Читать «Безопасность информационных систем. Учебное пособие» онлайн - страница 79

Дина Алексеевна Погонышева

Одной из атак, которую может осуществлять ложный сервер, является перехват передаваемой между сервером и хостом информации. Факт перехвата информации возможен из-за того что при выполнении некоторых операций над файлами (чтение, копирование и т. д.) содержимое этих файлов передается по сети, а значит, поступает на ложный сервер. Простейший способ реализации перехвата – это сохранение в файле всех получаемых ложным сервером пакетов обмена. Данный способ перехвата информации оказывается недостаточно информативным. Это происходит вследствие того, что в пакетах обмена кроме полей данных существуют служебные поля, не представляющие интереса. Следовательно, для того, чтобы получить непосредственно передаваемый файл, необходимо проводить на ложном сервере динамический семантический анализ потока информации для его селекции.

Модификация информации

Одной из особенностей любой системы воздействия, построенной по принципу ложного сервера, является то, что она способна модифицировать перехваченную информацию.

Рассмотрим два вида модификации информации:

1) модификация передаваемых данных;

2) модификация передаваемого кода.

Модификация передаваемых данных. В результате селекции потока перехваченной информации и его анализа система может распознавать тип передаваемых файлов (исполняемый или текстовый). При обнаружении текстового файла или файла данных появляется возможность модифицировать данные, проходящие через ложный сервер. Особую угрозу эта функция представляет для сетей обработки конфиденциальной информации.

Модификация передаваемого кода. Ложный сервер, проводя семантический анализ проходящей через него информации, может выделять из потока данных исполняемый код. Чтобы определить, что передается код или данные по сети необходимо использовать определенные особенности, свойственные реализации сетевого обмена в конкретной сетевой операционной системе или некоторые особенности, присущие конкретным типам исполняемых файлов локальной операционной системе.

Выделяют два различных по цели вида модификации кода:

1) внедрение вредоносных программ;

2) изменение логики работы исполняемого файла. При внедрении вредоносных программ исполняемый файл модифицируется по вирусной технологии. К исполняемому файлу дописывается тело вредоносной программы и изменяется точка входа так, чтобы она указывала на внедренный код вредоносной программы. Файл поражен вирусом или вредоносной программой в момент передачи его по сети. Такое возможно лишь при использовании системы воздействия, построенной по принципу ложный сервер.

Модификация исполняемого кода с целью изменения логики его работы требует предварительного исследования работы исполняемого файла и в случае его проведения может принести негативные результаты. Например, при запуске на сервере программы идентификации пользователей распределенной базы данных ложный сервер может так модифицировать код этой программы, что появится возможность беспарольного входа с наивысшими привилегиями в базу данных.