Методы и средства защиты информации. Внимание!!! В книге могут встречаться существенные ошибки (в рисунках и формулах). Они не связаны ни со

Удаленный
доступ
239
зователя
, непредусмотрительно установившего какую
- либо систему удаленного доступа с
настроенным по умолчанию паролем
(
или даже вообще без пароля
), например pcAnywhere, VNC или
Remotely Anywhere.
В
последнее время особенно часто жертвами злоумышленников становятся
Web- серверы и
работающие под их управлением приложения
Опытному взломщику
Web- серверов достаточно провести несколько минут за исследова
- нием
Web- сервера
, администраторы которого имеют поверхностное представ
- ление о
безопасности
, чтобы
, не прибегая к
особым ухищрением
, получить дос
- туп на уровне пользователя
(
а нередко и
на системном или административном уровне
), пользуясь одним лишь стандартным
Web- клиентом
Расширение
полномочий
Если на предыдущем этапе злоумышленник получил несанкционированный доступ на гостевом или пользовательском уровне он
, как правило
, постарается расширить свои полномочия и
получить
, как минимум
, административный уро
- вень
Для этого в
большинстве случаев применяются такие же средства взлома и
подбора паролей
, а
также программы взлома
, что и
при доступе на локальном уровне
Расширение полномочий позволяет злоумышленнику не только получить полный доступ к
интересующей его
АС
, но и
внести себя в
список легальных ад
- министраторов
, а
также
, возможно
, сразу же получить административный доступ к
другим
АС
организации
Исследование
системы
и
внедрение
Получив доступ на административном уровне
, злоумышленник изучает все имеющиеся на взломанной
АС
файлы и
, найдя интересующую его информацию
, завершает несанкционированный сеанс связи либо
, если такая информация от
- сутствует или целью проникновения было не получение информации
, а
само проникновение
, приступает к
изучению других доступных ему в
качестве адми
- нистратора взломанной
АС
систем
При этом процесс повторяется
, начиная с
этапа идентификации ресурсов
, и
заканчивается внедрением в
следующую
АС
организации и
т д
., и
т п
Сокрытие
следов
Получение административного доступа также может понадобиться злоумыш
- леннику в
том случае
, если ему по каким
- то причинам нужно скрыть следы про
- никновения
Часто для облегчения своей задачи в
будущем злоумышленники оставляют на подвергшихся взлому
АС
утилиты
, маскируя их под системные файлы
Однако к
таким приемам прибегают только в
тех случаях
, когда вероят
- ность обнаружения взлома оценивается злоумышленником как очень высокая
В

240
Глава
13.
Методы
и
средства
несанкционированного
получения
...
большинстве же случаев после первого успешного проникновения в
АС
зло
- умышленник создает на ней тайные каналы доступа
Создание
тайных
каналов
К
методам создания тайных каналов
, с
помощью которых злоумышленник может получать многократный доступ к
интересующей его
АС
, относятся
:
•
создание собственных учетных записей
;
•
создание заданий
, автоматически запускаемых системным планировщиком
(cron в
Unix, AT в
Windows NT/2000/XP);
•
модификация файлов автозапуска
(autoexec.bat в
Windows 98, папка
Startup, системный реестр в
Windows, файлы rc в
Unix);
•
внедрение программных закладок
, обеспечивающих удаленное управление взломанной
АС
(netcat, remote.exe, VNC, Back Orifice);
•
внедрение программных закладок
, перехватывающих нужную злоумышлен
- нику информацию
(
регистраторы нажатия клавиш и
т п
.)
•
внедрение программных закладок
, имитирующих работу полезных программ
(
например
, окно входа в
систему
).
Блокирование
Иногда злоумышленники
, не получив доступа к
нужной им системе
, прибега
- ют к
блокированию
(DoS — Denial of Service).
В
результате подвергнувшаяся блокированию
АС
перестает отвечать на запросы легальных пользователей
, т
е возникает состояние
“
отказ в
обслуживании
”.
Причем далеко не всегда состоя
- ние
DoS
АС
является самоцелью злоумышленников
Часто оно инициируется для того
, чтобы вынудить администратора перезагрузить систему
Однако не
- редко это нужно злоумышленнику
, чтобы выдать свою систему за систему
, на
- меренно переведенную им в
состояние
DoS.
Наконец
, в
последнее время со
- стояние
DoS, от которого не застрахована ни одна современная
АС
, подключен
- ная к
Internet, используется в
качестве средства кибертерроризма

Глава
14
Методы
и
средства
разрушения
информации
В
некоторых случаях злоумышленник
, которому не удается получить инфор
- мацию по техническим каналам
, может прибегнуть к
ее разрушению
Кроме того
, умышленное разрушение информации может применяться и
для сокрытия сле
- дов ее несанкционированного получения
Традиционным методом разрушения информации являются помехи
В
последние десятилетия к
ним прибавились ме
- тоды
, ориентированные на аппаратные и
программные средства
ПЭВМ
— не
- санкционированное силовое воздействие по цепям питания
, компьютерные ви
- русы и
закладки
В
данной главе рассматриваются все указанные методы
, а
так
- же приведены основные принципы функционирования аппаратных и
программных средств разрушения информации
Помехи
Помехой
называется нежелательное электрическое и
(
или
) магнитное воз
- действие на систему или ее часть
, которое может привести к
искажению храни
- мой
, преобразуемой
, передаваемой или обрабатываемой информации
По
происхождению
помехи подразделяются на
:
•
непреднамеренные
помехи
естественного
происхождения
(
космические и
атмосферные помехи
, шумы антенных систем и
внутренние шумы приемни
- ков
);
•
непреднамеренные
помехи
искусственного
происхождения
;
•
организованные
помехи
, которые могут быть
активными
и
пассивными
Последний вид помех
, в
свою очередь
, подразделяется на две группы
:
мас
-
кирующие
помехи
и
имитирующие
помехи
Маскирующие помехи создают шу
- мовой фон
, на котором трудно выделить полезный сигнал
Имитирующие поме
- хи являются подделкой полезных сигналов по одному или нескольким парамет
- рам
По
месту
возникновения
различают помехи внутренние и
внешние
К
внут
-
ренним
шумам можно отнести шумы
, наводки и
помехи от рассогласования

242
Глава
14.
Методы
и
средства
разрушения
информации
Шум
— это флуктуационный процесс
, связанный с
дискретной природой электрического тока и
представляющий собой последовательность очень корот
- ких импульсов
, появляющихся хаотически в
большом количестве
Различают разнообразные виды шумов
: тепловой
, полупроводниковый
, дро
- бовой и
т д
Тепловой шум возникает в
проводниках за счет теплового хаотиче
- ского движения электронов
Полупроводниковый
— вследствие статического ха
- рактера процесса генерации
- рекомбинации пар электронов и
дырок
Дробовой шум возникает вследствие случайного характера преодоления носителями тока потенциальных барьеров
, например электронно
- дырочных переходов
Наводка
— это помеха
, возникающая вследствие непредусмотренной схемой и
конструкцией рассматриваемого объекта передачи по паразитным связям напря
- жения
, тока
, заряда или магнитного потока из источника помехи в
рассматривае
- мую часть объекта
Под паразитной связью при этом следует понимать связь по электрическим и
(
или
) магнитным цепям
, появление которой не было предусмот
- рено конструктором
В
зависимости от физической природы элементов паразит
- ных электрических цепей
, различают
паразитную
связь
через
общее
полное
со
-
противление
,
емкостную
паразитную
связь
,
паразитную
связь
через
взаимную
индуктивность
(
индуктивную паразитную связь
) и
др
В
зависимости от того
, яв
- ляется ли источник помех
, вызывающих наводку
, частью объекта
, различают со
- ответственно
внутреннюю
и
внешнюю
наводки
Помеха
от
рассогласования
представляет собой нежелательный переход
- ный процесс в
рассматриваемой цепи объекта
, содержащей участки с
распреде
- ленными и
сосредоточенными параметрами
, который возникает вследствие рас
- согласования между неоднородными участками
Наводки и
помеха от рассогласования могут возникать не только в
сигналь
- ных цепях
, но и
в цепях питания и
заземления
По характеру протекания процесса во времени различают помехи
импульс
-
ные
и
флуктуационные
К
внешним помехам относятся
промышленные
(
индустриальные
),
от
радио
-
передатчиков
,
атмосферные
и
космические
Индустриальные
помехи
можно разделить на две большие группы
К
первой
группе относятся устройства
, генерирующие относительно регулярные электро
- магнитные колебания
, не предназначенные для излучения
, такие как медицин
- ские высокочастотные установки
, различного рода промышленные агрегаты
, системы развертки и
др
Помехи
, излучаемые такими источниками
, как на основ
- ной частоте
, так и
на гармониках
, представляют собой колебания
, близкие к
гар
- моническим
К
источникам
второй
группы относятся различные электрические устройства
, не вырабатывающие периодических электромагнитных колебаний
К
ним отно
- сятся линии электропередач
, системы зажигания двигателей внутреннего сгора
- ния
, высокочастотная аппаратура для дуговой сварки
, газоразрядные устройст
- ва
, индукционная и
переключающая аппаратура и
др
На частотах
, превышаю
-

Помехи
243
щих
30
МГц
, индустриальные помехи
, порождаемые системами зажигания
, обычно преобладают над помехами
, создаваемыми другими источниками
На частотах ниже
30
МГц преобладающими являются помехи
, порождаемые ли
- ниями электропередач
По предсказуемости времени появления и
формы различают
случайные
(
сто
- хастические
) и
регулярные
помехи
По результатам воздействия на полезный сигнал различают помехи
адди
-
тивные
и
мультипликативные
Аддитивная
помеха не зависит от сигнала и
вызывается сторонним возму
- щением поля
, которым передается сигнал по каналу связи
Мультипликативная
помеха обусловлена сторонним изменением коэффи
- циента передачи канала связи
В
общем виде влияние помехи
ξ
на передаваемый сигнал может быть выра
- жено следующим оператором
:
χ
= V(s,
ξ
)
В
том частном случае
, когда оператор вырождается в
сумму
χ
= s +
ξ
, помеха
ξ
называется аддитивной
Аддитивную помеху часто называют шумовой
Если же оператор
V
может быть представлен в
виде
χ
= Vs
, где случайный процесс
V(t)
неотрицателен
, то помеху
V
называют мультипликативной
Если
V
— мед
- ленный
(
по сравнению с
s
) процесс
, то явление
, вызываемое мультипликативной помехой
, носит название замирания
(
фединг
).
В
более общем случае при одновременном наличии аддитивной и
мультип
- ликативной помех удобно записать в
следующем виде
:
χ
= Vs +
ξ
С
физической точки зрения случайные помехи порождаются различного рода флуктуациями
, которыми в
физике называют случайные отклонения тех или иных физических величин от их средних значений
Внешние помехи объектам безотносительно первоисточника их возникнове
- ния можно подразделить на
помехи
от
сети
питания
,
из
внешних
линий
связи
,
от
разрядов
электрических
зарядов
и
от
электромагнитных
полей
излучения
Помехи из сети питания переменного тока в
свою очередь можно подразде
- лить на
импульсные
помехи
,
провалы
и
перенапряжения
Провал
напряжения в
сети питания переменного тока
— это помеха
, в
тече
- ние действия которой значение амплитуды напряжения в
сети в
каждом полупе
- риоде частоты переменного тока становится меньше регламентированного ми
- нимально допустимого значения
Перенапряжение
в сети питания переменного тока
— это помеха
, в
течении действия которой значение амплитуды напряжения в
сети в
каждом полуперио
- де частоты переменного тока превышает регламентированное максимально до
- пустимое значение

244
Глава
14.
Методы
и
средства
разрушения
информации
Импульсные помехи из сети питания можно подразделить на
симметричные
и
несимметричные
Напряжение симметричных помех приложено между фазными проводами пи
- тающей сети
, а
несимметричных
— между фазным проводом и
землей
Под помехами из внешних линий связи подразумеваются помехи
, попадаю
- щие в
аппаратуру рассматриваемого объекта из линий связи с
устройствами
, не являющимися частями объекта
Наиболее характерными помехами из внешних линий связи являются
симметричные
и
несимметричные
импульсные
помехи
и
помехи
от
неэквипотенциальности
точек
заземления
Напряжение симметричной импульсной помехи по линии связи приложено между прямым и
обратным проводом линии связи и
называется
“
поперечной помехой
”.
Напряжение несимметричной им
- пульсной помехи по линии связи приложено ме
- жду проводом линии связи и
заземлением и
на
- зывается
“
продольной помехой
”.
Напряжение помехи от неэквипотенциально
- сти точек заземления приложено между точками заземления отдельных устройств
Если связи между устройствами являются гальваническими и
обратные провода связи соединены с
корпу
- сами устройств
, то это напряжение оказывается приложенным к
обратному проводу связи
(
рис
14.1).
Намеренное
силовое
воздействие
по
сетям
питания
Под намеренным силовым воздействием
(
НСВ
) по сетям питания понимается преднамеренное создание резкого выплеска напряжения в
сети питания с
ам
- плитудой
, длительностью и
энергией всплеска
, которые способны привести к
сбоям в
работе оборудования или к
выходу его из строя
Для
НСВ
используют специальные технические средства
(
ТС
), которые подключаются к
сети непо
- средственно с
помощью гальванической связи
, через конденсатор или транс
- форматор
НСВ
может быть использовано и
для предварительного вывода из строя сигнализации перед нападением на объект или для провоцирования лож
- ных срабатываний сигнализации без проникновения на объект
Компьютер или другое электронное оборудование автоматизированных сис
- тем
(
АС
) имеет два значимых для проникновения энергии
НСВ
по сети питания канала
:
•
кондуктивный путь через источник вторичного электропитания
(
ВИП
);
•
наводки через паразитные емкости и
индуктивные связи
, как внутренние
, так и
между совместно проложенными силовыми кабелями и
информационными линиями связи
(
ИЛС
).
Рис
. 14.1.
Возникновение напряжения помехи от неэквипотенциальности точек заземления

Намеренное
силовое
воздействие
по
сетям
питания
245
На рис
. 14.2 показаны упрощенные схемы этих каналов
Между сетью пита
- ния и
ВИП
, как правило
, устанавливается дополнительное устройство защиты
(
УЗ
).
Такое устройство
(UPS, стабилизатор и
т п
.) влияет на канал распростра
- нения энергии
НСВ
, что также должно быть учтено
ИЛС
подключена к
компью
- теру через устройство гальванического разделения
(
УГР
) (
трансформатор
, опто
- пара и
т п
.), которое
, как правило
, присутствует на входе модема
, сетевой платы и
других узлах
АС
Вход
/
выход
ВИП
и
УЗ
зашунтированы собственной емкостью монтажа
, трансформатора и
т п
Рис
. 14.2.
Схема образования каналов проникновения
НСВ
Аппаратная часть компьютера за
ВИП
весьма чувствительна к
воздействию импульсных помех
Сбой в
работе цифровых микросхем возникает при появлении на шине питания импульса с
амплитудой в
единицы вольт при длительности в
де
- сятки наносекунд
Деградация цифровых микросхем наступает при воздействии импульсов напряжения длительностью
1 мкс с
энергией
2–500 мкДж
Однако в
це
- лом компьютеры и
периферийные более устойчивы к
электромагнитным помехам и
должны выдерживать воздействие по цепям электропитания всплесков напря
- жения
0,2
U
ном
и время до
500 мс
, микросекундных и
наносекундных импульсных помех с
амплитудой до
1 кВ
, а
в цепях ввода
/
вывода
— наносекундных импульс
- ных помех амплитудой
500
В
Подавление импульсных помех на пути из сети питания к
чувствительным микросхемам происходит во входных цепях
ВИП
(
главным образом во входном фильтре
).
Эти же узлы принимают на себя удар
НСВ
по сети питания
У
низкока
- чественных
ВИП
отсутствуют некоторые элементы цепей защиты
(
чаще всего
— варисторы и
термисторы
) и
(
или
) используются более дешевые элементы
(
кон
- денсаторы с
меньшей емкостью
, варисторы с
меньшей энергией
, вместо терми
- сторов
— обычные резисторы
).
Для оценки устойчивости
ВИП
к
НСВ
достаточно оценить предельную энерго
- поглощающую способность
W
max
и электрическую прочность ряда элементов схемы и
сопоставить ее в
дальнейшем с
энергией и
входным напряжением
ТС
НСВ
При этом следует учитывать
, что энергия при
НСВ
может распространять
-

246