Уязвимости конфигурации

Последняя причина возникновения уязвимостей — ошибки конфигурации программного или аппаратного обеспечения. Этот вид наряду с уязвимостями реализации является самой распространенной категорией уязвимостей. Существует множество примеров таких уязвимостей. К их числу можно отнести, например, доступный, но не используемый на узле сервис Telnet, разрешение "слабых" паролей или паролей длиной менее 6 символов, учетные записи (accounts) и пароли, остановленные по умолчанию (например, SYSADM или DBSNMP в СУБД Oracle), и т. д. Локализовать и исправить такие уязвимости проще всего (табл. 2.2). Основная проблема — определить, является конфигурация уязвимой или нет?

Таблица 2.2. Возможности по обнаружению и устранению уязвимостей

Взломана база данных компании Western Union

Как сообщило агентство Росбизнесконсалтинг, 8 сентября 2000 г. компания Western Union, специализирующаяся на денежных переводах, объявила о том, что из-за "человеческого фактора" неизвестному злоумышленнику удалось скопировать информацию о кредитных карточках около 15,7 тысяч клиентов ее Web-сайта. Представитель Western Union сообщил, что взлом произошел, когда во время проведения регламентных работ были открыты системные файлы, доступ к которым во время штатной работы сайта имеют только администраторы. Western Union настаивает, что это не проблема архитектуры системы защиты, это была ошибка персонала.

По статистике, опубликованной в 1998 году институтом SANS, пятерка наиболее распространенных уязвимостей (если быть точнее, то групп уязвимостей) выглядит следующим образом:

1. Выслеживание информации (network snooping), особенно паролей и иной
конфиденциальной информации.

2. Переполнение буфера (buffer overflow), приводящее к удаленному выполнению произвольных команд.

3. Уязвимости системы защиты узлов, например, уязвимости сценариев
CGI или ошибки в sendmail.

4. Подверженность атакам типа "отказ в обслуживании" ("Denial of service").

5. Допустимость загрузки враждебного кода, к которому помимо программ типа "троянский конь" (Trojan) или вирусов можно отнести апплеты Java и элементы управления ActiveX.

Можно заметить, что в первую пятерку вошли все три категории уязвимостей. Выслеживание паролей возможно благодаря отсутствию механизмов шифрования в стандартных протоколах Internet (FTP, Telnet, POP3, HTTP и т. д.). Переполнение буфера, уязвимости защиты узлов и подверженность атакам типа "отказ в обслуживании" могут быть отнесены к разряду уязвимостей реализации и конфигурации. Ну и, наконец, возможность загрузки враждебного кода может быть причислена к разряду уязвимостей конфигурации.

Интересно, что в 2001 году пятерка лидеров обновилась, что лишний раз подтверждает тезис о динамичности изменения сетевых технологий, в том числе и в области информационной безопасности [SANS 1-01]. Вот она:

1. Слабости BIND (nxt, qinv и in.named).

2. Уязвимые CGI-сценарии и расширения приложений (например, ColdFusion), установленные на Web-сервере.

3. Уязвимости RPC.

4. Уязвимости Remote Data Services (RDS) в Microsoft Internet Information

Server.

5. Переполнение буфера в почтовой программе sendmail.

Эта пятерка частично совпадает с исследованиями компании ISS [ISS2-00]:

1. Подверженность атакам типа "отказ в обслуживании" (в том числе и распределенным атакам этого типа).

2. "Слабые" учетные записи (для серверов, маршрутизаторов и т. д.).

3. Уязвимости ПО MS IIS (Microsoft Internet Information Server).

4. Уязвимости СУБД (неправильные права доступа к расширенным хранимым процедурам, пароли, заданные по умолчанию и т. д.).

5. Приложения eCommerce (Netscape FastTrack, MS FrontPage и др.).

ОС Windows NT превалирует в Internet

2 октября 2000 года рейтинговое агентство "Эксперт РА" при помощи аналитического агентства NetCraft (http://www.netcraft.com/whats/) провело анализ платформ, под управлением которых работают российские internet-магазины. В результате выяснилось следующее:

• 3 из 4 самых крупных российских Internet-магазинов функционируют под
управлением ОС Windows NT;

• больше половины магазинов, имеющих высокий потенциал, работают под
управлением ОС Windows NT/Windows 2000;

• 41% всех магазинов российского сегмента Internet базируются на платформе Windows.

Атаки

До сих пор у профессионалов в области информационной безопасности нет точного определения термина "атака" (вторжение — intrusion, нападение). Каждый специалист в области безопасности трактует его по-своему. Например, "вторжение — это любое действие, переводящее систему из безопасного состояния в опасное". Встречаются и такие определения: "вторжение — это любое нарушение политики безопасности" или "любое действие, приводящее к нарушению целостности, конфиденциальности и доступности системы и информации, в ней обрабатываемой". Однако я считаю более правильным применение нижеприведенного термина, которое тесно увязано с термином "уязвимость". Атакой (attack) на информационную систему называется действие или последовательность связанных между собой действий нарушителя, которые приводят к реализации угрозы путем использования уязвимостей этой информационной системы. Необходимо отметить, что в данной книге практически не рассмотрены такие атаки, как "social engineering", которые также могут использоваться для компрометации ИС.