Типичные атаки на операционную систему

1. Сканирование файловой системы. Данная атака является од­ной из наиболее тривиальных, но в то же время одной из наиболее опас­ных. Суть атаки заключается в том, что злоумышленник просматривает файловую систему компьютера и пытается прочесть (или скопировать или удалить) все файлы подряд. Если он не получает доступ к какому-то фай­лу или каталогу, то продолжает сканирование. Если объем файловой сис­темы достаточно велик, рано или поздно обнаруживается хотя бы одна ошибка администратора. В результате злоумышленник получает доступ к информации, доступ к которой должен быть ему запрещен. Данная атака может осуществляться специальной программой, которая выполняет вы­шеописанные действия в автоматическом режиме.

Если политика безопасности допускает анонимный, или гостевой вход в систему, администраторам остается только надеяться, что права доступа ко всем файлам системы, число которых может состав­лять сотни тысяч, определены абсолютно корректно. Если же анонимный и гостевой вход в систему запрещен, поддержание адекватной политики ре­гистрации потенциально опасных событий (аудита) позволяет организо­вать эффективную защиту от этой угрозы. Кроме того, если данная атака осуще­ствляется злоумышленником от имени другого пользователя, аудит со­вершенно неэффективен.

2. Кража ключевой информации. В простейшем случае эта атака заключается в том, что злоумышленник подсматривает пароль, набирае­мый пользователем. То, что все современные операционные системы не высвечивают на экране вводимый пользователем пароль, несколько за­трудняет эту задачу, но не делает ее невыполнимой. Известно, что для того, чтобы восстановить набираемый пользователем пароль только по движениям рук на клавиатуре, достаточно всего несколько недель трени­ровок. Кроме того, достаточно часто встречается ситуация, когда пользо­ватель ошибочно набирает пароль вместо своего имени, которое, в отли­чие от пароля, на экране высвечивается.

Иногда пользователи, чтобы не забыть пароль, записывают его на бумагу, которую приклеивают к нижней части клавиатуры, к задней стенке системного блока или в какое-нибудь другое якобы укромное место. В этом случае пароль рано или поздно становится добычей злоумышленника. Особенно часто такие ситуации имеют место в случаях, когда политика безопасности требует от пользователей использовать длинные, трудные для запоминания пароли.

Наконец, если ключевая информация хранится пользователем на внешнем носителе (ключевая дискета, Touch Memory и т.д.), этот носитель может быть потерян и затем найден злоумышленником, а может быть про­сто украден.

3. Подбор пароля. С помощью специальных программ подборщиков злоумышленник получает пароль если имеется доступ к файлу базы данных паролей.

4. Сборка мусора. Во многих операционных системах информация, уничтоженная пользователем, не уничтожается физически, а помечается как уничтоженная. С помощью специальных программных средств эта ин­формация (так называемый мусор) может быть в дальнейшем восстанов­лена. Суть данной атаки заключается в том, что злоумышленник восста­навливает эту информацию, просматривает ее и копирует интересующие его фрагменты.

Сборка мусора может осуществляться не только на дисках компью­тера, но и в оперативной памяти. В этом случае специальная программа, запущенная злоумышленником, выделяет себе всю или почти всю доступ­ную оперативную память, просматривает ее содержимое и копирует фраг­менты, содержащие заранее определенные ключевые слова. Если опера­ционная система не предусматривает очистку памяти при выделении, зло­умышленник может получить таким образом много интересной для него информации, например содержание области памяти, только что освобож­денной текстовым редактором, в котором редактировался конфиденци­альный документ.

5. Превышение полномочий. При реализации данной угрозы зло­умышленник, используя ошибки в программном обеспечении операцион­ной системы и/или политике безопасности, получает полномочия, превы­шающие те, которые ему предоставлены в соответствии с политикой безопасности. Обычно это достигается путем запуска программы от имени дру­гого пользователя или подмены динамически подгружаемой библиотеки.

Эта угроза представляет наибольшую опасность для операционных систем, в которых допускается временное повышение полномочий пользо­вателя (например, UNIX).

6. Программные закладки. Программные закладки, внедряемые в операционные системы, не имеют существенных отличий от других клас­сов программных закладок.

7. Жадные программы. Жадными называются программы, предна­меренно захватывающие значительную часть ресурсов компьютера, в ре­зультате чего другие программы не могут выполняться или выполняются крайне медленно и неэффективно. Часто запуск жадной программы при­водит к краху операционной системы.