Новый подход к защите информации — системы обнаружения компьютерных угроз. Обнаружение и предотвращение проникновения в сеть технологической установки. Цели реализации атак

3. Средства защиты сетей ЭВМ

Средства защиты сетей ЭВМ: номенклатура, статус, взаимосвязь

По мнению экспертов в политике защиты должны быть рассмотрены, по крайней мере, следующие аспекты:

• санкционирование доступа к компьютерным системам, идентификация и аутентификация пользователя;
• контроль прав доступа;
• мониторинг защиты и анализ статистики;
• конфигурирование и тестирование систем;
• обучение мерам безопасности ;
• физическая безопасность;
• сетевая безопасность.

Первый из перечисленных пунктов - это форпост, на котором формулируются критерии, разрешающие подключаться к системе только тем пользователям, которые имеют на это право, а все остальные не получат даже возможности сделать попытку зарегистрироваться. Стандартное средство для реализации этой функции - специальные файлы или списки хостов, с которых разрешен удаленный вход. Правда, разработчики этого аппарата всегда заботятся и о соблазнах для администраторов (почему-то всегда есть “кнопочка”, открывающая вход всем). Вероятно, в каких-то случаях снятие контроля имеет свои объяснения - обычно ссылаются на надежность других средств, отсутствие прямых входов, но предусмотреть все ситуации, возможные при работе с сетями, трудно. Поэтому следует все-таки конфигурировать санкционирование доступа не прибегая к установкам по умолчанию.
Как показывает практика, этот тип защиты не в состоянии существенно уменьшить вероятность проникновения. Реальная ценность его (определяющая центральную роль) иная - в регистрации и учете пытающихся войти в систему сетевых пользователей.

Центральная роль в современных системах безопасности возлагается на процедуры идентификации и аутентификации. Известны три базовых способа их реализации:

• с помощью известного пользователю пароля или условной фразы;
• с помощью персонального устройства/документа, которым владеет только пользователь: смарт-карты, карманного аутентификатора или просто специально изготовленного удостоверения личности (предполагается, что аутентитификатор никогда никому не будет передаваться);
• через аутентификацию самого пользователя - по отпечаткам пальцев, голосу, рисунку сетчатки глаза и т.п. Эти методы опознавания развиваются в рамках биометрии.

Самые надежные схемы аутентификации строятся как комбинация этих способов, а самым массовым остается первый символьный . Неудивительно, что взломщики хорошо вооружены средствами для добывания регистрационных имен и паролей. Если им удается скопировать файл паролей на свою машину, запускается программа подбора, обычно использующая поиск по словарю большого объема. Такие программы работают быстро даже на слабых компьютерах, и если в системе безопасности нет контроля за способами формирования паролей, велика вероятность отгадывания хотя бы одного. Дальше следует попытка получить из раскрытого учетного имени привилегированные права - и дело сделано.
Особенно опасны, причем не только сами для себя, машины с отключенными механизмами защиты или вообще не обладающие ими. У администраторов есть средства дня установления доверительных отношений между хостами с помощью файлов hosts.equiv, xhost . При неудачном конфигурировании взломщик может войти в незащищенную машину и без какой-либо идентификации транзитивно получить доступ ко всем хостам корпоративной сети.

FAQ 1 FAQ 2

Следующий пункт политики защиты - контроль прав доступа призван гарантировать, что после успешного выполнения процедуры аутентификации, пользователю становится доступно только определенное на персональной основе подмножество файлов и сервисов системы. Благодаря этому механизму пользователи могут читать, например, исключительно свои электронные письма, получаемые по e-mail , но никак не письма соседа. Обычно права доступа устанавливаются самими пользователями: владелец данных может разрешить кому-либо еще работать с ними, точно также как системный администратор управляет правами доступа к системным и конфигурационным файлам. Важно только, чтобы владелец всегда нес персональную ответственность за свою собственность.
Разграничение прав не сводится исключительно к данным - параллельно пользователям выделяются подмножества допустимых операций. Взять хотя бы систему автоматизированной продажи авиабилетов. Кассир безусловно должен иметь возможность соединяться с центральной базой данных, запрашивая сведения о наличии свободных мест и оформляя продажи. Но его права должны быть ограничены настолько, чтобы он не мог изменить расчетные счета организации или увеличить себе зарплату.
Обычно в многопользовательских приложениях разграничение осуществляется посредством дискреционного контроля доступа (Discretionary Access Controls ), а в операционных системах - атрибутами файлов и идентификаторами процессов EUID, GLJID . Стройную картину нарушают биты SUID и SGID , позволяющие программно модифицировать права доступа процессов. Потенциальную угрозу безопасности представляют скрипты с функцией setuid , в особенности setuid root . Их либо не стоит создавать вообще, либо они сами должны быть надежно защищены.
Невозможно добиться безопасности, если не поддерживать порядок на всей нестройной инфраструктуре предприятия. Управление конфигурацией - это комплекс технологий, отслеживающих состояние программного обеспечения, оборудования, пользователей и сетей. Обычно, конфигурация компьютерной системы и ее компонентов четко определяется в момент ввода в действие, но со временем контроль все более и более утрачивается. Средства управление конфигурацией призваны формализовать и детализировать все изменения, происходящие в системе.
При качественном управлении, во-первых, должна быть продумана и определена строгая процедура внесения изменений, включающая их документирование. Во-вторых, все изменения должны оцениваться с точки зрения общей политики защиты. Хотя и не исключено, что эта политика будет корректироваться, важно, чтобы на каждом витке жизненного цикла сохранялась согласованность решений для всех. даже устаревших, но остающихся в сети систем - иначе они превратятся в то самое “слабое звено”.
Все перечисленные аспекты защиты так или иначе опираются на программные технологии, однако есть исключительно важные вопросы, выходящие из этого круга. Корпоративная сеть включает реальный мир: пользователи, физические устройства, носители информации и т.д., которые также могут стать причиной неприятностей. Наши пользователи, по-видимому в силу исторических традиций, относятся к вопросам секретности иронически. В условиях сетевой работы такое отношение настоятельно необходимо изменить, добиваясь осознания основных принципов защиты. Это первый этап, после которого можно переходить к следующему - техническому обучению, причем пройти его должны не только пользователи, но и профессионалы. По мере разработки спецификаций политики безопасности, администраторы систем и баз данных должны быть с ними ознакомлены в такой мере, чтобы суметь воплотить их в конкретные программные решения.
Типичная лазейка для взломщиков - “слабые”, то есть легко раскрываемые пароли. Исправить положение можно, обучив пользователей сознательно относиться к контролю доступа: периодически менять пароли, корректно их формировать. Как ни удивительно, даже в квалифицированной среде распространенный прокол - это пароль, сформированный из регистрационного имени и единички в конце. Хотя по мере прогресса технологий физической безопасности снижается, пока она составляет важную часть общей политики. Если нарушитель может получить доступ к физическим компонентам сети, он, как правило, может и войти в систему без авторизации. Более того, возможность физического доступа пользователей к критическим компонентам системы увеличивает вероятность непредумышленных сбоев в обслуживании. Следовательно, непосредственный контакт с жизненно важной компьютерной и сетевой аппаратурой должен быть ограничен минимально возможным кругом персонала - системными администраторами и инженерами. Это не означает какого-то исключительного доверия к ним, просто таким образом уменьшается вероятность происшествий и, если все-же что-то происходит, диагностика становится более определенной. Ссылаясь на собственный опыт, могу подтвердить полезность простых организационных мер - не ставьте ценное оборудование в проходном дворе.
Надеясь на лучшее, неплохо предусмотреть и плохие варианты. Не помешает иметь аварийный план на случай выхода из строя питания или других катаклизмов, в том числе злонамеренного проникновения. Если взлом все же произошел, нужно быть готовым к тому, чтобы отреагировать очень быстро, пока злоумышленники не успели нанести тяжелых повреждений системе или заменить административные пароли.
Вопросы сетевой безопасности в общем контексте политики защиты должны покрывать различные виды доступа:

Соответственно используются механизмы двух типов: внутренние и лежащие на периметре сети предприятия - там, где происходит внешние соединения.
Для внутренней сетевой безопасности важно обеспечить правильную конфигурацию оборудования и ПО, наладив управление конфигурацией. Внешняя сетевая безопасность подразумевает определение четких границ сети и установку в критических местах межсетевых экранов.

Оценка рисков безопасности

Политика защиты реализована - можно и отдохнуть, но лучше не ждать прибытия хакеров, а самостоятельно убедиться, насколько ваша система способна противостоять внешним атакам. Цель в том, чтобы оценить достигнутую степень безопасности, выявить сильные и слабые пункты защиты. Процедуру оценки можно выполнить и своими силами, хотя, возможно, проще обратиться к услугам компании, специализирующейся на такой деятельности. Собственные специалисты будут иметь дополнительные трудности: им придется задавать трудные вопросы своим коллегам и делать заключения, которые кому-то могут быть не слишком приятны.

Оценка и тестирование политики безопасности
Первый шаг заключается в сравнении запланированных в политике безопасности положений с тем, что имеет место в реальности. Для этого нужно найти ответы примерно на такие вопросы.

• Кто определяет, что является конфиденциальным?
• Есть ли процедуры для работы с конфиденциальной информацией?
• Кто устанавливает состав конфиденциальной информации, сообщаемой персоналу для выполнения рабочих функций?
• Кто администрирует систему безопасности и на какой основе?

Получить подобные сведения не всегда просто. В лучшем варианте нужно собрать и прочитать опубликованные формальные документы, содержащие положения политики безопасности, процедуры ведения дел, архитектурные диаграммы и прочее. Однако, в массе организаций таких документов нет вообще, а если они и есть, то их практически игнорируют. Тогда, чтобы выявить реальное положение дел, придется проводить натурные наблюдения за рабочими местами, определяя заодно, можно ли вообще заметить проявления какой-либо единой политики.
Разница между писаными правилами и типовыми приемами работы персонала может быть очень большая. Например, опубликованная политика может содержать положение, что пароли ни вкакой ситуации не могут использоваться несколькими сотрудниками. И, по-видимому, есть много организаций, в которых это свято соблюдается, но еще большее их число страдает как раз от разделения паролей.
О некоторых слабостях корпоративной культуры можно узнать только посредством тайных разведывательных операций. К примеру, корпоративная политика может утверждать, что пароли секретны и не должны никуда записываться, а беглая прогулка по помещениям покажет, что их рисуют прямо на клавиатуре или мониторе. Другой эффективный прием - опрос пользователей о правилах работы с информацией. Из таких интервью можно узнать, какая информация наиболее ценна для сотрудника и каким образом она представлена внутри корпоративной сети и вовне.

Изучение открытых источников
Знание - сила. Следуя этому девизу, злоумышленник может извлечь изрядную долю фактически приватной внутренней информации компании, покопавшись в ее открытых, публично доступных материалах. На втором этапе оценки безопасности и нужно выяснить, как много посторонний может узнать о компании. “Полезной” информацией, дающей проникающую силу, может быть: типы используемых операционных систем, установленные заплаты, канонические стандарты регистрационных имен пользователей, внутренние IP-адреса или имена закрытых хостов и серверов.
Можно (и нужно) принять меры для уменьшения количества информации, которое могут собрать хакеры и взломщики, но для этого требуется иметь представление о том, что уже просочилось и понимать, каким образом эта утечка произошла. Самого пристального внимания заслуживает изучение материалов, опубликованных сотрудниками в Internet . Известен случай, когда одна компания представила на своей странице фрагмент исходного текста критически важного для безопасности приложения. Аналогичные коллизии могут быть и в материалах, помещаемых в газетах, журналах, других источниках.
Результаты изучения открытых материалов должны стать основой для внесения корректив в правила подготовки открытых изданий.

Оценка безопасности хост-систем
Центральные обрабатывающие системы (хост-системы), как правило, с точки зрения безопасности выглядят получше всех остальных. По простой причине: хост-системы более зрелые, их операционные системы и ПО защиты лучше отработаны и освоены. Некоторые из наиболее популярных продуктов защиты для мэйнфреймов и компьютеров средней мощности имеют стаж в несколько десятилетий.
Это, конечно, не означает, что именно ваша хост-система безопасна априори. Старый хост может оказаться слабейшим звеном, например, если он создавался в “доисторические” времена, когда никто не думал ни о локальных, ни о глобальных. Необходимо оценить схему безопасности и ее реализацию на хост-системе с новых позиции, определить, насколько согласованно работают вместе прикладное ПО, механизмы защиты операционной системы и сеть. Поскольку в организации вычислений участвуют по крайней мере две группы специалистов - по операционной системе и по приложениям - не исключено, что каждая из них возлагает заботы по защите на коллег, а суммарный результат может быть нулевым .

Анализ безопасности серверов
В отличие от хост-систем серверы файлов, приложений, баз данных более молоды и сравнительно менее оттестированы - для многих из них возраст аппарата защиты насчитывает всего несколько лет. Большая часть таких средств претерпевает постоянные обновления и “латания”. Часто и администрирование серверов ведется специалистами с небольшим опытом, так что безопасность этого класса систем обычно оставляет желать много лучшего. Ситуация усугубляется тем, что, по определению, к серверам имеют доступ совершенно разнообразная публика по телефонным или дистанционным линиям связи. Следовательно, оценка безопасности серверов требует повышенного внимания. Для этого существует некоторое количество средств, включая Kane Analyst (Novell и NT). Продукты такого рода обследуют серверы (используя привилегированный доступ) и составляют отчет о конфигурации, практике администрирования системы защиты и популяции пользователей. Использовать автоматические средства имеет смысл - однократное сканирование может выявить проблемы, которые вряд ли можно обнаружить даже многими часами ручного анализа. Например, сканирование может быстро выявить процент пользователей, которые имеют излишне высокий уровень прав доступа или являются членами слишком многих групп.
В следующем разделе рассмотрены еще два этапа - анализа безопасности сетевых соединений.

Имитация контролируемого проникновения
По-видимому, один из лучших способов проверки надежности защиты – нанять квалифицированного хакера и попросить его продемонстрировать свои достижения на вашей сети. Такой вид оценки называется тестированием путем контролируемого проникновения.
При подготовке такого теста невредно договориться об ограничениях на область действия атаки и о ее типе - ведь речь идет всего лишь о проверке, которая ни в коем случае не должна привести к нарушениям нормального рабочего состояния. На основе определенных правил “боя” далее производится выбор типов тестов.
Здесь существуют два подхода. В первом тестирование производится так, как если бы его производил настоящий взломщик. Этот подход называется слепым проникновением. Его отличительная черта в том, что лицу, производящему тестирование сообщается, например, URL , но внутренняя информация - дополнительные точки доступа в Internet , прямые соединения с сетью - не раскрывается.
Во втором подходе - “информированном проникновении” - команда взлома располагает перед атакой какими-то сведениями о структуре сети. Такой подход приметается, ееж проверь должны обязательно пройти определенные компоненты. Например, когда в системе установлен сетевой экран, отдельно должен быть протестирован используемый в нем набор правил.
Множество тестов можно разбить на две группы: проникновение из Internet и проникновение то телефонным линиям.

Сканирование соединении с Internet
Обычно основные надежды по защите возлагаются на сетевые экраны между внутренней корпоративной сетью и Internet. Следует, однако, отдавать себе отчет, что сетевой экран хорош только в той степени, в какой хороша его инсталляций - он должен быть установлен в надлежащей точке и на надежной операционной системе. В противном случае он будет просто источником ложного чувства безопасности.
Для проверки сетевых экранов и аналогичных систем выполняются тесты сканирования и проникновения, имитирующие направленную на проверяемую систему атаку из Internet . Для тестирования существует множество программных средств, к примеру, два популярных - ISS Scaner (коммерческий продукт) и SATAN (свободно распространяемый; прим . не обновлялся с 1995 года). Можно выбирать те или иные сканеры, но тесты будут иметь смысл только при выполнении трех условий: нужно освоить правильное управление сканером, результаты сканирования должны быть тщательно проанализированы, просканирована должна быть максимально возможная часть инфраструктуры.
Основные “цели” этой группы тестов - открытые серверы Internet-служб ( WWW, SMTR FTP и т.д.). Добраться до самих этих серверов легко - их имена известны, вход свободный. А дальше взломщик попытается добраться до представляющих интерес данных. Известно несколько приемов взлома, которые можно попробовать применить непосредственно против сервера. Кроме того, исходя из IP-адреса сервера, может быть инициировано сканирование в попытке идентифицировать еще какие-то хосты в том же диапазоне адресов. Если что-то выловлено, то по каждому задействованному IP-адресу запускается опрос портов с целью определения служб, выполняющихся на хосте. Во многих случаях при попытках соединения или использования сервиса удается получить такую информацию, как платформа сервера, версия операционной системы и даже версию сервиса (например, sendmail 8.6).
Вооружившись этими сведениями, взломщик может предпринять серию атак по известным уязвимым точкам хостов. Как показывает опыт, в большинстве ситуаций, можно, собрав достаточный объем сведений, получить некоторый уровень неавторизованого доступа.

Атака по телефонным номерам
За последнее десятилетие модемы совершили революцию в средствах компьютерной связи. Однако, эти же модемы, если они установлены на включенных в сеть компьютерах и оставлены в режиме автоответа, представляют собой наиболее уязвимые точки. Атака по телефонным номерам ( war dialing ) - это перебор всех комбинаций с тем, чтобы найти звуковой сигнал модема.
Запущенная программа в автоматическом режиме способна за ночь пробежать огромный диапазон телефонных номеров, регистрируя обнаруженные модемы. Хакер за утренней чашкой кофе получит текстовый файл с адресами модемов и может их атаковать. Особую опасность такого рода атакам придает то, что многие компании позволяют себе держать либо неконтролируемые, либо неавторизованные линии связи, которые обходят сетевые экраны с Internet и открывают прямой доступ к внутренней сети.
Такую же атаку можно осуществить в режиме тестирования - результаты покажут, по какому количеству модемов вы можете подвергнуться настоящему взлому. Этот вид тестирования выполняется достаточно просто. В слепом варианте команда проникновения находит телефонные коммутаторы компании (из различных открытых источников, включая Web-страницу), а если тест не слепой, эти сведения ей сообщаются. Автоматически прозванивается диапазон телефонных номеров в коммутаторах, с тем чтобы определить номера, по которым подключены модемы. Методы атаки модемов могут опираться на терминальные программы, такие как HyperTerminal и программы управления удаленным доступом, например PC Anyware . Опять цель состоит в том, чтобы получить какой-либо уровень доступа к внутреннему сетевому устройству. Если соединение и успешный вход произошел - начинается новая игра.

Из всего сказанного можно, по-видимому, сделать следующий вывод : безопасность сети можно поддерживать и своими силами, но это должна быть высоко-профессиональная деятельность, а не одноразовая компания. Сеть масштаба предприятия - почти всегда большая система и одним махом всех проблем безопасности не решить.

Оставляя в стороне государственные законы по компьютерной безопасности и стандарты, можно рекомендовать три типа наиболее полезных и необходимых в практической деятельности источника информации:

• соответствующие разделы документации по эксплуатирующимся операционным системам и приложениям;

Web-страницы производителей программных продуктов и ОС, на которых публикуются сообщения о новых версиях с исправленными ошибками и заплатах;

• существуют по крайней мере две организации: CERT (Computer Emergency Response Team) и С1АС (Computer Incident Advisory Capability), которые собирают и распространяют сведения о взломах, дают советы по устранению их последствий, сообщают о выявленных ошибках программных средств, используя которые злоумышленники проникают в компьютерные системы.

Столь же необходимым условием надежности защиты является системность, а всякая система имеет свой жизненный цикл. Для системы безопасности это: проектирование - реализация - оценка - обновление.

В этой части описана техника взлома компьютеров Windows 2000/XP в сетях TCP/IP. В уроке 1 мы обсуждали методы и средства, применяемые хакерами для проникновения в компьютерную систему организации. Там мы указали, что для реализации такой задачи хакер может воспользоваться локальным доступом, скажем, для элементарной кражи оборудования, например, жесткого диска, или взломать систему удаленно. Удаленное проникновение можно выполнить либо изнутри локальной сети, подсоединив к сетевому кабелю компьютер с хакерским программным обеспечением, либо извне - воспользовавшись Интернетом или телефонной линией с модемом. Угрозы локального проникновения и атаки из Интернета мы обсудили в предыдущих главах, а в этой части книги мы сконцентрируем внимание на атаках компьютеров Windows 200/XP изнутри локальной сети. Мы рассмотрим уязвимости протоколов TCP/IP, средств удаленного администрирования, брандмауэров, сетевых соединений.

Хакинг компьютеров Windows 2000/XP

Итак, хакеру удалось подсоединиться к локальной сети, воспользовавшись каким-то заброшенным (чужим) компьютером, или нелегально подсоединиться к сетевому кабелю, проходящему где-то в подвале, применив специальное устройство. Впрочем, все это, как правило, излишне - при царящем в нынешних локальных сетях хаосе достаточно получить доступ к обычному сетевому компьютеру - и далее все зависит от вас. Итак, хакер получил доступ к локальной сети и теперь хочет получить доступ к информационным ресурсам сетевых хостов. Как же он может это сделать?

Далее работа утилит хакинга иллюстрируется на примере нашей экспериментальной сети TCP/IP, которую мы использовали на протяжении всей книги. Эта сеть позволит продемонстрировать набор технических приемов хакинга сетей TCP/IP без нарушения чьих-либо прав на конфиденциальность информации. Автор категорически настаивает на неприменении описанных далее средств к реальным сетям и предупреждает о возможной ответственности.

В Главе 1 мы описали все этапы хакерского нападения и указывали, что хакер вначале попытается узнать все что только можно об организации атакуемой сети и применяемых в ней сетевых технологиях. В этой главе мы опустим этап предварительного сбора данных - он достаточно подробно описан в Главе 12 применительно к задачам хакинга Web-сайтов. Вместо этого мы поподробнее рассмотрим все последующие этапы сетевой атаки, которые, собственно, и делают хакинг таким «интересным» занятием. Как указывалось в Главе 1, первое, что должен сделать хакер для проникновения в сеть - это выполнить ее сканирование и инвентаризацию.

Сканирование сети TCP/IP

Сканирование преследует цель определение IP-адресов хостов атакуемой сети, и для выполнения сканирования можно воспользоваться утилитой ping из набора средств, представленных в пакете W2RK (Windows 2000 Resource Pack). Эта утилита посылает сетевым хостам с IP-адресами в заданном диапазоне пакеты протокола ICMP (Internet Control Message Protocol - Протокол управляющих сообщений в сети Интернет). Если в ответ на посланный пакет приходит ответ - значит по соответствующему адресу находится сетевой хост. На Рис. 1 представлен результат сканирования утилитой ping хоста Sword-2000 .

Рис. 1. Результат сканирования хоста Sword-2000 утилитой ping

Из результата видно, что компьютер по указанному адресу подключен к сети и соединение работает нормально. Это самый простой способ сканирования сети, однако, он не всегда приводит к нужным результатам, поскольку многие узлы блокируют ответную отправку пакетов ICMP с помощью специальных средств защиты. Если обмен данными по протоколу ICMP заблокирован, хакерами могут быть использованы другие утилиты, например, hping (http://www.hping.org/ ). Эта утилита способна фрагментировать (т.е. делить на фрагменты) пакеты ICMP, что позволяет обходить простые устройства блокирования доступа, которые не умеют делать обратную сборку фрагментированных пакетов.

Другой способ обхода блокирования доступа - сканирование с помощью утилит, позволяющих определить открытые порты компьютера, что в ряде случаев способно обмануть простые системы защиты. Примером такой утилиты является SuperScan (http://www.foundstone.com ), которая предоставляет пользователям удобный графический интерфейс (см. Рис. 2).

Рис. 2. Результаты сканирования сети утилитой SuperScan 3.0

На Рис. 2 приведен результат сканирования сети в диапазоне IP-адресов 192.168.0.1-192.168.0.100 . Обратите внимание на древовидный список в нижней части окна, отображающий список всех открытых портов компьютера Ws7scit1xp , среди которых - любимый хакерами TCP-порт 139 сеансов NetBIOS. Запомнив это, перейдем к более детальному исследованию сети - к ее инвентаризации.

Инвентаризация сети

Инвентаризация сети заключается в определении общих сетевых ресурсов, учетных записей пользователей и групп, а также в выявлении приложений, исполняемых на сетевых хостах. При этом хакеры очень часто используют следующий недостаток компьютеров Windows NT/2000/XP - возможность создания нулевого сеанса NetBIOS с портом 139.

Нулевой сеанс

Нулевой сеанс используется для передачи некоторых сведений о компьютерах Windows NT/2000, необходимых для функционирования сети. Создание нулевого сеанса не требует выполнения процедуры аутентификации соединения. Для создания нулевого сеанса связи выполните из командной строки Windows NT/2000/XP следующую команду.

net use \\1.0.0.1\IPC$ "" /user: ""

Здесь 1.0.0.1 - это IP-адрес атакуемого компьютера Sword-2000 , IPC$ - это аббревиатура Inter-Process Communication - Межпроцессное взаимодействие (название общего ресурса сети), первая пара кавычек "" означает использование пустого пароля, а вторая пара в записи /user:"" указывает на пустое имя удаленного клиента. Подключившийся по нулевому сеансу анонимный пользователь по умолчанию получает возможность запускать диспетчер пользователей, применяемый для просмотра пользователей и групп, исполнять программу просмотра журнала событий. Ему также доступны и другие программы удаленного администрирования системой, опирающиеся на протокол SMB (Server Message Block - Блок сообщений сервера). Более того, подсоединившийся по нулевому сеансу пользователь имеет права на просмотр и модификацию отдельных разделов системного реестра.

В ответ на ввод вышеприведенной команды, не защищенный должным образом компьютер отобразит сообщение об успешном подключении; в противном случае отобразится сообщение об отказе в доступе. В нашем случае появится сообщение об успешном выполнении соединения компьютера Alex-З (система Windows XP) с компьютером Sword-2000 (система Windows 2000). Однако нулевой сеанс Sword-2000 с Alex-З уже не получается - очевидно, разработчики Windows XP учли печальный опыт «использования» нулевого сеанса в системах Windows 2000, которые, по умолчанию, позволяли нулевые сеансы.

Нулевые сеансы связи используются всеми утилитами инвентаризации сетевых ресурсов компьютеров Windows NT/2000/XP. Самый простой метод инвентаризации состоит в использовании утилит net view и nbtstat из пакета W2RK. Утилита net view позволяет отобразить список доменов сети.

В результате отобразилось название рабочей группы SWORD. Если указать найденное имя домена, утилита отобразит подсоединенные к нему компьютеры.

А теперь определим зарегистрировавшегося на данный момент пользователя серверного компьютера Sword-2000 и запущенные на компьютере службы. С этой целью применим утилиту nbtstat; результат ее применения представлен на Рис. 3.

Рис. 3. Утилита nbtstat определила пользователей и службы компьютера А1ех-3

На Рис. 3 отображена таблица, в которой первый столбец указывает имя NetBIOS, вслед за именем отображен код службы NetBIOS. В частности, код <00> после имени компьютера означает службу рабочей станции, а код <00> после имени домена - имя домена. Код <03> означает службу рассылки сообщений, передаваемых вошедшему в систему пользователю, имя которого стоит перед кодом <03> - в данном случае, Administrator. На компьютере также запущена служба браузера MSBROWSE, на что указывает код <1 Е> после имени рабочей группы SWORD.

Итак, у нас уже имеется имя пользователя, зарегистрированного в данный момент на компьютере - Administrator. Какие же общие сетевые ресурсы компьютера Sword-2000 он использует? Снова обратимся к процедуре net view, указав ей имя удаленного компьютера. Результаты представлены на Рис. 4.

Рис. 4. Общие ресурсы компьютера Sword-2000

Как видим, учетная запись пользователя Administrator открывает общий сетевой доступ к некоторым папкам файловой системе компьютера Sword-2000 и дисководу CD-ROM. Таким образом, мы уже знаем о компьютере достаточно много - он разрешает нулевые сеансы NetBIOS, на нем работает пользователь Administrator, открыты порты 7, 9, 13, 17, 139, 443, 1025, 1027 компьютера, и в число общесетевых ресурсов входят отдельные папки локального диска С:. Теперь осталось только узнать пароль доступа пользователя Administrator - и в нашем распоряжении будет вся информация на жестком диске С: компьютера. Чуть ниже мы покажем, как для этого используется утилита pwdump3.exe удаленного извлечения паролей из системного реестра Windows NT/2000/XP и программа LC4 их дешифрования.

А что можно сделать, если протокол NetBIOS через TCP/IP будет отключен (компьютеры Windows 2000/XP предоставляют такую возможность)? Существуют и другие средства инвентаризации, например, протокол SNMP (Simple Network Management Protocol - Простой протокол сетевого управления), обеспечивающий мониторинг сетей Windows NT/2000/XP.

А сейчас, после того, как мы собрали сведения об атакуемой системе, перейдем к ее взлому.

Реализация цели

Исполнение атаки на системы Windows NT/2000/XP состоит из следующих этапов.

Проникновение в систему, заключающееся в получении доступа.

Расширение прав доступа, состоящее во взломе паролей учетных записей с большими правами, например, администратора системы.

Выполнение цели атаки - извлечение данных, разрушение информации и т.д.

Проникновение в систему

Проникновение в систему начинается с использования учетной записи, выявленной на предыдущем этапе инвентаризации. Для определения нужной учетной записи хакер мог воспользоваться командой nbtstat или браузером MIB, или какими-либо хакерскими утилитами, в изобилии представленными в Интернете. Выявив учетную запись, хакер может попробовать подсоединится к атакуемому компьютеру, используя ее для входной аутентификации. Он может сделать это из командной строки, введя такую команду.

D:\>net use \\1.0.0.1\IPCS * /urAdministrator

Символ «*» в строке команды указывает, что для подключения к удаленному ресурсу IPC$ нужно ввести пароль для учетной записи Administrator. В ответ на ввод команды отобразится сообщение:

Type password for\\1.0.0.1\IPC$:

Ввод корректного пароля приводит к установлению авторизованного подключения. Таким образом, мы получаем инструмент для подбора паролей входа в компьютер - генерируя случайные комбинации символов или перебирая содержимое словарей, можно, в конце концов, натолкнуться на нужное сочетание символов пароля. Для упрощения подбора существуют утилиты, которые автоматически делают все эти операции, например, SMBGrind, входящая в коммерческий пакет CyberCop Scanner компании Network Associates. Еще один метод - создание пакетного файла с циклическим перебором паролей.

Однако удаленный подбор паролей - далеко не самое мощное орудие взлома. Все современные серверы, как правило, снабжены защитой от многократных попыток входа со сменой пароля, интерпретируя их как атаку на сервер. Для взлома системы защиты Windows NT/2000/XP чаще используется более мощное средство, состоящее в извлечении паролей базы данных SAM (Security Account Manager -Диспетчер учетных данных системы защиты). База данных SAM содержит шифрованные (или, как говорят, хешированные) коды паролей учетных записей, и они могут быть извлечены, в том числе удаленно, с помощью специальных утилит. Далее эти пароли дешифруются с помощью утилиты дешифрования, использующей какой-либо метод взлома, например, «грубой силой», либо словарной атакой, путем перебора слов из словаря.

Наиболее известной утилитой дешифрования, применяемой для взлома паролей SAM, является программа LC4 (сокращение от названия LOphtcrack, новейшая версия - LC4) (http://www.atstake.com/research/redirect.html ), которая действует в паре с такими утилитами.

Samdump - извлечение хешированных паролей из базы данных SAM.

Pwdump - извлечение хешированных паролей из системного реестра компьютера, включая удаленные системы. Эта утилита не поддерживает усиленное шифрование Syskey базы SAM (подробнее о Syskey см. Главу 4).

Pwdump2 - извлечение хешированных паролей из системного реестра, в котором применено шифрование Syskey. Эта утилита поддерживает работу только с локальными системами.

Pwdump3 - то же, что и Pwdump2, но с поддержкой удаленных систем.

Что такое шифрование Syskey, мы подробно обсудили в Главе 4; здесь укажем, что это средство усиленного шифрования базы SAM, которое устанавливается в системах Windows 2000/XP по умолчанию, а для систем Windows NT должно быть установлено как дополнительная возможность.

В Главе 4 было описано, как следует извлекать пароли из локального системного реестра, сейчас же рассмотрим, как эта операция выполняется удаленно. Для извлечения хешированных паролей из компьютера Sword-2000 применим утилиту Pwdimp3, запустив ее из командной строки:

C:\>pwdump3 sword-2000 > password.psw

Здесь в командной строке указан целевой компьютер Sword-2000 , а далее задано перенаправление вывода извлеченных данных в файл с именем password.psw. Содержимое полученного в результате файла представлено в окне приложения Блокнот (Notepad) (Рис. 5).

Рис. 5. Результат извлечения хешированных паролей из компьютера Sword-2000

Как видим, в файле password.psw содержится учетная запись Administrator, которую мы нашли на этапе инвентаризации. Чтобы расшифровать пароли, следует применить программу LC4, и, хотя пробная версия этой программы поддерживает только дешифрование паролей методом словарной атаки, мы все же сможем взломать пароли компьютера Sword-2000 (Рис. 6).

Рис. 6. Дешифрование паролей, удаленно извлеченных из реестра компьютера Sword-2000

Для этого потребовалось всего несколько секунд работы компьютера с процессором Celeron 1000 МГц, поскольку пароль 007 состоит всего из трех цифр и очень слаб. Применение более сложных паролей значительно повышает крипто-стойкость системы, и их взлом может потребовать неприемлемого увеличения времени работы приложения LC4.

Таким образом, хакер, имея одну небольшую зацепку - возможность создания нулевых сеансов подключения NetBIOS к компьютеру - в принципе, сможет получить пароли учетных записей компьютера, включая администратора системы. Если же ему не удастся сразу получить пароль учетной записи с большими правами, хакер постарается расширить свои права доступа.

Расширение прав доступа и реализация aтaku

Для расширения прав доступа к системе взломщики используют самые разнообразные методы, но основное их отличие - необходимость внедрения в компьютер специальной программы, позволяющей выполнять удаленное управление системой, в том числе регистрацию действий пользователя. Цель - овладение учетной записью, позволяющей получить максимально широкий доступ к ресурсам компьютера. Для этого на атакуемый компьютер могут быть внедрены так называемые клавиатурные шпионы - программы, регистрирующие нажатия клавиш. Все полученные данные записываются в отдельный файл, который далее может быть отослан на компьютер взломщика по сети.

В качестве примера клавиатурного шпиона можно назвать популярный регистратор Invisible Key Logger Stealth (IKS) (http://www.amecisco.com/iksnt.htm ). Кейлоггер IKS - пример пассивного трояна, который работает сам по себе и не обеспечивает своему хозяину средств удаленного управления.

Другой вариант действий хакера - помещение в систему активного трояна, т.е., например, популярного троянского коня NetBus (http://www.netbus.org ) или В02К (Back Orifice 2000) (http://www.bo2k.com ), которые обеспечивают средства скрытого удаленного управления и мониторинга за атакованным компьютером.

Утилиты NetBus и ВО2К позволяют реализовать одну из важнейших целей хакерской атаки - создание в удаленной системе потайных ходов. Прорвавшись один раз в компьютер жертвы, хакер создает в нем множество дополнительных «потайных» ходов. Расчет строится на том, что пока хозяин компьютера ищет и находит один ход, хакер с помощью пока еще открытых ходов создает новые потайные ходы, и так далее. Потайные ходы - крайне неприятная вещь, избавиться от них практически невозможно, и с их помощью взломщик получает возможность делать на атакованном компьютере что угодно - следить за деятельностью пользователя, изменять настройки системы, а также делать ему всякие гадости типа насильственной перезагрузки системы или форматирования жестких дисков.

В качестве примера троянского коня рассмотрим работу старого, заслуженного троянского коня NetBus, разработанного группой хакеров cDc (Cult of the Dead Cow - Культ мертвой коровы).

Приложение NetBus

Приложение NetBus относится к числу клиент-серверных программ, т.е. одна его часть, серверная, устанавливается на атакуемом компьютере, а другая часть, клиентская, на компьютере хакера. Инсталляция приложения, выполняемая на локальном компьютере, не вызывает проблем. В диалоге мастера установки следует указать требуемый компонент - серверный или клиентский, после чего происходит его загрузка на компьютер. Скрытая, удаленная, установка сервера на атакованном компьютере и запуск серверной программы - это задача посложнее, и мы ее отложим. Вначале рассмотрим работу приложения NetBus на примере двух наших сетевых компьютеров: клиента - компьютер Ws7scit1xp (IP-адрес 192.168.0.47), и сервера - компьютер Ws6scit1xp (IP-адрес 192.168.0.46).

Для успешной работы троянского коня NetBus на атакуемом компьютере вначале требуется запустить серверный компонент приложения, называемый NBSvr (настоящие хакеры должны ухитриться сделать это удаленно). При запуске программы NBSvr отображается диалог, представленный на Рис. 7.

Рис. 7. Диалог сервера NetBus

Перед использованием сервера NetBus утилиту NBSvr необходимо настроить. Для этого выполните такую процедуру.

В диалоге NB Server (Сервер NB) щелкните на кнопке Settings (Параметры). На экране появится диалог Server Setup (Параметры сервера), представленный на Рис. 8.

Рис. 8. Диалог настройки сервера NetBus

Установите флажок Accept connections (Принимать соединения).

В поле Password (Пароль) введите пароль доступа к серверу NetBus .

Из открывающегося списка Visibility of server (Видимость сервера) выберите пункт Full visible (Полная видимость), что позволит наблюдать за работой сервера NetBus (но для работы лучше выбрать полную невидимость).

В поле Access mode (Режим доступа) выберите Full access (Полный доступ), что позволит делать на компьютере Ws7scit1xp все возможные операции удаленного управления.

Установите флажок Autostart every Windows session (Автозагрузка при каждом сеансе работы с Windows), чтобы сервер автоматически загружался при входе в систему.

Щелкните мышью на кнопке ОК . Сервер готов к работе. Теперь настроим работу клиента - утилиту NetBus.exe .

Запустите утилиту NetBus.exe , после чего отобразится окно NetBus 2.0 Pro , представленное на Рис. 9.

Рис. 9. Рабочее окно клиента NetBus

Выберите команду меню Host * Neighborhood * Local (Хост * Соседний хост * Локальный). Отобразится диалог Network (Сеть), представленный на Рис. 10.

Рис. 10. Диалог выбора хоста для подключения клиента NetBus

Щелкните на пункте Microsoft Windows Network (сеть Microsoft Windows) и откройте список сетевых хостов (Рис. 11).

Рис. 11. Диалог выбора серверного хоста для подключения

Выберите компьютер с установленным сервером NetBus, в нашем случае Ws7scit1xp , и щелкните на кнопке Add (Добавить). На экране появится диалог Add Host (Добавить хост), представленный на Рис. 12.

Рис. 12. Диалог добавления нового хоста - сервера NetBus

В поле Host name/IP (Имя хоста/IP) введите IP-адрес серверного хоста 192.168.0.46.

В поле User name (Имя пользователя) введите имя взломанной учетной записи Administrator , а в поле Password (Пароль) - дешифрованный утилитой LC4 пароль 007 .

Щелкните на кнопке ОК . На экране отобразится диалог Network (Сеть).

Закройте диалог Network (Сеть), щелкнув на кнопке Close (Закрыть). На экране отобразится окно NetBus 2.0 Pro с записью добавленного хоста (Рис. 13).

Рис. 13. Окно NetBus 2.0 Pro с записью добавленного хоста - сервера NetBus

Чтобы подсоединиться к хосту Ws7scit1xp , щелкните правой кнопкой мыши на пункте списка Ws7scit1xp и из отобразившегося контекстного меню выберите команду Connect (Подсоединить). В случае успеха в строке состояния окна NetBus 2.0 Pro отобразится сообщение Connected to 192.168.0.46 (v.2.0) (Подключен к 192.168.0.46 (v.2.0)).

После успешного соединения с серверным компонентом NetBus хакер, используя инструменты клиента NetBus, может сделать с атакованным компьютером все что угодно. Практически ему будут доступны те же возможности, что и у локального пользователя Administrator. На Рис. 14 представлен список инструментов клиента NetBus, отображенный в меню Control (Управление).

Рис. 14. Меню Control содержит обширный список инструментов управления удаленным хостом

Среди этих инструментов отметим средства, собранные в подменю Spy functions (Средства шпионажа) и содержащие такие полезные инструменты, как клавиатурный шпион, перехватчики экранных изображений и информации, получаемой с видеокамеры, а также средства записи звуков. Таким образом, проникший в ваш компьютер хакер может подглядывать, подслушивать и прочитывать все, что вы видите, говорите или вводите с клавиатуры компьютера. И это еще не все! Хакер может модифицировать системный реестр компьютера Sword-2000 , запускать любые приложения и перезагружать удаленную систему Windows, не говоря уж о возможностях просмотра и копирования любых документов и файлов.

Как уже упоминалось, описанная в этом разделе утилита сервера NetBus, так же как и описанный в предыдущем разделе клавиатурный шпион IKS, требуют предварительного запуска на атакуемом компьютере. Последняя задача составляет целую отдельную область хакинга и заключается в поиске открытых по недосмотру каталогов информационного сервера IIS, а также в использовании методов «социальной инженерии», применяемых для внедрения в компьютер троянских коней или вирусов. (Подробнее методы «социальной инженерии» рассматриваются на протяжении всей книги).

Coкpытие следов

Аудит, несомненно, является одним из наиболее серьезных средств защиты от хакинга компьютерной системы, и отключение средств аудита - одна из первых операций, которую выполняют хакеры при взломе компьютерной системы. Для этого применяются различные утилиты, позволяющие очистить журнал регистрации и/или отключить аудит системы перед началом «работы».

Для отключения аудита хакеры могут открыть консоль ММС и отключить политику аудита, воспользовавшись средствами операционной системы. Другим, более мощным средством, является утилита auditpol.exe комплекта инструментов W2RK. С ее помощью можно отключать (и включать) аудит как локального, так и удаленного компьютера. Для этого следует из командной строки ввести такую команду.

C:\Auditpol>auditpol \\sword-2000 /disable

На экране появятся результаты работы:

Параметр команды \\sword-2000 - это имя удаленного компьютера, а ключ /disable задает отключение аудита на этом компьютере. Утилита auditpol.exe - весьма эффективное средство, созданное для управления сетевыми ресурсами, но также, как видим, весьма удобный инструмент хакинга. Чтобы познакомиться с ее возможностями, достаточно ввести команду auditpol /? , после чего на экране отобразится справочная информация по применению утилиты. В частности, эта утилита позволяет включать/отключать аудит базы данных SAM, что является предпосылкой использования утилиты pwdump3.exe для извлечения паролей из базы SAM.

Очистку журналов безопасности можно выполнить либо с помощью утилиты просмотра журналов Windows 2000/XP, либо с помощью специальных утилит (как правило, используемых хакерами). В первом случае следует выполнить следующие действия.

Щелкните на кнопке Пуск (Start) и в появившемся главном меню выберите команду Настройка * Панель управления (Settings * Control Panel).

В отобразившейся панели управления откройте папку Администрирование (Administrative Tools).

Дважды щелкните на аплете Управление компьютером (Computer Management). На экране появится диалог консоли ММС.

Последовательно откройте папки Служебные программы * Просмотр событий (System Tools * Event Viewer).

Щелкните правой кнопкой мыши на пункте Безопасность (Security Log); появится контекстное меню.

Выберите команду контекстного меню Стереть все события (Clear all Events). На экране появится диалог Просмотр событий (Event Viewer) с предложением сохранить журнальные события в файле.

Щелкните на кнопке Нет (No), если вам больше не требуются зафиксированные в журнале события. Журнал будет очищен.

При выполнении операции очистки журнала безопасности обратите на характерную особенность. При очистке журнала безопасности из него удаляются все события, но сразу устанавливается новое событие - только что выполненная очистка журнала аудита! Таким образом, хакер все же оставит свой след - пустой журнал с зафиксированным событием очистки журнала. Посмотрим, не помогут ли нам в таком случае хакерские утилиты.

Попробуем применить утилиту очистки журнала событий elsave.exe (http://www.ibt.ku.dk/jesper/ELSave/default.htm ). Эта утилита предназначена в первую очередь для очистки журналов Windows NT 4, но ее последняя версия работает и с системой Windows 2000. Вот как она запускается из командной строки.

C:\els004>elsave -s \\sword-2000 -С

Здесь ключ -s задает режим удаленной очистки, а ключ -С задает операцию очистки журнала. Кроме очистки, утилита позволяет копировать события журнала в файл. (Ввод команды elsave /? приводит к отображению справки, и вы можете сами испытать эффективность всех предлагаемых возможностей). Проверка показывает, что отмеченный выше недостаток остался - применение утилиты elsave.exe регистрируется в журнале безопасности как событие очистки журнала, подобно применению команды очистки журнала средствами аплета Управление компьютером (Computer Management).

Как защититься от всех этих утилит? Следует убрать из компьютера (или замаскировать) все утилиты комплекта W2RK, установить аудит базы данных SAM, системного реестра и всех важных ресурсов системы. После этого следует регулярно просматривать журнал безопасности. Выявление непонятных событий очистки журнала безопасности или доступа к защищенным ресурсам поможет навести на след хакера.

Заключение

Сетевой хакинг компьютеров - это очень распространенное занятие хакеров. Однако, как мы видим, занятие это весьма трудоемкое, и при желании выявить такого рода манипуляции достаточно просто. Для этого достаточно воспользоваться шаблонами безопасности Windows и загрузить шаблон защиты сервера. Другие меры пассивной обороны состоят в настройке системы защиты Windows, брандмауэров и систем IDS. В особых случаях антихакер может также прибегнуть к выявлению хакера его же методами, поскольку системы IDS, как правило, способны выявлять IP-адрес нарушителя (например, это делает программа BlacklCE Defender). Однако антихакеру следует учесть, что проникая в компьютер хакера, он сам уподобляется противнику, так что нелишней мерой будет использование прокси-серверов и других средств маскировки.

Еще один способ получения пароля - это внедрение в чужой компьютер «троян-ского коня». Так называют резидентную программу, работающую без ведома хозяи-на данного компьютера и выполняющую действия, заданные злоумышленником. В частности, такого рода программа может считывать коды пароля, вводимого пользователем во время логического входа в систему.

Программа-«троянский конь» всегда маскируется под какую-нибудь полезную ути-литу или игру, а производит действия, разрушающие систему. По такому прин-ципу действуют и программы-вирусы, отличительной особенностью которых яв-ляется способность «заражать» другие файлы, внедряя в них свои собственные копии. Чаще всего вирусы поражают исполняемые файлы. Когда такой испол-няемый код загружается в оперативную память для выполнения, вместе с ним получает возможность исполнить свои вредительские действия вирус. Вирусы могут привести к повреждению или даже полной утрате информации.

Нелегальные действия легального пользователя - этот тип угроз исходит от ле-гальных пользователей сети, которые, используя свои полномочия, пытаются вы-полнять действия, выходящие за рамки их должностных обязанностей. Напри-мер, администратор сети имеет практически неограниченные права на доступ ко всем сетевым ресурсам. Однако на предприятии может быть информация, до-ступ к которой администратору сети запрещен. Для реализации этих ограниче-ний могут быть предприняты специальные меры, такие, например, как шифрова-ние данных, но и в этом случае администратор может попытаться получить дос-туп к ключу. Нелегальные действия может попытаться предпринять и обычный пользователь сети. Существующая статистика говорит о том, что едва ли не по-ловина всех попыток нарушения безопасности системы исходит от сотрудников предприятия, которые как раз и являются легальными пользователями сети.

«Подслушиванием внутрисетевого трафика - это незаконный мониторинг сети, захват и анализ сетевых сообщений. Существует много доступных программных и аппаратных анализаторов трафика, которые делают эту задачу достаточно три-виальной. Еще более усложняется защита от этого типа угроз в сетях с глобаль-ными связями. Глобальные связи, простирающиеся на десятки и тысячи кило-метров, по своей природе являются менее защищенными, чем локальные связи (больше возможностей для прослушивания трафика, более удобная для злоумыш-ленника позиция при проведении процедур аутентификации). Такая опасность одинаково присуща всем видам территориальных каналов связи и никак не зави-сит от того, используются собственные, арендуемые каналы или услуги общедос-тупных территориальных сетей, подобных Интернету.

Однако использование общественных сетей (речь в основном идет об Интерне-те) еще более усугубляет ситуацию. Действительно, использование Интернета добавляет к опасности перехвата данных, передаваемых по линиям связи, опас-ность несанкционированного входа в узлы сети, поскольку наличие огромного числа хакеров в Интернете увеличивает вероятность попыток незаконного про-никновения в компьютер. Это представляет постоянную угрозу для сетей, под-соединенных к Интернету.

Интернет сам является целью для разного рода злоумышленников. Поскольку Интернет создавался как открытая система, предназначенная для свободного об-мена информацией, совсем не удивительно, что практически все протоколы стека TCP/IP имеют «врожденные» недостатки защиты. Используя эти недос-| татки, злоумышленники все чаще предпринимают попытки несанкционирован-ного доступа к информации, хранящейся на узлах Интернета.

Системный подход к обеспечению безопасности

Построение и поддержка безопасной системы требует системного подхода. В со-ответствии с этим подходом прежде всего необходимо осознать весь спектр воз-можных угроз для конкретной сети и для каждой из этих угроз продумать тактику. ее отражения. В этой борьбе можно и нужно использовать самые разноплановые средства и приемы - морально-этические и законодательные, административ-ные и психологические, защитные возможности программных и аппаратных средств сети.

К морально-этическим средствам защиты можно отнести всевозможные нормы, которые сложились по мере распространения вычислительных средств в той или иной стране. Например, подобно тому как в борьбе против пиратского копирова-ния программ в настоящее время в основном используются меры воспитатель-ного плана, необходимо внедрять в сознание людей аморальность всяческих по-кушений на нарушение конфиденциальности, целостности и доступности чужих информационных ресурсов.

Законодательные средства защиты - это законы, постановления правительства и указы президента, нормативные акты и стандарты, которыми регламентируют-ся правила использования и обработки информации ограниченного доступа, а также вводятся меры ответственности за нарушения этих правил. Правовая регламентация деятельности в области защиты информации имеет целью защи-ту информации, составляющей государственную тайну, обеспечение прав потре-бителей на получение качественных продуктов, защиту конституционных прав граждан на сохранение личной тайны, борьбу с организованной преступностью.

Административные меры - это действия, предпринимаемые руководством пред-приятия или организации для обеспечения информационной безопасности. К та-ким мерам относятся конкретные правила работы сотрудников предприятия, например режим работы сотрудников, их должностные инструкции, строго опре-деляющие порядок работы с конфиденциальной информацией на компьютере. К административным мерам также относятся правила приобретения предпри-ятием средств безопасности. Представители администрации, которые несут от-ветственность за защиту информации, должны выяснить, насколько безопасным является использование продуктов, приобретенных у зарубежных поставщиков. Особенно это касается продуктов, связанных с шифрованием. В таких случаях желательно проверить наличие у продукта сертификата, выданного российски-ми тестирующими организациями.

Психологические меры безопасности могут играть значительную роль в укрепле-нии безопасности системы. Пренебрежение учетом психологических моментов в неформальных процедурах, связанных с безопасностью, может привести к на-рушениям защиты. Рассмотрим, например, сеть предприятия, в которой работает много удаленных пользователей. Время от времени пользователи должны ме-нять пароли (обычная практика для предотвращения их подбора). В данной системе выбор паролей осуществляет администратор. В таких условиях злоумыш-ленник может позвонить администратору по телефону и от имени легального пользователя попробовать получить пароль. При большом количестве удален-ных пользователей не исключено, что такой простой психологический прием мо-жет сработать.

К физическим средствам защиты относятся экранирование помещений для защи-ты от излучения, проверка поставляемой аппаратуры на соответствие ее специ-фикациям и отсутствие аппаратных «жучков», средства наружного наблюдения, устройства, блокирующие физический доступ к отдельным блокам компьютера, различные замки и другое оборудование, защищающие помещения, где находят-ся носители информации, от незаконного проникновения и т. д. и т. п.

Технические средства информационной безопасности реализуются программным и аппаратным обеспечением вычислительных сетей. Такие средства, называемые также службами сетевой безопасности, решают самые разнообразные задачи по защите системы, например контроль доступа, включающий процедуры аутен-тификации и авторизации, аудит, шифрование информации, антивирусную за-щиту, контроль сетевого графика и много других задач. Технические средства безопасности могут быть либо встроены в программное (операционные системы и приложения) и аппаратное (компьютеры и коммуникационное оборудование) обеспечение сети, либо реализованы в виде отдельных продуктов, созданных специально для решения проблем безопасности.

Политика безопасности

Важность и сложность проблемы обеспечения безопасности требует выработки политики информационной безопасности, которая подразумевает ответы на сле-дующие вопросы:

• Какую информацию защищать?
• Какой ущерб понесет предприятие при потере или при раскрытии тех или иных данных?
• Кто или что является возможным источником угрозы, какого рода атаки на безопасность системы могут быть предприняты?
• Какие средства использовать для защиты каждого вида информации?

Специалисты, ответственные за безопасность системы, формируя политику без-опасности, должны учитывать несколько базовых принципов. Одним из таких принципов является предоставление каждому сотруднику предприятия того ми-нимально уровня привилегий на доступ к данным, который необходим ему для выполнения его должностных обязанностей. Учитывая, что большая часть нару-шений в области безопасности предприятий исходит именно от собственных со-трудников, важно ввести четкие ограничения для всех пользователей сети, не на-деляя их излишними возможностями.

Следующий принцип - использование комплексного подхода к обеспечению без-опасности. Чтобы затруднить злоумышленнику доступ к данным, необходимо предусмотреть самые разные средства безопасности, начиная с организационно-административных запретов и кончая встроенными средствами сетевой аппара-туры. Административный запрет на работу в воскресные дни ставит потенциаль-ного нарушителя под визуальный контроль администратора и других пользовате-лей, физические средства защиты (закрытые помещения, блокировочные ключи) ограничивают непосредственный контакт пользователя только приписанным ему компьютером, встроенные средства сетевой ОС (система аутентификации и авторизации) предотвращают вход в сеть нелегальных пользователей, а для легального пользователя ограничивают возможности только разрешенными для него операциями (подсистема аудита фиксирует его действия). Такая система защиты с многократным резервированием средств безопасности увеличивает ве-роятность сохранности данных.

Используя многоуровневую систему защиты, важно обеспечивать баланс надеж-ности защиты всех уровней. Если в сети все сообщения шифруются, но ключи легкодоступны, то эффект от шифрования нулевой. Или если на компьютерах установлена файловая система, поддерживающая избирательный доступ на уров-не отдельных файлов, но имеется возможность получить жесткий диск и устано-вить его на другой машине, то все достоинства средств защиты файловой систе-мы сводятся на нет. Если внешний трафик сети, подключенной к Интернету, проходит через мощный брандмауэр, но пользователи имеют возможность свя-зываться с узлами Интернета по коммутируемым линиям, используя локально установленные модемы, то деньги (как правило, немалые), потраченные на бранд-мауэр, можно считать выброшенными на ветер.

Следующим универсальным принципом является использование средств, кото-рые при отказе переходят в состояние максимальной защиты. Это касается самых различных средств безопасности. Если, например, автоматический пропускной пункт в какое-либо помещение ломается, то он должен фиксироваться в таком положении, чтобы ни один человек не мог пройти на защищаемую территорию. А если в сети имеется устройство, которое анализирует весь входной трафик и отбрасывает кадры с определенным, заранее заданным обратным адресом, то при отказе оно должно полностью блокировать вход в сеть. Неприемлемым следова-ло бы признать устройство, которое бы при отказе пропускало в сеть весь внеш-ний трафик.

Принцип единого контрольно-пропускного пункта - весь входящий во внутрен-нюю сеть и выходящий во внешнюю сеть трафик должен проходить через един-ственный узел сети, например через межсетевой экран (firewall ). Только это позволяет в достаточной степени контролировать трафик. В противном случае, когда в сети имеется множество пользовательских станций, имеющих независи-мый выход во внешнюю сеть, очень трудно скоординировать правила, ограничи-вающие права пользователей внутренней сети по доступу к серверам внешней сети и обратно - права внешних клиентов по доступу к ресурсам внутренней сети.

Принцип баланса возможного ущерба от реализации угрозы и затрат на ее пре-дотвращение. Ни одна система безопасности не гарантирует защиту данных нг уровне 100 %, поскольку является результатом компромисса между возможны-ми рисками и возможными затратами. Определяя политику безопасности, администратор должен взвесить величину ущерба, которую может понести предприятие в результате нарушения защиты данных, и соотнести ее с величиной за-трат, требуемых на обеспечение безопасности этих данных. Так, в некоторых случаях можно отказаться от дорогостоящего межсетевого экрана в пользу стан-дартных средств фильтрации обычного маршрутизатора, в других же можно пой-ти на беспрецедентные затраты. Главное, чтобы принятое решение было обосно-вано экономически.

При определении политики безопасности для сети, имеющей выход в Интернет, специалисты рекомендуют разделить задачу на две части: выработать политику доступа к сетевым службам Интернета и выработать политику доступа к ресур-сам внутренней сети компании.

Политика доступа к сетевым службам Интернета включает следующие пункты:

• Определение списка служб Интернета, к которым пользователи внутренней сети должны иметь ограниченный доступ.
• Определение ограничений на методы доступа, например на использование протоколов SLIP (Serial Line Internet Protocol ) и РРР (Point -to -Point Proto -col ). Ограничения методов доступа необходимы для того, чтобы пользователи не могли обращаться к «запрещенным» службам Интернета обходными путями. Например, если для ограничения доступа к Интернету в сети устанавлива-ется специальный шлюз, который не дает возможности пользователям рабо-тать в системе WWW , они могут устанавливать с Web-серверами РРР-соеди-нения по коммутируемой линии. Во избежание этого надо просто запретить использование протокола РРР.
• Принятие решения о том, разрешен ли доступ внешних пользователей из Ин-тернета во внутреннюю сеть. Если да, то кому. Часто доступ разрешают толь-ко для некоторых, абсолютно необходимых для работы предприятия служб, например электронной почты.

Политика доступа к ресурсам внутренней сети компании может быть выражена в одном из двух принципов:

· запрещать все, что не разрешено в явной форме;

· разрешать все, что не запрещено в явной форме.

В соответствии с выбранным принципом определяются правила обработки внеш-него графика межсетевыми экранами или маршрутизаторами. Реализация защи-ты на основе первого принципа дает более высокую степень безопасности, одна-ко при этом могут возникать большие неудобства у пользователей, а кроме того, такой способ защиты обойдется значительно дороже. При реализации второго принципа сеть окажется менее защищенной, однако пользоваться ею будет удоб-нее и потребуется меньше затрат.

Изобретение относится к технике связи и может использоваться в системах технологической связи. Технический результат состоит в повышении надежности связи. Для этого устройство включает интерфейс (114) технологической связи для связи по контуру технологической связи в соответствии с протоколом технологической связи. Контроллер (106) соединяется с интерфейсом (114) технологической связи. Хранилище (116) правил соединяется с контроллером (106) и имеет по меньшей мере одно правило передачи пакетов технологической связи, которое основывается на протоколе технологической связи. Контроллер (106) применяет по меньшей мере одно правило передачи пакетов технологической связи по меньшей мере к одному пакету технологической связи, принятому от интерфейса (114) технологической связи, и формирует информацию события, когда пакет технологической связи не удовлетворяет по меньшей мере одному правилу передачи пакетов технологической связи. 4 н. и 12 з.п. ф-лы, 6 ил.

Уровень техники

Современные технологические установки используются, чтобы предоставлять и/или производить множество продуктов и материалов, используемых каждый день. Примеры таких технологических установок включают в себя установки для переработки нефти, установки для фармацевтического производства, установки для химической обработки, целлюлозные и другие технологические установки. В таких установках сеть для управления и измерения показателей процесса может включать в себя тысячи или даже десятки тысяч различных полевых устройств, связывающихся с диспетчерским пультом, а иногда друг с другом, чтобы управлять процессом. Допуская, что неисправности в данном полевом устройстве могут вывести процесс из-под управления, физические характеристики и электрическая связь полевых устройств, как правило, подчиняются строгим спецификациям.

Традиционно, полевые устройства в данной технологической установке, как правило, имели возможность связываться через контур или сегмент управления процессом с диспетчерским пультом и/или другими полевыми устройствами через проводные соединения. Например, протокол проводной связи процесса известен как протокол взаимодействия с удаленным датчиком с шинной адресацией (HART ®). HART ® -связь является одним из основных протоколов связи, используемых в технологических процессах. В последнее время стало возможным, и потенциально желательным в некоторых случаях, разрешать доступ технологических установок к Интернету. Хотя такой признак обеспечивает возможность взаимодействия с технологической установкой практически с любого подключенного компьютера в любой точке земного шара, он также предоставляет потенциал для злоумышленника, такого как хакер, чтобы пытаться воздействовать на технологическую установку без перемещения к физическому местоположению технологической установки.

Другое недавнее усовершенствование относительно технологических установок заключается в использовании беспроводной связи. Такая беспроводная связь упрощает конструкции технологических установок в том аспекте, что больше не требуется обеспечивать прокладку длинных проводов к различным полевым устройствам. Кроме того, один такой беспроводной протокол, WirelessHART (IEC 62591), расширяет традиционный протокол HART ® и обеспечивает значительно возросшие скорости передачи данных. Например, WirelessHART поддерживает передачу данных вплоть до 250 Кбит/с. Соответствующие части спецификации Wireless HART® включают в себя: HCF_Spec 13, версия 7.0; спецификацию HART 65 - спецификацию беспроводного физического уровня; спецификацию HART 75 - спецификацию канального уровня TDMA (TDMA относится к множественному доступу с временным разделением каналов); спецификацию HART 85 - спецификацию управления сетью; спецификацию HART 155 - спецификацию беспроводных команд; и спецификацию HART 290 - спецификацию беспроводных устройств. Хотя беспроводная связь предоставляет множество преимуществ для технологических установок, она также предоставляет возможность потенциального подключения к устройствам при физическом приближении к технологической установке и возможность воздействия на сеть беспроводной связи.

Допуская современную связность технологических установок, теперь жизненно важно, чтобы технологическая связь была защищена от проникновения и действий злоумышленников. Это применимо к технологическим установкам, которые могут быть подключены к Интернету, технологическим установкам, которые применяют беспроводную технологическую связь, или и к тем, и к другим. Соответственно, обеспечение технологической установки возможностью обнаруживать и предотвращать проникновение в контур технологической связи дополнительно поможет обезопасить различные технологические установки, которые строятся на такой технологической связи.

Сущность изобретения

Устройство технологической связи включает в себя интерфейс технологической связи для связи по контуру технологической связи в соответствии с протоколом технологической связи. Контроллер соединяется с интерфейсом технологической связи. Хранилище правил соединяется с контроллером и имеет, по меньшей мере, одно правило передачи пакетов технологической связи, которое основывается на протоколе технологической связи. Контроллер применяет, по меньшей мере, одно правило передачи пакетов технологической связи, по меньшей мере, к одному пакету технологической связи, принятому от интерфейса технологической связи, и формирует информацию события, когда пакет технологической связи не удовлетворяет, по меньшей мере, одному правилу передачи пакетов технологической связи.

Краткое описание чертежей

Фиг. 1 - схематичный вид системы технологической связи в соответствии с вариантом осуществления настоящего изобретения.

Фиг. 2 - схематичный вид системы технологической связи и управления, в которой варианты осуществления настоящего изобретения в высокой степени применимы.

Фиг. 3 - схематичный вид другого окружения технологической связи и управления, с которым варианты осуществления настоящего изобретения особенно полезны.

Фиг. 4 - схематичный вид устройства защиты технологической связи в соответствии с вариантом осуществления настоящего изобретения.

Фиг. 5 - блок-схема последовательности операций способа обеспечения обнаружения и предотвращения проникновения в технологической установке в соответствии с вариантом осуществления настоящего изобретения.

Фиг. 6 - блок-схема последовательности операций способа обеспечения обнаружения и предотвращения проникновения в технологической установке в соответствии с другим вариантом осуществления настоящего изобретения.

Подробное описание иллюстративных вариантов осуществления

Варианты осуществления настоящего изобретения, в целом, максимально используют специфическое знание протокола HART ® (как проводного, так и беспроводного) и/или описаний устройств (DD) HART ® , чтобы наблюдать на предмет аномалий за сетевым трафиком технологической связи, приходящим в контур технологической связи, покидающим контур технологической связи или даже пересекающим контур технологической связи. В то время как варианты осуществления настоящего изобретения, в целом, описываются относительно контуров технологической связи HART ® , варианты осуществления настоящего изобретения могут быть применены на практике с любыми подходящими протоколами технологической связи, которые поддерживают описания устройств.

Протокол HART ® имеет гибридный физический уровень, состоящий из цифровых сигналов связи, наложенных на стандартный 4-20 мА аналоговый сигнал. Скорость передачи данных равна приблизительно 1,2 Кбит/с. HART ® -связь является одним из основных протоколов связи в индустрии технологических процессов. И беспроводные, и проводные способы HART ® -связи совместно используют, по существу, аналогичный уровень приложений. Кроме того, содержимое команд как беспроводной, так и проводной HART ® -связи является идентичным. Соответственно, в то время как физические уровни могут отличаться, на уровне приложений эти два протокола технологической связи очень похожи.

Безопасность сети технологической связи по и через HART ® -сети является важной, и становится более важной, поскольку трафик HART ® -сети может теперь передаваться через TCP/IP-сети, а также через беспроводные сети. Некоторая безопасность сети была обеспечена посредством устройств, таких как устройства, продаваемые под торговым обозначением Model 1420 Wireless Gateway от компании Emerson Process Management, из Шанхассена, штат Миннесота. Это устройство предоставляет возможность аутентифицировать отправителя и получателя, подтверждать, что данные действительны, шифровать данные технологической связи и управлять периодическими изменениями ключей шифрования автоматически. В то время как безопасность технологической связи, обеспечиваемая посредством Model 1420, неоценима в современных сетях технологической связи, варианты осуществления настоящего изобретения, в целом, строятся на безопасности, обеспечиваемой посредством 1420 Wireless Gateway, посредством привлечения дополнительных знаний о самом протоколе HART ® , описаний устройств (DD) HART ® или их комбинации. Хотя варианты осуществления настоящего изобретения применимы к любому устройству, которое имеет доступ к технологической связи, предпочтительно, чтобы варианты осуществления настоящего изобретения были осуществлены либо в устройстве брандмауэра, шлюзе, таком как улучшенный беспроводной шлюз, либо в устройстве типа точки доступа.

Фиг. 1 - это схематичный вид системы 10 технологической связи в соответствии с вариантом осуществления настоящего изобретения. Система 10 включает в себя рабочую станцию 12 и сервер 14, соединенные с возможностью связи друг с другом через локальную вычислительную сеть 16 предприятия. Сеть 16 соединяется с Интернетом 18 через брандмауэр 20 локальной вычислительной сети. Брандмауэр 20 локальной вычислительной сети - это хорошо известное устройство, предоставляющее только выбранный TCP/IP-трафик через него. В варианте осуществления, иллюстрированном на фиг. 1, устройство 22 защиты технологической связи соединяется с LAN 16 предприятия посредством соединения 24 и дополнительно соединяется с устройствами 1-n через порт 26. Устройство 22 защиты технологической связи защищает сегменты/контуры технологической связи от злонамеренной деятельности, происходящей через Интернет 18 и/или LAN 16 предприятия. Процессор в устройстве 22 защиты технологической связи выполняет инструкции программного обеспечения, которые способны принимать один или более пакетов технологической связи и тестировать, удовлетворяет ли пакет(ы) одному или более правилам, которые основываются, в частности, на HART ® -правилах технологической связи, требованиях к описанию устройства или их комбинации.

Фиг. 2 - это схематичный вид системы 50 технологической связи и управления, в которой варианты осуществления настоящего изобретения в высокой степени применимы. Множество рабочих станций 52, 54 и 56 соединяются вместе через LAN 16 предприятия. Дополнительно, шлюз 58 беспроводной технологической связи также соединяется с LAN 16 через соединение 60. Структура, показанная на фиг. 2, является текущим окружением, в котором работает Model 1420 Smart Wireless Gateway. Шлюз 58 связывается с одним или более полевыми устройствами 62 через WirelessHART ® -связь. Соответственно, варианты осуществления настоящего изобретения могут быть применены на практике с помощью процессора или другого подходящего контроллера, расположенного в шлюзе 58.

Фиг. 3 - это схематичный вид другого окружения технологической связи и управления, с которым варианты осуществления настоящего изобретения особенно полезны. В частности, один или более шлюзов (1-n) 70, 72 соединяются с возможностью связи через устройство 74. Каждый шлюз может связываться с одной или более точками доступа. В соответствии с вариантом осуществления настоящего изобретения одна из точек 76 доступа конфигурируется, посредством аппаратных средств, программного обеспечения или их комбинации, чтобы принимать пакеты технологической связи и изучать пакеты технологической связи, чтобы определять, соответствует ли связь одному или более правилам, которые основываются на HART ® -протоколе, описаниях устройств или их комбинации. Точка 76 доступа прослушивает данные в беспроводной сети и изучает пакеты, когда они поступают. В результате проверок некоторые аспекты трафика связи могут отслеживаться (адрес источника, интенсивность входящего потока, известное устройство, новое устройство, запросы объединения и прочие), и статистические данные и/или предупреждения могут предоставляться шлюзу при обнаружении событий. Варианты осуществления настоящего изобретения также включают в себя использование множества шлюзов и соответствующих точек доступа, чтобы предоставлять дублирующую пару.

Фиг. 4 - это схематичный вид устройства защиты технологической связи в соответствии с вариантом осуществления настоящего изобретения. Устройство 100 защиты включает в себя сетевой интерфейс 102, соединяемый с сетью передачи данных, такой как Ethernet-сеть передачи данных. Порт 102 соединяется с физическим уровнем 104 сетевого интерфейса, чтобы формировать и принимать пакеты передачи данных в соответствии с известными способами. Физический уровень 104 сетевого интерфейса соединяется с контроллером 106, который предпочтительно является микропроцессором, который включает в себя, или соединяется с подходящей памятью, такой как оперативное запоминающее устройство, постоянное запоминающее устройство, флэш-память и т.д., чтобы хранить и выполнять инструкции программы. Устройство 100 защиты также предпочтительно включает в себя порт 108 проводной технологической связи и/или порт 110 беспроводной технологической связи, соединенный с антенной 112. В вариантах осуществления, где устройство 100 защиты осуществляется в беспроводной точке доступа, порт проводной технологической связи не требуется. Каждый из портов 108, 110 может быть соединен с HART ® -интерфейсом 114 технологической связи. Интерфейс 114 предоставляет возможность контроллеру 106 связываться с внешними устройствами, такими как полевые устройства, с помощью известного HART ® -протокола. В некоторых вариантах осуществления HART ® -связь может быть обеспечена через IP-сеть, таким образом, физический уровень 104 сетевого интерфейса может также быть источником HART ® -пакетов.

В соответствии с вариантом осуществления настоящего изобретения устройство 100 защиты включает в себя хранилище 116 правил. В необязательном порядке, устройство 100 защиты может включать в себя хранилище 118 описаний устройств. Хранилище 116 правил включает в себя энергонезависимую память, которая хранит одно или более правил, которые могут исполняться во время технологической HART ® -связи, основанной на лежащем в основе понимании HART ® -протокола. Хранилище 116 правил предоставляет возможность контроллеру 106 определять, являются ли конструкция и/или содержимое пакетов в HART ® -сети допустимыми. Дополнительно, может быть определена допустимость источника и получателя пакетов. Наконец, содержимое самого пакета может быть проанализировано, чтобы определять, является ли оно правильным. Например, искаженный пакет может иметь плохой результат проверки циклическим избыточным кодом, число байтов, размер полезной нагрузки и т.д. Если пакет является недопустимым, устройство 100 защиты не будет пересылать пакет запрошенному получателю. Дополнительно, и/или альтернативно, устройство 100 защиты может сохранять данные о событии, относящиеся к обнаружению искаженного пакета, и/или отправлять соответствующее сообщение ответственной стороне. Кроме того, контроллер 106 может отслеживать и/или анализировать данные о событии, так что, если множество искаженных пакетов обнаруживаются от одного источника в конкретном периоде времени, контроллер 106 может определять, что в настоящее время выполняется активная атака. Если это происходит, контроллер 106 может уведомлять пользователя и/или ответственную сторону, что может выполняться атака, вместе с деталями подозреваемого источника атаки. Более того, контроллер 106 может действовать, чтобы отбрасывать все пакеты от этого источника до тех пор, пока не вмешается пользователь.

Как иллюстрировано на фиг. 4, устройство 100 защиты может также включать в себя хранилище 118 описаний устройств. С текущим состоянием уровня технологий памяти экономически осуществимо, чтобы хранилище 118 было достаточно большим, чтобы содержать описания устройств для всех известных полевых устройств, которые связываются в соответствии с HART ® -протоколом, на дату производства устройства 100 защиты. Кроме того, когда производятся новые устройства HART ® -связи, хранилище 118 описаний устройств может обновляться динамически посредством порта 102 связи сети передачи данных. Поддержание хранилища 118 исчерпывающих описаний устройств предоставляет возможность выполнения дополнительных проверок и/или тестов над пакетами технологической связи. Например, если данный пакет технологической связи является пакетом от полевого устройства, которое, согласно своему описанию устройства, известно только как обеспечивающее измерение температуры, пакет, указывающий давление процесса, от такого полевого устройства будет считаться искаженным, даже если пакет иначе согласуется со всеми правилами, изложенными в хранилище 116 правил.

Существует множество различных типов команд, которые используются в HART ® -протоколе. Эти типы команд включают в себя универсальные команды, общие команды, беспроводные команды, команды семейства устройств и зависящие от конкретного устройства команды. За исключением зависящих от конкретного устройства команд, по меньшей мере, некоторое знание команд в каждом типе может быть известно на основе самой спецификации HART ® . Кроме того, даже зависящие от конкретного устройства команды могут быть тщательно проверены, если устройство защиты технологической связи содержит описание устройства относительно отдельного конкретного полевого устройства.

Одним примером правила, которое может быть применено на уровне приложений пакета HART ® -протокола, является следующее. Поскольку, для данной версии HART ® , число байтов относительно всех до единой команд известно, если пакет указывает команду, известное число байт может применяться для пакета. Даже для зависящих от конкретного устройства команд могут быть предусмотрены некоторые правила. В частности, диапазон команд может быть протестирован, чтобы определять, находится ли он в допустимом диапазоне (таком как 128-240 и 64768-65021). Дополнительно, итоговое число байтов пакета может быть определено и сравнено с содержимым поля числа байтов, чтобы проверять на предмет допустимого соответствия.

Одним из значимых преимуществ осуществления функциональности устройства защиты технологической связи в шлюзе, таком как Model 1420, является то, что шлюз знает обо всех индивидуальных полевых устройствах в сети. Кроме того, шлюз имеет дополнительное преимущество в том, что он имеет доступ ко всей информации, требуемой (особенно ключам дешифрования), чтобы дешифровать и проверять все HART ® -пакеты. Дополнительно, устройство защиты, предпочтительно осуществленное в шлюзе, может создавать базу данных или список известных получателей/беспроводных устройств и гарантировать, что сообщения только для таких устройств отправляются/пересылаются. Более того, устройство защиты может проверять и/или предоставлять возможность пересылки пакетов только от известных/сконфигурированных источников. Наконец, как изложено выше, сама конструкция пакета может быть проверена, чтобы определять, является ли содержимое заголовка правильным, соответствует ли число байтов фактическому размеру пакета, допустима ли CRC-контрольная сумма, и допустим ли адрес получателя. В дополнение к этим мерам безопасности, процессор контроллера устройства защиты может реагировать на динамические изменения связи. В частности, известные нейронно-сетевые алгоритмы и/или алгоритмы искусственного интеллекта могут применяться, чтобы предоставлять возможность контроллеру 106 фактически изучать трафик сети технологической связи. Дополнительно, или альтернативно, может поддерживаться набор статистических данных относительно сетевой передачи данных и/или различных получателей и источников. Если обнаруживаются изменения относительно изученной нормальной связи и/или статистически сохраненных параметров, предупреждение может передаваться ответственной стороне посредством либо порта 102 сети передачи данных, либо порта 108, 110 технологической связи. Дополнительно, подозрительные модели поведения связи могут быть специально идентифицированы на основе правил. Например, если контроллер 106 наблюдает за множеством запросов адресов получателей, где ID устройство просто увеличивается или уменьшается с каждым запросом, модель поведения будет выглядеть как приложение, отыскивающее устройство. Такой поиск может рассматриваться как злонамеренный. Дополнительно, запросы адреса устройства, которые циклически увеличивают или уменьшают расширенный тип устройства, могут также означать приложение, отыскивающее попадание. Это также будет считаться признаком злого умысла. Более того, запросы адреса получателя, которые включают в себя просто увеличивающиеся или уменьшающиеся поля сообщения, такие как команда, число байтов, поля данных, могут указывать приложение, которое пытается найти доступное устройство, и/или разрывать сеть технологической связи. Обнаружение такой модели поведения может считаться признаком злого умысла.

В случае, когда признак злого умысла обнаруживается, он предпочтительно регистрируется локально в устройстве защиты. Дополнительно, устройство защиты может включать в себя простой протокол управления сетью или вариант системного журнала, чтобы сообщать событие и/или дополнительную информацию о состоянии ответственной стороне или приложению информационной технологии. Системный журнал - это хорошо известный механизм регистрации, используемый приложениями серверного типа, чтобы регистрировать события/предупреждения на внешнем сервере или в базе данных для дальнейшего анализа.

Фиг. 5 - это блок-схема последовательности операций способа обеспечения обнаружения и предотвращения проникновения в технологической установке в соответствии с вариантом осуществления настоящего изобретения. Способ 200 начинается на этапе 202, где устройство защиты или шлюз технологической связи принимает, по меньшей мере, один пакет технологической связи и дешифрует пакет. На этапе 204, способ 200 применяет, по меньшей мере, одно правило по отношению к дешифрованному пакету, где правило основывается на априорном знании HART-протокола. Как изложено выше, одним примерным правилом является правило для данной HART-команды, число байтов пакета должно соответствовать числу, изложенному в HART-спецификации. На этапе 206 способ 200 определяет, удовлетворил ли дешифрованный пакет всем правилам, примененным на этапе 204. Если все правила были успешно удовлетворены, тогда управление переходит к этапу 208, где пакет пересылается своему намеченному получателю. Если, однако, пакет не удовлетворяет, по меньшей мере, одному правилу, тогда управление переходит к этапу 210, где событие безопасности предпочтительно регистрируется или событие формируется, и пакет блокируется от дальнейшей передачи намеченному получателю.

Фиг. 6 - это блок-схема последовательности операций способа обеспечения обнаружения и предотвращения проникновения в технологической установке в соответствии с вариантом осуществления настоящего изобретения. Способ 300 начинается на этапе 302, где устройство защиты или шлюз технологической связи принимает, по меньшей мере, один пакет технологической связи и дешифрует пакет, когда требуется. На этапе 304, способ 300 применяет, по меньшей мере, одно правило по отношению к дешифрованному пакету, где правило основывается на описании устройства (DD) протокола технологической связи (такого как HART или FOUNDATION Fieldbus). Как изложено выше, одним примерным правилом, которое основывается на описании устройства, может быть технологическая величина датчика температуры, предоставляющего значение давления технологической жидкости. На этапе 306 способ 300 определяет, удовлетворил ли дешифрованный пакет всем правилам, примененным на этапе 304. Если все правила были успешно удовлетворены, тогда управление переходит к этапу 308, где пакет пересылается своему намеченному получателю. Если, однако, пакет не удовлетворяет, по меньшей мере, одному правилу, тогда управление переходит к этапу 310, где событие безопасности предпочтительно регистрируется, и пакет блокируется от дальнейшей передачи намеченному получателю.

Способы 200 и 300 не являются взаимоисключающими. Вместо этого, положительный результат одного способа может быть предоставлен как входные данные для другого способа, чтобы обеспечивать обнаружение и предотвращение проникновения в технологическую установку на основе как подробного знания пакетов технологической связи, так и описаний устройств.

Хотя настоящее изобретение описано со ссылками на предпочтительные варианты осуществления, специалисты в данной области техники должны понимать, что изменения могут быть сделаны в форме и деталях без отступления от существа и объема изобретения.

1. Устройство технологической связи, содержащее:


хранилище правил, соединенное с контроллером, причем в хранилище правил имеется по меньшей мере одно правило передачи пакетов технологической связи, которое основывается на протоколе технологической связи;
хранилище описаний устройств, соединенное с контроллером, при этом в хранилище описаний устройств имеется по меньшей мере одно описание устройства, относящееся к технологической величине, измеряемой по меньшей мере одним полевым устройством, причем это по меньшей мере одно полевое устройство описывается данным по меньшей мере одним описанием устройства, хранящимся в хранилище описаний устройств,
при этом контроллер применяет по меньшей мере одно правило передачи пакетов технологической связи и по меньшей мере одно описание устройства к по меньшей мере одному пакету технологической связи, принятому от интерфейса технологической связи, и формирует информацию события, когда пакет технологической связи не удовлетворяет по меньшей мере одному правилу передачи пакетов технологической связи или когда по меньшей мере один пакет технологической связи не в соответствии с по меньшей мере одним описанием устройства для по меньшей мере одного полевого устройства; и

2. Устройство технологической связи по п. 1, при этом протоколом технологической связи является HART-протокол (протокол взаимодействия с удаленным датчиком с шинной адресацией).

3. Устройство технологической связи по п. 1, при этом протокол накладывает цифровой сигнал на 4-20 мА аналоговый токовый сигнал.

4. Устройство технологической связи по п. 1, в котором интерфейс технологической связи является проводным интерфейсом технологической связи.

5. Устройство технологической связи по п. 1, в котором интерфейс технологической связи является беспроводным интерфейсом технологической связи.

6. Устройство технологической связи по п. 5, в котором интерфейс технологической связи также является проводным интерфейсом технологической связи.

7. Устройство технологической связи по п. 1, в котором контроллер сконфигурирован дешифровать по меньшей мере один пакет технологической связи перед применением по меньшей мере одного правила передачи пакетов технологической связи.

8. Устройство технологической связи по п. 7, при этом устройство технологической связи осуществлено в шлюзе технологической связи.

9. Устройство технологической связи по п. 1, в котором по меньшей мере одно правило передачи пакетов технологической связи относит допустимое число байтов пакета к команде протокола технологической связи, содержащейся в пакете.

10. Устройство технологической связи по п. 1, в котором по меньшей мере одно правило передачи пакетов технологической связи включает в себя допустимый диапазон команд.

11. Устройство технологической связи по п. 1, при этом устройство технологической связи осуществлено в точке доступа.

12. Способ обеспечения защиты технологической связи, содержащий этапы, на которых:
получают по меньшей мере один пакет технологической связи, посланный из полевого устройства, в соответствии с протоколом технологической связи;
применяют по меньшей мере одно правило по отношению к этому пакету технологической связи, причем данное по меньшей мере одно правило основывается на протоколе технологической связи;
применяют по меньшей мере второе правило по отношению к этому пакету технологической связи, причем данное по меньшей мере второе правило основывается на описании устройства для полевого устройства, относящемся к технологической величине, измеряемой полевым устройством;
определяют событие на основе того, удовлетворил ли упомянутый по меньшей мере один пакет технологической связи каждому из упомянутого по меньшей мере одного правила и упомянутого по меньшей мере второго правила; и
выборочно пересылают упомянутый по меньшей мере один пакет технологической связи на основе того, удовлетворил ли этот по меньшей мере один пакет технологической связи каждому из упомянутого по меньшей мере одного правила и упомянутого по меньшей мере второго правила.

13. Способ по п. 12, дополнительно содержащий этап, на котором регистрируют событие.

14. Устройство технологической связи, содержащее:
интерфейс технологической связи, выполненный с возможностью осуществления связи с по меньшей мере одним полевым устройством по контуру технологической связи в соответствии с протоколом технологической связи;
контроллер, соединенный с интерфейсом технологической связи;
хранилище описаний устройств, соединенное с контроллером, причем в хранилище описаний устройств имеется по меньшей мере одно правило передачи пакетов технологической связи, которое основано на описании устройства, относящемся к технологической величине, измеряемой по меньшей мере одним полевым устройством, для этого по меньшей мере одного полевого устройства,
при этом контроллер применяет по меньшей мере одно правило передачи пакетов технологической связи к по меньшей мере одному пакету технологической связи, принятому от интерфейса технологической связи, и формирует информацию события, когда пакет технологической связи не удовлетворяет по меньшей мере одному правилу передачи пакетов технологической связи; и
сетевой интерфейс, соединенный с контроллером, при этом контроллер сконфигурирован пересылать пакет технологической связи через сетевой интерфейс, если пакет технологической связи удовлетворяет всем правилам передачи пакетов технологической связи.

15. Способ обеспечения защиты технологической связи, содержащий этапы, на которых:
получают по меньшей мере один пакет технологической связи в соответствии с протоколом технологической связи, причем этим по меньшей мере одним пакетом технологической связи переносится информация в по меньшей мере одно полевое устройство или из него;
извлекают описание устройства из хранилища описаний устройств в устройстве защиты технологической связи, которое описывает по меньшей мере одно полевое устройство и относится к технологической величине, измеряемой этим по меньшей мере одним полевым устройством;
применяют по меньшей мере одно правило по отношению к данному пакету технологической связи, причем это по меньшей мере одно правило основано на извлеченном описании устройства;
определяют событие на основе того, удовлетворил ли упомянутый по меньшей мере один пакет технологической связи каждому из упомянутого по меньшей мере одного правила; и
выборочно пересылают упомянутый по меньшей мере один пакет технологической связи на основе того, удовлетворил ли этот по меньшей мере один пакет технологической связи каждому из упомянутого по меньшей мере одного правила.

16. Способ по п. 15, дополнительно содержащий этап, на котором регистрируют событие.

Похожие патенты:

Изобретение относится к способу и устройству для транспортировки сегментов инициализации динамической адаптивной потоковой передачи по HTTP (DASH) в качестве фрагментов описания пользовательских услуг.

Изобретение относится к области беспроводной связи. Технический результат изобретения заключается в совместимости стандарта цифровой улучшенной беспроводной связи (DECT) с VoIP-сетью с возможностью плавной передачи обслуживания сеансов между базовыми станциями.

Изобретение предназначено для кормления и поения домашних животных, в частности кошек и собак. В корпусе кормушки установлены по меньшей мере одно устройство подачи еды в лоток, по меньшей мере одна видеокамера, микрофон, монитор или средство для подключения планшетного компьютера или смартфона, по меньшей мере один динамик, модуль связи, блок питания и средство управления.

Изобретение относится к области связи. Техническим результатом является возможность осуществлять сквозную дифференцированную обработку потоков, обеспечить дифференцированное впечатление от услуги для разных уровней пользователей и разных типов услуг и эффективно повысить коэффициент использования радиоресурсов.

Изобретение относится к способу и сетевому объекту для регистрации объекта пользователя в сети связи. Технический результат заключается в обеспечении регистрации объекта пользователя в сети связи через другую сеть связи. Способ регистрации объекта пользователя в первой сети связи, где объект пользователя и объект доступа, обеспечивающий доступ к первой сети связи, регистрируются во второй сети связи, включает: передачу по меньшей мере одного сообщения регистрации для регистрации указанного объекта пользователя в первой сети связи между объектом пользователя и объектом доступа по второй сети связи, при этом сообщение регистрации содержит запрос, передаваемый от объекта пользователя объекту доступа по второй сети связи, и запрос запрашивает по меньшей мере один ключ доступа к первой сети связи; и передачу ответа на переданный запрос от объекта доступа объекту пользователя по второй сети связи, если переданный запрос отвечает конфигурируемому правилу авторизации, при этом указанный ответ включает по меньшей мере один запрашиваемый ключ доступа к первой сети связи. 2 н. и 10 з.п. ф-лы, 4 ил.

Изобретение относится к способам мультимодального телефонного вызова. Технический результат заключается в обеспечении возможности обмениваться как голосовыми сообщениями, так и данными в контексте телефонного вызова. Способ, реализованный на первом вычислительном устройстве для установления мультимодального телефонного вызова, содержит этапы, на которых: принимают телефонный вызов от второго вычислительного устройства; отправляют ответ второму вычислительному устройству о том, что сеанс телефонной связи установлен между первым вычислительным устройством и вторым вычислительным устройством; отправляют сообщение-запрос для регистрации первого вычислительного устройства для сеанса обмена данными в онлайн-службе регистрации, причем сообщение-запрос включает в себя телефонный номер, ассоциированный с первым вычислительным устройством, и телефонный номер, ассоциированный со вторым вычислительным устройством; принимают ответное сообщение, указывающее, что первое вычислительное устройство зарегистрировано в онлайн-службе регистрации, причем ответное сообщение включает в себя ключ, который уникально идентифицирует сеанс обмена данными, и используют ключ, чтобы установить сеанс обмена данными со вторым вычислительным устройством. 3 н. и 7 з.п. ф-лы, 10 ил.

Изобретение относится к средствам для быстрого распределения данных. Технический результат заключается в уменьшении загрузки центрального процессора и запоминающего устройства во время передачи данных между хранилищем и контроллером сетевого интерфейса. Отправляют, посредством центрального процессора, информацию описания данных в модуль быстрого перенаправления, при этом информация описания данных содержит информацию адреса и длины данных, запрошенных пользователем. Считывают, посредством модуля быстрого перенаправления согласно информации описания данных, данные, запрошенные пользователем, из хранилища и перенаправляют данные, запрошенные пользователем, в контроллер сетевого интерфейса. Отправляют, посредством контроллера сетевого интерфейса, данные, запрошенные пользователем, пользователю. При этом центральный процессор, хранилище и контроллер сетевого интерфейса взаимосвязаны с помощью PCI-коммутатора и модуль быстрого перенаправления представляет собой функциональный модуль, который встроен в PCI-коммутатор и обеспечивает функции прямой отправки и приема. 4 н. и 12 з.п. ф-лы, 12 ил.

Изобретение относится к мобильной связи через коммуникационные сети, в частности к серверу приложений для управления связью с группой пользовательских объектов. Техническим результатом изобретения является в обеспечении эффективного управления связью с группой пользовательских объектов. Сервер приложений содержит приемник (201) для приема первого запроса (202) инициации сеанса с общедоступным идентификатором, идентифицирующим группу пользовательских объектов, процессор (203), сконфигурированный для определения текущего состояния связи первого пользовательского объекта при приеме первого запроса инициации сеанса, и передатчик (205, сконфигурированный для передачи второго запроса (204) инициации сеанса с первым идентификатором пользователя для установления канала связи с первым пользовательским объектом в зависимости от его текущего состояния связи. 3 н. и 11 з.п. ф-лы, 7 ил.

Изобретение относится к устройствам обработки и распределения мультимедийных данных, а также определения идентификационной информации мультимедийных данных. Технический результат состоит в увеличении эффективности записи мультимедийных данных и достигается за счет того, что мультимедийные данные, которые должны записываться, снабжают при отправке в устройство записи идентификационной информацией мультимедийных данных. При этом устройство записи идентифицирует мультимедийные данные при помощи соответствующей идентификационной информации мультимедийных данных. Отправляют посредством устройства распределения инструкцию записи в устройство записи без отправки мультимедийных данных, при этом устройство записи идентифицирует мультимедийные данные по соответствующей идентифицирующей информации мультимедийных данных, осуществляет доступ по идентификационной информации к устройству хранения этих данных и записывает мультимедийные данные. 5 н. и 32 з.п. ф-лы, 15 ил.

Изобретение относится к способу и системе отображения почтовых вложений на странице веб-почты. Технический результат заключается в повышении безопасности обработки почтовых сообщений за счет идентификации контента вложений. В способе выполняют получение на почтовый сервер от устройства связи получателя электронной почты запроса на рассмотрение сообщений, предназначенных для получателя электронной почты, получение почтовым сервером от почтовой базы данных электронных сообщений, обладающих конечным адресом, связанным с получателем электронной почты, причем электронные сообщения включают в себя электронное сообщение, обладающее почтовым вложением, передачу устройством связи инициирующего элемента, выполняющего функцию в инициировании отображения устройством связи страницы веб-почты для просмотра получателем электронной почты, которая отображает на каждой строке имя отправителя электронного сообщения, заголовок электронного сообщения, создание пиктограммы, при этом страница веб-почты дополнительно отображает на строке электронного сообщения, обладающего почтовым вложением, пиктограмму, представляющую собой почтовое вложение и иллюстрирующую контент почтового вложения. 2 н. и 38 з.п. ф-лы, 8 ил.

Изобретение относится к области интернет приложений, в частности к получению динамической информации. Технический результат - сокращение количества запросов динамических сообщений. Способ получения динамической информации, включающий получение, клиентом первого пользователя, цепочки взаимосвязей первого пользователя, причем цепочка взаимосвязей первого пользователя включает в себя по меньшей мере одного второго пользователя, определение клиентом степени активности указанного по меньшей мере одного второго пользователя в заданном первом временном периоде, определение опорного значения временного интервала запроса динамической информации согласно степени активности, определение степени обновления информации указанного по меньшей мере одного второго пользователя в заданном втором временном периоде, определение значения корректировки временного интервала запроса динамической информации на основе степени обновления информации, определение клиентом значения временного интервала согласно опорному значению временного интервала и значению корректировки временного интервала запроса динамической информации, а также запрос динамической информации указанного по меньшей мере одного второго пользователя согласно значению временного интервала запроса динамической информации. 3 н. и 17 з.п. ф-лы, 4 ил.

Изобретение относится к области сетевой безопасности. Технический результат - обеспечение эффективной безопасности учетной записи пользоавателя. Способ привязки ключа токена к учетной записи содержит этапы, на которых: отправляют сообщение запроса привязки, переносящее учетную запись, серверу, так что сервер формирует ссылку на сертификат и первый ключ токена, соответствующий учетной записи; получают ссылку на сертификат и первый ключ токена и формируют отображаемую информацию согласно ссылке на сертификат и первому ключу токена, так что мобильный терминал получает зашифрованную информацию согласно первому ключу токена и отправляет сообщение запроса доступа, переносящее ссылку на сертификат и зашифрованную информацию, и дополнительно так, что сервер принимает сообщение запроса доступа и отправляет зашифрованную информацию; получают зашифрованную информацию и получают второй ключ токена согласно зашифрованной информации и отправляют сообщение об успешной привязке серверу после определения того, что второй ключ токена согласуется с первым ключом токена, так что сервер привязывает первый ключ токена к учетной записи. 9 н. и 8 з.п. ф-лы, 10 ил.

Изобретение относится к области беспроводной связи. Технический результат - контроль доступа к сети. Способ замены скомпрометированных цифровых сертификатов, ассоциированных с электронными универсальными картами с интегральной схемой (eUICC), включенными в мобильные устройства, содержащий этапы, на которых на сервере управления eUICC: принимают указание того, что подписывающий центр, ассоциированный с множеством цифровых сертификатов, скомпрометирован; и для каждого цифрового сертификата из данного множества цифровых сертификатов: идентифицируют (i) eUICC, ассоциированную с этим цифровым сертификатом, и (ii) мобильное устройство, в которое данная eUICC включена, идентифицируют открытый ключ (PKeUICC), который (i) соответствует упомянутой eUICC и (ii) ассоциирован с упомянутым цифровым сертификатом, вызывают создание обновленного цифрового сертификата, причем обновленный цифровой сертификат основывается на PKeuicc и обновленном секретном ключе (SKUpdated_SA), который соответствует подписывающему центру, предписывают упомянутой eUICC заменить упомянутый цифровой сертификат обновленным цифровым сертификатом. 3 н. и 17 з.п. ф-лы, 19 ил.

Изобретение относится к технологиям сетевой связи. Технический результат заключается в повышении скорости передачи данных. Способ содержит этапы, на которых: принимают поток данных медиаконтента в реальном времени многостороннего сеанса конференц-связи в реальном времени от другого устройства связи, при этом пакеты потока данных медиаконтента в реальном времени многостороннего сеанса конференц-связи в реальном времени включают в себя идентификацию потока данных медиаконтента в реальном времени многостороннего сеанса конференц-связи в реальном времени; и передают запрос паузы от приемного устройства связи к другому устройству связи, при этом запрос паузы включает в себя идентификацию потока данных медиаконтента в реальном времени многостороннего сеанса конференц-связи в реальном времени и порядковый номер запроса паузы. 4 н. и 28 з.п. ф-лы, 11 ил.

Изобретение относится к технике связи и может использоваться в системах технологической связи. Технический результат состоит в повышении надежности связи. Для этого устройство включает интерфейс технологической связи для связи по контуру технологической связи в соответствии с протоколом технологической связи. Контроллер соединяется с интерфейсом технологической связи. Хранилище правил соединяется с контроллером и имеет по меньшей мере одно правило передачи пакетов технологической связи, которое основывается на протоколе технологической связи. Контроллер применяет по меньшей мере одно правило передачи пакетов технологической связи по меньшей мере к одному пакету технологической связи, принятому от интерфейса технологической связи, и формирует информацию события, когда пакет технологической связи не удовлетворяет по меньшей мере одному правилу передачи пакетов технологической связи. 4 н. и 12 з.п. ф-лы, 6 ил.

Защита корпоративной сети от вредоносных программ является сложной задачей ввиду того, что вредоносное ПО постоянно модифицируется и совершенствуется с целью обхода существующих систем защиты. В данной статье речь пойдет об основных путях проникновения вредоносного ПО (malware) в сеть и соответствующих методиках защиты. При рассмотрении методов защиты предполагается, что сеть защищена при помощи брандмауэра и доступ к компьютерам сети извне блокирован.

Электронная почта

Электронная почта остается одним из основных источников проникновения в корпоративную сеть вредоносных программ. Можно выделить несколько основных способов применения электронной почты в качестве средства переноса вредоносной программы:

• рассылка вредоносных программ «в чистом виде» - в этом случае вредоносное ПО является вложением в письмо и его автоматический запуск не предусмотрен. Запуск вредоносной программы осуществляет сам пользователь, для чего нередко в письме применяются элементы социальной инженерии. Вложенный malware необязательно является исполняемым файлом - часто встречаются вредоносные скрипты, например Worm.Win32.Feebs, которые рассылаются по почте в виде HTA?файлов, содержащих зашифрованный скрипт, который загружает исполняемый файл из Интернета;
• вредоносная программа с измененным расширением - этот метод отличается от предыдущего тем, что вложенный в письмо исполняемый файл имеет двойное расширение, например Document.doc .pif. В данном случае пробелы применяются для маскировки реального расширения файла и их количество может варьироваться от 10-15 до сотни. Более оригинальный метод маскировки состоит в применении расширения *.com - в результате вложенный файл может ошибочно рассматриваться пользователем как ссылка на сайт, например www.playboy.com пользователь, вероятнее всего, посчитает ссылкой на сайт, а не вложенным файлом с именем www.playboy и расширением *.com;
• вредоносная программа в архиве - архивация является дополнительным уровнем защиты от антивирусных сканеров, причем архив может быть умышленно поврежден (но не настолько, чтобы из него нельзя было извлечь вредоносный файл) или зашифрован с паролем. В случае защиты архива паролем последний размещается в теле письма в виде текста или картинки - подобный прием, к примеру, применялся в почтовом черве Bagle. Запуск вредоносной программы в данном случае возможен исключительно по причине любопытства пользователя, которому для этого необходимо вручную ввести пароль и затем запустить извлеченный файл;
• письмо в html-формате с эксплойтом для запуска вложенной вредоносной программы - в настоящее время такие почтовые вирусы встречаются редко, но в 2001-2003 годах они были широко распространены (типичные примеры - Email-Worm.Win32.Avron, Email-Worm.Win32.BadtransII, Net-Worm.Win32.Nimda);
• письмо со ссылкой на вредоносный объект.

Письма со ссылкой на вредоносный объект получили в последнее время широкое распространение, поэтому данный метод заслуживает более детального рассмотрения. Он основан на том, что в письме отсутствует вредоносный код, а следовательно, почтовый антивирус не может его детектировать и блокировать пересылку письма. Текст письма подготавливается по методам социальной инженерии и нацелен на то, чтобы убедить пользователя открыть находящуюся в теле письма ссылку. Типичные примеры - маскировка под поздравительную открытку (рис. 1).

Рис. 1. «Поздравительная открытка»

На рисунке показана весьма грубая подделка: хорошо видно, что письмо пришло с какого-то непонятного адреса, да и ссылка с IP-адресом вместо имени сайта не внушает доверия. Тем не менее, по статистике автора, на таких письмах «попадаются» тысячи пользователей. Более качественный вариант поддельного сообщения о поздравительной открытке показан на рис. 2.

Рис. 2. Более качественная поддельная открытка

В данном случае распознать фальшивку гораздо сложнее: визуально письмо действительно пришло от службы postcard.ru и ссылка на страницу-открытку ведет на этот сайт. В данном случае обман основан на том, что письмо имеет формат html и ссылка выполнена стандартным тэгом . Как известно, оформление ссылки при помощи этого тэга имеет вид:

текстовое описание

Текстовое описание может быть произвольным, так как оно никак не связано с открываемым URL. Поэтому в данном письме текстовое описание ссылки - www.postcard.ru/card.php?4295358104, а реальная ссылка указывает на совершенно иной ресурс. Данный прием элементарно реализуется и легко вводит пользователя в заблуждение.

• ссылка ведет непосредственно на исполняемый файл вредоносной программы - это простейший случай. При открытии данной ссылки пользователь получит запрос о том, что делать с файлом по данной ссылке: сохранить или запустить. Выбор «запустить» приводит к запуску вредоносного кода и поражению ПК. Практика показывает, что пользователи обычно не задумываются об опасности. Наиболее свежим примером является вредоносная программа Virus.VBS.Agent.c, которая уничтожает файлы на диске (собственно, из-за этого она и причислена к категории Virus) и распространяет себя путем рассылки по электронной почте «поздравительных открыток» со ссылкой на свой исполняемый файл, размещенный непосредственно на сайте разработчика вируса. Большое количество пострадавших от данного вируса пользователей - наглядный пример эффективности этого метода;
• ссылка на сайт, замаскированный под сайт легитимной программы. Типичный пример - программы для «взлома» сотовых провайдеров и почтовых ящиков, у которых зачастую имеется домашняя страничка, правдоподобная документация и инсталляционный пакет;
• ссылка ведет на html-страницу с эксплойтом. Это распространенный вариант (во время написания статьи автор зафиксировал настоящую эпидемию подобных писем), и он опаснее прямой ссылки на исполняемый файл, так как подобную ссылку очень сложно обнаружить по протоколам прокси-сервера и заблокировать. В случае успешного выполнения эксплойт выполняет загрузку вредоносного кода, причем в результате на пораженный компьютер может быть установлено более десяти вредоносных программ. Обычный набор: почтовые черви, ворующая пароли троянская программе, набор троянских программ класса Trojan-Spy и Trojan-Proxy.

Меры защиты от распространяемых по электронной почте вредоносных программ достаточно очевидны. Как минимум, требуется установить антивирус на почтовом сервере (или при выборе хостера обратить внимание на предлагаемую им антивирусную защиту почты). Кроме того, стоит провести еще ряд мероприятий:

• объяснить пользователям, чем опасно открытие вложенных в письма программ и находящихся в них ссылок. Очень полезно научить пользователей определять реальный URL ссылок;
• при наличии технической возможности блокировать отправку и прием писем с вложенными исполняемыми файлами и зашифрованными архивами. В «Смоленскэнерго», к примеру, подобная блокировка действует уже длительное время и показала свою высокую эффективность (при этом блокируемые письма помещаются в карантин и могут быть извлечены администратором);
• установить фильтры для блокировки писем по содержанию и поддерживать их в актуальном состоянии. Такие фильтры эффективны против писем, содержащих ссылки на вредоносные программы, - обычно их несложно отфильтровать по ключевым словам типа Animated card или postcard. Побочный эффект - блокировка реальных поздравительных открыток и аналогичных писем, компромиссное решение - установка такого фильтра в антиспам-системы и маркировка писем в качестве спама.

Интернет

По количеству расследованных инцидентов Интернет также является одним из основных источников проникновения вредоносных программ в сеть. Можно выделить несколько основных способов, широко используемых злоумышленниками:

• всевозможные крэки и генераторы серийных номеров - статистика показывает, что в ходе поиска ключа или крэка на хакерских сайтах вероятность поражения компьютера вредоносными программами весьма велика. Причем такая программа может быть загружена в архиве с крэком или получена в ходе работы с сайтом в результате деятельности эксплойтов и вредоносных скриптов на хакерских сайтах. Контрмеры - блокировка доступа к хакерским сайтам на уровне прокси-сервера и запрет их посещения на уровне политики безопасности и иных руководящих документов фирмы;
• взломанные легитимные сайты - согласно статистике, в последнее время взломы сайтов участились и ведутся по типовым схемам. В html-код страниц зараженного сайта внедряется небольшой код - обычно ведущий на страницу с эксплойтом тэг IFRAME или зашифрованный скрипт, тем или иным способом переадресующий пользователя на зараженный сайт (возможна динамическая вставка тэга IFRAME в тело страницы, перенаправление на страницу-эксплойт и т.п.). Главная опасность заключается в том, что взлом сайта невозможно предсказать и соответственно очень сложно защитить от него пользователя (рис. 3).

Рис. 3. Код эксплойта, добавленный к концу HTML-страницы
взломанного сайта

Как видно на рисунке, код эксплойта добавлен в конец html-страницы автоматическими средствами и представляет собой зашифрованный скрипт. Шифровка скрипта является мерой защиты от исследования, но основное ее назначение - защита от сигнатурного детектирования. В более сложных случаях хакерские вставки могут размещаться в коде страницы, что затрудняет их обнаружение.

Защита от эксплойтов в web-страницах сводится к оперативной установке обновлений операционной системы и браузера. Кроме того, неплохие результаты дает запуск браузера с минимально возможными привилегиями, что может существенно снизить ущерб в случае срабатывания эксплойта.

Флэш-носители

Носители такого вида в настоящее время очень широко применяются - это флэш-диски и флэш-карты, HDD-диски с USB-интерфейсом, сотовые телефоны, фотоаппараты, диктофоны. Распространение данных устройств приводит к увеличению количества вредоносных программ, использующих данные носители в качестве средства переноса. Можно выделить три базовых способа заражения флэш-диска:

• создание в корне диска файла autorun.inf для запуска вредоносной программы и размещение ее в любом месте на диске (необязательно в корне диска). Работа autorun.inf на флэш-диске идентична работе подобного файла на CD-ROM, соответственно при подключении или открытии диска в проводнике производится запуск вредоносной программы;
• создание в корне диска или в существующих на диске папках файлов, которые своими именами и иконками напоминают файлы или папки. Автором был проделан опыт: на флэш-дисках участвовавших в эксперименте пользователей был помещен безобидный исполняемый файл с иконкой, визуально неотличимой от иконки папки, и с именем MP3. Опыт показал, что пользователи немедленно проявили интерес к новой папке и решили посмотреть ее содержимое, осуществив двойной клик мышью на «папке», что привело к запуску исполняемого файла;
• использование принципа «вирус-компаньон». По сути данный метод идентичен предыдущему, но в этом случае вредоносная программа создает множество своих копий, причем их имена совпадают с именами имеющихся на флэш-диске файлов или папок.

Методики защиты от распространения вредоносных программ на флэш-носителях довольно просты:

• на компьютерах пользователей следует установить антивирусную защиту с монитором, проверяющим файлы в режиме реального времени;
• эффективной мерой защиты является отключение автозапуска;
• на стратегически важных ПК хорошей мерой безопасности является блокирование возможности использования флэш-носителей. Блокировка может осуществляться механически (отключением USB-портов и их опечатыванием) и логически при помощи специального ПО;
• написание локальных политик безопасности, блокирующих запуск приложений с флэш-диска.

Ноутбуки и КПК

Мобильные компьютеры являются еще одним средством переноса для вредоносных программ. Типичная ситуация - использование ноутбука в командировке, когда он, как правило, подключается к чужой сети. В ходе работы может произойти заражение ноутбука, чаще всего сетевым червем. Когда зараженный ноутбук подключается к «родной» сети, возможно заражение находящихся в ней ПК. Защититься от этого сложно, комплекс мер по обеспечению безопасности можно свести к следующему:

• установка на ноутбук антивируса и брандмауэра с обязательным периодическим контролем их работоспособности со стороны администратора;
• проверка ноутбука перед его подключением к сети, правда данная операция не всегда возможна технически, требует больших временны х затрат и снижает мобильность пользователя;
• создание особой «гостевой» подсети для ноутбуков и принятие мер по защите основной ЛВС от данной подсети.

Выводы

В данной статье мы рассмотрели наиболее распространенные способы проникновения вредоносных программ в сеть. Из всего вышеизложенного можно сделать два важных вывода:

• большинство описанных методик так или иначе связано с человеческим фактором, следовательно, обучение персонала и периодическое проведение занятий по безопасности повысят защищенность сети;
• участившиеся в последнее время случаи взлома легитимных сайтов приводят к тому, что даже грамотный пользователь может заразить свой компьютер. Следовательно, на первое место выходят классические меры защиты - антивирусное ПО, своевременная установка обновлений, применение средств мониторинга интернет-трафика.