вторник, 16 марта 2010 г.

пересказ к 18.03

http://www.intuit.ru/department/security/secbasics/hacker-chase/

Проблемы информационной безопасности, разумеется, существуют не только в компьютерном, виртуальном, но и в реальном, "физическом" мире (хотя, конечно, там они не носят столь масштабный, всепроникающий характер). Любопытно и, на наш взгляд, весьма поучительно сопоставлять действия, приемы и методы компьютерных хакеров и "физических" мошенников, а также тех, кто оказывается объектом их атак.

В романе Джеймса Хедли Чейза (James Hadley Chase) - "Все дело в деньгах" ("What's better than money?") события происходят в конце 1950-х годов. (Заметим в скобках, что уже тогда компьютеризация производственных процессов достигла весьма высокого уровня. Несомненным лидером среди производителей ЭВМ была корпорация IBM, большие машины которой управляли, например, работой сборочных конвейеров крупнейших автозаводов, что уже в то время давало возможность осуществлять конвейерную сборку автомобилей по индивидуальным заказам, в индивидуальной комплектации.) Главный герой романа - Джефф Холлидей. Его шантажирует женщина по имени Рима Маршалл.

Слово - Дж. Х. Чейзу и его персонажам.

Она улыбнулась мне, и от ее улыбки у меня все похолодело внутри.

- Я знаю, что ты задумал, Джефф. ... Ты ведь решил убить меня, не так ли, Джефф? ... На этот случай у меня есть меры предосторожности. - Она швырнула мне на колени клочок бумаги. - Будешь переводить мне деньги на этот счет. Это счет в банке "Пасифик энд Юнион" в Лос-Анджелесе. Это не мой банк, но у них есть указание переводить деньги на другой счет, и ты никогда не узнаешь, куда именно. Я не оставлю тебе никаких шансов. Ты никогда не сможешь узнать, куда мне переводят деньги и где я буду жить. Так что не надейся, что сможешь убить меня, Джефф, потому что после этой встречи ты никогда меня больше не увидишь.

Я с трудом поборол отчаянное желание схватить ее за горло и задушить прямо здесь.

- Я смотрю, ты обо всем позаботилась?

- Думаю, что да. ... Я ухожу.

Если она сейчас уходит, мне надо пойти за ней. Если потеряю ее из виду, не смогу больше найти. ...

Жирный итальянец снова появился на пороге своей каморки, на этот раз в сопровождении двух очень подозрительных личностей, и они встали возле выхода.

- Я попросила этих ребят задержать тебя здесь, пока я исчезну, - сказала Рима. - На твоем месте я бы не стала с ними связываться. Они ребята крепкие. ...

Рима вышла из отеля, быстро сошла по ступенькам и исчезла в темноте.

Процитированный фрагмент богат любопытными моментами. Главный герой хотел бы разделаться с шантажисткой, но та, даром что наркоманка и вообще женщина легкого поведения, применила анонимизатор, чтобы Холлидей не смог ее найти. Дополнительным защитным рубежом, предназначенным для того, чтобы на некоторое время задержать атакующего, послужили меры физической защиты.

Итак, перед героем встала задача найти Риму Маршалл (подчеркнем - с двумя "л" в конце фамилии) по косвенной ссылке - номеру промежуточного банковского счета. Для ее решения в условиях отсутствия сетевой связности Холлидею пришлось физически добираться до банка.

Самолет приземлился в аэропорту Лос-Анджелеса около часа дня. Я взял такси и поехал в банк "Пасифик энд Юнион".

В последние две недели каждую свободную минутку я напрягал свой мозг, пытаясь придумать, как разузнать адрес второго банка, куда Риме пересылали деньги. Ясно, что в "Пасифик энд Юнион" он есть, и я должен был разузнать, где могут содержаться эти данные.

Расплатившись с таксистом я вышел и с облегчением увидел, что банк довольно крупный; ведь я боялся, что он окажется небольшим отделением с маленьким штатом сотрудников, которые легко запомнят меня.

... В глубине офисного помещения сидели клерки, занятые работой с калькуляторами, копировальными аппаратами и тому подобным. Еще дальше находились специальные кабинки для служащих банка.

Я встал в конец небольшой очереди, предварительно взяв со стойки бланк на открытие счета. Вытащил из бумажника десять пятидолларовых купюр. Через несколько минут я был уже вторым и, облокотившись на стойку, в нужных местах написал на бланке большими печатными буквами "РИМА МАРШАЛ" и "Оплачено Джоном Гамильтоном".

...

Операционист взглянул на квитанцию, поднял резиновую печать, но вдруг нахмурился.

...

- Боюсь, вы ошиблись, сэр, - сказал он, посмотрев на меня.

Я повернул к нему голову.

- Что значит "ошибся"?

Поколебавшись, он еще раз посмотрел на бланк:

- Сейчас, одну секунду...

Все сработало как нужно. Он взял с собой квитанцию и, отойдя от своего места, быстро прошел вдоль стойки к лестнице, которая вела наверх. Я отошел от стойки, чтобы мне было его видно. Он поднялся по лестнице на галерею, которая шла по всему периметру холла, и подошел к девушке, сидевшей возле большого аппарата, и что-то сказал ей. Она повернулась на крутящемся стуле к большой таблице, которая висела на стене. Она провела пальцем по таблице вниз, мне показалось, по какому-то списку имен, потом повернулась к своему аппарату, нажала кнопку, и через секунду оттуда выскочила карточка, которую она отдала операционисту.

Сердце мое учащенно забилось. Я знал, что это был за аппарат - автоматическая поисковая машина. У каждого клиента банка был свой код, в обмен на который машина выдавала все данные клиента.

Я видел, как операционист внимательно смотрит в карточку, потом на мою квитанцию. Он отдал карточку обратно девушке и заспешил ко мне.

- Вероятно, вкралась какая-то ошибка, сэр, - сообщил он. - У нас нет такого клиента. Вы уверены, что имя написано правильно?

Я подернул плечами:

- Ну, не знаю. Это карточный долг. ... Она дала мне название вашего банка. По-моему, у нее другой банк, и вы просто пересылаете ей туда деньги.

Он пристально посмотрел на меня.

- Все верно, сэр, мы оказываем эту услугу нашим клиентам, но среди них нет дамы с таким именем. Может быть, Рима Маршалл? С двумя "л"?

- Откуда я знаю, - сказал я. - Лучше еще раз уточню. - Потом небрежно, как бы между прочим, я спросил: - Кстати, может быть, вы просто дадите мне ее адрес, и я вышлю ей чек?

Он и глазом не моргнул:

- Если вы пошлете письмо на адрес банка, сэр, можете не сомневаться, что мы немедленно перешлем его ей.

Я знал, что он ответит именно так, но все равно почувствовал разочарование.

Как мы видим, герой задумал осуществить несанкционированный доступ к информационной системе банка с целью раскрытия конфиденциальной информации. Первым этапом операции, как и положено, является разведка. Отслеживание обработки пробного (и заведомо некорректного) запроса позволило определить расположение основных компонентов ИС (этому способствовала физическая открытость инфраструктуры обработки данных) и точно определить цель атаки - автоматическую поисковую машину.

Отметим, что фактором, способствующим сокрытию следов и успеху злоумышленной деятельности, является большой объем регистрационной информации и связанные с этим сложности ее анализа и выявления подозрительной активности (в большом банке не запоминают посетителей и нюансы их поведения).

Обратим внимание на образцовые действия операциониста. Он не дал вовлечь себя в выполнение запроса, запрещенного политикой безопасности, и переадресовал атакующего к соответствующему штатному сервису, сохраняющему анонимность адресата.

После разведки наступает очередь следующей фазы - прямой атаки.

Первый шаг сделан. Теперь я знал, где содержатся данные о клиентах. Оставалось их только достать. Я взял такси и приехал в тихий недорогой отель, снял там комнату и, как только зашел в свой номер, сразу же позвонил в банк "Пасифик энд Юнион". Я попросил, чтобы меня соединили с управляющим.

Когда управляющий взял трубку, я представился Эдвардом Мастерсом и спросил, не можем ли мы встретиться завтра в десять утра. Я сказал, что у меня к нему деловое предложение. Он назначил мне встречу на десять пятнадцать.

Герой применил маскарад - стандартный прием злоумышленников.

В банке я был за минуту до назначенного времени. Меня сразу же провели в кабинет управляющего. ...

Я начал с того, что являюсь представителем крупной строительной фирмы. ... В ближайшее время мы намерены открыть филиал в Лос-Анджелесе. А посему решили открыть счет в "Пасифик энд Юнион". Я намекнул, что у нас весьма солидная фирма с большим оборотом. ... Похоже, я произвел на него впечатление. ...

Все, что в его силах, сказал он, он будет счастлив исполнить. Мне стоит только попросить, и все услуги банка в моем распоряжении.

- Думаю, больше мне пока ничего не понадобится, - сказал я. Помолчав, добавил: - Впрочем, вот еще что. Я заметил, у вас тут очень современное оборудование. Нечто подобное я хочу установить у себя в офисе. К кому мне обратиться? ... В некотором роде наш бизнес сродни вашему. . - Я осторожно приближался к цели визита. - У нас есть клиенты по всей стране. И мы постоянно должны поддерживать с ними связь. Причем приходится все время обновлять данные. Я заметил, у вас есть автоматическая поисковая машина. Похоже, она довольно удобная. Вы сами ею довольны?

Мне повезло. По-видимому, этот агрегат составлял предмет его гордости.

...

- Прошу вас, мистер Мастерс, если она вас заинтересовала, я буду счастлив показать, как она работает. Мы ею очень довольны. Хотите посмотреть машину в действии? ... Я сейчас попрошу мистера Флемминга показать ее вам.

...

Я поднялся. Ноги у меня слегка обмякли. Я уже был на полпути к цели, но впереди маячила вторая половина.

В отличие от операциониста, управляющий поддался на уловку героя, предъявившего поддельный, самоподписанный атрибутный сертификат. Вместо того, чтобы этот сертификат верифицировать, он соблазнился привлекательными для банка значениями атрибутов и делегировал права доступа к поисковой машине.

Девушка, сидевшая за машиной, повернулась на своем стуле и вопросительно посмотрела на нас. Флемминг представил меня, затем, подавшись чуть вперед, начал свой рассказ.

- У нашего банка три тысячи пятьсот клиентов, - говорил он. - Каждому присвоен номер. Список номеров размещен на этом табло.

Он указал на уже известную мне таблицу. Я подошел поближе и принялся ее разглядывать, лихорадочно пробегая по столбцам имен. Наконец нашел имя Римы. Ее номер был 2997.

Мой мозг впитал эти цифры, как никогда еще ничего не впитывал, быстро и жадно.

- После того как мы нашли номер, - продолжал Флемминг, - все, что нам остается, - это набрать его на клавиатуре, и регистрационная карточка немедленно выскакивает вот на этот поднос.

- Объясняете вы понятно, - сказал я. Но как это работает?

Девушка снисходительно улыбнулась мне:

- Поверьте, эта машина работает безотказно.

- Тогда продемонстрируйте нам, - попросил я, улыбнувшись ей в ответ.

- Возьмем первый номер в нашей таблице, - сказал Флемминг. - Р. Айткен. Номер 0001. Мисс Лейкер, дайте нам карточку мистера Айткена.

Девушка повернулась к машине, и пальцы пробежали по клавишам. Машина ожила, загудела и точно выплюнула на поднос карточку.

- Вот так она работает, - сказал Флемминг, улыбаясь счастливой улыбкой.

Я протянул руку:

- Позвольте мне. Я скептик. Может быть, это карточка не мистера Айткена.

По-прежнему улыбаясь во весь рот, он протянул мне карточку. Наверху жирным шрифтом было напечатано имя Айткена.

- Пожалуй, впечатляет. Наверное, действительно имеет смысл платить за нее такие деньги. А можно, я сам попробую набрать номер?

- Конечно, господин Мастерс. Прошу вас.

Я склонился над клавиатурой. Я нажал клавиши, которые сложились в номер 2997. Сердце мое так бешено стучало, что я испугался, как бы Флемминг и девушка не услышали его.

Машина снова загудела. Карточка показалась в металлической щели. Я почувствовал, как у меня на лице выступает пот. Я смотрел на машину не отрываясь и ждал. Наконец карточка оказалась на подносе.

Флемминг и девушка улыбнулись.

- Номер, который вы набрали, принадлежит мисс Риме Маршалл, - провозгласил Флемминг. - Посмотрите сами и убедитесь, что это ее карточка.

Я протянул руку. Вот что я увидел: "Рима Маршалл. Счет. Санта-Барбара. Кредит $10 000".

- Просто чудо. - Я, как мог, старался скрыть дрожь в голосе. - Что ж, большое спасибо. Это как раз то, что мне нужно.

Полчаса спустя я уже мчался в Санта-Барбару на взятой напрокат машине.

Получив физический доступ к поисковой машине, герой выполнил нужный запрос и раскрыл необходимую ему конфиденциальную информацию. Дальше требовалось сделать следующий шаг - пройти по ссылке и найти саму Риму. Холлидей едет в известную всем Санта-Барбару.

Прямо напротив банка располагался небольшой отель. ... Я попросил комнату с видом на улицу. ... Я подошел к окну. Банк был как на ладони. ... Я знал, что не посмею повторить тот же трюк, что использовал в Лос-Анджелесе, дабы взглянуть на ее регистрационную карточку. ... Если я буду сидеть у окна и наблюдать, возможно, мне удастся увидеть, когда она придет в банк, а потом выследить ее.

Но для этого нужно много времени. А я должен быть на работе не позже послезавтрашнего утра. Но может быть, мне повезет, и завтра я увижу ее. Я решил ждать, хотя шансов, что она появится здесь именно завтра, ой как мало.

На следующее утро ... я придвинул стул и сел к окну. ... Я надеялся до последнего. Но когда двери банка закрылись, я впал в такое отчаяние, что готов был перерезать себе горло. ... Похоже, шансов найти Риму до того, как придет срок второго платежа, больше не было.

Весь вечер я лихорадочно пытался придумать какой-нибудь другой способ ее поиска, кроме безнадежного наблюдения за банком, но не смог.

Совершенно бесполезно было ходить по улицам в надежде случайно ее встретить. К тому же это было опасно. Вдруг она заметит меня первой и исчезнет из моего поля зрения навсегда.

Внезапно мне в голову пришла идея. А может быть, обратиться в детективное агентство? Но потом понял, что не посмею этого сделать.

Потому что, когда ее найдут, я должен буду ее убить.

А в агентстве меня наверняка запомнят. Они скажут полиции, что это я их нанял, и полиция начнет розыск.

Я должен сделать все сам.

Для достижения цели герой не придумал ничего лучшего, кроме как прослушивать (просматривать?) сетевой трафик вблизи сервера в надежде на то, что разыскиваемый клиент обратится в это время к этому серверу. Поскольку эту деятельность не представлялось возможным автоматизировать или перепоручить агенту-посреднику (прокси-агенту), пришлось осуществлять ее самому. Как и следовало ожидать, результат оказался отрицательным.

Отметим, что атакующий опасается действовать там, где хорошо налажен сбор и анализ регистрационной информации (в небольшом отделении банка, в детективном агентстве), считая опасность прослеживания источника атаки реальной.

Прошло несколько дней. Герой перевел на счет шантажистки очередную сумму, ударным трудом заработал еще несколько отгулов и решил повторить попытку, вернувшись в Санта-Барбару. Наблюдение за банком вновь ничего не дало. В отчаянии Холлидей решает расширить зону прослушивания сети, осуществляя его в случайных точках. Он отправился бродить по улицам; как и следовало ожидать, в полном соответствии с законами жанра ему повезло...

Я собрался уже было идти дальше, как вдруг из ресторана выбежал крупный мужчина и, нагнув голову, ринулся по деревянному пирсу в мою сторону. Когда он пробегал под фонарем, свет упал на его плечи, и я вдруг узнал кремовое пальто и брюки бутылочного цвета. Это был приятель Римы!

Если бы не дождь, ему не пришлось бы бежать, нагнув голову, и он бы заметил меня и наверняка узнал. ...

Теперь он искал что-то в бардачке "понтиака"-кабриолета. ... Потом он, видимо, нашел, что искал, развернулся и рванул назад в ресторан.

Некоторое время я смотрел ему вслед. Затем неторопливо подошел к "понтиаку" и осмотрел его. Это был выпуск 1957 года, в довольно плохом состоянии. ... Я быстро нащупал регистрационный ярлычок на руле и поднес к нему зажигалку. На нем было аккуратно выведено: "ЭД ВАЗАРИ. Бунгало. Восточный берег, Санта-Барбара".

...

Была ли Рима с ним в ресторане? Живут ли они вместе по этому адресу?

...

И тут я их увидел. Они бегом выскочили из ресторана, ... нырнули в "понтиак" и умчались. Если бы я внимательно не следил за машиной, наверняка пропустил бы их, так молниеносно все это произошло.

В информационных системах у объектов может быть несколько представлений. Если права доступа к этим представлениям различаются, есть вероятность раскрытия конфиденциальной информации. В данном случае общедоступная информация о владельце автомобиля оказалась альтернативным представлением тщательно скрываемого адреса Римы Маршалл.

Обратим внимание на важность постоянной готовности и высокого уровня детализации при сборе регистрационной информации. Смотреть надо всегда и все - вдруг что интересное пропустишь?

Итак, герой получил нужную ему информацию. Что было дальше - спросите у Чейза...

10 комментариев:

  1. this text describes physical level of the computer security and Information Security.
    The author has given an example in the form of story of a similar theme.
    In real situations hackers should work not only in a network but also at physical level.
    (Example from the story)The hero should visit bank to find the information.
    at physical level, a hacker must apply not only computer skills but also the ability of a psychologist and actor.(Investigation stage).
    Despite it, the hacker should know how to work with the computer and network.
    Attack on the physical level:
    1)investigation
    2)define the purposes
    3)define vulnerability
    4)Attack(the physical form of attack)
    5)hide evidence
    Attack in physical level is much more dangerous than in network (for hackers)
    Vulnerability in this history is considerable quantity of the registration data.

    ОтветитьУдалить
  2. Рома, я проверила (и заглавные буквы добавила!)
    http://sites.google.com/site/cyberglukk/Home/chase

    ОтветитьУдалить
  3. This text is about comparing computer security incident and equal situation of life. The action occurs by eyes of hacker. The author shows the main purposes of intruders it's included:
    -sniffering the situation using for example the incorrect request for system;
    -imitation certificate for services and getting access to the system;
    -escape from the system with good analysis and collection of registration information;
    -using the situation when the different type information about the object have different type of premission for access thus using the simplest;
    Above have been described the actions of intruders but the author shows actions of the victim system. The victim uses anonimizator. The anonimizator is when the intruder connects with the victim through an intermediary and the intruder don't know the real adress of the victim.

    ОтветитьУдалить
  4. This article describes physical interpretation of actions of the hacker.
    The author of this article compares actions of the hero of the novel with actions of the hacker. Step by step the hero performs a standart procedures of intruder for reception of necessary information. They are include:
    -investigation
    -direct attack
    -finding of victim
    -sniffing and snooping
    -reception of the necessary information.
    Actions of the personnel of bank are similar to action of modern intellectual information system where the personnel perform the duties according to rules of confidentiality of bank as well as the information system performs actions according to the security policy.
    We can observe, that in 50th years information security had low level and all responsibility laid down on the human factor. Therefore, the main hero could find all the necessary information and the victim, preserving the anonymity.

    ОтветитьУдалить
  5. This text about incident of information security. The protagonist receives the confidential information to fraudulently posing as the representative of a large construction firm, but for this purpose it had to make a number of procedures for successful reception of the information. These actions include:
    Investigation;
    Sniffing and snooping;
    Reception of the necessary information;
    This text compares incidents of information security at program level and at physical level. The author shows that main principles of abduction of the confidential data are identical.

    ОтветитьУдалить
  6. In this text author compares actions of the real swindler and a hacker. For example author has taken novel "What's better than money?" written by James Hadley Chase . Actions of the main heroes are very similar to operations of a hackers. At first before the main hero barriers has been put and has been given an indirect link. After this hero decided to get unauthorized access to the bank. He has decided the purpose and using the artificial name has received the necessary information. Further he has used direct shadowing to get more information about the victim. Its not the best way but better than nothing. Finally Main hero learns needed information.

    ОтветитьУдалить
  7. 1.This is comparison of computer hackers and usual criminals. It based on J. H. Chase's novel “"What's better than money?" which is about 1960s. The protagonist, Jefferson Halliday, is being blackmailed by Rima Marshall. He wants to get rid of her, but he knows only her bank account. So he tries to get the unauthorized access to bank information. The first step wass investigation – Jeff learnt where the information was stored. The second step was direct attack. He masquraded and got the access to the bank's search machine. So he got the information about his target. Then he used sniffing. And finally he found his target and killed her. Everyone's happy!

    ОтветитьУдалить
  8. In this text tells the story of a man who needed to obtain confidential informatsiyu.dlya this he had to do step by step set of procedures: To investigate the requirement to input data, the method of processing a query, the output dannye.Deystviya the bank personnel actions are similar to modern intelligent information systems, where the staff performs duties in accordance with the rules of confidentiality of the Bank, as well as information system performs actions in accordance with security policy.

    ОтветитьУдалить
  9. Д.Кислицын

    Dgeff Holiday is blackmailed Rima Marshall. Dgeff Holiday wishes it to find and kill. It explores and, having presented by the bysinessman, meets with manager of bank in which at Rima the open account. While the manager shows it functioning of the search machine, he learns the adress second bank. Holliday goes to this city and observes of a bank building. Casually it finds Marshall and starts to watch it. Though action of the hero aren't connected with computers, but they remind actions of hackers.

    ОтветитьУдалить