Тема 1
.DOCВторжение всегда связано с кражей или взломом пароля другого пользователя. Прямое вторжение извне в компьютерные системы осуществить трудно – это, как правило, редкие случаи удачи. Каждый в отдельности хакер имеет небольшие шансы, если он не действует целенаправленно. Однако массовое действие хакеров в отношении одного адресата многократно увеличивает вероятность вторжения в такую систему.
Примером может быть случай, когда тысячи школьников США, просмотрев фильм “Военные игры”, где компьютер в случайном порядке набирал телефонные номера с целью подобрать пароль, чтобы войти в сеть Пентагона, пробовали сделать то же самое. В результате произошел ряд незаконных вторжений, а полиции и ФБР лишь за один день пришлось арестовать 5 молодых людей, 40 компьютеров и 23000 дискет в 14 городах США, чтобы остановить волну молодежного хакерства.
Вторжение из-за некомпетентности персонала в сеть NASA произошло, когда космическая администрация открыла вход в свою закрытую систему всем желающим на правах гостей. Она намеревалась этим сделать бесплатную рекламу Шаттлу, чтобы получить государственные субсидии и пренебрегла безопасностью. Тогда же безработный Рикки Уиттман, пытаясь убить время, с домашнего компьютера вошел в сеть NASA, чтобы взглянуть на рекламу корабля Шаттл, и начал играться, нажимая различные клавиши. Случайно нащупав “дупло”, он получил права полного доступа. После этого он не раз по вечерам входил в главный компьютер NASA, чтобы получить больше знаний об этой системе и раздобыть полномочий, пока однажды на экране своего монитора не прочитал сообщение: “Убирайся немедленно придурок! Отключи телефон, идиот!” Эти рекомендации ему было слишком поздно выполнять. Вся секретная служба NASA уже была у него на хвосте. Более 200 человек 300 часов круглосуточно, отслеживая телефонные звонки, засекли его квартиру в провинциальном городе Колорадо на 4-м этаже старенького дома, где Уиттман использовал допотопный IBM XT компьютер. Судом Уиттман был признан хакером, эквивалентным 115 пользователям NASA, зарегистрированным в 68 пунктах космической сети с правами доступа, превышающими обсерваторию в Мюнхене. Его доводы о том, что система NASA сделана некомпетентно, суд отверг: “Никакая система безопасности не безопасна абсолютно. Если вор взломает замок на двери дома, разве домовладельца нужно осуждать за то, что не поставил более надежный замок?”
Самую большую угрозу безопасности всех компьютерных систем представляет проникновение или наносящие вред программы. Вирусы и черви нередко используются хакерами для того, чтобы перехватить чужие пароли. Для обеспечения секретности сетевой системы необходима тщательная антивирусная гигиена. Троянские кони ведут себя по-другому. Они обычно имитируют программу шифрования, не производя закрытия текста качественно или оставляя хакеру ключи от "черного входа“.
Известны случаи, когда два безобидных вируса, скрещиваясь, давали мутанта-убийцу. Автора вируса найти обычно невозможно, а тот может беспрепятственно портить систему, разрушая данные либо захватывая ресурсы. Такую атаку бывает очень тяжело обнаружить и еще более тяжело предотвратить. В 1990 году неизвестный хакер несколько раз входил в компьютеры Леверморской лаборатории США, разрабатывающей системы для звездных войн, но не проникал в ее секретную часть, которая была программно изолирована. Позже тот же хакер, так и оставшийся неизвестным, все же ворвался в секретную часть сети через Internet (ведь вода точит камень). Это стало возможным лишь потому, что сеть в то время была поражена вирусом.
Обычно, как только обнаружен и уничтожен один вирус, тут же разрабатывается другой, приносящий еще больший вред. Создание таких программ всегда будет привлекать людей определенной психики, а продажа антивирусов уже выросла до размеров целой отрасли. Так американские компании потратили около 2 млрд.долларов в 1995 году на защиту данных ЭВМ. Поэтому все программы сетевых систем должны быть лицензионно чистые и с надежным авторством. Покупая такие программы, следуйте правилу шпионов, которые никогда не садятся в первое подвернувшееся им такси.
Таким образом, к безопасности компьютерных систем можно выделить четыре подхода: условно правовой, административный, криптографический и программно-технический.
Основными уязвимыми местами в сетевых системах являются: аппаратура, файловый сервер, пароли и среда передачи данных. Если файловый сервер может быть защищен организационными мерами, то среда передачи данных так не может быть защищена. Основная опасность для сети – в “дырах , которые позволяют злоумышленникам получить незаконный вход в компьютеры сетей. Незаконный доступ к системам компьютера может компрометировать секретность данных многих людей. Так компания TRW заявила, что пароль, обеспечивающий доступ к 90 млн.кредитных счетов в файлах, был украден – легко представить себе чувства владельцев этих счетов! Дефекты в системе безопасности компьютеров также использовались, чтобы уничтожать данные.
Имеют место и атаки на аппаратуру. Так, имело место сообщение, что за несколько недель до начала войны с Ираком американские спецслужбы вставили вирус в сеть иракских компьютеров ПВО. Сообщали, что вирус был разработан АНБ и предназначен калечить главный компьютер сети иракских ПВО. Эта секретная акция началась, когда шпионы узнали, что сделанный французами принтер ввозился контрабандой через Иорданию в Багдад. Агенты в Аммане заменили микросхему в принтере другой, которая содержала вирус. Нападая на иракский компьютер через принтер, вирус был способен избегать обнаружения процедурами безопасности. Когда вирус попадал в систему, то компьютер выдавал ложную информацию о целях. В результате иракская сторона вынуждена была оставить без ответа бомбовые удары по своей территории. Хотя такое сообщение выглядит фантастично и появилось на свет 1 апреля, но с сетевым принтером PostScript это предположительно возможно. Тем не менее, аппаратуру для сети с повышенной секретностью нельзя покупать по заказу или на имя формы, что позволит гарантированно избежать подвоха. Гораздо разумнее будет покупать ее вдруг за наличные или через законспирированного партнера.
Файловый сервер обычно хорошо защищен административно. Тем не менее, защиты консоли паролем явно недостаточно. Было бы лучше блокировать клавиатуру еще и специальным ключом, как это сделано в ряде моделей Hawlett Packard. В одной из финансовых организаций после перегрузки сети от сервера вообще отсоединяли монитор с клавиатурой и выгружали модуль MONITOR. Такая предосторожность там не казалась чрезмерной и, наверное, это правильно.
Другая проблема серверов – черви, вирусы и троянские кони. Обычно червь стремится инфицировать как можно больше других машин. Он лишь воспроизводит себя и ничего больше. Если система терпит крах или перегружается, что бывает не так уж и редко, процедура загрузки системы уничтожает червя и его следы. Однако коммуникационное общение снова восстанавливает его с инфицированных машин. Поэтому администраторы инфицированной сети могут договориться об одновременной перегрузке своих систем, закрыв временно до выяснения обстановки шлюзы. Это самый легкий и простой способ избавиться от червя.
Чтобы не инфицировать одну машину дважды, черви, прежде чем заразить ее, проверяют свое наличие там вызовом файла, через который они размножаются. Следовательно, самая простая защита от червя – создание файла с его же именем. Этот прием известен как “презерватив”. В некоторых системах достаточно вместо файла завести поддиректорию с тем же именем. Однако некоторые “зловредные” черви, как у Морриса, пытаются обойти это условие. Тем не менее, червь не проникнет в сеть, если атрибуты файла с его именем не допускают удаления и перезаписи.
В отличие от червей, вирусы не являются самостоятельной программой, а представляют собой как бы “наросты” на программе-хозяине, которые заражают другие программы и распространяются они преимущественно через копии программ на дискетах. В большинстве случаев вирусы пишутся начинающими программистами и содержат в своих текстах грубые ошибки, облегчающие дезинфекцию. Наиболее часто заражение вирусами наносится через игры. Вирус может быть как обычный, так и специально настроенный на проникновение в конкретную компьютерную систему и запущенный туда издалека. Сейчас Novell применяет новые технологии установки программного обеспечения, чтобы сделать более трудным вторжение вирусов. В 1992 году компания лицензировала специальное программное обеспечение с цифровой подписью, которое сделало трудным для вирусов процесс распространения необнаруженным.
Тем не менее опасность поражения вирусами при соответствующей гигиене невелика. Более половины сетевых систем вообще никогда не подвергались инфекции, а вероятность поражения вирусом незащищенного изолированного компьютера менее 1% за год. Даже в случае заражения, лишь несколько процентов вирусов способны причинить ощутимый вред. Однако, хотя проблема вирусов стоит не на первом месте, она все же существует. Следует помнить, что компьютерный вирус может распространяться в любой операционной системе, независимо от того, защищено ли ее ядро аппаратно или нет.
Кардинально, раз и навсегда, можно решить проблему борьбы с вирусами и несанкционированным копированием данных большого объема, если лишить рабочие станции возможности общаться с внешним миром – отключить гибкие диски и все порты. Будет еще лучше, если на них будут отсутствовать и винчестеры, а загрузка происходит с BOOT ROM. Отключение гибкого диска в этом случае осуществляется довольно просто даже логически в процедуре загрузки, и супервизор может оставить привилегированным пользователям возможность обмена с дискетами.
Наиболее опасны при внедрении в систему программы типа троянского коня, потому что это почти всегда свидетельствует о нападении хакеров. Например, сети NASA, SPANet и CERN имели прекрасную репутацию, чистое прошлое и неплохие гарантии безопасности. Но стоило им ослабить бдительность, как летом 1987 года на их сети напали немецкие хакеры. Чтобы остаться незамеченными, они запустили троянского коня. Три хакера были арестованы в Берлине, Гамбурге и Ганновере и обвинены в шпионаже на СССР. Они вторглись в научные и военные компьютеры, получили пароли, механизмы доступа, программы и передали эти данные КГБ. Сообщали, что они за это получили около 100000 марок ФРГ. Они использовали данный им КГБ идентификатор и соответствующий ему пароль.
В другом случае дискета, содержащая троянского коня, была отправлена по почте пользователям компьютеров по крайней мере четырех европейских стран. Программа угрожала разрушить данные на компьютере, если пользователь не внесет плату за лицензию фиктивной компании в Панаме. Дискета отправлялась по почте подписчикам журналов по торговле персональными компьютерами, очевидно, используя списки их рассылки, с надписью “Помощь Вашему Диску”. Будучи установленным в компьютере пользователя, дискета изменяла несколько системных файлов и записывала свои секретные программы, которые позже уничтожали данные с винчестера. Когда троянский конь инфицировал компьютер, то помещал на экране сообщение, предлагающее во избежание неприятностей послать $387 по адресу в Панаме.
Не обязательно троянские кони – всегда сложные программы. Так, на компьютере с установленным драйвером ANSI троянским конем может стать даже текстовый файл с содержанием всего в одну строку:
ESC[13;”WIPEINFO C:/s/BATCH”;13;p
Будучи скопирован на экран, этот файл вызовет перепрограммирование нажатия клавиши Enter на смывание всех данных с диска С. Поэтому нужно быть очень осторожным с файлами практически любого расширения, а не только COM и EXE. Как пример, можно привести уж очень специфический вирус, живущий в текстовых файлах Word for Windows. В ранних версиях он был довольно безобидным лишь, заявляя время от времени о своем существовании, а теперь приобрел еще и наклонности террориста.
Воровство паролей доступа к компьютеру конечно же преступление, однако большинство людей, особенно деловых, настолько небрежны с ключами, что доказать потом именно воровство, а не передачу, невозможно. Потеряв $82000 из-за незаконных обращений по телефону вследствие кражи пароля, одна компания США “просто” сменила все 800 своих телефонных номеров и переопределила тысячи паролей доступа пользователей.
Подбор паролей ведется хакером строго закономерно. В одном из 20 случаев пользователь вместо пароля вводит: свое имя, название своей компании, свои инициалы, год рождения, номер служебного или домашнего телефона, номер своей автомашины и прочую ерунду. \у ряда пользователей есть особенность набирать в виде пароля славянское имя на английском регистре. Пользователи, имеющие хобби, вводят пароли из интересующей их области – названия вокальных групп, пород собак и спортивные термины. Пользователи системы всегда будут предлагать пароли, которые легки для запоминания. При анализе списка пароля наблюдались такие общеизвестные факты: четверть паролей были женские или мужские имена, страны, исторические лица, города или блюда (это в Италии) и лишь каждый двадцатый пароль был такого характера, чтобы его нелегко было разгадать. Для борьбы с этим можно создавать ложные клиенты или призраки с оповещением о их загрузке службе безопасности.
Учитывая вышесказанное, правилами для выбора паролей должны быть:
- пароль должен быть неожиданным, а лучше – случайным;
- если пароль придумывает пользователь, то пусть он хотя бы будет длинным – не менее 12 символов;
- в больших организациях при уходе служащего в отпуск не ленитесь блокировать его доступ в систему до возвращения;
- когда чувствуют хоть малейшую опасность, изменяют все пароли, а не только пароли, вовлеченные в инцидент;
- убедите пользователей не использовать один и тот же пароль в нескольких системах одновременно! Хакеры могут коварно воспользоваться этим;
- заводите пароли-призраки, являющиеся западнями для хакеров.
Считается, что алфавитно-цифровой ключ должен состоять как минимум из 7 знаков, т.е. около 20 бит информации, иначе вскрытие шифра предельно просто.
Хорошие результаты дает использование двух типов ключей: текущего для входа в систему или шифрования текста и основного для шифрования ключей и паролей. Основной ключ, которым шифруют ключи, должен быть очень надежным и используется на протяжении определенного времени – от одного месяца до года. Им шифруют текущий ключ из 30-40 случайных бит. Текущим ключом шифруют сообщение и посылают эту шифровку получателю вместе с шифровкой текущего ключа, сделанной по основному ключу.
Бороться с незаконным использованием чужих паролей в сети можно и с помощью устройств идентификации, среди которых особенно привлекательны системы идентификации по “почерку” работы пользователей на клавиатуре. Он не требует никаких настораживающих хакеров действий и великолепно распознает стиль работы людей за клавиатурой от стиля программ, подбирающих пароли. Другая процедура идентификации может быть реализована, когда регистрируясь в сети, пользователь дает о себе дополнительную информацию, а система при каждом их входе требует ввести ее фрагменты. Например, пользователь может быть запрошен о своем годе рождения или адресе места жительства.
Конечно, в течение двух часов рассказать все об информационных системах и способах их защиты практически не представляется возможным. Для практического усвоения этого материала требуется, по крайней мере, около 80 часов для хорошо подготовленного специалиста. Но поскольку как компьютеры и программные средства, так и хакерство развивается довольно стремительно, то и знания в этой области должно пополняться непрерывно, так как даже небольшие временные отрезки поставят Вас в условия отстающего.
Нет лучшего способа аттестации безопасности системы, чем пригласить пару хакеров взломать ее, не уведомляя предварительно персонал сети. Такая практика стала широко распространяться в США. Штурм длится от 2 до 8 недель при солидном гонораре. Наемные хакеры в результате предоставляют конфиденциальный доклад с оценкой уровня доступности информации и рекомендациями по улучшению защиты. Доказать безопасность системы таким приемом все же нельзя, но хотя бы можно ее опровергнуть при явных просчетах, а это уже немало.