На главную страницу AlgoNet В сотрудничестве с ZDNet
АРХИВ СТАТЕЙ 2003-1-21 на главную / новости от 2003-1-21
AlgoNet.ru
поиск

 

Место для Вашей рекламы!

 

Все новости от 21 января 2003 г.

Психология на службе хакеров

Мне уже приходилось писать об атаках “social engineering” (см. статью “Инженеры человеческих душ”, PC Week/RE, № 5/2002, с. 18) и о том, как хакеры используют человеческие слабости для достижения своих целей.

И вновь я хочу вернуться к этой теме и рассказать о новых методах хакеров, использующих знание человеческой натуры. Статистика поможет нам понять, почему эти методы так эффективны.

По данным Content Security, 86% компаний сталкиваются с проблемой доступа сотрудников к порнографическим материалам в Интернете. Это подтверждается исследованиями сайта SexTracker, согласно которым 70% всего порнотрафика фиксируется с 9 утра до 5 вечера, т. е. в рабочее время.

Исследовательская компания eMarketer сообщает, что мужчины пользуются материалами этой категории в 20 раз чаще женщин. eMarketer также утверждает, что сотрудники с высоким уровнем зарплаты делают это в два раза чаще, чем низкооплачиваемые.

Отсюда следует, что главными потребителями материалов сексуальной направленности являются мужчины-руководящие. А в какой организации основной контингент составляют мужчины, да еще и занимающие все высшие посты? Первое, что приходит на ум — Министерство Обороны. Хотя и в других не менее серьезных ведомствах и компаниях все руководящие посты заняты представителям сильной половины человечества. И этим умело пользуются хакеры для проникновения в корпоративные сети.

Делается это довольно просто. В сети регистрируется Web-сервер, который наполняется соответствующими картинками и материалами. Это не требует больших затрат, так как существует масса способов зарегистрировать домен второго уровня не совсем законными методами (взлом, оплата регистрации с помощью украденной кредитной картой и т. п.).

После этого проводится обычная рекламная компания сайта в Интернете, привлекающая посетителей отсутствием платы за доступ к “клубничке”. Однако страничка открывается только после регистрации, в результате которой злоумышленник получает узнает имя (идентификатор) и пароль пользователя.

Сделаем небольшое отступление. Ответьте на простой вопрос: “Сколько паролей вы используете для доступа к компьютеру, зашифрованным файлам, Интернету и т. п.?” Вряд ли ошибусь, если скажу, что всего один. И это естественно, так как запомнить разные пароли, да еще и выбираемые по всем правилам, задача не из легких. Вот и оказывается, что посетитель порносайта в момент регистрации вводит хорошо известный и не требующий дополнительного запоминания пароль, используемый для доступа ко всем ресурсам корпоративной сети.

А теперь вернемся к нашей теме. Определив пароль, хакер может попытаться обратиться к нужным ему ресурсам, используя полученные через порносайт данные. Узнать место работы любителя “клубнички” довольно просто, учитывая, что Web-сервер в своих журналах регистрации фиксирует адрес узла, с которого осуществлялся доступ. А узнать, что за организация скрывается за таким, непонятным на первый взгляд адресом, как 123.34.56.78, не составляет большого труда, обратившись к одному из множества сетевых информационных центров (NIC).

Но даже если пользователь выходит на порносайт со своего домашнего компьютера, то и это не является серьезным препятствием. Более того, для проникновения в корпоративную сеть через домашний компьютер хакеру понадобится куда меньше усилий, чем при попытке влезть в сеть непосредственно через межсетевой экран и иные средства защиты периметра. Это происходит потому, что обычно пользователь, работая из дома, подключается к сети своей организации через VPN-соединение, а требования безопасности к такому подключению существенно слабее, чем для обычного Интернет-соединения.

Вся опасность заключается не только в том, что злоумышленник может проникнуть в корпоративную сеть, а в том, что он маскируется под пользователя, чей пароль украден. Это позволяет хакеру остаться незамеченным для системы защиты, которая воспримет его, как “своего родного” при чем в случае нанесения корпоративной сети какого-либо ущерба все шишки свалятся именно на того сотрудника, под которого маскировался хакер. Надо заметить, что такая маскировка может осуществляться и целенаправленно с целью подставы какого-либо из пользователей атакуемой сети.

Все это не голословные утверждения — уже известны случаи проникновения хакеров на сайты Министерства обороны США, используя специально созданные для такого случая порносайты. Схожая проблема присуща не только военному ведомству, но и главному финансовому органу США. 4 февраля 2003 года счетная палата Конгресса США опубликовала отчет, гласящий, что компьютеры Министерства финансов, оперирующие триллионами долларов налогов и социальных выплат, остаются легко уязвимыми для хакерских атак.

В представленном широкой общественности докладе говорится, что миллиарды долларов платежей и сборов подвержены существенному риску пропаж и махинаций, а финансовые транзакции могут быть прерваны и даже изменены. Мало того, за пять лет до этого, в 1997 году, счетная палата уже проводила аналогичное обследование Минфина, но ситуация так и не сдвинулась с мертвой точки. Самыми уязвимыми местами системы защиты этого ведомства оказались именно пароли.

Как выбрать пароль?

К сожалению, указанная проблема присуща не только серьезным организациям, таким, как министерство обороны или финансов. Любая компания, использующая компьютеры в своей деятельности, сталкивается с проблемой правильного выбора паролей. Несмотря на все достижения защитных технологий, они по-прежнему играют центральную роль в системе безопасности любой организации. Как же их правильно выбирать?

Во-первых, необходимо задавать разные пароли для доступа к различным ресурсам корпоративной сети (базам данных, Интернету и т. д.). Во-вторых, пароли должны быть достаточно длинными, чтобы против них были бессильны системы автоматического подбора пароля, такие, как L0phtCrack, John The Ripper, SQLdict и т. п. Необходимо помнить, что есть приложения и ОС игнорирующие выбор пользователя и уменьшающие длину пароля.

Например, механизм свертки (хеширования) паролей в Windows LanManager, который еще достаточно часто используется, ужимает вводимый пользователем пароль до 14 символов, в свою очередь разбиваемых на два семисимвольных фрагмента.

Очевидно, что взломать две последовательности длиной семь символов намного проще и быстрее, чем строку из 14 символов. В-третьих, пароль должен состоять из символов в разных регистрах и содержать не только буквы, но и цифры и спецсимволы.

Однако не забывайте, что пароли используются обычными пользователями, которые не всегда знакомы с положениями принятой политики безопасности. Мало того, даже если они и знают ее, то соблюдать все правила на практике очень трудно, а зачастую и невозможно. Ну, представьте только, что вас заставили использовать пароль “JYt_765_dtUT+oIuWeBgA@”. Вы вряд ли его запомните и, скорее всего, запишите на бумажку и приклеите к монитору. Поэтому, несмотря на все вышеперечисленные требования, на первое место выходят не длина и не сложность.

Хороший пароль тот, который трудно угадать, но очень легко напомнить. Так, вместо указанного выше пароля намного проще запоминается “THe_765_beST+pAsSwOrD@” или “ILoveYou777@password.ru”. И второе главное требование – несмотря на комбинацию букв, цифр и спецсимволов, он должен легко набираться. Выбор пароля, удовлетворяющего этим требованиям, не даст хакерам ни единого шанса проникнуть в вашу сеть, используя уязвимости парольной системы, но остаются другие дыры… Но это тема других статей.

С Алексеем Викторовичем Лукацким, автором книги “Обнаружение атак”, можно связаться по адресу: luka@infosec.ru.

 

← декабрь 2002 15  16  17  20  21  22  23  24  27 февраль 2003 →
Реклама!
 

 

Место для Вашей рекламы!