Уязвимость сервисов удаленного доступа.

Получение повторного доступа.

После получения первичного доступа, нарушитель может попытаться обеспечить себе тайную возможность для повторных обращений к узлу, уничтожив все признаки своего вторжения, чтобы позже вернуться и использовать «взломанный» узел в качестве трамплина для достижения других целей. Чтобы «замести следы» несанкционированного доступа и обеспечить повторный доступ, нарушитель может пытаться выполнить следующее:

- удалить соответствующие записи журналов

- установить анализатор пакетов, чтобы иметь возможность наблюдать за сетевым трафиком

- создать для себя «черных ход» (backdoor), добавив подходящие имена и пароли пользователей или установив программу «троянского коня».

 

Методы противодействия:

- Обеспечение защиты от вирусов и троянов, своевременное их обнаружение

- Сканирование запросов на открытие портов от узлов, с которых такие запросы не ожидаются

- Использование программ проверки целостности файлов и структуры каталогов, обнаруживающих несанкционированные изменения

 

Многие сервисы и приложения могут быть весьма уязвимыми для атак удаленного доступа, так как изначально создавались как раз для упрощения доступа.

 

Значительная часть сетевых сервисов, запускаемых на серверах, не имеет достаточных средств аутентификации и авторизации, с помощью которых можно было бы контролировать доступ удаленных пользователей к этому сервису. Поэтому, неиспользуемые сервисы на серверах необходимо исключать.

Рассмотрим примеры приложений и сервисов использующих протокол TCP/IP, уязвимых в отношении атак удаленного доступа

- FTP – Анонимный доступ FTP позволяет нарушителям читать и, возможно, записывать файлы в узле сети (папка incoming). Не используйте этот сервис без особой надобности и обязательно контролируйте возможность записи.

- Telnet – Предоставляет пользователю возможность удаленного доступа к командному процессору в открытом (незашифрованном) виде. Контролируется простым механизмом аутентификации (по имени пользов. и паролю), который легко обмануть (рассказать про отказ в пользу ssh).

- TFTP - В этом протоколе вообще отсутствует аутентификация. Возможна подмена файлов злоумышленниками на сервере или вообще, подмена IP-адреса сервера.

- SMTP, POP, sendmail – нарушители могут манипулировать средой sendmail с целью получения привилегий корневого уровня.

o Электронная почта вообще один из наименее безопасных сервисов Интернет. Кроме возможностей получения несанкционированного доступа к серверу, возможна несанкционированная отправка писем (спам). Спамэто тоже вопрос безопасности, так как значительные объемы спама наносят ощутимый экономический ущерб (трафик, ресурсы серверов, потеря времени и т.д). На данный момент в общем почтовом трафике спам составляет уже почти 90%! (можно посмотреть статистику на http://mail.yandex.ru). Любой из Вас, может скачать из Интернет бесплатную программу для массовой рассылки писем, запустить ее в режиме SMTP-сервера и с ПК, подключенного к Интернет рассылать спам (пример из собственного опыта, выгодность рассылки спама для спамеров, история происхождения слова SPAM).

o Почта одна из основных сред распространения вирусов на данный момент. По статистике примерно 5% всех пересылаемых через Интернет писем имеют вирусы. На пике эпидемий эта цифра может быть больше в несколько раз.

o Всё чаще идут разговоры о скором конце Интернета в таком виде, как он есть сейчас. Основная причина спам и вирусы. Прогнозируют переход в будущем к более закрытым сетям.

- Серверы Web, HTTP – уязвимости связаны с ошибками в ПО серверов и их неправильной конфигурацией. Апплеты и приложения Java и ActiveX могут действовать, как вирусы или троянцы.

o В некоторых реализациях веб-серверов, можно было набрав в адресной строке определенную последовательность символов вывести в окне файл паролей. Например, встречаются уязвимость включения (include) файлов в скриптах php, когда набрав адрес вида: http://www.vulnhost.hu/vulnscript.php?page=../../../../etc/passwd можно прочитать файл паролей.

 

Методы противодействия:

- Запрет использования всех ненужных сервисов и команд

- Установка защищенных версий программ (т.е. самых последних версий web- и ftp- серверов, электронной почты)

- Замена значений конфигурации, установленных по умолчанию (например, замена разрешений «чтение/запись»).

 

9. Блокирование сервиса (Denial[di’nail]of Service)

Блокирование сервиса - это попытка нарушить или прекратить работу отдельных сервисов или всей ИС, в результате чего отказ на запрос услуг получат легальные пользователи.

 

Основные мотивы использования злоумышленниками блокирования сервиса:

- нанесение ущерба конкуренту

- бессмысленное создание помех (вандализм)

- проверка уязвимости системы для осуществления дальнейших атак

- скрытие следов несанкционированного доступа

 

Протокол IP весьма уязвим в отношении атак блокирования сервиса, поэтому существует множество типов таких атак. Рассмотрим основные виды DoS атак.