Контроль изменений каталогов и файлов

С целью скрыть свое присутствие в атакованной системе злоумышленники часто подменяют или изменяют различные программы, чтобы новые про­граммы осуществляли те же функции за исключением тех, которые бы по­зволили обнаружить злоумышленников. Некоторые программы после таких изменений выполняют некоторые другие действия, отличающиеся от тех, которые были заложены разработчиком.

Изменение программы главного конвейера ВАЗа

В августе 1983 г. один из программистов ВАЗ (г. Тольятти), обидевшись на ре­зультаты его аттестации руководством, изменил фрагмент программы для сис­темы автоматической подачи узлов на главный сборочный конвейер завода. Это повлекло за собой три сбоя, в результате которых общее время простоя конвейера составило более 6 часов. Материальный ущерб был оценен в сумму около 1 млн. руб. Особенность данного случая в том, что саботажника не смог­ли привлечь к ответственности за компьютерные преступления, поскольку в то время не существовало соответствующих статей в Уголовном Кодексе РСФСР. Суду удалось вынести злоумышленнику лишь условный приговор за "умыш­ленное повреждение государственного имущества" с уплатой штрафа (ст. 98 ч. 2 УК РСФСР) [Курушин 1-98, Вехов 1-96].

Кроме того, злоумышленники часто модифицируют журналы регистрации, чтобы удалить из них записи, содержащие информацию о несанкциониро­ванном поведений.

Атака на ГРКЦ Банка России по г. Москве

8 1993 г. при помощи несанкционированного внесения фальшивых записей в базу данных программного обеспечения "Операционный день РКЦ" ГРКЦ ЦБРФ по г. Москве была осуществлена попытка перечисления 68 млрд. 309 млн. 768 тыс. рублей на счета восьми московских коммерческих банков. По чистой случайности эти деньги удалось вернуть. Для сокрытия факта незаконного перевода денежных средств данные суммы в течение нескольких часов "перёкидывались" между различными счетами клиентов ГРКЦ. Кроме того, информация о проводках совершенных сделок была умышленно стерта из информационной системы [Курушин 1-98, Вехов 1-96].

Также злоумышленники могут записать на ваш диск новые файлы, например, программы, позволяющие обойти существующие механизмы разграничения доступа. Но не только программы, а и файлы пользователей очень часто являются целью атакующих. Доступ к ним может привести к раскрытию конфиденциальной информации или изменению реквизитов получателя в счете, сформированном пользователем.

Встречались случаи, когда злоумышленники направляли свой интерес на об­щедоступную информацию, например, серверы Internet. На рис. 5.2 и рис. 5.3 показаны результаты такого повышенного внимания. Достаточно любопытен первый пример — взлом российского информационного агентства Lenta.ru. Как видно из рисунка: на заглавной странице этот сервера было размещено объявление о поиске работы в области информационной безопасности.

Первый взлом WAP-сервера

По сообщению Росбизнесконсалтинга от 29.05.2000 злоумышленники обошли систему безопасности сервера, работающего по технологии WAP (Wireless Ap­plication Protocol), — wappi.com, и произвели подмену главной страницы. Тех владельцев мобильных телефонов Nokia, которые пытались подключиться к этому серверу после хакерского вторжения, вместо традиционного приветствия на итальянском языке (сервер принадлежит итальянскому оператору мобиль­ной связи), встречала надпись: "Первый WAP-взлом. Взломал De Meesterver-valser. Голландская угроза все еще жива".

Можно пойти дальше контроля изменений файлов и каталогов. В некоторых случаях полезно контролировать и конкретные поля файлов. Например, не плохо отслеживать целостность полей баз данных или ключей системного реестра. Многие несанкционированные программы (особенно "троянские кони") используют различные элементы системного реестра для своего автоматического запуска в процессе загрузки операционной системы [Казеннов 1-00].

q HKEY_LOCAL_MACHlNE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion\ Run.

q HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Wmdows \ CurrentVersion \ RunServices.

q HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ RunQnee.

q HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ RunServicesOnce.

q HKEY_USERS \ DEFAULT \ SOFTWARE \ Mcrosoft \ Windows \ CurrentVersion \ Run.

q HKEY_CURRENT_USER \ SOFTWARE \ Micгosoft \ Windows \ CurrentVersion \ Run.

q HKEY_CURRENT_USER \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ RunServices.

q HKEY_CURRENT_USER \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ RunOnce.

q HKEY_CURRENT_USER \ SOFTWARE \ Microsoft \ Windows \ Current Version \ RunServicesOnce.

q HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ RunOnceEx.

Чтобы снизить вероятность инсталляции "троянских коней", необходимо запретить им прописывать себя в системный реестр. Это можно сделать пу­тем изменения прав, предоставляемых по умолчанию, с помощью утилиты RegEdt32, входящей в состав ОС Windows NT (рис. 5.4).