1_6_2.htm 1.6.2. Преодоление программных средств защиты В настоящее время известно огромное количество хакерских разработок, предназначенных для преодоления программных средств защиты. Они облада- ют различной эффективностью, но позволяют в той или иной степени решать задачи, ради которых созданы. Одни из таких программ предназначены для перехвата сообщений и полномо-чий по доступу к ресурсам сети посредством незаконного подключения к кана- лу связи, другие - для преодоления системы защиты персонального компьютера или корпоративной сети другим зарегистрированным пользователем. Перехват с незаконным подключением к каналу связи может осуществлять-ся множеством способов, наиболее известными из которых являются: • работа в сети в те промежутки времени, когда законный пользователь ос- тавляет канал в активном режиме, отвлекаясь на решение других задач (вы- зов к начальнику, перекур и т п.); • работа параллельно зарегистрированному пользователю, но в те моменты, когда нет непосредственного обмена информацией, так называемый режим «между строк» (аналогичен предыдущему способу, но более сложен в реа- лизации); • работа по завершению сеанса зарегистрированным пользователем за счет перехвата сигнала об окончании работы. Для преодоления систем защиты под видом зарегистрированного пользова- теля хакеры часто применяют следующие методы: • перебор возможных паролей, которые часто бывают тривиальны и берутся из руководства по пользованию компьютером; • поиск слабых мест («брешей»), связанных с неудачным алгоритмом функционирования систем защиты или наличием программных ошибок; • иногда «брешь» маскируется двумя-тремя дополнительными командами с целью создания так называемого «люка», который открывается при необхо" димости (данный способ требует очень высокого профессионального уровня и готовится, как правило, на этапе проектирования системы защиты); • использование программ, имитирующих аварийные сбои и анализирующих адекватность реакции системы. Однако существует большое число программных продуктов, созданных совершенно для иных целей, но которые могут быть использованы для преодоления систем защиты, размещенных на жестких дисках. К ним, например, относятся уже упомянутые Norton Utilities, а также Miced Utilities, PC Tools, PS Shell, Hard Disk Manager и некоторые другие, которые в интерактивном или автоматическом режиме используют команды считывания и записи секторов по абсолютным адресам на диске. Также существуют разработки, которые позволяют создавать программное обеспечение, способное выполнять просмотр и отладку программных продуктов в режиме дисассемблера, а также просмотр и редактирование оперативной памяти персональной ЭВМ. К таким программам относятся трансляторы с языков низкого уровня (TASM и MASM), трансляторы с языков высокого уровня (MSC, Turbo С, Turbo Pascal и др.), программы-отладчики типа The IBM Personal Computer Fulscreen Debug (FSD), Advanced Fulscreen Debug (AFD) и Turbo Debugger, а также программы, работающие с оперативной памятью (Debug, Peck Poke Resident), и некоторые другие. Преодоление парольной защиты Один из наиболее распространенных способов разграничения доступа к ресурсам вычислительных систем - введение паролей. В целом это достаточно надежный способ защиты, однако необходимо представлять его возможности и основные способы преодоления, чтобы уберечь себя от неприятных последствий. Так, в любом персональном компьютере можно условно выделить три вида паролей: • пароли, хранящиеся в CMOS-памяти; • пароли операционной системы; • пароли, по которым осуществляется аутентификация пользователей в специально установленной системе защиты. Рассмотрим способы преодоления каждого вида в отдельности. Снятие паролей, хранящихся в CMOS-памяти CMOS - это аббревиатура английских слов complementary metal oxide semiconductor. To есть в качестве названия вида памяти взято просто наименование материала, из которого изготавливается соответствующая микросхема. В ней записывается вся необходимая информация для загрузки компьютера, в том числе и пароли. Еще их называют «паролями BIOS» по названию микросхем, контролирующих операции ввода - вывода. Доступ к установкам CMOS осуществляется нажатием во время теста памяти (при загрузке компьютера) одной из следующих комбинаций клавиш: Del; Esc; Ctrl + Alt + Enter; Ctrl + Alt+Esc. При этом на экран выводится меню установок CMOS, среди которых присутствуют два раздела: SUPERVISOR PASSWORD (пароль диспетчера); USER PASSWORD (пароль пользователя). Владелец первого пароля может осуществлять как загрузку операционной системы, так и изменение опций в меню «Установки BIOS»; человек, знакомый только со вторым паролем, может осуществлять загрузку операционной системы и только входить в меню «Установки BIOS» для изменения раздела «USER PASSWORD». Однако надежность такой парольной защиты является кажущейся. Существуют как минимум два довольно простых метода ее преодоления. Первый основан на том, что CMOS-память не может работать без питания от батарейки, установленной внутри системного блока. Таким образом, если, отключив от сети компьютер и вскрыв системный блок, извлечь батарейку, то в памяти исчезнет информация о типе жестких дисков, числе и емкости флоппи-дисков, размере оперативной памяти и т. д., в том числе исчезнет информация и о хранящихся паролях. Положение батарейки CMOS может быть различным в разных компьютерах, но найти ее несложно по характерному внешнему виду: плоская маленькая в виде таблетки либо кассета из нескольких пальчиковых батареек. После извлечения батарейку можно тут же поставить на место - память очищена. Затем необходимо закрыть системный блок и включить компьютер. На этапе тестирования памяти (при загрузке) следует войти в меню «Установки BIOS» вышеуказанным способом и восстановить установки CMOS, естественно, за исключением паролей. К сожалению, последняя операция необходима, иначе в ходе загрузки система выдаст на экран следующее сообщение: Invalid System Setting - Run Setup (Неправильная системная установка - выполните установку). Чтобы выполнить эту процедуру, надо либо заранее выяснить все необходимые сведения об установках, либо просто иметь определенные знания и опыт в данной области. Второй способ в принципе повторяет первый и специально предусмотрен конструкторами на случай забывания пароля. Его применение даже описано в руководстве пользователя. Так, например, на системной (материнской) плате компьютера Pentium установлена специальная перемычка JP9 (рис. 1.6.1), предназначенная для очис- тки CMOS'. Нормальное положение перемычки, соответствует замыканию контактов 1-2 (табл. 1.6.1). Таблица 1.6.1. Значения положений JP9: перемычка сброса CMOS.
Режим работы компьютера Номера замкнутых контактов Нормальный 1-2 Очистка CMOS 2-3 В том случае, если необходимо снять неизвестный или забытый пароль, то, предварительно отключив компьютер от сети и вскрыв системный блок, перемычка переставляется в положение 2-3. Затем включается компьютер, снова отключается и перемычка вновь возвращается в положение 1-2. После завершения процедуры очистки CMOS-памяти необходимо осуществить настройку BIOS Setup («Установок BIOS») так же, как и в первом случае. Преодоление паролей операционной системы. Разные операционные системы имеют разную стойкость к несанкционированному доступу. Так, одной из наиболее защищенных операционных систем по праву считается Windows NT, обладающая уровнем зашиты С2, a Windows'95 (наиболее распространенная в настоящее время операционная система) из возможных средств защиты предлагает только введение пользовательских паролей и шифрование таблицы паролей. Однако, по большому счету, эти пароли вообще не могут рассматриваться как сколь-нибудь серьезное средство разграничения доступа. Дело в том, что их основное назначение - это обеспечение индивидуальной настройки рабочего стола для создания максимальных удобств пользователям при работе: зарегистрировался под своим паролем - получил свои настройки. Проблема заключается в том, что пользователи, которые имеют доступ к средствам редактирования реестра, например к опции Password (пароли) из Control Panel (панели управления), легко могут отключить эту систему безопасности, блокировав применение пользовательских профилей. Перехват паролей. Реальную защиту информации, хранящейся в компьютерной системе, могут дать лишь специально разработанные программные и аппаратные способы защиты, так как преодолеть их могут только специалисты очень _____________ 1 Пример взят для платы ТХ 1 PHOENIX. На аналогичных платах других типов компьютеров оригинальный номер этой перемычки может быть другим. Он указан в руководстве по эксплуатации платы.
Рис. 1.6.1. Расположение переключателя JP9 (очистки CMOS-памяти) на системной плате компьютера Pentium высокого класса, хорошо знающие атакуемую операционную систему, способы построения современных систем защиты и методы «взлома». Описывать эти методы не позволяют ни этические соображения, ни цель книги, ни объем настоящей главы. Однако многие, в том числе и хорошие системы ограничения доступа, используют пароли как средство аутентификации пользователей. Показать слабые места парольной защиты и возможные способы раскрытия паролей - значит уберечь вас от возможных ошибок при выборе системы защиты. «Парольная защита» - отнюдь не синоним понятию «плохая защита». Тем не менее, она имеет как минимум две слабые стороны. Первая связана с тем, что пароли, по которым осуществляется аутентификация пользователей, должны где-то храниться. Обычно это таблица паролей, входящая в состав программного обеспечения операционной системы или системы защиты. Следовательно, любой достаточно хорошо подготовленный пользователь тем или иным способом может проникнуть в соответствующий файл, скопировать или изменить его. Именно благодаря данному обстоятельству выбираемая вами система защиты должна предусматривать кодирование таблицы паролей, что нивелирует ценность попытки проникновения в таблицу. Вторая связана с возможностью тайного внедрения программной закладки в компьютерную систему, которая позволит злоумышленнику осуществлять несанкционированный доступ к информационным ресурсам. Перехватчики паролей - один из наиболее распространенных видов программных закладок. Они перехватывают пароли, применяемые для регистрации пользователей операционной системы, а также для определения их легальных полномочий и прав доступа к компьютерным ресурсам. Перехватчики - отнюдь не новое явление. В свое время они успешно разрабатывались для OS/370, UNIX и DOS. Принцип действия у них достаточно традиционен и заключается в фиксации пароля на этапе регистрации пользователя. Далее пароль записывается в специальный файл, из которого он может быть легко извлечен. Различия между перехватчиками заключаются только в способах, которые применяются ими для получения пользовательских паролей. Различают три типа перехватчиков паролей: имитаторы системы регистрации, фильтры и заместители. Программы имитаторы системы регистрации достаточно легко реализуемы и функционируют по следующему алгоритму. Имитатор первым реагирует на желание пользователя зарегистрироваться и предлагает ему ввести пароль. После того как пользователь идентифицирует себя (введет кодовую комбинацию), программная закладка скопирует пароль в специальный файл и далее инициирует выход из системы. В результате перед глазами пользователя появится еще одно, но уже настоящее регистрационное приглашение для входа в систему. Обманутый пользователь, видя, что ему предлагают еще раз ввести пароль, естественно приходит к выводу, что допустил какую-то ошибку и повторяет всю процедуру ввода. Для того чтобы притупить бдительность пользователя, на экран монитора может выводиться соответствующее сообщение, например: «Неверный пароль! Попробуйте еще раз!» Такой тип перехватчика паролей обладает одним очень существенным недостатком, а именно - сообщение об ошибке возникает при каждой регистрации, что не может не насторожить даже самого неискушенного пользователя. Более совершенный тип закладки-имитатора может сам сообщать системе пароль без вывода повторного приглашения. Выявить такую закладку уже можно только по косвенным признакам. Принцип действия программ фильтров заключается в перехвате всей информации, вводимой с клавиатуры компьютера, и анализе ее («фильтрации») с целью выявления отношения к пользовательским паролям. Известны несколько фильтров, созданных специально для различных версий операционной системы DOS, Windows 3.11 и Windows'95. По оценкам специалистов, это один из наиболее легко реализуемых видов программных закладок-перехватчиков паролей. Дело в том, что в операционных системах Windows 3.11 и Windows'95 предусмотрен специальный программный механизм, с помощью которого решается ряд задач, связанных с получением доступа к клавиатурному вводу. Например, задача поддержки национальных раскладок клавиатур. Таким образом, любой русификатор - это фильтр, призванный перехватывать все данные, вводимые пользователем с клавиатуры. Небольшая доработка позволяет наделить этот фильтр дополнительной функцией - перехвата пароля. Задача облегчается еще и тем, что во многих учебных пособиях по Windows имеются исходные тексты программных русификаторов. В ряде случаев проблема сводится лишь к способу внедрения видоизмененного текста русификатора вместе с подлинным. Если она успешно решена, то вся информация, вводимая с клавиатуры, будет проходить через фильтр и проверяться на принадлежность к паролям. Заместители - программные модули, которые полностью или частично заменяют истинные, отвечающие в системе защиты за аутентификацию пользователей. Существенным достоинством заместителей является возможность работы в среде практически любой многопользовательской системы. Недостаток - сложность создания и внедрения. По трудоемкости они так существенно опережают имитаторы и фильтры, что делает применение этого типа перехватчиков паролей вашими конкурентами практически маловероятным. Некоторые способы внедрения программных закладок и компьютерных вирусов Созданием программной закладки или вируса еще не решается задача, поставленная при их написании. Вторая, не менее сложная, заключается во внедрении программного продукта. О важности и сложности этой последней задачи говорит тот факт, что ее решением в рамках информационной борьбы занимаются даже государственные структуры ряда стран. Такой «государственный» подход не оставляет сомнений в том, что самые новейшие достижения в области «имплантации» уже в скором времени станут достоянием промышленного шпионажа. На сегодняшний день можно выделить три основные группы способов внедрения программных закладок и компьютерных вирусов: • на этапе создания аппаратуры и программного обеспечения; • через системы информационного обмена; • силовым или ВЧ-навязыванием. Наиболее просто ввести вирус на этапе создания элементов компьютерных систем. Ведь ни для кого не секрет, что современные программные продукты содержат примерно до полумиллиона строк, и никто лучше авторов-программистов их не знает, и поэтому эффективно проверить не может. В связи с этим создатели программного обеспечения являются потенциальными объектами для определенных служб и компаний. Однако более перспективным направлением, по сравнению с вербовкой программистов, эксперты считают инфици-рование (модификацию) систем искусственного интеллекта, помогающих создавать это программное обеспечение. Другим направлением внедрения является использование систем информационного обмена. Здесь существует два способа - непосредственное и косвенное подключение. Непосредственное подключение (front-door coupling) бывает прямое и непрямое. Прямое заключается в повторяющейся трансляции вирусного сигнала или программной закладки в период получения приемником конкурента предназначенной ему полезной информации. При этом можно рассчитывать, что в какой-то момент времени, смешанный с основной информацией указанный программный продукт попадет в систему. Недостаток такого способа - необходимость знания используемых алгоритмов шифрования и ключей при передаче в канале закрытой информации. В связи с последним обстоятельством более предпочтительным считается использование непрямого подключения. Проникновение в информационную систему в этом случае происходит в самом незащищенном месте, откуда вирус или программная закладка могут добраться до назначенного узла. Благодаря широкому внедрению глобальных сетей такие места всегда могут быть найдены. Косвенное подключение (back-door) представляет из себя целый спектр способов: от воздействия на систему через элементы, непосредственно не служащие основному назначению (например, через цепи электропитания), до умышленной передачи конкуренту инфицированной техники или программных продуктов. Перспективным направлением внедрения программных закладок или вирусов в информационные системы представляется и использованием методов силового или ВЧ-навязывания, аналогичных рассмотренным в п. 1.3.5. Разработкой соответствующих средств, по сообщениям зарубежной печати, занимается целый ряд компаний, например. Defense Advanced Research Projects Agency (США), Toshiba (Япония) и др. Ожидается, что благодаря их усилиям уже через пять лет окажется возможным внедрять программные продукты именно таким способом. В наиболее простом виде процесс ВЧ-навязывания закладок и вирусов выглядит примерно следующим образом. Мощное высокочастотное излучение, промодулированное информационным сигналом, облучает объект электронно-вычислительной техники. В цепях компьютера или линии связи наводятся соот- ветствующие напряжения и токи, которые определенным образом детектируются на полупроводниковых элементах схемы вычислительного средства. В результате вирус или закладка оказываются внедренными в компьютер. Далее, по заранее намеченной программе они осуществляют сбор, первичную обработку данных и передачу их в заданный адрес по сети, либо уничтожение или модификацию определенной информации. Наиболее узким местом такого способа внедрения является подбор мощности, частоты, вида модуляции и других параметров зондирующего сигнала в каждом конкретном случае.