Базовая модель. Базовая модель угроз безопасности персональных данных при их обработке в информационных системах

28 преднамеренные действия по внесению уязвимостей в ходе проектирования и разработки программного (программно-аппаратного) обеспечения; неправильные настройки программного обеспечения, неправомерное изменение режимов работы устройств и программ; несанкционированное внедрение и использование неучтенных программ с последующим необоснованным расходованием ресурсов (загрузка процессора, захват оперативной памяти и памяти на внешних носителях); внедрение вредоносных программ, создающих уязвимости в программном и программно-аппаратном обеспечении; несанкционированные неумышленные действия пользователей, приводящие к возникновению уязвимостей; сбои в работе аппаратного и программного обеспечения (вызванные сбоями в электропитании, выходом из строя аппаратных элементов в результате старения и снижения надежности, внешними воздействиями электромагнитных полей технических устройств и др.).
Классификация основных уязвимостей ИСПДн приведена на рисунке 4.
Рисунок 4. Классификация уязвимостей программного обеспечения инсталляции и настройки программного обеспечения реализации программного обеспечения
Классификация уязвимостей программного обеспечения
По этапу жизненного цикла программного обеспечения, на котором возникает уязвимость
По причине возникновения уязвимости
По характеру последствий от реализации атак
Уязвимости, возникающие на этапе проектирования программного обеспечения
Недостатки механизмов аутентификации
Недостатки защиты учетных записей
Наличие функций, позволяющих выполнять деструктивные действия
Уязвимости, используемые для переполнения буфера
Уязвимости, используемые для подбора пароля или идентификатора
Уязвимости, используемые для изменения прав доступа
Уязвимости, используемые для реализации атаки
«Отказ в обслуживании»
По типу ПО
Системное ПО
Прикладное программное обеспечение
Отсутствие проверки корректности входных данных

29
Ниже представлена общая характеристика основных групп уязвимостей
ИСПДн, включающих: уязвимости системного программного обеспечения (в том числе протоколов сетевого взаимодействия); уязвимости прикладного программного обеспечения (в том числе средств защиты информации).
5.2.1. Общая характеристика уязвимостей системного программного
обеспечения
Уязвимости системного программного обеспечения необходимо рассматривать с привязкой к архитектуре построения вычислительных систем.
При этом возможны уязвимости: в микропрограммах, в прошивках ПЗУ, ППЗУ; в средствах операционной системы, предназначенных для управления локальными ресурсами ИСПДн (обеспечивающих выполнение функций управления процессами, памятью, устройствами ввода/вывода, интерфейсом с пользователем и т.п.), драйверах, утилитах; в средствах операционной системы, предназначенных для выполнения вспомогательных функций, – утилитах (архивирования, дефрагментации и др.), системных обрабатывающих программах (компиляторах, компоновщиках, отладчиках и т.п.), программах предоставления пользователю дополнительных услуг (специальных вариантах интерфейса, калькуляторах, играх и т.п.), библиотеках процедур различного назначения (библиотеках математических функций, функций ввода/вывода и т.д.); в средствах коммуникационного взаимодействия (сетевых средствах) операционной системы.
Уязвимости в микропрограммах и в средствах операционной системы, предназначенных для управления локальными ресурсами и вспомогательными функциями, могут представлять собой: функции, процедуры, изменение параметров которых определенным образом позволяет использовать их для несанкционированного доступа без обнаружения таких изменений операционной системой; фрагменты кода программ («дыры», «люки»), введенные разработчиком, позволяющие обходить процедуры идентификации, аутентификации, проверки целостности и др.; отсутствие необходимых средств защиты (аутентификации, проверки целостности, проверки форматов сообщений, блокирования несанкционированно модифицированных функций и т.п.); ошибки в программах (в объявлении переменных, функций и процедур, в кодах программ), которые при определенных условиях (например, при выполнении логических переходов) приводят к сбоям, в том числе к сбоям функционирования средств и систем защиты информации.
Уязвимости протоколов сетевого взаимодействия связаны с особенностями их программной реализации и обусловлены ограничениями на размеры

30 применяемого буфера, недостатками процедуры аутентификации, отсутствием проверок правильности служебной информации и др. Краткая характеристика этих уязвимостей применительно к протоколам приведена в таблице 2.
Таблица 2
Уязвимости отдельных протоколов стека протоколов TCP/IP, на базе которого функционируют глобальные сети общего пользования
Наименование
протокола
Уровень
стека
протоколов
Наименование
(характеристика) уязвимости
Содержание нарушения
безопасности информации
FTP (File Transfer
Protocol) – протокол передачи файлов по сети
Прикладной, представи- тельный, сеансовый
1. Аутентификация на базе открытого текста (пароли пересылаются в незашифрованном виде)
2. Доступ по умолчанию
3. Наличие двух открытых портов
Возможность перехвата данных учетной записи (имен зарегистрированных пользователей, паролей).
Получение удаленного доступа к хостам telnet – протокол управления удаленным терминалом
Прикладной, представи- тельный, сеансовый
Аутентификация на базе открытого текста (пароли пересылаются в незашифрованном виде)
Возможность перехвата данных учетной записи пользователя.
Получение удаленного доступа к хостам
UDP – протокол передачи данных без установления соединения
Транспорт- ный
Отсутствие механизма предотвращения перегрузок буфера
Возможность реализации
UDР-шторма.
В результате обмена пакетами происходит существенное снижение производительности сервера
ARP – протокол преобразования
IP-адреса в физический адрес
Сетевой
Аутентификация на базе открытого текста (информация пересылается в незашифрованном виде)
Возможность перехвата трафика пользователя злоумышленником
RIP – протокол маршрутной информации
Транспорт- ный
Отсутствие аутентификации управляющих сообщений об изменении маршрута
Возможность перенаправления трафика через хост злоумышленника
TCP – протокол управления передачей
Транспорт- ный
Отсутствие механизма проверки корректности заполнения служебных заголовков пакета
Существенное снижение скорости обмена и даже полный разрыв произвольных соединений по протоколу TCP
DNS – протокол установления соответствия мнемонических имен и сетевых адресов
Прикладной, представи- тельный, сеансовый
Отсутствие средств проверки аутентификации полученных данных от источника
Фальсификация ответа
DNS-сервера
IGMP – протокол передачи сообщений о маршрутизации
Сетевой
Отсутствие аутентификации сообщений об изменении параметров маршрута
Зависание систем
Win 9x/NT/200
SMTP – протокол обеспечения сервиса доставки сообщений по электронной почте
Прикладной, представи- тельный, сеансовый
Отсутствие поддержки аутентификации заголовков сообщений
Возможность подделывания сообщений электронной почты, а также адреса отправителя сообщения
SNMP – протокол управления маршрутизаторами в сетях
Прикладной, представи- тельный, сеансовый
Отсутствие поддержки аутентификации заголовков сообщений
Возможность переполнения пропускной способности сети

31
Для систематизации описания множества уязвимостей используется единая база данных уязвимостей CVE (Common Vulnerabilities and Exposures), в разработке которой принимали участие специалисты многих известных компаний и организаций, таких как MITRE, ISS, Cisco, BindView, Axent, NFR,
L-3, CyberSafe, CERT, Carnegie Mellon University, институт SANS и т.д. Эта база данных постоянно пополняется и используется при формировании баз данных многочисленных программных средств анализа защищенности и, прежде всего, сетевых сканеров.
5.2.2. Общая характеристика уязвимостей прикладного программного
обеспечения
К прикладному программному обеспечению относятся прикладные программы общего пользования и специальные прикладные программы.
Прикладные программы общего пользования – текстовые и графические редакторы, медиа-программы (аудио- и видеопроигрыватели, программные средства приема телевизионных программ и т.п.), системы управления базами данных, программные платформы общего пользования для разработки программных продуктов (типа Delphi, Visual Basic), средства защиты информации общего пользования и т.п.
Специальные прикладные программы – это программы, которые разрабатываются в интересах решения конкретных прикладных задач в данной
ИСПДн (в том числе программные средства защиты информации, разработанные для конкретной ИСПДн).
Уязвимости прикладного программного обеспечения могут представлять собой: функции и процедуры, относящиеся к разным прикладным программам и несовместимые между собой (не функционирующие в одной операционной среде) из-за конфликтов, связанных с распределением ресурсов системы; функции, процедуры, изменение определенным образом параметров которых позволяет использовать их для проникновения в операционную среду
ИСПДн и вызова штатных функций операционной системы, выполнения несанкционированного доступа без обнаружения таких изменений операционной системой; фрагменты кода программ («дыры», «люки»), введенные разработчиком, позволяющие обходить процедуры идентификации, аутентификации, проверки целостности и др., предусмотренные в операционной системе; отсутствие необходимых средств защиты (аутентификации, проверки целостности, проверки форматов сообщений, блокирования несанкционированно модифицированных функций и т.п.); ошибки в программах (в объявлении переменных, функций и процедур, в кодах программ), которые при определенных условиях (например, при выполнении логических переходов) приводят к сбоям, в том числе к сбоям функционирования средств и систем защиты информации, к возможности несанкционированного доступа к информации.
Данные об уязвимостях разрабатываемого и распространяемого на

32 коммерческой основе прикладного программного обеспечения собираются, обобщаются и анализируются в базе данных CVE
1
5.3. Общая характеристика угроз непосредственного доступа
в операционную среду информационной системы персональных данных
Угрозы доступа (проникновения) в операционную среду компьютера и несанкционированного доступа к ПДн связаны с доступом: к информации и командам, хранящимся в базовой системе ввода/вывода
(BIOS)
ИСПДн, с возможностью перехвата управления загрузкой операционной системы и получением прав доверенного пользователя; в операционную среду, то есть в среду функционирования локальной операционной системы отдельного технического средства ИСПДн с возможностью выполнения несанкционированного доступа путем вызова штатных программ операционной системы или запуска специально разработанных программ, реализующих такие действия; в среду функционирования прикладных программ (например, к локальной системе управления базами данных); непосредственно к информации пользователя (к файлам, текстовой, аудио- и графической информации, полям и записям в электронных базах данных) и обусловлены возможностью нарушения ее конфиденциальности, целостности и доступности.
Эти угрозы могут быть реализованы в случае получения физического доступа к ИСПДн или, по крайней мере, к средствам ввода информации в ИСПДн. Их можно объединить по условиям реализации на три группы.
Первая группа включает в себя угрозы, реализуемые в ходе загрузки операционной системы. Эти угрозы безопасности информации направлены на перехват паролей или идентификаторов, модификацию программного обеспечения базовой системы ввода/вывода (BIOS), перехват управления загрузкой с изменением необходимой технологической информации для получения НСД в операционную среду ИСПДн. Чаще всего такие угрозы реализуются с использованием отчуждаемых носителей информации.
Вторая группа – угрозы, реализуемые после загрузки операционной среды независимо от того, какая прикладная программа запускается пользователем. Эти угрозы, как правило, направлены на выполнение непосредственно несанкционированного доступа к информации. При получении доступа в операционную среду нарушитель может воспользоваться как стандартными функциями операционной системы или какой-либо прикладной программы общего пользования (например, системы управления базами данных), так и специально созданными для выполнения несанкционированного доступа программами, например: программами просмотра и модификации реестра; программами поиска текстов в текстовых файлах по ключевым словам и копирования;
1
Ведется зарубежной фирмой CERT на коммерческой основе

33 специальными программами просмотра и копирования записей в базах данных; программами быстрого просмотра графических файлов, их редактирования или копирования; программами поддержки возможностей реконфигурации программной среды (настройки ИСПДн в интересах нарушителя) и др.
Наконец, третья группа включает в себя угрозы, реализация которых определяется тем, какая из прикладных программ запускается пользователем, или фактом запуска любой из прикладных программ. Большая часть таких угроз – это угрозы внедрения вредоносных программ.
5.4. Общая характеристика угроз безопасности персональных данных,
реализуемых с использованием протоколов межсетевого взаимодействия
Если ИСПДн реализована на базе локальной или распределенной информационной системы, то в ней могут быть реализованы угрозы безопасности информации путем использования протоколов межсетевого взаимодействия. При этом может обеспечиваться НСД к ПДн или реализовываться угроза отказа в обслуживания. Особенно опасны угрозы, когда
ИСПДн представляет собой распределенную информационную систему, подключенную к сетям общего пользования и (или) сетям международного информационного обмена. Классификационная схема угроз, реализуемых по сети, приведена на рисунке 5. В ее основу положено семь следующих первичных признаков классификации.
1. Характер угрозы. По этому признаку угрозы могут быть пассивные и активные. Пассивная угроза – это угроза, при реализации которой не оказывается непосредственное влияние на работу ИСПДн, но могут быть нарушены установленные правила разграничения доступа к ПДн или сетевым ресурсам. Примером таких угроз является угроза «Анализ сетевого трафика», направленная на прослушивание каналов связи и перехват передаваемой информации.
Активная угроза – это угроза, связанная с воздействием на ресурсы
ИСПДн, при реализации которой оказывается непосредственное влияние на работу системы (изменение конфигурации, нарушение работоспособности и т.д.), и с нарушениемустановленных правил разграничения доступа к ПДн или сетевым ресурсам. Примером таких угроз является угроза «Отказ в обслуживании», реализуемая как «шторм TCP-запросов».
2. Цель реализации угрозы. По этому признаку угрозы могут быть направлены на нарушение конфиденциальности, целостности и доступности информации (в том числе на нарушение работоспособности ИСПДн или ее элементов).
3. Условие начала осуществления процесса реализации угрозы. По этому признаку может реализовываться угроза: по запросу от объекта, относительно которого реализуется угроза. В этом случае нарушитель ожидает передачи запроса определенного типа, который и будет условием начала осуществления несанкционированного доступа;

34
Рисунок 5. Классификационная схема угроз с использованием протоколов межсетевого взаимодействия
3 4
Классификация угроз безопасности информации, реализуемых с использованием протоколов межсетевого взаимодействия в автоматизированных системах
По характеру
воздействия
Пассивные
Активные
По цели воздействия
Угрозы с нарушением конфиденциальности информации
Угрозы с нарушением целостности информации
Угрозы с нарушением доступности информации
Угрозы с комплексным воздействием на информацию
По условию начала процесса
реализации угрозы
Угрозы, реализуемые по запросу от ИСПДн
Угрозы, реализуемые по наступлению ожидаемого события в
ИСПДн
Безусловные воздействия
По наличию обратной
связи с ИСПДн
С обратной связью
Без обратной связи
(однонаправленная атака)
По расположению субъекта
атаки относительно ИСПДн
Внутрисегментные
Межсегментные
По уровню эталонной модели
взаимодействия открытых систем
Угрозы на физическом уровне
Угрозы на канальном уровне
Угрозы на сетевом уровне
Угрозы на транспортном уровне
Угрозы на сеансовом уровне
Угрозы на представительном уровне
Угрозы на прикладном уровне
По соотношению количества
нарушителей и хостов,
относительно которых
реализуются угрозы
Угроза "Один к одному"
Угроза "Один ко многим"
Распределенные
(скоординированные) угрозы

35 по наступлению ожидаемого события на объекте, относительно которого реализуется угроза. В этом случае нарушитель осуществляет постоянное наблюдение за состоянием операционной системы ИСПДн и при возникновении определенного события в этой системе начинает несанкционированный доступ; безусловное воздействие. В этом случае начало осуществления несанкционированного доступа безусловно по отношению к цели доступа, то есть угроза реализуется немедленно и безотносительно к состоянию системы.
4. Наличие обратной связи с ИСПДн. По этому признаку процесс реализации угрозы может быть с обратной связью и без обратной связи. Угроза, осуществляемая при наличии обратной связи с ИСПДн, характеризуется тем, что на некоторые запросы, переданные на ИСПДн, нарушителю требуется получить ответ. Следовательно, между нарушителем и ИСПДн существует обратная связь, которая позволяет нарушителю адекватно реагировать на все изменения, происходящие в ИСПДн. В отличие от угроз, реализуемых при наличии обратной связи с ИСПДн, при реализации угроз без обратной связи не требуется реагировать на какие-либо изменения, происходящие в ИСПДн.
5. Расположение нарушителя относительно ИСПДн. В соответствии с этим признаком угроза реализуется как внутрисегментно, так и межсегментно.
Сегмент сети – физическое объединение хостов (технических средств ИСПДн или коммуникационных элементов, имеющих сетевой адрес). Например, сегмент ИСПДн образует совокупность хостов, подключенных к серверу по схеме «общая шина». В случае, когда имеет место внутрисегментная угроза, нарушитель имеет физический доступ к аппаратным элементам ИСПДн. Если имеет место межсегментная угроза, то нарушитель располагается вне ИСПДн, реализуя угрозу из другой сети или из другого сегмента ИСПДн.
6. Уровень эталонной модели взаимодействия открытых систем
1
(ISO/OSI), на котором реализуется угроза. По этому признаку угроза может реализовываться на физическом, канальном, сетевом, транспортном, сеансовом, представительном и прикладном уровне модели ISO/OSI.
7. Соотношение количества нарушителей и элементов ИСПДн, относительно которых реализуется угроза. По этому признаку угроза может быть отнесена к классу угроз, реализуемых одним нарушителем относительно одного технического средства ИСПДн (угроза «один к одному»), сразу относительно нескольких технических средств ИСПДн (угроза «один ко многим») или несколькими нарушителями с разных компьютеров относительно одного или нескольких технических средств ИСПДн (распределенные или комбинированные угрозы).
С учетом проведенной классификации можно выделить семь наиболее часто реализуемых в настоящее время угроз.
1. Анализ сетевого трафика (рисунок 6).
1
Международная Организация по Стандартизации (ISO) приняла стандарт ISO 7498, описывающий взаимодействие открытых систем (OSI).

36
Хост 2
Маршрутизатор 1
Маршрутизатор 2
Хост 1
Хост N
Хост 2
Хост 1
Хост M
Хост нарушителя
Прослушивание канала связи
Рисунок 6. Схема реализации угрозы «Анализ сетевого трафика»
Эта угроза реализуется с помощью специальной программы-анализатора пакетов (sniffer), перехватывающей все пакеты, передаваемые по сегменту сети, и выделяющей среди них те, в которых передаются идентификатор пользователя и его пароль. В ходе реализации угрозы нарушитель изучает логику работы сети – то есть стремится получить однозначное соответствие событий, происходящих в системе, и команд, пересылаемых при этом хостами, в момент появления данных событий. В дальнейшем это позволяет злоумышленнику на основе задания соответствующих команд получить, например, привилегированные права на действия в системе или расширить свои полномочия в ней, перехватить поток передаваемых данных, которыми обмениваются компоненты сетевой операционной системы, для извлечения конфиденциальной или идентификационной информации
(например, статических паролей пользователей для доступа к удаленным хостам по протоколам FTP и TELNET, не предусматривающим шифрование), ее подмены, модификации и т.п.
2. Сканирование сети.
Сущность процесса реализации угрозы заключается в передаче запросов сетевым службам хостов ИСПДн и анализе ответов от них. Цель – выявление используемых протоколов, доступных портов сетевых служб, законов формирования идентификаторов соединений, определение активных сетевых сервисов, подбор идентификаторов и паролей пользователей.
3. Угроза выявления пароля.
Цель реализации угрозы состоит в получении НСД путем преодоления парольной защиты. Злоумышленник может реализовывать угрозу с помощью целого ряда методов, таких как простой перебор, перебор с использованием специальных словарей, установка вредоносной программы для перехвата пароля, подмена доверенного объекта сети (IP-spoofing) и перехват пакетов
(sniffing). В основном для реализации угрозы используются специальные программы, которые пытаются получить доступ к хосту путем последовательного подбора паролей. В случае успеха, злоумышленник может создать для себя «проход» для будущего доступа, который будет действовать, даже если на хосте изменить пароль доступа.

37 4. Подмена доверенного объекта сети и передача по каналам связи сообщений от его имени с присвоением его прав доступа (рисунок 7).
Хост Х
Хост B
2. Хост Х посылает на хост A серию TCP-запросов на создание соединения, заполняя тем самым очередь запросов с целью вывести из строя на некоторое время хост A
Хост А - доверенный хост
Хост Х
Хост А
Хост Х
Хост А
Хост B
Хост B
Хост B
SYN, ACK, ISSb
ACK(ISSx+1)
Ответ хоста В на TCP-запрос
SYN-бит синхронизации номера последовательности
ISSb-произвольный номер последовательности хоста B
ACK(ISSx+1)-номер подтверждения приема TCP-пакета от хоста A, равный ISSx+1
ACK, ISSx+1
ACK(ISSb+1)
RST
ASK(ISSb+1)-номер подтверждения приема TCP-пакета от хоста В, в котором атакующий указывает подобранный номер ISSb+1
ASK(ISSx+1)-номер следующего TCP-пакета
Отсутствует сообщение о разрыве TCP-соединения от выведенного из строя хоста А (пакет с заполненным служебным заголовком RST)
1. Хост Х ведет наблюдение за хостами А и В и определяет нумерацию пакетов сообщений, идущую от хоста В
Хост B
Хост Х - хост нарушителя
SYN,
ISSx
Хост А
Хост Х
Хост А
SYN,
ISSx
TCP-запрос на открытие соединения от имени хоста А
SYN-бит синхронизации номера последовательности
ISSx-произвольный номер последовательности хост А выведен из строя
Рисунок 7. Схема реализации угрозы «Подмена доверенного объекта сети»

38
Такая угроза эффективно реализуется в системах, где применяются нестойкие алгоритмы идентификации и аутентификации хостов, пользователей и т.д. Под доверенным объектом понимается объект сети (компьютер, межсетевой экран, маршрутизатор и т.п.), легально подключенный к серверу.
Могут быть выделены две разновидности процесса реализации указанной угрозы: с установлением и без установления виртуального соединения.
Процесс реализации с установлением виртуального соединения состоит в присвоении прав доверенного субъекта взаимодействия, что позволяет нарушителю вести сеанс работы с объектом сети от имени доверенного субъекта.
Реализация угрозы данного типа требует преодоления системы идентификации и аутентификации сообщений (например, атака rsh-службы UNIX-хоста).
Процесс реализации угрозы без установления виртуального соединения может иметь место в сетях, осуществляющих идентификацию передаваемых сообщений только по сетевому адресу отправителя. Сущность заключается в передаче служебных сообщений от имени сетевых управляющих устройств
(например, от имени маршрутизаторов) об изменении маршрутно-адресных данных. При этом необходимо иметь в виду, что единственными идентификаторами абонентов и соединения (по протоколу TCP) являются два
32-битных параметра Initial Sequence Number – ISS (номер последовательности) и Acknowledgment Number – ACK (номер подтверждения). Следовательно, для формирования ложного TCP-пакета нарушителю необходимо знать текущие идентификаторы для данного соединения – ISSa и ISSb, где:
ISSa – некоторое численное значение, характеризующее порядковый номер отправляемого TCP-пакета, устанавливаемого TCP-соединения, инициированного хостом А;
ISSb – некоторое численное значение, характеризующее порядковый номер отправляемого TCP-пакета, устанавливаемого TCP-соединения, инициированного хостом В.
Значение ACK (номера подтверждения установления TCP-соединения) определяется как значение номера, полученного от респондента ISS (номер последовательности) плюс единица АСКb = ISSa+1.
В результате реализации угрозы нарушитель получает права доступа, установленные его пользователем для доверенного абонента, к техническому средству ИСПДн – цели угроз.
5. Навязывание ложного маршрута сети.
Данная угроза реализуется одним из двух способов: путем внутрисегментного или межсегментного навязывания.
Возможность навязывания ложного маршрута обусловлена недостатками, присущими алгоритмам маршрутизации (в частности, из-за проблемы идентификации сетевых управляющих устройств), в результате чего можно попасть, например, на хост или в сеть злоумышленника, где можно войти в операционную среду технического средства в составе ИСПДн. Реализация угрозы основывается на несанкционированном использовании протоколов маршрутизации (RIP,
OSPF, LSP) и управления сетью (ICMP, SNMP) для внесения изменений в маршрутно-адресные таблицы. При этом нарушителю необходимо послать от

39 имени сетевого управляющего устройства (например, маршрутизатора) управляющее сообщение (рисунки 8 и 9).
Хост 2 1. Передача нарушителем на хост 1 ложного сообщения по протоколу ICMP Redirect от имени маршрутизатора 1 об изменении таблицы
Маршрутизатор 2
Хост 1
Хост 2
Таблица маршрутизации top.secret.com:
gateway=хост 2
…
2. Пакеты на top.secret.com направляются на несуществующий маршрутизатор (хост 2), а следовательно, связь с top.secret.com нарушается
Хост 1
Хост нарушителя
Ложное сообщение
ICMP Redirect
Маршрутизатор 2
Маршрутизатор 1
Интернет
Сервер top.secret.com
Интернет
Сервер top.secret.com
Маршрутизатор 1
Рисунок 8. Схема реализации атаки «Навязывание ложного маршрута»
(внутрисегментное) с использованием протокола ICMP с целью нарушения связи
Интернет
Маршрутизатор
Хост 1
Хост 2
Хост нарушителя
Ложное сообщение ICMP Redirect в наилучшем маршруте к хосту top.secret.com
1. Фаза передачи ложного сообщения ICMP Redirect от имени маршрутизатора на хост 1
Маршрутизатор 2
Маршрутизатор 1
Сервер top.secret.com
Хост 1
Хост 1 передает пакеты, предназначенные top.secret.com, на хост атакующего
Хост нарушителя
Атакующий от имени хоста 1 передает пакеты на top.secret.com
2. Фаза приема, анализа, воздействия и передачи перехваченной информации на ложном сервере
Интернет
Рисунок 9. Схема реализации угрозы «Навязывание ложного маршрута»
(межсегментное) с целью перехвата трафика

40 6. Внедрение ложного объекта сети.
Эта угроза основана на использовании недостатков алгоритмов удаленного поиска. В случае, если объекты сети изначально не имеют адресной информации друг о друге, используются различные протоколы удаленного поиска (например, SAP в сетях Novell NetWare; ARP, DNS, WINS в сетях со стеком протоколов TCP/IP), заключающиеся в передаче по сети специальных запросов и получении на них ответов с искомой информацией. При этом существует возможность перехвата нарушителем поискового запроса и выдачи на него ложного ответа, использование которого приведет к требуемому изменению маршрутно-адресных данных. В дальнейшем весь поток информации, ассоциированный с объектом-жертвой, будет проходить через ложный объект сети (рисунки 10 - 13).
Хост 1
Хост 2
Маршрутизатор
1. Фаза ожидания ARP-запроса
Интернет
Хост N
Хост нарушителя
Атакующий прослушивает канал, ожидая передачу
ARP-запроса
Хост 1
Хост 2
Маршрутизатор
2. Фаза реализации угрозы
Интернет
Хост N
Хост нарушителя
Перехватив ARP-запрос, атакующий передает ложный
ARP-ответ
Хост передает
ARP-запрос
Хост 1
Хост 2
Маршрутизатор
3. Фаза приема, анализа, воздействия и передачи перехваченной информации на ложном ARP-сервере
Интернет
Хост N
Связь хоста 1 с маршрутизатором происходит через ложный ARP-сервер
Ложный
ARP-сервер
Рисунок 10. Схема реализации угрозы «Внедрение ложного ARP-сервера»

41
Хост 1
Хост 2
Маршрутизатор
Хост нарушителя 1
Маршрутизатор
Маршрутизатор
Сервер top.secret.com
DNS-сервер
Хост нарушителя 2 1. Фаза ожидания атакующим DNS-запроса от хоста 1 (атакующий находится либо на хосте нарушителя 1, либо на хосте нарушителя 2)
Хост 1
Хост 2
Маршрутизатор
Хост нарушителя 1
Маршрутизатор
Маршрутизатор
Сервер top.secret.com
DNS-сервер
Хост нарушителя 2 2. Фаза передачи атакующим ложного DNS-ответа (атакующий находится либо на хосте нарушителя 1, либо на хосте нарушителя 2)
Ложный
DNS-ответ
DNS-запрос
Ложный
DNS-ответ
Хост 1
Хост 2
Маршрутизатор
Хост нарушителя 1
Маршрутизатор
Маршрутизатор
Сервер top.secret.com
DNS-сервер
Хост нарушителя 2 3. Фаза приема, анализа, воздействия и передачи перехваченной информации на ложном сервере
Рисунок 11. Схема реализации угрозы «Внедрение ложного DNS-сервера» путем перехвата DNS-запроса

42
Хост 1
Хост 2
Маршрутизатор
Шторм ложных
DNS-ответов от имени DNS- сервера на хост 1
Маршрутизатор
Сервер top.secret.com
DNS-сервер
1. Нарушитель передает направленный шторм DNS-ответов на хост 1
Ложный сервер
(хост нарушителя)
Хост 1
Хост 2
Маршрутизатор
Шторм ложных
DNS-ответов от имени DNS- сервера
Маршрутизатор
Сервер top.secret.com
2. Хост 1 посылает DNS-запрос и немедленно получает ложный DNS-ответ
Ложный сервер
(хост нарушителя)
Маршрутизатор
Маршрутизатор
Хост 1
Хост 2
Маршрутизатор
Маршрутизатор
Сервер top.secret.com
3. Фаза приема, анализа, воздействия и передачи перехваченной информации на ложном сервере
Ложный сервер
(хост нарушителя)
Маршрутизатор
Маршрутизатор
DNS-запрос
DNS-сервер
Маршрутизатор
DNS-сервер
Маршрутизатор
D
N
S- отв ет
D
N
S- отв ет
Рисунок 12. Схема реализации угрозы «внедрение ложного DNS-сервера» путем шторма DNS-ответов на компьютер сети

43
Маршрутизатор
Сервер top.secret.com
DNS-сервер
1. Нарушитель создает направленный шторм ложных DNS-ответов от имени одного из корневых
DNS-серверов и при этом провоцирует этот сервер на ответ, посылая на него DNS-запрос
Маршрутизатор
Маршрутизатор
Корневой
DNS-сервер
DNS-запрос на поиск top.secret.com
Хост нарушителя
Маршрутизатор
Сервер top.secret.com
DNS-сервер
2. DNS-сервер передает DNS-запрос на корневой DNS-сервер и немедленно получает ложный DNS-ответ от атакующего
Маршрутизатор
Маршрутизатор
Корневой
DNS-сервер
Направленный шторм ложных DNS-ответов от имени корневого
DNS-сервера
Хост нарушителя
DNS-запрос top.secret.com:
IP адрес атакующего
…
Кэш таблица DNS- сервера
DNS-сервер
DNS-ответ с ложными сведениями о хосте
TOP.SECRET.COM
DNS-запрос на поиск
TOP.SECRET.COM
Интернет
3. Хост нарушителя изменяет кэш-таблицу DNS-сервера и обеспечивает прохождение трафика через ложный Сервер top.secret.com
Маршрутизатор
Хост 1
Маршрутизатор
Хост 1
Маршрутизатор
Хост 1
Интернет
Сервер top.secret.com ложный Сервер top.secret.com
Интернет
Рисунок 13. Схема реализации угрозы «Внедрение ложного DNS-сервера» путем шторма DNS-ответов на DNS-сервер

44 7. Отказ в обслуживании.
Эти угрозы основаны на недостатках сетевого программного обеспечения, его уязвимостях, позволяющих нарушителю создавать условия, когда операционная система оказывается не в состоянии обрабатывать поступающие пакеты.
Могут быть выделены несколько разновидностей таких угроз: а) скрытый отказ в обслуживании, вызванный привлечением части ресурсов ИСПДн на обработку пакетов, передаваемых злоумышленником со снижением пропускной способности каналов связи, производительности сетевых устройств, нарушением требований ко времени обработки запросов.
Примерами реализации угроз подобного рода могут служить: направленный шторм эхо-запросов по протоколу ICMP (Ping flooding), шторм запросов на установление TCP-соединений (SYN-flooding), шторм запросов к FTP-серверу; б) явный отказ в обслуживании, вызванный исчерпанием ресурсов
ИСПДн при обработке пакетов, передаваемых злоумышленником (занятие всей полосы пропускания каналов связи, переполнение очередей запросов на обслуживание), при котором легальные запросы не могут быть переданы через сеть из-за недоступности среды передачи либо получают отказ в обслуживании ввиду переполнения очередей запросов, дискового пространства памяти и т.д.
Примерами угроз данного типа могут служить шторм широковещательных
ICMP-эхо-запросов (Smurf), направленный шторм (SYN-flooding), шторм сообщений почтовому серверу (Spam); в) явный отказ в обслуживании, вызванный нарушением логической связности между техническими средствами ИСПДн при передаче нарушителем управляющих сообщений от имени сетевых устройств, приводящих к изменению маршрутно-адресных данных (например, ICMP Redirect Host,
DNS-flooding) или идентификационной и аутентификационной информации; г) явный отказ в обслуживании, вызванный передачей злоумышленником пакетов с нестандартными атрибутами (угрозы типа «Land», «TearDrop»,
«Bonk», «Nuke», «UDP-bomb») или имеющих длину, превышающую максимально допустимый размер (угроза типа «Ping Death»), что может привести к сбою сетевых устройств, участвующих в обработке запросов, при условии наличия ошибок в программах, реализующих протоколы сетевого обмена.
Результатом реализации данной угрозы может стать нарушение работоспособности соответствующей службы предоставления удаленного доступа к ПДн в ИСПДн, передача с одного адреса такого количества запросов на подключение к техническому средству в составе ИСПДн, какое максимально может «вместить» трафик (направленный «шторм запросов»), что влечет за собой переполнение очереди запросов и отказ одной из сетевых служб или полную остановку компьютера из-за невозможности системы заниматься ничем другим, кроме обработки запросов.
8. Удаленный запуск приложений.
Угроза заключается в стремлении запустить на хосте ИСПДн различные предварительно внедренные вредоносные программы: программы-закладки,

45 вирусы, «сетевые шпионы», основная цель которых – нарушение конфиденциальности, целостности, доступности информации и полный контроль за работой хоста. Кроме того, возможен несанкционированный запуск прикладных программ пользователей для несанкционированного получения необходимых нарушителю данных, для запуска управляемых прикладной программой процессов и др.
Выделяют три подкласса данных угроз:
1) распространение файлов, содержащих несанкционированный исполняемый код;
2) удаленный запуск приложения путем переполнения буфера приложений-серверов;
3) удаленный запуск приложения путем использования возможностей удаленного управления системой, предоставляемых скрытыми программными и аппаратными закладками либо используемыми штатными средствами.
Типовые угрозы первого из указанных подклассов основываются на активизации распространяемых файлов при случайном обращении к ним.
Примерами таких файлов могут служить: файлы, содержащие исполняемый код в виде макрокоманд (документы Microsoft Word, Excel и т.п.); html-документы, содержащие исполняемый код в виде элементов ActiveX, Java-апплетов, интерпретируемых скриптов (например, тексты на JavaScript); файлы, содержащие исполняемые коды программ. Для распространения файлов могут использоваться службы электронной почты, передачи файлов, сетевой файловой системы.
При угрозах второго подкласса используются недостатки программ, реализующих сетевые сервисы (в частности, отсутствие контроля переполнения буфера). Настройкой системных регистров иногда удается переключить процессор после прерывания, вызванного переполнением буфера, на исполнение кода, содержащегося за границей буфера. Примером реализации такой угрозы может служить внедрение широко известного «вируса Морриса».
При угрозах третьего подкласса нарушитель использует возможности удаленного управления системой, предоставляемые скрытыми компонентами
(например, «троянскими» программами типа Back Orifice, Net Bus) либо штатными средствами управления и администрирования компьютерных сетей
(Landesk Management Suite, Managewise, Back Orifice и т. п.). В результате их использования удается добиться удаленного контроля над станцией в сети.
Схематично основные этапы работы этих программ выглядят следующим образом: инсталляция в памяти; ожидание запроса с удаленного хоста, на котором запущена клиент- программа, и обмен с ней сообщениями о готовности; передача перехваченной информации клиенту или предоставление ему контроля над атакуемым компьютером.
Возможные последствия от реализации угроз различных классов приведены в таблице 3.

46
Таблица 3
Возможные последствия реализации угроз различных классов