Безопасность. Контрмеры. Атака изнутри системы. Троянские кони. Фальшивая программа регистрации. Логические бомбы. Потайные двери. Переполнение буфера.

Контрмеры.В некоторых компьютерных системах, серьезно относящихся к вопросу безопасно­сти, часто предпринимаются шаги, призванные усложнить несанкционирован­ный вход в систему. Так, компания может установить политику, разрешающую регистрацию сотрудников патентного отдела только с 8 часов утра до 5 вечера с понедельника по пятницу и только с машины, находящейся в патентном отделе. Любая попытка сотрудника патентного отдела зарегистрироваться в другие часы или не с того компьютера будет расцениваться как попытка взлома системы.

Телефонные коммутируемые линии также можно сделать более безопасными. Например, всем разрешается регистрироваться в системе через модем по телефонной линии, но после успешной регистрации система немедленно прерывает соеди­нение и сама звонит пользователю по заранее условленному номеру. Такая мера означает, что взломщик не может вломиться в систему с любой телефонной ли­нии.Все попытки входа в систему должны регистрироваться. Когда пользователь регистрируется, система должна сообщать ему дату и время последней регистра­ции, а также терминал, с которого производилась эта регистрация, чтобы пользо­ватель мог заметить взлом системы злоумышленником.Еще один вариант защиты может заключаться в установке ловушки для взлом­щика. Простая схема ловушки представляет собой специальное имя регистрации с простым паролем. При каждом входе в сис­тему с таким именем системные специалисты в области безопасности немедленно уведомляются.

Атаки изнутри системы.Зарегистрировавшись на компьютере, взломщик может начать причинение ущер­ба. Если на компьютере установлена надежная система безопасности, возможно, взломщик сможет навредить только тому пользователю, чей пароль он взломал, но часто начальная регистрация может использоваться в качестве ступеньки для последующего взлома других учетных записей.

Троянские кони.Одним из давно известных вариантов атаки изнутри является троянский конь, представляющий собой невинную с виду программу, содержащую процедуру, вы­полняющую неожиданные и нежелательные функции. Этими функциями могут быть удаление или шифрование файлов пользователя, копирование их туда, где их впоследствии может получить взломщик, или даже отсылка их взломщику или во временное укромное место по электронной почте или с помощью протокола FTP. Чтобы троянский конь заработал, нужно, чтобы программа, содержащая его, была запущена. Один способ состоит в бесплатном распространении такой про­граммы через Интернет под видом новой игры, проигрывателя МРЗ и т. д., лишь бы привлечь внимание и поощрить загрузку программы. При запуске программы вызывается процедура троянского коня, которая может выполнять любые действия в пределах полномо­чий запустившего ее пользователя. Тактика применения троянско­го коня позволяет обойтись без взлома компьютера жертвы.

Фальшивая программа регистрации.В чем-то схожа с троянскими конями жульническая схема с фальшивой регистра­цией. Эта схема работает следующим образом. Обычно при регистрации на терминале или рабочей станции, подключенной к локальной сети, пользо­ватель видит экран, для ввода логин и пароля. Когда пользователь садится за тер­минал и вводит свое регистрационное имя, система спрашивает у него пароль. Если пароль верен, пользователю разрешается вход в систему и оболочка запускается.Теперь рассмотрим следующий сценарий. Некто пишет программу, изображаю­щую экран, для ввода логина и пароля. Она выглядит в точности как настоящее окно, предлагающее пользователю зарегистрироваться. Теперь этот некто отходит в сторонку и наблюдает за происходящим с безопасного расстояния. Когда пользователь садит­ся за терминал и набирает имя, программа в ответ запрашивает пароль и отключает эхо. Когда имя и пароль получены, они записываются в файл, после чего фальши­вая программа регистрации посылает сигнал уничтожения собственной оболочки. В результате этого действия сеанс работы злоумышленника на этом терминале завершается и запускается настоящая процедура регистрации. Пользователь при этом полага­ет, что он неверно ввел пароль и просто регистрируется еще раз. На этот раз все проходит успешно. Но таким образом удается получить имя и пароль.

Логические бомбы.Сегодня, когда мобильность наемных работников значительно увеличилась, по­явилась еще одна разновидность атаки системы изнутри, называемая логической бомбой. Логическая бомба представляет собой программу, написанную одним из сотрудников компании и тайно установленную в операционную систему. До тех пор пока программист каждый день входит в систему под своим именем и паролем, эта программа не предпринимает никаких действий. Однако если программиста внезапно увольняют и физически удаляют из помещения без предупреждения, то на следующий день (или на следующую неделю) логическая бомба, не получив своего ежедневного пароля, начинает действовать. Существует множество вариа­ций на эту тему. В одном знаменитом случае программа проверяла платежную ве­домость. Если личный номер программиста не появлялся в двух последователь­ных ведомостях подряд, бомба «взрывалась».Взрыв логической бомбы может заключаться в форматировании жесткого дис­ка, удалении файлов в случайном порядке, осуществлении сложно обнаруживае­мых изменений в ключевых программах или шифровании важных файлов. В по­следнем случае компания оказывается перед сложным выбором: вызвать полицию или сдаться шан­тажисту и снова нанять на работу этого программиста в качестве «консультанта» с астрономическим окладом для восстановления системы.

Потайные двери.Еще один способ создания дыры в системе безопасности изнутри называется по­тайной дверью. Для этого в систему системным программистом внедряется спе­циальная программа, позволяющая обойти нормальную процедуру проверки. На­пример, программист может добавить к программе регистрации кусок программы, пропускающий в систему пользователя с именем «zzzzz», независимо от того, что содержится в файле паролей. Процедура strcmp исполь­зуется для сравнения имени регистрации со строкой «zzzzz». Если пользователь ввел при регистрации это имя, то пароль уже не важен. Если такой потайной лаз установлен программистом, работающим на фирме, производящей компьютеры, а затем поставляется вместе с компьютерами, впоследствии этот программист смо­жет зарегистрироваться на любом компьютере, произведенном его компанией, независимо от того, кому будет принадлежать компьютер и какая информация будет содержаться в файле паролей. Потайная дверь просто обходит весь процесс аутентификации.Чтобы не допустить установки потайных дверей в систему, компании могут, например, ввести регулярные просмотры программ. При этом, когда программист закончил писать и тестировать программный модуль, модуль проверяется и поме­щается в базу данных. Периодически все программисты команды собираются вме­сте и каждый из них поочередно разъясняет остальным, что делает его программа, строка за строкой. При этом вероятность обнаружения потайных дверей значительно увеличивается.

Переполнение буфера.В основе множества атак лежит тот факт, что практически все операционные сис­темы написаны на языке программирования С. К сожалению, ни один компилятор языка С не выполняет проверки гра­ниц массива. Соответственно, следующий кусок программы представляется ком­пилятору вполне законным:

int і:char с[1024];і = 12000;c[i] = 0:В результате выполнения этого куска программы некий байт в памяти, находя­щийся на 10 976 байт за пределами массива с, будет обнулен, возможно, с катаст­рофическими последствиями. Во время исполнения программы не производится никакой проверки, чтобы предотвратить эту ошибку.Это свойство языка С позволяет произвести атаку следующего типа. Предположим, что для работы процедуре А требуется получить полный путь к файлу, после чего открыть этот файл и выполнить с ним какие-либо действия. У процедуры А есть буфер В фиксированного размера (то есть массив), в котором она содержит имя файла. Использовать буфер иксированного размера значительно проще, чем сначала вычислить требуемый размер, а затем динамичес­ки запросить у системы буфер нужного размера. Если зарезервировать буфер дли­ной 1024 байт, то его должно быть достаточно для хранения любых имен файлов. Особенно если операционная система ограничивает дину имен файлов 255 символами.

Пред­положим, что пользователь задает этой программе имя файла длиной в 2000 сим­волов. При этом программа не сможет открыть файл, но взломщика это не волну­ет. Когда процедура скопирует имя файла в свой буфер, имя файла переполнит. Что еще хуже, если имя файла достаточно длинное, оно также запишется поверх адреса возврата, поэтому, когда процедура А станет выполнять возврат в головной модуль, адрес возврата процедура А возьмет из середины имени файла. Если этот адрес представляет собой случайный мусор, то программа прыгнет по случайному адре­су и, вероятно, аварийно завершится, выполнив несколько команд.Если оно содержит работоспособную программу и тщательно настроено, так чтобы адрес возврата как раз указывал на начало этой программы, например на начало буфера В? При этом после возврата из процедуры А начнет выполняться программа в буфере В. Таким образом, взломщику удалось внедрить в программу свою процедуру и передать ей управление.Защита от атак подобного рода заключается в явной проверке длины всех поставля­емых пользователем строк перед копированием этих строк в буферы. К сожале­нию, подверженность какой-либо программы подобной атаке, как правило, выяс­няется уже после успешной атаки.