Виды удаленных угроз в вычислительных сетях

Результат применения этой удаленной атаки – нарушение на атакованном объекте работоспособности соответствующей службы предоставления удаленного доступа, то есть невозможность получения удаленного доступа с других объектов вычислительной сети – отказ в обслуживании. Одна из разновидностей этой типовой удаленной атаки заключается в передаче с одного адреса такого количества запросов на атакуемый объект, которое позволяет трафик. В этом случае, если в системе не предусмотрены правила, ограничивающие число принимаемых запросов с одного объекта (адреса) в единицу времени, то результатом этой атаки может являться как переполнение очереди запросов и отказа одной из телекоммуникационных служб, так и полная остановка компьютера из-за невозможности системы заниматься ничем другим, кроме обработки запросов. И последней, третьей разновидностью атаки «отказ в обслуживании», является передача на атакуемый объект некорректного, специально подобранного запроса. В этом случае при наличии ошибок в удаленной системе возможно зацикливание процедуры обработки запроса, переполнение буфера с последующим зависанием системы. Основными причинами успеха удаленных угроз в вычислительных сетях являются:

1. Отсутствие выделенного  канала связи между объектами  сети.

2. Недостаточная идентификация  объектов и субъектов сети.

3. Взаимодействие объектов  без установления виртуального  канала.

4. Отсутствие в распределенных  вычислительных сетях полной  информации о ее объектах.

5. Отсутствие в распределенных  вычислительных сетях криптозащиты  сообщений.

Виды противников или "нарушителей". Понятия о видах вирусов. Понятие угрозы. Наиболее распространенные угрозы. Классификация угроз

Угроза – потенциальная возможность определенным способом нарушить ИБ.

Попытка реализации угрозы называется атакой.

Предпринимающий атаку называется злоумышленником.

Угрозы можно классифицировать по нескольким критериям:

По целям угрозы

· нарушение конфиденциальности

· нарушение целостности

· нарушение работоспособности

По принципам воздействия

· с использованием доступа субъекта (пользователя) к объекту (файлу, каналу)

· с использованием скрытых каналов

По характеру воздействия

· активное воздействие (нарушение правил)

· пассивное воздействие (наблюдение и анализ)

По используемым средствам

· стандартное программное обеспечение(ПО)

· специальное ПО

По способу воздействия на сеть

· в интерактивном режиме

· в пакетном режиме

По состоянию объекта атаки

· угроза хранения (на диске, ленте)

· угроза передачи по линии связи

· угроза обработки (когда объектом атаки является процесс пользователя)

По способу воздействия

· непосредственное воздействие на объект

· воздействие на систему разрешений

· опосредованное воздействие

По используемой ошибке

· недостаточная политика безопасности

· ошибки администратора

· ошибки в алгоритмах

· ошибки в программах

По объекту атаки

· автоматические системы обработки информации в целом

· процессы пользователей

· компоненты АСОИ

· пакеты данных и каналы связи

o Знание наиболее уязвимых мест в системе, уже более чем на 50% спасает от угроз.

· Наиболее уязвимые места:

Клиентские ПК и их ПО:

· Искажение программ и данных в оперативной памяти

· Искажение (разрушение)файлов и системных областей

· Уменьшение скорости работы, неадекватная реакция на команды оператора

· Вмешательство в процесс обмена сообщениями по сети путем непрерывной посылки хаотических сообщений

· Блокирование принимаемых или передаваемых сообщений, их искажение

· Имитация физических сбоев типа «потеря линии»

· Внедрения вирусов

· Имитация пользовательского интерфейса или приглашений ввода пароля (ключа) с целью запоминания паролей

 

2.1. Угроза информационной безопасности

 

Угроза информационной безопасности – это потенциальная возможность нарушения режима информационной безопасности. Преднамеренная реализация угрозы называется атакой на информационную систему. Лица, преднамеренно реализующие угрозы, являются злоумышленниками.

Чаще всего угроза является следствием наличия уязвимых мест в защите информационных систем, например, неконтролируемый доступ к персональным компьютерам или нелицензионное программное обеспечение.

Угрозы информационной безопасности классифицируются по нескольким признакам:

· по составляющим информационной безопасности (доступность, целостность, конфиденциальность), против которых в первую очередь направлены угрозы;

· по компонентам информационных систем, на которые угрозы нацелены (данные, программы, аппаратура, персонал);

· по характеру воздействия (случайные или преднамеренные, действия природного или техногенного характера);

· по расположению источника угроз (внутри или вне рассматриваемой информационной системы).

Рассмотрим угрозы по характеру воздействия. Опыт проектирования, изготовления и эксплуатации информационных систем показывает, что информация подвергается различным случайным воздействиям на всех этапах цикла жизни системы.

Причинами случайных воздействий при эксплуатации могут быть:

· аварийные ситуации из-за стихийных бедствий и отключений электропитания (природные и техногенные воздействия);

· отказы и сбои аппаратуры;

· ошибки в программном обеспечении;

· ошибки в работе персонала;

· помехи в линиях связи из-за воздействий внешней среды.

Преднамеренные воздействия – это целенаправленные действия злоумышленника. В качестве злоумышленника может выступить служащий, посетитель, конкурент, наемник. Действия нарушителя могут быть обусловлены разными мотивами, например: недовольством служащего служебным положением; любопытством; конкурентной борьбой; уязвленным самолюбием и т. д.

Угрозы, классифицируемые по расположению источника угроз, бывают внутренние и внешние. Внешние угрозы обусловлены применением вычислительных сетей и созданием на их основе информационных систем.

Основная особенность любой вычислительной сети состоит в том, что ее компоненты распределены в пространстве. Связь между узлами сети осуществляется физически с помощью сетевых линий и программно с помощью механизма сообщений. При этом управляющие сообщения и данные, пересылаемые между узлами сети, передаются в виде пакетов обмена. Особенность данного вида угроз заключается в том, что местоположение злоумышленника изначально неизвестно.

 

 

2.2. Наиболее распространенные угрозы нарушения доступности информации.

 

Самыми частыми и самыми опасными (с точки зрения размера ущерба) являются непреднамеренные ошибки штатных пользователей, операторов, системных администраторов и других лиц, обслуживающих информационные системы.

Иногда такие ошибки и являются собственно угрозами (неправильно введенные данные или ошибка в программе), иногда они создают уязвимые места, которыми могут воспользоваться злоумышленники (обычные ошибки администрирования).

Самый эффективный способ борьбы с непреднамеренными случайными ошибками – максимальная автоматизация и строгий контроль.

Другие угрозы доступности классифицируем по компонентам автоматизированной информационной системы, на которые нацелены угрозы:

· отказ пользователей;

· внутренний отказ информационной системы;

· отказ поддерживающей инфраструктуры.

Применительно к пользователям рассматриваются следующие угрозы:

· нежелание работать с информационной системой (чаще всего проявляется при необходимости осваивать новые возможности);

· невозможность работать с системой в силу отсутствия соответствующей подготовки (недостаток общей компьютерной грамотности, неумение интерпретировать диагностические сообщения, неумение работать с документацией и т. п.);

· невозможность работать с системой в силу отсутствия технической поддержки (неполнота документации, недостаток справочной информации и т. п.).

Основными источниками внутренних отказов являются:

· отступление (случайное или умышленное) от установленных правил эксплуатации;

· выход системы из штатного режима эксплуатации в силу случайных или преднамеренных действий пользователей или обслуживающего персонала (превышение расчетного числа запросов, чрезмерный объем обрабатываемой информации и т. п.);

· ошибки при конфигурировании системы;

· отказы программного и аппаратного обеспечения;

· разрушение данных;

· разрушение или повреждение аппаратуры.

По отношению к поддерживающей инфраструктуре рассматриваются следующие угрозы:

· нарушение работы (случайное или умышленное) систем связи, электропитания, водо – и/или теплоснабжения, кондиционирования;

· разрушение или повреждение помещений;

· невозможность или нежелание обслуживающего персонала и/или пользователей выполнять свои обязанности.

Опасными являются и стихийные бедствия – пожары, наводнения, землетрясения, ураганы. По статистике на долю этих источников угроз с учетом перебоев электропитания приходится 13% потерь, нанесенных информационным системам.

Угрозы доступности могут выглядеть грубо – как повреждение или даже разрушение оборудования (в том числе носителей данных). Такое повреждение может вызываться естественными причинами (чаще всего – грозами). К сожалению, находящиеся в массовом использовании источники бесперебойного питания не защищают от мощных кратковременных импульсов.

Одним из способов нарушения доступности является загрузка информационной системы (загрузка полосы пропускания сетей, вычислительных возможностей процессоров или оперативной памяти). По расположению источника такие угрозы подразделяется на внутренние и внешние. При просчетах в конфигурации системы локальная программа способна практически монополизировать процессор и/или физическую память, сведя скорость выполнения других программ к нулю.

Известны случаи вывода из строя сервисов глобальной сети Интернет, когда на сервер с множества разных адресов с максимальной скоростью направляются вполне легальные запросы на соединение и/или обслуживание.

Одним из опаснейших способов нарушения доступности и в целом информационной безопасности является внедрение в атакуемые системы вредоносного программного обеспечения.

Целями такого программного обеспечения является:

· внедрение другого вредоносного программного обеспечения;

· получение контроля над атакуемой системой;

· агрессивное потребление ресурсов;

· изменение или разрушение программ и/или данных.

К сожалению, количество «вредного» программного обеспечения постоянно увеличивается. Вирусы и троянские программы считают уже на десятки тысяч, а базы данных антивирусных программ обновляются практически ежедневно, несмотря на постоянно внедряемые методы «универсального» детектирования (то есть детектирования не конкретных вариантов отдельно взятого вируса, а всего «семейства» или даже целого класса вредоносных программ).

Причины роста данного вида угроз связаны с тем, что к компьютерам получают доступ все большее и большее количество кибер-хулиганов (по мере расширения глобальных информационных сетей). Какое-то число из них начинает самоутверждаться описанным выше способом.

Подробный анализ данного класса угроз рассмотрим в следующих темах.

 

 

2.3. Основные угрозы нарушения целостности информации.

 

На втором месте по размерам ущерба (после непреднамеренных ошибок и упущений) стоят кражи и подлоги. По данным газеты USA Today, еще в 1992 году в результате подобных противоправных действий с использованием персональных компьютеров американским организациям был нанесен общий ущерб в размере 882 миллионов долларов.

В большинстве случаев виновниками оказывались штатные сотрудники организаций, отлично знакомые с режимом работы и мерами защиты. Это еще раз подтверждает опасность внутренних угроз.

С целью нарушения статической целостности злоумышленник (как правило, штатный сотрудник) может:

· ввести неверные данные;

·изменить данные, например, время создания или получения документа.

Угрозой целостности является не только фальсификация или изменение данных, но и отказ от совершенных действий. С этой угрозой связано понятие «аутентичность», то есть возможность подтверждения (доказательства) авторства того или иного документа или действия.

Потенциально уязвимы с точки зрения нарушения целостности не только данные, но и программы. Внедрение рассмотренного выше вредоносного программного обеспечения – пример подобного нарушения.

Угрозами динамической целостности являются дублирование данных или внесение дополнительных сообщений (сетевых пакетов и т. п.). Соответствующие действия в сетевой среде называются активным прослушиванием.