Informācijas pārtveršanas briesmas lokālajos datortīklos

Lokālo Ethernet tīklu daudzo pozitīvo īpašību medus mucu bojā būtisks trūkums — nosūtāmās informācijas neaizsargātība.

Ethernet un uz tās bāzes pieņemtais standarts IEEE 802.3 ir viens no labākajiem lokālo tīklu risinājumiem. Ethernet tīkli ieguvuši popularitāti, pateicoties augstai datu caurplūsmai, vieglajai uzstādīšanai un nelielajām tīkla iekārtu izmaksām. Datu pārraides standartātrumu 10 Mbit/s nav grūti palielināt līdz 100 Mbit/s (Fast Ethernet) vai pat līdz 1 Gbit/s (Gigabit Ethernet). Taču šai lieliskajai tehnoloģijai ir arī daži trūkumi. Viens no tiem — neaizsargāta nosūtāmā informācija. Ethernet tīklā pieslēgtie datori spēj pārtvert kaimiņam adresētu informāciju. IT eksperti lēš, ka 75 procenti uzņēmuma informācijas sistēmu drošības pārkāpumu notiek iekšpusē — tos izdara neapmierināti uzņēmuma darbinieki vai parasti informācijas zagļi. Tādēļ būtiski apzināties, cik plašs ir hakera darbības lauks un iespējas, rosoties uzņēmuma lokālajā datortīklā.

Lokālajos tīklos raksturīga plato kanālu datu pārraide (platpārraide). Citiem vārdiem, lokālajos tīklos datori parasti izmanto vienu un to pašu kabeli, tādēļ nosūtāmā informācija pieejama ne tikai saņēmējam, bet arī citiem datoriem, kas atrodas šajā tīklā. Līdzīgi darbojas arī satelītu tīkli — signālus spēj saņemt vairāki lietotāji vienlaikus, taču šajā gadījumā tieši tas ir pārraides mērķis. Lokālo tīklu pamatproblēma ir panākt vairāku datoru mierīgu līdzāspastāvēšanu. Ja datortīklā vienlaikus runā vairāki datori, kopējā ciparu kvantumā hakerim būtu grūti izšķirt nepieciešamo informāciju. Viens no pirmajiem kopējās tīkla pielaides algoritmiem ALOHA darbojas vienkārši — jebkurš dators jebkurā brīdi var noraidīt informāciju. Ja rodas konflikts ar citiem raidītājiem, stacija saņem informāciju par datu kropļojumu. Ja notikusi datu izkropļošana un informācija ir nozaudēta, stacija gaida noteiktu laika posmu un vēlreiz pārraida datus. ALOHA modificēto variantu — Slotted ALOHA — izmanto arī satelītu tīklos. ALOHA efektivitāte nav īpaši augsta — vairāk nekā puse caur kanālu izlaisto joslu iet zudumā. Lokālajos datortīklos, atšķirībā no satelītu iekārtu tīkliem, katra stacija pirms datu pārraides var noklausīties nesošo signālu un tādējādi noteikt, vai kanāls ir brīvs. Tas tiek darīts, izmantojot Ethernet tīkla CSMA/CD (Carrier Sense Multiple Access with Collision Detection — nesēja jušanas un sadursmju atklāšanas daudzpieeja) algoritmu. Datoram, kas vēlas pa kopējo kanālu nosūtīt datus, jāpārliecinās, ka tīkla kanāls ir brīvs. Pēc šīs operācijas var nosūtīt informāciju, kuru var sadzirdēt arī kaimiņi. Ja pārraides laikā notiek signālu sadursme, stacija uz noteiktu laika intervālu apklust. Ja stacija pati neko nepārraida, tā tomēr turpina klausīties ziņojumus, kas tiek noraidīti pa tīklu no citām darba stacijām. Saskatījusi pārraidītā datu kadrā savu adresi, stacija to kopē atmiņā un nosūta apstrādei augstākā līmeņa protokolam. Kā redzams, CSMA/CD algoritms pakļauj datoru nepārtrauktai noklausīšanās procedūrai.

Katrs datortīkla adapteris dzird visu, ko runā viņa kaimiņš, kas atrodas tajā pašā tīkla segmentā, taču adapteris apstrādā tikai tos kadrus, kuri satur informāciju, kas paredzēti konkrētai datora adresei (MAC — tīkla adaptera adrese). Taču mūsdienu Ethernet tīkla adapteros pastāv īpašs juceklīgais režīms (promiscuous mode), tāpēc adapteris kopē atmiņā visus garām slīdošos kadrus (vai gandrīz visus: ja datu pārraides ātrums ir 10 Mbit/s, dators nespēs iekopēt visus datu kadrus). Lai kontrolētu tīkla darbību un noteiktu visvairāk noslogotos segmentus, noder speciāls programmu nodrošinājums — protokola analizatori. Diemžēl jāatzīst, ka protokola analizatoru programmas datu pārtveršanai spēj izmantot arī jebkurš svešu noslēpumu okšķeris, piemēram, pārtverot elektroniskā pasta un citas paroles, arī tās, ko tīkla administrators noraida caur telnet protokolu.

Windows vidē strādājošajām protokolu analizatoru programmām irplašs funkciju spektrs, lai dekodētu zināmos protokolus (no NetBIOS līdz TCP/IP un SNA), tādēļ tās var izmantot, lai izprastu protokola darbību. Protokolu analizatori ļauj savākt arī statistiku par tīklā noraidīto informāciju. Interneta serveros dažas šāda tipa programmas var iegūt bez maksas. Piemēram, www.softseek.com, veicot protocol analyzes meklēšanu, tiek dotas norādes uz vairākām programmām: EtherPick, SnifferPro98LanANASIL, Lan Explorer, NetXRay u. c. Vienas no labākajām savā klasē ir firmas Intellimax izstrādātā programma Lan Explorer un firmas Network General Corporation radītā NetXRay (tulkojumā — tīkla rentgens). NetXRay piemīt daudz funkciju, kas ļauj ātri: kopēt fragmentus lokālajā tīklā; konstatēt, kuras stacijas rada vislielāko tīkla noslogojumu; sastādīt atskaites un izveidot diagrammas. Diemžēl internetā pieejamā NetXRay bezmaksas versija ir ierobežota nevis ar lietotāja laiku (kā tas parasti ir ar bezmaksas programmām), bet gan ar pārtvertā trafika daudzumu. Lan Explorer internetā pieejamā versija funkcionē pilnībā, turklāt tā turpina darboties arī pēc 30 dienu izmēģinājuma laika.

Par analizatora programmu galveno kodolu varētu uzskatīt tīkla draivera adapteru un tā specifikāciju NDIS (Microsoft specifikācija tīkla komponentiem). Tātad jebkura analizatora darbībai nepieciešams draiveris: VXD (Windows 95/98), SYS (Windows NT) vai WDM (jauns vienots standarts Windows 98/NT). Windows NT pēc programmas instalācijas draiveris noteikti jāreģistrē sistēmā, citādi analizators nevarēs sākt darboties. Tātad, ja tīkla administrators konstatē, ka parasts darba stacijas lietotājs reģistrējis tīklā SYS draiveri, skaidrs, ka šim lietotājam padomā kaut kas nelabs. Lai no tā izvairītos, tīkla administrators var liegt iespēju lietotājiem uzstādīt SYS draiveri. Taču praksē gadās, ka tīkla administrators uzstāda nevis sarežģītāko Windows NT, bet gan lietotājam draudzīgāko Windows 95/98. Ja miermīlīgais datorlietotājs nolēmis pārtapt par hakeri, Windows 95/98 nekavēs to darīt — VXD draiveris sāk darboties automātiski.

Katram analizatoram tiek uzstādīts filtrēšanas režīms protokolu pārtveršanai un dekodēšanai, kas palīdz ātri atfiltrēt neinteresējošos datu kadrus. Ko var ieraudzīt kaitnieks? Pirmais, kas pamanāms, — apstiprinātās pasta paroles, POP (Post Office Protocol), kurus nosūta pasta lietotājam reizi pāris minūtēs elektroniskā pasta pārbaudei. Protokols POP nesatur nekādas šifrēšanas iespējas, tādēļ, uzstādot filtru POP adreses pārtveršanai, var uzzināt lietotāja vārda (login) un paroles konkrēto kombināciju, lai piekļūtu elektroniskā pasta serverim.

Darbs ar Lan Explorer vai NetXRay paroles meklēšanai datu plūsmā var aizņemt vairākas minūtes, bet firmas NDG Software programma PacketBoy maksimāli atvieglo dzīvi — informācija par parolēm automātiski izdalās no datu plūsmas un parādās uz ekrāna. Šis analizators POP (paroli) uztver kā aizsardzības pārkāpumu, Lan Explorer pat izdod īpašu paziņojumu. Pastāv iespēja šifrēt e-pasta paroles, izmantojot speciālu programmu, kas radīta uz POP bāzes — APOP protokolu (Authentication POP). Kad darbojas APOP, tīklā katru reizi pārraida jaunu kodētu kombināciju, tādēļ autentifikācijas dialogu pārtvērušais hakeris nespēs iegūt nekādus reālus datus. Diemžēl APOP protokolu neizmanto visi pasta serveri un klienti (viena no e-pasta programmām, kurā iekļauts APOP protokols, ir firmas Qualcomm programma Eudora). Tādēļ pārsvarā cieš e-pasta ziņojumi, kuri izmanto neaizsargāto POP protokolu. Atcerieties — jūsu pasta paroli var atklāt jebkurā brīdī.

Pat tad, ja uzņēmums izmanto APOP protokolu, pastāv daudzi citi draudi drošībai. Ar programmas NetXRay palīdzību var piekļūt pie jebkuras sūtītās informācijas, pat nezinot e-pasta paroli. Šī programma ļauj uzstādīt pārtveršanas filtru ne tikai konkrētiem protokoliem, bet arī sistēmai sūtītājs — saņēmējs. Uzstādot kā izsūtītāju e-pasta servera adresi, bet kā saņēmēju — upura datora adresi, hakeris var pārtvert visu informāciju, kas nāk pa e-pastu (pašu saturu). Vienīgā problēma — iegūtā informācija ir fragmentāra (maksimālais kadra izmērs Ethernet tīklā — 1500 bitu), bet tas parāda, ka ir iespējama informācijas noplūde. Šo procesu var veikt, ja lietotājs sūta e-pastu uz serveri, tikai šajā gadījumā notiek nevis POP, bet SMTP protokola pārtveršana. Secinājums viens — īpaši svarīgu un konfidenciālu informāciju vēlams šifrēt.

Ar protokola analizatora palīdzību iespējamsiegūt arī bezmaksas pasta servisu, piemēram, Hotmail, Navigators.lv u. c. pasta adrešu lietotāja vārdus un paroles. Mazliet grūtāk hakerim pārtvert datus, ja sūtījums tiek pārraidīts caur interneta pārlūkprogrammu, nevis speciālo e-pasta programmu. Iedarbinot protokola analizatoru, var pārliecināties, ka pārsvarā visi bezmaksas pasta serveru sistēmas izmanto vienu un to pašu veidu lietotāja vārda un paroles pārraidei. Informācija tiek raidīta HTTP nešifrētā veidā (HTTP — teksta informācija, kas dod pieprasījumu serverim par Web lappusi). Izmantojot NetXRay, var atrast lietotāja login un password datus.

Tīkls Ethernet 10Base2 ir tipisks piemērs tam, ka visi dzird visu. Daudz dārgāks savienojuma veids — taču ar iespējām ātrākai datupārraidei — vītā pāra kabeļi (marķējums UTP vai STP). Šis vītais pāris savieno katru datoru ar centrālo komutējošo iekārtu — koncentratoru vai komutatoru. Tīkls Ethernet 10BaseT ar koncentratoriem un komutatoriem mazliet ierobežo kaitnieku darbu. Lietotāji tādos tīklos tiek sadalīti grupās, kas iekļautas kopējā sistēmā, radot jucekli (šai gadījumā CSMA/CD algoritms koncentratorā tiek īstenots nevis starp visiem datoriem, bet atsevišķām grupām, kas arī palielina datu plūsmas ātrumu). Kaitnieks var pārtvert tikai vienu domēnu grupu (protams, var arī pieslēgties pie cita koncentratora porta un pāriet uz citu domēnu). Pēdējā laikā koncentratori lielos lokālos tīklos tiek aizstāti ar ātriem komunikatoriem. Tie var arī neizmantot CSMA/CD algoritmu un nesavienot portu grupas. Šai gadījumā visi dati savācas atmiņā un tiek izsūtīti pēc iespējām. Tā hakeru darbības iespējas var samazināt līdz minimumam. Taču pagaidām šādu tīklu sistēmu ir maz — ap 90 procentu tīklu darbojas pēc kāda no iepriekš minētajiem variantiem (Ethernet 10Base2 vai Ethernet 10BaseT).

Edmunds Zvirgzds