2 Деякі приклади загроз доступності
3 Шкідливе програмне забезпечення
4 Основні загрози цілісності
5 Основні загрози конфіденційності
Найчастішими і самими небезпечними (з погляду розміру збитку) є ненавмисні помилки штатних користувачів, операторів, системних адміністраторів і інших осіб, обслуговуючих інформаційні системи.
Іноді такі помилки і є власне загрозами (неправильно введені дані або помилка в програмі, що викликала крах системи), іноді вони створюють вразливі місця, якими можуть скористатися зловмисники (такі звичайно помилки адміністрування). За деякими даними, до 65% втрат - слідство ненавмисних помилок.
Пожежі і повені не приносять стільки бід, скільки неписьменність і недбалість в роботі.
Очевидно, найрадикальніший спосіб боротьби з ненавмисними помилками - максимальна автоматизація і строгий контроль.
Інші загрози доступності класифікуємо по компонентах ІС, на які націлені загрози:
відмова користувачів;
внутрішня відмова інформаційної системи;
відмова підтримуючої інфраструктури.
Звичайно стосовно користувачів розглядаються наступні загрози:
небажання працювати з інформаційною системою (частіше за все виявляється при необхідності освоювати нові можливості і при розбіжності між запитами користувачів і фактичними можливостями і технічними характеристиками);
неможливість працювати з системою через відсутність відповідної підготовки (недолік загальної комп’ютерної письменності, невміння інтерпретувати діагностичні повідомлення, невміння працювати з документацією і т.п.);
неможливість працювати з системою через відсутність технічної підтримки (неповнота документації, недолік довідкової інформації і т.п.).
Основними джерелами внутрішніх відмов є:
відступ (випадкове або умисне) від встановлених правил експлуатації;
вихід системи з штатного режиму експлуатації через випадкові або навмисні дії користувачів або обслуговуючий персонал (перевищення розрахункового числа запитів, надмірний об’єм оброблюваної інформації і т.п.);
помилки при (пері) конфігуруванні системи;
відмови програмного і апаратного забезпечення;
руйнування даних;
руйнування або пошкодження апаратури.
По відношенню до підтримуючої інфраструктури рекомендується розглядати наступні загрози:
порушення роботи (випадкове або умисне) систем зв’язку, електроживлення, водо- и/или теплопостачання, кондиціонування;
руйнування або пошкодження приміщень;
неможливість або небажання обслуговуючого персоналу и/или користувачів виконувати свої обов’язки (цивільне безладдя, аварії на транспорті, терористичний акт або його загроза, страйк і т.п.).
Вельми небезпечні так звані "скривджені" співробітники - нинішні і були. Як правило, вони прагнуть завдати шкоди организации-"обидчику", наприклад:
зіпсувати устаткування;
вбудувати логічну бомбу, яка з часом поруйнує програми и/или дані;
видалити дані.
Скривджені співробітники, що навіть були, знайомі з порядками в організації і здатні завдати чималого збитку. Необхідно стежити за тим, щоб при звільненні співробітника його права доступу (логічного і фізичного) до інформаційних ресурсів анулювалися.
Небезпечні, зрозуміло, стихійні біди і події, сприймані як стихійні біди, - пожежі, повені, землетруси, урагани. За статистикою, на частку вогню, води і тому подібних "зловмисників" (серед яких самий небезпечний - перебій електроживлення) доводиться 13% втрат, нанесених інформаційним системам.
Загрози доступності можуть виглядати грубо - як пошкодження або навіть руйнування устаткування (у тому числі носіїв даних). Таке пошкодження може викликатися природними причинами (частіше всього - грозами). На жаль, джерела безперебійного живлення, що знаходяться в масовому використовуванні, не захищають від могутніх короткочасних імпульсів, і випадки вигоряння устаткування - не рідкість.
У принципі, могутній короткочасний імпульс, здатний поруйнувати дані на магнітних носіях, можна згенерувати і штучним чином - за допомогою так званих високоенергетичних радіочастотних гармат. Але, напевно, в наших умовах подібну загрозу слід все ж таки визнати за надуману.
Дійсно небезпечні протечки водопроводу і опалювальної системи. Часто організації, щоб заощадити на орендній платні, знімають приміщення в будинках старої споруди, роблять косметичний ремонт, але не міняють ветхі труби. Автору курсу довелося бути свідком ситуації, коли прорвало трубу з гарячою водою, і системний блок комп’ютера (це була робоча станція виробництва Sun Microsystems) виявився заповнений кип’ятком. Коли кип’яток вилили, а комп’ютер просушили, він відновив нормальну роботу, але краще за такі досліди не ставити...
Влітку, в сильну жару, норовлять зламатися кондиціонери, встановлені в серверних залах, набитих дорогим устаткуванням. В результаті значного збитку завдається і репутації, і гаманцю організації.
Загальновідомо, що періодично необхідно проводити резервне копіювання даних. Проте навіть якщо ця пропозиція виконується, резервні носії часто бережуть недбало (до цього ми ще повернемося при обговоренні загроз конфіденційності), не забезпечуючи їх захист від шкідливої дії навколишнього середовища. І коли вимагається відновити дані, виявляється, що ці самі носії ніяк не бажають читатися.
Перейдемо тепер до загроз доступності, які будуть похитріше засоров каналізації. Мова піде про програмні атаки на доступність.
Як засіб виведення системи з штатного режиму експлуатації може використовуватися агресивне споживання ресурсів (звичайно - смуги пропускання мереж, обчислювальних можливостей процесорів або оперативної пам’яті). По тому, що розташовує джерела загрози таке споживання підрозділяється на локальне і видалене. При прорахунках в конфігурації системи локальна програма здатна практично монополізувати процесор и/или фізичну пам’ять, звівши швидкість виконання інших програм до нуля.
Найпростіший приклад видаленого споживання ресурсів - атака, що одержала найменування "SYN-повінь". Вона є спробою переповнити таблицю "напіввідкритих" TCP-з’єднань серверу (встановлення з’єднань починається, але не закінчується). Така атака щонайменше утрудняє встановлення нових з’єднань з боку легальних користувачів, тобто сервер виглядає як неприступний.
По відношенню до атаки "Papa Smurf" уразливі мережі, що сприймають ping-пакети з широкомовними адресами. Відповіді на такі пакети "з’їдають" смугу пропускання.
Видалене споживання ресурсів останнім часом виявляється в особливо небезпечній формі - як скоординовані розподілені атаки, коли на сервер з безлічі різних адрес з максимальною швидкістю прямують цілком легальні запити на з’єднання і/або обслуговування. Часом початку "моди" на подібні атаки можна рахувати лютого 2000 року, коли жертвами виявилися декілька найбільших систем електронної комерції (точніше - власники і користувачі систем). Відзначимо, що якщо має місце архітектурний прорахунок у вигляді розбалансованості між пропускною спроможністю мережі і продуктивністю серверу, то захиститися від розподілених атак на доступність украй важко.
Для виведення систем з штатного режиму експлуатації можуть використовуватися вразливі місця у вигляді програмних і апаратних помилок. Наприклад, відома помилка в процесорі Pentium I дає можливість локальному користувачу шляхом виконання певної команди "підвісити" комп’ютер, так що допомагає тільки апаратний RESET.
Програма "Teardrop" видалений "підвішує" комп’ютери, експлуатуючи помилку в збірці фрагментованих IP-пакетів.
Одним з найнебезпечніших способів проведення атак є упровадження в системи шкідливого програмного забезпечення, що атакуються.
Ми виділимо наступні грані шкідливого ПО:
шкідлива функція;
спосіб розповсюдження;
зовнішнє уявлення.
Частину, що здійснює руйнівну функцію, називатимемо "бомбою" (хоча, можливо, більш вдалими термінами були б "заряд" або "боєголовка"). Взагалі кажучи, спектр шкідливих функцій необмежений, оскільки "бомба", як і будь-яка інша програма, може володіти скільки завгодно складною логікою, але звичайно "бомби" призначаються для:
упровадження іншого шкідливого ПО;
отримання контролю над системою, що атакується;
агресивного споживання ресурсів;
зміни або руйнування програм и/или даних.
По механізму розповсюдження розрізняють:
віруси - код, що володіє здібністю до розповсюдження (можливо, із змінами) шляхом упровадження в інші програми;
"черв’яки" - код, здатний самостійно, тобто без упровадження в інші програми, викликати розповсюдження своїх копій по ІС і їх виконання (для активізації вірусу потрібен запуск зараженої програми).
Віруси звичайно розповсюджуються локально, в межах вузла мережі; для передачі по мережі їм потрібна зовнішня допомога, така як пересилка зараженого файлу. "черв’яки", навпаки, орієнтовані в першу чергу на подорожі по мережі.
Іноді саме розповсюдження шкідливого ПО викликає агресивне споживання ресурсів і, отже, є шкідливою функцією. Наприклад, "черв’яки" "з’їдають" смугу пропускання мережі і ресурси поштових систем. З цієї причини для атак на доступність вони не потребують вбудовування спеціальних "бомб".
Шкідливий код, який виглядає як функціонально корисна програма, називається троянським. Наприклад, звичайна програма, будучи ураженою вірусом, стає троянською; деколи троянські програми виготовляють уручну і підсовують довірливим користувачам в якій-небудь привабливій упаковці.
Відзначимо, що дані нами визначення і приведена класифікація шкідливого ПО відрізняються від загальноприйнятих. Наприклад, в ГОСТ Р 51275-99 "Захист інформації. Об’єкт інформатизації. Чинники, що впливають на інформацію. Загальні положення" міститься наступне визначення:
"програмний вірус - це виконуваний або інтерпретується програмний код, що володіє властивістю несанкціонованого розповсюдження і самовідтворення в автоматизованих системах або телекомунікаційних мережах з метою змінити або знищити програмне забезпечення и/или дані, що зберігаються в автоматизованих системах".
На наш погляд, подібне визначення невдало, оскільки в ньому змішані функціональні і транспортні аспекти.
Вікно небезпеки для шкідливого ПО з’являється з випуском нового різновиду "бомб", вірусів и/или "черв’яків" і перестає існувати з оновленням бази даних антивірусних програм і накладенням інших необхідних латок.
За традицією зі всього шкідливого ПО найбільшу увагу громадськості доводиться на частку вірусів. Проте до березня 1999 року з повним правом можна було затверджувати, що "не дивлячись на експоненціальне зростання числа відомих вірусів, аналогічного зростання кількості інцидентів, викликаних ними, не зареєстровано. Дотримання нескладних правил "комп’ютерної гігієни" практично зводить ризик зараження до нуля. Там, де працюють, а не грають, число заражених комп’ютерів складає лише частки відсотка".
В березні 1999 року, з появою вірусу "Melissa", ситуація кардинальним чином змінилася. "Melissa" - це макровірус для файлів MS-Word, що розповсюджується за допомогою електронної пошти в приєднаних файлах. Коли такий (заражений) приєднаний файл відкривають, він розсилає свої копії за першими 50 адресами з адресної книги Microsoft Outlook. В результаті поштові сервери піддаються атаці на доступність.
В даному випадку нам хотілося б відзначити два моменти.
Як вже мовилося, пасивні об’єкти відходять в минуле; так званий активний вміст стає нормою. Файли, які по всіх ознаках були б повинні були відноситися до даних (наприклад, документи у форматах MS-Word або Postscript, тексти поштових повідомлень), здатні містити компоненти, які можуть запускатися неявним чином при відкритті файлу, що інтерпретуються. Як і всяке в цілому прогресивне явище, таке "підвищення активності даних" має свою оборотну сторону (в даному випадку - відставання в розробці механізмів безпеки і помилки в їх реалізації). Звичайні користувачі ще не скоро навчаться застосовувати компоненти, що інтерпретуються, "в мирних цілях" (або хоча б дізнаються про їх існування), а перед зловмисниками відкрилося по суті необмежене поле діяльності. Як не банально це звучить, але якщо для стрільби по горобцях викочується гармата, то постраждає в основному стріляючий.
Інтеграція різних сервісів, наявність серед них мережних, загальна зв’язність багато разів збільшують потенціал для атак на доступність, полегшують розповсюдження шкідливого ПО (вірус "Melissa" - класичний тому приклад). Образно кажучи, багато інформаційних систем, якщо не вжити захисних заходів, опиняються "в одному човні" (точніше - в кораблі без перегородок), так що достатньо однієї пробоїни, щоб "човен" тут же пішов до дна.
Як це часто буває, вслід за "Melissa" з’явилася на світ ціла серія вірусів, "черв’яків" і їх комбінацій: "Explorer.zip" (1999 червня), "Bubble Boy" (1999 листопаду), "ILOVEYOU" (2000 травня) і т.д. Не те що б від них був особливо великий збиток, але суспільний резонанс вони викликали чималий.
Активний вміст, крім компонентів документів і інших файлів даних, що інтерпретуються, має ще один популярний вигляд - так звані мобільні агенти. Це програми, які завантажуються на інші комп’ютери і там виконуються. Найвідоміші приклади мобільних агентів - Java-апплеты, завантажувані на призначений для користувача комп’ютер і що інтерпретуються Internet-навігаторами. Виявилося, що розробити для них модель безпеки, що залишає достатньо можливостей для корисних дій, не так-то просто; ще складніше реалізувати таку модель без помилок. В серпні 1999 року стали відомі недоліки в реалізації технологій ActiveX і Java в рамках Microsoft Internet Explorer, які давали можливість розміщувати на Web-серверах шкідливі апплеты, що дозволяють одержувати повний контроль над системою-візитером.
Для упровадження "бомб" часто використовуються помилки типу "переповнювання буфера", коли програма, працюючи з областю пам’яті, виходить за межі допустимого і записує в потрібні зловмиснику місця певні дані. Так діяв ще в 1988 році знаменитий "черв’як Моріса"; в червні 1999 року хакери знайшли спосіб використовувати аналогічний метод по відношенню до Microsoft Internet Information Server (IIS), щоб одержати контроль над Web-сервером. Вікно небезпеки охопило відразу близько півтора мільйонів серверних систем...
Не забуті сучасними зловмисниками і випробувані троянські програми. Наприклад, "Троя" Back Orifice і Netbus дозволяє одержати контроль над призначеними для користувача системами з різними варіантами MS-Windows.
Таким чином, дія шкідливого ПО може бути направлене не тільки проти доступності, але і проти інших основних аспектів інформаційної безпеки.