Анализ защищенности объекта
Прежде всего, необходимо отметить, что любая корпоративная или личная почта является кладезем конфиденциальной информации, которую необходимо защищать. И если почтовый сервер имеет серьезные проблемы с безопасностью - то внутренняя корреспонденция может стать доступной внешним злоумышленникам. Поэтому в первую очередь почтовый сервер должен обеспечивать функционирование и надежную защиту почтовых баз данных. Рассмотрим основные виды угроз в этой области:
Нарушения работы сервера или агента почтовой службы вследствие нарушения физической целостности элементов системы (уничтожение, разрушение, и т.д.).
Несанкционированный доступ к конфиденциальной информации. Например, взлом почтового ящика пользователя.
Нарушение целостности передаваемой информации.
Злонамеренное внедрение в канал связи с целью навязывания ненужной или ложной информации (спам, провокация).
Характер происхождения угроз:
Умышленные факторы:
Подключение к каналам связи (получение передаваемой информации)
Перехват электромагнитных излучений (например, чтобы узнать о самом факте передачи информации)
Доступ к данным одного из агентов почтовой службы (взлом электронного ящика)
Естественные факторы
Несчастные случаи (пожары, аварии на сервере)
Стихийные бедствия
Ошибки в процессе обработки информации (ошибки пользователя, оператора, например, рассылка всем абонентам информации, предназначенной узкому кругу лиц)
Приведем характеристику классов каналов несанкционированного получения информации из рассматриваемой системы.
Каналы утечки информации (КУИ) 1-го класса — каналы, проявляющиеся безотносительно к обработке информации и без доступа злоумышленника к элементам системы. Сюда может быть отнесено подслушивание разговоров, наблюдение за операторами, обслуживающими данную систему. Данный канал может проявиться и путем хищения носителей информации в момент их нахождения за пределами помещения, где расположена автоматизированная система (АС).
КУИ 2-го класса — каналы, проявляющиеся в процессе обработки информации без доступа злоумышленника к элементам АС. Сюда могут быть отнесены электромагнитные излучения каналов связи или серверов, аппаратуры и линий связи, паразитные наводки в цепях питания, телефонных сетях, подключение к информационно-вычислительной сети генераторов помех и регистрирующей аппаратуры для искажения или перехвата информации.
КУИ 3-го класса — каналы, проявляющиеся в процессе обработки информации с доступом злоумышленника к элементам АС, но без изменения последних. Сюда может быть отнесено запоминание и копирование информации в процессе передачи, использование программных ловушек, недостатков языков программирования и операционных систем, маскировка под зарегистрированного пользователя, то есть способы вмешаться в работу клиента электронной почты или обмана пользователя.
КУИ 4-го класса — каналы, проявляющиеся безотносительно к обработке информации с доступом злоумышленника к элементам АС и с изменением программных или аппаратных средств. Среди этих каналов: подмена и хищение носителей информации и аппаратуры, включение в программы блоков типа троянский конь, компьютерный червь и т.п., чтение остаточной информации, содержащейся в памяти, после выполнения санкционированных запросов. На этом уровне злоумышленник получает доступ к компьютеру пользователя и внедряет шпионские программы или исследует историю запросов.
КУИ 5-го класса — каналы, проявляющиеся в процессе обработки информации с доступом злоумышленника к элементам АС и с изменением последних. Сюда может быть отнесено незаконное подключение к аппаратуре и линиям связи, а также снятие информации на шинах питания различных элементов АС.
На основе приведенных выше угроз можно сделать вывод, что в рассматриваемой автоматизированной системе в большинстве случаев, существуют каналы несанкционированного получения информации до третьего уровня включительно. Злоумышленнику этого хватает для проникновения в почтовую систему рядового пользователя. Однако внутренние почтовые сервисы крупных предприятий и организаций требуют от него больших усилий и, следовательно, каналов четвертого и пятого классов.
Источники появления угроз:
Люди (персонал предприятия, хакеры)
Модели, алгоритмы, программы (вирусы, троянские программы и т. д.)
Угрозы безопасности почтовой службы предприятия могут быть вызваны следующими причинами:
качественная недостаточность — несовершенство конструкции (организации) элементов системы, в силу чего могут появляться возможности случайного или преднамеренного негативного воздействия на обрабатываемую или хранимую информацию (неправильная работа протоколов);
промышленный шпионаж — негласная деятельность организации (в лице ее представителей) по добыванию информации, специально охраняемой от несанкционированной ее утечки или хищения, с целью создания для себя благоприятных условий и получения максимальных выгод (недобросовестная конкуренция);
злоумышленные действия уголовных элементов — хищение информации в целях наживы (шантаж, подкуп);
Для контроля почтовой системы злоумышленнику проще всего получить доступ к почтовому ящику пользователя. Для этого используются следующие способы:
Взлом с помощью социальной инженерии. Социальная инженерия (СИ) — мощное средство взлома. Метод основан на психологическом факторе, а точнее, на постоянных человеческих ошибках. В основном это обман пользователя или введение его в заблуждение. Главная задача социального инженера — войти в контакт с пользователем и внушить доверие к себе. Очень часто для взлома почтового ящика хакер отправляет жертве письмо от имени администрации, где сообщает о проведении смены оборудования на сервере и просит прислать логин и пароль.
Взлом с помощью троянских программ. Одна из функций троянских программ – узнавать пароли и передавать их злоумышленнику. Таким образом он может получить данные для доступа к почтовому ящику.
Взлом с помощью фейков. Fake в переводе с английского означает хитрость, обман, мошенничество. Данный способ заключается в создании специальной web- страницы, абсолютно схожей с формой входа на каком-либо почтовом сервере, и размещении ее в Интернет. Хитрость заключается в том, что при переходе по ссылке пользователь видит форму входа в почтовый ящик, вводит все данные и нажимает кнопку «Вход», после чего обычно ничего не происходит, а его логин и пароль отправляются злоумышленнику.
Взлом с помощью уязвимостей почтовых серверов. Многие разнообразные серверы в Интернет уязвимы для хакерских атак, и почтовые — не исключение. Зная брешь в безопасности системы, например XSS, любой может воспользоваться ею для получения вашего пароля.
Кража сессии (cookies). Cookies – это текстовые файлы, хранящиеся на компьютере пользователя и содержащие служебную информацию. Многие web-серверы сохраняют в них разнообразные данные вроде номера сессии и настроек для того, чтобы при следующем посещении ресурса пользователю не пришлось заново вводить все эти данные. Иногда в них записывается пароль к аккаунту, чаще всего зашифрованный алгоритмом MD5. Получив копию Cookie-файла, злоумышленник может попытаться зайти на ваш почтовый ящик.
Существуют различные возможности выведения почтовых серверов из строя. Наиболее часто применяется переполнение буфера. Оно используется как для взлома сервера, так и для запуска произвольного кода в рамках испорченного сервера.
Например, для выведения из строя электронного почтового сервера IMate можно отправить ему строку команды HELO, содержащую 1119 знаков или более.
Менее распространенный способ – отправка незаконченных заголовков сообщений, которые могут привести к 100% – ной загрузке мощностей процессора, замедляя таким образом работу компьютера и доставку электронной почты. Решение для такого рода сбоев – установка последних версий патчей безопасности на сервер. Хакер может атаковать ваши почтовые серверы по нескольким причинам:
1) Чтобы использовать сервер для рассылки спама
2) Чтобы прочитать электронную почту одного или более пользователей
3) Чтобы повредить сервер