3. Анализ защищенности объекта

Прежде всего, необходимо отметить, что любая корпоративная или личная почта является кладезем конфиденциальной информации, которую необходимо защищать. И если почтовый сервер имеет серьезные проблемы с безопасностью - то внутренняя корреспонденция может стать доступной внешним злоумышленникам. Поэтому в первую очередь почтовый сервер должен обеспечивать функционирование и надежную защиту почтовых баз данных. Рассмотрим основные виды угроз в этой области:

1. Нарушения работы сервера или агента почтовой службы вследствие нарушения физической целостности элементов системы (уничтожение, разрушение, и т.д.).

2. Несанкционированный доступ к конфиденциальной информации. Например, взлом почтового ящика пользователя.

3. Нарушение целостности передаваемой информации.

4. Злонамеренное внедрение в канал связи с целью навязывания ненужной или ложной информации (спам, провокация).

Характер происхождения угроз:

1. Умышленные факторы:

• Подключение к каналам связи (получение передаваемой информации)

• Перехват электромагнитных излучений (например, чтобы узнать о самом факте передачи информации)

• Доступ к данным одного из агентов почтовой службы (взлом электронного ящика)

2. Естественные факторы

• Несчастные случаи (пожары, аварии на сервере)

• Стихийные бедствия

• Ошибки в процессе обработки информации (ошибки пользователя, оператора, например, рассылка всем абонентам информации, предназначенной узкому кругу лиц)

Приведем характеристику классов каналов несанкционированного получения информации из рассматриваемой системы.

• Каналы утечки информации (КУИ) 1-го класса — каналы, проявляющиеся безотносительно к обработке информации и без доступа злоумышленника к элементам системы. Сюда может быть отнесено подслушивание разговоров, наблюдение за операторами, обслуживающими данную систему. Данный канал может проявиться и путем хищения носителей информации в момент их нахождения за пределами помещения, где расположена автоматизированная система (АС).

• КУИ 2-го класса — каналы, проявляющиеся в процессе обработки информации без доступа злоумышленника к элементам АС. Сюда могут быть отнесены электромагнитные излучения каналов связи или серверов, аппаратуры и линий связи, паразитные наводки в цепях питания, телефонных сетях, подключение к информационно-вычислительной сети генераторов помех и регистрирующей аппаратуры для искажения или перехвата информации.

• КУИ 3-го класса — каналы, проявляющиеся в процессе обработки информации с доступом злоумышленника к элементам АС, но без изменения последних. Сюда может быть отнесено запоминание и копирование информации в процессе передачи, использование программных ловушек, недостатков языков программирования и операционных систем, маскировка под зарегистрированного пользователя, то есть способы вмешаться в работу клиента электронной почты или обмана пользователя.

• КУИ 4-го класса — каналы, проявляющиеся безотносительно к обработке информации с доступом злоумышленника к элементам АС и с изменением программных или аппаратных средств. Среди этих каналов: подмена и хищение носителей информации и аппаратуры, включение в программы блоков типа троянский конь, компьютерный червь и т.п., чтение остаточной информации, содержащейся в памяти, после выполнения санкционированных запросов. На этом уровне злоумышленник получает доступ к компьютеру пользователя и внедряет шпионские программы или исследует историю запросов.

• КУИ 5-го класса — каналы, проявляющиеся в процессе обработки информации с доступом злоумышленника к элементам АС и с изменением последних. Сюда может быть отнесено незаконное подключение к аппаратуре и линиям связи, а также снятие информации на шинах питания различных элементов АС.

На основе приведенных выше угроз можно сделать вывод, что в рассматриваемой автоматизированной системе в большинстве случаев, существуют каналы несанкционированного получения информации до третьего уровня включительно. Злоумышленнику этого хватает для проникновения в почтовую систему рядового пользователя. Однако внутренние почтовые сервисы крупных предприятий и организаций требуют от него больших усилий и, следовательно, каналов четвертого и пятого классов.

Источники появления угроз:

1. Люди (персонал предприятия, хакеры)

2. Модели, алгоритмы, программы (вирусы, троянские программы и т. д.)

Угрозы безопасности почтовой службы предприятия могут быть вызваны следующими причинами:

1. качественная недостаточность — несовершенство конструкции (организации) элементов системы, в силу чего могут появляться возможности случайного или преднамеренного негативного воздействия на обрабатываемую или хранимую информацию (неправильная работа протоколов);

2. промышленный шпионаж — негласная деятельность организации (в лице ее представителей) по добыванию информации, специально охраняемой от несанкционированной ее утечки или хищения, с целью создания для себя благоприятных условий и получения максимальных выгод (недобросовестная конкуренция);

3. злоумышленные действия уголовных элементов — хищение информации в целях наживы (шантаж, подкуп);

Для контроля почтовой системы злоумышленнику проще всего получить доступ к почтовому ящику пользователя. Для этого используются следующие способы:

1. Взлом с помощью социальной инженерии. Социальная инженерия (СИ) — мощное средство взлома. Метод основан на психологическом факторе, а точнее, на постоянных человеческих ошибках. В основном это обман пользователя или введение его в заблуждение. Главная задача социального инженера — войти в контакт с пользователем и внушить доверие к себе. Очень часто для взлома почтового ящика хакер отправляет жертве письмо от имени администрации, где сообщает о проведении смены оборудования на сервере и просит прислать логин и пароль.

2. Взлом с помощью троянских программ. Одна из функций троянских программ – узнавать пароли и передавать их злоумышленнику. Таким образом он может получить данные для доступа к почтовому ящику.

3. Взлом с помощью фейков. Fake в переводе с английского означает хитрость, обман, мошенничество. Данный способ заключается в создании специальной web- страницы, абсолютно схожей с формой входа на каком-либо почтовом сервере, и размещении ее в Интернет. Хитрость заключается в том, что при переходе по ссылке пользователь видит форму входа в почтовый ящик, вводит все данные и нажимает кнопку «Вход», после чего обычно ничего не происходит, а его логин и пароль отправляются злоумышленнику.

4. Взлом с помощью уязвимостей почтовых серверов. Многие разнообразные серверы в Интернет уязвимы для хакерских атак, и почтовые — не исключение. Зная брешь в безопасности системы, например XSS, любой может воспользоваться ею для получения вашего пароля.

5. Кража сессии (cookies). Cookies – это текстовые файлы, хранящиеся на компьютере пользователя и содержащие служебную информацию. Многие web-серверы сохраняют в них разнообразные данные вроде номера сессии и настроек для того, чтобы при следующем посещении ресурса пользователю не пришлось заново вводить все эти данные. Иногда в них записывается пароль к аккаунту, чаще всего зашифрованный алгоритмом MD5. Получив копию Cookie-файла, злоумышленник может попытаться зайти на ваш почтовый ящик.

Существуют различные возможности выведения почтовых серверов из строя. Наиболее часто применяется переполнение буфера. Оно используется как для взлома сервера, так и для запуска произвольного кода в рамках испорченного сервера.

Например, для выведения из строя электронного почтового сервера IMate  можно отправить ему строку команды HELO, содержащую 1119 знаков или более.

Менее распространенный способ – отправка незаконченных заголовков сообщений, которые могут привести к 100% – ной загрузке мощностей процессора, замедляя таким образом работу компьютера и доставку электронной почты. Решение для такого рода сбоев – установка последних версий патчей безопасности на сервер. Хакер может атаковать ваши почтовые серверы по нескольким причинам:

1)     Чтобы использовать сервер для рассылки спама

2)     Чтобы прочитать электронную почту одного или более пользователей

3)      Чтобы повредить сервер