ArcaOS 5.0 Русская версия Пакет русификации ArcaOS 5.0 OS/2 давно доступен. Поддерживается любая версия: 5.0, 5.0.1, 5.0.2. eCo Software может выпустить и другие пакеты (Немецкий, Голландский, Бразильский Португальский, Испанский, Шведский и т.д.)

TITLE: Защита информации в компьютерных системах и сетях

DATE: 2002-01-26 00:24:57

AUTHOR: Pavel Shtemenko & Gennady Rashkovich

Тема защиты информации становится все более актуальной по целому ряду причин - начиная от реальных проблем, порождаемых все более широким распространением того, что сейчас называется Интернетом (Интернетом сейчас называют всё, к чему можно получить доступ посредством уплаты денег тем, кого сейчас называют "провайдерами". На самом деле это набор слабо связанных сетей, поддерживающих протокол IP и протоколы следующего уровня TCP и UDP - о чём известно, а также несколько других протоколов, о которых пользователи, как правило, даже не подозревают) и, соответственно, катастрофическим снижением уровня квалификации тех, кто сейчас называется пользователями, - и заканчивая той причиной, что спекулятивные рассуждения на эту тему становятся все более модными и, более того, полезными в плане привлечения инвестиций в мертворожденные квазинаучные разработки на тему "защиты серверов в среде..." (далее - по вкусу: Microsoft Windows, Microsoft NT, Unix, OS/2 etc...).

Тема защиты информации модна, и именно это давно уже мешает её изучению и даже пониманию. Цель настоящей статьи - не "решение" данной проблемы (которого нет и быть не может!), а попытка хотя бы обозначить основные понятия, цели, и возможные подходы.

Вообще говоря, мы полагаем строгую классификацию невозможной, по крайней мере - на настоящий момент, хотя бы уже потому, что пользователи, данные, программы, операционные системы и сети непрерывно взаимодействуют между собой в процессе работы и поэтому, например, улучшение сетевой защиты может иметь конечной целью защиту данных или даже административной схемы. Кроме того, не всегда можно разделить специальные атаки и простые ошибки. Поэтому мы начнем не с создания формальной систематизации, а с феноменологического описания на основе наиболее типичных ситуаций из практики работы.

1. Атакуемый объект

Очевидно, что подвергнуться атаке может (отдельно, совместно или поочередно):

1. Сам пользователь (скрытые методы на уровне получения важной информации о нём из косвенных источников; "мягкие" методы на базе психо- и социотехник; "жёсткие" методы вплоть до прямого допроса и применения наркотических препаратов).
2. Компьютер пользователя при наличии физического доступа к нему. Это, как ни странно, одно из самых частых явлений в нашей стране благодаря как широкому распространению режима "персональный компьютер коллективного пользования" (Что весьма близко к понятию "единой зубной щетки для коммунальной квартиры" - неудобно, противоречит и назначению, и возможностям компьютера, и даже здравому смыслу, и объясняется разве что привычкой к бедности...), так и отсутствием хоть какой-то юридической процессуальной базы при изъятии информации в качестве доказательства.
3. Компьютер пользователя при его работе в сети - атака с другого компьютера или группы компьютеров.
4. Сервер локальной сети пользователя либо провайдеры пользователя либо другие машины в сети, с которыми данный пользователь взаимодействует. Здесь тоже следует отличать попытку использовать удалённую системы, пользующуюся "доверием" пользователя, с целью атаки на его машину от попытки лишить пользователя нужного ему сервиса вследствие приведения удалённой системы в неработоспособное состояние.
5. Физические коммуникации пользователя - например, телефонная линия или кабель, по которым пользователь подключается к сети.
6. "Банк" рабочих программ пользователя - будь то замена его работающей программы на модифицированную с дополнительными вредоносными функциями или же поставка новой программы с неописанными дополнительными эффектами (Например, достаточно долгое время при установке новой версии Internet Explorer'а от фирмы Microsoft на машине пользователя собирался и отсылался на указанную фирму целый ряд данных о системе и оборудовании пользователя, причём точный перечень этих данных до сих пор не опубликован).

2. Мотивы атак

С нашей точки зрения, цели атак можно рассматривать в нескольких аспектах и по нескольким критериям. Во-первых, поскольку атаки в конечном счёте проводятся людьми или группами людей на людей или группы людей, можно рассматривать психологические цели. В этом аспекте вместо понятия цели атаки можно рассматривать мотив атаки, поскольку цель в таком рассмотрении единственна и очевидна - реализация собственных психологических мотивов. Однако рассматривать этот аспект приходится и здесь, поскольку им, как правило, определяются цель атаки и причиняемый ею вред. Не вдаваясь в психологию и тем более в психиатрию, отметим всё же основные группы, которые можно выделить в таком рассмотрении:

• Для ряда людей это просто обычная квалифицированная работа, не отличающейся от аналогичной в других подразделениях тех же "компетентных" органов. Как правило, такие атаки достаточно продуманы по исполнению, замаскированы, поддержаны мошной техникой и реже всего обнаруживаются по результатам.
• Некоторая часть атак является для атакующего просто демонстрацией, изучением либо проверкой собственных способностей и глубины знаний. Для атак по подобным мотивам результаты непредсказуемы и, хотя большей частью безвредны или почти безвредны, иногда могут быть и крайне разрушительными, причём не обязательно "по злобе", а просто из-за недостатка знаний.
• Другая довольно значимая по объёму часть атак направлена на уменьшение или отсутствие платы за захваченные ресурсы, или увеличение собственных привилегий. Очевидные причины для этих атак - исторически сформировавшаяся система взглядов населения на "богатые фирмы" и текущее экономическое положение в стране (точнее - соотношение оплаты за ресурсы, например, Интернета со средней заработной платой его пользователей или желающих стать таковыми).
• И, наконец, наиболее опасная, хотя по счастью - малочисленная группа атак - нечто вроде мести, проявление обиды на отдельную фирму или, ещё хуже, на весь мир. В последнем случае (а к нему можно отнести большинство вредоносных вирусов) месть становится безадресной, напоминающей жуткие истории о булочнике, всыпавшем яд в выпекаемые батоны, даже не зная, кто его купит. Не будем спорить, такое поведение уместнее всего рассматривать психиатрам, однако с результатами такого поведения сталкиваются не они, а пользователи и те, кто занимается защитой информации.

3. Типы и способы атак

• Имитация системы - хотя бы периода регистрации в системе.
• Полная имитация системы кроме паролей, на многих системах обнаружение второго компьютера со всеми совпадающими атрибутами приводит к потери сети и попытки через какое-то время опять войти в сеть (например, "перевыборы в Windows")
• Имитация отсутствующих , но достаточно важных компонентов сети. Например, в сети Windows NT 4.0 при отсутствующем BDC (Backup Domain Controller) и имеющимся PDC (Primary Domain Controller). Внезапное подсоединение BDC с уже зарегистрированным на нем пользователем с максимальными правами приводит к распространению этих прав на весь домен.
• Имитация отказа системы в обслуживании с последующей "наладкой" системы или сменой учётной информации.
• Перегрузка системы, приводящая к отказу в обслуживании легальных клиентов (Denial Of Service) и/или краху системы. Типичный пример - так называемый flood, т.е. поток данных (обычно бессмысленных), полностью забивающий внешние каналы системы или даже её вычислительный ресурсы. При этом, как правило, используются ошибки в реализации стандартных сетевых протоколов в данной системе или отсутствие однозначного описания в стандарте, приводящие к "размножению" сетевых пакетов или накоплению "мёртвых", но не уничтоженных вовремя фрагментов пакетов. Т.е. совсем не обязательно, чтобы атакующий имел канал с большей пропускной способностью, чем жертва атаки; хотя иногда практикуется и незатейливая "прямая" атака со многих предварительно захваченных машин. Совершенно канонический пример - ошибка в реализации протокола "NetBIOS over TCP/IP" в ОС Windows NT 4.0, когда отправка на машину-жертву короткого пакета с признаком OutOfBand (OOB) в порт 139 приводила к полному краху системы, весьма разрекламированной как "сетевой сервер".
• Перегрузка системы или использование имеющихся в ней ошибок для выполнения изначально отсутствующих в ней программ, засланных в ходе атаки. Например, переполнение места, отведенного в программе под стек, приведёт к затиранию части кода программы присланными по сети данными, и этот код будет выполняться. Очевидно, это равносильно запуску в данной системе несанкционированной программы.
• Использование внесенных в программы в период разработки "лючков", которые затем забыли убрать, или найденных в программе ошибок, для выполнения ими нештатных функций или обхода предусмотренных в них проверок. Пожалуй, сюда же можно отнести некорректные настройки "по умолчанию" в ряде программ, особенно тех, которые пользователь редко настраивает дополнительно. Получивший наибольшую известность случай такой атаки - т.н. "червь Морриса", а наиболее свежий на настоящий момент - использование средств ActiveX, штатно вызываемых из редактора почты Microsoft Outlook в теле присылаемого письма, для запуска на компьютере пользователя программы-вируса и получения учетной информации пользователя.
• Подсматривание информации проходящей по каналам, т.н. "sniffing", если информация передается по каналам в незашифрованном виде, то ее достаточно легко можно подсмотреть на любой из промежуточных точек пересылки. Так же можно снимать и зашифрованную информацию с последующей ее расшифровкой.

4. Методы и группы методов защиты информации

• Организационно-административные методы и мероприятия
  На долю этих методов, по оценкам авторитетных специалистов, приходится (или, по крайней мере, должны приходиться) до 90% всех затрат на защиту информации в стоимостном выражении, и до 70% трудозатрат. Вообще говоря, любой компьютер или любая линия связи, к которой можно приблизиться на расстояние наблюдения дистанционными средствами, уже нельзя считать защищенными. Поэтому к необходимым мерам с очевидностью относятся контроль целостности коммуникаций, контроль режима доступа в здании и окрестностях, контроль поставок аппаратного и программного обеспечения, периодическое проведение квалифицированных независимых экспертиз защищённости объекта, наблюдение за психологическим состоянием и поведением сотрудников и целый ряд других режимных и кадровых мероприятий. К счастью, эти задачи входят в компетенцию "компетентных" органов. Поэтому здесь они не рассматриваются в связи с сознательной и убеждённой некомпетентностью авторов в данном вопросе.
• Криптографические методы
  Традиционно криптографические методы применяются для защиты наборов данных, хотя в последнее время находят всё более широкое применение и в реализации сетевых протоколов. Вообще говоря, это традиционно область для приложения усилий математиков, так что мы просто вскользь заметим, что для достаточно большого объёма данных абсолютно устойчивого метода шифрования быть не может, так что расшифровка - это лишь вопрос времени, вычислительной мощности и наличия априорной информации. Например, принятый одно время в качестве стандарта алгоритм шифрования DES с длиной ключа 56 бит был взломан атакой прямым перебором ("brute force") с помощью объединения средствами Интернета вычислительных мощностей желающих, большинство которых пользовались совершенно обычными и даже не самыми современными персональными компьютерами.
  Таким образом, максимум, которого можно добиться в идеальном случае - это сделать расшифровку непозволительно дорогой или неприемлемо долгой. Здесь же заметим, что даже в этом идеальном случае, но без комплексного подхода к защите информации расшифрованные данные или ключ для расшифровки могут быть добыты у конечного получателя или с его компьютера другими методами атак без всякой расшифровки.
• Электронные методы
  Использование устройств для опознавания. Таких как опознавание по карточке, отпечаткам пальцев и т.д.
• Административные методы
  Традиционный доступ к месту работы только по предъявлению документов или визуальное опознавание личности работающего каким-либо другим способом. Затем переодическая проверка личности работающего тем или иным способом. Данный способ при соблюдении всех правил является наилучшим, но здесь вмешивается человеческий фактор еще и со стороны проверяющего. У проверяющего могут быть занятия или решения проблем более важные в данный момент, чем удостоверение личности работающего. Такие занятия (решения проблем) могут возникать случайно и также могут быть возбуждены взломщиком.

5. Проблемы при защите информации - человеческий фактор

Как уже упоминалось, одной из необходимейших частей защиты является идентификация пользователя. В неответственных системах она, как правило, связана с необходимостью для пользователя помнить, как минимум, своё учётное имя и пароль, а зачастую - и другую персональную информацию - например, налоговый код или номер карточки социального страхования или кредитной карточки.

Рассмотрим, например, пароль. Кстати, он же употребляется и при шифровании... Если пользователь будет выбирать его сам - он для "облегчения" постарается выбрать его коротким и легко запоминающимся - имя жены или короткое ругательство (взаимозаменяемо), кличку любимой собаки, дату рождения ребёнка или даже свою и т.д. Понятно, что ценность такой защиты близка к нулю, поскольку подобные сведения очень легко получить, и такая "защита" будет вскрыта простым подбором из тривиальных сведений о пользователе и из небольшого словаря наиболее употребительных слов и их производных (например, анаграмм).

С другой стороны, длинный и немнемоничный пароль, практически защищённый от подбора и угадывания, скорее всего, приведет к тому, что пользователь (часто даже несмотря на явный запрет) запишет его где-то на бумажке или даже на мониторе! Легко предсказать, что через некоторое время он либо потеряет эту бумажку, либо случайно покажет её ещё кому-нибудь, либо просто её выкрадут или скопируют.

Так же практикуют принудительную смену пароля через какой-либо заранее заданный период. Обычно частая смена пароля самим пользователем приводит к истощению фантазии у пользователя и он перейдет к варианту "выбирать сам" рассмотренный выше или еще хуже, т.е. всегда будет оставлять один и тот же.

Уже многие интернет-провайдеры практикуют выпуск карточек, действительных заранее определенное время. Легко увидеть, что пароль на этой карточке легко скопировать (подсмотреть) или украсть саму карточку. Но при этом заранее минимизируется причиненный вред.

Заметим, что наиболее частый случай (как наиболее простой и быстрый для взломщика) - это удаление пользователя от уже зарегистрированного компьютера по той или иной причине (срочный вызов домой, к начальству и т.д.) , при этом (в зависимости от причины вызова) пользователь может забыть выйти из системы, несмотря на все инструкции и строжайшие запреты. При этом даже не важно каким способом производилось опознавание, если это опознавание производится только раз, при входе в систему. С другой стороны, частое опознавание требующее от пользователя каких - либо действий приведет к значительному снижению работоспособности пользователя и как следствие желание выключить или нарушить защиту.

6. Проблемы при защите информации - аппаратно-программный фактор

• Работа на частично неисправном оборудовании
  Ничто не бывает вечным и соответственно у каждой составляющей части компьютера есть свои сроки безотказной работы, обычно эти сроки у разных частей разные. Поэтому компьютер практически никогда не выходит из строя полностью, исключая случаи связанные с силовыми узлами. Чаще всего неисправность становиться заметна не сразу и большинство программного обеспечения не может должным образом протестировать исправность оборудования или не тестирует исправность в процессе работы. Как следствие могут возникнуть куски информации, которые система опознает как потерянную, но при этом выложит остатки этой информации в другое место, откуда ее можно считать без ограничений. Так же возможны неисправности в экранировании оборудования, которое можно опознать только специальными приборами, но такая неисправность может позволить считать информацию, чаще всего прямо в раскодированом виде.
• Операционные системы
  Практически в любом компьютере предусмотрена возможность загрузки нескольких типов операционных систем. При этом для ремонта и диагностики компьютера и его составляющих используются программы - тесты, которые позволяют непосредственный доступ практически к любой составляющей части компьютера, в том числе и к накопителям данных. Наблюдатели или контролирующий персонал обычно слабо разбирается в том что делает ремонтник (Если бы персонал разбирался, то тогда незачем вызывать ремонтника) соотвественно у ремонтника (или у того кто за него себя выдает) появляется возможность списывания данных, паролей и т.д. Для проведения профилактических работ в операционной системе предусмотрена загрузка с другого устройства, при этом важные данные вполне можно скопировать или запомнить.
• Администраторы
  Практически все системы защиты информации предусматривают сохранение копий жизненно важной информации на резервных носителях. При этом персонал производящий данную операцию может быть отвлечен одним из выше рассматриваемых способов и носители резервных данных могут остаться в доступном для считывания или замены месте.

Заключение

Подытоживая все выше сказанное, можно утверждать, что защита информации требует комплексного подхода и надежда на только один фактор (электронный, административный, программный) к желаемому результату не приведет (Частичной защиты не бывает, как и частичной беременности). Так же невозможно выделить преобладающий метод защиты, при возможности должны использоваться все, при невозможности использовать все, необходимо регулярно проверять те части доступа к информации, которые не охвачены защитой.

Авторы: Pavel Shtemenko и Gennady Rashkovich

Комментарии:

Tony Cocom 2002-01-26 12:31:59	Would it be possible to translate this article on OS/2 security into 'English' ??? Many thanks Tony 26th.January 2002
Сергей 2002-01-27 18:36:22	А можно то же самое, но в отношении OS/2? Где какой софт и какие конкретно методы?
Eugene Gorbunoff 2002-01-31 07:27:22	2 Tony Cocom: I think this text is untranslatable. The style is inimitable :) Read articles of Andrei Porodko at [url] He published some texts and is writing more.

Прокомментируйте эту статью (напоминаем, автор работал над текстом несколько недель, уважайте мнение других).

Ваше имя: Ваш E-Mail: CODE:
Ваш комментарий:

Как приумножить количество пользователей eComStation? Каждый осевик может установить eCS своим друзьям и родственникам, распечатать для них методичку, как пользоваться системой - Сайт LiveBook