Средства и тактика получения информации из защищенных компьютерных систем Макаренков Д.Е. Лекция по дисциплине «Компьютерная разведка»

Учебные вопросы Общая характеристика систем защиты Уязвимости систем защиты Использование уязвимостей Методы преодоления систем защиты

Рекомендуемые сокращения СЗ – система защиты ОС – операционная система И т.д.

1 Учебный вопрос Общая характеристика систем защиты

Этапы загрузки и выполнения программ Отдельная презентация про этапы

Классификация систем защиты По способу реализации Аппаратные Программные По методу защиты На уровне доступа к данным На уровне данных По этапам загрузки и выполнения Средствами BIOS До загрузки ОС (корневые сектора) Встроенные в операционную систему Прикладные и системные программы

Обнаружение системы защиты Обнаружение системы защиты не требуется, если с ней взаимодействовать Если взаимодействовать - остаются следы Задача: обнаружить и идентифицировать, не вступая во взаимодействие

Идентификация системы защиты Необходима для планирования действий по преодолению –По сообщениям системы защиты –По характерным признакам работы –По структуре и составу компонентов –По иным признакам

2 Учебный вопрос Уязвимости систем защиты

Понятие защищенности системы Защита информационной системы: –Во всех состояниях –Все переходы между состояниями

Обоснование наличия уязвимостей Защищенность системы складывается из –Наличия механизмов защиты –Их надежности Возможные проблемы защищенности: –Некоторые механизмы могут отсутствовать –Надежность - понятие относительное Вывод: –защищенность не может быть абсолютной

Определение уязвимости Уязвимость (из теории защищенности) свойство системы, которое может быть использовано противником для осуществления угрозы Имелись в виду угрозы безопасности: –целостности уничтожение, искажение –конфиденциальности угроза НСД, разглашения –доступности отказ в обслуживании –стабильности неработоспособность –компрометации подделка сообщений

Наше определение Уязвимость –свойство системы, которое позволяет получить информацию с нарушением действующей политики безопасности

Виды уязвимостей Official Hackers manual Класс С –Позволяют вызвать сбой системы или службы Класс В –Позволяют локальным пользователям повышать свои полномочия и осуществлять НСД Класс А –Позволяют удаленным пользователям осуществлять НСД

Виды уязвимостей Международный стандарт ISO Common Criteria for Information Technology Security Evaluation Что в переводе на русский означает: Общие критерии оценки безопасности информационных технологий –Наличие побочных каналов утечки информации; –Ошибки в конфигурации, либо неправильное использование системы, приводящее к переходу системы в небезопасное состояние; –Недостаточная надежность (стойкость) механизмов безопасности; –Наличие «дыр» в средствах защиты информации, позволяющих пользователям получать НСД к информации в обход существующих механизмов защиты. (не хватает механизмов)

Причины возникновения уязвимостей Недостатки: –проектирования –реализации –эксплуатации

Сведения об уязвимостях Специализированные базы данных –CVE (Common Vulnerabilities and Exposures) –CERT (Computer Emergency Response Team) Интернет сайты – –

Выявление уязвимостей Сканеры безопасности Анализ кода и текстов программ Эвристический эксперимент

3 Учебный вопрос Использование уязвимостей

Атаки на систему защиты Атака –воздействие на систему защиты для реализации одной из угроз –нацелена на конкретную уязвимость

Значение предварительного сбора информации о системе Идентификация систем защиты –Возможность планирования действий по преодолению систем защиты Изучение режима работы –Возможность оценки времени

Программное обеспечение Закладные программы Для контроля процессов в системе Разовое воздействие Для перевода в системы в нужное состояние Сбор информации Исследование информации Средства маскировки И т.д.

Виды «следов» Системы протоколирования событий –Системные журналы –Журналы системы защиты Изменения в системе –Изменения компонентов системы –Изменения в реестре –Изменения характеристик работы

Обеспечение конспиративности Требуется маскировка –Запуска программ –Выполнения программ –Следов воздействий

4 Учебный вопрос Методы преодоления СЗ

Функционирование СЗ Пользователь обращается к системе защиты СЗ проверяет права доступа Пользователю предоставляется доступ СЗ Данные ?

Методы преодоления СЗ (1) Мистификация СЗ Данные

Мистификация Подбор идентификационных данных Перехват идентификационных данных при вводе или передаче Извлечение идентификационных данных из мест хранения Имитация системы защиты

Методы преодоления СЗ (2) Мистификация Обход СЗ Данные

Обход –Незащищенные копии –Перехват защищаемой информации –Исключение запуска системы защиты

Методы преодоления СЗ (3) Мистификация Обход Нейтрализация СЗ Данные

Нейтрализация Модификация алгоритма Контроль во время выполнения Модификация контрольной информации Отключение системы защиты (временное или постоянное)

Вопросы?