Модель нарушителя информационных систем

Попытка получить несанкционированный доступ к информационной системе или вычислительной сети с целью ознакомиться с ними, оставить записку, выполнить, уничтожить, изменить или похитит программу или иную информацию квалифицируется как компьютерное пиратство. Как явление подобные действия прослеживаются в последние 15 лет, но при этом наблюдается тенденция к их стремительному росту по мере увеличения числа бытовых ПК.

Рост компьютерных нарушений ожидается в тех странах, где они широко рекламируются с помощью фильмов и книг, а дети в процессе игр рано начинают знакомиться с компьютерами. Вместе с тем растет число и более серьезных нарушений, связанных с умышленными действиями.

Следует разделить два определения: хакер (hacker) и кракер (cracker). Основное отличие состоит в постановке целей взлома компьютерных систем: первые ставят исследовательские задачи по оценке и нахождению уязвимостей с целью последующего повышения надежности компьютерной системы. Кракеры же вторгаются в систему с целью разрушения, кражи, порчи, модификации информации и совершают правонарушения с корыстными намерениями быстрого обогащения. Далее по тексту в некоторых случаях будем объединять их понятием «взломщик». Очевидно, что при несанкционированном доступе к информации наиболее губительным будет появление кракера. Иногда в литературе можно встретить термин крекер.

Однако компьютерные пираты (кракеры) не интересуются, насколько хорошо осуществляется в целом контроль в той или иной системе; они ищут единственную лазейку, которая приведет их к желанной цели. Для получения информации они проявляют незаурядную изобретательность, используя психологические факторы, детальное планирование и активные действия. Кракеры совершают компьютерные преступления, считая, что это более легкий путь добывания денег, чем ограбление банков. При этом они пользуются такими приемами, как взяточничество и вымогательство. Объектами кракерских атак становятся как фирмы и банки, так и частные лица.

В зависимости от мотивов, целей и методов действия всех взломщиков можно разбить на несколько групп начиная с дилетантов и кончая профессионалами. Их можно представить четырьмя группами:

• начинающим взломщиком;

• освоившим основы работы на ПЭВМ и в составе сети;

• классным специалистом;

• специалистом высшего класса.

В таблице представлены группы взломщиков в связке с их возможностями по реализации злонамеренных целей.

Таблица. Модель нарушителя в ИС

Группа Возможности проникновения  
  Запуск задач (программ) из фиксированного набора, реализующих заранее предусмотренные функции по обработке информации Создание и запуск собственных программ с новыми функциями по обработке информации Возможность управления функционированием ИС, т. е. воздействие на базовое ПО, на состав и конфигурацию ее оборудования Полное и всестороннее воздействие на средства ИС, вплоть до включения в состав ИС своих средств и ПО  
Начинающий взломщик +        
Освоивший основы работы на ПЭВМ и в составе сети + +      
Классный специалист + + +    
Специалист высшего класса + + + +  

Нарушитель является специалистом высшей квалификации, знает все про информационные системы, и в частности о составе и средствах ее защиты. Модель нарушителя определяет:

• категории лиц, в числе которых может оказаться нарушитель;

• возможные цели нарушителя и их градации по степени важности и опасности;

• предположения о его квалификации;

• оценка его технической вооруженности;

• ограничения и предположения о характере его действий.

Диапазон побудительных мотивов получения доступа к системе довольно широк: от желания испытать эмоциональный подъем при игре с компьютером до ощущения власти над ненавистным менеджером. Занимаются этим не только новички, желающие позабавиться, но и профессиональные программисты. Пароли они добывают либо в результате догадки, либо путем обмена с другими взломщиками.

Часть из них, однако, начинает не только просматривать файлы, но и проявлять интерес к их содержимому, а это уже представляет серьезную угрозу, поскольку в данном случае трудно отличить безобидное баловство от умышленных действий.

До недавнего времени вызывали беспокойство случаи, когда недовольные руководителем служащие, злоупотребляя своим положением, портили системы, допуская к ним посторонних или оставляя их в рабочем состоянии без присмотра. Побудительными мотивами таких действий являются:

• реакция на выговор или замечание со стороны руководителя;

• недовольство тем, что фирма не оплатила сверхурочные часы работы (хотя чаще всего сверхурочная работа возникает из-за неэффективного использования рабочего времени);

• злой умысел в качестве, например, реванша с целью ослабить фирму как конкурента какой-либо вновь создаваемой фирмы.

Недовольный руководителем служащий создает одну из самых больших угроз вычислительным системам коллективного пользования; это обусловлено еще и тем, что агентства по борьбе со взломщиками с большей охотой обслуживают владельцев индивидуальных компьютеров.

Профессиональные взломщики - это компьютерные фанаты, прекрасно знающие вычислительную технику и системы связи. Они затратили массу времени на обдумывание способов проникновения в системы и еще больше, экспериментируя с самими системами. Для вхождения в систему профессионалы чаще всего используют некоторую систематику и эксперименты, а не рассчитывают на удачу или догадку. Их цель - выявить и преодолеть систему защиты, изучить возможности вычислительной установки и затем удалиться, самоутвердившись в возможности достижения цели.

Благодаря высокой квалификации эти люди понимают, что степень риска мала, так как отсутствуют мотивы разрушения или хищения. Действительно, задержанные и привлекавшиеся к суду нарушители чаще всего упрекали свое начальство в дурном с ними отношении и оправдывали себя своей незащищенностью. Некоторые из них предлагали услуги в качестве консультантов фирмам, где накопились подобные проблемы.

Все это свидетельствует о том, насколько опасно наивное отношение ко взломщикам, которые, с одной стороны, по-детски хотят продемонстрировать свое умение внедряться в системы, а также ошибки и глупость фирм, не имеющих мощных средств защиты, и, с другой стороны, в случае их выявления хотят понести такое наказание, как если бы они не преследовали какого-либо злого умысла.

Такие личности, когда ими руководят недовольство и гнев, часто отыгрываются на других и относятся к той категории людей, которые никогда не настаивают на проведении проверок устройств защиты.

К категории взломщиков-профессионалов обычно относят: преступные группировки, преследующие политические цели; лиц, стремящихся получить информацию в целях промышленного шпионажа, и, наконец, группировки отдельных лиц, стремящихся к наживе.

Профессиональные пираты стремятся свести риск к минимуму. Для этого они привлекают к соучастию работающих или недавно уволившихся с фирмы служащих, поскольку для постороннего риск быть обнаруженным при проникновении в банковские системы весьма велик. Сложность и высокое быстродействие банковских вычислительных систем, постоянное совершенствование методов ведения и проверки документов и отчетности делают практически невозможным для постороннего лица перехватить то или иное сообщение или внедриться в систему с целью похитить данные. Существует и дополнительный риск: изменение одного компонента может привести к сбою в работе другого и послужить сигналом к объявлению тревоги.

Чтобы уменьшить риск, взломщики обычно завязывают контакты со служащими, у которых есть финансовые или семейные проблемы. Так сотни лет используется шпионаж как метод, вынуждающий людей идти на риск и преступления за минимальное вознаграждение или вовсе без него.

Для осуществления несанкционированного доступа в информационную систему требуется, как правило, провести два подготовительных этапа:

• собрать сведения о системе;

• выполнить пробные попытки вхождения в систему.

Сбор сведений.В зависимости от личности взломщика и его наклонностей возможны различные направления сбора сведений:

• подбор соучастников;

• анализ периодических изданий, ведомственных бюллетеней и документации;

• перехват сообщений электронной почты;

• подслушивание разговоров, телексов, телефонов;

• перехват информации и электромагнитного излучения;

• организация краж;

• вымогательство и взятки.

Многие владельцы систем часто не представляют, какую кропотливую подготовительную работу должен провести нарушитель, чтобы проникнуть в ту или иную компьютерную систему. Поэтому они самонадеянно полагают, что то единственное, что необходимо сделать, - это защитить файл, указав ему пароль, и забывают, что любая информация о тех или иных слабых местах системы может помочь взломщику найти лазейку и обойти пароль, получив доступ к файлу.

Полная картина вырисовывается в процессе постепенного и тщательного сбора информации. И если начинающие взломщики должны приложить к этому все свое умение, то профессионалы достигают результатов гораздо быстрее.

Подбор соучастников.Подбор соучастников основан на подслушивании разговоров в барах, фойе отелей, ресторанах, такси, подключении к телефонам и телексам, изучении содержимого потерянных портфелей и документов. Большую и полезную информацию можно извлечь, если представляется возможность подсесть к группе программистов, например в баре. Этот способ часто используют репортеры и профессиональные агенты.

Извлечение информации из периодических изданий.Взломщики могут почерпнуть много полезной информации из газет и других периодических изданий.

Перехват сообщений электронной почты.Обычно для подключения к электронной почте используется бытовой компьютер с модемом для связи с государственной телефонной сетью.

Завязывание знакомств.Для установления контактов с целью получить информацию о вычислительной системе или выявить служебные пароли взломщики могут использовать разнообразные приемы. Например, знакомясь, они представляются менеджерами; используют вопросники, раздавая их в фойе фирмы и детально расспрашивая сотрудников о компьютерной системе; звонят оператору ЭВМ в обеденное время с просьбой напомнить якобы забытый пароль; прогуливаются по зданию, наблюдая за доступом к системе; устанавливают контакты с незанятыми в данный момент служащими охраны, которым посетители при входе в здание фирмы должны предъявлять идентификационный код или пароль.

Более злонамеренным, но, возможно, и более успешным является метод «охоты за мозгами», когда на фирму приходит человек, якобы желающий работать системным программистом или инженером по линиям связи, и просит дать ему консультацию. Удивительно, как много информации может передать вовне служащий, не имеющий перспективы роста, но считающий себя достойным более важной и высокооплачиваемой должности; он может раскрыть коды пользователей, пароли, указать слабые места в сетях связи.

Анализ распечаток.Некоторые взломщики получили доступ к ЭВМ просто изучая распечатки, и это один из наиболее эффективных и наименее рискованных путей получения конфиденциальной информации. Многочисленные фирмы все еще теряют информацию со своих компьютерных систем, во-первых, ошибочно думая, что она не содержит конфиденциальной информации, и, во-вторых, ошибочно полагая, что все черновые распечатки добросовестно уничтожаются. Именно таким способом взломщики смогли получить весьма полную картину организации компьютерной системы, используя выброшенные распечатки и невостребованные протоколы работы системы, которые сотрудникам вычислительного центра представлялись безобидными бумажками.

Перехват сообщений в каналах связи.Долгое время считалось, что о перехвате сообщений может идти речь лишь в связи с деятельностью военных или секретных служб. Благодаря тому что число фирм, оснащенных вычислительной техникой, постоянно растет, перехват сообщений стал весьма реальной угрозой и для коммерческого мира. Спектр возможных перехватов весьма широк - перехват устных сообщений с использованием радиопередатчиков, микрофонов и микроволновых устройств; подслушивание сообщений, передаваемых по телефону, телексу и другим каналам передачи данных; контроль за электромагнитным излучением от дисплеев; перехват спутниковых или микроволновых передач.

Установкой радиопередатчиков, микрофонов и микроволновых устройств или прослушиванием линий связи обычно занимаются профессиональные взломщики, а также предприимчивые любители и специалисты по связи. В последнее время число случаев установки таких устройств возросло. Излюбленными точками бесконтрольного доступа являются телефонные линии.

Существует риск при использовании трехуровневых систем связи, поскольку абонент не в состоянии контролировать работу инженеров и доступ в здание и к оборудованию. Передача данных с коммутацией пакетов или с использованием широкополосных линий связи со скоростями в тысячу и миллионы бод вызывает интерес у взломщиков и может быть перехвачена, чтобы выкрасть передаваемые сообщения, модифицировать их содержимое, задержать или удалить.

Кражи.Администраторы и менеджеры фирм получили возможность брать работу домой или при необходимости связываться и передавать информацию по телефонным каналам в банк данных фирмы. Коммивояжеры могут совершать сделки, используя терминалы в номерах отелей, или получать доступ к информации непосредственно из салона автомобиля. Это создает почву для осуществления краж в домах, автомобилях, отелях с целью получить информацию для последующего вхождения в вычислительную систему.

Взятки и вымогательство.Преступный мир традиционно играет на человеческих слабостях и несчастьях, таких, как чрезмерное увлечение азартными играми, семейные неурядицы, трудноразрешимые финансовые проблемы, долги, оплата медицинских счетов и т. п.

К сожалению, большинство фирм не предусматривает ни штата сотрудников по безопасности, ни каких-либо дисциплинарных процедур, чтобы обнаружить, помешать или снизить риск от действий служащих, попавших под влияние кракеров.

Получив необходимый объем предварительной информации, компьютерный кракер делает следующий шаг - осуществляет непосредственное вторжение в систему. Используемые им при этом средства будут зависеть от количества информации, имеющейся в его распоряжении. Чтобы осуществить несанкционированное вхождение в систему, кракеру требуется знать номер телефона или иметь доступ к линии связи, иметь протоколы работы, описания процедур входа в систему, код пользователя и пароль.