Файл: Базовая модель угроз безопасности персональных данных при их обработке в информационных системах.pdf

39 имени сетевого управляющего устройства (например, маршрутизатора) управляющее сообщение (рисунки 8 и 9).
Хост 2 1. Передача нарушителем на хост 1 ложного сообщения по протоколу ICMP Redirect от имени маршрутизатора 1 об изменении таблицы
Маршрутизатор 2
Хост 1
Хост 2
Таблица маршрутизации top.secret.com:
gateway=хост 2
…
2. Пакеты на top.secret.com направляются на несуществующий маршрутизатор (хост 2), а следовательно, связь с top.secret.com нарушается
Хост 1
Хост нарушителя
Ложное сообщение
ICMP Redirect
Маршрутизатор 2
Маршрутизатор 1
Интернет
Сервер top.secret.com
Интернет
Сервер top.secret.com
Маршрутизатор 1
Рисунок 8. Схема реализации атаки «Навязывание ложного маршрута»
(внутрисегментное) с использованием протокола ICMP с целью нарушения связи
Интернет
Маршрутизатор
Хост 1
Хост 2
Хост нарушителя
Ложное сообщение ICMP Redirect в наилучшем маршруте к хосту top.secret.com
1. Фаза передачи ложного сообщения ICMP Redirect от имени маршрутизатора на хост 1
Маршрутизатор 2
Маршрутизатор 1
Сервер top.secret.com
Хост 1
Хост 1 передает пакеты, предназначенные top.secret.com, на хост атакующего
Хост нарушителя
Атакующий от имени хоста 1 передает пакеты на top.secret.com
2. Фаза приема, анализа, воздействия и передачи перехваченной информации на ложном сервере
Интернет
Рисунок 9. Схема реализации угрозы «Навязывание ложного маршрута»
(межсегментное) с целью перехвата трафика

40 6. Внедрение ложного объекта сети.
Эта угроза основана на использовании недостатков алгоритмов удаленного поиска. В случае, если объекты сети изначально не имеют адресной информации друг о друге, используются различные протоколы удаленного поиска (например, SAP в сетях Novell NetWare; ARP, DNS, WINS в сетях со стеком протоколов TCP/IP), заключающиеся в передаче по сети специальных запросов и получении на них ответов с искомой информацией. При этом существует возможность перехвата нарушителем поискового запроса и выдачи на него ложного ответа, использование которого приведет к требуемому изменению маршрутно-адресных данных. В дальнейшем весь поток информации, ассоциированный с объектом-жертвой, будет проходить через ложный объект сети (рисунки 10 - 13).
Хост 1
Хост 2
Маршрутизатор
1. Фаза ожидания ARP-запроса
Интернет
Хост N
Хост нарушителя
Атакующий прослушивает канал, ожидая передачу
ARP-запроса
Хост 1
Хост 2
Маршрутизатор
2. Фаза реализации угрозы
Интернет
Хост N
Хост нарушителя
Перехватив ARP-запрос, атакующий передает ложный
ARP-ответ
Хост передает
ARP-запрос
Хост 1
Хост 2
Маршрутизатор
3. Фаза приема, анализа, воздействия и передачи перехваченной информации на ложном ARP-сервере
Интернет
Хост N
Связь хоста 1 с маршрутизатором происходит через ложный ARP-сервер
Ложный
ARP-сервер
Рисунок 10. Схема реализации угрозы «Внедрение ложного ARP-сервера»

41
Хост 1
Хост 2
Маршрутизатор
Хост нарушителя 1
Маршрутизатор
Маршрутизатор
Сервер top.secret.com
DNS-сервер
Хост нарушителя 2 1. Фаза ожидания атакующим DNS-запроса от хоста 1 (атакующий находится либо на хосте нарушителя 1, либо на хосте нарушителя 2)
Хост 1
Хост 2
Маршрутизатор
Хост нарушителя 1
Маршрутизатор
Маршрутизатор
Сервер top.secret.com
DNS-сервер
Хост нарушителя 2 2. Фаза передачи атакующим ложного DNS-ответа (атакующий находится либо на хосте нарушителя 1, либо на хосте нарушителя 2)
Ложный
DNS-ответ
DNS-запрос
Ложный
DNS-ответ
Хост 1
Хост 2
Маршрутизатор
Хост нарушителя 1
Маршрутизатор
Маршрутизатор
Сервер top.secret.com
DNS-сервер
Хост нарушителя 2 3. Фаза приема, анализа, воздействия и передачи перехваченной информации на ложном сервере
Рисунок 11. Схема реализации угрозы «Внедрение ложного DNS-сервера» путем перехвата DNS-запроса

42
Хост 1
Хост 2
Маршрутизатор
Шторм ложных
DNS-ответов от имени DNS- сервера на хост 1
Маршрутизатор
Сервер top.secret.com
DNS-сервер
1. Нарушитель передает направленный шторм DNS-ответов на хост 1
Ложный сервер
(хост нарушителя)
Хост 1
Хост 2
Маршрутизатор
Шторм ложных
DNS-ответов от имени DNS- сервера
Маршрутизатор
Сервер top.secret.com
2. Хост 1 посылает DNS-запрос и немедленно получает ложный DNS-ответ
Ложный сервер
(хост нарушителя)
Маршрутизатор
Маршрутизатор
Хост 1
Хост 2
Маршрутизатор
Маршрутизатор
Сервер top.secret.com
3. Фаза приема, анализа, воздействия и передачи перехваченной информации на ложном сервере
Ложный сервер
(хост нарушителя)
Маршрутизатор
Маршрутизатор
DNS-запрос
DNS-сервер
Маршрутизатор
DNS-сервер
Маршрутизатор
D
N
S- отв ет
D
N
S- отв ет
Рисунок 12. Схема реализации угрозы «внедрение ложного DNS-сервера» путем шторма DNS-ответов на компьютер сети

43
Маршрутизатор
Сервер top.secret.com
DNS-сервер
1. Нарушитель создает направленный шторм ложных DNS-ответов от имени одного из корневых
DNS-серверов и при этом провоцирует этот сервер на ответ, посылая на него DNS-запрос
Маршрутизатор
Маршрутизатор
Корневой
DNS-сервер
DNS-запрос на поиск top.secret.com
Хост нарушителя
Маршрутизатор
Сервер top.secret.com
DNS-сервер
2. DNS-сервер передает DNS-запрос на корневой DNS-сервер и немедленно получает ложный DNS-ответ от атакующего
Маршрутизатор
Маршрутизатор
Корневой
DNS-сервер
Направленный шторм ложных DNS-ответов от имени корневого
DNS-сервера
Хост нарушителя
DNS-запрос top.secret.com:
IP адрес атакующего
…
Кэш таблица DNS- сервера
DNS-сервер
DNS-ответ с ложными сведениями о хосте
TOP.SECRET.COM
DNS-запрос на поиск
TOP.SECRET.COM
Интернет
3. Хост нарушителя изменяет кэш-таблицу DNS-сервера и обеспечивает прохождение трафика через ложный Сервер top.secret.com
Маршрутизатор
Хост 1
Маршрутизатор
Хост 1
Маршрутизатор
Хост 1
Интернет
Сервер top.secret.com ложный Сервер top.secret.com
Интернет
Рисунок 13. Схема реализации угрозы «Внедрение ложного DNS-сервера» путем шторма DNS-ответов на DNS-сервер

44 7. Отказ в обслуживании.
Эти угрозы основаны на недостатках сетевого программного обеспечения, его уязвимостях, позволяющих нарушителю создавать условия, когда операционная система оказывается не в состоянии обрабатывать поступающие пакеты.
Могут быть выделены несколько разновидностей таких угроз: а) скрытый отказ в обслуживании, вызванный привлечением части ресурсов ИСПДн на обработку пакетов, передаваемых злоумышленником со снижением пропускной способности каналов связи, производительности сетевых устройств, нарушением требований ко времени обработки запросов.
Примерами реализации угроз подобного рода могут служить: направленный шторм эхо-запросов по протоколу ICMP (Ping flooding), шторм запросов на установление TCP-соединений (SYN-flooding), шторм запросов к FTP-серверу; б) явный отказ в обслуживании, вызванный исчерпанием ресурсов
ИСПДн при обработке пакетов, передаваемых злоумышленником (занятие всей полосы пропускания каналов связи, переполнение очередей запросов на обслуживание), при котором легальные запросы не могут быть переданы через сеть из-за недоступности среды передачи либо получают отказ в обслуживании ввиду переполнения очередей запросов, дискового пространства памяти и т.д.
Примерами угроз данного типа могут служить шторм широковещательных
ICMP-эхо-запросов (Smurf), направленный шторм (SYN-flooding), шторм сообщений почтовому серверу (Spam); в) явный отказ в обслуживании, вызванный нарушением логической связности между техническими средствами ИСПДн при передаче нарушителем управляющих сообщений от имени сетевых устройств, приводящих к изменению маршрутно-адресных данных (например, ICMP Redirect Host,
DNS-flooding) или идентификационной и аутентификационной информации; г) явный отказ в обслуживании, вызванный передачей злоумышленником пакетов с нестандартными атрибутами (угрозы типа «Land», «TearDrop»,
«Bonk», «Nuke», «UDP-bomb») или имеющих длину, превышающую максимально допустимый размер (угроза типа «Ping Death»), что может привести к сбою сетевых устройств, участвующих в обработке запросов, при условии наличия ошибок в программах, реализующих протоколы сетевого обмена.
Результатом реализации данной угрозы может стать нарушение работоспособности соответствующей службы предоставления удаленного доступа к ПДн в ИСПДн, передача с одного адреса такого количества запросов на подключение к техническому средству в составе ИСПДн, какое максимально может «вместить» трафик (направленный «шторм запросов»), что влечет за собой переполнение очереди запросов и отказ одной из сетевых служб или полную остановку компьютера из-за невозможности системы заниматься ничем другим, кроме обработки запросов.
8. Удаленный запуск приложений.
Угроза заключается в стремлении запустить на хосте ИСПДн различные предварительно внедренные вредоносные программы: программы-закладки,

45 вирусы, «сетевые шпионы», основная цель которых – нарушение конфиденциальности, целостности, доступности информации и полный контроль за работой хоста. Кроме того, возможен несанкционированный запуск прикладных программ пользователей для несанкционированного получения необходимых нарушителю данных, для запуска управляемых прикладной программой процессов и др.
Выделяют три подкласса данных угроз:
1) распространение файлов, содержащих несанкционированный исполняемый код;
2) удаленный запуск приложения путем переполнения буфера приложений-серверов;
3) удаленный запуск приложения путем использования возможностей удаленного управления системой, предоставляемых скрытыми программными и аппаратными закладками либо используемыми штатными средствами.
Типовые угрозы первого из указанных подклассов основываются на активизации распространяемых файлов при случайном обращении к ним.
Примерами таких файлов могут служить: файлы, содержащие исполняемый код в виде макрокоманд (документы Microsoft Word, Excel и т.п.); html-документы, содержащие исполняемый код в виде элементов ActiveX, Java-апплетов, интерпретируемых скриптов (например, тексты на JavaScript); файлы, содержащие исполняемые коды программ. Для распространения файлов могут использоваться службы электронной почты, передачи файлов, сетевой файловой системы.
При угрозах второго подкласса используются недостатки программ, реализующих сетевые сервисы (в частности, отсутствие контроля переполнения буфера). Настройкой системных регистров иногда удается переключить процессор после прерывания, вызванного переполнением буфера, на исполнение кода, содержащегося за границей буфера. Примером реализации такой угрозы может служить внедрение широко известного «вируса Морриса».
При угрозах третьего подкласса нарушитель использует возможности удаленного управления системой, предоставляемые скрытыми компонентами
(например, «троянскими» программами типа Back Orifice, Net Bus) либо штатными средствами управления и администрирования компьютерных сетей
(Landesk Management Suite, Managewise, Back Orifice и т. п.). В результате их использования удается добиться удаленного контроля над станцией в сети.
Схематично основные этапы работы этих программ выглядят следующим образом: инсталляция в памяти; ожидание запроса с удаленного хоста, на котором запущена клиент- программа, и обмен с ней сообщениями о готовности; передача перехваченной информации клиенту или предоставление ему контроля над атакуемым компьютером.
Возможные последствия от реализации угроз различных классов приведены в таблице 3.

46
Таблица 3
Возможные последствия реализации угроз различных классов