Данных способ используется для создания дыр в системе сети еще на этапе ее организации и настройки либо создания ее программного обеспечения. Он может заключаться например в том, что администратор создает некоторого пользователя который может войти под любым паролем независимо от тех данных которые будут находится в файле пароля.
Для того чтобы не допустить установку потайных дверей системы компании обычно реализуют регулярную проверку написуемых программ и конфигураций сети, такая проверка чаще всего заключается в том что когда блок работы завершен программисты или системные программисты собираются вместе и каждый досконально объясняет другим что именно он сделал. Безопасность сети в этом случае значительно возрастает поскольку очень сложно что либо внедрить так чтобы другие разработчики этого не заметили.
Атака самой системы безопасности.
Обычный вариант проверить надежность безопасности сети заключается в приглашении особой команды экспертов которая называется командой тигров. Которая представляет собой высоко классифицированным специалистов. В том случае если компания не имеет финансовой возможности нанять подобную команду то в первую очередь следует проверить следующие возможности:
1)Запросить конкретные страницы из памяти, блоки жесткого диска или магнитной ленты, чтобы проверить что в них находиться поскольку многие системы не очищают соответствующие области после завершения работы, а значит. Обратившись туда можно найти массу полезной информации оставшиеся от предыдущего пользователя.
2)Попытайтесь обратиться к несуществующим вызовам или процедурам либо существующим но с неправильными параметрами. Многие системы в случаях подобных действиях обнаруживают не только дыры в безопасности но и возможности полного краша сети.
|
3)Попытаться пройти регистрацию с произвольными данными, а затем просто начать нажимать клавиши del break и т.д. Существует вероятность что процесс авторизации вызовет ошибку и запустит пользователю в сеть.
4) Попытаться модифифицировать сложные структуры находящиеся в памяти и отвечающее за работу с сетью. Зачастую изменение таких структур вызывает ошибки которые облегчают действия в сети.
5) Найти руководство от данного программного обеспечения взаимодействующего с сетью и найти фразу «не в коем случае не выполняйте действие»-обязательно попробуйте это действие в различных комбинациях.
6) Убедите системного администратора добавить для вас потайную дверь.
7) Попытайтесь найти подход к секретарям предприятия поскольку они зачастую знают очень много важной информации в том числе и о доступе в сеть.
Принципы проектирования систем безопасности.
Исходя из предыдущих пунктов нам очевидно что разработка хорошо защищенной сетевой системы представляет собой достаточно не тривиальную задачу.
Во-первых само устройство и функционирование системы не должно быть тайной, следует изначально предполагать что злоумышленники уже знают как устроена система защиты.
Во-вторых, по умолчанию доступ не должен предоставляться.
В-третьих, необходимо постоянно проверять текущее состояние прав доступа, то есть система не должна давать некоторые права доступа, а потом пускать по умолчанию, а при всех действиях должна проверять можно ли их выполнить или нет.
|
Лекция №2 Атака сети с наружи.
В большинстве случаев простейшим вариантом внедрения вируса является использование пипетки. Когда данной пипеткой добавляется вредоносное в некоторое полезное сообщение которое затем распространяется в сети интернет. Затем при запуске скачанной программы вирус разворачивается на машине занимая блоки в памяти и заражая все доступные файлы.
Вирусы компаньоны.
Данный класс вирусов запускается не параллельно, а вместо некоторого приложения выполняя свои вредоносные действия а затем запускает требуемое приложение.
Вирусы заражающие исполняемый файл.
Данный класс атак из вне сети приходит и заражает все исполняемые файлы на конкретной машине. После чего он влияет на выполнение сетевых процедур за счет чего распространяется дальше по сети заражая новые и новые машины.
Резидентные вирусы.
Данный класс вирусов постоянно находится в самой верхней либо в самой нижней части оперативной памяти в следствии чего он хорошо замаскирован. Уже от туда данные вирусы могут следить за векторами прерывания и соответственно наносить вред. Кроме того некоторые из резидентных вирусов способны отмечать те ячейки памяти где они находятся, отмечать как занятые системными данными в следствии чего устаревшими антивирусными программами их ячейки даже не проверялись.