|
|
|
|
|
|
|
|
|
|
Имеется много сведений о встраивании в компьютеры (и даже калькуляторы!) передатчиков, что вполне возможно, но мало разумно из-за низкой информативности и легкой обнаружаемости службами безопасности. Скорее всего их встраивают сами секретные службы, чтобы такими находками оправдать расходы на свое содержание. Вместе с тем, известны варианты BIOS клавиатуры, сохраняющие в шифрованном виде с тысячу символов, введенных после включения компьютера и даже передающих их радиоизлучением. Известно так же, что все сверхбыстродействующие ЭВМ имеют секретные блоки двойного назначения - как для диагностики технического состояния, так и ограничения сферы применения ЭВМ условиями поставки. Эти блоки хорошо защищены от взлома - попытка отечественных служб вскрыть аналогичное устройство фирмы Барроуз провалилась, окончившись "последним серьезным предупреждением". Озадачивает сообщение, что за несколько недель перед началом войны с Ираком, американские спецслужбы вставили вирус в сеть иракских компьютеров противовоздушной обороны. Сообщали, что вирус был разработан АНБ и предназначен калечить главный компьютер сети иракских ПВО. Эта секретная акция началась, когда шпионы узнали, что сделанный французами принтер, ввозился контрабандой через Иорданию в Багдад. Агенты в Аммане заменили микросхему в принтере другой, которая содержала вирус. Нападая на иракский компьютер через принтер, вирус был способен избегать обнаружения процедурами безопасности. Когда вирус попадал в систему, то компьютер выдавал ложную информацию о целях. В результате иракская сторона вынуждена была оставить без ответа бомбовые удары по своей территории. Хотя такое сообщение выглядит фантастично и появилось на свет 1 апреля, но с сетевым принтером PostScript это предположительно возможно. Так или иначе, сеть иракских ПВО фактически не работала. Хотя результативнее была бы атака, вызывающая сбои не очень редко, чтобы скомпрометировать данные, но и не очень часто, чтобы не быть обнаруженной. Тем не менее, аппаратуру для сети с повышенной секретностью нельзя покупать по заказу или на имя фирмы, что позволит гарантированно избежать подвоха. Гораздо разумнее будет покупать ее вдруг за наличные или через законспирированного партнера.
В верхней памяти ЭВМ, относящейся не к ней самой, а таким устройствам, как контроллер винчестера или дисплея есть участки, которые допускают не только чтение, но и запись. Нередко непрофессионально написанные программы (обычно программы на языке Си с неопределенным указателем) пишут туда черт-те что, выводя этим самым из строя аппаратуру. Характерный пример - винчестер перестает грузиться, но идеально работает, если загрузка произведена с дискеты. Поэтому есть ряд программ, как Rescue из нортоновских утилит, которые позволяют сохранять и восстанавливать содержимое этой памяти в случае ее модификации. Многие такие утилиты контролируют неизменность памяти с помощью контрольных сумм, а это в ряде случаев может выявить изменение конфигурации ЭВМ при установке в нее шпионских устройств. Однако доступ ко многим устройствам происходит через порты, а найти или блокировать очень сложно.
Обычно файловый сервер хорошо защищен административно. Тем не менее, защиты консоли паролем явно недостаточно. Было бы лучше блокировать клавиатуру еще и специальным ключом, как это сделано в ряде моделей Hewlett Packard. В одной из финансовых организаций после перегрузки сети от сервера вообще отсоединяли монитор с клавиатурой и выгружали модуль MONITOR. Такая предосторожность там не казалась чрезмерной и, наверное, это правильно.
Другая проблема серверов - черви, вирусы и троянские кони. Обычно червь стремится инфицировать как можно больше других машин. Он лишь воспроизводит себя и ничего больше. Если система терпит крах или перегружается, что бывает не так уж и редко, процедура загрузки системы уничтожает червя и его следы. Однако коммуникационное общение снова восстанавливает его с инфицированных машин. Поэтому администраторы инфицированной сети могут договориться об одновременной перегрузке своих систем, закрыв временно до выяснения обстановки шлюзы. Это, самый легкий и простои способ избавиться от червя.
Чтобы не инфицировать одну машину дважды черви, прежде чем заразить ее проверяют свое наличие там вызовом файла, через который они размножаются. Следовательно, самая простая защита от червя - создание файла с его же именем. Этот прием известен как "презерватив". В некоторых системах достаточно вместо файла завести поддиректорию с тем же именем. Однако некоторые "зловредные" черви, как у Морриса, пытаются обойти это условие. Тем не менее, червь не проникнет в сеть, если атрибуты файла с его именем не допускают удаления и перезаписи.
Червяки необязательно вредны. Фольклор имеет первое свидетельство о появлении червя на Arpanet аж в 1970 году. Тогда ее атаковал червь, названный вьюном, чья единственная цель состояла в том, чтобы копировать себя с машины на машину. Когда он инфицировал компьютер, то выдавал сообщение: "Я - вьюн. Поймайте меня, если можете!" Легенды сообщают, что один администратор, инфицированный вьюном, рассердился и быстро написал программу червя киллера, которая пролезла через весь Arpanet, перебила вьюнов и "умерла". Несколькими годами позже, в корпорации Ксерокс разработали специальные виды червей. Шок и Хупп написали червя глашатая, который патрулировал сеть, ища плохо работающие компьютеры. Они даже описали червя вампира, который был предназначен, чтобы запускать сложные программы ночью, когда пользователи спят. Лишь только люди возвращались к терминалам, то программа вампир шла спать, чтобы возвратиться и начать работать следующим вечером. Аналогичный червь был написан в СССР для DECnet, чтобы контролировать активность узлов. Так как он имел низший приоритет, то активизировался, лишь когда машина простаивала и фиксировал это. Без червя не удалось бы решить такую важную для математики и криптографии задачу, как нахождение множителя 13-го числа Ферма. Для этого в фирме NeXT использовали простые рабочие станции. Червь, названный ZiUa, инфицировал около 100 рабочих станций этой фирмы, объединенных в сеть, эквивалентную по производительности суперЭВМ. Червь использовал свободное машинное время. Задача поиска простого числа была разбита на отдельные сегменты и распределена между всеми рабочими станциями.
Каждая из этих станций сообщала своему червю о решении своей части задачи и полученном результате. Главное преимущество такого подхода состояло в том, что работа, производимая червем практически ничего не стоила, так как использовалось свободное машинное время. Когда пользователь оставлял свою рабочую станцию больше чем на 10 минут, то червь Zilla переключал станцию на решение заданной ему задачи. При возвращении пользователя, как только он нажимал клавишу на своей станции, червь Zilla просил дать ему несколько секунд для выключения.
В отличие от червей вирусы не являются самостоятельной программой, а представляют собой как бы "наросты" на программе-хозяине, которые заражают другие программы и распространяются они преимущественно через копии программ на дискетах. Часть из них почти безвредны - один из ранних вирусов заявлял: "Хочу ЧУЧУ!" и блокировал компьютер до тех пор, пока пользователь не набирал "ЧУЧУ". Вирусные инфекции компьютеров имеют давнюю историю. СССР официально заявил в конце 1988 года, что так называемые вирусы компьютера вторглись в системы по крайней мере пяти государственных учреждений, но советские ученые разработали путь выявлять известные вирусы и предотвращать наносимый ими ущерб. В августе 1988 года вирус инфицировал 80 компьютеров в Академии наук прежде, чем это было распознано. Появление вируса связывалось с занятиями групп советских и иностранных школьников, посещавших компьютерный класс. СССР утверждал, что разработана защитная система "Щит PC", которая оградит советские компьютеры от любых вирусов. По утверждениям официальных лиц, эта защитная система не имела аналогов в мире, а принцип ее работы является государственной тайной. (Хороший пример того, что собственно составляет тайну в России.)
В большинстве случаев вирусы пишутся начинающими программистами и содержат в своих текстах грубые ошибки, облегчающие дезинфекцию. Внимание к вирусам возникает спорадически, так в канун юбилея Микеланджело появился вирус, названный его именем, который в день торжества 6 марта 1992 года мог бы остановить десятки тысяч компьютеров по всему миру, уничтожив данные на их жестких дисках. Возможно, что благодаря широкой огласке в прессе, вирус Микеланджело поразил тогда лишь несколько сотен PC в США. Наиболее часто заражение вирусами наносится через игры. В Корнуэльском университете два студента написали вирус, который разрушил данные компьютеров аж в Калифорнии и Японии. Они инфицировали игры Obnoxious, трехмерный Tetris и Tetricycle. Вирус сначала появился в университете Стенфорда и распространился оттуда по всей стране. Вирус может быть как обычный, так и специально настроенный на проникновение в конкретную компьютерную систему и запущенный туда издалека.
"Вирусы - вызов для рынка, - сообщил Джон Эдварде, директор маркетинга компании Novell, которая заразила несколько тысяч своих пользователей вирусом Stone-111 через распространяемую по подписке техническую энциклопедию. - Но мы будем поддерживать на высоком уровне нашу бдительность". В письме заказчикам компания сообщала, что Stone-111 вирус не будет распространяться по сетям и инфицировать другие файл-серверы. Stone-111 - "бутовый" вирус, который работает, проникая в специальную область на дискете, и тогда копирование ее в другой компьютер инфицирует как другой компьютер, так и другие дискеты. МакАфии, президент антивирусной компании, сообщил, что этот вирус может иногда калечить систему. Stone-111 сначала появился в Европе за три месяца до попадания в Новелл. Этот вирус - представитель класса программ известных как Stealth вирусы, потому что они хорошо прячут свое местоположение и их трудно выделить. Сейчас Novell применяет новые технологии установки программного обеспечения, чтобы сделать более трудным вторжение вирусов. В 1992 году компания лицензировала специальное программное обеспечение с цифровой подписью, которое сделало трудным для вирусов процесс распространения необнаруженными.
Тем не менее опасность поражения вирусами при соответствующей гигиене невелика. Похоже, что фирмы, занятые продажей антивирусных программ в печати преувеличивают эту проблему. Более половины сетевых систем вообще никогда не подвергались инфекции, а вероятность поражения вирусом незащищенного изолированного компьютера менее 1% за год. Далее, даже в случае заражения лишь несколько процентов вирусов способны причинить ощутимый вред. Однако хотя проблема вирусов стоит далеко не на первом месте, она все же существует. Так фирма Rockwell International сообщала, что лишь одна атака вируса на ее сеть из 600 компьютеров с 9 файл-серверами обошлась ей в $44000. Разговоры о чудесных аппаратных средствах против вирусов несодержательны, так как исследователи давно уже доказали, что компьютерный вирус может распространяться в любой операционной системе, независимо от того, защищено ли ее ядро аппаратно или нет.
Сканирование компьютера и дискет сейчас стало неэффективным из-за появления полиморфных вирусов типа Stealth, которые используют шифрование своих кодов, и вероятность обнаружения вирусов таким путем не превышает 50%. Однако случай с вирусом Сатанинский Жук, запущенным в феврале 1993 года хакером по кличке Hacker4Life в rocучреждения США, показывает, что трагедий и в этом случае не будет - вирусологи за уикэнд справились с ним. Вообще-то, надежда на антивирусы и вакцины очень слабая - нужна гигиена внешних общений. Администраторов систем, полагающихся на мощные антивирусы и практикующих рискованные эксперименты с запуском программ сомнительного происхождения, можно сравнить с человеком, не боящимся приласкать бешеную собаку лишь на том основании, что в детстве ему сделали прививки.
Кардинально, раз и навсегда можно решить проблему борьбы с вирусами и несанкционированным копированием данных большого объема, если лишить рабочие возможности общаться с внешним миром - отключить гибкие диски и все порты. Будет еще лучше, если на них будут отсутствовать и винчестеры, а загрузка происходить с BOOT ROM. Отключение гибкого диска в этом случае осуществляется довольно просто даже логически в процедуре загрузки, и супервизор может оставить привилегированным пользователям возможность обмена с дискетами.
Наиболее опасны при внедрении в систему программы типа троянского коня, потому что это почти всегда свидетельствует о нападении хакеров. Например, сети NASA, SPANet и CERN имели прекрасную репутацию, чистое прошлое и неплохие гарантии безопасности. Единственный их недостаток заключался в том, что они почили на лаврах и ослабили бдительность. Когда немецкие хакеры напали летом 1987 года на эти сети то, чтобы остаться незамеченными, они запустили троянского коня. Три хакера были арестованы в Берлине, Гамбурге и Ганновере и обвинены в шпионаже на СССР. Они вторглись в научные и военные компьютеры, получили пароли, механизмы доступа, программы и передали эти данные КГБ. Сообщали, что они за это получили около ста тысяч марок ФРГ. Немецкая контрразведка заявила, что ожидала подобное, но удивлена, как это случилось так скоро и с такими большими результатами. Западная пресса тогда была занята оценкой - серьезнее ли ущерб от хакеров, чем от секретаря Вилли Брандта, купленного КГБ. Это были: Маркус Гесс из Гамбурга, Карл Кох из Ганновера по кличке Вилли Хакер и Дирк Бзежинский из Берлина. Они использовали данный им КГБ идентификатор и соответствующий ему пароль. Карл Кох вероятно покончил жизнь самоубийством в 1989 году - его тело было найдено сожженным бензином в лесу под Ганновером. Он страдал от мании, считая, что инопланетяне хотят убить его.
В другом случае дискета, содержащая троянского коня, была отправлена по почте пользователям компьютеров по крайней мере четырех европейских стран. Программа угрожала разрушить данные на компьютере, если пользователь не внесет плату за лицензию фиктивной компании в Панаме. Дискета была отправлена по почте от "PC Cyborg" подписчикам журналов по торговле персональными компьютерами, очевидно, используя списки их рассылки. Диск профессионально упаковывался и сопровождался брошюрой, которая описывала его как "Помощь Вашему Диску". Но будучи установленной в компьютере пользователя, дискета изменяла несколько системных файлов и записывала свои секретные программы, которые позже уничтожали данные с винчестера. Соглашение лицензирования, которое сопровождало дискету, содержало угрожающую информацию: "В случае Вашего нарушения этой лицензии, PC Cyborg сохраняет право выполнить любое законное действие, чтобы возместить ущерб любым неоплаченным долгам корпорации и использовать механизмы программы, гарантирующие завершение Вашего использования этих программ, которые будут неблагоприятно затрагивать другие программы на Вашем компьютере." Когда троянский конь инфицировал компьютер, то помещал на экране сообщение, предлагающее во избежание неприятностей послать $387 по адресу в Панаме.
Не нужно думать, что троянские кони - всегда сложные программы. Так, на компьютере с установленным драйвером ANSI троянским конем может стать даже текстовый файл с содержимым всего в одну строку:
ESC[13;"WIPEINFO С: /S /BATCH",-13;^
Будучи скопирован на экран, этот файл вызовет перепрограммирование нажатия клавиши Enter на смывание всех данных с диска С. Поэтому нужно быть очень осторожным с файлами практически любого расширения, а не только СОМ и ЕХЕ. Как пример можно привести уж очень специфический вирус, живущий в текстовых файлах Word for Windows. В ранних версиях он был довольно безобидным лишь, заявляя время от времени о своем существовании, а теперь приобрел еще и наклонности террориста.
Воровство паролей доступа к компьютеру, конечно же преступление. Однако большинство людей и особенно деловых настолько небрежны с ключами, что доказать потом именно воровство, а не передачу, невозможно. Потеряв $82000 из-за незаконных обращений по телефону вследствие кражи пароля, одна компания США "просто" сменила все 800 своих телефонных номеров и переопределила тысячи паролей доступа пользователей.
Определенные типы связанного с компьютерами мошенничества, типа вхождения в базы данных платежной ведомости или банковских счетов, при подборе хакером пароля могут быть блокированы созданием ложных клиентов или призраков. Если кто-то войдет в систему под идентификатором призрака, то это означает, что либо произошли грубая ошибка, либо вмешательство хакера. Не поленитесь в любой системе сделать длинный ряд таких призраков: BOOKKEEPER, CHIEF, DIRECTOR, ENGINEER, GUEST, MANAGER, MASTER, PRESIDENT, SYSTEM и, конечно же, SUPERVISOR. В процедуры загрузки призраков вставьте оповещение по тревоге, блокировку клавиатуры и выгрузку врага с выдачей ему сообщения: "Sorry! Backup in process now. Please, call us 20 min late." Останется лишь обратиться к службе безопасности, чтобы дальше нежелательным визитером занялись они, это уже их дело.
Подбор паролей ведется хакером строго закономерно. В одном из 20 случаев пользователь вместо пароля вводит: свое имя, название своей компании, свои инициалы, год рождения, номер служебного или домашнего телефона, номер своей автомашины и прочую ерунду. У ряда пользователей есть особенность набирать в виде пароля славянское имя на английском регистре. Пользователи, имеющие хобби, вводят пароли из интересующей их области - названия вокальных групп, пород собак и спортивные термины. Пользователи системы всегда будут предлагать пароли, которые легки для запоминания. Например, если "Белый ветер" - название фирмы пользователя, то хакер мог бы пробовать WHITE, WIND, WHITEWIND или WWIND как пароли. Если хакеру известно, что бухгалтер в "Белом ветре" Иван Углов, то он вводил бы IVAN, VANYA, UGLOV или IVANUGLOV как пароли. При анализе списка пароля наблюдались такие общеизвестные факты: четверть паролей были женские или мужские имена, страны, исторические лица, города или блюда (это в Италии) и лишь каждый двадцатый пароль был такого характера, чтобы его нелегко было разгадать. Вспомните заводской пароль BIOS фирмы AMI конечно же AMI, а у Norton Utilites - бесспорно NORTON! Этот список можно было и продолжать, но боюсь, что побьют программисты, так как подобные пароли рассчитаны лишь на неопытных пользователей.
Если ничто не помогает, хакер может воспользоваться 240 стандартными паролями, адаптированными к условиям России. Обнаружив такое имя, администратор системы должен заставить пользователя сменить его. Список этих паролей, которых любой администратор систем должен избегать как СПИДа, дан в приложении. Теперь сделаем выводы. Охрану коммуникаций обсудим позже, а вот правила для выбора пароля должны быть следующие:
Считается, что алфавитно-цифровой ключ должен состоять как минимум из 7 знаков, то есть около 20 бит информации, иначе вскрытие шифра предельно просто. Класс символов, составляющих ключ должен быть как можно более представительным, включая в себя буквы, цифры, знаки препинания и псевдографику. Так, если в ключ из 6 символов входят только прописные русские буквы, образующие осмысленное слово, то вряд ли число ключей будет больше 20000 и перебор прост. Если же орфографическая правильность и постоянство регистра не требуется, то, счет допустимых ключей пойдет уже на миллионы. В принципе, можно использовать отрывки из книг, беря каждую третью букву, начиная с определенного места или комбинируя два слова как ГОРОДрапз.
Хорошие результаты дает использование двух типов ключей: текущего, для входа в систему или шифрования текста, и основного, для шифрования ключей и паролей. Основной ключ, которым шифруют ключи, должен быть очень надежен и используется на протяжении определенного времени - от одного месяца до года. Им шифруют текущий ключ из 30-40 случайных байт. Текущим ключом шифруют сообщение и посылают эту шифровку получателю вместе с шифровкой текущего ключа, сделанной по основному ключу. Такая техника длительное время употреблялась в отечественной криптографии. Она также необходима при пересылке и хранении ключей, потому что даже надежному курьеру или самой защищенной системе вряд ли стоит доверять открытый текст ключей и паролей. Ключ для шифрования ключей еще называют главным или master key. Основной ключ в классических системах шифрования вскрыть из шифровки практически невозможно, так как в сообщении отсутствует избыточность, которая является основной помощницей криптоаналитика. Все рассказанное не снимает вопроса о получении основных ключей - крайне желательно, чтобы все символы в них были бы независимыми. Ключи лучше всего получать с помощью той же системы засекречивания случайным набором с клавиатуры сначала файла ASCII, а затем максимально длинного ключа. Фрагмент шифровки и будет представлять собой хороший ключ, если у нее выбросить стандартный заголовок, специфичный для каждой системы.
Наиболее опасна атака на пароль супервизора. Большинство сетевиков наслышано о программе, основанной на "дупле" в Novell 3.11, когда за счет посылки сообщения с адресом станции супервизора, пославшему его пользователю назначается эквивалент супервизора. Хотя в Novell 3.12 и 4.01 эта ошибка исправлена, но по последним сообщениям теоретически есть обходные ходы. Собственно говоря, заплата (patch) для этой дыры в энциклопедии Novell появилась давно, однако, видимо, дыра пошире, чем ее увидел некий голландский студент. Утилита SETSPASS позволяет сменить пароль супервизора в NetWare 3.11 на любой введенный, но для этого надо знать серийный номер пакета инсталляции системы. А вот номер пакета тоже можно поменять на любой утилитой SERNO. Не стоило бы писать об этом, если не два крутых обстоятельства. Во-первых, по статистике получается так, что в Novell 3.11 сейчас работает около четверти всех сетевых пользователей. Во-вторых, большая часть администраторов работает под именем SUPERVISOR, что абсолютно недопустимо, так как это имя известно абсолютно всем. Естественно, что лучшей защитой от будущих невзгод в этом случае является назначение супервизором себе эквивалента с неизвестным именем, а в процедуру регистрации супервизора надо встроить механизм обнаружения наглеца и закрытия или смывания всех секретных данных.
Бороться с незаконным использованием чужих паролей в сети можно и с помощью устройств идентификации, среди которых особенно привлекательны системы идентификации по "почерку" работы пользователей на клавиатуре. Такого рода приборы предлагаются фирмами Electronic Signature Lock и International Bioaccess Systems по цене около $500. Данный подход исключителен по скрытности и непрерывности действия. Он не требует в отличие от других методов никаких настораживающих хакеров действий и великолепно распознает стиль работы людей за клавиатурой от стиля программ, подбирающих пароли. Другая процедура идентификации может быть реализована, когда, регистрируясь в сети, пользователи дают о себе дополнительную информацию, а система при каждом их входе требует ввести ее фрагменты. Например, пользователь может быть запрошен о своем годе рождения или адресе места жительства.
Очень сильная атака на ключ - подделка его. Опасность подделки очень серьезна хотя бы потому, что ее обычно тяжело заметить. Для классических одноключевых криптосистем подделка ключа встречается очень редко - автору довелось лишь раз видеть хакерскую подделку, заменяющую все символы вводимого ключа на пробелы. Однако для систем с отрытым ключом, знать открытый ключ мало, надо еще быть уверенным в его авторстве. Поэтому, открытый ключ всегда должен быть заверен цифровой подписью или распространяться точно так же, как и секретные ключи.
Следствием открытого протокола обмена в сети является принципиальная возможность прослушивания канала связи между компьютерами и активного воздействия на график с целью дезорганизации работы сети. Предлагаемый в ряде организаций подход к защите сети, основанный на абонентском прозрачном шифровании, когда информация шифруется на рабочей станции и сохраняется в закрытом виде на удаленном диске, обладает существенными недостатками, затрудняющими его практическое применение:
Для предупреждения ознакомления перехватчика с содержимым пакетов достаточно шифровать только их, оставляя данные на сервере в нешифрованном виде. Это можно выполнять программно, специальными драйверами сетевых карт из энциклопедии Новелла, или же аппаратно, специальными сетевыми картами, среди которых наиболее известны предлагаемые фирмой 3COM. Если сеть не перегружена и к скорости ее особых требований не предъявляется, то программное шифрование представляет собой довольно приемлемое решение. Если же скорость обмена в сети должна быть высока, или одиночный абонент удален, или требуется повышенная секретность, то альтернативы шифрующим сетевым картам, которые стоят на порядок дороже обычных, просто нет. Среди отечественных средств технической защиты от перехвата пакетов стоит упомянуть систему защиты "Снег-ХВС", представляющую собой шифратор стоимостью около $350 на одно рабочее место. Из зарубежных средств стоит выделить криптографический сетевой адаптер IBM-4755, входящий в систему TSS (Transaction Security System), предназначенный в основном для платформ ES/9000, AS/400 и RS/6000. Впрочем, его можно использовать и для персональной ЭВМ, но цена прямо-таки кусается.
Атаки на рабочую станцию через перехват пакетов просты тем, что в подавляющем большинстве сетей пользователь загружается на ближайший откликнувшийся сервер. Если в сеть с прозрачным протоколом внедрился перехватчик, то он может имитировать стандартные действия сервера:
Своровав таким образом имя и пароль, перехватчик обеспечивает свой выход на сервер, когда этот пользователь не будет работать в данной сети. Бороться с этим можно, шифруя протокол сети. устанавливая опцию "желательного" сервера для дисковых станций или расширив процедуру загрузки так, чтобы вход в сеть основывался не на предъявлении пароля, а на обмене ими, то есть рукопожатии.
При обеспечении безопасности системы, независимо от ее типа, важно помнить следующее: единственный путь, по которому кто-то может дистанционно получить доступ к системе, это телефонные линии. Будьте осторожней с линиями телефона. Здесь, по образному выражению одного из контрразведчиков КГБ, "лучше перебдеть, чем недобдеть". Должны быть три или четыре барьера безопасности, которые хакер должен пройти прежде, чем он лишь доберется к системе, но еще не войдет в нее. Для этого нужно выполнять такие правила.
Есть метод компьютерной охоты, называемый сканированием. Предположим, хакеру надо проникнуть в систему банка. Тогда по Желтым Страницам находится номера секретаря, отдела кредитов и прочее. По ним определяются первые три цифры префикса района, которые задают АТС, и нужно лишь проверить оставшиеся четыре цифры от 0000 до 9999. Имеется масса программ, чтобы не делать это вручную. Ряд номеров зарезервирован телефонной службой для технических средств и чаще других в различных АТС используются номера: ХХХ-ОООО, ХХХ-0002, ХХХ-0009, ХХХ-0019, ХХХ-0083 и ХХХ-0092. Хакер не должен набирать все номера подряд - однажды при поиске компьютерной системы банка три подряд идущие номера принадлежали службе его безопасности и, если бы там сидели не гориллы, а профессионалы, то заподозрили бы неладное. Результатом сканирования будет список телефонов, с которыми была установлена цифровая связь, но большинство из них - факсы. Если же подряд ответили несколько номеров, то это верный признак, что они принадлежат одной компьютерной системе.
Порой система не будет делать ничего, a молчать, как
партизан на допросе. Тогда хакер попробует менять паритет, длину
данных и биты остановки, варьировать скорость и протокол обмена,
послать ряд символов В ней указаны приглашения, посылаемые от сетей, по которому
просто идентифицировать систему, правила набора имени и пароля,
наличие гостевого режима, различие между верхним и нижним регистром
при наборе имени и пароля, а также допускаемое число ошибок
при регистрации.
BBS - это доска электронных объявлений.
Вход в нее предельно прост. Обычно достаточно назвать ей свои данные,
чтобы стать пользователем или гостем. Неправильный набор
имени, как правило, воспринимается ею как новый пользователь. Если же
в регистрации отказано, то по "голосовому" телефону, указываемому в
заставке, можно выяснить - почему. Или это платная система, или же
приватная, что, с точки зрения денежных затрат на проникновение в нее,
одно и то же.
E-mail - это станция пересылки электронной
почты. Проще всего попасть в нее, узнав
сеть, на которую она работает, и стать ее
членом, или "приобщиться" к ней.
UNIX - самая популярная сеть пользователей DEC и SUN. Есть ряд
ее принципиально разных модификаций. Похоже, что наиболее устойчивая к
взлому в России и СНГ принадлежит компании Bull.
VM/CMS - сеть компании IBM. Преимущественно используется
инофирмами с мэйнфреймами для деловых связей с западными партнерами.
VMS - еще одна сеть компании DEC, очень устойчивая к взлому.
В этом списке нет сердцевины - тех сетевых систем,
рассмотрению которых посвящена эта глава. Не стоит на это
сетовать - их тьма-тьмущая, и они поэтому безлики. Автору
довелось видеть систему электронной почты под MS-DOS, настолько
детально передававшей особенности среды UNIX, что в первые минуты
ни малейшего сомнения в этом не возникло.
Теперь, когда ясен синтаксис пароля доступа, самое время
применить "грубую силу", чтобы взломать систему. Я понимаю, что у
многих в этом месте зачешутся руки попробовать сказанное
практически. Однако неужели можно верить хоть кому-то в вопросах
шпионажа? У системных администраторов есть масса отработанных
приемов выявления хакеров, которыми они не любят делиться. Подбор
паролей непременно оставит след от неудачных попыток. Все,
конечно, бывает, но после нескольких неудавшихся наборов пароля
внимательный администратор заставит пользователя
перерегистрироваться на другое имя, а сообщение, что было 100
неудачных попыток входа с прошлого сеанса, как правило, привлечет
внимание любой службы безопасности и начнется охота...
Классический случай выявления атаки на канал связи описала
газета "Файненшл Таймс" в статье о немецком хакере, который
проник в сеть министерства обороны США. Решающую роль в
расследовании сыграл программист Клиффорд Столл, которому
поручили устранить ошибку в ведении счетов за пользование
компьютером. Он обнаружил, что неизвестный Hunter не оплатил
машинное время на 75 центов. Вскоре Джо Свентек, эксперт по
компьютерам, тоже не оплатил счета, хотя было точно известно, что
в этот момент он находился в Великобритании. Столл заподозрил,
что хакер, узнав идентификатор и пароль Свентека, пользуется его
счетом. В конце недели, когда все уехали на уик-энд, Столл
подключил 50 терминалов и принтеров к линиям коммуникаций. Ночь
он провел на полу, но на утро получил распечатку трехчасового
сеанса связи хакера с системой.
Для входа в эту сеть хакер Хесс из Ганновера узнал номер
телефона, по которому пользователь может получить доступ к
компьютеру лаборатории в Беркли, из справочника и набрал его
через модем. Система ответила, выведя на экран компьютера
приглашение: LOGIN. Хесс в ответ, не мудрствуя лукаво, напечатал:
Guest. В качестве пароля он тоже набрал совершенно очевидное:
Guest, а когда система отвергла этот пароль, он сделал вторую
попытку, набрав столь же очевидное: Visitor. И эта попытка
удалась! Аналогичную тактику Хесс использовал и для проникновения
в другие системы. Для этого требовалось только терпение и
упорство: Хесс методично проверял комбинации имени пользователя и
пароля. Один из удивительных успехов ожидал его при попытке
проникнуть в сеть данных армии США в Пентагоне Optimi. Введя имя
Anonymous и пароль Guest, он получил доступ к 29 документам по
ядерному оружию, в том числе такому, как "План армии США в
области защиты от ядерного, химического и биологического оружия".
Этого никто не заметил, если не считать Столла, который тогда уже
постоянно отслеживал действия Хесса и уведомил ЦРУ. Столлу самому
пришлось выступить в роли хакера, когда фирма Mitre отказалась
поверить, что в ее систему мог проникнуть посторонний. Столл взял
и сам взломал систему Mitre, причем процедура входа оказалась
необычайно простой: имя для регистрации было Mitre, а пароль не
потребовался!
Получив доступ к системе сначала в качестве гостя, Хесс
воспользовался ошибкой в одной из программ для того, чтобы
получить статус супервизора, что дало полный контроль над
системой. Затем он использовал свои права супервизора, чтобы присвоить
счет временно отсутствовавшего Джо Свентека, и создал для
себя фиктивный счет под именем Hunter. Вдобавок он запустил
программу троянского коня, которая крала имена и пароли всех
пользователей. Просмотрев файлы, Хесс обнаружил номера телефонов
для подключения ко многим крупным сетям и пароли для входа в них,
небрежно оставленные учеными. Лишь после этого Хесс смог
предпринять атаку на то, что его на самом деле интересовало: на
военные системы США. Однако Столл уже отслеживал и распечатывал
все его действия. Через Беркли Хесс проник в компьютер
космического отделения командования систем вооружений ВВС США в
Лос-Анджелесе. В считанные мгновения он произвел себя в
полковники, создав счет на имя "полковника Абренса", и взял
полный контроль над операционной системой. Немец Хесс оказался
слишком педантичным: он слишком часто пользовался одними и теми
же путями и идентификаторами пользователя: Hunter, Свентек, а
иногда Бенсон и Хеджес по названию марок сигарет. Решающий этап
охоты начался, когда Столл изменил заголовки файлов Минэнерго США
так, чтобы они напоминали документы СОИ. Хесс, очарованный этой
фальшивкой, допустил роковой промах: он оставался подключенным к
сети слишком долго и власти смогли проследить канал до самой его
квартиры и арестовать его (Столл не смог долго сохранять титул
антихакера, так как сам вскоре был уличен в незаконном доступе на
DockMaster, узел Arpanet, используемый АНБ, и лишился работы.)
Угроза проникновения в компьютерную систему извне никогда не
может быть полностью устранена, особенно если не исключена
нелояльность служащих. Однако формальные процедуры доступа к
системе, которые открывают доступ только после обратного вызова
удаленного терминала, сделали многое для уменьшения риска
вторжения. Все более популярной становится техника защиты
коммуникаций от хакеров и других более зловещих нарушителей
систем как обратный вызов, при котором законный пользователь
обращается к системе, с которой он желает соединиться, указывая
свой идентификатор и, возможно, пароль. После этого он
разъединяется и ждет систему, чтобы она установила с ним связь по
заранее указанному номеру. Нарушитель при этом не может
определить обратный номер, который тщательно защищен, и, даже
введя правильные имя и пароль, не сможет проникнуть в систему,
которая поддерживает связь лишь с зарегистрированными номерами
телефонов. Недостаток этого метода - жесткая привязка абонентов
сети к их телефонам.
Абсолютно надежная защита канала связи выполняется с помощью
шифрования, тем более, что доступная для этого аппаратура имеется
в продаже. Отечественное устройство типа КРИПТОН является
специализированным шифратором, применяемым для IBM PC. Оно
реализует российский стандарт шифрования ГОСТ 28147-89 и довольно
удобно в работе. Скорость его шифрования перекрывает все
возможности СОМ портов любого типа. Цена его около $300. Другой
пример устройства для шифрования коммуникаций дает отечественный
переносной телефонный скрамблер РК-145 с питанием от батарей,
которых хватает на 150 часов непрерывной работы. Похож на него,
но более надежен, профессиональный цифровой скрамблер РК-1235,
использующий до 10**7 секретных ключей.
Оба этих скрамблера могут поместиться в дипломат средних
размеров. Меньше по размеру телефонный скрамблер СТ, напоминающий
удлиненную коробку, которую ставят рядом с телефоном и кладут на
нее телефонную трубку. Английская фирма MLC International
выпускает шифратор данных Ciphermaster, предназначенный для защиты в
каналах связи от хакеров, который обеспечивает три уровня
шифрования. Шифрование в направлениях приема и передачи
осуществляется на разных ключах, изменяемых автоматически через
различные интервалы времени. Фирма США Newbridge Microsystems
выпускает шифрпроцессор, работающий по принципу системы с
открытым ключом шифрования. Процессор ориентирован на
использование в системах связи. Он позволяет реализовать
протоколы генерирования, хранения и распределения ключей
шифрования, аутентификации и режимы блочного или потокового
шифрования данных. Он имеет самотестирование и защищен от
катастрофических ошибок шифрования. К недостаткам этого метода
нужно отнести лишь необходимость оснащения всех абонентов
шифраторами, что при развитой сети влечет существенные расходы.
Применение скрамблеров может также несколько снизить скорость
передачи данных, поскольку шифрованные данные практически
неуплотняемые и коммуникационный протокол V42 с уплотнением
неэффективен.
Системы эффективно защищают себя от проникновения обратным
запросом в предположении, что хакер не может связаться с модемом
компьютера при обратном запросе, если только он не может
включиться непосредственно в телефонную линию. Однако это
предположение не всегда истинно. Ряд телефонных станций, к
сожалению, оставляет много возможностей для хитрого нарушителя
связаться при обратном запросе с глупым модемом как законному
пользователю. Некоторые телефонные-станции осуществляют контроль
вызова так, что соединение управляется исключительно вызывающим
телефоном. Это означает, что если хакер сигналами имитировал
законного пользователя и не повесил трубку, то соединение с ним
не будет разорвано, даже если модем сети свою трубку повесил.
Редкий модем может определить - было ли разорвано соединение,
когда сам модем повесил трубку. Если та же самая линия
используется и для набора номера законного пользователя, то нет
никаких стандартных способов определить, что нарушитель все еще
висит на линии. Это означает, что модем сети, повесив трубку,
снова ее снимет, наберет номер и будет ждать тон ответа. Если хаkер
настолько любезен, что, не вешая трубки, пошлет в линию
сначала тон приглашения от своего модема, a после того, как
прослушает набор номера, выдаст тон ожидания, то легко сделает
связь и сможет проникнуть в систему. Хорошо защищают системы с
обратным вызовом старые типы АТС (их в России большинство), где
повешенная трубка на любом конце линии обеспечит разрыв
соединения. Система с обратным вызовом, использующая отдельную
линию для получения запроса и отдельную для вызова еще лучше, при
условии, что хакер не может соединиться с модемом, который
работает лишь на вызов, или телефонная линия относится к такому
типа, что вообще не может принимать поступающие звонки. К
сожалению, чем современней техника, тем больше риск хакерства.
Можно еще настроить модем так, чтобы определенный код
добавлялся к вызову номера, открывая доступ к системе. Это
позволяет использовать еще один способ, кроме паролей, чтобы
отсечь посторонние звонки. Для этого нужен модем вроде Courier,
поддерживающий команду АТ%Т. Такая команда проверяет тональный
набор, который идет в модем. Цифры набора разделяются нулями, то
есть паузами, так как нуль не соответствует никакая тональная
комбинация. Если принят неправильный код, то модем оборвет связь,
послав команду АТН0. Концепция такого кодового доступа могла бы
быть следующей. Когда законный пользователь набирает номер
телефона сети и модем установит соединение, то пользователь
посылает в ответ кодовый набор. Если код набран быстро и
правильно, это будет подтверждать законность связи.
После того, как модем наберет номер телефона сети 123-4567,
символ @ заставит модем ждать ответ. Когда сеть получит звонок и
пошлет тоном 1, то модем в ответ наберет код доступа 89. Команда
модема сети АТ%Т заставляет контролировать тональный набор в
линии, а именно "8090", который является кодом 89, разделенным
нулями. В такой системе можно иметь определенный код для каждого
отдельного пользователя, делать коды настолько длинными, что их
подбор станет невозможным и менять коды при каждом обращении без
участия пользователей. Дороговизна модемов пользователей будет
компенсирована повышенной секретностью и надежностью связи.
Приглашение Система Вход Гости Регистр Log
Name: Password: BBS имя пароль + - 3
Mail only! E-mail пароль - - 1
login: UNIX пароль + + 0
. VM/CMS LOGON имя + - 5
>Username: VMS пароль + - 0
YOU> AT DT 123-4567 @89
NET> RING
NBT> ATDT1;
NET> OK
NET> АТ%Т
NET> 8090
NET> ATA
