Методы атак на современные сетевые ОС
Анализируя рассматриваемые атаки, все методы, позволяющие несанкционированно вмешаться в работу системы, можно разделить на следующие группы:
1. Позволяющие несанкционированно запустить исполняемый код.
К данной группе относятся угрозы, которые основываются на переполнении буфера для входных данных (переполнение стека) и последующей передачи управления на исполняемый код, занесенный при этом в стек.
Большая часть составляющих эту группу угроз, рассчитаны на ОС семейства UNIX.
2. Позволяющие осуществить несанкционированные операции чтения/записи файловых или других объектов.
К этой группе можно отнести угрозы, основывающиеся на неправильной интерпретации прикладными и системными программами входных параметров. В результате они дают доступ к объектам, не перечисленным в списках санкционированного доступа.
Наибольшее распространение получили реализации данных методов для ОС семейства MS Windows. В основном ошибки встречаются в стандартных включенных в состав операционных систем Internet/Intranet-приложениях, таких как IIS (Internet Information Server), почтовые клиенты (MS Mail, Exchange) и др. Большое количество ошибок встречается в реализации Java-апплетов, VB-скриптов и т.д. в браузерах фирм Microsoft и Netscape. Через них можно получить несанкционированный доступ к файлам.
3. Позволяющие обойти установленные разграничения прав доступа.
К этой группе угроз можно отнести примеры, основывающиеся на недоработках (ошибках) в ядре и системных утилитах ОС, позволяющих программными методами обходить установленные разграничения доступа к объектам системы.
4. Приводящие к отказу в обслуживании (системный сбой).
Большую часть этой группы составляют примеры, основанные на недостаточной надежности реализации стека сетевых протоколов ОС. Сбои в работе ОС достигаются посылкой групп пакетов с некорректными заголовками, параметрами и т.п.
Другую часть этой группы составляют угрозы, которые провоцируют отказ в обслуживании путем чрезмерной загрузки канала. Простейшим примером может служить посылка большого количества пакетов из источника, обладающего более скоростным каналом, приемнику, обладающему менее скоростным каналом. Таким образом, полностью исчерпывается ресурс приемника, приводя к его полному или частичному отказу в обслуживания.
Программы, представляющие данную группу, не нарушают напрямую безопасность атакуемой системы, а просто выводят ее из строя.
5. Использующие встроенные недокументированные возможности (ошибки и закладки).
К таким закладкам относятся:
- встроенные инженерные пароли для входа в систему;
- специальные возможности (последовательность действий) для недокументированных действий;
- закладки в разнообразных прикладных приложениях и т.п.
6. Использующие недостатки системы хранения или выбора (недостаточная длина) данных об аутентификации (пароли) и позволяющие путем реверсирования, подбора или полного перебора всех вариантов получить эти данные.
7. Троянские программы.
Это программы, которые прописываются в автозагрузку ОС или подменяют собой системные компоненты (утилиты) ОС и выполняют несанкционированные действия. Для того, чтобы такая программа появилась в системе, пользователь должен сам (преднамеренно, либо нет) первоначально выполнить ее.
Обычно троянские программы распространяются под видом полезных утилит (в том числе они могут присутствовать и в некоммерческих средствах добавочной защиты информации), посылаются по почте в виде присоединяемых замаскированных исполняемых файлов, скриптов, устанавливаются злоумышленником на защищаемом компьютере вручную и т.п. После первого запуска программа заменяет собой часть системных файлов или просто добавляет себя в список загрузки и предоставляет нарушителю доступ к системе или защищаемым ресурсам.
8. Прочие.
К последней группе отнесем все остальные угрозы и программные реализации, влияющие на функционирование и безопасность компьютерной системы. В частности, большую часть угроз данной группы составляют всевозможные программы-сниферы, позволяющие в пассивном режиме прослушивать каналы ввода/вывода, передачи и обработки данных.