Описание автоматизированной системы и инсайдера
Инсайдер — непривилегированный рядовой сотрудник, имеющий штатный доступ к автоматизированной системе. Сотрудник-инсайдер некоторым образом (финансово, идейно или др.) мотивирован на нарушение режима защиты конфиденциальности информации, к которой он имеет доступ. Однако инсайдер не является «камикадзе», которому надо любой ценой вынести конфиденциальную информацию только один раз. Инсайдер нацелен на максимально длительный процесс по раскрытию конфиденциальной информации, обрабатываемой в автоматизированной системе, оставаясь при этом не обнаруженным службой безопасности.
Автоматизированные системы, условно, разделим на две категории:
- имеется подключение к внешним сетям связи (доступ в Интернет, электронная почта или др.);
- система изолирована и не имеет физического соединения с другими сетями.
В автоматизированной системе применяется широкий спектр средств для обеспечения конфиденциальности информации:
- DLP система;
- подключение носителей информации к рабочим станциям и передача информации журналируется или запрещены;
- всё, что отправляется на печать также журналируется;
- исключена возможность несанкционированного подключения к каналам связи или к сетевому оборудованию;
- сотрудники не остаются надолго по одному;
- перечень установленного программного обеспечения контролируется, самостоятельно изменять или устанавливать программное обеспечение сотрудники не могут.
Пути утечки, перекрытые техническими и организационными мерами
Инсайдер не может незаметно скопировать конфиденциальный документ на внешний носитель, распечатать или передать его по штатным каналам, таким как электронная почта, ftp, обмен сообщениями или файлами через внешний сервер. Попытки передать по тем же каналам или распечатать документ или файл, который система DLP не может распознать, блокируются и вызывают пристальное внимание службы безопасности.
Инсайдер, т. к. не остаётся один надолго, не может переписывать данные вручную, надиктовывать данные вслух на диктофон или использовать фотоаппарат (даже встроенный в телефон) для фиксации информации, отображаемой на экране.
Уловки инсайдера в системе, имеющей подключения к внешним сетям
Чтобы обмануть систему DLP инсайдер может использовать методы стеганографии1. Как ни странно, но современные DLP системы могут пропускать данные, защищенные элементарными методами.
Рассмотрим простой пример. Инсайдер запаковывает архиватором открытый документ, который не вызывает никаких подозрений, получает архив 1.7z. Дописывает в конец полученного архива ещё несколько файлов, это вручную может проделать каждый, выбрав копирование файлов с параметром «дописать в конец». Полученный файл является склейкой нескольких файлов, первый из которых является архивом с легитимным содержанием, а остальные «нагрузка». Зная о подобной склейке, разделить её не сложно, ориентируясь по заголовкам и форматам файлов. Все используемые инсайдером типы файлов (документы, таблицы, изображения, исполняемые) имеют характерные заголовки и структуру, к тому же при выделении исходных данных из склейки злоумышленники не ограничены в использовании специальных программ.
Результат проверки такого слоёного пирога на ресурсе virustotal.com2:
Изначальный архив занимает менее 10% объёма, полученного после присоединения нескольких файлов различного типа.
На практике подобное объединение, без потери функционала первоначального файла, допускают многие форматы, в т.ч. графические. Так могут уходить письма, где к картинке с поздравлением прикреплен PrintScreen с рабочего компьютера с важной информацией. Если инсайдер применит элементы социальной инженерии, то подобные склеенные файлы будут отправлять не он сам, а коллеги, которые массово рассылают развлекательные картинки знакомым.
Возможно применение более сложной техники обхода средств контроля, например, DNS туннелирование, описанное в статье «Анализ DNS трафика как инструмент ИБ». Существуют методики SMTP туннелирования. Однако для успешного применения сложных методов стеганографии или туннелирования трафика, обычно, необходимо специальное программное обеспечение.
Методом объединения нескольких файлов инсайдеру может быть передано специальное программное обеспечение. В простейшем случае инсайдер получает письмо с изображением. Размер файла 5 200 000 байт, картинка занимает первые 200 000 байт, остальные — архив с программной, конкретные размеры инсайдеру известны. Отделить первые 200 000 байт можно несколькими способами:
- разбить полученный файл на части по 200 000 байт с помощью файлового менеджера, а потом объединить нужные;
- написать простой скрипт на VBA или другом интерпретируемом языке, который может быть выполнен на компьютере.
Полученному файлу в 5 000 000 байт присваивается необходимое расширение и далее штатно обрабатывается архиватором.
Уловки инсайдера в изолированной автоматизированной системе
В изолированной системе, где нет подключения к внешним сетям и, для определенности, отсутствует возможность подключения внешних носителей информации, у инсайдера остаются методы для хищения конфиденциальных данных.
Злоумышленники могут подготовить для инсайдера специальные технические средства, с помощью которых будет осуществляться запись и вынос данных. Пример такого средства — переходник для кабеля монитора, который ведет запись сигналов и позволяет позже просматривать всё, что просматривал инсайдер. Помимо сложности изготовления такого устройства, необходимо проводить манипуляции с кабелем монитора, что может привлечь внимание. Устройства для скрытого съёма полезного сигнала без непосредственного подключения к линии не рассматриваются как очень сложные и дорогостоящие.
Существует метод, достаточно проработанный в теоретическом плане и имеющий практические реализации. Идея проста и становится очевидной, если вспомнить носители информации в период, когда были распространены компьютеры ZX Spectrum. При описании не будет приводиться программный код, т. к. моделирование атаки с помощью этого метода является одной из тем курсовых работ на кафедре Компьютерной безопасности и математических методов управления ТвГУ.
Инсайдер проносит с собой не вызывающее подозрений устройство с функцией диктофона, это может быть сотовый телефон или плеер. Диктофон подключается к аудио выходу на рабочем компьютере, это, обычно, не вызывает подозрений т. к. кабель может быть замаскирован под наушники, а аудио порты не рассматриваются как источник потенциальной утечки. С помощью специальной программы (кодер) двоичные данные модулируются в звуковой сигнал, который записывается на диктофон. За пределами автоматизированной системы злоумышленники другой специальной программой (декодер) восстанавливают исходные данные из записи, полученной от инсайдера.
Откуда же на рабочем компьютере в изолированной автоматизированной системе появится программа кодер? Примитивную программу можно «набрать с листа», т. е. инсайдер набирает скрипт на VBA или другом интерпретируемом языке, который может быть выполнен на компьютере с листа бумаги, после чего лист уничтожает. Это, казалось бы, накладывает сильные ограничения на размер и сложность скрипта, но скрипт может быть набран в несколько приёмов и скрытно храниться в виде склейки с некоторым легальным файлом, а значит ограничения смягчаются. Программа, для улучшения качества передачи, может использовать различные типы кодирования информации, а также коды контроля или восстановления ошибок, такие как контроль чётности или код Рида-СоломонаБыгзЮ3Б.. Программа декодер функционирует за пределами автоматизированной системы и значит ограничений на неё не накладывается.
Системы DLP не контролируют аудио канал, если нет подозрений об использовании IP-телефонии, например, Skype. В изолированной автоматизированной системе Skype не актуален, а аудио порты, обычно, не защищаются. Скрипт VBA, функционирующий в офисном документе, трудно обнаружить.
Рекомендации
- Жесткий, можно сказать, «параноидальный» контроль форматов передаваемых файлов и данных.
- Исключить возможность подключения к компонентам автоматизированной системы для получения информационного сигнала. Кабели или разъёмы должны быть защищены от несанкционированных подключений или результат несанкционированного подключения должен быть легко выявляем.
- Периодические проверки по выявлению программного кода, не относящегося к автоматизированной системе.
Об авторе Никонов В.В.- преподаватель, к. ф.-м. н., Тверской государственный университет, математический факультет.
Материал взят на портале Sec.ru
http://daily.sec.ru/publication.cfm?pid=36485