Аннотация: На сегодняшний день вопрос обеспечения информационной безопасности один из наиболее актуальных в сфере информационных технологий. У любого государства защита информации всегда была на ведущих ролях, поэтому особенно важно проводить объективную, независимую оценку текущего уровня защищенности информации. Последнее время участились хакерские атаки на официальные сайты Министерств внутренних дел, Министерств образования, научных центров.

Ключевые слова: информационная безопасность, автоматизированная система, уязвимость, атака, злоумышленник, защита информации.

В связи с актуальностью проблемы безопасности официальных сайтов была проанализирована автоматизированная система (АС) официальных сайтов правительств стран Евросоюза. С помощью программы-трассировщика [1] была определена модель архитектуры АС официальных сайтов правительств стран Евросоюза и проведен анализ доступности информации в этой АС. В ходе анализа выявлены основные источники угроз, уязвимости и конкретные атаки, которые могут использовать найденные уязвимости [2, c. 2].

Основные источники угроз автоматизированной системы:

  1. Физические лица: злоумышленники, планирующие целенаправленные атаки или персонал, который может ненамеренно нарушить работу АС.
  2. Юридические лица и общественные организации (в т. ч. хакерские).
  3. Иностранные государства (в т. ч. спецслужбы).
  4. Природная стихия.

Выявлены уязвимости, а также возможные атаки, которые используют данную уязвимость, в рассматриваемой распределённой систем., (табл. 1).

Таблица 1. Уязвимости АС и атаки, их эксплуатирующие

Так как рассматриваемая АС построена на базе Интернет, то следует изучить и все те атаки, которые используют уязвимости в стеке протоколов TCP/IP.

Затопление SYN-пакетами (SYN Flooding).

У злоумышленника есть возможность посылать серверу SYN-пакеты непрерывно и не отвечать на его запросы. Для каждого запроса, который был принят, откроется новая сессия. Количество открытых сессий всегда будет ограничено, поэтому злоумышленник (группа хаккеров) может открыть столько сессий, сколько их сможет поддерживать сервер, и каждые 70-75 секунд соединения будут обновляться. Таким способом выводится из строя TCP-сервер. После того как TCP-сервер откажет, он не сможет принимать никакие запросы (даже обыкновенных абонентов) т.к. все ресурсы будут направлены на поддержание «ложных» сессий. Для борьбы с SYN-Flooding можно предложить уменьшение таймаута удержания сессии или принудительное «разрежение» переполненной очереди сервера.

IP Hijacking.

При передаче данных постоянно используются sequence number и acknowledge number (оба поля находятся в IP-заголовке). Исходя из их значения, сервер и клиент проверяют корректность передачи пакетов. Существует возможность ввести соединение в «десинхронизированное состояние», когда присылаемые сервером sequence number и acknowledge number не будут совпадать с ожидаемым значениями клиента, и наоборот. В данном случае злоумышленник, «прослушивая» линию, может взять на себя функции посредника, генерируя корректные пакеты для клиента и сервера и перехватывая их ответы. Некорректные пакеты, с «неправильным» sequence number или acknowledge number, даже если и дойдут до клиента или сервера, по умолчанию будут проигнорированы.

Нужна помощь в написании статьи?

Мы - биржа профессиональных авторов (преподавателей и доцентов вузов). Пишем статьи РИНЦ, ВАК, Scopus. Помогаем в публикации. Правки вносим бесплатно.

Цена статьи

Существует два основных метода рассинхронизации сессии: ранняя десинхронизация и десинхронизация «нулевыми данными». В первом случае соединение десинхронизируется на стадии его установки. Злоумышленник принудительно сбрасывает запрос сервера на установку сессии, посылая затем запрос на установку уже своей сессии (от имени клиента), параллельно генерируя необходимые пакеты для клиента. Таким образом получается установленная рассинхронизированая сессия. При десинхронизация «нулевыми данными» злоумышленник прослушивает сессию и в какой-то момент посылает серверу пакет с «нулевыми» данными, т.е. такими, которые фактически будут проигнорированы  на уровне прикладной программы и не видны клиенту (например, для Тelnet это может быть данные типа IAC NOP IAC NOP IAC NOP…). Аналогичный пакет посылается клиенту. Очевидно, что после этого сессия переходит в десинхронизированное состояние.

Один из существенных недостатков данного метода – любой пакет, высланный в тот момент, когда сессия находится в десинхронизированном состоянии, вызывает ACK-«бурю» (это и позволяет его заметить). Например, если для клиента высланный сервером пакет является неприемлемым, то клиент ответит ACKпакетом. Пакет такого рода для сервера неприемлем, следовательно клиент заново получит ответ… Так может длится до бесконечности. В современных сетях потеря отдельных пакетов допускается. Поскольку ACK-пакеты не несут данных, повторных передачи не происходит и «буря» стихает.

Атаки на протоколы маршрутизации.

Протоколы маршрутизации обеспечивают работу всех крупных TCP/IP сетей (не являются компонентом TCP/IP). Но так же, как и в TCP/IP, в большинстве из них не предусмотрена аутентификация. Посылая ложные RIP-пакеты злоумышленник может настроить маршрутизацию так, чтобы весь поток информации шел через него.

Затопление ICMP-пакетами.

«Рing flood» — это англоязычный термин. Ранее программа «ping» использовалась для оценки качества линии и использовала ключ для «агрессивного» тестирования. В этом режиме запросы посылаются с максимально возможной скоростью, и программа позволяет оценить, как работает сеть при максимальной нагрузке.

Данная атака требует от злоумышленника доступа к быстрым каналам в Интернет. При стандартном режиме работы пакеты высылаются через некоторые промежутки времени, практически не нагружая сеть. Но в «агрессивном» режиме поток ICMP echo request/reply-пакетов может вызвать перегрузку небольшой линии, лишив ее способности передавать полезную информацию. Естественно злоумышленник может также подделывать обратный адрес подобных пакетов, затрудняя его обнаружение.

Атаки на DNS.

Подобные атаки направлены на сервисы, которые запрашивают услуги по «имени», вместо IPадреса. В таком случае ОС делает запрос DNS-серверу на преобразование имени в IP. В DNS так же, как и в большинстве других протоколов, не предусмотрена аутентификация, поэтому данный запрос можно перехватить, и отправить свой ответ.

Для закрытия указанных уязвимостей следует использовать следующие способы защиты [4].

1. Своевременное обновление ПО для исправления содержащихся в нём ошибок.

2. Использование современных протоколов. Например, ICMPv6 не позволяет провести атаку типа «ping flood».

3. Грамотное проектирование сетей и расчёт пропускной способности.

4. Для защиты от DOS-атак следует использовать специализированное ПО или аппаратное обеспечение (сетевые экраны).

5. Физическая защита каналов передачи данных.

6. Использование шифрования при передаче данных.

7. Использование специализированного ПО для защиты: сетевых экранов, антивирусов.

8. Использование ПО с открытым исходным кодом.

9. По возможности закупка оборудования, произведённого в данной стране. 10.Обучение персонала безопасной работе с оборудованием.

Нужна помощь в написании статьи?

Мы - биржа профессиональных авторов (преподавателей и доцентов вузов). Пишем статьи РИНЦ, ВАК, Scopus. Помогаем в публикации. Правки вносим бесплатно.

Подробнее

10. Контроль за выполнением политик безопасности.

11. Минимальное использование неподконтрольного оборудования и каналов передачи данных (в том числе размещение серверов и каналов за рубежом).

Не все указанные меры защиты можно применить в рассматриваемой распределённой системе. Например, грамотное проектирование сети возможно только на этапе проектирования АС, а рассматриваемая АС уже спроектирована и введена в эксплуатацию.

Среди возможных мер защиты рассматриваемой АС можно выделить программные (пп. 1, 2, 4, 6, 7), аппаратные (пп. 2, 4, 6, 8) и административно-правовые (пп. 9, 10) средства защиты. Также важным фактором, влияющим на безопасность, является уровень централизации автоматизированной системы (п. 11). Каждый из узлов системы требует полной отдельной системы защиты. Кроме того все каналы передачи данных также подлежат защите. Поэтому чем больше узлов имеет система, тем сложнее обеспечить безопасность всей системы.

Для построения грамотной защитной системы следует изучить инструменты, которые может использовать взломщик для проведения атаки. В качестве технических средств разведки можно выделить средства перехвата ПЭМИН (Побочные ЭлектроМагнитные Излучения и Наводки), средства взлома и проникновения: отмычки, пилы и т. д. В открытых источниках можно найти в продаже специализированные инструменты, например, компактное USB-устройство Rubber Ducky, которое эмулирует ввод с клавиатуры и выполняет различные вредоносные действия. Цена устройства – 70$. Прослушивать трафик в Ethernet-канале можно с помощью Throwing Star LAN Tap, который «врезается» в кабель и передаёт весь проходящий трафик третьей стороне. Устройство стоит всего 15$ и доступно любому взломщику. Пропускная система, основанная на карточках, может быть обманута с помощью устройства для создания дубликатов карточек. Например, RFID 13.56MHz Mifare Reader and Writer Module стоит всего 65$. Перехватывать данные с клавиатуры можно с помощью аппаратного кейлоггера, который стоит от 40$. Взломщик также может использовать миниатюрные компьютеры на ARMпроцессорах, чтобы осуществлять полноценные атаки на сеть. Такие переносные устройства стоят от 15$ [5].

Для правительственного сайта существует множество угроз, начиная от хакеров-любителей, заканчивая иностранными государствами в лице разведслужб. При этом система на базе сети Интернет имеет много уязвимостей, через которые они могут провести различные атаки. Кроме того, оборудование для проведения атак находится в открытой продаже, что увеличивает риск возможной атаки.

Список использованных источников

1. ПО VisualRoute — http://www.visualroute.com/
2. Организация безопасности данных и информационной защиты — http://www.intuit.ru/studies/courses/1055/271/lecture/6890?page=2
3. Безопасность TCP-IP — re.mipt.ru/infsec/2004/essay/2004_TCP-IP_Security Pashko.pdf – 2010.
– C. 2-5.
4. Уязвимости Nginx — https://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=nginx
5. Оборудование для взлома в открытой продаже — https://xakep.ru/2014/10/13/14-hacker-gadget/