Что такое IT-технологии (или информационные технологии)? Это любые технологии, используемые для сбора информации, её обработки, хранения и распределения. До широкого распространения персональных компьютеров и компьютерных сетей вопросы безопасности хоть и существовали, но решались, прежде всего, методами ограничения физического доступа, и так остро как сейчас не стояли. В XXI веке при использовании компьютеров и компьютерных сетей, вопросы обеспечения безопасности стали настоящей проблемой, и именно с неё мы и начнем наш курс статей.

Итак, начнем с азов, с обеспечения элементарной безопасности нашего персонального компьютера. Почему он персональный? Потому, что именно вы, его хозяин, персонально его используете. А так ли это? Предположим, что вы не подключены к какой-либо локальной компьютерной сети, ваш компьютер установлен дома, и вы иногда пользуетесь услугами глобальной сети Интернет. Несомненно, ваш компьютер, как огнестрельное оружие, к примеру, хранится в сейфе под замком. Нет? Просто стоит, или лежит, что в принципе не важно. Для того, что бы быть уверенным, что ваш компьютер действительно персональный, имеет смысл ограничить доступ к работе с ним исключительно вами и возможно кем-то еще, кому вы можете доверять. Наиболее простой способ – это закрыть доступ к вашей учетной записи паролем. Так ли это на самом деле просто? И нужно ли? Вот это мы сейчас и обсудим.

С паролем или без – вот в чем вопрос?

Практически в любом персональном компьютере найдется нечто, что может быть использовано кем-то со злым умыслом. Зачастую мы даже не задумываемся о ценности хранящейся в нашем ПК информации, что нередко приводит к возникновению совершенно неожиданных проблем. Ваш ЛЧ совершенно «случайно» увидел историю вашей переписки, или даже просто список ваших посещений веб-сайтов. Занимательные рассказы на эту тему имеются в наличии на http://www.chatru. com. И для этого совсем не нужно быть хакером, достаточно взглянуть на ссылки, оставшиеся в Интернет-браузере. Знакомый попросил отправить почту, и совершенно «случайно» заметил ваши личные фотографии. Родители совершенно «случайно» обнаружили, что вместо подготовки курсовой, вы на самом деле делаете за компьютером. Ваши дети тоже «совершенно неожиданно» могут обнаружить много хоть и познавательного, однако, не всегда своевременного материала. Еще хуже, если доступ к вашему компьютеру получат посторонние люди. Однако хватит лирики.

Попробуем разобраться в понятиях. Что именно надо закрывать паролем в нашем случае? Рассмотрим на примере компьютера с операционной системой (ОС) Windows XP, пока наиболее распространенной в среде персональных компьютеров (ПК). При установке ОС на ПК создается учетная запись пользователя. Именно её нам и придется закрыть паролем. Нет-нет, я совсем не считаю, что это статья написана для аборигенов с Амазонки, все эти подробности неспроста.

Вот тут лучше я расскажу об одном случае из моей практики. Однажды ко мне обратился знакомый с просьбой получить доступ к компьютеру, который оставил в офисе сотрудник компании, скрывшийся в неизвестном направлении. Компьютер был открыт мною в течение 10-ти секунд. Восхищенный знакомый едко пошутил: «Так я и знал, все вы русские – хакеры, никуда от вас не спасешься». Мне понадобилось некоторое время, на объяснение, что для этого не понадобилось практически ничего. По моим наблюдениям, более половины компьютеров можно открыть тем же способом. В чем секрет? Секрет для обычного пользователя, на самом деле знают все, кто занимается компьютерами профессионально. При установке ОС на ПК создается две учетные записи – пользователя и Администратора компьютера. При этом вторая очень часто паролем не закрывается вообще. В этой статье мы не будем рассматривать вопросы сетевой безопасности, мы это сделаем позже. В большинстве ПК, не являющихся частью доменной сети с Win XP, для входа в компьютер используется специальное окно входа с учетными записями. В этом окне вы не сможете воспользоваться учетной записью Администратора, но быстро дважды нажав хорошо известную комбинацию клавиш CTR+Alt+Del, мы попадаем в окно входа, в котором вы уже можете набрать заветное Administrator в поле пользователь (User) нажать клавишу Ввод (Enter) и.… Вот вам наши поздравления – вы хакер! Теперь можно изменить пароль к учетной записи пользователя и войти, как ни в чем не бывало.

Так много букв только для того, чтобы вы поняли, что совсем необязательно быть хакером для взлома вашего или любого другого персонального компьютера. Не забудьте в своем ПК закрыть паролем не только учетную запись пользователя, но и учетную запись Администратора. Сразу предупрежу, подумайте хорошо, если у вас в голове уже проносятся мысли, проверить это на чужом компьютере – это уголовно наказуемо!

О хакерстве и социальной инженерии

Теперь ближе к телу компьютера. Как создать надежный пароль? Для начала опять немного о надежности. Существует достаточно много способов избавить ваш компьютер от персональности. Обсудим два наиболее распространенных. Считается, что Кевин Дэвид Митник (Kevin David Mitnick) является родоначальником хакерства как явления, несмотря на то, что фактически им не является. Вначале со своей подругой он специализировался на взломе телефонных сетей AT&T, развлекаясь бесплатными международными звонками. Эту идею он позаимствовал у своего одаренного приятеля. Затем, не без помощи того же приятеля, занялся компьютерными сетями. Позднее Митник написал книгу, посвященную социальной инженерии в сфере безопасности информационных технологий, и на сегодняшний день является специалистом по безопасности. Что же такое социальная инженерия?

Социальная инженерия – это метод (атак) несанкционированного доступа к информации или системам ее хранения без использования технических средств. Метод основан на использовании слабостей человеческого фактора, и считается очень разрушительным. Злоумышленник получает информацию, например, путем сбора информации о сотрудниках предполагаемого объекта атаки, с помощью обычного телефонного звонка или путем проникновения в организацию под видом ее служащего. Злоумышленник может позвонить работнику компании (под видом технической службы) и выведать пароль, сославшись на необходимость решения небольшой проблемы в компьютерной системе. Очень часто этот трюк проходит. Самое сильное оружие в этом случае – приятный голос и актерские способности. Злоумышленник под видом служащего компании звонит в службу технической поддержки. Представившись именем служащего, он просит напомнить ему свой пароль, либо меняет его на новый, сославшись на забывчивость. Имена сотрудников той или иной компании удается узнать после череды звонков и изучения имен руководителей на сайте компании или в других источниках открытой информации (отчетах, рекламе и т.п.). Дальше дело техники. Используя реальные имена в разговоре со службой технической поддержки, злоумышленник рассказывает придуманную историю, что не может попасть на важное совещание на сайте со своей учетной записью удаленного доступа. Другими вспомогательными средствами данного метода являются исследование мусора организаций, виртуальных мусорных корзин, кражи портативных компьютеров или носителей информации. Данный метод используется, когда злоумышленник наметил в качестве жертвы конкретную компанию.

Процитируем часть из книги Кевина Митника «Искусство обмана»

Человеческий фактор

«Не так давно, давая показания перед Конгрессом, я объяснял, что часто я получал пароли и другие кусочки секретной информации компаний, просто притворяясь кем-нибудь и спрашивая о них. Почему? Потому что человеческий фактор по-настоящему самое слабое звено в безопасности.

Безопасность слишком часто – просто иллюзия, и иногда иллюзия может быть даже хуже легковерия, наивности или невежества. Самый знаменитый в мире учёный XX века Альберт Эйнштейн говорил: «Можно быть уверенным только в двух вещах: существовании Вселенной и человеческой глупости, и я не совсем уверен насчет первой». В конце концов, атаки социальных инженеров успешны, когда люди глупы или, что гораздо чаще, просто неосведомлены о хороших мерах безопасности. Аналогично нашему домовладельцу, многие профессионалы в информационных технологиях придерживаются неправильных представлений, будто они сделали свои компании в значительной степени неуязвимыми к атакам, потому что они используют стандартные продукты по безопасности: файрволлы, системы для обнаружения вторжений (IDS) или серьёзные устройства для аутентификации, такие как биометрические смарт-карты или time-based tokens. Любой, кто думает, что одни только эти продукты по безопасности предоставляют достаточную защиту, соглашается на иллюзию защиты. Это как жить в мире фантазий – неизбежно, рано или поздно он столкнется с инцидентом, связанным с безопасностью. Как заметил консультант по безопасности Брюс Шнайер: «Безопасность – это не продукт, это процесс». Кроме того, безопасность – это не технологическая проблема, это проблема людей и управления».

Зачем мы приводим эти примеры? Просто помните, что невзламываемых паролей не может быть в принципе, но это совсем не значит, что их не надо использовать.

Предупрежден, значит вооружен

Опыт социальной инженерии сейчас используется и в технических способах взлома компьютеров. Программы-взламыватели, к которым можно отнести и многие типы вирусов, используют простые человеческие факторы. Первое, что сделает программа для взлома, это проверит самые простые комбинации, например – не совпадает ли пароль с именем пользователя, проверит многие даты, и простые, «любимые» комбинации клавиш, такие как 111, 123, 123321 qqq, qwerty, asdf, qqqaaazzz и им подобные. На это уходит не более нескольких минут. Совершенно очевидно, что и программы для взлома паролей и так называемые «компьютерные вирусы» создают люди, которые тоже знакомы с методами социальной инженерии. Они осведомлены о том, что мы (люди разумные) любим животных, сморим телесериалы, как правило, имеем любимых персонажей в сказках, мультфильмах, имеем какое-то хобби, увлекаемся спортом и имеем много других привычек и слабостей. Оставим лирику и перейдем к конкретике. Выведем несколько правил, исходя из сегодняшних реалий и опыта.

1. Лучше совсем никакого пароля, чем слишком простой пароль! Доступ к учетной записи по сети к компьютеру под ОС Windows XP или Vista запрещен по умолчанию, и если к нему нет физического доступа посторонними, это даже лучше чем пароль.
2. Пароль должен быть быстро набираемым и запоминаемым. Нет смысла в пароле, который нельзя запомнить. Пароли лучше не хранить в самом компьютере, даже с использованием специальных программ. Пароль, тем не менее, имеет смысл записать, и хранить в надежном месте, доступ к которому контролируете только вы. Это поможет вам чувствовать себя комфортнее при использовании сложных паролей.
3. Размер имеет значение! И в данном случае очень большое. Например, пароль из семи символов с использованием всех возможных символов и регистров, нечто вроде P@$w0rD имеет около восьми миллиардов вариантов. Пароль, состоящий из десяти символов только нижнего регистра, имеет около 140 триллионов вариантов, а 25-символьный пароль, созданный только из букв нижнего регистра, имеет 26 в 25 степени (или 236,773,830,007,968,000,000,000,000,000,000,000) возможных комбинаций. Очевидно, лучше создавать более длинные пароли.
4. Неразумно закрывать одинаковыми паролями все. Даже если выбранный вами пароль очень сложный. В случае получения к нему доступа злоумышленник получает над вами полный контроль. Если вы забудете пароль, то забудете всё. Разумнее создать некое правило составления паролей. Кроме того, стоит менять пароль, примерно раз в 3 месяца.

Основная цель этой статьи – дать информацию к размышлению. Вопросы безопасности в сфере IT, сегодня один из наиболее важных моментов в обеспечении дальнейшего развития этой области. В наших следующих статьях на эту тему мы постараемся осветить наиболее важные моменты, такие как борьба с вирусами, сетевая безопасность, безопасное ПО и др. Более подробные рекомендации с примерами можно посмотреть, например на http://www.microsoft.com/rus/protect/yourself/ password/create.mspx.

Текст: Александр Ломадзе, управляющий директор компании World Business Network LLC, Dubai, тел: 04 2865556