Безопасность информационных систем

В начале девяностых годов, компании VISA и MasterCard вместе с другими компаниями, занимающимися техническими вопросами (включая IBM), определили спецификацию и набор протоколов проведения электронных платежей, широко известные как протокол SET. Эта открытая спецификация очень быстро стала де-факто стандартом электронной коммерции. В ней реализованы следующие принципы информационной безопасности:

· шифрование информации обеспечивает ее защиту;

· ЭЦП и сертификаты обеспечивают идентификацию участников операции и юридическую силу документов;

· ЭЦП также используется для предотвращения модификации данных третьей стороной;

· открытый набор протоколов используется для обеспечения взаимодействия между разными реализациями.

Система управления криптографическими ключами в SET соответствует требованиям международного стандарта Х509.

Сейчас передаются данные об акциях, облигациях, приказы, сигналы по сети. Участники передачи нуждаются в защите от множества злоумышленных действий, к которым относятся:

*Отказ от выполненных действий. Субъект утверждает, что он не посылал некоторый документ, хотя на самом деле он его послал.

*Модификация документа. Получатель модифицирует полученный документ и утверждает, что именно такую версию документа он и получил.

*Подделка. Субъект фабрикует сообщение и утверждает, что оно ему прислано.

*Перехват. Злоумышленник С перехватывает сообщение, посланное А к В с целью модификации.

*Маскировка. Посылка сообщения от чужого имени.

*Повтор. Злоумышленник С посылает повторно сообщение от А к Б, перехваченное им ранее.

33. Электронная цифровая подпись: алгоритм выработки

· Формирование цифровой подписи

1. Вычисление хэш-функции от сообщения М: h(M)

2. Вычисление e = z (mod q), и если e = 0, положить e = 1. Где z -- целое число

3. Генерация случайного числа k, такого что 0 < k < q

4. Вычисление точки эллиптической кривой C = kP, и по ней нахождение r = x_c(mod q) (x_c -- координата x точки C). Если r = 0, возвращаемся к предыдущему шагу.

5. Нахождение s = rd + ke(mod q). Если s = 0, возвращаемся к шагу 3.

6. Формирование цифровой подписи, где r и s -- векторы, соответствующие r и s.

34. Электронная цифровая подпись: алгоритм проверки

· Проверка цифровой подписи

1. Вычисление по цифровой подписи чисел r и s, учитывая, что о =(r | s), где r и s -- числа, соответствующие векторам r и s. Если хотя бы одно из неравенств r < q и s < q неверно, то подпись неправильная.

2. Вычисление хэш-функции от сообщения М: h(M)

3. Вычисление e = z(mod q), и если e = 0, положить e = 1. Где z -- целое число соотвествующее h(M)

4. Вычисление v = e - 1(mod q).

5. Вычисление z1 = sv(mod q) и z2 = - rv(mod q)

6. Вычисление точки эллиптической кривой C = z1P + z2Q. И определение R = xc(mod q), где xc -- координата x кривой C. В случае равенства R = r подпись правильная, иначе -- неправильная.

35. Процедура обмена ключами по открытому каналу Диффи-Хеллмана

Этот метод предполагает наличие двух ключей при каждом сеансе кодирования и хорошо отрекомендовал себя даже в незащищенных сетях. Каждый пользователь создает два ключа. Каждый ключ представляет собой произвольный набор цифр объемом в некоторых случаях более чем в 500 цифр. Оба ключа связаны между собой таким образом, что сообщение можно зашифровать с помощью одного ключа и расшифровать с помощью другого, однако расшифровать сообщение с помощью ключа, использовавшегося для его зашифровки, нельзя.

Цель: двум пользователям А и В получить общий секретный ключ.

1.Пользователь А генерирует случайное число Х.

2.Пользователь В генерирует случайное число У.

3.А вычисляет: La=a^x mod m

4.B вычисляет: Lb=b^y mod m

5.A посылает пользователю В La.

6.В посылает пользователю А Lb.

7.A вычисляет Kab =(Lb)^x mod m=(a^y mod m)^x mod m=a^xy mod m.

8.B вычисляет Kab =(La)^y mod m=(a^x mod m)^y mod m=a^xy mod m.

Таким образом оба пользователя теперь имеют одинаковый секретный ключ Kab.

36. Управление криптографическими ключами

Под ключевой информацией понимается совокупность всех действующих в ИС ключей.

Управление ключами - это информационный процесс, включающий 3 элемента:

· генерацию ключей;

· накопление ключей;

· распределение ключей.

Генерация ключей

Известно, что не стоит использовать неслучайные ключи. В серьезных ИС используют специальные программные и аппаратные методы генерации случайных ключей. Как правило, используется датчики случайных и псевдослучайных чисел. Степень случайности должна быть высокой. Идеальными генераторами являются устройства на основе натуральных случайных процессов. Физический датчик случайных чисел встроен в ядро процессора Pentium 3.

Математически случайные числа можно получить, используя десятичные знаки трансцендентных чисел, например, р или е, которые вычисляются с помощью стандартных математических методов. ИС со средними требованиями защищенности использует программное получение случайных чисел.

Накопление ключей

Накопление ключей - организация их учета, хранения и удаления. Так как ключей много, то они хранятся в БД ключевой информации. Сами ключи должны храниться в БД в зашифрованном виде.

Ключ, зашифровывающий ключевую информацию, называется мастер- ключом.

Желательно, чтобы пользователь знал его наизусть. Можно мастер-ключи разбивать на части и хранить одну часть на магнитной карточке, а другую - в памяти компьютера.

Важным условием хранения ключевой информации является периодическое обновление ключей и мастер-ключей. В особо ответственных случаях обновлять можно ежедневно.

Распределение ключей

Распределение ключей - самый ответственный процесс в управлении ключами. К нему предъявляются два требования:

· Оперативность и точность распределения.

· Скрытность распределения ключей.

Пользователи в симметричных криптосистемах должны обменяться общим секретным ключом, который будет использоваться и для шифрования и для расшифрования.

Распределение ключей в симметричных криптосистемах может проходить следующими способами:

1) можно через курьера доставить ключ, но так как ключи должны обновляться, то доставлять дорого и неэффективно

2) получение двумя пользователя общего ключа от центрального органа (Центр Распределении Ключей - ЦРК). Передаваемый ключ шифруется ключом ЦРК. Недостаток: в ЦРК может появиться злоумышленник. Можно, чтобы в виде дерева организовать хранение ключей в ЦРК.

3) Третий способ предложили ученые Диффи и Хеллман - протокол обмена ключами по открытому каналу. Протокол - это последовательность шагов, которые принимают 2 или большее число сторон для совместного решения задачи. Все шаги следуют в порядке очередности.

37. Процедура обмена ключами с использованием сертификатов

Метод достижения одновременно аутентичности и целостности при распределении открытых ключей заключается в использовании сертификатов.

Система, основанная на сертификатах, предполагает, что имеется центральный орган, и что каждый пользователь может осуществить безопасное взаимодействие с центральным органом, для этого у каждого пользователя должен быть открытый ключ центрального органа.

Сертификатом открытого ключа С_А называют сообщение центрального органа, удостоверяющего целостность некоторого открытого ключа объекта А (может быть бумажный, электронный документ).

Например: сертификат открытого ключа для пользователя А, обозначаемый С_А, содержит отметку времени Т, идентификатор Id_A, открытый ключ K_A, зашифрованный секретным ключом ЦРК К_црк:

С_А = Е К_црк (Т, Id_A, K_A )

Отметка времени Т используется для подтверждения актуальности сертификата и тем самым предотвращает повторы прежних сертификатов. Секретный ключ К_црк известен только менеджеру ЦРК, а открытый ключ ЦРК известен всем абонентам

Система, обеспечивающая шифрование с открытым ключом и ЭЦП, называется инфраструктурой открытого ключа.

Центр сертификации создает сертификаты пользователей путем ЭЦП с использованием своего секретного ключа и подписывает набор следующих данных:

1. Полное имя пользователя (номер, пароль).

2. Открытый ключ пользователя.

3. Время действия сертификата.

4. Конкретные операции, для которых этот ключ может быть использован (идентификация, шифрование или и то и другое).

38. Длина ключа и надежность криптосистем

Количество информации в ключе, как правило, измеряется в битах.

Для современных симметричных алгоритмов (AES, CAST5, IDEA, Blowfish, Twofish) основной характеристикой криптостойкости является длина ключа. Шифрование с ключами длиной 128 бит и выше считается сильным, так как для расшифровки информации без ключа требуются годы работы мощных суперкомпьютеров. Для асимметричных алгоритмов, основанных на проблемах теории чисел (проблема факторизации -- RSA, проблема дискретного логарифма -- Elgamal) в силу их особенностей минимальная надёжная длина ключа в настоящее время -- 1024 бит. Для асимметричных алгоритмов, основанных на использовании теории эллиптических кривых (ECDSA, ГОСТ Р 34.10-2001, ДСТУ 4145-2002), минимальной надёжной длиной ключа считается 163 бит, но рекомендуются длины от 191 бит и выше.

Типы ключей:

· Секретные (Симметричные) ключи

· Асимметричные ключи

o Открытый ключ

o Закрытый ключ

· Сеансовые (сессионные) ключи

· Подключи

Стойкость криптосистемы зависит от:

· длины ключа

· объема ключевого пространства

Надежность криптосистем можно сравнить с цепью. Прочность цепи зависит от самого слабого звена, звенья криптосистемы:

1) алгоритм;

2) протокол;

3) ключи.

39. Криптографические протоколы

Криптографический протокол (англ. Cryptographic protocol) -- это абстрактный или конкретный протокол, включающий набор криптографических алгоритмов. В основе протокола лежит набор правил, регламентирующих использование криптографических преобразований и алгоритмов в информационных процессах.

Функции криптографических протоколов:

· Аутентификация источника данных

· Аутентификация сторон

· Конфиденциальность данных

· Невозможность отказа

· Невозможность отказа с доказательством получения

· Невозможность отказа с доказательством источника

· Целостность данных

· Обеспечение целостности соединения без восстановления

· Обеспечение целостности соединения с восстановлением

· Разграничение доступа

Классификация:

· Протоколы шифрования / расшифрования

· Протоколы электронной цифровой подписи (ЭЦП)

· Протоколы идентификации / аутентификации

· Протоколы аутентифицированного распределения ключей

Задачи:

· Обеспечение различных режимов аутентификации

· Генерация, распределение и согласование криптографических ключей

· Защита взаимодействий участников

· Разделение ответственности между участниками

Разновидности атак на протоколы:

· Атаки, направленные против криптографических алгоритмов

· Атаки против криптографических методов, применяемых для реализации протоколов

· Атаки против самих протоколов (активные или пассивные)

Требования к безопасности протокола:

1. Аутентификация (нешироковещательная):

· аутентификация субъекта

· аутентификация сообщения

· защита от повтора

2. Аутентификация при рассылке по многим адресам или при подключении к службе подписки/уведомления:

· неявная (скрытая) аутентификация получателя

· аутентификация источника

3. Авторизация (доверенной третьей стороной)

4. Свойства совместной генерации ключа:

· аутентификация ключа

· подтверждение правильности ключа

· защищенность от чтения назад

· формирование новых ключей

· защищенная возможность договориться о параметрах безопасности

5.Конфиденциальность

6.Анонимность:

· защита идентификаторов от прослушивания (несвязываемость)

· защита идентификаторов от других участников

7.Ограниченная защищенность от атак типа «отказ в обслуживании»

8.Инвариантность отправителя

9.Невозможность отказа от ранее совершенных действий:

· подотчетность

· доказательство источника

· доказательство получателя

10.Безопасное временное свойство

40. Сравнение аппаратных и программных средств криптографии

· аппаратные методы защиты:

o К аппаратным средствам защиты относятся различные электронные, электронно-механические, электронно-оптические устройства. К настоящему времени разработано значительное число аппаратных средств различного назначения, однако наибольшее распространение получают следующие:

§ -специальные регистры для хранения реквизитов защиты: паролей, идентифицирующих кодов, грифов или уровней секретности,

§ -генераторы кодов, предназначенные для автоматического генерирования идентифицирующего кода устройства,

§ -устройства измерения индивидуальных характеристик человека (голоса, отпечатков) с целью его идентификации,

§ -специальные биты секретности, значение которых определяет уровень секретности информации, хранимой в ЗУ, которой принадлежат данные биты,

§ -схемы прерывания передачи информации в линии связи с целью периодической проверки адреса выдачи данных.

o Особую и получающую наибольшее распространение группу аппаратных средств защиты составляют устройства для шифрования информации (криптографические методы).

· программные методы защиты.

o К программным средствам защиты относятся специальные программы, которые предназначены для выполнения функций защиты и включаются в состав программного обеспечения систем обработки данных. Программная защита является наиболее распространенным видом защиты, чему способствуют такие положительные свойства данного средства, как универсальность, гибкость, простота реализации, практически неограниченные возможности изменения и развития и т.п. По функциональному назначению их можно разделить на следующие группы:

§ -идентификация технических средств (терминалов, устройств группового управления вводом-выводом, ЭВМ, носителей информации), задач и пользователей,

§ -определение прав технических средств (дни и время работы, разрешенные к использованию задачи) и пользователей,

§ -контроль работы технических средств и пользователей,

§ -регистрация работы технических средств и пользователей при обработки информации ограниченного использования,

§ -уничтожения информации в ЗУ после использования,

§ -сигнализации при несанкционированных действиях,

§ -вспомогательные программы различного назначения: контроля работы механизма защиты, проставления грифа секретности на выдаваемых документах.

41. Классификация вирусов по типам и по методу внедрения в ИС

· В настоящее время не существует единой системы классификации и именования вирусов (хотя попытка создать стандарт была предпринята на встрече CARO в 1991 году). Принято разделять вирусы:

o по поражаемым объектам (файловые вирусы, загрузочные вирусы, скриптовые вирусы, макровирусы, вирусы, поражающие исходный код);

o по поражаемым операционным системам и платформам (DOS, Microsoft Windows, Unix, Linux);

o по технологиям, используемым вирусом (полиморфные вирусы, стелс-вирусы, руткиты);

o по языку, на котором написан вирус (ассемблер, высокоуровневый язык программирования, скриптовый язык и др.);

o по дополнительной вредоносной функциональности (бэкдоры, кейлоггеры, шпионы, ботнеты и др.).

· По способу заражения файлов вирусы делятся на:

o перезаписывающие (overwriting);

o паразитические (parasitic);

o вирусы-компаньоны (companion);

o вирусы-ссылки (link);

o вирусы, заражающие объектные модули (OBJ);

o вирусы, заражающие библиотеки компиляторов (LIB);

o вирусы, заражающие исходные тексты программ.

42. Классификация программных закладок (ПЗ) по типам и по методу внедрения в ИС

· Классификация по типам:

o вносить произвольные искажения в коды программ, находящихся и оперативной памяти компьютера (программная закладка первого типа);

o переносить фрагменты информации из одних областей оперативной или внешней памяти компьютера в другие (программная закладка второго типа);

o искажать выводимую на внешние компьютерные устройства или в канал связи информацию, полученную в результате работы других программ (программная закладка третьего типа).

· Классификация по методу внедренния:

o программно-аппаратные закладки, ассоциированные с аппаратными средствами компьютера (их средой обитания, как правило, является BIOS -- набор программ, записанных в виде машинного кода в постоянном запоминающем устройстве -- ПЗУ);

o загрузочные закладки, ассоциированные с программами начальной загрузки, которые располагаются в загрузочных секторах (из этих секторов в процессе выполнения начальной загрузки компьютер считывает программу, берущую на себя управление для последующей загрузки самой операционной системы);

o драйверные закладки, ассоциированные с драйверами (файлами, и которых содержится информация, необходимая операционной системе для управления подключенными к компьютеру периферийными устройствами);

o прикладные закладки, ассоциированные с прикладным программным обеспечением общего назначения (текстовые редакторы, утилиты, антивирусные мониторы и программные оболочки);

o исполняемые закладки, ассоциированные с исполняемыми программными модулями, содержащими код этой закладки (чаше всего эти модули представляют собой пакетные файлы, т. е. файлы, которые состоят из команд операционной системы, выполняемых одна за одной, как если бы их набирали на клавиатуре компьютера);

o закладки-имитаторы, интерфейс которых совпадает с интерфейсом некоторых служебных программ, требующих ввод конфиденциальной информации (паролей, криптографических ключей, номеров кредитных карточек);

o замаскированные закладки, которые маскируются под программные средства оптимизации работы компьютера (файловые архиваторы, дисковые дефрагментаторы) или под программы игрового и развлекательного назначения.

43. Деструктивные действия ПЗ

· копирование информации пользователя компьютерной системы (паролей, криптографических ключей, кодов доступа, конфиденциальных электронных документов), находящейся в оперативной или внешней памяти этой системы либо в памяти другой компьютерной системы, подключенной к ней через локальную или глобальную компьютерную сеть;

· изменение алгоритмов функционирования системных, прикладных м служебных программ (например, внесение изменений в программу разграничения доступа может привести к тому, что она разрешит вход в систему всем без исключения пользователям вне зависимости от правильности введенного пароля);

· навязывание определенных режимов работы (например, блокировании записи на диск при удалении информации, при этом информация, которую требуется удалить, не уничтожается и может быть впоследствии скопирована хакером).

44. Модели ПЗ: перехват, статическое искажение, динамическое искажение

· Перехват

o В модели перехват программная закладка внедряется в ПЗУ системное или прикладное программное обеспечение и сохраняет всю или выбранную информацию, вводимую с внешних устройств компьютерной системы или выводимую на эти устройства, в скрытой области памяти локальной или удаленной компьютерной системы. Объектом сохранения, например, могут служить символы, введенные с клавиатуры (все повторяемые два раза последовательности символов), или электронные документы, распечатываемые на принтере.

o Данная модель может быть двухступенчатой. На первом этапе сохраняются только, например, имена или начала файлов. На втором накопленные данные анализируются злоумышленником с целью принятия решения о конкретных объектах дальнейшей атаки.

· Статическое искажение происходит всего один раз. При этом модифицируются параметры программной среды компьютерной системы, чтобы впоследствии в ней выполнялись нужные злоумышленнику действия. К статическому искажению относится, например, внесение изменений в файл AUTOEXEC.BAT операционной системы Windows 95/98, которые приводят к запуску заданной программы, прежде чем будут запущены все другие, перечисленные в этом файле.

· Динамическое искажение заключается в изменении каких-либо параметром системных или прикладных процессов при помощи заранее активизированных закладок. Динамическое искажение можно условно разделить так: искажение на входе (когда на обработку попадает уже искаженный документ) и искажение на выходе (когда искажается информация, отображаемая для восприятия человеком, или предназначенная для работы других программ).

45. Модели ПЗ: уборка мусора, наблюдение и компрометация

· Уборка мусора, программная закладка может инициировать статическую ошибку, пометив один или несколько кластеров из цепочки, входящей в файл, меткой "СБОЙНЫЙ". В результате при удалении файла средствами операционной системы или средствами гарантированного уничтожения та его часть, которая размещена в сбойных кластерах, останется нетронутой и впоследствии может быть восстановлена с помощью стандартных утилит.

· Наблюдение и компрометация: Помимо перечисленных, существуют и другие модели воздействия программных закладок на компьютеры. В частности, при использовании модели типа наблюдение программная закладка встраивается в сетевое или телекоммуникационное программное обеспечение. Пользуясь тем, что подобное программное обеспечение всегда находится в состоянии активности, внедренная в него программная закладка может следить за всеми процессами обработки информации в компьютерной системе, а также осуществлять установку и удаление других программных закладок. Модель типа компрометация позволяет получать доступ к информации, перехваченной другими программными закладками. Например, инициируется постоянное обращение к такой информации, приводящее к росту соотношения сигнал/шум. А это, в свою очередь, значительно облегчает перехват побочных излучений данной компьютерной системы и позволяет эффективно выделять сигналы, сгенерированные закладкой типа "компрометация", из общего фона излучения, исходящего от оборудования.

46. «Троянские» программы. Процедура распознавания троянца

· Троямнская программа -- вредоносная программа, распространяемая людьми. В отличие от вирусов и червей, которые распространяются самопроизвольно.

· «Трояны» -- самый простой вид вредоносных программ, сложность которых зависит исключительно от сложности истинной задачи и средств маскировки. Самые примитивные «трояны» (например, стирающие содержимое диска при запуске) могут иметь исходный код в несколько строк.

· Виды «Троянов»:

o Оповещение об атаке увенчавшейся успехом (Trojan-Notifier)

o Архивные бомбы (ArcBomb)

o Сокрытие присутствия в операционной системе (Rootkit)

o Троянские прокси-сервера (Trojan-Proxy)

o Шпионские программы (Trojan-Spy)

o Троянские утилиты удаленного администрирования (Backdoor)

o Похитители паролей (Trojan-PSW)

o Интернет-кликеры (Trojan-clicker)

o Загрузчики (Trojan-Downloader)

o Установщики (Trojan-Dropper)

· Обнаружение троянской программы: Большинство троянцев используется для удаленного управления/администрирования, кражи конфиденциальной информации и т.д. А это все подразумевает использование сети и технологии клиент-сервер. И так или иначе троянцу придется использовать какой-либо порт для осуществления поставленной задачи. Очень часто используется даже несколько портов, для разделения задач (например, через один порт осуществляется отсылка информации, а через другой получение команд).

47. Защита от внедрения ПЗ. Выявление и удаление ПЗ

· Защита от внедрения программных закладок

o в нем установлена система BIOS, не содержащая программных закладок;

o операционная система проверена на наличие в ней закладок;

o достоверно установлена неизменность BIOS и операционной системы для данного сеанса;

o на компьютере не запускалось и не запускается никаких иных программ, кроме уже прошедших проверку на присутствие в них закладок;

o исключен запуск проверенных программ в каких-либо иных условиях. кроме перечисленных выше, т. е. вне изолированного компьютера.

· Выявление внедренной программной закладки

o Выявление внедренного кода программной закладки заключается в обнаружении признаков его присутствия в компьютерной системе. Эти признаки можно разделить на следующие два класса:

§ качественные и визуальные;

§ обнаруживаемые средствами тестирования и диагностики.

· Удаление внедренной программной закладки: Конкретный способ удаления внедренной программной закладки зависит от метода ее внедрения в компьютерную систему. Если это программно-аппаратная закладка, то следует перепрограммировать ПЗУ компьютера. Если это загрузочная, драйверная, прикладная, замаскированная закладка или закладка- имитатор, то можно заменить их на соответствующую загрузочную запись, драйвер, утилиту, прикладную или служебную программу, полученную от источника, заслуживающего доверия. Наконец, если это исполняемый программный модуль, то можно попытаться добыть его исходный текст, убрать из него имеющиеся закладки или подозрительные фрагменты, а затем заново откомпилировать.

48. Клавиатурные шпионы: имитаторы, фильтры и заместители

· Виды:

o Имитаторы

o Фильтры

o Заместители

· Имитаторы: Злоумышленник внедряет в ОС модуль, который предлагает пользователю зарегистрироваться для входа в систему. Имитатор сохраняет введенные данные в определенной области памяти. Инициируется выход из системы и появляется уже настоящее приглашение. Для надежной защиты от имитаторов необходимо:

o Чтобы системный процесс, который получает от пользователя идентификатор и пароль, имел свой рабочий стол.

o Переключение на регистрационное окно рабочего стола аутентификации должно происходить абсолютно незаметно для прикладных программ.

· Фильтры: Фильтры - охотятся за всеми данными, которые вводятся с клавиатуры. Самые элементарные фильтры сбрасывают перехваченный ввод на жесткий диск или в другое нужное место. Фильтры являются резидентными программами, перехватывающими одно или несколько прерываний, связанных с обработкой клавиатурных сигналов. Эти прерывания возвращают информацию о нажатой клавише, которая анализируется фильтрами на предмет выявления данных, имеющих отношение к паролю пользователя.

o Во время ввода пароля не разрешать переключения раскладки клавиатуры (срабатывает фильтр).

o Конфигурировать цепочку программных модулей, участвующих в работе с паролем пользователя может только системный администратор.

o Доступ к файлам этих модулей имеет только системный администратор.

· Заместители полностью подменяют собой программные модули, отвечающие за аутентификацию пользователей. Такие закладки могут быть созданы для работы в многопользовательских системах. Заместители полностью берут на себя функции подсистемы аутентификации, поэтому они должны выполнять следующие действия:

o подобно вирусу внедриться в один / несколько файлов системы;

o использовать интерфейсные связи между программными модулями подсистемы аутентификации для встраивания себя в цепочку обработки введенного пользователем пароля.

49. Особенности безопасности компьютерных сетей. Понятие удаленной атаки

· Угроза безопасности компьютерной системы - это потенциально возможное происшествие, неважно, преднамеренное или нет, которое может оказать нежелательное воздействие на саму систему, а также на информацию, хранящуюся в ней. Иначе говоря, угроза - это нечто плохое, что когда-нибудь может произойти.

· Уязвимость компьютерной системы - это некая ее неудачная характеристика, которая делает возможным возникновение угрозы. Другими словами, именно из-за наличия уязвимостей в системе происходят нежелательные события.

· Атака на компьютерную систему - это действие, предпринимаемое злоумышленником, которое заключается в поиске и использовании той или иной уязвимости. Таким образом, атака - это реализация угрозы. Заметим, что такое толкование атаки (с участием человека, имеющего злой умысел), исключает присутствующий в определении угрозы элемент случайности, но, как показывает опыт, часто бывает невозможно различить преднамеренные и случайные действия, и хорошая система защиты должна адекватно реагировать на любое из них.

· Далее, исследователи обычно выделяют три основных вида угроз безопасности - это угрозы раскрытия, целостности и отказа в обслуживании.

o Угроза раскрытия заключается том, что информация становится известной тому, кому не следовало бы ее знать. В терминах компьютерной безопасности угроза раскрытия имеет место всякий раз, когда получен доступ к некоторой конфиденциальной информации, хранящейся в вычислительной системе или передаваемой от одной системы к другой. Иногда вместо слова "раскрытие" используются термины "кража" или "утечка.

o Угроза целостности включает в себя любое умышленное изменение (модификацию или даже удаление) данных, хранящихся в вычислительной системе или передаваемых из одной системы в другую. Обычно считается, что угрозе раскрытия подвержены в большей степени государственные структуры, а угрозе целостности - деловые или коммерческие.

o Угроза отказа в обслуживании возникает всякий раз, когда в результате некоторых действий блокируется доступ к некоторому ресурсу вычислительной системы. Реально блокирование может быть постоянным, так чтобы запрашиваемый ресурс никогда не был получен, или оно может вызвать только задержку запрашиваемого ресурса, достаточно долгую для того, чтобы он стал бесполезным. В таких случаях говорят, что ресурс исчерпан.

· Под удаленной атакой будем понимать информационное разрушающее воздействие на распределенную ВС, программно осуществляемое по каналам связи. Это определение охватывает обе особенности сетевых систем - распределенность компьютеров и распределенность информации. Поэтому далее будут рассмотрены два подвида таких атак - это удаленные атаки на инфраструктуру и протоколы сети и удаленные атаки на телекоммуникационные службы. Первые используют уязвимости в сетевых протоколах и инфраструктуре сети, а вторые - уязвимости в телекоммуникационных службах. При этом под инфраструктурой сети мы понимаем сложившуюся систему организации отношений между объектами сети и используемые в сети сервисные службы.

50. Классификация компьютерных злоумышленников

· хакеров (hackers)

· кракеров (crackers)

o Вандалы

o "Шутники"

o Взломщики

51. Классификация удаленных атак на распределенные вычислительные системы

· По характеру воздействия

o пассивное (класс 1.1)

§ Пассивным воздействием на распределенную вычислительную систему назовем воздействие, которое не оказывает непосредственного влияния на работу системы, но может нарушать ее политику безопасности. Именно отсутствие непосредственного влияния на работу распределенной ВС приводит к тому, что пассивное удаленное воздействие практически невозможно обнаружить. Примером пассивного типового удаленного воздействия в РВС служит прослушивание канала связи в сети.

o активное (класс 1.2)

§ Под активным воздействием на распределенную ВС будем понимать воздействие, оказывающее непосредственное влияние на работу системы (изменение конфигурации РВС, нарушение работоспособности и т. д.) и нарушающее принятую в ней политику безопасности. Практически все типы удаленных атак являются активными воздействиями. Это связано с тем, что в самой природе разрушающего воздействия содержится активное начало. Очевидной особенностью активного воздействия по сравнению с пассивным является принципиальная возможность его обнаружения (естественно, с большей или меньшей степенью сложности), так как в результате его осуществления в системе происходят определенные изменения.

· По цели воздействия

o нарушение конфиденциальности информации либо ресурсов системы (класс 2.1)

o нарушение целостности информации (класс 2.2)

o нарушение работоспособности (доступности) системы (класс 2.3)

· По условию начала осуществления воздействия

o Атака по запросу от атакуемого объекта (класс 3.1)

§ В этом случае атакующий ожидает передачи от потенциальной цели атаки запроса определенного типа, который и будет условием начала осуществления воздействия.

o Атака по наступлению ожидаемого события на атакуемом объекте (класс 3.2)

§ В этом случае атакующий осуществляет постоянное наблюдение за состоянием операционной системы удаленной цели атаки и при возникновении определенного события в этой системе начинает воздействие. Как и в предыдущем случае, инициатором осуществления начала атаки выступает сам атакуемый объект.

o Безусловная атака (класс 3.3)

§ В этом случае начало осуществления атаки безусловно по отношению к цели атаки, то есть атака осуществляется немедленно и безотносительно к состоянию системы и атакуемого объекта. Следовательно, в этом случае атакующий является инициатором начала осуществления атаки.

· По наличию обратной связи с атакуемым объектом

o с обратной связью (класс 4.1)

o без обратной связи (однонаправленная атака) (класс 4.2)

· По расположению субъекта атаки относительно атакуемого объекта

o внутрисегментное (класс 5.1)

o межсегментное (класс 5.2)

· По уровню эталонной модели ISO/OSI, на котором осуществляется воздействие

o физический (класс 6.1)

o канальный (класс 6.2)

o сетевой (класс 6.3)

o транспортный (класс 6.4)

o сеансовый (класс 6.5)

o представительный (класс 6.6)

o прикладной (класс 6.7)

52. Типовая удаленная атака: анализ сетевого трафика сети Интернет

· Специфичное для распределенных ВС типовое удаленное воздействие, заключающееся в прослушивании канала связи. Назовем данное типовое удаленное воздействие анализом сетевого трафика. Анализ сетевого трафика позволяет:

o изучить логику работы распределенной ВС, то есть получить взаимно однозначное соответствие событий, происходящих в системе, и команд, пересылаемых друг другу ее объектами, в момент появления этих событий. Это достигается путем перехвата и анализа пакетов обмена на канальном уровне. Знание логики работы распределенной ВС позволяет на практике моделировать и осуществлять типовые удаленные атаки.

o Провести анализ сетевого трафика. Таким образом, удаленная атака данного типа заключается в получении на удаленном объекте несанкционированного доступа к информации, которой обмениваются два сетевых абонента. Отметим, что при этом отсутствует возможность модификации трафика и сам анализ возможен только внутри одного сегмента сети. Примером перехваченной при помощи данной типовой удаленной атаки информации могут служить имя и пароль пользователя, пересылаемые в незашифрованном виде по сети.

· По характеру воздействия анализ сетевого трафика является пассивным воздействием (класс 1.1). Осуществление данной атаки без обратной связи (класс 4.2) ведет к нарушению конфиденциальности информации (класс 2.1) внутри одного сегмента сети (класс 5.1) на канальном уровне OSI (класс 6.2). При этом начало осуществления атаки безусловно по отношению к цели атаки (класс 3.3).

безопасность информация компьютерный защита

53. Типовая удаленная атака: подмена доверенного лица

· Существуют две разновидности данной типовой удаленной атаки:

o атака при установленном виртуальном канале,

o атака без установленного виртуального канала.

· Посылка ложных управляющих сообщений может привести к серьезным нарушениям работы распределенной ВС (например, к изменению ее конфигурации. Подмена доверенного объекта РВС является активным воздействием (класс 1.2), совершаемым с целью нарушения конфиденциальности (класс 2.1) и целостности (класс 2.2) информации, по наступлению на атакуемом объекте определенного события (класс 3.2). Данная удаленная атака может являться как внутрисегментной (класс 5.1), так и межсегментной (класс 5.2), как с обратной связью (класс 4.1), так и без обратной связи (класс 4.2) с атакуемым объектом и осуществляется на сетевом (класс 6.3) и транспортном (класс 6.4) уровнях модели OSI.

54. Типовая удаленная атака: ложный объект распределенной вычислительной системы

· 1 стадия атаки

o 1.Внедрение в распределенную ВС ложного объекта путем навязывания ложного маршрута

§ Навязывание объекту РВС ложного маршрута - активное воздействие (класс 1.2), совершаемое с любой из целей из класса 2, безусловно по отношению к цели атаки (класс 3.3). Данная типовая удаленная атака может осуществляться как внутри одного сегмента (класс 5.1), так и межсегментно (класс 5.2), как с обратной связью (класс 4.1), так и без обратной связи с атакуемым объектом (класс 4.2) на транспортном (класс 6.3) и прикладном (класс 6.7) уровне модели OSI.

o 2. Внедрение в распределенную ВС ложного объекта путем использования недостатков алгоритмов удаленного поиска

§ Ложный объект РВС - активное воздействие (класс 1.2), совершаемое с целью нарушения конфиденциальности (класс 2.1) и целостности информации (класс 2.2), которое может являться атакой по запросу от атакуемого объекта (класс 3.1), а также безусловной атакой (класс 3.3). Данная удаленная атака является как внутрисегментной (класс 5.1), так и межсегментной (класс 5.2), имеет обратную связь с атакуемым объектом (класс 4.1) и осуществляется на канальном (класс 6.2) и прикладном (класс 6.7) уровнях модели OSI.

· 2 стадия атаки

o 3. Использование ложного объекта для организации удаленной атаки на распределенную ВС

§ 3.1. Селекция потока информации и сохранение ее на ложном объекте РВС

§ 3.2 Модификация информации

· модификация передаваемых данных;

· модификация передаваемого кода.

o внедрение РПС (разрушающих программных средств);

o изменение логики работы исполняемого файла.

§ 3.3 Подмена информации

55. Типовая удаленная атака: отказ в обслуживании

· Результат применения этой удаленной атаки - нарушение на атакованном объекте работоспособности соответствующей службы предоставления удаленного доступа, то есть невозможность получения удаленного доступа с других объектов РВС - отказ в обслуживании!

· Вторая разновидность этой типовой удаленной атаки состоит в передаче с одного адреса такого количества запросов на атакуемый объект, какое позволит трафик (DOS атака). В этом случае, если в системе не предусмотрены правила, ограничивающие число принимаемых запросов с одного объекта (адреса) в единицу времени, то результатом этой атаки может являться как переполнение очереди запросов и отказа одной из телекоммуникационных служб, так и полная остановка компьютера из-за невозможности системы заниматься ничем другим, кроме обработки запросов.

· И последней, третьей разновидностью атаки "Отказ в обслуживании" является передача на атакуемый объект некорректного, специально подобранного запроса. В этом случае при наличии ошибок в удаленной системе возможно зацикливание процедуры обработки запроса, переполнение буфера с последующим зависанием системы и т. п.

· Типовая удаленная атака "Отказ в обслуживании" является активным воздействием (класс 1.2), осуществляемым с целью нарушения работоспособности системы (класс 2.3), безусловно относительно цели атаки (класс 3.3). Данная УА является однонаправленным воздействием (класс 4.2), как межсегментным (класс 5.1), так и внутрисегментным (класс 5.2), осуществляемым на транспортном (класс 6.4) и прикладном (класс 6.7) уровнях модели OSI.

56. Причины успеха удаленных атак на распределенные вычислительные системы и сеть Internet

· Отсутствие выделенного канала связи между объектами РВС

· Недостаточная идентификация и аутентификация объектов и субъектов РВС

o Стандартными способами компрометации субъектов и объектов РВС являются:

§ выдача себя за определенный объект или субъект с присвоением его прав и полномочий для доступа в систему (например, типовая УА "Подмена доверенного субъекта или объекта РВС" );

§ внедрение в систему ложного объекта, выдающего себя за доверенный объект системы (например, типовая УА "Ложный объект РВС" ).

· Взаимодействие объектов без установления виртуального канала

· Использование нестойких алгоритмов идентификации объектов при создании виртуального канала

· Отсутствие контроля за виртуальными каналами связи между объектами РВС

o Требуется контроль ВК

§ При этом задача контроля распадается на две подзадачи:

· контроль за созданием соединения;

· контроль за использованием соединения.

· Отсутствие в РВС возможности контроля за маршрутом сообщений

· Отсутствие в РВС полной информации о ее объектах

· Отсутствие в РВС криптозащиты сообщений

57. Принципы создания защищенных систем связи в распределенных вычислительных системах

· Выделенный канал связи между объектами распределенной ВС

o Очевидно, что в РВС с топологией "общая шина" необходимо использовать специальные методы идентификации объектов (п. 7.1), так как идентификация на канальном уровне возможна только в случае использования сетевых криптокарт.

o Также очевидно, что идеальной с точки зрения безопасности будет взаимодействие объектов распределенной ВС по выделенным каналам.

§ В первом случае каждый объект связывается физическими линиями связи со всеми объектами системы (рис. 7.2).

§ Во втором случае в системе может использоваться сетевой концентратор, через который осуществляется связь между объектами (топология "звезда" - рис. 7.3).

o Плюсы распределенной ВС с выделенными каналами связи между объектами состоят в следующем:

§ передача сообщений осуществляется напрямую между источником и приемником, минуя остальные объекты системы.

§ имеется возможность идентифицировать объекты распределенной системы на канальном уровне по их адресам без использования специальных криптоалгоритмов шифрования трафика.

§ система с выделенными каналами связи - это система, в которой отсутствует неопределенность с информацией о ее объектах.

o К минусам РВС с выделенными каналами относятся:

§ сложность реализации и высокие затраты на создание системы;

§ ограниченное число объектов системы (зависит от числа входов у концентратора);

§ сложность внесения в систему нового объекта.

· Виртуальный канал как средство обеспечения дополнительной идентификации/аутентификации объектов в распределенной ВС

o Для этого при создании ВК могут использоваться криптоалгоритмы с открытым ключом (например, в Internet принят подобный стандарт защиты ВК, называемый Secret Socket Layer - SSL).

o Сущность криптографии с открытым ключом (или двухключевой криптографии) в том, что ключи, имеющиеся в криптосистеме, входят в нее парами и каждая пара удовлетворяет следующим двум свойствам(7.4):

§ текст, зашифрованный на одном ключе, может быть дешифрован на другом;

§ знание одного ключа не позволяет вычислить другой.

· Контроль за маршрутом сообщения в распределенной ВС

o В распределенной ВС необходимо обеспечить на сетевом уровне контроль за маршрутом сообщений для аутентификации адреса отправителя.

· Контроль за виртуальными соединениями в распределенной ВС

o Для обеспечения доступности ресурсов распределенной ВС необходим контроль за виртуальными соединениями между ее объектами.

o Необходимо обеспечить контроль за созданием соединения, введя ограничение на число обрабатываемых в секунду запросов из одной подсети.

o Необходимо обеспечить контроль за использованием соединения, разрывая его по тайм-ауту в случае отсутствия сообщений.

· Проектирование распределенной ВС с полностью определенной информацией о ее объектах с целью исключения алгоритмов удаленного поиска

o Утверждение:

§ Наиболее безопасной распределенной ВС является та система, в которой информация о ее объектах изначально полностью определена и в которой не используются алгоритмы удаленного поиска.

§ В том случае, если выполненить требование 2 невозможно, необходимо в распределенной ВС использовать только алгоритм удаленного поиска с выделенным информационно-поисковым сервером, и при этом взаимодействие объектов системы с данным сервером должно осуществляться только по виртуальному каналу с применением надежных алгоритмов защиты соединения с обязательным использованием статической ключевой информации.

o Следствие: В распределенной ВС для обеспечения безопасности необходимо отказаться от алгоритмов удаленного поиска с использованием широковещательных запросов.

o Аксиома: Принципы доступности, удобства, быстродействия и функциональности вычислительной системы антагонистичны принципам ее безопасности.

58. Программно-аппаратные методы защиты от удаленных атак в сети Интернет

· Административные методы защиты от удаленных атак

o Защита от анализа сетевого трафика

o Защита от ложного объекта

o Защита от отказа в обслуживании

· Программно-аппаратные методы защиты от удаленных атак в сети Internet

o аппаратные шифраторы сетевого трафика;

o методика Firewall, реализуемая на базе программно-аппаратных средств;

§ Многоуровневая фильтрация сетевого трафика

§ Proxy-схема с дополнительной идентификацией и аутентификацией пользователей на Firewall-хосте

§ Создание приватных сетей (Private Virtual Network - PVN) с "виртуальными" IP-адресами (NAT - Network Address Translation)

o защищенные сетевые криптопротоколы;

o программно-аппаратные анализаторы сетевого трафика;

o защищенные сетевые ОС.

59. Ключевые механизмы безопасности: межсетевое экранирование

Межсетевой экран (МЭ) - комплекс программно-технических и организационных мер и средств, предназначенных для выявления и предотвращения сетевых атак на защищаемые информационные системы

Существующие информационные системы характеризуются: наличием в своем составе как технических средств, обрабатывающих защищаемую информацию, так и средств, обрабатывающих только общедоступную информацию; подключение внешних каналов связи к открытым сетям передачи данных. Для построения оптимальной системы защиты информации часто требуется ограничить трафик между защищаемыми узлами информационной системы и открытыми. Реализация этого требования возможна посредством внедрения межсетевых экранов, обеспечивающих:

· Ограничение способов взаимодействия между сегментами защищаемой информационной системы с внешними сетями.

· Идентификацию и аутентификацию пользователей при их доступе в другие сегменты.

· Сокрытие структуры информационной системы при доступе пользователей к внешним сетям передачи данных.

· Регистрацию событий об информационных потоках, проходящих между сегментами и пользователями.

60. Компоненты межсетевых экранов

· Большинство компонентов межсетевых экранов можно отнести к одной из трех категорий:

o фильтрующие маршрутизаторы;

§ Фильтрующий маршрутизатор представляет собой маршрутизатор или работающую на сервере программу, сконфигурированные таким образом, чтобы фильтровать входящее и исходящие пакеты. Фильтрация пакетов осуществляется на основе информации, содержащейся в TCP - и IP - заголовках пакетов.

§ К положительным качествам фильтрующих маршрутизаторов следует отнести:

· сравнительно невысокую стоимость;

· гибкость в определении правил фильтрации;

· небольшую задержку при прохождении пакетов.

§ Недостатками фильтрующих маршрутизаторов являются:

· нутренняя сеть видна (маршрутизируется) из сети Internet ;

· правила фильтрации пакетов трудны в описании и требуют очень хороших знаний технологий TCP и UDP ;

· при нарушении работоспособности межсетевого экрана с фильтрацией пакетов все компьютеры за ним становятся полностью незащищенными либо недоступными;

· аутентификацию с использованием IP-адреса можно обмануть путем подмены IP-адреса (атакующая система выдает себя за другую, используя ее IP-адрес);

· отсутствует аутентификация на пользовательском уровне.

o шлюзы сетевого уровня;

§ Шлюз сетевого уровня иногда называют системой трансляции сетевых адресов или шлюзом сеансового уровня модели OSI. Такой шлюз исключает прямое взаимодействие между авторизированным клиентом и внешним хост-компьютером. Шлюз сетевого уровня принимает запрос доверенного клиента на конкретные услуги, и после проверки допустимости запрошенного сеанса устанавливает соединение с внешним хост-компьютером. После этого шлюз копирует пакеты в обоих направлениях, не осуществляя их фильтрации.

o шлюзы прикладного уровня.

§ Шлюз прикладного уровня исключает прямое взаимодействие между авторизированным клиентом и внешним хост-компьютером. Шлюз фильтрует все входящие и исходящие пакеты на прикладном уровне. Связанные с приложением серверы - посредники перенаправляют через шлюз информацию, генерируемую конкретными серверами.

§ Это осуществляется следующим образом:

· сначала внешний пользователь устанавливает TELNET-соединение со шлюзом прикладного уровня с помощью протокола TELNET и вводит имя интересующего его внутреннего хост-компьютера;

· шлюз проверяет IP - адрес отправителя и разрешает или запрещает соединение в соответствии с тем или иным критерием доступа

· пользователю может потребоваться аутентификация (возможно, с помощью одноразовых паролей);

· сервер-посредник устанавливает TELNET-соединение между шлюзом и внутренним хост-компьютером;

· сервер посредник осуществляет передачу информации между этими двумя соединениями;

· шлюз прикладного уровня регистрирует соединение.

61. Удаленные атаки на телекоммуникационные службы и защита от атак на телекоммуникационные службы

· Направления атак и типовые сценарии их осуществления в ОС UNIX

o "Сразу в дамки" - имея привилегии уровня 3, хакер получает права суперпользователя. Как уже отмечалось, такой фантастический прыжок возможен "благодаря" механизму демонов UNIX, отвечающих за обработку удаленных запросов. Т. к. эти демоны выполняются от имени суперпользователя, то все, что надо сделать псевдопользователю - это знать (существующие или найти самому) "дыры" или ошибки в этих демонах, которые позволят эксплуатировать их нестандартным или запрещенным образом. Обычно это сводится к возможности удаленно выполнить от их имени любую команду на атакуемом хосте - какую конкретно, зависит от намерений и характера хакера.

o "Из специального - в обычного или выше". Этот сценарий очень похож на описанный выше, с тем исключением, что для хакера требуются начальные привилегии уровня 2 (иначе говоря, запущен некоторый дополнительный сервис). Чтобы четко отличать эти атаки от предыдущего типа, будем требовать, что в этом случае злоумышленник всегда проходит некую (пусть примитивную) идентификацию и, возможно, аутентификацию.

o "Маловато будет: из обычного - в суперпользователи". Этот сценарий, пожалуй, наиболее прост, широко распространен и подавляющее большинство сообщений о так назваемых "дырах" в UNIX относится именно к нему. Для его осуществления злоумышленник должен уже быть обычным пользователем (иногда говорят, что он имеет бюджет (account)) на том компьютере, который он собирается взламывать. Это, с одной стороны, серьезное ограничение на масштабность проникновения, с другой стороны, большинство утечек информации происходит через "своих", через подкупленного сотрудника, который пусть и не имеет больших полномочий, но уж входное имя на секретный компьютер у него будет.