ації перехоплення - це збереження у файлі всіх одержуваних помилковим об'єктом пакетів обміну. ??
Проте, даний спосіб перехоплення інформації виявляється недостатньо інформативним. Це відбувається внаслідок того, що в пакетах обміну крім полів даних існують службові поля, що не представляють в даному випадку для атакуючого безпосереднього інтересу. Отже, для того, щоб отримати безпосередньо переданий файл, необхідно проводити на хибному об'єкті динамічний семантичний аналіз потоку інформації для його селекції.
. 1.6 Модифікація інформації
Однією з особливостей будь-якої системи впливу, побудованої за принципом помилкового об'єкта, є те, що вона здатна модифікувати перехоплену інформацію. Слід особливо відзначити, що це один із способів, що дозволяють програмно модифікувати потік інформації між об'єктами РВС з іншого об'єкта. Адже для реалізації перехоплення інформації в мережі необов'язково атакувати розподілену НД за схемою хибний об'єкт . Ефективніше буде атака, що здійснює аналіз мережевого трафіку, що дозволяє отримувати всі пакети, що проходять по каналу зв'язку, але, на відміну від віддаленої атаки за схемою хибний об'єкт , Вона не здатна до модифікації інформації.
Далі розглянемо два види модифікації інформації:
· модифікація переданих даних;
· модифікація переданого коду.
Однією з функцій, якою може володіти система впливу, побудована за принципом хибний об'єкт , Є модифікація переданих даних. У результаті селекції потоку перехопленої інформації та його аналізу система може розпізнавати тип переданих файлів (виконуваний або текстовий). Відповідно, у разі виявлення текстового файлу або файлу даних з'являється можливість модифікувати проходять через хибний об'єкт дані. Особливу загрозу ця функція являє для мереж обробки конфіденційної інформації.
Іншим видом модифікації може бути модифікація переданого коду. Помилковий об'єкт, проводячи семантичний аналіз проходить через нього інформацією, може виділяти з потоку даних виконуваний код. Відомий принцип неймановской архітектури свідчить, що не існує відмінностей між даними і командами. Отже, для того, щоб визначити, що передається по мережі - код або дані, необхідно використовувати певні особливості, властиві реалізації мережевого обміну в конкретній розподіленої НД або деякі особливості, властиві конкретним типам виконуваних файлів в даній локальній ОС.
Представляється можливим виділити два різних по цілі виду модифікації коду:
· впровадження РПС (руйнують програмних засобів);
· зміна логіки роботи виконуваного файлу. У першому випадку при впровадженні РПС виконуваний файл модифікується по вірусної технології: до виконуваного файлу одним з відомих способів дописується тіло РПС, а також одним з відомих способів змінюється точка входу так, щоб вона вказувала на початок впровадженого коду РПС. Описаний спосіб, в принципі, нічим не відрізняється від стандартного зараження виконуваного файлу вірусом, за винятком того, що файл виявився вражений вірусом або РПС в момент передачі його по мережі! Таке можливе лише при використанні системи впливу, побудованої за принципом хибний об'єкт . Конкретний вид РПС, його цілі і завдання в даному випадку не мають значення, але можна розглянути, наприклад, варіант використання помилкового об'єкта для створення мережевого черв'яка - найбільш складного на практиці віддаленого впливу в мережах, або в якості РПС використовувати мережеві шпигуни.
У другому випадку відбувається модифікація виконуваного коду з метою зміни логіки його роботи. Дана дія вимагає попереднього дослідження роботи виконуваного файлу і, у разі його проведення, може принести найнесподіваніші результати. Наприклад, при запуску на сервері (наприклад, в ОС Novell NetWare) програми ідентифікації користувачів розподіленої бази даних помилковий об'єкт може так модифікувати код цієї програми, що з'явиться можливість беспарольного входу з найвищими привілеями в базу даних.
. 1.7 Підміна інформації
Помилковий об'єкт дозволяє не тільки модифікувати, але і підміняти перехоплену їм інформацію. Якщо модифікація інформації призводить до її часткового спотворення, то підміна - до її повної зміни.
При виникненні в мережі певного контрольованого помилковим об'єктом події одному з учасників обміну надсилається заздалегідь підготовлена ??дезінформація. При цьому така дезінформація залежно від контрольованого події може бути сприйнята або як виконуваний код, або як дані. Розглянемо приклад подібного роду дезінформації.
Припустимо, що хибний об'єкт контролює подія, яка полягає в підключенні користувача до сервера. У цьому в...