Авторизация



БЕСШУМНАЯ КРАЖА PDF Печать E-mail
Автор: Андрей Куприянов   
15.05.2011 06:34

Вы можете окружить себя кольцом телохранителей и ездить в бронированном лимузине - но вас оберет до нитки очкарик, забравшийся в ваш компьютер с другого конца города

Попытки нелегального проникновения в вычислительные системы с целью ознакомления с ними, исправления, уничтожения или похищения программ и данных появились около 15 лет назад. Количество их растет по мере роста количества домашних компьютеров, и уже зафиксированы случаи действительно серьезных нарушений; внедрений в военные системы, нарушений работы спутниковых каналов, попыток крупных денежных махинаций. Но можно с уверенностью утверждать, что основная часть таких преступлений либо остается нераскрытой, либо замалчивается фирмой или организацией, павшей их жертвой — из страха нанести ущерб своей репутации.

Правда, пока компьютерное пиратство больше беспокоит наших западных соседей. Но растет количество профессиональных взломщиков-«хакеров» и в нашей стране, и по мере совершенствования и усложнения применяемой компьютерной техники и технологии они все чаще будут выходить на сцену.

Не так давно — осенью 1994 года — «хакер» проник в компьютерную сеть МГУ. Он не делал большого секрета из своих действий: по-видимому, им двигало отчасти честолюбие, а отчасти — желание бесплатно попользоваться услугами сети Интернет. Для проникновения он использовал элегантное программное решение, основанное на глубоком знании языка «Си» и программного обеспечения компьютеров сети. Его проникновение в сеть породило немало проблем, так как программный стек оказался разрушенным, а все управление передавалось в ту часть программы «login», которая в обычном режиме выполняется после успешного завершения всех проверок.

Ошибка считать, что у вашей фирмы есть иммунитет от информационного взлома и что вас «хакеры» обойдут вниманием. Компьютерных пиратов интересуют деньги, информация и программы. Если у вас есть хоть что-то из этого, надо готовиться к тому, что в ваши компьютеры могут пытаться проникнуть «хакеры». Если шанс, что ваши компьютеры привлекут просто электронных хулиганов, невелик, то целенаправленный акт конкурентов или преступной группировки — вовсе не что-то невероятное.

Хакер. Кто это?

В окопокомпьютерных кругах России до сих пор идет спор, кто такие хакеры и чем они отличаются от всех остальных программистов.

По-английски hacker — ювелир, человек, который делает тонкую работу... По аналогии, компьютерный хакер — человек, способный выполнить тонкую, «ювелирную» работу на компьютере. Иными словами, человек способный сделать то, что не под силу обычному пользователю или программисту.

Условно хакеров можно разделить на две основные категории. Первая — это дилетанты: как правило, молодые ребята, которые наслаждаются своей властью над компьютером, своей интеллектуальной мощью, позволяющей им преодолевать препятствия, построенные другими программистами или хакерами.

Именно они снимают защиты с программ*, русифицируют операционные системы**, разрабатывают драйверы для всяческих экзотических устройств. Им интересно найти и исправить ошибки в программном обеспечении или умело воспользоваться такими ошибками или побочными эффектами работы программы (side effects). Вероятно, они же являются авторами значительной части вирусов и «троянских коней»*** — причем просто так, из спортивного интереса.

Вполне естественно, что объектом особо пристального внимания хакеров являются различные защиты и методы их обхода. Часто просто ради удовольствия, а иногда и для собственного комфорта такие хакеры проникают через системы безопасности различных операционных систем с многопользовательской защитой (старинная RSX11, семейство UNIX, VAX/VMS, Novell Netware)****. Мотивы их действий простые: либо чисто утилитарные (получить доступ к новым игровым программам), либо желание самоутвердиться, показать себя. Это уже может быть чревато неприятностями, потому что они могут умышленно оставлять после себя следы пребывания в системе в виде разрушений или помех-записок. Вообще же опасным является любое несанкционированное проникновение в закрытую систему. Работая в такой системе с привилегиями системного администратора, можно по неосторожности или злому умыслу парализовать работу всей системы. Кроме того, взломщик получает неограниченный доступ к файлам пользователей, в которых может содержаться конфиденциальная информация. Если машина, на которую проник хакер, участвует в пересылке почты, то возникает прямая угроза и конфиденциальности переписки. Тем не менее, поскольку действия таких хакеров не направлены именно против вас (ваши компьютеры просто подвернулись им под руку), ущерб от них едва ли будет невосполнимым и фатальным.

Гораздо опаснее профессионалы — хакеры, которые активно применяют свои знания для причинения ущерба другим или для получения персональной выгоды. Действовать они могут как по собственной инициативе, так и в составе преступных группировок или по найму. Объектами пристального внимания со стороны профессионалов явля-

ются банковские учреждения, страховые компании, фирмы с большим оборотом. На западе нередки случаи участия профессионалов в преступных группировках, которые используют их для проникновения в вычислительные системы служб охраны правопорядка и служб безопасности. Известный интерес представляют и другие государственные вычислительные системы (например, городские архивы).

Какими методами пользуются хакеры?

Для проникновения в закрытую систему хакер не жалеет усилий и использует все средства для поиска лазеек. Если имеет место преступный заговор, то разведка может быть доверена другому лицу, в задачу которого входит лишь сбор необходимой информации. Далеко не полный список методов сбора информации, необходимой для проникновения в систему, выглядит так:

- подглядывание пароля при вводе с клавиатуры (возможно, даже с применением бинокля). Некоторые горе-пользователи записывают пароль на видном месте или на глазах у всех, чем сильно облегчают работу хакеров;

- подбор пароля на основании списков наиболее часто используемых паролей (есть и такие!) или знаний о конкретных лицах, чей пароль подбирается. К сожалению, многие пользователи мыслят штампами и используют в качестве пароля простые и короткие сокращения имен и фамилий (как своих, так и жены, любимой девушки). Нередко используется дата рождения или иная доступная для всех информация;

- написание и внедрение в ваши машины специальных программ-перехватчиков ввода пароля или шифров (программные закладки). Эти программы запомнят и затем по запросу сообщат все пароли, использованные в системе;

- применение программ перебора паролей;

- изучение исходных текстов и двоичных кодов программ регистрации и защиты и поиск в них ошибок и побочных эффектов;

- подмена таких программ на свои;

- тщательный анализ внутренней документации (в особенности разделов о защите и системном администрировании) и открытых периодических изданий (можно почерпнуть массу полезных сведений, например, о подключении банка к проекту внедрения кредитных карточек, о предполагаемом оборудовании и каналах связи);

- применение специальных аппаратных средств перехвата сообщений в локальной сети или по модемным каналам (аппаратные закладки);

- изучение и анализ поступающих сообщений электронной почты и телексных сообщений, выброшенных на помойку распечаток, которые являются ценным источником информации.

Годятся и такие традиционные шпионские методы, как подслушивание разговоров, прослушивание телефонных линий, завязывание знакомств (можно много узнать от обиженного или недалекого сотрудника). В случае очень серьезных намерений подойдет и вербовка персонала как за деньги, так и с применением шантажа или угроз.

Методов, как вы можете убедиться, много. Однако для применения многих из них необходим доступ к вычислительной системе. Доступ возможен как непосредственно, так и по сети или по телефонным каналам. Для непосредственного доступа или доступа через локальную сеть злоумышленник должен находиться в здании фирмы или иметь доступ к местам прокладки коммуникаций. Это становится возможным в случае, если здание фирмы плохо охраняется или злоумышленник является сотрудником фирмы или же завербован хакером. Безответственность отдельных сотрудников, оставляющих свои компьютеры без присмотра сильно облегчает жизнь взломщикам. Подготовленному хакеру требуется пара минут, чтобы установить программную закладку или заменить программу login на свою. Грамотному специалисту не требуется много времени для вскрытия системы: 15-20 минут наедине с компьютером (особенно хорошо после окончания рабочего дня) может хватить для проникновения в систему с многопользовательской защитой. Данных, полученных от первого проникновения, окажется достаточно, чтобы провести анализ для повторного вторжения в систему в любое время.

Именно так автор в свое время участвовал в проникновении через системы защиты операционных систем UNIX, MicroVMS (версия VAX/VMS для MicroVAX II. RSX11 М)*****.

Как защититься от проникновения?

Вопрос этот очень не простой и, видимо, нет универсального рецепта на все случаи жизни. Сложности возникают и в связи с отсутствием базы в законах, а так же с объективными трудностями при проведении расследований, поиске виновных и доказательств вины. Подчас сам факт преступления остается неизвестным в течение долгого времени.

Все же несколько советов, приведенных ниже, помогут вам снизить риск вторжения в вашу систему.

Сотрудники фирмы. Персонал должен быть предупрежден о возможных попытках организовать утечку информации и знаком с основными методами защиты:

- уничтожение печатных материалов в специальных устройствах;

- запрет посторонним лицам работать на компьютерах фирмы;

- выбор паролей в соответствии с рекомендациями специалистов по компьютерной безопасности;

- шифрование всех материалов по деятельности фирмы специальными программами шифрования или штатными средствами используемых программных средств {многие современные программы обработки текстов или электронных таблиц имеют встроенные функции шифрования);

- применение программ автоматического гашения экрана и блокировки клавиатуры в случае прекращения активности пользователя;

- шифрование сообщений, передаваемых электронной почтой;

- использование средств защиты операционной системы.

Необходимо также периодическое проведение коротких семинаров для повышения общего уровня компьютерной культуры и информирования о последних разработках в области защиты информации.

Программное обеспечение. Оно должно быть только лицензионным — иными словами, честно купленным. При этом не стоит торопиться с приобретением того или иного программного продукта, а внимательно исследовать рынок. При покупке программ, выполненных на заказ, надо получать продукт с исходными текстами, так как нельзя исключить вероятность встраивания хакерами в программу специального кода («троянский конь») для выполнения определенных действий. Известны случаи встраивания такого кода в банковское программное обеспечение для манипулирования со счетами. В подаренное «друзьями» программное обеспечение также может быть встроен дополнительный код, а отсутствие полной документации не позволит эффективно использовать заложенные в программный продукт собственные средства защиты.

Администраторы систем. Администраторы прикладных систем также должны максимально использовать все средства защиты, которые имеет прикладная система. К таким средствам относятся: четкое разграничение полномочий пользователей на доступ к данным и выполнение операций над данными, привязка пользователей к конкретным рабочим местам, ведение системных журналов и журналов изменений прикладных данных.

К администратору многопользовательской системы должны предъявляться особые требования. Он должен в совершенстве знать систему, достоинства и недостатки ее защиты, возможные лазейки. Не следует жалеть денег на обучение администраторов и их зарплату.

Важным методом защиты можно считать ограничение привилегий пользователей до разумного минимума, ограничение разрешенного времени работы в системе, ограничение минимальной длины пароля (не менее восьми символов) и максимального срока жизни пароля (не более одного месяца), включение автоматической блокировки учетной информации пользователя после трех неудачных попыток регистрации. К дополнительным мерам можно отнести блокирование учетной информации пользователей, находящихся в отпуске или командировке, правильное разбиение пользователей на группы.

Серьезным фактором предупреждения или обнаружения вторжения являются системные журналы, в которых регистрируются все важнейшие события в системе. По таким журналам можно отследить попытки доступа к защищенным ресурсам, что позволит выявить хакера на ранних этапах его деятельности, обнаружить направление его удара и, возможно, канал, по которому он действует.

Не лишним окажется и участие администратора в телеконференциях, в которых участвуют другие администраторы и/или хакеры. Участие в таких конференциях позволит быть в курсе последних новостей об ошибках в системах защиты и известных лазейках. Новые знания помогут своевременно «закрыть дыры» и предотвратить вторжение.

Служба безопасности. Если она у вас есть, она должна уделять внимание не только безопасности персонала и имущества фирмы, но и безопасности компьютерных систем. Необходимо резко ограничить доступ в помещения, где располагаются серверы и узлы связи. СБ необходимо знать, где проходят связные коммуникации, и держать их под контролем. Распределительные щиты, вводы в здание внешних коммуникаций должны быть надежно закрыты.

Технические средства. Различные технические средства позволят существенно снизить риск проникновения в вашу вычислительную систему. Сигнализация, видеоконтрольные устройства, кодовые замки облегчают СБ контроль за физическим доступом к технике. А специальные аппаратные и программные средства контроля и управления сетью помогут вашему администратору сети проанализировать траффик или обнаружить несанкционированное подключение к сети. Правда, дешевыми эти средства не назовешь, но затраты того стоят. Ваш сервер, кроме того, будет лучше защищен от физического вторжения, если вы приобретете для него специальный защищенный корпус. Относительно новыми в России и достаточно надежными средствами идентификации пользователей являются пластиковые карты с магнитным кодом или микропроцессором. Есть также и устройства идентификации по папилярному рисунку руки.

Административные меры. Строгий контроль за соблюдением всех правил безопасности должен лечь на руководителей всех уровней. Правила должны быть возведены в ранг закона и нарушение их должно решительно пресекаться. Не должны составлять исключения и администраторы всех рангов.

К сожалению, в короткой статье нет возможности детально описать все методы, которые используют компьютерные пираты и все методы защиты от них. Да это наверное и не возможно — усложняется техника защиты и вместе с тем все более изощренными становятся методы работы хакеров. Однако в ваших силах снизить риск непрошенного вторжения хакеров в вашу фирму. Надо только не отмахиваться от этой проблемы и не переносить ее решение на завтра — завтра может быть уже поздно!

* Снятие защиты не считается по закону нарушением авторских прав.

** Именно хакеры русифицировали операционные системы MS DOS, UNIX, OS/2 раньше, нем их изготовители догадались это сделать.

*** Программа, в которую встроены модули для выполнения специальных действий, не предусмотренных в спецификациях программы, — уничтожение файловой системы или отдельных файлов, незапланированные манипуляции с файлами счетов или со списками акционеров.

**** Если хакер взламывает систему защиты из тщеславия, он может даже пойти на контакт с администратором системы или разработчиками программного обеспечения. Одним из вариантов может быть публикация «отчета о проделанной работе» в средствах массовой информации.

*****Правда, почти во всех случаях автор действовал по просьбе администраторов систем. Описывать технику проникновения не входит в цели этой статьи, однако отметим, что при условии готовности к проникновению сама процедура занимает 10-20 минут.

 
 
Рейтинг@Mail.ru

Яндекс.Метрика