PDA

Просмотр полной версии : Классификация угроз.Методы защиты. Теория.



SDA
19.10.2005, 20:11
1 - угрозы, позволяющие несанкционированно запустить исполняемый код
угрозы основываются на переполнении буфера для входных данных(переполнение стёка)
и последующей передачи управления на исполняемый код, занесённый при этом в стёк.
Для переполнения стёкаиспользуется тот факт, что при выполнении функций работы
со строками, переменными среды исполнения и т.д.порграммисты не заботятся о проверки размерности
входных данных. а это приводит к выходу за границы массивов ( массив - это тип данных,предназначенный
для хранения и обработки с помщью индекса целого множества однотипных данных. существуют хэш массивы,
массивы скаляров и т.д.),выделенные для работы с этими данными.
один из методов предотвращения - присвоение атрибута, исключающего исполение кода страницами
памяти, выделенными подстёк.


2- угрозы, позволяющие осуществлять несанкционированные операции чтения\записи.
угрозы основываются на неправильной интерпретации прикладными и системными программами
входных параметров. в результате они дают доступ к объектам, не перечисленными в списках
санкционированного доступа. неправильная интерпретация связанна с некоректной програмной реализацией
их обработки. Это происходит потому, что программы, обрабатывающие данные запросы, являются либо системными
утилитами, либо прикладными программами, запущенными в контексте езопасности системы.
можно догадаться, что они имеют непосредственный доступ к к любым объектам, и могт представить доступ пользователям,
не обладающим долстаточными правами.
профилактокой таких угроз может служить ДЕТАЛЬНЫЙ аудит всех событий, которые происходили
на защищаемой машине.


3- угрозы, позволяющие обойти установленные разграничения прав доступа.
Основываются на недоработках в ядре и системных утилитах ОС(ОС - опреационная система),
позволяющих програмными методами обходить установленные разграничения доступа к объектам системы.
единственным решением данноё проблемы является либо установка обновлений от производителя ОС,
либо проводить детальный анализ ОС самому.


4-угрозы, приводящие к отказу в обслуживании (Denial of Servece (DoS)
это угрозы, приводящие к отказу в обслуживании. Большую часть этой группы составляют примеры,
основанные на недостаточной надёжности реализации стёка сетевых протоколов ОС. сбои в работе достигаются
путём посыла груп пакетов с некорректными заголовками, параметрами и т.д. Другой пример DoS-
провокация отказа путём чрезмерной загрузкой канала. основным параметром, которым должен владеть
атакующий - каналом, шире чем у жертвы.в большинстве случаев рядовой пользователь не может позволить себе канал,
по скорости больший чем у жертвы(если принять во внимание что жертва не рядовой пользователь, а сервер интернета).
для реализации атаки на данный сервер пишется определённый скрипт(например, флудер-множитель), загружаемый на ранее
взломанные сервера, и уже с их пропускной способностью начинается DoS атака.
на заметку : случаи, приводящие к DoS, не нарушают безопасность атакуемой системы, а просто выводят
её из строя. но если DoS только составляющее звено атаки, то предыдущее высказывание ставится
под сомнение.
чтобы защититься от такой атаки нужно банально повышать производительность системы в целом, увеличивать
пропускную способность канала связи. можно использовать возможности активного сетевого оборудования, как
ограничение пропускной способности , имеющеся, например, у маршрутизаторов Cisco.


5- угрозы, использующие встроенные недокументированные возможнсти.
по существу это угроза не представляющая особой опасности. можно привести примеры предоставляющие недокументированные
возможности :
встроенные инженерные пароли для входа в систему (пароль фирмы Award "AWARD_SW" , позволяющий получиьт
спектр прав для работы BIOS).
специальные возможности для недокументированных действий.
закладки в разноообразных прикладных приложениях и т.д.
методы защиты от таких угроз рядовому пользователю не известны. не имея исходный код, о них можно только догадываться.


6- угрозы, использующие недостатки системы хранения или выбора данных об аутентификации.
эти угроз позволяют путём реверсирования, подбора или полного перебора пароля получить данные о аутентификации
основываются на недостатках алгоритмов кодирования(хеширования) паролей на защищаемых ресурсах.
к примеру, для базовой HTTP - аутентификации используется Base64 как алгоритм кодирования имени пользователя и пароля.
дял раскодировки данного алгоритма можно написать простенький сценарий на языке Perl, который исполнит заданную
ему цель :

use MIME::Base64;
print decode_base64($ARGV**0**);

для защиты от угроз данного вида нужно переходить на более устойчивые алгоритмы шифрования. дял максимального
усложнения подбора пароля методом перебора исользуйте как можно более длинный пароль.


7- *троянские программы*
это программы, которые прописываются в автозагрузку ОС, и выполняют несанкционированные действия. Для того чтобы
данная прогрмма появилась у пользователя в системе, он сам должен первоначально выполнить её. но если троянская
программа использует уязвимость ОС для проникновения внутрь(например , уязвимость RPC Dcom), то она попадёт в систему
без ведома на то пользователя.
дял защиты от действий подобного рода нужно придерживаться определённых правил :
1- устанавливать все обновления выпущенные производителем ОС.
2- иметь в системе антивирус с постояннообновляющейся базой. это спасёт от простейших вирусов и от неквалифицированных
атакующих. люди, занимающиеся этим делом профессионально, могут "надуть" любой антивирус без особых усилий.
3- иметь в системе FIrewall. у самого Firewall'а достаточно много функций(фильтрование пакетов, прослушивание соединений
и т.д.), но всё рассмотреть в рамках данной статьи невозможно. Firewall спасёт от многих атак, но , ещё раз повторяюсь,
если человек, совершающий атаку, квалифицированный, то Firewall будет держать систему в безопасности относительно недолго.
4- человеческий фактор. никогда не запускайте файлы ,пришедшие вам по почте, ICQ, и т.д. от неизвестных лиц.

Угрозы напрямую используют недостатки ОС и системных приложений и позволяют при полностью сконфигурированных
и работающих встроенных в ОС механизмах защиты осуществлять несанкционный доступ к информации,что подтверждает
необходимость усиления встроенных механизмов защиты.


По материалам Russian Hackers