3.3.4. Отказ в обслуживании

Одной из основных задач, возлагаемых на сетевую ОС, функционирующую на каждом из объектов распределенной ВС, является обеспечение надежного удаленного доступа с любого объекта сети к данному объекту. В общем случае в распределенной ВС каждый субъект системы должен иметь возможность подключиться к любому объекту РВС и получить в соответствии со своими правами удаленный доступ к его ресурсам.

Очевидно, что сетевая операционная система способна иметь только ограниченное число открытых виртуальных соединений и отвечать лишь на ограниченное число запросов. Эти ограничения зависят от различных параметров системы в целом, основными из которых являются быстродействие ЭВМ, объем оперативной памяти и пропускная способность канала связи.

Основная проблема состоит в том, что при отсутствии статической ключевой информации в РВС идентификация запроса возможна только по адресу его отправителя. Если в распределенной ВС не предусмотрено средств аутентификации адреса отправителя, то есть инфраструктура РВС позволяет с одного объекта системы передавать на другой атакуемый объект бесконечное число анонимных запросов на подключение от имени других объектов, то в этом случае будет иметь успех типовая удаленная атака "Отказ в обслуживании". Результат применения этой удаленной атаки - нарушение на атакованном объекте работоспособности соответствующей службы предоставления удаленного доступа, то есть невозможность получения удаленного доступа с других объектов РВС - отказ в обслуживании!

Вторая разновидность этой типовой удаленной атаки состоит в передаче с одного адреса такого количества запросов на атакуемый объект, какое позволит трафик (направленный "шторм" запросов). В этом случае, если в системе не предусмотрены правила, ограничивающие число принимаемых запросов с одного объекта (адреса) в единицу времени, то результатом этой атаки может являться как переполнение очереди запросов и отказа одной из телекоммуникационных служб, так и полная остановка компьютера из-за невозможности системы заниматься ничем другим, кроме обработки запросов.

И последней, третьей разновидностью атаки "Отказ в обслуживании" является передача на атакуемый объект некорректного, специально подобранного запроса. В этом случае при наличии ошибок в удаленной системе возможно зацикливание процедуры обработки запроса, переполнение буфера с последующим зависанием системы.

Классификация типовых удаленных атак на распределенные вс

Типовая удаленная атака Характер воздействия Цель воздействия Условие начала осуществления воздействия Наличие обратной связи с атакуемым объектом Расположение субъекта атаки относительно атакуемого объекта Уровень модели OSI Класс воздействия 1.1 1.2 2.1 2.2 2.3 3.1 3.2 3.3 4.1 4.2 5.1 5.2 6.1 6.2 6.3 6.4 6.5 6.6 6.7 Анализ сетевого трафика + - + - - - - + - + + - - + - - - - - Подмена доверенного объекта РВС - + + + - - + - + + + + - - + + - - - Внедрение в РВС ложного объекта путем навязывания ложного маршрута - + + + + - - + + + + + - - + - - - - Внедрение в РВС ложного объекта путем использования недостатков алгоритмов удаленного поиска - + + + - + - + + - + + - + + + - - - Отказ в обслуживании - + - - + - - + - + + + - + + + + + +

Лекция 11.

Вредоносные программы и их классификация.

К вредоносным программа относятся компьютерные вирусы и программные закладки. Компьютерные вирусы – автономно функционирующие программы, обладающие одновременно тремя свойствами:

• способность включению своего кода в тела других файлов

• последующее самостоятельное выполнение

• самостоятельное распространение в КС

Программной закладкой называют внешнюю или внутреннюю по отношению к атакуемой системе программу, обладающую следующими свойствами:

• уничтожение или внесение изменений в функционирование ПО системы, в обрабатываемые данные при выполнении некоторого условия («логические бомбы»)

• превышение полномочий пользователя с целью несанкционированного копирования информации («троянские программы»)

• подмена отдельных функций подсистемы ЗИ или создание люков в ней

• перехват паролей пользователей КС с помощью имитации приглашения к вводу

• перехват потока информации, передаваемого между объектами распределенной КС («мониторы»)

• распространение в распределенных КС с целью реализации той или иной угрозы («компьютерные черви», которые в отличие от компьютерных вирусов не обладают свойством включения своего кода в тела других файлов)

Классификация вирусов

Вирусы классифицируются по следующим признакам:

1. по способу распространения в КС

а) файловые вирусы, заражают файлы одного или нескольких типов

б) загрузочные вирусы, заражают загрузочные сектора магнитных накопителей

в) комбинированные вирусы, способны заражать и файлы и загрузочные сектора

2. по способу заражения объектов системы:

а) резидентные вирусы, часть кода которых постоянно находится в оперативной памяти

б) нерезидентные вирусы, заражают «здоровые» объекты в момент запуска зараженных

3. по разрушительным возможностям:

а) безвредные вирусы, созданы в целях обучения, но снижают общую производительность системы за счет потребления ресурсов

б) неопасные вирусы, создающие различные звуковые и видеоэффекты

в) опасные и очень опасные вирусы, вызывают сбои в работе программного и(или) аппаратного обеспечения, потерю программ и данных, вплоть до нанесения вреда здоровью пользователя (например используя 25 кадр)

4. по особенностям реализуемого алгоритма:

а) вирусы-спутники, создают для заражаемых файлов одноименные файлы с кодом вируса и переименовывают исходный файл. При попытке открытия исходного файла, сначала открывается файл с вирусом и после выполнения запускается исходный переименованный файл.

б) вирусы-паразиты изменяют содержимое заражаемых объектов

в) вирусы-невидимки, при обращении ОС к зараженному объекту, вирус предоставляет системе неискаженные данные, т.о. скрывая свое присутствие.

г) вирусы-призраки (полиморфные вирусы) при каждом копировании изменяют свой код

5. по наличию дополнительных возможностей

а) обработка заражаемых файлов «только на чтение»

б) сохранение времени последнего изменения файла

в) скрытие сообщений системы о попытке записи на защищенные носители

г) распространение не только при открытии зараженного объекта, но и при выполнении других операций на объектом (копирование, перемещение, переименование и др)

Программные закладки

Для отнесения программы к закладе, необходимо, что бы программа обладала хотя бы одним из следующих свойств:

• скрытие признаков своего присутствия в системе

• реализация самодублирования, ассоциация с другими объектами системы, перенос своего кода в незанимаемые области памяти

• сохранение данных из одной области памяти в другую

• искажение, блокировка, подмена используемых в системе данных

Закладки могут быть разделены на следующие группы:

1. закладки, ассоциированные с BIOS

2. закладки, ассоциированные с загрузчиками ОС

3. закладки, ассоциированные с драйверами ОС и другими системными модулями

4. закладки, ассоциированные с прикладными программами

5. программные файлы, внедряемые в систему

6. закладки, маскируемые под прикладное ПО общего назначения

7. закладки, маскируемые под игровые и обучающие программы для первоначального внедрения в систему

Методы обнаружения и удаления вирусов

Основными каналами распространения вирусов являются:

1. электронная почта, а именно присоединенные файлы

2. телеконференции и электронные доски объявлений в Инете

3. свободное и условно свободное ПО в Инете (случайно или преднамеренно зараженное)

4. ссылки на зараженные файлы в Инете с элементами управления Active-X

5. локальные компьютерные сети организаций

6. обмен зараженными файлами на носителях информации (дискеты, диски и т.п.)

7. нелицензионные компакт-диски

Для предупреждения вирусного заражения необходимо максимально перекрыть эти каналы. Для этого могут быть использованы следующие профилактические меры:

1. запрет использования дисководов, floppy и других носителей для пользователей

2. ограничение доступа пользователей к файлам ОС

3. использование лицензионных программ, приобретенных у официальных представителей

4. выделение не присоединенного компьютера для тестирования ненадежного ПО

К программно-аппаратным методам защиты от заражения вирусами (загрузочными вирусами) можно отнести защиту, устанавливаемую с помощью программы BIOS Setup. Включение этой защиты обеспечивает выдачу предупреждающего сообщения при попытке записи в загрузочные сектора. Однако данная защита может быть легко выключена самим вирусом посредством редактирования CMOS.

Обязательным средством антивирусной защиты является использование специальных программ. Данные программы могут включать в себя следующие методы обнаружения вирусов:

1. просмотр (сканирование) памяти и файлов на наличие сигнатур – уникальных последовательностей байтов известных вирусов. Данные программы называются сканерами, а при наличии функции удаления вирусов – полифагами. К недостаткам данных программ относится необходимость постоянного обновления баз сигнатур, неспособность обнаружения новых вирусов и сложных полиморфных вирусов

2. обнаружение изменений в объектах (файлах) путем сравнения их вычисленных хэш-значений с эталонными. Подобные программы называются ревизорами (инспекторами). Теоретически они могут обнаружить любые вирусы, которые изменяют хэш-сумму файла. Однако не всякое изменение может быть вызвано вирусом Если файл попал в систему уже зараженным, то эталонное значение хэш-суммы будет рассчитано для зараженного файла и в дальнейшем будет считаться, что файл «здоров».

3. Эвристический анализ – проверка системных областей памяти и файлов с целью обнаружения фрагментов исполняемого кода, характерного для вирусов. Теоретически может обнаружить любой вирус.

4. Постоянное присутствие в оперативной памяти с целью контроля всех подозрительных действий других программ. Данные программы называют мониторами.

5. Вакцинирование – присоединение к защищаемому файлу специального модуля контроля, следящего за целостностью данных с помощью хэш-суммы.

Вопросы к экзамену по МСЗИ

1. Основные понятия защиты информации

2. Угрозы информационной безопасности

3. Каналы утечки информации

4. Методы и средства организационно-правовой защиты информации

5. Методы и средства инженерно-технической защиты информации

6. Программно-аппаратные методы и средства защиты информации

7. Требования к комплексным системам защиты информации

8. Требования к АС первой группы

9. Способы несанкционированного доступа к информации и защиты от него

10. Парольная аутентификация

11. Аутентификация на основе метода «рукопожатий»

12. Аутентификация пользователей по их биометрическим данным

13. Способы аутентификации по клавиатурному почерку и росписи мышью

14. Программно-аппаратная защита от локального несанкционированного доступа

15. Межсетевые экраны

16. Классификации удаленных атак на распределенные вычислительные системы

17. Механизмы реализации типовых удаленных атак

18. Вредоносные программы и их классификация

19. Классификация вирусов

20. Программные закладки

21. Методы обнаружения и удаления вирусов