125 Кібербезпека / Фаховий екзамен (Бакалавр) / Методології аудиту захищеності ІКС
.pdf
Методології аудиту захищеності ІКС
1.Концепція та різновиди DoS та DDos атак.
Віддалена експлуатація помилок в ПЗ з метою довести його до неробочого стану.
Flood — посилка на адресу жертви величезної кількості безглуздих (рідше — осмислених) пакетів. Метою флуду може бути канал зв'язку або ресурси машини. У першому випадку потік пакетів займає весь пропускний канал і не дає машині, що атакується, можливості обробляти легальні запити. У другому
— ресурси машини захоплюються за допомогою багаторазового і дуже частого звернення до якого-небудь сервісу, що виконує складну, ресурсоємну операцію. Це може бути, наприклад, тривале звернення до одного з активних компонентів (скрипту) web-сервера. Сервер витрачає всі ресурси машини на обробку запитів, що атакують, а користувачам доводиться чекати.
DoS та DDoS атаки реалізують загрозу доступності ІКС. Різниця між ними у способі реалізації — DDoS атака відбувається розподілено з кількох вузлів, що збільшує її ефективність.
2. Концепція атаки SQL-injection.
SQL-injection — техніка так званого включення коду, що дозволяє зловмиснику виконувати довільні запити до бази даних, таким чином обходити процес аутентифікації (фактично, пародіюючи його) чи інші можливі перевірки у програмі/сайті чи отримувати відомості про схему бази даних та всі наявні дані у ній, які доступні користувачеві, від імені якого підключається вразлива програма.
SQL-ін’єкція експлуатує наявні у програмі/сайті вразливості.
3. Концепція атаки на переповнення буфера.
Дана атака використовує вразливості програми у місцях запису даних у буфер. Зазвичай, найпростішими функціями такими як gets, strcpy, scanf, fscanf, дана операція виконується у циклі послідовно від молодшої адреси до старшої і у випадку, коли кількість даних у джерелі (іншій стрічці для strcpy, потоку вводу stdin у gets, sscanf, чи файлі для fscanf) перевищує розмір буфера можливий перезапис даних після нього. Наприклад таким чином можна перезаписати важливі дані у програмі (банальним прикладом є пароль).
У деяких випадках, на комп’ютерах з архітектурою процесора у яких стек росте зверху-вниз (тобто від старших адресів до молодших) це дозволяє перезаписати адресу повернення з функції (яка зберігається у стеку) і таким чином змінити хід
виконання програми, наприклад передавши керування на вписаний у той самий буфер код, що буде виконувати потрібні зловмиснику операції.
4.Методи сканування відкритих TCP-портів хоста.
SYN-сканування — надсилається SYN-пакет (ніби для з’єднання) і по відповіді (SYN-ACK чи RST) визначається чи порт відкритий. Повноцінне з’єднання не відчиняється.
Connect-сканування — відкривається повноцінне TCP-з’єднання, тобто проводить рукостискання SYN,SYN-ACK,ACK. Працює, відповідно, повільніше.
NULL,FIN та XMAS -сканування — надсилають не зовсім валідні пакети, що не містять прапорів (для NULL сканування), містять лише FIN (для FIN сканування) або містять прапори FIN,PSH та URG (для XMAS). Згідно специфікації протоколу TCP у випадку, якщо порт закритий то хост (якого сканують) повертає пакет з прапором RST і нічого не повертає для відкритих портів або закритих фаєрволом. Перевагою такого сканування є те, що цей спосіб дозволяє обійти деякі stateless фаєрволи (що не стежать за станом з’єднань, а лише аналізують заголовки пакетів).
Idle scan — дозволяє приховати адресу з якої сканується хост за допомою “зомбі” — іншого хоста який фактично і проводить сканування.
5.Причини та методи атак типу Session hijacking.
Session Hijacking — це різновид атаки man-in-the-middle, в ході проведення якої зловмисник вклинюється у сесію користувача (з сервером чи іншим хостом) і надсилає дані від імені користувача (або сервера чи іншого хоста). Таким чином він може отримувати доступ до конфіденційних даних, модифікувати їх та виконувати інші операції від імені даного користувача.
Найвідомішими прикладами даної атаки є TCP Session Hijacking і HTTP Session
Hijacking (Cookie Hijacking).
Для проведення першої зловмисник має мати можливість прослуховувати і підміняти трафік користувача. Таким чином він матиме змогу підібрати правильний sequence id наступного пакету і підмінити його. Це фактично розірве сесію, але відправлений зловмисником пакет буде опрацьований отримувачем і у випадку з, наприклад TELNET-сесією, відправлена команда буде виконана на сервері.
Cookie Hijacking передбачає викрадення (наприклад у ході прослуховування трафіку) параметрів в полі Cookie HTTP-заголовку запитів клієнта, які містять параметри автентифікації.
6.Завдання та концепція перерахувань (Windows Enumeration, SNMP
Enumeration, etc.)
Обидва перерахування є прикладами Network Enumeration — процесу отримання відомостей про вузли в мережі. Одним з етапів перерахування є визначення списку підключених та запущених на них сервісів. Це та інші параметри дозволяють визначити “відбиток” операційної системи, що дозволяє припустити яка ОС керує конкретним вузлом мережі. SNMP enumeration застосовується до вузлів на яких запущений SNMP сервер і дозволяє отримати відомості про вузли мережі та їх конфігурацію. Тоді як Windows enumeration використовує сервіси Windows для отримання детальнішої інформації про версії ОС та ПЗ що дозволяє звузити коло можливих вразливостей і правильно обрати вектори можливих атак.
7.Етапи та завдання аудиту захищеності комп'ютених систем.
1)Розвідка
2)Сканування
3)Отримання доступу
4)Підтримання доступу
5)Приховування слідів
8.Концепція атак на прослуховування мережевого трафіку.
Перехоплення трафіку може здійснюватися:
звичайним «прослуховуванням» мережевого інтерфейсу (метод ефективний при використанні в сегменті концентраторів (хабів) замість комутаторів (світчей), інакше метод малоефективний, оскільки на сніфер потрапляють лише окремі фрейми);
підключенням сніфера в розрив каналу;
відгалуженням (програмним або апаратним) трафіку і спрямуванням його копії на сніфер;
через аналіз побічних електромагнітних випромінювань і відновлення трафіку, що таким чином прослуховується;
через атаку на канальному (2) (MAC-spoofing) або мережевому (3) рівні (IPspoofing), що приводить до перенаправлення трафіку жертви або всього трафіку сегменту на сніфер з подальшим поверненням трафіку в належну адресу.
9. Шкідливе програмне забезпечення, призначення та класифікація.
За наявністю матеріальної вигоди
1.що не приносять пряму матеріальну вигоду тому, хто розробив (встановив) шкідливу програму:
Хуліганство;
Жарт;
вандалізм, зокрема на релігійному, національному, політичному ґрунті;
самоствердження, прагнення довести свою кваліфікацію;
2. що приносять пряму матеріальну вигоду зловмисникові:
крадіжка конфіденційної інформації, включаючи діставання доступу до систем банк-клієнт, отримання PIN кодів кредитних карток і таке інше;
отримання контролю над віддаленими комп'ютерними системами з метою розповсюдження спаму з численних комп'ютерів-зомбі;
блокування комп'ютера, шифрування файлів користувача з метою шантажу та вимагання грошових коштів (див. Ransomware). У більшості випадків після оплати комп'ютер або не розблоковується, або незабаром блокується вдруге.
За метою розробки
програмне забезпечення, яке з самого початку розроблялося спеціально для забезпечення діставання несанкціонованого доступу до інформації, що зберігається на ЕОМ з метою спричинення шкоди (збитку) власникові інформації і/або власникові ЕОМ (мережі ЕОМ).
програмне забезпечення, яке з самого початку не розроблялися спеціально для забезпечення діставання несанкціонованого доступу до інформації, що зберігається на ЕОМ і з самого початку не призначалися для спричинення шкоди (збитку) власникові інформації і/або власникові ЕОМ (мережі ЕОМ) перший вірус Хробак Моріса можливо можна віднести до цього типу.
За принципом роботи:
віруси, рекламне ПЗ, хробаки, трояни, руткіти, клавіатурні логери, дозвонювачі, шпигунські програмні засоби, здирницькі програми, шкідливі плаґіни та інше зловмисне програмне забезпечення
10.Типові вразливості веб-додатків.
Remote code execution — PHP-ін’єкції, в принципі властиві всім мовам (у js eval чи Function constructor і тд)
OS Command Injection (Shellshock чи виклик system)
SQL-ін’єкції
Cross Site Scripting
Format String Vulnerabilities
Username enumeration