Метода несанкционированного съема информации в изолированной компьютерной сети

Автор работы: Пользователь скрыл имя, 18 Октября 2011 в 07:18, реферат

Описание

Рассмотрим наиболее распространенные методы и средства для несанкционированного получения информации из автоматизированных систем (АС). Сегодня эти методы и средства в связи с широким распространением ПЭВМ, взаимодействующих через локальные и глобальные сети, приобрели такую популярность, что нередко само понятие “защита информации” применяется исключительно в смысле защиты информации, обрабатываемой в АС, от утечки через компьютерные сети. Некоторые специалисты по ЗИ склонны выделять утечку информации через компьютерные сети в отдельный канал, равноценный другим техническим каналам утечки информации.

Работа состоит из  1 файл

Методы несанкционированного съема инф-ции.docx

— 44.40 Кб (Скачать документ)

программного  обеспечения Unix.

Наконец, часто злоумышленнику, имеющему локальный  доступ к АС, не нужно во-

обще  обладать квалификацией даже среднего уровня,  чтобы получить несанкциониро-

ванный  доступ к информации этой АС. Во многих случаях ему достаточно прибегнуть к

такому  простому приему, как загрузка альтернативной операционной системы. 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 

Сбор  информации.

На этапе  сбора информации злоумышленник  определяет пул IP-адресов АС органи-

зации, доступных из сети общего пользования. Строго говоря, этапы сбора информации,

сканирования, идентификации доступных ресурсов и, в какой-то мере, получения досту-

па могут  предприниматься не злоумышленниками,  а обычными пользователями  (хотя,

конечно,  трудно назвать  “обычным”  пользователя,  который сканирует все открытые

порты АС, чтобы всего-навсего отправить  сообщение электронной почты). Только сово-

купность этих операций с соблюдением некоторых условий (например, массированное неоднократное сканирование всего пула IP-адресов организации с попытками установления

соединений  на все открытые порты) может говорить о предпринимающихся попытках не-

санкционированного  получения информации.

Каждая  же из указанных операций сама по себе не является чем-то из ряда вон выхо-

дящим. Именно поэтому в комплект поставки многих современных сетевых ОС входят

инструментальные  средства,  призванные обеспечить выполнение соответствующих за-

дач, в  частности, сбора информации. 

К таким  средствам относятся стандартные  утилиты Unix  whois,  traceroute  (в

Windows — tracert), nslookup, host, и их аналоги, портированные в другие ОС, а

также другие подобные средства,  обладающие более дружественным интерфейсом

(Web-ориентированные  варианты whois, VisualRoute, Sam Spade и т.п.).

С помощью  таких вполне безобидных средств  можно выяснить:

• тип  сетевого подключения организации  (единичный компьютер, сеть класса C, сеть

класса B);

• имена  и адреса серверов доменных имен (DNS — Domain Name System),  обеспечи-

вающих трансляцию символьных имен в IP-адреса по запросам АС организации;

• сеть, в которой установлены подключенные к Internet АС организации (сеть провай-

дера, прямое подключение и т.п.);

• схему  подключения маршрутизаторов и брандмауэров;

• реальные имена,  телефоны и адреса электронной  почты администратора подключе-

ния;

• схему  распределения IP-адресов внутри сети организации и имена отдельных  узлов

(с помощью так называемого переноса зоны с помощью утилиты nslookup).

Если  сеть организации достаточно обширна  и в ней имеется множество  компьюте-

ров,  подключенных к Internet,  тщательно проведенный сбор информации может дать

много других интересных для злоумышленника сведений.  Чем тщательнее проведен

предварительный сбор информации, тем выше вероятность  успешного проникновения в

АС интересующей злоумышленника организации. 
 
 
 
 
 
 
 
 

Сканирование.

Составив  предварительную схему сети и  наметив предварительный перечень наибо-

лее уязвимых ее узлов,  злоумышленник, как правило, переходит к сканированию. Ска-

нирование позволяет выявить реально работающие АС исследуемой организации,  дос-

тупные по Internet, определить тип и версию ОС, под управлением которых они работа-

ют, а  также получить перечни портов TCP и UDP, открытых на выявленных АС. 

Для проведения сканирования в распоряжении злоумышленника имеется широкий

спектр  инструментальных средств, начиная  от простейшей утилиты ping, входящей в ком-

плект поставки всех современных ОС, и заканчивая специализированными хакерскими инструментами,  такими,  как fping, Pinger,  icmpenum,  nmap,  strobe,  netcat, NetScantTools Pro 2000, SuperScan, NTOScanner, WinScan, ipeye, Windows UDP Port Scanner, Cheops

и множеством других.

Вооружившись  этими или подобными инструментами, злоумышленник может уточ-

нить составленную на предыдущем этапе схему сети и выбрать АС, на которые следует

обратить  внимание в первую, вторую и т.д. очереди.   
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 

Идентификация доступных ресурсов.

Очертив круг АС организации,  которые представляют собой для злоумышленника

наибольший  интерес,  он переходит к следующему этапу —  идентификации доступных

ресурсов. В большинстве современных сетевых  ОС для решения подобных задач  имеет-

ся целый ряд инструментальных средств, таких, например, как команды net, nbtstat

и nbtscan в Windows NT/2000/XP  и telnet,  finger,  rwho,  rusers,  rpcinfo и

rpcdump в Unix. Кроме того,  злоумышленнику могут пригодиться такие утилиты, как

nltest,  rmtshare,  srvcheck,  srvinfo и snmputil (Windows NT/2000/XP Resource Toolkit),  а также хакерские утилиты DumpSec, Legion, NAT,  enum,  user2sid,

sid2user и  netcat. 

Тщательно проведенная идентификация доступных  ресурсов выбранной для несанк-

ционированного доступа АС может дать злоумышленнику информацию о доступных по

сети  дисках и папках, о пользователях  и группах, имеющих доступ к данной АС, а также

о выполняющихся  на этой АС приложениях, включая сведения об их версиях. 

Подготовившись таким образом, злоумышленник либо принимает решение о прове-

дении попытки получения несанкционированного доступа,  либо выбирает в качестве

“жертвы”  другую АС организации. 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 

Получение доступа.

Если  принято решение о попытке  проникновения, злоумышленник переходит  к ста-

дии активных действий, которые, как правило, выходят за рамки простого любопытст-

вах, а в отдельных случаях могут уже квалифицироваться как уголовно наказуемые дея-

ния. 

Целью операций, предпринимаемых на данном этапе, является получение доступа  на

уровне легального пользователя АС или ОС. К таким операциям относятся:

• перехват паролей;

• подбор паролей для доступа к совместно  используемым сетевым ресурсам;

• получение  файла паролей;

• использование  программ взлома,  обеспечивающих интерактивный  доступ к АС пу-

тем перевода работающих на АС приложений в нештатный режим. 

Часто для получения доступа злоумышленники прибегают к социальному инжини-

рингу,  побуждая пользователей тем или  иным способом установить на своих АС про-

граммные закладки, действующие по принципу “Троянского коня”. Если это им удается,

например, путем установки таких закладок, как Back Orifice или SubSeven, дальнейшее

получение доступа к таким АС для злоумышленников не составляет труда.

В тех  случаях, когда злоумышленник по каким-то причинам не может или не наме-

рен манипулировать пользователями, ему приходиться обеспечивать получение доступасамостоятельно.  Для этого он может применить такие средства,  как NAT, SMBGrind, L0phcrack, NT RAS, winhlp32, IISHack (Windows NT/2000/XP), Brutus, brute_web.c, pop.c,  middlefinger, TeeNet (Unix)  и множество специализированных программ

взлома, рассчитанных на применения против конкретных приложений.

Если  АС предоставляет удаленный доступ к системе, например, на гостевом уровне,

злоумышленник может предпринять попытку применения методов и средств,  исполь-

зуемых при локальном доступе (например,  скопировать файл паролей из небрежно на-

строенной системы). 

Однако  в некоторых случаях злоумышленникам  вообще не приходится что-либо

предпринимать,  а просто воспользоваться  “любезностью”  легального пользователя,  не-

предусмотрительно установившего какую-либо систему  удаленного доступа с настроен-

ным по умолчанию паролем (или даже вообще без пароля), например pcAnywhere, VNC

или Remotely Anywhere. 

В последнее  время особенно часто жертвами злоумышленников  становятся Web-

серверы и работающие под их управлением  приложения.  Опытному взломщику  Web-

серверов  достаточно провести несколько минут  за исследованием Web-сервера, админи-

страторы которого имеют поверхностное представление о безопасности, чтобы, не при-

бегая к особым ухищрением,  получить доступ на уровне пользователя  (а нередко  и на

системном или административном уровне),  пользуясь одним лишь стандартным Web-

клиентом. 
 
 
 
 
 

Расширение  полномочий.

Если  на предыдущем этапе злоумышленник  получил несанкционированный доступ

на гостевом или пользовательском уровне он, как  правило, постарается расширить  свои

полномочия  и получить,  как минимум,  административный уровень.  Для этого в боль-

шинстве случаев применяются такие же средства взлома и подбора паролей,  а также

программы взлома, что и при доступе на локальном уровне.

Расширение  полномочий позволяет злоумышленнику не только получить полный

доступ  к интересующей его АС, но и внести себя в список легальных администраторов,

а также, возможно, сразу же получить административный доступ к другим АС организа-

ции. 

Исследование  системы и внедрение.

Получив доступ на административном уровне,  злоумышленник изучает все имею-

щиеся на взломанной АС файлы и,  найдя интересующую его информацию,  завершает

Информация о работе Метода несанкционированного съема информации в изолированной компьютерной сети