Метода несанкционированного съема информации в изолированной компьютерной сети

и т.п.), опасные  (получение доступа с высоким уровнем полномочий, модификация ин-

формации  в АС, копирование системной и  прикладной информации, создание собствен-

ной информации и т.п.) и чрезвычайно опасные  (уничтожение информации, блокирова-

ние доступа легальных пользователей к АС и т.п.). 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 

Локальный доступ.

Как уже  отмечалось,  при наличии у  злоумышленника локального доступа  к АС и

благоприятной для него обстановки он сможет обойти практически любую защиту. Для

того  чтобы значительно снизить шансы  злоумышленника, имеющего локальный  доступ

к интересующей его АС, необходимо предпринять целый комплекс мер, как техническо-

го,  так и организационного характера,  начиная от проектирования архитектуры  АС с

учетом  всех требований защиты и заканчивая установкой камер наблюдения, охранной

сигнализации  и организации специального режима доступа. Однако на практике в боль-

шинстве случаев, по крайней мере какой-либо один фактор остается вне поля зрения ор-

ганизаций, обрабатывающих в своих АС информацию с ограниченным доступом, кото-

рая может  интересовать тех или иных злоумышленников.  Нередко оказывается и так,

что таких  факторов значительно больше, поэтому  если организация не приняла всех мер

для того,  чтобы предотвратить несанкционированный локальный доступ к своим АС и

их компонентам, можно сказать с уверенностью, что ее секреты рано или поздно попа-

дут к заинтересованным лицам.

Рассмотрим  подробнее методы и средства несанкционированного доступа к инфор-

мации, которые можно применить на локальном уровне.

Прежде  всего, злоумышленник может воспользоваться  одним из самых древних спо-

собов,  против которого не сможет противостоять никакая АС, — хищением. Хищение

информации,  ее носителей,  отдельных компонентов  АС и,  учитывая современные тен-

денции к миниатюризации СВТ, целых АС было и остается одним из самых распростра-

ненных способов несанкционированного получения информации. При этом квалифика-

ция лиц, участвующих в хищении может быть самой низкой, а правоохранительные ор-

ганы,  расследующие такие факты,  да и зачастую сами подвергшиеся хищению

организации,  как правило,  сосредотачивают  основное внимание на осязаемых материальных ценностях. К хищению можно отнести  и такие действия злоумышленников, ко-

гда компоненты АС просто подменяются на аналогичные.  Например,  сначала специа-

лист  высокой квалификации оказавшись под каким-то предлогом в офисе организации и

используя благоприятную ситуацию, может за считанные секунды выяснить модель же-

сткого диска,  причем все его действия будет контролировать легальный пользователь

(типичная  ситуация — любезное предложение  помощи неопытному сотруднику, у  кото-

рого  “завис” компьютер и т.п.).  Затем злоумышленникам остается лишь найти вышед-

ший из строя жесткий диск аналогичной модели и,  тайно проникнув в офис,  заменить

интересующий  их жесткий диск неисправным. Если в организации не ведется строгого

учета компонентов АС по серийным номерам  (что, к сожалению, встречается сплошь и

рядом), а злоумышленникам удастся скрыть факт проникновения в помещение  (что так-

же не очень большая проблема для опытных взломщиков), то такое происшествие не вы-

зовет никакого подозрения. 

Кроме того, к хищениям во многих случаях  можно отнести прямое копирование  все-

го жесткого диска на другой диск. Даже если исходный диск защищен, например, с по-

мощью шифрования,  злоумышленник средней  квалификации может принести с собой

другой  жесткий диск большего объема и просто скопировать все содержимое исходного

диска на свой диск, который впоследствии будет передан на исследование специалистам

более высокой квалификации. В таком  случае получение несанкционированного доступа

к скопированной  информации — всего лишь вопрос времени. 

Наконец,  следует знать,  что часто хищение  информации маскируется под хищение

материальных  ценностей. Например, злоумышленники могут  похитить все офисное обо-

рудование, хотя на самом деле их интересует лишь содержимое жесткого диска компью-

тера, стоявшего в кабинете руководителя. Часто оказывается, что руководители органи-

заций, требуя от подчиненных соблюдения всех правил информационной безопасности,

не распространяют на себя эти требования, хотя имеют  доступ к любым файлам своих

подчиненных. Например, большинство руководителей  даже не подозревают, что все от-

крываемые ими по сети файлы таких программ, как Microsoft Word  и других офисных

приложений, копируются в папку для временных  файлов Windows на локальном диске.

Вторым  распространенным методом несанкционированного получения информации

при локальном  доступе к АС является использование открытого сеанса легального

пользователя.  Здесь возможности злоумышленника определяются лишь временем,  на

который он получает доступ к АС, полномочиями в АС легального пользователя и нали-

чием  (точнее,  отсутствием) контроля со стороны  легального пользователя или его  кол-

лег. Особая опасность этого метода заключается  в том, что со стороны специалистов по

защите  информации действия злоумышленника, воспользовавшегося открытым сеансом

легального  пользователя, скорее всего, не вызовут  никаких подозрений  (в большинстве

случаев на “своих” пользователей, особенно если они занимают в иерархии организации

более высокое положение, администраторы безопасности обращают меньше всего  вни-

мания). Часто пользователи практически  подталкивают посторонних к несанкциониро-

ванному доступу к своим системам, размещая свои пароли  “под рукой” прямо  на рабо-

чем месте  (например,  наклеивая листки для  записей с паролями на монитор  или на тыльную сторону клавиатуры). В этом случае такая “защищенная” система ничем не от-

личается от системы, на которой остался открытым сеанс легального пользователя.

Близким к указанному выше методу является подбор пароля легального пользова-

теля. Этот метод более  “заметен” со стороны  компонентов АС, обеспечивающих безо-

пасность, однако также оказывается достаточно эффективным. Например, в организации

может быть реализована жесткая политика по выбору паролей, обеспечивающая невоз-

можность случайного подбора или угадывания паролей за 2–3 попытки с блокированием

учетной записи при превышении количества попыток. При этом все пользователи орга-

низации, покидая рабочее место,  должны временно блокировать доступ к своим систе-

мам так, чтобы блокировка снималась только при правильно введенном пароле. Однако

некоторые пользователи могут установить полюбившиеся программы-заставки, в кото-

рых ввод пароля происходит в обход основной операционной системы. Часто оказывает-

ся, что такие пользователя в качестве пароля выбирают последовательности вида 1111

или user и т.п., что значительно облегчает задачу подбора пароля легального пользова-

теля. 

Часто для осуществления подбора пароля легального пользователя злоумышленники

прибегают к использованию открытого сеанса этого же или другого пользователя с по-

следующим копированием системных файлов. В  частности, в системах Windows 98/ME

злоумышленник может скопировать файлы с  расширением PWL,  находящиеся в  основ-

ной папке  Windows, а затем применить к ним какое-нибудь средство вскрытия файлов

PWL, например  Repwl или CAIN. В системах Windows NT/2000/XP с той же целью зло-

умышленник может скопировать файл SAM или его резервную копию SAM._,  находя-

щиеся в папке repair системной папки Windows, а затем попытаться установить хра-

нящиеся в них пароли с помощью системы L0phtCrack. В Unix-подобных системах наи-

больший интерес для злоумышленника представляют файлы /etc/passwd или

shadow. С помощью таких утилит, как crack или john, любой злоумышленник, обла-

дая минимальной квалификацией, может за считанные минуты или даже секунды полу-

чить информацию о паролях легальных пользователей, хранящихся в этих файлах.

Еще одним  методом локального несанкционированного доступа является использо-

вание учетной записи легального пользователя для расширения полномочий в АС.

Он отличается от метода использования открытого  сеанса легального пользователя тем,

что в  данном случае злоумышленнику не требуется  выдавать себя за другого, поскольку

он в  силу тех или иных причин сам имеет  доступ к АС. Например, во многих организа-

циях сторонним пользователям, посетителям, представителям других организаций, вре-

менным сотрудникам и другим лицам, не являющимся сотрудниками организации, пре-

доставляют  так называемые гостевые учетные  записи.  Однако часто оказывается,  что

АС, предназначенные для гостевого доступа, имеют физический доступ ко всем АС ор-

ганизации, а действия сторонних пользователей, получающих гостевой доступ, практи-

чески никак не контролируются.  Это  позволяет злоумышленнику,  воспользовавшись

специальными  программами взлома (exploit), расширить свои полномочия вплоть до по-

лучения полного доступа ко всем АС организации.  В системах Windows NT/2000/XP,

например,  злоумышленник может воспользоваться  такими программами взлома,  как getadmin или main, а в Unix-подобных системах — многочисленными программами

взлома  командной оболочки и других Unix-программ, в изобилии присутствующих в Internet, действие которых основано на известных изъянах соответствующего системного