Підміна довіреного об'єкту або суб'єкта розподіленої ВС

Одній з проблем безпеки розподіленою ВС є недостатня ідентифікація і аутентифікація її віддалених один від одного об'єктів. Основна трудність полягає в здійсненні однозначної ідентифікації повідомлень, передаваних між суб'єктами і об'єктами взаємодії. Зазвичай в розподілених ВС ця проблема вирішується таким чином: в процесі створення віртуального каналу об'єкти РВС обмінюються певною інформацією, що унікально ідентифікує даний канал. Такий обмін зазвичай називається "рукостисканням" (handshake). Проте, відзначимо, що не завжди для зв'язку двох видалених об'єктів в РВС створюється віртуальний канал. Практика показує, що частенько, особливо для службових повідомлень (!?) (наприклад, від маршрутизаторів) використовується передача одиночних повідомлень, що не вимагають підтвердження.

Як відомо, для адресації повідомлень в розподілених ВС використовується мережева адреса, яка унікальна для кожного об'єкту системи (на канальному рівні моделі OSI - це апаратна адреса мережевого адаптера, на мережевому рівні - адреса визначається залежно від використовуваного протоколу мережевого рівня (наприклад, IP-адрес). Мережева адреса також може використовуватися для ідентифікації об'єктів розподіленої ВС. Проте мережева адреса досить просто підроблюється і тому використовувати його як єдиний засіб ідентифікації об'єктів неприпустимо.

У тому випадку, коли розподілена ВС використовує нестійкі алгоритми ідентифікації видалених об'єктів, то виявляється можливою типова видалена атака, що полягає в передачі по каналах зв'язку повідомлень від імені довільного об'єкту або суб'єкта РВС. При цьому існують два різновиди даної типової видаленої атаки:

• атака при встановленому віртуальному каналі
• атака без встановленого віртуального каналу.

В разі встановленого віртуального з'єднання атака полягатиме в привласненні прав довіреного суб'єкта взаємодії, що легально підключилася до об'єкту системи, що дозволить тому, що атакує вести сеанс роботи з об'єктом розподіленої системи від імені довіреного суб'єкта. Реалізація видалених атак даного типа зазвичай полягає в передачі пакетів обміну з атакуючого об'єкту на мету атаки від імені довіреного суб'єкта взаємодії (при цьому передані повідомлення будуть сприйняті системою як коректні). Для здійснення атаки даного типа необхідно здолати систему ідентифікації і аутентифікації повідомлень, яка, в принципі, може використовувати контрольну суму, що обчислюється за допомогою відкритого ключа, динамічно виробленого при встановленні каналу, випадкові багатобітові лічильники пакетів і мережеві адреси станцій. Проте на практиці, наприклад, в ОС Novell NetWare 3.12-4.1 для ідентифікації пакетів обміну використовуються два 8-бітових лічильника - номер каналу і номер пакету [9]; у протоколі TCP для ідентифікації використовуються два 32-бітових лічильника. Приклад видаленої атаки на мережу Internet даного типа описаний в п. 4.5.2.

Як було відмічено вище, для службових повідомлень в розподілених ВС часто використовується передача одиночних повідомлень, що не вимагають підтвердження, тобто не потрібне створення віртуального з'єднання. Атака без встановленого віртуального з'єднання полягає в передачі службових повідомлень від імені мережевих пристроїв, що управляють, наприклад, від імені маршрутизаторів.

Очевидно, що в цьому випадку для ідентифікації пакетів можливо лише використання статичних ключів, визначених заздалегідь, що досить незручно і вимагає складної системи управління ключами. Проте, при відмові від такої системи ідентифікація пакетів без встановленого віртуального каналу буде можлива лише за мережевою адресою відправника, якого легко підроблювати.

Посилка помилкових повідомлень, що управляють, може привести до серйозних порушень роботи розподіленої ВС (наприклад, до зміни її конфігурації). Що розгледіла в п. 3.2.3.1 типова видалена атака, що використовує нав'язування помилкового маршруту, заснована на описаній ідеї.

Підміна довіреного об'єкту РВС є активною дією (клас 1.2), що здійснюється з метою порушення конфіденційності (клас 2.1) і цілісності (клас 2.2) інформації, по настанню на об'єкті, що атакується, певної події (клас 3.2). Дана видалена атака може бути як внутрішньосегментною (клас 5.1), так і міжсегментною (клас 5.2), як із зворотним зв'язком (клас 4.1), так і без зворотного зв'язку (клас 4.2) з об'єктом, що атакується, і здійснюється на мережевому (клас 6.3) і транспортному (клас 6.4) рівнях моделі OSI.