Информационная атака на компьютерную систему представляет собой действие, предпринимаемое злоумышленником через сеть Internet, которое заключается в поиске и использовании той или иной уязвимости данной системы.
Internet как и другие распределённые вычислительные системы имеет определённую особенность: сетевые системы характерны тем, что, наряду с обычными (локальными) атаками, осуществляемыми в пределах одной компьютерной системы, к ним применим специфический вид атак, обусловленный распределенностью ресурсов и информации в пространстве. Эти атаки называются сетевыми (или удаленными). Они характерны, во-первых, тем, что злоумышленник может находиться за тысячи километров от атакуемого объекта, и, во-вторых, тем, что нападению может подвергаться не конкретный компьютер, а информация, передающаяся по сетевым соединениям.
Рассмотрим пример конкретного применения удалённой атаки через Internet.
Пусть мы проводим атаку с хоста, находящегося в одном сегменте с атакуемой сетью фирмы. В этом случае существует возможность с атакующего хоста подвергать анализу любой пересылаемый пакет в сегменте. В сети Internet для получения доступа к серверу пользователю необходимо пройти на нем процедуру идентификации и аутентификации. В качестве информации, идентифицирующей пользователя, выступает его идентификатор (имя), а для аутентификации используется пароль.
Итак,
· Для начала подключаемся к серверу и входим в сеть Internet.
· Затем запускаем специальную программу-анализатор, которая осуществляет анализ сетевого трафика. Данная программа, запустившись, будет перехватывать каждый пакет в данном сегменте сети и выделять среди них те, в которых передаются идентификатор пользователя и его пароль.
· Отсортировав полученную информацию, нам останется только распознать имя и пароль интересующего нас хоста.
Процесс распознания имени и пароля атакуемого хоста является важным моментом в оценке безопасности атакуемой системы.
Если координаты пользователя получены без каких-либо проблем, в незашифрованном виде (что позволяют некоторые протоколы, например, FTP и TELNET), то следует сказать о слабом уровне защиты данной сетевой системы от сетевых проникновений.
Если же координаты закодированы и не поддаются распознаванию, (что говорит о применении более совершенных протоколов с криптозащитой, а также о применении дополнительных средств защиты сети), то следует применить программы дешифрации. И в зависимости от результатов, сделать вывод о степени безопасности системы и уровне доступа к хранящейся информации.
q По характеру воздействия
· пассивное
· активное
q По цели воздействия
· нарушение конфиденциальности информации либо ресурсов системы
· нарушение целостности информации
· нарушение работоспособности (доступности) систем
q По условию начала осуществления воздействия
· Атака по запросу от атакуемого объекта. Важно отметить, что данный тип удаленных атак наиболее характерен для Internet`a.
· Атака по наступлению ожидаемого события на атакуемом объекте
· Безусловная атака. Примером атаки данного вида может служить «Навязывание ложного маршрута в сети Internet».
q По наличию обратной связи с атакуемым объектом
· с обратной связью
· без обратной связи (однонаправленная атака)
q По расположению субъекта атаки относительно атакуемого объекта
· внутрисегментное
· межсегментное
Исследования и анализ информационной безопасности сети Internet наглядно продемонстрировали тот факт, что, независимо от используемых сетевых протоколов, топологии, инфраструктуры исследуемых РВС (распределенная вычислительная система), механизмы реализации удаленных воздействий через Internet инвариантны по отношению к особенностям конкретной системы. Это объясняется тем, что распределенные ВС проектируются на основе одних и тех же принципов, а, следовательно, имеют практически одинаковые проблемы безопасности. Поэтому оказывается, что причины успеха удаленных атак через Internet различных РВС одинаковы. Таким образом, наряду с классификацией атак существует понятие типовой удаленной атаки, которое представлено несколькими видами.
Типовая удаленная атака- это удаленное информационное разрушающее воздействие, программно осуществляемое по каналам связи и характерное для любой распределенной ВС.
q Анализ сетевого трафика
Это специфичное для Internet типовое удаленное воздействие, заключающееся в прослушивании канала связи. Анализ сетевого трафика позволяет изучить логику работы атакуемой системы, а также позволяет перехватить потоки данных, которыми обмениваются её пользователи. Таким образом, удаленная атака данного типа заключается в получении на удаленном объекте несанкционированного доступа к информации, которой обмениваются два сетевых абонента. Примером перехваченной при помощи данной типовой удаленной атаки информации могут служить имя и пароль пользователя, пересылаемые в незашифрованном виде по сети.
По характеру воздействия анализ сетевого трафика является пассивным воздействием.
q Подмена доверенного объекта или субъекта Internet
Одной из проблем безопасности Internet является недостаточная идентификация ее объектов, удаленных друг от друга.
В этом случае оказывается возможной типовая удаленная атака, заключающаяся в передаче по каналам связи сообщений от имени её произвольного объекта или субъекта. При этом существуют две разновидности данной типовой удаленной атаки:
· атака при установленном виртуальном канале,
· атака без установленного виртуального канала.
В случае установленного виртуального соединения (т.е. используется передача одиночных сообщений, требующих подтверждения) атака будет заключаться в присвоении прав доверенного субъекта взаимодействия, легально подключившегося к объекту системы, что позволит атакующему вести сеанс работы с объектом распределенной системы от имени доверенного субъекта.
Атака же без установленного виртуального соединения заключается в передаче служебных сообщений от имени сетевых управляющих устройств, например, от имени маршрутизаторов.
Посылка ложных управляющих сообщений может привести к серьезным нарушениям работы РВС (например, к изменению ее конфигурации). Примером может служить типовая удаленная атака, использующая навязывание ложного маршрута.
Подмена доверенного объекта РВС является активным воздействием, совершаемым с целью нарушения конфиденциальности и целостности информации, по наступлению на атакуемом объекте определенного события. Данная удаленная атака может являться как внутрисегментной, так и межсегментной, как с обратной связью, так и без обратной связи.
q Ложный объект в Internet`e
Если в распределенной ВС недостаточно надежно решены проблемы идентификации сетевых управляющих устройств, то эта распределенная система может подвергнуться типовой удаленной атаке, связанной с изменением маршрутизации и внедрением в систему ложного объекта. Речь идет, например, обмене управляющими сообщениями маршрутизаторов с объектами системы.
В результате успешного изменения маршрута атакующий получит полный контроль над потоком информации, которой обмениваются два объекта распределенной ВС, и получает возможность модифицировать или же подменить перехваченную информацию, что приводит к ее частичному искажению или же к её полному изменению.
q Отказ в обслуживании
Данный вид типовой атаки возможен в том случае, если в распределенной ВС не предусмотрено средств аутентификации адреса отправителя запроса на сервер на подключение в сеть, т.е. структура РВС позволяет с одного объекта системы передавать на другой атакуемый объект бесконечное число анонимных запросов на подключение от имени других объектов. Что и происходит во многих случаях при обращении в сеть Internet. Результат применения этой удаленной атаки - нарушение на атакованном объекте работоспособности соответствующей службы предоставления удаленного доступа, то есть невозможность получения удаленного доступа с других объектов РВС - отказ в обслуживании!
Типовая удаленная атака "Отказ в обслуживании" является активным воздействием, осуществляемым с целью нарушения работоспособности системы. Данная удаленная атака является однонаправленным воздействием, причём как межсегментным, так и внутрисегментным.
В чём же причина столь успешных и частых информационных атак через сеть Internet? Дело в том, что Internet представляет собой распределенную вычислительную систему, инфраструктура которой общеизвестна и хорошо описана. А как уже отмечалось ранее, основной особенностью любой распределенной системы является то, что ее компоненты распределены в пространстве и связь между ними физически осуществляется при помощи сетевых соединений и программно при помощи механизма сообщений. При этом все управляющие сообщения и данные, пересылаемые между её объектами, передаются по сетевым соединениям в виде пакетов обмена, полная защита которых не гарантирована. Эта особенность и является основной причиной для рассматриваемых удаленных атак на инфраструктуру как самой Internet, так и на другие распределенные вычислительные системы через сеть Internet.
Если рассматривать более детально причины уязвимости хостов в сети Internet, то можно выделить следующие:
· сложность организации защиты межсетевого взаимодействия;
· неправильное или ошибочное администрирование систем;
· недостаточная идентификация и аутентификация объектов и субъектов сети Internet;
· невозможность контроля каналов связи между объектами сети Internet;
· отсутствие в Internet возможности контроля маршрутов сообщений;
· отсутствие в Internet полной информации о ее объектах;
· отсутствие в базовых протоколах Internet криптозащиты сообщений.
Таким образом, напрашивается вывод о существовании в данной сети серьезных пробелов в обеспечении безопасности, на которых и базируются причины, по которым возможны удаленные атаки на сетевые соединения, делающие сеть Internet небезопасной. Поэтому, в принципе, все пользователи этой сети пользуются ее услугами на свой страх и риск и могут быть атакованы в любой момент.
Основные схемы сетевой защиты на базе межсетевых экранов
При подключении корпоративной или локальной сети к глобальным сетям администратор сетевой безопасности должен решать следующие задачи:
· защита корпоративной или локальной сети от несанкционированного доступа со стороны глобальной сети;
· скрытие информации о структуре сети и ее компонентов от пользователей глобальной сети,
· разграничение доступа в защищаемую сеть из глобальной сети и из защищаемой сети в глобальную сеть.
Необходимость работы с удаленными пользователями требует установки жестких ограничений доступа к информационным ресурсам защищаемой сети. При этом часто возникает потребность в организации в составе корпорационной сети нескольких сегментов с разными уровнями защищенности
· свободно доступные сегменты (например, рекламный WWW-сервер),
· сегмент с ограниченным доступом (например, для доступа сотрудникам организации с удаленных узлов),
· закрытые сегменты (например, локальная финансовая сеть организации).
Административные методы защиты от удаленных атак в сети Internet
Административные методы защиты от информационно-разрушающих воздействий являются наиболее простыми и дешевыми. К ним относятся способы защиты систем, которые достигаются путём более рационального, с точки зрения безопасности, администрирования этих систем. Сюда включается: выбор тех или иных ОС под которыми будет функционировать РВС, определение используемых протоколов, установление уровней доступа к ресурсам системы и осуществление их контроля, и т.д. То есть это те методы, которые реализуются непосредственно на административном уровне и которые позволяют, таким образом, противостоять некоторым видам удалённых атак.
Ранее рассматривалась атака, позволяющая злоумышленнику при помощи программного прослушивания канала передачи сообщений в сети перехватывать любую информацию, которой обмениваются удаленные пользователи, если по каналу передаются только нешифрованные сообщения. Также было сказано, что базовые прикладные протоколы удаленного доступа TELNET и FTP не предусматривают элементарную криптозащиту передаваемых по сети даже идентификаторов (имен) и аутентификаторов (паролей) пользователей. Поэтому администраторам сетей, очевидно, можно порекомендовать не допускать использование этих базовых протоколов для предоставления удаленного авторизованного доступа к ресурсам своих систем.
В принципе приемлемых способов защиты от отказа в обслуживании в существующем стандарте сети Internet нет. Это связано с тем, что в данном стандарте невозможен контроль маршрута сообщений. Поэтому невозможно обеспечить надежный контроль сетевых соединений, так как у одного субъекта сетевого взаимодействия существует возможность занять неограниченное число каналов связи с удаленным объектом и при этом остаться анонимным. Поэтому, для повышения надежности работы системы в данных условиях можно предложить использовать как можно более мощные компьютеры. Чем больше число и частота работы процессоров, чем больше объем оперативной памяти, тем более надежной будет работа сетевой ОС, когда на нее обрушится направленный "шторм" ложных запросов на создание соединения, что в общем-то и приводит к отказу в обслуживании. Кроме того, необходимо использование соответствующих операционных систем с внутренней очередью, способной вместить большое число запросов на подключение.
К программно-аппаратным средствам обеспечения информационной безопасности средств связи в сети Internet относятся:
· аппаратные шифраторы сетевого трафика;
· установка прокси – сервера;
· методика Firewall (брандмауэр), реализуемая на базе программно-аппаратных средств;
· защищенные сетевые криптопротоколы;
· программно-аппаратные анализаторы сетевого трафика.
Существуют аппаратные средства шифрования. Конечно же следует на стороне получателя установить такое же средство для расшифровки трафика.
Для организации такого шлюза необходим компьютер с двумя сетевыми интерфейсами. Один из этих интерфейсов (назовем его внешним) подключен к Internet, а другой (назовем его внутренним) – к локальной сети.
В принципе, в качестве внешнего интерфейса можно использовать модем, хотя это и не очень удобно. Компьютер, на котором будет установлен прокси - сервер, должен удовлетворять требованиям, указанным разработчиками этого шлюза.
Прокси - сервер выполняет две функции: кэширование трафика и зеркалирование локальной сети.
За счет кэширования ускоряется повторный доступ ко внешним ресурсам (так как на самом деле ранее запомненная информация выбирается из кэша, а не перечитывается с удаленных сайтов). Это может вызвать следующую проблему: пользователи работают с устаревшими данными. Администратор сети должен следить за периодическим обновлением кэша, очищать кэш по мере необходимости.
Зеркалирование сети происходит за счет того, что во внешнюю сеть выходит только компьютер с прокси - сервером, а не клиенты сети. Из этого следует, что компьютер с прокси – сервером не должен содержать никаких важных данных!
В общем случае методика Firewall реализует две основные функции:
· Фильтрация сетевого трафика.
Фильтрация сетевого трафика является основной функцией систем Firewall. Она позволяет администратору безопасности сети централизованно осуществлять необходимую сетевую политику безопасности в выделенном сегменте IP-сети. Настроив соответствующим образом Firewall, можно разрешить или запретить пользователям как доступ из внешней сети к соответствующим службам хостов или к хостам, находящихся в защищаемом сегменте, так и доступ пользователей из внутренней сети к соответствующим ресурсам внешней сети.
Можно провести аналогию с администратором локальной ОС, который для осуществления политики безопасности в системе назначает необходимым образом соответствующие отношения между субъектами (пользователями) и объектами системы (файлами, например). И это позволяет разграничить доступ субъектов системы к ее объектам в соответствии с заданными администратором правами доступа.
То же применимо и к Firewall-фильтрации: в качестве субъектов взаимодействия будут выступать IP-адреса хостов пользователей, а в качестве объектов, доступ к которым необходимо разграничить, - IP-адреса хостов, используемые транспортные протоколы и службы предоставления удаленного доступа.
· Proxy-схема с дополнительной идентификацией пользователей.
Proxy-схема позволяет при доступе к защищенному Firewall сегменту сети осуществить на нем дополнительную идентификацию и аутентификацию удаленного пользователя. Смысл proxy-схемы состоит в создании соединения с конечным адресатом через промежуточный proxy-сервер на хосте Firewall. На этом proxy-сервере и может осуществляться дополнительная идентификация абонента.
Следует сказать, что применение методики Firewall для обеспечения сетевой безопасности является необходимым, но отнюдь не достаточным условием, и не нужно считать, что, поставив Firewall, можно разом решить все проблемы с сетевой безопасностью и избавиться от всех возможных удаленных атак из сети Internet.
Как было сказано раньше, одна из основных причин успеха удаленных атак на Internet кроется в использовании сетевых протоколов обмена, которые не могут надежно идентифицировать удаленные объекты, защитить соединение и передаваемые по нему данные. Поэтому совершенно естественно, что в процессе функционирования Internet были созданы различные защищенные сетевые протоколы, использующие криптографию как с закрытым, так и с открытым ключом. Основными из них на сегодняшний день являются:
· SKIP (Secure Key Internet Protocol) – технологией называется стандарт, позволяющий в существующем стандарте Internet на сетевом уровне обеспечить защиту соединения и передаваемых по нему данных. Это достигается следующим образом: SKIP-пакет представляет собой обычный IP-пакет, поле данных которого представляет собой SKIP-заголовок определенного спецификацией формата и криптограмму (зашифрованные данные). Такая структура SKIP-пакета позволяет беспрепятственно направлять его любому хосту в сети Internet (межсетевая адресация происходит по обычному IP-заголовку в SKIP-пакете). Конечный получатель SKIP-пакета по заранее определенному разработчиками алгоритму расшифровывает криптограмму и формирует обычный TCP-пакет. Такая технология называется еще "туннелированием".
· S-HTTP (Secure HTTP) - это разработанный компанией Enterprise Integration Technologies (EIT) специально для Web защищенный HTTP-протокол. Протокол S-HTTP позволяет обеспечить надежную криптозащиту HTTP-документов Web-севера.
· SSL (Secure Socket Layer) - разработка компании Netscape - универсальный протокол защиты соединения. Это протокол, который использует криптографию с открытым ключом и на сегодняшний день является единственным универсальным средством, позволяющим динамически защитить любое соединение. Протокол SSL сегодня уже практически оформился в качестве официального стандарта защиты для HTTP-соединений, то есть для защиты Web-серверов.
Очевидно, что повсеместное применение этих защищенных протоколов обмена поставит надежный барьер на пути всевозможных удаленных атак и серьезно усложнит жизнь взломщиков всего мира.
Однако весь трагизм сегодняшней ситуации с обеспечением безопасности в Internet состоит в том, что пока ни один из существующих криптопротоколов (а их уже немало) не оформился в качестве единого стандарта защиты соединения, который поддерживался бы всеми производителями сетевых ОС. Поэтому если не договориться о принятии единого стандарта на защищенный протокол сеансового уровня, то тогда потребуется принятие многих стандартов на защиту каждой отдельной прикладной службы.
Большинство компонентов межсетевых экранов можно отнести к одной из трех категорий:
· фильтрующие маршрутизаторы;
· шлюзы сетевого уровня;
· шлюзы прикладного уровня.
Эти категории можно рассматривать как базовые компоненты реальных межсетевых экранов. Лишь немногие межсетевые экраны включают только одну из перечисленных категорий. Тем не менее, эти категории отражают ключевые возможности, отличающие межсетевые экраны друг от друга.
Фильтрующий маршрутизатор представляет собой маршрутизатор или работающую на сервере программу, сконфигурированные таким образом, чтобы фильтровать входящее и исходящие пакеты. Фильтрация пакетов осуществляется на основе информации, содержащейся в TCP- и IP- заголовках пакетов.
Фильтрующие маршрутизаторы обычно могут фильтровать IP-пакет на основе группы следующих полей заголовка пакета:
· IP- адрес отправителя (адрес системы, которая послала пакет);
· IP-адрес получателя (адрес системы, которая принимает пакет);
· Порт отправителя (порт соединения в системе отправителя);
· Порт получателя (порт соединения в системе получателя);
Порт – это программное понятие, которое используется клиентом или сервером для посылки или приема сообщений. Каждый порт идентифицируется 16 – битовым числом. Порт определяет прикладной протокол (или даже прикладную программу, участвующую в обмене информацией).
Некоторые маршрутизаторы проверяют, с какого сетевого интерфейса маршрутизатора пришел пакет, и затем используют эту информацию как дополнительный критерий фильтрации.
Фильтрация может быть реализована различным образом для блокирования соединений с определенными хост-компьютерами или портами. Например, можно блокировать соединения, идущие от конкретных адресов тех хост-компьютеров и сетей, которые считаются враждебными или ненадежными.
Добавление фильтрации по портам TCP и UDP к фильтрации по IP-адресам обеспечивает большую гибкость. Известно, что такие серверы, как демон TELNET, обычно связаны с конкретными портами (например, порт 23 протокола TELNET). Если межсетевой экран может блокировать соединения TCP или UDP с определенными портами или от них, то можно реализовать политику безопасности, при которой некоторые виды соединений устанавливаются только с конкретными хост-компьютерами.
Например, внутренняя сеть может блокировать все входные соединения со всеми хост-компьютерами за исключением нескольких систем. Для этих систем могут быть разрешены только определенные сервисы (SMTP для одной системы и TELNET или FTP -для другой). При фильтрации по портам TCP и UDP эта политика может быть реализована фильтрующим маршрутизатором или хост-компьютером с возможностью фильтрации пакетов.
Реализация политики безопасности, допускающей определенные соединения с внутренней сетью с адресом 123.4.*.* Соединения TELNET разрешаются только с одним хост-компьютером с адресом 123.4.5.6, который может быть прикладным TELNET-шлюзом, а SMTP-соединения - только с двумя хост-компьютерами с адресами 123.4.5.7 и 123.4.5.8, которые могут быть двумя шлюзами электронной почты. Обмен по NNTP (Network News Transfer Protocol) разрешается только от сервера новостей с адресом 129.6.48.254 и только с NNTP-сервером сети с адресом 123.4.5.9, а протокол NTP (сетевого времени) - для всех хост-компьютеров. Все другие серверы и пакеты блокируются.
Первое правило позволяет пропускать пакеты TCP из сети Internet от любого источника с номером порта большим, чем 1023, к получателю с адресом 123.4.5.6 в порт 23. (Порт 23 связан с сервером TELNET, а все клиенты TELNET должны иметь непривилегированные порты с номерами не ниже 1024!)
Второе и третье правила работают аналогично и разрешают передачу пакетов к получателям с адресами 123.4.5.7 и 123.4.5.8 в порт 25, используемый SMTP.
Четвертое правило пропускает пакеты к NNTP-серверу сети, но только от отправителя с адресом 129.6.48.254 к получателю с адресом 123.4.5.9 с портом назначения 119 (129.6.48.254 - единственный NNTP-сервер, от которого внутренняя сеть получает новости, поэтому доступ к сети для выполнения протокола NNTP ограничен только этой системой).
Пятое правило разрешает трафик NTP, который использует протокол UDP вместо TCP. от любого источника к любому получателю внутренней сети.
Наконец, шестое правило блокирует все остальные пакеты. Если бы этого правила не было, маршрутизатор мог бы блокировать, а мог бы и не блокировать другие типы пакетов.
Выше был рассмотрен очень простой пример фильтрации пакетов. Реально используемые правила позволяют осуществить более сложную фильтрацию и являются более гибкими.
Правила фильтрации пакетов формулируются сложно, и обычно нет средств тестирования их корректности, кроме медленного ручного тестирования.
У некоторых фильтрующих маршрутизаторов нет средств протоколирования, поэтому, если правила фильтрации пакетов все-таки позволят опасным пакетам пройти через маршрутизатор, такие пакеты не смогут быть выявлены до обнаружения последствий проникновения.
Даже если администратору сети удастся создать эффективные правила фильтрации, их возможности остаются ограниченными. Например, администратор задает правило, в соответствии с которым маршрутизатор будет отбраковывать все пакеты с неизвестным адресом отправителя. Однако злоумышленник может использовать в качестве адреса отправителя в своем "вредоносном" пакете реальный адрес доверенного (авторизированного) клиента. В этом случае фильтрующий маршрутизатор не сумеет отличить поддельный пакет от настоящего и пропустит его. Практика показывает, что подобный вид нападения, называемый подменой адреса, довольно широко распространен в сети Internet и часто оказывается эффективным.
Межсетевой экран с фильтрацией пакетов, работающий только на сетевом уровне эталонной модели взаимодействия открытых систем OSI-ISO, обычно проверяет информацию, содержащуюся только в IP-заголовках пакетов. Поэтому обмануть его несложно: хакер создает заголовок, который удовлетворяет разрешающим правилам фильтрации. Кроме заголовка пакета, никакая другая содержащаяся в нем информация межсетевыми экранами данной категории не проверяется.
К положительным качествам фильтрующих маршрутизаторов следует отнести:
· сравнительно невысокую стоимость;
· гибкость в определении правил фильтрации;
· небольшую задержку при прохождении пакетов.
Недостатками фильтрующих маршрутизаторов являются:
· внутренняя сеть видна (маршрутизируется) из сети Internet;
· правила фильтрации пакетов трудны в описании и требуют очень хороших знаний технологий TCP и UDP;
· при нарушении работоспособности межсетевого экрана с фильтрацией пакетов все компьютеры за ним становятся полностью незащищенными либо недоступными;
· аутентификацию с использованием IP-адреса можно обмануть путем подмены IP-адреса (атакующая система выдает себя за другую, используя ее IP-адрес);
· отсутствует аутентификация на пользовательском уровне.
Шлюз сетевого уровня иногда называют системой трансляции сетевых адресов или шлюзом сеансового уровня модели OSI. Такой шлюз исключает, прямое взаимодействие между авторизированным клиентом и внешним хост-компьютером. Шлюз сетевого уровня принимает запрос доверенного клиента на конкретные услуги, и после проверки допустимости запрошенного сеанса устанавливает соединение с внешним хост-компьютером. После этого шлюз копирует пакеты в обоих направлениях, не осуществляя их фильтрации.
Шлюз следит за подтверждением (квитированием) связи между авторизированным клиентом и внешним хост-компьютером, определяя, является ли запрашиваемый сеанс связи допустимым. Чтобы выявить допустимость запроса на сеанс связи, шлюз выполняет следующую процедуру.
Когда авторизированный клиент запрашивает некоторый сервис, шлюз принимает этот запрос, проверяя, удовлетворяет ли этот клиент базовым критериям фильтрации (например, может ли DNS-сервер определить IP-адрес клиента и ассоциированное с ним имя). Затем, действуя от имени клиента, шлюз устанавливает соединение с внешним хост-компьютером и следит за выполнением процедуры квитирования связи по протоколу TCP. Эта процедура состоит из обмена TCP-пакетами, которые помечаются флагами SYN (синхронизировать) и АСК (подтвердить) (см. лекцию "Анализ защищенности TCP").
Первый пакет сеанса TCP, помеченный флагом SYN и содержащий произвольное число, например 1000. является запросом клиента на открытие сеанса. Внешний хост-компьютер, получивший этот пакет, посылает в ответ пакет, помеченный флагом АСК и содержащий число, на единицу большее, чем в принятом пакете подтверждая, тем самым прием пакета SYN от клиента.
Далее осуществляется обратная процедура: хост-компьютер посылает клиенту пакет SYN с исходным числом (например, 2000), а клиент подтверждает его получение передачей пакета АСК, содержащего число 2001. На этом процесс квитирования связи завершается.
Шлюз сетевого уровня признает запрошенное соединение допустимым только в том случае, если при выполнении процедуры квитирования связи флаги SYN и АСК, а также числа, содержащиеся в TCP-пакетах, оказываются логически связанными между собой.
После того как шлюз определил, что доверенный клиент и внешний хост-компьютер являются авторизированными участниками сеанса TCP, и проверил допустимость этого сеанса, он устанавливает соединение. Начиная с этого момента, шлюз копирует и перенаправляет пакеты туда и обратно, не проводя никакой фильтрации. Он поддерживает таблицу установленных соединений, пропуская данные, относящиеся к одному из сеансов связи, зафиксированных в этой таблице. Когда сеанс завершается, шлюз удаляет соответствующий элемент из таблицы и разрывает цепь, использовавшуюся в данном сеансе.
Для копирования и перенаправления пакетов в шлюзах сетевого уровня применяются специальные приложения, которые называют канальными посредниками, поскольку они устанавливают между двумя сетями виртуальную цепь или канал, а затем разрешают пакетам, которые генерируются приложениями TCP/IP, проходить по этому каналу. Канальные посредники поддерживают несколько служб TCP/IP, поэтому шлюзы сетевого уровня могут использоваться для расширения возможностей шлюзов прикладного уровня, работа которых основывается на программах-посредниках конкретных приложений.
Фактически большинство шлюзов сетевого уровня не являются самостоятельными продуктами, а поставляются в комплекте со шлюзами прикладного уровня.
Примерами таких шлюзов являются Gauntlet Internet Firewall компании Trusted Information Systems, Alta Vista Firewall компании DEC и ANS Interlock компании ANS. Например, Alta Vista Firewall использует канальные посредники прикладного уровня для каждой из шести служб TCP/IP, к которым относятся, в частности, FTP, HTTP (Hyper Text Transport Protocol) и telnet. Кроме того, межсетевой экран компании DEC обеспечивает шлюз сетевого уровня, поддерживающий другие общедоступные службы TCP/IP, такие как Gopher и SMTP, для которых межсетевой экран не предоставляет посредников прикладного уровня.
Шлюз сетевого уровня выполняет еще одну важную функцию защиты: он используется в качестве сервера-посредника. Этот сервер-посредник выполняет процедуру трансляции адресов, при которой происходит преобразование внутренних IP-адресов в один "надежный" IP-адрес. Этот адрес ассоциируется с межсетевым экраном, из которого передаются все исходящие пакеты. В результате в сети со шлюзом сетевого уровня все исходящие пакеты оказываются отправленными из этого шлюза, что исключает прямой контакт между внутренней (авторизированной) сетью и потенциально опасной внешней сетью. IP-адрес шлюза сетевого уровня становится единственно активным IP-адресом, который попадает во внешнюю сеть. Таким образом, шлюз сетевого уровня и другие серверы-посредники защищают внутренние сети от нападений типа подмены адресов.
После установления связи шлюзы сетевого уровня фильтруют пакеты только на сеансовом уровне модели OSI, т.е. не могут проверять содержимое пакетов, передаваемых между внутренней и внешней сетью на уровне прикладных программ. И поскольку эта передача осуществляется "вслепую", злоумышленник, находящийся во внешней сети, может "протолкнуть" свои "вредоносные" пакеты через такой шлюз. После этого хакер обратится напрямую к внутреннему Web-серверу, который сам по себе не может обеспечивать функции межсетевого экрана. Иными словами, если процедура квитирования связи успешно завершена, шлюз сетевого уровня установит соединение и будет "слепо" копировать и перенаправлять все последующие пакеты независимо от их содержимого.
Чтобы фильтровать пакеты, генерируемые определенными сетевыми службами, в соответствии с их содержимым необходим шлюз прикладного уровня.
Для устранения ряда недостатков, присущих фильтрующим маршрутизаторам, межсетевые экраны должны использовать дополнительные программные средства для фильтрации сообщений сервисов типа TELNET и FTP. Такие программные средства называются полномочными серверами (серверами-посредниками), а хост-компьютер, на котором они выполняются, - шлюзом прикладного уровня.
Шлюз прикладного уровня исключает прямое взаимодействие между авторизированным клиентом и внешним хост-компьютером. Шлюз фильтрует все входящие и исходящие пакеты на прикладном уровне. Связанные с приложением серверы – посредники перенаправляют через шлюз информацию, генерируемую конкретными серверами.
Для достижения более высокого уровня безопасности и гибкости шлюзы прикладного уровня и фильтрующие маршрутизаторы могут быть объединены в одном межсетевом экране.
Полномочные серверы - посредники пропускают только те службы, которые им поручено обслуживать. Иначе говоря, если шлюзы прикладного уровня наделен полномочиями для служб FTP и TELNET, то в защищаемой сети будут разрешены только FTP и TELNET, а все другие службы будут полностью блокированы. Для некоторых организаций такой вид безопасности имеет большое значение, так как он гарантирует, что через межсетевой экран будут пропускаться только те службы, которые считаются безопасными.
Полномочные серверы-посредники обеспечивают возможность фильтрации протокола. Например, некоторые межсетевые экраны, использующие шлюзы прикладного уровня, могут фильтровать FTP – соединения и запрещать использование команды FTP put, что гарантированно не позволяет пользователям записывать информацию на анонимный FTP-сервер.
В дополнение к фильтрации пакетов многие шлюзы прикладного уровня регистрируют все выполняемые сервером действия и, что особенно важно, предупреждают сетевого администратора о возможных нарушениях защиты. Например, при попытках проникновения в сеть извне BorderWare Firewall Server компании Secure Computing позволяет фиксировать адреса отправителя и получателя пакетов, время, в которое эти попытки были предприняты, и используемый протокол. Межсетевой экран Black Hole компании Milkyway Networks регистрирует все действия сервера и предупреждает администратора о возможных нарушениях, посылая ему сообщение по электронной почте или на пейджер. Аналогичные функции выполняют и ряд других шлюзов прикладного уровня.
Шлюзы прикладного уровня позволяют обеспечить наиболее высокий уровень защиты, поскольку взаимодействие с внешним миром реализуется через небольшое число прикладных полномочных программ-посредников, полностью контролирующих весь входящий и выходящий трафик.
Преимущества шлюзов прикладного уровня:
· Невидимость структуры защищаемой сети из глобальной сети Internet. Имена внутренних систем можно не сообщать внешним системам через DNS, поскольку шлюз прикладного уровня может быть единственным хост-компьютером, имя которого должно быть известно внешним системам.
· Надежная аутентификация и регистрация. Прикладной трафик может быть аутентифицирован, прежде чем он достигнет внутренних хост-компьютеров, и может быть зарегистрирован более эффективно, чем с помощью стандартной .регистрации.
· Оптимальное соотношение между ценой и эффективностью. Дополнительные или аппаратные средства для аутентификации или регистрации нужно устанавливать только на шлюзе прикладного уровня.
· Простые правила фильтрации. Правила на фильтрующем маршрутизаторе оказываются менее сложными, чем они были бы, если бы маршрутизатор сам фильтровал прикладной трафик и отправлял его большому числу внутренних систем. Mapшрутизатор должен пропускать прикладной трафик, предназначенный только для шлюза прикладного уровня, и блокировать весь остальной трафик.
· Возможность организации большого числа проверок. Защита на уровне приложений позволяет осуществлять большое количество дополнительных проверок, что снижает вероятность взлома с использованием "дыр" в программном обеспечении.
К недостаткам шлюзов прикладного уровня относятся:
· более низкая производительность по сравнению с фильтрующими маршрутизаторами; в частности, при использовании клиент-серверных протоколов, таких как TELNET, требуется двухшаговая процедура для входных и выходных соединений;
· Более высокая стоимость по сравнению с фильтрующим маршрутизатором
Одним из важных компонентов концепции межсетевых экранов является аутентификация (проверка подлинности пользователя). Прежде чем пользователю будет предоставлено право воспользоваться тем или иным сервисом, необходимо убедиться, что он действительно тот, за кого себя выдает.
Одним из способов аутентификации является использование стандартных паролей. Однако эта схема наиболее уязвима с точки зрения безопасности - пароль может быть перехвачен и использован другим лицом. Многие инциденты в сети Internet произошли отчасти из-за уязвимости традиционных паролей. Злоумышленники могут наблюдать за каналами в сети Internet и перехватывать передающиеся в них открытым текстом пароли, поэтому схему аутентификации с традиционными паролями следует признать устаревшей.
Для преодоления этого недостатка разработан ряд средств усиленной аутентификации; смарт-карты, персональные жетоны, биометрические механизмы и т.п. Хотя в них задействованы разные механизмы аутентификации, общим для них является то, что пароли, генерируемые этими устройствами, не могут быть повторно использованы нарушителем, наблюдающим за установлением связи. Поскольку проблема с паролями в сети Internet является постоянной, межсетевой экран для соединения с Internet, не располагающий средствами усиленной аутентификации или не использующий их, теряет всякий смысл.
Ряд наиболее популярных средств усиленной аутентификации, применяемых в настоящее время, называются системами с одноразовыми паролями. Например, смарт–карты или жетоны аутентификации генерируют информацию, которую хост-компьютер использует вместо традиционного пароля Результатом является одноразовый пароль, который, даже если он будет перехвачен, не может быть использован злоумышленником под видом пользователя для установления сеанса с хост- компьютером.
Так как межсетевые экраны могут централизовать управление доступом в сети, они являются подходящим местом для установки программ или устройств усиленной аутентификации. Хотя средства усиленной аутентификации могут использоваться на каждом хост-компьютере, более практично их размещение на межсетевом экране.
Некоторые межсетевые экраны позволяют организовать виртуальные корпоративные сети. Несколько локальных сетей, подключенных к глобальной сети, объединяются в одну виртуальную корпоративную сеть. Передача данных между этими локальными сетями производиться прозрачным образом для пользователей локальных сетей. Конфиденциальность и целостность передаваемой информации должны обеспечиваться при помощи средств шифрования, использование цифровых подписей. При передаче данных может шифроваться не только содержимое пакета, но и некоторые поля заголовка.
Для создания и поддержания необходимого уровня защищенности объектов ИС разрабатывается система правовых норм, регулирующих отношения сотрудников в сфере безопасности, определяются основные направления деятельности в данной области, формируются органы обеспечения безопасности и механизмы контроля их деятельности.
Основными принципами обеспечения безопасности являются законность, достаточность, соблюдение баланса личных интересов и предприятия, взаимная ответственность персонала и руководства взаимодействие с государственными правоохранительными органами.
Правовые или законодательные основы обеспечения безопасности ИС составляют Конституция РФ, Законы РФ, Кодексы, указы и другие нормативные акты, регулирующие отношения в области информации.
Предметами правового регулирования в этом плане являются:
1. Правовой режим информации, средств информатики, индустрии информатизации и систем информационных услуг в условиях риска, средства и формы защиты информации.
2. Правовой статус участников правоотношений в процессах информатизации (определение права на информацию, гарантий и защиты прав и установления ответственности в зависимости от ролей субъектов в процессе информатизации).
3. Порядок отношений субъектов с учетом их правового статуса на различных стадиях и уровнях процесса функционирования информационных структур и систем.
Законодательство по информационной безопасности можно представить как неотъемлемую часть всей системы законов Российской Федерации, в том числе:
— Конституционное законодательство. Нормы, касающиеся вопросов информатизации, входят в них как составные элементы.
— Общие основные законы (о собственности, недрах, земле, о правах граждан, гражданстве, налогах), включают нормы по вопросам информатизации.
— Законы по организации управления, касающиеся отдельных структур хозяйства, экономики, системы государственных органов и определяющие их статус. Они включают отдельные нормы по вопросам информации. Наряду с общими вопросами информационного обеспечения деятельности конкретного органа эти нормы должны устанавливать обязанность органа по формированию и актуализации систем и массивов (банков) информации.
— Специальные законы, полностью относящиеся к конкретным сферам отношений, отраслям хозяйства, процессам. В их число входят законы по информатизации. Именно состав и содержание этих законов образуют специальное законодательство как основу правового обеспечения информатизации и защиту информации.
— Подзаконные нормативные акты в области информатизации.
— Правоохранительное законодательство РФ, содержащее нормы ответственности за правонарушения в области информатизации.
Специальное законодательство в области информатизации представляется совокупностью законов. В их составе особое место принадлежит базовому закону «Об информации, информатизации и защите информации», который закладывает основы правового определения всех важнейших компонентов процесса информатизации:
· информатизации и информационных систем;
· субъектов — участников процесса;
· правоотношений производителей — потребителей информационной продукции, владельцев информации;
· обработчиков и потребителей на основе отношение собственности при обеспечении гарантий интересов граждан и государства.
Другой закон — "Об охране прав граждан в условиях информатизации" — отвечает мировой практике защиты интересов отдельной личности; права на личную жизнь в части, связанной с информацией, обеспечивают механизмы и процедуры правовой защиты информации, принадлежащей гражданам, информации о гражданах, информации, потребляемой гражданами в связи с реализацией их права и обязанностей; ответственность государства и других структур общества за соблюдение прав и интересов граждан России, иностранных граждан.
Вопросы правового режима информации с ограниченным доступом реализуются в двух самостоятельных законах «О государственной тайне» и «О коммерческой тайне».
В 1992 г.был принят специальный закон «О правовой охране программ для ЭВМ и баз данных». Одновременно с указанным законом был принят Закон РФ «О правовой охране технологии интегральных микросхем». Оба закона устанавливают охрану соответствующих объектов с помощью норм авторского права, включая в перечень объектов авторского права наряду с традиционными базы данных, технологии интегральных микросхем и программы для ЭВМ.
К правовому обеспечению относятся и такие формы как составление договоров на проведение работ и на оказание информационных услуг. Здесь правовая гарантия предусматривается определенными условиями ответственности за нарушение сторонами принятых обязательство (помимо возмещения убытков возможны штрафные санкции).
Помимо этих гарантий стороны могут прибегнуть к страхованию убытков. Тогда они в договоре определяют, какая именно сторона заключает договор страхования со страховой компанией, а также случаи возникновения убытков, подлежащих страхованию. Как правило, страхование берет на себя исполнитель, но тогда страховая сумма учитывается при определении цены договора.
Уголовная ответственность, которую могут нести граждане РФ за "преступления в сфере компьютерной информации" (Глава 28 УК РФ):
Статья 272. Неправомерный доступ к компьютерной информации.
1. Неправомерный доступ к охраняемой законом компьютерной информации, то есть информации на машинном носителе, в электронно-вычислительной машине (ЭВМ), системе ЭВМ или их сети, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети, - наказывается штрафом в размере от двухсот до пятисот минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период от двух до пяти месяцев, либо исправительными работами на срок от шести месяцев до одного года, либо лишением свободы на срок до двух лет.
2. То же деяние, совершенное группой лиц по предварительному сговору или организованной группой, либо лицом с использованием своего служебного положения, а равно имеющим доступ к ЭВМ, системе ЭВМ или их сети, - наказывается штрафом в размере от пятисот до восьмисот минимальных размеров оплаты труда или в размере заработной платы, или иного дохода осужденного за период от пяти до восьми месяцев, либо исправительными работами на срок от одного года до двух лет, либо арестом на срок от трех до шести месяцев, либо лишением свободы на срок до пяти лет.
Статья 273. Создание, использование и распространение
вредоносных программ для ЭВМ.
1. Создание программ для ЭВМ или внесение изменений в существующие программы, заведомо приводящих к несанкционированному уничтожению, блокированию, модификации либо копированию информации, нарушению работы ЭВМ, системы ЭВМ или их сети, а равно использование либо распространение таких программ или машинных носителей с такими программами, - наказываются лишением свободы на срок до трех лет со штрафом в размере от двухсот до пятисот минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период от двух до пяти месяцев.
2. Те же деяния, повлекшие по неосторожности тяжкие последствия, - наказываются лишением свободы на срок от трех до семи лет.
Статья 274. Нарушение правил эксплуатации ЭВМ, системы ЭВМ или
их сети.
1. Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети лицом, имеющим доступ к ЭВМ, системе ЭВМ или их сети, повлекшее уничтожение, блокирование или модификацию охраняемой законом информации ЭВМ, если это деяние причинило существенный вред, - наказывается лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет, либо обязательными работами на срок от ста восьмидесяти до двухсот сорока часов, либо ограничением свободы на срок до двух лет.
2. То же деяние, повлекшее по неосторожности тяжкие последствия, - наказывается лишением свободы на срок до четырех лет.
По своей сути данный закон должен быть направлен именно на взломщиков. Однако, первое, что бросается в глаза, это то, что не предусмотрено такое правонарушение, как взлом программного обеспечения.
С другой стороны, расплывчатость формулировок статей закона, в случае их формальной трактовки, позволяет привлечь к уголовной ответственности практически любого программиста или системного администратора (например, допустившего ошибку, которая повлекла за собой причинение определенного законом ущерба). Так что программы теперь лучше вообще не писать.
Если же серьезно, то применение на практике данного закона чрезвычайно затруднено. Это связано, во-первых, со сложной доказуемостью подобных дел (судя по зарубежному опыту) и, во-вторых, с естественным отсутствием высокой квалификации в данной области у следователей. Поэтому, видимо, пройдет еще не один год, пока мы дождемся громкого успешного уголовного процесса по "преступлению в сфере компьютерной информации". Хотя на Западе уже прошли несколько процессов, осудивших хакеров, разработчиков вирусов и тех, кто неправомерно использовал чужую информацию.
Вопросами стандартизации и разработки нормативных требований на защиту информации в США занимается Национальный центр компьютерной безопасности министерства обороны США. (NCSC — National Computer Security Center).
Этот центр в 1983 году издал Критерии оценки безопасности компьютерных систем (TCSEC — Trasted Computer System Evaluation Criteria). Этот документ часто называют Оранжевой Книгой. Утвержденная в 1985 г. в качестве правительственного стандарта, Оранжевая Книга содержит основные требования и специфицирует классы для оценки уровня безопасности компьютерных систем. Используя эти критерии, NCSC тестирует эффективность механизмов контроля безопасности. Следует подчеркнуть, что критерии делают безопасность величиной, допускающей ее измерение, и позволяют оценить уровень безопасности той или иной системы. Подобная возможность эмпирического анализа степени безопасности систем привела к международному признанию федерального стандарта США. NCSC считает безопасной систему, которая «посредством специальных механизмов защиты контролирует доступ к информации таким образом, что только имеющие соответствующие полномочия лица или процессы, выполняющиеся от их имени, могут получить доступ на чтение, запись, создание или удаление информации».
В Оранжевой книге приводятся следующие уровни безопасности систем:
— высший класс — обозначается как А;
— промежуточный класс — обозначается как В;
— низший уровень безопасности — как С;
— класс систем не прошедших испытания — как D. Рассмотрим содержание требований к обеспечению безопасности в порядке их возрастания.
Класс D присваивается тем системам, которые не прошли испытания на более высокий уровень защищенности, а также системам, использующим для защиты лишь отдельные мероприятия или функции (подсистемы) безопасности
Класс С1: избирательная защита. Средства безопасности систем класса С1 должны удовлетворять требованиям избирательного управления доступом, обеспечивая разделения пользователей и данных. Для каждого объекта и субъекта задается перечень допустимых типов доступа (чтение, запись, печать и г. д.) субъекта к объекту.
В системах этого класса обязательна идентификация и аутентификация субъекта доступа, а также поддержка со стороны оборудования.
Класс С2: управляемый доступ. К требованиям класса С1 добавляются требования уникальной идентификации субъекта доступа, защиты по умолчанию и регистрации событий. Уникальная идентификация означает, что любой пользователь системы должен иметь уникальное имя.
Защита по умолчанию предполагает назначение полномочий доступа пользователям по принципу «все что не разрешено, то запрещено». То есть все те ресурсы, которые явно не разрешены пользователю, полагаются недоступными.
В системах этого класса обязательно ведение системного журнала, в котором должны отмечаться события, связанные с безопасностью системы. Сам журнал должен быть защищен от доступа любых пользователей, за исключением сотрудников безопасности.
В системах класса В должен быть полностью контролируемый доступ. Каждый субъект и объект системы снабжается метками (или уровнями) конфиденциальности и решение на доступ субъекта к объекту принимается по определенному правилу на основе сопоставления информации обеих меток.
Класс В1: меточная защита. Метки безопасности должны быть присвоены всем субъектам и объектам системы, которые могут содержать конфиденциальную информацию. Доступ к объектам разрешается, если метка субъекта удовлетворяет определенному критерию относительно метки объекта
Класс В2: структурированная защита. В этом классе дополнительно к требованиям класса В1 добавляется требование наличия хорошо определенной и документированной формальной модели политики безопасности, требующей действия избирательного и полномочного управления доступом ко всем объектам системы. Вводится требование управления информационными потоками в соответствии с политикой безопасности.
Класс ВЗ: области безопасности. В системах этого класса определяются области безопасности, которые строятся по иерархической структуре и защищены друг от друга с помощью специальных механизмов. Все взаимодействия субъектов с объектами строго контролируются специальным монитором. Система контроля оповещает администратора безопасности и пользователя о нарушении безопасности.
Класс А1: верификация. Системы этого класса отличаются от класса ВЗ тем, что для проверки спецификаций применяются методы формальной верификации — анализа спецификаций системы на предмет неполноты или противоречивости.
Анализ классов защищенности показывает, что чем он выше, тем более жесткие требования предъявляются к системе. Это выражается не только в расширенном тестировании возможностей системы и представлении расширенной документации, но и в использовании формальных методов проверки правильности спецификаций.
В части стандартизации аппаратных средств информационных систем и телекоммуникационных сетей в США разработаны правила стандарта TEMPEST (Transient Electromagnetic Pulse Emanations Standart).
Этот стандарт предусматривает применение специальных мер защиты аппаратуры от паразитных излучений электромагнитной энергии, перехват которой может привести к овладению охраняемыми сведениями.
Стандарт Tempest обеспечивает радиус контролируемой зоны перехвата порядка одного метра Это достигается специальными схемотехническими, конструктивными и программно-аппаратными решениями, в том числе:
— применением специальной низкопотребляющей малошумящей элементной базы;
— специальным конструктивным исполнением плат и разводкой сигнальных и земляных электрических цепей,
— использованием экранов и RC фильтров, ограничивающих спектры сигналов в цепях интерфейсных соединений;
— применением специальных мер, обеспечивающих защиту от НСД (съемный жесткий диск, магнитные парольные карты, специальные замковые устройства, программно-аппаратные средства защиты информации и шифрования).
Снижение мощности побочного электромагнитного излучения (ПЭМИН ) монитора достигается рядом конструктивно-технологических решений, примененных в ПЭВМ:
— видеомонитор с задней стороны полностью заключен в металлический экран;
— плата видеоусилителей видеомонитора заключена в дополнительный экран;
— на соединительные кабели видеомонитора установлены ферритовые фильтры;
— сигнальные цепи выполнены экранированным кабелем;
— сигналы на интерфейсные разъемы системного блока подаются через LC-фильтры, ограничивающие спектр сигналов сверху;
— корпус системного блока металлический с токопроводящим покрытием, что обусловливает достаточную локализацию ПЭМИН.
Руководящие документы (в некоторой степени аналогичные разработанным NCSC) в области защиты информации разработаны Государственной технической комиссией при Президенте Российской Федерации. Требования всех документов обязательны для исполнения только в государственном секторе, либо коммерческими организациями, которые обрабатывают информацию, содержащую государственную тайну. Для остальных коммерческих структур документы носят рекомендательный характер.
Здесь мы кратко рассмотрим содержание только одного из документов, отражающих требования по защите информации от несанкционированного доступа. Полное название документа такое «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации».
В этом документе приведена классификация автоматизированных систем на классы по условиям их функционирования с точки зрения защиты информации в целях разработки и применения обоснованных мер по достижению требуемого уровня безопасности.
Устанавливается девять классов защищенности, каждый из которых характеризуется определенной минимальной совокупностью требований по защите.
Классы подразделяются на три группы, отличающиеся особенностями обработки информации. В пределах каждой группы соблюдается иерархия требований по защите в зависимости от ценности (конфиденциальности) информации и следовательно, иерархия классов защищенности. Рассмотрим показатели каждой из групп.
Третья группа включает системы, в которых работает один пользователь, допущенный ко всей информации, размещенной на носителях одного уровня конфиденциальности. Группа содержит два класса — ЗБ и ЗА.
Вторая группа включает системы, в которых пользователи имеют одинаковые права (полномочия) ко всей информации, обрабатываемой и (или) хранимой на носителях различного уровня конфиденциальности. Группа содержит два класса — 2Б и 2А.
Первая группа включает многопользовательские системы, в которых одновременно обрабатывается и (или) хранится информация разных уровней конфиденциальности. Группа содержит пять классов, 1Д, 1Г, 1В, 1Б и 1А.
В общем плане защитные мероприятия охватывают четыре подсистемы:
— управления доступом;
— регистрации и учета;
— криптографической;
— обеспечения целостности.
Показатели защищенности средств вычислительной техники (СВТ) от несанкционированного доступа (НСД) приведены в документе «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности». В этом документе определены семь классов защищенности СВТ от НСД к информации. Самый низкий класс седьмой, самый высокий первый. Каждый класс наследует требования защищенности от предыдущего. В зависимости от реализованных моделей защиты и надежности их проверки классы подразделяются на четыре группы.
Первая группа включает только один седьмой класс (минимальная защищенность).
Вторая группа характеризуется избирательной защитой и включает шестой и пятый классы. Избирательная защита предусматривает контроль доступа поименованных субъектов к поименованным объектам системы. При этом для каждой пары «субъект-объект» должны быть определены разрешенные типы доступа. Контроль доступа применяется к каждому объекту и каждому субъекту (индивиду или группе равноправных индивидов).
Третья группа характеризуется полномочной защитой и включает четвертый, третий и второй классы. Полномочная защита предусматривает присвоение каждому субъекту и объекту системы классификационных меток, указывающих место субъекта (объекта) в соответствующей иерархии. Классификационные метки на объекты устанавливаются пользователем системы или специально выделенным субъектом. Обязательным требованием для классов, входящих в эту группу, является реализация диспетчера доступа (в иностранной литературе — reference monitor, монитор ссылок). Контроль доступа должен осуществляться применительно ко всем объектам при явном и скрытом доступе со стороны любого из субъектов. Решение о санкционированности запроса на доступ должно приниматься только при одновременном разрешении его и избирательными и полномочными правилами разграничения доступа.
Четвертая группа характеризуется верифицированной защитой и содержит только первый класс.
Для присвоения класса защищенности система должна иметь:
— руководство администратора по системе,
— руководство пользователя;
— тестовую и конструкторскую документацию.
Методика оценки безопасности и США и России практически одного плана, ориентированы на оценку безопасности на качественном уровне.
Управление безопасностью состоит из следующих взаимосвязанных шагов:
Выявление потенциальных угроз;
Анализ уязвимости;
Анализ риска или управление риском
Оценка механизмов безопасности
Проверка механизмов безопасности
Определение методов восстановления
Ниже приведены действия, рекомендуемые для начала проведения корпоративной программы по обеспечению безопасности:
1. Ключевым моментом всей программы является создание и опубликование политики обеспечения безопасности. Этот документ служит основой для всех остальных действий.
2. Чрезвычайно важна программа информирования, поскольку с ее помощью сотрудникам напоминают им об их обязанностях, связанных с безопасностью.
3. Хотя ответственность за безопасность лежит на менеджерах, сотрудники службы безопасности могут также участвовать в реализации этой программы.
4. Программа установления владельцев информации необходима для всех систем контроля доступа к данным, при этом нужно гарантировать, что рассмотрены все ресурсы.
5. Программа классификации информации важна для того, чтобы предотвратить ее чрезмерную или недостаточную защиту, что влечет за собой дополнительные расходы,
6. Необходимо наличие правил доступа к данным, чтобы ограничить доступ любопытных сотрудников к чувствительным ресурсам, а также тем, кто может изменить или уничтожить данные.
7. Установка системного ПО способствует внедрению политики контроля доступа. Изменения могут быть быстро локализованы, и предприняты соответствующие
8. действия для пресечения неразрешенной активности .
При планировании сети разрабатывается политика ее защиты. Существует две основных модели защиты: 1) защита на уровне совместно используемых ресурсов (защита через пароль, resourse level); 2) защита на уровне пользователя (через права доступа, user level).
Многие компании применяют обе эти модели. Защита через пароль предполагает, что для доступа к конкретному ресурсу пользователь должен ввести пароль, то есть работать с ресурсом может только тот, кто знает пароль. Защита через права доступа основана на присвоении пользователям некоторого набора прав. При входе в сеть пользователь вводит комбинацию имени и пароля, которая и определяют доступность для него сетевых ресурсов.
Сеть, которая работает сама по себе, еще не придумана. Время от времени нужно переназначать и подключать новых пользователей, а среди существующих некоторых иногда удалять. Приходится устанавливать новые ресурсы и предоставлять их в совместное использование, кроме того, предоставлять совместные права на доступ к ним. Права доступа – это правила, ассоциированные с ресурсом, обычно каталогом, файлом или принтером. Права регулируют доступ пользователей к ресурсам. Наиболее эффективный метод присвоения прав – это создание групп. Администратор наделяет конкретными правами целые группы пользователей, а не отдельных пользователей.
Одними из наиболее важных свойств безопасности, используемых сегодня, являются пароли. Для начала рассмотрим различные виды контроля доступа по паролю для того, чтобы понять, насколько просты методы воровства паролей.
Среди современных компьютерных технологий существуют несколько видов контроля доступа по паролю или ключу, которые по техническим методам можно разделить на три основных вида. Для всех видов характерно, когда, при начале работы с информационным ресурсом, во время запроса доступа к нему, программным обеспечением у пользователя в диалоговой форме запрашивается ввод пароля с устройства ввода или клавиатуры. Во время ввода пароля в наиболее отсталых, с технологической точки зрения, программах пароль отображается на экране прямым текстом, в более продвинутом программном обеспечении он скрывается символами заменителями, например, звездочками, или не отображается вовсе. К паролю обычно прилагается имя пользователя или наименование системного профиля (счета) пользователя. На некоторых системах имени пользователя не требуется, но такие системы уже устарели.
Сходный алгоритм используется теперь в основном только при защите лицензионного программного обеспечения от копирования, например, серийные номера.
Итак, первый вид контроля доступа, когда полученный пароль отправляется или пересылается через сеть или программе клиенту в виде чистого текста. Нарушитель с помощью анализатора протоколов может "слушать" сеть в поисках таких паролей. Никаких дальнейших усилий не требуется; нарушитель может начать немедленно использовать эти пароли для регистрации в систему (сеть).
Второй вид контроля доступа, который с точки зрения системного администратора надежнее защищает пароли, это когда полученный пароль пересылается на сервер в зашифрованном виде. Такой вид контроля доступа используют, например, Windows NT, Windows 95 и другие. В частности дополнительными примерами могут послужить виды контроля доступа к ресурсам серверов WWW в Интернет. В этих случаях нарушителю потребуется провести атаку по словарю или "подбор пароля" для того, чтобы попытаться провести дешифрование. Заметим, что вы по-прежнему не знаете о присутствии нарушителя, поскольку он/она является полностью пассивным и ничего не передает по сети. Взлом пароля не требует того, чтобы передавать что-нибудь в сеть, тогда как собственный компьютер нарушителя используется для аутентификации вашего пароля. Приходится искать средства для взлома и расшифровки паролей, который могут занять время, хотя и не настолько продолжительное, как это описывают в рекламе. В некоторых случаях нарушителям нет необходимости расшифровывать пароль. Они могут повторно передать зашифрованный пароль в процессе аутентификации.
Второй метод тоже прост для тех, кто знаком хотя бы теоретически с теорией компьютерных сетей и сетевых протоколов пакетного типа. В основе этого протокола лежит способ передачи информации по узлам сети. В сети Token Ring, например, по умолчанию информация переходит непосредственно от клиента к серверу, в сети Ethernet информация в момент передачи от клиента к серверу проходит по всем сетевым интерфейсам, в сети Интернет, состоящей из множества сетей с различными топологиями, информация передается от клиента к серверу минуя цепочку промежуточных узлов.
Но есть и исключения, например, при передаче информации по Token Ring к другим кольцам, при передаче информации по сети Ethernet через хорошие и очень дорогие "умные" устройства маршрутизации, при пересылке информации по сети Интернет к ближайшему узлу. В любом случае информацию в виде пакетов данных могут перехватывать промежуточные узлы в виде мостов, коммутаторов, маршрутизаторов и клиентов сети Ethernet. Особенно уязвимой в этом плане является сеть Ethernet, даже при использовании соединений на основе сетевых устройств, витой пары и оптико-волоконных преобразователей. Таким образом, специальное программное обеспечение, которое используют хакеры, в состоянии отслеживать и перехватывать как простые пароли в виде гладкого текста, так и пароли в зашифрованном виде.
Кража файла с паролями – еще один вид контроля доступа. Вся база данных пользователя обычно хранится в одном файле на диске. В ОС UNIX этим файлом является /etc/passwd (или некоторое зеркало этого файла) и в ОС Windows NT это SAM-файл («хранилище паролей»). В любом случае, как только нарушитель получает этот файл, он/она может запускать программы взлома (описанные выше) для того, чтобы найти слабые пароли внутри данного файла.
Одна из традиционных проблем при защите паролей заключается в том, что пароли должны быть длинными и трудными для расшифровки. Однако часто такие пароли очень трудно запомнить, поэтому пользователи записывают их где-нибудь. Нарушители могут часто обыскивать рабочие места пользователей для того, чтобы найти пароли, записанные на небольших клочках бумаги (обычно под клавиатурой). Нарушители могут также подглядывать пароли, стоя за спиной пользователя.
Наиболее распространенный (удивительно успешный) метод - социальный инжиниринг – просто позвонить пользователю и сказать: "Привет, это Леха из отдела автоматизации. Мы пытаемся решить некоторые проблемы в сети, кажется, что они исходят от твоего компьютера. Какой пароль ты используешь?". Многие пользователи в такой ситуации называют свой пароль. Во многих корпорациях существует политика, которая предписывает пользователям никогда не выдавать свой пароль, даже своим собственным подразделениям автоматизации, но этот метод по-прежнему является успешным. Одним из легких способов выполнить его заключает в звонке новичку, который работает менее месяца, и спросить у него пароль, затем взломать их, сделав это таким образом, что они долго будут помнить.
Существует еще один вид контроля доступа, когда пароль является дополнением к многоуровневой системе безопасности на основе сертификатов (простые и многоуровневые). Естественно, что сертификаты, как и сам пароль, передаются в шифрованном виде. Таких систем достаточно много. Это семейство продуктов фирмы Lotus - Notes/Domino. Система Notes/Domino (тип клиент- сервер) использует иерархическую структуру сертификатов, и соответствует спецификации стандарта безопасности C2.
При установлении соединения с такой системой проверяется не только пароль, но и производится поиск одинаковых сертификатов. После этого вы получаете доступ только к тем ресурсам, которые соответствуют этому сертификату или сертификату, находящемуся на более низком уровне.
Существуют также виды контроля доступа, которые являются комбинациями более простых видов контроля доступа и основаны на трех описанных выше и других методах. При краже пароля и взломе сети злоумышленники также как и администраторы при защите сетей должны обязательно учитывать фактор операционных систем. Этот фактор заключается в том, что с помощью имени пользователя и пароля, которые предназначены для доступа к одному информационному ресурсу, можно также получить доступ к самой операционной системе и другим информационным ресурсам. В результате с помощью перехваченного почтового пароля можно получить доступ к другим информационным ресурсам. Именно по этой причине рекомендуется использовать разные пароли на доступ к коммутируемому соединению и почтовому ящику.
Рассмотрим уязвимости паролей, приводящие к несанкционированному доступу к защищенной информации в Windows NT, по аналогии с системами. Пароли в Windows NT находятся в файле \\WINNT\SYSTEM32\CONFIG\SAM, базе данных безопасности системы. Данный файл является по умолчанию читаемым, но "запертым", т.к. используется прочими компонентами системы. Копия данного файла содержится в директории \\WINNT\REPAIR\ после создания администратором repair-диска и легко может быть скопирована оттуда. После инсталляции база данных безопасности системы содержит только бюджеты пользователей Administrator и Guest.
Но сами пароли не содержатся в данном файле. В нем содержатся хэш-значения, полученные следующим образом. Пароль пользователя конвертируется и превращается в 16-байтное значение. Это значение и является паролем Windows NT.
Таким образом, для того, чтобы сломать пароль в Windows NT, злоумышленнику необходимо выделить из базы данных безопасности системы имя пользователя и соответствующее ему хэш-значение. Данная процедура может быть выполнена с использованием программы PWDUMP, разработанной Jeremy Allison и свободно распространяемой. Использование данной программы требует привилегий Administrator (для того, чтобы иметь доступ по чтению к соответствующим значениям registry), но она может использоваться в том случае, если с атакуемой системы удалось получить копию базы данных безопасности системы.
После выделения паролей и соответствующих им хэш-значений может быть использована одна из многих программ взлома пароля методом перебора или атаки по словарю - скорость перебора составляет примерно 2500 паролей/сек на компьютере класса Pentium.
Именно поэтому хэш-значение тщательно охраняется, и не передается по сети в открытом виде при аутентификации пользователя на сервере. Вместо этого используется стандартная схема "запрос-отклик": сервер посылает случайную последовательность. Рабочая станция шифрует ее с вычисленным хэш-значением введенного пароля и отсылает обратно. Сервер делает то же самое с имеющимся у него хэш-значением. В случае совпадения двух строк пользователь успешно регистрируется в системе.
Но для этого как-то хэш-значение должно оказаться на сервере? Нетрудно понять, что, по крайней мере, оно должно попадать туда при смене пароля пользователем. А раз так, то злоумышленник, чтобы перехватить хэш, должен дождаться, пока пользователь захочет поменять свой пароль. А это, к несчастью для него, может произойти в неопределенный момент времени. Если только он не знает этого момента заранее или не сможет заставить пользователя сделать это. Высока вероятность того, что пользователь, узнав о многочисленных попытках взлома своего ресурса (или обнаружив его заблокированным) захочет поменять свой пароль. (Впрочем, если он немного подумает, то он не попадется на эту удочку, и, скорее всего, попросит администратора отключить блокировку его ресурса в случае "обнаружения нарушителя").
Но на помощь нарушителю может прийти другое мощное средство повышения безопасности операционных систем, а именно "заставлять периодически менять пароль". Зная, что администратор системы "повысил" ее защищенность путем периодической обязательной смены паролей, злоумышленнику остается только дождаться момента плановой смены паролей, и золотой ключик, т.е. хэш-значение администратора у него в кармане.
Важно иметь безопасные, не очевидные пароли. Современные ОС включают программы, которые не позволяет устанавливать легко угадываемый пароль.
Шифрование паролей очень полезно, даже необходимо. Существует большое количество разных методов шифрования данных, каждый из которых имеет свой собственный набор характеристик.
Большинство ОС в основном используют односторонний алгоритм шифрования, называемый DES (стандарт шифрования данных /Data Encription Standard/), для шифрования паролей. Эти зашифрованные пароли затем сохраняются в системных файлах. При попытке зарегистрироваться, все, что набирается на клавиатуре, снова шифруется и сравнивается с содержимым файла, в котором хранятся пароли. Если они совпадают, должно быть это одинаковые пароли, и доступ разрешается.
Атаки "методом грубой силы", такие как "Crack" или "John the Ripper" могут часто угадать ваш пароль, если он не достаточно случаен (рандомизирован). Они действуют следующим образом. Если по какой-либо причине программа passwd не может отслеживать легко узнаваемые пароли, можно использовать взламывающую пароли программу, чтобы убедиться в безопасности паролей ваших пользователей.
Взламывающие пароли программы основаны на простой идее. Они перебирают каждое слово и его вариации из словаря. Они зашифровывают это слово и сравнивают его с вашим зашифрованным паролем. Если они совпадают, значит задача выполнена. Конечно, они заберут много процессорного времени, но можно с уверенностью сказать, сможет ли взломщик с помощью них получить пароли, - сначала себе, а затем и пользователям указать слабые пароли. Примечательно, что взломщик для получения passwd должен был бы сначала использовать другие дыры в системе, но это уже более широкий вопрос.
Идентификацию и аутентификацию можно считать основой программно-технических средств безопасности, поскольку остальные сервисы рассчитаны на обслуживание именованных субъектов.
Идентификация позволяет субъекту (пользователю или процессу, действующему от имени определенного пользователя) назвать себя (сообщить свое имя). Посредством аутентификации вторая сторона убеждается, что субъект действительно тот, за кого он себя выдает. В качестве синонима слова "аутентификация" иногда используют сочетание "проверка подлинности".
Субъект может подтвердить свою подлинность, если предъявит по крайней мере одну из следующих сущностей:
· нечто, что он знает (пароль, личный идентификационный номер, криптографический ключ и т.п.),
· нечто, чем он владеет (личную карточку или иное устройство аналогичного назначения),
· нечто, что есть часть его самого (голос, отпечатки пальцев и т.п., то есть свои биометрические характеристики).
Пароли являются наиболее распространенным средством аутентификации. Система сравнивает введенный и ранее заданный для данного пользователя пароль; в случае совпадения подлинность пользователя считается доказанной.
Главное достоинство парольной аутентификации - простота и привычность. Пароли давно встроены в операционные системы и иные сервисы. При правильном использовании пароли могут обеспечить приемлемый для многих организаций и пользователей уровень безопасности. Тем не менее, по совокупности характеристик их следует признать самым слабым средством проверки подлинности.
Аутентификацию целесообразно применять всегда, даже если наряду с паролями используются другие методы аутентификации, основанные, например, на применении токенов.
Токен - это предмет (устройство), владение которым подтверждает подлинность пользователя. Различают токены с памятью (пассивные, которые только хранят, но не обрабатывают информацию) и интеллектуальные токены (активные).
Самой распространенной разновидностью токенов с памятью являются карточки с магнитной полосой. Для использования подобных токенов необходимо устройство чтения, снабженное также клавиатурой и процессором. Обычно пользователь набирает на этой клавиатуре свой личный идентификационный номер, после чего процессор проверяет его совпадение с тем, что записано на карточке, а также подлинность самой карточки. Таким образом, здесь фактически применяется комбинация двух способов защиты, что существенно затрудняет действия злоумышленника - мало украсть или подделать карточку, нужно узнать еще и личный номер "жертвы". Иногда (обычно для физического контроля доступа) карточки применяют сами по себе, без запроса личного идентификационного номера.
Необходимо обрабатывать аутентификационную информацию самим устройством чтения, без передачи в компьютер, что исключает возможность электронного перехвата.
Наряду с несомненными достоинствами, токены с памятью обладают и определенными недостатками. Прежде всего, они существенно дороже паролей. Их необходимо делать, раздавать пользователям, обслуживать случаи потери. Они нуждаются в специальных устройствах чтения. Пользоваться ими не очень удобно, особенно если организация установила у себя интегрированную систему безопасности. Пользователей придется убеждать, что повышенные меры безопасности действительно необходимы.
Как известно, одним из самых мощных средств в руках злоумышленника является изменение программы аутентификации, при котором пароли не только проверяются, но и запоминаются для последующего несанкционированного использования. Выборочные обследования показали, что подобная операция была проделана хакерами на многих хостах Internet. Удивительно, что некоторые банкоматы, обслуживающие клиентов по карточкам с магнитной полосой, подверглись аналогичной модификации. Лица, получившие доступ к накопленной информации, могли подделывать карточки и пользоваться ими от имени законных владельцев. Против таких технических новинок рядовые граждане бессильны.
Интеллектуальные токены характеризуются наличием собственной вычислительной мощности. Они подразделяются на интеллектуальные карты (стандартизованные ISO) и прочие токены. Карты нуждаются в интерфейсном устройстве, прочие токены обычно обладают ручным интерфейсом (дисплеем и клавиатурой) и по внешнему виду напоминают калькуляторы. Чтобы токен начал работать, пользователь должен ввести свой личный идентификационный номер.
По принципу действия интеллектуальные токены можно разделить на следующие категории:
· Статический обмен паролями: пользователь обычным образом доказывает токену свою подлинность, затем токен проверяется компьютерной системой.
· Динамическая генерация паролей: токен генерирует пароли, периодически (например, раз в минуту) изменяя их. Компьютерная система должна иметь синхронизированный генератор паролей. Информация от токена поступает по электронному интерфейсу или набирается пользователем на клавиатуре терминала.
· Запросно-ответные системы: компьютер выдает случайное число, которое преобразуется криптографическим механизмом, встроенным в токен, после чего результат возвращается в компьютер для проверки. Здесь также возможно использование электронного или ручного интерфейса. В последнем случае пользователь читает запрос с экрана терминала, набирает его на клавиатуре токена (возможно, в это время вводится и личный номер), на дисплее токена видит ответ и переносит его на клавиатуру терминала.
Главным достоинством интеллектуальных токенов является возможность их применения при аутентификации по открытой сети. Генерируемые или выдаваемые в ответ пароли постоянно меняются, и злоумышленник не получит заметных дивидендов, даже если перехватит текущий пароль. С практической точки зрения интеллектуальные токены реализуют механизм одноразовых паролей.
Основным недостатком интеллектуальных токенов является их высокая стоимость. (Правда, это хотя бы отчасти можно трактовать и как достоинство, поскольку тем самым затрудняется подделка.) Если у токена нет электронного интерфейса, пользователю при аутентификации приходится совершать много манипуляций, что для владельцев дорогих устройств должно быть особенно обидно. Администрирование интеллектуальных токенов по сравнению с магнитными картами усложнено за счет необходимости управления криптографическими ключами.
Поскольку хеширование не является обратимой операцией, знание хешированного пароля пользователя не дает возможности быстро восстановить его в исходном текстовом виде и задействовать для интерактивного входа в систему на компьютере с Windows NT. И все же, имея в своем распоряжении хешированный пароль, взломщик может применить его для установления сетевого сеанса с другим компьютером и доступа к его ресурсам. Пароль в текстовом виде для этого не нужен. Данное свойство называется равнозначностью паролей (password equivalence) и с успехом может быть использовано для проникновения в ту или иную компьютерную систему по сети. Права, которые при этом взломщик получает на атакуемом по сети компьютере, соответствуют правам пользователя, хешированный пароль которого был задействован в момент подключения. Естественно, это может быть и обладатель административных полномочий. Однако для интерактивного входа в систему Windows NT знание пароля в символьном виде все же необходимо.
Зная хешированные пароли пользователей Windows NT (как, впрочем, и любой другой ОС, например UNIX), можно попытаться восстановить пароли в исходном текстовом виде. Для этого чаще всего используются два подхода:
- поиск по словарю;
- прямой подбор (подбор методом грубой силы).
По первому способу пароль (или пароли) взламывается с помощью некоторого заранее сформированного набора слов, которые и называются словарем программы. Слова из набора последовательно используются для вычисления хешированного пароля посредством процедуры, аналогичной применяемой в Windows NT. Как только работа такой процедуры дает результат, совпадающий с хешированным паролем из базы данных SAM атакуемого компьютера, пароль считается найденным.
Вероятность вскрытия пароля методом поиска по словарю зависит в первую очередь от объема словаря, используемого программой. Чем больше слов в словаре, тем выше вероятность совпадения какого-либо из них с паролем того или иного пользователя атакуемой компьютерной системы. Кроме того, некоторые программы такого рода в ходе поиска могут модифицировать слова исходного словаря, например, заменяя буквы близкими по начертанию цифрами (сравните password и ра55w0rd) или меняя порядок символов в слове на обратный. Это также повышает вероятность взлома паролей. Учитывая то, что обычные словари естественных языков включают всего лишь несколько десятков тысяч (или, может, сотен тысяч) слов, а скорость вычисления хешированных паролей достаточно велика, программы, осуществляющие поиск по словарю, работают очень быстро.
При прямом подборе для получения хешированных паролей используются последовательности символов, генерируемые из некоторого набора автоматически. Такой способ в принципе позволяет вскрыть все пароли, если известно их хешированное представление и они содержат символы только из данного набора. Однако за счет очень большого числа перебираемых комбинаций, которое возрастает экспоненциально и при увеличении числа символов в исходном наборе, и при увеличении длины подбираемого пароля, атаки такого рода обычно отнимают гораздо больше времени, чем поиск по словарю.
В некоторых программах подбора паролей может применяться “комбинированный” метод, когда в качестве словаря используется файл с заранее вычисленными хешированными паролями, соответствующими известным символьным последовательностями. Задача вскрытия пароля при этом фактически сводится к поиску нужной последовательности в файле. Такой способ требует меньше вычислительных ресурсов (т.к. один раз вычисленные и записанные в файл хешированные пароли может затем использовать для взлома неоднократно), но предполагает наличие на компьютере взломщика большого количества дискового пространства.
В случае Windows NT работа программ вскрытия текстовых паролей пользователей существенно облегчается, поскольку в первую очередь ими подбирается хешированный пароль стандарта Lan Manager. Но он недостаточно устойчив к взлому. Чтобы его вскрыть, нужно фактически найти две половины текстового пароля, причем длина каждой из половинок не превышает семи символов, а буквы в них используются только в верхнем регистре.
Получив текстовый пароль Lan Manager, в котором используются буквы в верхнем регистре, с помощью хешированного пароля Windows NT довольно нетрудно определить пароль, содержащий эти буквы в нижнем регистре. Последний уже можно применить для интерактивного входа в систему.
На общедоступных серверах Интернета имеется несколько программ для восстановления паролей пользователей Windows NT в текстовом виде, причем в некоторых из них реализованы оба рассмотренных выше способа. В качестве исходной информации эти программы обычно применяют хешированные пароли из базы данных SAM. Однако в ряде таких программ есть возможность извлечь пароли из перехваченных с помощью сетевого анализатора последовательностей пакетов «запрос-ответ», которыми обмениваются между собой компьютеры при установлении соединения по сети
Вывод однозначен: одна из главных задач системного администратора Windows NT – защита информации, хранящейся в базе данных SAM. Ниже приведены основные меры такой защиты:
- ограничение физического доступа к основным серверам сети, прежде всего к контролерам доменов Windows NT;
- защита базы данных SAM (а также ее копии) и других источников информации о паролях пользователей от несанкционированного доступа;
- дополнительное шифрование паролей в базе данных SAM с целью затруднения их вскрытия;
- предотвращение атак с целью выяснения паролей пользователей;
- применение средств, вынуждающих пользователей применять «хорошие», то есть трудно раскрываемые программными средствами паролей.
Ограничение на вход в систему.
По сравнению с сетевым доступом при интерактивной работе за компьютером у пользователя гораздо больше возможностей, в том числе и для осуществления действий, направленных на взлом системы безопасности. Интерактивный вход в систему на обычном сервере или рабочей станции Windows NT по умолчанию разрешен всем членам локальной группы пользователей, в том числе и всем пользователям-доменам, если этот компьютер – член домена. В то же время правом интерактивного входа в систему на контролере домена (если администратор домена не менял настройки ОС Windows NT после установки) обладают только члены локальных групп Administrators, Backup Operators, Print Operators, Server Operators и Account Operators. Администратор домена должен быть очень внимателен, формируя группы операторов
Факторы, затрудняющие подбор пароля.
Чем шире используемый для построения пароля набор символов и чем длиннее пароль, тем в среднем больше времени понадобится для его вскрытия. Иллюстрацией этого утверждения может служить следующая таблица, в которой приведены оценки числа комбинаций символов в зависимости от указанных параметров.
|
Длина пароля |
Набор символов |
|
|
1.1.1 A - Z A - Z, 0 - 9 A - Z, a - z, 0 - 9 |
|
5 |
265 ~11,9млн. 365 ~ 60,5 млн. 625 ~ 916 млн. |
|
6 |
266 ~ 309млн. 366 ~ 2,2 млрд. 626 ~ 56,8 млрд. |
|
7 |
267 ~ 8 млрд. 367 ~ 78,4 млрд. 627 ~ 3,52 млрд. |
|
8 |
268 ~ 209 млрд. 368 ~ 2,8 млрд. 628 ~ 218 млрд. |
Может показаться, что эти значения очень велики и оснований для беспокойства нет. Однако современному взломщику даже дома могут оказаться доступными вычислительные мощности, позволяющие осуществлять перебор десятков и сотен тысяч комбинаций символов в секунду. Не правда ли, приведенные в таблице (особенно в ее верхней строке) числа уже не кажутся астрономическими? Кроме того, надо учесть недостаточную устойчивость к вскрытию пароля Lan Manager, хранящегося в базе данных SAM Windows NT. За счет использования в этом пароле половинок, полученных независимо друг от друга, и приведения букв к верхнему регистру максимальное число комбинаций, необходимых для его подбора (даже при длине в 14 символов и при использовании латинских букв в разных регистрах и цифрах), все равно остается величиной порядка 367 , а не 6214 , как и в случае пароля Windows NT.
Поэтому системный администратор должен обязательно проинструктировать сотрудников, чтобы при вводе паролей они включили в них символы насколько возможно широкого набора, в том числе буквы в верхнем и нижнем регистре, цифры и специальные символы (например, пробел). Запретите пароли, состоящие только из цифр, и пароли, представляющие собой слова того или иного языка. Выполнение последнего требования уменьшит вероятность взлома паролей при поиске по словарю.
Для русскоязычных пользователей удобными паролями могут оказаться слова русского языка (лучше с необычными приставками, суффиксами и не в именительном падеже), набираемые на клавиатуре в режиме ввода латинских букв (в таком режиме, например, слову “ Ключик” будет соответствовать пароль Rk.xbr). Однако отечественные взломщики могут учесть и этот вариант при проведении атаки по словарю.
Программное обеспечение для взлома паролей использует один из трех существующих подходов: угадывание, подбор вариантов и автоматический перебор всех возможных комбинаций символов. Имея достаточное количество времени можно взломать любой пароль методом автоматического перебора. Однако для взлома надежного пароля по-прежнему требуются месяцы.
В журнале "Компьютер - Пресс" вниманию читателей предлагается целая линейка программ, предназначенных для восстановления утраченных паролей к наиболее распространенным архивам и документам. Это продукция отечественной фирмы Elcom Ltd. Российским пользователям программы для применения в некоммерческих целях предоставляются бесплатно. Можно свободно копировать и распространять любую из этих программ при условии сохранения целостности исполняемого файла и документации. Для использования в частном бизнесе, в государственных или правительственных структурах необходимо приобрести лицензию. Подробную информацию о регистрации программ можно получить на сайтах: www.elkom.com. и www.passwords.ru.
Один из самых простых способов защитить от посторонних глаз некоторый файлы - запаковать их в архив с использованием пароля. Широко распространенный формат ZIP представляет такую возможность. Как видно из названия, программа Advanced ZIP Password Recovery (AZPR) служит для восстановления потерянных паролей к Zip-архивам. Она позволяет находить пароли к архивам, созданным архиваторами PKZIP, WinZIP, InfoZIP и другими Zip-совместимыми архиваторами. Программа поддерживает два типа атаки: прямой перебор ("метод грубой силы") и перебор по словарю. При прямом переборе определяется набор символов, из которых состоит пароль. Этот набор может включать в себя символы национальных алфавитов (в том числе и русского). Устанавливается минимальная / максимальная длина пароля. Возможно сохранение всех опций в файле проекта. Чтобы подобрать пароль, содержащий символы кириллицы, необходимо определить пользовательский набор, включив соответствующую опцию. Набор символов можно сохранить в файл для дальнейшей работы.
Программа аналогична предыдущей, но отличается тем, что позволяет восстанавливать пароли к ARJ-архивам. Она дает возможность находить пароли к архивам, созданным ARJ, WinARJ и другими ARJ-совместимыми архиваторами.
В следующих версиях программ разработчики планируют увеличить скорость перебора и добавить возможности параллельного перебора паролей на нескольких машинах, объединенных в сеть. Кроме того, ожидается появление более развернутых статистических отчетов и оценки производительности машины при подборе пароля.
Перспективным направлением является и known plain text attack - восстановление пароля в том случае, если известно содержимое архива (должен быть достоверно известен хотя бы один файл из архива). Кстати, благодаря тому, что разработчиком является российская фирма, "широким пользовательским массам" предоставляется возможность высказать свои пожелания непосредственно автору программы. Для этих целей можно использовать адрес: and@password.ru.
Парольная защита применяется не только программами - архиваторами; такую возможность имеют также документы Microsoft Office. Advanced Office 97 Password Recovery позволяет восстановить потерянный пароль к документам Word 97, Excel 97 или к любой 32-битной версии MS Access. Пароли к Word и Excel находятся методами прямого перебора, перебора по маске и по словарю. Перебор можно прервать и продолжить в любое время. Пароли для MS Acess, пароли защиты записи и книг/листов MS Excel находятся прямым декодированием. Возможно сохранение всех опций программы в файле проекта. В версии 1.22 поддерживаются все документы Office 2000.
Advanced VBA Password Recovery - программа для восстановления потерянных паролей к VBA-макросам, встроенным в документы Microsoft Office 97 и Excel 97. Пароли находятся мгновенно, прямым декодированием. В дальнейшем планируется добавление возможности удалять или изменять пароль непосредственно из программы, а также осуществление работы с документами, созданными более современной версией пакета MS Office 2000.
Несмотря на многочисленные напоминания и предупреждения, пользователи, особенно неопытные, часто применяют в качестве пароля обычные слова, конечно, это облегчает его запоминание и использование, но следует помнить, что в той же степени снижается стойкость пароля, поскольку такой пароль можно подобрать простым перебором по словарю. Этот способ занимает гораздо меньше времени по сравнению с полным перебором всех возможных вариантов. В любом случае рекомендуется сначала попробовать перебор по словарю, а затем уже переходить к прямому перебору, либо перебору по маске. Для удобства приводится несколько словарей:
- Русский словарь - около 200 тыс.слов;
- Beale wordlist - -7776 слов;
- Unabridged dictionary - около 200 тыс.слов;
- Big dictionary - около 500 тыс.слов.
Кроме сайта PASSWORDS.RU существует еше немало ресурсов Интернета, посвященных той же проблеме. Можно порекомендовать сайт http://www/password-crackers.com - Russian Password Crackers, где обсуждается взлом паролей архиваторов, офисных приложений, операционных систем. Приведены большая сравнительная таблица соответствующих программных продуктов со ссылками на разработчиков, показано сравнение быстродействия.
В последнее время появилось много средств (в частности программ, работающих под операционными системами фирмы Microsoft) для получения имен и паролей пользователей. Ниже описаны самые популярные способы кражи вашего пароля, а также меры борьбы с ними.
Наиболее распространенный способ - рассылка по электронной почте различной фальшивой информации. Например, о лотереях, о получении дополнительных бесплатных часов работы, перерегистрации абонентов и др. При этом в одном из вопросов адресата просят прислать его login и пароль, используемые для доступа в Интернет. На подобные письма нельзя отвечать ни в коем случае.
Другим распространенным и популярным способом кражи вашей учетной информации является использование программ, так называемых "троянских коней". Троян – это программа, которая как правило выдает себя за что-нибудь мирное и чрезвычайно полезное. Интернет-трояны либо дают доступ к компьютеру с другого компьютера без ведома пользователя, либо высылают по определенному адресу какую-либо информацию с компьютера-жертвы (как правило пароли). Человек, проникнув в чужой компьютер, может сделать все, что захочет, начиная простыми шутками (выдвинуть CD-ROM, передвинуть мышь, послать сообщение), заканчивая кражей файлов и деструктивными действиями (удаление файлов, их изменение, форматирование диска и т.д.)
Трояны могут распространяться как вложенный файл к почтовому сообщению, вставляются в самораспаковывающиеся архивы с привлекательными аннотациями, или другими способами. Пользователь, получив письмо с программой, запускает ее на своем компьютере и смотрит чаще всего какую-нибудь ерунду, облеченную в привлекательную форму. Запущенная программа параллельно с демонстрацией собирает конфигурационные файлы с именами и паролями для доступа к провайдеру и при реальном соединении с Интернет отправляет собранную информацию злоумышленнику. Существуют наиболее "умелые" программы, которые остаются на компьютере и периодически передают своему хозяину информацию о сетевых настройках во время каждого соединения с Интернет. От поселившегося на компьютере "троянского коня" защитить учетную информацию не поможет даже регулярная смена пароля.
Ниже приведены рекомендации по защите компьютера о троянов.
· не запускать и даже не восстанавливать никакие заархивированные программы (файлы с расширением exe), приложенные к электронному письму, особенно если отправитель не знаком, а еще надежней - не открывать никаких приложений к письмам от незнакомых;
· не скачивать сомнительные приложения с FTP-серверов, официально не зарегистрированных;
· регулярно с помощью сервера статистики отслеживать текущее состояние счета: платежи и услуги, предоставляемые Провайдером.
На этом сервере можно увидеть всю детальную статистику работы по месяцам, дням, контролировать время выхода в Интернет и длительность пребывания в ONLINE, а также все финансовые затраты. При первых признаках их необоснованного увеличения обязательно необходимо сменить все пароли.
Чтобы определить, заражен ли ваш компьютер каким-либо троянцем и, по возможности, необходимо проделать следующие действия. Если имеется какой-либо антивирусный пакет (Dr.Web, AVP и т.д.), нужно обновить базу данных антивируса. Можно воспользоваться программой "BoDetect". Если компьютер не включен в локальную сеть, то необходимо исключить все протоколы и службы для локальных сетей. В данном случае для работы в сети необходимо всего два устройства: "Контроллер удаленного доступа (Dial-up Adapter)" и протокол "TCP/IP". Все остальное, что находится в "Мой компьютер (My Computer)"/"Панель управления (Control Panel)"/"Сеть (Network)" можно удалить. Это могут быть службы Microsoft или Netware, протоколы NetBeui и IPX/SPX. Также обязательно необходимо убрать "галочки" со всех пунктах, показанных в "Доступ к файлам и принтерам (File and Printer Sharing)".
К программно-техническим мероприятиям следует отнести использование встроенных в аппаратные средства компьютера специальных возможностей защиты от несанкционированного доступа, использование специальных программных средств закрытия информации, а также установку аппаратных приспособлений для шифрования информации или ограничения доступа к компьютеру.
К встроенным возможностям относится функция BIOS по установке пароля для входа в компьютер. Эта функция присутствует в каждой машине и является самым простым аппаратным способом защиты. Среди рядовых пользователей и чайников ходит легенда, типа «Сними аккумулятор, умри пароль!» На самом деле подобные забавы пароль не стирают. Правда, эта защита обходится замыканием перемычки на системной плате. Но опять же, надо знать – какая перемычка, и вообще, копаться в компьютере бывает хлопотно. Другой вариант – запуститься с дискеты и «крутой» программой за 15 минут перезаписать ППЗУ; после чего доступ открыт.
Из устанавливаемых дополнительно аппаратных средствах стоит выделить две разновидности – устройства закрытия доступа к компьютеру и устройства шифрования информации. К первым относятся так называемые Smart-карты и программно-аппаратный комплекс Dallas Lock (компания «Конфидент», Санкт-Петербург), в котором для идентификации полномочий доступа применяются электронные таблетки «Touch Memory» и система личных паролей. Принцип их действия схож - после включения компьютера эти устройства запрашивают код идентификации и, в случае несовпадения его, любое дальнейшее действие будет заблокировано, или вам будут предоставлены минимальные ресурсы. Различие состоит только в том, что в устройства Touch Memory код прописывается на заводе-изготовителе, а в Smart-карте его можно менять специальной программой.
Эти устройства достаточно надежны. Dallas Lock способен самовосстанавливаться при частичном разрушении сетевой операционной среды (т. е. частично сохранять информацию о системе и пользователях) и контролировать ее целостность, не занимая при этом много места.
Для нашей фирмы этот вариант защиты очень подходит. И если сотрудники будут запирать ключи (карты) в сейфах, то можно с уверенностью сказать, что на 70-80% вы обеспечили себе защиту от несанкционированного доступа. Кроме того, аппаратные средства защиты доступа не требуют затрат ресурсов компьютера, что тоже немаловажно.
Ко второй категории – устройствам шифрования данных – следует отнести продукты московской фирмы «Анкад»: «КРИПТОН-3», «КРИПТОН-4» и «КРИПТОН-5». Эти устройства, выполненные на базе специализированного шифропроцессора, позволяют зашифровывать любые объемы данных на диске «на проходе», то есть «прозрачно» для пользователя. Кроме того, они позволяют контролировать электронную подпись («КРИПТОН-5») и зашифровывать информацию, выдаваемую в модемы или же в порты СОМ и LPT. Использование данных устройств в комплексе с программным обеспечением «Ортис» позволяет практически полностью «закрыть» всю информацию на конкретном компьютере.
Программные средства защиты также можно разделить на средства защиты от несанкционированного доступа и средства шифрования данных. Первые будут рассмотрены позднее при описании способов защиты локальных сетей, а из средств шифрования данных следует выделить уже упоминавшийся российский пакет «Ортис» фирмы «ЛАН Крипто». Особенность данного пакета в том, что при его работе расшифрованная информация содержится только в оперативной памяти и не сохраняется во временных файлах, поэтому ее конфиденциальность не нарушается даже при некорректном прерывании программы (аппаратный сбой, авария в системе электропитания и т. п.). При запуске программы, выбранные зашифрованные файлы монтируются в виде дополнительных сетевых дисков, и доступ к ним осуществляется по паролю. Зашифрованные файлы не содержат избыточной информации и имеют тот же размер, что и исходные. Впрочем, злоумышленник не сможет узнать даже этого параметра, поскольку из ОС видны только разделы, отведенные под секретную информацию при конфигурировании системы, сами же файлы не видны.
А вот такую защиту (пакет «Ортис») не следует упускать. Можно смело рекомендовать её руководству «Диалог – Икс».
Кроме «Ортис» средства шифрования данных представлены в пакетах Norton Utilities до 8 версии включительно (система Diskreet, которая также создает виртуальные диски, где все файлы зашифрованы), Norton Navigator for Windows95. Пакет Diskreet из состава Norton Utilities не рекомендуется применять совместно с Windows95. Данные пакеты позволяют зашифровывать конкретные файлы по выбору пользователя. Свои системы шифрования встроены в программы Microsoft Office 97 Pro. Принципы работы перечисленных пакетов достаточно просты, к тому же продукты сопровождаются довольно подробной документацией изготовителя.
Для обеспечения безопасности необходимо быть аккуратным при использовании паролей. Приведенные ниже рекомендации помогут защитить пароли.
- Никогда не записывайте свой пароль.
- Не говорите пароль никому.
- Не используйте свой сетевой пароль для других целей.
- Используйте разные пароли для входа в сеть и учетной записи администратора на своем компьютере.
- Изменяйте свой пароль каждые 60-90 дней.
- Измените свой пароль немедленно, если есть подозрение, что он был раскрыт.
Также нужно быть осторожным при сохранении пароля на компьютере. В некоторых диалоговых окнах, например для удаленного доступа и других телефонных подключений, имеется возможность сохранить пароль. Не устанавливайте этот параметр.
Хорошая защита компьютера предполагает использование надежных паролей для входа в сеть и учетной записи администратора на компьютере. Надежный пароль, защищенный от взлома, должен отвечать следующим требованиям.
- Иметь длину не менее семи символов.
- Содержать символы каждой из трех следующих групп.
|
Описание |
Примеры |
|
Буквы (прописные и строчные) |
A, B, C,...; a, b, c,... |
|
Цифры |
0, 1, 2, 3, 4, 5, 6, 7, 8, 9 |
|
Символы (не относящиеся ни к буквам, ни к цифрам) |
` ~ ! @ # $ % ^ & * ( ) _ + - = { } | [ ] \ : " ; ' < > ? , . / |
- Содержать хотя бы один символ, не принадлежащий ни к буквам, ни к цифрам, на позициях со второй по шестую.
- Существенно отличаться от предыдущих паролей.
- Не содержать личного имени или имени пользователя.
- Не являться распространенным словом или именем.
Пароли Windows 2000 могут содержать до 127 символов. Однако, если Windows 2000 используется в сети, где имеются также компьютеры с Windows 95 или Windows 98, не используйте пароли, длина которых превышает 14 символов. Windows 95 и Windows 98 поддерживают пароли длиной до 14 символов. Если длина пароля превышает это ограничение, вход в сеть с компьютеров с такими операционными системами может оказаться невозможным.