Информация, особенно в электронном виде, может быть представлена в разных видах. Информацией можно считать и отдельный файл, и базу данных, и одну запись в ней, и целиком программный комплекс. Все эти объекты могут подвергнуться и подвергаются атакам со стороны асоциальных лиц. При хранении, поддержании и предоставлении доступа к любому информационному объекту его владелец или уполномоченное им лицо накладывает набор правил по работе с ней. Умышленное их нарушение классифицируется как атака на информацию.
1. Ситуация в области информационной безопасности.
С массовым внедрением компьютеров во все сферы деятельности человека, объем информации, хранимой в электронном виде, вырос в тысячи раз. Скопировать за полминуты и унести дискету с файлом, содержащим план выпуска продукции, проще, чем копировать и переписывать пачку бумаг. С появлением компьютерных сетей даже отсутствие физического доступа к компьютеру перестало быть гарантией сохранности информации. Какие возможные последствия атак на информацию ? Важнее всего, конечно экономические потери. Во-первых, раскрытие коммерческой информации может привести к серьезным прямым убыткам на рынке. Во-вторых, известие о краже большого объема информации серьезно влияет на репутацию фирмы. В-третьих, фирмы-конкуренты могут воспользоваться кражей информации для полного разорения фирмы, навязывая ей фиктивные или заведомо убыточные сделки. В-четвертых, подмена информации как на этапе передачи, так и на этапе хранения в фирме может привести к огромным убыткам. В-пятых, многократные успешные атаки на фирму, предоставляющую информационные услуги, снижает доверие к фирме у клиентов.
Компьютерные атаки приносят и огромный моральный ущерб. Никакому пользователю компьютерной сети не хочется, чтобы его письма кроме адресата получили еще 5-10 человек, или, весь текст, набираемый на клавиатуре, копировался в буфер, а затем при подключении к Интернет оправлялся на определенный сервер. А именно так часто и происходит. Несколько интересных цифр об атаках на информацию. Основные причины повреждений электронной информации распределяются следующим образом. Неумышленная ошибка человека - 52 % случаев, умышленные действия человека - 10 % случаев, отказ техники - 10 % случаев, повреж- дения в результате пожара - 15 % случаев, повреждения водой - 10 % случаев. Каждый десятый случай повреждения электронных данных связан с компьютерными атаками.
Что именно предпринимают злоумышленники, добравшись до информации, в 44 % случаев взлома были произведены непосредственные кражи денег с электронных счетов, в 16 % случаев выводилось из строя программное обеспечение, столь же часто - в 16 % случаев - проводилась кража информации с различными последствиями, в 12 % случаев информация была сфальси- фицирована, в 10 % случаев злоумышленники с помощью компьютера заказали услуги, к которым в принципе не должны были иметь доступа.
2. Категории безопасности.
Информация с точки зрения информационной безопасности обладает следующими категориями - конфиденциальность, целостность, аутентичность и апелируемость. Конфиденциальность - гарантия того, что конкретная информация доступна только тому кругу лиц, для кого она предназначена. Нарушение этой категории называется хищением или раскрытием информации. Целостность - гарантия того, что информация сейчас существует в ее исходном виде, при ее хранении или передаче не было произведено несанкционированных изменений. Нарушение этой категории называется фальсификацией сообщения. Аутентичность - гарантия того, что источником информации является именно то лицо, которое заявлено как ее автор. Нарушение этой категории называется фальсификацией автора сообщения. Апеллируемость - довольно сложная категория, часто применяемая в электронной коммерции - гарантия того, что при необходимости можно будет доказать, что автором сообщения является именно заявленный человек. Отличие этой категории от предыдущей в том, что при подмене автора кто-то пытается заявить, что он автор сообщения, а при нарушении апеллируемости сам автор пытается отказаться от слов, подписанных им.
В отношении информационных систем применяются иные категории - надежность, точность, контроль доступа, контролируемость, контроль идентификации, устойчивость к умышленным сбоям. Надежность - гарантия того, что система в нормальном и внештатном режимах ведет себя так, как запланировано. Точность - гарантия точного и полного выполнения всех команд. Контроль доступа - гарантия того, что в любой момент может быть произведена полноценная проверка любого компонента программного комплекса. Контроль идентификации - гарантия того, клиент, подключенный в данный момент к системе, является именно тем, за кого он себя выдает. Устойчивость к умышленным сбоям - гарантия того, что при умышленным внесении ошибок в пределе заранее оговоренных норм система будет вести себя нормально.
3. Модели защиты информации.
Одна из первых моделей была модель Биба. Согласно ей все субъекты и объекты предварительно разделяются по нескольким уровня доступа, а затем на их взаимодействия накладываются два ограничения. Во-первых, субъект не может вызывать на исполнение субъекты с более низким уровнем доступа. Во-вторых, субъект не может модифицировать объекты с более высоким уровнем доступа. Модель Гогера-Гезингера основана на теории автоматов. Согласно ей система может при каждом действии переходить из одного разрешенного состояния только в несколько других. Субъекты и объекты в данной модели защиты разбиваются на группы - домены, и переход системы из одного состояния в другое выполняется только в соответствии с таблицей разрешений, в которой указано какие операции может выполнять субъект. В данной модели при переходе системы из одного состояния в другое используются транзакции, что обеспечивает общую целостность системы.
Сазерлендская модель защиты делает акцент на взаимодействии субъектов и потоков информации. Здесь используется машина состояний со множеством разрешенных комбинаций состояний и набором начальных позиций. В данной модели исследуется поведение множественных композиций функций перехода из одного состояния в другое.
Важную роль в теории защиты информации играет модель Кларка-Вилсона. Основана данная модель на повсеместном использовании транзакций и оформлении прав доступа субъектов к объектам. В данной модели впервые исследована защищенность третьей стороны в данной проблеме - стороны, поддерживающей всю систему безопасности. Эту роль в информационных системах обычно играет программа-супервизор. В модели Кларка-Вилсона транзакции впервые были построены по методу верификации, то есть идентификация субъекта перед выполнением команды от него и повторно после выполнения. Это позволило снять проблему подмены автора в момент между его идентификацией и собственно командой. Модель Кларка-Вилсона считается одной из совершенных в отношении поддержания целостности информационных систем.
4. Известные методы взлома.
Злоумышленники тщательно изучают системы безопасности перед проникновением в нее. Часто они находят очевидные и простые методы взлома, которые разработчики просто проглядели, создавая возможно очень хорошую систему идентификации или шифрования. Рассмотрим популярные и очевидные технологии несанкционированного доступа. Вспомним старое правило: "Прочность цепи не выше прочности самого слабого звена". Эта аксиома постоянно цитируется, когда речь идет о компьютерной безопасности. Например, как ни была прочна система, если пароль на доступ к ней лежит в текстовом файле в центральном каталоге или записан на экране монитора - это уже не конфиденциальная система. Примеров, в которых разработчики системы защиты забывают или не учитывают простые методы проникновения в систему можно найти немало.
Например, при работе в сети Интернет не существует надежного автоматического подтверждения того, что данный пакет пришел именно от того отправителя (IP-адреса), который заявлен в пакете. Это позволяет даже при применении надежного метода идентификации первого пакета подменять все остальные, просто заявляя, что все они пришли тоже с этого IP-адреса.
Примерно та же проблема существует в сети Novell Netware - в ней сервер может поддерживать одновременно до 254 станций, и при наличии мощной системы идентификации аутентификация пакета ведется только по номеру станции. Это позволяет проводить следующую атаку - в присутствии в сети клиента-супервизора злоумышленнику достаточно послать 254 пакета с командой серверу, которую он хочет исполнить, перебрав в качестве псевдоотправителя все 254 станции. Один из отправленных пакетов совпадет с номером соединения, на котором находится клиент-супервизор и команда будет принята сервером к исполнению. Остальные 253 пакета будут проигнорированы.
В отношении шифрования - мощного средства защиты передаваемой информации от прослушивания и изменения - можно привести следующий метод, неоднократно использованный на практике. Злоумышленник, не зная пароля, которым зашифрованы данные или команды, передаваемые по сети, не может прочесть их или изменить. Но если у него есть возможность наблюдать, что происходит в системе после получения конкретного блока данных, то он может, не раскодируя информацию, послать ее повторно и добьется результатов, аналогичных команде супервизора.
Все это заставляет разработчиков защищенных систем постоянно помнить о простых и очевидных способах проникновения в систему и предупреждать их в комплексе.
5. Терминалы защищенной системы.
Терминалы - это точки входа пользователей в информационную сеть. Если к ним имеют доступ несколько человек, при их проектировании и эксплуатации необходимо тщательное соблюдение целого комплекса мер безопасности.Несмотря на самоочевидность, самым распространенным способом входа в систему при атаках на информацию остается вход через официальный log-in запрос в систему. Вычислительная техника, которая позволяет провести вход в систему , называется в теории информационной безопасности терминалом. Терминология восходит ко временам суперЭВМ и тонких терминальных клиентов. Если система состоит из одного персонального компьютера, то он одновременно считается и терминалом и сервером. Доступ к терминалу может быть физически, когда терминал - ЭВМ с клавиатурой и дисплеем, либо удаленным - чаще всего по телефонной линии ( в этом случае терминалом является модем, подключенный либо непосредственно к системе, либо к ее физическому терминалу).
При использовании терминалов с физическим доступом нужно соблюдать следующие требования. Защищенность терминала должна соответствовать защищенности помещения. Терминалы без пароля могут присутствовать только в тех помещениях, куда имеют доступ лица с соответствующим лил более высоким уровнем доступа. Отсутствие имени регистрации возможно только в том случае, если к терминалу имеет доступ только один человек, либо если на группу лиц, имеющих доступ, распространяются общие меры ответственности. Терминалы, установленные в публичных местах должны всегда запрашивать имя регистрации и пароль. Системы контроля за доступом в помещение с установленным терминалом должны работать полноценно и в соответствии с общей схемой доступа к информации. В случае установки терминала в местах с большим скоплением народа клавиатура и дисплей должны быть оборудованы устройствами, позволяющему видеть их только работающему в данный момент клиенту (непрозрачные пластмассовые или стеклянные ограждения).
При использовании удаленных терминалов необходимо соблюдать следующие правила. Любой удаленный терминал должен запрашивать имя регистрации и пароль. Того, чтобы якобы никто не знает шестизначного номера вашего служебного модема, не достаточно для конфиденциальности вашей системы. При наличии специального программного обеспечения, которое можно найти в сети Интернет, и тонового набора для одного звонка достаточно 4 секунд. Это означает, что за одну минуту можно перебрать около 15 номеров телефонной станции с тем, чтобы узнать существует ли на этом телефонном номере модем. За час таким образом можно перебрать 1000 номеров, а за рабочий день повтором в ночное время всю АТС - 10000 номеров. Подобные операции производятся довольно часто, особенно в отношении фирм, связанных с компьютерами и компьютерными сетями, а также в отношении промышленных предприятий. Вторым требованием является своевременное отключение всех модемов, не требующихся в данный момент фирме (по вечерам или во время обеда), либо не контролируемых в данный момент вашими сотрудниками. По возможности следует использовать схему возвратного звонка от модема, поскольку она гарантирует с уровнем надежности АТС то, что удаленный клиент получил доступ с определенного телефонного номера. Из log-in запроса терминала рекомендуется убрать все непосредственные упоминания имени фирмы, ее логотипы - это не позволит компьютерным вандалам перебирающим номера с модемами, узнать log-in какой фирмы они обнаружили. Для проверки правильности соединения можно использовать неординарную приветственную фразу, афоризм или фиксированную последовательность букв и цифр, которые будут запоминаться у постоянных операторов этого терминала. Также при входе в систему рекомендуется выводить на экран предупреждение о том, что вход в систему без полномочий преследуется по закону.
Безотносительно от физического или коммутируемого доступа к терминалу, линия, соединяющая терминал с зоной ядра информационной системы должна быть защищена от прослушивания или весь обмен информацией должен вестись по конфиденциальной схеме идентификации и надежной схеме аутентификации клиента. Дальнейшие действия взломщика, получившего доступ к терминальной точке входа могут развиваться по двум основным направлениям. Попытки выяснения пароля прямо или косвенно и попытки входа в систему, совершенно без знания пароля, основываясь на ошибках в реализации программного или аппаратного обеспечения.
Д.В. Кривопалов
d1@ngs.ru
По материалам отечественной прессы.
Начать дискуссию