Скрит зад маската

Дмитрий Мелников, Михаил Савелиев

Интернет общността активно обсъжда проблемите за осигуряване на мрежова сигурност, откриване и отблъскване на всякакви атаки. Ще говорим за много сериозни атаки от типа "маскарад", които могат да бъдат извършени само от професионалисти, които имат не само значителен опит в тази област, но и достатъчно финансови и материални ресурси.

Какво е "маскарад"?

Под маскарадна атака се разбира метод за атака срещу информационна система (ИС), при който нападателят имитира всички стандартни процедури за информация и обслужване на ИС, създавайки илюзия за правилното функциониране на мрежата за реални потребители и административни услуги.

Но този пример е твърде примитивен. Очевидно е, че натрапникът ще постигне най-голям ефект само ако е в състояние да постигне максимално ниво на имитация на действията на потребителите (техните терминали) и административните услуги на системата (различни сървъри, комутатори, рутери) и по този начин да се скрие ( камуфлаж) неговите незаконни действия.

За „маскарад“ натрапникът трябва да разполага с много голямо количество предварителна информация и арсенал от софтуер и хардуер.

Преди да започне „шоуто“, той задължително провежда предварителна информация и аналитична работа за събиране на информация за атакуваната система и въз основа на събраните данни избира алгоритми, методи, механизми и инструменти за изпълнение на атаката.

Всички възможни точки и методи за достъп до него са подходящи за събиране на информация за атакуваната система. Помислете за тях.

Канали за връзка. Това е прихващането (включително радиоприхващането) на информация, движеща се в самата система, влизаща в ИС и напускаща я. Това е проследяване на реакцията на оборудването на каналите и операторите на IS на заглушаване в комуникационни линии. Ако смущенията причинят значителен отказ, операторите често деактивират съществуващите защитни механизми за диагностични цели. Ако комуникационният канал е защитен с криптографски средства, тогава хакерът може да извлече някаква информация чрез сравняване на събития в ИС (или дори в живота на самата организация) и дейността по обмен на информация в линията.

Достъп до файлове и софтуер. Опити за преодоляване на защитата и реакцията на системата за сигурност на тези опити, кражба и неоторизиран достъп до файлове, изясняване на списъка с програми, работещи в ИС.

Достъп до системата с различни привилегии. В зависимост от полученото състояние, нарушителят може не само да събира информация за системата, но и да нарушава защитата на софтуера, да си осигури правото да влезе в системата (като системен програмист), да използва помощни програми за достъп до файлове и влизания в системата ( като администратор), опитайте се да изберете пароли, да промените стандартния софтуер (като обикновен потребител).

Самите маскарадни атаки също могат да се различават значително. В тази връзка, когато ги анализираме, е по-подходящо да говорим дори не за атаката като такава, а за метода на атака. Конкретни атаки всъщност са практически реализации на този метод.

Опции за маскарадна атака

С цялото разнообразие от атаки от типа „маскарад“, този метод на атака може да има три варианта на изпълнение, които се различават един от друг по състава на участниците в „шоуто“, изиграни от нарушителя: 1) нарушителят, скривайки се под прикритието на легален потребител (административна система), стартира и завършва „играта“ само с един клиент на мрежата (в този случай клиент на мрежата означава или потребител, или административна система, или приложение или системен процес), тоест маскарад един на един; 2) нарушителят, криейки се под прикритието на един или друг клиент на мрежата, започва и завършва „играта“ с двама клиенти едновременно, създавайки илюзия за правилно информационно взаимодействие и за двамата („маскарад с двама“); 3) смесена версия (или "комбиниран маскарад"), при която нарушителят започва "диалог" с един клиент, а след това друг клиент се присъединява към "диалога", под маската на който нарушителят е действал (комбинация "1 + 1" ), или обратно, когато „диалогът“ е започнал с двама клиенти, той е завършил само с един (комбинация „2-1“).

1. Маскарад "един на един". Когато натрапник играе „шоу“ само с един клиент на мрежата (Фиг. 1), представяйки се за друг легален потребител, има вероятност този друг реален потребител да се появи „на сцената“. Финалът на „изпълнението“ в този случай е непредсказуем, но рядко се случва в полза на нарушителя. Провеждането на „маскарад“ с един клиент на мрежата изисква малко предварителна подготовка, а появата на трети легален участник в обмена на информация, за който нарушителят твърди, че е, може да обърка нарушителя, така че той ще трябва да отстъпи. Освен това може да има много такива непредсказуеми ситуации и следователно всяко отклонение от замисления от нарушителя сценарий вероятно ще доведе до неговия провал.

един един

Фигура: 1. Модел за маскарадна атака един на един

Независимо от това, анализ на интернет атаки, включващи кражба на поверителна информация и електронни пари, показва, че те са много ефективни. По правило подобни атаки се предшестват или от хакване на мрежови системи за сигурност под прикритието на законни потребители, или от кражба на електронни или пластмасови платежни средства, използвани от легални клиенти за извършване на електронни плащания. Едно е ясно: този тип атака изисква предварителна подготовка и нарушителите се маскират като законни потребители.

2. "Маскарад с двама". Атаката с маскарад с две (Фигура 2) е много подобна на атаката на натрапника в средата. За последния тип атака обаче може да се говори само когато нарушителят е пасивен. Веднага щом започне да действа, той трябва да се маскира, създавайки илюзия за правилно информационно взаимодействие и за двамата законни клиенти. С други думи, преди да извърши атака от типа "маскарад с два", той е принуден да извърши атака от типа "натрапник в средата на връзката", за да определи цялото (или да идентифицира основните елементи ) на процесуално-атрибутивното пространство на реалния обмен на информация на законни интернет обекти.