Контрольная работа: Безопасность информационных систем

– какие методы атаки хакер будет применять с наибольшей вероятностью.

Мы не будем касаться нравственно-этических, исторических и социальных аспектов деятельности хакеров, и будем понимать под хакером лицо, которое пытается преодолеть защиту компьютерной системы, неважно, в каких целях.

В отношении атакуемой системы хакер может выступать в одной из следующих ролей:

– постороннее лицо, не имеющее легального доступа к системе. Хакер может атаковать систему только с использованием общедоступных глобальных сетей;

– сотрудник организации, не имеющий легального доступа к атакуемой системе. Более вероятна ситуация, когда в такой роли выступает не сам хакер, а его агент (уборщица, охранник и т.д.). Хакер может внедрять в атакуемую систему программные закладки. Если хакер сумеет подсмотреть или подобрать пароль легального пользователя, он может перейти в роль пользователя или администратора;

– пользователь системы, обладающий минимальными полномочиями. Хакер может атаковать систему, используя ошибки в программном обеспечении и в администрировании системы;

– администратор системы. Хакер имеет легально полученные полномочия, достаточные для того, чтобы успешно атаковать систему. Для нейтрализации этой угрозы в системе должны быть предусмотрены средства противодействия несанкционированным действиям администраторов;

- разработчик системы. Хакер может встраивать в код системы «люки» (недокументированные возможности), которые в дальнейшем позволят ему осуществлять несанкционированный доступ (НСД) к ресурсам системы.

2. Возможные атаки автоматизированной банковской системы

В общем случае автоматизированная банковская система включает в себя три основных уровня:

– одна или несколько систем управления базами данных (СУБД);

– одна или несколько операционных систем (ОС), обслуживающих СУБД и системы документооборота;

– сетевое программное обеспечение, обеспечивающее информационное взаимодействие рабочих станций и серверов банковской сети.

Атака АБС может осуществляться на любом из перечисленных уровней. Пусть, например, хакеру требуется прочитать определенные записи из базы данных (БД). Хакер может попытаться:

– прочитать эти записи средствами СУБД (атака на уровне СУБД);

– прочитать файлы БД (атака на уровне ОС);

– отправить в сеть пакеты определенного вида, получив которые, сервер БД предоставит хакеру требуемую информацию (атака на уровне сети).

Поскольку методы осуществления НСД к ресурсам АБС существенно различаются в зависимости от того, на каком уровне происходит атака АБС, эти методы для разных уровней целесообразно рассмотреть отдельно.

2.1 Возможные атаки на уровне СУБД

Защита базы данных является одной из наиболее простых задач защиты информации. Это обусловлено тем, что базы данных имеют четко определенную внутреннюю структуру, и операции над элементами баз данных также четко определены. Обычно над элементами баз данных определены всего четыре основные операции: поиск, вставка, замена и удаление. Другие операции носят вспомогательный характер и используются относительно редко. Такая простая структура системы защиты упрощает ее администрирование и сильно усложняет задачу преодоления защиты СУБД. В большинстве случаев хакеры даже не пытаются атаковать СУБД, поскольку преодолеть защиту АБС на уровнях операционной системы и сети гораздо проще. Тем не менее, в отдельных случаях преодоление хакером защиты, реализуемой СУБД, вполне возможно. Такая ситуация имеет место в следующих случаях:

если в АБС используется СУБД, защита которой недостаточно надежна;

если используется недостаточно хорошо протестированная версия СУБД, содержащая ошибки в программном обеспечении;

если администраторы базы данных допускают грубые ошибки при определении политики безопасности.

Кроме того, известны две атаки СУБД, для защиты, от которых требуются специальные меры. К ним относятся:

«атака салями», когда результаты округления результатов арифметических операций прибавляются к значению некоторого элемента базы данных (например, к сумме, хранящейся на личном счету хакера);

– статистическая идентификация. Эта атака позволяет получать конкретные значения тех полей базы данных, для которых доступна только статистическая информация. Основная идея заключается в том, чтобы так задать параметры запроса, что множество записей, по которым собирается статистика, включает в себя только одну запись. Для реализации атаки на СУБД хакер должен как минимум являться пользователем СУБД.

2.2 Возможные атаки на уровне ОС

Защитить операционную систему гораздо сложнее, чем СУБД. Это обусловлено тем, что число различных типов защищаемых объектов в современных ОС может достигать нескольких десятков, а число различных типов защищаемых информационных потоков – нескольких сотен. ОС имеет очень сложную внутреннюю структуру и поэтому задача построения адекватной политики безопасности для ОС решается значительно сложнее, чем для СУБД.

Распространено мнение, что наиболее эффективные и опасные атаки ОС организуются с помощью сложнейших программных средств, использующих последние достижения науки и техники. Считается, что хакер обязательно должен быть программистом высочайшей квалификации. На самом деле для преодоления защиты ОС вовсе не обязательно писать сложную программу. Искусство хакера заключается не в том, чтобы суметь написать программу, которая взламывает любую защиту, а в том, чтобы найти уязвимое место в конкретной системе защиты и суметь им воспользоваться. При этом наилучшие результаты достигаются при использовании самых простейших методов «влезания» в выявленные «дыры» в защите ОС. Чем проще алгоритм атаки, тем больше вероятность того, что атака пройдет успешно – возможности хакера по предварительному тестированию алгоритма атаки обычно сильно ограниченны.