Виды угроз и противодействие им

Проблемы безопасности сетей

Главных проблем безопасности в сети не так уж и много. Вот их самый краткий, но вполне достаточный перечень:

· Как предотвратить проникновение в сеть и манипуляции с данными?

· Как предотвратить разглашение информации в сети?

· Какие места системы безопасности сети менее всего устойчивы?

· Какова модель предполагаемого нарушителя?

Проблема предотвращения несанкционированного доступа, безусловно, самая важная, хотя не единственная.. Необходимо заметить: администраторами сетей почти всегда правильно оценивается значение программных средств контроля и криптографической техники, но мало кто из них уделяет достаточное внимание мониторингу работы пользователей. Большинство взломов систем происходит из-за того, что администратору сети поручают несвойственную ему дополнительную обязанность следить за строгим соблюдением пользователями правил работы, которую в большинстве случаев он выполнить не в состоянии. Поэтому в действителъно секретной сети кроме администратора нужен еще и офицер безопасности, внимательно следящий за действиями пользователей и непрерывно ведущий мониторинг.

Разглашение информации слишком часто встречается в практике работы сетей потому, что люди постоянно находятся под прессом обстоятельств и не всегда осознают последствия кажущихся им мелкими действий. Но, скажите, какой толк вкладывать большие деньги в шифрующие сетевые карты, если администратор, временами уезжая на рыбалку, будет просить присмотреть за системой своего друга из другой фирмы, передав ему эквивалент супервизора, или пользователи будут уходить на обед, не выгрузившись из системы? Основой противодействия разглашению информации должна служить строгая регламентация всех действий пользователей и персонала, обеспечиваемая главным образом административными, а уже потом техническими и программными средствами. Наиболее надежной является такая организация системы при которой пользователь сознает ответственность за те или иные свои действия. Достаточно указать ему, что, уйдя со станции, не выгрузившись, он будет нести ту же самую ответственность, как если бы ушел, не заперев сейф. В то же время программы обеспечения секретности должны помочь ему не забывать про рутинные обязанности.

Нужно защищать все компоненты системы: оборудование, программы, данные и персонал. Система защиты должна быть многоуровневой и строиться по уровням секретности. Для надежной защиты необходимо распределить функции между этими уровнями так, чтобы осуществлялось необходимое дублирование функций защиты и происходила компенсация недостатков одного уровня другим. Криптографическая защита должна быть применена на всех верхних уровнях, однако ее применение должно соответствовать предполагаемым угрозам. Так как совокупные затраты на защиту велики, то усиливать надо в первую очередь слабые ее элементы. Как у цепочки прочность защиты определяется лишь самым слабым звеном.

Что движет хакерами? Причины дляхакерства могут быть различные. Кроме иррационального поведения со стороны хакера, имеются четыре основных повода: персональная месть, самореклама, попытка вызвать разрушающий основы общества хаос или нажива. При мести хакерство основано на социальном или персональном заказе отмщения за реальную или воображаемую обиду. Некоторые лично мотивированные случаи хакерства побуждены идеализмом - жертва выбирается в этих случаях так, чтобы хакер был уверен, что ее наказание даст абстрактную пользу людям. Разрушение сетей правительственных и крупных коммерческих компаний чаще всего относится к этому типу. анархически настроенные молодые люди были наиболее видными проводниками таких действий до последнего времени, так как считали хакерство достойным ответом на безнравственные законы и действия правительств. Другой тип хакерства можно назвать пропагандистским, потому что он преследует получение гласности для освещения специфической точки зрения хакеров или для саморекламы. Действительно, приписка в вирусе: “Sofia. Dark Adventure.’’, эквивалентна визитной карточке, так как достаточно просмотреть файлы регистрации софийских BBS, чтобы найти автора. Чисто политическое хакерство неизвестно, так как оно вряд ли может вызывать значимые изменения политики и больше смахивает на пропагандистский демарш. А хакерство ради наживы - это то, чем рано или поздно кончают неудачники в личной или деловой сфере. Публикации сообщают, что покинувшие Россию профессиональные программисты, не найдя работы, нередко принимают предложения преступных группировок, которые используют их как хакеров для грабежа банков. Эти “золотые воротнички” практически не уловимы, так как обычная операция хорошо планируется и длится всего несколько минут, а связь ведется из номера отеля, снятого на вымышленное лицо. Вопреки популярному изображению, хакеры не всегда молодые мальчики. Социологи США нашли, что треть арестованных за преступления хакеров были женщины, в то время, как лишь седьмая часть, были до 21 года. Изучение показало также, что половина хакеров имеет возраст между 25 и 30 годами. Ответчики по компьютерным преступлениям вписываются в три категории: пираты, хакерыи крекеры(взломщики). Пираты главным образом нарушают авторское право, создавая незаконные версии программ и данных. Хакеры получают неправомочный доступ к компьютерам других пользователей и файлам в них. Однако они, как правило, не повреждают и не копируют файлы, удовлетворяясь сознанием своей власти над системами. Крекеры - наиболее серьезные нарушители. Они позволяют себе все. Сотрудники служб компьютерной безопасности и антихакеры делят всех нарушителей на четыре группы по отношению к жертве:

· не знающие фирму посторонние;

· знающие фирму посторонние и бывшие сотрудники;

· служащие непрограммисты;

· служащие программисты.

Не стоит недооценивать возможности непрофессионалов по совершению компьютерных преступлений. Как метко написано в руководстве для офицеров морской пехоты США о рядовых: “Они невежественны, но очень сметливы’’. Нелояльные сотрудники, имеющие доступ к компьютерам, играют главную роль в большинстве финансовых преступлений. Это скорее организационная, чем техническая проблема. Если хорошо отобранным наемным служащим хорошо платят, мало вероятно, что они представят угрозу безопасности. Технология может играть здесь лишь вспомогательную роль. Статистика приводит очень печальные дан- ные, утверждая, что лишь четверть сотрудников банка вполне лояльна, четверть, безусловно, настроена к фирме враждебно и не имеет моральных ограничителей, лояльность же оставшейся половины зависит исключительно от обстоятельств. Процедуры безопасности могут обеспечивать проверку паролей и строгий контроль доступа к ценным общим данным, но взломщика, хорошо знающего внутреннее устройство системы, практически невозможно остановить.

Источники угроз в сетях

Еще в недавнем прошлом компьютеры были доступны только большим организациям. Доступ к системам имели лишь небольшие привилегированные группы экспертов, которым хорошо платили за их лояльность. Самый тяжелый вид преступления, возможный в те дни, был случайно брошенный взгляд на размер чужой зарплаты в файле платежной ведомости. Проблемы коммерческой и личной безопасности обсуждались редко. Но в последние годы сочетание роста мощности компьютеров и вычислительных сетей, сделало компьютеры в сетях уязвимыми.

Несомненно, что все беды возникают из-за несоответствия требований к сети характеристикам самой сети. Дефекты проектирования безопасности сети возрастают от быстро изменяющегося характера коммуникаций компьютеров. Раньше компьютеры были изолированы друг от друга. Но когда сети позволили компьютерам обмениваться информацией, то теперь фактически все большие системы доступны из самых удаленных мест. Разработчики сетей, стремящиеся поддержать безопасность, стоят перед беспокоящим их парадоксом: открыто обсуждая дефекты сетей, они делают потенциально более известными “дупла” в них нарушителям и облегчают им несанкционированный доступ. Однако замалчивание дыр в системах гораздо хуже, так как создает опасную иллюзию благополучия.

Рассмотрим это на примере нашумевшей во всем мире программы червя Роберта Морриса, первокурсника университета в Корнелле. Он хотел проверить возможность копирования программ с компьютера на компьютер в сети Arpanet. От ошибки алгоритма скорость размножения червя была гигантской, и встало больше 6000 компьютеров в США. Неожиданностью для Морриса было то, что червь поражал компьютеры военной секретной сети Milnet, а он проводил с ним эксперимент в несекретной сети Arpanet. Оказалось, что соединение этих сетей держалось в секрете и стало полной неожиданностью для студента. Для того, чтобы узнать - был ли компьютер уже заражен, Моррис проверял наличие на нем червя. Если компьютер еще не был заражен, то червь копировал себя в него. Однако Моррис рассудил, что эксперт легко может предотвратить инфекцию, заведя пустойфайл с именем червя. Чтобы обойти это, Моррис решил с вероятностью 5% копировать червя в новую машину независимо от ответа, а его программа из-за ошибки делала это с вероятностью 95%. Когда же его червь попал в высокоскоростную Milnet, то онстал размножаться катастрофически быстро и машины встали.

Для систем под машины DEC и SUN этотинцидент доказал, что безопасность сетей ими игнорировались, а рекламируемые надежность ибезопасность UNIX были фикцией. Эксперты этих фирм, которые до того высокомерно объясняли неискушенным пользователям, почему их системы безопасны, после случая с .Моррисом стали давать подробные интервью, почему это оказалось возможным. В программах UNIX оказались “дупла”. Пересылка, почты используется, чтобы передать сообщения по сети. Однако разработчик пересылки почты UNIX, оставил в ней “черный вход”, через который любая программа пересылалась по почте подобно текстовому сообщению. Об этом многие администраторы сетей знали, и Моррис элегантно использовал это “дупло” для пересылки червя. Червь Морриса задействовал и программу указателя, позволяющую узнать имя последнего зарегистрированного пользователя на удаленной машине UNIX. “Дупло” в указателе тоже было известно и позволяло .влазить в другие системы, если посылалось сообщение длиннее 512 байт. За счет этих ошибок червь Морриса тоже получал доступ к. другим компьютерам. Третий дефект UNIX состоял в том, что список пользователей не был зашифрован и, прочтя его на компьютере жертвы, червь по имени пробовал подобрать пароли.

Теперь сделаем выводы. «Это был несчастный случай, лишь ждущий своего часа, чтобы произойти. Мы заслужили его. Мы нуждались в чем-нибудь вроде этого, чтобы заставить нас задуматься, так как не уделяли достаточно внимания защите», - так заявил Джеффри Гудфеллоу, эксперт по коммуникациям. Проблемы в UNIX с возможностью несанкционированного доступа были известны месяцы, если не годы, но администраторы сетей не информировались о них и это оставило их системы беззащитными. Отметим, что хакеры в Англии узнали о черве в Arpanet по крайней мере на 12 часов прежде, чем средства массовой информации официально сообщили о нем и, не надеясь на государственные службы, сами начали патрулировать межсетевые шлюзы, чтобы давить червей. Они защитили британские сети компьютеров от вторжения червя Морриса, хотя и не дождались потом благодарности или подтверждения своей заслуги. Таким образом, отсутствие гласности и отказ от шифрования, что бы разом решило все проблемы, привели к этой знаменитой катастрофе.

Атаки на сетевые системы

В результате многих проведенных исследований были определены основные уязвимые места в сетевых системах. Ими, как правило, являютсяаппаратура, файловый сервер, пароли и среда передачи данных. Если файловый сервер может быть защищен организационными мерами, то среда передачи данных так не может быть защищена. Основная опасность для сети - в “дырах’, которые позволяют злоумышленникам получить незаконный вход в компьютеры сетей. Имеется широкий общественный интерес к тому, чтобы сети компьютеров, используемые для каждодневных действий, были защищены от нападений хакеров. Например, система управления воздушным движением могла бы быть повреждена, если кто-то собьет коды в ЭВМ, ослепив диспетчеров, руководящих полетами. Два эпизода в США с нападениями хакеров затронули военные компьютеры с крупными секретами: в корпорации Mitre, компании с контрактами Пентагона, и в Arpanet, сети министерства обороны США. Незаконный даоступ к системам компьютера может компрометировать секретность данных многих людей. Так, компания TRW заявила, что пароль, обеспечивающий доступ к 90 млионам кредитных счетов в файлах, был украден - легко себе представить чувства владельцев этих счетов!

Дефекты в системе безопасности компьютеров также использовались, чтобы уничтожать данные. Хакер получив доступ по телефону на компьютер офиса RЕРфирмы в Калифорнии разрушил там файлы и вызнал крах системы. Четырьмя днями позже опять кто-то проник в тот же компьютер, разрушил сотни писеми отправляющуюся почту. В Австралии неизвестный хакер, квалификация которого была оценена как эксперт, атаковал компьютер телефонной компании. Его нападение отрезало тысячи телефонных линий и компьютеров, включая самые большие банки и биржи страны, которые простаивали в течение полного дня. Специалисты считают, что существующие сетевые операционные системы имеют фундаментальные дефекты в системах обеспечения безопасности, которые игнорируются, пока не произойдет шумный инцидент с проникновением хакера. Некоторые дефекты существуют в каждой системе, но еще в недавнем прошлом продавцы систем не хотели признавать это.

Хаджа Насредин, когда ему нужно было спрятать свои деньги от воров, сначала хотел их закопать. Однако подумав, что будь вором он сам, то быстро бы нашел клад. Видимо, нет лучшего способа оценить безопасность системы, как представить себя в роли ее крекера. Поэтому изложение этого раздела состоит в основном из фольклора и кулинарных. рецептов.

Хакеров, атакующих компьютеры АТС, обычно называют брекерамн от breaker - взломщик телефонов. Как. правило. они причиняют вред тишь из-за неоплаты телефонных звонков и в России практически не работают из-за отвратительного качества с вязи.

Атака на аппаратуру

Имеется много сведений о встраивании в компьютеры (и даже калькуляторы!) передатчиков, что вполне возможно, но мало разумно из-за низкой информативности и легкой обнаруживаемости службами безопасности. Скорее всего их встраивают сами секретные службы, чтобы такими находками оправдать расходы на свое содержание. Вместе с тем, известны варианты BIOS клавиатуры, сохраняющие в шифрованном виде с тысячу символов, введенных после включения компьютера и даже передающих их радиоизлучением. Известно так же, что все сверхбыстродействующие ЭВМ имеют секретные блоки двойного назначения - как для диагностики технического состояния, так и ограничения сферы применения ЭВМ условиями поставки. Эти блоки хорошо защищены от взлома - попытка отечественных служб вскрыть аналогичное устройство фирмы Барроуз провалилась, окончившись “последним серьезным предупреждением”. Озадачивает сообщение, что за несколько недель перед началом войны с Ираком, американские спецслужбы вставили вирус в сеть иракских компьютеров противовоздушной обороны. Сообщали, что вирус был разработан АНБ и предназначен калечить главный компьютер сети иракских ПВО. Эта секретная акция началась, когда шпионы узнали что сделанный французами принтер, ввозился контробандой через Иорданию в Багдад? Агенты в Аммане заменили микросхему в принтере другой, которая содержала вирус. Нападая на иракский компьютер через принтер, вирус был способен избегать, обнаружения процедурами безопасности. Когда вирус попадал в систему, то компьютер выдавал ложную информацию о целях. В результате иракская сторона вынуждена была оставить без ответа бомбовые удары по своей территории. Хотя такое сообщение выглядит фантастично и появилось на свет 1 апреля, но с сетевым принтером PostScript это предположительно возможно. Так или иначе, сеть иракских ПВО фактически не работала. Хотя результативнее была бы атака, вызывающая сбои не очень редко, чтобы скомпрометировать данные, но и не очень часто, чтобы не быть обнаруженной. Тем не менее, аппаратуру для сети с повышенной секретностью нельзя покупать по заказу или на имя фирмы, что позволит гарантированно избежать подвоха. Гораздо разумнее будет покупать ее вдруг за наличные или через законспирированного партнера.

В верхней памяти ЭВМ, относящейся не к ней самой, а таким устройствам, как контроллер винчестера или дисплея есть участки, которые допускают не только чтение, но и запись. Нередко непрофессионально написанные программы (обычно программы на языке Си с неопределенным указателем) пишут туда черт-те что, выводя этим самым из строя аппаратуру. Характерный пример - винчестер перестает грузиться, но идеально работает, если загрузка произведена с дискеты. Поэтому есть ряд программ, как Rescue из нортоновских утилит, которые позволяют сохранять и восстанавливать содержимое этой памяти в случае ее модификации. Многие такие утилиты контролируют неизменность памяти с помощью контрольных сумм, а это в ряде случаев может выявить изменение конфигурации ЭВМ при установке в нее шпионских устройств. Однако доступ ко многим устройствам происходит через порты, а найти или блокировать их очень сложно.

Атака на файловый сервер

Обычно файловый сервер хорошо защищен административно. Тем не менее, защиты консоли паролем явно недостаточно. Было бы лучше блокировать клавиатуру еще и специальным ключом, как это сделано в ряде моделей HewlettPackard. В одной из финансовых организаций после перегрузки сети от сервера вообще отсоединяли монитор с клавиатурой и выгружали модуль MONITOR. Такая предосторожность там не казалась чрезмерной и, наверное, это правильно.

Другая проблема серверов - черви, вирусы и троянские кони. Обычно червь стремится инфицировать как можно больше других машин. Он лишь воспроизводит себя и ничего больше. Если система терпит крах или перегружается, что бывает не так уж и редко, процедура загрузки системы уничтожает червя и его следы. Однако коммуникационное общение снова восстанавливает его с инфицированных машин. Поэтому администраторы инфицированной сети могут договориться об одновременной перегрузке своих систем, закрыв временно до выяснения обстановки шлюзы. Это, самый легкий и простой способ избавиться от червя.

Чтобы не инфицировать одну машину дважды черви, прежде чем заразить ее проверяют свое наличие там вызовом файла, через который они размножаются. Следовательно, самая простая защита от червя - создание файла с его же именем. Этот прием известен как “презерватив”. В некоторых системах достаточно вместо файла завести поддиректорию с тем же именем. Однако некоторые “зловредные” черви, как у Морриса, пытаются обойти это условие. Тем не менее, червь не проникнет в сеть, если атрибуты файла с его именем не допускают удаления и перезаписи.

Червяки необязательно вредны. Фольклор имеет первое свидетельство о появлении червя на Arpanet аж в 1970 году. Тогда ее атаковал червь, названный вьюном, чья единственная цель состояла в том, чтобы копировать себя с машины на машину. Когда он инфицировал компьютер, то выдавал сообщение: “Я - вьюн. Поймайте меня, если можете!” Легенды сообщают, что один администратор, инфицированный вьюном, рассердился и быстро написал программу червя киллера, которая пролезла через весь Arpanet, перебила вьюнов и “умерла”. Несколькими годами позже, в корпорации Ксерокс разработали специальные виды червей. Шок и Хупп написали червя глашатая, который патрулировал сеть, ища плохо работающие компьютеры. Они даже описали червя вампира, который был предназначен, чтобы запускать сложные программы ночью, когда пользователи спят. Лишь только люди возвращались к терминалам, то программа вампир шла спать, чтобы возвратиться и начать работать следующим вечером. Аналогичный червь был написан в СССР для DECnet, чтобы контролировать активность узлов. Так как он имел низший приоритет, то активизировался, лишь когда машина простаивала и фиксировал это. Без червя не удалось бы решить такую важную для математики и криптографии задачу, как нахождение множителя 1З-го числа Ферма. Для этого в фирме NeXT использовали простые рабочие станции. Червь, названный Zilla, инфицировал около 100рабочих станций этой фирмы, объединенных в есть, эквивалентную по производительности суперЭВМ. Червь использовал свободное машинное время. Задача поиска простого числа была разбита на отдельные сегментыи распределена между всемирабочими станциями.

Каждая из этих станций сообщала своему червю о решении своей части задачи и полученном результате. Главное преимущество такого подхода состояло в том, что работа, производимая червем практически ничего не стоила, так как использовалось свободное машинное время. Когда пользователь оставлял свою рабочую станцию больше чем на 10 минут, то червь Zilla переключал станцию на решение заданной ему задачи. При возвращении пользователя, как только он нажимал клавишу на своей станции, червь Zilla просил дать ему несколько секунд для выключения.

В отличие от червей вирусы не являются самостоятельной программой, а представляют собой как бы “наросты’’ на программе-хозяине, которые заражают другие программы и распространяются они преимущественно через копии программ на дискетах. Часть из них почти безвредны - один из ранних вирусов заявлял: “Хочу ЧУЧУ;’’ и блокировал компьютер до тех пор, пока пользователь не набирал “ЧУЧУ”. Вирусные инфекции компьютеров имеют давнюю историю. СССР официально заявил в конце 1988 года, что так называемые вирусы компьютера вторглись в системы по крайней мере пяти государственных учреждений, но советские ученые разработали путь выявлять известные вирусы и предотвращать наносимый ими ущерб. В августе 1988 года вирус инфицировал 80 компьютеров в Академии наук прежде, чем это было распознано. Появление вируса связывалось с занятиями групп советских и иностранных школьников, посещавших компьютерный класс. СССР утверждал, что разработана защитная система “Щит PC”, которая оградит советские компьютеры от любых вирусов. По утверждениям официальных лиц, эта защитная система не имела аналогов в мире, а принцип ее работы является государственной тайной.

В большинстве случаев вирусы пишутся начинающими программистами и содержат в своих текстах грубые ошибки, облегчающие дезинфекцию. Внимание к вирусам возникает спорадически, так в канун юбилея Микеланджело появился вирус, названный его именем, который в день торжества 6 марта 1992 года мог бы остановить десятки тысяч компьютеров по всему миру, уничтожив данные на их жестких дисках. Возможно, что благодаря широкой огласке в прессе, вирус Микеланджело поразил тогда лишь несколько сотен PC в США. Наиболее часто заражение вирусами наносится через игры. В Корнуэльском университете два студента написали вирус, который разрушил данные компьютеров аж в Калифорнии и Японии.Они инфицировали игры Obnoxious, трехмерный Tetris и Tetricycle. Вирус сначала появился в университете Стенфорда и распространился оттуда по всей стране. Вирус может быть как обычный, так и специально настроенный на проникновение в конкретную компьютерную систему и запущенный туда издалека.

“Вирусы - вызов для рынка, - сообщил Джон Эдварде, директор маркетинга компании Novell, которая заразила несколько тысяч своих пользователей вирусом Stone-111 через распространяемую по подписке техническую энциклопедию. - Но мы будем поддерживать на высоком уровне нашу бдительность”. В письме заказчикам компания сообщала, что Stone-111 вирус не будет распространяться по сетям и инфицировать другие файл-серверы. Stone-111 - “бутовый’’ вирус, который работает, проникая в специальную область на дискете, и тогда копирование ее в другой компьютер инфицирует как другой компьютер, так и другие дискеты. МакАфии, президент антивирусной компании, сообщил, что этот вирус может иногда калечить систему. Stone-111 сначала появился в Европе за три месяца до попадания в Новелл. Этот вирус - представитель класса программ известных как Stealth вирусы, потому что они хорошо прячут свое местоположение и их трудно выделить. Сейчас Novell применяет новые технологии установки программного обеспечения, чтобы сделать более трудным вторжение вирусов. В 1992 году компания лицензировала специальное программное обеспечение с цифровой подписью, которое сделало трудным для вирусов процесс распространения необнаруженными.

Тем не менее опасность поражения вирусами при соответствующей гигиене невелика. Похоже что фирмы, занятые продажей антивирусных программ в печати преувеличивают эту проблему. Более половины сетевых систем вообще никогда не подверглись инфекции, а вероятность поражениявирусом незащищенного изолированного компьютера менее 1% за год. Далее, даже в случае заражениялишь несколько процентов вирусов способны причинить ощутимый вред. Однако хотя проблемавирусов стоит далеко не на первом месте, она все же существует. Так фирма Rockwell International сообщала, что лишь одна атака вируса на ее сеть из 600 компьютеров с 9 файл-серверами обошласьей в $44000. Разговоры о чудесных аппаратных средствах против вирусов несодержательны, так как исследователи давно уже доказали, что компьютерный вирус может распространяться в любой операционной системе, независимо от того, защищено ли ее ядро аппаратно или нет.

Сканирование компьютера и дискет сейчас стало неэффективным из-за появления полиморфных вирусов типа Stealth, которые используют шифрование своих кодов, и вероятность обнаружения вирусов таким путем не превышает 50%. Однако случай с вирусом Сатанинский Жук, запущенным хакером по кличке Hacker4Life в госучрежаения США, показывает, что трагедий и в этом случае небудет - вирусологи за уикэнд справились с ним. Вообще-то, надежда на антивирусы и вакцины очень слабая - нужна гигиена внешних общений. Администраторов систем, полагающихся на мощные антивирусы и практикующих рискованные эксперименты с запуском программ сомнительного происхождения, можно сравнить с человеком, не побоявшимся приласкать бешенную собаку лишь на том основании, что в детстве ему сделали прививки.

Кардинально, раз и навсегда можно решить проблему борьбы с вирусами и несанкционированным копированием данных большого объема, если лишить рабочие станции возможности общаться с внешним миром - отключить гибкие диски и все порты. Будет еще лучше, если на них будут отсутствовать и винчестеры, а загрузка происходить с BOOT ROM.Отключение гибкого диска в этом случае осуществляется довольно просто даже логически в процедуре загрузки, и супервизор можетоставить привилегированным пользователям возможность обмена с дискетами.

Наиболее опасны при внедрении в систему программы типа троянского коня, потому что это почти всегда свидетельствует о нападении хакеров. Например, сети NASA, SPANet и CERN имели прекрасную репутацию,чистое прошлое и неплохие гарантии безопасности. Единственный их недостаток заключался в том, что они почили на лаврах и ослабили бдительность. Когда немецкие хакеры напали на эти сети то, чтобы остаться незамеченными, они запустили троянского коня. Три хакера были арестованы в Берлине, Гамбурге и Ганновере и обвинены в шпионаже на СССР. Они вторглись в научные и военные компьютеры, получили пароли, механизмы доступа, программы и передали эти данные КГБ. Сообщали, что они за это получили около ста тысяч марок ФРГ. Немецкая контрразведка заявила, что ожидала подобное, но удивлена, что это случилось так скоро И с такими большими результатами. Западная пресса тогда была занята оценкой - серьезнее ли ущерб от хакеров, чем от секретаря Вилли Брандта, купленного КГБ. Это были: Маркус Гесс из Гамбурга, Карл Кох из Ганновера по кличке Вилли хакер и Дирк Бзежинский из Берлина. Они использовали данный им КГБ идентификатор и соответствующий ему пароль. Карл Кох вероятно покончил жизнь самоубийством в 1989 году - его тело было найдено сожженным бензином в лесу под Ганновером. Он страдал от мании, считая, что инопланетяне хотят убить его.

В другом случае дискета, содержащая троянского коня, была отправлена по почте пользователям компьютеров по крайней мере четырех европейскихстран. Программа угрожала разрушить данные на компьютере, если пользователь не внесет плату за лицензию фиктивной компании в Панаме. Дискета была отправлена по почте от “PC Cyborg” подписчикам журналов по торговле персональными ком- пьютерами, очевидно, используя списки их рассылки. Диск профессионально упаковывался и сопровождается брошюрой, которая описывала его как “Помощь Вашему Диску“. Но будучи установленной в компьютере пользователя, дискета изменяла несколько системных файлов и записывала свои секретные программы, которые позже уничтожали данные с винчестера. Соглашение лицензирования, которое сопровождало дискету, содержало угрожающую информацию: “В случае Вашего нарушения этой лицензии, PC Cyborg сохраняет право выполнить любое законное действие, чтобы возместить ущерб любым неоплаченным долгам кор- порации и использовать механизмы программы, гарантирующие завершение Вашего использования этих программ на Вашем компьютере“. Когда троянский конь инфицировал компьютер, то помещал на экране сообщение, предлагающее во избежание неприятностей послать $387 по адресу в Панаме.

Не нужно думать, что троянские кони - всегда сложные программы, Так, на компьютере с установленным драйвером ANSI троянским конем может стать даже текстовый файл с содержимым всего в одну строку:

ESC[13;’’WIPEINFO C: /s /BATCH’’;13;p

Будучи скопирован на экран, этот файл вызовет перепрограммирование нажатия клавиши Enter на смывание всех данных с диска С. Поэтому нужно быть очень осторожным с файлами практически любого расширения, а не только СОМ и ЕХЕ. Как пример можно привести уж очень специфический вирус, живущий в текстовых файлах Word for Windows. В ранних версиях он был довольно безобидным лишь, заявляя время от времени о своем существовании, а теперь приобрел еще и наклонности террориста.

Атака на пароль

Воровство паролей доступа к компьютеру, конечно же преступление. Однако большинство людей и особенно деловых настолько небрежны с ключами, что доказать потом именно воровство, а не передачу, невозможно. Потеряв $82000 из-за незаконных обращений по телефону вследствие кражи пароля, одна компания США “просто’’ сменила все 800 своих телефонных номеров и переопределила тысячи паролей доступа пользователей.

Определенные типы связанного с компьютерами мошенничества, типа вхождения в базы данных платежной ведомости или банковских счетов, при подборе хакером пароля могут быть блокированы созданием ложных клиентов или призраков. Если кто-то войдет в систему под идентификатором призрака, то это означает, что либо произошли грубая ошибка, либо вмешательство хакера. Не поленитесь в любой системе сделать длинный ряд таких призраков: BOOKKEEPER, CHIEF, DIRECTOR, ENGINEER, GUEST, MANAGER,MASTER, PRESIDENT, SYSTEM и, конечно же, SUPERVISOR. В процедуры загрузки призраков вставьте оповещение по тревоге, блокировку клавиатуры и выгрузку врага с выдачей ему сообщения: “Sorry! Backup process now. Please, call us 20 min late.” Останется лишь обратиться к службе безопасности, чтобы дальше нежелательным визитером занялись они, это уже их дело.

Подбор паролей ведется хакером строго закономерно. В одном из 20 случаев пользователь вместо пароля вводит: свое имя, название своей компании, свои инициалы, год рождения, номер служебного или домашнего телефона, номер своей автомашины и прочую ерунду. У ряда пользователей есть особенность набирать в виде пароля славянское имя на английском регистре. Пользователи, имеющие хобби, вводят пароли из интересующей их области - названия вокальных групп, по- род собак и спортивные термины. Пользователи системы всегда будут предлагать пароли, которые легки для запоминания. Например, если “Белый ветер” - название фирмы пользователя, то хакер мог бы пробовать WHITE, WIND, WHITEWIND или WWIND как пароли. Если хакеру известно, что бухгалтер в ‘Белом ветре’’ Иван Углов, то он вводил бы IVAN,VANY, UGLOV или IVAN- UGLOV как пароли. При анализе списка пароля наблюдались такие общеизвестные факты: четверть паролей были женские или мужские имена, страны, исторические лица, города или блюда (это в Италии) и лишь каждый двадцатый пароль был такого характера, чтобы его нелегко было разгадать. Вспомните заводской пароль BIOS фирмы АМ1 - конечно же АМ1, а у Norton Utilites - бесспорно NORTON!

Если ничто не помогает, хакер может воспользоваться 240 стандартными паролями адаптированными к условиям России. Обнаружив такое имя, администратор системы должен заставить пользователя сменить его. Теперь сделаем выводы. Охрану коммуникаций обсудим позже, а вот правила длявыбора пароля должны быть следующие:

· Пароль должен быть неожиданным, а лучше - случайным.

· Если пароль продумывает пользователь, то пусть он хотя бы будет длинным - не менее 12 символов.

· В больших организациях при уходе служащего в отпуск не ленитесь блокировать его доступ в систему до возвращения.

· Когда чувствуют хоть малейшую опасность, изменяют все пароли, а не только пароли, вовлеченные в инцидент.

· Убедите пользователей не использовать один и тот же пароль в нескольких системах одновременно! Хакерымогут коварно воспользоваться этим.

· Заводите пароли призраки, являющиеся западнями для хакеров.

Считается, что алфавитно-цифровой ключ должен состоять как минимумиз 7 знаков, то есть около 20 бит информации, иначе вскрытие шифра предельно просто. Класс символов, составляющих ключ должен быть как можно более представительным, включая в себя буквы, цифры, знаки препинания и псевдографику. Так, если в ключ из 6 символов входят только прописные русские буквы, образующие осмысленное слово, то вряд ли число ключей будет больше 20000 и перебор прост. Если же орфографическая правильность и постоянство регистра не требуется, то, счет допустимых ключей пойдет уже на миллионы. В принципе, можно использовать отрывки из книг, беря каждую третью букву, начиная с определенного места или комбинируя два слова как ГОРОДparis.

Хорошие результаты дает использование двух типов ключей: текущего, для входа в систему или шифрования текста, и основного, для шифрования ключейи паролей. Основной ключ, которым шифруют ключи, должен быть очень надежен и используется на протяжении определенного времени - от одного месяца до года. Им шифруют текущий ключ из 30-40 случайных байт. Текущим ключом шифруют сообщениеи посылают эту шифровкуполучателю вместе с шифровкой текущего ключа, сделанной по основному ключу. Такая техника длительное время употреблялась в отечественной криптографии. Она также необходима при пересылке и хранении ключей, потому что даже надежному курьеру или самой защищенной системе вряд ли стоит доверять открытый текст ключей и паролей. Ключ для шифрования ключей еще называют главным или master key. Основной ключ в классических системах шифрования вскрыть из шифровки практически невозможно, так как в сообщении отсутствует избыточность, которая является основной помощницей криптоаналитика. Все рассказанное не снимает вопроса о получении основных ключей - крайне желательно, чтобы все символы в них были бы независимыми. Ключи лучше всего получать с помощью той же системы засекречивания случайным набором с клавиатуры сначала файла ASCII, а затем максимально длинного ключа. Фрагмент шифровки и будет представлять собой хороший ключ, если у нее выбросить стандартный заголовок, специфичный для каждой системы.

Наиболее опасна атака на пароль супервизора. Большинство сетевиков наслышано о программе, основанной на “дупле’ в Novell 3.11, когда за счет посылки сообщения с адресом станц

Наши рекомендации