Локальный доступ

Как уже отмечалось, при наличии у злоумышленника локального доступа к АС и благоприятной для него обстановки он сможет обойти практически любую защиту. Для того чтобы значительно снизить шансы злоумышленника, имеющего локальный доступ к интересующей его АС, необходимо предпринять целый комплекс мер, как технического, так и организационного характера, начиная от проектирования архитектуры АС с учетом всех требований защиты и заканчивая установкой камер наблюдения, охранной сигнализации и организации специального режима доступа. Однако на практике в большинстве случаев, по крайней мере какой-либо один фактор остается вне поля зрения организаций, обрабатывающих в своих АС информацию с ограниченным доступом, которая может интересовать тех или иных злоумышленников. Нередко оказывается и так, что таких факторов значительно больше, поэтому если организация не приняла всех мер для того, чтобы предотвратить несанкционированный локальный доступ к своим АС и их компонентам, можно сказать с уверенностью, что ее секреты рано или поздно попадут к заинтересованным лицам.

Рассмотрим подробнее методы и средства несанкционированного доступа к информации, которые можно применить на локальном уровне.

Прежде всего, злоумышленник может воспользоваться одним из самых древних способов, против которого не сможет противостоять никакая АС, — хищением. Хищение информации, ее носителей, отдельных компонентов АС и, учитывая современные тенденции к миниатюризации СВТ, целых АС было и остается одним из самых распространенных способов несанкционированного получения информации. При этом квалификация лиц, участвующих в хищении может быть самой низкой, а правоохранительные органы, расследующие такие факты, да и зачастую сами подвергшиеся хищению организации, как правило, сосредотачивают основное внимание на осязаемых материальных ценностях. К хищению можно отнести и такие действия злоумышленников, когда компоненты АС просто подменяются на аналогичные. Например, сначала специалист высокой квалификации оказавшись под каким-то предлогом в офисе организации и используя благоприятную ситуацию, может за считанные секунды выяснить модель жесткого диска, причем все его действия будет контролировать легальный пользователь (типичная ситуация — любезное предложение помощи неопытному сотруднику, у которого “завис” компьютер и т.п.). Затем злоумышленникам остается лишь найти вышедший из строя жесткий диск аналогичной модели и, тайно проникнув в офис, заменить интересующий их жесткий диск неисправным. Если в организации не ведется строгого учета компонентов АС по серийным номерам (что, к сожалению, встречается сплошь и рядом), а злоумышленникам удастся скрыть факт проникновения в помещение (что также не очень большая проблема для опытных взломщиков), то такое происшествие не вызовет никакого подозрения.

Кроме того, к хищениям во многих случаях можно отнести прямое копирование всего жесткого диска на другой диск. Даже если исходный диск защищен, например, с помощью шифрования, злоумышленник средней квалификации может принести с собой другой жесткий диск большего объема и просто скопировать все содержимое исходного диска на свой диск, который впоследствии будет передан на исследование специалистам более высокой квалификации. В таком случае получение несанкционированного доступа к скопированной информации — всего лишь вопрос времени.

Наконец, следует знать, что часто хищение информации маскируется под хищение материальных ценностей. Например, злоумышленники могут похитить все офисное оборудование, хотя на самом деле их интересует лишь содержимое жесткого диска компьютера, стоявшего в кабинете руководителя. Часто оказывается, что руководители организаций, требуя от подчиненных соблюдения всех правил информационной безопасности, не распространяют на себя эти требования, хотя имеют доступ к любым файлам своих подчиненных. Например, большинство руководителей даже не подозревают, что все открываемые ими по сети файлы таких программ, как Microsoft Word и других офисных приложений, копируются в папку для временных файлов Windows на локальном диске.

Вторым распространенным методом несанкционированного получения информации при локальном доступе к АС является использование открытого сеанса легального пользователя. Здесь возможности злоумышленника определяются лишь временем, на который он получает доступ к АС, полномочиями в АС легального пользователя и наличием (точнее, отсутствием) контроля со стороны легального пользователя или его коллег. Особая опасность этого метода заключается в том, что со стороны специалистов по защите информации действия злоумышленника, воспользовавшегося открытым сеансом легального пользователя, скорее всего, не вызовут никаких подозрений (в большинстве случаев на “своих” пользователей, особенно если они занимают в иерархии организации более высокое положение, администраторы безопасности обращают меньше всего внимания). Часто пользователи практически подталкивают посторонних к несанкционированному доступу к своим системам, размещая свои пароли “под рукой” прямо на рабочем месте (например, наклеивая листки для записей с паролями на монитор или на тыльную сторону клавиатуры). В этом случае такая “защищенная” система ничем не отличается от системы, на которой остался открытым сеанс легального пользователя.

Близким к указанному выше методу является подбор пароля легального пользователя. Этот метод более “заметен” со стороны компонентов АС, обеспечивающих безопасность, однако также оказывается достаточно эффективным. Например, в организации может быть реализована жесткая политика по выбору паролей, обеспечивающая невозможность случайного подбора или угадывания паролей за 2–3 попытки с блокированием учетной записи при превышении количества попыток. При этом все пользователи организации, покидая рабочее место, должны временно блокировать доступ к своим системам так, чтобы блокировка снималась только при правильно введенном пароле. Однако некоторые пользователи могут установить полюбившиеся программы-заставки, в которых ввод пароля происходит в обход основной операционной системы. Часто оказывается, что такие пользователя в качестве пароля выбирают последовательности вида 1111 или user и т.п., что значительно облегчает задачу подбора пароля легального пользователя.

Часто для осуществления подбора пароля легального пользователя злоумышленники прибегают к использованию открытого сеанса этого же или другого пользователя с последующим копированием системных файлов. В частности, в системах Windows 98/ME злоумышленник может скопировать файлы с расширением PWL, находящиеся в основной папке Windows, а затем применить к ним какое-нибудь средство вскрытия файлов PWL, например Repwl или CAIN. В системах Windows NT/2000/XP с той же целью злоумышленник может скопировать файл SAM или его резервную копию SAM._, находящиеся в папке repair системной папки Windows, а затем попытаться установить хранящиеся в них пароли с помощью системы L0phtCrack. В Unix-подобных системах наибольший интерес для злоумышленника представляют файлы /etc/passwd или shadow. С помощью таких утилит, как crack или john, любой злоумышленник, обладая минимальной квалификацией, может за считанные минуты или даже секунды получить информацию о паролях легальных пользователей, хранящихся в этих файлах.

return false">ссылка скрыта

Еще одним методом локального несанкционированного доступа является использование учетной записи легального пользователя для расширения полномочий в АС. Он отличается от метода использования открытого сеанса легального пользователя тем, что в данном случае злоумышленнику не требуется выдавать себя за другого, поскольку он в силу тех или иных причин сам имеет доступ к АС. Например, во многих организациях сторонним пользователям, посетителям, представителям других организаций, временным сотрудникам и другим лицам, не являющимся сотрудниками организации, предоставляют так называемые гостевые учетные записи. Однако часто оказывается, что АС, предназначенные для гостевого доступа, имеют физический доступ ко всем АС организации, а действия сторонних пользователей, получающих гостевой доступ, практически никак не контролируются. Это позволяет злоумышленнику, воспользовавшись специальными программами взлома (exploit), расширить свои полномочия вплоть до получения полного доступа ко всем АС организации. В системах Windows NT/2000/XP, например, злоумышленник может воспользоваться такими программами взлома, как getadmin или main, а в Unix-подобных системах — многочисленными программами взлома командной оболочки и других Unix-программ, в изобилии присутствующих в Internet, действие которых основано на известных изъянах соответствующего системного программного обеспечения Unix.

Наконец, часто злоумышленнику, имеющему локальный доступ к АС, не нужно вообще обладать квалификацией даже среднего уровня, чтобы получить несанкционированный доступ к информации этой АС. Во многих случаях ему достаточно прибегнуть к такому простому приему, как загрузка альтернативной операционной системы. Такая система может загружаться как с дискеты, так и с компакт-диска. (К особой разновидности этого метода является срабатывание функции автозапуска в Windows 98. Воспользовавшись этим изъяном, злоумышленник может запустить нужную ему программу даже на системе c Windows 98, защищенной с помощью экранной заставки с паролем). Например, с помощью простого командного файла, приведенного в листинге 13.1, злоумышленник может в считанные минуты перезагрузить компьютер, работающий под управлением Windows 98/ME/2000/XP и получить в свое распоряжение перечень всех файлов, а также файлы PWL и SAM, хранящиеся на дисках этого компьютера.

Листинг 13.1. Пример командного файла для
загрузки альтернативной операционной системы

@ECHO OFF
mode con codepage prepare=((866) ega3.cpi)
mode con codepage select=866
keyb ru,,keybrd3.sys

set EXPAND=YES
SET DIRCMD=/O:N
set LglDrv=27 * 26 Z 25 Y 24 X 23 W 22 V 21 U 20 T

set LglDrv=%LglDrv% 19 S 18 R 17 Q 16 P 15 O 14 N
set LglDrv=%LglDrv% 13 M 12 L 11 K 10 J 9 I 8 H 7 G

set LglDrv=%LglDrv% 6 F 5 E 4 D 3 C
call setramd.bat %LglDrv%
set temp=c:\
set tmp=c:\
path=%RAMD%:\;a:\;a:\vc
copy command.com %RAMD%:\ >nul
set comspec=%RAMD%:\command.com >nul
md %RAMD%:\vc >nul
%RAMD%:

copy a:\vc\*.* %RAMD%:\vc >nul
copy a:\arj.exe %RAMD%:\ >nul

copy a:\files.arj %RAMD%:\ >nul
copy a:\files.a01 %RAMD%:\ >nul
arj.exe e files.arj >nul
arj.exe e files.a01 -y >nul

A:\smartdrv.exe >nul
del files.a* >nul

md %RAMD%:\sec >nul
cd sec >nul
md disks >nul
cd disks >nul

ldir c: /s > c.txt
ldir d: /s > d.txt