Перехват информации
Информация — важный ресурс. Она позволяет избавляться от неопределенности, принимать решения. Для любой компании информация —это конкурентное преимущество. Чем больше в организации знают о рынке, потребителях, продукте, трендах и конкурентах, тем более эффективные решения, ведущие к большей прибыли, будут приниматься.
Особенное место занимает знание конкурентов. Для анализа их деятельности и положения на рынке используются открытые данные — информация публикуемая самой компанией или СМИ. Косвенная информация, которую разглашают или косвенно демонстрируют, к примеру, через фото в соцсетях, сотрудники. Но некоторые прибегают к незаконным способам добычи сведений, одним из которых является несанкционированный перехват информации.
Перехваченная информация может быть использована для шантажа, получения наживы, получения конкурентного преимущества, проведения вредоносных кампаний.
Несанкционированный перехват информации
Нельзя сказать, что каналы коммуникации непременно являются слабым местом любой компании. Но то, что они представляют интерес для злоумышленников, сомнений не вызывает.
Данные, которыми располагает компания, могут находиться в одном из трех состояний — храниться, обрабатываться или передаваться. Перехват информации осуществляется именно во время ее передачи. Хранящиеся данные, как правило, надежно защищены. Не будем говорить о тех случаях, когда базу данных банально забывают запаролить — это нельзя считать правилом, хоть и происходит такое довольно регулярно. Ответственные организации используют и стандартные, и продвинутые методы защиты. Обойти их если и можно, то действие такое потребует серьезной подготовки и ресурсов и зачастую просто невыгодно.
Данные во время передачи менее защищены, хотя средства защиты есть и совершенствуются. Сам факт, что в процессе передачи участвует как минимум две стороны, есть этапы и различные средства, участвующие в процессе, означает наличие потенциально слабых мест. И этим пользуются злоумышленники (хотя и не всегда они).
Перехват информации может производиться путем подключения к каналам ее передачи, получения контроля над одним из этапов передачи, внедрения шпионской программы или использования аппаратных средств.
Для перехвата нецифровой информации существует специальное оборудование. «Жучки» для прослушивания, камеры, лазерные устройства, которые могут считывать вибрации с окон и таким образом записывать разговоры, и многие другие. В литературе по соответствующей тематике можно найти описания десятков подобных устройств. К тому же такие средства продолжают изобретаться, а существующие совершенствуются.
Прослушка телефонных линий — это, можно сказать, классический метод перехвата информации. Он используется не только недобросовестными конкурентами, но и, зачастую, спецслужбами, которым для этого нужна санкция суда.
Прослушка телефона может осуществляться разными способами. К существующим добавились новые, когда телефония изменилась с появлением сотовой связи. Для прослушки используются как специальные программы, так и прямое подключение к кабелю, позволяющее перехватывать весь трафик. Однако, если связь использует шифрование, то такое подключение бесполезно.
Перехват данных при их передаче по протоколам передачи файлов или почтовым протоколам может осуществляться с помощью специального ПО, которое внедряется на устройства. Внедрение может быть результатом фишинговых кампаний или происходить из-за небезопасных действий пользователей. К примеру, из-за установки пиратских программ.
Санкционированный перехват информации
Перехватывать информацию могут не только злоумышленники. Этим может заниматься и сама компания, владеющая конфиденциальными данными. И делать это она будет как раз для того, чтобы их защитить. Для этих целей компании используют DLP-системы. Это класс программ, которые созданы для того, чтобы держать под контролем каналы цифровой коммуникации.
Сотрудники пользуются различными мессенджерами, пересылают сообщения и файлы, используя протоколы передачи данных. DLP-система держит под контролем все каналы и сканирует передаваемые данные. Этот процесс также можно назвать перехватом информации.
Цель такого перехвата — проверка, не используются ли цифровые каналы для передачи секретов компании, и не вредят ли сотрудники интересам работодателя.
Программа решает, какая информация относится к конфиденциальной, сравнивая ее с хранящимися в базе образцами. В DLP-систему можно загружать текстовые или графические файлы, которые будут служить триггерами для выполнения нужных действий. Если сотрудник пересылает по почте файл, образец которого хранится в базе, система может заблокировать передачу или просто сообщит службе безопасности, сохранив всю информацию и метаданные о зарегистрированном случае.
Так же система может срабатывать не только на файлы, но и на отдельные слова и фразы. При настройке политики безопасности можно создать словари, к примеру, с именами руководства, грубыми фразами, словами, которые могут указывать на обсуждение коммерческой тайны. И система будет реагировать так, как будет задано в настройках, когда эти слова будут встречаться в переписках и разговорах. Такие меры позволяют выявлять нелояльных сотрудников и возможные утечки на ранних стадиях.
Таким образом, перехват информации может быть не только угрозой безопасности, но и методом борьбы с угрозами. Многие компании, особенно связанные с финансами, обороной, разработками, энергетикой, хранящие и обрабатывающие персональные или секретные данные, прибегают к фильтрации входящего и исходящего трафика, чтобы гарантировать сохранность этих данных.
Что такое перехват сеанса и как его предотвратить? Типы захвата сессии. Как происходит захват сессии?
Мы ассоциируем файлы cookie с отслеживанием и раздражающей рекламой в интернете, но они также сохраняют поисковые запросы, позволяя нам заходить на сайты без ввода логина и пароля. Однако, если кто-то перехватит файл cookie, то это может привести к катастрофической кибератаке под названием «перехват сеанса».
Украденные файлы cookie являются ключевыми элементами распространенных и опасных атак по захвату сессий, которые могут поставить наши конфиденциальные данные под угрозу от рук злоумышленников. Перехват сеанса может нанести большой ущерб еще до того, прежде чем мы узнаем, что произошло.
Что такое перехват сеанса?
Это серия взаимодействий между вашим устройством и веб-сервером. Сессия начинается, как только вы входите на сайт или в приложение, например, в онлайн-банк. Она продолжается все время, пока вы находитесь внутри кабинета, проверяете свой баланс или совершаете платежные операции, и заканчивается в тот момент, когда вы выходите из системы. Но как веб-сервер узнает, что каждый запрос, который вы делаете, на самом деле исходит от вас?
Вот тут-то и появляются куки. После входа в систему вы отправляете свои учетные данные на веб-сервер. Он подтверждает кто вы и дает вам идентификатор сеанса, используя файл куки, который будет прикреплен к вам в течение всей сессии. Вот почему вы не выходите из Вконтакте каждый раз, когда посещаете чей-то профиль, и почему интернет-магазин запоминает, что вы положили в свою корзину покупок, даже если вы обновите страницу.
Но если злоумышленник воспользуется специальными методами управления сеансом или украдет ваш куки-файл, он может перехватить сессию. Таким образом, он может обмануть веб-сервер, который будет уверен в том, что запросы поступают от вас, авторизованного пользователя. С этого момента киберпреступник может делать банковские переводы или совершать онлайн-покупки от вашего имени, даже не крадя вашу регистрационную информацию.
Типы захвата сессии
Угон сессии можно разделить на две основные категории, в зависимости от того, чего хочет преступник.
Как происходит захват сессии?
Существует довольно много методов для выполнения атаки захвата сеанса. Большинство тактик зависят от уязвимостей веб-сервера, но также и многие пользователи не думают о безопасности своих данных.
Как предотвратить перехват сеанса?
Возможность перехвата сеанса обычно сводится к безопасности веб-сайтов или приложений, которые вы используете. Тем не менее, есть шаги, которые можно выполнить, чтобы защитить себя.
Защита от перехвата
Перехват – это способ несанкционированного получения конфиденциальной информации за счет приема электромагнитных сигналов радиодиапазона.
Радиоперехват как способ несанкционированного получения конфиденциальной информации обладает определенными особенностями:
– осуществляется без непосредственного контакта с объектом криминальных интересов;
– охватывает большие расстояния и пространства, пределы которых определяются особенностями распространения радиоволн различных диапазонов;
– обеспечивается непрерывно в разное время года и сутоки прилюбой погоде;
– обеспечивает получение достоверной информации, посколькуонаисходит непосредственно от источника информации;
– позволяет добывать самую различную информацию статистического и оперативного характера;
– дает интересующую информацию в реальном масштабе времени и зачастую в виде упреждающих событий (приказы на проведение тех или иных действий);
– осуществляется скрытно; источник информации, как правило, не в состоянии установить факт несанкционированного доступа.
Источниками излучения радиоволн различных диапазонов являются:
– средства радиосвязи, предназначенные для обеспечения мобильной и стационарной систем, в том числе спутников, радиорелейных и др.;
– средства сотовой радиосвязи;
– средства пейджинговой связи;
– средства оперативной служебной радиосвязи;
– сигналы радиотелефонных удлинителей;
– сигналы технических средств и систем (радиолокационные, радионавигационные системы, сигналы средств электронно-вычислительной техники и др.);
– другие системы открытого излучения радиосигналов связного или технологического характера (например, средств обеспечения полетов самолетов, средств спасания на водах и др.).
В качестве примера возможности установления информационного контакта между средствами злоумышленника и источниками радиосигналов рассмотрим частную модель радиоперехвата (рис. 81).
Рис. 81. Частная модель радиоперехвата
Модель содержит общие характеристики источника радиосигналов, определяющих возможную дальность их распространения в пространстве, среду распространения радиоволн и условия, влияющие на ее характеристики и средства злоумышленника, предназначенные для приема радиосигналов.
Соблюдение баланса характеристик объекта, условий, среды и параметров средств разведки позволит установить информационный контакт и зафиксировать необходимые характеристики источника. Имея определенные методики, можно рассчитать возможность установления такого контакта в конкретных условиях. Условия установления информационного контакта рассмотрим для случая перехвата информации средствами радиоэлектронной разведки. Для этого воспользуемся параметрической моделью такого информационного контакта (рис. 82).
Рис. 82. Параметрическая модель информационного контакта средствами радиоэлектронной разведки
Возможность установления информационного контакта выражается вероятностью Rо.
Определить вероятность перехвата электромагнитного сигнала средствами злоумышленника можно с помощью следующей формулы
где k – коэффициент размерности (≈7);
q – отношение мощности сигнала к мощности шума в точке приема.
Значение q определяется из формулы:
,
где Рn – мощность источника сигнала;
∆ fс – ширина спектра сигнала;
Gn – коэффициент усиления антенны источника;
Gс – коэффициент усиления антенны приемника злоумышленника;
No– спектральная плотность мощности шумов на входе приемника;
Zo – ослабление радиоволн в среде распространения при заданных условиях.
Пример. Определить вероятность перехвата электромагнитного сигнала портативными средствами злоумышленника при соотношении сигнал/шум q = 4,5 ∙ 108.
Следовательно, R 
е-0 = 1.
При этих условиях вероятность перехвата сигнала равна 1, т.е. сигнал может быть уверенно принят средствами злоумышленника.
Подобное описание энергетических и пространственных соотношений, положенных в основу расчетов, приводится в специальной литературе и соответствующих методических и нормативных материалах.
Дальность действия линии разведывательного контакта «Передатчик источника – приемник злоумышленника» определяется энергией (мощностью) передатчика и может быть рассчитана с помощью следующей формулы
где Рпер – мощность передатчика;
Gпер – коэффициент усиления антенны передатчика;
Gпр – коэффициент усиления антенны приемника;
λ –длина волны передатчика;
η –коэффициент потерь в среде распространения;
L – коэффициент запаса на неучитываемые факторы (обычно лежит в пределах 3.10);
δmin – минимально допустимое превышение сигнала над шумом по мощности;
R – постоянная Больцмана;
ТΣ – суммарная шумовая температура на входе приемника.
Дальность перехвата сигналов ПЭВМ можно охарактеризовать показателями, учитывающими конструктивные особенности дисплея и антенных систем злоумышленника (табл. 18).
Дальность перехвата сигналов ПЭВМ
Характеристика антенны злоумышленника
Конструкция корпуса ПЭВМ
Математические расчеты могут быть подкреплены конкретными действиями по определению реальной возможности установления информационного контакта путем приема сигналов своих средств специальными приемными устройствами с изменением расстояний приема и азимутовых направлений их расположения. Используя измерители сигналов, можно составить графики уровня излучаемых сигналов в конкретных условиях на конкретной местности.
Результаты математических расчетов и экспериментальных инструментальных измерений позволят четко определить опасность тех или иных сигналов в условиях их конкретного расположения на местности.
Методы защиты от перехвата в общем плане приведены на рис. 83.
Рис. 83. Методы защиты от радиоперехвата
Опыт работы отечественных и зарубежных специальных служб и служб безопасности предпринимательства позволяет утверждать следующее.
1. Доступ к источникам конфиденциальной информации является весьма серьезной угрозой информационной безопасности различным органам, фирмам, гражданам и предприятиям.
2. В практике промышленного шпионажа для получения интересующей злоумышленников информации находят широкое применение самые различные способы получения конфиденциальной информации, особенно с помощью технических средств несанкционированного доступа к охраняемым секретам, разрабатываемые на основе самых последних достижений науки и техники.
Основные понятия в области информационной безопасности
Угрозы безопасности сетевых информационных систем
Удаленные воздействия на сетевые информационные системы, их классификация
Основной особенностью любой сетевой информационной системы является то, что ее компоненты распределены в пространстве, и связь между ними осуществляется физически (при помощи сетевых соединений) и программно (при помощи механизма сообщений). При этом все управляющие сообщения и данные передаются по сетевым соединениям в виде пакетов обмена. Пакет, передаваемый по сети, состоит из заголовка и поля данных, в заголовок пакета заносится служебная информация, определяемая используемым протоколом обмена и необходимая для адресации пакета, его идентификации, преобразования и т. п. Эта особенность и является основной для рассматриваемых в этой главе удаленных атак на инфраструктуру и протоколы IP-сетей.
Удалённые воздействия (атаки) на информационные системы характеризуются несколькими признаками. Для рассмотрения их сущности и условий осуществления предлагается следующая классификация.
По характеру воздействия
По характеру воздействия удаленные атаки делятся на:
Пассивным воздействием на информационную систему является воздействие, которое не оказывает непосредственного влияния на работу системы, но может нарушать политику доступа к защищаемым данным. Именно отсутствие влияния на работу распределенной системы приводит к тому, что пассивное удаленное воздействие практически невозможно обнаружить. Примером пассивного типового удаленного воздействия на информационную систему служит прослушивание канала связи в сети и перехват передаваемой информации.
Активное воздействие на ресурсы системы – это воздействие, оказывающее непосредственное влияние на работу системы (изменение конфигурации, нарушение работоспособности и т. д.) и нарушающее принятую в ней политику безопасности. Очевидной особенностью активного воздействия, по сравнению с пассивным, является возможность его обнаружения (с большей или меньшей степенью сложности). Примером результата такого воздействия является отказ в обслуживании системы.
По цели реализации воздействия
По данному признаку удаленные атаки могут быть направлены на:
Искажение информации возможно в том случае, если злоумышленник располагает полным контролем над информационным потоком между объектами системы и/или имеет возможность передавать данные под именем доверенного пользователя.
В этом случае, искажение информации ведет к нарушению ее целостности. Данное информационное разрушающее воздействие относится к активному воздействию. Примером удаленной атаки, цель которой нарушение целостности информации, может служить удаленная атака «Ложный объект сети».
И совершенно другой вид атаки, когда получение атакующим несанкционированного доступа к информации не предполагается – это нарушение работоспособности (доступности) системы. В данном случае основная цель злоумышленника – резкое снижение производительности системы атакуемого объекта (или вывод ее из строя), и, как следствие – невозможность доступа пользователей к ее ресурсам. Примером удаленной атаки, целью которой является нарушение работоспособности системы, может служить удалённая атака «Отказ в обслуживании» (DoS-атака, Denial of Service). И наиболее популярная разновидность DoS-атаки – DDoS-атака (Distributed Denial of Service), распределённая атака типа «отказ в обслуживании».
По условию начала осуществления воздействия
Для того чтобы осуществить удаленное воздействие на объект информационной системы, необходимо наступление определенных условий. В распределенных сетях выделяются три условия для начала осуществления воздействия:
По наличию обратной связи с атакуемым объектом
По данному признаку процесс осуществления удаленного воздействия может быть с обратной связью и без обратной связи (однонаправленная атака).
Обратная связь формируется ответом атакуемого объекта на определенный запрос, отправленный к нему злоумышленником, и позволяет последнему реагировать на все изменения, происходящие на атакуемом объекте.
Целью удаленной атаки без обратной связи не является получение данных от атакуемого объекта. Атакующий отправляет запросы, не ожидая ответа от объекта атаки. Поэтому подобную удалённую атаку называют однонаправленной. В качестве примера однонаправленной атаки можно привести типовую удалённую атаку «Отказ в обслуживании».
По расположению нарушителя относительно атакуемого объекта
В соответствии с этим признаком воздействие реализуется как внутрисегментно, так и межсегментно.
Рассмотрим ряд определений:
Хост (host) – сетевое устройство (чаще всего компьютер).
Маршрутизатор (router) – устройство, обеспечивающее маршрутизацию пакетов обмена из одной сети в другую.
Подсеть (subnetwork) – совокупность хостов, являющихся частью сети, для которых маршрутизатором выделен одинаковый номер подсети. Подсеть – логическое объединение хостов маршрутизатором. Хосты внутри одной подсети могут взаимодействовать между собой непосредственно, без использования функций маршрутизации.
Сегмент сети – физическое или логическое объединение хостов. Например, беспроводный сегмент сети образует совокупность хостов, подключенных к точке доступа по схеме «общая шина». При такой схеме подключения каждый хост имеет возможность подвергать анализу любой пакет в своем сегменте. Аналогичная картина будет наблюдаться, если сегмент сети создан не физически, а логически (с применением виртуальных сетей VLAN, о которых мы поговорим в следующих главах).
На практике межсегментную атаку осуществить значительно труднее, чем внутрисегментную. Но межсегментная удаленная атака представляет большую опасность, чем внутрисегментная, так как именно удаленность нарушителя от атакуемого объекта может существенно воспрепятствовать мерам по отражению атаки.
Вероятность удачной внутрисегментной и межсегментной атаки значительно увеличивается в случае наличия беспроводных решений. Одно из главных отличий между проводными и беспроводными сетями связано с тем, осуществлять полный контроль над областью между конечными точками беспроводной сети достаточно сложно. В довольно широком пространстве сетей беспроводная среда никак не контролируется. Наиболее распространенная проблема в открытых и неуправляемых средах, таких как беспроводные сети, – это возможность анонимных атак.
По уровню эталонной модели ISO/OSI, на котором осуществляется воздействие
Распределенные системы являются открытыми системами. Сетевые протоколы обмена, также как и сетевые программы, работают на разных уровнях модели OSI (Open System Interconnection – Взаимодействие открытых систем):
Вследствие того, что удаленная атака реализуется какой-либо сетевой программой, ее можно соотнести с определенным уровнем модели OSI.
По соотношению количества нарушителей и атакуемых объектов
По данному признаку удаленная атака может быть отнесена к следующим классам воздействия:
В двух последних случаях атака осуществляется несколькими злоумышленниками с разных компьютеров в отношении одного или нескольких объектов (распределенное или комбинированное воздействие).
Типовые удалённые атаки
Типовая удаленная атака – это удаленное информационное воздействие, программно осуществляемое по каналам связи и характерное для любой распределенной системы.
Рассмотрим типовые удаленные атаки и механизмы их реализации.
Анализ сетевого трафика
В настоящее время снифферы работают в сетях на вполне законном основании. Однако, вследствие того, что некоторые сетевые приложения (например, Telnet, FTP, SMTP, POP3) передают данные в текстовом формате и не предусматривают шифрование, злоумышленник с помощью сниффера может перехватить поток передаваемых данных. Последующий их анализ позволит извлечь идентификационную информацию, такую как статические пароли пользователей к удаленным хостам, используемые протоколы, доступные порты сетевых служб, активные сетевые сервисы и т.п. В процессе проведения анализа сетевого трафика злоумышленник изучает логику работы сети и, в случае успеха, может получить доступ к конфиденциальной информации удаленного объекта.
По характеру воздействия анализ сетевого трафика является пассивным воздействием (возможность изменения трафика отсутствует), осуществляется внутри одного сегмента сети на канальном уровне OSI. Реализация данной атаки без обратной связи ведет к нарушению конфиденциальности информации. При этом начало осуществления атаки безусловно по отношению к цели атаки.
Подмена доверенного объекта сети
Под доверенным объектом понимается элемент сети (компьютер, межсетевой экран, маршрутизатор и т.п.), имеющий легальное подключение, и которому присвоены права для доступа к сетевым ресурсам информационной системы.
Осуществление атаки «подмена доверенного объекта сети» и передача по каналам связи сообщений от его имени с присвоением его прав доступа возможна в системах, где используются нестойкие алгоритмы идентификации и аутентификации хостов. Типичным примером является перехват TCP-сессии.
Протокол TCP является одним из базовых протоколов транспортного уровня сети Интернет. Он позволяет исправлять ошибки, которые могут возникнуть в процессе передачи пакетов, устанавливая логическое соединение – виртуальный канал. По этому каналу передаются и принимаются пакеты с регистрацией их последовательности, осуществляется управление информационным потоком, организовывается повторная передача искаженных пакетов, а в конце сеанса канал разрывается. Для идентификации TCP-пакета в TCP-заголовке существуют два 32-разрядных идентификатора – Sequence Number (номер последовательности) и Acknowledgment Number (номер подтверждения), которые также играют роль счетчиков пакетов
Существуют две разновидности процесса осуществления удаленной атаки типа «подмена доверенного объекта сети»:
Процесс осуществления атаки с установлением виртуального канала состоит в присвоении прав доверенного пользователя, что позволяет злоумышленнику вести сеанс работы с объектами системы от имени доверенного пользователя. Для формирования ложного TCP-пакета атакующему достаточно подобрать соответствующие текущие значения идентификаторов TCP-пакета (ISSa и ISSb, см. рисунок 1.4) для данного TCP-соединения (например, FTP- или TELNET-подключение).
Так как для служебных сообщений в распределенных сетях часто используется передача одиночных сообщений, не требующих подтверждения, виртуальное соединение не создается. Атака без установления виртуального канала заключается в передаче служебных сообщений от имени сетевых управляющих устройств (например, от имени маршрутизаторов) о ложном изменении маршрутно-адресных данных. Идентификация передаваемых сообщений осуществляется только по сетевому адресу отправителя, который легко подделать. Типовая удаленная атака, использующая навязывание ложного маршрута, основана на описанной идее.
Подмена доверенного объекта сети является активным воздействием, совершаемым с целью нарушения конфиденциальности и целостности информации. Данная удаленная атака может являться как внутрисегментной, так и межсегментной, как с обратной связью, так и без обратной связи с атакуемым объектом и осуществляется на сетевом и транспортном уровнях модели OSI.
Ложный объект сети
Архитектура Интернета создавалась в условиях, когда внутри сети существовало доверие к действиям отдельных участников. В распределенных сетях механизмы идентификации сетевых управляющих устройств (маршрутизаторов) не обеспечивают безопасное использование протоколов управления сетью. Если участник сети (маршрутизатор) заявляет, что он владеет блоком адресного пространства, остальная часть IP-сети верит ему на слово и адресует ему весь соответствующий трафик. Значит, можно создать любой сетевой блок и запустить его в IP-сети, придав анонимность любой атаке, связанной с изменением маршрутизации и внедрением в систему ложного объекта. Такой тип воздействия на сетевую информационную систему ещё называют атакой типа MITM (man in the middle, «человек посередине»).
Для перехвата трафика злоумышленники используют уязвимости, присущие протоколам различных уровней стека TCP/IP: сетевому, транспортному и прикладному. На сегодняшний день в подавляющем большинстве применяются стандартные протоколы семейства TCP/IP, среди которых к наиболее уязвимым относятся следующие: протокол управления передачей TCP, межсетевого взаимодействия IP, эмуляции терминала Telnet, передачи файлов FTP, разрешения адресов ARP, службы доменных имен DNS, управляющих сообщений сети Интернет ICMP и сетевого управления SNMP. Кроме того, для обеспечения эффективной и оптимальной маршрутизации в сетях применяются динамические протоколы RIP и OSPF, позволяющие маршрутизаторам обмениваться информацией друг с другом и обновлять таблицы маршрутизации.
Атакующий ставит целью внедрение ложного объекта в сеть путем изменения таблиц маршрутизации и навязывания ложного маршрута. Основная задача злоумышленника – не только прервать сообщение между сетями, а в первую очередь перевести трафик через свой хост, чтобы извлечь полезную информацию.
Реализация атаки основывается на уязвимостях или ошибках настройки протоколов маршрутизации (RIP, OSPF) и управления сетью (ICMP, SNMP). При этом злоумышленник посылает в сеть управляющее сообщение от имени сетевого управляющего устройства (например, маршрутизатора). Рисунок 1.5 иллюстрирует реализацию удаленной атаки «навязывание ложного маршрута» с использованием протокола ICMP. Пакеты с запросами в сеть 92.14.0.0/16 с хоста А проходят через маршрутизирующее устройство с IP-адресом 192.168.0.1 (рисунок 1.5а). Атакующий посылает управляющее сообщение ICMP Redirect о наилучшем маршруте в сеть 92.14.0.0/16 и получает возможность изменения таблиц маршрутизации хоста А. В результате весь трафик с хоста А, направляющийся в сеть 92.14.0.0/16, проходит через ложный объект хост B (рисунок 1.5б).
Относительно недавно разработчиками израильского центра Electronic Warfare Research and Simulation Center была обнаружена брешь в сетевом протоколе OSPF. Как утверждают исследователи, уязвимость существует из-за того, что сам протокол допускает прием поддельных запросов новых таблиц маршрутизации. Например, при помощи ноутбука, можно отправить периодический запрос Link State Advertisement (LSA) на обновление таблиц маршрутизации. После чего маршрутизатор опознает запрос как легальный, поскольку в подтверждение он проверяет лишь порядковые номера запросов, которые также можно подделать. В результате подобной манипуляции, у злоумышленника будет полный доступ к сети в течение примерно 15-ти минут, пока маршрутизатор опять не обновит таблицы.
Также успешной может оказаться удаленная атака, использующая уязвимости сервисов, установленных на хостах (серверах). Для преобразования адресов из одного формата в другой в распределенных сетях используются протоколы удаленного поиска, заключающиеся в передаче по сети специальных запросов и получения на них ответов с искомой информацией. Так, в сетях Ethernet протокол ARP решает вопрос отображения MAC-адреса (6 байтов) в пространство сетевых IP-адресов (4 байта) и наоборот; протокол DNS используется при преобразовании текстового доменного имени в IP-адрес. При этом существует возможность перехвата злоумышленником поискового запроса и выдачи на него ложного ответа, использование которого приведет к изменению маршрутно-адресных данных. В результате весь сетевой трафик жертвы будет проходить через ложный объект.
На рисунке 1.6 представлена схема реализации атаки «внедрение ложного DNS-сервера» путем перехвата DNS-запроса. Атакующий (может находится либо на хосте B, либо на хосте C) ожидает DNS-запрос от хоста А (рисунок 1.6а). После перехвата поискового запроса от хоста А, атакующий посылает ему ложный DNS-ответ (рисунок 1.6б). Особенно стоит отметить возможность преднамеренного искажения информации: вместо ресурса http://security.dlink.com.tw хост А в результате запроса может получить ресурс с таким же Web-интерфейсом, как и у запрашиваемого, только с искаженной информацией (рисунок 1.6в).
Перехват пользовательского сетевого трафика через ложный объект дает злоумышленнику возможность проведения анализа данных, передаваемых по сети, модификации информации, а также полной ее подмены.
Ниже приведены примеры некоторых наиболее распространенных атак, связанных с внедрением ложного объекта.
Атакующий использует индексы поисковых систем для идентификации уязвимых сайтов. Злоумышленники ищут сайты, использующие распространенные системы управления контентом и другое ПО, содержащее уязвимости процессов обработки входных данных, применяемых в SQL-запросах. Результатом одной из последних атак такого рода стало то, что пользователи, посещающие зараженные страницы переводятся на другие сайты и на сервер Lilupophilupop.com, где им предлагается загрузить вредоносное ПО под видом Adobe Flash Player или несуществующего антивируса.
С использованием SQL-инъекций злоумышленник может не только получить закрытую информацию из базы данных, но и, при определенных условиях, внести туда изменения.
В целом, атаки, связанные с различного рода инъекциями, возможны ввиду недостаточной проверки входных данных и подразумевают внедрение сторонних команд или данных в работающую систему (чаще всего это связано с Web-сайтами) с целью изменения хода её работы, а в результате – получение доступа к закрытым ресурсам и информации, либо дестабилизации работы системы в целом.
Достаточно часто злоумышленник проводит атаку на систему с целью ее отказа в работе.
Отказ в обслуживании (DoS, DDoS-атаки)
Одной из возможностей сетевой операционной системы (ОС), установленной на каждом объекте распределенной сети, является наличие сетевых служб, позволяющих удалённым пользователям использовать ресурсы данного объекта. Программа-сервер (например, FTP-сервер или Web-сервер), запущенная в сетевой ОС компьютера, обеспечивает удаленный доступ к FTP- или Web-ресурсам этого компьютера. Пользователь отправляет запросы на предоставление услуги, ОС обрабатывает приходящие извне запросы, пересылает их на соответствующий сервер (FTP или Web), а сервер отвечает на них по созданному виртуальному каналу.
Любая операционная система имеет ограничения по количеству открытых виртуальных соединений и существует предел ответов на поступающие запросы. Данные ограничения зависят от системных ресурсов, основными из которых являются вычислительные мощности, оперативная память, дисковое пространство или пропускная способность каналов связи. Если какой-то из ресурсов достигнет максимальной загрузки, приложение будет недоступно.
Как правило, атаки типа DoS (Denial of service) направлены на исчерпание критичных системных ресурсов, что приводит к прекращению функционирования системы, т.е. к отказу в обслуживании и невозможности доступа к серверу удаленных пользователей.
Выделяется два типа отказа в обслуживании: первый, основанный на ошибке в приложении, и второй, основанный на плохой реализации или уязвимости протокола.
Отказ в обслуживании приложения становится возможен, если уязвимости приложения ведут к получению контроля над машиной (например, с помощью переполнения буфера обмена). Приложение станет недоступным либо из-за нехватки ресурсов, либо из-за аварийного завершения. Уязвимость приложения может быть использована и для нарушения работоспособности других компонентов системы, таких как сервер СУБД или сервер аутентификации.
Сетевой отказ в обслуживании основывается на особенностях стека протоколов TCP/IP.
Если атака выполняется одновременно с большого числа хостов, говорят о распределённой атаке типа «отказ в обслуживании» – DDoS-атаке (Distributed Denial of Service). В некоторых случаях к DDoS-атаке приводит легальное действие, например, на популярном Интернет-ресурсе указана ссылка на сайт, размещённый на не очень производительном сервере (так называемый слэшдот-эффект). Большой наплыв пользователей приводит к превышению допустимой нагрузки на сервер, и он очень быстро становится недоступным или доступ к нему затрудняется в результате перегруженности.
Ниже представлены некоторые типы подобных атак, однако, это всего лишь малая часть от существующих на сегодняшний день вариантов DoS-атак, информация о которых постоянно обновляется на специализированных Web-сайтах.
Идея атаки состоит в создании большого количества не до конца установленных TCP-соединений. Для реализации этого злоумышленник отправляет на сервер-жертву множество запросов на установление соединения (пакеты, с выставленным флагом SYN), машина-жертва отвечает пакетами SYN-ACK. Злоумышленник же игнорирует эти пакеты, не высылая ответные, либо подделывает заголовок пакета таким образом, что ответный SYN-ACK отправляется на несуществующий адрес. Процесс установки соединения не завершается, а остается в полуоткрытом состоянии, ожидая подтверждения от клиента. А так как под каждый полученный SYN-пакет сервер резервирует место в своем буфере, то при огромном количестве запросов, буфер достаточно быстро переполняется. В результате, вновь поступающие SYN-запросы, в том числе от легальных пользователей, не обрабатываются, и новые соединения не устанавливаются.
Злоумышленник генерирует большое количество UDP-датаграмм (UDP-шторм), направленных на определенную машину. В результате происходит перегрузка сети и недоступность сервера-жертвы. В протоколе TCP есть механизмы предотвращения перегрузок: если подтверждения приема пакетов приходят со значительной задержкой, передающая сторона замедляет скорость передачи TCP-пакетов. Так как в протоколе UDP такой механизм отсутствует, то после начала атаки UDP-трафик «захватывает» практически всю доступную полосу пропускания.
Вредоносное ПО LOIC (Low Orbit Ion Cannon) выполняет распределённую атаку на отказ в обслуживании путём постоянной отправки TCP и UDP пакетов на целевой сайт или сервер. Это ПО создано для организации DDoS-атак на Web-сайты с участием тысяч анонимных пользователей, пользующихся программой. Атаки производятся на такие сайты, как Visa.com или Mastercard.com.
Эти хосты отвечают пакетом ICMP Echo Reply, отправляя его на тот IP-адрес, который злоумышленник указал как источник. Часто для усиления атаки используются локальные сети (LAN) с включенной опцией направленной широковещательной рассылки (directed broadcast) в ответ на команду «ping» с каждого хоста в составе сети. Например, на один запрос будет отправлено 100 ответов. В результате вся сеть подвергается отказу из-за перегрузки.
Функция, предназначенная для обеспечения большей безопасности SSL, на самом деле делает его более уязвимым перед атакой.
Например, троян Backdoor.IRCBot.ADEQ представляет собой вредоносное ПО, которое распространяется как регулярное обновление для Java платформы, и являет собой чрезвычайно опасный инструмент для инициации распределенной атаки «отказ в обслуживании». Данная программа имеет возможность установки ссылки целевого ресурса, назначения времени атаки, интервала и частоты запросов.
Удаленная атака типа «отказ в обслуживании» является активным воздействием, осуществляемым с целью нарушения работоспособности системы, безусловно относительно цели атаки. Данная удалённая атака является однонаправленным воздействием, как межсегментным, так и внутрисегментным, осуществляемым на транспортном и прикладном уровнях модели OSI.
Социальная инженерия (Social Engineering) – использование некомпетентности, непрофессионализма или небрежности персонала для получения доступа к информации. Суть этого метода сводится к тому, что злоумышленник старается получить интересующие его сведения путем установления контакта с человеком, владеющим необходимой информацией, тем или иным способом (при ведении телефонного разговора, почтовой переписки, доверительной беседы в кафе и т.п.)
С бурным развитием социальных сетей такой метод доступа к конфиденциальной информации стал очень популярным.
Phishing (фишинг) – одна из разновидностей социальной инженерии. Цель такого мошенничества – получить идентификационные данные пользователей. Это и кражи паролей, номеров кредитных карт, банковских счетов и другой конфиденциальной информации. Фишинг осуществляется с помощью пришедших на почту поддельных уведомлений от банков, провайдеров, платежных систем и других организаций о том, что по какой-либо причине получателю срочно нужно передать / обновить личные данные. Причины могут называться различные. Это может быть утеря данных, поломка в системе и пр. Фишинговые сайты, как правило, живут недолго (в среднем – 5 дней). Так как анти-фишинговые фильтры довольно быстро получают информацию о новых угрозах, фишерам приходится регистрировать все новые и новые сайты. Внешний же вид их совпадает с официальным сайтом, под который пытаются подделать свой сайт мошенники. Наиболее часто жертвами фишинга становятся пользователи электронных платежных систем, аукционов, электронной почты и, помимо этого – пользователи «социальных сетей» (vkontakte, odnoklassniki, twitter, facebook и др.).
Spear Phishing (направленный фишинг). Это комбинация обыкновенного фишинга и методов социальной инженерии, направленная против одного человека или целевой группы. Чтобы атака была успешной, она должна быть очень хорошо подготовлена, чтобы не вызвать подозрений. Злоумышленник собирает максимум сведений о конкретном человеке (группе лиц). Очень часто такие атаки направлены против финансовых организаций. Атакующий использует собранную персональную информацию и так подготавливает электронное (а бывает, и бумажное) письмо, чтобы оно выглядело достоверно и заставило человека ответить и выдать свои конфиденциальные данные (логины и пароли). Например, используя найденную в прессе информацию о назначении господина Х на новую должность, ему присылают официальное с виду письмо от службы технической поддержки, и в результате господин Х позволяет «службе поддержки» установить у себя троянскую программу или просит завести себе логин и пароль, схожий с логином и паролем в другой системе.
В последнее время механизм социальной инженерии очень часто используется для организации и реализации DDoS-атаки на сетевой ресурс, когда злоумышленники провоцируют пользователей ресурса на определённые действия, связанные с рассылкой сообщений (т.н. «письма счастья» или «магические письма», мнимые предупреждения о вредоносных программах, или событиях и необходимости оповещения об этом других пользователей и т.п.). В этом случае добропорядочные пользователи, если они играют по правилам злоумышленников (т.е. рассылают полученные злоумышленниками сообщения), невольно становятся соучастниками DDoS-атаки на сетевой ресурс.