Несанкционированный доступ к информации и ресурсам

НСД, как один из наиболее распространенных и опасных видов информационных угроз основан, как правило, на применении специального программно – аппаратного обеспечения, называемого атакующим, которое позволяет злоумышленнику обходить парольную защиту, установленные в КС правила разграничения доступа, изменять настройки механизмов безопасности вплоть до полного их выключения и т.д.

Из имеющегося и доступного сегодня арсенала атакующего ПО наибольшее распространение получили:

— Программные закладки.

— Парольные взломщики.

— Клавиатурные шпионы.

— Компьютерные вирусы.

Программная закладка (ПЗ) – несанкционированно внедренная программа, осуществляющая скрытую угрозу информации.

Предшественниками ПЗ принято считать троянские программы, основной пик распространения которых приходится на 1983 – 1988 годы. «Троянский конь», «троянец» и т.д. представляет собой программу, которая наряду с функциями, описанными в ее документации, выполняет некоторые другие действия, ведущие к нарушению информационной безопасности КС. Аналогия такой программы с древнегреческим «троянским конем» вполне оправдана, так как в обоих случаях не вызывающая подозрений оболочка таит серьезную угрозу.

«Троянский конь» использует, в сущности, обман, чтобы побудить пользователя запустить программу со скрытой внутри угрозой. Обычно для этого утверждается, что такая программа выполняет некоторые весьма полезные функции. В частности, такие программы маскируются под какие – нибудь полезные утилиты.

Опасность «троянского коня» заключается в дополнительном блоке команд, вставленном в исходную безвредную программу, которая затем предоставляется пользователям КС. Хакер подключается к зараженной машине и получает полный контроль над ней. Например, Троянец (рис. 8.6) позволяет выполнять на инфицированном компьютере различные деструктивные функции в зависимости от установленных на нем настроек:

— просмотр и прерывание запущенных процессов и приложений, редактирование системного реестра (создание/удаление ключей системного реестра) и сетевого браузера;

— перехватывание скриншотов (снимков экрана), отслеживание передвижений мыши и просмотр изображений с Web – камеры;

— создание эффекта перевернутого экрана, вывод на дисплей картинок, редактирование буфера обмена, печать текста, речевой вывод текста;

—

— сканирование и запуск сетевых сервисов;

— контроль работы ICQ – клиента;

— перехват паролей путем высвечивания ложного окна для ввода пароля;

— сбор различной информации и назначение E – mail – адреса, на который она будет передаваться, и др.

В настоящее время в ИНТЕРНЕТ получил также широкое распространение такой вид ПЗ как «компьютерный червь» – программа, внедряемая в компьютерную систему и прерывающая ход обработки информации в ней. В отличие от вирусов червь не искажает файлы данных и программы. Обычно червь выполняется, оставаясь необнаруженным, и затем самоуничтожается. ПЗ типа «компьютерный червь» нацелены на проникновение в системы разграничения доступа пользователей к ресурсам сети, могут приводить к утере прав доступа, к нарушению нормального функционирования всей сети и т.д.

По методувнедрения ПЗ бывают:

· программно – аппаратные – ассоциированные с аппаратной средой компьютера например, с BIOS – набором программ, записанных в виде машинного кода в ПЗУ);

· загрузочные – ассоциированные с программами первичной загрузки, располагающиеся в загрузочных секторах (из этих секторов в процессе выполнения начальной загрузки компьютер считывает программу, берущую на себя управление для последующей загрузки ОС);

· драйверные – ассоциированные с драйверами (файлами для управления периферийными устройствами);

· прикладные – ассоциированные с прикладным программным обеспечением общего назначения (редакторы, утилиты, антивирусы и т.д.);

· исполняемые – ассоциированные с исполняемыми программными модулями, содержащими код этих закладок;

· замаскированные – спрятанные в программных средствах оптимизации работы компьютера (файловых архиваторах, дисковых дефрагментаторах и т.д.), в игровых и развлекательных программах;

· имитаторы – закладки, интерфейс которых совпадает с интерфейсом некоторых служебных программ, требующих ввода конфиденциальной информации (ключей, паролей, номеров кредитных карточек и т.д.).

По времени пребывания в оперативной памяти можно выделить ПЗ:

· резидентные – находятся в памяти постоянно с некоторого момента времени (инфицирования) до окончания сеанса работы компьютера;

· нерезидентные – начинают работу также с момента инфицирования, но заканчивают ее самостоятельно (по истечении некоторого промежутка времени или по некоторому событию), при этом выгружают себя из памяти целиком.

Одним из базовых методов компьютерной безопасности является механизм парольной защиты, который имеется во всех современных программных продуктах. Он позволяет идентифицировать законного пользователя и определить круг его полномочий.

В частности, парольная защита может быть установлена на запуск (вход) ОС, на документы, выполненные в различных офисных приложениях (MS Word, MS Excel и т.д.), на архивы электронных документов (RAR, ZIP, ARJ и т.д.), на доступ в компьютерную сеть и к отдельным ИНТЕРНЕТ – ресурсам, на электронную почту и др.

Для преодоления данного защитного механизма разработаны специальные программы – парольные взломщики. Как правило, парольные взломщики являются специализированными для конкретных взламываемых систем. ПО для взлома паролей использует один из трех возможных методов:

— угадывание;

— подбор вариантов;

— автоматический перебор всех возможных комбинаций знаков.

Имея достаточное количество времени, можно взломать любой пароль методом автоматического перебора. В общем случае максимальное время, необходимое для подбора пароля, может быть посчитано по следующей формуле:

, (8.1)

где: m – размер алфавита (количество всех возможных символов, цифр и букв, которые могут быть в пароле);

n – длина пароля (количество символов в пароле);

t ₁ – время, затрачиваемое программой на проверку одного пароля.

Допустим, длина пароля – 3 символа, в пароле использованы только строчные буквы английского алфавита, на проверку одного варианта программа подбора пароля затрачивает 1 мсек. Тогда, учитывая, что в английском алфавите 26 символов, имеем общее время перебора: (26 +26 ² + 26 ³) *1 мсек = 18278 мсек» 18 сек.

В качестве иллюстрации на рисунках 8.8., 8.9. приведены рабочие окна популярных парольных взломщиков, достаточно простых в настройке и использовании при высокой эффективности их работы (рис. 8.10).

В последнее время злоумышленники все чаще стали использовать метод интеллектуального перебора пароля. В этом случае компьютерной программе «взлома» сообщаются некоторые известные до начала перебора сведения об авторе пароля.

По оценкам специалистов, эти сведения больше чем на десять порядков позволяют уменьшить число перебираемых вариантов или, что эквивалентно, во столько же раз сократить затрачиваемое на перебор время. Как свидетельствуют эксперименты, с помощью именно данного метода раскрываются 42% от общего числа паролей, составленных из 8 символов.

Выражение (8.1) можно записать в виде

или

), (8.2)

где: – сумма первых (n – 1) слагаемых выражения (8.2).

В выражении (8.2) слагаемым, в значительной степени определяющим время безопасности Т_s, является, mⁿ– t_1. Остальные слагаемые добавляют в сумме не более 10% при размере алфавита m =10 символов. При этом вклад S_n-1 в общую сумму уменьшается при увеличении m (рис. 8.11).

По оси абсцисс здесь указана длина пароля n, а по оси ординат – погрешность вычисления времени безопасности пароля или d – вклад в процентном соотношении первых (n – 1) слагаемых выражения (8.2) в общую сумму. Кривые построены для различных значений размера алфавита m.

Отсюда видно, что для приближенной оценки необходимого времени безопасности пароля можно воспользоваться формулой T_{S =} mⁿ– t₁. Тогда длина пароля, необходимая для обеспечения этого времени безопасности, будет определяться выражением

, (8.3)

Так, например, при T_S =100 дней, m = 26 символов и t₁ =0,001 сек., n = 7,0224. Таким образом, минимальная длина n, обеспечивающая заданное время безопасности пароля, может быть получена при округлении расчетного (8.3) значения n до ближайшего большего целого.

На графиках (рис. 8.12) приведены зависимости длины пароля n от требуемого времени безопасности T_s для разных размеров алфавита m. За основу расчетов взята одна из программ подбора пароля на вход в ОС Windows XP. Максимальная скорость работы программы на компьютере с процессором Intel Celeron 2,66 ГГц составила 7 млн. паролей в секунду (t₁=1,43·10 ^{– 7}сек).

Это возможно при:

— использовании всех букв, цифр и специальных символов стандартной клавиатуры (с верхним и нижним регистром);

— использовании специальных символов, отсутствующих на клавиатуре, но доступных посредством набора их кода на дополнительном цифровом поле стандартной клавиатуры (при нажатой клавише Alt);

— исключении использования в паролях персональных данных о себе, членах своей семьи, близких и т.д.;

— исключении использования в качестве пароля слов, присутствующих в общеизвестных тезаурусах;

— установке предельной длины пароля n, соответствующей требуемому значению Ts в соответствии с выражением (8.3);

— периодическойсмене пароля через время, меньшее времени безопасности пароля Ts.

Следует отметить, что для повышения безопасности парольной защиты кроме увеличения параметров m и n существуют и другие альтернативные подходы с целью преодоления возможности подбора пароля. Наиболее эффективными из них считаются ограничение на число неверно введенных значений пароля, а также обеспечение в системе защиты замкнутости программной среды, противодействующей выполнению программы автоматического перебора паролей.

Также широкое распространение в последние годы получили ПО и аппаратные устройства, предназначенные для скрытого слежения за деятельностью пользователей ПК. Данная категория мониторинговых продуктов получило название «программы – шпионы» или «продукты – шпионы».

Их применение позволяет злоумышленнику:

— несанкционированно перехватывать чужую информацию;

— осуществлять экономический или политический шпионаж;

— получить НСД к системам «банк – клиент»;

— получить НСД к системам криптографии пользователя ПК – открытым и закрытым ключам, парольным фразам;

— получить несанкционированный доступ к авторизационным данным кредитных карточек и др.

Программные кейлоггеры (keyloggers) принадлежат к группе программных продуктов, которые осуществляют контроль над деятельностью пользователя ПК. Первоначально они предназначались для записи информации о нажатиях клавиш клавиатуры в журнал регистрации (Log – файл), который изучался человеком, установившим эту программу. Log – файл может отправляться по сети на сетевой диск, FTP сервер в сети ИНТЕРНЕТ, по E – mail и др. В последнее время программные продукты, имеющие данное название, выполняют много дополнительных функций – это перехват информации из окон, перехват кликов мыши, «фотографирование» снимков экрана и активных окон, ведение учета всех полученных и отправленных E – mail, мониторинг файловой активности, мониторинг системного реестра, мониторинг очереди заданий и др.

Кейлоггеры могут быть встроены в коммерческие, бесплатные и условно – бесплатные программы, троянские программы, вирусы и черви. Примерами известных программных кейлоггеров являются Activity Logger, Boss Everyware, Ghost Keylogger, HookDump, Invisible KeyLogger Stealth, iSpyNOW, KeyCopy, KeyKeeper, KeyKey, KeyLog, KeySpy, Perfect Keylogger (рис. 8.13).

Аппаратные кейлоггеры (keystroke recording device, hardware keylogger и пр.) представляют собой миниатюрные приспособления, которые могут быть прикреплены между клавиатурой и компьютером или встроены в саму клавиатуру (рис. 8.14).

Они регистрируют все нажатия клавиш, сделанные на клавиатуре. Процесс регистрации абсолютно невидим для конечного пользователя. Аппаратные кейлоггеры не требуют установки какой – либо программы на компьютере интересующего объекта, чтобы успешно перехватывать все нажатия клавиш. Злоумышленник может снять устройство в любой удобный момент, а его содержимое (записанные нажатия клавиш) «скачать», когда ему это будет удобно. Объемы внутренней энергонезависимой памяти данных устройств позволяют записывать до 10 миллионов нажатий клавиш.

Согласно недавно опубликованному исследованию компании Websense, на компьютерах трети из всех участвовавших в проекте европейских компаний были обнаружены так называемые «spyware» – шпионские программы, позволяющие производить неавторизованный доступ к хранящейся информации со стороны конкурентов, хакеров или рекламных агентств.

Внешние аппаратные кейлоггеры	Внутренние аппаратные кейлоггеры
Современные аппаратные кейлоггеры представляют собой встроенные приспособления, которые выглядят, как оборудование для ПК.	Современный внутренний аппаратный кейлоггер представляет собой встроенное приспособление, которое выглядит, как клавиатура ПК. Небольшое устройство, внедренное в разрыв шнура клавиатуры и покрытое теплоизоляционным материалом.
Рис. 8.14. Внешние и внутренние аппаратные кейлоггеры

Дата добавления: 2014-12-27; Просмотров: 658; Нарушение авторских прав?; Мы поможем в написании вашей работы!