logo search
opsspi / Уч

11.3. Угрозы безопасности мсс

Под угрозами информационной безопасности систем (сетей) связи принято понимать “воздействия нарушителя ИБ на информационную сферу, которые будучи не предотвращенными, не обнаруженными и не ликвидированными могут привести к снижению качества услуг и нарушению функционирования сети связи и, как следствие, нанесению ущерба государству, пользователям и (или) поставщикам услуг.

Различают три вида источников угроз информационной безопасности, обусловленные: действием злоумышленников; техническими средствами; стихийными явлениями.

Угрозы первой группы включают: кражу и разрушение технических средств; нарушение нормального функционирования сетей связи; подмену операционных систем и другого программного обеспечения; отказ от фактов отправки и получения сообщений; снижение качества услуг; извлечение информации из наводок на электрические и акустические системы.

В число угроз второй группы входят: нарушение функционирования систем обработки информации и систем (сетей) связи; уничтожение средств хранения информации; разрушение зданий и помещений; нанесение увечий и угрозы жизни персонала; изменение программного обеспечения.

Угрозы третьей группы вызываются стихийными явлениями: землетрясения, наводнения, гроза, цунами и т. п., пожарами, электромагнитными воздействиями при авариях линий передачи.

Они могут приводить к уничтожению технических средств и программного обеспечения, поражению или гибели персонала.

Международные организации стандартизации классифицируют угрозы по типам, видам и категориям. При этом классификация угроз распространяется на три уровня: инфраструктуру сети, услуги связи, приложения.

Первый из этих уровней охватывает информацию пользователей, второй — услуги сети, третий — приложения, в том числе телематические службы, организуемые на базе сетей.

Угрозы системе передачи информации включают: разрушение информации и/или других ресурсов; искажение или модификацию информации; кражу, исключение или потерю информации и/или других ресурсов; раскрытие содержания информации; прерывание связи.

Угрозы разделяются на случайные и преднамеренные, активные и пассивные. Примерами совершившихся случайных угроз являются нарушения нормальной работы системы, вызванные эксплуатационными ошибками и ошибками в программном обеспечении.

Преднамеренными угрозами могут быть угрозы, начиная с небрежной проверки, выполняемой с помощью легкодоступных средств непрерывного контроля (мониторинга), и кончая весьма остроумными попытками нарушения защиты информации, использующими специальное знание системы.

К пассивным относятся угрозы, которые реализуясь не приводят к модификации информации, содержащейся в системе, и не влекут за собой изменений ни в ее работе, ни в ее состоянии. Реализацией пассивной угрозы являются результаты анализа наблюдения за информацией, передаваемой по сети связи.

К активным относятся угрозы, которые вызывают изменения информации, содержащейся в системе, а также изменения состояния или работы этой системы. Примером активной угрозы может служить преднамеренное изменение несанкционированным пользователем таблиц маршрутизации системы.

К угрозам информационной безопасности относятся:

маскировка под логический объект (маскарад, спуфинг); нарушение целостности информации; повторный розыгрыш; модификация сообщения; отказ отправителя и получателя от авторства; отказ в обслуживании; вирусы, черви, троянские кони, гибриды; спам; слежка; закладки в оборудование и программное обеспечение; использование сниферов пакетов; злоупотребление доверием; переадресация портов; вставка фальшивого трафика; искажение данных систем управления, маршрутизации и других групповых подсистем.

Маскарад — поведение объекта, который пытается выдать себя за другой объект. Санкционированный объект с небольшими привилегиями может использовать маскарад, чтобы получить дополнительные привилегии, выдавая себя за объект, который имеет эти привилегии. Повторный розыгрыш имеет место, когда сообщение или часть его повторяется и производит несанкционированный эффект. Например, розыгрыш может быть применен к правильному сообщению, содержащему информацию по аутентификации самого себя (как кого-то, кем он не является).

Модификация сообщения имеет место, когда содержание передаваемых данных изменяется (при этом изменение не обнаруживается) и приводит к несанкционированному эффекту, например, когда сообщение «Разрешить Иванову прочесть секретный файл «Счета» изменяется на «Разрешить Петрову прочесть секретный файл «Счета».

Отказ в обслуживании имеет место, когда объекту не удается выполнить свою правильную функцию или когда он действует таким образом, чтобы воспрепятствовать другим объектам в выполнении их правильных функций. Попытка нарушения безопасности может быть общей, когда объект блокирует все сообщения, либо конкретным целевым, когда объект блокирует сообщения, направляемые в конкретное место назначения. Попытка нарушения может создавать дополнительный трафик.

Вирусы — вредоносные программы, способные самовольно внедряться в различные компоненты операционной системы, они стирают пользовательские данные, уничтожают информацию, хранимую в системных областях памяти, выводят из строя микросхемы. Вирусы представляют угрозы нарушения нормального функционирования программного обеспечения, результатом чего могут быть засылка сообщений не по адресу, искажение содержания сообщений вплоть до их пропажи, большие задержки передачи сообщений, т. е. все те явления, которые приводят к потере надежности.

Черви являются разновидностью вирусов. Они инициируют собственную массовую рассылку по сети. Их опасность усугубляется тем, что они маскируются под зараженные объекты, перегружая систему связи.

Троянские кони (трояны) — разновидность вирусов, позволяющая злоумышленникам получить скрытый доступ к паролям, адресам, электронной почте и другой информации в компьютере. Получая по сети команды от своего «хозяина», трояны способны загружать на компьютер, где они обосновались, программы из Интернета и запускать их на исполнение. Появились и вирусы-гибриды, сочетающие признаки троянов и червей.

Спам — это несанкционированная получателем массовая рассылка сообщений по электронной почте. Процветанию спама способствовали низкие затраты отправителя и возможность подделки его адреса в протоколе электронной почты. По имеющимся данным, спам занимал более 50% объема электронной почты в 2003 г., а в некоторых российских Интернет‑‑службах даже 80%. Спам вреден тем, что способствует массовой рассылке троянов и лавинообразному обращению к серверу, что приводит к перегрузке последнего и выходу из строя его программного обеспечения, т. е. появляются отказы в обслуживании пользователей. Спам может нарушить установленное для пользователя значение времени передачи, т. е. привести к задержке сообщений и даже невозможности их передачи. Объем спама, циркулирующего в сетях электронной почты, превысил 67% от всех отправляемых через Интернет сообщений.

Слежкой называют скрытый интенсивный сбор информации, который идет в наиболее массовых службах (сетях) инфокоммуникаций (телефонной сети, Интернете), а также контроль трафика. Слежка помогает при систематическом наблюдении узнать в результате накопления информации не только характеристики трафика и личную информацию, но и выудить из личных и, особенно, служебных переговоров информацию, которая при обобщении и анализе может оказаться конфиденциальной.

Закладки в оборудование и программное обеспечение представляют собой сверхштатные устройства и программы, которые под действием сигнала злоумышленника могут нарушать процесс нормального функционирования системы (сети). О степени опасности закладок свидетельствуют данные о том, что крупнейшая российская фирма в области связи ОАО «Связьинвест» 80% своих потребностей в оборудовании удовлетворяет по импорту.

Сниффер представляет собой прикладную программу, перехватывающую все сетевые пакеты. Снифферы используются для диагностики неисправностей и анализа трафика. Однако, в виду того, что некоторые сетевые приложения передают данные в текстовом формате, с помощью сниффера можно узнать полезную, а иногда и конфиденциальную информацию (например, имена пользователей и пароли).

Перехват имен пользователей и паролей создает большую опасность, так как пользователи часто применяют один и тот же логин и пароль для множества приложений и систем. Многие вообще имеют один пароль для доступа ко всем ресурсам и приложениям. Если приложение работает в режиме клиент/сервер, а аутентификационные данные передаются по сети в читаемом текстовом формате, эту информацию с большой вероятностью можно использовать для доступа к другим корпоративным или внешним ресурсам.

Хакеры прекрасно знают, что обычно пользуются одним и тем же паролем для доступа ко множеству ресурсов, поэтому им часто удается, узнав пароль, получить доступ к важной информации. В самом худшем случае хакер получает доступ к пользовательскому ресурсу на системном уровне и с его помощью создает нового пользователя, которого можно в любой момент использовать для доступа в сеть и к ее ресурсам.

Злоупотребление доверием представляет собой злонамеренное использование отношений доверия, существующих в сети. Примером является система, установленная с внешней стороны межсетевого экрана, имеющая отношения доверия с системой, установленной с его внутренней стороны. В случае взлома внешней системы хакер может использовать отношение доверия для проникновения в систему, защищенную межсетевым экраном.

Переадресация портов — разновидность злоупотребления доверием, когда взломанный хост используется для передачи через межсетевой экран трафика, который в противном случае был бы обязательно отбракован.

Сетевой разведкой называется сбор информации о сети с помощью общедоступных данных и приложений. При подготовке атаки против какой-либо сети хакер, как правило, пытается получить о ней как можно больше информации. Сетевая разведка проводится в форме запросов, эхо‑тестирования и сканирования портов.

Запросы помогают понять, кто владеет тем или иным доменом и какие адреса этому домену присвоены. Эхо‑тестирование адресов позволяет увидеть, какие хосты реально работают в данной среде.

Получив список хостов, хакер использует средства сканирования портов, чтобы составить полный список услуг, поддерживаемых этими хостами. И, наконец, хакер анализирует характеристики приложений, работающих на хостах. В результате добывается информация, которую можно использовать для взлома.

Отказ от авторства отправителя лишает получателя уверенности в отношении подлинности полученного сообщения. Отказ получателя от факта получения сообщения лишает отправителя уверенности в отношении доставки сообщения по адресу и возможности засылки не по адресу.

Специфическим угрозам подвергается информация, хранимая в базах данных информационно-справочных служб и в запоминающих устройствах систем передачи и коммутации информации. К числу таких угроз относятся: копирование и кража программного обеспечения; несанкционированный ввод данных; изменение или уничтожение данных на носителях; кража информации; нарушение нормальной обработки информации; видоизменение информации.

Существует две категории злоумышленников: внешние и внутренние.

Внешние действуют вне границ защищаемой мультисервисной сети, внутренние — внутри границы.

Внутренние злоумышленники более опасны по трем причинам.

Во‑первых, это «свои» сотрудники, которые знают наиболее уязвимые места для атак.

Во‑вторых, это могут быть сотрудники, которые по роду службы имеют доступ к компьютерам систем управления, мониторинга, биллинга и т. п.

В‑третьих, они могут быть осведомлены о том, где их несанкционированные действия могут нанести наибольший вред.

Статистика показывает, что обычно число внутренних злоумышленников превышает количество внешних. Кроме того, весьма часто внимание пользователей и операторов обращено в основном на внешних нарушителей, в результате чего действия внутренних оказываются незамеченными.