Читайте также:
|
Если ранее говорилось о внутренних врагах, т.е. тех, кто находится внутри организации, то теперь большую опасность представляет собой внешний, не относящийся к вашей корпорации враг. Им может быть, кто угодно от профессионального промышленного шпиона и мошенника до школьника, которому хочется немножко пошалить.
Имя этой беды «Internet». Как защитить свою сеть или отдельный компьютер от проникновения извне? Вот вопрос, который встает перед человеком, который открыл дверь своего компьютера во внешний мир. Вместе с полезной, важной информацией через эту дверь может вползти все что угодно и по-хозяйски расположиться на вашем
компьютере.
Вообще-то Internet и информационная безопасность не совместимы по самой природе Internet. Она родилась как чисто корпоративная сеть. Однако, в настоящее время, с помощью единого стека протоколов TCP/IP и единого адресного пространства, объединяет не только корпоративные и ведомственные сети (образовательные, государственные, военные и т.д.), являющиеся, по определению, сетями с ограниченным доступом, но и рядовых пользователей, которые имеют возможность получить прямой доступ в Internet со своих домашних компьютеров с помощью модемов и телефонной сети общего пользования.
Как известно, чем проще доступ в Сеть, тем хуже ее информационная безопасность. Поэтому с полным основанием можно сказать, что изначальная простота доступа в Internet - хуже воровства, так как пользователь может даже и не узнать, что у него были скопированы - файлы и программы, не говоря уже о возможности их порчи и корректировки.
Для того, чтобы понять как Вас могут атаковать через Интернет необходимо вспомнить основные его понятия. Начнем с «Межсетевого протокола (IP)».
Межсетевой протокол (Internet Protocol-IP) отвечает за адресацию, т.е. гарантирует, что компьютер - маршрутизатор знает, что делать с Вашими данными, когда он их получит. По аналогии с почтой можно сказать, что Межсетевой протокол выполняет функции конверта.
Информация, посылаемая по IP-сетям, разбивается на порции, называемые пакетами. В одном пакете обычно посылается от одного до 1500 символов информации. Это не дает возможности одному пользователю монополизировать сеть, однако позволяет каждому рассчитывать на своевременное обслуживание. Это также означает, что в случае перегрузки сети качество ее работы несколько ухудшается для всех пользователей: она не умирает, если ее монополизировали несколько солидных пользователей.
IP-пакет
IP протокол имеет некоторые проблемы:
Во-первых, в большинстве случаев объем пересылаемой информации превышает 1500 символов. Во-вторых, может произойти ошибка. Сети иногда теряют пакеты или повреждают их при передаче. В-третьих, последовательность доставки пакетов может быть нарушена.
Протокол управления передачей (TCP)
Для решения упомянутых выше проблем используется «протокол управления передачей» (Transmission Control Protocol, TCP), который часто упоминают вместе с протоколом управления протоколом IP.
Информацию, которую Вы хотите передать, TCP разбивает на порции. Каждая порция нумеруется, чтобы можно было проверить, вся ли информация получена, и расположить данные в правильном порядке. Для передачи этого порядкового номера по сети у протокола есть свой собственный «конверт», на котором «написана» необходимая информация. Порция Ваших данных помещается в конверт TCP. Конверт TCP, в свою очередь, помещается в конверт IP и передается в сеть.
На принимающей стороне программное обеспечение протокола TCP собирает конверты, извлекает из них данные и располагает их в правильном порядке. Если каких-нибудь конвертов нет, программа просит отправителя передать их еще раз. После размещения всей информации в правильном порядке эти данные передаются той прикладной программе, которая использует услуги TCP.
TCP протокол
На рисунке представлена схема функционирования протокола TCP\IP.
В реальной жизни пакеты не только теряются, но и претерпевают изменения по дороге ввиду кратковременных отказов в линиях связи. TCP решает и эту проблему. При помещении данных в конверт производится вычисление так называемой «контрольной суммы». Контрольная сумма - это число, которое позволяет принимающему TCP, выявлять ошибки в пакете. Когда пакет прибывает в пункт назначения, принимающий TCP, вычисляет контрольную сумму и сравнивает ее с той, которую послал отправитель. Если суммы совпали, то передача пакета прошла успешно, если нет - пакет перепосылается.
Ниже приводится схема маршрутизации передаваемой информации. Взаимосвязанные пакеты одного сообщения могут путешествовать разными путями и с разной скоростью.
Большое число компьютеров, присоединенных в Internet, предоставляют ряд сервисов, таких как HTTP-сервис (HTTP – это протокол передачи гипертекста, с его помощью обеспечивается доступ к WWW-серверам), FTP-сервис (протокол передачи файлов), SMTP-сервис (простой протокол передачи почты для посылки электронных писем), и POP-сервис (протокол почтового отделения для приема почты). Сервисы позволяют получить доступ к определенному виду данных, которые хранятся на другом компьютере. Для этого используются протоколы передачи данных (специфические для каждого сервиса) между этими двумя компьютерами.
Компьютер, подключенный к Internet, обычно имеет 4-байтовый IP-адрес, который используется для уникальной идентификации его среди всех других компьютеров в Internet. Когда вы подключаетесь с WWW-серверу, например, вы можете указать в браузере имя сервера типа www.wplus.net, но, в конечном счете, перед установлением соединения компьютер переведет имя в IP-адрес.
После того, как соединение установлено, у вас должен быть способ указать компьютеру, к какому сервису на нем вы желаете подключиться. На удаленном компьютере могут одновременно работать HTTP-сервер и FTP-сервер, и если вы хотите подключиться к этому компьютеру с помощью WEB-браузера, вам нужен HTTP-сервер, а не FTP-сервер. Это делается с помощью номеров портов. Программы-сервера, работающие на удаленной машине, ждут прихода запросов от клиентов на определенные порты (слушают порты). Обычно HTTP-сервера слушают порт с номером 80, а FTP-сервера обычно слушают порт с номером 21. Поэтому WEB-браузер будет подключаться к соответствующей программе, слушающей порт 80, а не 21. Номера портов – это произвольно выбранные числа, связанные с определенными сервисами, и всегда используются в комбинации с IP-адресами при установлении соединения с компьютером.
Попытка установления соединения - это просто TCP-пакет, который запрашивает установление соединения с вашим компьютером (от удаленного компьютера) или с удаленным компьютером (от вашего компьютера). Соединение может длиться от нескольких миллисекунд до нескольких часов. UDP-пакет, с другой стороны, - это одиночный пакет, используемый для передачи информации, причем нет никаких гарантий того, что информация будет передаваться в дальнейшем. Ваш компьютер может послать или принять пакет UDP для обмена информацией без установления соединения.
Например, оба вида пакетов передаются, когда вы с помощью WEB-браузера пытаетесь получить доступ к HTML-странице. Если вы обратитесь к адресу www.wplus.net, то сначала ваш компьютер пошлет UDP-пакет DNS серверу вашего провайдера. Это для того, чтобы узнать, какой 4-байтный IP-адрес ему нужно использовать при обращении к компьютеру, называемому www.wplus.net.
Теперь, в качестве примера рассмотрим наиболее тривиальный вариант атаки на локальную сеть Win 95\98.
Возьмем обычную офисную локалку, открытую извне и имеющую реальный IP-адрес. Обычно она имеет протокол NetBEUI (протокол сетки), совместно с протоколом TCP/IP, используемый для выхода в Интернет.
1. Нужно найти IP – адрес атакуемой сети. С помощью программы nclookup, входящей в состав Windows NT, задав, сетевое имя хоста получаем IP-адрес хоста атакуемой сетки. Nclookup E-mail.
2. Запускаем программу Netlab которая по IP-адресу, используя сервер Whois.ripe.net подскажет, что за фирма живет под этим адресом, она укажет весь пул адресов 
атакуемой сети.
3. 
Кроме того, Netlab по IP-адресу сканирует порты компьютера (сканировать можно в пределах сети класса С). Программа Netlab пингует этот пул адресов и находит тех, кто сейчас сидит в Интернете и у кого открыт 139 порт (порт протокола NetBIOS вяжет в сеть ресурсы, например, сама Win95 открывает порт 139 для обслуживания запросов на получение доступа к дискам данной машины).
4. Заходим в «пуск», «поиск», «найти компьютер» по его IP-адресу.Открывается окно открытых, «расшареных» ресурсов.
5. Входим на диск С, находим автозагрузку и пишем туда «Троянца».
|
Войдя на компьютер атакуемой сети, постараемся прорваться в саму сеть и завладеть ее ресурсами. Стать администратором сети.
Особое место в Internet занимают атаки в среде WWW. Атака на информацию может быть совершена несколькими путями, в частности с использованием динамических страниц Web – серверов.
Статические страницы представляют собой точную копию файлов, лежащих в каталогах Web – сервера и не изменяются до тех пор, пока разработчик сам в них что-то не поменяет. Однако страницы могут формироваться динамически, то есть во время обработки запроса посетителя сайта, а не из готового файла на диске. Существует несколько способов формирования такой страницы:
- формирование по запросу непосредственно на Web – сервере. Как правило, страницу формирует внешняя программа, запускаемая через CGI – интерфейс. Текст программы, содержащий команды для динамического создания страниц, называется скриптом;
- формирование на компьютере пользователя. В этом случае тексты программ для динамического формирования страниц передаются, сначала, на компьютер пользователя, где уже браузер пользователя должен вызвать соответствующее средство для формирования Web – страницы.
К первому способу относится технологи создания Web – страниц с помощью CGI сценариев, которые пользователь может выполнить на сервере. Часто это программы обрабатывающие ответы пользователя сервера, например, при регистрации на сервере. CGI – программу можно представить как часть Web – сервера, которая запускается Web – сервером в ответ на запрос посетителя страницы и возвращает ему на экран результаты своей работы. Альтернативой CGI является технология Microsoft Active Server Page (ASP), построенная по тому же принципу: скрипт, включенный в Web – страницу выполняется на сервере до того, как страница отсылается пользователю.
JavaScript это набор расширений к HTML, интерпретируемых WWW клиентом. В отличие от сценариев СGI, сценарии JavaScript, внедренные на Web – страницу выполняет клиент, чем разгружает сервер от первичной обработки пользовательской информации. Например, когда пользователь заполнил анкету, JavaScript проверяет правильность ее заполнения, прежде чем переслать на сервер.
Большинство из вас заполняя различные формы на Web – сайтах, сталкивались с ситуацией, когда заполнив форму и нажав кнопку «Отправить» получали сообщения, что не все поля формы заполнены. Это работает JavaScript –приложение, размещенное на переданной вам странице. Однако в тех случаях, когда мощности языка сценариев недостаточно или нужна высокая скорость обработки применяются аплеты Java.
Несмотря на сходство в именах Java и JavaScript это две различных продукта. Java - это язык программирования разработанный SunSoft. Java программы прекомпилируются в компактную форму и хранятся на сервере. HTML документы могут ссылаться на мини-приложения, называемые Java аплетами. WWW клиенты, которые поддерживают Java аплеты, загружают откомпилированные Java приложения и выполняют их на машине клиента. Своеобразным ответом со стороны компании Microsoft на технологию Java, является технология ActiveX control. Она реализована в виде небольших библиотек, которые могут скачиваться браузером или уже установлены на компьютере пользователя. По соображениям безопасности работать можно только с теми элементами, которые подписаны цифровой подписью Microsoft или других известных компаний. IE имеет образцы этих подписей и умеет их проверять.
Итак, WWW - атаки.
Во-первых, это атака на систему клиента со стороны сервера.
Хакер, у которого есть свой WWW сервер, может постараться при помощи Java некорректных аплетов и JavaScript приложений, встроенных в HTML документ, вывести из строя пользовательскую систему, или получить информацию о ней, которая позволит ему взломать машину пользователя.
Примером такой атаки является использование дырки в Internet Explorer 5.5, которая позволяет запустить на выполнение созданный на локальном диске файл (с расширением.hta - Dynamic html) Тоесть можно заставить IE. Причем заражение происходит абсолютно незаметно. User заходит на специальным образом сконструированную Web - страницу и готово!.Очередное достижение «Западлостроения» программа Critical Defect v 1.1 позволяет легко соорудить заряженный Web – сайт или письмо с «сюрпризом». Нужно еще указать ехе’шник который нужно внедрить (обычный «Троян»). Результат своей работы Critical Defect скинет в заданный каталог.
Защита: отключить Active Scripting или отключить Run ActiveX Controls and plug-ins. Отключается в IE меню «Сервис» и далее выбрать политику безопасности.
выбираем клавишу «Другой»
Есть еще возможность с сайта увидеть Ваш “ClipBoard”. Эту лазейку можно прикрыть. В «Правилах безопасности» достаточно зарыть «Разрешить сценарии».
Во-вторых, атака на сервер со стороны клиента.
Хакер может через WWW - клиента может попытаться вывести пользовательскую систему или WWW - сервер из строя, или получить доступ к информации, доступа к которой у него нет. Для этого он может использовать дырки в CGI приложениях, плохую настройку сервера, попытаться подменить CGI приложение.
Проблема безопасности CGI программы, состоит в том, что каждая из них может содержать ошибку, приводящую к нарушению безопасности сервера. При их написании надо думать о безопасности, так же как и при написании WWW сервера, потому что CGI программа - это сервер в миниатюре.
Чтобы выяснить содержание библиотеки CGI программ сервера (если каталоги CGI открыты для просмотра), хакер может задать браузеру URL такого типа http//www.site.ru/cgi-bin.
Многие CGI приложения, широко и свободно распространяемые по Internet имеют проблемы с безопасностью. Прежде чем устанавливать найденное в Internet приложение у себя на сервере необходимо его внимательно изучить и понять, что и как оно делает.
CGI программы могут содержать ошибки безопасности двух типов: Они могут сообщить информацию о системе, на которой работает WWW сервер, что поможет хакерам ее взломать. Программы, которые обрабатывают ввод пользовательской информации, могут быть подвержены попыткам запустить команды на серверной машине.
Еще одна опасность – ошибки обработки имен CGI- скриптов.
Например, отправка Url такого типа http://site/skripts/test.bat”+/htr позволит злоумышленнику запустить на Web сервере исходный текст Test.bat. а Url http://site/skripts/test.bat”+&+dir+c:/+.com позволит выполнять Dos - команды типа c:/dir.
Java и JavaScript - это тот раздел безопасности Web, который касается не администраторов и создателей Web серверов, а пользователей и администраторов пользовательских сетей.
. WWW клиенты, которые поддерживают Java аплеты, загружают откомпилированные Java приложения и выполняют их на машине клиента. Java аплеты выполняются на клиентской стороне, а не на серверной, и поэтому увеличивают риск атаки со стороны сервера.
В Java встроены средства для ограничения доступа к клиентской машине. Аплетам не разрешается выполнять системные команды, загружать системные библиотеки, или открывать системные устройства, такие как диски (не разрешено обращаться к локальной файловой системе). Аплетам, в зависимости от WWW клиента запрещены все дисковые операции, или почти все. Аплетам разрешается устанавливать соединение по сети только к серверу, откуда аплет был загружен. Но существует уязвимость (Windows client UDP exhaustion denial of service), а к ней соответственно DOS - атака реализованная на Java.
Рассмотрим еще один аспект нападения на вас из Internet. Нападение на вашу почту. Электронная почта. Самый удобный, быстрый, надежный и небезопасный способ сообщения между пользователями Сети. Не будем касаться здесь вопросов этичности чтения чужих писем. Примите это за аксиому - читалось, читается и читаться будет. И если вы, по забывчивости или по легкомыслию, шлете E-Mail, содержащий конфиденциальную информацию, то вините в последствиях только себя. Говорить об этом аспекте проблемы можно долго, но очевидность решения однозначна - прежде чем нажать «Send», еще раз подумайте, а все ли из написанного, стоит доверять почте. Существует масса программ, позволяющих шифровать ваши послания. Пугаться их незачем, в основной массе интерфейс подобных средств адаптирован под неискушенного пользователя и эксплуатация не представляет особой сложности. А вот чего следует опасаться, так это фальсификации почтовых сообщений. Не верь глазам своим! Если вы получили письмо от лучшего друга, где он кроет вас последними словами или сообщение от делового партнера, с предложением перенести место деловой встречи из центра Москвы на окраину подмосковной деревни - не торопитесь ругаться или нестись сломя голову на рандеву.
Лучше переспросите, если не уверены или свяжитесь с помощью «традиционных» средств. Технология подделки, сама по себе нехитрая, многократно описана всюду, если очень интересно, загляните на alt.hacker. Внимательно относитесь к содержимому, особенно, если речь идет о письмах от серьезных организаций или, к примеру, если письмо вашего провайдера, содержит просьбу подтвердить пароли, иные сведения составляющие определенную ценность. Как правило, без конкретной цели этим занимаются лишь хулиганствующие дети.
Принципиальных и серьезных средств защиты, пожалуй, нет.
Есть несколько реальных методик атаки, с применением электронной почты. Прежде всего, речь идет о том, что основная масса «мейлеров», используемых в Internet, будь то Internet Explorer, Netscape Communicator или Eudora, практически представляют собой активное окно браузера, для которого исполнение команд HTML дело само собой разумеющееся. Исходя из этого, следует быть готовым к тому, что включенные в текст письма команды JavaScript., которые вы отключить сможете и «родные» не отключаемые команды, например, refresh, при попытке прочитать письмо, будут исполнены. Чем это грозит пользователю, зависит уже от злой воли пославшего вам подобное послание супостата. Это может быть и автоматически открывающийся рекламный сайт, и принудительная отсылка на страницу, содержащую нечто вроде «отстреливателя» посетителя любыми из многочисленных средств. Можно укрыть в HTML – коде, указание о загрузке десятка картинок огромного объема, причем вы их необязательно и увидите, поскольку никто не мешает вывести их на экран в размере 1х1 точки. Несмотря на то, что подобного рода нападения пока не получили широкого распространения, необходимо знать о потенциальной их возможности и быть готовым к подобной почте. Никакого радикального средства борьбы пока нет, и единственное, что вы можете предпринять, это просмотр почты в оффлайн и отключение JavaScript.
Пользователям Outlook 98 приходится считаться и с тем, что этот «мейлер» позволяет обрабатывать, в том числе и на исполнение, Visual-Basic скрипты, которые легко могут быть скрыты в письме. Подобный скрипт имеет полный доступ к файловой системе.
Очередная неприятность, ожидающая вас при работе с почтой это – Спам (дословно колбасный фарш). Редкое по вредности и глупости явление, знакомое, к сожалению, почти всем. Сейчас очень распространен спам «РЕКЛАМНЫЙ», когда фирмы посылают свои или чужие рекламные проспекты по специальным адресам рассылки. Сорная почта стала своего рода маркетинговой тактикой и дешевым способом рекламы товаров.
Продукты защиты от сорной почты разрабатывает целый ряд производителей. Все они применяют тот или иной вид фильтрации, позволяющий идентифицировать и удалять нежелательные сообщения.
 |
Методы борьбы со спамом можно разделить на административные (уменьшающие вероятность попадания ваших адресов в базы данных рассылки спамеров) и программные, которые преимущественно сводятся к различным методам фильтрации почты. При этом фильтрация почты может происходить на разном уровне: на уровне провайдера Интернета, на уровне сети организации и на уровне частного пользователя. Существуют также платные службы, которые могут принимать почту и фильтровать ее от спама.
Самой распространенной является фильтрация по имени домена. В этом случае конфигурация фильтра предусматривает сравнение имени домена входящего сообщения со списком доменов – инициаторов сорной почты. Сходным типом фильтрации является отклонение принятия почты, если отправляющий домен лежит вне пределов вашей корпоративной сети или неизвестен. Однако основным типом фильтрации является проверка заголовков From (отправитель) и Subject (тема сообщения). Анализируются содержание данных заголовков и сравниваются со списком ключевых слов, символов и фраз. При обнаружении слов «Free!!!» или фраз «Do you want to earn money…» почта отфильтровывается.
Можно снизить риск попадания в спам – списки, соблюдая следующие простые правила:
· не отвечайте на письма спамеров. Помните, что ваш ответ подтвердит реальность вашего e-mail-адреса и это послужит основанием включения его в спам - лист. Если в письме указан адрес или имеется ссылка unsubscribe, это скорее всего используется для подтверждения, что почту кто-то читает;
· не помещайте е-mail-адрес на главной странице сайта, так как большинство спамеров сканируют только первые страницы сайтов;
Если вы оставляете ваш адрес на Web-страничке, записывайте его в измененном виде. Измененная запись типа «alpr(sobaka)mail.ru» позволит обмануть программу - робот, в то время как человек сразу догадается, что писать нужно на адрес alpr@mail.ru.
Современные почтовые клиенты обладают фильтрами, которые позволяют ограничить поток спама. Остановимся подробнее на наиболее распространенных.
В программе Microsoft Outlook реализован Мастер правил, который в интерактивном режиме позволяет настроить довольно сложные условия фильтрации сообщений. Настройки правил описаны в пособии по Outlook.
Дата добавления: 2015-07-10; просмотров: 98 | Нарушение авторских прав
| <== предыдущая страница | | | следующая страница ==> |
| Ваше будущее. | | | Глава I |