Метода несанкционированного съема информации в изолированной компьютерной сети

АЛТАЙСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ 
 
 
 
 
 
 

РЕФЕРАТ 

Метода  несанкционированного съема информации в изолированной компьютерной сети 
 
 
 
 
 

Выполнил: студент 597гр.

Виниченко Ф.Т. 
 
 
 
 
 
 
 

г. Барнаул 2011

Введение.

Рассмотрим  наиболее распространенные методы и  средства для несанкционированного получения информации из автоматизированных систем (АС). Сегодня эти методы и  средства в связи с широким  распространением ПЭВМ,  взаимодействующих  через локальные и глобальные сети, приобрели такую популярность, что нередко само понятие “защита  информации”  применяется исключительно  в смысле защиты информации,  обрабатываемой в АС, от утечки через компьютерные сети. Некоторые специалисты по ЗИ склонны выделять утечку информации через компьютерные сети в отдельный канал, равноценный другим техническим каналам утечки информации.  Однако,  в отличие от таких технических каналов, как радиоканал или акустический канал, утечка информации из АС по компьютерной сети является следствием не побочных, нежелательных процесссов,  вызванных конструктивными особенностями аппаратных средств и не учтенных разработчиками, а основных, штатных процессов, выполняющихся в АС в соответствии с замыслом разработчиков. 

Конечно, в определенном смысле утечка информации по компьютерным сетям также возникает  вследствие несовершенства программно-аппаратных решений, реализованных в АС.  Но,  тем не менее,  пользуясь подобными изъянами в архитектуре АС,  злоумышленник все же использует ее ресурсы и процессы по прямому назначению. 

Например, дисплей ПЭВМ конструируется для  отображения информации. Пользуясь  побочными процессами, возникающими во время работы дисплея  (ПЭМИН), злоумышленник может восстановить информацию,  отображаемую на экране дисплея.  В таких случаях можно  говорить о наличии технического канала утечки информации. Но представим ситуацию, в которой этот же злоумышленник каким-либо образом получает доступ в помещение, в котором работает легальный пользователь  (например, выдав себя за контролирующее лицо), и, встав за спиной пользователя, ознакамливается с той же информацией, что и в первом случае. Понятно, что в подобной ситуации нельзя говорить о техническом канале утечки информации, поскольку техническое средство  (дисплей) используется злоумышленником по прямому назначению. Если же злоумышленник получает удаленный доступ к компьютеру пользователя по сети, то действия злоумышленника после получения такого доступа очень сходны с действиями при получении непосредственного доступа, например, когда легальный пользователь отлучился от рабочего места.

Таким образом, выделение явлений, приводящих к утечке информации из АС  (в ча-

стности,  по компьютерным сетям) в отдельную группу,  образующую самостоятельный

технический канал утечки информации,  вряд ли оправдано. Скорее,  подобные явления

можно классифицировать как специфическую  разновидность явлений,  приводящих к

возникновению материально-вещественного канала утечки информации.

Действительно, независимо от методов и средств, используемых злоумышленниками

для несанкционированного получения информации из АС,  в результате всегда на тех

или иных носителях, находящихся в распоряжении злоумышленников, возникают элек-

тромагнитные поля, совокупность которых представляет собой полученную ими инфор-

мацию. С технической и юридической точки зрения эта информация представляет собой

точную  копию исходной информации, в подавляющем  большинстве случаев неотличи-

мую от оригинала. В определенных ситуациях, когда у злоумышленника имеется физи-

ческий доступ к АС, для получения такого же результат он может просто прибегнуть к

хищению носителей информации  (например, жесткого диска). Юридические последст-

вия из-за хищения собственно носителя могут быть весьма малыми, учитывая неуклон-

ную тенденцию к снижению стоимости аппаратных средств современных ЭВМ,  чего

нельзя  сказать о юридических последствиях, которые могут возникнуть из-за хищения

записанной  на носителе информации. 

Все вышесказанное  позволяет сделать вывод о  том, что явления, приводящие к утеч-

ке информации из АС из-за несовершенства программно-аппаратных решений, можно с

некоторыми  допущениями отнести к материально-вещественному  каналу. Однако, стро-

го говоря, корректнее их относить к современной  разновидности тайного физического

проникновения  (ТФП),  т.е.  не к техническим,  а к агентурным методам добывания  ин-

формации. В частности, злоумышленники, пытающиеся получить доступ к АС, нередко

прибегают к так называемому социальному  инжинирингу (social engineering). Социаль-

ный инжиниринг — это использование психологии для скрытного добывания критичной

с точки  зрения доступа к АС информации (как  правило — паролей, имен, кодов  доступа

и т.п.) у ее носителей. “Могущество” таких  хакеров, как Кевин Митник и Роско, заклю-

чается  не только и не столько в их технической  подготовке,  сколько в использовании

методов социального инжиниринга. 

Персонал, наряду с аппаратными средствами, программным обеспечением, данными

и документацией  является,  по определению, составной  частью любой АС. Однако рас-

смотрение всей совокупности вопросов, связанных  с добыванием информации путем со-

циального инжиниринга,  далеко выходит за рамки данной книги.  Поэтому,  учитывая

остроту проблемы несанкционированного получения  информации из АС,  мы ограни-

чимся лишь обзорным описанием технической стороны этой проблемы, не затрагивая ее

гуманитарной  составляющей. 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 

Классификация.

Методы  и средства несанкционированного получения  информации из АС можно

классифицировать, исходя из разных признаков: по виду доступа, по уровню доступа, по характеру действий злоумышленника,  по многократности доступа,  по направленности

действий  злоумышленника, по тяжести последствий.

По виду доступа все методы и средства можно разделить на две большие  группы. К

первой  группе относятся методы и средства, используемые при локальном (физическом)

доступе к АС, а ко второй — методы и  средства, используемые при удаленном  доступе

(по  компьютерной сети). Как правило,  любая,  даже самая надежная  АС при наличии у

злоумышленника  локального доступа, достаточных сил  и средств и достаточного време-

ни, не сможет обеспечить сохранности информации. При удаленном доступе АС может

быть  достаточно надежно защищена,  но,  с другой стороны,  абсолютной безопасности

АС, имеющей  физическое подключение к сетям  передачи данных, гарантировать также

нельзя.

По уровню доступа методы и средства несанкционированного получения информа-

ции обычно разделяют на методы и средства гостевого, пользовательского, админист-

ративного, системного и неограниченного уровня. Во многих современных операцион-

ных системах имеются встроенные учетные записи,  предоставляющие их владельцами

гостевой (Guest  в системах Windows NT/2000/XP),  административный (Administrator  в

Windows NT/2000/XP, root в Unix-системах), системный (SYSTEM в Windows 2000/XP)

или неограниченный (администратор предприятия в  Windows 2000/XP) доступ. При соз-

дании дополнительных учетных записей в большинстве современных операционных

систем  можно указать любой уровень  доступа, но изменить его для встроенных учетных

записей зачастую невозможно.

По характеру  действий злоумышленника используемые им методы и средства мо-

гут быть направлены на копирование,  модификацию,  уничтожение или внедрение ин-

формации. В последнем случае проявляется  особенность АС, отсутствующая у  традици-

онных средств накопления информации, связанная с тем,  что в АС хранятся не только

данные, но и программные средства, обеспечивающие их обработку и обмен информа-

цией.  Эта особенность интенсивно используется злоумышленниками,  которые часто

стремятся получить доступ к той или иной АС не ради несанкционированного доступа  к

хранящейся  в ней информации, а для внедрения  программной закладки, т.е. для несанк-

ционированного создания в АС новой информации,  представляющей собой активный

компонент самой АС, либо для скрытного хранения собственной информации без ведо-

ма владельца АС.

По многократности доступа выделяют методы и средства, направленные на разо-

вое получение несанкционированного доступа и многократное. В первом случае задача

предупреждения  несанкционированных действий злоумышленника значительно ослож-

няется, однако часто, поскольку последний не заботится о сокрытии факта таких дейст-

вий, несколько облегчается задача выявления таких действий. Во втором случае задача

предупреждения  упрощается,  но усложняется задача выявления,  поскольку основное

внимание  злоумышленник, планирующий многократно  проникать в АС, сосредотачива-

ет на сокрытии всех признаков такого проникновения.

По направленности действий злоумышленника методы и средства несанкциониро-

ванного получения информации из АС подразделяются на методы и средства,  направ-

ленные  на получение системной информации  (файлы паролей, ключей шифрования, перечни учетных записей, схемы распределения сетевых адресов и т.п.) и собственно при-

кладной информации. Многих злоумышленников, проникающих в АС, подключенные к

глобальным  сетям, вообще не интересует хранящаяся в этих АС прикладная информация

или интересует лишь в той степени, в какой  она позволяет получить доступ к системной

информации. Обычно такие злоумышленники используют подобные АС либо в качестве

промежуточных узлов для проникновения в  другие АС, либо для несанкционированного

хранения  собственной информации.

По тяжести  последствий используемые злоумышленниками методы и средства

несанкционированного  получения информации можно разделить  на неопасные  (скани-

рование портов,  попытки установления соединений и т.п.),  потенциально опасные (по-

лучение доступа к содержимому подсистем  хранения данных, попытки подбора  паролей

и т.п.), опасные  (получение доступа с высоким уровнем полномочий, модификация ин-

формации  в АС, копирование системной и  прикладной информации, создание собствен-

ной информации и т.п.) и чрезвычайно опасные  (уничтожение информации, блокирова-

ние доступа легальных пользователей к АС и т.п.). 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 

Локальный доступ.

Как уже  отмечалось,  при наличии у  злоумышленника локального доступа  к АС и

благоприятной для него обстановки он сможет обойти практически любую защиту. Для

того  чтобы значительно снизить шансы  злоумышленника, имеющего локальный  доступ

к интересующей его АС, необходимо предпринять целый комплекс мер, как техническо-

го,  так и организационного характера,  начиная от проектирования архитектуры  АС с

учетом  всех требований защиты и заканчивая установкой камер наблюдения, охранной

сигнализации  и организации специального режима доступа. Однако на практике в боль-

шинстве случаев, по крайней мере какой-либо один фактор остается вне поля зрения ор-

ганизаций, обрабатывающих в своих АС информацию с ограниченным доступом, кото-

рая может  интересовать тех или иных злоумышленников.  Нередко оказывается и так,

что таких  факторов значительно больше, поэтому  если организация не приняла всех мер

для того,  чтобы предотвратить несанкционированный локальный доступ к своим АС и

их компонентам, можно сказать с уверенностью, что ее секреты рано или поздно попа-

дут к заинтересованным лицам.

Рассмотрим  подробнее методы и средства несанкционированного доступа к инфор-

мации, которые можно применить на локальном уровне.

Прежде  всего, злоумышленник может воспользоваться  одним из самых древних спо-

собов,  против которого не сможет противостоять никакая АС, — хищением. Хищение

информации,  ее носителей,  отдельных компонентов  АС и,  учитывая современные тен-

денции к миниатюризации СВТ, целых АС было и остается одним из самых распростра-

ненных способов несанкционированного получения информации. При этом квалифика-

ция лиц, участвующих в хищении может быть самой низкой, а правоохранительные ор-

ганы,  расследующие такие факты,  да и зачастую сами подвергшиеся хищению

организации,  как правило,  сосредотачивают  основное внимание на осязаемых материальных ценностях. К хищению можно отнести  и такие действия злоумышленников, ко-

гда компоненты АС просто подменяются на аналогичные.  Например,  сначала специа-

лист  высокой квалификации оказавшись под каким-то предлогом в офисе организации и

используя благоприятную ситуацию, может за считанные секунды выяснить модель же-

сткого диска,  причем все его действия будет контролировать легальный пользователь

(типичная  ситуация — любезное предложение  помощи неопытному сотруднику, у  кото-

рого  “завис” компьютер и т.п.).  Затем злоумышленникам остается лишь найти вышед-

ший из строя жесткий диск аналогичной модели и,  тайно проникнув в офис,  заменить

интересующий  их жесткий диск неисправным. Если в организации не ведется строгого

учета компонентов АС по серийным номерам  (что, к сожалению, встречается сплошь и

рядом), а злоумышленникам удастся скрыть факт проникновения в помещение  (что так-

же не очень большая проблема для опытных взломщиков), то такое происшествие не вы-

зовет никакого подозрения. 

Кроме того, к хищениям во многих случаях  можно отнести прямое копирование  все-

го жесткого диска на другой диск. Даже если исходный диск защищен, например, с по-

мощью шифрования,  злоумышленник средней  квалификации может принести с собой

другой  жесткий диск большего объема и просто скопировать все содержимое исходного

диска на свой диск, который впоследствии будет передан на исследование специалистам

более высокой квалификации. В таком  случае получение несанкционированного доступа

к скопированной  информации — всего лишь вопрос времени. 

Наконец,  следует знать,  что часто хищение  информации маскируется под хищение

материальных  ценностей. Например, злоумышленники могут  похитить все офисное обо-

рудование, хотя на самом деле их интересует лишь содержимое жесткого диска компью-

тера, стоявшего в кабинете руководителя. Часто оказывается, что руководители органи-

заций, требуя от подчиненных соблюдения всех правил информационной безопасности,

не распространяют на себя эти требования, хотя имеют  доступ к любым файлам своих

подчиненных. Например, большинство руководителей  даже не подозревают, что все от-

крываемые ими по сети файлы таких программ, как Microsoft Word  и других офисных

приложений, копируются в папку для временных  файлов Windows на локальном диске.

Вторым  распространенным методом несанкционированного получения информации

при локальном  доступе к АС является использование открытого сеанса легального

пользователя.  Здесь возможности злоумышленника определяются лишь временем,  на

который он получает доступ к АС, полномочиями в АС легального пользователя и нали-

чием  (точнее,  отсутствием) контроля со стороны  легального пользователя или его  кол-

лег. Особая опасность этого метода заключается  в том, что со стороны специалистов по

защите  информации действия злоумышленника, воспользовавшегося открытым сеансом

легального  пользователя, скорее всего, не вызовут  никаких подозрений  (в большинстве

случаев на “своих” пользователей, особенно если они занимают в иерархии организации

более высокое положение, администраторы безопасности обращают меньше всего  вни-

мания). Часто пользователи практически  подталкивают посторонних к несанкциониро-

ванному доступу к своим системам, размещая свои пароли  “под рукой” прямо  на рабо-

чем месте  (например,  наклеивая листки для  записей с паролями на монитор  или на тыльную сторону клавиатуры). В этом случае такая “защищенная” система ничем не от-

личается от системы, на которой остался открытым сеанс легального пользователя.

Близким к указанному выше методу является подбор пароля легального пользова-

теля. Этот метод более  “заметен” со стороны  компонентов АС, обеспечивающих безо-

пасность, однако также оказывается достаточно эффективным. Например, в организации

может быть реализована жесткая политика по выбору паролей, обеспечивающая невоз-

можность случайного подбора или угадывания паролей за 2–3 попытки с блокированием

учетной записи при превышении количества попыток. При этом все пользователи орга-

низации, покидая рабочее место,  должны временно блокировать доступ к своим систе-

мам так, чтобы блокировка снималась только при правильно введенном пароле. Однако

некоторые пользователи могут установить полюбившиеся программы-заставки, в кото-

рых ввод пароля происходит в обход основной операционной системы. Часто оказывает-

ся, что такие пользователя в качестве пароля выбирают последовательности вида 1111

или user и т.п., что значительно облегчает задачу подбора пароля легального пользова-

теля. 

Часто для осуществления подбора пароля легального пользователя злоумышленники

прибегают к использованию открытого сеанса этого же или другого пользователя с по-

следующим копированием системных файлов. В  частности, в системах Windows 98/ME

злоумышленник может скопировать файлы с  расширением PWL,  находящиеся в  основ-

ной папке  Windows, а затем применить к ним какое-нибудь средство вскрытия файлов

PWL, например  Repwl или CAIN. В системах Windows NT/2000/XP с той же целью зло-

умышленник может скопировать файл SAM или его резервную копию SAM._,  находя-

щиеся в папке repair системной папки Windows, а затем попытаться установить хра-

нящиеся в них пароли с помощью системы L0phtCrack. В Unix-подобных системах наи-

больший интерес для злоумышленника представляют файлы /etc/passwd или

shadow. С помощью таких утилит, как crack или john, любой злоумышленник, обла-

дая минимальной квалификацией, может за считанные минуты или даже секунды полу-

чить информацию о паролях легальных пользователей, хранящихся в этих файлах.

Еще одним  методом локального несанкционированного доступа является использо-

вание учетной записи легального пользователя для расширения полномочий в АС.

Он отличается от метода использования открытого  сеанса легального пользователя тем,

что в  данном случае злоумышленнику не требуется  выдавать себя за другого, поскольку

он в  силу тех или иных причин сам имеет  доступ к АС. Например, во многих организа-

циях сторонним пользователям, посетителям, представителям других организаций, вре-

менным сотрудникам и другим лицам, не являющимся сотрудниками организации, пре-

доставляют  так называемые гостевые учетные  записи.  Однако часто оказывается,  что

АС, предназначенные для гостевого доступа, имеют физический доступ ко всем АС ор-

ганизации, а действия сторонних пользователей, получающих гостевой доступ, практи-

чески никак не контролируются.  Это  позволяет злоумышленнику,  воспользовавшись

специальными  программами взлома (exploit), расширить свои полномочия вплоть до по-

лучения полного доступа ко всем АС организации.  В системах Windows NT/2000/XP,

например,  злоумышленник может воспользоваться  такими программами взлома,  как getadmin или main, а в Unix-подобных системах — многочисленными программами

взлома  командной оболочки и других Unix-программ, в изобилии присутствующих в Internet, действие которых основано на известных изъянах соответствующего системного