Новое издание нашей книги выходит в 1999 году, и вполне естественным нашим желанием является обратить внимание читателей на проблему 2000 года (Y2K), которую мы рассматриваем в несколько менее традиционном аспекте – как с точки зрения информационной безопасности проблема Y2K повлияет на киберпространство.

Большинство исследований, посвященных этой проблеме, в основном содержат анализ причин возможных отказов в работе прикладного или системного программного обеспечения, потери от таких отказов и меры по предотвращению сбоев в работе программного обеспечения. Однако нельзя забывать о целом классе программных средств, основная задача которых – обеспечение информационной безопасности (ПСОИБ – программные средства обеспечения информационной безопасности). В этом разделе мы рассмотрим виды ПСОИБ, потенциально наиболее уязвимые по отношению к проблеме Y2K (программные средства, которые обрабатывают данные, связанные с системной датой), выделим различные модули ПСОИБ и рассмотрим возможные причины, по которым проблема Y2K может иметь к ним непосредственное отношение.

1. Проблемы с системами шифрования/цифровой подписи.

При шифровании/дешифрировании сообщений, формировании или проверке электронной подписи, при проверке подлинности сертификата, подтверждающего личность пользователя, программные реализации криптосистем могут некорректно обрабатывать год создания сообщений, тем самым приводя к их частичной или полной потере. Это может привестик нарушению функциональности криптосистем, вплоть до полной невозможности отправлять или читать шифрограммы.

Рассмотрим подробнее сущность данной проблемы. Любая криптосистема содержит в своей основе систему анализа, хранения и распределения ключевой информации (сертификатов), предназначенной для шифрования сообщений и идентификации/аутентификации пользователей. Все сообщения, передаваемые криптосистемой, так или иначе шифруются с использованием данного сертификата, который, как правило, выдается на определенный срок и, следовательно, с течением времени устаревает. Как следствие, системы шифрования обязательно обладают встроенными модулями «временного» анализа, задача которых – сопоставлять дату сертификата с текущей, указанной в шифрограмме, для того чтобы отфильтровать устаревшие или повторные сообщения. Например, известная атака на криптосистемы связана с повторной передачей ранее перехваченных зашифрованных сообщений. В случае успеха атаки, если данное сообщение будет воспринято системой, можно вызвать повторную реакцию криптосистемы на данное сообщение, что приведет, например, к переполнениюи сбою системы (в случае направленного шторма повторными сообщениями). В связи с этим криптосистемы обычно имеют встроенную защиту от подобных атак и, анализируя дату приходящих сообщений, не допускают прием повторных сообщений или сообщений, зашифрованных с использованием устаревших ключей. В том случае, если в системе модуль «временного» анализа разработан без учета проблемы Y2K, криптосистема в целом может дать сбой, что приведет к приему повторных сообщений или полному выходу системы из строя.

2. Проблемы с модулями автоматизированного контроля безопасности системы.

Одной из стандартных функций ПСОИБ является автоматизированный контроль за безопасностью системы. Обычно данные модули осуществляют динамический контроль за состоянием АС, что вынуждает их использовать и протоколировать в log file (журнал аудита) время и дату обнаруженного контролируемого события. В стандартную поставку данных систем входят модули анализа журнала аудита. Сбои в этих модулях при попытке автоматизированного анализа базы данных, содержащей журнал аудита, могут привести к неверной реакции системы обеспечения информационной безопасности. Примером в данном случае являются системы Firewall, одна из задач которых – постоянное ведение журнала аудита, в который, помимо информации о попытках создания сетевых соединений, заносится информацияо времени создания соединения. Использование средств автоматизированного анализа журнала аудита, разработанных без учета Y2K, может вызвать их сбой и привести как к аварийному завершению процесса, осуществляющего анализ, так и к аварийному завершению работы всей системы в целом.

3. Проблемы с модулями реализации авторизованного доступа к ресурсам системы.

Одним из модулей, который присутствует практически в любой системе обеспечения компьютерной безопасности, является модуль контроля и предоставления авторизованного доступа к ресурсам системы. Данный модуль обеспечивает/запрещает доступ в систему в зависимости от даты и времени его осуществления. Например, функциями Account Expires и Logon Hours в Windows NT 4.0 можно разрешить пользователю доступ в систему с (или до) определенной даты или в определенные часы. Соответственно, в том случае, если в данном модуле о проблеме Y2K разработчики «забыли» (отметим, что эти службы приведены просто для примера), то такая забывчивость может привести к невозможности получения авторизованного доступа в систему в лучшем случае только для пользователя с установленным Account Expires, а в худшем – для всех пользователей системы, если сбой при входе в систему одного пользователя повлечет за собой сбой в работе модуля в целом.

4. Проблемы с модулями автоматизированного анализа безопасности и поиска вирусных сигнатур.

Другой разновидностью ПСОИБ являются средства автоматизированного анализа безопасности, основная задача которых состоит в анализе системы на предмет наличия в ней известных уязвимостей (сетевые сканеры безопасности, например SATAN, Internet Security Scanner и т. д.) или вирусов (антивирусов). Эти средства сетевого анализа широко применяются администраторами безопасности крупных корпоративных сетей с постоянно видоизменяемой инфраструктурой, что позволяет им выявлять внесение в ВС новых объектов, содержащих уязвимости или вирусы. Одной из стандартных функций ПСОИБ данного вида является возможность ихзапуска в определенное время. В связи с этим данный тип программного обеспечения (ПО) также становится уязвимым из-за проблемы Y2K, что приведет к невозможности анализа безопасности системы и проникновению в нее кракеров или заражению ее вирусами.

5. Проблемы со встроенными системами на основе License Key (защита от нелегального использования).

Одной из особенностей ПСОИБ является практически повсеместное применение в них систем защиты от нелегального использования, обычно основанных на временных лицензиях. Те средства, которые в качестве «привязки» используют данные о системной дате в компьютере, могут быть подвержены сбоям, связанным с неправильной интерпретацией «нулевой» даты при достижении 2000 года.

Например, лицензия (сертификат) на работу данного программного средства рассчитана на 1 год и дается с 05.05.1999 по 05.05.2000. Следовательно, после наступления 2000 года система защиты от нелегального использования может дать сбой, и ПСОИБ откажутся далее функционировать вплоть до устранения проблемы.

6. Проблемы с операционными системами, в которых функционируют ПСОИБ.

Подавляющее большинство программных средств защиты функционируют под управлением различных операционных систем. Поэтому сбой операционной системы, в которой функционируют ПСОИБ, может косвенно повлиять на функционирование самой системы защиты и привести к ее дальнейшей некорректной работе или полному выходу из строя вплоть до устранения проблемы, связанной с управляющей операционной системой. Например, сбой в сервере ntp (network time protocol), в случае использования данного сервера, может привести к сбою системы защиты в целом.

7. Проблемы с аппаратными средствами защиты.

Общепризнанным является тот факт, что в сфере информационной безопасности используются комплексные решения, включающие в себя не только программные средства обеспечения безопасности, но также и аппаратные средства.

Существующие аппаратные средства защиты, разграничивающие доступ в систему на основе различной идентифицирующей информации (сетчатка глаза, отпечатки пальцев, электронные ключи и т. д.), могут дать аппаратный сбой, связанный с неверной обработкой системной даты при идентификации пользователя. Например, сбой электронного идентификатора «Touch Memory» может сделать невозможной идентификацию/аутентификацию пользователя, и дальнейший вход в контролируемую систему будет запрещен или разрешен в зависимости от реакции системы на данный сбой.

Оценим на основе вышеизложенного возможные последствия нарушения работоспособности автоматизированных систем обеспечения информационной безопасности в связи с проблемой Y2K. Данная оценка приводитсяс учетом основных функций ПСОИБ, заключающихся в предоставлении авторизованного доступа к ресурсам системы, в шифровании/дешифрировании конфиденциальной информации, в контроле за безопасностью системы, в анализе безопасности системы.

Итак, автоматизированным системам, использующим ПСОИБ, угрожают следующие опасности:

1. Невозможность получения доступа в систему для авторизованных пользователей.

2. Предоставление доступа неавторизованным пользователям.

3. Нарушение работоспособности АС, использующей ПСОИБ.

4. Невозможность в создании/передаче/чтении конфиденциальной информации, зашифрованной ПСОИБ.

5. Невозможность контроля за безопасностью системы оставит незамеченными как предварительный анализ атакующим ресурсов системы, так и возможные успешные попытки получения неавторизованного доступа к ресурсам контролируемой АС.

6. Невозможность выявления имеющихся недостатков в системе обеспечения безопасности, а также вирусов в ПО, что может в дальнейшем повлечь за собой нарушение безопасности системы или заражение ее компьютерными вирусами.

1. Самостоятельное тестирование ПСОИБ путем установки новой системной даты.

Это, очевидно, наиболее простой способ самостоятельной проверки, однако использовать его нужно с определенной осторожностью. Дело в том, что выданные сертификаты (лицензии), подтверждающие легальную работу ПСОИБ или личность пользователя, после изменения системной даты и запуска ПСОИБ могут оказаться просроченными и в дальнейшем (даже после восстановления текущей даты) потерять свою силу. Данный факт серьезно затрудняет тестирование систем, однако проблема решается путем хранения эталонных сертификатов на отдельных носителях (если это возможно) и тестирования только макетов АС, а ни в коем случае не реально действующих систем.

2. Обращение к производителям ПСОИБ.

Пользователям, обладающим средствами ПСОИБ, имеет смысл обратиться к фирмам-производителям за получением в связи с проблемой Y2K соответствующих рекомендаций, разъяснений и патчей к программным средствам.

В российских условиях проблема Y2K с точки зрения информационной безопасности, на первый взгляд, выглядит несколько неактуальной в связи с относительно слабым развитием систем телекоммуникаций, особенно по сравнению со странами с более развитой экономической структурой. Но это только на первый взгляд! В наших условиях с точки зрения безопасности на первый план выходят не современные автоматизированные системы, о которых имеется достаточно информации, а всевозможные устаревшие программы, разработанные более десяти лет назад, отвечающие за обеспечение надежной работы систем управления и доступ к объектам стратегического назначения, таким как атомные станции, военные системы управления ракетами и т. д. Об их безопасности в связи с проблемой Y2K в данном случае судить достаточно сложно, но можно предположить, что программы, созданные в прошедших десятилетиях, содержат немало ошибок, связанных с неправильной обработкой системной даты. К каким последствиям это может привести – ответ очевиден. Примером сбоя ПО стратегического назначения служит известная авария французского ракетоносителя Ariane 5, произошедшая 4 июня 1996 года из-за тривиальной ошибки переполнения переменной и принесшая только прямых убытков на 500 миллионов долларов.

В процессе написания этой части возник вопрос, как можно корректно перевести Social Engineering… В электронном переводчике Socrat мы нашли, что это – «общественное проектирование». Наверное, корректнее сказать «социальное исследование» или «социальная проработка», но оба термина совершенно неблагозвучны. Пожалуй, оставим так – «социальная инженерия» (СИ). Дело в том, что до сих пор этой проблеме в отечественной прессе не уделялось внимания, и потому соответствующего термина не существует.

Итак, что такое социальная инженерия в контексте информационной безопасности? Словарь хакерского жаргона сообщает: «Социальная инженерия – термин, использующийся взломщиками и хакерами для обозначения несанкционированного доступа к информации иначе, чем взлом программного обеспечения; цель – обхитрить людей для получения паролей к системе или иной информации, которая поможет нарушить безопасность системы. Классическое мошенничество включает звонки по телефону в организацию для выявления тех, кто имеет необходимую информацию, и затем звонок администратору, эмулируя служащего с неотложной проблемой доступа к системе».

Да, действительно, самое простое средство проведения СИ – телефон. Все исследование основывается на одной маленькой детали: в крупных компаниях лица, ответственные за систему, не знают всех сотрудников, поэтому появляется возможность манипулировать действиями администраторов. Телефон облегчает эту задачу, так как администратор не видит абонента, который может звонить даже из другого города или страны.

В западной прессе часто мелькают сообщения о том, что кто-то где-то что-то взломал. Немалая часть этих взломов как раз и была проведена с помощью СИ. В идеальных условиях у взломщика должны быть:

• телефон, воспроизводящий шум офиса;

• автоопределитель номера;

• устройство для изменения голоса;

• возможность использовать чужую телефонную линию.

Все эти вещи необходимы для успешного применения теоретических знаний на практике, но в нашей стране получить сразу все не представляется возможным, так что потенциальным взломщикам приходится довольствоваться простыми подручными средствами. Первый инструмент заменяется обыкновенным шумом в комнате или магнитофонной записью. Второй не составит труда отыскать. Третий – самое сложное. Проблема в том, что качественный аппарат способен преобразовывать голос как угодно: в женский, в детский, в старческий… Такие устройства очень редки, поэтому полностью использовать возможности СИ вряд ли получится. Конечно, ничто не помешает постучать ложкой о тарелку и сделать вид, что люди в офисе обедают. Можно позвать тетю Машу, дать ей шоколадку и попросить позвонить… Об использовании чужой линии, наверное, и заикаться не стоит. Единственное, что сразу приходит в голову, – это телефонная трубка с номеронабирателем и ближайший телефон-автомат. Но тогда придется использовать еще и анти-АОН.

Обычно атаки класса СИ представляют собой комбинацию некоторых средств, методов и «параметров окружения». Основные разновидности можно разделить на следующие категории.

По средствам применения:

• телефон;

• электронная почта;

• разговор по Internet в «реальном времени»;

• обыкновенная почта;

• личная встреча.

В первом случае основную сложность представляет голос. Если объект знаком с тем, кем вы представились, то необходимо сделать так, чтобы ваш голос почти не отличался от его голоса. При использовании электронной почты проблема голоса отпадает, зато появляется стиль письма, которого нужно придерживаться от начала и до конца. То же самое утверждение можно отнести к третьему и четвертому пунктам данной классификации. В последнее время быстро развивается новый вид общения – ICQ, некая смесь электронной почты, разговора в реальном времени и организатора межсетевых взаимодействий между пользователями. Эта программа иногда позволяет в большей степени ввести в заблуждение пользователей, но об этом потом. Следующий вид контактов – личностный. Лично можно воздействовать только на тех людей, которые не смогут утверждать, что вы не тот, за кого себя выдаете. В этом случае необходимо иметь приятный голос и уметь нравиться людям. Конечно, при сложных комбинациях может быть использовано не одно средство, а, возможно, даже все, но человек, осуществляющий такую атаку, должен быть не просто хорошим, а отличным психологом.

По уровню социального отношения к объекту:

• официальный;

• товарищеский;

• дружеский.

Разумеется, для того чтобы атака оказалась успешной, нужно выбрать соответствующий стиль общения для каждого случая. При официальном стиле общения недопустимы нотки пренебрежения или дружественности. Необходимо, чтобы все выглядело так, как должно. Если был выбран товарищеский тон, то предполагается, что вы знаете хотя бы имя человека, с которым собираетесь разговаривать. Последний, дружеский уровень дается с большими усилиями. Желательно не просто много знать о человеке, но и представлять, кем вы собираетесь выглядеть. Это самый сложный вид атаки, но после его успешного применения можно добиться самых высоких результатов.

По степени доступа объекта к информационной системе:

• администратор – высокая;

• начальник – средняя;

• пользователь – низкая;

• знакомый администратора, начальника или пользователя – отсутствие доступа.

Здесь предполагается разделение по результату атаки. Соответственно, в первом случае результат наибольший, а в последнем – наименьший. Но это – с точки зрения промежуточного результата (см. табл. 2.1). На практике работа с пользователем и знакомыми оказывается легче, чем с администратором и начальником: больше вероятность, что последние знают того, кем вы собираетесь представиться.

«На свете есть только один способ побудить кого-либо что-то сделать. Задумывались ли вы когда-нибудь над этим? Да, только один способ. И он заключается в том, чтобы заставить другого человека захотеть это сделать. Помните – другого способа нет», – писал Дейл Карнеги.

Знаете… а ведь он прав! Конечно, все это и так интуитивно понятно, но если разобраться глубже, то оказывается, что есть способы, позволяющие этого достичь. Один из наиболее видных психологов ХХ века, Зигмунд Фрейд, говорил, что в основе всех наших поступков лежат два мотива – сексуальное влечение и желание стать великим, причем последнее трактуется как «желание быть значительным» или «страстное стремление быть оцененным». В принципе это одно и то же. Дайте человеку понять, что вы его цените и уважаете! Мы не призываем вас при разговоре с администратором сети льстить и сыпать комплиментами, хотя «льстить – значит говорить человеку именно то, что он думает о себе». Конечно, умный человек это заметит, и такое отношение ему может не понравиться. Но если заранее постараться признать для себя достоинства того, с кем вы собираетесь разговаривать, то собеседник почувствует вашу искренность.

Попробуйте произнести такие слова: «Я понимаю, что вы ужасно заняты, но не могли бы вы.» Обычно подобная фраза говорится с юмористическим оттенком или с тоном пренебрежения. Но если вы попробуете представить себе, что человек действительно занят и у него нет никакого желания с вами разговаривать, то ваш тон моментально изменится. Поверьте, такой прием подействует, только если говорить искренне!

Наверняка все в детстве баловались с телефонами. Ну кто не знает таких шуток, как: «Алло, это зоопарк?» – «Нет». – «А почему обезьяна у телефона?». Совершенно безобидный пример издевательства над людьми. А вот еще один подобный пример, но с элементами СИ:

Шутник: Алло! Вас беспокоят с телефонной станции. Измерьте, пожалуйста, длину шнура от трубки к телефону.

Жертва: Метр.

Ш.: Хорошо, для того, чтобы повеситься, хватит.

Следующий звонок.

Ш.: Алло! Это милиция. Вам сейчас хулиганы не звонили?

Ж.: Да, да! Звонили! Разберитесь с ними, пожалуйста!

Ш.: Про трубку и провод спрашивали?

Ж.: Да!

Ш.: И он у вас метр?

Ж.: Да!

Ш.: А почему до сих пор не висим?

Это было лирическое отступление на тему того, как методы СИ используются детьми на бессознательном уровне, в качестве шутки. Рассмотрим простейший пример СИ для проникновения в систему.

Звонок администратору системы.

Взломщик: Здравствуйте, вы администратор?

Администратор: Да.

В.: Я понимаю, что вы ужасно заняты, извините, что отрываю вас от дел, но я не могу войти в сеть.

A.: (Про себя: ЁПРСТ!!! Поработать не дают!) А что компьютер говорит по этому поводу?

B.: Как это – «говорит»???

A.: (Ха!) Ну, что там написано?

B.: Написано «вронг пассворд».

A.: (Ну-ну, еще бы…) А-а-а-а… А вы пароль правильно набираете?

B.: Не знаю, я его не совсем помню.

A.: Какое имя пользователя?

B.: anatoly.

A.: Ладно, ставлю вам пароль… мммм… art25. Запомнили? (Если опять не войдет – убью!)

B.: Постараюсь. Спасибо. (Вот дурак-то!)

Конец разговора. Все!

На самом деле это упрощение ситуации, но в некоторых случаях такое может сработать. Какие ошибки допустил администратор? С его точки зрения – никаких. В подобных случаях редко спрашиваются имя, фамилия, должность звонящего, особенно если звонит девушка с приятным голосом (для этого и используются преобразователи голоса). Администраторы часто сталкиваются с забывчивостью пользователей, особенно если сотрудники редко «входят» в систему. В таких случаях ответственное лицо старается побыстрее положить трубку, и ему хватает того, что пользователь знает свое имя входа в систему. Однако в этом случае взломщик уже знал некоторые сведения о своей цели. Рассмотрим пример с первоначальными нулевыми знаниями.

1. Выберем цель по телефонной книге – организацию, где есть телефон секретаря.

2. Звоним секретарю и узнаем имя персоны, с кем можно проконсультироваться по поводу некоторых проблем с работой системы.

3. Звоним любому другому человеку, чей номер телефона имеется в книге, предполагая, что он имеет доступ к системе.

4. Представляемся (разумеется, вымышленным именем) как помощник той персоны, имя которой мы узнали из первого звонка. Говорим, что в связи с перестановкой системы администратор дал задание поменять пароли всем пользователям.