Метода несанкционированного съема информации в изолированной компьютерной сети

АЛТАЙСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ 
 
 
 
 
 
 

РЕФЕРАТ 

Метода  несанкционированного съема информации в изолированной компьютерной сети 
 
 
 
 
 

Выполнил: студент 597гр.

Виниченко Ф.Т. 
 
 
 
 
 
 
 

г. Барнаул 2011

Введение.

Рассмотрим  наиболее распространенные методы и  средства для несанкционированного получения информации из автоматизированных систем (АС). Сегодня эти методы и  средства в связи с широким  распространением ПЭВМ,  взаимодействующих  через локальные и глобальные сети, приобрели такую популярность, что нередко само понятие “защита  информации”  применяется исключительно  в смысле защиты информации,  обрабатываемой в АС, от утечки через компьютерные сети. Некоторые специалисты по ЗИ склонны выделять утечку информации через компьютерные сети в отдельный канал, равноценный другим техническим каналам утечки информации.  Однако,  в отличие от таких технических каналов, как радиоканал или акустический канал, утечка информации из АС по компьютерной сети является следствием не побочных, нежелательных процесссов,  вызванных конструктивными особенностями аппаратных средств и не учтенных разработчиками, а основных, штатных процессов, выполняющихся в АС в соответствии с замыслом разработчиков. 

Конечно, в определенном смысле утечка информации по компьютерным сетям также возникает  вследствие несовершенства программно-аппаратных решений, реализованных в АС.  Но,  тем не менее,  пользуясь подобными изъянами в архитектуре АС,  злоумышленник все же использует ее ресурсы и процессы по прямому назначению. 

Например, дисплей ПЭВМ конструируется для  отображения информации. Пользуясь  побочными процессами, возникающими во время работы дисплея  (ПЭМИН), злоумышленник может восстановить информацию,  отображаемую на экране дисплея.  В таких случаях можно  говорить о наличии технического канала утечки информации. Но представим ситуацию, в которой этот же злоумышленник каким-либо образом получает доступ в помещение, в котором работает легальный пользователь  (например, выдав себя за контролирующее лицо), и, встав за спиной пользователя, ознакамливается с той же информацией, что и в первом случае. Понятно, что в подобной ситуации нельзя говорить о техническом канале утечки информации, поскольку техническое средство  (дисплей) используется злоумышленником по прямому назначению. Если же злоумышленник получает удаленный доступ к компьютеру пользователя по сети, то действия злоумышленника после получения такого доступа очень сходны с действиями при получении непосредственного доступа, например, когда легальный пользователь отлучился от рабочего места.

Таким образом, выделение явлений, приводящих к утечке информации из АС  (в ча-

стности,  по компьютерным сетям) в отдельную группу,  образующую самостоятельный

технический канал утечки информации,  вряд ли оправдано. Скорее,  подобные явления

можно классифицировать как специфическую  разновидность явлений,  приводящих к

возникновению материально-вещественного канала утечки информации.

Действительно, независимо от методов и средств, используемых злоумышленниками

для несанкционированного получения информации из АС,  в результате всегда на тех

или иных носителях, находящихся в распоряжении злоумышленников, возникают элек-

тромагнитные поля, совокупность которых представляет собой полученную ими инфор-

мацию. С технической и юридической точки зрения эта информация представляет собой

точную  копию исходной информации, в подавляющем  большинстве случаев неотличи-

мую от оригинала. В определенных ситуациях, когда у злоумышленника имеется физи-

ческий доступ к АС, для получения такого же результат он может просто прибегнуть к

хищению носителей информации  (например, жесткого диска). Юридические последст-

вия из-за хищения собственно носителя могут быть весьма малыми, учитывая неуклон-

ную тенденцию к снижению стоимости аппаратных средств современных ЭВМ,  чего

нельзя  сказать о юридических последствиях, которые могут возникнуть из-за хищения

записанной  на носителе информации. 

Все вышесказанное  позволяет сделать вывод о  том, что явления, приводящие к утеч-

ке информации из АС из-за несовершенства программно-аппаратных решений, можно с

некоторыми  допущениями отнести к материально-вещественному  каналу. Однако, стро-

го говоря, корректнее их относить к современной  разновидности тайного физического

проникновения  (ТФП),  т.е.  не к техническим,  а к агентурным методам добывания  ин-

формации. В частности, злоумышленники, пытающиеся получить доступ к АС, нередко

прибегают к так называемому социальному  инжинирингу (social engineering). Социаль-

ный инжиниринг — это использование психологии для скрытного добывания критичной

с точки  зрения доступа к АС информации (как  правило — паролей, имен, кодов  доступа

и т.п.) у ее носителей. “Могущество” таких  хакеров, как Кевин Митник и Роско, заклю-

чается  не только и не столько в их технической  подготовке,  сколько в использовании

методов социального инжиниринга. 

Персонал, наряду с аппаратными средствами, программным обеспечением, данными

и документацией  является,  по определению, составной  частью любой АС. Однако рас-

смотрение всей совокупности вопросов, связанных  с добыванием информации путем со-

циального инжиниринга,  далеко выходит за рамки данной книги.  Поэтому,  учитывая

остроту проблемы несанкционированного получения  информации из АС,  мы ограни-

чимся лишь обзорным описанием технической стороны этой проблемы, не затрагивая ее

гуманитарной  составляющей. 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 

Классификация.

Методы  и средства несанкционированного получения  информации из АС можно

классифицировать, исходя из разных признаков: по виду доступа, по уровню доступа, по характеру действий злоумышленника,  по многократности доступа,  по направленности

действий  злоумышленника, по тяжести последствий.

По виду доступа все методы и средства можно разделить на две большие  группы. К

первой  группе относятся методы и средства, используемые при локальном (физическом)

доступе к АС, а ко второй — методы и  средства, используемые при удаленном  доступе

(по  компьютерной сети). Как правило,  любая,  даже самая надежная  АС при наличии у

злоумышленника  локального доступа, достаточных сил  и средств и достаточного време-

ни, не сможет обеспечить сохранности информации. При удаленном доступе АС может

быть  достаточно надежно защищена,  но,  с другой стороны,  абсолютной безопасности

АС, имеющей  физическое подключение к сетям  передачи данных, гарантировать также

нельзя.

По уровню доступа методы и средства несанкционированного получения информа-

ции обычно разделяют на методы и средства гостевого, пользовательского, админист-

ративного, системного и неограниченного уровня. Во многих современных операцион-

ных системах имеются встроенные учетные записи,  предоставляющие их владельцами

гостевой (Guest  в системах Windows NT/2000/XP),  административный (Administrator  в

Windows NT/2000/XP, root в Unix-системах), системный (SYSTEM в Windows 2000/XP)

или неограниченный (администратор предприятия в  Windows 2000/XP) доступ. При соз-

дании дополнительных учетных записей в большинстве современных операционных

систем  можно указать любой уровень  доступа, но изменить его для встроенных учетных

записей зачастую невозможно.

По характеру  действий злоумышленника используемые им методы и средства мо-

гут быть направлены на копирование,  модификацию,  уничтожение или внедрение ин-

формации. В последнем случае проявляется  особенность АС, отсутствующая у  традици-

онных средств накопления информации, связанная с тем,  что в АС хранятся не только

данные, но и программные средства, обеспечивающие их обработку и обмен информа-

цией.  Эта особенность интенсивно используется злоумышленниками,  которые часто

стремятся получить доступ к той или иной АС не ради несанкционированного доступа  к

хранящейся  в ней информации, а для внедрения  программной закладки, т.е. для несанк-

ционированного создания в АС новой информации,  представляющей собой активный

компонент самой АС, либо для скрытного хранения собственной информации без ведо-

ма владельца АС.

По многократности доступа выделяют методы и средства, направленные на разо-

вое получение несанкционированного доступа и многократное. В первом случае задача

предупреждения  несанкционированных действий злоумышленника значительно ослож-

няется, однако часто, поскольку последний не заботится о сокрытии факта таких дейст-

вий, несколько облегчается задача выявления таких действий. Во втором случае задача

предупреждения  упрощается,  но усложняется задача выявления,  поскольку основное

внимание  злоумышленник, планирующий многократно  проникать в АС, сосредотачива-

ет на сокрытии всех признаков такого проникновения.

По направленности действий злоумышленника методы и средства несанкциониро-

ванного получения информации из АС подразделяются на методы и средства,  направ-

ленные  на получение системной информации  (файлы паролей, ключей шифрования, перечни учетных записей, схемы распределения сетевых адресов и т.п.) и собственно при-

кладной информации. Многих злоумышленников, проникающих в АС, подключенные к

глобальным  сетям, вообще не интересует хранящаяся в этих АС прикладная информация

или интересует лишь в той степени, в какой  она позволяет получить доступ к системной

информации. Обычно такие злоумышленники используют подобные АС либо в качестве

промежуточных узлов для проникновения в  другие АС, либо для несанкционированного

хранения  собственной информации.

По тяжести  последствий используемые злоумышленниками методы и средства

несанкционированного  получения информации можно разделить  на неопасные  (скани-

рование портов,  попытки установления соединений и т.п.),  потенциально опасные (по-

лучение доступа к содержимому подсистем  хранения данных, попытки подбора  паролей