Определение возможности локальных атак

Модель нарушителя информационной безопасности

Под нарушителем понимается лицо, которое в результате умышленных или неумышленных действий может нанести ущерб объектам защиты.

Нарушители подразделяются по признаку принадлежности. Все нарушители делятся на две группы:

¾ внешние нарушители – физические лица, не имеющие права пребывания на территории контролируемой зоны, в пределах которой размещается оборудование;

¾ внутренние нарушители – физические лица, имеющие право пребывания на территории контролируемой зоны, в пределах которой размещается оборудование.

Классификация нарушителей представлена в Модели угроз безопасности персональных данных каждой АС.

Для определения наиболее вероятных (или наиболее часто реализуемых) атак на информационную безопасность необходимо установить, на каких, не подкрепленных реальными средствами теоретических принципах, построена модель безопасности. Например, если одним из ключевых положений является то, что к компьютеру сможет физически приблизится только уполномоченный человек, и при этом не установлено никаких систем ограничения физического доступа - значит, наиболее вероятны атаки именно на физическую безопасность.

Социальная инженерия. Атака под условным названием социальная инженерия относят к разряду локальных (хотя она может быть использована и удаленно), поскольку злоумышленнику все же необходим некий минимальный контакт с представителем атакуемой системы, а именно - пользователем.

Термином социальная инженерия обычно называют набор мероприятий по сбору сведений об информационной системе, напрямую не связанный с техническими подробностями реализации системы, а основанный на человеческом факторе. Наиболее простым, даже утрированным примером можно назвать случай, когда злоумышленник, представившись пользователю уполномоченным лицом (администратором сети или большим начальником), вынуждает пользователя сообщить свой пароль. Если это удается, злоумышленник получает возможность доступа к системе без особых знаний о принципах ее устройства и без применения специальных технических средств.

Общий смысл методов социальной инженерии основан на психологических методах с использованием таких качеств человека, как необоснованное доверие (к не идентифицированному надежно человеку), лень (перепроверить полученные данные), невнимательность (к явным признакам злого умысла) и прочих слабостей.

Без сомнения, все пользователи сети должны быть предупреждены о возможности применения к ним методов социальной инженерии, но это не всегда достаточно. В практике известно множество случаев, когда, только что прочитав инструкцию и подписав обязательство о неразглашении пароля с серьезными угрозами за нарушение, пользователь тем не менее в ответ на просьбу администратора зарегистрировать пароль, вместо того чтобы ввести его с клавиатуры, произносит его громко вслух в присутствии нескольких людей, некоторых из которых он видит впервые в жизни. Методы борьбы с этим могут быть разными, например материальное наказание за известный случай разглашения пароля (даже если это не повлекло серьезных последствий) с оповещением о данном эпизоде остальных пользователей.

Существует, тем не менее, целый ряд ситуаций, потенциально опасных для случаев применения таких методов. Например, следующая ситуация: пользователи сети географически распределены по разным территориальным участкам (разные здания в пределах города), а администрирование, в частности управление учетными записями пользователей, осуществляется централизованно. Пользователи периодически обращаются по телефону к администраторам с вопросами смены пароля (забыл, заблокировал и т. п.). Как поступать администратору, когда он не видит пользователя и не может однозначно идентифицировать его по голосу? Для решения этой проблемы администратору или специалисту по безопасности необходимо продумать варианты возможных угроз и методов противодействия им.

В данном случае угрозы могут быть следующими.

- Злоумышленник, представившись пользователем, сообщит, что забыл пароль и попросит установить временный пароль для входа в систему, с тем, чтобы после этого изменить временный пароль на новый.

- Если администратор использует для всех случаев один и тот же временный пароль (например,"123456"), злоумышленник может периодически перебирать учетные записи пользователей с этим паролем, в надежде поймать ситуацию, когда пользователю установлен временный пароль.

Хотя вторая ситуация менее вероятна, ее также не следует упускать из вида. Если злоумышленник, скажем, присутствовал при разговоре пользователя с администратором по телефону об установке временного пароля, причем после этого пользователь не изменил пароль сразу же.

Допустимыми мерами защиты в данном случае могут быть следующие:

- сохранять в учетной записи пользователя информации, которую сможет прочитать администратор, и которая известна только пользователю (номер домашнего телефона, девичья фамилия матери и т. п.) —перед сменой пароля администратор должен проверить знание пользователем данной информации;

- сверять с регистрационным журналом дату и время последнего использования учетной записи (входа в систему) перед сменой пароля запросить у пользователя указанную дату и время;

- не использовать один и тот же временный пароль, слегка изменяя его для каждого раза (например, не "123456", a "kl23456hh");

- перезванивать пользователю на его рабочий телефон после его просьбы о необходимости смены пароля и продолжать дальнейший диалог, уже удостоверившись в номере телефона, а, следовательно, и месторасположении;

- не сообщать пользователю о временном пароле по тому же каналу связи, по которому пришел запрос на смену пароля, т. е., если пользователь обращается по телефону, то временный пароль направить ему по внутренней электронной почте;

- сообщать временный пароль не самому пользователю, а его непосредственному руководителю, с тем, чтобы руководитель передал временный пароль уполномоченному пользователю.

Комбинацией этих и других возможных мероприятий можно существенно снизить риск использования уязвимостей данной ситуации. Однако, все эти меры носят лишь вероятностный характер защиты - при хорошем знании злоумышленником порядка дел в организации и наличии специальных технических средств все они могут быть преодолены.

Таким образом, угрозы использования социальной инженерии должны быть учтены наравне с остальными угрозами информационной безопасности, необходимо разрабатывать и внедрять соответствующие методы и средства противодействия, обучать персонал и т. д.

Закладки в АППАРАТНОМ обеспечении. Большинство информационных систем (возможно, за исключением учреждений с повышенным уровнем секретности) функционируют исходя из того, что аппаратное обеспечение не представляет собой угрозу. При этом не производится даже начальной, не говоря уже о регулярной, проверки на наличие аппаратных закладок. Напомним, что закладкой называется логическое, в данном случае аппаратное, устройство, которое выполняет некоторые недокументированные или недекларированные функции обычно в ущерб пользователю данной информационной системы. В рассматриваемой ситуации такая закладка может накапливать и передавать соответствующему субъекту информацию о системе, в которой функционирует: от статистических данных о работе системы до паролей пользователей или собственно данных системы.

Очевидно, что не все организации обладают необходимым штатом специалистов по электронике, способных выявить аппаратные закладки. Для обеспечения первоначальной уверенности в отсутствии таких закладок на новом приобретенном оборудовании придется полагаться на наличие сертификатов уполномоченных организаций по данному производителю или поставщику, по классу оборудования и по другим параметрам. Для обеспечения более высокого уровня доверия можно пригласить специалистов из соответствующих организаций для выборочной или полной проверки поставляемого оборудования.

Обеспечение регулярной проверки также возможно различными способами, в зависимости от требований к конкретному классу информации или средств работы с ней и от материальных и других ресурсов предприятия. Например, методы проверки могут быть следующими:

- периодическая проверка оборудования приглашенными специалистами уполномоченных организаций.

- фиксация серийных номеров комплектующих частей оборудования с регулярной проверкой соответствия реально установленных и зафиксированных номеров. Дополнительная работа заключается в перерегистрации данных при проведении ремонта, замены и т. п.

- автоматизированная инвентаризация элементов аппаратного обеспечения в информационном пространстве предприятия. Эту функцию обычно выполняет специальное программное обеспечение, поддерживающее базу данных по аппаратному обеспечению, используемому на предприятии.

- опечатывание разборных частей корпусов оборудования с регулярной проверкой целостности печатей. В этом случае основной акцент переносится на пользователя данной единицы оборудования, который должен регулярно (обычно ежедневно перед началом работы) проверять целостность печатей.

В более серьезных случаях возможны затраты на оборудование, выполняющее постоянный мониторинг, либо даже фильтрацию/подавление возможных сред передачи информации вовне организации. Традиционно к данным средам относят (по убыванию частоты использования): радиоэфир, сети проводной передачи данных, сети питания вычислительных машин, видимый/инфракрасный диапазон, звуковой фон.

Вообще в данном вопросе, как впрочем и в других, важным элементом обеспечения безопасности является обучение пользователей, которые должны сигнализировать в службу информационной безопасности о любом предопределенном или подозрительном событии, в том числе и произошедшем с аппаратным обеспечением. В качестве примера можно привести известную атаку на банкоматы (которые, кстати, являются специализированными компьютерами) для получения информации о ПИН (персональном идентификационном номере) для доступа к пластиковой карте. Если заранее не быть информированным о такой атаке, злоумышленник может достичь успеха. Атака заключалась в нанесении злоумышленником тонкого слоя пыли на клавиатуру. Когда пользователь набирал свой ПИН, на клавиатуре оставались следы, которые затем анализировались злоумышленником и могли привести к разгадыванию ПИНа пользователя. С некоторой натяжкой пыль можно рассматривать как дополнительную аппаратуру, размещенную злоумышленником.

Мы рассмотрели только атаки, направленные на получение доступа к информации (на конфиденциальность и целостность), однако говоря об атаках на аппаратное обеспечение нельзя забывать и об атаках на доступность, когда само оборудование может быть похищено или разрушено, прекратив, таким образом, функционирование всей системы или ее части

Преодоление ограничений доступа на уровне firmware. Теперь допустим, что надежность работы аппаратного обеспечения достигнута. Рассмотрим возможности встроенного программного обеспечения (англ. Firmware). Известно, что иногда в разграничении доступа к конкретному компьютеру система безопасности полагается на пароль на загрузку самого компьютера (иногда называемого паролем BIOS).

На наш взгляд, данное средство можно использовать только как дополнительное усиление в системе контроля доступа, так как данный метод обладает рядом недостатков.

- сброс пароля в случае выключения или разрядки батареи постоянного питания компьютера (батареи часов).

- хранение некоторыми производителями firmware пароля в виде преобразованного набора символов (контрольного значения), причем данное преобразование имеет небольшой фиксированный набор значений. В практике авторов известен случай, когда два различных слова, используемых в качестве пароля, имели одно и то же контрольное значение. Причем первое слово было мастер - паролем технической службы для доступа в настройки BIOS всех пользовательских компьютеров, а второе слово - пароль на загрузку компьютера одного из пользователей. Этот пользователь был приятно удивлен, обнаружив, что его парольное слово не только позволяет загружать все остальные пользовательские компьютеры, но и дает возможность управлять конфигурацией загрузки. Предприятие потратило существенное время на замену мастер - пароля на всех компьютерах пользователей.

- наличие у некоторых производителей недокументированного универсального пароля для входа в систему с целью отладки аппаратного обеспечения. Широкий резонанс получил случай с недокументированным паролем "AWARD_SW" в огромной серии BIOS для IBM PC AT фирмы Award Software, Inc.

Кроме того, при использовании BIOS-паролей следует различать пароль на загрузку самого компьютера и пароль на доступ к конфигурационным данным загрузки. Это должны быть различные пароли, для того чтобы рядовой пользователь данного компьютера (как, впрочем, и потенциальный злоумышленник, завладевший паролем пользователя) не смог изменить параметры загрузки в свою пользу, как, например, для атак, описанных в следующем разделе.

Получение доступа на этапе загрузки ОС. При нормально функционирующем аппаратном обеспечении в процессе загрузки компьютера наступает момент, когда firmware передает управление компьютером операционной системе. Однако при соответствующей настройке последовательности загрузки на многих ЭВМ возможна передача первоначального обращения не к стационарному (жесткий диск, сетевая плата), а к внешнему носителю (дискете, CD-ROM диску). Если в этот момент за рабочим местом пользователя находится злоумышленник, он может инициировать загрузку с внешнего носителя операционной системы, в которой он обладает правами, достаточными для того, чтобы получить доступ к информации (в том числе и системной) на жестком диске компьютера пользователя. Проведя необходимые изменения (например, заменив или скорректировав базу данных по счетам пользователей данного компьютера или установив программную закладку - троянскую программу), он сможет при следующей загрузке компьютера иметь полные права на данной рабочей станции (или сервере, если он находился за консолью сервера).

Таким образом, службе безопасности следует рассмотреть вопрос о целесообразности использования возможности загрузки операционной системы с внешнего носителя и, при отрицательном решении, изменить конфигурацию компьютера соответствующим образом.

Вообще говоря, вопрос об использовании устройств считывания информации с внешних носителей (а также с неиспользуемых физических портов компьютера) ставится несколько шире, чем возможность загрузки операционной системы. Перечисленные источники получения информации являются широко известными способами перенесения на компьютер (а также копирования с него) информации, полностью находящимися в распоряжении пользователя, при этом их затруднительно контролировать.

В настоящее время считается хорошей практикой отключение или даже физическое удаление возможности считывания с внешнего носителя у пользователя. При этом имеет смысл только общее отключение, так как если оставлять такую возможность у одного - двух пользователей на подразделение предприятия (отдел, департамент и т. п.), то рано или поздно эти уполномоченные пользователи будут переписывать информацию для всех остальных, практически не контролируя ее. В таком случае имеет смысл создания отдельной службы информационного шлюза для внешних носителей - одного, двух специалистов, размешенных поблизости от входа на предприятие. При этом все сотрудники и посетители должны быть осведомлены о наличии такой службы, для того чтобы все внешние носители с информацией передавать в указанную службу. Там информация должна проверяться по ряду параметров (например, на отсутствие вирусов для входящих или на ненарушение конфиденциальности исходящих), после чего отправляться адресату - например, по электронной почте пользователю предприятия - для входящих, на внешний носитель - для исходящих. Естественно, что отключение локальных съемных устройств ввода/вывода имеет смысл только при наличии компьютерной сети.

Атаки на средства аутентификации. Управление передано операционной системе. Своевременным требованием к возможности продолжения пользователем работы является его идентификация и аутентификация, то есть, сотрудник должен представиться системе и подтвердить, что действительно тот, кем представился. Обычно не бывает идентификации без аутентификации, поэтому далее будем говорить только о последней процедуре. Ряд вариантов аутентификации может быть отнесен на более ранний этап загрузки компьютера, до активации операционной системы. В разделе они приведены для единообразия классификации.

Обычно аутентификация основывается на одном из следующих параметров или их комбинации:

- что-то, что пользователь знает (пароль);

- что-то, что пользователь имеет (токен);

- что-то, чем пользователь является (биометрические параметры).

Самым распространенным является в настоящее время первый вариант, достаточно надежным считается комбинация первого со вторым (предъявление токена и ввод пароля), возможно, с развитием технологий в конечном итоге использоваться будет третий, как наиболее удобный для пользователя.

Рассмотрим их от более сложного и менее распространенного к более простому и чаще используемому.

Биометрические средства аутентификации. Говоря об этом классе средств, необходимо учитывать их точность работы и анализировать в комплексе со следующими характеристиками.

- уровень ошибочного отказа процент случаев, когда корректный предъявленный аутентификатор отвергнут из-за особенностей процесса обработки.

- уровень ошибочного подтверждения процент случаев, когда некорректно предъявленный аутентификатор принят из-за особенностей процесса обработки.

- скорость обработки аутентификатора анализ считанного изображения может занять долгое время на низкоскоростной технике.

- устойчивость к подмене. Из видеофильмов известны случаи с отрезанием пальцев и других частей тела авторизованных пользователей злоумышленниками для предъявления их аутентифицирующим устройствам. Кроме того, для отпечатка пальца, например, может быть создана резиновая копия.

- требования к хранению данных хранение аутентификационных данных в виде многопараметрического вектора или подробного изображения может потребовать значительных ресурсов.

- прочие условия. Использование многими пользователями одного устройства с прикосновением к нему может быть неприемлемо для людей с иными культурными традициями или с физиологическими/психическими отклонениями.

Наиболее известными методами биометрической аутентификации являются: отпечаток пальца или ладони, геометрия ладони (длина, ширина, вес), параметры голоса, анализ сетчатки или радужной оболочки глаза, динамика подписи, геометрия и рисунок теплового излучения лица.

Токены. Токен (англ. token) это устройство, хранящее некий уникальный параметр, на основе которого выдается корректный ответ на запрос системы об аутентификации.

Различают следующие варианты использования токена.

- на запрос системы токен предъявляет ей хранимое секретное значение. Это не самый надежный случай, так как, перехватив это значение один раз, злоумышленник может имитировать ответ токена.

- токен и система имеют общую, синхронизированную систему генерации одноразовых паролей. На запрос системы токен выдает пароль, действительный для данного промежутка времени. Синхронизированная система генерирует в это время свой вариант пароля, который и сравнивает с полученным.

- токен зарегистрирован в системе, и система знает его секретное значение (либо открытый ключ для варианта асимметричной криптографии). Получив в запросе некую случайную величину, сгенерированную системой для данного сеанса аутентификации, токен преобразует ее, используя свой секретный параметр. Таким образом, с одной стороны, информация, предоставляемая для аутентификации (как запрос, так и ответ), каждый раз различна и ее перехват ничего не дает злоумышленнику. С другой стороны, система, зная случайное значение и секретный параметр токена, генерирует свой вариант ожидаемого ответа токена и на основе этого сравнения принимает решение об авторизации. По сравнению с предыдущим методом данный алгоритм стоек к рассинхронизации системы и токена. При случайных или умышленных попытках некорректной авторизации либо даже простейшем сбое питания в методе с синхронной системой счетчики одноразовых паролей могут рассинхронизироваться. Это потребует вмешательства в работу системы специалистов с дополнительными полномочиями.

Варианты применения токена совместно с паролем или ПИНом пользователя следующие:

- ПИН служит паролем доступа к самому токену: без введения ПИН токен не действует;

- токен генерирует аутентификационный ответ на основе своего секретного параметра и ПИН пользователя, т. е. корректность и секретного параметра и ПИНа анализируются системой.

- ПИН пользователя совместно с параметром токена и случайной величиной системы, или с синхронизированным параметром служат основой для выработки одноразового пароля, который затем сообщается пользователю. Пользователь далее работает с этим паролем, как с обычным, но только в ограниченный промежуток времени.

Надежность подобных систем зависит от реализации работы токена и системы. Например, если между системой и устройством считывания данных, подготовленных токеном, может размещаться средство перехвата информации, и при этом срок жизни пароля из ответа токена достаточно долгий, то, естественно, он может быть использован злоумышленником.

Пароли. Это наиболее распространенный в данное время способ аутентификации, когда система приглашает пользователя-человека ввести известную только данному пользователю (и системе) последовательность символов.

Возможные атаки в данном случае основываются на уязвимости:

- способа доставки пароля от пользователя к системе;

- способа хранения пароля в системе;

- системной политики работы с паролем;

- самого пароля вследствие его некорректного выбора пользователем.

Способы доставки пароля от пользователя до аутентифицируюшей системы определяются протоколами доставки. На первый взгляд в разговоре о локальных атаках не имеет смысла говорить о способах доставки пароля до системы, однако на самом деле это зависит от способа аутентификации пользователя в системе. Если аутентификация пользователя происходит на той же системе, с консоли которой он работает, то, действительно, в данном случае рассмотрение способов доставки можно опустить. Если же перед работой на локальной станции пользователь должен быть аутентифицирован на отдельном сервере, то процесс доставки пароля до сервера необходимо также учитывать.

Единственное, что можно добавить к рекомендациям по усилению безопасности способа доставки паролей - это своевременно отслеживать появления обновлений и заплаток. Так, после снятия в начале2000 года правительством США ограничений на экспорт сильных криптографических средств, стало возможным использовать протокол безопасности SSL с ключом длиной 128 бит вместо 40-битного, который был до этого. Снятие такого ограничения, возможно, означает, что соответствующие органы в США теперь обладают ресурсами, позволяющими взламывать 128-битные ключи в этой криптосистеме, но тем не менее при прочих равных условиях лучше использовать более сильные ключи.

Способы хранения паролей в системе зависят от самой системы и обычно не могут быть изменены, например, усилены с точки зрения безопасности. Тем не менее, в ряде случаев, например, для Unix-подобных операционных систем, возможны дополнительные мероприятия по усилению защиты файла паролей (изменение прав доступа, shadowing). Для других систем, например, Windows NT, сам способ хранения паролей не может быть усилен на месте использования (только производителем с помощью соответствующих заплат). Однако необходимо учитывать дополнительные уязвимости, связанные с файлом паролей, такие, как возможность его сохранения в альтернативном месте на случай аварийного восстановления. Например, если альтернативное место хранения не обеспечивает необходимого уровня защиты, файл паролей может быть скопирован злоумышленником, и далее подвергнут обработке на предмет извлечения паролей пользователей.

В любом случае необходимо ознакомится с документацией системы, посвященной вопросам хранения паролей, а также обязательно изучить накопленный опыт по вопросам несанкционированного извлечения паролей в данной системе.

Уязвимость системной политики паролей зависит от настройки, установленной администратором. Если политика безопасности допускает неограниченное число попыток ввода некорректного пароля без блокировки имени регистрации, если нет задержки между попытками ввода, если возможен пароль размером менее 8 - 10 символов или вообще пустой пароль, то пароль пользователя не истекает никогда, не поддерживается история паролей - все это несомненные возможности для злоумышленника. Для снижения вероятности реализации такой атаки необходимо установить блокировку счета пользователя (хотя бы временную) после 3 - 5 ошибок при вводе пароля, либо после ввода неверного пароля установить запаздывание 5 - 7 секунд; запретить вводить пароли маленького размера; установить приемлемое для пользователей время истечения пароля (в среднем 1 месяц); поддерживать историю паролей, т. е. запрещать пользователю использовать свои старые пароли. Продвинутые системы могут производить анализ паролей пользователей при вводе и отбраковывать простые, легко разгадываемые пароли.

Если система ведет регистрационный журнал ввода паролей пользователями, можно использовать дополнительные возможности - расследовать часто повторяющиеся случаи ввода неверного пароля пользователем, блокировать счет, если пользователь не входил в систему более 2 недель - месяца и пр.

Отдельный вопрос, который должен быть рассмотрен в данном разделе, это имитация системного приглашения к вводу пароля со стороны посторонней программы (программной закладки). Идея такой атаки состоит в том, чтобы перехватить запрос пользователя на доступ к системе. В момент начала процесса авторизации запускается альтернативная программа, созданная злоумышленником. В тот момент, когда пользователь думает, что вводит пароль в соответствующее окно запроса системы, информация на самом деле передается в окно программной закладки. После этого альтернативная программа либо выдает сообщение об ошибке пароля и передает управление настоящей системе, либо, если позволяют технические возможности, прозрачно для пользователя эмулирует ввод пароля в адрес настоящей системы. Если в системе не предусмотрены дополнительные защитные механизмы (генерирование прерывания комбинацией клавиш <Ctrl>+<Alt>+<Del> в Windows NT), то защита от таких атак - обучение пользователей, которые должны внимательно следить за поведением системы при вводе пароля. Изменение надписи приглашения к вводу, цвета заставки, отклонение от обычной последовательности действий или реакций - все это должно вызывать подозрение.

Атака на слабость паролей — это уже притча во языцех. Известно, что примитивно выбранный пароль можно разгадать даже без использования технических средств, более сложные - с использованием известных программ - взломщиков паролей. Конечно, речь должна идти в первую очередь об обучении и инструктировании пользователей. Если на предприятии не используется практика, когда хорошие пароли генерируются для пользователей программным образом, то целесообразно придерживаться следующих советов:

- не принимать в качестве паролей коротких последовательностей символов, меньше 8-10;максимально использовать предоставляемые системой возможности и вводить парольные последовательности в 15-20 символов.

- обязательно использовать в пароле не только буквы и цифры, но и спецсимволы (!"№;%:?*{[<>? и т. п.) и изменение регистра символов (с нажатием клавиши <Shift>). He следует думать, что достаточно набирать в качестве пароля на клавиатуре, включенной в режим латинского шрифта, фразу на русском языке, ориентируясь на русскую раскладку. К сожалению, существуют уже словари для программ - взломщиков паролей, ориентированные и на такие хитрости;

- если у пользователя проблемы с запоминанием паролей, можно рекомендовать в качестве пароля известную ему, запоминающуюся фразу или первые строки литературного произведения, перемежая его спецсимволами, в латинской раскладке, со сменой регистров.

Пример (который, конечно же, следует использовать в качестве методики, а не копировать дословно).

Фраза: " 31 декабря 1978 года мы пошли в баню " -цифр в ней и так достаточно, будем набирать ее в латинской раскладке, группируя слова спецсимволами и последние три слова в верхнем регистре. Получаем:

" (31-ltrf,hz)+[1978=ujlf] vs&GJIKB D"<FY> ",

что вполне может считаться хорошим паролем.

Дополнительно, если система хранения паролей имеет такую техническую возможность, на предприятии можно внедрить практику, когда уполномоченные администраторы или специалисты по информационной безопасности анализируют пароли пользователей с помощью соответствующего программного обеспечения в течение фиксированного промежутка времени (например, считаются приемлемыми пароли, которые не удалось взломать в течение трех дней).

В этом случае необходимо определить:

- процедуру, препятствующую злоупотреблению взломанным паролем со стороны проверяющего;

- ответственность пользователя за некачественно выбранный пароль, который был взломан - ведь выбор такого пароля объективно представляет угрозу для предприятия.

Атаки класса "повышение привилегий ". Другая категория возможных локальных атак заключается в выполнении пользователем, получившим доступ в систему (не важно авторизованным пользователем или злоумышленником, приобретшим доступ от имени пользователя) различных несанкционированных действий. Данный класс атак носит название повышение привилегий.

Наиболее примитивный вариант - это поиск информации, когда пользователь начинает исследовать доступные для него возможности в системе, которые напрямую не связаны с его рабочими обязанностями. Если права пользователя в системе настроены в соответствии с принципом минимальных привилегий, то такой поиск не приведет к угрозе для системы. Однако, если сама система не позволяет жестко ограничить пользователя, то он может получить дополнительную информацию, например, о системных настройках, системном "мусоре" или о данных, которые не должны быть ему доступны, и использовать их дальше в своих интересах. В качестве системного "мусора" в данном случае можно рассматривать дампы памяти, файлы с расширением pwl и пр., из чего можно извлечь информацию.

В рамках такого поиска пользователь может пытаться изменить системные настройки, если система это позволяет. Например, пользователь может случайно или намеренно сделать доступными для остальных пользователей сети свои локальные информационные ресурсы, предназначенные только для него. Кроме того, при специфической организации доступа к данным пользователь может получить к ним доступ вне системы разграничения прав. Например, если разграничение прав доступа к данным производит приложение, а при этом СУБД, хранящая данные, такого разграничения не производит. В этом случае пользователь, обратившись к данным вне приложения, может получить доступ к информации, для него не предназначенной.

Если невозможно техническое ограничение прав пользователя на поиск информации, необходимо предпринять соответствующие дополнительные меры, например, запретить такой поиск в приказном порядке. Иногда система, не давая возможности ограничивать доступ, тем не менее, позволяет вести регистрацию такого доступа; подобные регистрационные журналы можно использовать для анализа несанкционированной активности пользователей.

Постороннее программное обеспечение. Более распространенный вариант, когда пользователь устанавливает на своем компьютере постороннее программное обеспечение. Он может сознательно устанавливать программное обеспечение, которое предназначено для исследования или взлома систем, либо неосознанно установить зловредную программу, результат может быть одинаково угрожающим. В этой ситуации:

- пользователь должен быть предупрежден о запрете установки стороннего программного обеспечения;

- служба информационной безопасности должна принимать меры к обнаружению и устранению таких программ.

Зловредные программы, устанавливаемые пользователем по незнанию, представляют собой скорее вариант удаленной атаки, так как пользователь компьютера не является ни автором, ни пользователем этой программы. В данном случае больший интерес представляют программы, устанавливаемые пользователем сознательно, чтобы использовать их в своих интересах.

Собственно, в зависимости от строгости порядков на предприятии, любую постороннюю программу - компьютерную игру, программу, обучающую иностранному языку, энциклопедию - можно считать зловредной. Во-первых, все они отвлекают пользователя в его рабочее время, за которое ему платит работодатель. Во-вторых, они расходуют ресурсы (место на диске, процессорное время и т. п.) системы, предоставленной пользователю для выполнения рабочих обязанностей.

Однако рассмотрим непосредственно так называемые "хакерские" программы. К ним следует отнести программы, предназначенные для повышения привилегий пользователя в данной локальной системе; анализаторы сетевой активности снифферы; локальные взломщики паролей и других защищенных ресурсов (шифрованных документов, таблиц, архивов); дизассемблеры и отладчики; конструкторы и генераторы вирусов и сетевых пакетов; генераторы номеров кредитных карт и др.

Перечислим известные возможности таких программ как примеры существующих атак:

- программа повышения прав пользователя зависит от конкретной операционной системы и ее настроек. Позволяет пользователю с минимальными правами получить доступ к системным ресурсам с более высокими привилегиями, вплоть до привилегий администратора системы;

- сниффер (англ. sniffer) программа, перехватывающая пакеты, поступающие к данной станции, в том числе и те, которые станция при нормальной работе должна проигнорировать. Если сеть предприятия организована по принципу множественного доступа (то есть пакеты получают все станции, но обрабатывают только те, для кого они предназначены), то сниффер может накопить существенную информацию, так как до него могут дойти, например, авторизационные пакеты с паролями;

- программы подбора паролей могут быть использованы пользователем на многопользовательских рабочих станциях с целью попытаться в фоновом режиме подобрать (например, по словарю) пароль другого пользователя этой же системы;

- взломщики шифров - программы, использующие различные криптоана-литические методы и известные уязвимости в криптографических алгоритмах для приведения данных в незашифрованное состояние без использования ключа дешифрования. Если в качестве шифрованного файла для программы был использован, например, файл паролей локальных пользователей (в том числе администратора), то при успешной работе программы будут получены соответствующие пароли;

- дизассемблеры (англ. disassembler) и отладчики (англ. debugger) позволяют провести анализ и пошаговое выполнение программного обеспечения (например, операционной системы или приложения) с тем, чтобы понять его внутреннюю логику и уязвимости или вызвать в его работе сбой с предсказуемым результатом, либо изменить ход работы программы в свою пользу;

- атаки на переполнение буфера - когда поступающие в программу данные вызывают сбой либо проблемы с выдачей программой информации, которая должна быть скрыта, либо с выполнением ряда действий иначе, чем это было запланировано разработчиком программы;

- конструкторы и генераторы вирусов позволяют соответственно создать программное обеспечение, которое в дальнейшем можно использовать для нанесения ущерба информационным системам;

- конструкторы и генераторы сетевых пакетов позволяют создавать пакеты, отличные от создаваемых уполномоченной системой, например, с измененным адресом отправителя или некорректным размером. Применение таких программ может привести к сбоям информационных систем или ошибочным аутентификациям, если аутентификация производится по адресу отправителя;

- генераторы номеров кредитных карт не являются угрозами локальной системе, они позволяют ввести в заблуждение удаленные системы, предоставляющие платные ресурсы путем предъявления к оплате несуществующих или чужих карт. Тем не менее, предприятие, чей работник использует такой трюк, может понести ущерб в ходе проведения расследования атакованной стороной.

Кроме перечисленных программ, пользователь может использовать программу автоматизированного поиска уязвимостей системы. Хотя чаще всего такие программы характерны для использования при удаленных атаках, тем не менее, они могут быть использованы для анализа локальной системы.

Как следует из списка, сфера действий этих программ различна, поэтому вместо того, чтобы бороться со всеми возможными атаками от этих программ, проще заранее кардинально решить вопрос с запретом установки таких программ. Рекомендации в этом случае могут быть следующими:

- пресечение источников проникновения постороннего программного обеспечения: блокировка внешних носителей, фильтрация входящего информационного трафика;

- разграничение прав пользователей в системе таким образом, чтобы они не могли устанавливать программное обеспечение самостоятельно;

- инвентаризация программного обеспечения, установленного у пользователей - регулярная автоматизированная проверка или выборочная инспекция;

- подготовка соответствующих нормативов по правилам работы и ознакомление с ними пользователей.

Возможно, в ближайшее время или в далеком будущем появятся другие атаки. Необходимо быть постоянно осведомленным о таких возможностях, т. е. регулярно изучать соответствующие информационные ресурсы (специализированные книги, сайты в Интернете, подписка на рассылку и т. п.). Информацию о новых появившихся атаках следует обязательно анализировать применительно к собственной сети, при этом нельзя забывать о том, что потенциально исполнителем атаки может быть и сотрудник своего предприятия. При соблюдении этих мер служба информационной безопасности будет готова адекватно воздействовать в подобных ситуациях.

Утилиты локальных атак. Известная утилита, получения доступа к файловой системе Microsoft Windows NT - NTFS называется NTFSDOS. Думаем, что даже яростные противники Билла Гейтса согласятся, что с установленными соответствующими заплатами и исправлениями правильно сконфигурированная система Windows NT с корректно распределенными NTFS - правами и защищенным паролем администратора представляет собой достаточно надежную систему. Но все это верно только до тех пор, пока у злоумышленника нет возможности произвести загрузку с дискеты (в данном случае операционной системы DOS) и запустить пресловутый драйвер файловой системы ntfsdos.exe. Другим вариантом может быть физическое похищение жесткого диска компьютера и перемещение его туда, где возможно произвести загрузку с другой операционной системы, также NT-подобной (где у злоумышленника уже есть соответствующие права) или другой операционной системы (аналог NTFSDOS существует и для Linux).

Когда утилита запущена, она сканирует разделы жестких дисков, имеющихся на компьютере, и ищет NTFS-драйвер. Найдя его, утилита делает раздел NTFS доступным операционной системе DOS как логический диск, игнорируя при этом права доступа, которые были определены в файловой системе NTFS. Свободно распространяемая версия делает раздел NTFS доступным только для чтения, однако коммерческие версии и аналоги позволяют иметь полный доступ к файлам NTFS. Дополнительные ограничения свободных версий могут быть на размер диска (до 4 Мбайт), поддержку чередования дисков, отображения времени создания/модификации файлов и др.

Другая программа GetAdmin.exe, использующая уязвимость операционной системы Windows NT, позволяет добавлять пользователя (если только он не работает под учетной записью guest) в группу локальных администраторов. Реализация атаки стала возможна, так как функция NtOpenProcess (Получить доступ к процессу) не производила проверку соответствующих привилегий после изменения одного из флагов (N^s-obalFlag). При этом процесс winlogon с учетной записью System мог добавлять или удалять пользователя из группы администраторов. Используя эту программу, став локальным администратором, далее пользователь может производить любую перенастройку системы под свои интересы.

Программа взлома паролей Windows NT - LOphtCrack использовала при атаке необходимость обратной совместимости различных версий аутентификационных протоколов. Взлом стал возможным из-за того, что более старая версия протокола LANManager использовала откровенно уязвимый алгоритм шифрования (если быть более точным - кэширования) паролей. Таким образом, злоумышленникам не было необходимости работать с более сильным механизмом защиты NT - они использовали более слабый вариант, оставленный для поддержки аутентификации старых версий. Пароли LAN Manager не производят различия между регистрами (строчная и заглавная буква рассматривается как одна и та же), что существенно сокращает количество вариантов паролей. Кроме того, стандартный пароль NT длиной в14 символов LANManager разбивает на два по 7. А это при наличии возможности проверять кэш половинок пароля независимо (именно так и происходит на самом деле) позволяет злоумышленнику перебирать 677+677(=243), а не 6714(=284) вариантов пароля.

Чтобы раскрыть пароли, на первом шаге программа использует кэш LANManager. LOphtCrack обрабатывает список слов, используя при этом тот же алгоритм, что и LANManager, и сравнивает полученное значение с оригиналом из базы данных паролей SAM (Security Accounts Manager). Если устанавливается соответствие, то пароль раскрыт. Если программа доходит до конца словаря, то она начинает просмотр словаря заново, добавляя понемногу символов в начало и конец каждого словарного слова, и т. д. Вычислив значение кэша LANManager, LOphtCrack получает пароль без различия регистра. Теперь программа хэширует все варианты написания пароля (с буквами в разных регистрах) и сравнивает кэш-значения с исходными кэш-значениями для NT.

Специальная утилита из пакета NT4 - SP3 syskey обеспечивает дополнительную защиту, шифруя кэш-значения паролей из SAM. Однако поскольку в базе продолжают присутствовать и пароли для LANManager, программа может перенести акцент атаки на перехват пакетов с паролями, предназначенными для LANManager.

Предварительные выводы. Перечисленные примеры атак не являются новыми они давно известны. Приведены они здесь только для того, чтобы показать, какие разнообразные причины могут послужить уязвимостями для систем. Новые виды атак появляются постоянно. Поэтому повторим еще раз основные рекомендации по противодействию им:

- стройте защиту на противостоянии не конкретной атаке, а классу атак;

- установите защиту на разных уровнях, так как новая атака, возможно, обойдет тот эшелон защиты, который был направлен против нее, но "споткнется" о другой эшелон соседнего класса (например, новый сверхвзломщик паролей, превосходящий имеющиеся заплаты и обновления системы, будет бесполезен, если сам файл паролей недоступен взломщику);

- будьте в курсе новых атак, о которых обычно информируют соответствующие организации, и своевременно устанавливайте обновления и заплатки на системы, выпускаемые производителем.

Более серьезным материалом на тему формирования парольной политики может служить документCSC-STD-002-85 "Password Management Guide" Министерства обороны США [DOD2], одна из книг так называемой Радужной серии (Rainbow series), куда входят знаменитые "Оранжевая" [DOD1J и "Красная" [NCSC1] книги. В документе рассмотрены такие вопросы, как ответственность специалиста по безопасности, ответственность пользователя, функциональность механизма аутентификации и защита паролей. Кроме того, там предложены алгоритмы генерации и шифрования паролей, определение длины пароля, вероятности его угадывания и пр.