Анализ возможных каналов утечки информации

Информационная безопасность. Каналы утечки информации.

ЛЕКЦИЯ 16

Информационная безопасность. Каналы утечки информации. Анализ возможных каналов утечки информации. Преднамеренные умышленные угрозы. Неформальная модель нарушителя. Компьютерные преступления. Компьютерное пиратство. Хакеры. Категории пиратов. Обнаружение несанкционированного доступа. Предупреждение преступлений.

Вопрос безопасности информации касается всей организации, любого пользователя. Информация – это ценность, принадлежащая всей организации. Она имеет вполне реальную стоимость, точно так же, как и имущество, оборудование или служащие. Это объясняется тем, что знания производственных процессов, формулы, исследования и научные разработки обеспечивают долговременную стабильность и рост. Кроме того, ценность информации объясняется знаниями потребностей покупателей и данных маркетинга, что позволяет быстро вносить изменения в деятельность организации, а, следовательно, повышать ее шансы в конкурентной борьбе.

В основе успешной коммерческой деятельности лежит достоверная информация, которую необходимо собрать, проанализировать, трансформировать в обоснованное решение и защитить от неблагоприятных воздействий. Для того чтобы в таких условиях контролировать ситуацию, необходимо иметь четкое представление о возможных угрозах информации и о том, как противостоять этому.

Целью создания любой информационной системы является удовлетворение потребностей пользователей в своевременном получении достоверной информации и сохранении ее конфиденциальности (при необходимости). Информация является конечным «продуктом потребления» в ИС и выступает в виде центральной компоненты системы. Безопасность информации на уровне ИС обеспечивают две другие компоненты системы: технические и программные средства и обслуживающий персонал. Причем эта задача должна решаться путем защиты от внешних и внутренних неразрешенных (несанкционированных) воздействий. Особенности взаимодействия компонент заключаются в следующем. Внешние воздействия чаще всего оказывают несанкционированное влияние на информацию путем воздействия на другие компоненты системы. Следующей особенностью является возможность несанкционированных действий, вызываемых внутренними причинами, в отношении информации со стороны технических, программных средств, обслуживающего персонала и пользователей. В этом заключается основное противоречие взаимодействия этих компонент с информацией. Причем, обслуживающий персонал и пользователи могут сознательно осуществлять попытки несанкционированного воздействия на информацию. Таким образом, обеспечение безопасности информации в КС должно предусматривать защиту всех компонент от внешних и внутренних воздействий (угроз).

Под угрозой безопасности информациипонимается потенциально возможное событие, процесс или явление, которые могут привести к уничтожению, утрате целостности, конфиденциальности или доступности информации либо оказать негативное воздействие на процессы ее обработки.

Угрозы подразделяют на:

Естественные угрозы, которые вызываются воздействием на информационную систему и ее элементы объективных физических процессов или стихийных природных явлений (гроза, наводнение, пожар и т.п.).

Искусственные угрозы, вызванные деятельностью человека. Они, исходя из мотивации деятельности, подразделяются:

1. Непреднамеренные,неумышленные, случайные, вызванные ошибками в проектировании системы ее элементов, ошибками в программном обеспечении, ошибками в действии персонала.

2. Преднамеренные, умышленные угрозы, связанные с корыстными устремлениями людей злоумышленников).

2.1. Случайные угрозы

К ним относятся.

1. Воздействие сильных магнитных полей или дефекты оборудования, которые приводят к разрушению хранимой информации. Стихийные бедствия и аварии чреваты наиболее разрушительными последствиями для ИС, так как последние подвергаются физическому разрушению, информация утрачивается или доступ к ней становится невозможен.

2. Программы пользователей, работающих в мультипрограммном режиме, содержащие не выявленные ошибки, представляют угрозу для правильно работающих программы.

3. Ошибки в программах обработки данных приводят к потере или искажению вводимой или хранимой информации.

4. Неумышленные действия, приводящие к частичному или полному отказу системы или разрушению аппаратных, программных информационных ресурсов системы (неумышленная порча оборудования, удаление, искажение Файлов с важной информацией или программ, в том числе системных и т.п.). Сбои и отказы сложных систем неизбежны. В результате сбоев и отказов нарушается работоспособность технических средств, уничтожаются и искажаются данные и программы, нарушается алгоритм работы устройства. Нарушение работы алгоритмов отдельных узлов и устройств могут привести к нарушению конфиденциальности информации. Например, сбои и отказы средств выдачи информации могут привести к несанкционированному доступу к информации путем несанкционированный ее выдачи в канал связи, на печатающее устройство и т.п..

5. Разглашение, передача или утрата атрибутов разграничения доступа (паролей, ключей шифрования, идентификационных карточек и т.д.).

6. Неправомерное отключение средств защиты персоналом службы безопасности. Некомпетентное использование, настройка средств защиты информации.

7. Запуск технологических программ, способных при некомпетентном использовании привести к потере работоспособности системы (зависания или зацикливания) или осуществляющих необратимые изменения в системе (форматирование или реструктуризацию носителей информации, удаление данных и т.п.).

8. Проектирование архитектуры системы, технологии обработки данных, разработка прикладных программ с возможностями, представляющими опасность для работоспособности системы и безопасности информации. Ошибки при разработке ИС, алгоритмические и программные ошибки приводят к последствиям, аналогичным последствиям сбоев и отказов технических средств. Кроме того, такие ошибки могут быть использованы злоумышленниками для воздействия на ресурсы ИС. Особую опасность представляют ошибки в операционных системах (ОС) и в программных средствах защиты информации.

Реализация угроз этого класса приводит к наибольшим потерям информации (по статистическим данным – до 80% от ущерба, наносимого информационным ресурсам ИС любыми угрозами). При этом могут происходить уничтожение, нарушение целостности и доступности информации. Реже нарушается конфиденциальность информации, однако при этом создаются предпосылки для умышленного воздействия на информацию.

Согласно данным США 65% случаев нарушения безопасности информации происходит в результате ошибок пользователей и обслуживающего персонала. Некомпетентное, небрежное или невнимательное выполнение функциональных обязанностей сотрудниками приводят к уничтожению, нарушению целостности и конфиденциальности информации, а также компрометации механизмов защиты.

Механизм противодействия этим угрозам хорошо изучен, создаются меры противодействия им на уровне разработки технических и программных средств. Современная технология разработки технических и программных средств, эффективная система эксплуатации ИС, включающая обязательное резервирование информации, позволяют значительно снизить потери от реализации угроз этого класса.

Преднамеренные умышленные угрозы

Преднамеренные угрозы связаны с корыстными устремлениями людей. К ним относят.

1. Использование известного способа доступа к системе или ее части с целью навязывания запрещенных действий, обращения к файлам, содержащих интересующую информацию.

2. Маскировка под истинного пользователя, путем навязывания характеристик авторизации такого пользователя. Маскировка под истинного пользователя после получения характеристик авторизации доступа.

3. Использование служебного положения для просмотра (ревизии) информации файлов сотрудникам информационной системы.

4. Вывод из строя подсистем обеспечения безопасности ИС.

5. Хищение носителей информации и несанкционированное копирование носителей информации.

6. Чтение остаточной информации из оперативной памяти и внешних запоминающих устройств.

7. Незаконное получение паролей и других реквизитов доступа с последующей маскировкой под законного пользователя.

8. Незаконной подключение к линиям связи с целью прямой подмены законного пользователя – «маскарад».

9. Перехват данных, которые передаются по каналам связи, их анализ с целью выяснения протоколов обмена, правил вхождения в связь и авторизация пользователя. Затем вхождение в систему с этими реквизитами.

10. Физическое разрушение системы или вывод из строя наиболее важных компонентов информационной системы.

11. Изменение режимов работы устройств или программ.

12. Подкуп или шантаж персонала или отдельных пользователей, имеющих определенные полномочия.

13. Вскрытие шифров криптозащиты информации.

14. Незаконное подключение к линиям связи с целью работы «между строк» с использованием пауз в действиях законного пользователя от его имени с последующим вводом ложных сообщений или модификацией передаваемых сообщений.

15. Внедрение аппаратных и программных «закладок» и «вирусов», позволяющих преодолевать систему защиты, скрытно и незаконно осуществлять доступ к системным ресурсам ИС.

Данный класс угроз изучен недостаточно, динамичен, постоянно пополняется новыми угрозами.

Угрозы этого класса в соответствии с их физической сущностью и механизмами реализации делят на 5 групп:

1. Традиционный или универсальный, шпионаж или диверсии;

2. Несанкционированный доступ к информации (НСД);

3. Электромагнитные излучения и наводки;

4. Модификация структур ИС;

5. Вредительские программы.

Традиционный шпионаж и диверсии

В качестве источников нежелательного воздействия на информационные ресурсы по-прежнему актуальны методы и средства шпионажа и диверсий, которые использовались и используются для добывания или уничтожения информации на объектах, не имеющих КС. Эти методы также действенны и эффективны в условиях применения компьютерных систем. Чаще всего они используются для получения сведений о системе защиты с целью проникновения в КС, а также для хищения и уничтожения информационных ресурсов.

К методам шпионажа и диверсий относятся:

· подслушивание;

· визуальное наблюдение;

· хищение документов и машинных носителей информации;

· хищение программ и атрибутов системы защиты;

· подкуп и шантаж сотрудников;

· сбор и анализ отходов машинных носителей информации;

· поджоги;

· взрывы.

Несанкционированный доступ к информации

Более непредсказуемыми с точки зрения защиты информации являются меры по блокированию каналов несанкционированного доступа, связанных со злоумышленными действиями и побочными явлениями.

Имеется широчайший спектр вариантов преднамеренного или случайного несанкционированного доступа к данным и вмешательства в процессы обработки и обмена информацией (в том числе, управляющей согласованным функционированием различных компонентов сети и разграничением ответственности за преобразование и дальнейшую передачу информации).

Злоумышленные действия могут осуществляться по отношению к обработке информации или в процессе ее обработки, с доступом или без доступа к элементам ИС, активно или пассивно (т.е. с изменением состояния системы или без).

Термин «несанкционированный доступ к информации» (НСД) определен как доступ к информации, нарушающий правила разграничения доступа с использованием штатных средств вычислительной техники или автоматизированных систем.

Под правилами разграничения доступа понимается совокупность положений, регламентирующих права доступа лиц или процессов (субъектов доступа) к единицам информации (объектам доступа).

Право доступа к ресурсам КС определяются руководством для каждого сотрудника в соответствии с его функциональными обязанностями. Процессы инициируются в КС в интересах определенных лиц, поэтому и на них накладываются ограничения по доступу к ресурсам.

Несанкционированный доступ к информации возможен только с использованием штатных аппаратных и программных средств в следующих случаях:

· отсутствует система разграничения доступа;

· сбой или отказ в компьютерной системе;

· ошибочные действия пользователей или обслуживающего персонала компьютерных систем;

· ошибки в системе разграничения доступа;

· фальсификация полномочий.

Если система разграничения доступа отсутствует, то злоумышленник, имеющий навыки работы в компьютерной системе может получить без ограничений доступ к любой информации. В результате сбоев или отказов средств КС, а также ошибочных действий обслуживающего персонала и пользователей возможны состояния системы, при которых упрощается НСД. Злоумышленник может выявить ошибки в системе разграничения доступа и использовать их для НСД. Фальсификация полномочий является одним из наиболее вероятных путей (каналов) НСД.

Особенности НСД к информации в КС определяются, в частности, следующими факторами:

· электронный характер представления данных, который часто делает сложным или невозможным обнаружение злоумышленных действий с ними (например, несанкционированное копирование данных из ЗУ и с машинных носителей);

· одной из сторон этой же проблемы является необходимость обеспечения юридической значимости электронных документов;

· коллективный доступ к ресурсам ИС, по своей сущности создающий предпосылки к НСД;

· наличие, как правило, целой совокупности потенциально возможных и дублирующих друг друга каналов НСД; при этом недооценка опасности одного из каналов может сделать бесполезной всю остальную защиту.

Электромагнитные излучения и наводки

Процесс обработки и передачи информации техническими средствами КС сопровождается электромагнитными излучениями в окружающее пространство и наведением электрических сигналов в линиях связи, сигнализации, заземлении и других проводниках. Они получили названия побочных электромагнитных излучений и наводок (ПЭМИН). С помощью специального оборудования сигналы принимаются, выделяются, усиливаются и могут либо просматриваться, либо записываться в запоминающих устройствах.

Электромагнитные излучения используются злоумышленниками не только для получения информации, но и для ее уничтожения. Электромагнитные импульсы способны уничтожить информацию на магнитных носителях. Мощные электромагнитные и сверхвысокочастотные излучения могут вывести из строя электронные блоки ИС. Причем для уничтожения информации на магнитных носителях с расстояния нескольких десятков метров может быть использовано устройство, помещающееся в портфель.

Несанкционированная модификация структур

Большую угрозу безопасности информации в ИС представляет несанкционированная модификация алгоритмической, программной и технической структур системы. Несанкционированная модификация структур может осуществляться на любом жизненном цикле ИС. Несанкционированное изменение структуры ИС на этапах разработки и модернизации получило название «закладка». В процессе разработки ИС «закладки» внедряются, как правило, в специализированные системы, предназначенные для эксплуатации в какой-либо фирме или государственных учреждениях. В универсальные ИС «закладки» внедряются реже, в основном для дискредитации таких систем конкурентом или на государственном уровне, если предполагаются поставки ИС во враждебное государство. «Закладки», внедренные на этапе разработки, сложно выявить ввиду высокой квалификации их авторов и сложности современных ИС.

Алгоритмические, программные и аппаратные «закладки» используются либо для непосредственного вредительского воздействия на КС, либо для обеспечения неконтролируемого входа в систему. Вредительские воздействия «закладок» на ИС осуществляются при получении соответствующей команды извне (в основном характерно для аппаратных «закладок») и при наступлении определенных событий в системе. Такими событиями могут быть: переход на определенный режим работы (например, боевой режим системы управления оружием или режим устранения аварийной ситуации на атомной электростанции т. п.), наступление установленной даты, достижение определенной наработки и т. д.

Программные и аппаратные «закладки» для осуществления неконтролируемого входа в программы, использование привилегированных режимов работы (например, режимов операционной системы), обхода средств защиты информации получили название «люки».

Вредительские программы

Одним из основных источников угроз безопасности информации в КС является использование специальных программ, получивших общее название «вредительские программы».

В зависимости от механизма действия вредительские программы делятся на четыре класса:

· «логические бомбы»;

· «черви»;

· «троянские кони»;

· «компьютерные вирусы».

«Логические бомбы»это программы или их части, постоянно находящиеся в ЭВМ или вычислительных системах (ВС) и выполняемые только при соблюдении определенных условий. Примерами таких условий могут быть: наступление заданной даты, переход КС в определенный режим работы, наступление некоторых событий установленное число раз и т.п.

«Червями» называются программы, которые выполняются каждый раз при загрузке системы, обладают способностью перемещаться в ВС или сети и само воспроизводить копии. Лавинообразное размножение программ приводит к перегрузке каналов связи, памяти и, в конечном итоге, к блокировке системы.

«Троянские кони»это программы, полученные путем явного изменения или добавления команд в пользовательские программы. При последующем выполнении пользовательских программ наряду с заданными функциями выполняются несанкционированные, измененные или какие-то новые функции.

«Компьютерные вирусы»это небольшие программы, которые после внедрения в ЭВМ самостоятельно распространяются путем создания своих копий, а при выполнении определенных условий оказывают негативное воздействие на КС.

Поскольку вирусам присущи свойства всех классов вредительских программ, то в последнее время любые вредительские программы часто называют вирусами.

Неформальная модель нарушителя

Нарушитель – это лицо, предпринявшее попытку выполнения запрещенных операций (действий) по ошибке, незнанию или осознанно со злым умыслом (из корыстных интересов) или без такового (ради игры или удовольствия, с целью самоутверждения и т.п.) и использующее для этого различные возможности, методы и средства.

Исходя из анализа возможных путей утечки информации, разрабатываются специальные методы и средства ее защиты. Основная сложность обеспечения безопасности информационных технологий заключается в том, что потенциальный нарушитель, как правило, является в то же время полноправным абонентом системы.

Злоумышленником будем называть нарушителя, намеренно идущего на нарушение из корыстных побуждений.

Неформальная модель нарушителя отражает его практические и теоретические возможности, априорные знания, время и место действия и т.п. Для достижения своих целей нарушитель должен приложить усилия, затратить определенные ресурсы. Исследовав причины нарушений, можно либо повлиять на эти причины (конечно, если возможно), либо точнее определить требования к системе защиты от данного вида нарушений или преступлений.

В каждом конкретном случае, исходя из конкретной технологии обработки информации, может быть определена модель нарушителя, которая должна быть адекватна реальному нарушителю для данной информационной системы.

При разработке модели нарушителя определяются:

· предположения о категориях лиц, к которым может принадлежать нарушитель;

· предположения о мотивах (целях) нарушителя;

· предположения о квалификации нарушителя и его технической оснащенности; ограничения и предположения о характере возможных действий нарушителей.

КОМПЬЮТЕРНЫЕ ПРЕСТУПЛЕНИЯ

Развитие вычислительной техники и ее широкое применение государственными и частными учреждениями привели к возникновению и распространению компьютерных преступлений. Это вызывает беспокойство ив тех организациях, где применяется компьютерная техника, и в органах поддержания правопорядка, и среди слоев населения, пользующихся новыми видами информационного обслуживания.

Постоянные изменения в технологии и растущий спрос на компьютерную технику означают, что, и преступность этого рода будет расти до тех пор, пока предприятия в срочном порядке не пересмотрят подход к проблемам безопасности и не усовершенствуют меры защиты. Компьютерная преступность – это противоправная и осознанная деятельность образованных людей и, следовательно, наиболее опасная для общества. Западными специалистами и экспертами констатируется крайне тяжелое положение с информационной безопасностью в финансовых структурах, их неспособность противостоять возможным атакам на информационные системы.

Компьютерные преступления– новое направление в деятельности уголовного мира. До сих пор нет четкого определения компьютерной преступности.

Термин «компьютерная преступность» впервые был использован еще в начале 70-х годов XX века. Однако до настоящего времени продолжается дискуссия о том, какие противозаконные действия подразумеваются под ним. Был предложен ряд уголовно-правовых определений компьютерной преступности.

Есть несколько подходов к определению компьютерной преступности. К ней относят:

· одни связывают с ней все преступления, прямо или косвенно, связанные с применением ЭВМ, включающее в себя целую серию незаконных актов, совершаемых либо с помощью системы электронной обработки данных, либо против нее;

· другие – любое деяние, влекущее незаконное вмешательство в имущественные права, возникающее в связи с использованием ЭВМ;

· третьи – все преднамеренные и противозаконные действия, приводящие к ущербу имущества с применением электронной обработки информации.

Выделяют следующие формы проявления компьютерной преступности: манипуляции с ЭВМ, которые меняют содержимое носителя информации и вмешиваются в процесс обработки данных, хищение машинного времени, экономический шпионаж, саботаж, компьютерное вымогательство, деятельность «хакеров».

Основные формы компьютерных манипуляций таковы:

· совершение покупок и кредитование (манипулирование с расчетами и платежами, доставка товаров по ложному адресу);

· сбыт товара и счета дебиторов (уничтожение счетов или условий, оговоренных в счетах, махинации с активами);

· расчет заработной платы (изменение отдельных статей начисле6ния платежей, внесение в платежную ведомость фиктивных лиц).

Для компьютерных манипуляций характерны некоторые особенности, обусловленные спецификой самого объекта преступных действий. Например, используются возможности отладки программ, составленных с преступными целями; многократная реализация однажды найденной возможности для незаконных действий.

Компьютерный шпионаж преследует, как правило, экономические цели. Преступления этой категории чаще всего совершаются для получения следующей информации:

· программ обработки данных;

· результатов научных исследований;

· конструкторской документации и калькуляции;

· сведения о стратегии сбыта продукции и списков клиентов конкурирующих фирм;

· административных данных;

· сведения о планах и технологии производства.

Наиболее распространенная в настоящее время форма компьютерных преступлений – деятельность хакеров, владельцев персональных компьютеров, незаконно проникающих в информационные сети.

Компьютерные преступления отличаются от обычных преступлений особенными пространственно-временными характеристиками. Так, подобные деяниясовершаются в течение несколькихсекунд, а пространственные ограничения оказываются полностью устраненными. Лица, совершающие компьютерные преступления, также имеют свои особенности: они, как правило, молоды, имеют высшее образование, знакомы с методами раскрытия кодов и внедрения в компьютерные системы.

Несмотря на то, что существующие уголовные законы достаточно гибки для квалификации нарушений этого типа, однако социальные и технические изменения создают все новые и новые проблемы, часть которых оказывается вне рамок любой из нынешних правовых систем. Потому и «подготовка нормативно-правовых актов о компьютерной безопасности исключительно сложна, поскольку связана с технологией, опережающей нормотворческий процесс». Развитие законодательства не всегда успевает за развитием техники и преступным использованием ее последних достижений.

В компьютерных преступлениях ЭВМ может быть как объектом, так и субъектом преступления. В тех случаях, когда ЭВМ – объект преступления, т.е. ей наносится материальный ущерб путем физического повреждения, не возникает проблем с применением существующего законодательства. Но те случаи, когда ЭВМ используется для совершения актов обмана, укрывательства или присвоения с целью получения денег, услуг, собственности или деловых преимуществ, представляют собой новые правовые ситуации. Существует ряд характерных черт преступлений, связанных с использованием ЭВМ, которые усложняют расследование и предъявление обвинения по ним. Помимо юридических трудностей возникают и другие проблемы, с которыми может столкнуться следствие. Среди них:

· сложность обнаружения преступлений, связанных с использованием ЭВМ;

· большая дальность действия современных средств связи делает возможным внесение незаконных изменений в программу ЭВМ с помощью дистанционных терминалов либо закодированных телефонных сигналов практически из любого района;

· затруднения в понимании порядка работы ЭВМ в технологически сложных случаях;

· информация преступного характера, заложенная в память ЭВМ и служащая доказательством для обвинения, может быть ликвидирована почти мгновенно;

· обычные методы финансовой ревизии в случае этих преступлений не применимы, т.к. для передачи информации используются электронные импульсы, а не финансовые документы.

В 1988 г. только в Европе было совершено четыре неудачных попытки нелегального перевода денег с банковских счетов (потери в каждом из этих случаев могли превысить сумму в 50 млн. дол.). Характерно, что все эти попытки оказались неудачными только благодаря «чрезмерной жадности» преступников. В Чикаго, например, 7 преступников решили похитить 70 млн. дол., и были задержаны в тот момент, когда имели на своем счету более 49 млн. дол.

Отмечается (по данным США), что только три из 20-ти обнаруженных случаев регистрируется в полицейской статистике и только 1 из 33 зарегистрированных случаях заканчивается вынесением обвинения. В целом наказание следует только в одном из 22 тыс. преступлений.

Средняя стоимость потерь одного компьютерного преступления $45000 и значительно превышает средний ущерб от ограбления банков и других видов преступлений. По данным ФБР средняя стоимость потерь от ограбления банков в США составляет $3200 от мошенничества – $23000. Темпы роста потерь будут расти с внедрением новых информационных технологий.

Кто занимается преступлениями:

· высокообразованные специалисты ~ 65% («Белые воротнички») (половина из них не занимает руководящей должности);

· 30% – профессиональные программисты;

· 25% – прочие сотрудники вычислительных центров.

Мотивы преступления: на первый план выдвигают проблемы личного плана – работа, борьба за сохранение и выживание фирмы, месть, стремление к превосходству, ревность, нравственная зависимость, финансовый или семейный кризис.

Эту тенденцию отражает официальная статистика, согласно которой

· 40% компьютерных преступлений совершаются для решения финансовых проблем;

· 20% – мотивируется «интеллектуальным вызовом» обществу;

· 17% – стремлением решить личные проблемы производственного характера;

· 8% – проблемы корпорации или организации;

· 4% – стремление к общественному признанию.

Возникновение компьютерной преступности и масштабы ущерба вызвали необходимость разработки законодательных норм, устанавливающих ответственность за подобные действия. Все изложенное в полной мере относится и к Российской Федерации, где взрыв компьютерной преступности сдерживается только слабым развитием компьютеризации. Однако там, где вычислительная техника используется широко, информационные преступления уже наблюдаются. В качестве примера можно привести случай в Внешэкономбанке РФ, где из под учета ЭВМ было выведено около 1 млн. долларов, 125 тыс. долларов было похищено.

В последние годы компьютеры применялись также для изготовления поддельных денежных знаков, различных банковских платежных документов – кредитных, дебитных карт и т.д. Например, в июне 1995 г. в Таганроге (Ростовская область) была задержана преступная группа, изготовлявшая и распространявшая фальшивые купюры достоинством в 50 тыс. рублей. Для их изготовления использовалась компьютерная техника с программным обеспечением и принтеры. В 1995-1996 гг. в Москве и Санкт - Петербурге были задержаны несколько групп лиц, которые для совершения различных мошеннических операций использовали поддельные кредитные карты, изготовленные с помощью специального программного обеспечения.

Как указывают компетентные эксперты, наряду со «специалистами» в области компьютерной техники и программирования, в данной сфере незаконного бизнеса появляется все больше любителей. Последние умело производят декодирование парольной защиты карты с последующим перепрограммированием имеющейся микросхемы («чипа») или установлением новой с записью необходимой информации для совершения мошенничества. После подобной модификации переделанные или вновь изготовленные поддельные пластиковые карты или другие их типы и виды реализуются среди недобросовестных клиентов.

Компьютерное пиратство. Хакеры

Попытка получить несанкционированный доступ к компьютерной системе или вычислительной сети с целью ознакомиться с ними, оставить закладку, выполнить, уничтожить, изменить или похитить программу или иную информацию квалифицируется как компьютерное пиратство. Как явление, подобные действия прослеживаются в последние 15-20 лет, но при этом наблюдается тенденция к их стремительному росту по мере увеличения числа компьютеров как в быту, так ив различных фирмах.

Растет число компьютерных нарушений, связанных с умышленными действиями. Так, например, известны случаи внедрения в военные системы, нарушения телевизионной спутниковой связи, вывода из строя электронных узлов регистрации на бензоколонках, использующих высокочастотные усилители, попытки разрушения европейской коммуникационной сети связи. Из этого следует, что не только компьютеры, но и другие электронные системы являются объектами злоумышленных действий.

Усложнение аппаратуры и программного обеспечения позволяет снизить вероятность несанкционированного доступа к аппаратуре и системам. С другой стороны, усложнение оборудования затрудняет обнаружение фактов такого доступа (например, умышленного перепрограммирования или замены чипа). Для предотвращения потенциальных угроз усложняется контролирующее оборудование и системное и программное обеспечение, в базы данных вводятся механизмы защиты, пользователя убеждают в необходимости использовать средства защиты.

Мало фирм верит в то, что они могут пострадать от компьютерных пиратов (хакеров). Часто они не анализируют возможные пути утечки информации и обеспечения ее защиты. Большинство менеджеров применяют простейшие средства защиты, например, пароли. При этом они не представляют ту степень опасности, которая может исходить от профессиональных программистов или обиженных сотрудников, поскольку не понимают мотивов, которыми руководствуются эти люди при совершении компьютерных пиратств.

Для предотвращения возможных угроз фирмы должны не только обеспечить защиту операционных систем, программного обеспечения и контроля доступа, но и попытаться выявить категории нарушителей и те методы, которые они используют.

Категории пиратов

В зависимости от мотивов, целей и методов действия всех хакеров можно разделить на несколько групп.

Хакеры-дилетанты. Дилетант обычно преследует одну из трех целей:

· добиться доступа к системе, чтобы выяснить ее назначение;

· получить доступ к игровым программам;

· модифицировать или стереть данные, а также оставить преднамеренный след, например, в виде непристойной записки.

Диапазон побудительных мотивов получения доступа к системе довольно широк: от желания испытать эмоциональный подъем при игре с компьютером до ощущения власти над ненавистным менеджером. Занимаются этим не только новички, но и профессиональные программисты.

Политическая философия 80-х годов внесла большой вклад в разрушение лояльности, гордости и самодисциплины сотрудников фирм. Некогда сильный «корпоративный дух» сегодня сгорает в котле индивидуализма рыночных отношений. Работник, затаивший обиду на своего начальника, представляет собой наибольшую угрозу информационной безопасности, однако это в наименьшей степени осознается руководством компаний.

Недовольный руководителем служащий создает одну из самых больших угроз вычислительным системам коллективного пользования. Они могут портить системы, допуская к ним посторонних или оставляя их в рабочем состоянии без присмотра. Побудительными мотивами таких действий являются:

· реакция на выговор или замечание со стороны руководителя;

· недовольство уровнем оплаты труда;

· злой умысел. Например, реванш с целью ослабить фирму как конкурента какой-либо вновь создаваемой фирмы.

Хакеры-профессионалы. К категории хакеров-профессионалов обычно относят: преступные группировки, преследующие различные цели; лиц, стремящихся получить информацию в целях промышленного шпионажа и группировки отдельных лиц, стремящихся к наживе.

Профессиональные пираты стараются свести риск быть обнаруженными к минимуму. Для этого:

· привлекают к соучастию работающих или недавно уволившихся с фирмы служащих;

· завязывают контакты со служащими, у которых есть финансовые или семейные проблемы;

· используют профессиональные особенности характеров служащих, занимающихся компьютерами;

· прибегают к дружеским связям уволенных с работы служащих со своими бывшими сослуживцами.

Способы подготовки несанкционированного доступа к вычислительной системе. Для осуществления доступа в вычислительную систему требуется, как правило, провести два подготовительных этапа:

· собрать сведения о системе;

· выполнить пробные попытки вхождения в систему.

Возможны различные направления сбора сведений:

· подбор соучастников;

· анализ периодических изданий, ведомственных бюллетеней и документации;

· перехват сообщений электронной почты;

· подслушивание разговоров, телексов, телефонов;

· перехват информации и электромагнитного излучения;

· завязывание знакомств;

· организация краж;

· вымогательство и взятки.

Получив необходимый объем предварительной информации компьютерный хакер делает следующий шаг – осуществляет непосредственное вторжение в систему. Используемые им при этом средства будут зависеть от количества информации, имеющейся в его распоряжении. Чтобы осуществить несанкционированное вхождение в систему, хакеру требуется знать:

· номер телефона или иметь доступ к линии связи;

· иметь протоколы работы, описания процедур входа в систему;

· код пользователя и пароль.

У пирата, однажды получившего доступ к системе, появляются возможности попытаться подняться на более высокий уровень приоритета, который позволит красть, изменять или уничтожать информацию; предпринять попытку кражи кодов и паролей других пользователей, что даст ему еще большие преимущества. Наиболее известные способы достижения этих целей:

· обходные пути;

· логические бомбы;

· троянский конь;

· экранный имитатор;

· вирусные программы.

Обходной путь

Обходной путь – это блок, который встроен в большую программу и обычно управляется простыми командами [Ctrl^C], [Ctrl^Z], [Ctrl^Break], что вызывает обработку прерывания средствами операционной системы, а это позволяет преодолеть систему защиты или регистрацию в системном журнале. Возможен также обходной путь, который встроен в операционную систему и по привилегированной команде позволяет пользователю завладеть всеми ресурсами системы, сформировать новую учетную информацию и идентификатор пользователя.

Большинство современных операционных систем создается большими группами квалифицированных разработчиков, но даже они бывают бессильны поставить заслон изощренным системным программистам, создающим обходные пути, чтобы пользоваться особыми функциями операционной системы для решения своих проблем. Некоторые пути обхода могут вызвать сложную сеть событий, которые, в свою очередь, могут привести к разъединению связи с терминалом или отключению дисковода в промежутке между командами тестирования системы.

Системные программисты в роли хакеров представляют собой серьезную угрозу, так как весьма трудно контролировать и управлять их работой.

Логические бомбы

Логические бомбы могут быть "запрятаны" служащим, например программистом, обычно бомба представляет часть программы, которая запускается всякий раз, когда вводится определенная информация. Например, она может сработать от ввода данных, вызывающих отработку секции программы, которая портит или уничтожает информацию. Логические бомбы используются для искажения или уничтожения информации, реже с их помощью совершается кража или мошенничество. Манипуляциями с логическими бомбами обычно занимаются недовольные служащие, собирающиеся покинуть данную организацию, но это могут быть и консультанты, служащие с определенными политическими убеждениями, инженеры.

Троянский конь

Это часть программы, которая при обращении способна, например, вмешаться в инструкцию передачи денежных средств или в движение акций, а затем уничтожить все улики. Ею можно воспользоваться также в случае, когда один пользователь работает с программой, которая предоставляет ресурсы другому пользователю. В литературе описывается случай, когда преступная группа смогла договориться с программистом торговой фирмы, работающим над банковским программным обеспечением, о том, чтобы он ввел подпрограмму, которая представит этим преступникам доступ в систему после ее установки с целью переместить денежные вклады.

Экранный имитатор

Программы моделирования экранов или терминалов с целью овладения паролями или кодами пользователей. Для этого истинному пользователю представляется обычный просмотровый входной экран. Когда пароль или код введен в систему, программа имитатора записывает его в файл хакера и затем прекращает работу, предоставляя пользователю входной экран для получения доступа в систему обычным способом.

Большинство современных операционных систем способны предотвратить попытки злоупотреблений с помощью экранного имитатора. Только в системах с плохими средствами защиты хакер может похитить пароль с помощью описанного метода.

Вирусные программы

Различают две группы вирусных программ:

· вирус, используемый для разрушения системы электронной почты или коммуникационной сети;

· вирус, который искажает или уничтожает информации или воздействует на защиту системы.

В обоих случаях ущерб, вызванный разрушением коммуникаций или искажением файлов пользователей, может быть колоссальным.

Обнаружение несанкционированного доступа

Для того чтобы обнаружить хакера, необходимо:

· хорошее программное обеспечение текущего контроля;

· регулярная проверка системных журналов;

· «следящая» система.

Предположив, что программное обеспечение находится в порядке, наиболее очевидные следы преступления могут быть разделены на две категории: внешние и внутренние.

Внешними следами, связанными с попытками внедриться в коммуникационную линию связи, являются:

· выведенные из строя сигнальные устройства на кабелях связи;

· усиление затухания сигналов в оптической линии связи;

· изменения в напряжении, емкости, сопротивлении или частоте.

Внутренними следами, связанными с попыткой получить доступ через обычный входной набор или по дистанционному тракту, являются:

· телефонные звонки различной длительности в комнату, когда после ответа можно услышать посылки модема, указывающие на атаку, проводимую путем последовательного автоматического набора диска;

· повторяемые безуспешно попытки входа в систему;

· повторяющаяся передача управляющих команд Ctrl^C, Ctrl^Z, Ctrl^Break;

· частое использование подсказок;

· неразрешенная или незапланированная работа;

· оскорбительные или клеветнические сообщения;

· уничтоженная или испорченная информация;

· перемещенные или измененные файлы и вновь созданные справочники;

· жалобы заказчиков, поставщиков и пользователей на возникающие время от времени ошибки и трудности входа и работы в системе.

Предупреждение преступлений

Большое число преступлений можно предотвратить, если следовать основным правилам:

· фирма не должна публиковать телефонные номера коммутируемых портов и обязана иметь адрес бывшего директора в системе коммутации;

· после установления связи и до момента входа пользователя в систему последняя не должна выдавать никакой информации;

· в системе необходимо использовать пароли, состоящие не менее чем из семи знаков, и коды пользователей должны отличаться от предлагаемых фирмой-изготовителем;

· должна быть реализована программа динамических паролей для гарантии их постоянной смены при увольнении служащих из данной фирмы;

· функции терминалов должны быть точно определены, например платежные ведомости должны вводится только через определенные терминалы.

Чтобы помешать преступникам получить несанкционированный доступ, необходимо технологию защиты увязать с технологическими процессами фирмы. Должна быть проведена оценка риска, с тем, чтобы затраты на средства управления и контроля соответствовали степени риска. Фирма должна искать средства для снижения мотивации преступлений в системе путем введения:

· паролей и процедур персональной идентификации;

· средств контроля за операционной системой;

· контроля доступа;

· контроля за базой данных;

· контроля за сетью.

Снижение побудительных мотивов. Фирма должна стремиться снизить у сотрудников желание совершать преступления или портить информацию о системах фирмы, а также должна дать понять преступникам, что у нее есть совершенные средства контроля, и поэтому злоумышленникам следует поискать более легкие и доступные цели, где меньше шансов для их обнаружения.

Администрация должна:

· набрать в высшей степени честный штат сотрудников;

· пресекать увлечения сотрудников компьютерными играми и активно поощрять профессиональное отношение к работе;

· четко определять меры дисциплинарного воздействия, которые будут применяться к нарушителям правил;

· дать понять, что все преступления будут расследоваться;

· ввести программу защиты, с тем, чтобы все служащие осознавали необходимость регулярного обмена паролей и считали своим долгом сообщать о своих подозрениях;

· включить в штатное расписание должность ответственного за защиту, использование средств и определение систем, к которым может быть получен доступ.

Контрольные вопросы к лекции 16

1. Дайте определение угрозе информации.

2. Какие естественные угрозы информации Вы знаете?

3. Какие непреднамеренные угрозы информации Вы знаете?

4. Какие преднамеренные угрозы информации Вы знаете?

5. Назовите основные мотивы компьютерных преступлений.

Литература

1.Антонов А. К. Информатика. Курс лекций по дисциплине «Информатика» для студентов, обучающихся по специальностям 0611.00 «Менеджмент организации», 0608.00 «Экономика и управление», 0608.17 «Экономика и управление туризмом и гостиничным хозяйством» ИТ и Г 2006.

1. Антонов А. К., Артюшенко В. М. Защита информации. Методы защиты информации. Курс лекций по дисциплине «Защита информации и информационная безопасность» для студентов, обучающихся по специальности 071901 «Информационные системы в сфере сервиса»

2. Домарев В. В. Защита информации и безопасность компьютерных систем. –К.: Издательство «Диа – Софт», 1999. – 480 с.

3. Федеральный закон от 20 февраля 1995 года № 24-Ф3
«Об информации, информатизации и защите информации» Соколов А. В., Степанов О. М. Защита от компьютерного терроризма. Справочное пособие – СПб.: БХВ-Петербург; Арлит 2002. – 496 с.: