7.4 Атаки операционной системы снаружи
В связи с распространением Интернет и локальных сетей всё большую угрозу представляют атаки операционной системы с удалённых компьютеров. Почти во всех случаях атака состоит из того, что по сети передаётся компьютерная программа, при выполнении которой атакуемой машине наносится ущерб.
Особое внимание здесь стоит уделять вирусам. Вирус – это программа, которая может размножаться, присоединяя свой код к другой программе. Возможные сценарии нанесения ущерба вирусом:
безвредные действия, вроде вывода сообщений на экран, изображений, воспроизведения звука и т.п.;
порча информации, возможно шифрования файлов с целью шантажа;
атака с целью отказа в обслуживании. Использование вирусом всех ресурсов компьютера, например, процессорного времени, заполнения жесткого диска;
порча аппаратного обеспечения компьютера.
Для распространения вируса, автор обычно вставляет его в какую-нибудь пиратскую копию программы и выкладывает её в Интернет. После чего пользователи начинают загружать программу на свой компьютер, где вирус размножается и выполняет действия, ради которых он и писался. На настоящий момент выделяют 7 основных видов вирусов.
1 Вирусы-компаньоны. Эти вирусы не заражают программу, а запускаются вместо какой-либо программы. Например, в системе MS-DOS или в командной строке Windows (или в пункте Пуск→Выполнить) пользователь вводит команду prog. При этом операционная система ищет сначала prog.com, а если его нет, то prog.exe. Поэтому автор вируса может назвать программу схожую с известной exe, но с расширением com и запустить его первым. Закончив выполняться, вирус запускает оригинал.
2 Вирусы, заражающие исполняемые файлы. Самый простой вирус записывает себя поверх исполняемой программы, поэтому их называют перезаписывающими. Однако их легко обнаружить при записке программы. Паразитическими вирусами называются вирусы прицепляющиеся к программам, позволяя им нормально выполняться, что представлено на рисунках 61, б и в.
Полостные вирусы, представленные на рисунке 61, г используют тот принцип, что пытаются записать себя целиком в свободные участки исполняемого файла.
3 Резидентные вирусы. Если первые два типа вируса по выполнении собственных задач завершают существование в памяти, то резидентные всегда находятся в памяти. Типичный резидентный вирус перехватывает один из векторов прерывания (например, от устройства ввода-вывода или системного вызова), сохраняет старое значение в своей переменной и подменяет его адресом своей процедуры. При каждом срабатывании прерывания вирус инфицирует программы.
4 Вирусы, поражающие загрузочный сектор. Вирус сначала копирует исходное содержимое загрузочного сектора, чтобы иметь возможность загружать операционную систему. При загрузке компьютера вирус копирует себя в оперативную память, а после загружает операционную систему, оставаясь при этом резидентным в памяти. Вирус перехватывает себе все векторы прерываний (от принтера, диска, часов и т.д.) и работает через них, контролируя все системные вызовы.
Рисунок 61 – Исполняемый файл (а); с вирусом в начале (б); с вирусом в конце (в); с вирусом, распределенным по свободным участкам программы (г)
5 Вирусы драйверов устройств. Вирус в этом случае инфицирует драйверы устройств, получая возможность перехватывать вектор системных прерываний.
6 Макровирусы. Макросы в Word и Excel также могут использоваться злоумышленниками для атаки операционных систем. Открытие документа с макросом вызывает выполнение его. А макрос может заражать другие документы Word, удалять файлы и т.д.
7 Вирусы, заражающие исходные тексты программ. Эти вирусы работают с исходными текстами программ, что делает их переносимыми для различных платформ.
Следует отличать вирусы от Интернет-червей, первые размножаются при запуске пользователем, а вторые используют дыры в операционной системе для самостоятельного проникновения и размножения.
Для борьбы с вирусами используются антивирусные программы, такие как DrWeb (http://www.drweb.com), Антивирус Касперского (http://www.kaspersky.ru) и многие другие, а также ряд научных трудов, например [4].
Однако одними вирусами атаки снаружи операционной системы не ограничиваются [6, 7]. Помимо всевозможных «дыр» в защите конкретных операционных систем, сетевых устройств и файрволов существует ещё угроза атаки отказа в обслуживании или DOS-атака (Denial of Service), которая в основном используется для атаки на Интернет-сервера. Атака такого рода препятствует или полностью блокирует ответы законным пользователям. Существует несколько типов DOS-атак.
Захват полосы пропускания. Атакующий занимает всю производительность сети, например, переправляя трафик с других сайтов.
Истощение ресурсов. Направлена на системные ресурсы – процессорного времени, памяти и т.п. Что приводит к краху операционной системы.
Ошибки программирования. Они заключаются в неспособности приложения, операционной системы или логической микросхемы обрабатывать исключительные ситуации. Это достигается передачей несанкционированных данных.
Маршрутизация и атака DNS. Основываются на манипуляции записями таблицы маршрутизации, что приводит к отказу в обслуживании Легитимных систем или сетей.
Механизмам атаки и защиты операционных систем посвящен ряд трудов, в которых рассмотрены как конкретные системы, так и принципы в целом.
Контрольные вопросы по разделу
1 Перечислите основные задачи и угрозы безопасности.
2 Что такое аутентификация? Чем аутентификация отличается от идентификации?
3 Каковы недостатки аутентификации по многоразовому паролю?
4 В чём заключается вариант использования защиты по паролю «отклик-отзыв»?
5 Чем различаются атаки изнутри и снаружи операционной системы?
6 Перечислите основные атаки изнутри операционной системы.
7 Поясните, как работает атака с использованием переполнения буфера. Почему данная атака возможна?
8 Какой ущерб могут причинить вирусы? Перечислите существующие виды вирусов?
9 Чем вирусы отличаются от Интернет-червей?
10 Что такое DOS-атака? Какие существуют типы DOS-атак?