Юрий Гиммельфарб - Откат

– Я не понимаю, чего вы от меня хотите, – с огорчением развел руками Сергей.

В ответ на это Оленька развернулась и громко хлопнула дверью, предварительно обиженно и заявив:

– От вас никогда не дождешься помощи! Ладно! Пойду в другое место!

«Где еще, в каком „другом месте“ эта малахольная собралась требовать себе некий мифический список тем дипломных работ, подумал Сергей».

Вероятно, она хотела посмотреть в долбанных интернет-коллекциях рефератов, готовые работы на какие темы там уже есть, чтобы выбрать себе кафедру и «научного руководителя», исходя из этих реалий, и самой диплом не писать, взять готовый.

«Если я угадал, то я не виноват, подумал Сергей. Заканчивая юридический факультет, эта молодая особа – будущий адвокат! – не научилась понятно изъясняться… Впрочем, она не научилась этому в любом случае – даже если хотела чего-то другого».

Однако надо приступать к выполнению задания. Надо обнаружить несанкционированное вторжение в систему.

Конечно, этот баран Корзинкин не дал ему никакой информации – ну и хрен с ним! Он и так разберется! Для начала надо понять: откуда появился тот, кто влез в почту Штерна? Что это было: внешнее вторжение – или инсайдерские 7 7 Инсайдерская атака – несанкционированное проникновение в систему, организованное сотрудниками организации, то есть изнутри локальной сети (Прим. Автора). фокусы?

Вообще по сути дела обнаружение вторжений – это самая главная задача, выполняемая сотрудником, ответственным за безопасность информации в организации, при обеспечении защиты от атак. Обнаружение вторжений – это активный процесс, при котором происходит обнаружение хакера при его попытках проникнуть в систему. В идеальном случае, при самой попытке проникновения такая система лишь выдаст сигнал тревоги сразу же. Но на практике такое бывает редко: чаще всего факт несанкционированного вторжения в локальную сеть удается обнаружить лишь после того, как сам факт вторжения уже был и преступник собрал или собирает интересующую его информацию.

По сути, системы обнаружения вторжений появились очень давно. Первыми из них можно считать ночной дозор и сторожевых собак. Дозорные и сторожевые собаки выполняли две задачи: они определяли инициированные кем-то подозрительные действия и пресекали дальнейшее проникновение злоумышленника. Как правило, грабители избегали встречи с собаками и, в большинстве случае, старались обходить стороной здания, охраняемые собаками. То же самое можно сказать и про ночной дозор. Грабители не хотели быть замеченными вооруженными дозорными или охранниками, которые могли вызвать полицию.

Сигнализация в зданиях и в автомобилях фактически тоже разновидность системы обнаружения вторжений. Если система оповещения обнаруживает событие, которое должно быть замечено (например, взлом окна или открытие двери), то выдается сигнал тревоги с зажиганием ламп, включением звуковых сигналов, либо сигнал тревоги передается на пульт полицейского участка. Функция пресечения проникновения выполняется посредством предупреждающей наклейки на окне или знака, установленного перед домом. В автомобилях, как правило, при включенной сигнализации горит красная лампочка, предупреждающая об активном состоянии системы сигнализации.

Примерно то же самое происходит и с компьютерами. Сигнализация, оповещающая о проникновении грабителя, предназначена для обнаружения любых попыток входа в защищаемую область, когда эта область не используется. Система обнаружения вторжений предназначена для разграничения авторизованного входа и несанкционированного проникновения, что реализуется гораздо сложнее. Здесь можно в качестве примера привести ювелирный магазин с сигнализацией против грабителей. Если кто-либо, даже владелец магазина, откроет дверь, то сработает сигнализация. Владелец должен после этого уведомить компанию, обслуживающую сигнализацию, о том, что это он открыл магазин, и что все в порядке. Эту систему, напротив, можно сравнить с охранником, следящим за всем, что происходит в магазине, и выявляющим несанкционированные действия: например, пронос огнестрельного оружия. К сожалению, в виртуальном мире «огнестрельное оружие» очень часто остается незаметным.

Для начала, решил Сергей, посмотрим имеющиеся датчики обнаружения вторжений, которые он сам настроил при установке операционной системы на сервере. Начнем с анализа системных журналов.