Что такое несанкционированный доступ вход в систему без согласования с
Обновлено: 28.06.2024
В рамках данной статьи по защите информации в телекоммуникациях рассматривается задача анализа сетевого трафика и использования полученных данных для несанкционированного доступа в локальную сеть на основе сервера с целью извлечения или редактирования данных.
Основой послужила модель OSI , а именно уровни: сетевой, канальный и сеансовый. Задача носит инфокоммуникационный характер и не является задачей программирования (написание кодов, скриптов и прочее), а относится к инженерным решениям в области изучения процессов, связанных с анализом трафиковых процессов в локальных вычислительных сетях.
В данной статье будет рассмотрена известная для несанкционированного доступа сеть (см. рис. 1). Авторы предлагают читателям предположить, что эта сеть принадлежит маленькой частной компании, в которой используется коммутатор ( S 1, S 2) и маршрутизатор ( R 1) третьего уровня. Первоначальные действия по реализации поставленной задачи: совершить несанкционированный доступ в выбранную частную компанию через PC 3, узнать логины и пароли базы данных, которые размещены на их персональном сайте, а также извлечь ценную информацию с машин компании. То есть на персональном сайте размещены логины и пароли? Или это база данных размещена, а нужно узнать логины и пароли? Тогда "которая размещена на их. "
Рис. 1. Модель сети частной компании
Малые ресурсы порой дают большие возможности
Как часто вы задумываетесь над тем, что простые стандартные средства Windows и программы для анализа сетевого трафика (снифферы) способны нанести вред вам и вашей компании? Именно эти инструменты авторы хотят рассмотреть и показать, что такой незначительный инвентарь средств достаточен для проведения несанкционированного доступа в сеть компании.
Основная задача данной статьи – показать пользователям, что не нужно быть программистом и писать сложные программы для взлома, создавать вирусы, а достаточно только обладать базовыми знаниями в этой области, используя принцип анализа трафика, широко применяемый в телекоммуникациях.
Для того чтобы начинать действовать, необходимо разобраться в том, что будет извлекаться из рассматриваемых в статье уровней модели OSI . На сеансовом уровне происходит организация сеанса связи между компьютерами. Главной задачей будет являться перехват логина и пароля, которые отправляются на сервер. На сетевом уровне определяется путь, по которому данные будут переданы, что позволяет получить IP -адрес. Это поможет в ходе решения поставленной задачи (несанкционированный доступ) определить, куда пользователь выходит чаще всего. На канальном уровне станут известны MAC -адреса, являющиеся физическим адресом. Устройства канального уровня – коммутаторы, концентраторы и др.
Так ли безопасно пользоваться компьютером?
Чтобы пользователь мог реально оценить свою безопасность при работе за компьютером, следует для начала рассмотреть способы перехвата контроля над машиной, которой он пользуется.
Напрямую или через коммутатор производится подключение к выбранному маршрутизатору с помощью физического кабеля Cat .6 и проверяется установка соединения командой ping в командной строке. Команда arp – a в командной строке дает возможность увидеть список всех подключенных к данной сети машин. Дальнейшие действия зависят от того, что необходимо сделать: проникнуть в файловую систему или же сразу начать анализировать трафик выбранного субъекта, "отравляя" его.
После выполнения команды arp – a производится подключение к файловой системе любого компьютера по IP - адресу, но здесь есть технические сложности, так как на предприятии обычно каждая машина обычно защищена логином и паролем. Для успешной реализации данной задачи используется обходной путь. В стандартных программах Windows присутствует команда smtsc , что позволяет осуществить удаленный доступ к машине (ПК), благодаря нахождению с ней в одной сети. Вследствие этой операции имеется возможность свободного подключения к любой машине в данной локальной сети. Настройка сетевого общего доступа к файловой системе является дополнением к удаленному доступу. Данный метод позволяет забрать логин с паролем и дает возможность зайти в браузер, чтобы завладеть всеми coockies -файлами от всех ресурсов. Присутствуют определенные затруднения: не всегда получится осуществить удаленный доступ к интересующему нас ПК, но, несмотря на это, есть возможность осуществить данное подключение.
Удаленный доступ ко всем компьютерам без ограничений имеется у машины системного администратора и, возможно, директора, их IP всегда "самые первые". Далее методом перебора вычисляется машина системного администратора и присваивается его IP -адрес. Данную операцию возможно осуществить только при выключенном компьютере системного администратора. После этих действий, уже используя его сетевой адрес, производится подключение через удаленный доступ к любой машине в сети и выполняется то же самое, что было описано выше. Все эти операции выполняются также с помощью стандартных средств Windows .
Следующим шагом будет являться открытие hypertext . Необходимо перевести его в форму TCPStream и найти в коде значение username или password . Согласно вышеописанным действиям в распоряжение поступают все данные аутентификации нашей цели. Точно таким же образом можно находить переписки, все скачанные файлы, оценить трафик (на каких ресурсах цель проводит больше всего времени). Для этого нужно всего лишь менять фильтры и досконально изучать все полученные мегабайты трафика, уметь грамотно их расшифровывать.
Рис. 3. Атака MiTM ("человек посередине")
Литература:
- Rand Morimoto, Michael Noel, Guy Yardeni, Omar Draubi, Andrew Abbeyt, Chris Amaris . Microsoft Windows Server 2012. Complete Guide / Publishing house "Williams" . – 2013. Ch . 13, 14, 18, 19, 24.
- Gustafson D.E., Kessel W.C. Fuzzy clustering with a fuzzy covariance matrix. Scientific Systems, Inc. 186 Alewife Brook Parkwa y Cambridge. – Massachusets. – 1978. P. 761–766.
- Paket K. Building Cisco Remote Access Networks / Publishing house " Williams ". – 2003. Ch . 6, 13, 15.
- Олифер В., Олифер Н. Компьютерные сети. Принципы, технологии, протоколы / Издательский дом "Питер". – 2006. Гл. 3, 4, 6, 7.
- Оливер Ибе. Сети и удаленный доступ. Протоколы, проблемы, решения / Издательство "ДМК Пресс". – 2002. С. 53.
- Soshnikov A., Migalyov I., Titov E. (2016). Principles of Functioning of Technological Module for Danger Estimation of Combined Electromagnetic Field. Procedia Engineering, 165. P. 1027-1034, DOI: http://dx.doi.org/10.1016/j.proeng.2016.11.815 .
- Щеглов А., Финков М. Защита компьютерной информации от несанкционированного доступа / Издательство "Наука и техника" . – 2004. Гл. 2, 3, 5, 8, 11, 15, 20–25.
- Зотов К.Н., Киселев А.Е., Комиссаров А.М. Интеллектуальные надстройки в GSM / Журнал "Технологии и средства связи". – 2017.–№ 2: http://tssonline.ru/articles2/fix-op/intellektualnye-nadstroyki-v-gsm .
- Линч Ф. Уильям, Мамзунк Стив, Пемех Райян, Пфеил Кен, Паппи Рэйн Форест, Расселл Райен, Комински Дэн "Эффугас", Ахмад Дэвид М., Дубравский Идо, Флинн Хал, Гранд Джозеф "Кингпин", Грэм Роберт, Джонсон Норис, К2. Защита от хакеров корпоративных сетей / Издательство " SciTech ". – 2015. Гл. 3–5, 10.
- Рассел Д., Кон Р. Анализатор трафика / Книжная публикация. – 2012. С. 15.
Авторы
Кирилл Зотов
Доцент кафедры телекоммуникационных систем УГАТУ (Уфа), к.т.н.
Игорь Кириллов
Студент кафедры телекоммуникационных систем УГАТУ (Уфа)
Данил Пигин
Студент кафедры телекоммуникационных систем УГАТУ (Уфа)
Под несанкционированным доступом к информации понимается такой доступ, который нарушает правила использования информационных ресурсов компьютерной системы, установленные для ее пользователей. Несанкционированный доступ является реализацией преднамеренной угрозы информационно-компьютерной безопасности и часто называется еще атакой или нападением на компьютерную систему.
Все возможные способы несанкционированного доступа к информации в компьютерных сетях (рис. 3.1) можно классифицировать по следующим признакам.
Рис. 3.1. Классификация способов атак на компьютерные сети
1. По принципу несанкционированного доступа:
- физический несанкционированный доступ;
- логический несанкционированный доступ.
Физический несанкционированный доступ может быть реализован одним из следующих способов:
- преодоление рубежей территориальной защиты и доступ к незащищенным информационным ресурсам;
- хищение документов и носителей информации;
- визуальный перехват информации, выводимой на экраны мониторов и принтеры, а также подслушивание;
- перехват электромагнитных излучений.
Логический несанкционированный доступ предполагает логическое преодоление системы защиты ресурсов активной компьютерной сети. Логический несанкционированный доступ является наиболее результативным для злоумышленника.
2. По положению источника несанкционированного доступа:
- несанкционированный доступ, источник которого расположен в локальной сети;
- несанкционированный доступ, источник которого расположен вне локальной сети.
В первом случае атака проводится непосредственно из любой точки локальной сети. Инициатором такой атаки чаще всего выступает санкционированный пользователь.
При подключении любой закрытой компьютерной сети к открытым сетям, например, к сети Интернет, высокую актуальность приобретают возможности несанкционированного вторжения в закрытую сеть из открытой. Подобный вид атак характерен также для случая, когда объединяются отдельные сети, ориентированные на обработку конфиденциальной информации совершенно разного уровня секретности или разных категорий. При ограничении доступа этих сетей друг к другу возникают угрозы нарушения установленных ограничений.
3. По режиму выполнения несанкционированного доступа:
- атаки, выполняемые при постоянном участии человека;
- атаки, выполняемые специально разработанными программами без непосредственного участия человека.
В первом случае для воздействия на компьютерную систему может использоваться стандартное программное обеспечение. Во втором случае применяются специально разработанные программы, в основу функционирования которых положена вирусная технология.
4. По типу используемых слабостей системы информационно-компьютерной безопасности:
- атаки, основанные на недостатках установленной политики безопасности;
- атаки, основанные на ошибках административного управления компьютерной сетью;
- атаки, основанные на недостатках алгоритмов защиты, реализованных в средствах информационно-компьютерной безопасности;
- атаки, основанные на ошибках реализации проекта системы защиты.
Недостатки политики безопасности означают, что разработанная для конкретной компьютерной сети политика безопасности настолько не отражает реальные аспекты обработки информации, что становится возможным использование этого несоответствия для выполнения несанкционированных действий. Под ошибками административного управления понимается некорректная организационная реализация или недостаточная административная поддержка принятой в компьютерной сети политики безопасности. Например, согласно политике безопасности должен быть запрещен доступ пользователей к определенному каталогу, а на самом деле по невнимательности администратора этот каталог доступен всем пользователям. Эффективные способы атак могут быть также основаны на недостатках алгоритмов защиты и ошибках реализации проекта системы информационно-компьютерной безопасности.
5. По пути несанкционированного доступа:
- атаки, ориентированные на использование прямого стандартного пути доступа к компьютерным ресурсам;
- атаки, ориентированные на использование скрытого нестандартного пути доступа к компьютерным ресурсам.
Реализация атак первого типа чаще всего основана на использовании слабостей установленной политики безопасности, а также недостатков процесса административного управления компьютерной сетью. Например, при отсутствии контроля на стойкие пароли возможна маскировка под санкционированного пользователя компьютерной системы. Атаки второго типа чаще всего осуществляются путем использования недокументированных особенностей системы информационно-компьютерной безопасности.
6. По текущему месту расположения конечного объекта атаки:
- атаки на информацию, хранящуюся на внешних запоминающих устройствах;
- атаки на информацию, передаваемую по линиям связи;
- атаки на информацию, обрабатываемую в основной памяти компьютера.
7. По непосредственному объекту атаки:
- атаки на политику безопасности и процесс административного управления;
- атаки на постоянные компоненты системы защиты;
- атаки на сменные элементы системы безопасности;
- нападения на протоколы взаимодействия;
- нападения на функциональные элементы компьютерной системы.
Конечным объектом нападения всегда является защищаемая информация. Под непосредственным же объектом атаки понимается объект, анализ или использование которого позволяет успешно реализовать несанкционированный доступ к защищаемой информации. Например, непосредственным объектом нападения может быть криптосистема, позволяющая злоумышленнику спрогнозировать значение генерируемого секретного ключа. Признак классификации способов несанкционированного доступа по непосредственному объекту атаки является наиболее важным, так как точнее всего позволяет разграничить применяемые способы нападений.
Обобщенный алгоритм подготовки и реализации несанкционированного доступа, как правило, включает следующие этапы.
1. Анализ структуры и принципов функционирования атакуемой компьютерной сети.
2. Анализ найденных слабостей и разработка наиболее действенных способов преодоления системы информационно-компьютерной безопасности.
3. Выполнение подготовленных атак и оценка полученных результатов.
4. При несоответствии полученных результатов требуемым анализ процесса выполнения атак и переход к первому шагу для уточнения способов их реализации.
Представленный алгоритм предполагает поэтапное совершенствование воздействий на атакуемую компьютерную сеть. Для атаки важно определить лишь ее слабое звено. Такое звено может быть обнаружено во всем, что связано с информационно-компьютерной безопасностью: в политике безопасности, средствах защиты, реализациях программного и аппаратного обеспечения, управлении системой и т.д.
Компьютерные преступления — это преступления, совершенные с использованием компьютерной информации. При этом компьютерная информация является предметом и / или средством совершения преступления.
Преступными являются следующие виды действий:
1. Неправомерный доступ к охраняемой законом компьютерной информации.
2. Создание, использование и распространение вредоносных программ для ЭВМ или машинных носителей с такими программами.
3. Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети.
Правовая охрана программ и баз данных
Охрана интеллектуальных прав, а также прав собственности распространяется на все виды программ для компьютера, которые могут быть выражены на любом языке и в любой форме, включая исходный текст на языке программирования и машинный код. Однако правовая охрана не распространяется на идеи и принципы, лежащие в основе программы, в том числе на идеи и принципы организации интерфейса и алгоритма. Правовая охрана программ для ЭВМ и баз данных впервые в полном объеме введена в Российской Федерации Законом "О правовой охране программ для электронных вычислительных машин и баз данных", который вступил в силу в 1992 году.
Защита от несанкционированного доступа к информации
Что же происходит при несанкционированном доступе к информации.
Причины несанкционированного доступа к информации
1. ошибки конфигурации прав доступа (файрволов, ограничений на массовость запросов к базам данных),
2. слабая защищённость средств авторизации (хищение паролей, смарт-карт, физический доступ к плохо охраняемому оборудованию, доступ к незаблокированным рабочим местам сотрудников в отсутствие сотрудников),
3. ошибки в программном обеспечении,
4.злоупотребление служебными полномочиями (воровство резервных копий, копирование информации на внешние носители при праве доступа к информации),
5. прослушивание каналов связи при использовании незащищённых соединений внутри ЛВС,
6. использование клавиатурных шпионов, вирусов и троянов на компьютерах сотрудников.
Последствия несанкционированного доступа к информации
1. утечка персональных данных (сотрудников компании и организаций-партнеров),
2. утечка коммерческой тайны и ноу-хау,
3. утечка служебной переписки,
4. утечка государственной тайны,
5. полное либо частичное лишение работоспособности системы безопасности компании.
Программно-технические способы и средства обеспечения информационной безопасности
В литературе предлагается следующая классификация средств защиты информации.
1.Средства защиты от несанкционированного доступа (НСД):
3.Мандатное управление доступом;
4.Избирательное управление доступом;
5.Управление доступом на основе паролей;
6.Журналирование (так же называется Аудит).
7.Системы анализа и моделирования информационных потоков (CASE-системы).
8.Системы мониторинга сетей:
9.Системы обнаружения и предотвращения вторжений (IDS/IPS).
10.Системы предотвращения утечек конфиденциальной информации (DLP-системы).
14.Криптографические средства: Шифрование; Цифровая подпись.
15.Системы резервного копирования.
16.Системы бесперебойного питания: Источники бесперебойного питания;
19.Системы аутентификации: Пароль;
20.Ключ доступа (физический или электронный);
21.Сертификат - выпущенный удостоверяющим центром электронный или печатный документ, подтверждающий принадлежность владельцу открытого ключа или каких-либо атрибутов;
22.Биометрия - система распознавания людей по одной или более характерных физических и поведенческих черт.
23.Средства предотвращения взлома корпусов и краж оборудования.
24.Средства контроля доступа в помещения.
25.Инструментальные средства анализа систем защиты: Мониторинговый программный продукт.
Обеспечить максимальную защиту информации можно только совокупностью нескольких способов.
В рамках данной статьи по защите информации в телекоммуникациях рассматривается задача анализа сетевого трафика и использования полученных данных для несанкционированного доступа в локальную сеть на основе сервера с целью извлечения или редактирования данных.
Основой послужила модель OSI , а именно уровни: сетевой, канальный и сеансовый. Задача носит инфокоммуникационный характер и не является задачей программирования (написание кодов, скриптов и прочее), а относится к инженерным решениям в области изучения процессов, связанных с анализом трафиковых процессов в локальных вычислительных сетях.
В данной статье будет рассмотрена известная для несанкционированного доступа сеть (см. рис. 1). Авторы предлагают читателям предположить, что эта сеть принадлежит маленькой частной компании, в которой используется коммутатор ( S 1, S 2) и маршрутизатор ( R 1) третьего уровня. Первоначальные действия по реализации поставленной задачи: совершить несанкционированный доступ в выбранную частную компанию через PC 3, узнать логины и пароли базы данных, которые размещены на их персональном сайте, а также извлечь ценную информацию с машин компании. То есть на персональном сайте размещены логины и пароли? Или это база данных размещена, а нужно узнать логины и пароли? Тогда "которая размещена на их. "
Рис. 1. Модель сети частной компании
Малые ресурсы порой дают большие возможности
Как часто вы задумываетесь над тем, что простые стандартные средства Windows и программы для анализа сетевого трафика (снифферы) способны нанести вред вам и вашей компании? Именно эти инструменты авторы хотят рассмотреть и показать, что такой незначительный инвентарь средств достаточен для проведения несанкционированного доступа в сеть компании.
Основная задача данной статьи – показать пользователям, что не нужно быть программистом и писать сложные программы для взлома, создавать вирусы, а достаточно только обладать базовыми знаниями в этой области, используя принцип анализа трафика, широко применяемый в телекоммуникациях.
Для того чтобы начинать действовать, необходимо разобраться в том, что будет извлекаться из рассматриваемых в статье уровней модели OSI . На сеансовом уровне происходит организация сеанса связи между компьютерами. Главной задачей будет являться перехват логина и пароля, которые отправляются на сервер. На сетевом уровне определяется путь, по которому данные будут переданы, что позволяет получить IP -адрес. Это поможет в ходе решения поставленной задачи (несанкционированный доступ) определить, куда пользователь выходит чаще всего. На канальном уровне станут известны MAC -адреса, являющиеся физическим адресом. Устройства канального уровня – коммутаторы, концентраторы и др.
Так ли безопасно пользоваться компьютером?
Чтобы пользователь мог реально оценить свою безопасность при работе за компьютером, следует для начала рассмотреть способы перехвата контроля над машиной, которой он пользуется.
Напрямую или через коммутатор производится подключение к выбранному маршрутизатору с помощью физического кабеля Cat .6 и проверяется установка соединения командой ping в командной строке. Команда arp – a в командной строке дает возможность увидеть список всех подключенных к данной сети машин. Дальнейшие действия зависят от того, что необходимо сделать: проникнуть в файловую систему или же сразу начать анализировать трафик выбранного субъекта, "отравляя" его.
После выполнения команды arp – a производится подключение к файловой системе любого компьютера по IP - адресу, но здесь есть технические сложности, так как на предприятии обычно каждая машина обычно защищена логином и паролем. Для успешной реализации данной задачи используется обходной путь. В стандартных программах Windows присутствует команда smtsc , что позволяет осуществить удаленный доступ к машине (ПК), благодаря нахождению с ней в одной сети. Вследствие этой операции имеется возможность свободного подключения к любой машине в данной локальной сети. Настройка сетевого общего доступа к файловой системе является дополнением к удаленному доступу. Данный метод позволяет забрать логин с паролем и дает возможность зайти в браузер, чтобы завладеть всеми coockies -файлами от всех ресурсов. Присутствуют определенные затруднения: не всегда получится осуществить удаленный доступ к интересующему нас ПК, но, несмотря на это, есть возможность осуществить данное подключение.
Удаленный доступ ко всем компьютерам без ограничений имеется у машины системного администратора и, возможно, директора, их IP всегда "самые первые". Далее методом перебора вычисляется машина системного администратора и присваивается его IP -адрес. Данную операцию возможно осуществить только при выключенном компьютере системного администратора. После этих действий, уже используя его сетевой адрес, производится подключение через удаленный доступ к любой машине в сети и выполняется то же самое, что было описано выше. Все эти операции выполняются также с помощью стандартных средств Windows .
Следующим шагом будет являться открытие hypertext . Необходимо перевести его в форму TCPStream и найти в коде значение username или password . Согласно вышеописанным действиям в распоряжение поступают все данные аутентификации нашей цели. Точно таким же образом можно находить переписки, все скачанные файлы, оценить трафик (на каких ресурсах цель проводит больше всего времени). Для этого нужно всего лишь менять фильтры и досконально изучать все полученные мегабайты трафика, уметь грамотно их расшифровывать.
Рис. 3. Атака MiTM ("человек посередине")
Литература:
- Rand Morimoto, Michael Noel, Guy Yardeni, Omar Draubi, Andrew Abbeyt, Chris Amaris . Microsoft Windows Server 2012. Complete Guide / Publishing house "Williams" . – 2013. Ch . 13, 14, 18, 19, 24.
- Gustafson D.E., Kessel W.C. Fuzzy clustering with a fuzzy covariance matrix. Scientific Systems, Inc. 186 Alewife Brook Parkwa y Cambridge. – Massachusets. – 1978. P. 761–766.
- Paket K. Building Cisco Remote Access Networks / Publishing house " Williams ". – 2003. Ch . 6, 13, 15.
- Олифер В., Олифер Н. Компьютерные сети. Принципы, технологии, протоколы / Издательский дом "Питер". – 2006. Гл. 3, 4, 6, 7.
- Оливер Ибе. Сети и удаленный доступ. Протоколы, проблемы, решения / Издательство "ДМК Пресс". – 2002. С. 53.
- Soshnikov A., Migalyov I., Titov E. (2016). Principles of Functioning of Technological Module for Danger Estimation of Combined Electromagnetic Field. Procedia Engineering, 165. P. 1027-1034, DOI: http://dx.doi.org/10.1016/j.proeng.2016.11.815 .
- Щеглов А., Финков М. Защита компьютерной информации от несанкционированного доступа / Издательство "Наука и техника" . – 2004. Гл. 2, 3, 5, 8, 11, 15, 20–25.
- Зотов К.Н., Киселев А.Е., Комиссаров А.М. Интеллектуальные надстройки в GSM / Журнал "Технологии и средства связи". – 2017.–№ 2: http://tssonline.ru/articles2/fix-op/intellektualnye-nadstroyki-v-gsm .
- Линч Ф. Уильям, Мамзунк Стив, Пемех Райян, Пфеил Кен, Паппи Рэйн Форест, Расселл Райен, Комински Дэн "Эффугас", Ахмад Дэвид М., Дубравский Идо, Флинн Хал, Гранд Джозеф "Кингпин", Грэм Роберт, Джонсон Норис, К2. Защита от хакеров корпоративных сетей / Издательство " SciTech ". – 2015. Гл. 3–5, 10.
- Рассел Д., Кон Р. Анализатор трафика / Книжная публикация. – 2012. С. 15.
Авторы
Кирилл Зотов
Доцент кафедры телекоммуникационных систем УГАТУ (Уфа), к.т.н.
Игорь Кириллов
Студент кафедры телекоммуникационных систем УГАТУ (Уфа)
Данил Пигин
Студент кафедры телекоммуникационных систем УГАТУ (Уфа)
Несанкционированный доступ к файлам законного пользователя осуществляется также путем обнаружения слабых мест в защите системы. Однажды выявив их, нарушитель может, не торопясь, исследовать в системе информацию, копировать ее, возвращаться к ней много раз.
В наши дни хакер может написать простенькую программу, которая выдает себя за клиента сетевой файловой системы NFS (Network File System), и, обходя обычные средства контроля доступа, получить прямой доступ к файлам пользователя. Система NFS — не единственное сетевое средство, уязвимое для подобного рода вмешательств; практически все сетевые модули имеют этот недостаток.
- приобретением (обычно подкупом персонала) списка пользователей со всей необходимой информацией;
- обнаружением такого документа в организациях, где не налажен достаточный контроль за их хранением; подслушиванием через телефонные линии.
Иногда случается (как, например, с ошибочными телефонными звонками), что пользователь с удаленного терминала подключается к чьей-то системе, будучи абсолютно уверенным, что он работает с той системой, с какой и намеревался. Владелец системы, к которой произошло фактическое подключение, формируя правдоподобные отклики, может поддерживать это заблуждение в течение некоторого времени и таким образом получить информацию, в частности, коды.
Способы НСД к компьютерам и сетевым ресурсам.
Проблема защиты информации от несанкционированного доступа стала значительно острее, когда получили широкое распространение локальные и, глобальные компьютерные сети. Основной целью хакеров является сбор большого количества имен пользователей и паролей входа. Как правило, их не интересуют коммерческие тайны, хотя некоторым хакерам удавалось прорваться в сети крупных компаний, разрабатывающих программные продукты, внедряться в телекоммуникационные сети банков, учреждения министерства обороны и т. п.
В США, например, ежегодные потери от компьютерной преступности оцениваются более чем на 100 млрд долларов, в странах Западной Европы — на 30 млрд. долларов. Средний и максимальный ущерб от одного компьютерного преступления составляет, соответственно, 450 тыс. и 1 млрд долларов. Ежегодные потери некоторых фирм США достигают 5 млрд долларов. Согласно статистическим данным, более 80% компаний и агентств несут финансовые убытки из-за недостаточно надежного обеспечения безопасности данных.
Одной из разновидностей несанкционированного доступа является подделка компьютерной информации, которая характеризуется тем, что пользоваться ею может, как правило, не посторонний пользователь, а сам разработчик, причем имеющий высокую квалификацию.
Идея преступления состоит в подделке выходной информации компьютеров с целью имитации работоспособности больших систем, составной частью которых является компьютер. Если подделка выполнена ловко, зачастую удается сдать заказчику заведомо неисправную продукцию.
- применение компьютеров, не имеющих парольной защиты во время загрузки;
- использование совместных или легко вскрываемых паролей;
- хранение паролей в пакетных файлах и на дисках компьютеров;
- отсутствие установления подлинности пользователя в реальном масштабе времени;
- отсутствие или низкая эффективность систем идентификации и аутентификации пользователей;
- недостаточность физического контроля за сетевыми устройствами;
- отсутствие отключения терминала при многочисленных неудачных попытках установления сеанса связи, а также регистрации таких попыток;
Для защиты компьютерных сетей или отдельных компьютеров от несанкционированного использования применяются три основных вида контроля доступа, основанных на:
- владении физическим ключом;
- личностных характеристиках пользователя;
- обладании специфической информацией.
Когда говорят о контроле доступа, основанном на владении физическим ключом, речь идет о предметах, принадлежащих пользователю: физическом ключе, магнитной карте, металлической пластинке причудливой формы, которую вставляют перед началом работы в щель распознавателя.
Для контроля доступа, основанного на личностных характеристиках пользователя, используются биометрические приборы, анализирующие специфические физические особенности пользователя (подпись, тембр голоса, отпечатки пальцев, рисунок линий на ладони или на сетчатке глаза и т. п.) и сравнивают их с теми, что находятся в памяти приборов.
Компьютерная защита этих двух видов может использоваться и для дистанционного управления доступом, хотя обычно к ней прибегают для ограничения доступа к компьютерному залу или отдельному кабинету — помещению, где находятся компьютеры.
Контроль доступа, основанный на обладании специфической информацией, наиболее распространен и характеризуется тем, что правом доступа обладают лишь те лица, которые способны продемонстрировать свое знание определенного обычного пароля. Это самый простой и дешевый способ защиты любой компьютерной системы. Поскольку его использование не требует больших затрат времени, сил, а также памяти компьютера, то он применяется даже в тех компьютерах, которые вовсе не нуждаются в средствах защиты.
Кроме того, использование пароля дает пользователю ощущение психологического комфорта. Этот способ защиты широко используется в системах, уже защищенных другими средствами — магнитными картами или иными программными методами типа шифрования, — это в еще большей степени укрепляет защиту от несанкционированного доступа.
Пароли, как правило, рассматриваются в качестве ключей для входа в систему, но они используются и для других целей: блокирование записи на дисковод, в командах на шифрование данных, то есть во всех тех случаях, когда требуется твердая уверенность, что соответствующие действия будут производиться только законными владельцами или пользователями программного обеспечения.
Пароли можно подразделить на семь основных групп:
2. устанавливаемые пароли, генерируемые системой;
3. случайные коды доступа, генерируемые системой;
5. ключевые фразы;
В разных операционных системах существует немало программ, которые просматривают файлы, содержащие пароли, анализируют пароли пользователей и определяют уровень их секретности. Неподходящие пароли заменяются или удаляются.
Представьте себе состояние человека, когда он впервые загружает компьютер, и компьютер просит его ввести собственный секретный пароль. Стоит запросу появиться на экране монитора, и человека посещает мысль о том, что надо немедленно что-то предпринимать. Не считая гениев и безнадежных тупиц, все люди, когда надо принимать быстрые решения, мыслят и действуют примерно одинаково. Им требуется время, чтобы начать мыслить творчески, поэтому начальные предположения и первые умозаключения в определенных группах людей оказываются одинаковыми. И пользователи выдают первое, что приходит им в голову. А в голову приходит то, что они видят или слышат в данный момент, либо то, что собираются сделать сразу же после загрузки. В такой ситуации пароль создается в спешке, а последующая его замена на более надежный происходит довольно редко. Таким образом, многие пароли, созданные пользователями, могут быть раскрыты достаточно быстро.
Пароли и коды, устанавливаемые системой, могут быть нескольких разновидностей. Системное программное обеспечение может использовать полностью случайную последовательность символов (вплоть до случайного выбора регистров, цифр, пунктуации, длины) или же применять какие-либо ограничения в генерирующих процедурах. Компьютер может создавать пароли, случайным образом извлекая из списка обычных или ничего не значащих слов, созданных авторами программы, и образовать нечто вроде onah.foopn или ocar-back-treen.
Пароли этого типа часто встречаются в системах с одноразовыми кодами. Одноразовые коды — это пароли, которые срабатывают только один раз. Их иногда используют, создавая временную копию для гостей, чтобы продемонстрировать потенциальным клиентам возможности системы. Они также порой применяются при первом вхождении пользователя в систему. Во время первого сеанса пользователь вводит новый собственный пароль, а в дальнейшем входит в систему лишь через него. Одноразовые коды могут также применяться в системе, когда действительный пользователь входит в нее в первый раз; затем пользователю следует поменять свой пароль на более засекреченный персональный код. Если системой пользуется группа людей, но при этом нельзя нарушать секретность, обращаются к списку одноразовых кодов, из которого тот или иной пользователь вводит код, соответствующий, например, времени, дате или дню недели.
Итак, для того чтобы пароль оказался действительно надежным, он должен отвечать определенным требованиям:
- быть определенной длины;
- включать в себя как прописные, так и строчные буквы;
- включать в себя одну и более цифр;
- включать в себя один нецифровой и один неалфавитный символ.
Нужно обязательно соблюдать одно или несколько из этих правил.
К уязвимым местам доступа к ресурсам вычислительных сетей можно отнести:
- при назначении прав пользователей применение системных установок с недопустимо широким спектром полномочий;
- неправомерное использование полномочий администратора сети;
- неправильное использование механизма назначения полномочий для пользователей;
- использование компьютеров без механизма контроля доступа на уровне файлов;
- хранение данных без защиты или с недостаточным ее уровнем.
На примерах действий хакеров рассмотрим более детально, как же осуществляется несанкционированный доступ к компьютерам и сетям.
Лица, производящие несанкционированный доступ, а точнее, совершающие компьютерные преступления, подпадают под три категории: пираты, хакеры и кракеры (взломщики). Пираты главным образом нарушают авторское право, создавая незаконные версии программ и данных. Хакеры получают неправомочный доступ к компьютерам других пользователей и файлам в них. Однако они, как правило, не повреждают и не копируют файлы, удовлетворяясь сознанием своей власти над системами. Кракеры позволяют себе все.
Обычно хакер проникает в систему по стандартной схеме. Сначала он определяет потенциально доступные компьютеры, затем пытается войти в систему и, если это удалось, старается закрепить свои позиции.
Первый этап процесса (обнаружение потенциально доступного компьютера) — самый простой. Сведения о них можно получить из файлов с расширением RHOSTS и содержащихся в уже взломанных системах, или с помощью доменной системы имен DNS (Domain Name System), которая является иерархической распределенной базой данных. Она обеспечивает преобразование имен компьютеров в числовые адреса сети Internet.
Одной из особенностей DNS, популярной среди хакеров, является так называемый запрос зонной информации (zone transfer). Когда сервер DNS получает подобный запрос, он передает всю имеющуюся информацию, относящуюся к зоне: имена компьютеров, их сетевые адреса и служебные данные о типе компьютера.
Имея эту информацию, хакер может составить точный список компьютеров, доступных для вмешательства. Например, из зонного информационного списка он может выбрать только компьютеры с операционной системой UNIX, использующие сетевое программное обеспечение BSD.
После того как хакер сделал свой выбор, перед ним встает задача входа в систему, то есть ее взлом. Большинство многопользовательских систем имеют средства идентификации пользователя. В системе UNIX идентифицируется традиционная пара: имя пользователя и пароль входа. Имена обычно известны, а пароли входа засекречены. Даже если имена пользователей неизвестны, их нетрудно получить, используя различные информационные утилиты. Что касается пароля входа, то перебор всех возможных вариантов (исходя из логических умозаключений) редко приводит к успеху: комбинаций слишком много, программа login работает медленно и обычно разъединяет линию связи после трех неудачных попыток. Для получения более эффективных результатов хакеры обращаются к сетевым средствам, которые предоставляют большинство систем.
После внедрения в систему хакер прежде всего пытается скрыть следы своего вмешательства путем изменения или удаления файлов-протоколов системы. Другим распространенным способом является обход ограничений удаленного входа с использованием средств дистанционного выполнения команд (REXEC). Эти средства позволяют пользователю выполнять команды на удаленном компьютере. При этом не остается записей в файлах протоколов, поэтому такой способ весьма популярен среди хакеров.
Общим методом незаметного внедрения в систему является использование средств удаленного выполнения команд для копирования файлов протоколов и дальнейшее проникновение в систему с помощью службы удаленного входа. Затем хакер пытается стать привилегированным пользователем и установить все файлы протоколов из копий, чтобы не оставлять следов своего пребывания в системе. Получение прав привилегированного пользователя никогда не было серьезной проблемой.
Проникнув в вычислительную систему, хакер закрепляет свое положение. Для этого может использоваться запись файлов .rhosts в домашние каталоги вскрытых пользователей или замена двоичных исполняемых файлов системы их подправленными вариантами. Он формирует такие файлы .rhosts, которые разрешают свободный доступ любому пользователю из любой системы.
Заменяя двоичные файлы, хакер может заменить команды su и new-grp на специальные версии, которые предоставляют ему привилегированную операционную оболочку после указания специального пароля. Часто заменяются программы, запрашивающие пароли на вход. Эти программы продолжают работать как и обычные, но записывают введенные пароли в специальный файл, известный только хакеру.
Защита данных является одной из самых открытых проблем современности. На сегодняшний день сформулировано три базовых принципа информационной безопасности, задачей которой является обеспечение:
- целостности данных - защита от сбоев, ведущих к потере информации или ее уничтожения;
- доступности информации для авторизованных пользователей.
Рассматривая проблемы защиты информации возникает одна из главных угроз — несанкционированный доступ. Он может привести к искажению либо уничтожению данных; ознакомлению посторонних лиц с информацией, составляющей коммерческую или государственную тайну; что в итоге может привести к большим потерям, и в частности, к экономическим. В данной курсовой работе я рассмотрел основные способы НСД к основным средствам хранения и передачи информации. Пресечение этих путей НСД является важнейшей задчей службы безопасности организации, и в частности, службы информационной безопасности.
Список использованной литературы
2. Мельников В. Защита информации в компьютерных системах. - М.: Финансы и статистика, Электронинформ, 2007
3. ДомаревЛ.А. Безопасность информационных технологий. - М.: Диасофт, 2002. - 688 с
4. Диева С.А. Организация и современные методы защиты информации/ С.А. Диева - М.: Концерн "Банковский деловой центр", 1998. - 472с.
5. Щеглов А.Ю. Защита компьютерной информации от несанкционированного доступа/ А.Ю. Щеглов - М.: Наука и техника, 2004. - 384с.
Читайте также: