1)Атаки изнутри системы Зарегистрировавшись на компьютере, взломщик может начать причинение ущерба. Нальная регистрация может использоваться в качестве ступеньки для последующего взлома других учетных записей. К атакам изнутри системы относятся троянские кони, фальшивые программы регистрации, логические бомбы, потайные двери, переполнение буфера.
Крякер — люди, занимающиеся взломом защиты программных средств. Результатом работы крякера являются кряки и генераторы ключей (в случае ориентации на массового пользователя), или же просто — модифицированная («крэкнутая» или «взломанная») программа с нужной функциональностью.
Скрипткидди люди, не понимающие принципов работы используемых им хакерских средств для взлома. Шутники: Они создают программы которые ничего не разрушают, но могут хорошо потрепать нервы.
Взломщики:Это типичные компьютерные бандиты которым просто интересно кому-нибудь навредить Вандалы: это уже профессиональные крякеры, пользующиеся наибольшим почетом и уважением в кракярской среде. Их основная задача — взлом компьютерной системы с серьезными целями, как-то: кража или подмена хранящейся там информации.
Потайная дверь в шкафу 2
Компьютерные вирусы — разновидность вредоносных программ, отличительной особенностью которых является способность к размножению (саморепликации). В дополнение к этому они могут повреждать или полностью уничтожать данные, подконтрольные пользователю, от имени которого была запущена заражённая программа.
Стелс-вирус — вирус, полностью или частично скрывающий свое присутствие в системе, путем перехвата обращений к операционной системе, осуществляющих чтение, запись, чтение дополнительной информации о зараженных объектах. Троянская программа разновидность вредоносных программ, подбрасываемая для выполнения на компьютере-жертве, не имеющая средств для самораспространения.
Троянская программа может быть предназначена для нанесения вреда пользователю или делать возможным несанкционированное использование компьютера другим лицом для выполнения всевозможных задач, включая нанесение вреда третьим лицам. Логическая бомба заключается в тайном встраивании в программу набора команд, который должен сработать лишь однажды, но при определенных условиях.
Ransomware — это вредоносное программное обеспечение, которое работает как вымогатель. После установки на компьютер жертвы, программа зашифровывает большую часть рабочих файлов. При этом компьютер остается работоспособным, но все файлы пользователя оказываются недоступными. Инструкция и пароль для расшифровки файлов злоумышленник обещает прислать за деньги.
Анализатор трафика, или снифер— сетевой анализатор трафика, программа или программно-аппаратное устройство, предназначенное для перехвата и последующего анализа, либо только анализа сетевого трафика, предназначенного для других узлов. Файловые черви (worms) При размножении они копируют свой код в какие-либо каталоги дисков в надежде, что эти новые копии будут когда-либо запущены пользователем.
Потайная дверь в библиотеке
Иногда эти вирусы дают своим копиям «специальные» имена, чтобы подтолкнуть пользователя на запуск своей копии — например, INSTALL.EXE Сетевой червь — разновидность самовоспроизводящихся компьютерных программ, распространяющихся в локальных и глобальных компьютерных сетях. В отличие от компьютерных вирусов червь является самостоятельной программой.
Порнодиалер — вредоносная программа, предназначенная для кражи денег путём выставления счетов за телефонные звонки. Порнодиалеры действуют только при наличии обычного телефонного модема. Переполнение буфера — явление, возникающее, когда компьютерная программа записывает данные за пределами выделенного в памяти буфера.
Переполнение буфера может вызывать аварийное завершение или зависание программы, ведущее к отказу обслуживания (denial of service, DoS). Отдельные виды переполнений, например переполнение в стековом кадре, позволяют злоумышленнику загрузить и выполнить произвольный машинный код от имени программы и с правами учетной записи, от которой она выполняется. Потайная дверь (backdoor) – это программа или множество связанных программ, которые хакер инсталлирует на компьютер-жертву для получения доступа в систему в будущем. Цель потайных дверей – удалить записи о первоначальном входе из системного log’а.
2)Файловая система — регламент, определяющий способ организации, хранения и именования данных на носителях информации. Она определяет формат физического хранения информации, которую принято группировать в виде файлов. Конкретная файловая система определяет размер имени файла, максимальный возможный размер файла, набор атрибутов файла.
Некоторые файловые системы предоставляют сервисные возможности, например, разграничение доступа или шифрование файлов. Файловая система связывает носитель информации, с одной стороны, и API для доступа к файлам — с другой.
Когда прикладная программа обращается к файлу, она не имеет никакого представления о том, каким образом расположена информация в конкретном файле, также, как и на каком физическом типе носителя (CD, жёстком диске, магнитной ленте или блоке флэш-памяти) он записан. Всё, что знает программа — это имя файла, его размер и атрибуты. Эти данные она получает от драйвера файловой системы.
Именно файловая система устанавливает, где и как будет записан файл на физическом носителе (например, жёстком диске). С точки зрения операционной системы, весь диск представляет из себя набор кластеров размером от 512 байт и выше. Драйверы файловой системы организуют кластеры в файлы и каталоги (реально являющиеся файлами, содержащими список файлов в этом каталоге).
Эти же драйверы отслеживают, какие из кластеров в настоящее время используются, какие свободны, какие помечены как неисправные. Однако файловая система не обязательно напрямую связана с физическим носителем информации. Существуют виртуальные и сетевые файловые системы, которые являются лишь способом доступа к файлам, находящимся на удалённом компьютере.
Файлы бывают разных типов: обычные файлы, специальные файлы, файлы-каталоги. Обычные файлы в свою очередь подразделяются на текстовые и двоичные. Текстовые файлы состоят из строк символов, представленных в ASCII-коде. Двоичные файлы не используют ASCII-коды, они часто имеют сложную внутреннюю структуру, например, объектный код программы или архивный файл.
Специальные файлы — это файлы, ассоциированные с устройствами ввода-вывода, которые позволяют пользователю выполнять операции ввода-вывода, используя обычные команды записи в файл или чтения из файла. Эти команды обрабатываются вначале программами файловой системы, а затем на некотором этапе выполнения запроса преобразуются ОС в команды управления соответствующим устройством.
Каталог — это, с одной стороны, группа файлов, объединенных пользователем исходя из некоторых соображений, а с другой стороны — это файл, содержащий системную информацию о группе файлов, его составляющих. В каталоге содержится список файлов, входящих в него, и устанавливается соответствие между файлами и их характеристиками (атрибутами).
Файлы идентифицируются именами. Пользователи дают файлам символьные имена, при этом учитываются ограничения ОС как на используемые символы, так и на длину имени. Атрибуты файла — совокупность байтов, выделяющих файл из множества других файлов. Атрибутами файла являются: — имя файла и тип содержимого; — дата и время создания файла; — имя владельца файла; — размер файла; — права доступа к файлу; — метод доступа к файлу.
Монтирование файловой системы — процесс, подготавливающий раздел жесткого диска к использованию операционной системой. Операция монтирования состоит из нескольких этапов -Определение типа монтируемой системы -Проверка целостности монтируемой системы -Считывание системных структур данных и инициализация соответствующего модуля файлового менеджера (драйвера файловой системы) -Установка флага, что система смонтирована- Включение новой файловой системы в общее пространство имен.
Файловые системы FAT16 и FAT32 используют соответственно 8- и 4-килобайтовые дисковые блоки. При емкости диска в 2 Гбайт какая часть диска в худшем случае теряется понапрасну?
Источник: studopedia.ru
ПОТАЙНЫЕ ДВЕРИ
Безопасность. Контрмеры. Атака изнутри системы. Троянские кони. Фальшивая программа регистрации. Логические бомбы.
Потайные двери. Переполнение буфера.
Контрмеры.В некоторых компьютерных системах, серьезно относящихся к вопросу безопасности, часто предпринимаются шаги, призванные усложнить несанкционированный вход в систему. Так, компания может установить политику, разрешающую регистрацию сотрудников патентного отдела только с 8 часов утра до 5 вечера с понедельника по пятницу и только с машины, находящейся в патентном отделе. Любая попытка сотрудника патентного отдела зарегистрироваться в другие часы или не с того компьютера будет расцениваться как попытка взлома системы.
Телефонные коммутируемые линии также можно сделать более безопасными. Например, всем разрешается регистрироваться в системе через модем по телефонной линии, но после успешной регистрации система немедленно прерывает соединение и сама звонит пользователю по заранее условленному номеру.
Такая мера означает, что взломщик не может вломиться в систему с любой телефонной линии.Все попытки входа в систему должны регистрироваться. Когда пользователь регистрируется, система должна сообщать ему дату и время последней регистрации, а также терминал, с которого производилась эта регистрация, чтобы пользователь мог заметить взлом системы злоумышленником.Еще один вариант защиты может заключаться в установке ловушки для взломщика. Простая схема ловушки представляет собой специальное имя регистрации с простым паролем. При каждом входе в систему с таким именем системные специалисты в области безопасности немедленно уведомляются.
Атаки изнутри системы.Зарегистрировавшись на компьютере, взломщик может начать причинение ущерба. Если на компьютере установлена надежная система безопасности, возможно, взломщик сможет навредить только тому пользователю, чей пароль он взломал, но часто начальная регистрация может использоваться в качестве ступеньки для последующего взлома других учетных записей.
Троянские кони.Одним из давно известных вариантов атаки изнутри является троянский конь, представляющий собой невинную с виду программу, содержащую процедуру, выполняющую неожиданные и нежелательные функции. Этими функциями могут быть удаление или шифрование файлов пользователя, копирование их туда, где их впоследствии может получить взломщик, или даже отсылка их взломщику или во временное укромное место по электронной почте или с помощью протокола FTP.
Чтобы троянский конь заработал, нужно, чтобы программа, содержащая его, была запущена. Один способ состоит в бесплатном распространении такой программы через Интернет под видом новой игры, проигрывателя МРЗ и т. д., лишь бы привлечь внимание и поощрить загрузку программы. При запуске программы вызывается процедура троянского коня, которая может выполнять любые действия в пределах полномочий запустившего ее пользователя. Тактика применения троянского коня позволяет обойтись без взлома компьютера жертвы.
Фальшивая программа регистрации.В чем-то схожа с троянскими конями жульническая схема с фальшивой регистрацией. Эта схема работает следующим образом. Обычно при регистрации на терминале или рабочей станции, подключенной к локальной сети, пользователь видит экран, для ввода логин и пароля.
Когда пользователь садится за терминал и вводит свое регистрационное имя, система спрашивает у него пароль. Если пароль верен, пользователю разрешается вход в систему и оболочка запускается.Теперь рассмотрим следующий сценарий. Некто пишет программу, изображающую экран, для ввода логина и пароля.
Она выглядит в точности как настоящее окно, предлагающее пользователю зарегистрироваться. Теперь этот некто отходит в сторонку и наблюдает за происходящим с безопасного расстояния. Когда пользователь садится за терминал и набирает имя, программа в ответ запрашивает пароль и отключает эхо.
Когда имя и пароль получены, они записываются в файл, после чего фальшивая программа регистрации посылает сигнал уничтожения собственной оболочки. В результате этого действия сеанс работы злоумышленника на этом терминале завершается и запускается настоящая процедура регистрации. Пользователь при этом полагает, что он неверно ввел пароль и просто регистрируется еще раз. На этот раз все проходит успешно. Но таким образом удается получить имя и пароль.
Логические бомбы.Сегодня, когда мобильность наемных работников значительно увеличилась, появилась еще одна разновидность атаки системы изнутри, называемая логической бомбой. Логическая бомба представляет собой программу, написанную одним из сотрудников компании и тайно установленную в операционную систему.
До тех пор пока программист каждый день входит в систему под своим именем и паролем, эта программа не предпринимает никаких действий. Однако если программиста внезапно увольняют и физически удаляют из помещения без предупреждения, то на следующий день (или на следующую неделю) логическая бомба, не получив своего ежедневного пароля, начинает действовать.
Существует множество вариаций на эту тему. В одном знаменитом случае программа проверяла платежную ведомость. Если личный номер программиста не появлялся в двух последовательных ведомостях подряд, бомба «взрывалась».Взрыв логической бомбы может заключаться в форматировании жесткого диска, удалении файлов в случайном порядке, осуществлении сложно обнаруживаемых изменений в ключевых программах или шифровании важных файлов. В последнем случае компания оказывается перед сложным выбором: вызвать полицию или сдаться шантажисту и снова нанять на работу этого программиста в качестве «консультанта» с астрономическим окладом для восстановления системы.
Потайные двери.Еще один способ создания дыры в системе безопасности изнутри называется потайной дверью. Для этого в систему системным программистом внедряется специальная программа, позволяющая обойти нормальную процедуру проверки.
Например, программист может добавить к программе регистрации кусок программы, пропускающий в систему пользователя с именем «zzzzz», независимо от того, что содержится в файле паролей. Процедура strcmp используется для сравнения имени регистрации со строкой «zzzzz». Если пользователь ввел при регистрации это имя, то пароль уже не важен.
Если такой потайной лаз установлен программистом, работающим на фирме, производящей компьютеры, а затем поставляется вместе с компьютерами, впоследствии этот программист сможет зарегистрироваться на любом компьютере, произведенном его компанией, независимо от того, кому будет принадлежать компьютер и какая информация будет содержаться в файле паролей. Потайная дверь просто обходит весь процесс аутентификации.Чтобы не допустить установки потайных дверей в систему, компании могут, например, ввести регулярные просмотры программ. При этом, когда программист закончил писать и тестировать программный модуль, модуль проверяется и помещается в базу данных. Периодически все программисты команды собираются вместе и каждый из них поочередно разъясняет остальным, что делает его программа, строка за строкой. При этом вероятность обнаружения потайных дверей значительно увеличивается.
Переполнение буфера.В основе множества атак лежит тот факт, что практически все операционные системы написаны на языке программирования С. К сожалению, ни один компилятор языка С не выполняет проверки границ массива. Соответственно, следующий кусок программы представляется компилятору вполне законным:
int і:char с[1024];і = 12000;c[i] = 0:В результате выполнения этого куска программы некий байт в памяти, находящийся на 10 976 байт за пределами массива с, будет обнулен, возможно, с катастрофическими последствиями. Во время исполнения программы не производится никакой проверки, чтобы предотвратить эту ошибку.Это свойство языка С позволяет произвести атаку следующего типа.
Предположим, что для работы процедуре А требуется получить полный путь к файлу, после чего открыть этот файл и выполнить с ним какие-либо действия. У процедуры А есть буфер В фиксированного размера (то есть массив), в котором она содержит имя файла. Использовать буфер иксированного размера значительно проще, чем сначала вычислить требуемый размер, а затем динамически запросить у системы буфер нужного размера. Если зарезервировать буфер длиной 1024 байт, то его должно быть достаточно для хранения любых имен файлов. Особенно если операционная система ограничивает дину имен файлов 255 символами.
Предположим, что пользователь задает этой программе имя файла длиной в 2000 символов. При этом программа не сможет открыть файл, но взломщика это не волнует. Когда процедура скопирует имя файла в свой буфер, имя файла переполнит.
Что еще хуже, если имя файла достаточно длинное, оно также запишется поверх адреса возврата, поэтому, когда процедура А станет выполнять возврат в головной модуль, адрес возврата процедура А возьмет из середины имени файла. Если этот адрес представляет собой случайный мусор, то программа прыгнет по случайному адресу и, вероятно, аварийно завершится, выполнив несколько команд.Если оно содержит работоспособную программу и тщательно настроено, так чтобы адрес возврата как раз указывал на начало этой программы, например на начало буфера В? При этом после возврата из процедуры А начнет выполняться программа в буфере В. Таким образом, взломщику удалось внедрить в программу свою процедуру и передать ей управление.Защита от атак подобного рода заключается в явной проверке длины всех поставляемых пользователем строк перед копированием этих строк в буферы. К сожалению, подверженность какой-либо программы подобной атаке, как правило, выясняется уже после успешной атаки.
Источник: infopedia.su