На главную | Содержание | Назад | Вперёд
Наши друзья

 

 

Способы НСД к компьютерам, сетевым ресурсам и программному обеспечению

В настоящее время проблемы информационной безопасности постоянно усугубля­ются вследствие проникновения технических средств обработки и передачи данных и, прежде всего, информационно-вычислительных систем практически во все сферы дея­тельности общества. Хакеры, «электронные корсары», «компьютерные пираты», на­бирая на удачу один номер за другим, терпеливо дожидаются, пока компьютер на дру­гом конце провода не отзовется. После этого они подключают телефон к приемнику сигналов собственного персонального компьютера — связь установлена. Если теперь угадать код (а слова, которые служат паролем, часто банальны), то можно внедриться в чужую компьютерную систему.


Несанкционированный доступ к файлам законного
пользователя осуществляется также путем обнаружения слабых мест в защите системы. Однажды выявив их, на­рушитель может, не торопясь, исследовать ся в системе информацию, копировать ее, возвращаться к ней много раз.
В наши дни хакер может написать простенькую про­грамму, которая выдает себя за клиента сетевой файло­вой системы NFS (Network File System), и, обходя обыч­ные средства контроля доступа, получить прямой доступ к файлам пользователя. Система NFS — не единственное сетевое средство, уязвимое для подобного рода вме­шательств; практически все сетевые модули имеют этот недостаток.
Программисты иногда допускают ошибки в программах, которые не удается обна­ружить в процессе отладки. Авторы больших сложных программ могут не заметить некоторых слабостей логики их работы. Обычно слабости все-таки выявляются при проверке, редактировании, отладке программы, но абсолютно избавиться от них не­возможно. Кроме того, уязвимые места иногда обнаруживаются и в электронных це­пях, особенно в системах связи и передачи данных. Все эти и ошибки приводят к появлению существенных «брешей» в системах защиты информации. Бывает, что некто проникает в компьютерную систему, выдавая себя за законного
пользователя. Системы, которые не обладают средствами аутентичной идентифика­ции (например, по физиологическим характеристикам: по отпечаткам пальцев, по ри­сунку сетчатки глаза, голосу и т. п.), оказываются без защиты против этого приема. Самый простейший путь его осуществления — получение кодов и других Идентифи­цирующих шифров законных пользователей. Это может производиться способами:
□ приобретением (обычно подкупом персонала) списка пользователей со всей не­обходимой информацией;
обнаружением такого документа в организациях, где не налажен достаточный контроль за их хранением; подслушиванием через телефонные линии.
Иногда случается (как, например, с ошибочными телефонными звонками), что
пользователь с удаленного терминала подключается к чьей-то системе, будучи абсо­лютно уверенным, что он работает с той системой, с какой и намеревался. Владелец системы, к которой произошло фактическое подключение, формируя правдоподобные отклики, может поддерживать это заблуждение в течение некоторого времени и таким
образом получить информацию, в частности, коды.
Способы НСД к компьютерам и сетевым ресурсам
Проблема защиты информации от несанкционированного доступа стала значительно острее, когда получили широкое распространение локальные и, глобаль­ные компьютерные сети. Основной целью хакеров, по мнению является
сбор большого количества имен пользователей и паролей входа. Как правило, их не
интересуют коммерческие тайны, хотя некоторым хакерам удавалось прорваться в сети


крупных компаний, разрабатывающих программные продукты, внедряться в телеком­муникационные сети банков, учреждения министерства обороны и т. п.
Одним из беспрецедентных компьютерных преступлений в последние годы стал
взлом многослойной защиты компьютерной системы банка «Сити-банк» (США, Нью-Йорк). Российский гражданин В. Левин с 30 июня по 3 октября 1994 года, находясь в Санкт-Петербурге и используя обычный персональный компьютер и электронную связь, произвел не менее 40 незаконных переводов на общую сумму около 12 млн долларов со счетов различных клиентов «Сити-банка» на счета действующих с ним в заговоре лиц или контролируемых ими
В США, например, ежегодные потери от компьютерной преступности оценивают­ся более чем на 100 млрд долларов, в странах Западной Европы — на 30 млрд. долла­ров. Средний и максимальный ущерб от одного компьютерного преступления состав­ляет, соответственно, 450 тыс. и 1 млрд долларов. Ежегодные потери некоторых фирм США достигают 5 млрд долларов. Согласно статистическим данным, более 80% ком­паний и агентств несут финансовые убытки из-за недостаточно надежного обеспече­ния безопасности данных.
Одной из разновидностей несанкционированного доступа является подделка ком­пьютерной информации, которая характеризуется тем, что пользоваться ею может,
как правило, не посторонний пользователь, а сам разработчик, причем имеющий вы­сокую квалификацию.
Идея преступления состоит в подделке выходной информации компьютеров с це­лью имитации работоспособности больших систем, составной частью которых явля­ется компьютер. Если подделка выполнена ловко, зачастую удается сдать заказчику заведомо неисправную продукцию.
К подделке информации можно отнести также подтасовку результатов выборов,
голосования, референдумов и т. п. Каждый голосующий не может убедиться, что его
голос зарегистрирован правильно, поэтому всегда можно внести искажения в итого­вые протоколы. Естественно, что подделать информацию можно и другими целями. К уязвимым местам в вычислительных сетях относятся:
О применение компьютеров, не имеющих парольной защиты во время загрузки; О использование совместных или легко вскрываемых паролей; хранение паролей в пакетных файлах и на дисках компьютеров; отсутствие установления подлинности пользователя в реальном масштабе време­ни;
□ отсутствие или низкая эффективность систем идентификации и аутентифика­ции пользователей;
□ недостаточность физического контроля за сетевыми устройствами;
О отсутствие отключения терминала при многочис­ленных неудачных попытках установления сеан­са связи, а также регистрации таких попыток;
□ незащищенность модемов. Для защиты компьютерных сетей или отдельных
компьютеров от несанкционированного использова­ния применяются три основных вида контроля дос­тупа, основанных на:


□ владении физическим ключом; личностных характеристиках пользователя;
□ обладании специфической информацией.
Когда говорят о контроле доступа, основанном на владении физическим ключом, речь идет о предметах, принадлежащих пользователю: физическом ключе, магнитной карте, металлической пластинке причудливой формы, которую вставляют перед нача­лом работы в щель распознавателя.
Для контроля доступа, основанного на личностных характеристиках пользовате­ля, используются биометрические приборы, анализирующие специфические физичес­кие особенности пользователя (подпись, тембр голоса, отпечатки пальцев, рисунок линий на ладони или на сетчатке глаза и т. п.) и сравнивают их с теми, что находятся в
памяти приборов.
Компьютерная защита этих двух видов может использоваться и для дистанционно­го управления доступом, хотя обычно к ней прибегают для ограничения доступа к компьютерному залу или отдельному кабинету — помещению, где находятся компью­теры.
Контроль доступа, основанный на обладании специфической информацией, наибо­лее распространен и характеризуется тем, что правом доступа обладают лишь те лица, которые способны продемонстрировать свое знание определенного обычно —
пароля. Это самый простой и дешевый способ защиты любой компьютерной системы. Поскольку его использование не требует больших затрат времени, сил, а также памя­ти компьютера, то он применяется даже в тех компьютерах, которые вовсе не нужда­ются в средствах защиты.
Кроме того, использование пароля дает пользователю ощущение психологическо­го комфорта. Этот способ защиты широко используется в системах, уже защищенных другими средствами — магнитными картами или иными программными методами типа шифрования, — это в еще большей степени укрепляет защиту от несанкционирован­ного доступа.
Пароли, как правило, рассматриваются в качестве ключей для входа в систему, но они используются и для других целей: блокирование записи на дисковод, в командах на шифрование данных, то есть во всех тех случаях, когда требуется твердая уверен­ность, что соответствующие действия будут производиться только законными владель­цами или пользователями программного обеспечения.
Пароли можно подразделить на семь основных групп (пароли, устанавливаемые пароли, генерируемые системой; О случайные коды доступа, генерируемые системой; полуслова;
□ ключевые фразы;
интерактивные последовательности типа «вопрос — ответ»; «строгие» пароли.
Пароли первой группы применяются наиболее часто. Большинство таких паролей
относятся к типу «выбери сам». Для более надежной защиты от несанкционированно­го доступа необходимо использовать достаточно длинный пароль, поэтому обычно система запрашивает пароль, содержащий не менее четырех-пяти букв. Существуют и


другие меры, не позволяющие пользователю создать неудачный пароль. Например, система может настаивать на том, чтобы пароль включал в себя строчные и заглавные буквы вперемешку с цифрами; заведомо очевидные пароли, например, Internet, ею отвергаются.
В разных операционных системах существует немало программ, которые просмат­ривают файлы, содержащие пароли, анализируют пароли пользователей и определяют уровень их секретности. Неподходящие пароли заменяются или удаляются.
Представьте себе состояние человека, когда он впервые загружает компьютер, и компьютер просит его ввести собственный секретный пароль. Стоит запросу появить­ся на экране монитора, и человека посещает мысль о том, что надо немедленно что-то предпринимать. Не считая гениев и безнадежных тупиц, все люди, когда надо прини­мать быстрые решения, мыслят и действуют примерно одинаково. Им требуется вре­мя, чтобы начать мыслить творчески, поэтому начальные предположения и первые умозаключения в определенных группах людей оказываются одинаковыми. И пользо­ватели выдают первое, что приходит им в голову. А в голову приходит то, что они видят или слышат в данный момент, либо то, что собираются сделать сразу же после загрузки. В такой ситуации пароль создается в спешке, а последующая его замена на более надежный происходит довольно редко. Таким образом, многие пароли, создан­ные пользователями, могут быть раскрыты достаточно быстро.
Пароли и коды, устанавливаемые системой, могут быть нескольких разновиднос­тей. Системное программное обеспечение может использовать полностью случайную последовательность символов (вплоть до случайного выбора регистров, цифр, пунк­туации длины) или же применять какие-либо ограничения в генерирующих процеду­рах. Компьютер может создавать пароли, случайным образом извлекая из списка обыч­ных или ничего не значащих слов, созданных авторами программы, и образовать нечто вроде onah.foopn или ocar-back-treen.
Полуслова частично создаются пользователем, а частично — каким-либо случай­ным процессом. Это значит, что если даже пользователь придумает легкоугадываемый пароль, например, «абзац», компьютер дополнит его какой-нибудь неразбери­хой, образовав более сложный пароль типа «абзац,3ю37».
Ключевые фразы хороши тем, что они длинные и их трудно угадать, зато легко запомнить. Фразы могут быть осмысленными, типа «мы были обеспокоены этим», или не иметь смысла — «ловящий рыбу нос». Следует заметить, что в программиро­вании постепенно намечается тенденция к переходу на более широкое применение ключевых фраз.
К концепции ключевых фраз близка концепция кодового акронима, который экспер­ты по защите оценивают как короткую, но идеально безопасную форму пароля. В акро­ниме пользователь берет легко запоминающееся предложение, фразу, строчку из сти­хотворения ит. п., и использует первые буквы каждого слова в качестве пароля. Цапример, акронимами двух приведенных выше фраз являются и Подобные ново-
введения в теории паролей значительно затрудняют электронный шпионаж.
Интерактивные последовательности «вопрос — ответ», предлагают пользователю ответить на несколько вопросов, как правило, личного плана: «Девичья фамилия ва­шей «Ваш любимый цвет?» и т. д. В компьютере хранятся ответы на множе­ство таких вопросов. При входе пользователя в систему компьютер сравнивает полу­ченные ответы с «правильными». Системы с использованием «вопросов ответов» склонны прерывать работу пользователя каждые десять минут, предлагая отвечать на вопросы, чтобы подтвердить его право пользоваться системой, В настоящее время такие пароли почти не используются. Когда их придумали, идея казалась неплохой, но раз­дражающие прерьшания привели к тому, что данный метод практически исчез из оби­хода.
«Строгие» пароли обычно используются совместно с каким-нибудь внешним элек­тронным или механическим устройством. В этом случае компьютер обычно с просто­душным коварством предлагает несколько вариантов приглашений, а пользователь должен дать на них подходящие ответы.
Пароли этого типа часто встречаются в системах с одноразовыми кодами. Однора­зовые коды — это пароли, которые срабатывают только один раз. Их иногда использу­ют, создавая временную копию для гостей, чтобы продемонстрировать потенциаль­ным клиентам возможности системы. Они также порой применяются при первом вхождении пользователя в систему. Во время первого сеанса пользователь вводит но­вый собственный пароль, а в дальнейшем входит в систему лишь через него. Однора­зовые коды могут также применяться в системе, когда действительный пользователь входит в нее в первый раз; затем пользователю следует поменять свой пароль на более засекреченный персональный код. Если системой пользуется группа людей, но при этом нельзя нарушать секретность, обращаются к списку одноразовых кодов, из кото­рого тот или иной пользователь вводит код, соответствующий, например, времени, дате или дню недели.
Итак, для того чтобы пароль оказался действительно надежным, он должен отве­чать определенным требованиям:
□ быть определенной длины;
включать в себя как прописные, так и строчные буквы;
□ включать в себя одну и более цифр;
□ включать в себя один нецифровой и один неалфавитный символ.


Нужно обязательно соблюдать одно или несколько из этих правил.
Чем же отличается несанкционированный доступ к компьютерным сетям от такого же несанкционированного доступа к их сетевым ресурсам (В первом слу­чае некий субъект получает доступ на правах «законного» пользователя, используя различные уязвимые места сети.
Во втором случае несанкционированный доступ может произойти, в основном, по двум причинам: либо право доступа к ресурсам сети не определено должным образом, либо механизмы управления доступом и полномочиями недостаточно детализирова­ны. Как правило, на практике довольно часто пользователям предоставляют более широкие права доступа к ресурсам сети, чем это необходимо, несмотря на ущерб бе­зопасности информации.
К уязвимым местам доступа к ресурсам вычислительных сетей можно отнести:
О при назначении прав пользователей применение системных установок с недопу­стимо широким спектром полномочий;
неправомерное использование полномочий администратора сети; О неправильное использование механизма назначения полномочий для пользова­телей;
использование компьютеров без механизма контроля доступа на уровне фай­лов;
хранение данных без защиты или с недостаточным ее уровнем.
На примерах действий хакеров рассмотрим более детально, как же осуществляет­ся несанкционированный доступ к компьютерам и сетям.
Лица, производящие несанкционированный доступ, а точнее, совершающие ком­пьютерные преступления, подпадают под три категории: пираты, хакеры и кракеры (взломщики). Пираты главным образом нарушают авторское право, создавая незакон­ные версии программ и данных. Хакеры получают неправомочный доступ к компью­терам других пользователей и файлам в них. Однако они, как правило, не повреждают и не копируют файлы, удовлетворяясь сознанием своей власти над системами. Краке-позволяют себе все.
Обычно хакер проникает в систему по стандартной схеме. Сначала он определяет потенциально доступные компьютеры, затем пытается войти в систему и, если это удалось, старается закрепить свои позиции.
Первый этап процесса (обнаружение потенциально доступного компьютера) — самый простой. Сведения о них можно получить из файлов с расширением RHOSTS и содержащихся в уже взломанных системах, или с помощью доменной систе­мы имен DNS (Domain Name System), которая является иерархической распределен­ной базой данных. Она обеспечивает преобразование имен компьютеров в числовые адреса сети Internet.
Одной из особенностей DNS, популярной среди хакеров, является так называемый запрос зонной информации (zone transfer). Когда сервер DNS получает подобный зап­рос, он передает всю имеющуюся информацию, относящуюся к зоне: имена компьюте­ров, их сетевые адреса и служебные данные о типе компьютера.
Имея эту информацию, хакер может составить точный список компьютеров, дос­тупных для вмешательства. Например, из зонного информационного списка он может
выбрать только компьютеры с операционной системой UNIX, использующие сетевое программное обеспечение BSD.
После того как хакер сделал свой выбор, перед ним встает задача входа в систему, то есть ее взлом. Большинство многопользовательских систем имеют средства иден­тификации пользователя. В системе UNIX идентифицируется традиционная пара: имя пользователя и пароль входа. Имена обычно известны, а пароли входа засекречены. Даже если имена пользователей неизвестны, их нетрудно получить, используя раз­личные информационные утилиты. Что касается пароля входа, то перебор всех воз­можных вариантов, исходя из логических умозаключений, редко к успеху: комбинаций слишком много, программа login работает медленно и обычно разъединя­ет линию связи после трех неудачных попыток. Для получения более эффективных результатов хакеры обращаются к сетевым средствам, которые предоставляют боль­шинство систем.
После внедрения в систему хакер прежде всего пытается скрыть следы своего вме­шательства путем изменения или удаления файлов-протоколов системы. Другим рас­пространенным способом является обход ограничений удаленного входа с использо­ванием средств дистанционного выполнения команд (REXEC). Эти средства позволяют пользователю выполнять команды на удаленном компьютере. При этом не остается записей в файлах протоколов, поэтому такой способ весьма популярен среди хакеров.
Общим методом незаметного внедрения в систему является использование средств удаленного выполнения команд для копирования файлов протоколов и дальнейшее проникновение в систему с помощью службы удаленного входа. Затем хакер пытается стать привилегированным пользователем и установить все файлы протоколов из ко­пий, чтобы не оставлять следов своего пребывания в системе. Получение прав приви­легированного пользователя никогда не было серьезной проблемой.


Проникнув в вычислительную систему, хакер закрепляет свое положение. Для этого может использоваться запись файлов .rhosts в домашние каталоги вскрытых пользова­телей или замена двоичных исполняемых файлов системы их подправленными вари­антами. Он формирует такие файлы .rhosts, которые разрешают свободный доступ любому пользователю из любой системы.
Заменяя двоичные файлы, хакер может заменить команды su» и new-grp на специ­альные версии, которые предоставляют ему привилегированную операционную обо­лочку после указания специального пароля. Часто заменяются программы, запраши­вающие пароли на вход. Эти программы продолжают работать как и обычные, но записывают введенные пароли в специальный файл, известный только хакеру.
Из практики известно, что как только хакеры становились привилегированными пользователями, они интересовались прежде всего почтовыми ящиками пользовате­лей, файлами и Они определяли, кто является системным администрато­ром, анализируя почтовые адреса или по принадлежности к специальной группе пользо­вателей. Каталоги администраторов хакеры тщательно просматривали для выявления сообщений о недостатках и особенностях систем, а также поиска списков новых пользо­вателей системы.

 

На главную | Содержание | Назад | Вперёд
 
Яндекс.Метрика