<<
>>

Общие виды атак на систему безопасности

Поиск уязвимостей в системе безопасности — непростая задача. Обычный способ проверить надежность системы безопасности заключается в приглашении группы экспертов, называемых командой тигров, или группой вторжения, чтобы посмотреть, смогут ли они взломать защиту.
Бывало, в качестве такой команды приглашались аспиранты [57]. За несколько лет подобные команды обнаружили множество сфер, в которых операционные системы проявляют свои слабости. Мы рассмотрим наиболее распространенные методы атак, часто завершающиеся успехом. При разработке систем убедитесь, что им под силу выдержать атаки этих типов.

♦ Запросите страницы памяти, место на диске или на магнитной ленте и просто считывайте информацию. Многие системы не очищают память при ее выделении пользователю, поэтому память и диски могут содержать много интересной информации, записанной предыдущим владельцем.

♦ Попытайтесь выполнять несуществующие системные вызовы или существующие, но с неверными параметрами. Многие системы не выдерживают подобного обращения с ними.

♦ Начните регистрацию, а затем в ходе регистрации нажмите клавишу Del, Rubout или Break. В некоторых системах подобным образом удается уничтожить процесс, осуществляющий проверку пароля, и успешно пройти регистрацию без ввода пароля.

♦ Попытайтесь модифицировать сложные структуры операционной системы (если таковые имеются), хранящиеся в пользовательской области памяти. В некоторых системах (особенно в мэйнфреймах), для того чтобы открыть файл, программа формирует большую структуру, содержащую имя файла и множество других параметров, которую передает операционной системе. При чтении и записи файла операционная система иногда сама обновляет эту структуру. Модификация некоторых полей может иметь разрушительное воздействие на систему безопасности.

♦ Напишите программу, просто запрашивающую у пользователя идентификационные данные. Многие пользователи послушно введут их, а программа аккуратно сохранит их для злоумышленника.

♦ Прочитайте руководство и попытайтесь найти фразы, гласящие: «Не делайте X». После этого попытайтесь проделать «X» в различных комбинациях.

♦ Убедите системного администратора реализовать обход важных этапов проверки безопасности для любого пользователя с вашим регистрационным именем. Подобные атаки известны как атаки с черного хода.

♦ Если ничего другого не получилось, попытайтесь найти секретаршу системного администратора и притвориться несчастным пользователем, забывшим свой пароль. В качестве альтернативы можно попытаться подкупить секретаршу. У секретарши, как правило, есть доступ к самой разнообразной и очень интересной информации, а зарплата обычно невелика. Не следует недооценивать человеческий фактор.

Подобные и другие методы атак обсуждаются в [81]. Существует большое количество других источников информации о безопасности и ее тестировании, особенно в Интернете. Последней работой по данной теме, ориентированной на операционную систему Windows, является [66].

5.4.3.

<< | >>
Источник: Э. ТАНЕНБАУМ, А. ВУДХАЛЛ. ОПЕРАЦИОННЫЕ СИСТЕМЫ Разработка и реализация 3-е издание. 2007

Еще по теме Общие виды атак на систему безопасности:

  1. Включаясь в систему новых отношений, прежде всего материально-денежных, в целях обеспечения личной безопасности необходимо иметь в виду следующее
  2. Статья 275. Нарушение правил, касающихся безопасного использования промышленной продукции или безопасной эксплуатации зданий и сооружений
  3. 1. Целесообразно, чтобы ребенок сам творил свою систему отношений
  4. § 62 Договор товарищества и значение его в русском быте. – Общие законодательные формы не исчерпывают всего содержания товарищества. – Особенные виды товарищества, упоминаемые в нашем законодательстве. – Артель, как явление русского быта и как учреждение.
  5. § 57 Общие понятия об ограничении собственности с положительной и с отрицательной стороны. – Государственные ограничения. – Ограничения по сущности вотчинного права. – Реальное их свойство. – Право в чужой вещи. – Эмфитеозис. – Суперфиция. – Сервитут. – Виды и закон сервитутов. – Поземельные повинности германского права. – Сервитуты по местным законам прибалтийских губерний
  6. Понятие информационной безопасности
  7. 2.9. Психология личной безопасности человека
  8. Электрическая безопасность.
  9. 12.4. Органы федеральной службы безопасности России
  10. Пятачок безопасности
  11. Безопасный мир
  12. ГЛАВА 10 ПРАВОВЫЕ ПРОБЛЕМЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
  13. 10.3 Психология обеспечения безопасности дорожного движения
  14. Риск и личная безопасность.
  15. Личная профессиональная безопасность сотрудника органа правопорядка.
  16. / Е. Б. Белов, В. П. Лось, Р. В. Мещеряков, А. А. Шелупанов. Основы информационной безопасности. Учебное пособие для вузов, 2006