МИНИСТЕРСТВО  ОБРАЗОВАНИЯ И  НАУКИ УКРАИНЫ

ДОНЕЦКИЙ  НАЦИОНАЛЬНЫЙ ТЕХНИЧЕСКИЙ УНИВЕРСИТЕТ 
 
 

Факультет КНТ

Кафедра ПМИ 
 
 

Лабораторная  работа №5

Тема: Взлом и защита автоматизированной банковской системы

Курс: Безопасность программ и данных

Вариант 5 
 
 

Выполнила

ст. гр. ПС-08б

Кондратенко Е.Н. 

Проверил

ст. пр. каф. ПМИ

Чернышева А.В.

Тесленко  Г.А. 
 
 
 
 

ДОНЕЦК  – 2011

    Задание

    Представить  модель  атаки "взлом системы" и описать средства защиты от этой атаки.

    Описание  уязвимостей и  средств защиты 

    Социальная инженерия

    Широко  распространены кража паролей, поиск  пароля, который пользователи, чтобы  не забыть, записывают.

    Фишинг. Злоумышленник посылает жертве email, подделанный под официальное письмо, в котором требуется отправить пароль или другую конфиденциальную информацию.

    Претекстинг. Сбор информации о служащих объекта атаки с помощью телефонного звонка, электронного письма, путем проникновения в организацию под видом ее служащего.

    Кви про кво. Злоумышленник звонит и представляется сотрудником техподдержки, опрашивающим, есть ли какие-либо технические проблемы. Если они есть, в процессе их «решения» цель вводит команды, которые позволят хакеру проникнуть в систему. Также возможен взлом пароля по контрольному вопросу.

    Троянские программы. Злоумышленник отправляет e-mail, содержащий во вложении троянского коня или программу-шпион.

    Дорожное  яблоко. Злоумышленник может подбросить инфицированный CD или флэшку.

    Защита  пользователей от социальной инженерии:

• Изучение сотрудниками основ компьютерной безопасности.
• Принятие политики безопасности системы.
• Изучение и внедрение необходимых методов и действий для повышения защиты информационного обеспечения.

    К технической защите можно отнести  средства, мешающие заполучить информацию и средства, мешающие воспользоваться  полученной информацией.

    Помешать  злоумышленнику получить запрашиваемую  информацию можно, анализируя текст входящих писем злоумышленника, и исходящих (цели атаки) по ключевым словам. Также локальный почтовый сервер должен запрещать передачу и прием прикрепленных файлов. Можно вообще запретить использование внешних почтовых серверов с помощью установки фильтрации трафика. Можно запретить использование протоколов передачи файлов (как передачи файлов во внешнюю сеть, так и приема из внешней сети).

      Так же стоит принимать во внимание возможность написания слов с заменой кириллических букв латиницей для совпадающих символов (транслитерация).

    По окончанию работы или при необходимости покинуть рабочее место нужно закрывать текущую сессию работы с ОС или конкретным приложением. Следует запретить пользователям использовать съемные носители информации.

    Средства, мешающие воспользоваться полученной информацией, можно разделить на те, которые полностью блокируют  использование данных, где бы то ни было, кроме рабочего места пользователя (привязка аутентификационных данных к серийным номерам и электронным подписям комплектующих компьютера, ip и физическому адресам), так и те, которые делают невозможным (или труднореализуемым) автоматическое использование полученных ресурсов (например, авторизация по системе Captcha, когда в качестве пароля нужно выбрать указанное ранее изображение или часть изображения, но в сильно искаженном виде). Как в первом, так и во втором случае известный баланс между ценностью требуемой информации и работой, требуемой для ее получения, смещается, вообще говоря, в сторону работы, так как частично или полностью блокируется возможность автоматизации. Таким образом, даже имея все данные, выданные ничего не подозревающим пользователем, например, с целью массово разослать рекламное сообщение (спам), злоумышленнику придется на этапе каждой итерации самостоятельно вводить полученные реквизиты. 

    Уровень операционной системы

    Успех реализации того или иного алгоритма  хакерской атаки на практике в  значительной степени зависит от архитектуры и конфигурации конкретной операционной системы, являющейся объектом этой атаки. Однако имеются атаки, которым может быть подвергнута практически любая операционная система:

• подглядывание за пользователем (пароль высвечивается на экране дисплея, слежение за перемещением пальцев по клавиатуре);
• полный перебор всех возможных вариантов пароля;
• подбор пароля по частоте встречаемости символов, с помощью словарей наиболее часто применяемых паролей, с привлечением знаний о конкретном пользователе и сведений о существовании эквивалентных паролей;
• превышение полномочий (используя ошибки в программном обеспечении или в администрировании операционной системы, хакер получает требуемые полномочия);
• модификация подсистемы аутентификации операционной системы;
• внедрение программ-шпионов;
• подключение по протоколам удаленного доступа.

    Использование сложных паролей и ограничение числа ввода неправильных паролей. Одним из самых простых способов защиты является использование непростых трудноподбираемых паролей. Такой метод хорошо защищает от автоподбора паролей. Пароли, состоящие из специальных символов, прочерков и пробелов, содержащих прописные буквы наряду со строчными буквами и цифрами, гораздо труднее угадать, чем имя матери или дату рождения пользователя. При увеличении длины пароля увеличивается и степень числа возможных комбинаций для подбора.

    Хранение  паролей в зашифрованном  виде.

    Отключение  неиспользуемых служб. К примеру, Telnet и FTP часто весьма уязвимы для сетевых атак и должны быть отключены в случае, если они не используются. Любая запущенная, но неиспользуемая служба – источник повышенной уязвимости системы.

    Службы, которые стоит отключить:

    • Служба IIS (Internet Information Services) – дает возможность использовать компьютер в качестве веб-сервера.

    • Служба NetMeeting Remote Desktop Sharing (обеспечивает удаленный доступ к рабочему столу).

    • Служба Remote Desktop Help Session Manager (позволяет удаленным пользователям получить доступ в систему).

    • Служба удаленного управления реестром (Remote Registry).

    • Маршрутизация и  удаленный доступ (Routing and Remote Access).

    • Служба простого общего доступа к файлам (Simple File Sharing).  
• Служба Telnet. Вместо нее следует использовать SSH.

        • Служба Windows Messenger (ответственна за функционирование «Обработчика предупреждений» (Alerter)).

    Следует также отключить гостевую учетную  записи.

    Аудит файловой системы. Следует постоянно выявлять подозрительные события на предмет взлома системы. Нужно использовать контрольные суммы для важных файлов для проверки их на условие целостности.

    Рассмотрение  защитных механизмов, реализованных  в этой операционной системе, позволяет  сформулировать два необходимых  условия, соблюдение которых является обязательным для обеспечения надежной защиты от имитаторов:

    - системный процесс, который при  входе пользователя в систему получает от него соответствующие регистрационное имя и пароль, должен иметь свой собственный рабочий стол, недоступный другим процессам;

    - переключение на регистрационное  окно рабочего стола аутентификации  должно происходить абсолютно незаметно для прикладных программ, которые к тому же никак не могут повлиять на это переключение (например, запретить его).

    Чтобы обезопасить ОС от фильтров, необходимо обеспечить выполнение следующих трех условий:

    - во время ввода пароля переключение  раскладок клавиатуры не разрешается;

    - конфигурировать цепочку программных  модулей, участвующих в работе  с паролем пользователя, может  только системный администратор; 

    - доступ к файлам этих модулей  имеет исключительно системный  администратор.

    Для того чтобы защитить систему от внедрения заместителя, ее администраторы должны строго соблюдать адекватную политику безопасности. И что особенно важно, подсистема аутентификации должна быть одним из самых защищенных элементов операционной системы.

    Остальные профилактические меры зависят от типа используемой операционной системы. В самых редких случаях бывает достаточно лишь настроек операционной системы по умолчанию без предприятия дальнейших шагов по ее защите.

    Если  в программном обеспечении компьютерной системы нет ошибок и ее администратор строго соблюдает политику безопасности, рекомендованную разработчиками операционной системы, то атаки всех перечисленных пики, малоэффективны. Политика обеспечения безопасности должна проводиться так, чтобы, даже преодолев защиту, создаваемую средствами операционной системы, хакер не смог нанести серьезного ущерба. 

    Защита  на сетевом уровне

    В данном разделе представлены способы  получения паролей, передаваемых в коммутируемых сетях.

    Концентратор  и коммутатор “прозрачны” на канальном уровне (прохождение через них кадра канального уровня никак не сказывается на его содержимом и не может быть обнаружено снифферами).

    Коммутаторы выполняют роль “интеллектуального” перенаправления этого кадра. На каждом сетевом порту поддерживается список МАС-адресов, от которых в последнее время приходили пакеты с этого сетевого кабеля.  
Перенаправление кадра, пришедшего на коммутатор, производится по следующему алгоритму: если МАС-адрес получателя обнаружен в списке для какого-нибудь из портов коммутатора, пакет отправляется только по этому направлению, если же адрес не найден, то пакет копируется во все подключенные сетевые кабели, как в повторителе. Если на каком-либо из портов происходит переполнение списка МАС-адресов, то коммутатор начинает временно работать в режиме повторителя относительно всех своих портов.

    ARP-spoofing. Анализ безопасности протокола ARP показывает, что, перехватив на атакующем хосте внутри данного сегмента сети широковещательный ARP-запрос, можно послать ложный ARP-ответ, в котором объявить себя искомым хостом (например, маршрутизатором), и в дальнейшем активно контролировать сетевой трафик дезинформированного хоста

    MAC-duplication. Установка на хосте злоумышленника MAC-адреса, совпадающего  с адресом другого хоста в сети.

    До  сих пор речь шла о прослушивании незащищенного, нешифрованного трафика. Однако, если пакеты криптографически защищены даже на сетевом уровне, то это не означает, что прослушивание такого информационного потока абсолютно бесполезно. Во-первых, шифрованный пакет есть предмет для криптоанализа. Во-вторых, на основе знаний об объемах трафика и периодичности сетевой активности можно сделать определенные выводы о работе сети. И в-третьих, это возможность проводить статистический и корреляционный анализ шифрованного трафика с нешифрованным (например, пакетами службы сервера имен), который также может представить злоумышленнику полезную информацию.

    Мерами  защиты являются:

    - постоянный  мониторинг сети на предмет  МАС-штормов;

    - анализ  регистрационного журнала коммутатора;

    - использование  arp- и IP-фильтрации;