Подмена и подлог представляют серьезную угрозу для информационной системы вашей компании. Что же может предпринять администратор, чтобы уменьшить ее уязвимость?


ГУБИТЕЛЬНАЯ ВЕЖЛИВОСТЬ
НЕЗАЩИЩЕННЫЙ ПО СВОЕЙ ПРИРОДЕ
ПЛАН КОНТРАТАКИ
ШИРОКИЙ ВЗГЛЯД НА СИТУАЦИЮ
СОЗДАНИЕ ДОВЕРИЯ К КИБЕРПРОСТРАНСТВУ
СЕМЬ РАЗ ОТМЕРЬ

ПРЕСТУПЛЕНИЯ ПОСРЕДСТВОМ ПОДЛОГА

ПРИМЕР ВОЗМОЖНЫХ МЕР
Защита информации вашей компании


Об изощренных подвигах хакеров и кракеров кричат газетные заголовки, но конфиденциальную информацию можно получить и более простыми путями. Во многих случаях злоумышленники даже не должны быть технически подкованными людьми. Все, что нужно, - это решиться предпринять несколько рискованных шагов.

Один из простейших способов проникнуть в систему вашей организации - представиться другим лицом. Данная тактика характеризуется как подмена или подлог (masquerading and spoofing). Вот типичный пример такой атаки.

Персонал справочного отдела одной калифорнийской компании с подкупающей готовностью сообщил подробности относительно удаленного доступа к терминальному серверу, в частности номер телефона, с помощью которого любой желающий может проникнуть в их внутреннюю сеть, так как вход не защищен даже паролем. Все, что потребовалось сделать для получения этой информации, - представиться законным пользователем и поведать душещипательную историю о том, что "мой жесткий диск накрылся, а вместе с ним был утерян и номер телефона".

Как удалось узнать имя законного пользователя? Автоматический секретарь на коммутаторе сообщил не только имена сотрудников, но и то, как они пишутся (это было сделано якобы для улучшения обслуживания клиентов). Вы можете спросить, как сотрудник справочного стола не заметил, что звонок производился с внешнего, а не с внутреннего телефона? А как он мог это заметить, ведь вызов прошел через коммутатор и выглядел поэтому как законный внутренний вызов. Сколько времени отняло получение этой информации? Меньше пяти минут. (Некоторые из атак посредством подлога описаны во врезке "Преступления посредством подлога".)

Даже при тех атаках, где активно используются технические знания, их исполнители прибегают к помощи подлога и подмены для достижения своих целей. Петер Гольдис, консультант по защите от атак, формулирует это следующим образом: "Для получения незаконных полномочий злоумышленник представляется другим лицом, например системным администратором". Если незаконному пользователю удастся замаскироваться под законного, то система не выдаст никаких предупреждений, а журналы событий не будут содержать чего-либо достойного внимания.

ГУБИТЕЛЬНАЯ ВЕЖЛИВОСТЬ

Наивность сыграла решающую роль во многих удачных атаках с подлогом и подменой. Часто относимые к социальному инжинирингу, эти атаки оказываются успешными исключительно благодаря услужливости и вежливости сотрудников. Точно так же, как люди автоматически придерживают дверь в подъезд с кодовым замком, когда кто-нибудь идет следом за ними, так и многие сотрудники часто не задумываясь предоставляют информацию, с помощью которой злоумышленник может проникнуть в информационную систему компании.

В одном, ставшем классическом, случае студент проводил опрос на стоянке возле здания управления одной крупной промышленной компании. Он говорил своим респондентам, что пишет курсовую работу на тему, какие пароли задают люди и насколько их трудно угадать. Якобы, чтобы собрать данные для своей курсовой, он задавал несколько вопросов, в том числе какой пароль использовал данный человек. Студент завлекал собеседника в разговор, из которого получал необходимую информацию о человеке, по которой можно было с достаточной степенью вероятности предположить идентификатор пользователя.

Многие опрашиваемые отходили с мыслью о том, какой интересной работой занимается студент и что им, пожалуй, следует поменять пароль. Однако никому из них не пришла в голову мысль, что их слова будут использованы для проникновения в информационную систему компании.

Внимание, уделяемое защите периметра сети (например, коммутируемых и Internet-соединений), не мешает подмене и подлогу оставаться весьма действенным средством проникновения через внешние "заставы", хотя, конечно, эти формы мошенничества наиболее эффективны внутри сети.

Айра Винклер, ответственный за информационную защиту в National Computer Security Association, рассказал мне историю, как он выдавал себя за недавно нанятого специалиста по информационной защите. После нескольких интервью с руководящими сотрудниками по поводу анализа рисков Винклер смог узнать не только, что собой представляет закрытая информация, но и где она хранится. Никто даже и не подумал удостовериться в том, что Винклер действительно тот, за кого себя выдает, и все без малейшего колебания сообщали ему важную информацию.

НЕЗАЩИЩЕННЫЙ ПО СВОЕЙ ПРИРОДЕ

Современная сетевая коммуникационная инфраструктура открывает многочисленные возможности для атак посредством подлога и подмены. Отчасти это связано с тем, что трафик в Internet, в частности трафик Web, имеет анонимный характер. Электронная почта может быть запросто отправлена от имени другого лица. Например, чтобы укрыться от возмездия, рассылающие "сорную" почту скрывают свой настоящий адрес.

Недавние атаки с подменой IP-адреса еще более акцентируют проблему анонимности в Internet. Новые коммуникационные механизмы, например анонимные ретрансляторы почты, еще более упрощают общение без идентификации корреспондентов.

Еще более привлекательными подмену и подлог делает легкая доступность разнообразной компьютеризованной персональной информации. Даже такая информация, как остаток на кредитной карточке, доступна очень и очень многим, хотя по идее доступ к ней должны иметь только те, кому это положено.

Доступность этой информации взращивает семена одного из наиболее неприглядных порождений подлога и подмены - кражи имени. Эта серьезная и глубокая проблема состоит в заимствовании имени человека с целью незаконного получения его полномочий или других преимуществ. Популярность кражи имени ведет к тому, что все чаще злоумышленники используют поддельные визитные карточки, паспорта и другие документы для того, чтобы выглядеть более убедительно.

ПЛАН КОНТРАТАКИ

Несмотря на увеличение риска, многие организации даже не подумали принять меры для снижения вероятности успешных атак с подменой или подлогом. Они не затрудняют себя проверкой личности корреспондентов, с которыми общаются по Internet или по телефону, или проверкой запроса, даже если он выглядит несколько странно. Когда у сотрудников возникают подозрения, они отмахиваются от них, считая, что это не их дело.

Чтобы противодействовать подобной угрозе, персонал следует проинструктировать на этот счет. Сотрудники должны также твердо знать, что принятие мер предосторожности против таких атак как в их личных интересах, так и в интересах компании в целом.

Наиболее распространенный способ доведения до сведения персонала информации о мерах защиты - памятки с напечатанными правилами (см. врезку "Защита информации вашей компании"). Правила должны четко формулировать намерения руководства, служить удобной справкой при обучения новых сотрудников и обеспечивать согласованную реализацию информационной защиты в масштабах организации.

Информация должна быть четко классифицирована, с указанием ее категории, например "только для внутреннего использования". Сотрудники должны твердо знать, какие данные ни в коем случае не должны выходить за пределы организации и какие данные можно предавать широкой огласке. Например, некоторые компании, обеспокоенные тем, что конкуренты переманивают у них квалифицированных сотрудников, принимают специальные меры с целью предотвращения разглашения имен определенных должностных лиц. Если звонящий спрашивает по телефону, кто занимает такую-то должность, то оператор на коммутаторе отвечает: "Извините, эта информация не подлежит разглашению".

Другие стандартные правила предусматривают запрет на разглашение домашних адресов и телефонов сотрудников, а также другой личной информации. Чем меньше сведений может получить посторонний, тем меньше вероятность, что он придумает какую-либо правдоподобную уловку.

Еще одной насущной мерой является проверка информации о новых сотрудниках, консультантах, подрядчиках и иже с ними. Проверка биографии стала теперь обычным делом не только в военной сфере, но и в мире бизнеса, в особенности когда сотрудник нанимается на ответственную должность в отделе ИТ, например на должность администратора системы защиты. Привлечение к уголовной ответственности, уклонение от налогов, недисциплинированное поведение за рулем и негативные отзывы предыдущего нанимателя - все эти моменты заслуживают проверки.

Один из древнейших и эффективнейших способов организации подлога состоит в найме на работу к конкуренту. С одной стороны, человек может быть преданным и усердным сотрудником, с другой - он может передавать закрытую информацию вашему сопернику. Противоречия, продолжительные перерывы в трудовой биографии и попытки утаить ту или иную информацию о себе - все это должно служить предостережением нанимателю.

ШИРОКИЙ ВЗГЛЯД НА СИТУАЦИЮ

Учитывая скорость перемен в наш век информации и постоянное усложнение информационных систем, способность работников представлять себе общую картину взаимосвязи бизнес-процессов играет все более значимую роль. Вооруженные этим знанием, они имеют больше шансов заметить, когда что-либо идет не так, как надо. Иногда только внешние или внутренние аудиторы имеют достаточные возможности и широту взгляда. Однако во многих случаях программное обеспечение аудита систем и приложений, например приложения для обнаружения проникновения, позволяют выявить подозрительные действия еще до того, как они приведут к серьезным последствиям. Такое программное обеспечение предлагают две компании - Axent Technologies, производитель Intruder Alert, и BBN Plane, разработчик Internet Site Patrol.

Широкий взгляд на ситуацию абсолютно необходим, если вы хотите предотвратить серьезные злоупотребления. Взять, к примеру, историю с хакером по прозвищу Малек, о которой "Уолл-стрит Джорнал" рассказывал несколько лет назад. Хакер проник в почтенное бюро кредитной информации и украл несколько досье (и в том числе номера кредитных карточек). Затем Малек позвонил в Western Union и попросил о переводе денег с карточки, представившись ее законным держателем. В соответствии с принятой практикой, сотрудники Western Union с целью предотвращения возможного мошенничества всегда перезванивают держателям карточек в случае получения просьбы перевода денег. Однако Малек проник также и на коммутатор АТС и перенаправлял вызовы на аппарат в телефонной будке.

Хотя статья в "Уолл-стрит Джорнал" и не сообщает о конкретных обязанностях сотрудников, все же удивительно, как они не заметили необычайно большое число просьб о переводе денежных средств за относительно короткий период времени, а также то, что подтверждение о переводе давал один и тот же мужской голос. Некоторые (хотя и не все) из этих необычных фактов могли быть обнаружены автоматически, с помощью программного обеспечения аудита, например. Однако наилучшим способом предотвращения таких атак является наличие ответственных, заинтересованных и настороженных сотрудников.

Со все большей автоматизацией методов атаки потребность в наличии у сотрудников общего представления о процессах будет расти. Рассмотрим предполагаемый сценарий, предложенный Доном Б. Паркером, главным консультантом по системам управления в SRI Consulting. Паркер говорит о SATAN и других широко доступных инструментах обнаружения потенциальных "дыр" как о первом шаге на пути к полностью автоматизированному преступлению. В настоящее время любой желающий может анонимно проверить надежность защиты подключенной к Internet машины и использовать эту информацию для последующего успешного проникновения в систему. Наличие глубоких технических знаний вовсе не обязательно - только желание и умение следовать инструкциям.

Паркер полагает, что полностью автоматизированные преступления, такие как саботаж и мошенничество, будут вскоре осуществляться с помощью готовых программных пакетов. Например, хакеры смогут использовать такой пакет для атаки телефонной компании, службы внутренних перевозок и других специфических организаций. Пакеты будут предусматривать возможность настройки на работу в конкретной компьютерной среде атакуемой организации. Пользователи этих программ загрузят атакующий код с анонимного сервера Web, запустят его с помощью сценариев или полностью положатся на пакет, в частности на то, что он сам уничтожит все улики, по которым инициатор атаки мог бы быть обнаружен. Более того, злоумышленники окажутся настолько отделены от своих неблаговидных дел, что они не будут даже порой знать, кто стал их жертвой (как это происходит сегодня в случае распространения компьютерных вирусов). Успешные атаки такого рода вполне вероятны, если организации не примут строгих мер контроля для предотвращения подлога и подмены.

СОЗДАНИЕ ДОВЕРИЯ К КИБЕРПРОСТРАНСТВУ

каким образом инициируется типичная транзакция с биржевым брокером? Как правило, звонка по телефону для этого достаточно. Традиционные меры предосторожности основываются на том, что брокер знает голос своего клиента и обменивается с ним несколькими репликами об его семье и т. п. Такой подход срабатывает, когда брокер поддерживает более-менее тесные отношения со своими клиентами. С увеличением числа сделок через Internet с людьми, которых брокер никогда не видел в лицо, личность клиентов уже необходимо устанавливать каким-то иным образом. Как считает Паркер, мы должны научиться доверять "новой коммуникационной среде".

Создать доверие к новому сетевому миру особенно трудно из-за того, что традиционные подозрительные мелочи здесь зачастую не проявляются: странное выражение лица, немотивированные паузы и странные звуки в речи, необычная жестикуляция - все эти зацепки отсутствуют. Более того, компьютеры не в состоянии отличить законного пользователя от того, кто завладел его идентификатором и паролем. Очевидно, что меры контроля должны быть более действенными. Для ком-

муникаций через Internet рекомендуемый подход предусматривает среди прочего использование цифровых сертификатов, цифровых подписей и динамических паролей.

Цифровые сертификаты представляют собой некую совокупность информации. Если говорить точнее, они содержат имя пользователя, его открытый ключ и цифровую подпись независимого поручителя, подтверждающего, что открытый ключ принадлежит данному лицу. Эти сертификаты служат гарантом того, что данный человек действительно тот, за кого себя выдает.

Как паспорт, цифровые сертификаты предоставляют достаточное подтверждение личности пользователя. Они позволяют также организовать шифруемый сеанс для проведения защищенной электронной транзакции (Secure Electronic Transaction, SET) по Internet. Благодаря эффективности цифровых сертификатов в качестве средства проверки личности пользователя многие организации предпочитают использовать именно их вместо традиционных фиксированных паролей при проведении операций по Internet. Двумя основными поставщиками цифровых сертификатов для Internet являются VeriSign и GTE. (Дополнительную информацию о цифровых сертификатах и шифровании с открытыми/личными ключами см. в статье Аниты Карве "Инфраструктура с открытыми ключами" в декабрьском номере LAN за прошлый год.)

Цифровые подписи становятся неотъемлемыми элементами транзакций электронной коммерции через Internet. Цифровая подпись - это усеченный результат применения шифрования к конкретному файлу, базе данных, транзакции, программе или другой информации. При замене даже одного бита из этой совокупности информации соответствующая цифровая подпись также изменится. Поэтому цифровые подписи чрезвычайно полезны для проверки целостности информации (они гарантируют, что какая-либо ее часть не была изменена или удалена). Кроме того, они позволяют убедиться, что информация была действительно предоставлена именно этим лицом или организацией: личным ключом располагает только он, поэтому цифровая подпись может принадлежать только ему.

Цифровые подписи все шире используются для удостоверения заключенных соглашений, заказов на поставку товаров и т. п. Кроме того, многими американскими судами цифровые подписи признаются эквивалентными обычной подписи. Помимо интегрированных в браузеры, такие как Internet Explorer компании Microsoft, цифровые подписи предоставляются многими разработчиками, например Cylink и National Semiconductor.

Другим важным средством проверки личности удаленного партнера служат динамические пароли. Меняющиеся каждый раз при открытии нового сеанса, они могут служить для идентификации не только удаленного лица, но и удаленного сервера. Динамические пароли необходимы, так как подмена и подлог могут быть автоматизированы таким образом, что пользователи будут считать, что они достигли нужного сервера, в то время как это на самом деле не так.

Классическим примером подлога является случай, когда хакер получил "представительский телефонный номер" (т. е. когда абонент сам выбирает себе конкретный номер телефона). Номер этот намеренно отличался всего на одну цифру от номера модемного пула местного банка. Хакер запрограммировал свой ПК на выдачу того же экрана регистрации, что и у банка. Время от времени кто-нибудь набирал номер неправильно и попадал на номер хакера, связывался с его машиной, вводил свой идентификатор и пароль, а затем сеанс внезапно прерывался. Полагая, что разрыв был вызван какими-то проблемами на линии связи, законный пользователь звонил повторно, подключался к настоящему банковскому компьютеру и даже не вспоминал об имевшем место недоразумении. Между тем хакер получал регистрационную информацию для последующего корыстного использования.

Динамические пароли позволяют предотвратить такого рода злоупотребления при доступе к удаленным системам. Подходов существует несколько, в том числе на основе смарт-карт, чей дисплей показывает новый пароль каждые 60 секунд. При таком подходе пользователь должен набрать пароль по запросу удаленного сервера. Наиболее широко распространенным видом подобных смарт-карт является SecureID компании Security Dynamics.

Другой подход состоит в использовании протоколов по типу запрос/ответ, предполагающих обмен случайными последовательностями символов, прошедших через процесс шифрования. Если оба участника удаленного сеанса выполнили эти преобразования успешно, то они могут быть уверены в подлинности другой стороны. Одним из наиболее популярных продуктов из этой серии является S/Key компании Bellcore.

Проверка личности любого пользователя со значительными административными полномочиями абсолютно необходима для обеспечения информационной безопасности. Если система не в состоянии надежно определить, кто ее использует, она не должна предоставлять никаких услуг, помимо общедоступных. Если надежная проверка личности пользователя не гарантируется, то не имеет особого значения, насколько тщательно регистрируются все события и какие ограничения на полномочия применяются. Эти замечания справедливы и для межличностного обмена информацией. Более конкретно - пользователи должны знать, с кем они имеют дело, иначе они могут открыть важную или закрытую информацию не тому лицу.

СЕМЬ РАЗ ОТМЕРЬ

Переход к клиент-серверным и другим малым системам означает, по словам Голдиса, консультанта по защите от атак, "возврат назад в области защиты". Иными словами, отрасль информационных технологий фактически изобретает заново защиту для малых систем, получив тяжелые удары от хакеров, а тем временем организации оказываются практически беззащитными перед злоумышленниками. В среде мэйнфреймов администратор мог определить, кто последний раз изменял системный файл. В среде же малых систем журнал содержит обычно только сведения о дате и времени изменения файла, а также список идентификаторов пользователей, работавших в то время в системе. Не только протоколируется гораздо меньше информации, но и средства управления системой гораздо более скудные, например отсутствует контроль за изменениями. Это означает, что в клиент-серверной среде подлог и подмену осуществить гораздо легче и что, как следствие, мошенничество, саботаж и другие злоупотребления выглядят весьма заманчиво для потенциальных преступников ввиду простоты их осуществления.

Согласно обзору Американского общества противодействия промышленному шпионажу за 1996 год, число зафиксированных случаев возросло втрое с 1992 года. По моему мнению, беспрецедентный рост числа хищений информации вызван в первую очередь все более расширяющимся взаимодействием между системами и дисбалансом между открытостью и защищенностью. Не настало ли время задуматься о том, каким образом подмена и подлог могут быть использованы для проникновения в вашу систему?


Чарльз Крессон Вуд, CISA, CISSP - независимый консультант по информационной защите. С ним можно связаться через его Web-узел www.baselinesoft.com или по электронной почте: charles@baselineosft.com.

ПРЕСТУПЛЕНИЯ ПОСРЕДСТВОМ ПОДЛОГА

Подмена и подлог могут использоваться для организации целого ряда компьютерных преступлений, в том числе для:

  • нарушения авторского права;
  • кражи оборудования;
  • вымогательства;
  • подделки;
  • мошенничества и хищения;
  • кражи имени;
  • промышленного/военного шпионажа;
  • нарушения прав личности;
  • саботажа (включая вывод системы из строя);
  • несанкционированного использования системы.

ПРИМЕР ВОЗМОЖНЫХ МЕР

Защита информации вашей компании

Выдать себя за другое лицо в общедоступной сети, например в Internet, не представляет особого труда. Поэтому, прежде чем сотрудники предоставят какую-либо закрытую информацию о компании, вступят в сделку или закажут продукт по общедоступной сети, они должны удостовериться в подлинности лица или организации, с которой они имеют дело. Для этих целей идеально подходят цифровые сертификаты, но при их отсутствии вы можете использовать другие средства (например, рекомендательные письма, поручительства третьих лиц и разговор по телефону).

Кроме того, компания может реализовать и другие меры защиты. Например, независимо от обстоятельств, пароли не должны никогда сообщаться кому-либо, кроме уполномоченного лица. При сообщении кому-либо пароля законный обладатель отвечает за действия другого лица, которому его доверил. Если пользователям необходим доступ к общим данным на компьютере, то им следует использовать электронную почту, общедоступные каталоги на локальных серверах и другие подобные механизмы.

Пароли ни в коем случае не следует сообщать по телефону. Для получения нового пароля пользователь должен явиться лично и представить удостоверение личности.

Сотрудники не должны рассказывать ни одному лицу за стенами компании об управлении информационной системой и ее конкретной реализации, за исключением случаев, когда они имеют на то разрешение начальника отдела информационной безопасности.

Если транзакции инициируются или обрабатываются автоматически (например, посредством Electronic Data Interchange), то сообщение следует принимать и обрабатывать только в том случае, если: а) оно соответствует типичному профилю организации-отправителя, или б) при невыполнении пункта а) его подлинность удостоверена другими средствами.


* Извлечение из книги Чарльза Крессон Вуда "Меры информационной защиты" ("Information Security Policies Made Easy", издательство Baseline Software, 1997 г.).