Информационные и сетевые ресурсы открытых систем как объекты атак

Ниже выделены уязвимости наиболее часто применяемых утилит, команд и служб.

Теlnet

Теlnet: — это терминальный сервис, предназначенный для терминального доступа на удаленный компьютер по протоколу ШР. Сам по себе он не представляет проблем. Проблема в том, что он открывает хост для удаленного доступа. При установлении сеанса с удаленным хостом, используя Теlnet, пароль пользователя передается по Internet в незашифрованном виде. Вторая опасность заключается в том, что атакующий может подключиться к уже существующей Telnet сессии. Для этого используется техника, которая называется "session hijacking" (перехват сеансов связи). И, в-третьих, удаленные пользователи способны нарушить полномочия на доступ к данным.

Обычно, если злоумышленник пробует войти посредством Telnet на чужой хост, и этот сервис недоступен, то он, скорее все­го, перейдет к другой, более беззащитной цели.

FТР

Протокол передачи файлов (FТР) может быть одной из наиболее безопасных утилит Internet, но если он не­правильно сконфигурирован, то может стать и самой незащищен­ной. Использование анонимного FТР является в Internet основой для передачи миллионов байт данных в день и обычно не достав­ляет хлопот. Однако, если FТР-сервер хоть в чем-нибудь непра­вильно сконфигурирован, то злоумышленник сможет воспользоваться этим, чтобы проникнуть на чужой хост и далее изменять или удалять, а также незаконно распространять информацию или ПО. Ошибки в конфигурировании FТР-сервера могут позволить злоумышленнику изменять или уда­лять, а также незаконно распространять информацию или ПО.

Обобщая меры безопасности для протоколов Теlnet и FТР, перечислим их: конфиденциальность и целостность для коммуни­каций с установлением соединений, аутентификация субъектов коммуникаций и контроль доступа на основе идентификации субъекта коммуникаций. Эти сервисы могут быть полность обеспечены на прикладном уровне модели OSI/ISO, однако целсообразно использовать некоторые механизмы на более низких уровнях, в частности, используя специальные защищенные протоколы сетевого и транспортного уровней NLSP, SSL, и т.д. При этом устраняется дублирование сервисов на более высоких уровнях, однако возникает необходимость введения новых программных модулей в ядро ОС

Gopher

Информационная система Gорhег ("парень на побегушках"), содержащая большие массивы информации в виде файлов, дирек­торий, запросов, сеансов Telnet и FТР, также может послужить ис­точником беспокойства. Главную опасность представляет система поиска информации по ключевым словам. Обычно она реализуется в виде отдельной программы и запускается по требованию пользо­вателя. При этом можно перехватить запрос и послать ложный от­вет с последующей адресацией на атакующий объект. Кроме этого, система позволяет включить в дерево Gорhег практически любой файл из файловой системы, что при наличии ошибок в назначении прав доступа может привести к "утечке" информации и, наконец, можно заставить G-сервер выполнять shell-команды, которые на­писал злоумышленник.

NFS

Сетевая файловая система NFS является способом, с помощью которого хосты могут совместно использо­вать дисководы, директории и файлы всей сети. NFS, первона­чально разработанная Sun Microsystems для своих рабочих стан­ций, теперь доступна для широкого круга компьютеров от большинства Unix-систем до ПК, работающих под DOS. NFS позволяет пользователям иметь доступ к файлам сервера даже без регистра­ции на этом компьютере. NFS использует 32-байтовый пакет, на­зываемый файловым указателем. Подключившись к файловому указателю, злоумышленник получает важную информацию обо всех файлах, расположенных в разных директориях на ПК, состав­ляющих интрасети. Существуют средства, позволяющие взломщи­ку подсоединить NFS-каталоги без соответствующего разрешения со стороны сервера. Некоторые из этих пакетов используют старые ошибки NFS, в то время как другие просто выискивают и исполь­зуют файловые указатели. В любом случае злоумышленники име­ют возможность подсоединить каталоги и копировать файлы на сервер и с него.

NFS представляет определенные возможности по НСД к ин­формации. Во-первых, как и в большинстве случаев, это ошибки администратора системы. Другим источником проколов в системе безопасности может быть наличие символьных ссылок, которые назначаются по команде ln. Указывая на другую область файловой системы, такая ссылка расширяет возможность проникновения за пределы смонтированной файловой системы или директории, что может привес­ти к НСД к информации.

Наконец, злоумышленник может воспользоваться тем, что NFS "доверяет" portmapper (эта программа проверяет, какие приложе­ния сервиса удаленного выполнения процедур RРС являются дос­тупными и на каких портах), а это значит, что можно пройти и здесь, если получить доступ к этой программе.

Главная рекомендация при использовании NFS состоит в том, что не надо лениться прописывать всех пользователей и их права доступа и не следует делать открытых всему миру монтируемых файловых систем. Также можно запрещать пакеты, направленные на порты 2048 и 2049 — порты данных для NFS.

DNS

В Internet используется две службы директорий DNS - система доменных имен и Х.500. Средства безо­пасности и необходимые протоколы хорошо определены для Х.500. Так, широкое применение находит система распределения и сертификации открытых ключей Х.509. Однако нет хорошо разра­ботанной концепции и специальных механизмов безопасности для DNS.

Необходимыми средствами безопасности для службы директо­рий являются аутентификация происхождения данных и целост­ность данных для запросов и ответов. Контроль доступа необхо­дим для защиты хранимых в директории данных от модификации и раскрытия неавторизованными пользователями. Общей реко­мендацией может быть использование в Internet: для защиты директорий средств Х.500 на прикладном уровне и соответствующих протоколов более низких уровней. Попытки реализовать необхо­димые средства безопасности для DNS посредством сервисов и механизмов более низких уровней не дает достаточной защи­щенности.

Рассмотрим подробнее DNS. Система доменных имен - это распределенная база данных на Internet, обеспечивающая преобра­зование IР-адреса в имя хоста, а также определяющая системы электронной почты и сервера имен для домена. Такое преобразо­вание необходимо, так как на сетевом уровне адресация пакетов осуществляется не по именам, а по IР-адресам. Установка базы данных DNS не так трудна, однако неудачная конфигурация может блокировать доступ во внешнюю сеть или доступ удаленных пользователей на сервер. Поддержка файлов DNS — тоже не сложная, но требующая от администратора опре­деленных навыков задача. Изменения в DNS должны быть доступ­ны только администраторам, так как DNS содержит всю информа­цию о топологии сети и может служить путеводителем по ней, что очень нужно взломщику для определения потенциальных жертв НСД.

По умолчанию служба DNS функционирует на базе протокола UDР (хотя возможно и использование протокола ТСР), что, естественно, делает ее менее защищенной, так как протокол UDР, в отличие от ТСР, вообще не предусматривает средств идентификации
сообщений. Это требует от администратора сети специальных знаний и несколько снижает скорость работы системы, так как при использовании ТСР требуется создание виртуального соединения, а конечные сетевые ОС вначале посылают DNS-запрос с помощью
протокола UDР. Значение поля "порт отправителя" в UDP-пакете вначале принимается равным 1023, а затем увеличивается с каждым переданным DNS-запросом. В случае передачи DNS-запроса с хоста значение идентификатора (ID) DNS-запроса зависит от конкретного сетевого приложения, генерирующего DNs-запрос.

Подстановка ложных доменных имен - один из самых громких методов осуществления злонамеренных действий в Internet, один из самых опасных и в то же время са­мый трудно диагностируемый метод осуществления преступ­ных замыслов в Internet. Эта атака организуется с помощью ряда сетевых протоколов и приложений, устанавливающих доверительные отношения на основе доменных имен хостов. Смысл атаки сводится к "взлому" одного или не­скольких DNS-серверов сети Internet, изменению базы данных, от­вечающей за преобразование Internet-адреса в IР-адрес, и, возмож­но, рассылке искаженной информации по другим DNS-серверам сети Internet.

Для службы DNS выделяют три основных варианта УА, рас­смотренных далее более подробно.

I. Перехват запроса DNS. Его осуществляют путем перепрограммирования сетевого адаптера для приема всех передаваемых
по каналу пакетов, извлечения из него номера UDP-порта отправителя запроса, двухбайтового значения ID идентификатора DNS-запроса и искомого имени и последующей посылкой ложного DNS-ответа на указанный в DNS-запросе UDP-порт, в котором нужно указать в качестве искомого IР-адреса IР-адрес ложного DNS-сервера.

2. "Шторм" ложных ответов DNS. Этот вариант удаленной атаки основан на ТУА "Ложный объект РВС" — атакующий осу­ществляет постоянную передачу на атакуемый хост заранее подго­товленного ложного DNS-ответа от имени настоящего DNS-сервера без приема DNS-запроса. Это возможно, так как обычно для передачи DNS-запроса используется протокол UDP, в котором отсутствуют средства идентификации пакетов. Критерии, предъяв­ляемые сетевой ОС хоста к полученному от DNS-сервера отве­ту, — это, во-первых, совпадение IР-адреса отправителя ответа с IР-адресом DNS-сервера; во-вторых, необходимо, чтобы в DNS-ответе было указано то же имя, что и в DNS-запросе; в-третьих, DNS-ответ должен быть направлен на тот же UDP-порт, с которого был послан DNS-запрос (это первая проблема, для атакующего), и, в-четвертых, в DNS-ответе поле идентификатора запроса в заго­ловке DNS (ID) должно содержать то же значение, что и в пере­данном DNS-запросе (это вторая проблема). Номер UDP-порта, с которого был послан запрос, можно попробовать найти простым перебором, направляя ложные ответы на соответствующий пере­чень портов. Двухбайтовый идентификатор DNS-запроса либо ра­вен единице, либо в случае DNS-запроса имеет значение порядка единицы.

3. Цель — сервер DNS. Из рассмотренной ранее схемы удаленного DNS-поиска следует, что в том случае, если указанное в запросе имя DNS-сервер не обнаружил в своей базе имен, то запрос отсылается сервером на один из корневых DNS-серверов, адреса которых содержатся в файле настроек сервера root.cache. Теперь сам DNS-сервер является инициатором удаленного DNS-поиска. Целью атаки станет не хост, а DNS-сервер, и ложные DNS-ответы будут направляться атакующим от имени корневого DNS-сервера на атакуемый DNS-сервер.

Если атакующий не может перехватить DNS-запрос от DNS-сервера, для реализации атаки ему необходим "шторм" ложных DNS-ответов, направленный на DNS-сервер. При этом нужен пе­ребор 216 возможных значений ID и отпадает проблема перебора портов, так как все DNS-запросы передаются DNS-сервером на 53 порт.

И еще одно условие осуществления этой удаленной атаки на DNS-сервер при направленном "шторме" ложных DNs-ответов: атака будет иметь успех, только если DNS-сервер пошлет запрос на поиск определенного имени (которое содержится в ложном DNS-ответе). Сам атакующий может послать на атакуемый DNS-сервер подобный DNS-запрос и спровоцировать DNS-сервер на поиск указанного в запросе имени.

NIS

Network Information System (сетевая информационная система) является приложением типа клиент/сервер, которое позволяет не­скольким компьютерам совместно использовать общие файлы типа список хостов, файл паролей и т.п. Эта система первоначально, была известна как "Желтые страницы". NIS используется для управления группой компьютеров, обычно рабочих станций Unix и ПК. NIS облегчает администратору работу по управлению своей сетью, позволяя обновлять только один файл, который затем будет разделяться всеми связанными системами. К сожалению, каждый раз, когда речь идет о файле паролей, нужно иметь в виду, что злоумышленники будут всячески стремиться заполучить его. Программы, использующие слабые места NIS, были в ходу некоторое время назад. Эти программы: позволяли зло­умышленникам получать записи о паролях, содержащихся в NIS. Поэтому NIS была усовершенствована, чтобы блокировать попыт­ки многих подобных программ.

WWW

Серверы "всемирной паутины" WWW также не достав­ляют больших хлопот при правильной конфигурации, однако есть несколько проблем, которые могут возникать в определенных си­туациях. Web уязвима в каждом из трех аспектов ее деятельности: клиентском обеспечении (браузерах), серверном обеспечении и каналах их соединяющих, т.е. во всей сети.

С ростом популярности WWW многие пользователи стали уде­лять много внимания расширению возможностей своих домашних страниц, используя средства создания скриптов СGI. СGI — это протокол для выполнения сценариев на серверах; в свою очередь, серверы осуществляют конечную об­работку, например, связь с базой данных по запросу со страницы Web. Все коммерческие серверы Web поддерживают сценарии СGI. Каждый раз при вызове пользователем сценария СGI он за­пускается целиком заново, потому что каждый сценарий является исполняемым. Сценарии СGI пишутся на Регl, командных языках shell и т.п., а программы СGI — на С++ или других компилируемых языках. Скрипт — это программа, которую сервер вызывает для выполнения дополнительных функций, не предусмотренных в протоколе НТТР. Но, как и в случае любой другой программы, ес­ли какие-либо параметры неправильно обрабатываются, могут возникнуть нежелательные побочные эффекты. Например, если скрипт был написан без соответствующей обработки ошибок и способен неправильно обрабатывать строку, злоумышленник мо­жет воспользоваться этой ошибкой. В прошлом подобные пробле­мы позволяли злоумышленникам просматривать скрытые файлы и выполнять недоступные команды. Кроме того, если злоумышлен­ник способен поместить файл в систему некоторым способом (возможно, при помощи анонимного FТР) и если WWW-сервер способен распознать его и обработать, то могут возникнуть опре­деленные проблемы.

E-Mail

Вот некоторые виды атак, которые могут осуществляться на электронную почту:

1). Фальшивые адреса отправителя. Адресу отправителя в электронной почте нельзя доверять, так как отправитель может указать фальшивый обратный адрес, или заголовок может быть модифицирован в ходе передачи письма, или отправитель может сам соединиться с SМТР-портом на компьютере, от имени которой он хочет отправить письмо, и ввести текст письма.

2). Перехват письма. Заголовки и содержимое электронных писем передаются в чистом виде. В результате содержимое сообщения может быть прочитано или изменено в процессе передачи его по Internet. Заголовок может быть модифицирован, чтобы
скрыть или изменить отправителя, или для того чтобы перенаправить сообщение.

3). Почтовые бомбы. Почтовая бомба — это атака с помощью электронной почты. Атакуемая система переполняется письмами до тех пор, пока она не выйдет из строя. Как это может случиться, зависит от типа почтового сервера и того, как он сконфигурирован.

Возможны следующие типовые варианты выхода почтового сервера из строя:

· Почтовые сообщения принимаются до тех пор, пока диск, где они размещаются, не переполнится. Следующие письма не принимаются. Если этот диск также основной системный диск, то вся система может аварийно завершиться.

· Входная очередь переполняется сообщениями, которые нужно обработать и передать дальше, до тех пор, пока не будет достигнут предельный размер очереди. Последующие сообщения не попадут в очередь.

· У некоторых почтовых систем можно установить макси­мальное число почтовых сообщений или максимальный общий размер сообщений, которые пользователь может принять за один раз. Последующие сообщения будут отвергнуты или уничтожены.

· Может быть превышена квота диска для данного пользова­теля. Это помешает принять последующие письма, и может поме­шать ему выполнять другие действия. Восстановление может ока­заться трудным для пользователя, так как ему может понадобиться дополнительное дисковое пространство для удаления писем.

· Большой размер почтового ящика может сделать трудным для системного администратора получение системных предупреж­дений и сообщений об ошибках.

· Посылка почтовых бомб в список рассылки может привес­ти к тому, что его члены могут отписаться от списка.

4). Угрожающие письма. Так как любой человек в мире может послать письмо другому человеку, то может оказаться трудным за­ставить его прекратить посылать их. Люди могут узнать адрес из списка адресов организации, списка лиц, подписавшихся на список рассылки, или писем в Usenet. Если где-то был указан почтовый адрес какому-нибудь Web-узлу, от он может продать этот адрес "почтовым мусорщикам". Некоторые Web-браузеры сами указы­вают почтовый адрес при посещении узлов. Много почтовых сис­тем имеет возможности фильтрации почты, то есть поиска указан­ных слов или словосочетаний в заголовке письма или его теле, и последующего помещения его в определенный почтовый ящик или удаления. Но большинство пользователей не знает, как использо­вать механизм фильтрации. Кроме того, фильтрация у клиента происходит после того, как письмо уже получено или загружено, поэтому таким образом тяжело удалить большие объемы писем.

Для безопасной атаки может использоваться анонимный ремэйлер (пересыльщик почты). Когда кто-то хочет послать оскор­бительное или угрожающее письмо и при этом скрыть свою лич­ность, он может воспользоваться анонимным ремэйлером. Если человек хочет послать электронное письмо, не раскрывая свой до­машний адрес тем, кто может угрожать ему, он может тоже использовать анонимный ремэйлер. Если он начнет вдруг получать нежелательные письма по своему текущему адресу, он может от­казаться от него и взять новый.

Одним часто используемым средством защиты, применяемым некоторыми пользователями Usenet является конфигурирование своих клиентов для чтения новостей таким образом, что в поле Reply-То (обратный адрес) письма, посылаемого ими в группу но­востей, помещается фальшивый адрес, а реальный адрес помеща­ется в сигнатуре или в теле сообщения. Таким образом программы сбора почтовых адресов, собирающие адреса из поля Reply-То, окажутся бесполезными.

5). Спэм. Данная атака проносит очень много проблем пользо­вателям электронной почты. "Спэмминг" - это массо­вая рассылка бесполезной электронной почты (спэма), чаще всего коммерческого и рекламного характера о продуктах и услугах. В настоящее время термин "спэм" практически стал бранным словом для обозначения всякой "виртуальной помойки", постепенно сли­ваясь с более общим термином junk mail — мусорная (то есть не­нужная адресату) почта.

Злоумышленником случайно выбирается доменное имя и отга­дывается имя хоста почтового SМТР-сервера. Если этот сервер примет почту, спэммер просит его распространить сообщение по списку адресов. Сервер исполняет запрос, создавая впечатление, что сообщения исходят с IР-адреса компании-жертвы.