Несанкционированный доступ к сетям и сетевым ресурсам

К уязвимым местам в вычислительных сетях можно отнести следующие:

• Применение компьютеров, не имеющих парольной защиты во время загрузки.

• Использование совместных или легко вскрываемых паролей.

• Хранение паролей в пакетных файлах и на дисках компьютеров.

• Отсутствие установления подлинности пользователя в реальном масштабе времени.

• Отсутствие или низкая эффективность применения систем идентификации и аутентификации пользователей.

• Недостаточность физического контроля за сетевыми устройствами.

• Отсутствие отключения терминала при многочисленных неудачных попытках установления сеанса связи и регистрации таких попыток.

• Незащищенность модемов.

Для защиты компьютерных сетей или отдельных компьютеров от несанкционированного использования применяются три основных вида контроля доступа.

В случае контроля доступа, основанного на обладании, речь идет о предметах, принадлежащих пользователю, − физическом ключе, магнит-ной карте, металлической пластинке причудливой формы, которую вставляют перед началом работы в щель распознавателя и т.п.

В случае контроля доступа, основанного на личностных характеристиках пользователя, используются биометрические приборы, которые анализируют специфические физические особенности пользователя (подпись, тембр голоса, отпечатки пальцев, рисунок линий на ладони или на сетчатке глаза и т.п.) и сравнивают их с теми, что находятся у них в памяти.

Эти два вида компьютерной защиты могут использоваться и для дистанционного управления доступом, хотя обычно к ним прибегают для ограничения доступа к тому месту, где находятся компьютеры, − компьютерному залу или отдельному кабинету.

Вид контроля доступа, основанный на обладании специфической информацией, является наиболее распространенным. Он характеризуется тем, что правом доступа обладают лишь те лица, которые способны продемонстрировать свое знание определенного секрета, обычно пароля. Это самый простой и дешевый путь защиты любой компьютерной системы. Поскольку его использование не требует больших затрат времени, сил и места в памяти компьютера, то им оснащаются даже те компьютеры, которые вовсе не нуждаются в средствах защиты. Кроме того, использование пароля дает пользователю ощущение психологического комфорта. Более того, этот вид широко используется в системах, уже защищенных другими средствами − магнитными картами или иными программными методами типа шифрования, что в еще большей степени увеличивает защиту от несанкционированного доступа.

Пароли, как правило, рассматриваются в качестве ключей для входа в систему, но они используются и для других целей: блокирование записи на дисковод, в командах на шифрование данных, то есть во всех тех случаях, когда требуется твердая уверенность в том, что соответствующие действия будут производиться только законными владельцами или пользователями программного обеспечения.

Используемые пароли можно подразделить на семь основных групп:

• пароли, устанавливаемые пользователем;

• пароли, генерируемые системой;

• случайные коды доступа, генерируемые системой;

• полуслова;

• ключевые фразы;

• интерактивные последовательности типа «вопрос − ответ»;

• «строгие» пароли.

Первая группа является наиболее распространенной. Большинство таких паролей относятся к типу «выбери сам». Для лучшей защиты от несанкционированного доступа необходимо использовать достаточно длинный пароль, поэтому обычно система запрашивает пароль, содержащий не менее четырех-пяти букв. Существуют также и другие меры, не позволяющие пользователю создать неудачный пароль. Например, система может настаивать на том, чтобы пароль включал в себя строчные и заглавные буквы вперемешку с цифрами; заведомо очевидные пароли, например, internet, ею отвергаются. В разных операционных системах существует немало программ, которые просматривают файлы, содержащие пароли, анализируют пароли пользователей и определяют, насколько они секретны. Неподходящие пароли заменяются.

Когда человек впервые загружает компьютер и тот запрашивает у него пароль, этот пароль наверняка окажется вариантом одной из общих и актуальных для всех тем − особенно, если у пользователя не хватает времени. Представьте себе состояние человека, когда его просят придумать собственный секретный пароль. Как бы то ни было, стоит запросу появиться на экране монитора и человека посещает мысль о том, что надо немедленно что-то предпринимать. Не считая гениев и безнадежных тупиц, все люди, когда надо принимать быстрые решения, мыслят и действуют примерно одинаково. Им требуется время, чтобы начать мыслить творчески, поэтому начальные предположения и первые умозаключения в определенных группах людей оказываются одинаковыми. И пользователи выдают первое, что приходит им в голову. А в голову приходит то, что они видят или слышат в данный момент, либо то, что собираются сделать сразу же после загрузки. В такой ситуации пароль создается в спешке, а последующая его замена на более надежный происходит достаточно редко. Таким образом, многие пароли, созданные пользователями, могут быть раскрыты достаточно быстро.

Случайные пароли и коды, устанавливаемые системой, могут быть нескольких разновидностей. Системное программное обеспечение может использовать полностью случайную последовательность символов − вплоть до случайного выбора регистров, цифр, пунктуации длины; или же использовать в генерирующих процедурах ограничения. Создаваемые компьютером пароли могут также случайным образом извлекаться из списка обычных или ничего не значащих слов, созданных авторами программы, которые образуют пароли вроде onah.foopn или ocar-back-treen.

Полуслова частично создаются пользователем, а частично − каким-либо случайным процессом. Это значит, что если даже пользователь придумает легко угадываемый пароль, например, «абзац», компьютер дополнит его какой-нибудь неразберихой, образовав более сложный пароль типа «абзац,3ю37».

Ключевые фразы хороши тем, что они длинные и их трудно угадать, зато легко запомнить. Фразы могут быть осмысленными, типа «мы были обеспокоены этим», или не иметь смысла − «ловящий рыбу нос». Следует заметить, что в программировании постепенно намечается тенденция к переходу на более широкое применение ключевых фраз. К концепции ключевых фраз близка концепция кодового акронима, который эксперты по защите оценивают как короткую, но идеально безопасную форму пароля. В акрониме пользователь берет легко запоминающееся предложение, фразу, строчку из стихотворения и т. п. и использует первые буквы каждого слова в качестве пароля. Например, акронимами двух приведенных выше фраз являются «мбоэ» и «лрн». Подобные нововведения в теории паролей значительно затрудняют занятия электронным шпионажем.

Интерактивные последовательности «вопрос − ответ», предлагают пользователю ответить на несколько вопросов, как правило, личного плана: «Девичья фамилия вашей матери?», «Ваш любимый цвет?» и т. д. В компьютере хранятся ответы на множество таких вопросов. При входе пользователя в систему компьютер сравнивает полученные ответы с «правильными». Системы с использованием «вопросов — ответов» склонны прерывать работу пользователя каждые десять минут, предлагая отвечать на вопросы, чтобы подтвердить его право пользоваться системой. В настоящее время такие пароли почти не используются. Когда их придумали, идея казалась неплохой, но раздражающий фактор прерывания привел к тому, что данный метод практически исчез из обихода.

«Строгие» пароли обычно используются совместно с каким-нибудь внешним электронным или механическим устройством. В этом случае компьютер обычно с простодушным коварством предлагает несколько вариантов приглашений, а пользователь должен дать на них подходящие ответы. Этот вид паролей часто встречается в системах с одноразовыми кодами. Одноразовые коды — это пароли, которые срабатывают только один раз. К ним иногда прибегают, создавая временную копию для гостей, чтобы продемонстрировать потенциальным клиентам возможности системы. Они также порой применяются при первом вхождении пользователя в систему. Во время первого сеанса пользователь вводит свой собственный пароль и в дальнейшем входит в систему лишь через него. Одноразовые коды могут также применяться в системе, когда действительный пользователь входит в нее в первый раз; затем пользователю следует поменять свой пароль на более секретный персональный код. В случаях, когда системой пользуется группа людей, но при этом нельзя нарушать секретность, прибегают к списку одноразовых кодов. Тот или иной пользователь вводит код, соответствующий времени, дате или дню недели.

Итак, для того чтобы пароль был действительно надежен, он должен отвечать определенным требованиям:

• быть определенной длины;

• включать в себя как прописные, так и строчные буквы;

• включать в себя одну и более цифр;

• включать в себя один нецифровой и один неалфавитный символ.

Одно или несколько из этих правил должны обязательно соблюдаться.

К уязвимым местам доступа к ресурсам вычислительных сетей можно отнести:

• Использование при назначении прав пользователей системных установок с недопустимо широким спектром полномочий.

• Неправомерное использование полномочий администратора сети.

• Неправильное использование механизма назначения полномочий для пользователей.

• Использование компьютеров без механизма контроля доступа на уровне файлов.

• Хранение данных без защиты или с недостаточным ее уровнем.

Вопросы для самоконтроля

1. Роль специалиста в области безопасности информации.

2. В чем сложность создания систем защиты информации?

3. Что является объектами посягательств в области защиты информации?

4. Виды угроз безопасности информации.