Читаем Защита от хакеров корпоративных сетей полностью

Во-вторых, если рабочие станции были преднамеренно сконфигурированы таким образом, чтобы сети был нанесен «случайный ущерб», то это не что иное, как спуфинг. Различие в том, что в данном случае виновником инцидента являетесь вы, а не злоумышленник, от которого собирались защититься.

В-третьих, не помогайте (вольно или невольно) злоумышленнику нанести ущерб сети.

При спуфинге вслепую, о котором немного говорилось в главе ll, используется лишь часть идентификационных данных без знания всего, к чему допущен легитимный пользователь. Информированный спуфинг гораздо эффективнее. Он успешно преодолевает системы защиты, которые проверяют двухсторонние связи между клиентом и сервером. Обычно проверка двухсторонних связей между клиентом и сервером основана на предположении о существовании соединения, если после посылки сервером запроса клиенту клиент в качестве ответа возвращает эхо-ответ.

Методы спуфинга постоянно совершенствуются. Их применяют в большинстве атак фальсификации идентификационных данных. Но, как правило, непосредственное подключение к системе с украденным тем или иным способом паролем спуфингом не считается. Понятие спуфинга в общем-то расплывчато, но обычно спуфинг не предусматривает точного совпадения фальсифицированных данных идентификации с легитимными. Спуфинг предполагает использование уникальных данных идентификации пользователя, но их воровство, как правило, еще не рассматривается как спуфинг, хотя и позволяет имитировать скомпрометированного пользователя. В техническом плане проблема состоит в том, что по существу уникальные данные идентификации представляют идентификационные данные пользователя, работающего в онлайновом режиме. Безусловно, разрушение этих данных является катастрофой, но несколько иного плана. Это еще не спуфинг. Спуфинг – обман, несанкционированный ввод информации, намеренное злоумышленное искажение данных с помощью данных идентификации.

Конечно, информированный спуфинг, предполагающий похищение или совместное использование передаваемых по сети идентификационных данных пользователя, является более честной игрой, в которой игроки придерживаются установленных правил. Спуфинг – это атаки, которые извлекают преимущество из избыточности общей части идентификационных данных пользователей. Но выражение «спуфинг» редко применяется к простой ситуации, когда кто-либо подключается под именем суперпользователя и вводит его пароль.

Спуфинг и предательство – разные вещи

Система, которая доверяет своим пользователям, может стать жертвой предательства, порой очень коварного. В этом заключается один из рисков чрезмерного доверия к обслуживаемым пользователям. В идеале риск можно численно оценить для определения достоинств и недостатков подобного доверия. Если пользователи злоупотребляют своими полномочиями и наносят ущерб безопасности системе, то это еще не спуфинг, поскольку система предоставила им определенные полномочия и свободу их использования. То, что пользователи злоупотребили своими полномочиями, свидетельствует или о предоставлении им слишком больших полномочий, или о чрезмерном доверии к ним. В лучшем случае в результате предоставления пользователям слишком больших полномочий они могут обмануть себя, но до тех пор, пока не предпримут попытки обмануть кого-либо другого, это не будет являться спуфингом.

Спуфинг не обязательно злонамерен

Говоря о спуфинге, важно понимать, что он не обязательно является следствием атаки. Избыточные системы, как, например, протокол «горячей» (оперативной) замены маршрутизатора HSRP (Hot Swappable Router Protocol) или проект Fake Линукса (www.au.vergenet.net/linux/fake), максимизируют период работоспособного состояния системы при помощи исключения получаемых от группы серверов символов точки, вставляемых вместо ошибочных символов. Проблема заключается в том, что при разработке протоколов IP и Ethernet в них было предусмотрено выделение каждому хосту только одного адреса. И если хост отказывает, то адрес становится недоступным. Без фальсификации адресов подключения были бы утеряны, а необходимую надежность можно обеспечить только переключением серверов. В случае фальсификации адресов время простоя можно сделать настолько малым, что для пользователя оно станет практически невидимым.