Базы данных уязвимостей и атак

Классификация атак, реализованная во многих системах обнаружения атак, не может быть категоричной. Например, атака, реализация которой для ОС Unix (например, переполнение буфера statd) может иметь самые плачевные последствия (самый высокий приоритет), для ОС Windows NT вряд ли вообще применима или может иметь очень низкую степень риска. Кроме того, существует неразбериха и в самих названиях атак и уязвимостей. Например, одна и та же атака может выступать под совершенно различными наименованиями у разных производителей (табл. 2.4) [Tasked-99].

Таблица 2.4. Различные имена одной и той же атаки

Организация/Компания Наименование атаки
CERT CA-96.06.cgi_example_code
CyberSafe Network: HTTP ‘phf’ Attack
ISS Http-cgi-phf
AXENT Phf CGI allows remote command execution
Bugtraq PHF Attacks — Fun and games for the whole family
BindView #107-cgi-phf
Cisco #3200 - WWW phf attack
IBM ERS Vulnerability in NCSA/Apache Example Code
CERIAS Http_escshellcmd
L-3 #180 HTTP Server CGI example code compromises http server

MITRE CVE

Для устранения описанной путаницы с именованием уязвимостей и атак в 1999 году компания MITRE Corporation (http://www.mitre.org) предложила решение, не зависимое от производителя средств анализа защищенности, обнаружения атак и т. д. [Mannl-99]. Оно было реализовано в виде базы данных CVE (Common Vulnerability Enumeration), которая затем была переименована в Common Vulnerabilities and Exposures. Это позволило всем специалистам и производителям разговаривать на одном языке. Так, например, описанные в табл. 2.4 различные названия одной и той же атаки получили единый код CVE-1999-0067.

В разработке базы данных CVE помимо экспертов MITRE принимали участие специалисты многих известных компаний и организаций. Например: ISS, Cisco, BindView, Axent, NFR, L-3, CyberSafe, CERT, Carnegie Mellon University, института SANS, UC Davis Computer Security Lab, CERIAS и т. д.

Несмотря на столь привлекательную инициативу, база данных CVE в момент создания не получила широкого распространения среди производители коммерческих продуктов. Однако с начала 2000 года свою базу данных Уязвимостей, используемую в системах анализа защищенности Internet Scanner и System Scanner, в соответствие с CVE привела компания ISS. Компания Internet Security Systems была первой "ласточкой", которая стала ссылаться на унифицированные коды CVE. Это дало толчок и всем остальным производителям. В июне 2000 года о своей поддержке CVE заявили Cisco, Axent, BindView, IBM и другие.

X-Force

В 1994 году один из организаторов CERT/CC — Кристофер Клаус основал компанию Internet Security Systems, Inc., которая является лидером в области разработки средств анализа защищенности и обнаружения атак. В компании ISS существует научно-исследовательская группа X-Force, объединяющая экспертов в сфере обеспечения информационной безопасности. Эта группа не только постоянно отслеживает все публикуемые другими группами реагирования сообщения об обнаруженных уязвимостях, но и сама проводит тестирование программных и аппаратных средств. Результаты этих исследований помещаются в базу данных уязвимостей и угроз (ISS X-Force Thread and Vulnerability Database) [Лукацкий1-99].

База данных X-Force, находящаяся по адресу http://xforce.iss.net/, является одной из лучших баз уязвимостей и атак. Доступ к ней может осуществляться как путем подписки на свободно распространяемый список рассылки X-Force Security Alert, так и посредством интерактивного поиска в базе данных на Web-сервере компании ISS. Поиск уязвимостей в базе данных может быть выполнен по нескольким параметрам:

· по операционной системе или платформе, подверженной уязвимости;

· по имени уязвимости;

· по дате обнаружения;

· по степени риска (высокая, средняя, низкая).

Также существует возможность вывода всех уязвимостей за последний, предпоследний или несколько предыдущих месяцев. Все обнаруженные уязвимости сразу же заносятся в базы данных уязвимостей системы анализа защищенности сетевых сервисов и протоколов Internet Scanner, системы обнаружения атак RealSecure, систем анализа защищенности операционных систем System Scanner и системы анализа защищенности баз данных Database Scanner.

Другие базы данных

Из других менее известных баз данных уязвимостей и атак можно назвать:

· advICE (http://advice.networkice.com/Advice/defauIt.htm) компании Network Security Wizards;

· The All.Net Security Database (http://all.net/CID/Attack/Attack.xref);

· Insecure.org (http://www.insecure.org/);

· Security Bugware (http://oliver.efri.hr/~crv/security/bugs/list.html).

Инциденты

Инцидент — более высокий уровень описания нарушений политики безопасности. Инцидент – это группа атак, связанных между собой по различным параметрам. Например, по адресату атаки или достигаемой цели, и т. д. Именно на этом уровне появляется понятие "источник атаки", которое отсутствовало в других моделях (рис. 2.11).

Базы данных уязвимостей и атак - student2.ru

Рис. 2.11. Модель “Инцидент”

Инцидент может быть реализован как при помощи всего одной атаки, так и при помощи нескольких следующих друг за другом или параллельно атак. Успех нападения определяется достижением цели злоумышленником. Неудача нападения означает, что злоумышленник не достиг ни одной поставленной задачи. Однако жертва остается жертвой и в этом случае — какие-либо последствия возможны и здесь.

Атака на сервер МЧС

Как сообщило 22 сентября 2000 г. агентство Lenta.ru, в ходе международных российско-американских учений по действиям в чрезвычайных ситуациях американский хакер попытался взломать сайт, созданный МЧС России и содержащий информацию о действиях в ходе учений обеих сторон. В результате атаки злоумышленника компьютеры на несколько часов "повисли", но затем сайт вернулся к нормальному функционированию. Адрес хакера, находившегося в США, был быстро установлен соответствующими службами, среди которых ФАПСИ, и его отключили от сети. Вся информация о нем была сообщена американской стороне. Советник вице-президента США по военным вопросам Майкл Орфини, наблюдавший за ходом учений, заверил российскую сторону, что американскими спецслужбами будет проведено тщательное расследование этого инцидента.

Как показывает статистика, количество инцидентов, связанных с безопасностью, растет пропорционально расширению Internet. Табл. 2.5, построенная на основании данных Координационного Центра CERT/CC, иллюстрирует этот рост. При этом число обработанных сообщений электронной почты превышает эти цифры в несколько раз.

Таблица 2.5. Число зарегистрированных в CERT инцидентов

и обработанных сообщений электронной почты

(за период с 1998 г. по III квартал 2000 г.)

Год Количество инцидентов Количество сообщений E-mail

Интерес к электронной коммерции только усилит этот рост в следующие годы. Отмечена и другая тенденция. В 80-х — начале 90-х гг. внешние злоумышленники атаковали узлы Internet из любопытства или для показа своей квалификации. Сейчас атаки преследуют чаще всего финансовые или политические цели. Как показано в [Allen1-99], число успешных проникновений в информационные системы возросло вдвое — с 12% против 1998 года до 23% в 1999 году.

Наши рекомендации