Топовые новости
Случайное

Феномен цепной чувствительности

Феномен цепной чувствительностиЦепной чувствительностью системы называется ситуация, при которой та или иная уязвимость становится причиной риска, если эксплуатируется взломщиком в соединении с другой уязвимостью той же системы. Хорошим примером является классическая атака, одновременно использующая функциональность службы генератора символов и службу «эхо». Echo (эхо) — системная служба, которая по умолчанию используется во многих операционных системах UNIX. Передача символов на эхо-порт компьютера приводит к тому, что эти символы возвращаются отправителю. Chargen (генератор символов) — еще одна служба UNIX, которая создает на соединении со своим портом непрерывный поток символов. Тогда как существование каждой из этих служб не является причиной серьезного риска, использование их совместной функциональности может привести к атаке «отказ в обслуживании». Для осуществления атаки хакеру достаточно перенаправить выходящие потоки этих служб друг на друга, что неизбежно приведет к быстро увеличивающемуся объему трафика. Кроме того, атакованная система начнет поглощать ресурсы процессора и оперативной памяти и в конечном счете перестанет реагировать на запросы пользователей. Связывая вместе две или более уязвимостей, взломщик способен спровоцировать появление серьезной проблемы безопасности. Похожих комбинаций множество, и автоматический сканер в процессе присваивания уровня риска той или иной угрозе должен проверять возможность возникновения таких ситуаций. Просмотрите словарь уязвимостей на сайте Www. cve. mitre. org. Каждая из представленных там ошибок имеет разную степень важности. Одни дают злоумышленнику возможность получить информацию о структуре вашей системы, другие способны привести к взлому критически важных частей системы. Средства проведения аудита безопасности должны указывать на все возможные информационные риски, связанные с той или иной уязвимостью системы. Не забывайте о том, что в некоторых случаях несколько небольших ошибок могут привести к серьезной проблеме, какой, без сомнения, является атака «отказ в обслуживании» (DoS).

Популярные записи

Copyright © 2015. All Rights Reserved.