поиск уязвимостей в информационных системах

ВВЕДЕНИЕ
1. УГРОЗЫ БЕЗОПАСНОСТИ ИНФОРМАЦИОННЫМ КОМПЬЮТЕРНЫМ СИСТЕМАМ
1.1. ПУТИ И МЕТОДЫ НЕСАНКЦИОНИРОВАННОГО ДОСТУПА К ИНФОРМАЦИОННЫМ РЕСУРСАМ КОМПЬЮТЕРНЫХ СИСТЕМ
1.2. КАНАЛЫ УТЕЧКИ ИНФОРМАЦИИ НА ФИЗИЧЕСКОМ УРОВНЕ
1.3. ВИРУСЫ И ВРЕДОНОСНЫЕ ПРОГРАММЫ
2. ОСНОВНЫЕ СЕРВИСЫ БЕЗОПАСНОСТИ
ВЫЧИСЛИТЕЛЬНЫХ СЕТЕЙ
2.1. ИДЕНТИФИКАЦИЯ И АУТЕНТИФИКАЦИЯ
2.2. УПРАВЛЕНИЕ ДОСТУПОМ
2.3. ПРОТОКОЛИРОВАНИЕ И АУДИТ
2.4. КРИПТОГРАФИЯ
2.5. ЭКРАНИРОВАНИЕ
3.1. ИМИТАЦИОННОЕ МОДЕЛИРОВАНИЕ АТАК НА ИНФОРМАЦИОННЫЕ СИСТЕМЫ.
3.2. ОБНАРУЖЕНИЕ АТАК И УГРОЗ ИНФОРМАЦИОННЫМ СИСТЕМАМ
ЗАКЛЮЧЕНИЕ
СПИСОК ЛИТЕРАТУРЫ

поиск уязвимостей в информационных системах

Надежная идентификация и аутентификация затруднена по ряду принципиальных причин. Во-первых, компьютерная система основывается на информации в том виде, в каком она была получена; строго говоря, источник информации остается неизвестным. Во-вторых, почти все аутентификационные сущности можно узнать, украсть или подделать. В-третьих, имеется противоречие между надежностью аутентификации с одной стороны, и удобствами пользователя и системного администратора с другой. В-четвертых, чем надежнее средство защиты, тем оно дороже.
Наиболее распространенным средством аутентификации являются пароли. Система сравнивает введенный и ранее заданный для данного пользователя пароль; в случае совпадения подлинность пользователя считается доказанной. Другое средство, постепенно набирающее популярность и обеспечивающее наибольшую эффективность, - секретные криптографические ключи пользователей.
При правильном использовании пароли могут обеспечить приемлемый для многих организаций уровень безопасности. Однако пароли уязвимы по отношению к электронному перехвату - это наиболее принципиальный недостаток, который нельзя компенсировать улучшением администрирования или обучением пользователей. Практически единственный выход - использование криптографии для шифрования паролей перед передачей по линиям связи или вообще их не передавать, как это делается в сервере аутентификации Kerberos9.
Тем не менее следующие меры позволяют значительно повысить надежность парольной защиты:
- наложение технических ограничений (пароль должен быть не слишком коротким, он должен содержать буквы, цифры, знаки пунктуации и т.п.);
- управление сроком действия паролей, их периодическая смена;
- ограничение доступа к файлу паролей;
- ограничение числа неудачных попыток входа в систему, что затруднит применение метода грубой силы;
- обучение и воспитание пользователей;
- использование программных генераторов паролей, которые, основываясь на несложных правилах, могут порождать только благозвучные и, следовательно, запоминающиеся пароли.
Устройства контроля биометрических характеристик сложны и недешевы, поэтому пока они применяются только в специфических организациях с высокими требованиями к безопасности.
В последнее время набирает популярность аутентификация путем выяснения координат пользователя. Идея состоит в том, чтобы пользователь посылал координаты спутников системы GPS (Global Positioning System), находящихся в зоне прямой видимости. Сервер аутентификации знает орбиты всех спутников, поэтому может с точностью до метра определить положение пользователя.
Очень важной и трудной задачей является администрирование службы идентификации и аутентификации. Необходимо постоянно поддерживать конфиденциальность, целостность и доступность соответствующей информации, что особенно непросто в сетевой разнородной среде. Целесообразно, наряду с автоматизацией, применить максимально возможную централизацию информации. Достичь этого можно применяя выделенные серверы проверки подлинности (такие как Kerberos) или средства централизованного администрирования (например CA-Unicenter). Некоторые операционные системы предлагают сетевые сервисы, которые могут служить основой централизации административных данных.
2.2. Управление доступом
Средства управления доступом позволяют специфицировать и контролировать действия, которые субъекты - пользователи и процессы могут выполнять над объектами - информацией и другими компьютерными ресурсами. Речь идет о логическом управлении доступом, который реализуется программными средствами. Логическое управление доступом - это основной механизм многопользовательских систем, призванный обеспечить конфиденциальность и целостность объектов и, до некоторой степени, их доступность путем запрещения обслуживания неавторизованных пользователей.10.
Контроль прав доступа производится разными компонентами программной среды - ядром операционной системы, дополнительными средствами безопасности, системой управления базами данных, посредническим программным обеспечением (таким как монитор транзакций) и т.д. При принятии решения о предоставлении доступа обычно анализируется следующая информация.
- Идентификатор субъекта (идентификатор пользователя, сетевой адрес компьютера и т.п.). Подобные идентификаторы являются основой добровольного управления доступом.
- Атрибуты субъекта (метка безопасности, группа пользователя и т.п.). Метки безопасности - основа принудительного управления доступом.
- Место действия (системная консоль, надежный узел сети и т.п.).
- Время действия (большинство действий целесообразно разрешать только в рабочее время).
- Внутренние ограничения сервиса (число пользователей согласно лицензии на программный продукт и т.п.).
Удобной надстройкой над средствами логического управления доступом является ограничивающий интерфейс, когда пользователя лишают самой возможности попытаться совершить несанкционированные действия, включив в число видимых ему объектов только те, к которым он имеет доступ.

2.3. Протоколирование и аудит
Под протоколированием понимается сбор и накопление информации о событиях, происходящих в информационной системе предприятия. У каждого сервиса свой набор возможных событий, но в любом случае их можно подразделить на внешние - вызванные действиями других сервисов, внутренние - вызванные действиями самого сервиса, и клиентские - вызванные действиями пользователей и администраторов11.
Аудит - это анализ накопленной информации, проводимый оперативно, почти в реальном времени, или периодически. Реализация протоколирования и аудита преследует следующие главные цели12:
- обеспечение подотчетности пользователей и администраторов;
- обеспечение возможности реконструкции последовательности событий;
- обнаружение попыток нарушений информационной безопасности;
- предоставление информации для выявления и анализа проблем.
Обеспечение подотчетности важно в первую очередь как средство сдерживания. Если пользователи и администраторы знают, что все их действия фиксируются, они, возможно, воздержатся от незаконных операций. Если есть основания подозревать какого-либо пользователя в нечестности, можно регистрировать его действия особенно детально, вплоть до каждого нажатия клавиши.
Реконструкция последовательности событий позволяет выявить слабости в защите сервисов, найти виновника вторжения, оценить масштабы причиненного ущерба и вернуться к нормальной работе.
Выявление и анализ проблем позволяют помочь улучшить такой параметр безопасности, как доступность. Обнаружив узкие места, можно попытаться переконфигурировать или перенастроить систему, снова измерить производительность и т.д.
2.4. Криптография
Одним из наиболее мощных средств обеспечения конфиденциальности и контроля целостности информации является криптография. Во многих отношениях она занимает центральное место среди программно-технических регуляторов безопасности, являясь основой реализации многих из них и, в то же время, последним защитным рубежом.
Различают два основных метода шифрования, называемые симметричными и асимметричными. В первом из них один и тот же ключ используется и для шифровки, и для расшифровки сообщений. Существуют весьма эффективные методы симметричного шифрования. Имеется и стандарт на подобные методы - ГОСТ 28147-02 "Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования"13.
Основным недостатком симметричного шифрования является то, что секретный ключ должен быть известен и отправителю, и получателю. С одной стороны, это ставит новую проблему рассылки ключей. С другой стороны, получатель, имеющий шифрованное и расшифрованное сообщение, не может доказать, что он получил его от конкретного отправителя, поскольку такое же сообщение он мог сгенерировать и сам.
В асимметричных методах применяются два ключа. Один из них, несекретный, используется для шифровки и может публиковаться вместе с адресом пользователя, другой - секретный, применяется для расшифровки и известен только получателю. Самым популярным из асимметричных является метод RSA (Райвест, Шамир, Адлеман), основанный на операциях с большими (100-значными) простыми числами и их произведениями.
Асимметричные методы шифрования позволяют реализовать так называемую электронную подпись, или электронное заверение сообщения. Идея состоит в том, что отправитель посылает два экземпляра сообщения - открытое и дешифрованное его секретным ключом (естественно, дешифровка незашифрованного сообщения на самом деле есть форма шифрования). Получатель может зашифровать с помощью открытого ключа отправителя дешифрованный экземпляр и сравнить с открытым. Если они совпадут, личность и подпись отправителя можно считать установленными.
Существенным недостатком асимметричных методов является их низкое быстродействие, поэтому их приходится сочетать с симметричными, при этом следует учитывать, что асимметричные методы на 3 - 4 порядка медленнее симметричных. При использовании асимметричных методов необходимо иметь гарантию подлинности пары (имя, открытый ключ) адресата. Для решения этой задачи вводится понятие сертификационного центра, который заверяет справочник имен/ключей своей подписью.
2.5. Экранирование
Экран - это средство разграничения доступа клиентов из одного множества к серверам из другого множества. Экран выполняет свои функции, контролируя все информационные потоки между двумя множествами систем.
В простейшем случае экран состоит из двух механизмов, один из которых ограничивает перемещение данных, а второй, наоборот, ему способствует. В более общем случае экран или полупроницаемую оболочку удобно представлять себе как последовательность фильтров. Каждый из них может задержать данные, а может и сразу "перебросить" их "на другую сторону". Кроме того, допускаются передача порции данных на следующий фильтр для продолжения анализа или обработка данных от имени адресата и возврат результата отправителю.
Помимо функций разграничения доступа экраны осуществляют также протоколирование информационных обменов.
Обычно экран не является симметричным, для него определены понятия "внутри" и "снаружи". При этом задача экранирования формулируется как защита внутренней области от потенциально враждебной внешней.
Первый шаг по установке системы защиты состоит в создании специальных пользовательских входов, предоставляющих доступ к сети только определенному составу пользователей. Если пользователь не имеет своего входа, он не сможет войти в сеть.
Каждый вход связан с идентификатором пользователя, который вводится при входе в сеть. Кроме пользовательского кода, вход содержит также другую информацию о своем владельце: пароль, полное имя и права доступа, которые определяют, какие действия и сетевые команды позволено использовать в работе этому сотруднику, а какие нет.
В некоторых системах существует возможность открывать специализированные входы. Возможность создания специализированных входов значительно облегчает работу, так как можно предоставить равные права пользования сетью некоторой группе сотрудников. Однако, дело в том, что пользователи специализированного входа работают с одним и тем же паролем. Это значительно ослабляет систему защиты сети, поскольку она действует эффективнее, если каждый пользователь имеет свой личный пароль и хранит его в строжайшем секрете. Если есть необходимость предоставить одинаковые права доступа некоторой группе сотрудников, лучше пользоваться не специализированными, а групповыми входами. В этом случае каждый пользователь входа имеет как бы отдельный подвход с собственным идентификатором и паролем, однако всем абонентам группового входа предоставляются равные права при работе с сетевой системой. Такой подход намного надежнее, поскольку каждый сотрудник имеет свой личный сетевой пароль.
3. Анализ уязвимостей информационных систем и методы обнаружения атак
3.1. Имитационное моделирование атак на информационные системы.
Анализ безопасности (прежде всего с точки зрения возможных информационных атак на информационные системы, прежде всего распределенные и локальные вычислительные сети) требует специфических подходов к имитационному моделированию сети. Сначала разберем детально понятие информационной атаки и затем проведем сравнительный анализ возможных средств имитационного моделирования систем безопасности.
Атака - это совокупность действий злоумышленника, приводящих к нарушению информационной безопасности информационной системы (ИС). Результатом успешной атаки может стать, например, несанкционированный доступ нарушителя к информации, хранящейся в ИС, потеря работоспособности системы или искажение данных в ИС. В качестве целей атаки могут рассматриваться серверы, рабочие станции пользователей или коммуникационное оборудование ИС. При организации информационных атак злоумышленники часто используют специализированное ПО, позволяющее автоматизировать действия, выполняемые на различных стадиях атаки14.
В общем случае в любой атаке можно выделить четыре стадии (рис. 3.1.).
Рекогносцировка. На этой стадии нарушитель старается получить как можно больше информации об объекте атаки, чтобы на ее основе спланировать дальнейшие этапы вторжения. Этим целям может служить, например, информация о типе и версии ОС, установленной на хостах ИС; список пользователей, зарегистрированных в системе; сведения об используемом прикладном ПО и т. д.
Вторжение. На этом этапе нарушитель получает несанкционированный доступ к ресурсам тех хостов, на которые совершается атака.
Атакующее воздействие. На данной стадии реализуются те цели, ради которых и предпринималась атака, - например, нарушение работоспособности ИС, кража конфиденциальной информации из системы, удаление или модификация данных и т. д. При этом атакующий часто выполняет операции, направленные на удаление следов его присутствия в ИС.
Развитие атаки. Злоумышленник стремится расширить объекты атаки, чтобы продолжить несанкционированные действия на других составляющих ИС.
Рис. 3.1. Жизненный цикл типовой атаки.
На этапе рекогносцировки действия нарушителя могут быть нацелены на получение следующих данных: о структуре и топологии ИС, о типе ОС, о типе прикладных сервисов, о зарегистрированных пользователях.
Для получения информации о структуре и топологии системы нарушитель может воспользоваться стандартными утилитами, такими, как traceroute, входящими в состав практически любой ОС, которые позволяют сформировать список IP-адресов транзитных маршрутизаторов вплоть до хоста-объекта нападения. Информацию о структуре ИС злоумышленник может получить и путем обращения к DNS-серверу.
Один из наиболее распространенных методов определения типа ОС основан на том, что различные системы по-разному реализуют требования RFC, определяющие правила взаимодействия с сетевыми протоколами. При одних и тех же сетевых запросах разные ОС отправляют в ответ разные данные, и по ним можно с большой долей вероятности определить характеристики атакуемой ОС и даже тип аппаратной платформы.
Информацию о типе прикладных сервисов нарушитель может получить путем сканирования открытых портов и анализа заголовков ответов, полученных от этих служб. Данные же о зарегистрированных пользователях можно извлечь из базы данных SNMP MIB, установленной на рабочих станциях и серверах ИС.
Когда необходимая информация собрана, можно начинать вторжение. Всякая атака основана на наличии в ИС уязвимостей, и "правильное" использование хотя бы одной из них открывает злоумышленнику вход в систему.
На стадии атакующего воздействия нарушитель выполняет те действия, которые и составляют цель атаки, - например, извлекает из СУБД атакованного хоста номера кредитных карточек или другую конфиденциальную информацию.
После атакующего воздействия нарушитель может перевести атаку в фазу дальнейшего развития. Для этого в систему обычно внедряется программа, с помощью которой можно организовать атаку на другие хосты ИС. После ее установки опять начинается первый этап атаки - сбор информации о следующей цели.
3.2. Обнаружение атак и угроз информационным системам
Процесс выявления информационных атак, как и атака, начинается со сбора данных, необходимых для определения факта атаки на ИС (рис. 3.2). В частности, можно анализировать сведения о пакетах данных, поступающих в ИС, производительность программно-аппаратных средств (вычислительная нагрузка на хосты, загруженность оперативной памяти, скорость работы прикладного ПО), сведения о доступе к определенным файлам системы и т. д. Полезно также иметь полную информацию о регистрации пользователей при входе в ИС.
Рис. 3.2. Схема процесса обнаружения информационной атаки15.
Для сбора исходной информации традиционно используют специализированные датчики СОА (системы обнаружения атаки), размещаемые на разных элементах ИС. Существуют два типа таких датчиков - сетевые и хостовые. Первые предназначены для сбора информации о пакетах данных, передаваемых в тех сегментах ИС, где они установлены. Хостовые же датчики размещаются на определенных компьютерах и собирают информацию о событиях, возникающих на этих компьютерах (например, сведения о сетевом трафике, поступающем на хост, или системных событиях, регистрируемых в журналах аудита ОС). При этом один узел может отслеживаться сразу несколькими хостовыми датчиками, каждый из которых предназначен для сбора определенной информации.
Анализ данных, собранных сетевыми и хостовыми датчиками, проводится в СОА с использованием специальных методов выявления атак. Существуют две основные группы таких методов - сигнатурные и поведенческие. Для того, чтобы лучше понять специфику обоих методов, рассмотрим их конкретные примеры, реализованные в современных СОА16.
Сигнатурные методы описывают каждую атаку особой моделью или сигнатурой, в качестве которой могут применяться строка символов, семантическое выражение на специальном языке, формальная математическая модель и т. д. Суть сигнатурного метода в следующем: в исходных данных, собранных сетевыми и хостовыми датчиками СОА, с использованием специализированной базы данных сигнатур атак выполняется процедура поиска сигнатуры атаки. Преимущество данных методов - высокая точность определения факта атаки, а очевидный недостаток - невозможность обнаружения атак, сигнатуры которых пока не определены.
Среди сигнатурных методов выявления атак наиболее распространен метод контекстного поиска, который заключается в обнаружении в исходной информации определенного множества символов. Так, для выявления атаки на Web-сервер, направленной на получение несанкционированного доступа к файлу паролей, проводится поиск последовательности символов "GET */etc/passwd" в заголовке HTTP-запроса. Для расширения функциональных возможностей контекстного поиска в некоторых случаях используются специализированные языки, описывающие сигнатуру атаки.
С помощью контекстного поиска эффективно выявляются атаки на основе анализа сетевого трафика, поскольку данный метод позволяет наиболее точно задать параметры сигнатуры, которую необходимо выявить в потоке исходных данных.
Метод анализа состояний основан на формировании сигнатуры атак в виде последовательности переходов ИС из одного состояния в другое. По сути, каждый такой переход определяется по наступлению в ИС определенного события, а набор этих событий задается параметрами сигнатуры атаки. Как правило, сигнатуры атак, созданные на основе анализа состояний, описываются математическими моделями, базирующимися на теории конечных автоматов или сетей Петри. На рис. 3.3 показана сеть Петри, описывающая сигнатуру атаки, которая выполняет подбор пароля для получения несанкционированного доступа к ресурсам ИС. Каждый переход ИС в новое состояние в этой сети Петри связан с попыткой ввода пароля. Если пользователь в течение 1 мин четыре раза подряд введет неправильный пароль, то метод зафиксирует факт осуществления атаки.
Рис. 3.3. Сеть Петри, описывающая сигнатуру атаки, осуществляющей подбор пароля17.