Банковская система глазами хакера

Дата: 10.03.2004
Источник: www.crime-research.ru
Автор: Академия ФСБ России


Задача защиты информации, хранимой в компьютерных системах, от несанкционированного доступа (НСД), является весьма актуальной. Для решения этой задачи используется целый комплекс средств, включающий в себя технические, программно-аппаратные средства и административные меры защиты информации.


Построение надежной защиты компьютерной системы невозможно без предварительного анализа возможных угроз безопасности системы тот анализ должен включать в себя:

• оценку ценности информации, хранящейся в системе;

• оценку затрат времени и средств на вскрытие системы, допустимых для злоумышленников;

• оценку характера хранящейся в системе информации, выделение наиболее опасных угроз (несанкционированное чтение, несанкционированное изменение и т.д.);

• построение модели злоумышленника – другими словами, оценка того, от кого нужно защищаться – от постороннего лица, пользователя системы, администратора и т.д.;

• оценку допустимых затрат времени, средств и ресурсов системы на организацию ее защиты.



При проведении такого анализа защищенной системы эксперт фактически ставит себя на место хакера, пытающегося преодолеть ее защиту. Но для того, чтобы представить себя на месте хакера, вначале нужно понять, кто же такой хакер, от которого нужно защищать систему. В частности, нужно ответить на следующие вопросы:

• насколько высок профессиональный уровень хакера;

• насколько полной информацией об атакуемой системе обладает хакер;

• имеет ли хакер легальный доступ к атакуемой системе, если да, каковы его полномочия;

• какие методы атаки хакер будет применять с наибольшей вероятностью.



В настоящем докладе рассматриваются вопросы, связанные с проведением анализа угроз для автоматизированной банковской системы (АБС) со стороны хакера. Рассматриваются типичный облик высококвалифицированного хакера, типичные атаки АБС, приводятся рекомендации по организации защиты АБС от действий хакеров.



Хотя слово “хакер” в последнее время встречается в литературе очень часто, у употребляющих его авторов до сих пор не сложилось единое понимание того, кто же такие хакеры. Обычно со словом “хакер” ассоциируется специалист, обладающий очень высокой квалификацией в области компьютерной безопасности. По поводу того, как хакеры используют свои знания, имеются серьезные разногласия. Одни авторы называют хакерами тех, кто пытается взломать защищенные системы для того, чтобы затем сформулировать рекомендации по совершенствованию их защиты. Другие называют хакерами только “компьютерных асов”, использующих свои знания в преступных целях. Иногда хакеров в этом понимании называют кракерами или крекерами (от англ. crack – ломать). Мы не будем касаться нравственно-этических аспектов деятельности хакеров, и будем понимать под хакером лицо, которое пытается преодолеть защиту компьютерной системы, неважно, в каких целях.


В отношении атакуемой системы хакер может выступать в одной из следующих ролей:

• постороннее лицо, не имеющее легального доступа к системе. Хакер может атаковать систему только с использованием общедоступных глобальных сетей;

• сотрудник организации, не имеющий легального доступа к атакуемой системе. Более вероятна ситуация, когда в такой роли выступает не сам хакер, а его агент (уборщица, охранник и т.д.). Хакер может внедрять в атакуемую систему программные закладки. Если хакер сумеет подсмотреть или подобрать пароль легального пользователя, он может перейти в роль пользователя или администратора;

• пользователь системы, обладающий минимальными полномочиями. Хакер может атаковать систему, используя ошибки в программном обеспечении и в администрировании системы;

• администратор системы. Хакер имеет легально полученные полномочия, достаточные для того, чтобы успешно атаковать систему. Для нейтрализации этой угрозы в системе должны быть предусмотрены средства противодействия несанкционированным действиям администраторов;

• разработчик системы. Хакер может встраивать в код системы “люки” (недокументированные возможности), которые в дальнейшем позволят ему осуществлять несанкционированный доступ (НСД) к ресурсам системы.



Профессиональный уровень хакеров варьируется в очень широких пределах. В роли хакера может выступать как школьник, случайно нашедший программу взлома на одном из серверов Internet, так и профессионал. В телеконференциях Internet неоднократно встречались сообщения о существовании организованных хакерских групп, поставивших взлом компьютерных систем на коммерческую основу. Руководство такими группами осуществляется профессионалами высочайшей квалификации.


В дальнейшем под словом “хакер” мы будем подразумевать наиболее высококвалифицированных хакеров, действия которых представляют наибольшую угрозу безопасности защищенных систем. Можно выделить следующие характерные черты такого хакера:

1. Хакер всегда в курсе последних новинок науки и техники в области компьютерной безопасности. Он регулярно просматривает материалы хакерских серверов Internet, читает хакерские телеконференции (newsgroups), выписывает несколько журналов по компьютерной безопасности.

2. Перед тем, как атаковать систему, хакер собирает максимум информации о ней. Он заранее выясняет, какое программное обеспечение используется в системе, старается познакомится с ее администраторами. Зная личные качества администратора, проще искать ошибки в политике безопасности системы.

3. Хакер не пренебрегает оперативно-техническими и агентурными методами. Для проникновения в защищенную сеть может быть достаточно поставить “жучок” в кафе, где обычно обедают администраторы.

4. Перед тем, как атаковать систему, хакер по возможности опробует средства атаки на заранее изготовленной модели. Эта модель представляет собой один или несколько компьютеров, на которых установлено то же программное обеспечение и соблюдается та же политика безопасности, что и в атакуемой системе.

5. Хакер не атакует систему, пока не будет уверен (или почти уверен) в успехе.

6. При первой атаке системы хакер обычно пытается внедрить в атакуемую систему программную закладку. Если внедрение закладки проходит успешно, вторая атака уже не требуется.

7. Атака системы происходит быстро. Администраторы обычно узнают об атаке только после ее окончания.

8. Хакер не использует особенно изощренных алгоритмов атаки системы – чем сложнее алгоритм атаки, тем больше вероятность ошибок и сбоев при его реализации.

9. Хакер не осуществляет атаку вручную – он пишет необходимые программы. При атаке системы чрезвычайно важна быстрота действий.

10. Хакер никогда не атакует систему под своим именем или со своего сетевого адреса.

11. Хакер заранее продумывает порядок действий в случае неудачи. Если атака не удалась, хакер старается замести следы. Если это невозможно, он старается оставить ложный след. Если, например, атака производится через Internet, ложный след можно оставить, проведя очень грубую и заведомо неудачную атаку системы с другого адреса. При анализе журнала аудита администратору будет трудно заметить следы основной атаки среди огромного количества зарегистрированных событий.

12. Если в атакуемой системе предусмотрен аудит, хакер старается его отключить.

13. Программная закладка, внедренная в систему, заметна только хакеру. С точки зрения других пользователей система работает как обычно.

14. При обнаружении программная закладка самоуничтожается. Кроме того, часто закладка программируется так, что ее самоуничтожение происходит, когда ей долго никто не пользуется. В этом случае хакеру не нужно беспокоиться об уничтожении вещественных доказательств.




В общем случае автоматизированная банковская система включает в себя три основных уровня:

• одна или несколько систем управления базами данных (СУБД);

• одна или несколько операционных систем (ОС), обслуживающих СУБД и системы документооборота;

• сетевое программное обеспечение, обеспечивающее информационное взаимодействие рабочих станций и серверов банковской сети.



Атака АБС может осуществляться на любом из перечисленных уровней. Пусть, например, хакеру требуется прочитать определенные записи из базы данных (БД). Хакер может попытаться:

• прочитать эти записи средствами СУБД (атака на уровне СУБД);

• прочитать файлы БД (атака на уровне ОС);

• отправить в сеть пакеты определенного вида, получив которые, сервер БД предоставит хакеру требуемую информацию (атака на уровне сети).



Поскольку методы осуществления НСД к ресурсам АБС существенно различаются в зависимости от того, на каком уровне происходит атака АБС, эти методы для разных уровней целесообразно рассмотреть отдельно.



Защита базы данных является одной из наиболее простых задач защиты информации. Это обусловлено тем, что базы данных имеют четко определенную внутреннюю структуру, и операции над элементами баз данных также четко определены. Обычно над элементами баз данных определены всего четыре основные операции: поиск, вставка, замена и удаление. Другие операции носят вспомогательный характер и используются относительно редко. Такая простая структура системы защиты упрощает ее администрирование и сильно усложняет задачу преодоления защиты СУБД. В большинстве случаев хакеры даже не пытаются атаковать СУБД, поскольку преодолеть защиту АБС на уровнях операционной системы и сети гораздо проще.



Тем не менее, в отдельных случаях преодоление хакером защиты, реализуемой СУБД, вполне...

Добавить комментарий

Всего 0 комментариев