На главную | Содержание | Назад | Вперёд
Наши друзья

 

 

Обнаружение вторжений

Одним из наиболее надежных способов подготовки вредоносных входных данных является изменение вида запроса при его передаче по сети. Для этой цели можно просто добавить дополнительные символы или заменить некоторые символы другими символами (или этими же символами в другом формате). Эта элементарная подготовка входных данных осуществляется хакерами практически постоянно. Ха­керы, которые хотят обойти простые системы обнаружения вторжений (а большинство из этих систем остаются достаточно простыми), маскируют свою атаку, используя альтернативную кодировку символов и другие подобные методы. Обход систем обнаружения вторжений является прекрасным примером использования подготовленных входных данных для организации атак. Конечно, специально подготовленные данные могут использоваться и для обхода фильтров и/или для использования логических ошибок в программах.
Различные типы систем обнаружения взлома
По своему предназначению, системы обнаружения вторжений подобны системам сигнализации против воров. Грабитель взламывает дверь, звучит сигнал тревоги, приезжает полиция. Так выглядит система безопасности в действии. Существует целый ряд компаний (наподобие Counterpane), которые контролируют работу систем обнаружения взлома и отвечают на атаки.
В современной технологии систем обнаружения взлома (IDS) используются два основных принципа: обнаружение на основе сигнатур (signature-based approach) и обнаружение на основе аномальныхсобытий (anomaly-based approach). В технологии обнаружения атак на основе сигнатур используется база данных с характеристиками известных атак. Основная идея состоит в том, чтобы сравнивать трафик или журналы или еще какие-либо входные данные со списком недопустим^гх для поступления данных и выдавать предупреждения о проблемах. По существу, в технологии обнаружения на основе сигнатур обнаруживаются известные типы атак. В технологии обнаружения атак по аномальным событиям изучается нормальное поведение системы и обнаруживается все, что не соответствует обычной модели поведения. Такие системы обнаружения вторжений выявляют "плохие" события, причем "хорошие" события задаются моделью стандартного поведения. Это два совершенно разных подхода к решению одной проблемы.
Для выявления атаки с помощью системы обнаружения вторжений на основе сигнатур, эта система должна владеть точными сведениями о начатой атаке. Поэтому такие системы достаточно просто обойти, и подобная задача — пара пустяков для опытного хакера. Если знать, каким образом активируется сигнал тревоги, то систему сигнализации вполне возможно обойти. Особенно упрощает задачу нейтрализации этих систем обнаружения взлома тот факт, что такая система должна владеть точной информацией для выявления конкретной атаки. В противном случае ничего не выявляется. Вот почему даже небольшие изменения в потоке вредоносных входных данных позволяют обойти такие системы.
В системах обнаружения взлома на основе аномальных событий не уделяется серьезного внимания конкретным деталям атаки. Вместо этого изучаются шаблоны стандартной работы компьютерной системы и затем проводится мониторинг необычных (аномальных) событий. Все, что выходит за рамки обычных действий, приводит к вызову сигнала тревоги. Проблема в том, что обычные пользователи не всегда действуют по шаблону. Поэтому для таких систем обнаружения вторжений характерен трудный "период развертывания", когда происходит разделение нового, но безвредного, от нового, но опасного. Против таких систем возможно проведение атак, при которых стандартный статический профиль системы постепенно изменяется от "совершенно нормального" поведения до "взломанного состояния", и все поведение системы (включая и действия хакера) расценивается как нормальное2.
В итоге системы обнаружения вторжений на основе сигнатур не способны выявить хакеров, использующих наиболее современные атаки, а при работе систем обнаружения вторжений на основе аномалий часто возникают ложные тревоги и они "ловят" нормальных пользователей. Когда работают обычные пользователи, ложные тревоги выводят их из терпения, они отключают системы обнаружения вторжений, и поэтому системы обнаружения вторжений на основе аномалий практически никогда не используются на практике. И поскольку люди легко забывают о вещах, которых не видят, то системы обнаружения вторжений на основе сигнатур применяются дос­таточно широко, несмотря на их недостатки.
Практически все технологии систем обнаружения вторжений можно использовать для проведения атак. Один из широко распространенных методов — это заставить такую систему постоянно следить за каким-либо одним сегментом сети и одновременно провести скрытую атаку на другой сегмент. Альтернативный метод заключается в том, чтобы заставить срабатывать систему обнаружения вторжений слишком часто, в результате чего пользователь сам в раздражении ее отключит. Вот тогда и начнется настоящая атака. Достаточно сказать, что многие системы обнаружения вторжений не стоят запрашиваемых за них денег, особенно если эксплуатационные расходы входят в стоимость.
Внесение обновлений для систем обнаружения вторжений
Напомним, что практически во всех удаленных атаках на программное обеспечение по сети передаются вредоносные данные определенной формы. Атакующая транзакция в той или иной степени является уникальной. По этому принципу и работают системы обнаружения вторжений. На практике сетевые системы обнаружения вторжений обычно представляют собой анализаторы сетевых пакетов (например Snort) с большим набором предустановленных фильтров, срабатывающих при выявлении известных атак. Технология, используемая в современных системах, по большей части ничем не отличается от технологии анализаторов пакетов, применявшихся 20 лет тому назад. Фильтры срабатывают при получении по сети пакетов, которые считаются вредоносными. Набор характеристик, исходя из которых срабатывает фильтр, называют сигнатурой атаки.
В данном случае речь идет о модели работы системы на основе тех или иных знаний, т.е. от инвестиций в оборудование системы обнаружения вторжений зависят полученные знания о работе системы. Это критически уязвимое место. Без точных сведений обо всех деталях атаки система обнаружения вторжений не способна ее выявить.
Проблема заключается в том, что новые способы проведения атак открываются практически каждый день. Следовательно, сетевая система обнаружения вторжений слишком "консервативна", чтобы быть эффективной. Чтобы остаться в курсе текущих событий, система обнаружения вторжений должна постоянно обновляться новыми базами данных сигнатур. Это означает, конечно, что пользователи будут безоговорочно доверять поставщику системы, который будет предоставлять данные для обновлений. На практике это имеет неожиданные последствия, когда поставщики систем обнаружения вторжений принимают на работу хакеров, которые целыми днями сидят в чатах IRC и распродают информацию о последних атаках, действительных в настоящее время.
Это весьма интересный вид симбиоза. Пользователи систем сигнализации косвенно помогают с трудоустройством злоумышленникам, которые должны будут обновлять их системы сигнализации, которые в свою очередь предназначены для поимки этих злоумышленников.
Горькая истина в том, что нет систем обнаружения взлома, которые были бы способны отследить информацию о действительно новых атаках. Вообще, поставщики этих систем не могут владеть всей информацией о последних атаках. О некоторых из последних программ атак, которые стали известны общественности, в сообществе хакеров знали уже многие годы. Возьмем в качестве примера BIND. Группы хакеров знали о проблеме переполнения буфера в BIND на протяжении нескольких лет, до того как о них узнала общественность и ситуация была исправлена.

 

На главную | Содержание | Назад | Вперёд
 
Яндекс.Метрика