Принципиальные недостатки защитных механизмов ОС семейства Windows (NT/2000/XP).

Прежде всего рассмотрим принципиальные недостатки защиты ОС семейства Windows, напрямую связанные с возможностью НСД к информации. При этом в отличие от ОС семейства Unix в ОС Windows невозможна в общем случае реализация централизованной схемы администрирования механизмов защиты или соответствующих формализованных требований. Вспомним, что в ОС Unix это распространялось лишь на запуск процессов. Связано это с тем, что в ОС Windows принята иная концепция реализации разграничительной политики доступа к ресурсам (для NTFS).

В рамках этой концепции разграничения для файла приоритетнее, чем для каталога, а в общем случае – разграничения для включаемого файлового объекта приоритетнее, чем для включающего. Это приводит к тому, что пользователь, создавая файл и являясь его "владельцем", может назначить любые атрибуты доступа к такому файлу (т.е. разрешить к нему доступ любому иному пользователю). Обратиться к этому файлу может пользователь (которому назначил права доступа "владелец") вне зависимости от установленных администратором атрибутов доступа на каталог, в котором пользователь создает файл. Данная проблема непосредственно связана с реализуемой в ОС Windows концепцией защиты информации.

Далее, в ОС семейства Windows (NT/2000/XP) не в полном объеме реализуется дискреционная модель доступа, в частности, не могут разграничиваться права доступа для пользователя "Система". В ОС присутствуют не только пользовательские, но и системные процессы, которые запускаются непосредственно системой. При этом доступ системных процессов не может быть разграничен. Соответственно, все запускаемые системные процессы имеют неограниченный доступ к защищаемым ресурсам. С этим недостатком системы защиты связано множество атак, в частности, несанкционированный запуск собственного процесса с правами системного. Кстати, это возможно и вследствие некорректной реализации механизма обеспечения замкнутости программной среды.

В ОС семейства Windows (NT/2000/XP) невозможно в общем случае обеспечить замкнутость (или целостность) программной среды. Это связано совершено с иными проблемами, чем в ОС семейства Unix, в которых невозможно установить атрибут "исполнение" на каталог. Для выяснения сложности данного вопроса рассмотрим два способа, которыми в общем случае можно реализовать данный механизм, причем оба способа несостоятельны. Итак, механизм замкнутости программной среды в общем случае может быть обеспечен:

− заданием списка разрешенных к запуску процессов с предоставлением возможности пользователям запускать процессы только из этого списка. При этом процессы задаются полнопутевыми именами, причем средствами разграничения доступа обеспечивается невозможность их модернизации пользователем. Данный подход просто не реализуется встроенными в ОС механизмами;

− разрешением запуска пользователями программ только из заданных каталогов при невозможности модернизации этих каталогов. Одним из условий корректной реализации данного подхода является запрет пользователям запуска программ иначе, чем из соответствующих каталогов. Некорректность реализации ОС Windows данного подхода связана с невозможностью установки атрибута "исполнение" на устройства ввода (дисковод или CD-ROM). В связи с этим при разграничении доступа пользователь может запустить несанкционированную программу с дискеты, либо с диска CD-ROM (очень распространенная атака на ОС данного семейства).

Здесь же стоит отметить, что с точки зрения обеспечения замкнутости программной среды [т.е. реализации механизма, обеспечивающего возможность пользователям запускать только санкционированные процессы (программы)] действия пользователя по запуску процесса могут быть как явными, так и скрытыми. Явные действия предполагают запуск процессов (исполняемых файлов), которые однозначно идентифицируются своим именем. Скрытые действия позволяют осуществлять встроенные в приложения интерпретаторы команд. Примером таковых могут служить офисные приложения. При этом скрытыми действиями пользователя будет запуск макроса.

В данном случае идентификации подлежит лишь собственно приложение, например, процесс winword.exe. При этом он может помимо своих регламентированных действий выполнять те скрытые действия, которые задаются макросом (соответственно, те, которые допускаются интерпретатором), хранящимся в открываемом документе. То же относится и к любой виртуальной машине, содержащей встроенный интерпретатор команд. При этом отметим, что при использовании приложений, имеющих встроенные интерпретаторы команд (в том числе офисных приложений), не в полном объеме обеспечивается выполнение требования по идентификации программ.

Возвращаясь к обсуждению недостатков, отметим, что в ОС семейства Windows (NT/2000/XP) невозможно встроенными средствами гарантированно удалять остаточную информацию. В системе просто отсутствуют соответствующие механизмы.

Кроме того, ОС семейства Windows (NT/2000/XP) не обладают в полном объеме возможностью контроля целостности файловой системы. Встроенные механизмы системы позволяют контролировать только собственные системные файлы, не обеспечивая контроль целостности файлов пользователя. Кроме того, они не решают важнейшую задачу данных механизмов

– контроль целостности программ (приложений) перед их запуском, контроль файлов данных пользователя и др.

Что касается регистрации (аудита), то в ОС семейства Windows (NT/2000/XP) не обеспечивается регистрация выдачи документов на "твердую копию", а также некоторые другие требования к регистрации событий. Опять же, если трактовать требования к управлению доступом в общем случае, то при защите компьютера в составе ЛВС необходимо управление доступом к узлам сети (распределенный пакетный фильтр). В ОС семейства Windows (NT/2000/XP) механизм управления доступа к узлам в полном объеме не реализуется. Что касается разделяемых сетевых ресурсов, то фильтрации подвергается только входящий доступ к разделяемому ресурсу, а запрос доступа на компьютере, с которого он осуществляется, фильтрации не подлежит. Это принципиально, так как не могут подлежать фильтрации приложения, которыми пользователь осуществляет доступ к разделяемым ресурсам. Благодаря этому, очень распространенными являются атаки на протокол NETBIOS.

Кроме того, в полном объеме управлять доступом к разделяемым ресурсам возможно только при установленной на всех компьютерах ЛВС файловой системы NTFS. В противном случае невозможно запретить запуск несанкционированной программы с удаленного компьютера, т.е. обеспечить замкнутость программной среды в этой части.

Из приведенного анализа можно видеть, что многие механизмы, необходимые с точки зрения выполнения формализованных требований, ОС семейства Windows не реализуют в принципе, либо реализуют лишь частично.

С учетом сказанного можем сделать важный вывод относительно того, что большинством современных универсальных ОС не выполняются в полном объеме требования к защите АС по классу 1Г. Это значит, что, учитывая требования нормативных документов, они не могут без использования добавочных средств защиты применяться для защиты даже конфиденциальной информации. При этом следует отметить, что основные проблемы защиты здесь вызваны не невыполнимостью ОС требований к отдельным механизмам защиты, а принципиальными причинами, обусловленными реализуемой в ОС концепцией защиты. Концепция эта основана на реализации распределенной схемы администрирования механизмов защиты, что само по себе является невыполнением формализованных требований к основным механизмам защиты.

Социальная инженерия

Поскольку в связке человек – компьютер именно человек является наиболее уязвимой частью, нельзя не отметить такой тип атак как социальная инженерия. Атака на пользователя самый простой метод получения необходимых данных. Ниже приведены примеры таких атак.

Примеры атак на пользователя

Заказ 1: ICQ

Заказчик Куваев (здесь и далее фамилии и информация, позволяющая

идентифицировать фамилии, изменены) - сотрудник крупнооптовой

фирмы-импортера компьютерных комплектующих, работает старшим

менеджером по закупкам в крупной компании Вологды.

Традиционно большая часть переговоров Куваева с партнерами происходит по ICQ.

Руководство фирмы прочитало в газете "Известия", что программа ICQ -

ненадежная. Учитывая, что список компаний, у которых

закупается товар, есть информация конфиденциальная, цены и объемы

закупок - средне-конфиденциальная, а из фирмы недавно со скандалом

ушел один из ключевых сотрудников, руководство решило провести аудит

компьютерной безопасности.

Перед экспертом был поставлен вопрос: что может сделать враг с бюджетом в $500?

Изучение ситуации показало, что ICQ-номер Куваева зарегистрирован

больше семи лет назад. При регистрации нужно было указывать

e-mail-адрес. Вероятно, в тот момент у Куваева не было e-mail-адреса

или он не хотел его давать, - так или иначе, был указан адрес

[email protected]. Предположительно, Куваев набрал на

клавиатуре случайную последовательность символов, выглядящую как

e-mail-адрес (даже доменного имени asdfsdfs.com не существовало).

Атака состояла в регистрации доменного имени asdfsdfs.com, создании в

домене компьютера lkjlkj.asdfsdfs.com и заведении на нем пользователя

qwert; после этого в фирму Mirabilis (владельцы системы ICQ) была

направлена просьба выслать якобы утраченный пароль на адрес, указанный

при регистрации, что и было выполнено.

Зная пароль, можно его сменить (то есть сделать невозможным

пользование данным номером для легального адресата), а можно и

получать всю текущую информацию от многочисленных поставщиков.

Если бы атака была проведена врагом, как подсказал нам Куваев, враг

мог уведомлять соединяющихся по ICQ поставщиков об изменении адреса

склада в Вологде и просить их срочно перенаправить поток грузов по

новому адресу. Учитывая объемы поставок и принятую в этом бизнесе

оплату с отсрочкой 60 суток после получения товара, враг мог неплохо

поживиться и создать немало проблем организации, в которой работает

Куваев~

Демонстрация уязвимости была осуществлена за двое суток, расходы по

осуществленному пути составили $150. В Вологде есть несколько организаций, способных осуществить такую атаку (Здесь и далее формулировки взяты из официальных отчетов).

Заказ 2: Кража информации из замкнутого помещения

Специфика работы заказчика была такова, что клиенты в офис не

приходили, а деятельность в целом носила сугубо конфиденциальный

характер. Перед аудитором был поставлен вопрос: может ли враг,

располагающий суммой в $1500, украсть какие-либо данные. Персонал

заказчика о мероприятиях уведомлен не был.

Изучение ситуации показало, что физическая защищенность офиса

исключает проникновение посторонних лиц; подкуп сотрудников тоже был

маловероятен, благодаря специфике их подбора по национальному признаку

и личной преданности заказчику.

Удачной оказалась следующая атака:

Наружное наблюдение позволило предположить, что системный

администратор заказчика Чхеидзе увлекается мексиканскими народными

песнями. Это было подтверждено осмотром открытых форумов Рунета, где

Чхеидзе размещал сообщения по данной теме под своей фамилией.

Сообщения Чхеидзе в форумах были проанализированы. Выяснилось, что он

разочарован имеющимися в Рунете музыкальными серверами, уделяющими

недостаточное, на его взгляд, внимание песням народов Мексики.

Был создан русский сайт, полностью посвященный мексиканским песням

(усилиями внешнего специалиста была переведена часть известного

испаноязычного сайта, а также сделаны два изменения, соответствующие

критике Чхеидзе в адрес существующих сайтов).

На Чхеидзе была осуществлена социальная атака - плакат с рекламой

сайта был трижды опущен ему в почтовый ящик, повешен на дверь

подъезда, положен под дворник лобового стекла машины, ему был послан

спам с рекламой сайта. Аналогичные меры были предприняты в отношении

девушки, которая, как предполагалось, имела виды на Чхеидзе.

Чхеидзе с рабочего компьютера зашел на созданный под него сайт.

Основной удар планировался по линии продажи ему, как "первому

правильно ответившему на все три вопроса", за $20 слегка

модифицированного "фирменного" диска, которого в продаже в России не

было и о цене которого в США ($110) Чхеидзе не раз сожалел в форумах.

Но аудитору повезло - удалось обойтись более простыми средствами. На

рабочем компьютере Чхеидзе был установлен Internet Explorer 5.01, хоть

и с SP1, но без заплатки Q275609. Поэтому, пока Чхеидзе наслаждался

музыкой и переписывал с сайта файлы, сайт переписал несколько файлов с

сетевых дисков заказчика.

Показательна реакция руководства на демонстрацию распечаток файлов -

побледневший начальник, не дожидаясь объяснений, позвонил в службу

безопасности и потребовал организовать полную сверку журналов

входа/выхода сотрудников с видеозаписью.

Демонстрация уязвимости была осуществлена за девять суток, прямые

расходы по осуществленному пути составили $1200. В Вологде есть

организации, способные осуществить такую атаку.

Заказ 3: Враждебный клиент

Заказчик Петренко - работающий индивидуально консультант по таможенным

вопросам. Важную информацию к клиентам и от них он, не доверяя

Интернету, переносил в наручных часах, в которые было встроено

устройство с энергонезависимой flash-памятью и USB-интерфейсом (далее

- флэшка). Данные на флэшке - сугубо конфиденциальны. Содержимое

шифровалось идущим в комплекте с флэшкой программным обеспечением.

Перед экспертом был поставлен вопрос: насколько такой способ

гарантирует сокрытие данных в случае потери или физического изъятия

флэшки при бюджете врага $1000?

Изучение ситуации показало, что Петренко неправильно оценивает слабое

место в системе.

К одному из своих клиентов Петренко сел в машину, благодаря чему

выяснилось, что клиента зовут Вахитов Сергей Рустемович.

Заказчику позвонил сотрудник эксперта Дятлов, которого Петренко не

знал в лицо. Он представился живущим в Норильске другом Сережи

Вахитова, который якобы дал Дятлову телефон Петренко и посоветовал

обсудить с ним свои таможенные проблемы. Дятлов рассказал выдуманную

проблему с таможней, подобранную внешним специалистом по просьбе

эксперта так, чтобы на ее решении консультант мог немало заработать и

получить постоянного клиента. Не проверяя контакта у Вахитова,

Петренко выехал к Дятлову в гостиницу, вставил в ноутбук Дятлова свою

флэшку и ввел свой пароль. После этого Дятлов, изображая плохое

владение встроенной в ноутбук мышью, не торопясь переписал свой файл

Петренко. В это время ноутбук Дятлова скопировал с флэшки вообще все

файлы.

На следующий день ничего не подозревающему Петренко были предъявлены и

пароль, и все его файлы. Удивленный, он лишь огорченно вымолвил: "Черт

возьми, я так и думал, что она не просто так на ночь старалась

остаться. Но как ей удалось открыть сейф?!"

Демонстрация уязвимости была осуществлена за шесть суток, прямые

расходы по осуществленному пути составили $800. В Вологде есть организации, способных осуществить такую атаку.

Заказ 4: Куда уходит Интернет?

Заказчик Левитов - руководитель фирмы, занимающейся финансовыми

консультациями. Перед экспертом был поставлен общий вопрос о слабых

местах в компьютерной безопасности фирмы. Сотрудники Левитова были

уведомлены о предстоящей экспертизе.

Исследование показало, что в здании используются устаревшие

радиотелефоны, что дает возможность врагу, находясь в пределах

досягаемости базы радиотелефона (например, в этом же здании, но на

другом этаже), позвонить с трубки-двойника по номеру 02 и сообщить о

заложенной на вокзале бомбе. При этом милиция определит, что звонок

произошел с номера организации Левитова, что прервет нормальную работу

на некоторое время.

Также исследование показало, что один из компьютеров без ведома

Левитова использовался в качестве сервера для хранения и

распространения фотографий и видеозаписей порнографического

содержания. Кто именно организовал порносервер, выяснить не удалось,

но счета за Интернет оплачивал Левитов.

Заказ 5: Что русскому хорошо, то немцу смерть

Российская компания, обслуживавшая компьютерный парк крупного

корпоративного клиента, использовала программный комплекс

автоматизации предприятий, поставляемый одной из ведущих немецких

софтверных фирм. Руководство компании обдумывало поступившее от

немецкой стороны предложение стать их эксклюзивными представителями на

территории Вологодской области , дававшее возможность

выйти с этими продуктами на рынок других корпоративных клиентов. План

предусматривал значительные затраты как в виде платежей немецкой

стороне, так и в виде вложений в России. Руководство компании

поставило перед экспертом вопрос: верно ли утверждение немецкой

стороны о невозможности взлома защиты данной программы и записи ее на

пиратский CD?

Бюджет врага был оставлен на усмотрение эксперта и задан как "типичный

для пирата".

Исследование показало, что уровень цен на базовый модуль САПР данной

фирмы в Германии составляет около 15000 евро (лицензия на десять

пользователей), и каждый дополнительный модуль стоит от 700 до 4000

евро. Для домашнего пользователя программа интереса не представляет.

Отсюда был сделан вывод о малой вероятности попадания программы к

пиратам путем ее закупки и взлома легальной версии. Однако вероятным

является приобретение крупной компанией лицензии на десять

пользователей, взлом защиты усилиями своих или сторонних специалистов

и установка программы внутри компании на значительное число

компьютеров. После этого при неблагоприятном стечении обстоятельств

можно ожидать появления взломанного дистрибутива и у пиратов.

Исходя из этого, бюджет проекта был оценен в $2000.

Изучение предоставленного заказчиком дистрибутива показало, что для

защиты используется комплекс, состоящий из двух частей: программной

защиты, сделанной специалистами фирмы-разработчика, и ключа HASP фирмы

Aladdin для LPT-порта. Как известно, некий хакер из Санкт-Петербурга

еще в 2000 году написал низкоуровневый драйвер ключа HASP, который

устанавливается на место стандартного драйвера и самостоятельно

обрабатывает вызовы к ключу. Однако фирма-разработчик либо не знала об

этом, либо не сочла возможным приобрести новую версию HASP (для

которой общеизвестного пути взлома по состоянию на сегодняшний день

нет).

Изучение программной защиты, написанной специалистами

фирмы-разрабочика, показало, что она заключается в привязке к

MAC-адресу сетевой карты (MAC-адрес представляет собой уникальный

шестнадцатеричный серийный номер, назначаемый каждому сетевому

устройству Ethernet для идентификации его в сети, например

12:34:56:78:90:AB). Атака на эту защиту состояла в установке второй

сетевой карты, в которой можно изменять MAC-адрес (такие, вопреки

стандарту и общественному мнению, существуют).

Таким образом, было выяснено, что при наличии дистрибутива данной

программы и одного HASP-ключа ее можно инсталлировать на любое

количество компьютеров. Поточные расходы состоят в установке в каждый

из компьютеров дополнительной сетевой карты стоимостью $10 (при

инсталляции клиент-серверной версии дополнительную карту нужно

вставлять только в сервер). Эмулятор ключа можно записать на CD (то

есть можно изготовить дистрибутив, позволяющий инсталлировать

программу без оригинального носителя и без доступа к ключу HASP).

Демонстрация уязвимости была осуществлена за пять суток, прямые

расходы по осуществленному пути составили $500.

Заказ 6: Подмена системного администратора

Заказчик - частная организация, созданная на базе существовавшей в

СССР государственной структуры и участвующая в конкурсах на выполнение

госзаказа.

Перед экспертом был поставлен вопрос о том, может ли враг получить

доступ к материалам конкурсной заявки при бюджете в $5000.

Исследование показало, что здание, в котором расположена структура, по

старой памяти охраняется вооруженными часовыми и войти в него

непросто. Подкупить рядового сотрудника можно, но доступ к материалам

заявки есть лишь у высокопоставленных должностных лиц, причем точный

их список выяснить не удалось.

Оказалось, что здание имеет два выхода в Интернет, но используются они

не как основной и резервный, а параллельно (некоторые отделы

пользуются одним провайдером, остальные - другим). Роутинг был

настроен так, что с пятого этажа на седьмой письма шли не по

внутренней сети, а через провайдеров (и, более того, через США - но

это уже проблема провайдеров). Один из провайдеров был небольшой

организацией.

Атака была произведена следующим образом: Преснякова, сисадмина

мелкого провайдера, переманили на другую работу (представитель

дружественной организации написал ему письмо с хвалебным комментарием

статьи последнего в журнале "Connect", завязалась переписка, в

результате которой Преснякову предложили такую зарплату, от которой

невозможно отказаться). Руководство провайдерской компании срочно

стало искать нового сисадмина, в частности, дав об этом объявление на

"http://www.region35.ru/job"

К ним пришел на беседу человек, которого было невозможно не

взять, особенно с учетом его склонности получать удовольствие от

решения проблем, а не от большой зарплаты.

Спустя сутки "засланный казачок" наладил копирование всей внутренней

почты, идущей, как вы помните, через провайдера. Полного текста

искомой заявки в e-mail-ах не оказалось, но нашлись ее существенные

куски. Попутно обнаружились:

два факта воровства;

шантаж одного сотрудника другим;

не известный руководству факт болезни ребенка одного из важных

сотрудников (ребенку была нужна операция, которую делают в Израиле за

$60000, а сотрудник имел право подписывать финансовые документы);

фотография сотрудницы, использующей рабочее место для осуществления

неподобающего поведения по отношению к неустановленному мужчине.

Демонстрация уязвимости была осуществлена за восемнадцать суток.

Прямые расходы по осуществленному пути составили $4800.

Заказ 7: Ловля на живца

Заказчик – преподаватель одного из ВУЗов, стал получать письма угрожающего содержания. Перед экспертом была поставлена задача, определить личность человека, рассылающего письма с бюджетов в 300$.

Анализ показал, что письма отправлялись с анонимного почтового сервера mail.rambler.ru. После переписки с администрацией сайта были получены IP адреса, откуда производилось подключение к данному почтовому ящику.

Как оказалось, подключения производились с нескольких анонимных прокси – серверов, но сам почтовый ящик содержал инструкцию на пересылку всей почты на другой почтовый ящик на www.mail.ru. На www.mail.ru очевидно содержался сборный почтовый ящик. Сделав запрос в поисковых системах по адресу этого почтового ящика, были определены два форума, где он бывал довольно часто. Был определен его ник «destroy». На форумах он участвовал в конференциях, посвященных наладонным компьютерам и не однократно высказывал желание купить одну из моделей фирмы HP.

Атака была произведена следующим образом.

На www.by.ru была создана страничка несуществующей фирмы в городе Санкт–Петербурге, проводящей акцию, призом которой являлась интересующая человека модель наладонника. В ходе акции нужно было ответить на три простых вопроса и заполнить бланк участника. На форумах, которые посещал данный человек, была распространена реклама. Такая - же реклама была брошена в его почтовый ящик на mail.ru. Скрипт на страничке-ловушки, отсеивал все запросы, кроме тех на которых был указан город Вологда и IP Вологодской области и анонимных прокси – серверов.

Через несколько дней были получены полные данные по этому человеку, включая адрес и его домашний телефон. Им оказался племянник преподавателя. Осмотр его домашнего компьютера полностью подтвердил факт рассылки писем.

Прямые расходы на поиск составили 30$.