подготовки к проведению атаки типа «Маскарад»
«Надевая маски легальных пользователей и административ ных служб», нарушитель устраивает «маскарад» и «разыгрывает спектакль», стремясь при этом как можно точнее исполнять роли. Очевидно, что нарушитель может достигнуть наибольшего эффекта только тогда, когда он способен добиться максимального уровня имитации действий пользователей (их терминалов) и администра
496 |
Глава 26. К ом пью т ерны й ш пионаж |
шителем «спектакля»:
внарушитель, скрываясь под маской легального пользователя (административной системы), начинает и заканчивает «игру» только с одним клиентом сети (в данном случае под клиентом сети понимается либо пользователь, либо административная система, либо прикладной или системный процесс), т.е. «мас карад один на один»;
внарушитель, скрываясь под маской то одного, то другого кли ента сети, начинает и заканчивает «игру» с двумя одновре менно, создавая у обоих клиентов иллюзию их корректного информационного взаимодействия («маскарад с двумя»);
всмешанный вариант (или комбинированный маскарад), при котором нарушитель начинает «диалог» с одним клиентом и в дальнейшем к «диалогу» присоединяется другой клиент, под маской которого выступал нарушитель (комбинация «1+1»), либо наоборот, когда начинался «диалог» с двумя клиентами, а завершался только с одним (комбинация «2-1»).
' Отсутствие какой-либо логической связи между |
1 |
объектами “А” и “В" в период проведения атаки |
1 |
Рис. 26.3. Модель атаки типа «маскарад один на один»
«Маскарад один на один» («m asquerade tete-a-tete»). Когда нарушитель разыгрывает спектакль только с одним клиентом сети (рис. 26.3), выдавая себя за другого легального пользователя, то то гда существует вероятность появления «на сцене» этого другого ре ального пользователя и тогда финал спектакля не предсказуем, но,
498 |
Глава 26. К ом пью т ерны й ш пионаж |
«Маскарад с двумя» («masquerade with a couple of ones»). Этот тип атаки «маскарад с двумя» очень похож на атаку типа «нарушитель в середине соединения» (рис. 26.4). Однако о последнем типе атаки можно говорить только тох да, когда нарушитель пассивен. Как только он начинает «действовать», он «вынужден» маскироваться, создавая у обоих легальных клиентов иллюзию их корректного информационно го взаимодействия. Другими словами, прежде чем провести атаку типа «маскарад», нарушитель вынужден прежде проводить атаку типа «на рушитель в середине соединения» для определения всего (или выяв ления основных элементов) процедурно-признакового пространства реального информационного обмена легальных объектов Internet.
Очевидно, для «маскарада с двумя» нарушитель должен иметь весьма обширный информационный багаж и большой набор инст рументальных средств, так как ему придется лавировать между по токами встречных сообщений и вносить дополнительную (но не чувствительную для легальных объектов) временную задержку тра фика, связанную с обработкой подлинных IP-пакетов и их после дующей модификацией, необходимой нарушителю.
Следующим обязательным требованием для успешного про ведения атаки «маскарад с двумя» является контроль двух вирту альных соединений (от объектов в направлении нарушителя). Это весьма прозрачное требование объясняется просто: потеря наруши телем контроля за одним из двух виртуальных соединений немед ленно приводит к срыву его преступных замыслов.
Рис. 26 .5 . Модель а таки типа «комбинированный маскарад»
(комбинация «1+1»)
Раздел IV. |
499 |
Нарушитель для обеспечения большего правдоподобия иллю зии корректного информационного обмена между объектами мо жет не модифицировать некоторые их сообщения, но только те, ко торые не будут демаскировать нарушителя. Следовательно, при проведении атаки «маскарад с двумя» возможно наличие логиче ской связи между пользователями, но которая не допустима при «маскараде один на один».
«Комбинированный маскарад» («masquerade combi»). Сце нарий поведения нарушителя при «комбинированном маскараде» зависит от начальной ситуации: либо нарушитель начинает «диа лог» с одним клиентом и в дальнейшем к «диалогу» присоединяется другой клиент, под маской которого выступал нарушитель, либо наоборот, когда начинался «диалог» с двумя клиентами, завершался только с одним.
Комбинация «2+2» («masquerade combi «1+1»). В данном случае (рис. 26.5), сценарий похож на «маскарад один на один». Однако, на рушитель должен быть готов к «появлению» второго легального объ екта. Очевидно, чтобы достичь максимального эффекта в реализации своих преступных замыслов нарушитель должен (как минимум):
ообладать большим объёмом предварительной информации (большей, чем при «маскараде один на один») и достаточным арсеналом инструментальных средств;
ов обязательном порядке контролировать второе наиболее ве роятное виртуальное соединение, которое может быть сфор мировано при вхождении в связь второго легального объекта, в целях блокирования какой-либо логической связи между
объектами.
Фактически, нарушитель должен контролировать две пары виртуальных соединений и не допускать неконтролируемое прохо ждение сообщений между иллюзорно взаимодействующими поль зователями.
Комбинация «2-1» («masquerade combi «2-1»). Данный тип атаки очень похож на «маскарад с двумя», за исключением одного, когда один из легальных объектов выходит из «игры» (в период проведе ния атаки) первым. В этом случае нарушитель должен не допустить сквозного прохождения каких-либо сообщений о завершении сеанса связи и продолжать «маскарад один на один».
Если же второй (вышедший из «игры») легальный объект вновь попытается опять установить связь еще до завершения «мас карада один на один», то тогда развитие событий будет похоже на комбинацию «1+1» комбинированного маскарада.
500 |
Глава 26. Компьютерный шпионаж |
26.5. Обнаружение атак типа «маскарад»
Анализ обобщенной модели атак типа «маскарад» показывает, что нарушитель должен обладать максимально большим объемом информации об интересующих его объектах Internet. На основе структурирования этой информации нарушитель может сформи ровать процедурно-логическое признаковое пространство инфор мационного обмена, в котором участвуют объекты Internet.
Под процедурно-логическим признаковым пространством информа ционного обмена понимается набор уникальных процедурных и ло гических признаков, которые позволяют индивидуализировать харак теристику (персонифицировать) каждого легального объекта Internet.
Очевидно, что эффективность (результативность) атаки типа «маскарад» зависит от того, насколько точно атакующий «сыграет роль легального объекта Internet». Поэтому главным принципом мето дологии построения систем защиты от атак типа «маскарад» является создание таких условий функционирования системы, при которых вероятный нарушитель не способен в точности повторить (скопиро вать и отобразить) процедурно-логическое признаковое пространство информационного обмена между легальными объектами Internet.
Другими словами, любые неточности или недостатки в «мас ке» нарушителя могут явиться причиной срыва его противоправной деятельности. Однако, пассивная позиция легальных объектов Inter net также недопустима, т.е. нельзя ждать, когда нарушитель сделает ошибку. Необходимо искать возможные практические варианты решения и принимать меры по защите от атак типа «маскарад», причем в каждом конкретном случае они будут различны.
С технологической точки зрения, для обнаружения атак типа «маскарад» необходим дополнительный скрытый канал (недоступ ный для нарушителя) взаимодействия двух легальных объектов In ternet (рис. 26.6). Причем этот канал должен функционировать в ре альном масштабе времени. Последнее является обязательным усло вием для защиты атак типа «маскарад».
Дополнительный канал между объектами может иметь раз личную природу: от обычного телефонного звонка, с помощью ко торого можно убедиться, что на связи через Internet настоящий пользователь (но это только для маскарада «1+1»), до специального выделенного канала, который надежно защищен и может использо ваться только в экстренных ситуациях. На рис. 26.6 представлена модель защиты от атак типа «маскарад» на основе использования параллельного (обходного) маршрута взаимодействия, который не доступен нарушителю.
Раздел IV. |
501 |
|
Рас. 26.6. Модель защиты с помощью параллельного маршрута
В основе использования дополнительного канала взаимодей ствия лежит идея параллельной передачи одного и того же сообще ния и сравнения двух принятых сообщений на предмет их иден тичности, которая выступает критерием обнаружения атаки типа «маскарад». Причем такой способ обнаружения одинаково прием лем для «маскарада один на один» и «маскарада с двумя» (и для их комбинаций).
Действительно, если нарушитель проводит «маскарад один на один», то тогда активный легальный пользователь отправит по до полнительному каналу контрольную копию истинного сообщения, переданного по «захваченному» каналу, в целях проверки наличия и аутентификации соединения. В результате, получатель контрольной копии (другой легальный пользователь, который не имеет связи с от правителем) поймет, что получено контрольное сообщение и в от ветном сообщении (по дополнительному каналу) даст отрицатель ный ответ. Таким образом, активный легальный пользователь будет проинформирован о наличии угрозы для безопасности его данных и терминала (информационно-вычислительной системы).
Если же нарушитель проводит «маскарад с двумя» (когда ак тивны два легальных пользователя), создавая у них иллюзию кор ректного информационного взаимодействия, то тогда передача по Дополнительному каналу одним из легальных пользователем (а мо жет быть и обоими) контрольной копии истинного сообщения, пе