На правах рекламы:
ISSN 0236-235X (P)
ISSN 2311-2735 (E)

Авторитетность издания

ВАК - К1
RSCI, ядро РИНЦ

Добавить в закладки

Следующий номер на сайте

2
Ожидается:
16 Июня 2024

Угрозы безопасности сетевой инфраструктуры организаций

Статья опубликована в выпуске журнала № 1 за 2009 год. [ на стр. 62 ]
Аннотация:
Abstract:
Автор: Андреев Н.О. () -
Ключевые слова: «троянцы», «кардеры», рассылка спама, аудит безопасности программного кода, вирусы, эксплойты, несанкционированная модификация информации
Keywords: , , , , viruses, ,
Количество просмотров: 9012
Версия для печати
Выпуск в формате PDF (3.60Мб)

Размер шрифта:       Шрифт:

Информационные технологии широко применяются на предприятиях различных отраслей экономики, требуя грамотного подхода к построению систем корпоративной защиты.

Каждая организация стремится избежать нарушений и перебоев в работе программного обеспечения (ПО) внутреннего пользования и сервисов, предоставляемых клиентам, полного либо частичного повреждения (несанкционированной модификации информации), перехвата сторонним лицом управления какими-либо сервисами системы.

Нарушения и перебои в работе периодически происходят практически в любой организации. Причины самые разные – от физического отказа оборудования до выключения электричества. В данном контексте можно выделить две проблемы безопасности: DoS-атаки и действие вирусов. DoS (denial of service – отказ в обслуживании) – попытка грубо вывести из строя какую-либо станцию. Как правило, неудобства длятся до прекращения атаки, так как фактически атакующая станция испытывает такую же нагрузку, как и атакуемая. Поэтому для атаки выгодно задействовать несколько компьютеров, тогда к аббревиатуре добавляется буква D (Disributed – распределенная) – DDoS-атака.

Борьба с попытками нарушить работу обыч- но сводится к блокировке IP-адресов (отдельных или диапазона). От того, насколько оперативно это будет сделано, зависит размер ущерба организации.

Компьютерные вирусы, как правило, представляют угрозу для рабочих станций внутри корпоративной сети, так как запуск неверифицированного ПО на серверах блокируют политиками безопасности. В связи с этим документы принято дублировать, а резервные копии хранить на сервере, который, помимо большей защищенности от вирусов, обладает и RAID-массивом, исключающим порчу информации в результате физических сбоев.

Угрозы полного либо частичного повреждения (несанкционированной модификации информации) рассматриваются в контексте несанкционированного доступа именно к серверным станциям. Он происходит в результате использования ошибок администрирования, а также ошибок в программном коде. Языки программирования высокого (а тем более низкого) уровня иногда допускают различные варианты обработки данных, полученных от пользователей. Сосредоточившись на реализации основного функционала, разработчик не всегда может предусмотреть все варианты и сочетания поступающих данных. В результате за счет разнообразных переполнений, перезаписи областей памяти, а также подстановки в переменные своего кода (так называемых инъекций) злоумышленник может заставить машину работать не так, как было запланировано. Причем, если в прошлом для таких действий была необходима квалификация, сейчас можно использовать готовые методы, оформленные в виде небольших вредоносных программ – эксплойтов. Частным случаем такой атаки является и упомянутый отказ в обслуживании, но гораздо страшнее, если произойдет перехват управления. В случае исполнения шелл-кода преступник или вредоносная программа получат доступ к командному интерпретатору; при успешной SQL-инъекции будет выполнен произвольный запрос к базе данных, перезаписан файл на диске и т.д. Таким образом, может быть повреждена или модифицирована информация. От этого, разумеется, помогает упомянутое резервное копирование (на сменные носители или на сетевые диски), но вред от простоя сервера гораздо больше, чем от простоя рабочей станции. Кроме того, зачастую с момента модификации информации (если говорить о веб-серверах, есть специальный термин deface – замена заглавной страницы какого-либо сайта) может пройти время, и факт взлома будет предан огласке.

В качестве превентивной меры, позволяющей избежать подобного, обычно используют автоматическое обновление операционной системы (ОС), прикладного ПО, а также аудит безопасности программного кода. Но если открытый программный код организация в принципе могла бы проверить на наличие ошибок силами своего IT-департамента с применением соответствующего инструментария, с закрытым программным кодом сделать ничего нельзя.

Перехват управления сервисами системы – наиболее серьезная угроза. Если преступник или его вредоносная программа получат полноценный доступ к функциям сетевой инфраструктуры предприятия, последствия могут быть катастрофическими, поскольку в состав упомянутых функций вполне может входить, например, управление денежными средствами организации через интернет-банкинг.

Рассматривая ситуацию в сфере информационной безопасности, выделим основные тенденции.

Наблюдается повышение квалификации злоумышленников, объединение их в группы, усложнение методик работы.

По нанесенному ущербу лидируют операции  с поддельными кредитными картами, где сумма ущерба составляет несколько миллиардов долларов в год.

Злоумышленники-«кардеры» (от англ. card – карта) работают по нехитрой схеме: получают данные по кредитным картам, используют заказы в онлайн-магазинах, пересылают товары через подставных лиц, продают товары.

Что касается несанкционированного доступа к корпоративным серверам (если целью не являются данные), такие действия производятся для получения площадок под рассылку спама, для сканирования подсетей, использования вычислительных ресурсов для распределенной дешифровки хэшей паролей и других ресурсоемких операций.

Взлом рабочей станции принципиально отличается от взлома сервера, поскольку рабочая станция обычно не предоставляет внешние сервисы и не имеет соответствующих открытых портов, к которым можно было бы подсоединиться.

Тем не менее, в некоторые моменты существует угроза взлома, например, с помощью инструментов для взлома простых рабочих станций – «троянских коней». Несмотря на то, что такая программа вполне может быть и вирусом, распространяя саму себя на другие машины, основное ее предназначение – несанкционированное и обычно скрытое выполнение тех или иных функций, заданных ее владельцем [1].

Если раньше для заражения машины «троянцем» пользователю с установленным файерволом предлагалось открыть исполняемый файл, то теперь это практически может быть что угодно – музыка, фильмы и даже простые картинки. Существуют алгоритмы сжатия и распаковки, эффективно работающие на исходных данных конкретного типа – gif, jpg, avi. Реализация алгоритмов извлечения данных из упакованного фрагмента может содержать уязвимости наряду с остальным ПО, но, как правило, эти алгоритмы выполняются в автоматическом режиме, не требуя подтверждения. В самом деле, заходя на какой-либо сайт, веб-браузер загружает с сервера html-код, находит в нем ссылки на графику, загружает и ее, распа- ковывает и выводит на экран – все по одному щелчку.

До настоящего времени мы не могли и предположить, что даже в таких операциях может таиться опасность, а тем не менее, она была – в какой-то момент исследователи нашли ошибку в упомянутых алгоритмах сжатия, и появилась возможность выполнять код на удаленной машине, передав специальным образом сформиро- ванный графический файл. То есть под угрозой оказались фундаментальные технологии разра- ботки ПО.

Имея потребность в большом количестве подконтрольных станций для DDoS-атак, специализирующиеся на этом преступники вынуждены создавать инструментарий для захвата и стабильного удержания контроля над системами. Если раньше речь шла о кустарных утилитах (многие «троянцы» имели в своем составе шуточные функции – открытие лотка CD-привода, проигрывание звукового файла, перехват устройств управления), теперь разработаны специальные методы глобального управления зараженными станциями без прямого соединения, а значит, и без возможности отследить хозяина – через e-mail, сети icq, irc и т.д. Некоторые «троянцы» имеют функции «червей», что усложняет защиту.

Таким образом, выделяем следующие специализации сетевых преступников: исследование и реверс-инжениринг кода ПО, создание эксплойтов; создание «червей», «троянцев», перенос в них боевого кода эксплоитов; рассылка спама с «червями», создание сайтов с вредоносным кодом; прием заказов на DDoS-атаки, их непосредственное исполнение через зараженные «троянцами» машины.

То есть произошло смещение от индивидуального взлома к достаточно массовому автоматизированному взлому, когда рутинная работа выполняется машиной; наметилась очень опасная тенденция развития второстепенного функционала вредоносного ПО.

Опасность в том, что такие «черви/троянцы» не только наносят вред пользователям он-лайновых платежных систем, но в перспективе угрожают и пользователям программ класса «банк–клиент» [2].

Ни для кого не секрет, что защита подобных систем путем программного шифрования канала связи является не совсем надежной.

Банкам необходимо переходить от чисто программной защиты к шифрованию на стороне аппаратного ключа защиты по криптостойким алгоритмам [3].

В качестве некоторых мер предосторожности необходимо следующее:

-     не использовать машину с программой «банк–клиент» для других целей, то есть должны быть закрыты все лишние порты, установлены самые свежие доработки от производителей ПО, и в то же время все лишнее ПО должно отсутствовать;

-     использовать только системы, где защита выполнена аппаратно;

-     не использовать разнообразные скрин-сейверы сторонних производителей, так как подобные программы – тот же исполняемый код;

-     необходимо отключить автозапуск при подключении сменных носителей, а в сам «клиент–банк» данные передавать через наиболее простой формат (например txt-файлы), априори исключающий исполнение вредоносного кода;

-     не держать аппаратный ключ подключенным дольше, чем это требуется при передаче.

Компаниям, заинтересованным в высоком уровне безопасности, необходимо пользоваться ОС с открытым исходным кодом, прошедшим внешний аудит (для серверов это разнообразные дистрибутивы *BSD – FreeBSD, OpenBSD, NetBSD, для рабочих станций – любой из дистрибутивов Linux в комплекте с графической оболочкой по выбору KDE, Gnome и т.д.). Есть потребность в создании отечественной ОС с открытым исходным кодом, пусть даже на основе какой-либо из уже существующих. Эта мера позволила бы получить уверенность в сохранении секретности данных и обрести независимость от иностранных поставщиков системного ПО.

Литература

1. Ложников П.С., Михайлов Е.М. Обеспечение безопасности сетевой инфраструктуры на основе операционной системы Microsoft. – М.: Изд-во Бином, 2008.

2. Леонов Д.Г., Лукацкий А.В., Медведовский И.Д., Семьянов Б.В. Атака из Internet. – М.: Солон-Р, 2002.

3. Ларичев В.Д., Бембетов А.П. Налоговые преступления. – М.: Экзамен, 2001.


Постоянный адрес статьи:
http://swsys.ru/index.php?page=article&id=2025
Версия для печати
Выпуск в формате PDF (3.60Мб)
Статья опубликована в выпуске журнала № 1 за 2009 год. [ на стр. 62 ]

Возможно, Вас заинтересуют следующие статьи схожих тематик: