Кpиптогpафия от папиpуса до компьютеpа


Атаки на канал телефонной связи - часть 3


Угроза проникновения в компьютерную систему извне никогда не может быть полностью устранена, особенно если не исключена нелояльность служащих. Однако формальные процедуры доступа к системе, которые открывают доступ только после обратного вызова удаленного терминала, сделали многое для уменьшения риска вторжения. Все более популярной становится техника защиты коммуникаций от хакеров и других более зловещих нарушителей систем как обратный вызов, при котором законный пользователь обращается к системе, с которой он желает соединиться, указывая свой идентификатор и, возможно, пароль. После этого он разъединяется и ждет систему, чтобы она установила с ним связь по заранее указанному номеру. Нарушитель при этом не может определить обратный номер, который тщательно защищен, и, даже введя правильные имя и пароль, не сможет проникнуть в систему, которая поддерживает связь лишь с зарегистрированными номерами телефонов. Недостаток этого метода - жесткая привязка абонентов сети к их телефонам.
     Абсолютно надежная защита канала связи выполняется с помощью шифрования, тем более, что доступная для этого аппаратура имеется в продаже. Отечественное устройство типа КРИПТОН является специализированным шифратором, применяемым для IBM PC. Оно реализует российский стандарт шифрования ГОСТ 28147-89 и довольно удобно в работе. Скорость его шифрования перекрывает все возможности СОМ портов любого типа. Цена его около $300. Другой пример устройства для шифрования коммуникаций дает отечественный переносной телефонный скрамблер РК-145 с питанием от батарей, которых хватает на 150 часов непрерывной работы. Похож на него, но более надежен, профессиональный цифровой скрамблер РК-1235, использующий до 10**7 секретных ключей.
    

Оба этих скрамблера могут поместиться в дипломат средних размеров. Меньше по размеру телефонный скрамблер СТ, напоминающий удлиненную коробку, которую ставят рядом с телефоном и кладут на нее телефонную трубку. Английская фирма MLC International выпускает шифратор данных Ciphermaster, предназначенный для защи- ты в каналах связи от хакеров, который обеспечивает три уровня шифрования. Шифрование в направлениях приема и передачи осуществляется на разных ключах, изменяемых автоматически через различные интервалы времени. Фирма США Newbridge Microsystems выпускает шифрпроцессор, работающий по принципу системы с открытым ключом шифрования. Процессор ориентирован на использование в системах связи. Он позволяет реализовать протоколы генерирования, хранения и распределения ключей шифрования, аутентификации и режимы блочного или потокового шифрования данных. Он имеет самотестирование и защищен от катастрофических ошибок шифрования. К недостаткам этого метода нужно отнести лишь необходимость оснащения всех абонентов шифраторами, что при развитой сети влечет существенные расходы. Применение скрамблеров может также несколько снизить скорость передачи данных, поскольку шифрованные данные практически неуплотняемые и коммуникационный протокол V42 с уплотнением неэффективен.
     Системы эффективно защищают себя от проникновения обратным запросом в предположении, что хакер не может связаться с модемом компьютера при обратном запросе, если только он не может включиться непосредственно в телефонную линию. Однако это предположение не всегда истинно. Ряд телефонных станций, к сожалению, оставляет много возможностей для хитрого нарушителя связаться при обратном запросе с глупым модемом как законному пользователю. Некоторые телефонные-станции осуществляют контроль вызова так, что соединение управляется исключительно вызывающим телефоном. Это означает, что если хакер сигналами имитировал законного пользователя и не повесил трубку, то соединение с ним не будет разорвано, даже если модем сети свою трубку повесил. Редкий модем может определить - было ли разорвано соединение, когда сам модем повесил трубку. Если та же самая линия используется и для набора номера законного пользователя, то нет никаких стандартных способов определить, что нарушитель все еще висит на линии. Это означает, что модем сети, повесив трубку, снова ее снимет, наберет номер и будет ждать тон ответа. Если ха- кер настолько любезен, что, не вешая трубки, пошлет в линию сначала тон приглашения от своего модема, а после того, как прослушает набор номера, выдаст тон ожидания, то легко сделает связь и сможет проникнуть в систему. Хорошо защищают системы с обратным вызовом старые типы АТС (их в России большинство), где повешенная трубка на любом конце линии обеспечит разрыв соединения. Система с обратным вызовом, использующая отдельную линию для получения запроса и отдельную для вызова еще лучше, при условии, что хакер не может соединиться с модемом, который работает лишь на вызов, или телефонная линия относится к такому типа, что вообще не может принимать поступающие звонки. К сожалению, чем современней техника, тем больше риск хакерства.
     Можно еще настроить модем так, чтобы определенный код добавлялся к вызову номера, открывая доступ к системе. Это позволяет использовать еще один способ, кроме паролей, чтобы отсечь посторонние звонки. Для этого нужен модем вроде Courier, поддерживающий команду АТ%Т. Такая команда проверяет тональный набор, который идет в модем. Цифры набора разделяются нулями, то есть паузами, так как нуль не соответствует никакая тональная комбинация. Если принят неправильный код, то модем оборвет связь, послав команду АТН0. Концепция такого кодового доступа могла бы быть следующей. Когда законный пользователь набирает номер телефона сети и модем установит соединение, то пользователь посылает в ответ кодовый набор. Если код набран быстро и правильно, это будет подтверждать законность связи.

     YOU> AT DT 123-4567 @89
     NET> RING
     NBT> ATDT1;
     NET> OK
     NET> АТ%Т
     NET> 8090
     NET> ATA

После того, как модем наберет номер телефона сети 123-4567, символ @ заставит модем ждать ответ. Когда сеть получит звонок и пошлет тоном 1, то модем в ответ наберет код доступа 89. Команда модема сети АТ%Т заставляет контролировать тональный набор в линии, а именно "8090", который является кодом 89, разделенным нулями. В такой системе можно иметь определенный код для каждого отдельного пользователя, делать коды настолько длинными, что их подбор станет невозможным и менять коды при каждом обращении без участия пользователей. Дороговизна модемов пользователей будет компенсирована повышенной секретностью и надежностью связи.




- Начало -  - Назад -  - Вперед -