Учебник для вузов в. Олифер Н. Олифер Компьютерные Принципы, технологии, протоколы

Типы и примеры атак
843
ментами вируса с перестановкой замещенных фрагментов и без перестановки и т. д., и т. п.
Более того, код вируса может быть зашифрован, чтобы затруднить его обнаружение анти­
вирусными программами.
В отличие от червей вирусы (так же как и троянские программы) не содержат в себе встроенного механизма активного распространения по сети, они способны размножать­
ся своими |Силами только в пределах одного компьютера. Как правило, передача копии вируса на другой компьютер происходит с участием пользователя. Например, пользо­
ватель может записать свой файл, зараженный вирусом, на сетевой файловый сервер, откуда тот может быть скопирован всеми пользователями, имеющими доступ к данному серверу. Пользователь может также передать другому пользователю съемный носитель с зараженным файлом или послать такой файл по электронной почте. То есть именно пользователь является главным звеном в цепочке распространения вируса за пределы своего компьютера. Тяжесть последствий вирусного заражения зависит от того, какие вредоносные действия были запрограммированы в вирусе злоумышленником. Это могут быть мелкие, но раздражающие неудобства (замедление работы компьютера, уменьшение размеров доступной памяти, трата рабочего времени на переустановку приложений) или серьезные нарушения безопасности, такие как утечка конфиденциальных данных, разрушение системного программного обеспечения, частичная или полная потеря рабо­
тоспособности компьютерной сети.
Замещение с изменением размера инфицированного файла
Наложение с сохранением размера инфицированного файла
Добавление в конец программы
Добавление в начало программы
Добавление с перестановкой частей кода программы
Фрагментарное добавление вируса в Тело программы
Рис. 24.7.
Различные варианты расположения кода вируса в зараженных файлах

844
Глава 24. Сетевая безопасность
Шпионские программы
Шпионские программы
(spyware) — это такой тип вредоносных программ, которые тайно (как правило, удаленно) устанавливаются злоумышленниками на компьютеры ничего не подозреваю­
щих пользователей, чтобы отслеживать и фиксировать все их действия.
В число таких действий может входить введение имени и пароля во время логического входа в систему, посещение тех или иных веб-сайтов, обмен информацией с внешними и внутренними пользователями сети и пр., и пр. Собранная информация пересылается злоумышленнику, который применяет ее в преступных целях.
Заметим, что в качестве шпионских программ могут использоваться не только созданные специально для этих целей вредоносные программы, но и программы легального назначе­
ния. Так, опасным средством шпионажа могут стать легальные системы мониторинга сети1, такие, например, как популярные сетевые мониторы Wireshark или Microsoft Network
Monitor. Исходное назначение этих программ состоит в том, чтобы дать администратору сети возможность следить за сетевым трафиком, в частности захватывать пакеты, ис­
пользуя механизм фильтрации, просматривать их содержимое, собирать статистику по загрузке устройств. В руках же злоумышленника такая программа превращается в мощный инструмент «взлома» сети, который позволяет перехватывать пакеты с паролями и другой секретной информацией. Они также позволяют путем сканирования TCP- и UDP-портов определять типы приложений, работающих в сети, что является очень важной информа­
цией для подготовки атаки.
ПРИМЕЧАНИЕ---------------------------------------------------------------------------------------------------
Практически все сетевые мониторы построены в архитектуре клиент-сервер. Клиенты, обычно
называемые агентами, захватывают и, если необходимо, фильтруют трафик, а затем передают его
серверной части монитора для дальнейшей обработки. Серверная часть монитора может работать
как в локальной сети, так и на удаленном компьютере, однако клиентские части всегда устанавли­
ваются на компьютерах в тех сегментах сети, в которых протекает интересующий администратора
(или злоумышленника) трафик. Необходимым условием для работы агентов монитора является
установка сетевого адаптера компьютера, на котором запущен этот агент, в неразборчивый режим
приема (см. раздел «МАС-адреса» в главе 12). Поэтому одним из способов, пресекающих несанк­
ционированный захват и анализ сетевого трафика, является отслеживание всех интерфейсов сети,
работающих в неразборчивом режиме приема.
Спам
Спам2
— это атака, выполненная путем злоупотребления возможностями электронной почты.
Учитывая ту важную роль, которую играет электронная почта в работе современных пред­
приятий и организаций, можно понять, почему спам, дезорганизующий работу этой служ­
бы, стал рассматриваться в последние годы как одна из существенных угроз безопасности.
1
Программные системы, предназначенные для анализа сетевого трафика, называют также сниффе­
рами (sniffers от английского sniff — нюхать).
2
Спам получил свое название по имени реально существующих консервов Spam, которые стали темой
одного из эпизодов популярного английского сериала. В этом эпизоде посетители кафе страдают
оттого, что им постоянно навязывают блюда, в которых присутствуют эти консервы.

Методы обеспечения информационной безопасности
845
Спам отнимает время и ресурсы на просмотр и удаление бесполезных сообщений, при этом ошибочно могут быть удалены письма с критически важной информацией, особенно велика вероятность этого при автоматической фильтрации писем. Посторонняя почта, которая не­
редко составляет 70 % получаемых сообщений, не только снижает эффективность работы предприятия, но и зачастую служит средством внедрения вредоносных программ. Кроме того, спам часто является элементом различных мошеннических схем, жертвами которых могут стать как отдельные сотрудники, так и предприятие в целом.
Спамеры, то есть лица, рассылающие спам, используют для своих целей разнообразные и иногда весьма сложные методы и средства. Так, например, для пополнения баз данных адресов ими может выполняться автоматическое сканирование страниц Интернета, а для организации массовой рассылки они могут прибегать к распределенным атакам, когда зомбированные с помощью червей компьютеры бомбардируют спамом огромное число пользователей сети.
Методы обеспечения информационной
безопасности
і
- этф wostb,
тгїр&вїіентя
надости-
** д^стуйности) информа- жсмягчение последствий любых явиться нанесение
Классификация методов защиты
Сегодня существует большой арсенал методов обеспечения информационной безопасно­
сти, к которым мы, прежде всего, отнесем технические средства защиты, такие как системы шифрования, аутентификации, авторизации, аудита, антивирусной защиты, межсетевые экраны и др. Именно им в основном посвящена данная глава этого учебника.
Однако помимо технических средств, не меньшее, а иногда и большее влияние на безопас­
ность системы оказывают средства, построенные на качественно другой основе. К таким
«не техническим» мерам защиты относятся соответствующие сфера законодательства,
морально-этические нормы, просветительная работа и административные меры.Напри­
мер, именно ужесточением наказаний за преступления в области нарушения информацион­
ной безопасности эксперты объясняют резкое снижение за последние два года количества вирусных атак. Примером эффективных административных мер может служить запрет со­
трудникам пользоваться в пределах предприятия собственными ноутбуками; такой запрет сокращает случаи утечки конфиденциальной информации и заражения корпоративных данных новыми вирусами.
Важную роль играют также, физические средства защиты, к которым относят замки, ка­
меры наблюдения, охранные системы. Данные, записанные на съемный носитель, поме­
щенный в сейф в хорошо охраняемом помещении, очевидно, более защищены, чем данные, хранящиеся на диске работающего в сети компьютера, защищенного самым совершенным сетевым экраном1.
1
См. далее раздел «Сетевые экраны».

846
Глава 24. Сетевая безопасность
Универсальным средством противодействия атакам, имеющим целью нарушение целост­
ности данных, а в некоторых случаях и их доступности, является резервное копирование.
Р е з е р в н о е к о п и р о в а н и е
— это набор автоматизированных процедур создания и поддер­
жания копий данных, которые могут быть использованы для восстановления исходных данных в случае их потери или искажения. Резервные копии записывают на сменные носители большой емкости, например магнитные ленты, которые для повышения отка­
зоустойчивости размещают в местах, территориально разнесенных с местонахождением исходных данных. Понятно, что при этом возрастает вероятность их потери или кражи.
Чтобы смягчить возможные последствия этих угроз, копируемые данные записываются на сменные носители в зашифрованном виде.
Для эффективного поддержания информационной безопасности необходим системный
подход. Это означает, что различные средства защиты (технические, юридические, админи­
стративные, физические и т. д.) должны применяться совместно и под централизованным управлением.
Политика безопасности
Организация служб безопасности сети требует тщательной проработки
п о л и т и к и и н ф о р ­
м а ц и о н н о й б е з о п а с н о с т и ,
которая включает несколько базовых принципов.
Одним из таких принципов является предоставление каждому сотруднику предприятия того минимального уровня привилегий на доступ к данным, который необходим ему для выполнения его должностных обязанностей.
Следующий принцип — использование многоуровневого подхода к обеспечению безопасно­
сти. Система защиты с многократным резервированием средств безопасности увеличивает вероятность сохранности данных. Так, например, физические средства защиты (закрытые помещения, блокировочные ключи), ограничивающие непосредственный контакт пользо­
вателя только приписанным ему компьютером, дополняют и усиливают эффективность централизованной системы авторизации пользователей.
Принцип единого контрольно-пропускного пункта заключается в том, что весь входящий во внутреннюю сеть и выходящий во внешнюю сеть трафик проходит через единственный узел сети, например через сетевой экран. Только это позволяет в достаточной степени кон­
тролировать трафик. В противном случае, когда в сети имеется множество пользователь­
ских станций, имеющих независимый выход во внешнюю сеть, очень трудно скоординиро­
вать правила, ограничивающие права пользователей внутренней сети на доступ к серверам внешней сети и обратно — права внешних клиентов на доступ к ресурсам внутренней сети.
Используя многоуровневую систему защиты, важно обеспечивать баланс надежности за­
щиты всех уровней. Если в сети все сообщения шифруются, но ключи легкодоступны, то эффект от шифрования нулевой. Если внешний трафик сети, подключенной к Интернету, проходит через мощный сетевой экран, но пользователи имеют возможность связываться с узлами Интернета по коммутируемым линиям через локально установленные модемы, то деньги (как правило, немалые), потраченные на сетевой экран, можно считать выбро­
шенными на ветер.
Следующим универсальным принципом является использование только таких средств, которые при отказе переходят в состояние максимальной защиты. Это касается самых различных средств безопасности. Если в сети имеется устройство, которое анализирует весь входной трафик и отбрасывает кадры с определенным, заранее заданным обратным адресом, то при отказе оно должно полностью блокировать вход в сеть. Неприемлемым

Шифрование
847
следовало бы признать устройство, которое при отказе просто отключается, начиная про­
пускать в сеть весь внешний трафик.
Следующим является принцип баланса возможного ущерба от реализации угрозы и затрат
на ее предотвращение.Ни одна система безопасности не гарантирует защиту данных на уровне 100 %, поскольку является результатом компромисса между возможными риска­
ми и возможными затратами. Определяя политику безопасности, администратор должен взвесить величину ущерба, которую может понести предприятие в результате нарушения защиты данных, и соотнести ее с величиной затрат, требуемых на обеспечение безопасности этих данных. Так, в некоторых случаях можно отказаться от дорогостоящего межсетевого экрана в пользу стандартных средств фильтрации обычного маршрутизатора, в других же приходится идти на беспрецедентные затраты. Главное, чтобы принятое решение было обосновано экономически.
НЕМНОГО СТАТИСТИКИ ----------------------------------------------------------------------------------
По данным отчета
1
о состоянии информационной безопасности на предприятиях и компаниях Велико­
британии в 2008 году подавляющее большинство предприятий использует средства защиты, а именно:
99 % регулярно выполняют резервное копирование своих наиболее важных данных;
98 % имеют средства обнаружения шпионских программ;
97 % фильтруют трафик электронной почты на наличие спама;
97 % используют сетевые экраны для защиты своих веб-сайтов;
95 % сканируют входящие сообщения электронной почты на предмет содержания в них вирусов;
94 % шифруют трафик своих беспроводных сетей.
Шифрование
Шифрование — это средство обеспечения конфиденциальности данных, хранящихся в памяти компьютера или передаваемых по проводной или беспроводной сети.
Шифрование является краеугольным камнем всех служб информационной безопасно­
сти, будь то система аутентификации или авторизации, защищенный канал или средства безопасного хранения данных.
Любая процедура шифрования, превращающая информацию из обычного «понятного» вида в «нечитабельный» зашифрованный, естественно должна быть дополнена процедурой
дешифрирования, которая, будучи примененной к зашифрованному тексту2, снова при­
водит его в понятный вид.
Пара процедур — шифрование и дешифрирование ^называется
криптосистемой.
Обычно криптосистема предусматривает наличие специального параметра —
секретного ключа.
Криптосистема считается
раскрытой,
если найдена процедура, позволяющая подобрать ключ за реальное время. Сложность алгоритма раскрытия является одной из важных характеристик криптосистемы и называется
криптостойкостью.
1
См. отчет «О нарушениях информационной безопасности 2008» («The Information Security Breaches
Survey 2008»), представленный компанией PricewaterhouseCoopers по поручению Министерства
предпринимательства, промышленности и управленческих реформ Великобритании.
2
Информацию, над которой выполняются функции шифрования и дешифрирования, будем условно

848
Глава 24. Сетевая безопасность
В криптографии принято
п р а в и л о К е р к х о ф ф а ,
заключающееся в том, что стойкость
шифра должна определяться только секретностью ключа. Так, все стандартные алгоритмы шифрования (например, AES, DES, PGP) Широко известны1, их детальное описание содер­
жится в легкодоступных документах, но от этого их эффективность не снижается. Система остается защищенной, если злоумышленнику известно все об алгоритме шифрования, но он не знает секретный ключ.
Существует два класса криптосистем — симметричные и асимметричные. В симметричных схемах шифрования (классическая криптография) секретный ключ шифрования совпадает с секретным ключом дешифрирования. В асимметричных схемах шифрования (криптогра­
фия с открытым ключом) открытый ключ шифрования не совпадает с секретным ключом дешифрирования.
Симметричные алгоритмы шифрования
На рис. 24.8 приведена классическая модель
с и м м е т р и ч н о й к р и п т о с и с т е м ы ,
теоретические основы которой впервые были изложены в 1949 году в работе Клода Шеннона. В данной модели три участника: отправитель, получатель и злоумышленник. Задача отправителя за­
ключается в том, чтобы по открытому каналу передать некоторое сообщение в защищенном виде. Для этого он зашифровывает открытый текст X ключом k и передает шифрованный текст Y. Задача получателя заключается в том, чтобы расшифровать Y и прочитать сообще­
ние X. Предполагается, что отправитель имеет свой источник ключа. Сгенерированный ключ заранее по надежному каналу передается получателю. Задача злоумышленника заключает­
ся в перехвате и чтении передаваемых сообщений, а также в имитации ложных сообщений.