В условиях современного ведения бизнеса информационные системы переходят в разряд обязательного обеспечения оперативной деятельности компании. Это справедливо как для транснациональной корпорации с набором из ERP, CRM, СЭД, средств бизнес-аналитики и финансовой консолидации и т.п., так и для малого предприятия с системой автоматизации бухучёта и интернет-магазином. Последствия утечки коммерческой информации, утраты её целостности и (или) доступности в обоих случаях ударят по бизнесу владельца информационной системы. Несомненно, масштаб нанесённого ущерба при этом будет различаться на порядки, но суть при этом останется одной и той же – удар по информационной системе предприятия означает удар по бизнесу этого предприятия. В данном контексте вопросы информационной безопасности компании приобретают особую важность и практически вплотную смыкаются с вопросами безопасности промышленной и экономической.

Перечни и классификация типовых угроз информационной безопасности выполнены достаточно давно и, как правило, стандартизованы. В качестве примеров можно привести Базовую модель угроз безопасности ФСТЭК [1] и Рекомендации в области стандартизации Банка России [2]. Есть также классификации, сформированные ведущими исследователями в данной области [3] или международными организациями, занимающимися расследованием компьютерных преступлений [4].

Нами на базе модели ФСТЭК была разработана обобщённая модель угроз безопасности, адаптированная к специфике корпоративных информационных систем (см. приложение к настоящей статье). На её основе строятся конкретные модели угроз в рамках проектов внедрения бизнес-приложений.

В соответствии с указанной моделью угроза несанкционированного доступа к информационной системе (как наиболее очевидная и прямая) может быть реализована при помощи таких способов как перехват пароля, подбор пароля, компрометация пароля, перехват пользовательской сессии, прямой доступ к базе данных и использование программных уязвимостей. Соответственно, чтобы обеспечить «защиту периметра» информационной системы, необходимо принять меры по предотвращению угрозы несанкционированного доступа, реализуемую перечисленными методами. Это, во-первых, позволит уйти от ситуации, когда экран ввода имени и пароля является «калиткой в отрытом поле», а, во-вторых, даст возможность эффективно использовать средства аудита, анализа и мониторинга защищённости информационных систем, DLP-системы и т.п. Без такой защиты периметра применение практически любых средств защиты информации (за исключением средств шифрования), почти не имеет смысла.

Рассмотрим перечисленные выше способы реализации угрозы несанкционированного доступа немного подробнее.

Компрометация пароля. Компрометация пароля, т.е. утрата его секретности, является в большей степени внутренней угрозой, чем внешней, так как её причиной всегда является неосторожность обладателя пароля (зачастую в нарушение установленных правил и регламентов).

Пароль может быть скомпрометирован, в частности, если будет записан пользователем и оставлен в месте, доступном для третьих лиц (например, в незапертом ящике стола, на столе или мониторе компьютера).

Возможно и намеренное разглашение пароля пользователем, например, при уходе в отпуск или в ситуации, когда сотрудник вне офиса и необходимо срочно исправить или распечатать важный документ.

Существует также вариант компрометации пароля «по определению» – когда правила формирования паролей очевидны, например, соответствуют номеру кабинета, номеру рабочего места пользователя и т.п.

Злоумышленник, не являющийся обладателем пароля, может добиться его компрометации, например, подсмотрев его «из-за плеча» или воспользовавшись скрытой камерой, либо используя методы «социальной инженерии» (скажем, представившись аудитором стойкости паролей из подразделения ИБ).

Технических средств для предотвращения или выявления факта компрометации пароля практически не существует. Административно же можно лишь сократить общее время действия паролей (но оно определяется в днях или неделях, а для несанкционированного доступа достаточно минут или часов) и усилить наказание за несоблюдение мер безопасности при обращении с паролями и за их преднамеренное разглашение.

Подбор пароля. Для подбора пароля часто используются такие методы как исчерпывающий перебор, перебор по словарю, перебор вариантов написания пароля, генерация паролей по известным правилам. Для этого существуют специализированные программы, например, THC-Hydra, Bruter, Medusa, универсальные средства взлома парольной защиты типа Cain & Abel и даже программные библиотеки для создания собственных «взломщиков», например Password Cracking Library.

Подбор пароля может также осуществляться восстановлением по известной хэш-сумме, для чего может использоваться как классический John the Ripper или oclHashcat, так и программы  Ophcrack и  RainbowCrack, использующие «радужные таблицы». 

Применяемые способы противодействия перебору вариантов пароля, – ограничение числа попыток ввода и принудительный контроль устойчивости пароля к угадыванию, – зачастую дают отрицательный результат.  В частности, пользователи, набирающие по невнимательности свой пароль не в той клавиатурной раскладке или с зафиксированной клавишей Caps Lock, часто блокируются системой и принуждаются к придумыванию нового пароля. Это, вкупе с требованиями типа «не менее трёх букв в нижнем регистре, не менее одной буквы в верхнем регистре, не менее одной цифры», как правило, приводит к записи «стойкого» пароля в блокноте, в электронной почте, на мобильном устройстве, на обратной стороне клавиатуры или вообще на «стикере», приклеенном к монитору.

Способы борьбы с восстановлением паролей по их хэш-суммам сводятся к использованию более стойких хэш-функций и (или) «соли» (что требует изменения ядра системы и происходит редко, а также требует новых стойких хэш-функций, число которых невелико) и более жёсткому ограничению доступа к  файлам с таблицами хэш-сумм, что кардинально ситуацию не меняет.

Перехват пароля. Пароль можно перехватить (похитить), в частности, во время его ввода с клавиатуры, в процессе обработки в оперативной памяти или при передаче по сети на сервер [5].

Перехват вводимого с клавиатуры пароля осуществляется при помощи так называемых «клавиатурных шпионов», которые злоумышленник может тайно установить на компьютер жертвы или встроить в «троянского коня». При попадании на ПК пользователя корпоративной информационной системы «клавиатурный шпион» будет перехватывать все вводимые пользователем логины и пароли, а также, возможно, и другие данные, вводимые пользователем в систему, и, так или иначе, передавать их злоумышленнику.

Перехват пароля при его обработке в оперативной памяти компьютера выполняется при помощи специализированных программ, например NtPassDump или Process Memory Dumper. Аналогичной функциональностью может обладать и «троянский конь», «вирус», «червь» и т.п.

Перехват передаваемого по сети пароля осуществляется при помощи «снифферов» общего назначения или специализированных утилит. При помощи этих программ можно перехватывать и передаваемую с сервера / на сервер конфиденциальную информацию.

Очевидно, что вводимый пользователем пароль может быть достаточно легко перехвачен по крайней мере тремя разными способами, причём применение антивирусных программ и (или) виртуальной клавиатуры не даёт защиты от перехвата пароля в оперативной памяти и при его передаче по сети.

Перехват пользовательской сессии. В отличие от перехвата пароля перехват пользовательской сессии может быть осуществлён только на уровне обмена данными с сервером по сети. Он может быть реализован с использованием как аппаратных (на канальном уровне OSI), так и программных (на сетевом уровне) средств.

Введённые добросовестным пользователем имя и пароль (а также другие необходимые для связи с системой параметры) перехватываются и подставляются в параметры рабочей сессии с корпоративной системой, инициируемой злоумышленником. Сессия добросовестного пользователя в это время блокируется с выдачей сообщения об ошибке соединения, неправильном вводе пароля и т.п. При этом параллельно может осуществляться и сохранение имени пользователя и пароля с их передачей злоумышленнику, т.е. перехват пароля.

Для сокращения риска перехвата пользовательской сессии часто используется шифрование трафика