Классификация угроз. Методы защитыТеория 1 - угрозы, позволяющие несанкционированно
запустить исполняемый код угрозы основываются на переполнении буфера
для входных данных(переполнение стёка) и последующей передачи
управления на исполняемый код, занесённый при этом в стёк.
Для переполнения стёка используется тот факт, что при
выполнении функций работы со строками, переменными среды исполнения и
т.д. программисты не заботятся о проверки размерности входных данных. А
это приводит к выходу за границы массивов ( массив - это тип данных,
предназначенный для хранения и обработки с помощью индекса целого
множества однотипных данных.
Существуют хэш массивы, массивы скаляров и т.д.),выделенные для работы с этими данными.
один из методов предотвращения - присвоение атрибута, исключающего исполнение кода страницами памяти, выделенными подстёк.
Теория 2 угрозы, позволяющие осуществлять
несанкционированные операции чтениязаписи. угрозы основываются на
неправильной интерпретации прикладными и системными программами входных
параметров. В результате они дают доступ к объектам, не перечисленными
в списках санкционированного доступа.
Неправильная интерпретация связанна с некорректной программной
реализацией их обработки.
Это происходит потому, что программы, обрабатывающие данные запросы,
являются либо системными утилитами, либо прикладными программами,
запущенными в контексте безопасности системы. Можно догадаться, что они
имеют непосредственный доступ к любым объектам, и могут представить
доступ пользователям, не обладающим достаточными правами. профилактикой
таких угроз может служить ДЕТАЛЬНЫЙ аудит всех событий, которые
происходили
на защищаемой машине.
Теория 3 угрозы, позволяющие обойти установленные
разграничения прав доступа.
Основываются на недоработках в ядре и системных утилитах ОС(ОС -
операционная система), позволяющих программными методами обходить
установленные разграничения доступа к объектам системы. Единственным
решением данноё проблемы является либо установка обновлений от
производителя ОС, либо проводить детальный анализ ОС самому.
Теория 4 угрозы, приводящие к отказу в обслуживании
(Denial of Servece (DoS) это угрозы, приводящие к отказу в
обслуживании. Большую часть этой группы составляют примеры, основанные
на недостаточной надёжности реализации стёка сетевых протоколов ОС.
Сбои в работе достигаются путём посыла групп пакетов с некорректными
заголовками, параметрами и т.д.
Другой пример DoS - провокация отказа путём чрезмерной загрузкой
канала. Основным параметром, которым должен владеть атакующий -
каналом, шире чем у жертвы. В большинстве случаев рядовой пользователь
не может позволить себе канал, по скорости больший чем у жертвы(если
принять во внимание что жертва не рядовой пользователь, а сервер
Интернета).
Для реализации атаки на данный сервер пишется определённый скрипт
(например, флудер-множитель), загружаемый на ранее взломанные сервера,
и уже с их пропускной способностью начинается DoS атака. На заметку:
случаи, приводящие к DoS, не нарушают безопасность атакуемой системы, а
просто выводят
её из строя. Но если DoS только составляющее звено атаки, то предыдущее
высказывание ставится под сомнение.
Чтобы защититься от такой атаки нужно банально повышать
производительность системы в целом, увеличивать пропускную способность
канала связи. можно использовать возможности активного сетевого
оборудования, как ограничение пропускной способности, имеющейся,
например, у маршрутизаторов Cisco.
Теория 5 угрозы, использующие встроенные
недокументированные возможности. по существу это угроза не
представляющая особой опасности.
можно привести примеры предоставляющие недокументированные возможности
: встроенные инженерные пароли для входа в систему (пароль фирмы Award
"AWARD_SW" , позволяющий получить спектр правдля работы BIOS).
Специальные возможности для недокументированных действий. Закладки в разнообразных прикладных приложениях и т.д. Методы защиты от таких угроз рядовому пользователю не известны. Не имея исходный код, о них можно только догадываться.
Теория 6 угрозы, использующие недостатки системы
хранения или выбора данных об аутентификации. Эти угроз позволяют путём
реверсирования, подбора или полного перебора пароля получить данные о
аутентификации основываются на недостатках алгоритмов
кодирования(хеширования) паролей на защищаемых ресурсах.
К примеру, для базовой HTTP - аутентификации используется Base64 как
алгоритм кодирования имени пользователя и пароля. Для раскодировки
данного алгоритма можно написать простенький сценарий на языке Perl,
который
исполнит заданную ему цель : use MIME::Base64; print
decode_base64($ARGV**0**); для защиты от угроз данного вида нужно
переходить на более устойчивые алгоритмы шифрования. Для максимального
усложнения подбора пароля методом перебора используйте как можно более
длинный пароль.
Теория 7 *троянские программы* это программы, которые
прописываются в автозагрузку ОС, и выполняют несанкционированные
действия. Для того чтобы данная программа появилась у пользователя в
системе, он сам должен первоначально выполнить её.
Но если троянская программа использует уязвимость ОС для
проникновения внутрь (например, уязвимость RPC Dcom), то она попадёт в
систему без ведома на то пользователя. Для защиты от действий подобного
рода нужно придерживаться определённых правил:
Устанавливать все обновления выпущенные производителем ОС.
Иметь в системе антивирус с постоянно обновляющейся базой. Это спасёт от простейших
вирусов и от неквалифицированных атакующих. Люди, занимающиеся этим делом профессионально,
могут "надуть" любой антивирус без особых усилий.
Иметь в системе FIrewall. У самого Firewall'а достаточно
много функций(фильтрование
пакетов, прослушивание соединений и т.д.), но всё рассмотреть в рамках
данной статьи невозможно. Firewall спасёт от многих атак, но , ещё раз
повторяюсь, если человек, совершающий атаку, квалифицированный, то
Firewall будет держать систему в безопасности относительно недолго.
Человеческий фактор. Никогда не запускайте файлы ,пришедшие
вам по почте, ICQ, и т.д. от неизвестных лиц. Угрозы напрямую
используют недостатки ОС и системных приложений и позволяют при
полностью сконфигурированных и работающих встроенных в ОС механизмах
защиты осуществлять несанкционированный доступ к информации, что
подтверждает необходимость усиления встроенных
механизмов защиты.
