Разработано И.Б.Глазыриной, А.Д.Супониным, Т.Н.Худенко
Источник: КУРС: СОВРЕМЕННЫЕ ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ И СЕТИ. Рабочий учебник СГУ. Москва, 2001
Защита персональной информации имеет большое значение для каждого. Информация сегодня стала одной из наиболее желанных вещей в мире после товаров потребления, и Интернет представляет собой один из самых больших ее источников. Каждый день компьютеры обмениваются миллиардами байт данных по тысячам соединений, составляющим Интернет. Важно понимать, что почти любая информация, посылаемая через Интернет, может оказаться перехваченной.
Защита в Интернете - понятие весьма неопределенное. Никто не может гарантировать вам надежной защиты от нападений. Подключившись к Интернету или любой другой подобной сети, вы подвергаете себя определенному риску. Степень риска зависит от ряда факторов, и один из наиболее важных - это то, сколько внимания вы привлекаете к себе.
Компания, подключающая к Интернету большую сеть UNIX-машин в домене SUPERCYBER.COM, будет, конечно, привлекать намного больше внимания, нежели отдельная рабочая станция DOS, периодически подключающаяся к сети через телефонную линию с доменным именем PPPUSERI.NONAME.COM.
Пользователь, регулярно посылающий сообщения в различные телеконференции, с большей вероятностью станет объектом нападения, нежели пользователь, который редко пользуется ими.
Как только появились компьютеры, моментально нашлись и люди, которые захотели воспользоваться ими для получения несанкционированного доступа к хранящимся в них данным.
В прошлом большинство взломов происходили потому, что люди хотели получить свободный и неконтролируемый доступ к компиляторам или другим ресурсам системы. С течением времени факт вторжения в компьютерную систему, похоже, превратился для некоторых людей в спорт, и число взломанных систем приобрело для них большее значение, нежели фактическая информация или прикладные программы, находящиеся в этих системах.
Несмотря на незаконный характер компьютерных взломов, подавляющее их большинство ни что иное, как недоразумение, и его легко можно предотвратить. Число злоумышленных нападений чрезвычайно невелико в сравнении с общим числом взломов, происходящих ежедневно. Однако ущерб от злоумышленных нападений оценивается сотнями миллионов долларов в год.
Важно отметить, что наибольший материальный ущерб приносят профессионалы, деятельность которых носит целенаправленный характер либо из мести, либо в целях промышленного шпионажа. По сравнению с этим проделки подростков-хакеров - сущий пустяк, несмотря на обилие публикаций на эту тем
Подбор пароля. На сегодня пароли остаются основным средством защиты в большинстве компьютерных систем. К сожалению, большинство пользователей все еще не понимают, насколько важную роль играет их личный пароль и не умеют правильно его выбирать. Одним из наиболее распространенных способов взлома парольной защиты системы является обыкновенный подбор. Нападающий будет подставлять комбинации общеупотребительных имен пользователей и паролей, чтобы найти допустимую комбинацию, или может опробовать существующие системные установки паролей по умолчанию.
Правильно выбранный пароль содержит буквы, цифры, знаки препинания и специальные символы, и при этом он не связан ни с каким словом, которое может быть найдено в словаре.
Злоумышленник же, в свою очередь, рассчитывает на тех пользователей, пароль которых легко поддается подбору. Плохо выбранный пароль почти также бесполезен, как и полное его отсутствие.
Злоупотребление доверием пользователей. Один из наиболее эффективных методов получать информацию у ничего не подозревающих пользователей носит название social engineering. Несмотря на громкое имя, social engineering - не что иное, как профессионально выполняемая имитация. Многие злоумышленники добились высокого мастерства в имитации системных администраторов, персонала телефонной компании и обманывали порой очень опытных и осторожных людей, выведывая у них важную информацию. Даже опытные пользователи часто так и не узнают, что общались с подставным лицом спустя месяцы после того, как злоумышленник использовал полученную информацию, чтобы войти в компьютерную систему их компании.
Что бы вы сделали, если бы кто-то позвонил вам, назвался представителем вашего сервис-провайдера и сказал, что имеется проблема с вашим доступом в Интернет, и им необходимо назначить вам новый пароль “из соображений безопасности”, но нужен старый для проверки? Многие люди предоставляют такую информацию.
Поэтому прежде чем что-либо говорить, следует удостовериться в полномочиях собеседника и попытаться узнать побольше информации, например, его имя и номер телефона, где вы можете его найти. При этом желательно, чтобы названный номер совпадал с известным вам номером службы технической поддержки вашего сервис-провайдера. Все это может слегка походить на паранойю, однако подобные игры на доверие происходят слишком часто, чтобы пренебрегать мерами предосторожности.
Один из способов получения информации - это буквальное отслеживание ее перемещений по сети. Появление программ, позволяющих декодировать пакеты данных, посылаемые по локальной сети Ethernet, либо перехватывать строки символов, посылаемые с клавиатуры, привело в последнее время к большому количеству компьютерных взломов.
Один из самых простых и наиболее эффективных способов защиты данных от посторонних глаз - шифрование. Существуют многочисленные алгоритмы шифрования, которые включены в сотни пакетов программ. Имеются многочисленные FTP-серверы с архивами таких программ.
Программные средства защиты. На рынке можно встретить большое количество программ, позволяющих защищать свою систему. Многие программы схожи, но одни из них предлагают больше возможностей, чем другие. Для индивидуальных пользователей практически любой пакет может оказаться достаточным средством защиты.
Корпоративные пользователи предпочитают коммерческие пакеты, поскольку им гарантируется техническая поддержка и постоянное обновление программного обеспечения. В любом случае пользователь должен решить, какие особенности ему действительно необходимы, и затем выбрать пакет, который лучше всего удовлетворяет его потребности.
Коммерческие пакеты. Пакеты типа Disklock Fifth Generation и PC-DACS Mergent - примеры коммерческих пакетов защиты информации. Disklock объединяет утилиты аудита, шифрования и возможность поиска вирусов в одном пакете. PC-DACS обеспечивает большее количество параметров, чем другие пакеты, в области ограничения нежелательного доступа к файлам, программам, дисководам и даже портам.
Пакеты условно-бесплатного распространения (shareware) типа Lock от Secure Systems Group обеспечивают защиту входа в систему, контроль загрузки, управление доступом к файлам, утилиты шифрования и аудита. Lock также включает возможность проверки контрольной суммы файлов для защиты от вирусов.
Другие программы общего пользования обеспечивают парольную защиту начальной загрузки, блокировку каталога и отключение дисковод
Установка прав доступа к файлам. Чтобы гарантировать доступ к некоторой информации только определенным пользователям, операционные системы позволяют управлять доступом к файлам. Почти все многопользовательские операционные системы предоставляют средства управления доступом, и даже автономные ПК могут осуществлять такое управление при помощи соответствующего программного обеспечения.
Удаление файлов. Обычно если вы удаляете файл, информация на самом деле остается на диске. В DOS-системах файл, удаленный при помощи команды DEL или ERASE, может быть легко восстановлен при помощи команды UNDELETE или различных дисковых утилит. Только если конкретные секторы на жестком диске, принадлежавшие программе или данным, перекрыты другой программой или данными, ваша информация надежно защищена от восстановления.
Это справедливо также и в отношении системы NetWare, в которой утилита SALVAGE обеспечивает восстановление файлов, которые не были полностью удалены командой PURGE.
Другие операционные системы могут иметь, а могут и не иметь механизма восстановления удаленных файлов, но для большей уверенности следует выяснить этот вопрос, а не полагаться на то, что удаленные файлы действительно удалены.
Следует использовать утилиты, которые гарантируют стирание файла, записывая в дисковую область удаляемого файла серии нулей или единичек. Central Point имеет в пакете дисковых утилит такую программу, называемую WIPE.EXE.
Аппаратные средства. Удивительно, но одна из угроз компьютерной секретности исходит непосредственно от аппаратных средств. Даже если вы используете длин амысловатые пароли, шифруете все данные прежде, чем послать в Интернет, отключили телефонную линию и закрыли все двери и окна, все равно существует потенциальная возможность перехватить ваши данные.
Компьютерное оборудование в сущности является радиопередатчиком. Все компоненты, из которых состоит компьютер, излучают информацию на некоторых частотах, и эта информация может быть перехвачена, а затем обработана с целью восстановления. Два компонента, излучающие наиболее полезную информацию, - контроллер клавиатуры и дисплей.
Персональные компьютеры, обеспечивающие надежную защиту от такого рода угроз, стоят около 5000 долларов.
Информацию по защите ваших данных можно найти в следующих источниках. Список рассылки Cypherpunks обсуждает вопросы секретности, шифрования и связанные с ними вопросы. Это очень объемный список рассылки. Чтобы попасть в него, пошлите электронное сообщение по адресу cypherpunks-request@toad.com, содержащее слово SUBSC-RIBE в поле subject.
Существует также FTP-сервср Cypherpunks:
ftpcsua.berkeley.edu/pub/cypherpunks
Этот сервер - один из основных файловых архивов, содержащих последние версии популярной программы PGP (программа шифрования).
Computer Professionals for Social Responsibility поддерживает Gopher-сервер, содержащий материалы по защите информации. Адрес этого Gopher-сервера - cpsr.org. Кроме того, у этой организации есть WWW-сервер - http://cpsr.org/.
Имеется ряд телеконференций, посвященных проблемам секретности и шифрования. Вот некоторые:
alt.security.ripem
altsecurity.pgp
alt.security, keydist
alt.privacy
comp.privacy
sci.crypt
Вирусы в многопользовательских системах. Подавляющее большинство компьютерных вирусов созданы для заражения персональных компьютеров, работающих под управлением MS-DOS или DOS совместимых операционных систем.
Возможность вирусных атак в многопользовательских системах, конечно, существует, но пока остается лишь теорией. В сетях обычные пользователи не имеют доступа к ключевым областям системной памяти, где вирусы должны были бы находиться, чтобы инфицировать другие программы. Пользователи также не имеют права записи в каталогах с какими-либо общедоступными утилитами. В подобной ситуации существует возможность появления вируса, однако чтобы причинить существенный вред, этот вирус должен быть активизирован пользователем с правами супервизора.
Можно с уверенностью сказать, что компьютеры более подвержены физическим повреждениям, нежели действию компьютерных вирусов Другие типы программ, причиняющих ущерб
Вирусы, конечно, не единственный тип программного обеспечения, которого следует опасаться. Есть много компьютерных программ другого типа, написанных, чтобы причинять вред и разрушать данные на персональных компьютерах и рабочих станциях. Некоторые из них способны к самостоятельному распространению, а другие требуют, чтобы запускалась программа-носитель, но в этих программах никогда не совмещаются оба способа, поэтому их нельзя назвать настоящими компьютерными вирусами.
Логическая бомба, червь и Троянский конь - примеры такого типа невирусного программного обеспечения. Подобные программы могут и не разрушать данные, но выполнять иные нежелательные действия.
Логическая бомба (logic bomb) - это программа, которая активизируется, когда выполняется определенный набор критериев. Это может быть наступление определенной даты, обращение к определенному файлу или выполнение определенной последовательности действий. Например, вирус Michelangelo, который был установлен на 5 марта, - это логическая бомба. Другим примером была бы программа, которая ждет, пока пользователь не обратится к определенному файлу 500 раз, а затем стирает весь жесткий диск. Ходят слухи, что наступление нового века будет моментом взрыва бесчисленного количества логических бомб.
Червь (worm) - это программа, которая периодически копируется наряду с выполнением своих основных функций. Различие между вирусами и червями незначительно и состоит в том, что черви поддерживают себя сами и не требуют, чтобы запускался носитель. Многие программы типа червя были разработаны для среды рабочих станций и “размножаются” самостоятельно, создавая свои копии.
Наиболее известный пример червя - Интернет Worm 1988 года Роберта Морриса Младшего (Robert Morris Jr.). Из-за ошибки в программе sendmail на BSD UNIX-системах эта программа смогла скопировать себя на тысячи компьютеров в Интернет. Программа подсоединялась к sendmail-порту различных UNIX-машин, соединенных с Интернетом, через этот черный ход копировала себя на данную систему и запускала эту копию. С распространением червя количество его копий росло по экспоненте. В конечном итоге на тысячах систем были запущены многочисленные копии червя, что вызвало ощутимое снижение производительности систем. Когда администраторы стали обнаруживать снижение производительности и наличие многочисленных процессов, порожденных червем на своих системах, они были вынуждены разрывать сетевые соединения и удалять эти процессы. Это привело к простою около 6000 компьютеров по всему Интернету.
Целью червя не было нанесение ущерба, и большая часть из 100-миллионных убытков, приписываемых ему, была вызвана скорее простоем, перезагрузкой систем и удалением следов программы-червя, нежели потерей данных.
Троянский конь (Trojan Horse) попадает в компьютерную систему под видом определенной программы, но, запускаясь, выполняет другую (часто скрытую) функцию. Наиболее частыми примерами Троянских коней в Интернете являются “подправленные” программы входа в систему (login programs), которые записывают имена пользователей и их пароли при регистрации в системе. Вариациями на ту же тему являются модифицированные демоны Telnet и FTP.
Источники информации о вирусах. Информацию, касающуюся защиты от вирусов, можно найти в следующих источниках:
McAfee Associates, Inc. имеет FTP-сервер для распространения своих антивирусных продуктов. Это сервер с адресом mcafee.com (192.187.128I).
Телеконференция - это форум вопросов и ответов относительно компьютерных вирусов. Соответствующий FTP-архив находится на сервере ftpcert.org в подкаталоге /pub/virus-1.
FTP-aрхив Вашингтонского университета содержит множество антивирусных продуктов общего пользования. Он находится по адресу wuarchive.wustl.edu в подкаталоге /pub/msdos/trojan-pro.
* Электронный журнал 40 HEX - это журнал, издаваемый непосредственно авторами вирусов. Он содержит исходные тексты новых вирусов, интервью с их авторами, а также общие статьи на тему компьютерных вирусов. Журнал можно найти на FTP-сервере agl.gatech.edu подкаталоге /pub/virii/40hex.
