Хакерство — везение, наблюдательность или...
Часть 1. Наиболее распространенные способы получения доступа к закрытой информации
Вариант первый, или Угадай мелодию
Вариант второй, или Метод троянского коня
Правило первое, или Как выбрать правильный пароль
Правило второе, или Метод Ивана Сусанина
Правило третье, или Беличий синдром
Правило четвертое, или Знай своего врага
Правило пятое, или Построение крепости для «чайников»
В последнее десятилетие список престижных профессий для молодежи всего мира пополнился еще одной: все чаще на вопрос о будущей специальности можно услышать неожиданный ответ — хакер. Что это — дань моде, детское увлечение или верхушка колоссального айсберга, большая часть которого скрыта в непознанных глубинах наших «системных блоков»?
Проблемам защиты от несанкционированного доступа к информации посвящено огромное количество методических, академических и правовых исследований. Отличительной особенностью хищения информации стала скрытность этого процесса, в результате чего жертва может не догадываться о происшедшем. Со стороны ортодоксального законодательства это даже нельзя назвать воровством, поскольку в большинстве случаев потерпевшего не лишают собственности, а просто делают с нее копию. Однако в случае «чистой» информации все обстоит сложнее — обладание достоверной информацией в большинстве ситуаций служит гарантией успеха предпринимательской и иной деятельности. Представьте на мгновение, что за неделю до августовского кризиса вы были бы о нем предупреждены. Естественно, возникает вопрос: насколько велика вероятность стать объектом внимания любителей чужой информации? К сожалению, ответ неутешителен, поскольку каждый человек обладает личной информацией, которая может заинтересовать посторонних и копирование которой способно нанести ущерб ее первоначальному владельцу. Единственной надежной защитой от электронных взломщиков может быть только возврат к бумажным носителям, что, к сожалению, уже вряд ли реально. В этой статье мы попробуем сформулировать ряд простых правил, затрудняющих (но не более того) несанкционированный доступ к вашей информации. При этом мы рассмотрим проблему информационной безопасности со стороны как пользователя, так и администратора локальной сети. Однако подробно рассматривать организацию сетевой безопасности в целом мы не будем и сконцентрируемся только на доступе к локальной информации. Однако не стоит забывать, что «взлом ради взлома» еще очень популярен среди хакеров и, возможно, является более опасным, нежели «безобидное» копирование, поскольку в этом случае вы запросто можете лишиться всего.
Часть 1. Наиболее распространенные способы получения доступа к закрытой информации
Вариант первый, или Угадай мелодию
Самый простой способ доступа к корпоративной информации — получение пароля пользователя самыми разнообразными способами. Наиболее простым является классический случай, когда администратор назначает пользователю сложные для запоминания пароли для доступа к ресурсам и первое время этот пароль, записанный на бумажке, хранится пользователем в самом не подходящем с точки зрения безопасности месте (например, приклеивается к монитору), поэтому оказывается доступным любому, кто подойдет к его рабочему месту.
Другим способом получения пользовательского пароля является метод подбора. В настоящее время существует значительное количество программ, позволяющих подобрать пароли пользователя. Возможны как подборы с использованием словаря (то есть программа пытается последовательно подключиться к сети с паролем, взятым из некоторого списка), так и силовые атаки, основанные на простом переборе всех возможных комбинаций символов. Естественно, второй способ является самым надежным, однако и самым длительным по времени. Действительно, с учетом того, что в пароле используются прописные и строчные символы английского языка, а также цифры, для длины пароля в 10 символов количество возможных вариантов составит 6210. Если предположить, что в 1 секунду проверяется 100 тыс. комбинаций, то полная проверка всех возможных вариантов займет 266 тыс. лет. На практике необходимости в полном переборе всех комбинаций нет прежде всего по причине меньшей длины пароля, а реальное время, требующееся для нахождения пароля пользователя этим методом, измеряется десятками (реже сотнями) часов. Это вызвано необходимостью использования ряда дополнительных алгоритмов, позволяющих, к примеру, подбирать пароль по частям, что значительно сокращает количество возможных комбинаций и уменьшает время, необходимое для их перебора.
Вариант второй, или Метод троянского коня
В последние годы наиболее распространенным способом получения приватной информации стало использование программ-троянов — программ, выполняющих помимо заявленных некоторые дополнительные неафишируемые функции, направленные, например, на получение личной информации пользователя. Конечный пользователь получает их, как правило, по системе электронной почты под видом важного документа или давно разыскиваемой программы. После запуска программа прописывается в системном реестре для запуска при загрузке операционной системы и начинает собирать информацию. Ее целью могут быть файлы учетной записи пользователя, содержащие его пароль (%UserName%. pwl), скрипты удаленного доступа к Интернету) или пароли электронной почты. Возможна также ее работа в режиме подслушивания (sniffer) — в этом случае, например, все вводимые с клавиатуры символы записываются в отдельный файл, кроме того, «прослушиваться» может и передаваемая по сети информация. Далее вся собранная информация отправляется атакующему для дальнейшего анализа на предмет содержания ценной информации, такой как пароли или личная пользовательская информация. Возможен также и самый простой способ: при работе пользователя на компьютере программа выводит на экран системное окно с предложением ввести имя пользователя и пароль, маскируясь под работу операционной системы. В результате пользователь «добровольно» сообщает злоумышленнику свой пароль, даже не подозревая о происшедшем. А если этим пользователем окажется ответственный сотрудник, то перед атакующим откроются огромные возможности.
Естественно, были упомянуты далеко не все способы получения доступа к закрытой информации. Однако в настоящее время они наиболее широко применяются при атаке закрытых сетей и проблема защиты от них стоит перед большим числом пользователей. Панацеи здесь попросту не существует, поскольку предотвратить подбор пароля силовым методом невозможно. Единственное, что можно сделать, — это предельно усложнить процесс поиска интересующей похитителя информации и максимально увеличить время, необходимое для подбора пароля.
Далее мы попробуем сформулировать ряд практических приемов самообороны, отработанных на основе личного опыта получения доступа к персональной информации пользователя без его ведома.
Часть 2. Приемы самообороны
Правило первое, или Как выбрать правильный пароль
Среднестатистический пользователь в своей работе использует до десяти паролей — ключевых слов или целых фраз, знание которых является способом аутентификации пользователя в некоторой системе. Как правило, в этом списке — пароль на доступ в сеть (или в Интернет), к системе электронной почты и личным файлам. Обладание этими паролями позволяет производить любые действия (естественно, в пределах предоставленных ему прав) от имени этого пользователя. Возможно, например, прочитать адресованную ему почту или отправить от его имени оскорбительное письмо руководителю. Поэтому необходим крайне серьезный подход к выбору пароля: им не должно быть имя близкого человека, номер вашей автомашины или кличка любимого кота (за исключением случая, если вашего кота зовут «Fgh12’’__ErT12»). Кроме того, желательно использовать в пароле более одного слова, поскольку в этом случае пароль не может быть подобран путем элементарного перебора с помощью словаря. Наилучшие результаты дает использование ключевой фразы в русско-английской транскрипции, то есть вводится русская фраза при установленной английской раскладке клавиатуры. В результате простой для запоминания пароль «Космический Воин» превращается в архисложный пароль «Rjcvbxtcrbq Djby», который гарантированно отсутствует в словарях как русского, так и английского языка. Использование в пароле знаков препинания, цифр, а также дополнительных символов (таких, как «{») еще больше усложнит процедуру подбора пароля.
Естественно, что запомнить большой набор паролей для доступа к различным ресурсам порой бывает довольно сложно. В этом случае поможет вариант сохранения списка паролей в файле с последующей его шифрацией и защитой отдельным паролем. В результате нужно будет запомнить только один пароль — для доступа к файлу со списком.
Правило второе, или Метод Ивана Сусанина
Недавно проведенный опрос 50 сетевых специалистов, занимающихся проблемами сетевой безопасности, выявил весьма интересную закономерность: 100% опрошенных специалистов в области защиты корпоративной информации в качестве самого большого корпоративного секрета в области организации работы указали топологию используемой компьютерной системы. Этому существует достаточно простое объяснение. Прежде всего, при отсутствии схемы сети потенциальному взломщику предстоит провести разведку, или, говоря профессиональным языком, определить список IP-адресов, используемых в конкретной компании. Следующим этапом должно стать сканирование диапазона используемых адресов на предмет поиска серверов. Поскольку существующее программное обеспечение (ПО) позволяет отследить и пресечь попытки сканирования, на этом этапе вы можете получить предупреждение о повышенном интересе к вашей сети. Многие специалисты идут дальше и создают целые «мнимые» сети, устраивая так называемые капканы для хакеров. В простейшем случае это может быть единственный компьютер, использующий несколько IP-адресов для создания видимости множества серверов под разными адресами. Эта ловушка не рассчитана на опытного похитителя, поскольку он прежде всего обратит внимание на то, что MAC-адрес у всех серверов одинаков. Усложнить ловушку можно путем использования нескольких сетевых адаптеров, однако тот факт, что на разных серверах существуют одинаковые ресурсы, раскроет ваш обман. Стоит отметить, что защита подобной мнимой сети должна быть выполнена на очень высоком уровне, поскольку отсутствие защиты у корпоративной информации может насторожить атакующего. Рекомендуется также помещать на эти серверы правдоподобные фальшивки, то есть информацию, якобы являющуюся важнейшим корпоративным секретом. При этом размер файлов должен быть достаточно большим, чтобы служба безопасности успела отследить IP-адрес похитителя. Далее, как говорится, все зависит от компании и ее службы безопасности.
Кроме того, неожиданно хорошим методом сокрытия топологии компьютерной системы оказалось протокольное разделение компонентов сети. При этом пользовательские рабочие станции могут использовать как маршрутизируемые (например, TCP/IP), так и немаршрутизируемые протоколы; на серверах же должны стоять только немаршрутизируемые протоколы. В результате доступ к серверам извне станет невозможен и единственным способом атаки сервера станет использование одной из рабочих станций локальной сети с установленным маршрутизируемым протоколом.
Правило третье, или Беличий синдром
Любая защита может быть сломана, обманута или обойдена — с этим прискорбным фактом приходится считаться всем и каждому. Естественно, можно снизить вероятность подобного события путем установления сложных для подбора и угадывания паролей, а также их регулярной замены. Однако если злоумышленник остается один на один с вашим компьютером, то вероятность успешного хищения локальной информации становится почти стопроцентной. А теперь представьте, что он взламывает компьютер системного администратора или работника службы информационной безопасности. Для похитителя это оказывается идеальным вариантом — он с ходу получает огромное количество информации как о сети в целом и организации ее работы, так и о ее пользователях — от рядового сотрудника до руководителя. Как правило, вероятностью элементарного хищения компьютера из офиса пренебрегают, полагая, что это проблема службы «физической» безопасности. В результате многие IT-специалисты позволяют себе хранить на диске такую, например, информацию, как пользовательские пароли для доступа к различным ресурсам. Кроме того, зачастую там хранятся и личные сведения о сотрудниках, поскольку эта информация должна быть доступна даже в случае отказа сети для оперативного информирования персонала или организации работы во внеурочное время. Выходом здесь может стать децентрализованное хранение критичной информации (например, на сменных носителях в местах ограниченного доступа сотрудников) или серьезная криптозащита важных данных. И если организация хранения информации по первому способу не представляет собой ничего сложного, то относительно второго способа возникает ряд вопросов. Детально этот способ будет рассмотрен ниже.
Правило четвертое, или Знай своего врага
На определенном этапе у каждого пользователя среди информации, хранящейся на его компьютере, оказываются данные чрезвычайной важности либо личного, либо служебного характера. Мы сознательно не разделяем информацию на личную и служебную, поскольку и та и другая чрезвычайно важны для пользователя и в конечном итоге влияют на его успехи на службе и на его личные дела. Поскольку от сохранности и защищенности подобной информации зависит как минимум душевное равновесие сотрудника, он начинает предпринимать некоторые меры по защите этой информации от посторонних. При этом защищать информацию можно по-разному: можно хранить ее в собственной памяти (что в большинстве случаев является наилучшим выходом), на дискете под охраной или в электронном виде на компьютере, естественно, приняв меры по ее сохранности. Способов обеспечения безопасности достаточно много, и очень важно найти оптимальное соотношение между усилиями, затрачиваемыми на организацию защиты, и потенциальным ущербом, который способно нанести разглашение защищаемой информации. Поэтому прежде всего необходимо определить круг лиц, заинтересованных в получении этой информации. В соответствии с ним мы и должны будем строить линии обороны. Опыт показывает, что наиболее эффективной является трехуровневая схема защиты данных, описанию которой посвящается следующий раздел.
Правило пятое, или Построение крепости для «чайников»
Первой линией обороны должен стать ваш компьютер. Это означает, что необходимо провести изменения его конфигурации таким образом, чтобы в него могли локально войти лишь особо доверенные пользователи вашей сети. При этом необходимо отключить возможность анонимного входа на рабочую станцию, например посредством нажатия клавиши Esc в операционных системах MS Windows 95/98/Me или через учетную запись локального администратора с пустым паролем, чем обычно грешат операционные системы MS Windows NT/2000. В результате вы частично обезопаситесь от входа на ваш компьютер через другую учетную запись пользователя вашей сети, который смог бы получить доступ к вашим данным. Первая линия обороны призвана остановить любопытного, который роется в чужих данных. Однако если информация представляет определенную ценность, то такой защитой ограничиваться нельзя, поскольку, немного исхитрившись, атакующий сможет просто заполучить ваш жесткий диск и путем его логического «препарирования» получить интересующую его информацию.
Для защиты от хищения носителя информации стоит задуматься о парольном доступе к информации, а еще лучше — о ее криптографической защите. На практике это означает, что вся информация хранится в зашифрованном виде и расшифровывается непосредственно при запросе ее пользователем через ввод кодовой фразы — пароля. Эта фраза должна храниться в единственном месте — в голове пользователя, и ни в коем случае не должна фиксироваться где-либо еще. На настоящий момент наиболее известным программным пакетом, обеспечивающим защиту высочайшего уровня, является пакет PGP (Phil Zimmermann), доступный по адресу http://www.pgpi.com/.
Однако даже шифрование информации будет бесполезным, если в вашей системе стоит программа-сниффер, попавшая к вам по методу троянского коня. Для отлова подобных чересчур «умных» соглядатаев необходимо использовать то обстоятельство , что рано или поздно они должны сбрасывать накопленную информацию на какой-либо внешний источник, каковым обычно является один из почтовых ящиков, зарегистрированный на бесплатном сервере электронной почты. Поэтому кроме шифрования данных вам придется установить программу контроля входящих и исходящих сетевых соединений вашего компьютера.
В результате применения всего пакета фортификационных мероприятий ваш компьютер превратится в небольшой, но солидно оборудованный и прекрасно укрепленный форт, успех защиты которого целиком зависит только от его коменданта, то есть от вас. И любое ваше неосторожное действие (например, запись пароля на мониторе) сведет на нет все затраченные на оборону усилия. Будьте бдительны, господа!
КомпьютерПресс 3'2001