- •Основы и методы защиты информации
- •Общие понятия информационной безопасности
- •Основные понятия информационной безопасности
- •Анализ угроз информационной безопасности
- •Юридические основы информационной безопасности
- •Критерии защищенности средств компьютерных систем
- •Политика безопасности в компьютерных системах
- •Меры по поддержанию работоспособности компьютерных систем
- •Способы и средства нарушения конфиденциальности информации
- •Основные методы реализации угроз информационной безопасности
- •Типичные приёмы атак на локальные и удалённые компьютерные системы
- •Основы противодействия нарушению конфиденциальности информации
- •Методы разграничения доступа
- •Идентификация и аутентификация и пользователей
- •Методы ограничения доступа к информации
- •Методы мониторинга несанкционированных действий
- •Криптографические методы защиты данных Основные принципы криптографии
- •Шифрование заменой (подстановка)
- •Шифрование методом перестановки
- •Методы шифрования, использующие ключи
- •Защита информации от компьютерных вирусов
- •Определение и классификация вирусов
- •Способы защиты от вирусов
- •Классификация антивирусных средств
- •Популярные антивирусные средства
-
Типичные приёмы атак на локальные и удалённые компьютерные системы
1. Сканирование файловой системы. Злоумышленник пытается просматривать файловую систему и прочесть, скопировать или удалить файлы. Если доступ к файлу закрыт, сканирование продолжается. Если объём файловой системы велик, то рано или поздно обнаружится хотя бы одна ошибка администратора. Такая атака проводится с помощью специальной программы, которая выполняет эти действия в автоматическом режиме.
2. Кража ключевой информации. Пароль может быть подсмотрен по движению рук на клавиатуре или снят видеокамерой. Некоторые программы входа в КС удалённого сервера допускают набор пароля в командной строке, где пароль отображается на экране, а иногда для ввода используются пакетные файлы для упрощения входа в ОС. Кража такого файла компрометирует пароль. Известны случаи, когда для кражи пароля использовался съём отпечатков пальцев пользователя с клавиатуры. Кража внешнего носителя с ключевой информацией: диски или Touch Memory.
3. Сборка мусора. Информация, удаляемая пользователем, не удаляется физически, а только помечается к удалению и помещается в сборщик мусора. Если получить доступ к этой программе, можно получить и доступ к удаляемым файлам. Сборка мусора может осуществляться и из памяти. В этом случае программа, запускаемая злоумышленником, выделяет себе всю допустимо возможную память и читает из неё информацию, выделяя заранее определённые ключевые слова.
4. Превышение полномочий. Используя ошибки в системном программном обеспечении и/или политики безопасности, пользователь пытается получить полномочия, превышающие те, которые были ему выделены. Это воздействие может быть так же результатом входа в систему под именем другого пользователя или заменой динамической библиотекой, которая отвечает за выполнение функций идентификации пользователя.
5. Программные закладки. Программы, выполняющие хотя бы одно из следующих действий:
- внесение произвольных искажений в коды программ, находящихся в оперативной памяти (программная закладка первого типа);
- перенос фрагментов информации из одних областей оперативной или внешней памяти в другие (программная закладка второго типа);
- искажение информации, выводимой другими программами на внешние устройства или каналы связи (программная закладка третьего типа).
6. Жадные программы. Программы, преднамеренно захватывающие значительную часть ресурсов КС, в результате чего другие программы работают значительно медленнее или не работают вовсе. Часто запуск такой программы приводит к краху ОС.
7. Атаки на отказ в обслуживании (deny-of-service – DoS). Атаки DoS являются наиболее распространёнными в компьютерных сетях и сводятся к выведению из строя объекта, а не к получению несанкционированного доступа. Они классифицируются по объекту воздействия:
перегрузка пропускной способности сети – автоматическая генерация, возможно из нескольких узлов, большого сетевого трафика, которое полностью занимает возможности данного узла;
перегрузка процессора – посылка вычислительных заданий или запросов, обработка которых превосходят вычислительные возможности процессора узла;
занятие возможных портов – соединяясь с портами сервисов узла, занимает все допустимое число соединений на данный порт;
Такие атаки могут быть обнаружены и устранены администратором путём выдачи запрета на приём пакетов от данного источника. Чтобы лишить администратора узла этой возможности, атака идёт с множества узлов, на которые предварительно внедряется вирус. Вирус активизируется в определённое время, производя DoS атаку. Этот тип атаки получил название DDoS (Distributed DoS).
8. Атаки маскировкой. Маскировка – общее название большого класса сетевых атак, в которых атакующий выдаёт себя за другого пользователя. Если существенные права получают процессы, инициируемые доверенными хостами (т.е. пакеты с адресом доверенного источника пропускаются без применения к ним ограничивающих правил), то достаточно указать доверенный адрес отправителя, и он будет пропущен.
9. Атаки на маршрутизацию. Для достижения узла – жертвы в таких атаках применяется изменение маршрута доставки пакета. Каждый путь может иметь свои права доступа, узел может по-разному реагировать на пакеты, поступившие различными путями. Поэтому интерес злоумышленника распространяется не только на сам атакуемый узел, но и на промежуточные пункты – маршрутизаторы.
10. Прослушивание сети (sniffing). Различают межсегментный и внутрисегментный сниффинг. В первом случае устройство подслушивания должно быть размещено у входа или выхода взаимодействующих узлов или у одного из транзитных узлов. Для защиты от прослушивания, в основном, используются средства шифрования. При внутрисегментном прослушивании в равноранговой сети с общей шиной (Ethernet), в качестве прослушивающего устройства может использоваться одна из КС сети. Для организации прослушивания необходимо, с помощью программы-сниффера, перевести режим Ethernet-карты в "неразборчивый режим", когда карта принимает не только пакеты со своим сетевым адресом а и все, проходящие по сети пакеты. Для борьбы со снифферами используются сниффер-детектор. Принцип его работы заключается в формировании пакета с некорректным сетевым адресом, который должен быть проигнорирован всеми узлами сети. Та КС, которая примет такой пакет должна быть проверена на наличие сниффера.