Компьютерная разведка

Магнитометрическая разведка (ММР)

Под ММР понимается добывание информации путем обнаружения и анализа локальных изменений магнитного поля Земли под воздействием объ­ектов разведки с большой магнитной массой

ММР решает следующие основные задачи:

- обнаружение и определение объектов находящихся в водной среде;

- определение «магнитных портретов» объектов и проведение их классификации.

Для решения указанных задач аппаратура ММР устанавливается на подводных стационарных средствах, кораблях, самолетах и вертолетах, а также на поверхности Земли.

Основной силовой характеристикой магнитного поля является вектор магнитной индукции (В). Единицей магнитной индукции в системе СГС является гаусс (Гс), в системе СИ - тесла (Т);

1 Гс=10-4 Т.

Магнитометры различных типов измеряют либо вектор магнитной индукции, либо его составляющие.

Напряженность магнитного поля рассматривается в физике как вспомогательный вектор, но в ММР именно напряженность считается основной ха­рактеристикой магнитного поля.

С учетом того, что в системе СГС единица напряженности магнитного поля (эрстед) и единица магнитной индукции (гаусс) численно совпадают и имеют одинаковую размерность, переход от напряженности магнитного поля в системе СГС к единицам магнитной индукции в СИ осуществляется просто: напряженности поля 1 гамма соответствует индукция

1 нТ=10-9 Т.

При ведении разведки чаще всего измеряют любой полный вектор магнитного поля либо одну, чаще всего вертикальную, составляющую аномального поля (Za).

Зная Za, можно рассчитать горизонтальную составляющую аномального поля (На).

На является векторной разностью наблюдаемого Н и нормального Но поля. Следовательно, для ее вычисления нужно определить первый вектор и знать второй.

В последние годы в практику разведки внедряются магнитометры для измерения полного вектора магнитного поля, а по результатам этих измерений приращение модуля полного вектора. Эти приборы по сравнению с z -магнитометрами имеют меньшие погрешности измерений.

 


 

Компьютерная разведка - это деятельность, направленная на получение информации из электронных баз данных ЭВМ, включенных в компьютерные сети открытого типа, а так же информации об особенностях их построения и функционирования.

Целью компьютерной разведки является добывание сведений о предмете, конечных результатах, формах и способах деятельности субъектов, являющихся пользователями информационно-вычислительной сети, и используемом аппаратурном и программном обеспечении, протоколах управления и информационного взаимодействия и используемых средствах и методах защиты информации.

Компьютерная разведка - новейший вид технической разведки. Ее появление связано с развитием в современной военной науке концепции информационной войны. Например, в США выпущены два полевых устава FМ-100-5 и FМ-100-6, излагающие основы информационной войны и информационной операции. Цель информационной войны - обеспечение своему государству информационного господства, которое в наш век - век информации представляется необходимым условием того, чтобы военно-экономический потенциал государства смог привести к реальной победе.

Важнейшая роль в достижении информационного господства отводится виртуальной разведке - разведке, ведущейся в информационных потоках, которые в гигантских количествах производятся всеми государственными и частными организациями, а также отдельными индивидуумами. Она включает в себя три основных направления: разведку в информационно-вычислительных компьютерных сетях, разведку в бумажных и электронных средствах массовой информации, разведку в непериодических изданиях, в том числе, в открытых и т.н. «серых» (т.е. не имеющих грифа секретности, но не предназначенных для массового распространения - отчетах о НИР, аналитических справках, деловой переписке, диссертациях и т.п.).

Виртуальная разведка представляет собой целый комплекс взаимосвязанных действий оперативного и технического характера. Важнейшей технической компонентой виртуальной разведки является компьютерная разведка (рис. 9) - целенаправленная деятельность по добыванию с помощью средств вычислительной техники и программного обеспечения разведывательной информации, обрабатываемой в информационно-вычислительных сетях и/или отдельных средствах вычислительной техники.

Компьютерную разведку разделяют на добывающую и обрабатывающую. В полевом уставе США FМ 100-6 приводится иерархия ситуационной осведомленности (рис. 1.2.), представляющая собой пирамиду, в основании которой лежат данные. На втором уровне находится информация, получаемая путем обработки данных. Изучение информации приводит к формированию знаний (следующий уровень осведомленности), а знания посредством суждения способствуют пониманию (верхний уровень). Задача добывающей разведки состоит в получении данных, а обрабатывающей - в преобразовании данных в информацию и приведение ее в форму, удобную для пользователя.

Добывающая разведка бывает предварительной и непосредственной. Задача предварительной разведки - получение сведений о самой автоматизированной системе обработки данных (АСОД) противника. Цель предварительной разведки - подобрать данные, необходимые для последующего проникновения в АСОД противника.

Разведка: используется для получения и обработки данных, а также для преобразования информации в удобную для пользователя форму с целью увеличения знания командующего о ситуации
Знание способствует пониманию, ведущему к принятию командирскою решения (т.е. концепции операции в процессе ее планирования или к немедленному приказу подчиненным структурам в ходе самой операции)

 

Рис. 1.2. Иерархия ситуационной осведомленности и роль разведки в ее достижении

 

Цели предварительной разведки достигаются путем добывания открытых и закрытых сведений. К открытым сведениям можно отнести данные о характере и режиме работы АСОД объекта разведки; квалификации его персонала; составе и структуре самой АСОД, используемом программном обеспечении; протоколах управления и взаимодействия; средствах и методах защиты информации, используемых в АСОД. Для получения этих сведений нет необходимости прибегать к приемам оперативной работы (подкупу персонала, краже документации и т.п.). Эти сведения, как правило, не являются закрытыми и могут быть получены при перехвате сетевого трафика интересующей АСОД либо при попытке установить сетевое соединение непосредственно с самой АСОД когда по характеру получаемого отклика можно сделать соответствующие выводы.

Установление первичного контакта с АСОД противника, как правило, еще не дает доступа к интересующей информации. Для этого необходимо получить дополнительные сведения закрытого характера. К таким сведениям относятся пароли, коды доступа, информация о принятых в АСОД правилах разграничения доступа, сетевые адреса вычислительных средств противника. Для получения подобных сведений существуют разнообразные программные средства. К ним относятся, например, программы-демоны, перехватывающие все команды, вводимые в АСОД. Другим средством являются снифферы - программы, считывающие первые 128 бит каждого файла, в которых нередко помещается служебная информация о самом файле и об АСОД. Существуют также специальные программы подбора паролей. Успеху подобных программ способствуют многочисленные ошибки в современном программном обеспечении, что, по-видимому, объясняется его сложностью и относительной новизной. Помимо ключей, интерес представляет перехват кусков зашифрованного текста с заранее известным содержанием. Это позволяет выделить из шифрограммы секретный ключ, который используется для дальнейшего криптоанализа всего текста. Сведения, собранные об АСОД против­ника подобным образом, открывают путь к добыванию информации, интере­сующей заказчика, т.е. к ведению непосредственной разведки.

На стадии непосредственной разведки, как и на всех остальных, добываются не только закрытые, но также «серые» и открытые сведения. Роль открытых сведений в достижении общей ситуационной осведомленности о противнике достаточно велика.

Важнейшим достоинством перехвата открытых сведений при ведении компьютерной разведки является то, что эти сведения могут быть по­лучены без нарушения принятых в АСОД правил разграничения доступа к информации. Сбором и анализом открытых сведений в сетях официально занимается множество организаций, которые за определенную плату выполняют заказы на поиск той или иной информации. Любой пользователь сети Интернет может самостоятельно вести поиск и анализ требуемой информации с помощью известных поисковых серверов, таких как Alta Vista, Rambler и др. При необходимости получить сведения закрытого характера организуется непосредственная атака на объект с использованием данных предварительной разведки.

Добывание закрытых сведений всегда связано с несанкционированным доступом к информации противника и имеет своим следствием утечку информации. Получение закрытых сведений осуществляется как в самой АСОД объекта, так и в информационно-вычислительных сетях, внешних по отношению к АСОД.

Во внешних сетях перехватываются те сообщения, которые объект разведки пересылает внешним адресатам, либо, в случае виртуальной сети, те сообщения, которые циркулируют между отдельными сегментами АСОД. Можно выделить следующие способы перехвата закрытых сведений во внешних сетях:

- изменение маршрутизации при пересылке сообщений, что позволяет отправлять информацию через «свой» сервер, на котором производится перехват и запись данных;

- чтение электронной почты, которая как правило является легкой добычей и на сервере отправителя, и на сервере получателя;

- фальсификация сервера-адресата, что в случае успеха позволяет выманить у отправителя ту или иную закрытую информацию.

Программное проникновение в АСОД объекта с целью ведения разведки может осуществляться несколькими способами. Отдельную группу таких способов составляет проникновение через несетевые периферийные устройства (клавиатуру, дисководы и т.п.). Набор методов проникновения достаточно широк и определяется квалификацией взломщика и степенью И совершенства установленных на объекте систем защиты от несанкционированного доступа. Считается, что абсолютно надежных систем защиты на сегодняшний день не существует. Например, известны приемы нарушения нормальной работы криптографических микросхем в системах разграниче­ния доступа, начиная от нагревания и облучения и кончая применением моделей стимуляции направленных ошибок, которые позволяют получить секретные ключи, хранящиеся в памяти этих микросхем. Принципиальное отличие проникновения через несетевые периферийные устройства от остальных методов заключается в том, что для его выполнения необходимо физическое присутствие злоумышленника на объекте вычислительной техники. Это позволяет защищающейся стороне применить хорошо отлаженный механизм организационно-технических мер защиты. Вокруг объекта создается контролируемая территория, на которой не допускается присутствие посторонних людей; к работам в АСОД допускается ограниченный круг лиц; ведется тщательный учет и анализ всех производимых в АСОД работ; учитываются используемые носители информации и т.п.

Наиболее многочисленная и динамично развивающаяся группа способов программного проникновения в АСОД противника - это проникновение из внешних сетей. Можно выделить два основных пути такого проникновения: проникновение с использованием паролей и идентификаторов, найденных в результате предварительной разведки, а также поиск ошибок (т.н. «люков», «черных ходов», «лазеек») в программном обеспечении, используемом в АСОД. Большое количество «люков» объясняется, прежде всего, ошибками и непредусмотрительностью авторов программного обеспечения. В редких случаях авторы устанавливают «люки» для облегчения процесса отладки программы, а потом забывают их ликвидировать.

Случаются ситуации, когда «люки» оставляются автором программного обеспечения преднамеренно, чтобы создать себе привилегии при дальнейшей эксплуатации программы, а многочисленные хакеры находят эти «люки» и используют их в своих целях, в том числе, для добывания сведений из системы пользователя. В этом случае речь идет о внедрении в АСОД программного обеспечения с незадекларированными возможностями. Вариантов такого внедрения множество. Некоторые фирмы-производители лицензион­ного программного обеспечения распространяют свою продукцию, не преду­преждая, что она может выполнять какие-либо особые функции. Как правило, это связано с охраной авторского права фирмы-изготовителя и защитой от пиратского использования, однако нет гарантий, что подобные необъявленные функции не используются для съема информации. Программная продукция с незадекларированными возможностями может попадать в АСОД объекта и по сетевым каналам. Наиболее распространенным является использование электронных досок объявлений (ВВЗ) и частных серверов, предлагающих бесплатные версии игр или полезных программных продуктов (например, архиваторы РКZ300В.ZIР, РКZ300.ЕХЕ). Многие из таких продуктов, называемых троянскими конями, содержат необъявленные функции. Возможны варианты, когда, сама программа является вполне безобидной, но внедряет в АСОД другую самостоятельную программу, выполняющую, среди прочих, и разведывательные функции. Такая внедренная программа (например, та же программа-демон) называется программной закладкой.

Однако недостаточно лишь добраться до винчестера противника и «скачать» с него несколько гигабайт данных. Необходимо восстановить удаленные файлы противника, тщательно разобраться в полученном объеме све­дений. Эту функцию выполняет обрабатывающая разведка. Специальные программы позволяют определить тип фрагмента когда-то удаленного файла (текстовый, графический, исполняемый и т.п.) и восстановить содержавшуюся в нем информацию; сопоставить и логически увязать имеющиеся файлы; устранить дублирование информации; отобрать по ключевым словам и ассоциированным понятиям только ту информацию, которая в данный момент необходима заказчику. Обработке подвергаются данные, полученные как в отдельном средстве вычислительной техники, так и в информационно-вычислительных сетях, при этом сеть представляет дополнительные возможности по обработке. Посредством анализа трафика можно контролировать гигантские потоки сведений, производить отбор, накопление и обработку не всех данных подряд, а только тех, которые представляют интерес для конечного потребителя. Для ведения экспресс-анализа в сети созданы специальные программы, т.н. ноуботы - «программные продукты, перемещающиеся от компьютера к компьютеру с возможностью размножения, которые отслеживают состояние дел и передают сводную информацию по каналам обмена данными». С помощью средств компьютерной разведки можно не только анализировать конкретные данные, циркулирующие во всей сети, безотносительно к их источнику, но и отслеживать деятельность конкретных организаций и отдельных лиц.

Особо следует подчеркнуть, что обработке подвергаются не только закрытые, но и открытые сведения. Соответствующий анализ открытых источников позволяет синтезировать информацию закрытого характера. По оценке специалистов изучение 10000 открытых документов позволяет при некоторых условиях получить 1 документ высшей степени секретности.

В связи с высокой степенью угрозы безопасности информации, обрабатываемой в информационно-вычислительных сетях, все большее количество пользователей сети применяют для защиты своей информации шифрование. По этой причине одной из задач обрабатывающей компьютерной разведки является проведение элементов криптоанализа. Криптоанализ - наука о раскрытии алгоритмов шифрования, подборе ключей и восстановлении информации из зашифрованного сообщения. Поскольку в криптоанализе широко используются компьютерные методы обработки информации, то отчасти его можно отнести к обрабатывающей технической разведке. Например, несложные шифры могут быть взломаны компьютером автоматически, без участия человека. К качественному скачку в криптоанализе приводят современные информационные технологии. Так, если подбор ключа на отдельном компьютере может занять много лет, то применение специальной программы, перемещающейся по сети и негласно использующей свободные вычислительные ресурсы простаивающих в данный момент ЭВМ, позволяет задействовать параллельно десятки тысяч компьютеров и сократить время подбора ключа до считанных недель. В то же время, криптоанализ может быть отнесен к компьютерной разведке лишь условно, поскольку в криптоанализе, как и в целом в криптологии, человеческий фактор является принципиально важной составляющей. При взломе сколько-нибудь серьезных шифров решающую роль играет подготовка, интуиция и опыт криптоаналитика.

В связи с тем, что изучение вопросов защиты информации в средствах вычислительной техники началось сравнительно недавно, встречаются различные точки зрения на компьютерную разведку и ее место среди угроз безопасности информации.

Как известно, все угрозы безопасности информации можно разделить на 4 типа: уничтожение, изменение, хищение, блокирование. Компьютерная разведка, как и любая другая разведка, занимается только хищением информации. Активное воздействие на информацию не предполагается (за исключением случаев, когда в целях маскировки несанкционированного доступа модифицируется некоторая служебная, второстепенная с точки зрения добывания, информация в операционной системе и средствах защиты АСОД противника). По этой причине к компьютерной разведке нельзя относить все средства активного воздействия на информационные системы противника - почтовые и логические бомбы, электронные черви, SYN-наводнения, атаки типа «салями», большинство вирусов, махинации с банковскими счетами и другие средства и методы из арсенала криминальных хакеров. Не следует считать компьютерной разведкой и способы несанкционированного копирования лицензионных программных продуктов и взламывания их зашиты, если целью этих действий является не получение информации, а нарушение авторского права и незаконный доступ к услугам.

Нередко к компьютерной разведке ошибочно относят визуальное и акустическое наблюдение в АСОД объекта; применение аппаратных закладочных устройств в средствах вычислительной техники; внедрение аппаратного обеспечения с незадекларированными возможностями (например, центральных процессоров с функциями съема информации, заложенными в них еще на стадии изготовления); разведку паразитных электромагнитных излучений и наводок в средствах вычислительной техники. Действительно, всё это средства из арсенала технических разведок. Но это другие виды разведки в отношении которых разработаны свои способы оценки эффективности и организации технической защиты. В этих случаях, с точки зрения защиты, средства вычислительной техники ничем не отличаются от телефона, телевизора радиовещательного приемника. Защита информации от перечисленных видов разведки в АСОД производится точно так же, как и в других средствах, с которых возможен технический съем информации.

Нельзя относить к компьютерной разведке некоторые специфические приемы использования вычислительной техники. Известно, например, что в информационно-вычислительных сетях общего пользования можно встретиться с приемом, известным как втягивание в телеконференции, когда ставится задача чем-либо заинтересовать человека - носителя важной информации, вовлечь его в общение и попытаться «раскрутить» на разглашение определенных сведений. Этот прием вообще не относится к технической разведке, поскольку в его основу положены методы оперативной работы с людьми. Также не является компьютерной разведкой передача агентами развединформации через информационно-вычислительные сети, т.к. сеть в данном случае выступает не более, чем как канал связи, аналогичный каналам телефонной, почтовой или радиосвязи.