Дина Погонышева - Безопасность информационных систем. Учебное пособие

Сетевой шпион или удаленный контроль над станцией в сети

Сетевой шпион – это программная закладка или компьютерный вирус, функционирующий в сети ЭВМ, основная цель которого получение удаленного контроля над рабочей станцией в сети. Данный вид вредоносных программ добавляет еще один тип атак на сетевые операционные системы – удаленный съем информации и получение удаленного контроля над рабочей станцией в сети.

Основные этапы работы сетевого шпиона:

1) инсталляция в памяти;

2) ожидание запроса с удаленного атакующего компьютера, на котором запущена головная сервер-программа, и обмен с ней сообщениями о готовности;

3) передача перехваченной информации на головную сервер-программу или предоставление ей контроля над зараженным компьютером.

Основные функции сетевых шпионов:

1) перехват и передача вводимой с клавиатуры формации на головную сервер-программу;

2) перехват и передача экранной информации на головную сервер-программу;

3) перехват и передача на головную сервер-программу системной информации об ЭВМ (тип операционной системы, параметры ЭВМ, загруженные программы и т. д.);

4) получение контроля сервер-программой над зараженным удаленным компьютером (удаленный запуск программ, копирование данных, удаление данных и т. д.).

Сетевой шпион – активная атака по запросу, совершаемая с целью перехвата и искажения информации. Сетевой шпион это внутрисегментная и межсегментная удаленная атака, осуществляемая на сетевом уровне модели OSI.

Сетевой червь (WORM)

В сетях ЭВМ существует вид вирусов, называемый сетевыми червями (worm), распространяющийся в ней. Основная цель и задача сетевого червя – получение управления в операционной системе удаленного компьютера.

Основные этапы работы сетевого червя: 1. Поиск в сети цели атаки – удаленных ЭВМ.

2. Передача по сети своего кода на цель атаки.

3. Получение управления в операционной системе цели атаки.

4. Переход к п. 1. Основной проблемой для сетевого червя является получение управления на удаленном компьютере. Решение этой задачи на практике чрезвычайно затруднено, так как для ее решения необходимо либо знать имя и пароль пользователя для входа в компьютер, либо обладать информацией о люках или дырах в программном обеспечении, через которое осуществляется удаленный доступ, либо использовать ошибки администрирования служб предоставления удаленного доступа. Сетевой червь – активное воздействие, совершаемое с целью перехвата и искажения информации, начало которого безусловно по отношению к цели атаки. Сетевой червь – это внутрисегментная и межсегментная удаленная атака, осуществляемая на сетевом уровне модели OSI.

Межсетевой экран – инструмент реализации политики безопасности

Так как компьютерные системы разнородны (даже компьютеры одного типа и с одной операционной системой могут в соответствии с их назначением иметь различные конфигурации), то не имеет смысла осуществлять защиту каждого элемента системы в отдельности. Необходимо обеспечивать информационную безопасность для локальной сети в целом. Для этого используют межсетевые экраны (firewall или Брандма ́уэр).

Межсетевой экран – это средство разграничения доступа клиентов из одного множества к серверам из другого множества. Межсетевой экран выполняет свои функции, контролируя все информационные потоки между двумя множествами систем (Рис. 4).

Рис. 4.Межсетевой экран как средство разграничения доступа

В простейшем случае межсетевой экран состоит из двух механизмов. Первый ограничивает перемещение данных. Второй, наоборот, ему способствует, т. е. осуществляет перемещение данных. В более общем случае межсетевой экран удобно представлять себе как последовательность фильтров. Каждый из них может задержать (не пропустить) данные, а может и сразу «перебросить» их «на другую сторону». Допускается передача данных на следующий фильтр для продолжения анализа, или обработка данных от имени адресата и возврат результата отправителю (Рис. 5).

Рис. 5.Межсетевой экран как последовательность фильтров