Хакер на все руки

Сегодня речь пойдет о ее грабителях. Выживает сильнейший В мире бизнеса и экономики давно признали важность решения проблемы защиты компьютерных данных. Громкие процессы, связанные с проникновением злоумышленников в корпоративные компьютерные системы, привлекли пристальное внимание специалистов в области высоких технологий, менеджеров и директоров компаний. Благодаря большим потерям, пусть с опозданием, но удалось осознать,. что с запуском в эксплуатацию каждой новой компьютерной системы, имеющей выход в глобальную сеть Internet, существует риск распахнуть окно, через которое злоумышленники всех мастей (профессиональные взломщики и грабители, обиженные сотрудники или ничем не брезгующими конкуренты) могут беспрепятственно проникать в святая святых компании и наносить той существенный материальный ущерб. Появилась потребность в разработке и внедрении мер защиты информации в компьютерных системах. И главным условием при этом стал выбор конкретных инструментов и решений. Выяснилось, что создание хорошо защищенной компьютерной системы невозможно без тщательного анализа потенциальных угроз для ее безопасности. Специалисты составили перечень действий, которые нужно произвести в каждом конкретном случае, чтобы представлять сценарии возможных нападений на компьютерную систему. Этот перечень включал: 1. определение ценности информации, хранимой в компьютерной системе: согласитесь, мало, кому придет в голову взламывать систему крупного банка, чтобы скачать игру "сапер" с компьютера его владельца. Но очень многие пожелают "слизать" номера счетов и прочие данные о владельцах крупных материальных вкладов. 2. оценку временных и финансовых затрат, которые может позволить себе злоумышленник для преодоления механизмов защиты компьютерной системы: каждая система имеет кучу своих "заморочек", для которых есть такая же куча взломщиков. Вопрос времени понятен, а вопрос финансов решается по мере необходимости написания определенных программ и приобретения должного оборудования. 3. вероятную модель поведения злоумышленника при атаке на компьютерную систему: сколько бы кто не пытался вычислить универсальную модель поведения, на сколько мне известно, никто успеха в этом еще не достиг. Я, например, знаю более полутора сотен вариантов взлома любого сайта и всегда могу от одного варианта перейти к следующему. 4. оценку временных и финансовых затрат, необходимых для организации адекватной защиты компьютерной системы: это из той же оперы. Мы можем только предположить, каким способом злоумышленник попытается влезть в нашу систему, а потому стопроцентной гарантии защищенности компьютерной системы гарантировать не может ни один здравомыслящий человек. Но, тем не менее, это не значит, что нужно сидеть, сложа руки, и ждать пока вас вскроет какой-нибудь "чайник" и выпотрошит содержимое вашего компьютера вместе с авторитетом "крутого программиста". Хакерство - чума XXI века. Бороться с ним нужно, но бесполезно. Мир интеллектуальных технологий сегодня можно сравнить с пещерной эрой человечества. Та же система: выживает сильнейший. Кто такие хакеры Таким образом, при проведении анализа потенциальных угроз безопасности компьютерной системы эксперт ставил себя на место злоумышленника, пытающегося проникнуть в эту систему. А для этого ему необходимо было понять, что представляет собой злоумышленник, от которого требуется защищаться. И, в первую очередь, нужно было как можно точнее, ответить на следующие вопросы: - насколько высок уровень профессиональной подготовки злоумышленника? Статистика компьютерных преступлений свидетельствует о том, что уровень профессиональной подготовки хакера варьируется в очень широких пределах. Хакером может стать даже школьник, случайно обнаруживший программу взлома на одном из специализированных хакерских серверов и сети Internet. В то же время отмечено и появление настоящих хакерских банд, главарями которых являются компьютерные специалисты высочайшей квалификации. При этом основной целью хакера является получение дополнительных привилегий и прав доступа к компьютерной системе. По отношению к атакуемой им компьютерной системе хакер может быть: посторонним лицом, не имеющим никаких легальных привилегий и прав доступа, либо пользователем интересующей его системы, обладающим ограниченными привилегиями и правами доступа. - какой информацией об атакуемой компьютерной системе он владеет? За исключением случая со школьником, нарывшим программку в сети, каждый уважающий себя хакер перед тем как атаковать компьютерную систему, всеми доступными способами пытается собрать максимум информации о ней. Начиная с данных об используемом программном обеспечении и заканчивая ее администраторами. Добывая необходимую информацию, профессиональный взломщик не брезгует и агентурными или оперативно-техническими методами (например, устанавливая подслушивающие устройства в местах, часто посещаемых обслуживающим персоналом компьютерных систем, которые он намеревается взломать). - как злоумышленник осуществляет доступ к этой системе? И здесь все очень просто: после сбора большого объема информации, о чем я говорил ранее, и перед попыткой взлома необходимой компьютерной системы, взломщик опробует методы, которые планирует применить для атаки на эту систему, на заранее подготовленной модели, имеющей те же средства обеспечения безопасности, что и атакуемая система. При этом хакер почти никогда не пользуется слишком мудреными и изощренными методами взлома защиты компьютерной системы, поскольку, чем сложнее алгоритм атаки, тем вероятнее возникновение ошибок и сбоев при его реализации. Сама атака компьютерной системы осуществляется по возможности быстро, чтобы ее администраторы не смогли зафиксировать сам факт взлома и не успели предпринять меры для отражения атаки и для выявления личности и местонахождения атакующего. - каким способом атаки он воспользуется с наибольшей вероятностью? Хакеры широко применяют программные закладки, которые самоуничтожаются либо при их обнаружении, либо по истечении фиксированного периода времени. Закладки - это такие вредоносные программы, типа вирусов, которые могут выполнять хотя бы одно из перечисленных ниже действий: вносить произвольные искажения в коды программ, находящихся в оперативной памяти компьютера (программная закладка первого типа), переносить фрагменты информации из одних областей оперативной или внешней памяти компьютера в другие (программная закладка второго типа), искажать выводимую на внешние компьютерные устройства или в канал связи информацию, полученную в результате работы других программ (программная закладка третьего типа). Подробнее о программных закладках я расскажу в следующих материалах. А сейчас вернемся к способам атаки на информацию. Чтобы минимизировать время, необходимое для взлома, и количество возможных ошибок, хакер обычно атакует компьютерную систему при помощи заранее написанных программ, а не вручную, набирая необходимые команды на клавиатуре компьютера, как это часто показывают в голливудских боевиках. Никогда не действует под собственным именем и тщательно скрывает свой сетевой адрес. На всякий непредвиденный случай у него имеется тщательно продуманный план как замести следы или оставить ложный след. Например, одновременно вести неумелую и заведомо обреченную на провал атаку, благодаря чему журнал аудита атакуемой компьютерной системы оказывается забит до отказа сообщениями о событиях, затрудняющих для системного администратора выяснение характера действительной атаки и принятие мер, чтобы не допустить ее в будущем. Памятка профессионалам Как я уже говорил, абсолютно защищенных систем не бывает. Но, чтобы максимально обезопасить себя от потери информации или аппаратных средств, необходимо соблюдать самые тщательные меры против проникновения во внутреннюю сеть почтовых вирусов. Так же просто обязательно использовать антивирусный контроль и контроль целостности системы на каждом компьютере сети. По возможности непрерывно просматривать и анализировать log-файлы на log-сервере, регулярно обновлять системное, сетевое и пользовательское программное обеспечение. Проверять трафик между внутренней сетью и Internet на предмет подозрительной сетевой активности. Со всех серверов должны быть удалены сервисы, в наличии которых нет большой необходимости. Межсетевые экраны должны быть тщательно сконфигурированы, чтобы пропускать только явно необходимый трафик (по адресам, портам и направлениям) и отбрасывать все иные пакеты (например, из внешнего интерфейса во внутреннюю сеть не должно приходить пакетов, в которых в качестве адреса отправителя указан адрес внутренней сети). Лучше всего, конечно, когда все программное обеспечение на все компьютеры защищаемой сети устанавливается и настраивается только системным администратором. Но такое, к сожалению, не всегда возможно. Пользователи зачастую устанавливают себе программы по собственному усмотрению, среди которых могут оказаться потенциально опасные. Поэтому желательно систематически производить контрольное сканирование сети с помощью средств выявления сетевых уязвимостей и принимать меры по "заделке" обнаруженных дыр. Фото с сайта http://www.ng.ru/