文/樊國楨
莫里斯網蟲事件讓眾人正視到資訊產品/系統的脆弱,一般而言,資訊產品/系統目前均面對如下表所示之共同弱點。不同程度的系統弱點,再加上不同目的的入侵者,所造成的損害衝擊均不盡相同。依損害程度的輕重,可分為1至6等級。以下說明之:
等級一:郵件炸彈與阻斷攻擊
郵件炸彈可以說是最簡易的攻擊方式,對攻擊者而言,完全沒有任何利益,和阻絕攻擊一樣是一種損人不利己的攻擊。應付這類型的攻擊,唯一的方法只有將來自涉嫌使用這種攻擊方法的網域所送來的封包全數過濾。然而這只能減輕影響,卻無法避免垃圾封包佔用頻寬的事實。目前已有不少網路安全軟體,可以自動找出可能的垃圾封包來源,加以過濾。
等級二:合法使用者有能力讀取未經授權的檔案
透過某些系統弱點,或系統的存取控制設定失當,一般使用者可能有能力越權使用系統資源。在使用shadow passwd的UNIX系統,如Solaris,將所有使用者的登入密碼加密後儲存於/etc/shadow檔案中,而為避免一般使用者檔案採用字典攻擊法,取得其他使用者的登入密碼,不開放shadow檔案的讀取權限給一般使用者。如一般使用者有能力讀取shadow檔案,就可以採用Cracker之類的程式,使用字典攻擊法猜測密碼。為增加字典攻擊法的困難度,目前許多系統,如FreeBSD已可選擇將傳統使用DES,密文長度13字元的加密方法改為使用MD5,密文長度為128 bits的加密方法。
等級三:合法使用者有能力寫入未經授權的檔案
若一般使用者有能力寫入未經授權的檔案,將更加危險,以上述UNIX的例子而言,若一般使用者能寫入/etc/passwd或/etc/shadow,就可以輕易地獲得管理者的權限。事實上在UNIX系統中,只要任何一個地方,出現存取權限為srwxrwxrwx且擁有者為系統管理員的檔案,就表示任何有能力登入該系統的人,都有能力取得管理員的權限。由於損害程度等級二與等級三中,獲取額外權限的是合法的使用者,一般而言所造成的危險程度較低,追查也較容易。
等級四:外來的使用者取得讀取系統內檔案的能力
這裡所謂的能力可能包含讀取檔案或是列出目錄內檔案的列表。雖然此時入侵者並無法新增修改系統內部的檔案,但是讀取權限卻讓入侵者有機會能對系統進行瞭解,進一步發現更嚴重的系統弱點,並藉此取得更高的權限。當然對某些儲存機密資料的系統而言,如果機密資料的讀取權限被入侵者取得,可以說已經是最嚴重的損害了。
等級五:外來的使用者取得寫入系統內檔案的能力
若入侵者已取得部分系統檔案的讀取、寫入權限,有相當大的機會,入侵者就可以取得管理員權限,至少已經比系統內的一般使用者擁有更高的權限了。這是非常嚴重的狀況,距離系統瓦解只一步之遙了。
等級六:入侵者取得管理者權限
只要入侵者有能力寫入特定的系統設定檔,如/etc/passwd,簡單的新增一個具管理員權限的使用者,立即可以取得所有系統的使用權。至此,整個系統就完全掌握在入侵者的手中了。
與脆弱性評鑑之相關性
資訊安全的威脅經由資訊系統之脆弱性產生風險,在探討潛在入侵計算之前,我們先說明風險等級與資訊安全脆弱性評鑑之關連性。美國聯邦政府針對資訊資產(Information Assets)之敏感度及其風險等級定義如下:
1.資訊資產敏感度評鑑:
1.1 機密性-避免資訊未經授權、未預期或不小心被洩露。
1.2 完整性-避免資訊未經授權、未預期或不小心被竄改。包括但未限於:
●鑑別(Authenticity):由第三者證明訊息的內容在傳送過程中未被修改。
●不可否認性:由第三造證明訊息的發送或接收。
●權責歸屬可說明性,簡稱可歸責性(Accountability):判斷個體的行為,以確定其身份,並追蹤個體行為的安全目標。通常可利用稽核或記錄等方法來判斷。
●可用性-資訊技術資源在需要時必須要可以使用,並符合任務要求或避免重大損失。可用性必須確保這些資源只有在特定目的下才會被使用。
2.資訊資產風險等級:
高-若資訊洩露會對美國利益造成極大的損害;可能會造成喪命、監禁、重大財務損失,或需要採取法律行動來作改正。
中-若資訊洩露會對美國利益造成嚴重的損害;可能會造成重大財務損失或需要採取法律行動來作改正。
低-若資訊洩露會對美國利益造成損害;可能會造成輕微財務損失或需要採取管理行動來作改正。
前述之資訊資產風險等級在本節中之資訊安全架構(含技術控制)對應用語如下:
1.資訊資產風險等級高:所需要之抵抗潛在入侵能力為高(High),功能強度(Strength of Function,簡稱SOF)為高(High)。
2.資訊資產風險等級中:所需要之抵抗潛在入侵能力為適度(Moderate),功能強度為中間(Medium)。
3.資訊資產風險等級低:所需要之抵抗潛在入侵能力為低(Low),功能強度為基礎(Basic)。
潛在入侵計算(Calculating attack potential)是一項發展中的領域,以客觀的角度與嚴謹的計算提供評估者一個參考值來作為評估標的(Target of Evaluation,簡稱TOE)中的脆弱性評鑑(Vulnerability assessment)之依據。
潛在入侵是一個由專門技術(Expertise)、資源(Resources)與動機(Motivation)等因素(Factors)所構成的函數。在評估者(Evaluator)進行安全標的(Security Target,簡稱ST)評估(Evaluation)、脆弱性評鑑時的考量中特別應用到潛在入侵的計算。特別是在脆弱性評鑑時,評估者用以作為決定預期環境中已經鑑定過的脆弱性的實用性(Exploitatively)的方法。在本節中,我們將分別介紹潛在入侵之形成與計算因素。
計算因素
計算潛在入侵確實有其必要,接下來則討論如何進行計算。對於一個入侵者而言,想要利用某個脆弱性進行攻擊,首先他必須確認、識別這個脆弱性是不是真的可以用於攻擊,進而實行此項攻擊。如果有某個脆弱性,經由一位專家鑽研數個月才獲得成功,得到實作針對此脆弱性攻擊的方法與直接從網路上找到一個現成的、針對同一個脆弱性的攻擊程式,雖然結果差不多,但是不管是所花費的時間或所投注的技術與資源卻大不相同。
要對一個脆弱性分析其潛在入侵,我們從脆弱性的識別(Identification)與開探(Exploit)分析兩方面來看,其因素分別為:
1.識別:
。識別所需花的時間。
。識別所需的專門技術
。識別所需之評估標的之設計、操作知識
。識別所需存取評估標的之時間
。識別所需使用通資訊科技軟硬體或其他設備
2.攻擊實作:
。攻擊實作所需花的時間
。攻擊實作所需的專門技術
。攻擊實作所需之評估標的之設計、操作知識
。攻擊實作所需存取評估標的之時間
。攻擊實作所需使用資訊科技軟硬體或其他設備
在許多情形中,這些因素並非完全獨立,它們會互相影響。例如:使用不同的裝備,可能會影響所花費的時間。對於每項因素,我們介紹如下:
1.時間(Time):入侵者用來完成識別或攻擊實作所需的時間。在以下的討論中,以下列單位代表:
。可於一天內完成
。可於一週內完成
。可於一個月內完成
。可於三個月內完成
。大於三月方能完成
在這項因素中,能於愈短的時間內完成,潛在的威脅愈大。
2.特別的專業技術(Specialist expertise),可分為下列幾個層次:
(1).專家級的(Experts),對於相關演算法、協定、軟硬體、系統結構均極為清楚之專業人員,簡稱專家。
(2).熟練級的(Proficient),具備對相關產品規格與系統資訊之知識,簡稱熟練者。
(3).門外漢(Laymen),指沒有任何相關知識的人。
如果評估標的要專家級的人才有機會攻擊成功,除了提高安全度之外,對於程度較差的攻擊者也會產生一定的嚇阻效果。
3.評估標的之知識(Knowledge):與評估標的相關的知識,分級如下:
(1).公開可取得之相關於評估標的之資訊,例如:軟體的使用手冊(Public information)。
(2).有關評估標的之任何內部資訊(Restricted)。
(3).和評估標的相關的敏感資訊,例如:內部的系統設計與發展文件(Sensitive information)。
(4).評估標的之關鍵性(Critical)機密資訊。
對於一項可能的脆弱性,若不需任何資訊即可進行識別或攻擊實作,則對入侵者而言所需要的準備相對減少,因而使得入侵更加的容易。
對評估標的之存取(Access)時間:另一個重要考慮因素則為對評估標的之存取,這項因素亦和時間相關。如果識別某項脆弱性必須要存取評估標的則可能會提高被發現的機率,時間愈長愈容易失敗。其時間的單位和前述時間項目類似,分別劃分為五類或更多。
所可以使用之通資訊科技軟硬體與其他設備:分為下面三類來探討:
1.標準設備:入侵者易於取得的設備,可能也是評估標的自己的一部分元件。例如:作業系統所附的除錯工具、可從網路上下載而得的工具。
2.特殊設備:入侵者較不易取得的設備。例如:通訊協定分析工具、進階的攻擊程式。
3.定製的設備:入侵者難以得到的設備或軟硬體,此類軟硬體受到嚴密的控管、限制或是其價格非常高昂。例如:密碼分析專用高速電腦。
使用愈複雜的工具才能進行入侵的嘗試,此意味著入侵者實作攻擊的門檻高,因為成本與困難度已相對的提高。在評估潛在入侵實現之可能性的計算模式時,一般而言均根據本文中之
分類加以進行。