Классификация атак

Все атаки на ОС можно разделить на группы:

• 1. Атаки позволяющие несанкционированно запустить исполняемый файл

  2. Атаки позволяющие осуществить несанкционированные чтение или запись файловых объектов

  3. Атаки позволяющие обойти установленные разграничения прав доступа

  4. DOS атаки - приводящие к отказу в обслуживании(отказу системы)

  5. Атаки использующие встроенные недокументированные возможности ОС

  6. Атаки использующие недостатки установленных паролей в системе

  7. Троянские программы

  8. Все прочие

  9. К этой группе относятся атаки основанные на переполнении буфера для входных данных и последующей передачи управления на исполняемый код, занесенный в стек. Эти атаки основываются на том, что часто при выполнении функции работы со строками переменными и тд программисты не проверяют размерность входных данных, это приводит к выходу за границы массивов выделенных для работы с этими данными.

Одним из методов борьбы с такими угрозами является присвоение атрибута не разрешающего исполнение кода страницами памяти помещенного в стек. Большинство таких угроз реализованно для семейства Unix, достаточно много приложений под Unix грешит переполнением буфера. Очень часто оно используется для удаленного запуска исполняемого кода при помощи протоколов Telnet, Pop3. Также для получения прав администратора.

• 1. Атаки позволяющие осуществить несанкционированные операции чтения записи. К этой группе относятся атаки основанные на неправильной интерпретации прикладными и системными программами входных параметров, в результате они дают доступ к объектам которые не включены в списки санкционированного доступа, это в первую очередь относится к программам которые являются системными утилитами или прикладными программами, связанными с организацией защиты, такие программы имеют непосредственный доступ ко всем файлам или другим объектам и поэтому могут предоставить доступ к таким объектам пользователям не имеющим прав. Наибольшее распространение в винде. Такого рода ошибки встречаются в программах предназначенных для работы в инете и включенных в состав ОС Windows (ослик, оутлук и тп) Большое количество ошибок встречается в браузерах при выполнение Java applecations и VBA –script

  2. К этой группе относятся угрозы позволяющие обойти установленные разграничения прав доступа, основанные на недоработках или ошибках ядра ОС и системных программах. Эти ошибки позволяют программными методами обходить установленное разграничение прав доступа. Примеры таких угроз являются немногочисленными т.к. требуют детального анализа работы механизмов API и требуют соответствующей квалификации нарушителя, а кроме того производители ОС не публикуют исходные тексты и не комментируют работу внутренних механизмов ОС. В качестве примера для данной группы можно привести программу: Getadmin, которая позволяет получить права администратора при использовании некоторой функции NT AddAmom-эта функция позволяет записывать значения в любую область адресного пространства .Есть и другие варианты реализации этой угрозы- изменение только одного бита в некотором глобальном флаге позволяет превратить Windows NT из одной разновидности в другую, которой гораздо меньше уровень защиты и получить доступ к системным процессам

  3. угрозы, приводящие к отказам в обслуживании, очень грозный вид атак! К этой группе относятся атаки, которые приводят к отказу в обслуживании(системный сбой). Большая часть атак этой группы основывается на том, что недостаточно защищены протоколы TCP/IP сбои в ОС достигаются путем посылки групп пакетов с некорректными параметрами, заголовками и тд.. Но основную часть этой группы составляют атаки, которые не используют детали реализации протоколов.. эти атаки реализуются путем посылки просто огромного кол-ва пакетов с обработкой, которого не может справиться сервер. В настоящее время большинство таких атак с помощью ботнетов. Более опасная разновидность таких атак являются DoS атаки с размножением, при отправке на удаленный хост сообщения состоящего из 20 байтов в поле IP заголовка в поле протокол вписываются два 0 (00), при получении такого сообщения получатель ответит сообщением состоящим уже из 80 байт(реализация протокола), заменяя в этом сообщении адрес источника на адрес атакуемого можем получить увеличение потока в 4 раза. Угрозы этой группы не нарушают на прямую безопасность атакуемой системы, а просто выводят ее из строя, но можно представить более сложные атаки, где с помощью таких атак выводят из строя некоторые узлы а вместо этих узлов подставляют фальшивые.

  4. угрозы, использующие недокументированные возможности ОС. Такие атаки используют встроенные инженерные заплатки для входа в систему, специальные возможности для недокументированных действий, недокументированные присутствуют в прикладных программах.

  5. угрозы, использующие недостатки системы хранения или выбора паролей. Такие угрозы основываются на недостатках кодирования паролей, или на недостаточной длине паролей. Пример Windows 98, где пароли хранятся в одном из ключей реестра и зашифрованы с помощью алгоритма легко расшифруемого. Следует сказать что даже метод защиты пароля с помощью хэшей также не является 100% надежным т.к. в настоящее время существуют методы подбора хэшей.

  6. Трояны!!!.. приписывает себя в автозагрузку, либо заменяет часть системных файлов. Обычно троянские программы распространяются в виде различных полезных программ, либо рассылаются по почте в виде файла прикрепляемому к письму. При этом обычно такие вложение маскируются под текстовые файлы. При запуске такие программы могут получать несанкционированный доступ к ресурсам, объектам, а также пересылать злоумышленнику полученную конфиденциальную информацию.

  7. Прочие угрозы. К этой группе относятся все остальные угрозы влияющие на безопасность компьютерной системы. В частности входят сниферы, кей-логгеры.

Из приведенного выше анализа можно сделать следующие выводы:

• большинство угроз связано с недостатками ОС, т.е. с невыполнением или частичном выполнением формализованных требований. Среди них в первую очередь выделить:

  1. не корректная реализация механизма управления доступом. Прежде всего это ошибки в разграничении доступа к защищаемым объектам. При доступе к объектам пользователями имеющими права администратора.

  2. отсутствие обеспечения замкнутости или целостности рабочей среды. Большинство атак напрямую связано с запуском злоумышленником соответствующих программ. Она может запускаться, как явно так и скрыто, например с помощью встроенного интерпретатора ВБ.

• большая часть недостатков защитных механизмов связана с тем, что концепция защиты информации в современных ОС основана на распределенном механизме защиты. В рамках которого пользователь не может считаться злоумышленником. Поэтому основным методом реализации дополнительной защиты, должна быть реализация централизованной схемы администрирования, в рамках которой будет осуществляться противодействие несанкционированному доступу пользователя к информации.