Аутентификация

Идентификатор доступа

Access identifier

14 Идентификация Identification

15 Пароль Password

Authentication

Защищенное средство вычис- ^ лительной техники (защищен­ная автоматизированная сис­тема) Trusted computer system

Средство защиты от несанк- jg ционированного доступа (Средство защиты от НСД)

Protection facility

Модель защиты Protection mod­el

Субъект доступа, осуществляющий не­санкционированный доступ к информа­ции

Абстрактное (формализованное или не­формализованное) описание нарушите­ля правил разграничения доступа

Совокупность программных и техниче­ских средств, создаваемая и поддержи­ваемая для обеспечения защиты средств вычислительной техники или автомати­зированных систем от несанкциониро­ванного доступа к информации Совокупность реализуемых правил раз­граничения доступа в средствах вычис­лительной техники или автоматизиро­ванных системах

Уникальный признак субъекта или объ­екта доступа

Присвоение субъектам и объектам дос­тупа идентификатора и (или) сравнение предъявляемого идентификатора с пе­речнем присвоенных идентификаторов Идентификатор субъекта доступа, кото­рый является его (субъекта) секретом Проверка принадлежности субъекту доступа предъявленного им идентифи­катора; подтверждение подлинности

Средство вычислительной техники (ав­томатизированная система), в котором реализован комплекс средств защиты

Программное, техническое или про­граммно-техническое средство, предна­значенное для предотвращения или су­щественного затруднения несанкциони­рованного доступа

Абстрактное (формализованное или не­формализованное) описание комплекса программно-технических средств и (или) организационных мер защиты от несанкционированного доступа


Продолжение табл. 1

Защита, обеспечивающая разграничение Многоуровневая защита доступа субъектов с различными пра-

Multilevel security вами доступа к объектам различных

уровней конфиденциальности Класс защищенности средств Определенная совокупность требований вычислительной техники, ав- по защите средств вычислительной тех- 21 томатизированной системы ники (автоматизированной системы) от Protection class of computer несанкционированного доступа к ин-

systems формации


 


Средство криптографической защиты информации 22 (СКЗИ)

Cryptographic information protection facility

Средство вычислительной техники, осуществляющее криптографическое преобразование информации для обес­печения ее безопасности


 


Основные способы НСД (из Руководящего документа ФСТЭК) [8]:

непосредственное обращение к объектам доступа; создание программных и технических средств, выполняющих об­ращение к объектам доступа в обход средств защиты; модификация средств защиты, позволяющая осуществить КСД; внедрение в технические средства вычислительной техники про­граммных или технических механизмов, нарушающих предполагае­мую структуру и функции средства вычислительной техники и по­зволяющих осуществить НСД.

Классификация НСД

Методы и средства несанкционированного получения информа­ции из КС можно классифицировать, исходя из разных признаков [16] (рис.13):

по виду доступа, по уровню доступа,

по характеру действий злоумышленника, по многократности доступа, по направленности действий злоумышленника, по тяжести последствий.

  Рис. 13. Классификация методов и средств НСД в КС

 

По виду доступа все методы и средства можно разделить на две большие группы. К первой группе относятся методы и средства, ис­пользуемые при локальном (физическом) доступе к КС, а ко второй - методы и средства, используемые при удаленном доступе (по ком­пьютерной сети). Как правило, любая, даже самая надежная КС, при наличии у злоумышленника локального доступа, достаточных сил и средств и достаточного времени, не сможет обеспечить сохранности информации. При удаленном доступе КС может быть достаточно на­дежно защищена, но, с другой стороны, абсолютной безопасности КС, имеющей физическое подключение к сетям передачи данных, га­рантировать также нельзя.

По уровню доступа методы и средства несанкционированного получения информации обычно разделяют на методы и средства: гос­тевого; пользовательского; административного; системного; неогра­ниченного уровня.

Во многих современных операционных системах имеются встро­енные учетные записи, предоставляющие их владельцам гостевой, административный, системный или неограниченный доступ. При соз­дании дополнительных учетных записей в большинстве современных операционных систем можно указать любой уровень доступа, но из­менить его для встроенных учетных записей зачастую невозможно.

По характеру действий злоумышленника используемые им ме­тоды и средства могут быть направлены на следующие цели: копиро­вание; модификацию; уничтожение; внедрение информации.

По многократности доступа выделяют методы и средства, направ­ленные на: разовое получение НСД; многократное получение НСД.

В первом случае задача предупреждения несанкционированных действий злоумышленника значительно осложняется, однако часто, поскольку последний не заботится о сокрытии факта таких действий, несколько облегчается задача выявления таких действий. Во втором случае задача предупреждения упрощается, но усложняется задача выявления, поскольку основное внимание злоумышленник, плани­рующий многократно проникать в КС, сосредотачивает на сокрытии всех признаков такого проникновения.

По направленности действий злоумышленника методы и средства несанкционированного получения информации из КС подразделяются на методы и средства, направленные на получение системной информации (файлы паролей, ключей шифрования, пе­речни учетных записей, схемы распределения сетевых адресов и т.п.); методы и средства, направленные на получение собственно прикладной информации.

Многих злоумышленников, проникающих в КС, подключенные к глобальным сетям, вообще не интересует хранящаяся в этих КС при­кладная информация или интересует лишь в той степени, в какой она позволяет получить доступ к системной информации. Обычно такие злоумышленники используют подобные КС либо в качестве проме­жуточных узлов для проникновения в другие КС, либо для несанк­ционированного хранения собственной информации.

По тяжести последствий используемые злоумышленниками методы и средства несанкционированного получения информации Можно разделить: на неопасные (сканирование портов, попытки уста­новления соединений и т.п.), потенциально опасные (получение досту­па к содержимому подсистем хранения данных, попытки подбора паро­лей и т.п.), опасные (получение доступа с высоким уровнем полномо­чий, модификация информации в КС, копирование системной и при­кладной информации, создание собственной информации и т.п.), чрез­вычайно опасные (уничтожение информации, блокирование доступа легальных пользователей к КС и т.п.).

Локальный доступ. Как уже отмечалось, при наличии у зло­умышленника локального доступа к КС и благоприятной для него об­становки он сможет обойти практически любую защиту.

Рассмотрим подробнее методы и средства несанкционированного доступа к информации, которые можно применить на локальном уровне.

Прежде всего, злоумышленник может воспользоваться одним из са­мых древних способов, против которого не сможет противостоять ни­какая КС, - хищением. Хищение информации, ее носителей, отдельных компонентов КС и, учитывая современные тенденции к миниатюриза­ции СВТ, целых КС было и остается одним из самых распространенных способов несанкционированного получения информации.

Вторым распространенным методом несанкционированного полу­чения информации при локальном доступе к КС является использо­вание открытого сеанса легального пользователя. Здесь возможно­сти злоумышленника определяются лишь временем, на которое он получает доступ к КС, полномочиями в КС легального пользователя и наличием (точнее, отсутствием) контроля со стороны легального пользователя или его коллег.

Близким к указанному выше методу является подбор пароля ле­гального пользователя. Этот метод более «заметен» со стороны ком­понентов КС, обеспечивающих безопасность, однако также оказыва­ется достаточно эффективным.

Методом локального несанкционированного доступа является также использование учетной записи легального пользователя для расширения полномочий в КС. Он отличается от метода использова­ния открытого сеанса легального пользователя тем, что в данном слу­чае злоумышленнику не требуется выдавать себя за другого, по­скольку он в силу тех или иных причин сам имеет доступ к КС.

Наконец, часто злоумышленнику, имеющему локальный доступ к КС, не нужно вообще обладать квалификацией даже среднего уровня, чтобы получить несанкционированный доступ к информации этой КС. Во многих случаях ему достаточно прибегнуть к такому просто­му приему, как загрузка альтернативной операционной системы.

Такая система может загружаться как с дискеты, так и с компакт- диска. Особой разновидностью этого метода является срабатывание функции автозапуска в Windows 98. Воспользовавшись этим изъя­ном, злоумышленник может запустить нужную ему программу даже на системе с Windows 98, защищенной с помощью экранной заставки с паролем.

Удаленный доступ. В отличие от локального доступа, палитра методов и средств несанкционированного получения информации из КС при удаленном доступе значительно шире и достаточно сильно зависит от используемой операционной системы (ОС), настройки па­раметров безопасности и т.п.

Типовой алгоритм удаленного проникновения в КС, которой пользуется большинство злоумышленников, представлен на рис. 14.

  Рис. 14. Типовая схема несанкционированного получения информации из КС при удаленном доступе

 

Сбор информации. На этапе сбора информации злоумышленник определяет группу 1Р-адресов КС организации, доступных из сети об­щего пользования. Строго говоря, этапы сбора информации, сканиро­вания, идентификации доступных ресурсов и, в какой-то мере, полу­чения доступа могут предприниматься не злоумышленниками, а дру­гими пользователями, которые сканируют все открытые порты КС.

Сканирование. Составив предварительную схему сети и наметив предварительный перечень наиболее уязвимых ее узлов, злоумыш­ленник, как правило, переходит к сканированию. Сканирование по­зволяет выявить реально работающие КС исследуемой организации, доступные по Internet, определить тип и версию ОС, под управлением которых они работают, а также получить перечни портов TCP и UDP, открыть« на выявленных КС.

Идентификация доступных ресурсов. Очертив круг КС органи­зации, которые представляют собой для злоумышленника наиболь­ший интерес, он переходит к следующему этапу - идентификации доступных ресурсов.

Тщательно проведенная идентификация доступных ресурсов вы­бранной для несанкционированного доступа КС может дать злоумыш­леннику информацию о доступных по сети дисках и папках, о пользо­вателях и группах, имеющих доступ к данной КС, а также о выпол­няющихся на этой КС приложениях, включая сведения об их версиях.

Получение доступа. На этом этапе злоумышленник переходит к стадии активных действий, которые, как правило, выходят за рамки простого любопытствах, а в отдельных случаях могут уже квалифи­цироваться как уголовно наказуемые деяния. Целью операций, пред­принимаемых на данном этапе, является получение доступа на уровне легального пользователя КС или ОС. К таким операциям относятся:

перехват паролей;

подбор паролей для доступа к совместно используемым сетевым ресурсам;

получение файла паролей;

использование программ взлома, обеспечивающих интерактивный доступ к КС путем перевода работающих на КС приложений в не­штатный режим.

Расширение полномочий. Если на предыдущем этапе злоумыш­ленник получил несанкционированный доступ на гостевом или поль­зовательском уровне, он, как правило, постарается расширить свои полномочия и получить, как минимум, административный уровень. Для этого в большинстве случаев применяются такие же средства взлома и подбора паролей, а также программы взлома, что и при дос­тупе на локальном уровне.

Расширение полномочий позволяет злоумышленнику не только получить полный доступ к интересующей его КС, но и внести себя в список легальных администраторов, а также, возможно, сразу же по­лучить административный доступ к другим КС организации.

Исследование системы и внедрение. Получив доступ на админи­стративном уровне, злоумышленник изучает все имеющиеся на взло­манной КС файлы и, найдя интересующую его информацию, завер­шает несанкционированный сеанс связи либо, если такая информация отсутствует или целью проникновения было не получение информа­ции, а само проникновение, приступает к изучению других доступ­ных ему в качестве администратора взломанной КС систем.

Процесс повторяется, начиная с этапа идентификации ресурсов, и за­канчивается внедрением в следующую КС организации.

Сокрытие следов. Получение административного доступа может понадобиться злоумышленнику в том случае, если ему по каким-то причинам нужно скрыть следы проникновения. Часто для облегчения своей задачи в будущем злоумышленники оставляют на подвергших­ся взлому КС утилиты, маскируя их под системные файлы. Однако к таким приемам прибегают только в тех случаях, когда вероятность обнаружения взлома оценивается злоумышленником как очень высо­кая. В большинстве же случаев после первого успешного проникно­вения в КС злоумышленник создает на ней тайные каналы доступа.

Создание тайных каналов. К методам создания тайных каналов, с помощью которых злоумышленник может получать многократный доступ к интересующей его КС, относятся: создание собственных учетных записей;

создание заданий, автоматически запускаемых системным плани­ровщиком (сгоп в Unix, AT в Windows NT/2000/XP);

модификация файлов автозапуска (autoexec.bat в Windows 98, пап­ка Startup, системный реестр в Windows, файлы гс в Unix);

внедрение программных закладок, обеспечивающих удаленное управление взломанной КС (netcat, remote.exe, VNC, Back Orifice);

внедрение программных закладок, перехватывающих нужную злоумышленнику информацию (регистраторы нажатия клавиш и т.п.);

внедрение программных закладок, имитирующих работу' полез­ных программ (например, окно входа в систему).

Блокирование. Иногда злоумышленники, не получив доступа к нужной им системе, прибегают к блокированию (DoS - Denial of Ser­vice). В результате подвергнувшаяся блокированию КС перестает от­вечать на запросы легальных пользователей, т.е. возникает состояние «отказ в обслуживании». Причем далеко не всегда состояние DoS КС является самоцелью злоумышленников. Часто оно инициируется для того, чтобы вынудить администратора перезагрузить систему. Однако нередко это нужно злоумышленнику, чтобы выдать свою систему за систему, намеренно переведенную им в состояние DoS. Наконец, в последнее время состояние DoS, от которого не застрахована ни одна современная КС, подключенная к Internet, используется в качестве средства кибертерроризма.

Построение модели злоумышленника. Для создания эффектив­ной системы защиты информации необходимо проанализировать и систематизировать природу и действия противостоящего врага.

Построение модели злоумышленника [18]- это процесс класси­фикации потенциальных нарушителей по следующим параметрам:

тип злоумышленника (конкурент, клиент, разработчик, сотрудник компании и т.д.);

положение злоумышленника по отношению к объектам защиты (внутренний, внешний);

уровень знаний об объектах защиты и окружении (высокий, сред­ний, низкий);

уровень возможностей по доступу к объектам защиты (макси­мальные, средние, минимальные);

время действия (постоянно, в определенные временные интервалы); место действия (предполагаемое месторасположение злоумыш­ленника во время реализации атаки).

Присвоив перечисленным параметрам модели злоумышленника качественные значения, можно определить потенциал злоумышлен­ника (интегральную характеристику возможностей злоумышленника по реализации угроз).