Дина Погонышева - Безопасность информационных систем. Учебное пособие

При использовании сетевой операционной системы механизмов удаленного поиска существует возможность на атакующей станции перехватить посланный хостом запрос и послать на него ложный ответ. В ответе указывают данные, использование которых приведет к адресации на атакующий хост – ложный сервер. Весь поток обмена информацией между хостом и настоящим сервером будет проходить через ложный сервер.

Ложный сервер – активное воздействие, совершаемое с целью перехвата и искажения информации, являющееся атакой по запросу от атакуемого объекта. Такая удаленная атака является внутрисегментной и межсегментной и осуществляется на канальном, сетевом, транспортном, сеансовом и представительном уровнях модели OSI.

Одной из атак, которую может осуществлять ложный сервер, является перехват передаваемой между сервером и хостом информации. Факт перехвата информации возможен из-за того что при выполнении некоторых операций над файлами (чтение, копирование и т. д.) содержимое этих файлов передается по сети, а значит, поступает на ложный сервер. Простейший способ реализации перехвата – это сохранение в файле всех получаемых ложным сервером пакетов обмена. Данный способ перехвата информации оказывается недостаточно информативным. Это происходит вследствие того, что в пакетах обмена кроме полей данных существуют служебные поля, не представляющие интереса. Следовательно, для того, чтобы получить непосредственно передаваемый файл, необходимо проводить на ложном сервере динамический семантический анализ потока информации для его селекции.

Модификация информации

Одной из особенностей любой системы воздействия, построенной по принципу ложного сервера, является то, что она способна модифицировать перехваченную информацию.

Рассмотрим два вида модификации информации:

1) модификация передаваемых данных;

2) модификация передаваемого кода.

Модификация передаваемых данных . В результате селекции потока перехваченной информации и его анализа система может распознавать тип передаваемых файлов (исполняемый или текстовый). При обнаружении текстового файла или файла данных появляется возможность модифицировать данные, проходящие через ложный сервер. Особую угрозу эта функция представляет для сетей обработки конфиденциальной информации.

Модификация передаваемого кода . Ложный сервер, проводя семантический анализ проходящей через него информации, может выделять из потока данных исполняемый код. Чтобы определить, что передается код или данные по сети необходимо использовать определенные особенности, свойственные реализации сетевого обмена в конкретной сетевой операционной системе или некоторые особенности, присущие конкретным типам исполняемых файлов локальной операционной системе.

Выделяют два различных по цели вида модификации кода:

1) внедрение вредоносных программ;

2) изменение логики работы исполняемого файла. При внедрении вредоносных программ исполняемый файл модифицируется по вирусной технологии. К исполняемому файлу дописывается тело вредоносной программы и изменяется точка входа так, чтобы она указывала на внедренный код вредоносной программы. Файл поражен вирусом или вредоносной программой в момент передачи его по сети. Такое возможно лишь при использовании системы воздействия, построенной по принципу ложный сервер.

Модификация исполняемого кода с целью изменения логики его работы требует предварительного исследования работы исполняемого файла и в случае его проведения может принести негативные результаты. Например, при запуске на сервере программы идентификации пользователей распределенной базы данных ложный сервер может так модифицировать код этой программы, что появится возможность беспарольного входа с наивысшими привилегиями в базу данных.

Подмена информации

Ложный сервер позволяет не только модифицировать, но подменять перехваченную им информацию. Если модификация информации приводит к ее частичному изменению, то подмена – к ее полному изменению. При этом дезинформация в зависимости от контролируемого события может быть воспринята либо как исполняемый код, либо как данные.

Допустим, что ложный сервер контролирует событие, которое заключается в подключении пользователя к серверу. В этом случае он ожидает, например, запуска соответствующей программы входа в систему. В случае, если эта программа находится на сервере, то при ее запуске исполняемый файл передается на рабочую станцию. Вместо того чтобы выполнить данное действие, ложный сервер передает на рабочую станцию код заранее написанной специальной программы – захватчика паролей. Эта программа выполняет визуально те же действия, что и настоящая программа входа в систему, например, спрашивается имя и пароль пользователя, после чего полученные сведения посылаются на ложный сервер, а пользователю выводится сообщение о ошибке. При этом пользователь, посчитав, что он неправильно ввел пароль (пароль обычно не отображается на экране), снова запустит программу подключения к системе и со второго раза войдет в нее. Результат такой атаки – имя и пароль пользователя, сохраненные на ложном сервере.