Обманные системы

Обычно, когда речь заходит об обмане в области информационной безопас­ности, сразу вспоминаются попытки злоумышленников использовать те или иные скрытые лазейки для обхода используемых средств защиты. Будь то кража паро­лей и работа от имени авторизованного пользователя или несанкционированное использование модемов. Однако обман может сослужить хорошую службу не только для злоумышленников, но и для защитников корпоративных ресурсов. Сразу необходимо отметить, что обман очень редко используется в качестве за­щитного механизма. Обычно, когда речь заходит о средствах защиты, на ум сразу приходят современнейшие межсетевые экраны, блокирующие любые попытки проникновения хакеров. Или, если обратиться к фантастической литературе, то для защиты от проникновения используются системы с искусственным интеллек­том, которые «адаптируются» к нападениям злоумышленников и противопостав­ляют им адекватные защитные меры. Такие системы описаны в «Лабиринте отра­жений» Сергея Лукьяненко или «Neuromancer» Уильяма Гибсона. Но «не межсе­тевым экраном единым». Приходится обращать свое внимание и на другие нестандартные» защитные механизмы. Это частично собьет с толку злоумыш­ленников и нарушителей, привыкших к широко известным средствам обеспече­ния информационной безопасности [12].

Существует множество различных вариантов использования обмана в благих целях. Вкратце перечислю некоторые механизмы обмана, основываясь на класси­фикации Даннигана (Dunnigan) и Ноуфи (Nofi) [42]:

• сокрытие;

• камуфляж;

• дезинформация.

В той или иной мере эти механизмы используются в практике работ отделов безопасности. Однако, как правило, эти механизмы используются не для инфор­мационной, а для иных областей обеспечения безопасности (физическая, эконо­мическая и т. д.).

В области информационной безопасности наибольшее распространение полу­чил первый метод — сокрытие. Ярким примером использования этого метода в целях обеспечения информационной безопасности можно назвать сокрытие сете­вой топологии при помощи межсетевого экрана. Примером камуфляжа можно на­звать использование Unix-подобного графического интерфейса в системе, функ­ционирующей под управлением операционной системы Windows NT. Если зло­умышленник случайно увидел такой интерфейс, то он будет пытаться реализовать атаки, характерные для ОС Unix, а не для ОС Windows NT. Это су­щественно увеличит время, необходимое для «успешной» реализации атаки.

Во многих американских фильмах о хакерах последние, атакуя военные сис­темы Пентагона, мгновенно определяли тип программного обеспечения военной системы, лишь взглянув на приглашение ввести имя и пароль. Как правило, каж­дая операционная система обладает присущим только ей способом идентифика­ции пользователя, отличающимся от своих собратьев цветом и типом шрифта, которым выдается приглашение, текстом самого приглашения, местом его располо­жения и т. д. Камуфляж позволяет защититься именно от такого рода атак.

И, наконец, в качестве примера дезинформации можно назвать использова­ние заголовков (banner), которые бы давали понять злоумышленнику, что атакуе­мая им система уязвима. Например, если в сети используется почтовая програм­ма sendmail версии 8.9.3, а возвращаемый ею заголовок утверждает обратное, то нарушитель потратит много времени и ресурсов, чтобы попытаться эксплуатиро­вать уязвимости, присущие ранним версиям sendmail (до 8.9.3).

Рассмотрим только 2 и 3 классы обманных методов, как менее известные и наиболее интересные. Работа систем, их реализующих, заключается в том, что эти системы эмулируют те или иные известные уязвимости, которых в реально­сти не существует. Использование средств (deception systems), реализующих ка­муфляж и дезинформацию, приводит к следующему:

1. Увеличение числа выполняемых нарушителем операций и действий. Так как заранее нельзя определить, является ли обнаруженная нарушителем уязви­мость истинной или нет, то злоумышленнику приходится выполнять много дополнительных действий, чтобы выяснить это. И даже дополнительные действия не всегда помогают в этом. Например, попытка запустить программу подбора паро­лей (например Crack для Unix или LOphtCrack для Windows) на сфальсифициро­ванный и несуществующий в реальности файл приведет к бесполезной трате вре­мени без какого-либо видимого результата. Нападающий будет думать, что он не смог подобрать пароли, в то время как на самом деле программа «взлома» была просто обманута.

2. Получение возможности отследить нападающих. За тот период времени, когда нападающие пытаются проверить все обнаруженные уязвимости, в том чис­ле и фиктивные, администраторы безопасности могут проследить весь путь до нарушителя или нарушителей и предпринять соответствующие меры, например, со­общить об атаке в соответствующие судебные инстанции.

Обычно в информационной системе используются от 5 до 10 зарезервирован­ных портов (с номерами от 1 до 1024).. К ним можно отнести порты, отвечающие за функционирование сервисов HTTP, FTP, SMTP, NNTP, NetBIOS, Echo, Telnet и т. д. Если обманные системы эмулируют использование еще 100 и более портов, то работа нападающего увеличивается во сто крат. Теперь злоумышленник обна­ружит не 5—10, а 100 открытых портов. При этом мало обнаружить открытый порт, надо еще попытаться использовать уязвимости, связанные с этим портом. И даже если нападающий автоматизирует эту работу путем использования соот­ветствующих программных средств (Nmap, SATAN и т. д.), то число выполняе­мых им операций все равно существенно увеличивается, что приводит к быстрому снижению производительности его работы. И при этом злоумышленник все время находится под дамокловым мечом, опасаясь своего обнаружения.

Есть и другая особенность использования обманных систем. По умолчанию обращение ко всем неиспользуемым портам игнорируется. Тем самым попытки сканирования портов могли быть пропущены используемыми защитными средст­вами. В случае же использования обманных систем все эти действия будут сразу же обнаружены при первой попытке обращения к ним.

С помощью обманных систем злоумышленников бьют их же оружием и чаша весов склоняется уже не в пользу атакующих, которые раньше почти всегда были на шаг впереди специалистов по защите. Применение обманных систем — это до­статочно интересный и при правильном применении эффективный метод обеспе­чения информационной безопасности. Однако для большей эффективности мож­но порекомендовать использовать связку защитных средств «обманные системы — системы обнаружения атак», которая позволит не только обнаружить нападающего сразу же после первой попытки атаки, но и заманить его при помо­щи обманной системы, тем самым давая время администраторам безопасности на обнаружение злоумышленника и принятие соответствующих мер.

Существует два класса обманных систем. Первые эмулируют некоторые .сер­висы или уязвимости только на том компьютере, на котором они запущены. При­мером такой системы является Decoy-режим RealSecure OS Sensor, WinDog-DTK или система The Deception Toolkit (DTK). Второй класс систем эмулирует не от­дельные сервисы, а сразу целые компьютеры и даже сегменты, содержащие вир­туальные узлы, функционирующие под управлением разных ОС. Примером такой системы является CyberCop Sting.

Но не стоит забывать, что обманные системы — это не панацея- от всех бед. Они помогают в случае простых нападений, осуществляемых начинающими или неопытными злоумышленниками. В случае квалифицированных и опытных нару­шителей обманные системы теряют свою эффективность. Предварительный ана­лиз трафика позволяет злоумышленнику понять, какие из обнаруженных портов фиктивные. Моделирование атак на стенде и сравнивание результатов с тем, что выдается в реальной атакуемой системе, также позволяет обнаружить использование обманных средств. Мало того, неправильная конфигурация обманной сис­темы приведет к тому, что злоумышленник сможет обнаружить факт слежки за ним и прекратит свою несанкционированную деятельность. Однако число дейст­вительно квалифицированных злоумышленников не так велико и поэтому исполь­зование обманных средств может помочь в большинстве случаев.

Рис. 13. Функционирование обманной системы CyberCop Sting