Защита информации в компьютерных сетях

Кто такие хакеры

Хотя последнее время термин хакер можно довольно часто встретить на страницах компьютерной прессы, у пользующихся им людей до сих пор не сложилось единого мнения о том, кого именно следует именовать хакером. Часто хакером называют любого высококлассного специалиста в области вычислительной техники и всего, что с ней связано. Однако среди журналистов, затрагивающих тему хакерства, имеются серьезные разногласия относительно того, как хакеры применяют свои уникальные познания на практике.

Одни предлагают называть хакером лишь того, кто пытается взломать защиту компьютерных систем, чтобы затем выдать обоснованные рекомендации по улучшению их защитных механизмов, другие — именовать хакером высококвалифицированного специалиста, который взламывает компьютеры исключительно в преступных целях. Чтобы не ввязываться в полемику, которая в основном касается нравственно-этической стороны деятельности хакеров, для начала назовем хакером любого человека, стремящегося обойти защиту компьютерной системы, вне зависимости от того, преследуются ли по закону его действия. При этом основной целью хакера является получение дополнительных привилегий и прав доступа к компьютерной системе. По отношению к атакуемой им компьютерной системе хакер может быть:

посторонним лицом, не имеющим никаких легальных привилегий и

 прав доступа;

Технологическим фундаментом информационного общества являются информационные технологии. Их научное осмысление базируется на теоретической платформе общей технологии. Последняя, в свою очередь, родилась из недр промышленной технологии. Проследим эволюцию понимания и научного осмысления технологии как способа целесообразной и эффективной деятельности.

пользователем компьютерной системы, обладающим ограниченными

 привилегиями и правами доступа.

Статистика компьютерных преступлений свидетельствует о том, что уровень профессиональной подготовки хакера варьируется в очень широких пределах. Хакером может стать даже школьник, случайно обнаруживший программу взлома на одном из специализированных хакерских серверов в сети Internet. В то же время отмечено и появление настоящих хакерских банд, главарями которых являются компьютерные специалисты высочайшей квалификации.

В дальнейшем под хакером будет пониматься только высококвалифицированный специалист, поскольку именно его действия представляют наибольшую угрозу безопасности компьютерных систем. Для такого хакера характерны следующие черты и особенности поведения:

он всегда в курсе последних новинок в области компьютерной техники,

 устройств связи и программных средств;

перед тем как атаковать компьютерную систему, он всеми доступными

способами пытается собрать максимум информации об этой системе, включая данные об используемом в ней программном обеспечении и ее администраторах;

добывая нужную ему информацию, он не брезгует агентурными и

оперативно-техническими методами (например, устанавливая подслушивающие устройства в местах, часто посещаемых обслуживающим персоналом компьютерных систем, которые он намеревается взломать);

перед попыткой взлома компьютерной системы он опробует методы,

которые планирует применить для атаки на эту систему, на заранее подготовленной модели, имеющей те же средства обеспечения безопасности, что и атакуемая система;

сама атака компьютерной системы осуществляется по возможности

быстро, чтобы ее администраторы не смогли зафиксировать факт совершения атаки и не успели предпринять меры для отражения атаки и для выявления личности и местонахождения атакующего;

хакер не пользуется слишком изощренными методами взлома защиты

компьютерной системы, поскольку чем сложнее алгоритм атаки, тем вероятнее возникновение ошибок и сбоев при его реализации;

чтобы минимизировать время, необходимое для взлома, и количество

возможных ошибок, хакер обычно атакует компьютерную систему при помощи заранее написанных программ, а не вручную, набирая необходимые команды на клавиатуре компьютера;

хакер никогда не действует под собственным именем и тщательно

скрывает свой сетевой адрес, а на всякий случай у него имеется тщательно продуманный план замести следы или оставить ложный след (например, одновременно ведя неумелую и заведомо обреченную на провал атаку, благодаря чему журнал аудита атакуемой компьютерной системы оказывается забит до отказа сообщениями о событиях, затрудняющих для системного администратора выяснение характера действительной атаки и принятие мер, чтобы не допустить ее в будущем);

хакеры широко применяют программные закладки, которые

самоуничтожаются либо при их обнаружении, либо по истечении фиксированного периода времени.

Методы взлома компьютерных систем

В общем случае программное обеспечение любой универсальной компьютерной системы состоит из трех основных компонентов: операционной системы, сетевого программного обеспечения (СПО) и системы управления базами данных (СУБД). Поэтому все попытки взлома защиты компьютерных систем можно разделить на три группы:

атаки на уровне операционной системы;

атаки на уровне сетевого программного обеспечения;

атаки на уровне систем управления базами данных.

Атаки на уровне систем управления базами данных

Защита СУБД является одной из самых простых задач. Это связано с тем, что СУБД имеют строго определенную внутреннюю структуру, и операции над элементами СУБД заданы довольно четко. Есть четыре основных действия — поиск, вставка, удаление и замена элемента. Другие операции являются вспомогательными и применяются достаточно редко. Наличие строгой структуры и четко определенных операций упрощает решение задачи защиты СУБД. В большинстве случаев хакеры предпочитают взламывать защиту компьютерной системы на уровне операционной системы и получать доступ к файлам СУБД с помощью средств операционной системы. Однако в случае, если используется СУБД, не имеющая достаточно надежных защитных механизмов, или плохо протестированная версия СУБД, содержащая ошибки, или если при определении политики безопасности администратором СУБД были допущены ошибки, то становится вполне вероятным преодоление хакером защиты, реализуемой на уровне СУБД.

Кроме того, имеются два специфических сценария атаки на СУБД, для защиты от которых требуется применять специальные методы. В первом случае результаты арифметических операций над числовыми полями СУБД округляются в меньшую сторону, а разница суммируется в некоторой другой записи СУБД (как правило, эта запись содержит личный счет хакера в банке, а округляемые числовые поля относятся к счетам других клиентов банка). Во втором случае хакер получает доступ к полям записей СУБД, для которых доступной является только статистическая информация. Идея хакерской атаки на СУБД — так хитро сформулировать запрос, чтобы множество записей, для которого собирается статистика, состояло только из одной записи.

Атаки на уровне операционной системы

Защищать операционную систему, в отличие от СУБД, гораздо сложнее. Дело в том, что внутренняя структура современных операционных систем чрезвычайно сложна, и поэтому соблюдение адекватной политики безопасности является значительно более трудной задачей. Среди людей несведущих бытует мнение, что самые эффективные атаки на операционные системы могут быть организованы только с помощью сложнейших средств, основанных на самых последних достижениях науки и техники, а хакер должен быть программистом высочайшей квалификации. Это не совсем так.

Никто не спорит с тем, что пользователю следует быть в курсе всех новинок в области компьютерной техники. Да и высокая квалификация — совсем не лишнее. Однако искусство хакера состоит отнюдь не в том, чтобы взламывать любую самую “крутую” компьютерную защиту. Нужно просто суметь найти слабое место в конкретной системе защиты. При этом простейшие методы взлома оказываются ничуть не хуже самых изощренных, поскольку чем проще алгоритм атаки, тем больше вероятность ее завершения без ошибок и сбоев, особенно если возможности предварительного тестирования этого алгоритма в условиях, приближенных к ”боевым”, весьма ограничены.

Успех реализации того или иного алгоритма хакерской атаки на практике в значительной степени зависит от архитектуры и конфигурации конкретной операционной системы, являющейся объектом этой атаки. Однако имеются атаки, которым может быть подвергнута практически любая операционная система:

кража пароля;

• подглядывание за пользователем, когда тот вводит пароль,

дающий право на работу с операционной системой (даже если во время ввода пароль не высвечивается на экране дисплея, хакер может легко узнать пароль, просто следя за перемещением пальцев пользователя по клавиатуре);

• получение пароля из файла, в котором этот пароль был сохранен

 пользователем, не желающим затруднять себя вводом пароля при

 подключении к сети (как правило, такой пароль хранится в файле

  в незашифрованном виде);

• поиск пароля, который пользователи, чтобы не забыть,

записывают на календарях, в записных книжках или на оборотной стороне компьютерных клавиатур (особенно часто подобная ситуация встречается, если администраторы заставляют пользователей применять трудно запоминаемые пароли);

• кража внешнего носителя парольной информации (дискеты или

электронного ключа, на которых хранится пароль пользователя, предназначенный для входа в операционную систему);

• полный перебор всех возможных вариантов пароля;

• подбор пароля по частоте встречаемости символов и биграмм, с

помощью словарей наиболее часто применяемых паролей, с привлечением знаний о конкретном пользователе — его имени, фамилии, номера телефона, даты рождения и т. д., с использованием сведений о существовании эквивалентных паролей, при этом из каждого класса опробуется всего один пароль, что может значительно сократить время перебора;

сканирование жестких дисков компьютера (хакер последовательно

пытается обратиться к каждому файлу, хранимому на жестких дисках компьютерной системы; если объем дискового пространства достаточно велик, можно быть вполне уверенным, что при описании доступа к файлам и каталогам администратор допустил хотя бы одну ошибку, в результате чего все такие каталоги и файлы будут прочитаны хакером; для сокрытия следов хакер может организовать эту атаку под чужим именем: например, под именем пользователя, пароль которого известен хакеру);

сборка “мусора” (если средства операционной системы позволяют

восстанавливать ранее удаленные объекты, хакер может воспользоваться этой возможностью, чтобы получить доступ к объектам, удаленным другими пользователями: например, просмотрев содержимое их “мусорных” корзин);

превышение полномочий (используя ошибки в программном

обеспечении или в администрировании операционной системы, хакер получает полномочия, превышающие полномочия, предоставленные ему согласно действующей политике безопасности);

• запуск программы от имени пользователя, имеющего

необходимые полномочия, или в качестве системной программы (драйвера, сервиса, демона и т. д.);

• подмена динамически загружаемой библиотеки, используемой

системными программами, или изменение переменных среды, описывающих путь к таким библиотекам;

• модификация кода или данных подсистемы защиты самой

 операционной системы;

отказ в обслуживании (целью этой атаки является частичный или

 полный вывод из строя операционной системы);

• захват ресурсов (хакерская программа производит захват всех

имеющихся в операционной системе ресурсов, а затем входит в бесконечный цикл);

• бомбардировка запросами (хакерская программа постоянно

направляет операционной системе запросы, реакция на которые требует привлечения значительных ресурсов компьютера);

• использование ошибок в программном обеспечении или администрировании.

Если в программном обеспечении компьютерной системы нет ошибок и ее администратор строго соблюдает политику безопасности, рекомендованную разработчиками операционной системы, то атаки всех перечисленных типов малоэффективны. Дополнительные меры, которые должны быть предприняты для повышения уровня безопасности, в значительной, степени зависят от конкретной операционной системы, под управлением которой работает данная компьютерная система. Тем не менее, приходится признать, что вне зависимости от предпринятых мер полностью устранить угрозу взлома компьютерной системы на уровне операционной системы невозможно. Поэтому политика обеспечения безопасности должна проводиться так, чтобы, даже преодолев защиту, создаваемую средствами операционной системы, хакер не смог нанести серьезного ущерба.


На главную