Разработка программного средства для обнаружения и устранен (1209811), страница 3
Текст из файла (страница 3)
Атака MAC-flooding относится к классу разведывательных атак. Этот вид атаки может использоваться также в качестве DDoS-атаки. Атакующая машина забивает переключатель (switch) огромным числом кадров с неверными MAC-адресами отправителя. Переключатели имеют ограниченную память для таблицы переадресации (МАС-порт) и при такой атаке таблица будет заполнена некорректными MAC-адресами, пришедшими от машины злоумышленника. При поступлении легального трафика из-за отсутствия соответствующих записей в таблице переадресации пакеты будут направляться на все выходы переключателя. В результате злоумышленник, взломавший машину, которая реализует данную атаку, получит большое количество ценной для него информации. Кроме того, это может вызвать перегрузку каналов и самого переключателя.
Схема проведения атаки MAC-flooding изображена на рисунке 1.2.
Рисунок 1.2 – Схема атаки MAC-flooding
Следует учитывать, что характер атак становится все более изощренным. Хакеры объединяются в клубы, издают журналы и продают хакерские CD. Сегодня крайне актуальным становится кооперирование их потенциальных жертв. Для профессиональных DDoS атак могут использоваться машины, взломанные ранее.
ARP-spoofing
Атака ARP spoofing (ARP-фальсификация) является технологией атак локальных сетей (LAN). ARP spoofing позволяет хакеру перехватывать информационные пакеты в LAN, модифицируя или даже блокирую трафик. Атака может быть предпринята только против сети, где используется протокол ARP (Address Resolution Protocol). В частности, этот метод не работает для сетей, работающих с IPv6.
В случае ARP spoofing злоумышленник посылает фальсифицированный ARP-запрос. Главная цель злоумышленника установить связь между MAC-адресом его машины и IP-адресом другого компьютера (например, сетевого шлюза). Если такое хакеру удастся, то все пакеты, адресованные сетевому шлюзу, будут посылаться машине хакера. Злоумышленник может переадресовывать эти пакеты настоящему шлюзу или модифицировать данные перед последующей переадресацией. Также он может предпринять D0S-атаку против машины жертвы, подменив МАС– адрес шлюза на МАС– адрес машины жертвы.
Может показаться, что такая атака слишком рискованна, так как машина злоумышленника может быть легко локализована из– за того, что она должна размещаться внутри атакуемой LAN. Но это не всегда так, ведь злоумышленник может действовать из взломанной ранее машины.
Сегодня трудно представить себе фирму, организацию или учреждение, где бы для обработки документов, ведения бухгалтерии, учета, обмена сообщениями, доступа к информационным и поисковым серверам и так далее не использовали машин, подключенных к сети. Огромная масса людей не может себе представить жизнь без доступа к сети Интернет, который стал еще одним средством массовой информации. Но преимущества доступа к информации через сеть все чаще омрачается атаками вирусов, червей, троянских коней, spyware и хакеров. Актуальность проблем безопасности подтверждается достаточно обширным списком периодических изданий, посвященных данной проблеме: Network Security, Journal in Computer Virology, Virus Bulletin, в России популярностью пользуются такие издания, как Безопасность Информационных Тенологий, Информационная Безопасность.
Также актуальность проблемы можно подтвердить анализом отчета «Эволюция угроз информационной безопасности в бизнес– среде» от лаборатории Касперского.
-
Наиболее распространенные уязвимости
Согласно отчету лаборатории Касперского, можно выделить перечень наиболее вредоносных программ для сетевых ресурсов коммерческих организаций
TOP семи вредоносных программ представлен в таблице 1.2.1.
В данном рейтинге представлены только вредоносные программы, исключены из него рекламные программы, которые действуют весьма назойливо и доставляют неприятности пользователю, но не наносят вреда компьютеру.
Таблица 1.2.1 – Топ семи вредоносных программ
| Название | % атакованных пользователей |
| Malicious | 57,0 |
| Trojan.Script.Generic | 24,7 |
| Trojan.Script.Iframer | 16,0 |
| Exploit.Script.Blocker | 4,1 |
| Trojan-Downloader.Win32.Generic | 2,5 |
| Trojan.Win32.Generic | 2,3 |
| Trojan-Downloader.JS.Iframe.diq | 2,0 |
Топ семи вредоносных программ представлены в таблице 1.2.2.
Таблица 1.2.2 – Топ семи локальных угроз
| Название | % атакованных пользователей |
| DangerousObject.Multi.Generic | 23.1 |
| Trojan.Win32.Generic | 18.8 |
| Trojan.WinLNK.StartPage.gena | 7.2 |
| Trojan.Win32.AutoRun.gen | 4.8 |
| Worm.VBS.Dinihou.r | 4.6 |
| Net-Worm.Win32.Kido.ih | 4.0 |
| Virus.Win32.Sality.gen | 4.0 |
Все представители рейтинга – это, в основном, само-распространяющиеся программы и их компоненты.
Данные показывают, что инструментарий атак на бизнес отличается от того, что применяют в атаках на домашних пользователей. В атаках на корпоративных пользователей значительно чаще используются эксплойты к офисным приложениям, вредоносные файлы часто оказываются подписанными валидными цифровыми сертификатами, плюс к этому злоумышленники стараются использовать в своих целях доступные легальные программы, чтобы дольше оставаться незамеченными.
Все чаще объектами атак злоумышленников становятся серверы организаций. Помимо кражи данных, известны случаи, когда атакованные серверы использовались в качестве инструмента DDoS атак, или данные просто шифровались, и злоумышленники требовали выкуп. Последние события показали, что это утверждение справедливо как для Windows-, так и для Linux-серверов. Многие организации, которые стали жертвами атак, столкнулись с требованиями злоумышленников заплатить выкуп за остановку DDoS-атаки, расшифровку данных или за неразглашение украденной информации.
-
Определение уязвимостей, актуальных для компании
В ООО «Приморье» сетевые ресурсы используются для следующих целей:
-
совместное использование данных;
-
обмен данными;
-
электронная почта;
-
совместное использование программ;
-
совместное использование модемов, принтеров и других устройств.
Из существующих способов обмена конфиденциальной информацией необходимо выделить организационные каналы передачи и обмена информацией:
-
конфиденциальное делопроизводство (защищенный документооборот);
-
совместные работы, выполняемые предприятием по направлениям его производственной и иной деятельности;
-
совещания (конференции), в ходе которых обсуждаются вопросы конфиденциального характера;
-
различные мероприятия в области сотрудничества с иностранными государствами (их представителями и организациями), связанные с обменом информацией;
-
передача сведений о деятельности предприятия и данных о его сотрудниках в территориальные инспекторские и надзорные органы.
Основную угрозу составляет прослушивание каналов связи и анализ передаваемых данных и служебной информации для изучения топологии и архитектуры построения системы злоумышленником, получение критической пользовательской информации, передаваемой в открытом виде.
Так же возможно некорректное присвоение IP-адреса отправителя другим адресом для подмены доверенного субъекта. Используя эти уязвимости, злоумышленник может завладеть важной конфиденциальной информацией. Поэтому встал вопрос о разработке и внедрении программного средства для поиска и устранения уязвимостей сетевых ресурсов предприятия.
Рассмотренные выше угрозы в области защиты информации в ООО «Приморье» не решаются. Исходя из этого, в качестве улучшения безопасности процессов обмена информацией и избегания утечки важной для предприятия информации предлагается создать программное средство для обнаружения и устранения уязвимостей сетевых ресурсов предприятия ООО «Приморье».
В рамках этого программного средства необходимо будет реализовать:
-
возможность определение web-ресурсов, в которых данные авторизации передаются в открытом виде и построение отчета о возможных рисках;
-
анализ информационных потоков на определение IP адресов отправляющих пакетов с широковещательным адресом рассылки;
-
обнаружение попытки внешнего сканирования портов и узлов компании от злоумышленника и его блокировка;
-
обнаружение постороннего узла в компьютерной сети компании и его блокировка;
-
выявление программ-шпионов, несанкционированно собирающих и отправляющих информацию о работе на компьютере.
-
Разработка программного средства
2.1 Описание разрабатываемого программного средства
2.1.1 Определение web-ресурсов, не использующих шифрование
Разрабатывается компонент, позволяющий определять web-ресурсы, в которых данные авторизации передаются в открытом виде и построение отчета о возможных рисках.
Этот компонент предостерегает пользователя от перехвата сетевого трафика злоумышленником и от утечки данных авторизации.
Для перехвата сетевого трафика обычно используются сетевые карты, переведенные в режим прослушивания. Прослушивание сети Интернет требует подключения компьютера с запущенным перехватчиком к сегменту сети, после чего хакеру становится доступным весь сетевой трафик, отправляемый и получаемый компьютерами в данном сетевом сегменте. Еще проще выполнить перехват трафика радиосетей, использующих беспроводные сетевые посредники, – в этом случае не требуется даже искать место для подключения к кабелю. Или же злоумышленник может подключиться к телефонной линии, связывающей компьютер с сервером Интернета, найдя для этого удобное место. При прохождении авторизации на сайте без шифрования личных данных, злоумышленник при успешном подключении к сети предприятия перехватывает личные данные пользователя.
Компонент обнаруживает уязвимые ресурсы с помощью выполнения анализа передаваемых пакетов по третьему транспортному уровню модели OSI.
Сетевая модель OSI (systems interconnection basic reference model) – это модель взаимодействия сетевых протоколов. А протоколы в свою очередь, это стандарты, которые определяют каким образом, будут обмениваться данными различные программы.
Модель состоит из семи уровней и каждый уровень содержит различные протоколы:
-
прикладной уровень, предоставляет доступ к сетевым службам;
-
представительский уровень служит для представления и шифрования данных;
-
сеансовый уровень служит для управления сеансом связи;
-
транспортный уровень служит для прямой связи между конечными пунктами и для надежности;
-
сетевой уровень служит для определения маршрута и логической адресации;
-
канальный уровень служит для физической адресации;
-
физический уровень работает со средой передачи, сигналами и двоичными данными.
Программа, проанализировав пакет и найдя в нем пароль пользователя, выводит уведомление об угрозе и добавляет сайт в список опасных сайтов. Вид пакета с открытыми данными в базе данных изображен на рисунке 2.1.1, в приложении изображен на рисунке 2.1.2.
Рисунок 2.1.1 – отображение пакета с данными пользователя в базе данных
Рисунок 2.1.2 – отображение пакета с данными пользователя в приложении
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
