Общая характеристика угроз безопасности персональных данных, реализуемых с использованием протоколов межсетевого взаимодействия

Если ИСПДн реализована на базе локальной или распределенной информационной системы, то в ней могут быть реализованы угрозы безопасности информации путем использования протоколов межсетевого взаимодействия. При этом может обеспечиваться НСД к ПДн или реализовываться угроза отказа в обслуживания. Особенно опасны угрозы, когда ИСПДн представляет собой распределенную информационную систему, подключенную к сетям общего пользования и (или) сетям международного информационного обмена. Классификационная схема угроз, реализуемых по сети, приведена на рисунке 5. В ее основу положено семь следующих первичных признаков классификации.

1. Характер угрозы. По этому признаку угрозы могут быть пассивные и активные. Пассивная угроза – это угроза, при реализации которой неоказывается непосредственное влияние на работу ИСПДн, но могут быть нарушены установленные правила разграничения доступа к ПДн или сетевым ресурсам. Примером таких угроз является угроза «Анализ сетевого трафика», направленная на прослушивание каналов связи и перехват передаваемой информации.

Активная угроза – это угроза, связанная с воздействием на ресурсы ИСПДн, при реализации которой оказывается непосредственное влияние
на работу системы (изменение конфигурации, нарушение работоспособности
и т.д.), и с нарушениемустановленных правил разграничения доступа к ПДн или сетевым ресурсам. Примером таких угроз является угроза «Отказ в обслуживании», реализуемая как «шторм TCP-запросов».

2. Цель реализации угрозы. По этому признаку угрозы могут быть направлены на нарушение конфиденциальности, целостности и доступности информации (в том числе на нарушение работоспособности ИСПДн или ее элементов).

3. Условие начала осуществления процесса реализации угрозы. По этому признаку может реализовываться угроза:

по запросу от объекта, относительно которого реализуется угроза. В этом случае нарушитель ожидает передачи запроса определенного типа, который и будет условием начала осуществления несанкционированного доступа;

Рисунок 5. Классификационная схема угроз с использованием протоколов межсетевого взаимодействия

по наступлению ожидаемого события на объекте, относительно которого реализуется угроза. В этом случае нарушитель осуществляет постоянное наблюдение за состоянием операционной системы ИСПДн и при возникновении определенного события в этой системе начинает несанкционированный доступ;

безусловное воздействие. В этом случае начало осуществления несанкционированного доступа безусловно по отношению к цели доступа, то есть угроза реализуется немедленно и безотносительно к состоянию системы.

4. Наличие обратной связи с ИСПДн. По этому признаку процесс реализации угрозы может быть с обратной связью и без обратной связи. Угроза, осуществляемая при наличии обратной связи с ИСПДн, характеризуется тем, что на некоторые запросы, переданные на ИСПДн, нарушителю требуется получить ответ. Следовательно, между нарушителем и ИСПДн существует обратная связь, которая позволяет нарушителю адекватно реагировать на все изменения, происходящие в ИСПДн. В отличие от угроз, реализуемых при наличии обратной связи с ИСПДн, при реализации угроз без обратной связи не требуется реагировать на какие-либо изменения, происходящие в ИСПДн.

5. Расположение нарушителя относительно ИСПДн. В соответствии с этим признаком угроза реализуется как внутрисегментно, так и межсегментно. Сегмент сети – физическое объединение хостов (технических средств ИСПДн или коммуникационных элементов, имеющих сетевой адрес). Например, сегмент ИСПДн образует совокупность хостов, подключенных к серверу по схеме «общая шина». В случае, когда имеет место внутрисегментная угроза, нарушитель имеет физический доступ к аппаратным элементам ИСПДн. Если имеет место межсегментная угроза, то нарушитель располагается вне ИСПДн, реализуя угрозу из другой сети или из другого сегмента ИСПДн.

6. Уровень эталонной модели взаимодействия открытых систем[2] (ISO/OSI), на котором реализуется угроза. По этому признаку угроза может реализовываться на физическом, канальном, сетевом, транспортном, сеансовом, представительном и прикладном уровне модели ISO/OSI.

7. Соотношение количества нарушителей и элементов ИСПДн, относительно которых реализуется угроза. По этому признаку угроза может быть отнесена к классу угроз, реализуемых одним нарушителем относительно одного технического средства ИСПДн (угроза «один к одному»), сразу относительно нескольких технических средств ИСПДн (угроза «один ко многим») или несколькими нарушителями с разных компьютеров относительно одного или нескольких технических средств ИСПДн (распределенные или комбинированные угрозы).

С учетом проведенной классификации можно выделить семь наиболее часто реализуемых в настоящее время угроз.

1. Анализ сетевого трафика (рисунок 6).

Рисунок 6. Схема реализации угрозы «Анализ сетевого трафика»

Эта угроза реализуется с помощью специальной программы-анализатора пакетов (sniffer), перехватывающей все пакеты, передаваемые по сегменту сети, и выделяющей среди них те, в которых передаются идентификатор пользователя и его пароль. В ходе реализации угрозы нарушитель изучает логику работы сети – то есть стремится получить однозначное соответствие событий, происходящих в системе, и команд, пересылаемых при этом хостами, в момент появления данных событий. В дальнейшем это позволяет злоумышленнику на основе задания соответствующих команд получить, например, привилегированные права на действия в системе или расширить свои полномочия в ней, перехватить поток передаваемых данных, которыми обмениваются компоненты сетевой операционной системы, для извлечения конфиденциальной или идентификационной информации (например, статических паролей пользователей для доступа к удаленным хостам по протоколам FTP и TELNET, не предусматривающим шифрование), ее подмены, модификации и т.п.

2. Сканирование сети.

Сущность процесса реализации угрозы заключается в передаче запросов сетевым службам хостов ИСПДн и анализе ответов от них. Цель – выявление используемых протоколов, доступных портов сетевых служб, законов формирования идентификаторов соединений, определение активных сетевых сервисов, подбор идентификаторов и паролей пользователей.

3. Угроза выявления пароля.

Цель реализации угрозы состоит в получении НСД путем преодоления парольной защиты. Злоумышленник может реализовывать угрозу с помощью целого ряда методов, таких как простой перебор, перебор с использованием специальных словарей, установка вредоносной программы для перехвата пароля, подмена доверенного объекта сети (IP-spoofing) и перехват пакетов (sniffing). В основном для реализации угрозы используются специальные программы, которые пытаются получить доступ к хосту путем последовательного подбора паролей. В случае успеха, злоумышленник может создать для себя «проход» для будущего доступа, который будет действовать, даже если на хосте изменить пароль доступа.

4. Подмена доверенного объекта сети и передача по каналам связи сообщений от его имени с присвоением его прав доступа (рисунок 7).

Такая угроза эффективно реализуется в системах, где применяются нестойкие алгоритмы идентификации и аутентификации хостов, пользователей и т.д. Под доверенным объектом понимается объект сети (компьютер, межсетевой экран, маршрутизатор и т.п.), легально подключенный к серверу.

Могут быть выделены две разновидности процесса реализации указанной угрозы: с установлением и без установления виртуального соединения.

Процесс реализации с установлением виртуального соединения состоит в присвоении прав доверенного субъекта взаимодействия, что позволяет нарушителю вести сеанс работы с объектом сети от имени доверенного субъекта. Реализация угрозы данного типа требует преодоления системы идентификации
и аутентификации сообщений (например, атака rsh-службы UNIX-хоста).

Процесс реализации угрозы без установления виртуального соединения может иметь место в сетях, осуществляющих идентификацию передаваемых сообщений только по сетевому адресу отправителя. Сущность заключается в передаче служебных сообщений от имени сетевых управляющих устройств (например, от имени маршрутизаторов) об изменении маршрутно-адресных данных. При этом необходимо иметь в виду, что единственными идентификаторами абонентов и соединения (по протоколу TCP) являются два 32-битных параметра Initial Sequence Number – ISS (номер последовательности) и Acknowledgment Number – ACK (номер подтверждения). Следовательно, для формирования ложного TCP-пакета нарушителю необходимо знать текущие идентификаторы для данного соединения – ISSa и ISSb, где:

ISSa – некоторое численное значение, характеризующее порядковый номер отправляемого TCP-пакета, устанавливаемого TCP-соединения, инициированного хостом А;

ISSb – некоторое численное значение, характеризующее порядковый номер отправляемого TCP-пакета, устанавливаемого TCP-соединения, инициированного хостом В.

Значение ACK (номера подтверждения установления TCP-соединения) определяется как значение номера, полученного от респондента ISS (номер последовательности) плюс единица АСКb = ISSa+1.

В результате реализации угрозы нарушитель получает права доступа, установленные его пользователем для доверенного абонента, к техническому средству ИСПДн – цели угроз.

5. Навязывание ложного маршрута сети.

Данная угроза реализуется одним из двух способов: путем внутрисегментного или межсегментного навязывания. Возможность навязывания ложного маршрута обусловлена недостатками, присущими алгоритмам маршрутизации (в частности, из-за проблемы идентификации сетевых управляющих устройств), в результате чего можно попасть, например, на хост или в сеть злоумышленника, где можно войти в операционную среду технического средства в составе ИСПДн. Реализация угрозы основывается
на несанкционированном использовании протоколов маршрутизации (RIP, OSPF, LSP) и управления сетью (ICMP, SNMP) для внесения изменений
в маршрутно-адресные таблицы. При этом нарушителю необходимо послать от имени сетевого управляющего устройства (например, маршрутизатора) управляющее сообщение (рисунки 8 и 9).

Рисунок 8. Схема реализации атаки «Навязывание ложного маршрута» (внутрисегментное) с использованием протокола ICMP с целью нарушения связи

Рисунок 9. Схема реализации угрозы «Навязывание ложного маршрута» (межсегментное) с целью перехвата трафика

6. Внедрение ложного объекта сети.

Эта угроза основана на использовании недостатков алгоритмов удаленного поиска. В случае, если объекты сети изначально не имеют адресной информации друг о друге, используются различные протоколы удаленного поиска (например, SAP в сетях Novell NetWare; ARP, DNS, WINS в сетях со стеком протоколов TCP/IP), заключающиеся в передаче по сети специальных запросов и получении на них ответов с искомой информацией. При этом существует возможность перехвата нарушителем поискового запроса и выдачи на него ложного ответа, использование которого приведет к требуемому изменению маршрутно-адресных данных. В дальнейшем весь поток информации, ассоциированный с объектом-жертвой, будет проходить через ложный объект сети (рисунки 10 ‑ 13).

Рисунок 10. Схема реализации угрозы «Внедрение ложного ARP-сервера»

Рисунок 11. Схема реализации угрозы «Внедрение ложного DNS-сервера» путем перехвата DNS-запроса

Рисунок 12. Схема реализации угрозы «внедрение ложного DNS-сервера» путем шторма DNS-ответов на компьютер сети

Рисунок 13. Схема реализации угрозы «Внедрение ложного DNS-сервера» путем шторма DNS-ответов на DNS-сервер

7. Отказ в обслуживании.

Эти угрозы основаны на недостатках сетевого программного обеспечения, его уязвимостях, позволяющих нарушителю создавать условия, когда операционная система оказывается не в состоянии обрабатывать поступающие пакеты.

Могут быть выделены несколько разновидностей таких угроз:

а) скрытый отказ в обслуживании, вызванный привлечением части ресурсов ИСПДн на обработку пакетов, передаваемых злоумышленником со снижением пропускной способности каналов связи, производительности сетевых устройств, нарушением требований ко времени обработки запросов. Примерами реализации угроз подобного рода могут служить: направленный шторм эхо-запросов по протоколу ICMP (Ping flooding), шторм запросов на установление TCP-соединений (SYN-flooding), шторм запросов к FTP-серверу;

б) явный отказ в обслуживании, вызванный исчерпанием ресурсов ИСПДн при обработке пакетов, передаваемых злоумышленником (занятие всей полосы пропускания каналов связи, переполнение очередей запросов на обслуживание), при котором легальные запросы не могут быть переданы через сеть из-за недоступности среды передачи либо получают отказ в обслуживании ввиду переполнения очередей запросов, дискового пространства памяти и т.д. Примерами угроз данного типа могут служить шторм широковещательных ICMP-эхо-запросов (Smurf), направленный шторм (SYN-flooding), шторм сообщений почтовому серверу (Spam);

в) явный отказ в обслуживании, вызванный нарушением логической связности между техническими средствами ИСПДн при передаче нарушителем управляющих сообщений от имени сетевых устройств, приводящих
к изменению маршрутно-адресных данных (например, ICMP Redirect Host,
DNS-flooding) или идентификационной и аутентификационной информации;

г) явный отказ в обслуживании, вызванный передачей злоумышленником пакетов с нестандартными атрибутами (угрозы типа «Land», «TearDrop», «Bonk», «Nuke», «UDP-bomb») или имеющих длину, превышающую максимально допустимый размер (угроза типа «Ping Death»), что может привести к сбою сетевых устройств, участвующих в обработке запросов, при условии наличия ошибок в программах, реализующих протоколы сетевого обмена.

Результатом реализации данной угрозы может стать нарушение работоспособности соответствующей службы предоставления удаленного доступа к ПДн в ИСПДн, передача с одного адреса такого количества запросов на подключение к техническому средству в составе ИСПДн, какое максимально может «вместить» трафик (направленный «шторм запросов»), что влечет за собой переполнение очереди запросов и отказ одной из сетевых служб или полную остановку компьютера из-за невозможности системы заниматься ничем другим, кроме обработки запросов.

8. Удаленный запуск приложений.

Угроза заключается в стремлении запустить на хосте ИСПДн различные предварительно внедренные вредоносные программы: программы-закладки, вирусы, «сетевые шпионы», основная цель которых – нарушение конфиденциальности, целостности, доступности информации и полный контроль за работой хоста. Кроме того, возможен несанкционированный запуск прикладных программ пользователей для несанкционированного получения необходимых нарушителю данных, для запуска управляемых прикладной программой процессов и др.

Выделяют три подкласса данных угроз:

1) распространение файлов, содержащих несанкционированный исполняемый код;

2) удаленный запуск приложения путем переполнения буфера приложений-серверов;

3) удаленный запуск приложения путем использования возможностей удаленного управления системой, предоставляемых скрытыми программными и аппаратными закладками либо используемыми штатными средствами.

Типовые угрозы первого из указанных подклассов основываются на активизации распространяемых файлов при случайном обращении к ним. Примерами таких файлов могут служить: файлы, содержащие исполняемый код в виде макрокоманд (документы Microsoft Word, Excel и т.п.); html-документы, содержащие исполняемый код в виде элементов ActiveX, Java-апплетов, интерпретируемых скриптов (например, тексты на JavaScript); файлы, содержащие исполняемые коды программ. Для распространения файлов могут использоваться службы электронной почты, передачи файлов, сетевой файловой системы.

При угрозах второго подкласса используются недостатки программ, реализующих сетевые сервисы (в частности, отсутствие контроля переполнения буфера). Настройкой системных регистров иногда удается переключить процессор после прерывания, вызванного переполнением буфера, на исполнение кода, содержащегося за границей буфера. Примером реализации такой угрозы может служить внедрение широко известного «вируса Морриса».

При угрозах третьего подкласса нарушитель использует возможности удаленного управления системой, предоставляемые скрытыми компонентами (например, «троянскими» программами типа Back Orifice, Net Bus) либо штатными средствами управления и администрирования компьютерных сетей (Landesk Management Suite, Managewise, Back Orifice и т. п.). В результате их использования удается добиться удаленного контроля над станцией в сети.

Схематично основные этапы работы этих программ выглядят следующим образом:

инсталляция в памяти;

ожидание запроса с удаленного хоста, на котором запущена клиент-программа, и обмен с ней сообщениями о готовности;

передача перехваченной информации клиенту или предоставление ему контроля над атакуемым компьютером.

Возможные последствия от реализации угроз различных классов приведены в таблице 3.

Таблица 3

Возможные последствия реализации угроз различных классов

Процесс реализации угрозы в общем случае состоит из четырех этапов:

сбора информации;

вторжения (проникновения в операционную среду);

осуществления несанкционированного доступа;

ликвидации следов несанкционированного доступа.

На этапе сбора информации нарушителя могут интересовать различные сведения об ИСПДн, в том числе:

а) о топологии сети, в которой функционирует система. При этом может исследоваться область вокруг сети (например, нарушителя могут интересовать адреса доверенных, но менее защищенных хостов). Для определения доступности хоста могут использоваться простейшие команды (например, команда ping для посылки ICMP-запросов ECHO_REQUEST с ожиданием на них ICMP-ответов ECHO_REPLY). Существуют утилиты, осуществляющие параллельное определение доступности хостов (такие как fping), которые способны просканировать большую область адресного пространства на предмет доступности хостов за короткий промежуток времени. Топология сети часто определяется на основании «счетчика узлов» (дистанции между хостами). При этом могут применяться такие методы, как «модуляции TTL» и записи маршрута.

Метод «модуляции TTL» реализован программой traceroute (для
Windows NT – tracert.exe) и заключается в модуляции поля TTL IP-пакетов. Для записи маршрута могут использоваться ICMP-пакеты, создаваемые командой ping.

Сбор информации может быть также основан на запросах:

к DNS-серверу о списке зарегистрированных (и, вероятно, активных) хостов;

к маршрутизатору на основе протокола RIP об известных маршрутах (информация о топологии сети);

к некорректно сконфигурированным устройствам, поддерживающим протокол SNMP (информация о топологии сети).

Если ИСПДн находится за межсетевым экраном (МЭ), возможен сбор информации о конфигурации МЭ и о топологии ИСПДн за МЭ, в том числе путем посылки пакетов на все порты всех предполагаемых хостов внутренней (защищаемой) сети;

б) о типе операционной системы (ОС) в ИСПДн. Самый известный способ определения типа ОС хоста основан на том, что различные типы ОС по-разному реализуют требования стандартов RFC к стеку TCP/IP. Это позволяет нарушителю удаленно идентифицировать тип ОС, установленной на хосте ИСПДн путем посылки специальным образом сформированных запросов и анализа полученных ответов.

Существуют специальные средства, реализующие данные методы, в частности, Nmap и QueSO. Можно отметить также такой метод определения типа ОС, как простейший запрос на установление соединения по протоколу удаленного доступа telnet (telnet-соединения), в результате которого по «внешнему виду» ответа можно определить тип ОС хоста. Наличие определенных сервисов также может служить дополнительным признаком для определения типа ОС хоста;

в) о функционирующих на хостах сервисах. Определение сервисов, исполняемых на хосте, основано на методе выявления «открытых портов», направленном на сбор информации о доступности хоста. Например, для определения доступности UDP-порта необходимо получить отклик в ответ на посылку UDP-пакета соответствующему порту:

если в ответ пришло сообщение ICMP PORT UNREACHEBLE, то соответствующий сервис недоступен;

если данное сообщение не поступило, то порт «открыт».

Возможны весьма разнообразные вариации использования этого метода в зависимости от используемого протокола в стеке протоколов TCP/IP.

Для автоматизации сбора информации об ИСПДн разработано множество программных средств. В качестве примера можно отметить следующие из них:

1) Strobe, Portscanner – оптимизированные средства определения доступных сервисов на основе опроса TCP-портов;

2) Nmap – средство сканирования доступных сервисов, предназначенное для ОС Linux, FreeBSD, Open BSD, Solaris, Windows NT. Является самым популярным в настоящее время средством сканирования сетевых сервисов;

3) Queso – высокоточное средство определения ОС хоста сети на основе посылки цепи корректных и некорректных TCP-пакетов, анализа отклика и сравнения его с множеством известных откликов различных ОС. Данное средство также является популярным на сегодняшний день средством сканирования;

4) Cheops – сканер топологии сети позволяет получить топологию сети, включая картину домена, области IP-адресов и т.д. При этом определяется ОС хоста, а также возможные сетевые устройства (принтеры, маршрутизаторы и т.д.);

5) Firewalk – сканер, использующий методы программы traceroute в интересах анализа отклика на IP-пакеты для определения конфигурации межсетевого экрана и построения топологии сети.

На этапе вторжения исследуется наличие типовых уязвимостей
в системных сервисах или ошибок в администрировании системы. Успешным результатом использования уязвимостей обычно является получение процессом нарушителя привилегированного режима выполнения (доступа к привилегированному режиму выполнения командного процессора), внесение в систему учетной записи незаконного пользователя, получение файла паролей или нарушение работоспособности атакуемого хоста.

Этот этап развития угрозы, как правило, является многофазным. К фазам процесса реализации угрозы могут относиться, например:

установление связи с хостом, относительно которого реализуется угроза;

выявление уязвимости;

внедрение вредоносной программы в интересах расширения прав и др.

Угрозы, реализуемые на этапе вторжения, подразделяются по уровням стека протоколов TCP/IP, поскольку формируются на сетевом, транспортном или прикладном уровне в зависимости от используемого механизма вторжения.

К типовым угрозам, реализуемым на сетевом и транспортном уровнях, относятся такие как:

a) угроза, направленная на подмену доверенного объекта;

б) угроза, направленная на создание в сети ложного маршрута;

в) угрозы, направленные на создание ложного объекта с использованием недостатков алгоритмов удаленного поиска;

г) угрозы типа «отказ в обслуживании», основанные на
IP-дефрагментации, на формировании некорректных ICMP-запросов (например, атака «Ping of Death» и «Smurf»), на формировании некорректных
TCP-запросов (атака «Land»), на создании «шторма» пакетов с запросами
на соединение (атаки «SYN Flood») и др.

К типовым угрозам, реализуемым на прикладном уровне, относятся угрозы, направленные на несанкционированный запуск приложений, угрозы, реализация которых связана с внедрением программных закладок (типа «троянский конь»), с выявлением паролей доступа в сеть или к определенному хосту и т.д.

Если реализация угрозы не принесла нарушителю наивысших прав доступа в системе, возможны попытки расширения этих прав до максимально возможного уровня. Для этого могут использоваться уязвимости не только сетевых сервисов, но и уязвимости системного программного обеспечения хостов ИСПдн.

На этапе реализации несанкционированного доступа осуществляется собственно достижение цели реализации угрозы:

нарушение конфиденциальности (копирование, неправомерное распространение);

нарушение целостности (уничтожение, изменение);

нарушение доступности (блокирование).

На этом же этапе, после указанных действий, как правило, формируется так называемый «черный вход» в виде одного из сервисов (демонов), обслуживающих некоторый порт и выполняющих команды нарушителя. «Черный вход» оставляется в системе в интересах обеспечения:

возможности получить доступ к хосту, даже если администратор устранит использованную для успешной реализации угрозы уязвимость;

возможности получить доступ к хосту как можно более скрытно;

возможности получить доступ к хосту быстро (не повторяя заново процесс реализации угрозы).

«Черный вход» позволяет нарушителю внедрить в сеть или на определенный хост вредоносную программу, например, «анализатор паролей» (password sniffer) – программу, выделяющую пользовательские идентификаторы и пароли из сетевого трафика при работе протоколов высокого уровня (ftp, telnet, rlogin и т.д.). Объектами внедрения вредоносных программ могут быть программы аутентификации и идентификации, сетевые сервисы, ядро операционной системы, файловая система, библиотеки и т.д.

Наконец, на этапе ликвидации следов реализации угрозы осуществляется попытка уничтожения следов действий нарушителя. При этом удаляются соответствующие записи из всех возможных журналов аудита, в том числе записи о факте сбора информации.