Информационные атаки на банки

Киберпреступники обычно используют Man-in-the-Endpoint для атаки на банки с двухфакторной системой аутентификации, затрудняющей получение несанкционированного доступа к разделу на сайте банка, используемому для проведения транзакций. Метод, описанный выше, эффективен с технической точки зрения. Он также избавляет от необходимости привлекать инсайдеров, т.е. работников финансовой организации, способных предоставить преступнику достоверные имена пользователей и пароли для входа на ее сайт.

Троянские программы, используемые для атаки, часто имеют возможность получать информацию с сервера управления, где преступники хранят данные о номерах счетов и количестве денег, которые следует перевести. В результате каждый зараженный компьютер в динамическом режиме получает сведения, на основании которых он переводит средства соответствующим "денежным мулам".

Примечательно, что вирусописатели создают варианты вредоносной программы в соответствии со специфическими механизмами защиты банка. Это делается для того, чтобы максимально увеличить эффективность атаки. Например, в одном банке троянец тайком добавляет новую транзакцию, в другом – скрытно подменяет транзакцию пользователя, чтобы не вызвать подозрений.

4 Задача защиты информации от несанкционированного доступа

Задачи защиты информации в автоматизированных системах (АС) важны и актуальны. Особое значение вопрос информационной безопасности приобрел вследствие использования систем и продуктов информационных технологий (ИТ) в специфических областях человеческой деятельности.

Одним из средств обеспечения безопасности информации в АС являются системы защиты информации (СЗИ) от несанкционированного доступа (НСД).

Руководствуясь официальным подходом,эффективность защиты информации от НСД в АС определяется качественно, констатируя лишь факт наличия или отсутствия в составе СЗИ того или иного механизма защиты (МЗ).

Однако изменяющиеся условия функционирования СЗИ и всей защищаемой АС (модификация аппаратной и программной среды, изменение числа пользователей системы и т.д.) приводят к снижению защищенности информации АС в процессе ее эксплуатации. Вместе с тем, учитывая гибкость требований к СЗИ, формулируемых в профилях защиты, представляется необходимым наличие и функционирование некоторого механизма адаптации (реконфигурации, перенастройки) СЗИ, заключающейся в таком изменении ее параметров и структуры, которое бы обеспечило поддержание требуемого уровня защищенности информации в АС в процессе ее эксплуатации. Таким образом, актуальность адаптации СЗИ обусловливается необходимостью поддержания определенного уровня защищенности информации в изменяющихся условиях функционирования АС, с одной стороны, и гибкостью требований по безопасности – с другой.

Структурно СЗИ состоит из ряда МЗ, которые препятствуют проникновению в систему запросов НСД. При этом каждый МЗ распознает попытки НСД определенного типа и с определенной вероятностью блокирует их. Учитывая это, адаптация всей СЗИ достигается посредством настройки (реконфигурации) ее МЗ. Каждый МЗ, как правило, имеет ряд настраиваемых параметров (характеристик). Например, для механизма контроля целостности такими параметрами являются тип алгоритма, используемого для расчета контрольных сумм, периодичность контроля и множество контролируемых файлов. Для механизма регистрации и аудита можно выделить типы регистрируемых событий, объем регистрационной информации и т.д.

Как правило, настраиваемые параметры МЗ принимают значения из ограниченного множества. Таким образом, для каждого МЗ СЗИ можно определить множество возможных значений его параметров. Совокупность текущих значений всех настраиваемых параметров МЗ является его профилем (конфигурацией).

Функционирование СЗИ от НСД вносит определенную задержку в работу защищаемой системы, обусловленную временем обработки поступающих в систему запросов соответствующими МЗ. Например, время получения доступа к защищаемым ресурсам системы (файлам, портам ввода-вывода и т.д.) будет превышать время аналогичного доступа к тем же ресурсам в незащищенной системе как минимум на время проверки прав пользователя, от имени которого выполняется данный запрос.

Исходя из сказанного, каждый МЗ и, соответственно, профиль МЗ, характеризуются вероятностью обеспечения защиты p и временем задержки τ, вносимой в работу защищаемой системы.

Таким образом, для адаптации СЗИ по критерию защищенности необходима количественная оценка защищенности информации от НСД и оценка быстродействия СЗИ. Целью адаптации СЗИ является обеспечение максимального уровня защищенности информации от НСД при выполнении ограничения на быстродействие защищаемой системы.

Для количественной оценки уровня защищенности информации можно использовать вероятностную модель СЗИ от НСД  и систему показателей защищенности информации в АС Защищенность информации согласно характеризуется рядом вероятностных показателей эффективности СЗИ, один из которых является основным (интегральным).

Таким образом, задача адаптации СЗИ от НСД по критерию защищенности заключается в выборе таких МЗ и их профилей МЗ, при которых будет обеспечен максимальный уровень защищенности информации во всей АС при заданном ограничении на быстродействие СЗИ.

4.1 Кто такие хакеры

Просматривая большое количество статей (в основном в электронных журналах) о проблемах компьютерного взлома, обращает на себя внимание тот факт, что ни в одной статье не проводится та грань, которая, по нашему мнению, четко разделяет всех, так или иначе связанных с компьютерной безопасностью.

В основном мнение компьютерного мира по этому поводу либо сугубо отрицательное (хакеры - это преступники), либо - скромно - положительное (хакеры - санитары леса). На самом деле у этой проблемы существует по меньшей мере две стороны: одна положительная, другая - отрицательная и между ними проходит четкая граница. Эта граница разделяет всех профессионалов, связанных с информационной безопасностью, на хакеров (hackers) и кракеров (crackers).

И те и другие, во многом, занимаются решением одних и тех же задач - поиском уязвимостей в вычислительных системах и осуществлением атак на данные системы (взломом) - но самое главное и принципиальное отличие между хакерами и кракерами состоит в целях, которые они преследуют. Основная задача хакера, исследуя вычислительную систему, обнаружить слабые места (уязвимости) в ее системе безопасности с целью информирования пользователей и разработчиков системы для последующего устранения найденных уязвимостей.

Другая задача хакера, проанализировав существующую безопасность вычислительной системы, сформулировать необходимые требования и условия повышения уровня ее защищенности. С другой стороны, основная задача кракера состоит в непосредственном осуществлении взлома системы с целью получения несанкционированного доступа к чужой информации - иначе говоря, для ее кражи, подмены или для объявления факта взлома.

То есть, кракер, по своей сути, ни чем не отличается от обычного вора, взламывающего чужие квартиры и крадущего чужие вещи. Кракер же взламывает чужие вычислительные системы и крадет чужую информацию. Вот в чем состоит кардинальное отличие между теми, кого можно назвать хакерами и кракерами: первые - исследователи компьютерной безопасности, вторые - просто взломщики, воры или вандалы. При этом хакер, в данной терминологии, - это, по определению, специалист. В качестве доказательства этого приведем определение из словаря Guy L. Steele:

1.Индивидуум, который получает удовольствие от изучения деталей функционирования компьютерных систем и от расширения их возможностей, в отличие от большинства пользователей компьютеров, которые предпочитают знать только необходимый минимум.

2 Энтузиаст программирования; индивидуум, получающий удовольствие от самого процесса программирования, а не от терорезирования по этому поводу.

Данная трактовка понятия "хакер" - отличается от принятой в средствах массовой информации, которые, собственно, и привели к подмене понятий. В последнее время многие специалисты по компьютерной безопасности начали аккуратнее относиться к этим терминам.

Низменность мотивов кракеров приводит к тому, что 9 из 10 из них являются "чайниками", которые взламывают плохо администрируемые системы в основном благодаря использованию чужих программ (обычно эти программы называются - exploit). (Причем это мнение тех самых 10% профессиональных кракеров). Такие профессионалы - бывшие хакеры, ставшие на путь нарушения закона. Их, в отличие от кракеров - "чайников”, остановить действительно очень сложно, но, как показывает практика, отнюдь не невозможно. Очевидно, что для предотвращения возможного взлома или устранения его последствий требуется пригласить квалифицированного специалиста по информационной безопасности - профессионального хакера.

4.2 Возможные атаки на уровне систем управления базами данных

Защита базы данных является одной из наиболее простых задач защиты информации. Это обусловлено тем, что базы данных имеют четко определенную внутреннюю структуру, и операции над элементами баз данных также четко определены. Обычно над элементами баз данных определены всего четыре основные операции: поиск, вставка, замена и удаление. Другие операции носят вспомогательный характер и используются относительно редко. Такая простая структура системы защиты упрощает ее администрирование и сильно усложняет задачу преодоления защиты СУБД. В большинстве случаев хакеры даже не пытаются атаковать СУБД, поскольку преодолеть защиту АБС на уровнях операционной системы и сети гораздо проще.

Тем не менее, в отдельных случаях преодоление хакером защиты, реализуемой СУБД, вполне возможно. Такая ситуация имеет место в следующих случаях:

       если в АБС используется СУБД, защита которой недостаточно надежна;

       если используется недостаточно хорошо протестированная версия СУБД, содержащая ошибки в программном обеспечении;

       если администраторы базы данных допускают грубые ошибки при определении политики безопасности.

Кроме того, известны две атаки СУБД, для защиты от которых требуются специальные меры. К ним относятся:

       “атака салями”, когда результаты округления результатов арифметических операций прибавляются к значению некоторого элемента базы данных (например, к сумме, хранящейся на личном счету хакера);

       статистическая идентификация. Эта атака позволяет получать конкретные значения тех полей базы данных, для которых доступна только статистическая информация. Основная идея заключается в том, чтобы так задать параметры запроса, что множество записей, по которым собирается статистика, включает в себя только одну запись.

Для реализации атаки на СУБД хакер должен как минимум являться пользователем СУБД.

4.3 Возможные атаки на уровне операционных систем

Защитить операционную систему гораздо сложнее, чем СУБД. Это обусловлено тем, что число различных типов защищаемых объектов в современных ОС может достигать нескольких десятков, а число различных типов защищаемых информационных потоков – нескольких сотен. ОС имеет очень сложную внутреннюю структуру и поэтому задача построения адекватной политики безопасности для ОС решается значительно сложнее, чем для СУБД.

Среди начинающих хакеров распространено мнение, что наиболее эффективные и опасные атаки ОС организуются с помощью сложнейших программных средств, использующих последние достижения науки и техники. Считается, что хакер обязательно должен быть программистом высочайшей квалификации.

На самом деле для преодоления защиты ОС вовсе не обязательно писать сложную программу. Искусство хакера заключается не в том, чтобы суметь написать программу, которая взламывает любую защиту, а в том, чтобы найти уязвимое место в конкретной системе защиты и суметь им воспользоваться. При этом наилучшие результаты достигаются при использовании самых простейших методов “влезания” в выявленные “дыры” в защите ОС. Чем проще алгоритм атаки, тем больше вероятность того, что атака пройдет успешно – возможности хакера по предварительному тестированию алгоритма атаки обычно сильно ограниченны.

Возможность практической реализации той или иной атаки на ОС в значительной мере определяется архитектурой и конфигурацией ОС. Тем не менее, существуют атаки, которые могут быть применены практически к любым операционным системам. К ним относятся следующие атаки:

1        Кража ключевой информации. Может реализовываться с использованием следующих методов:

 подсматривание пароля при вводе пользователем. Существуют специалисты, которые могут определить вводимый пароль по движению рук по клавиатуре. Поэтому то, что обычно при вводе пароль не высвечивается на экране, не гарантирует невозможность компрометации пароля;

 получение пароля из командного файла. Некоторые ОС при сетевой аутентификации (подключении к серверу) допускают ввод пароля из командной строки. Если аутентификация происходит с использованием командного файла, пароль пользователя присутствует в этом файле в явном виде;

 некоторые пользователи, чтобы не забыть свой пароль, записывают его в записные книжки, на бумажки, которые затем приклеивают к нижней части клавиатуры, и т.д. Для злоумышленника узнать такой пароль не составляет никакого труда. Особенно часто такая ситуация имеет место, если администраторы заставляют пользователей использовать длинные, труднозапоминаемые пароли;

 кража внешнего носителя ключевой информации. Некоторые ОС допускают использование вместо паролей внешних носителей информации (ключевые дискеты, Touch Memory, Smart Card и т.д.). Использование внешних носителей повышает надежность защиты ОС, но в этом случае появляется угроза кражи носителя с ключевой информацией;

 перехват пароля программной закладкой.

2 Подбор пароля. Могут использоваться следующие методы:

       неоптимизированный перебор;

       перебор, оптимизированный по статистике встречаемости символов и биграмм;

       перебор, оптимизированный с использованием словарей вероятных паролей;

       перебор, оптимизированный с использованием знаний о пользователе. В этом случае в первую очередь опробуются пароли, использование которых пользователем представляется наиболее вероятным (имя, фамилия, дата рождения, номер телефона и т.д.);