17 августа 2012, 16:17
Количество просмотров 201

Защита автоматизированных банковских систем от несанкционированного доступа

Защита автоматизированных банковских систем от несанкционированного доступа

Введение

В августе 1986 года неизвестный злоумышленник атаковал компьютер Лаборатории научно-исследовательского института. Вместо того, чтобы предпринять защитные меры и исключить возможность дальнейших атак, сотрудники Лаборатории решили проследить действия злоумышленника и определить его местонахождение. Это оказалось труднее, чем предполагалось. Преследование компьютерного пирата длилось почти год и потребовало сотрудничества со многими организациями.

Первоначальное отношение к проблеме проникновения в компьютер Лаборатории рассматривалось как решение небольшого упражнения, состоящего в определении использованных злоумышленником уязвимостей системы, их документированию и принятию защитных мер. Однако вскоре стало очевидно, что злоумышленник использовал компьютер Лаборатории только в качестве отправной точки для атак на другие системы.  Сферу его интересов составляли в основном компьютеры военных организаций и научных учреждений, выполняющих заказы МО США. Устремления злоумышленника и ключевые слова,  используемые им при поиске информации, подтверждают, что имел место компьютерный шпионаж, направленный на проникновение в защищенные системы и кражу данных. За 10 месяцев, в течении которых наблюдались действия злоумышленника, он атаковал около 450 компьютеров и успешно преодолел 30 систем защиты.

Лаборатория являлась научным учреждением и не проводила секретных исследований. Компьютерная сеть Лаборатории типична для любого университета и является распределенной, гетерогенной и открытой. Учитывая отсутствие в сети секретной информации, руководство Лаборатории приняло решение о выделении значительных ресурсов для работ по поимке нарушителя в надежде получить подробную информацию и достичь понимая проблемы в целом.

Злоумышленник не изобретал новых методов по проникновению в системы, вместо этого он планомерно опробовал широко известные уязвимости операционных систем UNIX, VMS и др. При этом, исход атак не зависел от типа операционной системы: как правило, злоумышленник использовал ошибки фирм-производителей, администраторов или пользователей.

Определение факта атаки

Определение факта проникновения в компьютер Лаборатории стало возможным из-за несоответствия результатов работы двух программ, независимо подсчитывающих статистику использования ресурсов системы. Оказалось, что один из новых пользователей был зарегистрирован “неправильно” - он был введен в систему, но дополнительная программа подсчета статистики ничего не знала о его существовании. Вскоре после обнаружения этого факта было получено сообщение из NCSC о попытке проникновения с одного из компьютеров Лаборатории в военную систему через сеть MILNET.

После удаления “ошибочного” пользователя обнаружилось, что в системе появился новый администратор. Этот “администратор” пытался модифицировать журнал учета пользователей. Осознав, что в системе работает злоумышленник, сотрудники Лаборатории начали отслеживать его действия. Для этого понадобилось установить печатающие устройства на все входные линии коммуникационного оборудования. Таким образом, появилась возможность перехватить все команды, вводимые злоумышленником, и определить, что для получения прав администратора системы была использована известная уязвимость программного обеспечения текстового редактора GNU-Emacs.

Организация работ

С самого начала велся журнал, куда заносились подробные сведения о действиях, предпринимаемых сотрудниками Лаборатории, активности злоумышленника, а также результатах взаимодействия с другими организации. Впоследствии этот журнал оказал существенную помощь в обвинении компьютерного шпиона и послужил основой для ряда публикаций и заключений.

Поскольку было принято решение держать работы в тайне от злоумышленника, при обсуждении проблем поимки нарушителя пришлось отказаться от услуг электронной  почты и других форм электронного обмена информацией. Это решение было продиктовано тем, что злоумышленник осуществлял регулярный поиск информации в почтовых ящиках  пользователей, в том числе и по ключевым словам “хакер”, “проникновение” и т.д. Было проведено несколько собраний, где пользователям сообщалось о необходимости воздержаться от распространения информации о нарушителе, в том числе и посредством электронной почты. Поскольку полное отсутствие в электронной почте большого учреждения дискуссий о хакерах является весьма подозрительным, несколько специально подготовленных сообщений, “случайно” перехваченных злоумышленником, позволили ему почувствовать себя в безопасности.

Средства мониторинга, оповещения и анализа трафика

Для успешного отслеживания действий нарушителя были необходимы средства, предупреждающие о его подключении к системе. В первое время были установлены печатающие устройства на все каналы связи, идущие к атакованному компьютеру. Когда стало известно, что злоумышленник использует сеть X.25, наблюдение стало вестись только за соответствующими портами. В получаемых распечатках была зафиксирована вся информация, вводимая или получаемая злоумышленником, что позволяло не только установить цели и методы данного злоумышленника, но и обнаружить другие попытки проникновения.

Такая технология мониторинга имеет ряд принципиальных преимуществ по сравнению со средствами, непосредственно встроенными в систему. Внешние печатающие устройства абсолютно невидимы для нарушителя, вне зависимости от уровня захваченных им привилегий. Встроенные в систему мониторы трудно скрыть от привилегированного пользователя и они могут привести к существенному снижению производительности всей системы. Кроме этого, процесс, реализующий встроенный монитор, должен выполняться с системными привилегиями и поэтому может вносить в систему дополнительные уязвимости.

Система оповещения была построена с использованием средств анализа трафика, работающих на отдельных персональных компьютерах. Поскольку были известны идентификаторы пользователей, паролями которых обладал злоумышленник, средства анализа трафика были сконфигурированы таким образом, чтобы они реагировали только на подключение определенных пользователей. Эта реакция заключалась в посылке сигнала на пейджер оператора. Оператор, получив сигнал, приступал к наблюдению за действиями злоумышленника. В случае, если последний намеревался выдать команду, способную нанести вред системе, оператор либо немедленного отключал нарушителя от системы, либо эмулировал сбой в канале связи.

Если злоумышленнику удавалось успешно проникнуть в какую-либо систему, оператор связывался с администратором этой системы, который немедленно разрывал соединение и предпринимал защитные меры. Для злоумышленника ситуация выглядела так, как будто бы все, кроме Лаборатории, раскрывали его атаки. На самом деле, все было наоборот - никто, кроме Лаборатории, не подозревал о его намерениях.

С течением времени получаемые распечатки показывали интересы злоумышленника, применяемые им методы, его успехи и неудачи. Через несколько недель наметилась четкая тенденция использования сетевых соединений Лаборатории, преимущественно с сетями ARPANET и MILNET.

При изучении распечаток была получена информация о профессиональном уровне злоумышленника, его познаниях в операционных системах, стиле программирования и т.д. Однако, для установления местонахождения злоумышленника этого было недостаточно.

Отслеживание действий злоумышленника

Установление исходной точки атак было затруднено тем, что злоумышленник подключался через разные сети, редко работал больше нескольких минут и мог подключиться в любое время. Используя порт сети X.25,  злоумышленник мог находится в любой точке земного шара. Сначала удалось отследить соединение до точки входа в сеть X.25. После этого, получив судебный ордер и заручившись поддержкой телефонной компании, удалось проследить звонок до выходного пула модемов локальной вычислительной сети одной из организаций, выполняющей военные заказы. Одновременно выяснилось, что эта сеть предоставляла возможность производить выходные звонки любому пользователю, причем каждый пользователь мог  повторить последний вызов удаленной системы, произведенный другим пользователем.

Анализируя регистрационные журналы телефонных звонков этой организации и сопоставляя полученную информацию с периодами активности, зафиксированные в Лаборатории, был сделан вывод, что злоумышленник начал свои атаки за несколько месяцев до того, как был обнаружен. Счета этой организации содержали сотни телефонных звонков по всей территории США. Поскольку злоумышленник мог повторять последний звонок, он получил возможность соединяться с большим количество удаленных систем, которыми обычно являлись военные базы. Некоторые из администраторов этих систем обнаруживали подозрительные действия злоумышленника, но не пытались проследить источник соединения.

После уведомления администрации этой сети злоумышленник потерял возможность использовать выходной пул модемов, и ему пришлось ограничиться услугами сети X.25. Операторы этой сети пошли на встречу сотрудникам Лаборатории и проследили полный адрес вызова сети X.25. Этот адрес указывал на местонахождение злоумышленника в одном из университетов Германии. Источником звонков также являлся общедоступный модем в другом германском городе. Злоумышленнику удалось успешно атаковать университетский компьютер, после чего им были получены системные привилегии, изменена работа системы сбора статистики и получен доступ через сеть X.25 ко всему миру.

Как удержать злоумышленника на связи

Злоумышленник подключался к компьютеру Лаборатории на столько короткое время, что телефонисты не успевали установить его точное местонахождение.  Для сужения области поиска до индивидуального телефонного номера необходимо относительно долгое соединение. Поэтому было принято решение заманить злоумышленника информацией, которая могла бы его заинтересовать. Для этого были созданы несколько документов, описывающих исследования в области Стратегической оборонной инициативы (СОИ). Вся информация была вымышленной, однако выдержана в стиле правительственных документов. Также были созданы списки рассылки и формы запросов на получение дополнительной информации по почте, адресованные несуществующему секретарю Лаборатории. Эти файлы были защищены таким образом, чтобы к ним могли получить доступ только их владелец и системный администратор.

В один из дней, просматривая по привычке содержимое компьютера Лаборатории, злоумышленник обнаружил заготовленную информацию и потратил более часа на ее прочтение. Этого времени хватило, чтобы телефонисты проследили соединение до самого конца.  Более того, через несколько месяцев по почте было получено письмо, адресованное выдуманному секретарю, с просьбой включить отправителя в список рассылки СОИ. Поскольку это означало запрос на получение секретной информации, письмо само по себе являлось доказательством шпионажа  Тот факт, что письмо было послано из США, указывало на наличие связи германского злоумышленника с неким американским гражданином.

Методы проникновения и использованные уязвимости

Журналы регистрации действий злоумышленника указывали на то, что он использовал компьютеры Лаборатории только в качестве отправной точки для дальнейших атак. В основном компьютеры Лаборатории использовались им для проникновения в сети ARPANET/MILNET. Злоумышленник предпринял попытки проникнуть почти в 450 компьютеров, используя регистрационные имена root, guest, system и field. Он также использовал часто встречающиеся и устанавливаемые по умолчанию пароли. Для поиска регистрационных имен успешно применялась тактика опроса каждой системы с помощью команд who и finger. Хотя такой способ атаки по праву считается наиболее примитивным, он часто оказывался успешным. В 5% случаях (около 30 компьютеров) установленные по умолчанию регистрационные имена и пароли предоставляли доступ, иногда с привилегиями администратора.

Когда злоумышленнику удавалось проникнуть в систему, для получения привилегированных прав доступа использовались стандартные методы. Поскольку он был прекрасно осведомлен о наличии уязвимостей в различных операционных системах и сервисных службах, попытки получения прав администратора  часто приводили к успеху.  В любом случае, предпринимался поиск во всех доступных файлах по ключевым словам типа “nuclear”, “sdi”, “kh-11”, “norad”. После тщательного поиска интересующей информации собирались данные для дальнейших проникновений. Применяемая тактика оказалась весьма эффективной: нередко пользователи хранили в своих файлах незашифрованные пароли или обменивались регистрационной информацией по электронной почте. В частности,  таким образом злоумышленнику удалось получить имя и пароль для входа в суперкомпьютер Cray.

Типичным примером используемых злоумышленником способов получения прав администратора является ошибка текстового редактора GNU Emacs. Этот широко распространенных редактор имеет свою собственную почтовую систему, которая предоставляет возможность пересылки файлов другим пользователям.  Кроме того, Emacs использует возможность операционной системы UNIX по установлению привилегированного эффективного идентификатора процесса. К сожалению, Emacs не содержал проверок некоторых действий пользователей. Злоумышленник написал командный файл, который в случае выполнения от имени администратора системы предоставляет ему права администратора. Этот командный файл с помощью почтовой подподпрограммы Emacs записывался в системную директорию и маскировался под утилиту, периодически выполняемую операционной системой. Когда командный файл выполнялся системой, злоумышленник получал требуемые права .

Отслеживаемый злоумышленник обладал завидной настойчивостью и терпением. Например, проникнув в один из компьютеров-маршрутизаторов и создав пользователя с правами администратора, он воспользовался подключением от имени этого пользователя только через 6 месяцев, когда ему понадобилось получить доступ к другим компьютерам. В другом случае, злоумышленник воспользовался для получения прав доступа программами, созданными им год назад и спрятанными в системных библиотеках. Таким образом ему удалось получить привилегированный доступ к компьютеру, на котором со времени его первоначального проникновения была ликвидирована использованная им уязвимость.

Также был обнаружен интерес злоумышленника к файлам, содержащим зашифрованные пароли пользователей. После копирования таких файлов на свой компьютер, он возвращался примерно через неделю и успешно подключался к системе от имени одного из легальных пользователей. Подобранные им пароли представляли слова английского языка, имена и названия. Поскольку алгоритмы шифрования паролей не могли быть взломаны злоумышленником, было сделано заключение, что он получал пароли путем шифрования слов некоторого словаря и сравнения результата с содержимым файла паролей. Таким образом была сделана оценка производительности имеющихся у злоумышленника вычислительных средств и размер используемого словаря.

Компьютерный пират прекрасно осознавал свои возможности и как правило не наносил вреда атакованным системам. Однако, если бы не предпринятые сотрудниками Лаборатории меры, его вмешательство в систему управления медицинским экспериментом в режиме реального времени могло нанести пациенту серьезный ущерб. Везде, где было возможно, он оставлял программы перехвата паролей и пассивного сбора данных о регистрации новых пользователей.  По-видимому, злоумышленник намеренно ограничивался подключением от имени существующих пользователей, считая, что это сделает его обнаружение менее вероятным.

Злоумышленник был чрезвычайно осторожным и постоянно “оглядывался”. Он часто проверял список пользователей, работающих в системе, и как только обнаруживал администратора, немедленно отключался. Он регулярно просматривал электронную почту пользователей на предмет его обнаружении, искал любые упоминания о подозрительных действиях и украденных им регистрационных именах. Он часто менял пути подключения и использовал множество регистрационных имен. Несмотря на достигнутый успех, он всегда тщательно заметал следы своего проникновения.

Оценивая действия и знания злоумышленника, можно считать его опытным программистом, разбирающемся в системном администрировании. Однако не стоит переоценивать его возможности. Не было зарегистрировано случаев запуска вирусов или модификации ядра системы. Он также не смог найти все существующие слабости компьютера Лаборатории. И хотя ему не удалось воспользоваться уязвимостями утилит at или vi в атакованной системе (поскольку они были устранены задолго до его вторжения), злоумышленник всегда находил достаточно компьютеров, ослабленных давно и широко описанными ошибками системного программного обеспечения.

Намерения злоумышленника

Был ли в действительности обнаруженный злоумышленник компьютерным шпионом? Сеть MILNET, объединяющая тысячи компьютеров, выглядит весьма привлекательной для шпионажа. Сетевой шпионаж сам по себе весьма эффективен: ему свойственны низкая стоимость, немедленное получение результатов и сравнительно легкая достижимость интересующих объектов. Без сомнения, хорошо развитая компьютерная инфраструктура подвергает значительному риску обрабатываемые в ней данные.

В соответствии с существующими директивами сеть MILNET не содержит секретную информацию и физически изолирована от секретных компьютеров. Однако, из-за большого числа компьютеров в сети и невозможности их регулярной проверки трудно гарантировать отсутствие в MILNET секретной информации. По крайней мере, существование возможности анализа большого объема несекретной, но важной информации должно в значительной степени повышать требования к защите сети. Имеющиеся в распоряжении Лаборатории распечатки действий злоумышленника подтверждают эту точку зрения.

Несмотря на значительные усилия, злоумышленнику удалось получить доступ только к небольшому объему неопубликованной информации. Однако, полученные им данные включают выдержки из планов американской армии по ведению войны в Центральной Европе с применением ядерного, биологического и химического оружия.

Ликвидация последствий проникновения

После получения заверений от ФБР о невозможности дальнейших атак отслеживаемого злоумышленника, возникла необходимость ликвидации причин и следов его проникновения. Единственным способом, гарантирующим полное устранение возможности несанкционированного доступа в будущем, являлось полная перегенерация всей системы и перерегистрация всех пользователей. Однако, имея тысячи пользователей и десятки компьютеров и учитывая невозможность прерывания обслуживания, такой путь был непригоден. С другой стороны, ограничиться латанием нескольких дыр было бы явно недостаточным.

Поэтому, было принято решение установить четкий порядок, включающий ограничения на время использования паролей, удаление просроченных регистрационных имен и ликвидацию неперсонализированных подключений. Одновременно продолжалось отслеживание входящего трафика и проводились работы по обучению пользователей. По необходимости были заново установлены некоторые сетевые утилиты. Дополнительное тестирование безопасности системы позволило устранить некоторые специфические уязвимости.

Уроки и выводы

Оглядываясь назад, становятся очевидными все упущения, сделанные до и во время проникновения в компьютер Лаборатории. Как и все университетские учреждения, Лаборатория стремилась к максимальной открытости, уделяя мало внимания обеспечению безопасности систем. Существовала уверенность, что стандартные средства защиты достаточны, и никто и никогда не захочет незаконно воспользоваться чужими данными. Поскольку результаты всех проводимых Лабораторией работ являются достоянием научной общественности, чрезмерное ограничение доступа к компьютерам может помешать плодотворности исследований.

Стандартная система парольной защиты применяемой операционной системы UNIX имела ряд существенных недостатков. Пароли пользователей не имели ограничений на срок действия и не проверялись на вхождение в словарь. Вся защита была основана на алгоритме шифрования паролей, при этом файл с зашифрованными паролями являлся общедоступным. Это привело к тому, что около 20 %  паролей пользователей оказались уязвимыми для атаки подбора с использованием словаря. Кроме этого, был сделан общедоступным пароль на доступ к сети X.25, в предположении о надежности стандартной системы защиты. Первые несколько дней после выявления атаки не было возможности воспользоваться данными системы регистрации действий пользователей. Эта система содержала недостоверные сведения, так как разница времени в компьютерах локальной сети Лаборатории достигала несколько часов.

Лаборатория оказалась не готова к атаке и в правовом плане. Когда сотрудники считали, что выслеживают местного нарушителя, районному прокурору удалось получить все необходимые полномочия. Когда же выяснилось, что злоумышленник находится за пределами штата, появились большие затруднения в получении поддержки от федеральных правоохранительных структур.  Попытки проследить компьютерного пирата за рубежом столкнули с еще большими неопределенностями во взаимоотношениях между соответствующими организациями. Это расследование завело далеко за пределы возможностей Лаборатории. Полагая, что проблема может быть решена путем прослеживания простого телефонного звонка, сотрудники Лаборатории были удивлены, когда этот “звонок” оказался последовательностью нескольких цифровых и аналоговых соединений. Успешная трассировка соединений такой длины невозможна без значительных организаторских усилий и финансовой поддержки.

Проникновение в компьютерную систему Лаборатории и опыт расследования ставит несколько проблем общего характера. Как только компьютер подключается к глобальной сети, он сразу же становится потенциальным объектом атак со стороны “любопытствующей” публики. Злоумышленник, ограниченный только степенью своей настойчивости, может атаковать с различных исходных точек, терпеливо перебирая возможные уязвимости и подбираясь к слабому месту сетевого компьютера. С помощью каких критериев анализировать в таких условиях степень защищенности компьютера? Кто отвечает за безопасность сети в целом и за поведение пользователей в частности ? Как показал опыт, ошибки  администраторов и пользователей значительно ослабляют даже надежные системы, что позволяет злоумышленникам применять для достижения успеха самые примитивные методы. Как организовать должное обучение администраторов и пользователей?

Фирмы-производители сетевых операционных систем обычно распространяют слабо защищенное программное обеспечение. Считается, что при установке системы должны быть задействованы средства безопасности и удалены стандартные возможности, устанавливаемые по умолчанию. Однако, ни при установке, ни при последующем администрировании такие действия не производятся. Заказчики как правило покупают программно-аппаратное обеспечение для решения каких-либо определенных задач, поэтому при выборе системы в первую очередь учитываются производительность, стоимость, удобство использования и т.д. Информация о выявленных слабостях и возможных уязвимостях не получает широкой огласки и не доходит до конечных пользователей. Фирмы-поставщики операционных систем часто задерживают разработку и распространение средств ликвидации уязвимостей своих продуктов. Более того, существуют специфические проблемы безопасности, присущие определенным операционным системам или требующие опыта и глубоких знаний администратора. Таким образом,  назрела необходимость создания специализированного центра, основными задачами которого являлись бы сбор информации об уязвимостях систем, анализе их значения, выработке рекомендаций по ликвидации уязвимостей, широкое информирование общественности  и предоставление надежного способа распространения решений проблем безопасности.

Факты несанкционированного доступа невозможно оценить без анализа не только правовых, но и социально-этических аспектов. Как измерить ущерб, нанесенный в результате проникновения в компьютер ?  Если для оценки причиненного вреда руководствоваться количеством стертых файлов и потраченного времени, то как измерить ущерб в случае простого копирования данных?  Оценка действий администраторов и пользователей также не является однозначной. Что считать попыткой осуществления несанкционированного доступа: подключение к удаленному компьютеру? Опрос текущих соединений?  Копирование файла, который неграмотный пользователь ошибочно сделал общедоступным?  Использование широко известной уязвимости системы, вовремя не устраненной администратором ?  Ответы на эти и многие другие вопросы выводят компьютерную безопасность за границы проблем, которые технические специалисты могут решить самостоятельно.

Статистика проникновений в системы

Анализ успехов и неудач злоумышленника позволяет сделать определенные выводы об уязвимости сети Интернет в целом. Из атакованных им 450 компьютеров примерно половина были недоступны на момент атаки. Попытки проникновения в 220 систем с использованием стандартных регистрационных имен и тривиальных паролей привели к указанным ниже результатам, расположенным по возрастанию значимости:

- в 98% случаев администраторы атакованных систем не попытались связаться с Лабораторией, являющейся “базой” злоумышленника, для выяснения обстоятельств подозрительной активности;

- в 5% случаях был зафиксирован отказ в соединении (соответствующие системы отвергали любые соединения с компьютерами Лаборатории);

- в 82% попыток злоумышленник не смог подобрать необходимую комбинацию имя/пароль;

- 8% систем предоставили злоумышленнику информацию о текущем статусе и работающих пользователях (sysstat, who и др.);

- 1% систем предоставили ограниченный доступ к базам данных и системам электронной почты;

- в 2%  случаев злоумышленник смог проникнуть в систему под именем легального пользователя и получить нормальный доступ в соответствии с правами этого пользователя;

- 2% систем предоставили злоумышленнику привилегии администратора.

Поскольку большинство предпринятых попыток проникновения относилось к компьютерам сети MILNET, защищенные по крайней мере не хуже, чем гражданские системы, распространение результатов анализа на всю сеть Интернет является приемлемым. Следовательно, около 5% компьютеров сети неспособны противостоять даже самым примитивным атакам. Применение более изощренных методов с применением знаний об уязвимостях конкретных операционных систем и сервисных служб приведет к большему количеству успешных проникновений. Данные оценки подтверждаются результатами анализа 130 случаев успешного проникновения в исследовательские компьютеры NASA, при которых с учетом рабочих станций локальных вычислительных сетей оказались уязвимыми около 20% компьютерных системn.

 

Рубрика:
{}
Теги:
#

PLUSworld в соцсетях:
telegram
vk
dzen
youtube