Несанкционированное получение информации из АС

Рассмотрим наиболее распространенные методы и средства для несанкционированного получения информации из автоматизированных систем (АС). Сегодня эти методы и средства в связи с широким распространением ПЭВМ, взаимодействующих через локальные и глобальные сети, приобрели такую популярность, что нередко само понятие “защита информации” применяется исключительно в смысле защиты информации, обрабатываемой в АС, от утечки через компьютерные сети. Некоторые специалисты по ЗИ склонны выделять утечку информации через компьютерные сети в отдельный канал, равноценный другим техническим каналам утечки информации. Однако, в отличие от таких технических каналов, как радиоканал или акустический канал, утечка информации из АС по компьютерной сети является следствием не побочных, нежелательных процессов, вызванных конструктивными особенностями аппаратных средств и не учтенных разработчиками, а основных, штатных процессов, выполняющихся в АС в соответствии с замыслом разработчиков.

Конечно, в определенном смысле утечка информации по компьютерным сетям также возникает вследствие несовершенства программно-аппаратных решений, реализованных в АС. Но, тем не менее, пользуясь подобными изъянами в архитектуре АС, злоумышленник все же использует ее ресурсы и процессы по прямому назначению.

Например, дисплей ПЭВМ конструируется для отображения информации. Пользуясь побочными процессами, возникающими во время работы дисплея (ПЭМИН), злоумышленник может восстановить информацию, отображаемую на экране дисплея. В таких случаях можно говорить о наличии технического канала утечки информации. Но представим ситуацию, в которой этот же злоумышленник каким-либо образом получает доступ в помещение, в котором работает легальный пользователь (например, выдав себя за контролирующее лицо), и, встав за спиной пользователя, ознакамливается с той же информацией, что и в первом случае. Понятно, что в подобной ситуации нельзя говорить о техническом канале утечки информации, поскольку техническое средство (дисплей) используется злоумышленником по прямому назначению. Если же злоумышленник получает удаленный доступ к компьютеру пользователя по сети, то действия злоумышленника после получения такого доступа очень сходны с действиями при получении непосредственного доступа, например, когда легальный пользователь отлучился от рабочего места.

Таким образом, выделение явлений, приводящих к утечке информации из АС (в частности, по компьютерным сетям) в отдельную группу, образующую самостоятельный технический канал утечки информации, вряд ли оправдано. Скорее, подобные явления можно классифицировать как специфическую разновидность явлений, приводящих к возникновению материально-вещественного канала утечки информации.

Действительно, независимо от методов и средств, используемых злоумышленниками для несанкционированного получения информации из АС, в результате всегда на тех или иных носителях, находящихся в распоряжении злоумышленников, возникают электромагнитные поля, совокупность которых представляет собой полученную ими информацию. С технической и юридической точки зрения эта информация представляет собой точную копию исходной информации, в подавляющем большинстве случаев неотличимую от оригинала. В определенных ситуациях, когда у злоумышленника имеется физический доступ к АС, для получения такого же результат он может просто прибегнуть к хищению носителей информации (например, жесткого диска). Юридические последствия из-за хищения собственно носителя могут быть весьма малыми, учитывая неуклонную тенденцию к снижению стоимости аппаратных средств современных ЭВМ, чего нельзя сказать о юридических последствиях, которые могут возникнуть из-за хищения записанной на носителе информации.

Все вышесказанное позволяет сделать вывод о том, что явления, приводящие к утечке информации из АС из-за несовершенства программно-аппаратных решений, можно с некоторыми допущениями отнести к материально-вещественному каналу. Однако, строго говоря, корректнее их относить к современной разновидности тайного физического проникновения (ТФП), т.е. не к техническим, а к агентурным методам добывания информации. В частности, злоумышленники, пытающиеся получить доступ к АС, нередко прибегают к так называемому социальному инжинирингу (social engineering). Социальный инжиниринг — это использование психологии для скрытного добывания критичной с точки зрения доступа к АС информации (как правило — паролей, имен, кодов доступа и т.п.) у ее носителей. “Могущество” таких хакеров, как Кевин Митник и Роско, заключается не только и не столько в их технической подготовке, сколько в использовании методов социального инжиниринга.

Персонал, наряду с аппаратными средствами, программным обеспечением, данными и документацией является, по определению, составной частью любой АС. Однако рассмотрение всей совокупности вопросов, связанных с добыванием информации путем социального инжиниринга, далеко выходит за рамки данной книги. Поэтому, учитывая остроту проблемы несанкционированного получения информации из АС, мы ограничимся лишь обзорным описанием технической стороны этой проблемы, не затрагивая ее гуманитарной составляющей.

Классификация

Методы и средства несанкционированного получения информации из АС можно классифицировать, исходя из разных признаков: по виду доступа, по уровню доступа, по характеру действий злоумышленника, по многократности доступа, по направленности действий злоумышленника, по тяжести последствий (рис. 13.1).

По виду доступа все методы и средства можно разделить на две большие группы. К первой группе относятся методы и средства, используемые при локальном (физическом) доступе к АС, а ко второй — методы и средства, используемые при удаленном доступе (по компьютерной сети). Как правило, любая, даже самая надежная АС при наличии у злоумышленника локального доступа, достаточных сил и средств и достаточного времени, не сможет обеспечить сохранности информации. При удаленном доступе АС может быть достаточно надежно защищена, но, с другой стороны, абсолютной безопасности АС, имеющей физическое подключение к сетям передачи данных, гарантировать также нельзя.

По уровню доступа методы и средства несанкционированного получения информации обычно разделяют на методы и средства гостевого, пользовательского, административного, системного и неограниченного уровня. Во многих современных операционных системах имеются встроенные учетные записи, предоставляющие их владельцами гостевой (Guest в системах Windows NT/2000/XP), административный (Administrator в Windows NT/2000/XP, root в Unix-системах), системный (SYSTEM в Windows 2000/XP) или неограниченный (администратор предприятия в Windows 2000/XP) доступ. При создании дополнительных учетных записей в большинстве современных операционных систем можно указать любой уровень доступа, но изменить его для встроенных учетных записей зачастую невозможно.

По характеру действий злоумышленника используемые им методы и средства могут быть направлены на копирование, модификацию, уничтожение или внедрение информации. В последнем случае проявляется особенность АС, отсутствующая у традиционных средств накопления информации, связанная с тем, что в АС хранятся не только данные, но и программные средства, обеспечивающие их обработку и обмен информацией. Эта особенность интенсивно используется злоумышленниками, которые часто стремятся получить доступ к той или иной АС не ради несанкционированного доступа к хранящейся в ней информации, а для внедрения программной закладки, т.е. для несанкционированного создания в АС новой информации, представляющей собой активный компонент самой АС, либо для скрытного хранения собственной информации без ведома владельца АС.

Рис. 13.1. Классификация методов и средств несанкционированного
получения информации из АС

По многократности доступа выделяют методы и средства, направленные на разовое получение несанкционированного доступа и многократное. В первом случае задача предупреждения несанкционированных действий злоумышленника значительно осложняется, однако часто, поскольку последний не заботится о сокрытии факта таких действий, несколько облегчается задача выявления таких действий. Во втором случае задача предупреждения упрощается, но усложняется задача выявления, поскольку основное внимание злоумышленник, планирующий многократно проникать в АС, сосредотачивает на сокрытии всех признаков такого проникновения.

По направленности действий злоумышленника методы и средства несанкционированного получения информации из АС подразделяются на методы и средства, направленные на получение системной информации (файлы паролей, ключей шифрования, перечни учетных записей, схемы распределения сетевых адресов и т.п.) и собственно прикладной информации. Многих злоумышленников, проникающих в АС, подключенные к глобальным сетям, вообще не интересует хранящаяся в этих АС прикладная информация или интересует лишь в той степени, в какой она позволяет получить доступ к системной информации. Обычно такие злоумышленники используют подобные АС либо в качестве промежуточных узлов для проникновения в другие АС, либо для несанкционированного хранения собственной информации.

По тяжести последствий используемые злоумышленниками методы и средства несанкционированного получения информации можно разделить на неопасные (сканирование портов, попытки установления соединений и т.п.), потенциально опасные (получение доступа к содержимому подсистем хранения данных, попытки подбора паролей и т.п.), опасные (получение доступа с высоким уровнем полномочий, модификация информации в АС, копирование системной и прикладной информации, создание собственной информации и т.п.) и чрезвычайно опасные (уничтожение информации, блокирование доступа легальных пользователей к АС и т.п.).

Локальный доступ

Как уже отмечалось, при наличии у злоумышленника локального доступа к АС и благоприятной для него обстановки он сможет обойти практически любую защиту. Для того чтобы значительно снизить шансы злоумышленника, имеющего локальный доступ к интересующей его АС, необходимо предпринять целый комплекс мер, как технического, так и организационного характера, начиная от проектирования архитектуры АС с учетом всех требований защиты и заканчивая установкой камер наблюдения, охранной сигнализации и организации специального режима доступа. Однако на практике в большинстве случаев, по крайней мере какой-либо один фактор остается вне поля зрения организаций, обрабатывающих в своих АС информацию с ограниченным доступом, которая может интересовать тех или иных злоумышленников. Нередко оказывается и так, что таких факторов значительно больше, поэтому если организация не приняла всех мер для того, чтобы предотвратить несанкционированный локальный доступ к своим АС и их компонентам, можно сказать с уверенностью, что ее секреты рано или поздно попадут к заинтересованным лицам.

Рассмотрим подробнее методы и средства несанкционированного доступа к информации, которые можно применить на локальном уровне.

Прежде всего, злоумышленник может воспользоваться одним из самых древних способов, против которого не сможет противостоять никакая АС, — хищением. Хищение информации, ее носителей, отдельных компонентов АС и, учитывая современные тенденции к миниатюризации СВТ, целых АС было и остается одним из самых распространенных способов несанкционированного получения информации. При этом квалификация лиц, участвующих в хищении может быть самой низкой, а правоохранительные органы, расследующие такие факты, да и зачастую сами подвергшиеся хищению организации, как правило, сосредотачивают основное внимание на осязаемых материальных ценностях. К хищению можно отнести и такие действия злоумышленников, когда компоненты АС просто подменяются на аналогичные. Например, сначала специалист высокой квалификации оказавшись под каким-то предлогом в офисе организации и используя благоприятную ситуацию, может за считанные секунды выяснить модель жесткого диска, причем все его действия будет контролировать легальный пользователь (типичная ситуация — любезное предложение помощи неопытному сотруднику, у которого “завис” компьютер и т.п.). Затем злоумышленникам остается лишь найти вышедший из строя жесткий диск аналогичной модели и, тайно проникнув в офис, заменить интересующий их жесткий диск неисправным. Если в организации не ведется строгого учета компонентов АС по серийным номерам (что, к сожалению, встречается сплошь и рядом), а злоумышленникам удастся скрыть факт проникновения в помещение (что также не очень большая проблема для опытных взломщиков), то такое происшествие не вызовет никакого подозрения.

Кроме того, к хищениям во многих случаях можно отнести прямое копирование всего жесткого диска на другой диск. Даже если исходный диск защищен, например, с помощью шифрования, злоумышленник средней квалификации может принести с собой другой жесткий диск большего объема и просто скопировать все содержимое исходного диска на свой диск, который впоследствии будет передан на исследование специалистам более высокой квалификации. В таком случае получение несанкционированного доступа к скопированной информации — всего лишь вопрос времени.

Наконец, следует знать, что часто хищение информации маскируется под хищение материальных ценностей. Например, злоумышленники могут похитить все офисное оборудование, хотя на самом деле их интересует лишь содержимое жесткого диска компьютера, стоявшего в кабинете руководителя. Часто оказывается, что руководители организаций, требуя от подчиненных соблюдения всех правил информационной безопасности, не распространяют на себя эти требования, хотя имеют доступ к любым файлам своих подчиненных. Например, большинство руководителей даже не подозревают, что все открываемые ими по сети файлы таких программ, как Microsoft Word и других офисных приложений, копируются в папку для временных файлов Windows на локальном диске.

Вторым распространенным методом несанкционированного получения информации при локальном доступе к АС является использование открытого сеанса легального пользователя. Здесь возможности злоумышленника определяются лишь временем, на который он получает доступ к АС, полномочиями в АС легального пользователя и наличием (точнее, отсутствием) контроля со стороны легального пользователя или его коллег. Особая опасность этого метода заключается в том, что со стороны специалистов по защите информации действия злоумышленника, воспользовавшегося открытым сеансом легального пользователя, скорее всего, не вызовут никаких подозрений (в большинстве случаев на “своих” пользователей, особенно если они занимают в иерархии организации более высокое положение, администраторы безопасности обращают меньше всего внимания). Часто пользователи практически подталкивают посторонних к несанкционированному доступу к своим системам, размещая свои пароли “под рукой” прямо на рабочем месте (например, наклеивая листки для записей с паролями на монитор или на тыльную сторону клавиатуры). В этом случае такая “защищенная” система ничем не отличается от системы, на которой остался открытым сеанс легального пользователя.

Близким к указанному выше методу является подбор пароля легального пользователя. Этот метод более “заметен” со стороны компонентов АС, обеспечивающих безопасность, однако также оказывается достаточно эффективным. Например, в организации может быть реализована жесткая политика по выбору паролей, обеспечивающая невозможность случайного подбора или угадывания паролей за 2–3 попытки с блокированием учетной записи при превышении количества попыток. При этом все пользователи организации, покидая рабочее место, должны временно блокировать доступ к своим системам так, чтобы блокировка снималась только при правильно введенном пароле. Однако некоторые пользователи могут установить полюбившиеся программы-заставки, в которых ввод пароля происходит в обход основной операционной системы. Часто оказывается, что такие пользователя в качестве пароля выбирают последовательности вида 1111 или user и т.п., что значительно облегчает задачу подбора пароля легального пользователя.

Часто для осуществления подбора пароля легального пользователя злоумышленники прибегают к использованию открытого сеанса этого же или другого пользователя с последующим копированием системных файлов. В частности, в системах Windows 98/ME злоумышленник может скопировать файлы с расширением PWL, находящиеся в основной папке Windows, а затем применить к ним какое-нибудь средство вскрытия файлов PWL, например Repwl или CAIN. В системах Windows NT/2000/XP с той же целью злоумышленник может скопировать файл SAM или его резервную копию SAM._, находящиеся в папке repair системной папки Windows, а затем попытаться установить хранящиеся в них пароли с помощью системы L0phtCrack. В Unix-подобных системах наибольший интерес для злоумышленника представляют файлы /etc/passwd или shadow. С помощью таких утилит, как crack или john, любой злоумышленник, обладая минимальной квалификацией, может за считанные минуты или даже секунды получить информацию о паролях легальных пользователей, хранящихся в этих файлах.

Еще одним методом локального несанкционированного доступа является использование учетной записи легального пользователя для расширения полномочий в АС. Он отличается от метода использования открытого сеанса легального пользователя тем, что в данном случае злоумышленнику не требуется выдавать себя за другого, поскольку он в силу тех или иных причин сам имеет доступ к АС. Например, во многих организациях сторонним пользователям, посетителям, представителям других организаций, временным сотрудникам и другим лицам, не являющимся сотрудниками организации, предоставляют так называемые гостевые учетные записи. Однако часто оказывается, что АС, предназначенные для гостевого доступа, имеют физический доступ ко всем АС организации, а действия сторонних пользователей, получающих гостевой доступ, практически никак не контролируются. Это позволяет злоумышленнику, воспользовавшись специальными программами взлома (exploit), расширить свои полномочия вплоть до получения полного доступа ко всем АС организации. В системах Windows NT/2000/XP, например, злоумышленник может воспользоваться такими программами взлома, как getadmin или main, а в Unix-подобных системах — многочисленными программами взлома командной оболочки и других Unix-программ, в изобилии присутствующих в Internet, действие которых основано на известных изъянах соответствующего системного программного обеспечения Unix.

Наконец, часто злоумышленнику, имеющему локальный доступ к АС, не нужно вообще обладать квалификацией даже среднего уровня, чтобы получить несанкционированный доступ к информации этой АС. Во многих случаях ему достаточно прибегнуть к такому простому приему, как загрузка альтернативной операционной системы. Такая система может загружаться как с дискеты, так и с компакт-диска. (К особой разновидности этого метода является срабатывание функции автозапуска в Windows 98. Воспользовавшись этим изъяном, злоумышленник может запустить нужную ему программу даже на системе c Windows 98, защищенной с помощью экранной заставки с паролем). Например, с помощью простого командного файла, приведенного в листинге 13.1, злоумышленник может в считанные минуты перезагрузить компьютер, работающий под управлением Windows 98/ME/2000/XP и получить в свое распоряжение перечень всех файлов, а также файлы PWL и SAM, хранящиеся на дисках этого компьютера.

Листинг 13.1. Пример командного файла для
загрузки альтернативной операционной системы

@ECHO OFF
mode con codepage prepare=((866) ega3.cpi)
mode con codepage select=866
keyb ru,,keybrd3.sys

set EXPAND=YES
SET DIRCMD=/O:N
set LglDrv=27 * 26 Z 25 Y 24 X 23 W 22 V 21 U 20 T

set LglDrv=%LglDrv% 19 S 18 R 17 Q 16 P 15 O 14 N
set LglDrv=%LglDrv% 13 M 12 L 11 K 10 J 9 I 8 H 7 G

set LglDrv=%LglDrv% 6 F 5 E 4 D 3 C
call setramd.bat %LglDrv%
set temp=c:\
set tmp=c:\
path=%RAMD%:\;a:\;a:\vc
copy command.com %RAMD%:\ >nul
set comspec=%RAMD%:\command.com >nul
md %RAMD%:\vc >nul
%RAMD%:

copy a:\vc\*.* %RAMD%:\vc >nul
copy a:\arj.exe %RAMD%:\ >nul

copy a:\files.arj %RAMD%:\ >nul
copy a:\files.a01 %RAMD%:\ >nul
arj.exe e files.arj >nul
arj.exe e files.a01 -y >nul

A:\smartdrv.exe >nul
del files.a* >nul

md %RAMD%:\sec >nul
cd sec >nul
md disks >nul
cd disks >nul

ldir c: /s > c.txt
ldir d: /s > d.txt