Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз: Предмет: Файл:
ТПАСБ / Лекции / lec10.doc
Скачиваний:
80
Добавлен:
24.02.2016
Размер:
2.02 Mб
Скачать

Носов В.В. "Технології аудиту інформаційних систем"

Лекція 10. Визначення вразливостей та можливих атак

Навчальні питання

1. Визначення вразливостей

2. Класифікація віддалених атак

3. Автоматизація визначення вразливостей та можливих атак

Література

  1. Платонов В.В. Программно-аппаратные средства обеспечения информационной безопасности вычислительных сетей : учеб. пособие для студ. высш. учеб. заведений / В.В. Платонов. - М.: Издательский центр "Академия", 2006. - 240 с.

  2. Лепихин В.Б. Сравнительный анализ сканеров безопасности. Часть 1. Тест на проникновение. http://www.itsecurity.ru/edu/actions/2008-pentest.zip

Вступ

После сбора информации об объекте аудита необходимо определить его уязвимости и возможные атаки.

  1. Визначення вразливостей

Типовая схема «Penetration Testing»

После завершения сбора информации об удаленной системе, в соответствии с типовой схемой теста на проникновение, необходимо провестиидентификацию уязвимостейдоступных сетевых приложений и сервисов операционной системы.

Если быть более точным, то употребляют в связке два термина ‑ собственно уязвимости (vulnerabilities) и дефекты (exposures).

"Классические" уязвимости— это ошибки в программном обеспечении (например, допущенное разработчиками ПО переполнение буфера), которые могут быть использованы взломщиками для получения несанкционированного доступа и достижения других желанных для них целей.

"Дефект"(более точно, "подверженность постороннему воздействию") — это нарушение безопасности, вызванное неправильной настройкой или конфигурацией программы, то есть вина не разработчиков, а администраторов. Типичный явный дефект — пустой или легко угадываемый пароль доступа.

В действительности только очень небольшой процент компьютерных преступников исследуют и разрабатывают собственные методы атак. Большинство злоумышленников действуют с помощью опубликованных уязвимостей и так называемых эксплойтов1(exploit). Подобную информацию и соответствующие программы можно найти на множествеweb-сайтах.

Существует целая информационная индустрия, занимающаяся сбором, публикацией и анализом обнаруживаемых уязвимостей. Регулярные бюллетени (багтраки — bugtrack) о новых уязвимостях получают информацию как от разработчиков ПО, так и от независимых экспертов, специалистов и даже от хакеров, которые стремятся прославиться. К сожалению, многие серьезные хакеры не стремятся афишировать обнаруженные ими уязвимости, желая как можно дольше тихо использовать их в своих целях. В этом контексте можно сказать, что любая база уязвимостей по определению неполна.

Для упорядочивания найденных и публикуемых уязвимостей компьютерных систем некоммерческая организация MITRE (точной расшифровки нет, но полагают так: Massachusetts Institute of Technology Research & Engineering) ввела свой стандарт именования и описания уязвимостей ‑ Commonvulnerabilitiesandexposures(CVE®). И, на сайтеhttp://cve.mitre.org/, предоставляет свободный доступ к базе известных и описанных уязвимостей.

Также, помимо CVE, существует несколько похожих стандартов, которые систематизируют описания найденных уязвимостей:

  • Configurations (CCE) (http://cce.mitre.org/)

  • Software Weakness Types (CWE) (http://cwe.mitre.org/)

  • Attack Patterns (CAPEC) (http://capec.mitre.org/ )

  • Platforms (CPE) (http://cpe.mitre.org/)

  • Log Format (CEE) (http://cee.mitre.org/)

  • Reporting (CRF) (http://crf.mitre.org/)

  • Checklist Language (XCCDF) (http://nvd.nist.gov/xccdf.cfm)

  • Assessment Language (OVAL) (http://oval.mitre.org/)

  • Security Content Automation (SCAP) (http://nvd.nist.gov/scap.cfm)

  • Making Security Measurable (http://measurablesecurity.mitre.org/)

Уязвимости публикуются на множестве сайтов и в разном описании, например описание уязвимости от www.securitylab.ru:

29 июня, 2009

Программа: Grestul 1.2, возможно другие версии.

Опасность: Средняя

Наличие эксплоита: Нет

Описание:

Уязвимость позволяет удаленному пользователю обойти некоторые ограничения безопасности.

Уязвимость существует из-за того, что приложение недостаточно ограничивает доступ к определенным функциям сценария admin/options.php. Удаленный пользователь может с помощью специально сформированного запроса добавить учетные записи административных пользователей.

URL производителя: grestul.com

Решение: Способов устранения уязвимости не существует в настоящее время.

URL адреса:

http://milw0rm.com/exploits/8902

CVE:

CVE-2009-2040

Теперь описание этой же уязвимости в формате CVE:

CVE-2009-2040

Published: 12-06-2009

Updated: 16-06-2009

Product:

grestul: grestul 1.2

Severity: High (7.5)

CVSS vector: (AV:N/AC:L/Au:N/C:P/I:P/A:P)

Potential loss type: Gain other access, Integrity, Confidentiality, Availability

Vulnerability description:

admin/options.php in Grestul 1.2 does not properly restrict access, which allows remote attackers to bypass authentication and create administrative accounts via a manage_admin action in a direct request.

Patch available: No

References:

XF: http://xforce.iss.net/xforce/xfdb/50999

MILW0RM: http://www.milw0rm.com/exploits/8902

SECUNIA: http://secunia.com/advisories/35367

Похожее положение дел и с эксплойтами. Множество сайтов публикуют, как правило, исходные коды эксплойтов, которые используют известные уязвимости, например от того же www.securitylab.ru:

02 июля, 2009

Цель: Bopup Communications Server 3.2.26.5460

Воздействие: Выполнение произвольного кода

Описание уязвимости:

Переполнение буфера в обработке TCP пакетов в Bopup Communication Server

Код эксплоита:

bopup-down.c

Все основные сбои в работе Интернета, вызванные компьютерными преступлениями, возникали в результате использования уязвимостей в безопасности, известных за некоторое время до инцидента. Обычно эпидемия распространяется через месяцы или даже годы после того, как становится известна лежащая в ее основе уязвимость. При нашествии CodeRedв 2001 г. использовалась уязвимость, корректирующая заплата для которой была доступна более года; то же с "червем"Nimda. "Червь"SQLSlammer, атаковавший базы данныхSQLв феврале 2003 года, действовал спустя полгода после выпуска программной коррекции.

Факт состоит в том, что большинство вторжений в компьютеры используют хорошо известные методы и уязвимости, для которых доступны заплаты или защитные решения. Так называемое мгновенное использование уязвимостей и неопубликованных дыр в безопасности - относительная редкость.

Почему вовремя не устраняют известные уязвимости? Существует множество причин, например:

  • Нехватка времени или персонала. Организации сокращают расходы и в трудные времена увольняют технический персонал (информационные технологии (ИТ) не приносят прибыли). Иногда функции ИТ полностью передаются сторонним организациям. И хотя зачастую это практичное решение, внешние организации, поддерживающие локальные сети, далеко не всегда считают информационную безопасность своей первейшей обязанностью. Главное для них - бесперебойная работа сети. Удовлетворение запросов пользователей оказывается важнее безопасности.

  • Опасения в отношении стабильности системы. Хорошо известно, что производители систем при выпуске заплат порой исправляют одну вещь и портят две других. Для критически важных систем затраты времени и ресурсов для надлежащего тестирования программных коррекций зачастую превышают выгоды от обновления.

  • Слишком много заплат, чтобы с ними управиться. Если вы являетесь подписчикомWindowsUpdate, сервиса коррекцийMicrosoft, то вы, вероятно, как минимум раз в неделю получаете уведомление о необходимости обновить или залатать систему. Для занятых системных администраторов это может быть слишком большой нагрузкой в дополнение к их обычным обязанностям. Действительно, было проведено исследование, показавшее, что расходы на корректировку программного обеспечения нередко превышают его начальную цену.

  • Невежество.Системные администраторы многих организаций просто не знают о существовании проблемы и наличии заплаты. Теперь, при автоматическом обновлении отMicrosoft, эта проблема для системWindowsстала менее острой, но она остается для других производителей и менее известного программного обеспечения. Даже дляWindowsсуществует несколько несовместимых менеджеров заплат. Это одна из причин, почемуSQLSlammerтак быстро распространился, - стандартный сервис обновленияWindowsпросмотрел его.

Еще один момент, облегчающий жизнь злоумышленникам, состоит в том, что обычно имеется несколько различных путей проникновения в систему. На самом деле, для множества выполняемых сервисов может существовать несколько потенциальных точек для входа в подключенный к Интернету сервер. Если атака одного типа не работает, всегда можно попробовать другую.

Соседние файлы в папке Лекции