 ПОЗНАВАТЕЛЬНОЕ
| Возможные атаки и методы взлома ОС 12
Все виды атак, которые могут быть проведенные против ОС можно разделить на два класса: локальные и удаленные атаки. Локальные атаки являются наиболее эффективными и действенными. Они возможны тогда, когда проводящее их лицо имеет прямой физический доступ к системе или объект, проводящий локальную атаку, представлен какой-либо исполняемой сущностью, например, программой-вирусом или трояном. К другим типам локальных взломщиков относятся специальные письма, содержащие деструктивный («психологический») код, а также другие методы воздействия на пользователя или систему, связанные с запуском соответствующих программ-взломщиков на компьютере пользователя. Удаленные атаки являются наиболее распространенными и производятся в локальных или глобальных сетях, включая модемные соединения Интернет. Удаленные атаки бывают не столь эффективны, в худшем случае заканчиваются DoS (Denied of Service) атакой, в ходе которой нарушается нормальное функционирование компьютера подключенного к сети, что приводит к его зависанию или перезагрузке, в результате могут оказаться потерянными данные, которые пользователь не успел сохранить. Если же компьютер, против которого осуществлялась атака, был сервером организации, то из-за прекращения его работы компания может понести убытки. Для рабочих станций, использующих модемное соединение для выхода в Интернет, взломщикам атаки провести гораздо сложнее. Чтобы избежать локальных атак посредством вирусов и троянов достаточно использовать антивирусы, которые осуществляют мониторинг системы и электронной почты. Удаленные и локальные атаки имеют общую структуру проникновения на компьютер. В н.в. для проникновения на компьютер используются сложные технологии, основывающиеся на системном программировании и знании архитектуры ОС, против которой они проводятся. Зачастую, чтобы найти метод проникновения, взломщику необходимо провести несколько месяцев в исследовании операционной системы, приложений, системных сервисов и программ, предположительно запущенных на компьютере-жертве. Однако, независимо от конкретного пути проникновения в каждую определенную систему, взломщиками используется один и тот же метод, называемый «переполнение буфера» (buffer overflow). Этот метод заключается в запуске программы взломщиков, посредством программного обеспечения, например, сервиса удаленного вызова процедур (RPC), контроля сети или даже какого-либо драйвера устройства, запущенного на компьютере-жертве. Сущностью этой технологии взлома является «подсовывание» программе постоянно работающей или часто запускаемой в системе, например, в ответ на какое-либо событие, некоторой информации, которая содержит в себе не только сами данные, но и исполняемую программу, составленную взломщиками для данной системы. Программа на компьютере-жертве принимает вместе с исполняемой программой данные, предложенные ей взломщиками, а затем, после специального запроса, запускается и сама программа сетевых взломщиков. Чаще всего для этих целей используется методика, в которой данные налагаются на стек таким образом, чтобы при выходе из процедуры получения данных, в программе-жертве произошел запуск программы сетевых взломщиков. Даже в самой простой программе могут быть сотни мест, в которых взломщики могут произвести переполнение буфера и запустить свой код. Производители стараются быстро находить такие места в своих программных продуктах и быстро их корректировать, но взломщики находят все новые и новые уязвимости. В настоящий момент более или менее действующим средством от удаленных атак переполнения буфера является установка брандмауэров (firewall), отбрасывающих все подозрительные соединения, которые пытаются установить сетевые пользователи. Однако перегрузки буфера возможны и в самом брандмауэре. Поэтому до недавнего времени считалось, что надежной защиты от атак перегрузкой буфера не существует. Ситуация начала меняться лишь в последнее время, когда компания AMD (Advanced Micro Devices, http://www.amd.com/) впервые в истории компьютерной индустрии предложила радикальное решение этой проблемы. Оно основывается на аппаратной защите Enhance Virus Protection, заложенной в новейшие и наиболее технологичные микропроцессоры этой компании. Основной идей является предотвращение исполнения подозрительного кода. Однако данные функции, помимо микропроцессора, должна поддерживать и сама операционная система. Для функционирования данной системы защиты под Windows XP необходимо обновление Service Pack 2 или выше. Если взломщикам удалось запустить свою программу на компьютере, первое, о чем они подумают: какие права они имеют в вашей системе, а также смогут ли они с этими правами выполнить свои задачи или нет, т.к. все процессы в Windows XP работают с разными правами. Чаще всего у взломщиков будут те права, которые имеет программа, от имени которой они действуют. Если взломщикам удалось методом перегрузки буфера взломать какой-то сетевой сервис в случае удаленной атаки, то они смогут работать в системе только от его имени и под его правами (вероятно, что это будет группа SYSTEM или какая-либо другая, в зависимости от сервиса и настроек системы). Поэтому для обеспечения защиты системы необходимо стремиться к тому, чтобы запущенные приложения и сервисы обладали только теми правами, которые им действительно нужны. Однако это понимают и взломщики (сетевые кракеры), поэтому они используют двойной взлом системы, который заключается в том, чтобы вначале провести удаленную атаку и получить доступ к системе-жертве, а затем повысить свои права в системе. Это достигается за счет второго взлома какой-либо исполняемой сущности, которая имеет требуемые права. Второй взлом фактически является локальной атакой, так как взломщики уже имеют доступ к компьютеру. Локальные атаки выполняются с целью получение больших прав, в идеале – прав системного администратора. Поэтому необходимо поставить взломщикам дополнительные барьеры от проникновения в систему, для чего необходимо всем пользователям работать в системе только с теми правами, которые им действительно нужны. В случае если взломщики получили права системного администратора или опытных пользователей группы Power Users, то система становится уже управляемой ими, что может привести к полной потере важной информации или к утечке коммерческой информации за пределы компании.
Практическая часть Вопросы по разделу
1. Из каких частей состоит архитектура функционирования ОС Windows XP? 2. Какие уровни привилегий предусматривается в аппаратной архитектуре процессоров, совместимых с семейством Intel x86? 3. В каком режиме функционируют программы ядра ОС Windows XP? 4. Какие программы функционируют в режиме пользователя? 5. Какие программы функционируют в режиме ядра? 6. Дайте определение термину «набор API-вызовов» 7. Какой модуль используется для отображения информации на мониторе? 8. Определите самый нижний уровень ОС. 9. Какие правила построения современных ОС? 10. На основе каких принципов построения спроектированы компоненты режима ядра Windows XP? 11. Как называются системы, имеющие в наличие одно простое ядро и большое количество компонентов системного режима 12. Какие программы и компоненты выполняются в режиме ядра? 13. В каком файле находится ядро ОС? 14. Какие операции выполняет ядро ОС? 15. Какие компоненты включает исполняемая часть ОС Windows XP? 16. Какие группы функций входят в состав исполняющей части ОС Windows XP? 17. Какие функции определяет уровень абстракции от оборудования? 18. Какие функции выполняют драйвера устройств 19. Перечислите типы драйверов устройств. 20. Какие типы пользовательских процессов имеются в режиме пользователя? 21. Какие подсистемы среды имеет ОС Windows XP? 22. Что является главными компонентами подсистемы Win32? 23. Что поддерживает процесс подсистемы среды 24. Какие компоненты поддерживают драйвера режима? 25. Какие функции содержит система поддержки DLL-библиотек в ОС Windows XP? 26. Перечислите возможные атаки на ОС. 27. Перечислите методы взлома ОС.
12 |
