Введення в захист інформації

Атаки на рівні операційної системи.
Захищати операційну систему, на відміну від СУБД, набагато складніше.
Справа в тому, що внутрішня структура сучасних операційних систем надзвичайно складна, і тому дотримання адекватної політики безпеки є значно більш важким завданням.
Успіх реалізації того чи іншого алгоритму атаки на практиці в значній мірі залежить від архітектури і конфігурації конкретної операційної системи, що є об'єктом цієї атаки. Проте є атаки, яким може бути піддана практично будь-яка операційна система.
Атаки на рівні операційних систем - крадіжка пароля (1):
- Підглядання за користувачем, коли той вводить пароль, що дає право на роботу з операційною системою, навіть якщо під час введення пароль не висвічується на екрані дисплея, зловмисник може легко дізнатися пароль, просто стежачи за переміщенням пальців користувача по клавіатурі.
Атаки на рівні операційних систем - крадіжка пароля (2):
- Отримання пароля з файлу, в якому цей пароль був збережений користувачем, які не бажають утруднювати себе введенням пароля при підключенні до мережі.
Як правило, такий пароль зберігається у файлі в незашифрованому вигляді.
Атаки на рівні операційних систем - крадіжка пароля (3):
- Пошук пароля, який користувачі, щоб не забути, записують на календарях, у записних книжках або на зворотному боці комп'ютерних клавіатур і т.д.
Особливо часто така ситуація зустрічається, якщо адміністратори змушують користувачів застосовувати важко запам'ятовуються паролі.
Атаки на рівні операційних систем - крадіжка пароля (4):
- Крадіжка зовнішнього носія парольної інформації (дискети або електронного ключа, на яких зберігається пароль користувача, призначений для входу в операційну систему).
А також
- Повний перебір всіх можливих варіантів пароля;
- Підбір пароля за частотою зустрічальності символів, з допомогою словників найбільш часто вживаних паролів, із залученням знань про конкретного користувача - його імені, прізвища, номери телефону, дати народження і т.д., з використанням відомостей про існування еквівалентних паролів, при цьому з кожного класу випробовується всього один пароль, що може значно скоротити час перебору.
Атаки на рівні операційних систем (5):
Сканування жорстких дисків комп'ютера.
Зловмисник послідовно намагається звернутися до кожного файлу, що зберігається на жорстких дисках комп'ютерної системи, якщо обсяг дискового простору достатньо великий, можна бути цілком впевненим, що при описі доступу до файлів і каталогів адміністратор допустив хоча б одну помилку, в результаті чого всі такі каталоги і файли будуть прочитані зловмисником.
Атаки на рівні операційних систем (6):
Збірка "сміття" (якщо засоби операційної системи дозволяють відновлювати раніше віддалені об'єкти, зловмисник може скористатися цією можливістю).
Атаки на рівні операційних систем (7):
Перевищення повноважень (використовуючи помилки в програмному забезпеченні або в адмініструванні операційної системи, зловмисник отримує повноваження адміністратора).
У їх число входять:
- Запуск програми від імені користувача, який має необхідні повноваження, або в якості системної програми (драйвера, сервісу, тощо);
- Підміна динамічно завантажується бібліотеку до системними програмами, або зміна змінних середовища, що описують шлях до таких бібліотекам;
- Модифікація коду або даних підсистеми захисту самої операційної системи.
Атаки на рівні операційних систем (7):
Відмова в обслуговуванні (метою цієї атаки є частковий або повний вивід з ладу операційної системи).
У їх число входять:
- Захоплення ресурсів (програма зловмисника виробляє захоплення всіх наявних в операційній системі ресурсів, а потім входить у нескінченний цикл);
- Бомбардування запитами (програма зловмисника постійно спрямовує операційній системі запити, реакція на які вимагає залучення значних ресурсів комп'ютера);
- Використання помилок в програмному забезпеченні або адмініструванні.
Якщо в програмному забезпеченні комп'ютерної системи немає помилок, і її адміністратор суворо дотримується політики безпеки, рекомендовану розробниками операційної системи, то атаки всіх перерахованих типів малоефективні. Додаткові заходи, які повинні бути здійснені для підвищення рівня безпеки, в значній мірі залежать від конкретної операційної системи, під управлінням якої працює дана комп'ютерна система. Тим не менш доводиться визнати, що незалежно від вжитих заходів повністю усунути загрозу злому комп'ютерної системи на рівні операційної системи неможливо. Тому політика забезпечення безпеки має проводитися так, щоб, навіть подолавши захист, створювану засобами операційної системи, хакер не зміг завдати серйозного збитку.
Атаки на рівні мережного програмного забезпечення (ВПЗ) - воно є найбільш вразливим, тому що канал зв'язку, по якому передаються повідомлення, частіше за все не захищений, і кожен, хто має доступ до цього каналу, може перехоплювати повідомлення і відправляти свої власні. Тому на рівні СПО можливі наступні атаки.
Атаки на рівні СПО (1):
Прослуховування сегмента локальної мережі (у межах одного і того ж сегменту локальної мережі будь-який підключений до нього комп'ютер в змозі приймати повідомлення, адресовані іншим комп'ютерам).
Отже, якщо комп'ютер зловмисника приєднаний до деякого сегменту локальної мережі, то йому стає доступний весь інформаційний обмін між комп'ютерами цього сегмента.
Атаки на рівні СПО (2):
Перехоплення повідомлень на маршрутизаторі (якщо зловмисник має привілейований доступ до мережевого маршрутизатора, то він отримує можливість перехоплювати всі повідомлення).
Хоча тотальний перехоплення неможливе через занадто великого обсягу, надзвичайно привабливим для зловмисника є вибіркове перехоплення повідомлень, що містять паролі користувачів та їх електронну пошту).
А також -
• створення помилкового маршрутизатора (шляхом відправки в мережу повідомлень спеціального виду зловмисник домагається, щоб його комп'ютер став маршрутизатором мережі, після чого одержує доступ до всіх проходять через нього повідомленнями);
• нав'язування повідомлень (відправляючи в мережу повідомлення з помилковим зворотним мережевою адресою, зловмисник перемикає на свій комп'ютер вже встановлені мережні з'єднання і в результаті отримує права користувачів, чиї з'єднання обманним шляхом були переключені на комп'ютер зловмисника);
• відмова в обслуговуванні (зловмисник відправляє в мережу повідомлення спеціального вигляду, після чого одна або кілька комп'ютерних систем, підключених до мережі, повністю або частково виходять з ладу).
Програмні закладки. Сучасна концепція створення комп'ютерних систем передбачає використання програмних засобів різного призначення в єдиному комплексі. Головною умовою правильного функціонування такої комп'ютерної системи є забезпечення захисту від втручання в процес обробки інформації тих програм, присутність яких в комп'ютерній системі не обов'язково. Серед подібних програм, в першу чергу, слід згадати комп'ютерні віруси. Проте є шкідливі програми ще одного класу. Від них, як і від вірусів, слід з особливою ретельністю очищати свої комп'ютерні системи. Це програмні закладки, які можуть виконувати хоча б одну з перелічених нижче дій.
Програмні закладки здатні (1):
• вносити довільні спотворення в коди програм, що знаходяться в оперативній пам'яті комп'ютера (програмна закладка першого типу).
Програмні закладки здатні (2):
• переносити фрагменти інформації з одних областей оперативної або зовнішньої пам'яті комп'ютера в інші (програмна закладка другого типу).
Програмні закладки здатні (3):
• спотворювати виведену на зовнішні комп'ютерні пристрої або в канал зв'язку інформацію, отриману в результаті роботи інших програм (програмна закладка третього типу).
Програмна закладка - несанкціоновано впроваджена програма, що здійснює загрозу інформації.
Програмні закладки можна класифікувати і за методом їх впровадження в комп'ютерну систему.
Різновиди програмних закладок (1):
• програмно-апаратні закладку, асоційовані з апаратними засобами комп'ютера.
Їх середовищем проживання, як правило, є BIOS - набір програм, записаних у вигляді машинного коду в постійному запам'ятовуючому пристрої - ПЗУ.
Різновиди програмних закладок (2):
• завантажувальні закладку, асоційовані з програмами початкового завантаження, які розташовуються в завантажувальних секторах.
З цих секторів у процесі виконання початкового завантаження комп'ютер зчитує програму, що бере на себе управління для подальшої завантаження самої операційної системи.
Різновиди програмних закладок (3):
• драйверне закладку, асоційовані з драйверами.
Інакше кажучи, з файлами, в яких міститься інформація, необхідна операційній системі для управління підключеними до комп'ютера периферійними пристроями.
Різновиди програмних закладок (4):
• прикладні закладку, асоційовані з прикладним програмним забезпеченням загального призначення (текстові редактори, утиліти, антивірусні монітори і програмні оболонки).
А також -
• виконувані закладку, асоційовані з виконуваними програмними модулями, що містять код цієї закладки (найчастіше ці модулі є пакетні файли, тобто файли, які складаються з команд операційної системи, виконуваних одна за одною, як якщо б їх набирали на клавіатурі комп'ютера );
• закладки-імітатори, інтерфейс яких збігається з інтерфейсом деяких службових програм, що вимагають введення конфіденційної інформації (паролів, криптографічних ключів, номерів кредитних карток);
• замасковані закладки, які маскуються під програмні засоби оптимізації роботи комп'ютера (файлові архіватори, дискові дефрагментатори) або під програми ігрового і розважального призначення.
Щоб програмна закладка могла зробити будь-які дії по відношенню до інших програм або по відношенню до даних, процесор повинен приступити до виконання команд, що входять до складу коду програмної закладки. Це можливо тільки при одночасному дотриманні наступних умов.
Умови спрацьовування програмних закладок (1):
• програмна закладка повинна потрапити в оперативну пам'ять комп'ютера.
Якщо закладка відноситься до першого типу, то вона повинна бути завантажена до початку роботи іншої програми, яка є метою впливу закладки, або під час роботи цієї програми.
Умови спрацьовування програмних закладок (2):
• робота закладки, що знаходиться в оперативній пам'яті, починається при виконанні ряду умов, які називаються активізують.
З урахуванням зауваження про те, що програмна закладка повинна бути обов'язково завантажена в оперативну пам'ять комп'ютера, можна виділити резидентні закладки (вони знаходяться в оперативній пам'яті постійно, починаючи з деякого моменту і до закінчення сеансу роботи комп'ютера, тобто до його перезавантаження або до вимикання живлення) та нерезидентні (такі закладки потрапляють в оперативну пам'ять комп'ютера аналогічно резидентним, проте, на відміну від останніх, вивантажуються після закінчення деякого часу або при виконанні особливих умов).
У всіх програмних закладок є одна важлива спільна риса: вони обов'язково виконують операцію запису в оперативну або зовнішню пам'ять системи.
При відсутності даної операції ніякого негативного впливу програмна закладка надати не може. Для цілеспрямованого впливу вона повинна виконувати і операцію читання, інакше в ній може бути реалізована тільки функція руйнування (наприклад, видалення або заміна інформації у певних секторах жорсткого диска).
Виявлення впровадженого коду програмної закладки полягає у виявленні ознак його присутності в комп'ютерній системі. Ці ознаки можна розділити на наступні два класи.
Способи виявлення присутності програмних закладок:
• якісні та візуальні;
• виявляються засобами тестування і діагностики.
До якісних і візуальним ознаками відносяться відчуття і спостереження користувача комп'ютерної системи, який відзначає певні відхилення в її роботі.
У цих ситуаціях змінюється склад і довжини файлів, старі файли кудись пропадають, а замість них з'являються нові, програми починають працювати повільніше або закінчують свою роботу занадто швидко, або взагалі перестають запускатися. Незважаючи на те, що судження про наявність ознак цього класу здається занадто суб'єктивним, тим не менш, вони часто свідчать про наявність неполадок в комп'ютерній системі і, зокрема, про необхідність проведення додаткових перевірок присутності програмних закладок.
Ознаки, які виявляються за допомогою засобів тестування та діагностики, характерні як для програмних закладок, так і для комп'ютерних вірусів.
Наприклад, завантажувальні закладки успішно виявляються антивірусними програмами, які сигналізують про наявність підозрілого коду в завантажувальному секторі диска. З ініціюванням статичної помилки на дисках добре справляється Disk Doctor, що входить до поширений комплект утиліт Norton Utilities, а кошти перевірки цілісності даних на диску типу Adinf дозволяють успішно виявляти зміни, що вносяться у файли програмними закладками.
Конкретний спосіб видалення впровадженої програмної закладки залежить від методу її впровадження в комп'ютерну систему.
Якщо це програмно-апаратна закладка, то слід перепрограмувати ПЗУ комп'ютера. Якщо це завантажувальна, драйверне, прикладна, замаскована закладка або закладка-імітатор, то можна замінити їх на відповідну завантажувальний запис, драйвер, утиліту, прикладну або службову програму, отриману від джерела, що заслуговує довіри. Нарешті, якщо це виконуваний програмний модуль, то можна спробувати добути його вихідний текст, прибрати з нього наявні закладки або підозрілі фрагменти, а потім заново відкомпілювати.
Моделі впливу програмних закладок на комп'ютери
У моделі перехоплення програмна закладка впроваджується в ПЗУ, системне або прикладне програмне забезпечення і зберігає всю або обрану інформацію.
Ця інформація може вводитися з зовнішніх пристроїв комп'ютерної системи або виводитися на ці пристрої, а також - у прихованій області пам'яті локальної або віддаленої комп'ютерної системи. Об'єктом збереження, наприклад, можуть служити символи, введені з клавіатури (всі повторювані два рази послідовності символів), або електронні документи, роздруковується на принтері.
Дана модель може бути двоступеневою. На першому етапі зберігаються тільки, наприклад, імена або початку файлів. На другому накопичені дані аналізуються зловмисником з метою прийняття рішення про конкретних об'єктах подальшої атаки.
Модель типу перехоплення може бути ефективно використана при атаці на захищену операційну систему Windows NT/2000/XP. Після старту Windows на екрані комп'ютерної системи з'являється запрошення натиснути клавіші <Ctrl> + <Alt> + <Del>. Після їх натискання завантажується динамічна бібліотека MSGINA.DLL, що здійснює прийом вводиться пароля й виконання процедури його перевірки (аутентифікації). Також існує простий механізм заміни вихідної бібліотеки MSGINA.DLL на користувальницьку (для цього необхідно просто додати спеціальну рядок до реєстру операційної системи Windows і вказати місце розташування користувача бібліотеки). У результаті зловмисник може модифікувати процедуру контролю за доступом до комп'ютерної системи, що працює під управлінням Windows NT/2000/XP.
У моделі спотворення програмна закладка змінює інформацію, яка записується в пам'ять комп'ютерної системи в результаті роботи програм, або придушує, / ініціює виникнення помилкових ситуацій в комп'ютерній системі.
Можна виділити статичне і динамічне спотворення. Статичний спотворення відбувається всього один раз.
При цьому модифікуються параметри програмного середовища комп'ютерної системи, щоб згодом у ній виконувалися потрібні зловмиснику дії. До статичному спотворення відноситься, наприклад, внесення змін в файл AUTOEXEC.BAT операційної системи Windows 95/98, які призводять до запуску заданої програми, перш ніж будуть запущені всі інші, перераховані в цьому файлі.
Динамічне спотворення полягає в зміні будь-яких параметрів системних або прикладних процесів за допомогою заздалегідь активізованих закладок.
Динамічне спотворення можна умовно розділити на спотворення на вході (коли на обробку потрапляє вже спотворений документ) і спотворення на виході (коли спотворюється інформація, яка відображається для сприйняття людиною або призначена для роботи інших програм).
У рамках моделі "спотворення" також реалізуються програмні закладки, дія яких грунтується на ініціації або придушенні сигналу про виникнення помилкових ситуацій в комп'ютерній системі, тобто тих, які призводять до відмінного від нормального завершення виконуваної програми (встановленого відповідною документацією).
Для ініціювання статичної помилки на пристроях зберігання інформації створюється область, при зверненні до якої (читання, запис, форматування і т.п.) виникає помилка, що може утруднити чи блокувати деякі небажані для зловмисника дії системних або прикладних програм (наприклад, не дозволяти коректно знищити конфіденційну інформацію на жорсткому диску).
При ініціюванні динамічної помилки для деякої операції генерується помилкова помилка з числа тих помилок, які можуть виникати при виконанні даної операції. Наприклад, для блокування прийому або передачі інформації в комп'ютерній системі може постійно ініціюватися помилкова ситуація "МОДЕМ зайнятий".
Щоб маскувати помилкові ситуації, зловмисники зазвичай використовують придушення статичної чи динамічної помилки. Метою такого придушення часто є прагнення блокувати нормальне функціонування комп'ютерної системи або бажання змусити її неправильно працювати. Надзвичайно важливо, щоб комп'ютерна система адекватно реагувала на виникнення всіх без винятку помилкових ситуацій, оскільки відсутність належної реакції на будь-яку помилку еквівалентно її придушення і може бути використане зловмисником.
Різновидом перекручення є також модель типу троянський кінь. У цьому випадку програмна закладка вбудовується в постійно використовується програмне забезпечення та по деякому активізує події викликає виникнення збійної ситуації в комп'ютерній системі.
Прибирання сміття. Як відомо, при зберіганні комп'ютерних даних на зовнішніх носіях прямого доступу виділяється декілька рівнів ієрархії сектора, кластери і файли. Сектора є одиницями зберігання інформації на апаратному рівні.
Кластери складаються з одного або кількох поспіль йдуть секторів. Файл - це безліч кластерів, пов'язаних з певним законом.
Робота з конфіденційними електронними документами звичайно зводиться до послідовності наступних маніпуляцій з файлами:
• створення;
• зберігання;
• корекція;
• знищення.
Для захисту конфіденційної інформації зазвичай використовується шифрування. Основна загроза виходить аж ніяк не від використання нестійких алгоритмів шифрування і "поганих" криптографічних ключів, а від звичайних текстових редакторів і баз даних, що застосовуються для створення та корекції конфіденційних документів. Справа в тому, що
Офісні програмні засоби, як правило, у процесі функціонування створюють в оперативній або зовнішньої пам'яті комп'ютерної системи тимчасові копії документів, з якими вони працюють.
Природно, всі ці тимчасові файли випадають з поля зору будь-яких програм шифрування і можуть бути використані зловмисником для того, щоб скласти уявлення про зміст зберігаються в зашифрованому вигляді конфіденційних документів.
Важливо пам'ятати і про те, що при записі відредагованою інформації меншого обсягу в той же файл, де зберігалася вихідна інформація до початку сеансу її редагування, утворюються так звані "хвостові" кластери, в яких ця вихідна інформація повністю зберігається. І тоді "хвостові" кластери не тільки не піддаються впливу програм шифрування, але і залишаються непорушними навіть засобами гарантованого стирання інформації. Звичайно, рано чи пізно інформація з "хвостових" кластерів затирається даними з інших файлів, проте за оцінками фахівців з "хвостових" кластерів через добу можна витягти до 85%, а через десять діб - до 25-40% вихідної інформації.
Спостереження і компрометація. Крім перерахованих, існують і інші моделі впливу програмних закладок на комп'ютери. Зокрема,
При використанні моделі типу спостереження програмна закладка вбудовується в мережеве або телекомунікаційне програмне забезпечення.
Користуючись тим, що подібне програмне забезпечення завжди знаходиться в стані активності, впроваджена в нього програмна закладка може стежити за всіма процесами обробки інформації в комп'ютерній системі, а також здійснювати установку і видалення інших програмних закладок.
Модель типу компрометація дозволяє отримувати доступ до інформації, перехопленої іншими програмними закладками.
Наприклад, ініціюється постійне звернення до такої інформації, що приводить до зростання співвідношення сигнал / шум. А це, у свою чергу, значно полегшує перехоплення побічних випромінювань даної комп'ютерної системи і дозволяє ефективно виділяти сигнали, згенеровані закладкою типу компрометація, із загального фону випромінювання, що виходить від устаткування.
Троянські програми. Троянської програмою (троянцем, або троянським конем) називається програма, яка, будучи частиною іншої програми, здатна таємно від нього виконувати додаткові дії з метою заподіяння шкоди.
Таким чином, троянська програма - це особливий різновид програмної закладки. Вона додатково наділена функціями, про існування яких користувач навіть не підозрює. Коли троянська програма виконує ці функції, комп'ютерній системі наноситься певний збиток.
Більшість троянських програм призначено для збору конфіденційної інформації.
Їх завдання найчастіше полягає у виконанні дій, що дозволяють отримати доступ до даних, які не підлягають широкому розголосу.
До таких даних відносяться користувача паролі, реєстраційні номери програм, відомості про банківські рахунки і т.д.
Решта троянці створюються для заподіяння прямих збитків комп'ютерній системі, приводячи її у неробочий стан. До останніх можна віднести, наприклад, троянську програму PC CYBORG, яка заманювала нічого не підозрюють користувачів обіцянками надати їм новітню інформацію про боротьбу з вірусом, що викликає синдром набутого імунодефіциту (СНІД). Проникнувши в комп'ютерну систему, PC CYBORG відраховувала 90 перезавантажень цієї системи, а потім ховала всі каталоги на її жорсткому диску і шифрували знаходяться там файли.
В даний час троянські програми можна відшукати практично де завгодно. Вони написані для всіх без винятку операційних систем і для будь-яких платформ.
Не рахуючи випадків, коли троянські програми пишуться самими розробниками програмного забезпечення, троянці поширюються тим же способом, як і комп'ютерні віруси. Тому найбільш підозрілими на предмет присутності в них троянців, в першу чергу, є безкоштовні та умовно-безкоштовні програми, викачані з Internet, а також програмне забезпечення, яке розповсюджується на піратських компакт-дисках.
В даний час існує цілий ряд троянських програм, які можна абсолютно вільно завантажити, підключившись до мережі Internet.
Найбільшу популярність серед троянських програм отримали Adware.WinTaskAd, Hacktool, Adware.SyncroAd, Download.Trojan.
Засоби боротьби з троянцями в операційних системах сімейства Windows (95/98/NT/2000/XP) традиційно є частиною їх антивірусного програмного забезпечення. Тому, щоб відловлювати Back Orifice, Net Bus, SubSeven та інші подібні їм троянські програми, необхідно обзавестися найсучаснішим антивірусом (наприклад, програмою Norton Antivirus 2005 компанії Symantec, що дозволяє виявляти присутність в комп'ютерній системі найбільш поширених троянців і позбуватися від них). Слід регулярно перевіряти свій комп'ютер на присутність у ньому вірусів.
Тим, хто хоче мати в своєму розпорядженні утиліту, призначену саме для виявлення троянців в комп'ютерах, які працюють під управлінням операційних систем сімейства Windows, можна порадити звернути свої погляди на програму The Cleaner компанії MooSoft Development (http://www.homestead.com/ moosoft / cleaner.html). Ця утиліта може бути з успіхом використана для боротьби з більш ніж чотирма десятками різновидів троянських програм.
Огляд засобів боротьби з троянськими програмами був би далеко не повним, якщо обійти увагою, що недавно з'явилися на ринку програмні пакети, призначені для комплексного захисту від загроз, з якими стикаються користувачі настільних комп'ютерів при роботі в Internet. Одним з таких пакетів є eSafe Protect компанії Aladdin Knowledge Systems.
Клавіатурні шпигуни. Одна з найбільш поширених різновидів програмних закладок - клавіатурні шпигуни. Такі програмні закладки націлені на перехоплення паролів користувачів операційної системи, а також на визначення їх легальних повноважень і прав доступу до комп'ютерних ресурсів. Типовий клавіатурний шпигун обманним шляхом заволодіває користувацькими паролями, а потім переписує ці паролі туди, звідки їх може без особливих зусиль витягти зловмисник. Відмінності між клавіатурними шпигунами стосуються тільки способу, який застосовується ними для перехоплення користувача паролів. Відповідно всі клавіатурні шпигуни поділяються на три типи - імітатори, фільтри та заступники.
Імітатори. Клавіатурні шпигуни цього типу працюють за наступним алгоритмом.
Зловмисник впроваджує в операційну систему програмний модуль, який імітує запрошення користувачеві реєструватися для того, щоб увійти в систему.
Потім впроваджений модуль (в ухваленій термінології - імітатор) переходить в режим очікування введення користувальницького ідентифікатора і пароля. Після того як користувач ідентифікує себе і введе свій пароль, імітатор зберігає ці дані там, де вони доступніші зловмисникові. Далі імітатор ініціює вихід із системи (що в більшості випадків можна зробити програмним шляхом), і в результаті перед очима у який нічого не підозрює користувача з'являється ще одне, але на цей раз вже справжнє запрошення для входу в систему. Деякі імітатори для переконливості видають на екран монітора правдоподібне повідомлення про нібито досконалої користувачем помилково. Наприклад, таке: "НЕВІРНИЙ ПАРОЛЬ. СКУШТУЙТЕ ЩЕ РАЗ ".
Написання імітатора не вимагає від його творця будь-яких особливих навичок. Зловмиснику, який вміє програмувати на одному з універсальних мов програмування (наприклад, на мові BASIC), знадобляться на це лічені години. Єдина складність, з якою він може зіткнутися, полягає в тому, щоб відшукати в документації відповідну програмну функцію, що реалізовує вихід користувача з системи.
Перехоплення пароля часто полегшують самі розробники операційних систем, які не ускладнюють себе створенням ускладнених за формою запрошень користувачеві реєструватися для входу в систему.
Подібне зневажливе ставлення характерне для більшості версій операційної системи UNIX, в яких реєстраційне запрошення складається з двох текстових рядків, які видаються по черзі на екран термінала:
login:
password:
Однак саме по собі ускладнення зовнішнього вигляду запрошення не створює для зловмисника, який задумав запровадити в операційну систему імітатор, яких-небудь непереборних перешкод. Для цього потрібно вдатися до більш складних і витонченим заходів захисту. Як приклад операційної системи, в якій такі заходи в досить повному обсязі реалізовані на практиці, можна навести Windows NT/2000/XP.
Системний процес WinLogon, що відповідає в операційній системі Windows NT/2000/XP за аутентифікацію користувачів, має свій власний робочий стіл - сукупність вікон, одночасно видимих ​​на екрані дисплея. Цей робочий стіл називається столом аутентифікації. Жоден інший процес, в тому числі і імітатор, не має доступу до робочого столу аутентифікації і не може розташувати на ньому своє вікно.
Після запуску Windows NT/2000/XP на екрані комп'ютера виникає початкове вікно робочого столу аутентифікації, що містить вказівку натиснути на клавіатурі клавіші <Ctrl> + <Alt> + <Del>.
Повідомлення про натискання цих клавіш передається тільки системного процесу WinLogon, а для інших процесів, зокрема для всіх прикладних програм, їх натискання відбувається абсолютно непомітно. Далі проводиться перемикання на інше, так зване реєстраційне вікно робочого столу аутентифікації. У ньому-то якраз і розміщується запрошення користувачеві ввести своє ідентифікаційне ім'я та пароль, які будуть сприйняті і перевірені процесом WinLogon.
Для перехоплення пароля користувача, впроваджений в Windows NT/2000/XP імітатор обов'язково повинен вміти обробляти натискання користувачем клавіш <Ctrl> + <Alt> + <Del>. В іншому випадку відбудеться переключення на реєстраційне вікно робочого столу аутентифікації, імітатор стане неактивним і не зможе нічого перехопити, оскільки всі символи пароля, введені користувачем, минуть імітатор і стануть надбанням виключно системного процесу WinLogon. Як вже говорилося, процедура реєстрації в Windows NT влаштована таким чином, що натискання клавіш <Ctrl> + <Alt> + <Del> проходить безслідно для всіх процесів, крім WinLogon, і тому пароль користувача надійде саме йому.
Звичайно, імітатор може спробувати відтворити не початкове вікно робочого столу аутентифікації (в якому висвічується вказівку користувачеві одночасно натиснути клавіші <Ctrl> + <Alt> + <Del>), а реєстраційне (де міститься запрошення ввести ідентифікаційне ім'я та пароль користувача). Однак за відсутності імітаторів в системі реєстраційне вікно автоматично замінюється на початкове після короткого проміжку часу (залежно від версії Window NT він може тривати від 30 с до 1 хв), якщо протягом цього проміжку користувач не робить жодних спроб зареєструватися в системі. Таким чином, сам факт занадто довгої присутності на екрані реєстраційного вікна повинен насторожити користувача Windows NT і змусити його ретельно перевірити свою комп'ютерну систему на предмет наявності в ній програмних закладок. Підводячи підсумок сказаному,
Можна відзначити, що ступінь захищеності Windows NT/2000/XP від ​​імітаторів досить висока.
Розгляд захисних механізмів, реалізованих у цій операційній системі, дозволяє сформулювати дві необхідні умови, дотримання яких є обов'язковим для забезпечення надійного захисту від імітаторів:
• системний процес, який при вході користувача в систему отримує від нього відповідні реєстраційне ім'я і пароль, повинен мати свій власний робочий стіл, недоступний іншим процесам;
• переключення на реєстраційне вікно робочого столу аутентифікації має відбуватися абсолютно непомітно для прикладних програм, які до того ж ніяк не можуть вплинути на це переключення (наприклад, заборонити його).
На жаль, ці дві умови ні в одній з операційних систем, за винятком Windows NT/2000/XP, не дотримуються. Тому для підвищення їх захищеності від імітаторів можна порекомендувати скористатися адміністративними заходами. Наприклад, зобов'язати кожного користувача негайно повідомляти системного адміністратора про те, що вхід в систему виявляється неможливим з першого разу, незважаючи на коректно задане ідентифікаційне ім'я та правильно набраний пароль.
Фільтри "полюють" за всіма даними, які користувач операційної системи вводить з клавіатури комп'ютера.
Самі елементарні фільтри просто скидають перехоплений клавіатурний ввід на жорсткий диск або в якесь інше місце, до якого має доступ зловмисник. Більш витончені програмні закладки цього типу піддають перехоплені дані аналізу і відфільтровують інформацію, що має відношення до користувальницьких паролів.
Фільтри є резидентними програмами, перехоплювачем одне або декілька переривань, які пов'язані з обробкою сигналів від клавіатури. Ці переривання повертають інформацію про самій клавіші і введеному символі, що аналізується фільтрами на предмет виявлення даних, що мають відношення до пароля користувача.
Виготовити подібного роду програмну закладку не становить великої праці. В операційних системах Windows 95/98 передбачений спеціальний програмний механізм, за допомогою якого в них вирішується ряд завдань, пов'язаних з отриманням доступу до введення з клавіатури, у тому числі і проблема підтримки національних розкладок клавіатур. Наприклад, будь-клавіатурний русифікатор для Windows являє собою, як там не є справжній фільтр, оскільки покликаний перехоплювати всі дані, що вводяться користувачем з клавіатури комп'ютера. Неважко "доопрацювати" його таким чином, щоб разом зі своєю основною функцією (підтримка національної розкладки клавіатури) він заодно виконував би і дії з перехоплення паролів. При цьому завдання створення фільтра стає такий простий, що не вимагає наявності будь-яких спеціальних знань у зловмисника. Йому залишається тільки непомітно впровадити виготовлену ним програмну закладку в операційну систему і вміло замаскувати її присутність.
У загальному випадку можна стверджувати, що якщо в операційній системі дозволяється перемикати групу клавіатури під час введення пароля, то для цієї операційної системи можливе створення фільтра. Тому, щоб убезпечити її від фільтрів, необхідно забезпечити виконання наступних трьох умов:
• під час введення пароля переключення розкладок клавіатури не дозволяється;
• конфігурувати ланцюжок програмних модулів, що беруть участь у роботі з паролем користувача, може тільки системний адміністратор;
• доступ до файлів цих модулів має виключно системний адміністратор.
Дотримати перше з цих умов у локалізованих для Росії версіях операційних систем принципово неможливо. Справа в тому, що засоби створення облікових записів користувача російською мовою є невід'ємною частиною таких систем. Тільки в англомовних версіях систем Windows NT/2000/XP і UNIX передбачені можливості, що дозволяють підтримувати рівень безпеки, при якому дотримуються всі три перераховані умови.
Заступники повністю або частково підміняють собою програмні модулі операційної системи, що відповідають за аутентифікацію користувачів.
Подібного роду клавіатурні шпигуни можуть бути створені для роботи в середовищі практично будь-багатокористувацької операційної системи. Трудомісткість написання заступника визначається складністю алгоритмів, що реалізуються підсистемою аутентифікації, і інтерфейсів між її окремими модулями. Також під час оцінювання трудомісткості слід брати до уваги ступінь документованості цієї підсистеми. У цілому можна сказати, що завдання створення заступника значно складніше завдання написання імітатора або фільтра. Тому фактів використання подібного роду програмних закладок зловмисниками поки відмічено не було. Однак у зв'язку з тим, що в даний час все більшого поширення набуває операційна система Windows 2000/XP, що має потужні засоби захисту від імітаторів і фільтрів, в самому недалекому майбутньому від хакерів слід очікувати більш активного використання заступників з метою діставання несанкціонованого доступу до комп'ютерних систем .
Оскільки заступники беруть на себе виконання функцій підсистеми аутентифікації, перед тим як приступити до перехоплення користувача паролів вони повинні виконати наступні дії.
Для реалізації своєї діяльності заступники повинні (1):
• подібно комп'ютерному вірусу впровадитися в один або декілька системних файлів.
Для реалізації своєї діяльності заступники повинні (2):
• використовувати інтерфейсні зв'язку між програмними модулями підсистеми аутентифікації для вбудовування себе, в ланцюжок обробки введеного користувачем пароля.
Для того щоб захистити систему від впровадження заступника, її адміністратори повинні суворо дотримуватися адекватну політику безпеки. І що особливо важливо, підсистема аутентифікації повинна бути одним з найбільш захищених елементів операційної системи. Однак, як показує практика, адміністратори, подібно всім людям, схильні до здійснення помилок. А, отже, дотримання адекватної політики безпеки протягом необмеженого періоду часу є нездійсненним завданням. Крім того, як тільки заступник потрапив у комп'ютерну систему, будь-які заходи захисту від впровадження програмних закладок перестають бути адекватними, і тому необхідно передбачити можливість використання ефективних засобів виявлення та вилучення впроваджених клавіатурних шпигунів. Це означає, що адміністратор повинен вести самий ретельний контроль цілісності виконуваних системних файлів і інтерфейсних функцій, використовуваних підсистемою аутентифікації для вирішення своїх завдань.
Клавіатурні шпигуни представляють реальну загрозу безпеці сучасних комп'ютерних систем.
Щоб відвести цю загрозу, потрібно реалізувати цілий комплекс адміністративних заходів та програмно-апаратних засобів захисту. Надійний захист від клавіатурних шпигунів може бути побудована тільки тоді, коли операційна система має певними можливостями, що утрудняють роботу клавіатурних шпигунів. Так як вони були детально описані вище, не має сенсу знову на них зупинятися. Проте необхідно ще раз відзначити, що єдиною операційною системою, в якій побудову такого захисту, можливо, є Windows NT/2000/XP. Та й то із застереженнями, оскільки все одно її доведеться забезпечити додатковими програмними засобами, що підвищують ступінь її захищеності. Зокрема, в Windows NT/2000/XP необхідно ввести контроль цілісності системних файлів і інтерфейсних зв'язків підсистеми аутентифікації.
Крім того, для надійного захисту від клавіатурних шпигунів адміністратор операційної системи повинен дотримуватися політику безпеки, при якій тільки адміністратор може:
• конфігурувати ланцюжка програмних модулів, що беруть участь в процесі аутентифікації користувачів;
• здійснювати доступ до файлів цих програмних модулів;
• конфігурувати саму підсистему аутентифікації.
1.4 Аналіз загроз та каналів витоку інформації
Аналіз потенційно можливих загроз інформації є одним з перших і обов'язковим етапом розробки будь-якої захищеної ІС. При цьому складається як можна більш повна сукупність загроз, аналізується ступінь ризику при реалізації тієї чи іншої загрози, після чого визначаються напрямки захисту інформації в конкретній ІС.
Різноманітність потенційних загроз інформації в ІС настільки велике, що не дозволяє передбачити кожну з них, тому аналізовані характеристики загроз варто вибирати з позицій здорового глузду, одночасно виявляючи не лише власне загрози, ймовірність їх здійснення, масштаб потенційного збитку, але і їх джерела.
Ідентифікація загроз передбачає розгляд впливів і наслідків реалізації загроз. Проблеми, що виникли після реалізації загрози, зводяться до розкриття джерел витоку, модифікації захисту, руйнування інформації або відмови в обслуговуванні. Більш значні довготривалі наслідки реалізації загрози призводять до втрати управління військами, порушення таємниці, втрати адекватності даних, до людських жертв або іншим довготривалим ефектів.
Найкраще аналізувати наслідки реалізації загроз ще на стадії проектування локальної мережі, робочого місця або інформаційної системи, щоб заздалегідь визначити потенційні втрати та встановити вимоги до заходів забезпечення безпеки. Вибір захисних і контрольних заходів на ранній стадії проектування ІС вимагає набагато менших витрат, ніж виконання подібної роботи на експлуатованої ІС. Але і в останньому випадку аналіз небезпек допомагає виявити вразливі місця в захисті системи, які можна усунути розумними засобами.
У більшості випадків проведення аналізу можливих небезпек дозволяє персоналу краще усвідомити проблеми, які можуть проявитися під час роботи. Перш за розробку заходів із захисту інформації зазвичай відповідав менеджер системи інформації та управління або автоматизованої обробки даних. Тепер застосовується інший підхід, при якому в кожній організації, відповідальність за виконання аналізу небезпек і розробку методики їх вилучення покладається на кілька груп службовців.
До робочої групи, покликану аналізувати можливі небезпечні ситуації, рекомендується включати наступних фахівців.
До групи аналізу небезпечних ситуацій слід включити (1):
• аналітика з небезпечних ситуацій (особа, призначена для проведення аналізу).
Цей фахівець є відповідальним за збір вихідних даних та за подання керівництву інформації, що сприяє кращому вибору захисних заходів.
До групи аналізу небезпечних ситуацій слід включити (2):
• користувачів, відповідальних за надання аналітику точної інформації про застосовувані додатках.
До групи аналізу небезпечних ситуацій слід включити (3):
• службовців, які займаються експлуатацією будівлі, працівників відділу кадрів, охорону та інших співробітників, які можуть надати інформацію про зовнішні небезпеки і проблеми, пов'язані з навколишнім середовищем.
До групи аналізу небезпечних ситуацій слід включити (4):
• персонал супроводу мережі, на який покладається відповідальність за надання інформації про апаратне і програмне забезпечення, а також про застосовувані процедурах щодо обмеження прав доступу і заміні (зміні) паролів.
До групи аналізу небезпечних ситуацій слід включити (5):
• представників керівництва, відповідальних за забезпечення захисту цінностей організації.
Неформальна модель порушника.
Порушник - це особа, що зробили спробу виконання заборонених операцій (дій) або помилково та незнання, або усвідомлено зі злим умислом (з корисливих інтересів) або без такого.
Заради гри або задоволення, з метою самоствердження і т.п. з використанням для цього різних можливостей, методів та засобів. Зловмисником будемо називати порушника, навмисно йде на порушення з корисливих спонукань.
Неформальна модель порушника відображає його практичні та теоретичні можливості, апріорні знання, час і місце дії і т.п. Для досягнення своїх цілей порушник повинен докласти зусиль, витратити певні ресурси. Дослідивши причини порушень, можна або вплинути на ці причини (якщо можливо), або точніше визначити вимоги до системи захисту від даного виду порушень або злочинів. У кожному конкретному випадку виходячи з існуючої технології обробки інформації може бути визначена модель порушника, яка повинна бути адекватна реальному порушнику для даної ІС.
При розробці моделі порушника формуються:
• припущення про категорії осіб, до яких може належати порушник.
А також -
• припущення про мотиви (цілях) порушника;
• припущення про кваліфікацію порушника і його технічної оснащеності;
• обмеження і припущення про характер можливих дій порушників.
По відношенню до ІС порушники бувають внутрішніми (з числа персоналу) або зовнішніми (сторонні особи).
Внутрішніми порушниками можуть бути (1):
• користувачі (оператори) системи;
• персонал, що обслуговує технічні засоби (інженери, техніки).
Внутрішніми порушниками можуть бути (2):
• співробітники відділів розробки і супроводу ПЗ (прикладні та системні програмісти).
А також -
• технічний персонал, що обслуговує будинки (прибиральники, електрики, сантехніки та інші співробітники, що мають доступ в будівлі та приміщення, де розташовані компоненти ІС);
• співробітники служби безпеки ІС;
• керівники різних рівнів посадовій ієрархії.
Сторонніми порушниками можуть бути (1):
• клієнти;
• випадкові відвідувачі;
• представники підприємств, що забезпечують енерго-, водо-і теплопостачання організації.
Сторонніми порушниками можуть бути (2):
• представники конкуруючих організацій (іноземних спецслужб) або особи, що діють за їх завданням;
• будь-які особи за межами контрольованої території.
Можна виділити три основні мотиви порушень безпеки ІС з боку користувачів: безвідповідальність, самоствердження і корисливий інтерес.
При порушеннях, викликаних безвідповідальністю, користувач цілеспрямовано або випадково виробляє будь-які руйнують дії, не пов'язані, тим не менш, зі злим умислом. У більшості випадків це наслідок некомпетентності або недбалості.
Деякі користувачі вважають отримання доступу до системних наборів даних великим успіхом, затіваючи свого роду гру "користувач - проти системи" заради самоствердження або у власних очах, або в очах колег.
Порушення безпеки ІС може бути викликано і корисливим інтересом користувача системи. У цьому випадку він буде цілеспрямовано намагатися подолати систему захисту для доступу до збереженої, переданої і обробляється в ІС інформації. Навіть якщо ІВ має кошти, надзвичайно ускладнюють проникнення, повністю захистити її від цього практично неможливо.
1.5 Аналіз ризиків та управління ними
Поряд з аналізом потенційно можливих загроз на ранніх етапах проектування ІС бажано провести і аналіз ризиків від реалізації цих загроз, так як цей аналіз дозволяє визначити найбільш значущі загрози з усіх можливих загроз і засоби захисту від них.
Процес аналізу ризиків включає (1):
• оцінку можливих втрат з-за успішно проведених атак на безпеку ІС;
• оцінку ймовірності виявлення вразливих місць системи, що впливає на оцінку можливих втрат.
Процес аналізу ризиків включає (2):
• вибір оптимальних за витратами заходів і засобів захисту, які скорочують ризик до прийнятного рівня.
З метою підвищення ефективності аналізу ризиків він проводиться по різних напрямах:
• для об'єктів ІВ;
• для процесів, процедур і програм обробки інформації;
• для каналів зв'язку;
• для побічних електромагнітних випромінювань;
• для механізмів керування системою захисту.
Аналіз ризиків передбачає вивчення та систематизацію загроз захисту інформації (ЗІ), а також визначення вимог до засобів захисту.
Вивчення і систематизація загроз ЗИ передбачає наступні етапи:
• вибір об'єктів ІС та інформаційних ресурсів, для яких буде проведено аналіз;
• розробка методології оцінки ризику;
• аналіз загроз і визначення слабких місць в захисті;
• ідентифікація загроз і формування списку загроз;
• формування детального списку загроз і матриці загрози / елементи ІС або інформаційні ресурси.
Для побудови надійного захисту необхідно виявити можливі загрози безпеки інформації, оцінити їх наслідки, визначити необхідні заходи і засоби захисту та оцінити їх ефективність.
Різноманітність потенційних загроз настільки велике, що все одно не дозволяє передбачити кожну з них, тому аналізовані види доречно вибирати з позицій здорового глузду, одночасно виявляючи не лише власне загрози, ймовірність їх здійснення, масштаб потенційного збитку, але і їх джерела.
Оцінка ризиків проводиться за допомогою різноманітних інструментальних засобів, а також методів моделювання процесів захисту інформації. На підставі результатів аналізу виявляються найбільш високі ризики, що переводять потенційну загрозу в розряд реально небезпечних і, отже, вимагають прийняття додаткових захисних заходів.
Коли намічені міри прийняті, необхідно перевірити їх дієвість, наприклад, зробити автономне і комплексне тестування програмно-технічного механізму захисту. Якщо перевірка показує, що в результаті проведеної роботи залишкові ризики знизилися до прийнятного рівня, то можна намічати дату найближчої переоцінки, якщо ні - слід проаналізувати допущені помилки і провести повторну оцінку ризиків.
При розробці методології оцінки ризику використовуються методи системного аналізу, в результаті виходять оцінки гранично допустимого і реального ризику здійснення загроз протягом деякого часу.
В ідеалі для кожної із загроз повинно бути отримано значення ймовірності її здійснення протягом деякого часу. Це допоможе співвіднести оцінку можливого збитку з витратами на захист. На практиці для більшості загроз неможливо отримати достовірні дані про ймовірність реалізації загрози і доводиться обмежуватися якісними оцінками.
Оцінка збитків, який може завдати діяльності організації реалізація загроз безпеки, здійснюється з урахуванням можливих наслідків порушення конфіденційності, цілісності та доступності інформації.
Витрати на систему захисту інформації необхідно співвіднести з цінністю захищається інформації та інших інформаційних ресурсів, які піддаються ризику, а також зі збитком, який може бути нанесений організації в результаті реалізації загроз. По завершенні аналізу уточнюються допустимі залишкові ризики і витрати по заходах, пов'язаних із захистом інформації.
За результатами проведеної роботи складається документ, який містить:
• переліки загроз ЗИ, оцінки ризиків та рекомендації щодо зниження ймовірності їх виникнення;
• захисні заходи, необхідні для нейтралізації загроз;
• аналіз вартість / ефективність, на підставі якого робляться висновки про допустимі рівні залишкового ризику та доцільності застосування конкретних варіантів захисту.
Управління ризиком - процес, що складається в послідовному виконанні трьох частин: визначення ризику в незахищеною ІС, застосування засобів захисту для скорочення ризику та оцінка залишкового ризику.
Управління ризиком можна деталізувати розбивкою його на сім етапів.
Етапи управління ризиком (1):
1. Визначення ступеня деталізації, меж аналізу та методології.
2. Ідентифікація та оцінка цінності ресурсів ІС.
Етапи управління ризиком (2):