Противодействие перехвату электронной информации

Размещено на http://www.allbest.ru/

Несанкционированный доступ - наиболее распространенный и многообразный вид компьютерных нарушений. Суть НСД состоит в получении пользователем (нарушителем) доступа к объекту в нарушение правил разграничения доступа, установленных в соответствии с принятой в организации политикой безопасности. НСД использует любую ошибку в системе защиты и возможен при нерациональном выборе средств защиты, их некорректной установке и настройке. НСД может быть осуществлен как штатными средствами АС, так и специально созданными аппаратными и программными средствами.

Основные каналы НСД, через которые нарушитель может получить доступ к компонентам АС и осуществить хищение, модификацию и/или разрушение информации:

* штатные каналы доступа к информации (терминалы пользователей, оператора, администратора системы; средства отображения и документирования информации; каналы связи) при их использовании нарушителями, а также законными пользователями вне пределов их полномочий;

* технологические пульты управления;

* линии связи между аппаратными средствами АС;

* побочные электромагнитные излучения от аппаратуры, линий связи, сетей электропитания и заземления и др.

Из всего разнообразия способов и приемов НСД остановимся на следующих распространенных и связанных между собой нарушениях: * перехват паролей; * «маскарад»; * незаконное использование привилегий.

Перехват паролей осуществляется специально разработанными программами. При попытке законного пользователя войти в систему программа-перехватчик имитирует на экране дисплея ввод имени и пароля пользователя, которые сразу пересылаются владельцу программы-перехватчика, после чего на экран выводится сообщение об ошибке и управление возвращается ОС.

Пользователь предполагает, что допустил ошибку при вводе пароля. Он повторяет ввод и получает доступ в систему. Владелец программы-перехватчика, получивший имя и пароль законного пользователя, может теперь использовать их в своих целях. Существуют и другие способы перехвата паролей.

«Маскарад» - это выполнение каких-либо действий одним пользователем от имени другого пользователя, обладающего соответствующими полномочиями. Целью «маскарада» является приписывание каких-либо действий другому пользователю либо присвоение полномочий и привилегий другого пользователя. Примерами реализации «маскарада» являются:

* вход в систему под именем и паролем другого пользователя (этому «маскараду» предшествует перехват пароля) ;

* передача сообщений в сети от имени другого пользователя.

«Маскарад» особенно опасен в банковских системах электронных платежей, где неправильная идентификация клиента из-за «маскарада» злоумышленника может привести к большим убыткам законного клиента банка.

Незаконное использование привилегий. Большинство систем защиты устанавливают определенные наборы привилегий для выполнения заданных функций. Каждый пользователь получает свой набор привилегий: обычные пользователи - минимальный, администраторы - максимальный. Несанкционированный захват привилегий, например посредством «маскарада», приводит к возможности выполнения нарушителем определенных действий в обход системы защиты. Следует отметить, что незаконный захват привилегий возможен либо при наличии ошибок в системе защиты, либо из-за халатности администратора при управлении системой и назначении привилегий.

Принято считать, что вне зависимости от конкретных видов угроз или их проблемно-ориентированной классификации АС удовлетворяет потребности эксплуатирующих ее лиц, если обеспечиваются следующие важные свойства информации и систем ее обработки: конфиденциальность, целостность и доступность.

Иными словами, в соответствии с существующими подходами считают, что информационная безопасность АС обеспечена в случае, если для информационных ресурсов в системе поддерживаются определенные уровни: * конфиденциальности (невозможности несанкционированного получения какой-либо информации) ; * целостности (невозможности несанкционированной или случайной ее модификации) ; * доступности (возможности за разумное время получить требуемую информацию).

Соответственно для АС рассматривают три основных вида угроз.

Угрозы нарушения конфиденциальности, направленные на разглашение конфиденциальной или секретной информации. При реализации этих угроз информация становится известной лицам, которые не должны иметь к ней доступ. В терминах компьютерной безопасности угроза нарушения конфиденциальности имеет место всякий раз, когда получен НСД к некоторой закрытой информации, хранящейся в компьютерной системе или передаваемой от одной системы к другой.

Угрозы нарушения целостности информации, хранящейся в компьютерной системе или передаваемой по каналу связи, которые направлены на ее изменение или искажение, приводящее к нарушению ее качества или полному уничтожению. Целостность информации может быть нарушена умышленно, а также в результате объективных воздействий со стороны среды, окружающей систему. Эта угроза особенно актуальна для систем передачи информации - компьютерных сетей и систем телекоммуникаций. Умышленные нарушения целостности информации не следует путать с ее санкционированным изменением, которое выполняется полномочными лицами с обоснованной целью (таким изменением, например, является периодическая коррекция некоторой БД).

Угрозы нарушения работоспособности (отказ в обслуживании), направленные на создание таких ситуаций, когда определенные преднамеренные действия либо снижают работоспособность АС, либо блокируют доступ к некоторым ее ресурсам. Например, если один пользователь системы запрашивает доступ к некоторой службе, а другой предпринимает действия по блокированию этого доступа, то первый пользователь получает отказ в обслуживании. Блокирование доступа к ресурсу может быть постоянным или временным.

Эти виды угроз можно считать первичными или непосредственными, поскольку реализация этих угроз ведет к непосредственному воздействию на защищаемую информацию.

Для современных ИТ подсистемы защиты являются неотъемлемой частью АС обработки информации. Атакующая сторона должна преодолеть эту подсистему защиты, чтобы нарушить, например, конфиденциальность АС. Однако нужно сознавать, что не существует абсолютно стойкой системы защиты, вопрос лишь во времени и средствах, требующихся на ее преодоление. Исходя из данных условий, рассмотрим следующую модель: защита информационной системы считается преодоленной, если в ходе исследования этой системы определены все ее уязвимости.

Противодействие - подбор (перехват) пароля

Каковы методы борьбы с подбором пароля? Во-первых, надо всегда помнить о том, что чем пароль длиннее, тем большее число комбинаций необходимо перебрать взломщику. Поэтому, во-первых, пароль должен иметь достаточно большую длину (а во многих системах пароли менее 5-7 символов просто отвергаются, как некорректные).

Также следует помнить, что не все программы и системы передают пароли по сети в защищенном виде. Так, пароль для доступа к почтовому ящику посредством протокола http передается открытым текстом, может быть легко перехвачен и использован для того, чтобы выполнить взлом почты

Во-вторых, не следует применять в качестве пароля общеупотребительные слова. В-третьих, пароли следует периодически менять. И, наконец, в-четвертых, - самым радикальным средством является ввод в систему ограничения на ввод неправильных паролей. Скажем, после того как пользователь ввел пароль неправильно три раза подряд - скорее всего имеет место попытка подбора пароля.

Операционные системы семейства Windows NT всегда позиционировались как операционные системы высокого уровня информационной защиты. Например, в них важен регистр паролей. Пароли хранятся в специальном файле SAM (Security Account Manager), находящемся в каталоге\systemroot\\system32\ config. Точнее, в файле хранятся не сами пароли, а их хэши (hash) , то есть пароли в зашифрованном виде.

Эти ОС внимательно следят за разграничением доступа к различным ресурсам. Поэтому просто так в ОС семейства Windows NT получить доступ к SAM-файлу нельзя. Теоретически, ввиду того, что обычно используется файловая система NTFS (а не FAT), другой операционной системой и не воспользоваться. Но, увы, уже давно существуют драйверы NTFS for Windows 98 и NTFS for DOS. Кроме того, SAM-файл (именуемый sam, без расширения) можно найти на диске аварийного восстановления системы или резервном носителе.

Еще один способ получения парольных хэшей - из реестра (ветки HKLM\SAM\SAM и HKLM\SECURITY), но для этого необходимо иметь административные права.

Итак, получить хэши паролей - вполне осуществимая задача. После этого с полученными хэшами взломщик может работать абсолютно спокойно и безбоязненно.

Максимальная длина пароля составляет 14 символов. Хэши паролей хранятся дважды в двух разных форматах: NT Hash и LanMan Hash. Каждая из семисимвольных половин пароля шифруется независимо от другой в LanMan Hash по алгоритму DES; NT Hash получается в результате шифрования всего пароля по алгоритму MD4. LanMan Hash содержит информацию о пароле без учета регистра (прописными буквами), а NT Hash с учетом регистра. Поэтому взломщику проще работать с LanMan Hash, а потом уже перебором получать пароль с учетом регистра. Таким образом, если пароль состоит из четырнадцати символов, то придется узнавать два пароля по семь символов каждый, а не один четырнадцатисимвольный, что гораздо проще.

Для получения файла с паролями необходимо либо иметь физический доступ к компьютеру, либо установить каким-либо способом на компьютере жертвы специальное программное обеспечение (чаще всего представляющее собой «троянские” программы, они же «backdoor«).

Однако большинство современных атак проводится удаленно. В этом случае применяется перехват паролей в сетевых пакетах. Как известно, пакеты в сети передаются от компьютера к компьютеру. В них - вся информация, которая вообще передается. В том числе и пароли, которые вводятся при процедуре аутентификации. Если злоумышленник может перехватывать пакеты, то, опять-таки, ему по силам прочесть и информацию о паролях. Тем более, что пароли зачастую передаются в открытом виде. Например, часто ли вы используете защищенное соединение при получении электронной почты?

Перехват хэша пароля

компьютерное нарушение несанкционированный доступ

Протокол Kerberos, неуязвимый для атак L0phtCrack, заменил протокол NTLM в качестве основного протокола аутентификации. Но это утверждение справедливо только в следующей ситуации: если в процедуре аутентификации участвуют системы на базе Windows 2000 и выше, которые находятся в одном и том же домене (или доменах, связанных доверительными отношениями - другими словами, в лесу). Во всех других случаях операционная система Windows по-прежнему использует протокол NTLM. Например, когда пользователь со станции Windows 2000 выполняет команду подсоединения к сетевому диску серверной системы Windows 2000, не входящей в состав какого-либо домена, для аутентификации используется протокол NTLM. Всякий раз, когда система Windows 2000 или выше устанавливает соединение со станцией WindowsNT 4. 0, или наоборот, протоколом аутентификации также является NTLM, поскольку операционная система NT 4. 0 протокол Kerberos не использует.

Конечно, лучше всего сразу же перейти на протокол Kerberos. Однако, в тех случаях, когда полностью от протокола NTLM избавиться не удается, например при взаимодействии систем NT и Windows 2000, рекомендую рассмотреть возможность дополнительной настройки параметров LMCompatibilityLevel. Параметр LMCompatibilityLevel - это настройка в реестре, которую можно отыскать в реестре по адресу: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Control\LSA. Установив значение этого параметра, по крайней мере, в 1, можно решить проблему уязвимости пакетов LAN Manager при передаче данных по сети. Такое действие заставит программу L0phtCrack «взламывать» не пакеты LAN Manager, а пакеты самой NT, что во много раз дольше, чем расшифровка пакетов LAN Manager. С помощью параметра LMCompatibility Level можно потребовать соблюдения соглашений протокола NTLMv2 при установлении всех сетевых соединений, а это уже полностью парализует работу программы L0phtCrack.

Размещено на Allbest.ru