Большая энциклопедия промышленного шпионажа - Каторин Юрий Федорович. Страница 56

Необходимо отметить, что некоторые компьютерные системы защиты информации предусматривают гарантированное удаление файлов, например, путем трехкратной записи единиц на освободившееся место. Таким свойством обладает программно-аппаратная система Dallas Lock3.1, которая будет рассмотрена в п. 2.6.4. Естественно, что восстановление и последующее копирование файлов становится после этого невозможным.

Способы перехвата информации в каналах связи аналогичны рассмотренным в п. 1.5. Причем, перехват возможен не только в проводных, но и в радиоканалах, так как из-за быстрого внедрения в повседневную жизнь систем мобильной связи, использование радиомодемов уже перестало быть экзотическим событием.

Использование программных закладок позволяет решать задачи как перехвата конфиденциальной информации с копированием ее в заранее обусловленное место, так и задачи взлома систем защиты, например, для перехвата паролей (п. 1.6.3). Программные закладки обычно маскируются внутри других программных продуктов, и по принципу действия попадают в разряд программ, известных под названием троянского коня, по аналогии с идеей, блестяще реализованной героем древнегреческой мифологии Одиссеем. В операционную систему они обычно внедряются в результате целенаправленно проведенной операции, после чего сами становятся частью защищенной компьютерной системы и совершают действия, ради которых и были созданы.

Внедрение компьютерных вирусов по сути близко к применению программных закладок, отличие же заключается в том, что цель внедрения — модификация и уничтожение информации, хранящейся в компьютерных системах конкурентов.

Аппаратные закладки — это специальные микросхемы, выполняющие те же функции, что и программные закладки, либо радиозакладные устройства, аналогичные описанным в п. 1.3.1 и 1.5.2. Они могут перехватывать информацию, например, с клавиатуры или видеокарты, либо фиксировать аудиоинформацию (переговоры операторов), а затем передавать ее по радиоканалу в пункт приема. Известны в том числе и радиозакладки, которые активизируют компьютерные вирусы по команде, передаваемой по радиоканалу с пульта дистанционного управления.

Кроме того, перехват аудио- и видеоинформации может осуществляться с помощью технических средств, размещенных в том же помещении, что и компьютер (п. 1.3, 1.4).

Проблеме перехвата побочных электромагнитных излучений и наводок (ПЭМИН) в современной литературе уделяется большое внимание ввиду важности этого технического канала утечки информации. Здесь же мы только отметим, что наиболее сильные электромагнитные излучения образуются от сигналов с выхода видеокарты системного блока, для которых случайной антенной служит кабель, идущий к монитору. Для перехвата этой информации достаточно иметь приемное устройство, работающее в диапазоне частот 50... 500 МГц, специальный блок согласования и портативный компьютер типа Notebook. Дальность перехвата информации таким комплексом составляет 100...150 м.

Наиболее специфичным способом получения конфиденциальной информации с компьютерных систем является преодоление программных средств защиты и как его разновидность — преодоление систем парольной защиты. Рассмотрим их подробнее.

1.6.2. Преодоление программных средств защиты

В настоящее время известно огромное количество хакерских разработок, предназначенных для преодоления программных средств защиты. Они обладают различной эффективностью, но позволяют в той или иной степени решать задачи, ради которых созданы.

Одни из таких программ предназначены для перехвата сообщений и полномочий по доступу к ресурсам сети посредством незаконного подключения к каналу связи, другие — для преодоления системы защиты персонального компьютера или корпоративной сети другим зарегистрированным пользователем.

Перехват с незаконным подключением к каналу связи может осуществляться множеством способов, наиболее известными из которых являются:

>• работа в сети в те промежутки времени, когда законный пользователь оставляет канал в активном режиме, отвлекаясь на решение других задач (вызов к начальнику, перекур и т. п.);

>• работа параллельно зарегистрированному пользователю, но в те моменты, когда нет непосредственного обмена информацией, так называемый режим между строк (аналогичен предыдущему способу, но более сложен в реализации);

>• работа по завершению сеанса зарегистрированным пользователем за счет перехвата сигнала об окончании работы.

Для преодоления систем защиты под видом зарегистрированного пользователя хакеры часто применяют следующие методы:

>• перебор возможных паролей, которые часто бывают тривиальны и берутся из руководства по пользованию компьютером;

>• поиск слабых мест (брешей), связанных с неудачным алгоритмом функционирования систем защиты или наличием программных ошибок;

>• иногда брешь маскируется двумя-тремя дополнительными командами с целью создания так называемого люка, который открывается при необходимости (данный способ требует очень высокого профессионального уровня и готовится, как правило, на этапе проектирования системы защиты);

>• использование программ, имитирующих аварийные сбои и анализирующих адекватность реакции системы.

Однако существует большое число программных продуктов, созданных совершенно для иных целей, но которые могут быть использованы для преодоления систем защиты, размещенных на жестких дисках. К ним, например, относятся уже упомянутые Norton Utilities, а также Miced Utilities, PC Tools, PS Shell, Hard Disk Manager и некоторые другие, которые в интерактивном или автоматическом режиме используют команды считывания и записи секторов по абсолютным адресам на диске.

Также существуют разработки, которые позволяют создавать программное обеспечение, способное выполнять просмотр и отладку программных продуктов в режиме дисассемблера, а также просмотр и редактирование оперативной памяти персональной ЭВМ. К таким программам относятся трансляторы с языков низкого уровня (TASM и MASM), трансляторы с языков высокого уровня (MSC, Turbo С, Turbo Pascal и др.), программы-отладчики типа The IBM Personal Computer Fulscreen Debug (FSD), Advanced Fulscreen Debug (AFD) и Turbo Debugger, а также программы, работающие с оперативной памятью (Debug, Peck Poke Resident), и некоторые другие.

1.6.3. Преодоление парольной защиты

Один из наиболее распространенных способов разграничения доступа к ресурсам вычислительных систем — введение паролей. В целом это достаточно надежный способ защиты, однако необходимо представлять его возможности и основные способы преодоления, чтобы уберечь себя от неприятных последствий.

Так, в любом персональном компьютере можно условно выделить три вида паролей:

>• пароли, хранящиеся в CMOS-памяти;

>• пароли операционной системы;

>• пароли, по которым осуществляется аутентификация пользователей в специально установленной системе защиты.

Рассмотрим способы преодоления каждого вида в отдельности.

Снятие паролей, хранящихся в CMOS-памяти

CMOS — это аббревиатура английских слов complementary metal oxide semiconductor. To есть в качестве названия вида памяти взято просто наименование материала, из которого изготавливается соответствующая микросхема. В ней записывается вся необходимая информация для загрузки компьютера, в том числе и пароли. Еще -их называют «паролями BIOS» по названию микросхем, контролирующих операции ввода — вывода.

Доступ к установкам CMOS осуществляется нажатием во время теста памяти (при загрузке компьютера) одной из следующих комбинаций клавиш:

Del;

Esc;

Ctrl + Alt + Enter;

Ctrl + Alt + Esc.

При этом на экран выводится меню установок CMOS, среди которых присутствуют два раздела:

SUPERVISOR PASSWORD (пароль диспетчера);

USER PASSWORD (пароль пользователя).