В.Н. Финько,
кандидат технических наук, ГУВД по Краснодарскому краю
Н.С. Шимон
МЕХАНИЗМЫ РЕАЛИЗАЦИИ УГРОЗ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ЕДИНОЙ ИНФОРМАЦИОННОТЕЛЕКОММУНИКАЦИОННОЙ СИСТЕМЫ ОРГАНОВ
ВНУТРЕННИХ ДЕЛ
MECHANISMS OF REALISATION INFORMATION THREAT SECURITY UNIQUE INFORMATION-TELECOMMUNICATION SYSTEM OF LEGAL ENFORCEMENT AGENCIES
Рассматриваются способы вредоносного воздействия на инфраструктуру ЕИТКС ОВД, представляющие серьёзную угрозу её информационной безопасности.
In this article the methods of harmful influence on structure unique information-telecommunication system of legal enforcement agencies presenting serious information threat security are considered.
Исходя из того что Единая информационно-телекоммуникационная система (ЕИТКС) органов внутренних дел (ОВД) реализуется на технологической платформе компьютерных сетей, уместно рассматривать её как компьютерную систему. Поэтому для анализа механизмов реализации угроз информационной безопасности ЕИТКС ОВД целесообразно использовать основные понятия, которые приняты в теории компьютерной безопасности.
В соответствии с существующими взглядами на возможности несанкционированного доступа злоумышленника к информационным ресурсам распределённых вычислительных сетей и воздействия на их информационные процессы основными способами реализации угроз информационной безопасности ЕИТКС ОВД являются:
- анализ сетевого трафика ;
- подмена доверенного объекта сегмента ЕИТКС;
- внедрение в сегмент ЕИТКС ложного объекта путём навязывания ложного мар шр ута;
- внедрение в сегмент ЕИТКС ложного объекта путём использования недостатков алгоритмов удалённого поиска;
- отказ в обслуживании.
Анализ сетевого трафика. То обстоятельство, что сегменты ЕИТКС ОВД распределены в пространстве и связь между ними осуществляется как физически по сетевым соединениям, так и программно при помощи механизма сообщений, а также то, что все управляющие сообщения и данные, пересылаемые между сегментами ЕИТКС, передаются по сетевым соединениям в виде пакетов обмена, привело к появлению специфичной для ЕИТКС ОВД угрозы информационной безопасности, заключающейся в прослушивании канала связи. В литературе такой способ нарушения информационной безопасности известен как «анализ сетевого трафика » или «сетевой анализ» [1].
Кроме изучения логики работы территориального сегмента ЕИТКС ОВД путём определения взаимно однозначного соответствия событий, происходящих в сети, и команд, пересылаемых друг другу её объектами, в момент появления этих событий с помощью сетевого анализа осуществляется непосредственный перехват потока данных,
которыми обмениваются объекты сегмента. Таким образом, злоумышленник получает несанкционированный доступ к информации, которой обмениваются два сетевых абонента. Отметим, что при этом способе нарушения информационной безопасности трафик не модифицируется, а сам анализ осуществляется только внутри сегмента.
Подмена доверенного объекта ЕИТКС. Однозначная идентификация сообщений, передаваемых между сегментами, реализуется за счёт создания виртуального канала, в котором объекты обмениваются определённой информацией, уникально идентифицирующей данный канал. Следует отметить, что такой канал не всегда создаётся. На практике часто для идентификации сообщений используется режим передачи одиночных сообщений, не требующих подтверждения.
Известно, что для адресации сообщений в ЕИТКС ОВД используется сетевой адрес, уникальный для каждого объекта системы. Сетевой адрес как средство идентификации несложно подделать. Это позволяет передавать по каналам связи сообщения от имени любого объекта или субъекта сегмента. При этом существуют две разновидности реализации данного способа нарушения информационной безопасности ЕИТКС:
- при установленном виртуальном канале;
- без установленного виртуального канала.
В первом случае подмена доверенного объекта будет заключаться в передаче пакетов обмена с сетевого компьютера злоумышленника на объект атаки от имени доверенного субъекта взаимодействия, что приводит к восприятию переданных сообщений как корректных. Реализация этого способа сопряжена с необходимостью преодоления механизма идентификации и аутентификации сообщений.
Во втором случае подмена доверенного объекта будет заключаться в передаче служебных сообщений от имени сетевых управляющих устройств, например от имени мар шр утизаторов.
Внедрение в сегмент ЕИТКС ложного объекта путём навязывания ложного маршрута. Так как на сегодняшний день в ЕИТКС ОВД не решены проблемы идентификации маршрутизаторов, возникающие при взаимодействии этих устройств с объектами системы, в сегменты ЕИТКС могут быть внедрены ложные объекты путём изменения маршрутизации.
Для уяснения особенностей реализации данного способа нарушения информационной безопасности рассмотрим механизм сетевой маршрутизации. Под маршрутом понимается последовательность узлов сети, по которой данные передаются от источника к приёмнику. Таким образом, маршрутизация представляет собой выбор маршрута. Каждый маршрутизатор имеет специальную таблицу, называемую таблицей маршрутизации, в которой для каждого адресата указывается оптимальная последовательность узлов. Следует отметить, что такие таблицы существуют не только у маршрутизаторов, но и у любых сетевых компьютеров. Для обеспечения маршрутизации в ЕИТКС ОВД применяются специальные управляющие протоколы, позволяющие маршрутизаторам обмениваться информацией друг с другом, уведомлять маршрутизаторы о новом маршруте, а также удалённо управлять ими [2]. Все эти протоколы позволяют удаленно изменять маршрутизацию в ЕИТКС, то есть являются протоколами управления ею как компьютерной сетью.
Важная роль, отводимая маршрутизации в ЕИТКС, делает её объектом угрозы информационной безопасности, связанной с навязыванием ложного маршрута, — изменением исходной маршрутизации таким образом, чтобы новый маршрут проходил через ложный объект — сетевой компьютер злоумышленника.
Реализация данного способа нарушения информационной безопасности ЕИТКС состоит в несанкционированном использовании сетевых протоколов для изменения исходных таблиц маршрутизации. Для этого злоумышленник передаёт по сети специальные служебные сообщения, определённые протоколами управления сети, от имени маршрутизаторов. В результате успешного изменения маршрута злоумышленник получает полный
контроль над информационным потоком, что даёт ему возможность принимать, анализировать и передавать сообщения, получаемые от дезинформированных объектов ЕИТКС.
Внедрение в сегмент ЕИТКС ложного объекта путём использования недостатков алгоритмов удалённого поиска. Внедрить ложный объект в сегмент ЕИТКС можно и в том случае, если инфраструктура предусматривает использование алгоритмов удаленного поиска.
Для уяснения особенностей реализации данного способа нарушения информационной безопасности рассмотрим механизм удалённого поиска. Следует иметь в виду, что объекты ЕИТКС имеют не всю необходимую для адресации сообщений информацию. Для получения аппаратных и логических адресов объектов ЕИТКС используются различные алгоритмы удалённого поиска, заключающиеся в передаче по сети специального вида поисковых запросов и в ожидании ответов на них. Полученных таким образом сведений об искомом объекте запросившему субъекту достаточно для последующей адресации к нему.
В ЕИТКС ОВД существуют два типа поисковых запросов: широковещательный и направленный. Широковещательный поисковый запрос получают все объекты ЕИТКС, но только искомый объект отсылает в ответ нужную информацию. Поэтому, чтобы избежать перегрузки, подобный механизм запросов используется обычно внутри одного сегмента ЕИТКС, если не хватает информации для адресации на канальном уровне. Направленный поисковый запрос передаётся на один или несколько специально выделенных для обработки подобных запросов объектов и применяется при межсегментном поиске в том случае, когда не хватает информации для адресации на сетевом уровне.
При использовании в ЕИТКС механизмов удалённого поиска реализация данного способа нарушения информационной безопасности состоит в перехвате злоумышленником поискового запроса и передаче в ответ на него ложного сообщения, в котором указываются данные, приводящие к переадресации информации. В дальнейшем весь поток информации между субъектом и объектом взаимодействия будет проходить через сетевой компьютер злоумышленника.
Другой вариант реализации данного способа нарушения информационной безопасности состоит в периодической передаче на атакуемый объект заранее подготовленного ложного ответа без приёма поискового запроса. Для передачи ложного ответа злоумышленнику необязательно ожидать приёма запроса. Он может спровоцировать атакуемый объект на передачу поискового сообщения.
Получив контроль над информационным потоком между объектами ЕИТКС, ложный объект может применять различные методы воздействия на перехваченную информацию, которые можно разделить на три группы:
- методы селекции потока информации и сохранения её на ложном объекте;
- методы модификации информации;
- методы подмены информации.
Характерным действием по селекции потока информации и сохранению её на ложном объекте является перехват информации, передаваемой между субъектом и объектом взаимодействия. Такой перехват возможен из-за того, что при выполнении операций чтения и копирования файлов их содержимое передаётся по сети, а значит, поступает на ложный объект. Простейший способ реализации перехвата — это сохранение всех получаемых ложным объектом пакетов обмена. Однако такой способ оказывается недостаточно информативным, так как в пакетах обмена кроме полей данных существуют и служебные поля, не представляющие интереса для злоумышленника. Следовательно, для того чтобы получить непосредственно передаваемый файл, необходимо проводить на ложном объекте динамическую семантическую селекцию потока информации.
Особенностью ложного объекта как системы воздействия на информационные ресурсы ЕИТКС ОВД является то, что он способен модифицировать перехваченную информацию. В этом случае различают два основных метода модификации информации:
- модификация передаваемых данных;
- модификация передаваемого кода.
В первом случае в результате селекции потока перехваченной информации и его анализа ложный объект может распознавать тип передаваемых файлов. При обнаружении файла требуемого типа осуществляется его модификация.
Во втором случае, проводя семантический анализ перехваченной информации, ложный объект способен выделять из потока данных исполняемый код. Выделяются два различных по цели вида модификации кода:
- внедрение вредоносных программ;
- внесение изменений в логику работы исполняемого файла.
При внедрении вредоносной программы в исполняемый файл последний модифицируется по вирусной технологии, то есть к нему одним из известных способов дописывается тело вредоносной программы, и точка входа изменяется таким образом, чтобы она указывала на её начало. Описанный способ мало чем отличается от стандартного заражения вирусом, за исключением того, что файл оказывается заражённым вредоносной программой в момент передачи его по сети.
При внесении изменений в логику работы исполняемого файла происходит модификация его кода с целью изменения логики работы. Данное воздействие требует предварительного исследования работы исполняемого файла.
Целью подмены перехваченной ложным объектом информации является передача заранее подготовленной дезинформации одному из участников обмена при возникновении в сегменте ЕИТКС определённого контролируемого ложным объектом события. Подобная дезинформация может быть воспринята атакуемым объектом либо как исполняемый код, либо как данные.
Отказ в обслуживании. Для уяснения особенностей реализации данного способа нарушения информационной безопасности ЕИТКС ОВД рассмотрим реализуемый в ней механизм удалённого доступа. Такая возможность реализуется путём запуска программ-серверов. При поступлении запроса на подключение удалённого объекта к данному объекту программа-сервер сетевой операционной системы объекта сети обеспечивает подключение. При этом удалённый пользователь получает от сервера ответ, разрешающий или не разрешающий подключение. Аналогичным образом ядро сетевой операционной системы обрабатывает поступающие запросы на создание виртуального канала, по которому взаимодействуют объекты сегмента ЕИТКС.
То обстоятельство, что применяемая в ЕИТКС сетевая операционная система способна поддерживать лишь ограниченное число открытых виртуальных соединений и отвечать на ограниченное число запросов, не позволяет сформировать на объектах необходимый объём статической ключевой информации. В этом случае возникает проблема идентификации запроса только по адресу его отправителя. Так как в некоторых сегментах ЕИТКС не предусмотрены средства аутентификации адреса отправителя, то инфраструктура сегмента позволяет с любого его объекта передавать на атакуемый объект бесконечное число анонимных запросов на подключение от имени других объектов. При фиксированной пропускной способности канала подобное воздействие приводит к переполнению очереди запросов на атакованном объекте и нарушению работоспособности его службы предоставления удалённого сервиса. В результате становится невозможным получение удалённого доступа к данному объекту с других объектов сегмента.
Другой разновидностью реализации данного способа нарушения информационной безопасности является передача с одного объекта такого множества запросов на атакуемый объект, которое позволит пропускная способность канала передачи. Так как
в ЕИТКС не предусмотрено ограничение количества принимаемых запросов от одного объекта в единицу времени, то в результате такого воздействия возможно переполнение очереди запросов и отказ телекоммуникационной службы на атакуемом объекте.
Из изложенного становится очевидным, что рассмотренные способы вредоносного воздействия на инфраструктуру ЕИТКС ОВД представляют серьёзную угрозу её информационной безопасности.
ЛИТЕРАТУРА
1. Лагутин В.С. Защита абонентского телетрафика : учебное пособие / В.С. Лагутин, А.В. Петраков; под общей редакцией А.В. Петракова.— 4-е изд. доп.— М.: Энер-гоатомиздат, 2007. — 528 с.
2. Соколов А.В. Защита информации в распределённых корпоративных сетях и системах / А. В. Соколов, В.Ф. Шаньгин. — М.: ДМК Пресс, 2002. — 656 с.