Ростелеком ТВ 

Виды хакерских атак. Виды компьютерных атак

переполнение буферов, являются составной частью многих видов вредоносных атак. Атаки переполнения имеют, в свою очередь , много разновидностей. Одна из наиболее опасных предполагает ввод в диалоговое окно , помимо текста, присоединенного к нему исполняемого кода. Такой ввод может привести к записи этого кода поверх исполняемой программы, что рано или поздно вызовет его исполнение . Последствия нетрудно себе представить.

"Пассивные" атаки с помощью, например, sniffer , особенно опасны, так как, во-первых, практически не детектируемы, во-вторых, предпринимаются из локальной сети (внешний Firewall бессилен).

Вирусы - вредоносные программы, способные к самокопированию и к саморассылке. Еще в декабре 1994 года я получил предупреждение о распространении сетевых вирусов (good times и xxx-1) по Интернет :

С момента создания до момента обнаружения вируса проходят часы, дни, недели, а иногда и месяцы. Это зависит от того, насколько быстро проявляются последствия заражения. Чем это время больше, тем большее число ЭВМ оказывается заражено. После выявления факта заражения и распространения новой разновидности вируса требуется от пары часов (например, для Email_Worm.Win32.Bagle.bj) до трех недель (W32.Netsky.N@mm) на выявление сигнатуры, создания противоядия и включения его сигнатуры в базу данных противовирусной программы. Временная диаграмма жизненного цикла вируса представлена на рис. 12.1 (" Network Security ", v.2005, Issue 6, June 2005, p 16-18). Только за 2004 год зарегистрировано 10000 новых сигнатур вирусов . Червь Blaster заразил 90% машин за 10 минут. За это время антивирусная группа должна обнаружить объект , квалифицировать и разработать средство противодействия. Понятно, что это нереально. Так что антивирусная программа является не столько средством противодействия, сколько успокоительным . Эти же соображения справедливы и для всех других видов атак. Когда сигнатура атаки становится известной, сама атака обычно не опасна, так как уже выработаны средства противодействия и уязвимость перекрыта. Именно по этой причине такое внимание уделяется системе управления программными обновлениями (пэтчами).

Некоторые вирусы и черви имеют встроенные SMTP-программы, предназначенные для их рассылки, и люки для беспрепятственного проникновения в зараженную машину. Новейшие версии снабжены средствами подавления активности других вирусов или червей. Таким образом могут создаваться целые сети зараженных машин (BotNet ), готовых по команде начать, например, DDoS -атаку. Для управления такими машинами-зомби может использоваться протокол IRC ( Internet Relay Chart ). Эта система рассылки сообщений поддерживается большим числом серверов и поэтому такой канал обычно трудно отследить и запротоколировать. Этому способствует также то, что большинство систем более тщательно контролируют входной трафик, а не выходной. Следует иметь в виду, что зараженная машина может служить, помимо DoS-атак , для сканирования других ЭВМ и рассылки SPAM , для хранения нелегальных программных продуктов, для управления самой машиной и кражи документов, хранящихся там, для выявления паролей и ключей, используемых хозяином. Ущерб от вируса Blaster оценивается в 475000$.

К сожалению, пока не придумано надежных средств обнаружения новых вирусов (сигнатура которых не известна) .


Рис. 12.1.

В 2005 году выявлена еще одна угроза – распространение вирусов и сетевых червей с помощью программ-роботов поисковых систем ( bots ), базирующихся на IRC .

Программы bots не всегда опасны, некоторые их разновидности применяются для сбора данных, в частности, о предпочтениях клиентов, а в поисковой системе Google они работают для сбора и индексации документов. Но в руках хакера эти программы превращаются в опасное оружие. Наиболее известная атака была предпринята в 2005 году, хотя подготовка и "первые опыты" начались в сентябре 2004 года. Программа искала машины со специфическими уязвимостями, в частности, LSASS ( Local Security Authority Subsystem Service , Windows ). Подсистема LSASS, призванная способствовать обеспечению безопасности, оказалась сама уязвимой для атак типа переполнения буфера. Хотя уязвимость уже ликвидирована, число машин с необновленной версией остается значительным. После вторжения хакер обычно использует IRC для выполнения нужных ему операций (открытие определенного порта, рассылка SPAM , запуск сканирования других потенциальных жертв). Новой особенностью таких программ является их встраивание в операционную системы таким образом (rootkit ), что они не могут быть обнаружены, так как размещаются в зоне ядра ОС. Если антивирусная программы попытается получить доступ к определенной области памяти с целью выявления вредоносного кода, rootkit перехватывает такой запрос и отправляет тестирующей программе уведомление, что все в порядке. Что еще хуже, bot-программы могут модифицировать содержимое

Kaspersky Internet Security защищает ваш компьютер от сетевых атак.

Сетевая атака – это вторжение в операционную систему удаленного компьютера. Злоумышленники предпринимают сетевые атаки, чтобы захватить управление над операционной системой, привести ее к отказу в обслуживании или получить доступ к защищенной информации.

Сетевыми атаками называют вредоносные действия, которые выполняют сами злоумышленники (такие как сканирование портов, подбор паролей), а также действия, которые выполняют вредоносные программы, установленные на атакованном компьютере (такие как передача защищенной информации злоумышленнику). К вредоносным программам, участвующим в сетевых атаках, относят некоторые троянские программы, инструменты DoS-атак, вредоносные скрипты и сетевые черви.

Сетевые атаки можно условно разделить на следующие типы:

  • Сканирование портов . Этот вид сетевых атак обычно является подготовительным этапом более опасной сетевой атаки. Злоумышленник сканирует UDP- и TCP-порты, используемые сетевыми службами на атакуемом компьютере, и определяет степень уязвимости атакуемого компьютера перед более опасными видами сетевых атак. Сканирование портов также позволяет злоумышленнику определить операционную систему на атакуемом компьютере и выбрать подходящие для нее сетевые атаки.
  • DoS-атаки , или сетевые атаки, вызывающие отказ в обслуживании. Это сетевые атаки, в результате которых атакуемая операционная система становится нестабильной или полностью неработоспособной.

    Существуют следующие основные типы DoS-атак:

    • Отправка на удаленный компьютер специально сформированных сетевых пакетов, не ожидаемых этим компьютером, которые вызывают сбои в работе операционной системы или ее остановку.
    • Отправка на удаленный компьютер большого количества сетевых пакетов за короткий период времени. Все ресурсы атакуемого компьютера используются для обработки отправленных злоумышленником сетевых пакетов, из-за чего компьютер перестает выполнять свои функции.
  • Сетевые атаки-вторжения . Это сетевые атаки, целью которых является "захват" операционной системы атакуемого компьютера. Это самый опасный вид сетевых атак, поскольку в случае ее успешного завершения операционная система полностью переходит под контроль злоумышленника.

    Этот вид сетевых атак применяется в случаях, когда злоумышленнику требуется получить конфиденциальные данные с удаленного компьютера (например, номера банковских карт или пароли) либо использовать удаленный компьютер в своих целях (например, атаковать с этого компьютера другие компьютеры) без ведома пользователя.

  1. На закладке Защита в блоке Защита от сетевых атак снимите флажок .

Вы также можете включить Защиту от сетевых атак в Центре защиты . Отключение защиты компьютера или компонентов защиты значительно повышает риск заражения компьютера, поэтому информация об отключении защиты отображается в Центре защиты.

Важно: Если вы выключили Защиту от сетевых атак, то после перезапуска Kaspersky Internet Security или перезагрузки операционной системы она не включится автоматически и вам потребуется включить ее вручную.

При обнаружении опасной сетевой активности Kaspersky Internet Security автоматически добавляет IP-адрес атакующего компьютера в список заблокированных компьютеров, если этот компьютер не добавлен в список доверенных компьютеров.

  1. В строке меню нажмите на значок программы.
  2. В открывшемся меню выберите пункт Настройки .

    Откроется окно настройки программы.

  3. На закладке Защита в блоке Защита от сетевых атак установите флажок Включить Защиту от сетевых атак .
  4. Нажмите на кнопку Исключения .

    Откроется окно со списком доверенных компьютеров и списком заблокированных компьютеров.

  5. Откройте закладку Заблокированные компьютеры .
  6. Если вы уверены, что заблокированный компьютер не представляет угрозы, выберите его IP-адрес в списке и нажмите на кнопку Разблокировать .

    Откроется окно подтверждения.

  7. В окне подтверждения выполните одно из следующих действий:
    • Если вы хотите разблокировать компьютер, нажмите на кнопку Разблокировать .

      Kaspersky Internet Security разблокирует IP-адрес.

    • Если вы хотите, чтобы Kaspersky Internet Security никогда не блокировал выбранный IP-адрес, нажмите на кнопку Разблокировать и добавить к исключениям .

      Kaspersky Internet Security разблокирует IP-адрес и добавит его в список доверенных компьютеров.

  8. Нажмите на кнопку Сохранить , чтобы сохранить изменения.

Вы можете сформировать список доверенных компьютеров. Kaspersky Internet Security не блокирует IP-адреса этих компьютеров автоматически при обнаружении исходящей с них опасной сетевой активности.

При обнаружении сетевой атаки Kaspersky Internet Security сохраняет информацию о ней в отчете.

  1. Откройте меню Защита .
  2. Выберите пункт Отчеты .

    Откроется окно отчетов Kaspersky Internet Security.

  3. Откройте закладку Защита от сетевых атак .

Примечание: Если компонент Защита от сетевых атак завершил работу с ошибкой, вы можете просмотреть отчет и попробовать перезапустить компонент. Если вам не удается решить проблему, обратитесь в Службу технической поддержки.

Цель любой атаки – это устранение конкурента, отбирающего клиентов, ну или просто уникальных посетителей. Многие вебмастера не всегда используют для продвижения своего детища только «белые» методы. Не обходиться и без «черных». За счет продвижения черными методами, владелец компании или просто сайта продвигается в ТОП выдачи за счет уничтожения своих конкурентов.

Но самое страшно, что жертвой атаки могут стать ни в чем неповинные сайты, возможно даже те которые только недавно были созданы, такое может случиться, если атакуют весь сервер. Кстати говоря, это та самая причина по которой нужно покупать выделенный IP для своего сайта. И даже не смотря на то, что данные атаки караются по закону, большинство это не останавливает.

Защитить свой сайт на 100% нельзя. Если у злоумышленников имеется большой бюджет на это дело и сильное желание, то их вряд ли что-то может остановить.

Цели атак

Выделяют несколько основных целей:

— Кража паролей пользователей, доступ в закрытые разделы;

— «Уничтожение» сервера. Цель, довести до нерабочего состояния;

— Получить неограниченный доступ к серверу;

— Вживление в код ссылок, различных вирусов и прочего;

— Понижение сайта в поисковой выдаче до полного его выпадения.

Помимо выше перечисленного атаки делятся на внутренние и внешние. К внутренним можно отнести различные взломы для доступа к сайту или серверу, а к внешним , клевету или спам.

Вести борьбу с внутренними видами атак можно и довольно активно. Что же касается внешних, то тут все гораздо сложнее. Все дело в том, что владелец сервера не может взять ситуацию под контроль, что делает его очень уязвимым.

Виды атак

Ddos атака

Это самая, извиняюсь, поршивая разновидность. Следствием такой атаки будет являться полная остановка сервера, а может даже и нескольких серверов. Самое плохое заключается в том, что 100% полной защиты от DDoS не существует. Если атака не из слабых, то сервер будет находиться в нерабочем состоянии пока не будет прекращена атака.

Очередной характерной чертой DDoS-атак, является её доступность. Чтобы «завалить» сервер конкурента, не нужно быть в этом деле профи хакером. Для этого нужны всего лишь деньги или собственный ботнет (Ботнет- сеть зараженных компьетеров). А для слабенького ддоса хватит нескольких компьютеров.

Ddos – перевод данной аббревиатуры звучит как «распределенный отказ от обслуживания». Смысл атаки, заключается в одновременном, огромном обращении к серверу, которое происходит с многочисленных компьютеров.

Читайте также: Чемпионат Европы по футболу 2016. Ставки сделаны

Как мы знаем у любого сервера есть максимальный предел нагрузки, и если эту нагрузку превысить, что и делает ддос-атака, то сервер «погибает».

Самое интересное, что в атаках участвуют обычные пользователи сети, сами того не зная. И чем больше новых юзеров в сети интернет, тем более армия ботнета, и как следствие сила атаки будет расти в геометрической прогрессии. Но сегодня хакеры перенаправили свои силы с ддос атак на мошеннические проделки для непосредственного заработка денег.

Мощность атак измеряется объемом трафика, направляемого на сервер конкурента в секунду. Атакам, объем трафика которых более нескольких ГБ/сек, противостоять очень сложно. Такой объем трафа очень сложно отфильтровать, практически невозможно. Такие мощные атаки, как правило не длятся долго, но даже и одни сутки простоя крупной компании может нанести серьезный ущерб в виде падения продаж и репутации.

Кстати атакуют не только отдельные сервера, а так же национальные сети, в результате чего отрубается сеть в целых регионах.

Для профилактики следует размещать свои сайты на серверах, на которых есть внушительный запас ресурсов, для того чтобы у вас было время принять меры.

В качестве простых методов против слабых атак можно порекомендовать:
— отдавать вместо главной страницы сайта (если атака идет на нее) страницу с редиректом. Так как ее размер намного меньше, то и нагрузка на сервер будет несравненно меньше; — если количество соединений с одного айпи превышает определенное число, заносить его в черный список;
— уменьшить число клиентов (MaxClients), одновременно подключенных к серверу;
— заблокировать зарубежный трафик, так как чаще всего атаки идут из стран Азии;

Нужно иметь отдельный независимый канал к серверу, через который можно будет получить к нему доступ в случае недоступности основного. Все серверное программное обеспечение нужно регулярно обновлять, ставить все выходящие патчи.

Некое подобие ддос-атаки могут спровоцировать поисковые или иные роботы, активно индексирующие сайт. Если движок сайта не оптимизирован, большое количество обращений к страницам за короткий промежуток времени вызовет слишком высокую нагрузку на сервер.

Взлом сервера и размещение ссылок или вирусов

Многие начинающие вебмастера обнаруживают скрытые ссылки на своих сайтах лишь тогда, когда эти ссылки уже привели к негативным последствиям – например, блокировка сайта хостером, выпадение из индекса поисковых систем, жалоба на домен. Тогда и обнаруживается, что сайт был взломан, и на нем размещены ссылки или с целью продвижения других ресурсов, или для распространения вирусов и троянов.

Читайте также: Как быстро научиться продавать товары?

Есть вероятность, что был осуществлен взлом непосредственно сервера хостинга. Но в большинстве случаев подобные гадости на сайты попадают через дыры в движках сайта или как следствие халатности вебмастера при хранении паролей.

Скрытые ссылки являются одной из популярных причин санкций поисковиков, в частности, может быть значительная пессимизация (падение всех позиций на несколько сотен пунктов), выйти из-под которой будет крайне сложно. Если вставлены будут не просто ссылки, а код вируса, то хостер может просто удалить сайт без предупреждения. Ресурс и его айпи-адрес могут также попасть в черные списка сомнительной (если не сказать мошеннической) конторы Спамхаус, что означает конец, так как выйти оттуда практически невозможно.

Профилактика простая – следить за обновлениями движков, устанавливать все новые версии и выходящие регулярные дополнения. А пароли просто не хранить у себя на компьютере в открытом виде. Это же касается и всего серверного программного обеспечения.

Определенную опасность представляет предсказуемые названия служебных папок и файлов. (Predictable Resource Location). Путем простого перебора хакер определит их нахождение – и у него будет преимущество. Тут стоит пожертвовать удобством ради безопасности.

SQL-инъекция

Исполнение злоумышленником sql-запроса на чужом сервере, используя уязвимости движков, несовершенство программного кода. Суть бреши безопасности заключается в том, что в GET-параметре можно передать произвольный sql-запрос. Поэтому все строковые параметры необходимо экранировать (mysql_real_escape_string) и обрамлять кавычками.

Использовав инъекцию, хакер может совершить практически любое действие с базой данных – удалить ее, получить доступ к пользовательским данным и паролям и т. п.

Суть XSS-атаки заключается во внедрении в страницу, которая генерируется скриптом, произвольного кода. Это работает, если переменная, передаваемая в адресе страницы, не проверяется на присутствие в ней символов типа кавычек.

Основная опасность – кража cookies, и, следовательно, получение доступа к аккаунтам пользователей. Также хакер может получить информацию о системе посетителя, об истории посещенных сайтов и т. п. Внедрить также можно не только java-скрипт, а и ссылку на php-скрипт, размещенный на стороннем сервере, что намного опаснее.

Одно время этот метод применялся в «черном» СЕО для получения бесплатных ссылок. Владельцам сайтов это не особо вредило.

Спам с адресом сайта и реквизитами

Метод, по большому счету, безобидный, но тут опять же вступает вышеупомянутый Спамхаус. Буквально по одной жалобе сайт и его айпи могут быть занесены в черный список, и хостер будет вынужден отказать в обслуживании. А разослать несколько сотен тысяч писем с адресом любого сайта стоит копейки. Спамить также могут форумы, комментарии и т. п., и крайне сложно будет доказать, что этим занимались конкуренты.

Я немного рассказал кто такие хакеры, а в этой статье хочу продолжить данную тему и написать о видах хакерских атак и дать рекомендации по их предотвращению.

Атакой (attack) на информационную систему называется действие или последовательность связанных между собой действий нарушителя, которые приводят к реализации угрозы путем использования уязвимостей этой информационной системы. Приступим к изучению атак:

Fishing

Fishing (или Фишинг). Смысл его в том, чтобы получить от пользователей информацию (пароли, номера кредитных карт и т.д.) или деньги. Этот приём направлен не на одного пользователя, а на многих. Например, письма якобы от службы технической поддержки рассылаются всем известным клиентам какого-либо банка. В письмах обычно содержится просьба выслать пароль к учётной записи, якобы из-за проведения каких-либо технических работ. Подобные письма, обычно очень правдоподобно и грамотно составлены, что, возможно, подкупает доверчивых пользователей.

Подробнее о фишинге можете узнать в статье “ “.

Рекомендации: Паранойя – лучшая защита. Не доверяйте ничему подозрительному, никому не давайте свои данные. Администраторам не нужно знать Ваш пароль, если он предназначен для доступа к их серверу. Они полностью управляют сервером и могут сами посмотреть пароль или изменить его.

Социальная инженерия

Социальная инженерия – это не технический, а психологический приём. Пользуясь данными, полученными при инвентаризации, взломщик может позвонить какому-либо пользователю (например, корпоративной сети) от имени администратора и попытаться узнать у него, например, пароль. Это становится возможным, когда в больших сетях, пользователи не знают всех работников, и тем более не всегда могут точно узнать их по телефону. Кроме этого, используются сложные психологические приёмы, поэтому шанс на успех сильно возрастает.

Рекомендации: те же самые. Если действительно есть необходимость, то сообщите нужные данные лично. Если Вы записали пароль на бумаге, не оставляйте её где попало и по возможности уничтожайте, а не просто выбрасывайте в мусорную корзину.

DoS

DoS (Denial of Service или Отказ от Обслуживания). Это не отдельная атака, а результат атаки; используется для вывода системы или отдельных программ из строя. Для этого взломщик особым образом формирует запрос к какой-либо программе, после чего она перестаёт функционировать. Требуется перезагрузка, чтобы вернуть рабочее состояние программы.

Smurf

Smurf (атака, направленная на ошибки реализации TCP-IP протокола). Сейчас этот вид атаки считается экзотикой, однако раньше, когда TCP-IP протокол был достаточно новым, в нём содержалось некоторое количество ошибок, которые позволяли, например, подменять IP адреса. Однако, этот тип атаки применяется до сих пор. Некоторые специалисты выделяют TCP Smurf, UDP Smurf, ICMP Smurf. Конечно, такое деление основано на типе пакетов.

UDP Storm

UDP Storm (UDP шторм) – используется в том случае, если на жертве открыто как минимум два UDP порта, каждый из которых отсылает отправителю какой-нибудь ответ. Например, порт 37 с сервером time на запрос отправляет текущую дату и время. Взломщик отправляет UDP пакет на один из портов жертвы, но в качестве отправителя указывает адрес жертвы и второй открытый UDP порт жертвы. Тогда порты начинают бесконечно отвечать друг другу, что снижает производительность. Шторм прекратится, как только один из пакетов пропадёт (например, из-за перегрузки ресурсов).

UDP Bomb

UDP Bomb – взломщик отправляет системе UDP пакет с некорректными полями служебных данных. Данные могут быть нарушены как угодно (например, некорректная длина полей, структура). Это может привести к аварийному завершению. Рекомендации: обновите ПО.

Mail Bombing

Mail Bombing («Почтовая бомбёжка»). Если на атакуемом компьютере есть почтовый сервер, то на него посылается огромное количество почтовых сообщений с целью вывода его из строя. Кроме того, такие сообщения сохраняются на жёстком диске сервера и могут переполнить его, что может вызвать DoS. Конечно, сейчас эта атака, скорее история, но в некоторых случаях всё же может быть использована. Рекомендации: грамотная настройка почтового сервера.

Sniffing

Sniffing (Сниффинг или прослушивание сети). В том случае, если вместо коммутаторов в сети установлены концентраторы, полученные пакеты рассылаются всем компьютерам в сети, а дальше уже компьютеры определяют для них этот пакет или нет.

Если взломщик получит доступ к компьютеру, который включен в такую сеть, или получит доступ к сети непосредственно, то вся информация, передаваемая в пределах сегмента сети, включая пароли, станет доступна. Взломщик просто поставит сетевую карту в режим прослушивания и будет принимать все пакеты независимо от того, ему ли они предназначались.

IP Hijack

IP Hijack (IP хайджек). Если есть физический доступ к сети, то взломщик может «врезаться» в сетевой кабель и выступить в качестве посредника при передаче пакетов, тем самым он будет слушать весь трафик между двумя компьютерами. Очень неудобный способ, который часто себя не оправдывает, за исключением случаев, когда никакой другой способ не может быть реализован. Подобное включение само по себе неудобно, хотя есть устройства, которые немного упрощают эту задачу, в частности они следят за нумерацией пакетов, чтобы избежать сбоя и возможного выявления вторжения в канал.

Dummy DNS Server

Dummy DNS Server (ложный DNS Сервер). Если настройки сети поставлены в автоматический режим, то при включении в сеть, компьютер «спрашивает» кто будет его DNS сервером, к которому он в дальнейшем будет отправлять DNS запросы. При наличии физического доступа к сети, взломщик может перехватить такой широковещательный запрос и ответить, что его компьютер будет DNS сервером. После этого он сможет отправлять обманутую жертву по любому маршруту. Например, жертва хочет пройти на сайт банка и перевести деньги, взломщик может отправить её на свой компьютер, где будет сфабрикована форма ввода пароля. После этого пароль будет принадлежать взломщику. Достаточно сложный способ, потому что взломщику необходимо ответить жертве раньше, чем DNS сервер.

IP-Spoofing

IP-Spoofing (Спуфинг или Подмена IP адреса). Атакующий подменяет свой реальный IP фиктивным. Это необходимо, если доступ к ресурсу имеют только определённые IP адреса. Взломщику нужно изменить свой реальный IP на «привилегированный» или «доверенный», чтобы получить доступ. Этот способ может быть использован по-другому. После того, как два компьютера установили между собой соединение, проверив пароли, взломщик может вызвать на жертве перегрузку сетевых ресурсов специально сгенерированными пакетами. Тем самым он может перенаправить трафик на себя и таким образом обойти процедуру аутентификации.

Рекомендации: угрозу снизит уменьшение времени ответного пакета с установленными флагами SYN и ACK, а также увеличить максимальное количество SYN-запросов на установление соединения в очереди (tcp_max_backlog). Так же можно использовать SYN-Cookies.

Software vulnerabilities

Software vulnerabilities (Ошибки ПО). Использование ошибок в программном обеспечении. Эффект может быть разный. От получения несущественной информации до получения полного контроля над системой. Атаки через ошибки ПО самые популярные во все времена. Старые ошибки исправляются новыми версиями, но в новых версиях появляются новые ошибки, которые опять могут быть использованы.

Вирусы

Самая известная простому пользователю проблема. Суть во внедрении вредоносной программы в компьютер пользователя. Последствия могут быть различны и зависят от вида вируса, которым заражён компьютер. Но в целом – от похищения информации до рассылки спама, организации DDoS атак, а так же получения полного контроля над компьютером. Помимо прикрепленного к письму файла, вирусы могут попасть в компьютер через некоторые уязвимости ОС.

Все сетевые атаки можно разделить на два класса: пассивные и активные.

В общем случае существует информационный поток от отправителя (файл, пользователь, компьютер) к получателю (файл, пользователь, компьютер):

Пассивная атака

Пассивной называется атака, при которой противник не имеет возможности модифицировать передаваемые сообщения и вставлять в информационный канал между отправителем и получателем свои сообщения. Целью пассивной атаки может быть только прослушивание передаваемых сообщений и анализ трафика.

Активная атака

Активной называется атака, при которой противник имеет возможность модифицировать передаваемые сообщения и вставлять свои сообщения. Различают следующие типы активных атак:

1. Отказ в обслуживании - DoS-атака (Denial of Service). Примером подобной атаки является создание значительного трафика, в результате чего сетевой сервис не сможет обрабатывать запросы законных клиентов. Классическим примером такой атаки в сетях TCP/IP является SYN-атака, при которой нарушитель посылает пакеты, инициирующие установление ТСР-соединения, но не посылает пакеты, завершающие установление этого соединения. В результате может произойти переполнение памяти на сервере, и серверу не удастся установить соединение с законными пользователями.

2. Модификация потока данных. Модификация потока данных означает либо изменение содержимого пересылаемого сообщения, либо изменение порядка сообщений.

3. Создание ложного потока (фальсификация). Фальсификация (нарушение аутентичности) означает попытку одного субъекта выдать себя за другого.

4. Повторное использование. Повторное использование означает пассивный захват данных с последующей их пересылкой для получения несанкционированного доступа (replay-атака). Replay-атаки являются одним из вариантов фальсификации. В силу широкого распространения ее рассматривают как отдельный тип атаки.

Определение проблематики иб

Важность проблематики ИБ объясняется двумя основными причинами:

    ценностью накопленных информационных ресурсов;

    критической зависимостью от информационных технологий.

Разрушение важной информации, кража конфиденциальных данных, перерыв в работе вследствие отказа - все это выливается в крупные материальные потери, наносит ущерб репутации организации. Проблемы с системами управления или медицинскими системами угрожают здоровью и жизни людей.

Современные информационные системы сложны и поэтому уязвимы даже без учета активности злоумышленников. Постоянно обнаруживаются новые уязвимые места в программном обеспечении. Приходится принимать во внимание чрезвычайно широкий спектр аппаратного и программного обеспечения, многочисленные связи между компонентами.

Меняются принципы построения корпоративных ИС. Используются многочисленные внешние информационные сервисы, предоставляются вовне собственные сервисы. Получил широкое распространение "аутсорсинг", когда часть функций корпоративной ИС передается внешним организациям.

Сложность проблематики ИБ подтверждается параллельным ростом затрат на защитные мероприятия, количества нарушений ИБ в сочетании с ростом среднего ущерба от каждого нарушения.

Успех в области информационной безопасности может принести только комплексный подход, сочетающий меры четырех уровней:

    законодательного;

    административного;

    процедурного;

    программно-технического.

Проблема ИБ - не только техническая, без законодательной базы, без постоянного внимания руководства организации и выделения необходимых ресурсов, без мер управления персоналом и физической защиты решить ее невозможно. Комплексность также усложняет проблематику ИБ, требуется взаимодействие специалистов из разных областей.