Автор работы: Пользователь скрыл имя, 18 Октября 2011 в 07:18, реферат
Рассмотрим наиболее распространенные методы и средства для несанкционированного получения информации из автоматизированных систем (АС). Сегодня эти методы и средства в связи с широким распространением ПЭВМ, взаимодействующих через локальные и глобальные сети, приобрели такую популярность, что нередко само понятие “защита информации” применяется исключительно в смысле защиты информации, обрабатываемой в АС, от утечки через компьютерные сети. Некоторые специалисты по ЗИ склонны выделять утечку информации через компьютерные сети в отдельный канал, равноценный другим техническим каналам утечки информации.
программного обеспечения Unix.
Наконец, часто злоумышленнику, имеющему локальный доступ к АС, не нужно во-
обще обладать квалификацией даже среднего уровня, чтобы получить несанкциониро-
ванный доступ к информации этой АС. Во многих случаях ему достаточно прибегнуть к
такому
простому приему, как загрузка альтернативной
операционной системы.
Сбор информации.
На этапе сбора информации злоумышленник определяет пул IP-адресов АС органи-
зации, доступных из сети общего пользования. Строго говоря, этапы сбора информации,
сканирования,
идентификации доступных
па могут предприниматься не злоумышленниками, а обычными пользователями (хотя,
конечно, трудно назвать “обычным” пользователя, который сканирует все открытые
порты АС, чтобы всего-навсего отправить сообщение электронной почты). Только сово-
купность этих операций с соблюдением некоторых условий (например, массированное неоднократное сканирование всего пула IP-адресов организации с попытками установления
соединений на все открытые порты) может говорить о предпринимающихся попытках не-
санкционированного получения информации.
Каждая же из указанных операций сама по себе не является чем-то из ряда вон выхо-
дящим. Именно поэтому в комплект поставки многих современных сетевых ОС входят
инструментальные средства, призванные обеспечить выполнение соответствующих за-
дач, в частности, сбора информации.
К таким
средствам относятся
Windows — tracert), nslookup, host, и их аналоги, портированные в другие ОС, а
также
другие подобные средства, обладающие
более дружественным
(Web-ориентированные варианты whois, VisualRoute, Sam Spade и т.п.).
С помощью таких вполне безобидных средств можно выяснить:
• тип сетевого подключения организации (единичный компьютер, сеть класса C, сеть
класса B);
• имена и адреса серверов доменных имен (DNS — Domain Name System), обеспечи-
вающих трансляцию символьных имен в IP-адреса по запросам АС организации;
• сеть,
в которой установлены
дера, прямое подключение и т.п.);
• схему подключения маршрутизаторов и брандмауэров;
• реальные имена, телефоны и адреса электронной почты администратора подключе-
ния;
• схему распределения IP-адресов внутри сети организации и имена отдельных узлов
(с помощью так называемого переноса зоны с помощью утилиты nslookup).
Если сеть организации достаточно обширна и в ней имеется множество компьюте-
ров, подключенных к Internet, тщательно проведенный сбор информации может дать
много других интересных для злоумышленника сведений. Чем тщательнее проведен
предварительный сбор информации, тем выше вероятность успешного проникновения в
АС интересующей
злоумышленника организации.
Сканирование.
Составив
предварительную схему сети и
наметив предварительный
лее уязвимых ее узлов, злоумышленник, как правило, переходит к сканированию. Ска-
нирование позволяет выявить реально работающие АС исследуемой организации, дос-
тупные по Internet, определить тип и версию ОС, под управлением которых они работа-
ют, а также получить перечни портов TCP и UDP, открытых на выявленных АС.
Для проведения сканирования в распоряжении злоумышленника имеется широкий
спектр инструментальных средств, начиная от простейшей утилиты ping, входящей в ком-
плект поставки всех современных ОС, и заканчивая специализированными хакерскими инструментами, такими, как fping, Pinger, icmpenum, nmap, strobe, netcat, NetScantTools Pro 2000, SuperScan, NTOScanner, WinScan, ipeye, Windows UDP Port Scanner, Cheops
и множеством других.
Вооружившись
этими или подобными
нить составленную на предыдущем этапе схему сети и выбрать АС, на которые следует
обратить
внимание в первую, вторую и т.д. очереди.
Идентификация доступных ресурсов.
Очертив круг АС организации, которые представляют собой для злоумышленника
наибольший интерес, он переходит к следующему этапу — идентификации доступных
ресурсов.
В большинстве современных
ся целый ряд инструментальных средств, таких, например, как команды net, nbtstat
и nbtscan в Windows NT/2000/XP и telnet, finger, rwho, rusers, rpcinfo и
rpcdump в Unix. Кроме того, злоумышленнику могут пригодиться такие утилиты, как
nltest, rmtshare, srvcheck, srvinfo и snmputil (Windows NT/2000/XP Resource Toolkit), а также хакерские утилиты DumpSec, Legion, NAT, enum, user2sid,
sid2user и netcat.
Тщательно
проведенная идентификация
ционированного доступа АС может дать злоумышленнику информацию о доступных по
сети дисках и папках, о пользователях и группах, имеющих доступ к данной АС, а также
о выполняющихся на этой АС приложениях, включая сведения об их версиях.
Подготовившись таким образом, злоумышленник либо принимает решение о прове-
дении попытки получения несанкционированного доступа, либо выбирает в качестве
“жертвы”
другую АС организации.
Получение доступа.
Если принято решение о попытке проникновения, злоумышленник переходит к ста-
дии активных действий, которые, как правило, выходят за рамки простого любопытст-
вах, а в отдельных случаях могут уже квалифицироваться как уголовно наказуемые дея-
ния.
Целью операций, предпринимаемых на данном этапе, является получение доступа на
уровне легального пользователя АС или ОС. К таким операциям относятся:
• перехват паролей;
• подбор
паролей для доступа к
• получение файла паролей;
• использование программ взлома, обеспечивающих интерактивный доступ к АС пу-
тем перевода работающих на АС приложений в нештатный режим.
Часто
для получения доступа
рингу, побуждая пользователей тем или иным способом установить на своих АС про-
граммные закладки, действующие по принципу “Троянского коня”. Если это им удается,
например,
путем установки таких
получение доступа к таким АС для злоумышленников не составляет труда.
В тех случаях, когда злоумышленник по каким-то причинам не может или не наме-
рен манипулировать пользователями, ему приходиться обеспечивать получение доступасамостоятельно. Для этого он может применить такие средства, как NAT, SMBGrind, L0phcrack, NT RAS, winhlp32, IISHack (Windows NT/2000/XP), Brutus, brute_web.c, pop.c, middlefinger, TeeNet (Unix) и множество специализированных программ
взлома, рассчитанных на применения против конкретных приложений.
Если АС предоставляет удаленный доступ к системе, например, на гостевом уровне,
злоумышленник
может предпринять попытку
зуемых при локальном доступе (например, скопировать файл паролей из небрежно на-
строенной системы).
Однако
в некоторых случаях
предпринимать, а просто воспользоваться “любезностью” легального пользователя, не-
предусмотрительно установившего какую-либо систему удаленного доступа с настроен-
ным по умолчанию паролем (или даже вообще без пароля), например pcAnywhere, VNC
или Remotely Anywhere.
В последнее время особенно часто жертвами злоумышленников становятся Web-
серверы и работающие под их управлением приложения. Опытному взломщику Web-
серверов достаточно провести несколько минут за исследованием Web-сервера, админи-
страторы которого имеют поверхностное представление о безопасности, чтобы, не при-
бегая к особым ухищрением, получить доступ на уровне пользователя (а нередко и на
системном или административном уровне), пользуясь одним лишь стандартным Web-
клиентом.
Расширение полномочий.
Если
на предыдущем этапе злоумышленник
получил несанкционированный
на гостевом или пользовательском уровне он, как правило, постарается расширить свои
полномочия и получить, как минимум, административный уровень. Для этого в боль-
шинстве случаев применяются такие же средства взлома и подбора паролей, а также
программы взлома, что и при доступе на локальном уровне.
Расширение полномочий позволяет злоумышленнику не только получить полный
доступ к интересующей его АС, но и внести себя в список легальных администраторов,
а также, возможно, сразу же получить административный доступ к другим АС организа-
ции.
Исследование системы и внедрение.
Получив доступ на административном уровне, злоумышленник изучает все имею-
щиеся на взломанной АС файлы и, найдя интересующую его информацию, завершает
Информация о работе Метода несанкционированного съема информации в изолированной компьютерной сети