Способы несанкционированного доступа
В отечественной и зарубежной литературе имеет место различное толкование как понятия способа несанкционированного доступа, так и его содержания. Под способом вообще понимается порядок и приемы действий, приводящие к достижению какой-либо цели. Энциклопедическое понимание способа производства – исторически обусловленная форма производства материальных благ. Известно также определение способов военных действий как порядок и приемы применения сил и средств для решения задач в операции (бою). С учетом рассмотренного можно так определить способ несанкционированного доступа: это совокупность приемов, позволяющих злоумышленнику получить охраняемые сведения конфиденциального характера.
Основными способами несанкционированного доступа являются:
1. Инициативное сотрудничество.
2. Склонение к сотрудничеству.
3. Выведывание, выпытывание.
8. Подделка (модификация).
10. Незаконное подключение.
12. Негласное ознакомление.
14. Сбор и аналитическая обработка информации.
Инициативное сотрудничество проявляется в определенных действиях лиц, чем-то неудовлетворенных или остро нуждающихся в средствах к существованию, из числа работающих на предприятии или просто алчных и жадных, готовых ради наживы на любые противоправные действия. Известно достаточно примеров инициативного сотрудничества по политическим, моральным или финансовым соображениям, да и просто по различным причинам и побуждениям. Финансовые затруднения, политическое или научное инакомыслие, недовольство продвижением по службе, обиды от начальства и властей, недовольство своим статусом и многое другое толкают обладателей конфиденциальной информации на сотрудничество с преступными группировками и иностранными разведками. Наличие такого человека в сфере производства и управления предприятия позволяет злоумышленникам получать необходимые сведения о деятельности фирмы и очень для них выгодно, т.к. осведомитель экономит время и расходы на внедрение своего агента, представляет свежую и достоверную информацию, которую обычным путем было бы сложно получить.
Склонение к сотрудничеству – это, как правило, насильственное действие со стороны злоумышленников.Склонение,или вербовка, может осуществляться путем подкупа, запугивания, шантажа.Склонение к сотрудничеству реализуется в виде реальных угроз, преследования и других действий, выражающихся в преследовании, оскорблении, надругательстве и др. Шантаж с целью получения средств к существованию, льгот, политических выгод в борьбе за власть практикуется с легкостью и завидным постоянством. Некоторые конкуренты не гнушатся и рэкетом. По интенсивности насилия это один из наиболее агрессивных видов деятельности, где за внешне мирными визитами и переговорами кроется готовность действовать намеренно жестоко с целью устрашения. Весьма близко к склонению лежит и переманивание специалистов фирмы конкурента на свою фирму с целью последующего обладания его знаниями.
Выведывание, выпытывание – это стремление под видом наивных вопросов получить определенные сведения. Выпытывать информацию можно и ложным трудоустройством, и созданием ложных фирм и другими действиями.
Подслушивание – способ ведения разведки и промышленного шпионажа, применяемый агентами, наблюдателями, информаторами, специальными постами подслушивания. В интересах подслушивания злоумышленники идут на самые различные ухищрения, используют для этого специальных людей, сотрудников, современную технику, различные приемы ее применения. Подслушивание может осуществляться непосредственным восприятием акустических колебаний лицом при прямом восприятии речевой информации либо с помощью технических средств.
Наблюдение– способ ведения разведки о состоянии и деятельности противника. Ведется визуально и с помощью оптических приборов.
Процесс наблюдения довольно сложен, так как требует значительных затрат сил и средств. Поэтому наблюдение, как правило, ведется целенаправленно, в определенное время и в нужном месте специально подготовленными людьми, ведется скрытно. К техническим средствам относятся оптические приборы (бинокли, трубы, перископы), телевизионные системы (для обычной освещенности и низкоуровневые), приборы наблюдения ночью и при ограниченной видимости.
Хищение –умышленное противоправное завладение чужим имуществом, средствами, документами, материалами, информацией. Похищают все, что плохо лежит, включая документы, продукцию, дискеты, ключи, коды, пароли и шифры и др.
Копирование.В практике криминальных действий копируют документы, содержащие интересующие злоумышленника сведения; информацию, обрабатываемую в АСОД (автоматизированные системы обработки данных); продукцию.
Подделка (модификация, фальсификация) в условиях беззастенчивой конкуренции приобрела большие масштабы. Подделывают доверительные документы, позволяющие получить определенную информацию, письма, счета, бухгалтерскую и финансовую документацию, ключи, пропуска, пароли и др.
Уничтожение. В части информации особую опасность представляет ее уничтожение в АСОД, в которой накапливаются на технических носителях огромные объемы сведений различного характера, причем многие из них весьма трудно изготовить в виде немашинных аналогов. Уничтожаются и люди, и документы, и средства обработки информации, и продукция.
Незаконное подключение.Под незаконным подключением понимается контактное или бесконтактное подключение к различным линиям и проводам с целью несанкционированного доступа к информации.Незаконное подключение как способ тайного получения информации известен давно. Подключение возможно как к проводным линиям телефонной и телеграфной связи, так и к линиям связи иного информационного назначения: линиям передачи данных, соединительным линиям периферийных устройств больших и малых ЭВМ, линиям диспетчерской связи, конференцсвязи, питания, заземления и др.
Перехват. В практике радиоэлектронной разведки под перехватом понимают получение разведывательной информации за счет приема сигналов электромагнитной энергии пассивными средствами приема, расположенными, как правило, на достаточном расстоянии от источника конфиденциальной информации. Перехвату подвержены переговоры любых систем радиосвязи; переговоры, ведущиеся с подвижных средств телефонной связи (радиотелефон), переговоры внутри помещения посредством бесшнуровых систем учрежденческой связи и др.
Негласное ознакомление – способ получения информации, к которой субъект не допущен, но при определенных условиях он может получить возможность кое-что узнать (открытый документ на столе во время беседы с посетителем, наблюдение экрана ПЭВМ со значительного расстояния в момент работы с закрытой информацией и др.). К негласному ознакомлению относится и перлюстрация почтовых отправлений, учрежденческой и личной переписки.
Фотографирование – способ получения видимого изображения объектов криминальных интересов на фотоматериале. Особенность способа – документальность, позволяющая при дешифрировании фотоснимков по элементам и демаскирующим признакам получить весьма ценные, детальные сведения об объекте наблюдения.
Сбор и аналитическая обработка являются завершающим этапом изучения и обобщения добытой информации с целью получения достоверных и всеобъемлющих сведений по интересующему злоумышленника аспекту деятельности объекта его интересов. Полный объем сведений о деятельности конкурента не может быть получен каким-нибудь одним способом. Чем большими информационными возможностями обладает злоумышленник, тем больших успехов он может добиться в конкурентной борьбе. На успех может рассчитывать тот, кто быстрее и полнее соберет необходимую информацию, переработает ее и примет правильное решение.
В общем плане мероприятия по противодействию несанкционированному доступу к источникам конфиденциальной информации с помощью технических средств можно свести к следующим основным направлениям:
– защита от наблюдения и фотографирования;
– защита от подслушивания;
– защита от незаконного подключения;
– защита от перехвата.
На наш взгляд, такой перечень является независимым и непересекаемым на выбранном уровне абстракции, что позволяет рассмотреть определенное множество способов с увязкой с множеством источников конфиденциальной информации. Даже беглый обзор позволяет заключить, что к определенным источникам применимы и определенные способы. Не вдаваясь в сущность каждого способа несанкционированного доступа (СНСД), на общем уровне видно, что они могут быть сгруппированы с учетом физической природы реализации в определенные группы или направления части решения задач противодействия им (табл. 8).
Обобщенная модель способов несанкционированного доступа к источникам конфиденциальной информации
Источник
Основные способы НСД (из Руководящего документа ФСТЭК)
К основным способам НСД относятся[8]:
- непосредственное обращение к объектам доступа;
- создание программных и технических средств, выполняющих обращение к объектам доступа в обход средств защиты;
- модификация средств защиты, позволяющая осуществить НСД;
- внедрение в технические средства вычислительной техники программных или технических механизмов, нарушающих предполагаемую структуру и функции средства вычислительной техники и позволяющих осуществить НСД.
Классификация НСД
Методы и средства несанкционированного получения информации из КС можно классифицировать, исходя из разных признаков [16] (Рис.13.):
· по виду доступа,
· по уровню доступа,
· по характеру действий злоумышленника,
· по многократности доступа,
· по направленности действий злоумышленника,
· по тяжести последствий.
Рис.13. Классификация методов и средств НСД в КС.
По виду доступа все методы и средства можно разделить на две большие группы. К первой группе относятся методы и средства, используемые при локальном (физическом) доступек КС, а ко второй — методы и средства, используемые при удаленном доступе(по компьютерной сети). Как правило, любая, даже самая надежная КС при наличии у злоумышленника локального доступа, достаточных сил и средств и достаточного времени, не сможет обеспечить сохранности информации. При удаленном доступе КС может быть достаточно надежно защищена, но, с другой стороны, абсолютной безопасности КС, имеющей физическое подключение к сетям передачи данных, гарантировать также нельзя.
По уровню доступа методы и средства несанкционированного получения информации обычно разделяют на методы и средства:
Во многих современных операционных системах имеются встроенные учетные записи, предоставляющие их владельцами гостевой, административный, системный или неограниченный доступ. При создании дополнительных учетных записей в большинстве современных операционных систем можно указать любой уровень доступа, но изменить его для встроенных учетных записей зачастую невозможно.
По характеру действий злоумышленника используемые им методы и средства могут быть направлены на:
По многократности доступа выделяют методы и средства, направленные на:
· разовое получение НСД;
· многократное получение НСД.
В первом случае задача предупреждения несанкционированных действий злоумышленника значительно осложняется, однако часто, поскольку последний не заботится о сокрытии факта таких действий, несколько облегчается задача выявления таких действий. Во втором случае задача предупреждения упрощается, но усложняется задача выявления, поскольку основное внимание злоумышленник, планирующий многократно проникать в КС, сосредотачивает на сокрытии всех признаков такого проникновения.
По направленности действий злоумышленника методы и средства несанкционированного получения информации из КС подразделяются на:
· методы и средства, направленные на получение системной информации(файлы паролей, ключей шифрования, перечни учетных записей, схемы распределения сетевых адресов и т.п.);
· методы и средства, направленные на получение собственно прикладной информации.
Многих злоумышленников, проникающих в КС, подключенные к глобальным сетям, вообще не интересует хранящаяся в этих КС прикладная информация или интересует лишь в той степени, в какой она позволяет получить доступ к системной информации. Обычно такие злоумышленники используют подобные КС либо в качестве промежуточных узлов для проникновения в другие КС, либо для несанкционированного хранения собственной информации.
По тяжести последствий используемые злоумышленниками методы и средства несанкционированного получения информации можно разделить на:
· неопасные(сканирование портов, попытки установления соединений и т.п.),
· потенциально опасные (получение доступа к содержимому подсистем хранения данных, попытки подбора паролей и т.п.),
· опасные (получение доступа с высоким уровнем полномочий, модификация информации в КС, копирование системной и прикладной информации, создание собственной информации и т.п.)
· чрезвычайно опасные (уничтожение информации, блокирование доступа легальных пользователей к КС и т.п.).
Локальный доступ
Как уже отмечалось, при наличии у злоумышленника локального доступа к КС и благоприятной для него обстановки он сможет обойти практически любую защиту.
Рассмотрим подробнее методы и средства несанкционированного доступа к информации, которые можно применить на локальном уровне.
Прежде всего, злоумышленник может воспользоваться одним из самых древних способов, против которого не сможет противостоять никакая КС, — хищением. Хищение информации, ее носителей, отдельных компонентов КС и, учитывая современные тенденции к миниатюризации СВТ, целых КС было и остается одним из самых распространенных способов несанкционированного получения информации.
Вторым распространенным методом несанкционированного получения информации при локальном доступе к КС является использование открытого сеанса легального пользователя. Здесь возможности злоумышленника определяются лишь временем, на который он получает доступ к КС, полномочиями в КС легального пользователя и наличием (точнее, отсутствием) контроля со стороны легального пользователя или его коллег.
Близким к указанному выше методу является подбор пароля легального пользователя. Этот метод более “заметен” со стороны компонентов КС, обеспечивающих безопасность, однако также оказывается достаточно эффективным.
Еще одним методом локального несанкционированного доступа является использование учетной записи легального пользователя для расширения полномочий в КС. Он отличается от метода использования открытого сеанса легального пользователя тем, что в данном случае злоумышленнику не требуется выдавать себя за другого, поскольку он в силу тех или иных причин сам имеет доступ к КС.
Наконец, часто злоумышленнику, имеющему локальный доступ к КС, не нужно вообще обладать квалификацией даже среднего уровня, чтобы получить несанкционированный доступ к информации этой КС. Во многих случаях ему достаточно прибегнуть к такому простому приему, как загрузка альтернативной операционной системы. Такая система может загружаться как с дискеты, так и с компакт-диска. К особой разновидности этого метода является срабатывание функции автозапуска в Windows 98. Воспользовавшись этим изъяном, злоумышленник может запустить нужную ему программу даже на системе c Windows 98, защищенной с помощью экранной заставки с паролем.
Удаленный доступ
В отличие от локального доступа, палитра методов и средств несанкционированного получения информации из КС при удаленном доступе значительно шире и достаточно сильно зависит от используемой операционной системы (ОС), настройки параметров безопасности и т.п.
Типовой алгоритм удаленного проникновения в КС, которой пользуется большинство злоумышленников представлен на рис. 14.
Рис.14. Типовая схема несанкционированного получения информации из КС при удаленном доступе
Сбор информации
На этапе сбора информации злоумышленник определяет группу IP-адресов КС организации, доступных из сети общего пользования. Строго говоря, этапы сбора информации, сканирования, идентификации доступных ресурсов и, в какой-то мере, получения доступа могут предприниматься не злоумышленниками, а другими пользователями, которые сканируют все открытые порты КС.
Сканирование
Составив предварительную схему сети и наметив предварительный перечень наиболее уязвимых ее узлов, злоумышленник, как правило, переходит к сканированию. Сканирование позволяет выявить реально работающие КС исследуемой организации, доступные по Internet, определить тип и версию ОС, под управлением которых они работают, а также получить перечни портов TCP и UDP, открытых на выявленных КС.
Источник
