Большая энциклопедия промышленного шпионажа - Юрий Федорович Каторин

по аналогии с идеей, блестяще реализованной героем древнегреческой мифологии Одиссеем. В операционную систему они обычно внедряются в результате целенаправленно проведенной операции, после чего сами становятся частью защищенной компьютерной системы и совершают действия, ради которых и были созданы.

Внедрение компьютерных вирусов по сути близко к применению программных закладок, отличие же заключается в том, что цель внедрения — модификация и уничтожение информации, хранящейся в компьютерных системах конкурентов.

Аппаратные закладки — это специальные микросхемы, выполняющие те же функции, что и программные закладки, либо радиозакладные устройства, аналогичные описанным в п. 1.3.1 и 1.5.2. Они могут перехватывать информацию, например, с клавиатуры или видеокарты, либо фиксировать аудиоинформацию (переговоры операторов), а затем передавать ее по радиоканалу в пункт приема. Известны в том числе и радиозакладки, которые активизируют компьютерные вирусы по команде, передаваемой по радиоканалу с пульта дистанционного управления.

Кроме того, перехват аудио- и видеоинформации может осуществляться с помощью технических средств, размещенных в том же помещении, что и компьютер (п. 1.3, 1.4).

Проблеме перехвата побочных электромагнитных излучений и наводок (ПЭМИН) в современной литературе уделяется большое внимание ввиду важности этого технического канала утечки информации. Здесь же мы только отметим, что наиболее сильные электромагнитные излучения образуются от сигналов с выхода видеокарты системного блока, для которых случайной антенной служит кабель, идущий к монитору. Для перехвата этой информации достаточно иметь приемное устройство, работающее в диапазоне частот 50... 500 МГц, специальный блок согласования и портативный компьютер типа Notebook. Дальность перехвата информации таким комплексом составляет 100...150 м.

Наиболее специфичным способом получения конфиденциальной информации с компьютерных систем является преодоление программных средств защиты и как его разновидность — преодоление систем парольной защиты. Рассмотрим их подробнее.

1.6.2. Преодоление программных средств защиты

В настоящее время известно огромное количество хакерских разработок, предназначенных для преодоления программных средств защиты. Они обладают различной эффективностью, но позволяют в той или иной степени решать задачи, ради которых созданы.

Одни из таких программ предназначены для перехвата сообщений и полномочий по доступу к ресурсам сети посредством незаконного подключения к каналу связи, другие — для преодоления системы защиты персонального компьютера или корпоративной сети другим зарегистрированным пользователем.

Перехват с незаконным подключением к каналу связи может осуществляться множеством способов, наиболее известными из которых являются:

>• работа в сети в те промежутки времени, когда законный пользователь оставляет канал в активном режиме, отвлекаясь на решение других задач (вызов к начальнику, перекур и т. п.);

>• работа параллельно зарегистрированному пользователю, но в те моменты, когда нет непосредственного обмена информацией, так называемый режим между строк (аналогичен предыдущему способу, но более сложен в реализации);

>• работа по завершению сеанса зарегистрированным пользователем за счет перехвата сигнала об окончании работы.

Для преодоления систем защиты под видом зарегистрированного пользователя хакеры часто применяют следующие методы:

>• перебор возможных паролей, которые часто бывают тривиальны и берутся из руководства по пользованию компьютером;

>• поиск слабых мест (брешей), связанных с неудачным алгоритмом функционирования систем защиты или наличием программных ошибок;

>• иногда брешь маскируется двумя-тремя дополнительными командами с целью создания так называемого люка, который открывается при необходимости (данный способ требует очень высокого профессионального уровня и готовится, как правило, на этапе проектирования системы защиты);

>• использование программ, имитирующих аварийные сбои и анализирующих адекватность реакции системы.

Однако существует большое число программных продуктов, созданных совершенно для иных целей, но которые могут быть использованы для преодоления систем защиты, размещенных на жестких дисках. К ним, например, относятся уже упомянутые Norton Utilities, а также Miced Utilities, PC Tools, PS Shell, Hard Disk Manager и некоторые другие, которые в интерактивном или автоматическом режиме используют команды считывания и записи секторов по абсолютным адресам на диске.

Также существуют разработки, которые позволяют создавать программное обеспечение, способное выполнять просмотр и отладку программных продуктов в режиме дисассемблера, а также просмотр и редактирование оперативной памяти персональной ЭВМ. К таким программам относятся трансляторы с языков низкого уровня (TASM и MASM), трансляторы с языков высокого уровня (MSC, Turbo С, Turbo Pascal и др.), программы-отладчики типа The IBM Personal Computer Fulscreen Debug (FSD), Advanced Fulscreen Debug (AFD) и Turbo Debugger, а также программы, работающие с оперативной памятью (Debug, Peck Poke Resident), и некоторые другие.

1.6.3. Преодоление парольной защиты

Один из наиболее распространенных способов разграничения доступа к ресурсам вычислительных систем — введение паролей. В целом это достаточно надежный способ защиты, однако необходимо представлять его возможности и основные способы преодоления, чтобы уберечь себя от неприятных последствий.

Так, в любом персональном компьютере можно условно выделить три вида паролей:

>• пароли, хранящиеся в CMOS-памяти;

>• пароли операционной системы;

>• пароли, по которым осуществляется аутентификация пользователей в специально установленной системе защиты.

Рассмотрим способы преодоления каждого вида в отдельности.

Снятие паролей, хранящихся в CMOS-памяти

CMOS — это аббревиатура английских слов complementary metal oxide semiconductor. To есть в качестве названия вида памяти взято просто наименование материала, из которого изготавливается соответствующая микросхема. В ней записывается вся необходимая информация для загрузки компьютера, в том числе и пароли. Еще -их называют «паролями BIOS» по названию микросхем, контролирующих операции ввода — вывода.

Доступ к установкам CMOS осуществляется нажатием во время теста памяти (при загрузке компьютера) одной из следующих комбинаций клавиш:

Del;

Esc;

Ctrl + Alt + Enter;

Ctrl + Alt + Esc.

При этом на экран выводится меню установок CMOS, среди которых присутствуют два раздела:

SUPERVISOR PASSWORD (пароль диспетчера);

USER PASSWORD (пароль пользователя).

Владелец первого пароля может осуществлять как загрузку операционной системы, так и изменение опций в меню «Установки BIOS»; человек, знакомый только со вторым паролем, может осуществлять загрузку операционной системы и только входить в меню «Установки BIOS» для изменения раздела «User Password».

Однако надежность такой парольной защиты является кажущейся. Существуют как минимум два довольно простых метода ее преодоления.

Первый основан на том, что CMOS-память не может работать без питания от батарейки, установленной внутри системного блока. Таким образом, если, отключив от сети компьютер и вскрыв системный блок, извлечь батарейку, то в памяти исчезнет информация о типе жестких дисков, числе и емкости флоппи-дисков, размере оперативной памяти и т. д., в том числе исчезнет информация и о хранящихся паролях. Положение батарейки CMOS может быть различным в разных компьютерах, но найти ее несложно по характерному внешнему виду: плоская маленькая в виде таблетки либо кассета из нескольких пальчиковых батареек.

После извлечения батарейку можно тут же поставить на место — память очищена. Затем необходимо закрыть системный блок и включить компьютер. На этапе тестирования памяти