Возможные атаки и методы взлома операционной системы

Атаки, которые могут быть проведенные против операционной системы, подразделяются на два класса: локальные атаки и удаленные атаки.

Локальные атаки являются наиболее эффективными и действенными. Они возможны тогда, когда проводящее их лицо имеет прямой физический доступ к системе или объект, проводящий локальную атаку, представлен какой-либо исполняемой сущностью, например, программой-вирусом. Ниже перечислены возможные атаки.

1.Троянский конь (троян) представляет собой программу, содержащую процедуру, выполняющую какие-либо нежелательные действия: удаление файлов, шифрование файлов, копирование файлов, пересылку файлов взломщику и пр. Один из способов распространения состоит в бесплатном распространении через Интернет под видом новой игры, проигрывателя MP3, программы для просмотра содержимого какого-либо объекта и пр. При запуске программы, в которой находится вирус, запускается процедура троянского коня, которая может выполнять действия в пределах полномочий запустившего ее пользователя.

2.Программа с фальшивой регистрацией напоминает троянов. Она при регистрации пользователя перехватывает управление и записывает пароль в файл, после чего уничтожает собственную оболочку и передает управление операционной системе. Единственным гарантированным способом защиты от подобной атаки при загрузке Windows является нажатие комбинации клавиш Ctrl+Alt+Del.

3.Логическая бомба представляет собой программу, написанную сотрудником и тайно установленную в операционную систему. Пока пользователь входит в систему под своим именем и паролем, программа бездействует, в случае увольнения, если программа не получила своего пароля, логическая бомба активизируется, например, форматирует диск, удаляет файлы в случайном порядке, осуществляет сложно обнаруживаемые изменения в ключевых программах или в шифровании важных файлов.

4.Потайные двери – специальная программа, которая внедряется программистом в систему и позволяет обойти нормальную процедуру проверки. Если потайной вход в систему установлен программистом в компании, производящей компьютеры, то он может зарегистрироваться на любом компьютере, произведенном этой компанией. Чтобы исключить такую ситуацию, после помещения программного модуля в общую базу данных производится его построковая проверка членами команды программистов совместно с программистом, написавшим модуль.

5.Переполнение буфера (Buffer Overflow) – явление, которое возникает при записи программой данных за пределами выделенного в памяти буфера из-за неправильной работы с данными, полученными извне, и памятью, при отсутствии жесткой защиты со стороны подсистемы программирования и операционной системы. В результате переполнения могут быть испорчены данные, расположенные следом за буфером (или перед ним). Переполнение буфера является наиболее популярным способом взлома компьютерных систем и может вызывать аварийное завершение или зависание программы, ведущее к отказу обслуживания. Отдельные виды переполнений, например переполнение в стековом кадре, позволяют злоумышленнику загрузить и выполнить произвольный машинный код от имени программы и с правами учетной записи, от которой она выполняется.

6.К другим типам локальных взломщиков относятся специальные письма, содержащие деструктивный («психологический») код, и другие методы воздействия на пользователя или систему, связанные с запуском соответствующих программ-взломщиков на компьютере пользователя.

Чтобы избежать локальной атаки посредством вирусов и троянов достаточно использовать антивирусные программы, которые осуществляют мониторинг системы и электронной почты.

Удаленные атаки являются наиболее распространенными и производятся в локальных или глобальных сетях, включая модемные соединения Интернет. Удаленные атаки не очень эффективны, в худшем случае заканчиваются DoS (Denied of Service – отказ в обслуживании) атакой, в ходе которой нарушается нормальное функционирование компьютера подключенного к сети, что приводит к его зависанию или перезагрузке. В результате могут оказаться потерянными данные, которые пользователь не успел сохранить. Если же компьютер, против которого осуществлялась атака, был сервером организации, то из-за прекращения его работы компания может понести убытки. Для рабочих станций, использующих модемное соединение при выходе в Интернет, взломщикам атаки провести гораздо сложнее.

Удаленные и локальные атаки имеют общую структуру проникновения на компьютер путем сложных технологий, основывающихся на системном программировании и знании архитектуры операционной системы. Иногда для нахождения метода проникновения взломщику приходится проводить несколько месяцев в исследовании операционной системы, приложений, системных сервисов и программ, запущенных на компьютере-жертве. Независимо от конкретного пути проникновения в систему, взломщиками часто используется атака «переполнение буфера».

Метод заключается в запуске программы взломщика, посредством сервиса удаленного вызова процедур (RPC), контроля сети или какого-либо драйвера устройства, запущенного на компьютере-жертве. Сущность технологии взлома заключается в подсовывании программе, постоянно работающей или часто запускаемой, некоторой информации, содержащей запрошенные данные и исполняемый модуль взломщиков. Программа на компьютере-жертве принимает вместе с исполняемой программой данные, предложенные ей взломщиками, а затем, после специального запроса, запускается и сама.

Чаще всего для этих целей используется методика, в которой данные налагаются на стек таким образом, чтобы при выходе из процедуры получения данных, в программе-жертве произошел запуск программы сетевых взломщиков. В любой программе имеются места, в которых взломщики могут произвести переполнение буфера и запустить свой код. Производители стараются находить такие места в своих программных продуктах и корректировать их, но взломщики находят новые уязвимости. Хорошим средством защиты от удаленных атак была установка брандмауэра (firewall), который закрывал все подозрительные соединения с удаленными пользователями. Но переполнение буфера было возможным и в самом брандмауэре. Поэтому до недавнего времени считалось, что надежной защиты от атак перегрузкой буфера не существует.

Ситуация изменилась, когда компания AMD (Advanced Micro Devices, https://www.amd.com/) предложила радикальное решение этой проблемы, основанное на аппаратной защите Enhance Virus Protection, заложенной в микропроцессоры путем предотвращения исполнения подозрительного кода. Эти функции, помимо микропроцессора, должна поддерживать и операционная система, поэтому новые функции были добавлены в обновление Service Pack 2 для Windows XP и выше.

Если взломщикам удалось взломать какой-то сетевой сервис методом перегрузки буфера, то они для работы в системе получают его права, которых часто недостаточно для выполнения их задач. Поэтому взломщики используют двойной взлом системы. Метод заключается в проведении удаленной атаки и получении доступа к компьютеру-жертве, затем в проведении локальной атаки для повышения своих прав в системе посредством второго взлома какой-либо исполняемой сущностью.

Локальные атаки выполняются с целью получения прав системного администратора или опытного пользователя. Если взломщики получили права системного администратора или опытных пользователей группы Power Users, то система становится управляемой ими. Такая ситуация приводит к полной потере важной информации или к утечке коммерческой информации за пределы компании. Поэтому взломщикам ставятся дополнительные барьеры путем предоставления пользователям только тех прав, которые необходимы им для выполнения поставленных задач.