Большая энциклопедия промышленного шпионажа - Юрий Федорович Каторин
Шрифт:
Интервал:
Закладка:
Внедрение компьютерных вирусов по сути близко к применению программных закладок, отличие же заключается в том, что цель внедрения — модификация и уничтожение информации, хранящейся в компьютерных системах конкурентов.
Аппаратные закладки — это специальные микросхемы, выполняющие те же функции, что и программные закладки, либо радиозакладные устройства, аналогичные описанным в п. 1.3.1 и 1.5.2. Они могут перехватывать информацию, например, с клавиатуры или видеокарты, либо фиксировать аудиоинформацию (переговоры операторов), а затем передавать ее по радиоканалу в пункт приема. Известны в том числе и радиозакладки, которые активизируют компьютерные вирусы по команде, передаваемой по радиоканалу с пульта дистанционного управления.
Кроме того, перехват аудио- и видеоинформации может осуществляться с помощью технических средств, размещенных в том же помещении, что и компьютер (п. 1.3, 1.4).
Проблеме перехвата побочных электромагнитных излучений и наводок (ПЭМИН) в современной литературе уделяется большое внимание ввиду важности этого технического канала утечки информации. Здесь же мы только отметим, что наиболее сильные электромагнитные излучения образуются от сигналов с выхода видеокарты системного блока, для которых случайной антенной служит кабель, идущий к монитору. Для перехвата этой информации достаточно иметь приемное устройство, работающее в диапазоне частот 50... 500 МГц, специальный блок согласования и портативный компьютер типа Notebook. Дальность перехвата информации таким комплексом составляет 100...150 м.
Наиболее специфичным способом получения конфиденциальной информации с компьютерных систем является преодоление программных средств защиты и как его разновидность — преодоление систем парольной защиты. Рассмотрим их подробнее.
1.6.2. Преодоление программных средств защиты
В настоящее время известно огромное количество хакерских разработок, предназначенных для преодоления программных средств защиты. Они обладают различной эффективностью, но позволяют в той или иной степени решать задачи, ради которых созданы.
Одни из таких программ предназначены для перехвата сообщений и полномочий по доступу к ресурсам сети посредством незаконного подключения к каналу связи, другие — для преодоления системы защиты персонального компьютера или корпоративной сети другим зарегистрированным пользователем.
Перехват с незаконным подключением к каналу связи может осуществляться множеством способов, наиболее известными из которых являются:
>• работа в сети в те промежутки времени, когда законный пользователь оставляет канал в активном режиме, отвлекаясь на решение других задач (вызов к начальнику, перекур и т. п.);
>• работа параллельно зарегистрированному пользователю, но в те моменты, когда нет непосредственного обмена информацией, так называемый режим между строк (аналогичен предыдущему способу, но более сложен в реализации);
>• работа по завершению сеанса зарегистрированным пользователем за счет перехвата сигнала об окончании работы.
Для преодоления систем защиты под видом зарегистрированного пользователя хакеры часто применяют следующие методы:
>• перебор возможных паролей, которые часто бывают тривиальны и берутся из руководства по пользованию компьютером;
>• поиск слабых мест (брешей), связанных с неудачным алгоритмом функционирования систем защиты или наличием программных ошибок;
>• иногда брешь маскируется двумя-тремя дополнительными командами с целью создания так называемого люка, который открывается при необходимости (данный способ требует очень высокого профессионального уровня и готовится, как правило, на этапе проектирования системы защиты);
>• использование программ, имитирующих аварийные сбои и анализирующих адекватность реакции системы.
Однако существует большое число программных продуктов, созданных совершенно для иных целей, но которые могут быть использованы для преодоления систем защиты, размещенных на жестких дисках. К ним, например, относятся уже упомянутые Norton Utilities, а также Miced Utilities, PC Tools, PS Shell, Hard Disk Manager и некоторые другие, которые в интерактивном или автоматическом режиме используют команды считывания и записи секторов по абсолютным адресам на диске.
Также существуют разработки, которые позволяют создавать программное обеспечение, способное выполнять просмотр и отладку программных продуктов в режиме дисассемблера, а также просмотр и редактирование оперативной памяти персональной ЭВМ. К таким программам относятся трансляторы с языков низкого уровня (TASM и MASM), трансляторы с языков высокого уровня (MSC, Turbo С, Turbo Pascal и др.), программы-отладчики типа The IBM Personal Computer Fulscreen Debug (FSD), Advanced Fulscreen Debug (AFD) и Turbo Debugger, а также программы, работающие с оперативной памятью (Debug, Peck Poke Resident), и некоторые другие.
1.6.3. Преодоление парольной защиты
Один из наиболее распространенных способов разграничения доступа к ресурсам вычислительных систем — введение паролей. В целом это достаточно надежный способ защиты, однако необходимо представлять его возможности и основные способы преодоления, чтобы уберечь себя от неприятных последствий.
Так, в любом персональном компьютере можно условно выделить три вида паролей:
>• пароли, хранящиеся в CMOS-памяти;
>• пароли операционной системы;
>• пароли, по которым осуществляется аутентификация пользователей в специально установленной системе защиты.
Рассмотрим способы преодоления каждого вида в отдельности.
Снятие паролей, хранящихся в CMOS-памяти
CMOS — это аббревиатура английских слов complementary metal oxide semiconductor. To есть в качестве названия вида памяти взято просто наименование материала, из которого изготавливается соответствующая микросхема. В ней записывается вся необходимая информация для загрузки компьютера, в том числе и пароли. Еще -их называют «паролями BIOS» по названию микросхем, контролирующих операции ввода — вывода.
Доступ к установкам CMOS осуществляется нажатием во время теста памяти (при загрузке компьютера) одной из следующих комбинаций клавиш:
Del;
Esc;
Ctrl + Alt + Enter;
Ctrl + Alt + Esc.
При этом на экран выводится меню установок CMOS, среди которых присутствуют два раздела:
SUPERVISOR PASSWORD (пароль диспетчера);
USER PASSWORD (пароль пользователя).
Владелец первого пароля может осуществлять как загрузку операционной системы, так и изменение опций в меню «Установки BIOS»; человек, знакомый только со вторым паролем, может осуществлять загрузку операционной системы и только входить в меню «Установки BIOS» для изменения раздела «User Password».
Однако надежность такой парольной защиты является кажущейся. Существуют как минимум два довольно простых метода ее преодоления.
Первый основан на том, что CMOS-память не может работать без питания от батарейки, установленной внутри системного блока. Таким образом, если, отключив от сети компьютер и вскрыв системный блок, извлечь батарейку, то в памяти исчезнет информация о типе жестких дисков, числе и емкости флоппи-дисков, размере оперативной памяти и т. д., в том числе исчезнет информация и о хранящихся паролях. Положение батарейки CMOS может быть различным в разных компьютерах, но найти ее несложно по характерному внешнему виду: плоская маленькая в виде таблетки либо кассета из нескольких пальчиковых батареек.
После извлечения батарейку можно тут же поставить на место — память очищена. Затем необходимо закрыть системный блок и включить компьютер. На этапе тестирования памяти