RSS

Компьютерная терминология    1_9  A  B  C  D  E  F  G  H  I  J  K  L  M  N  O  P  Q  R  S  T  U  V  W  X  Y  Z  .....  A  Б  В  Г  Д  Ж  З  И  К  Л  М  Н  О  П  Р  С  Т  У  Ф  Х  Ц  Ч

Автоматизированная банковская система с точки зрения хакера

   
О схемах атаки на системы электронной коммерции и универсальном российском трояне-банкере Ibank
Обзор методов атаки
Мишени
Схемы
Анализ вредоносной программы Ibank
Возможные атаки автоматизированной банковской системы
Возможные атаки на уровне СУБД
Возможные атаки на уровне ОС
Возможные атаки на уровне сети
Несколько полезных советов
 Бесплатная консультация специалиста
Loading…
 

О схемах атаки на системы электронной коммерции и универсальном российском трояне-банкере Ibank.

Вредоносные программы, нацеленные на махинации с системами онлайн-банкинга — так называемые «банкеры» — известны с давних времён. В 2004 году основную массу троянов-банкеров* составляли примитивные вредоносные программы, разработанные в средах Visual Basic и Delphi. Они достигали своих целей путём перехвата нажатий клавиш при вводе данных авторизации в контексте веб-браузера, открытого на странице интернет-банка, или (чаще) в контексте всей операционной системы. Существенная часть троянов-банкеров тех времен была нацелена на пользователей бразильских банков — по видимости, вследствие массового внедрения электронной коммерции в контексте развивающейся экономики.

*Троян-банкер — троянская программа, предназначенная для осуществления финансовых махинаций с системами электронной коммерции.

Эволюция не стоит на месте. Современные трояны-банкеры более изощрены, и доставляют массу хлопот уже не только отдельным пользователям интернет-банков, но также самим банкам и коммерческим организациям по всему миру. Практически в любом сообщении мировых новостей, посвящённом очередному крупному финансовому мошенничеству, фигурирует более или менее расплывчатое упоминание о троянской программе, использованной в ходе атаки.

Эта мировая тенденция имеет своё отражение и в контексте современной России. Пример с бразильскими троянами-банкерами, приведённый в первом абзаце, вполне соответствует нашей ситуации — с той лишь разницей, что русские разработчики вредоносных программ в целом более изобретательны и профессиональны относительно мирового уровня, и «поделками» на Visual Basic дело в данном случае не ограничивается.

За последние 1–2 года распространённость различных систем электронной коммерции в России достигла критической массы, начав привлекать внимание организованной преступности. Если пару лет назад большинство троянов-банкеров, в том числе и разработанных в России, были «заточены» под интернет-системы зарубежных банков, то теперь всё чаще производятся атаки и на российские системы электронных платежей (Webmoney, Yandex.Money), системы собственной разработки отдельных банков, а также универсальные платформы для систем ДБО* (Inter-PRO Client, BS-Client, iBank и других). Тенденция появления эффективных схем атаки на универсальные платформы ДБО заслуживает особого внимания, так как она ставит под угрозу практически все российские банки и коммерческие организации.

*Система ДБО, онлайн-банкинг, банк-клиент — средства дистанционного банковского обслуживания.

Цель данной статьи — осветить современные тенденции в области атак на системы электронной коммерции.
В первой части статьи приводится обзор технологий и схем атаки.
Во второй части описаны результаты анализа шпионской программы Ibank, обеспечивающей атаку на целый ряд популярных систем ДБО российского производства.

Обзор методов атаки

Технологии

Большинство современных систем электронных платежей реализованы на основе технологии «тонкого клиента». Пользователь работает с онлайн-банкингом, как с обычным веб-сайтом, а аутентификация пользователя и шифрование трафика обеспечивается с помощью отдельного приложения. В роли этого приложения может выступать одна из доступных на рынке платформ ДБО, таких как BS-Client (BSS) или Inter-PRO (Сигнал-КОМ), либо система собственной разработки банка. Платформа ДБО, в свою очередь, опирается на систему криптопровайдера с государственной аккредитацией (СКЗИ*), такую как «Агава» или «Бикрипт», для обеспечения шифрования по алгоритмам ГОСТ.

Онлайн-банкинг также может быть реализован в виде обычного сайта с доступом по протоколу HTTPS, в виде независимого приложения или модуля Java. С точки зрения фундаментальных технологий атаки детали реализации системы несущественны.

Рассмотрим различные методы защиты, используемые в системах электронной коммерции, их уязвимости и соответствующие методы атаки.

*СКЗИ — средство криптографической защиты информации.

Логин, пароль, ключевые файлы

Вход в интернет-систему банка с использованием логина, пароля и секретного ключа является классической реализацией двухфакторной аутентификации. Это наиболее уязвимая схема защиты. Несмотря на то, что универсальные платформы для систем ДБО позволяют подключать дополнительные средства защиты, такие как аппаратные ключи — защита с использованием логина, пароля и сертификата остаётся «вариантом по умолчанию», и именно он используется в большинстве реализаций онлайн-банкинга.

Взлом такой защиты сводится к захвату данных для авторизации пользователя с последующим их использованием для получения удалённого доступа к системе банка или электронных платежей.

Захват файлов ключей может быть реализован с помощью следующих техник:

* непосредственное копирование файлов ключей;
* копирование ключей путём перехвата файловых операций в контексте браузера или целевой программы;
* экспорт сертификатов из хранилища браузера;
* перехват сертификатов в момент их использования пользователем.

Файлы ключей в большинстве систем не защищены от копирования, если только речь не идет об аппаратных средствах защиты, таких как eToken PRO. При экспорте сертификатов из хранилища браузера троян может при необходимости подбирать пароль на экспорт, установленный пользователем.

Захват логина и пароля может быть реализован следующими способами:

* перехват всех нажатий клавиш в системе;
* перехват нажатий клавиш в контексте браузера или целевой программы;
* считывание значений полей ввода в окне браузера или целевой программы;
* перехват HTTP-запросов к целевому банку с последующим извлечением логина и пароля из полей HTTP-запроса.

Для отсева лишней информации шпионская программа может осуществлять поиск таких объектов, как заголовки окон интернет-банка, названия полей ввода, элементы URL и т.п. Идентификация ключевых файлов может осуществляться по имени, части пути или по сигнатуре — например, ключевые файлы универсальной системы ДБО iBank идентифицируются троянами по сигнатуре iBKS в момент обращения к ним пользователя.


Аппаратные ключи


Аппаратные ключи* («токены») используются в качестве средства для усиления защиты. Существует несколько классов аппаратных ключей, реализующих принципиально разные схемы защиты. С точки зрения атаки разница между классами аппаратных ключей играет незначительную роль. В частности, обобщённый метод атаки на все виды аппаратных ключей заключается в перехвате инициированной пользователем транзакции с подстановкой в неё данных для совершения несанкционированного перевода на счёт атакующего.

*Аппаратный ключ или «токен» — персональное электронное устройство, участвующее в процессах защиты информации пользователя (таких как аутентификация и шифрование данных).

Рассмотрим более подробно техники атаки на два наиболее популярных класса аппаратных ключей: «токены», реализующие генерацию одноразовых паролей (на примере eToken PASS) и аппаратные ключи, реализующие хранение секретных ключей и аппаратные криптовычисления (на примере eToken PRO).

Аппаратный ключ eToken PASS представляет собой брелок, реализующий выдачу одноразового пароля по запросу пользователя. Полученный пароль может использоваться для дополнительной защиты авторизации и/или отдельных действий пользователя. Верификация пароля осуществляется на стороне сервера.

Для обхода этой схемы защиты, помимо вышеописанного метода «подмены данных транзакции», возможен также вариант перехвата одноразового пароля. В частности, после ввода пользователем сеансового пароля троянская программа отображает сообщение об ошибке или блокирует действия пользователя, тем временем инициируя злонамеренную транзакцию с использованием захваченного пароля.

Аппаратный ключ eToken PRO обеспечивает защищённое хранение секретного ключа пользователя, а при необходимости и выполнение криптографических вычислений на микросхеме устройства. В данном случае получение секретного ключа затруднено — таким образом, атакующий не может получить все необходимые данные для удалённого доступа к системе банка.

Тем не менее, атака может быть совершена путём внедрения в легитимный сеанс пользователя. Для этого осуществляется атака на стороне клиента: имитация действий пользователя в программе, подмена данных инициированной пользователем транзакции или независимое формирование нелегальной транзакции при помощи троянской программы или вручную.

В ряде случаев задача сводится к более простой — например, если аппаратный ключ используется только на этапе авторизации в качестве секретного ключа, трафик шифруется по стандартному алгоритму SSL, а к открытому сеансу прикреплён постоянный идентификатор, то возможно сымитировать ложную транзакцию путём отправки серверу системы стандартных HTTP-запросов с использованием идентификатора открытого сеанса. Таким образом, атака возможна в любом случае, а степень её сложности всецело зависит от деталей реализации конкретной схемы защиты.

Одноразовые пароли

Усиление защиты с помощью одноразовых паролей — иногда называемых сеансовыми ключами или переменными кодами — несколько усложняет атаку.

В предыдущем разделе описан один из вариантов реализации этой защиты — с использованием генератора одноразовых паролей eToken PASS. Второй вариант, более популярный в силу его дешевизны, заключается в предоставлении пользователю массива одноразовых паролей — например, в виде пластиковой карты с заштрихованными кодами. Такой метод дополнительной защиты используется в системе «Тел[мат]к» ВТБ24.

Стандартная техника атаки в данном случае идентична атаке на eToken PRO: троян перехватывает очередной переменный код, введённый пользователем, отображает сообщение об ошибке и использует полученный код для проведения нелегальной транзакции.

SSL и шифрование

Шифрование данных, независимо от методов его реализации, нисколько не защищает от класса атак, которому посвящена данная статья. Как бы ни было реализовано шифрование, всегда есть момент, когда данные открыты — в этот момент их можно перехватить и модифицировать.

Чтение и модификация открытых данных SSL-трафика могут производиться при помощи перехвата стандартных функций библиотеки Wininet для браузера Internet Explorer, функций PR_Read/PR_Write библиотеки nspr4.dll для браузера Mozilla, и неэкспортируемой функции из библиотеки opera.dll для браузера Opera.

Проверка IP-адреса клиента


В качестве дополнительной меры защиты на сервере ДБО может быть реализована проверка IP-адреса пользователя перед аутентификацией. В таком случае атакующий не сможет удалённо подключиться к интернет-банку, даже имея логин, пароль и ключи легитимного пользователя.

Обход такой защиты обеспечивается туннелированием трафика атакующего через компьютер легитимного пользователя, на котором средствами трояна открыт прокси-сервер.

Следует подчеркнуть, что все перечисленные выше технологии атаки не являются концептуальными, но в той или иной форме реализованы и используются.

Мишени

Финансовые махинации могут быть нацелены на тот или иной сегмент пользователей электронных систем в зависимости от целей, ресурсов и степени наглости атакующих. А поскольку системы электронной коммерции используются всеми сторонами экономического процесса — физическими лицами, коммерческими организациями и финансовыми учреждениями, — пространство для атаки чрезвычайно обширно.

Наиболее популярными мишенями для финансового мошенничества являются следующие социально-экономические классы:

* клиенты банков;
* пользователи электронных платёжных систем;
* малый и средний бизнес;
* крупные коммерческие организации;
* банки и другие финансовые учреждения;
* системы денежных переводов.

Клиенты банков и пользователи ЭПС представляют собой наиболее лёгкую добычу, но и наименее популярную в силу их низкой платёжеспособности. Кроме того, отъём денег у основной массы населения интернета проще осуществить путём прямого вымогательства — что и делают при помощи троянов-вымогателей, таких как SMS-блокировщики рабочего стола и шифровальщики файлов. Тем не менее, в среде мелких киберворишек по-прежнему пользуются популярностью зарубежные пользователи интернет-банков, привлекательность которых обусловлена экономическим разрывом между странами жертвы и атакующего.

Коммерческие организации любого масштаба представляют собой достаточно интересную мишень: у них уже есть что красть. В целом, малый и средний бизнес отличается низкой сопротивляемостью к атакам на компьютерные системы в силу отсутствия или слабости политик их защиты. Крупные коммерческие организации лучше защищены, но и представляют больший интерес, что создаёт основания для целевых атак на них.

Внутри инфраструктуры финансовых учреждений также используются автоматизированные финансовые системы. С точки зрения механизмов атаки, система для внутреннего использования практически ничем не отличается от клиентской ДБО: в обоих случаях атака производится методом внедрения трояна на обычный компьютер.

*ЭПС — электронная платёжная система, например, Webmoney, Yandex.Money, Paypal.

*СДП — система денежных платежей, например, Western Union, Contact.

*«Дроп» («money mule») — лицо, сознательно или вследствие обмана играющее роль посредника при обналичивании украденных денежных средств.

Отдельного упоминания заслуживают системы денежных платежей. В силу таких факторов, как масштабность партнёрской сети СДП, невозможность контроля за безопасностью пунктов сети со стороны центрального банка, простота финансовых операций, а также ряда других — этот класс «жертв» представляет повышенный интерес для атакующих. В ходе атаки на компьютере одного из партнёров системы формируется ложная транзакция, в результате проведения которой деньги выводятся наличными на руки «дропа», а финансовые потери несёт пункт выдачи перевода.

Схемы

При совершении финансовых махинаций злоумышленники чаще всего применяют одну из трёх типовых схем атаки.

1. Кража данных для входа в систему

Классическая схема атаки заключается в краже с компьютера пользователя полного комплекта аутентификационных данных и дальнейшем использовании этих данных атакующим для удалённого подключения к системе банка или ЭПС с целью осуществления нелегального перевода. Если на стороне сервера осуществляется проверка IP-адреса, то соединение атакующего туннелируется через компьютер легитимного пользователя.

Это самая простая схема атаки, однако она возможна только при низком (а в современных российских реалиях — «стандартном») уровне защиты целевой системы.

В качестве платформы для реализации этой схемы часто используется троян Ibank, анализ которого приведен во второй части данной статьи.

2. Атака изнутри компьютера «жертвы»

Эта схема представляет собой обобщённое решение для обхода всех дополнительных средств защиты транзакций, а также для атаки на неизвестные и малораспространённые системы банкинга. Атака сводится к установлению терминального соединения с компьютером жертвы и проведению ложных транзакций атакующим вручную, без отображения его действий на экране пользователя.

В качестве платформы для реализации этой схемы часто используется троян Zeus (Zbot), для которого за дополнительную плату доступен модуль удалённого доступа по протоколу VNC. При этом, если адрес целевого компьютера недоступен из интернета, троянская программа может обеспечить обратный канал связи для доступа атакующего.

3. «Автозалив»

Третья схема атаки подразумевает автоматизацию предыдущей схемы. Автоматизация осуществляется преимущественно для систем на основе технологии «тонкий клиент», так как в этом случае задача сводится к модификации данных HTML-страниц и HTTP-запросов и, таким образом, может быть компактно описана в файле конфигурации и передана троянской программе.

При реализации данной схемы троянская программа формирует новую транзакцию или модифицирует легитимную с целью перевода средств со счёта заражённой жертвы на счёт атакующего. Трафик пользователя модифицируется «на лету» незаметно для него.

Пассивный автозалив осуществляется путём автоматизированной подмены заданных параметров — таких как значения полей размера платежа и реквизитов получателя — в коде веб-страницы в момент проведения пользователем легитимной транзакции. При активном автозаливе троян осуществляет все необходимые манипуляции — от заполнения данных форм и до имитации нажатия кнопок — самостоятельно.

Следует заметить, что технология автозалива не отличается высокой сложностью реализации. От её разработчика требуется, в первую очередь, глубокая осведомленность о механизмах функционирования целевого онлайн-банкинга.

Анализ вредоносной программы Ibank

Троян Ibank представляет собой шпионскую программу массового распространения, предназначенную для реализации атак на российские системы электронной коммерции. Целевые системы включают в себя популярные универсальные платформы для построения систем ДБО, системы собственной разработки отдельных банков, электронную платёжную систему WebMoney и ряд СКЗИ.

Ibank примечателен по следующим причинам:

* это самый универсальный шпион конфиденциальной информации, относящейся к платежным системам;
* это первый троян-банкер, разработанный для атак на российские банки;
* в настоящий момент троян Ibank активно распространяется: ежедневно обнаруживается, по данным нескольких антивирусных компаний, от 5 до 20 новых версий трояна.

Но главная особенность данного трояна заключается в том, что он широко используется в качестве инструмента для целевых финансовых атак, часто в связке с трояном Zeus. При этом Ibank используется для первоначального получения информации о платёжных системах, а Zeus — в качестве универсального инструмента для управления заражённым компьютером, в том числе для обеспечения удалённого доступа к нему.

Общие сведения

Троян Ibank появился в 2006 году. Первоначально он использовался для нецелевых атак на пользователей интернет-банков, но позднее нашёл применение в качестве инструмента при проведении организованных атак. Весной 2010 года пресс-службой компании Dr. Web было отмечено широкое распространение данной вредоносной программы.

Ibank определяется разными антивирусами под следующими именами: Trojan.PWS.Ibank, Backdoor.Win32.Shiz, Trojan-Spy.Win32.Shiz, Backdoor.Rohimafo и другими.

Существует две разновидности данного трояна: основной модуль и его загрузчик. Распространение загрузчика происходит по классической «партнёрской» схеме, о чём свидетельствует поле seller первого HTTP-запроса, отправляемого успешно установленным загрузчиком на сервер для запроса файла конфигурации:

Код

http://servername/knock.php?n=botID&s=seller-N



Загрузчик получает инсталлятор трояна по ссылке, указанной в файле конфигурации, и запускает его.

Инсталлятор трояна представляет собой зашифрованный файл размером около 100 кБ (MD5: 53aec556c00f34182a72ba8edfb8fca9). Код вредоносной программы реализован на языке C и выполняется в режиме пользователя. С технической точки зрения троян достаточно прост, однако особенности его реализации отражают высокий уровень осведомленности разработчика о внутренних механизмах различных систем ДБО.

Инсталляция и особенности функционирования

Ibank устанавливается в системную директорию (c:\windows\system32) в виде отдельного исполняемого модуля со случайным именем.

На этапе установки троян блокирует доступ к целому ряду IP-адресов путём задания для них заведомо неверных настроек маршрутизации. Для этого вызывается команда route, устанавливающая ложный шлюз для каждого заданного IP-адреса.
user posted image
Автозагрузка трояна при старте Windows обеспечивается записью в ключ реестра HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit.

Работающий троян не имеет собственного процесса. Его код внедряется в системный процесс (svchost.exe, services.exe и другие, в зависимости от версии трояна). Выполнение вредоносного кода в контексте доверенного системного процесса позволяет обходить фаерволы.

Троян не скрывает признаки своего присутствия в системе (файлы, отрытый порт, сетевые соединения) и не содержит функций самостоятельного распространения.

Помимо шпионской функциональности, Ibank оснащен следующими функциями:

* простой системой приёма команд (см. раздел «Удалённое управление»);
* функцией незаметной модификации трафика пользователя с целью автоматизации нелегальных транзакций и сокрытия нежелательных данных (см. раздел «Технология автозалива»);
* функцией настройки таблицы маршрутизации зараженного компьютера по команде от атакующего;
* функцией открытия прокси-сервера SOCKS на случайном порту;
* техниками блокирования антивирусов Kaspersky, Avira, AVG и CA HIPS (см. раздел «Блокирование антивирусов»).

Шпионская деятельность

После установки троян перехватывает ряд функций API (см. раздел «Механизм сбора данных») и ищет в проходящей через перехватчики информации появления определённых маркеров, сопутствующих обращению пользователя к той или иной системе электронной коммерции. Когда маркер найден, соответствующие данные (файлы ключей, логины и пароли) перехватываются и немедленно отсылаются на сервер, указанный в коде программы.

Обобщённо, с целью сбора конфиденциальных данных троянская программа осуществляет следующие действия:

1. перехват нажатий клавиш в контексте браузера, отдельных процессов, отдельных окон и полей ввода;
2. перехват трафика HTTPS в контексте браузеров;
3. копирование ключевых файлов и сертификатов;
4. экспорт сертификатов из браузеров, в том числе с подбором паролей;
5. сбор данных непосредственно из HTTP-запроса к серверу системы;
6. сохранение истории веб-запросов;
7. сохранение удалённых и восстановленных файлов (.chk).

Механизм сбора данных

Локализация и сбор персональных данных пользователя обеспечивается установкой перехватов на следующие функции:
user posted image
Код перехватчиков обеспечивает отсев данных, сбор информации и вызов процедуры отправки её на сервер.

Ряд перехваченных функций не являются стандартными API Windows. Среди них функция vb_pfx_import из модуля sks2xyz.dll, входящего в состав универсальной платформы ДБО «Фактура», на основе которой функционирует, к примеру, интернет-банк «Сбербанка», и функция RCN_R50Buffer из модуля FilialRCon.dll, входящего в состав интернет-системы «РайффайзенБанк». Кроме того, с целью получения доступа к открытому трафику SSL осуществляется перехват функций PR_Write из динамической библиотеки браузера Mozilla и неизвестной функции из библиотеки Opera.

Также стоит отметить перехват стандартной функции TranslateMessage, реализующий захват данных из контекста Java-приложений.

Целевые системы

Для каждой из целевых систем электронной коммерции, обнаруженных на зараженном компьютере, создается отдельная директория, в которой хранятся собранные данные о системе.
user posted image
Как видно из таблицы, троян нацелен на все популярные универсальные системы ДБО и, таким образом, обеспечивает кражу данных большинства российских банков.

В ряде случаев данные извлекаются не из платформы ДБО, а из стандартного СКЗИ, обеспечивающего криптооперации с ней.

Собранные данные хранятся перед отправкой в виде текстовых файлов и zip-архивов со следующими именами: pass.log, keylog.txt, ctunnel.zip, keys.zip, links.log.

Блокирование антивирусов

Отключение антивируса Kasperky производится путём отправки легитимного управляющего сообщения его окну:

Код

FindWindow ("____AVP.Root");
PostMessage (^, 466h);


Отключение Avira производится путём вызова легитимной функции, экспортируемой одной из библиотек антивируса:

Код

RegQueryValue ("SOFTWARE\\Avira\\AntiVir PersonalEdition Classic", "Path");
LoadLibrary ("avipc.dll");
GetProcAddress ("AvIpcCall");
GetProcAddress ("AvIpcConnect");
AvIpcConnect ("avguard01", 1388h);
AvIpcCall (...); // отключение компонента



Отключение AVG производится путём закрытия процесса программы и записи мусора в файл драйвера:

Код

CreateFile ("%systemroot%\\system32\\drivers\\avgtdix.sys");
WriteFile (^, VirtualAlloc (GetFileSize (^)));
OpenProcess ("avgtray.exe");
TerminateProcess (^);



И наконец, отключение CA HIPS производится путём отправки легитимного кода управления устройству драйвера антивируса:

Код

CreateFile ("\\.\KmxAgent");
DeviceIOControl (86000054h);



Сетевая активность

Троян выполняет следующие действия по обмену данными:

* непосредственно после инсталляции открывает случайный порт, на котором принимает входящие соединения в качестве прокси-сервера SOCKS;
* отсылает на сервер путем HTTP-запросов базовую информацию о заражённом компьютере: имя пользователя, имя компьютера, номер порта прокси-сервера;
* получает с сервера файл конфигурации с командами (см. раздел «Удалённое управление»);
* после сбора данных отправляет их на сервер методом POST-запроса на адрес скрипта gate.php;
* в случае получения команды, загружает и устанавливает произвольный модуль.

Удалённое управление

Для управления заражённым компьютером используются команды, получаемые троянской программой с сервера в файле конфигурации. Перечень возможных команд:
Перечень возможных команд

Технология автозалива

Автозалив и подмена данных веб-страниц обеспечиваются путём модификации HTML-кода в соответствии с правилами, полученными из файла конфигурации.

Файл конфигурации для автозалива содержит набор переменных, определяющих местоположение и содержание производимой модификации. Имена и назначение переменных приведены в таблице.
Имена и назначение

Кроме того, после переменной set_url может быть указана опция G или P, уточняющая целевой запрос (GET или POST). Также существует опция L, указывающая, что необходимо сохранить заданный отрезок HTML-кода в лог вместо его модификации, и опция D, задающая периодичность запуска модификации.

После получения настроек автозалива троян сохраняет их в ключе реестра HKLM\Software\Microsoft\option_9.

Заключение

Подытожим ключевые постулаты данной статьи.

1. На сегодняшний день большинство инцидентов финансового мошенничества представляют собой атаки на системы онлайн-банкинга с использованием вредоносных программ в качестве инструментов.
2. Существуют налаженные технологии обхода всех видов защиты, используемых в системах электронных транзакций.
3. Существуют доступные инструменты для совершения финансовых атак всех видов и масштабов.
4. Фиксируется рост заинтересованности атакующих субъектами российской электронной коммерции, в первую очередь клиентами банков (как физическими лицами, так и организациями) и системами денежных переводов.
5. По состоянию на сегодняшний день, 99% потенциальных «жертв» не защищены.
К последнему пункту необходимо привести два пояснения. Во-первых, для заинтересованного атакующего не представляет труда обход антивируса. Таким образом, антивирус в некоторой степени защищает рядовых пользователей онлайн-банкинга, но, по мере увеличения класса платёжеспособности «жертвы», утрачивает свои полезные свойства в связи пропорциональным возрастанием вероятности целевой атаки.

*MitM — man-in-the-middle. Схема атаки, при которой злоумышленник выступает в роли несанкционированного посредника между клиентом и сервером.

*MitB — man-in-the-browser, man-in-the-box. Схема атаки, при которой действия злоумышленника совершаются с помощью вредоносной программой на стороне клиента.


Во-вторых, все универсальные платформы ДБО и СКЗИ российского производства принципиально (by design) уязвимы к описанному в данной статье виду атак. Будучи построенными на базе устаревшей парадигмы информационной безопасности, ключевым звеном которой служила защита от сетевых атак (MitM и сетевой взлом), эти системы не предназначены для защиты от локальных атак с использованием вредоносных программ (MitB).

Задача защиты в данном случае сводится к максимальной изоляции клиентской системы банкинга как от внешней сети, так и от других приложений в рамках локального компьютера. На сегодняшний день универсальных решений для этого не существует.

В ряде случаев, сопряженных с невысоким риском атаки, могут применяться половинчатые меры «повышения безопасности». В первую очередь это грамотная настройка политик безопасности и систем мониторинга уязвимого компьютера и прокси-сервера организации, разработанные и внедренные с учётом MitB-парадигмы безопасности.

Для банков доступны такие решения, как полный перевод системы удалённых платежей из интернета на мобильную платформу, а также подключение SMS-уведомлений для каждой транзакции (подчеркнём, что SMS-уведомление должно содержать значение суммы перевода и реквизиты получателя, а номер телефона клиента должен храниться на стороне банка). Последнее решение неудобно для пользователей, создаёт высокую нагрузку на системы банка и неприменимо в организациях с большим объемом транзакций.

Разработчики платформ ДБО могут несколько усложнить задачу атакующим путём дополнительной защиты файлов ключей, запутывания HTML-кода страницы онлайн-банкинга и других подобных «заглушек». Однако, по большому счёту, разработчик платформы ДБО не может решить проблему фундаментально, так как перехват данных осуществляется на уровне операционной системы, независимо от реализации конкретного приложения.

Единственным фундаментальным решением для защиты онлайн-банкинга является его полная изоляция, обеспечивающая невозможность проникновения на компьютер вредоносного кода и установки троянских перехватов. Это решение реализуется путём размещения системы банк-клиента на отдельном физическом компьютере или загрузочном диске, защищённом от записи, в совокупности с тонкой настройкой политик безопасности и общей архитектуры решения. Отметим, что решение по программной виртуализации интернет-банка не имеет смысла, так как оно не защищает от схемы атаки №2 (атака изнутри компьютера «жертвы»), а решение с загрузочным диском окажется бесполезным, если размещённая на нём система может быть успешно атакована в промежутке между загрузками.

Алиса Шевченко
руководитель
«Лаборатория информационной безопасности» (eSage Lab) (с)


Введение.
Задача защиты информации, хранимой в компьютерных системах, от несанкционированного доступа (НСД), является весьма актуальной. Для решения этой задачи используется целый комплекс средств, включающий в себя технические, программно-аппаратные средства и административные меры защиты информации.
Построение надежной защиты компьютерной системы невозможно без предварительного анализа возможных угроз безопасности системы. Этот анализ должен включать в себя:
При проведении такого анализа защищенной системы эксперт фактически ставит себя на место хакера, пытающегося преодолеть ее защиту. Но для того, чтобы представить себя на месте хакера, вначале нужно понять, кто же такой хакер, от которого нужно защищать систему. В частности, нужно ответить на следующие вопросы:
В настоящем докладе рассматриваются вопросы, связанные с проведением анализа угроз для автоматизированной банковской системы (АБС) со стороны хакера. Рассматриваются типичный облик высококвалифицированного хакера, типичные атаки АБС, приводятся рекомендации по организации защиты АБС от действий хакеров.
Кто такие хакеры?

Хотя слово “хакер” в последнее время встречается в литературе очень часто, у употребляющих его авторов до сих пор не сложилось единое понимание того, кто же такие хакеры. Обычно со словом “хакер” ассоциируется специалист, обладающий очень высокой квалификацией в области компьютерной безопасности. По поводу того, как хакеры используют свои знания, имеются серьезные разногласия. Одни авторы называют хакерами тех, кто пытается взломать защищенные системы для того, чтобы затем сформулировать рекомендации по совершенствованию их защиты. Другие называют хакерами только “компьютерных асов”, использующих свои знания в преступных целях. Иногда хакеров в этом понимании называют кракерами или крекерами (от англ. crack – ëомать). Мы не будем касаться нравственно-этических аспектов деятельности хакеров, и будем понимать под хакером лицо, которое пытается преодолеть защиту компьютерной системы, неважно, в каких целях.
В отношении атакуемой системы хакер может выступать в одной из следующих ролей:
Профессиональный уровень хакеров варьируется в очень широких пределах. В роли хакера может выступать как школьник, случайно нашедший программу взлома на одном из серверов Internet, òак и профессионал. В телеконференциях Internet íеоднократно встречались сообщения о существовании организованных хакерских групп, поставивших взлом компьютерных систем на коммерческую основу. Руководство такими группами осуществляется профессионалами высочайшей квалификации.
В дальнейшем под словом “хакер” мы будем подразумевать наиболее высококвалифицированных хакеров, действия которых представляют наибольшую угрозу безопасности защищенных систем. Можно выделить следующие характерные черты такого хакера:

  1. Хакер всегда в курсе последних новинок науки и техники в области компьютерной безопасности. Он регулярно просматривает материалы хакерских серверов Internet, читает хакерские телеконференции (newsgroups), выписывает несколько журналов по компьютерной безопасности.
  2. Перед тем, как атаковать систему, хакер собирает максимум информации о ней. Он заранее выясняет, какое программное обеспечение используется в системе, старается познакомится с ее администраторами. Зная личные качества администратора, проще искать ошибки в политике безопасности системы.
  3. Хакер не пренебрегает оперативно-техническими и агентурными методами. Для проникновения в защищенную сеть может быть достаточно поставить “жучок” в кафе, где обычно обедают администраторы.
  4. Перед тем, как атаковать систему, хакер по возможности опробует средства атаки на заранее изготовленной модели. Эта модель представляет собой один или несколько компьютеров, на которых установлено то же программное обеспечение и соблюдается та же политика безопасности, что и в атакуемой системе.
  5. Хакер не атакует систему, пока не будет уверен (или почти уверен) в успехе.
  6. При первой атаке системы хакер обычно пытается внедрить в атакуемую систему программную закладку. Если внедрение закладки проходит успешно, вторая атака уже не требуется.
  7. Атака системы происходит быстро. Администраторы обычно узнают об атаке только после ее окончания.
  8. Хакер не использует особенно изощренных алгоритмов атаки системы – чем сложнее алгоритм атаки, тем больше вероятность ошибок и сбоев при его реализации.
  9. Хакер не осуществляет атаку вручную – он пишет необходимые программы. При атаке системы чрезвычайно важна быстрота действий.
  10. Хакер никогда не атакует систему под своим именем или со своего сетевого адреса.
  11. Хакер заранее продумывает порядок действий в случае неудачи. Если атака не удалась, хакер старается замести следы. Если это невозможно, он старается оставить ложный след. Если, например, атака производится через Internet, ложный след можно оставить, проведя очень грубую и заведомо неудачную атаку системы с другого адреса. При анализе журнала аудита администратору будет трудно заметить следы основной атаки среди огромного количества зарегистрированных событий.
  12. Если в атакуемой системе предусмотрен аудит, хакер старается его отключить.
  13. Программная закладка, внедренная в систему, заметна только хакеру. С точки зрения других пользователей система работает как обычно.
  14. При обнаружении программная закладка самоуничтожается. Кроме того, часто закладка программируется так, что ее самоуничтожение происходит, когда ей долго никто не пользуется. В этом случае хакеру не нужно беспокоиться об уничтожении вещественных доказательств.

Возможные атаки автоматизированной банковской системы.

В общем случае автоматизированная банковская система включает в себя три основных уровня:
Атака АБС может осуществляться на любом из перечисленных уровней. Пусть, например, хакеру требуется прочитать определенные записи из базы данных (БД). Хакер может попытаться:
Поскольку методы осуществления НСД к ресурсам АБС существенно различаются в зависимости от того, на каком уровне происходит атака АБС, эти методы для разных уровней целесообразно рассмотреть отдельно.
Возможные атаки на уровне СУБД.

Защита базы данных является одной из наиболее простых задач защиты информации. Это обусловлено тем, что базы данных имеют четко определенную внутреннюю структуру, и операции над элементами баз данных также четко определены. Обычно над элементами баз данных определены всего четыре основные операции: поиск, вставка, замена и удаление. Другие операции носят вспомогательный характер и используются относительно редко. Такая простая структура системы защиты упрощает ее администрирование и сильно усложняет задачу преодоления защиты СУБД. В большинстве случаев хакеры даже не пытаются атаковать СУБД, поскольку преодолеть защиту АБС на уровнях операционной системы и сети гораздо проще.
Тем не менее, в отдельных случаях преодоление хакером защиты, реализуемой СУБД, вполне возможно. Такая ситуация имеет место в следующих случаях:
Кроме того, известны две атаки СУБД, для защиты от которых требуются специальные меры. К ним относятся:
Для реализации атаки на СУБД хакер должен как минимум являться пользователем СУБД.
Возможные атаки на уровне ОС.
Защитить операционную систему гораздо сложнее, чем СУБД. Это обусловлено тем, что число различных типов защищаемых объектов в современных ОС может достигать нескольких десятков, а число различных типов защищаемых информационных потоков – нескольких сотен. ОС имеет очень сложную внутреннюю структуру и поэтому задача построения адекватной политики безопасности для ОС решается значительно сложнее, чем для СУБД.
Среди начинающих хакеров распространено мнение, что наиболее эффективные и опасные атаки ОС организуются с помощью сложнейших программных средств, использующих последние достижения науки и техники. Считается, что хакер обязательно должен быть программистом высочайшей квалификации.
На самом деле для преодоления защиты ОС вовсе не обязательно писать сложную программу. Искусство хакера заключается не в том, чтобы суметь написать программу, которая взламывает любую защиту, а в том, чтобы найти уязвимое место в конкретной системе защиты и суметь им воспользоваться. При этом наилучшие результаты достигаются при использовании самых простейших методов “влезания” в выявленные “дыры” в защите ОС. Чем проще алгоритм атаки, тем больше вероятность того, что атака пройдет успешно – возможности хакера по предварительному тестированию алгоритма атаки обычно сильно ограниченны.
Возможность практической реализации той или иной атаки на ОС в значительной мере определяется архитектурой и конфигурацией ОС. Тем не менее, существуют атаки, которые могут быть применены практически к любым операционным системам. К ним относятся следующие атаки:

  1. Кража ключевой информации. Может реализовываться с использованием следующих методов:
  1. Подбор пароля. Могут использоваться следующие методы:
Все эти методы могут применяться в совокупности.
Если хакер не имеет доступа к списку пользователей ОС, подбор пароля пользователя представляет серьезную опасность только в том случае, когда пользователь использует тривиальный, легкоугадываемый пароль. Если же хакер получает доступ к списку пользователей, хакер может осуществлять перебор, не имея прямого доступа к атакуемому компьютеру или сети (например, хакер может унести список пользователей ОС домой и запустить программу перебора паролей на своем домашнем компьютере). В этом случае за приемлемое время может быть подобран пароль длиной до 8-10 символов.
  1. Сканирование жестких дисков компьютера. Хакер последовательно считывает файлы, хранящиеся на жестких дисках компьютера. Если при обращении к некоторому файлу или каталогу хакер получает отказ, он просто продолжает сканирование дальше. Если объем жесткого диска компьютера достаточно велик, можно быть уверенным, что при описании прав доступа к файлам и каталогам этого диска администратор допустил хотя бы одну ошибку. При применении этой атаки все файлы, для которых были допущены такие ошибки, будут прочитаны хакером. Несмотря на примитивность данной атаки, она во многих случаях оказывается весьма эффективной. Для ее реализации хакер должен быть легальным пользователем ОС. Если в ОС поддерживается адекватная (или близкая к адекватной) политика аудита, данная атака будет быстро выявлена, но если хакер организует атаку под чужим именем (именем пользователя, пароль которого известен хакеру), выявление этой атаки ничем ему не грозит.
  2. Данный метод можно применять не только для сканирования дисков локального компьютера, но и для сканирования разделяемых ресурсов локальной сети.
  3. “Сборка мусора”. Если в ОС допускается восстановление ранее удаленных объектов, хакер может воспользоваться этой возможностью для восстановления объектов, удаленных другими пользователями. В простейшем случае хакеру достаточно просмотреть чужую “мусорную корзину”. Если хакер использует для сборки мусора программную закладку, он может “собирать мусор” не только на дисках компьютера, но и в оперативной памяти.
  4. Превышение полномочий. Используя ошибки в программном обеспечении или администрировании ОС, хакер получает в системе полномочия, превышающие предоставленные ему согласно текущей политике безопасности. Превышение полномочий может быть достигнуто следующими способами:
  1. Атаки класса “отказ в обслуживании”. Эти атаки нацелены на полный или частичный вывод ОС из строя. Существуют следующие атаки данного класса:
Если программное обеспечение ОС не содержит ошибок, и если в ОС соблюдается адекватная политика безопасности, все перечисленные атаки малоэффективны. Однако, как показано в [3], такая ситуация крайне маловероятна. Поэтому система защиты АБС обязательно должна быть устойчива к ошибкам программного обеспечения и администраторов. Меры защиты, которые должны быть предприняты для повышения устойчивости ОС к ошибкам, сильно различаются для разных ОС. Но какие бы меры защиты не принимались, полностью устранить угрозу преодоления хакером защиты ОС невозможно. Администраторы АБС должны так построить политику безопасности, что даже преодоление хакером рубежа защиты, создаваемого операционной системой, не позволило ему нанести серьезный ущерб АБС.
Если атака ОС не является конечной целью хакера, а используется как первый этап атаки АБС, наибольший интерес для хакера представляют файлы баз данных и файлы программного обеспечения, используемого СУБД. Поэтому АБС должна быть построена так, чтобы эти файлы не были доступны ни одному пользователю ОС рабочих станций. Доступ к БД должен быть возможен только через сервер базы данных. В противном случае хакер, преодолев защиту рабочей станции, сможет доступ к файлам БД.
В некоторых распределенных информационных системах в качестве серверов баз данных используются обычные файловые серверы. В этом случае пользователи СУБД могут получить доступ к файлам БД средствами операционной системы. Хакер, преодолев защиту ОС, также получит доступ к файлам БД. Хотя хакер не сможет использовать средства СУБД для доступа к внутренней структуре этих файлов, при наличии определенной квалификации это и не нужно – хакер сможет восстановить структуру базы данных вручную.
Для того чтобы хакер, преодолевший защиту ОС, не смог причинить серьезный ущерб информации, хранящейся в базе данных, распределенная СУБД должна иметь архитектуру клиент-сервер. При этом должны выполняться следующие требования: Эти требования достаточно очевидны, но, как показывает опыт, далеко не всегда администраторы ими руководствуются.
На всех компьютерах, входящих в состав АБС, должны быть установлены достаточно защищенные операционные системы (SCO UNIX, Windows NT, Solaris и др., но не Windows 95 или OS/2). Для каждой операционной системы политика безопасности должна быть адекватной. При определении адекватной политики безопасности целесообразно ориентироваться на требования класса защиты C2 "Оранжевой книги”.
Возможные атаки на уровне сети.
На уровне сетевого программного обеспечения возможны следующие атаки на АБС:

  1. Прослушивание канала (возможно только в сегменте локальной сети). Практически все сетевые карты поддерживают возможность перехвата пакетов, передаваемых по общему каналу локальной сети. При этом рабочая станция может принимать пакеты, адресованные другим компьютерам того же сегмента сети. Таким образом, весь информационный обмен в сегменте сети становится доступным хакеру. Для успешной реализации этой атаки компьютер хакера должен располагаться в том же сегменте локальной сети, что и атакуемый компьютер.
  2. Перехват пакетов на маршрутизаторе. Сетевое программное обеспечение маршрутизатора имеет доступ ко всем сетевым пакетам, передаваемым через данный маршрутизатор, что позволяет осуществлять перехват пакетов. Для реализации этой атаки хакер должен иметь привилегированный доступ хотя бы к одному маршрутизатору сети. Поскольку через маршрутизатор обычно передается очень много пакетов, тотальный их перехват практически невозможен. Однако отдельные пакеты вполне могут быть перехвачены и сохранены для последующего анализа хакером. Наиболее эффективен перехват пакетов FTP, содержащих пароли пользователей, а также электронной почты.
  3. Создание ложного маршрутизатора. Хакер отправляет в сеть пакеты определенного вида, в результате чего компьютер хакера становится маршрутизатором и получает возможность осуществлять предыдущую угрозу. Ложный маршрутизатор необязательно заметен всем компьютерам сети – можно создавать ложные маршрутизаторы для отдельных компьютеров сети и даже для отдельных соединений.
  4. Навязывание пакетов. Хакер отправляет в сеть пакеты с ложным обратным адресом. С помощью этой атаки хакер может переключать на свой компьютер соединения, установленные между другими компьютерами. При этом права доступа хакера становятся равными правам того пользователя, чье соединение с сервером было переключено на компьютер хакера.
  5. Атаки класса “отказ в обслуживании”. Хакер отправляет в сеть пакеты определенного вида, в результате чего один или несколько компьютеров сети полностью или частично выходят из строя.

Сетевой уровень АБС обычно наиболее уязвим для атак хакеров. Это обусловлено тем, что канал связи, по которому передаются сетевые пакеты, является открытым – каждый, кто имеет физический доступ к этому каналу, может отправлять в канал пакеты произвольного содержания. Для обеспечения надежной защиты сетевого уровня АБС необходимо добиться максимальной “закрытости” сетевых каналов связи, другими словами, максимально затруднить несанкционированный информационный обмен в защищаемой сети. Существуют следующие меры защиты, позволяющие это осуществить:
  1. Максимальное ограничение объема защищаемой сети. Чем больше сеть (географически и по числу компьютеров), тем труднее ее защищать.
  2. Изоляция сети от внешнего мира. Если сеть АБС имеет выход в Internet, то задача организации ее защиты существенно усложняется. Это обусловлено тем, что в этом случае любой пользователь Internet имеет физический доступ к защищаемой сети. Если в системе защиты сети АБС имеется ошибка (в программном обеспечении или политике безопасности), воспользоваться ей может любой пользователь Internet. Если изолировать защищаемую сеть от Internet невозможно, администраторы защищаемой сети должны уделять особое внимание ограничению доступа к сети пользователей Internet.
  3. Шифрование сетевого трафика. Эта мера защиты позволяет полностью устранить угрозу перехвата пакетов. С другой стороны, шифрование трафика несколько снижает производительность сетевого программного обеспечения.
  4. Цифровая подпись сетевых пакетов. Все пакеты, передаваемые по сети, должны быть подписаны криптографически стойкой цифровой подписью. Данная мера позволяет полностью устранить угрозу навязывания пакетов и большинство угроз, связанных с отказом в обслуживании. Однако, для того, чтобы эта мера защиты принесла реальную пользу, необходимо, чтобы цифровая подпись пакета была обязательна и неподписанные пакеты игнорировались. В противном случае цифровая подпись защищает только от искажения легально отправленных пакетов, но не от навязывания пакетов хакером. Обязательное применение цифровой подписи пакетов возможно только в том случае, когда программное обеспечение, необходимое для подписывания пакетов, установлено на каждом компьютере сети. Если защищаемая сеть имеет выход в Internet, цифровая подпись пакетов малоэффективна.
  5. Межсетевые экраны (firewalls). Межсетевые экраны фильтруют передаваемые через маршрутизатор пакеты, не пропуская через маршрутизатор потенциально опасные пакеты, которые, возможно, были отправлены в сеть в ходе атаки сети хакером. Среди администраторов сетей распространено мнение, что межсетевые экраны позволяют надежно защитить локальные сети от атак хакеров из Internet, и являются в некотором роде панацеей. Однако это мнение в корне неверно.
Дело в том, что задача фильтрации пакетов является задачей искусственного интеллекта. Программа, не обладающая интеллектом, не всегда способна отличить потенциально опасный пакет от абсолютно безвредного. В результате при использовании межсетевых экранов типичной является ситуация, когда межсетевой экран, с одной стороны, не защищает от некоторых атак, и, с другой стороны, препятствует нормальной работе сетевого программного обеспечения.
Межсетевые экраны могут рассматриваться только как дополнительное средство защиты, которое целесообразно использовать, если защищаемую сеть невозможно изолировать от других сетей. При этом должны выполняться следующие требования:

Несколько полезных советов (вместо заключения).

Выше были перечислены наиболее типичные подходы к взлому защищенных компьютерных систем, которые могут быть применены к автоматизированным банковским системам. Все перечисленные методы атаки и защиты АБС описаны в наиболее общей форме. Применения этих методов в конкретных ситуациях могут заметно отличаться от приведенных здесь описаний.
Тем не менее, даже в самом общем случае существуют определенные правила, которых целесообразно придерживаться при организации защиты. Эти правила сформулированы ниже в виде практических советов.
  1. Всегда будьте в курсе последних новинок науки и техники в области компьютерной безопасности. Регулярно просматривайте материалы хакерских серверов Internet, подпишитесь на хакерские телеконференции (newsgroups). Подпишитесь на несколько журналов по компьютерной безопасности. Будьте образованнее вашего противника.
  2. Не старайтесь организовать абсолютно надежную защиту – чем мощнее защита системы, тем труднее пользователям с ней работать.
  3. Храните в тайне информацию о реализации защиты АБС. Чем меньше хакер знает об атакуемой системе, тем труднее ему осуществить атаку.
  4. Не пренебрегайте административными мерами защиты.
  5. Постарайтесь максимально ограничить объем защищаемой сети. Не подключайте защищаемую сеть к Internet без крайней необходимости.
  6. Перед тем, как приобрести новое программное обеспечение, почитайте о нем на хакерских серверах Internet.
  7. Размещайте серверы БД в охраняемом помещении. Никто не должен иметь доступ к базам данных иначе чем через сеть.
  8. Не допускайте хранения конфиденциальной информации на рабочих станциях сети.
  9. Ни один сервер БД не должен предоставлять услуги файлового сервера.
  10. Все без исключения пакеты, передаваемые по открытым каналам связи, должны шифроваться.
  11. Все без исключения пакеты должны подписываться цифровой подписью независимо от того, по какому каналу связи передается пакет.
  12. Все пути передачи пакетов в защищаемой сети должны быть статическими.
  13. Если защищаемая сеть физически связана с другими сетями, все пакеты, приходящие извне или уходящие вовне, должны проходить через межсетевые экраны. При этом должны осуществляться шифрование и подписывание пакетов.
  14. Не пренебрегайте аудитом. Любая атака АБС должна быть зафиксирована в журнале аудита. Просматривайте журнал аудита не реже одного раза в день.
  15. Если в журнале аудита зафиксировано необычно много событий, изучите новые записи этого журнала особо внимательно. Не исключено, что хакер подсовывает вам ложный след.
  16. Регулярно проверяйте целостность программного обеспечения АБС.
  17. Регистрируйте все изменения политики безопасности в специальном журнале (неэлектронном). Программная закладка, внедренная хакером, не сможет изменить данные в бумажном журнале. Регулярно сравнивайте текущую политику безопасности с той, которая описана в этом журнале.
  18. Создайте в системе несколько ловушек для хакеров. В роли ловушки может выступать, например, документ с заманчивым именем, прочитать который невозможно без использования программной закладки. Если система аудита зафиксировала успешное обращение к этому документу, значит, хакер сумел внедрить закладку в защищаемую систему.
  19. Регулярно тестируйте политику безопасности, принятую в вашей системе, специальными программами (satan, с2test и т.д.). Результаты работы этих программ рассматривайте как информацию к размышлению. Если программа тестирования говорит, что защищенность системы очень низка, посмотрите, к каким угрозам уязвима ваша система по мнению этой программы. Возможно, для вашей системы эти угрозы неактуальны. Если же программа тестирования, наоборот, сообщает, что с защитой в вашей системе все в порядке, это еще не повод успокаиваться.

Литература.
  1. Зегжда Д.П., Ивашко А.М. Как построить защищенную информационную систему. Мир и семья. СПб. 1997.
  2. Медведовский И.Д., Семьянов П.В., Платонов В.В. Атака через INTERNET. Мир и семья. СПб. 1997.
  3. Проскурин В.Г. Возможности опосредованного несанкционированного доступа к ресурсам операционной системы Microsoft Windows NT. Тезисы доклада на семинаре НТЦ АРБ “Защита информации в операционных системах и базах данных”. М. 1998.
  4. Проскурин Г.В. Принципы и методы защиты информации. МИЭМ. М. 1997.
  5. К. Столл. Яйцо кукушки. ИЦ-Гарант. М. 1996.
  6. Щербаков А.Ю. Разрушающие программные воздействия. Эдель. М. 1993.

seo & website usability inet html os faq hardware faq memory video cpu hdd mainboard faq printer & scaner modem mobiles

Windows 10 | Registry Windows 10 | Windows7: Общие настройки | Windows7: Реестр | Windows7: Реестр faq | Windows7: Настроки сети | Windows7: Безопасность | Windows7: Брандмауэр | Windows7: Режим совместимости | Windows7: Пароль администратора |  |  |  | Память | SDRAM | DDR2 | DDR3 | Quad Band Memory (QBM) | SRAM | FeRAM | Словарь терминов | Video | nVIDIA faq | ATI faq  | Интегрированное видео faq | TV tuners faq | Терминология | Форматы графических файлов | Работа с цифровым видео(faq) | Кодеки faq | DVD faq | DigitalVideo faq | Video faq (Архив) | CPU | HDD & Flash faq | Как уберечь винчестер | HDD faq | Cable faq | SCSI адаптеры & faq | SSD | Mainboard faq | Printer & Scaner | Благотворительность

На главную | Cookie policy | Sitemap

 ©  2004