3. Угрозы информации

3.1 Основные термины и определения

Угроза информации - возможность возникновения на каком-либо этапе жизнедеятельности системы такого явления или события, следствием которого могут быть нежелательные воздействия на информацию.

Попытка реализации угрозы называется атакой.

  • Обусловленные действиями субъекта (антропогенные источники угроз).

  • Обусловленные техническими средствами (техногенные источники угрозы).

  • Обусловленные стихийными источниками.

    Антропогенные источники угроз (АИУ)

    АИУ безопасности информации- субъекты, действия которых могут быть квалифицированы как умышленные или случайные преступления. Только в этом случае можно говорит о причинении ущерба.

    Субъект, имеющий доступ к работе со штатными средствами защищаемого объекта. Субъекты (источники), действия которых могут привести к нарушению безопасности информации могут быть как внешние [I.A.], так и внутренние [I.B.]. 

    Внешние источники угроз:

    [I.A.1] криминальные структуры;

    [I.A.2] потенциальные преступники и хакеры;

    [I.A.3] недобросовестные партнеры;

    [I.A.4] технический персонал поставщиков телематических услуг;

    [I.A.5] представители надзорных организаций и аварийных служб;

    [I.A.6] представители силовых структур.

    Внутренние источники угроз:

    Высококвалифицированные специалисты в области разработки и эксплуатации ПО и технических средств, знакомы со спецификой решаемых задач, структурой и основными функциями и принципами работы программно-аппаратных средств защиты информации, имеют возможность использования штатного оборудования и технических средств сети.

    [I.B.1] основной персонал (пользователи, программисты, разработчики);

    [I.B.2] представители службы защиты информации;

    [I.B.3] вспомогательный персонал (уборщики, охрана);

    [I.B.4] технический персонал (жизнеобеспечение, эксплуатация).

    Техногенные источники угроз

    Технические средства, являющиеся источниками потенциальных угроз безопасности информации так же могут быть внешними [II.A.]:

    [II.A.1] средства связи;

    [II.A.2] сети инженерных коммуникации (водоснабжения, канализации);

    [II.A.3] транспорт.

  • и внутренними [II.B.]:

    [II.B.1] некачественные технические средства обработки информации;

    [II.B.2] некачественные программные средства обработки информации;

    [II.B.3] вспомогательные средства (охраны, сигнализации, телефонии);

    [II.B.4] другие технические средства, применяемые в учреждении;

    Стихийные источники угроз

  • Стихийные источники потенциальных угроз информационной безопасности как правило являются внешними по отношению к защищаемому объекту и под ними понимаются прежде всего природные катаклизмы [III.A.]:

  • [III.A.1] пожары;

  • [III.A.2] землетрясения;

  • [III.A.3] наводнения;

  • [III.A.4] ураганы;

  • [III.A.5] различные непредвиденные обстоятельства;

  • [III.A.6] необъяснимые явления;

  • [III.A.7] другие форс-мажорные обстоятельства.

    Промежуток времени от момента, когда появляется возможность использовать слабое место, и до момента, когда пробел ликвидируется, называется окном опасности, ассоциированным с данным уязвимым местом. Пока существует окно опасности, возможны успешные атаки на ИС.

    Для большинства уязвимых мест окно опасности существует сравнительно долго (несколько дней, иногда – недель), поскольку за это время должны произойти следующие события:

  • должно стать известно о средствах использования пробела в защите;

  • должны быть выпущены соответствующие «заплаты»;

  • заплаты должны быть установлены в защищаемой ИС.

    Критерии классификации уязвимостей.

    По этапам жизненного цикла, на которых они появляются:

  • уязвимости этапа проектирования;

  • уязвимости этапа реализации;

  • уязвимости этапа эксплуатации.

    Под уязвимостью понимается любая характеристика ИС, использование которой нарушителем при определенных условиях может привести к реализации угрозы.

    Классификация уязвимостей по уровню в ИС.

  • уязвимости уровня сети — уязвимости сетевых протоколов;

  • уязвимости уровня операционной системы;

  • уязвимости уровня баз данных — уязвимости конкретных СУБД ;

  • уязвимости уровня приложений — относятся уязвимости программного обеспечения.

    Классификация уязвимостей по степени риска

  • высокий уровень риска — уязвимость позволяет атакующему получить доступ к узлу с правами администратора в обход средств защиты;

  • средний уровень риска  — уязвимость позволяет атакующему получить информацию, которая с высокой степенью вероятности позволит получить доступ к узлу;

  • низкий уровень риска — уязвимости, позволяющие злоумышленнику осуществлять сбор критической информации о системе.

    Такая классификация используется для оценки степени критичности уязвимостей  при определении качества защищенности ИС.

    Несанкционированный доступ - получение лицами в обход системы защиты с помощью программных, технических и других средств, а также в силу случайных обстоятельств доступа к обрабатываемой и хранимой на объекте информации.

    Утечку информации в общем плане можно рассматривать как бесконтрольный и неправомерный выход конфиденциальной информации за пределы организации или круга лиц, которым эта информация была доверена.

    Система защиты информации - совокупность взаимосвязанных средств, методов и мероприятий, направленных на предотвращение уничтожения, искажения, несанкционированного получения конфиденциальных сведений, отображенных полями, электромагнитными, световыми и звуковыми волнами или вещественно-материальными носителями в виде сигналов, образов, символов, технических решений и процессов.

    Рисунок 3.1 Схема взаимосвязи основных терминов




    3.2 Причины нарушения целостности, конфиденциальности и доступности информации

    Целостность

    1. Субъективные.

    1.1. Преднамеренные.

    1.1.1. Диверсия (организация пожаров, взрывов, повреждений электропитания и др.).

    1.1.2. Непосредственные действия над носителем (хищение, подмена носителей, уничтожение информации).

    1.1.3. Информационное воздействие (электромагнитное облучение, ввод в компьютерные системы разрушающих программных средств, воздействие на психику личности психотропным оружием).

    1.2. Непреднамеренные.

    1.2.1. Отказы обслуживающего персонала (гибель, длительный выход из строя).

    1.2.2. Сбои людей (временный выход из строя).

    1.2.3. Ошибки людей.

    2. Объективные, непреднамеренные.

    2.1. Отказы (полный выход из строя) аппаратуры, программ, систем питания и жизнеобеспечения.

    2.2. Сбои (кратковременный выход из строя) аппаратуры, программ, систем питания и жизнеобеспечения.

    2.3. Стихийные бедствия (наводнения, землетрясения, ураганы).

    2.4. Несчастные случаи (пожары, взрывы, аварии).

    2.5. Электромагнитная несовместимость.

    Рисунок 3.2 – Причины нарушения целостности информации


    Одними из наиболее часто реализуемых угроз ИБ являются кражи и подлоги. В ИС несанкционированное изменение информации может привести к потерям.

    Целостность информации может быть разделена на статическую и динамическую.

    Примерами нарушения статической целостности являются:

    • ввод неверных данных;
    • несанкционированное изменение данных;
    • изменение программного модуля вирусом;

    Примеры нарушения динамической целостности:

    • нарушение атомарности транзакций;
    • дублирование данных;
    • внесение дополнительных пакетов в сетевой трафик.

    Конфиденциальность

    Часть информации, хранящейся и обрабатываемой в ИС, должна быть сокрыта от посторонних. Передача данной информации может нанести ущерб как организации, так и самой ИС.

    Конфиденциальная информация может быть разделена на предметную и служебную. Служебная информация (например, пароли пользователей) не относится к определенной предметной области, однако ее раскрытие может привести к НСД ко всей информации.

    Предметная информация содержит информацию, раскрытие которой может привести к ущербу (экономическому, моральному) организации или лица.

    Средствами атаки могут служить различные технические средства (подслушивание разговоров, сети), другие способы (несанкционированная передача паролей доступа и т.п.).

    Важный аспект – непрерывность защиты данных на всем жизненном цикле ее хранения и обработки.


    Доступность

    Отказ служб (отказа в доступе к ИС) относится к одним из наиболее часто реализуемых угроз ИБ. Относительно компонент ИС данный класс угроз может быть разбит на следующие типы:

    • отказ пользователей (нежелание, неумение работать с ИС);
    • внутренний отказ ИС (ошибки при переконфигурировании системы, отказы программного и аппаратного обеспечения, разрушение данных);
    • отказ поддерживающей инфраструктуры (нарушение работы систем связи, электропитания, разрушение и повреждение помещений).


    3.3 Классификация угроз

    Рисунок 3.3 – Схема классификационных признаков

    Информационные угрозы:

    • несанкционированный доступ к информационным ресурсам;
    • незаконное копирование данных в информа-ционных системах;
    • хищение информации из библиотек, архивов, банков и баз данных;
    • нарушение технологии обработки информации;
    • противозаконный сбор и использование информации;
    • использование информационного оружия.

    Программные угрозы:

    • использование ошибок и "дыр" в программном обеспечении;
    • компьютерные вирусы и вредоносные программы;
    • установка дополнительных устройств

    Физические угрозы:

    • уничтожение или разрушение средств обработки информации и связи;
    • хищение носителей информации;
    • хищение программных или аппаратных ключей и средств, криптографической защиты данных;
    • воздействие на персонал;

    Радиоэлектронные угрозы:

    • внедрение электронных устройств перехвата информации в  технические средства и помещения;
    • перехват, расшифровка, подмена и уничтожение информации в каналах связи.

    Организационно-правовые:

    • закупки несовершенных или устаревших информационных технологий и средств информатизации;
    • нарушение требований законодательства и задержка в принятии необходимых нормативно-правовых решений в информационной сфере.

    Рисунок 3.4 – Схема классификации источников угроз


    Естественные угрозы

    Естественные угрозы - это угрозы, вызванные воздействиями на элементы системы объективных физических процессов или стихийных природных явлений, не зависящих от человека.

    Виды естественных угроз:

    • землетрясение;
    • наводнение;
    • пожары;
    • сложные метеокатаклизмы;
    • непредвиденные форс-мажорные обстоятельства;
    • различные необъяснимые явления;
    • потоки электромагнитных частиц, солнечный свет и т.д.

    Искусственные непреднамеренные угрозы

    Под непреднамеренными искусственными угрозами понимаются действия, совершаемые людьми случайно или без злого умысла: по незнанию, невнимательности или халатности, из любопытства и др.

    В составе этих действий можно выделить:

    • неумышленные действия, приводящие к частичному или полному отказу системы или разрушению аппаратных, программных, информационных ресурсов системы;
    • неправомерное отключение оборудования или изменение режимов работы устройств и программ;
    • запуск технологических программ, способных при некомпетентном использовании вызывать потерю работоспособности системы или осуществляющих необратимые изменения в системе;
    • нелегальное внедрение и использование неучтенных программ с последующим необоснованным расходованием ресурсов;
    • заражение компьютера вирусами;
    • разглашение, передача или утрата атрибутов разграничения доступа;
    • некомпетентное использование, настройка или неправомерное отключение средств защиты персоналом службы безопасности;
    • ввод ошибочных данных.

    Искусственные преднамеренные угрозы

    Под преднамеренными искусственными угрозами понимаются угрозы, связанные с корыстными устремлениями людей (злоумышленников).

    Можно выделить следующие основные возможные пути умышленной дезорганизации работы, вывода системы из строя, проникновения в систему и несанкционированного доступа к информации:

    • физическое разрушение системы (путем взрыва, поджога и т.п.) или вывод из строя всех или отдельных наиболее важных компонентов компьютерной системы (устройств, носителей важной системной информации, лиц из числа персонала и т.п.);
    • отключение или вывод из строя подсистем обеспечения функционирования вычислительных систем (электропитания, охлаждения и вентиляции, линий связи и т.п.);
    • действия по дезорганизации функционирования системы (изменение режимов работы устройств или программ, забастовка, саботаж персонала, постановка мощных активных радиопомех на частотах работы устройств системы и т.п.);
    • внедрение агентов в число персонала системы (в том числе, возможно, и в административную группу, отвечающую за безопасность);
    • вербовка (путем подкупа, шантажа и т.п.) персонала или отдельных пользователей, имеющих определенные полномочия;
    • вскрытие шифров криптозащиты информации;
    • перехват побочных электромагнитных, акустических и других излучений устройств и линий связи, а также наводок активных излучений на вспомогательные технические средства, непосредственно не участвующие в обработке информации (телефонные линии, сети питания, отопления и т.п.);
    • перехват данных,передаваемых по каналам связи, и их анализ с целью выяснения протоколов обмена, правил вхождения в связь и авторизации пользователя и последующих попыток их имитации для проникновения в систему;
    • хищение носителей информации (магнитных дисков, лент, микросхем памяти, запоминающих устройств и др.);
    • несанкционированное копирование носителей информации
    • хищение производственных отходов (распечаток, записей, списанных носителей информации и т.п.);
    • чтение остаточной информации из оперативной памяти и с внешних запоминающих устройств;
    • незаконное получение паролей и других реквизитов разграничения доступа (агентурным  путем, используя халатность пользователей, путем подбора, путем имитации интерфейса системы и т.д.) с последующей маскировкой под зарегистрированного пользователя («маскарад»);
    • незаконное подключение к линиям связи с целью работы «между строк», с использованием пауз в действиях законного пользователя от его имени с последующим вводом ложных сообщений или модификацией передаваемых сообщений

    Под внутренними угрозами понимаются угрозы информационной безопасности со стороны персонала организации или предприятия, а под внешними - угрозы от сторонних лиц или организаций.

    Внешние угрозы можно разделить на локальные и удаленные. Первые предполагают проникновение нарушителя на территорию организации и получения им доступа к отдельному компьютеру или локальной сети. Вторые характерны для систем, подключенных к общедоступным глобальным сетям (например, Интернет).

    Удаленные атаки

    Под удаленной атакой понимают информационное разрушающее воздействие на распределённую вычислительную систему, программно осуществляемое по каналам связи.

    Атака – любое действие или последовательность действий, использующих уязвимости информационной системы и приводящих к нарушению параметров безопасности.


    Удаленные атаки можно классифицировать по нескольким признакам.

    Рисунок 3.5 – Классификация удаленных атак


    По характеру воздействия.

    Пассивным воздействием на распределенную вычислительную систему (РВС) называется воздействие, которое не оказывает непосредственного влияния на работу системы, но может нарушать ее политику безопасности. Именно отсутствие непосредственного влияния на работу (РВС) приводит к тому, что пассивное удаленное воздействие очень сложно обнаружить. Примером пассивного типового удаленного воздействия в РВС служит прослушивание канала связи в сети.

    Активным воздействием на РВС называется воздействие, оказывающее непосредственное влияние на работу системы (изменение конфигурации РВС, нарушение работоспособности и т. д.) и нарушающее принятую в ней политику безопасности. Практически все типы удаленных атак являются активными воздействиями. Особенностью активного воздействия по сравнению с пассивным является принципиальная возможность его обнаружения, так как в результате его осуществления в системе происходят определенные изменения.

    По цели воздействия.

    Основная цель практически любой атаки – получить несанкционированный доступ к информации. Существуют две принципиальные возможности доступа к информации: перехват и искажение. Возможность перехвата информации означает получение к ней доступа, но невозможность ее модификации и ведет к нарушению ее конфиденциальности. Очевидно, что нарушение конфиденциальности информации является пассивным воздействием.

    Возможность искажения информации означает либо полный контроль над информационным потоком между объектами системы, либо возможность передачи сообщений от имени другого объекта. Искажение информации ведет к нарушению ее целостности. Данное информационное разрушающее воздействие представляет собой яркий пример активного воздействия.

    Принципиально другой целью атаки является нарушение работоспособности системы. В этом случае не предполагается получение атакующим несанкционированного доступа к информации. Его основная цель – добиться, чтобы операционная система на атакуемом объекте вышла из строя и для всех остальных объектов системы доступ к ресурсам атакованного объекта был бы невозможен.

    По условию начала воздействия.

    При атаке по запросу от атакуемого объекта атакующий ожидает передачи от потенциальной цели атаки запроса определенного типа, который и будет условием начала осуществления воздействия. Важно отметить, что данный тип удаленных атак наиболее характерен для РВС.

    При атаке по наступлению ожидаемого события на атакуемом объекте атакующий осуществляет постоянное наблюдение за состоянием операционной системы удален­ной цели атаки и при возникновении определенного события в этой системе начинает воздействие. Как и в предыдущем случае, инициатором осуществления начала атаки выступает сам атакуемый объект.

    При безусловной атаке она осуществляется немедленно и безотносительно к состоянию системы и атакуемого объекта. Следовательно, в этом случае атакующий является инициатором начала осуществления атаки.

    По наличию ОС.

    Удаленная атака, осуществляемая при наличии обратной связи с атакуемым объектом, характеризуется тем, что на некоторые запросы, переданные на атакуемый объект, атакующему требуется получить ответ, а, следовательно, между атакующим и целью атаки существует обратная связь, которая позволяет атакующему адекватно реагировать на все изменения, происходящие на атакуемом объекте. Подобные удаленные атаки наиболее характерны для РВС.

    Атаки без обратной связи обычно осуществляются передачей на атакуемый объект одиночных запросов, ответы на которые атакующему не нужны. Подобную атаку можно называть однонаправленной удаленной атакой.

    По расположению субъекта атаки.

    Субъект атаки (или источник атаки) - это атакующая программа или оператор, непосредственно осуществляющие воздействие. Хост (host) - сетевой компьютер. Маршрутизатор (router) - устройство, обеспечивающее маршрутизацию пакетов обмена в глобальной сети.

    Подсеть (subnetwork) (в терминологии Интернет) - совокупность хостов, являющихся частью глобальной сети, для которых маршрутизатором выделен одинаковый номер подсети.      

    С точки зрения удаленной атаки чрезвычайно важно, как по отношению друг к другу располагаются субъект и объект атаки, то есть в одном или в разных сегментах они находятся. В случае внутрисегментной атаки, как следует из названия, субъект и объект атаки находятся в одном сегменте. При межсегментной атаке субъект и объект атаки находятся в разных сегментах.

    Межсегментная удаленная атака представляет гораздо большую опасность, чем внутрисегментная. Это связано с тем, что в случае межсегментной атаки объект ее и непосредственно атакующий могут находиться на расстоянии многих тысяч километров друг от друга, что может существенно воспрепятствовать мерам по отражению атаки.

    По уровню ЭМ ВОС.

    Международная Организация по Стандартизации (ISO) приняла стандарт ISO 7498, описывающий взаимодействие открытых систем (OSI). Распределенные ВС также являются открытыми системами. Любой сетевой протокол обмена, как и любую сетевую программу, можно с той или иной степенью точности спроецировать на эталонную семиуровневую модель OSI. Такая многоуровневая проекция позволяет описать в терминах модели OSI функции, заложенные в сетевой протокол или программу. Удаленная атака также является сетевой программой. В связи с этим представляется логичным рассматривать удаленные атаки на распределенные ВС, проецируя их на эталонную модель ISO/OSI, включающую следующие уровни: физический, канальный, сетевой, транспортный, сеансовый, представительный, прикладной.

    Анализ уязвимости информационной системы

    Наиболее вероятные угрозы выбираются на основе анализа существующей информационный системы предприятия, обрабатываемой в ней информации, используемого программно-аппаратного обеспечения и т.д.

    В рамках этого метода можно выделить три основных варианта выполнения работ по мере возрастания их сложности и, соответственно, стоимости:

    • тестирование на преодоление защиты
    • аудит
    • комплексное обследование информационной системы.

    Тестирование на преодоление защиты

    Пентест

    Заключается в привлечении консультанта для тестирования сетевой организации ИБ.

    При этом консультант выступает в роли внутреннего или внешнего злоумышленника. Основными целями предпринимаемой попытки преодоления защиты являются доказательство возможности взлома системы и выявление реакции на атаку персонала организации.

    Недостаток этого варианта – отсутствие в результате его осуществления целостной картины состояния ИБ предприятия. Проведение определенной отдельной атаки не позволяет выявить весь набор уязвимых и слабых мест системы и не дает никаких рекомендаций по комплексному повышению уровня защищенности.

    Под аудитом подразумевается оценка текущего состояния компьютерной системы на соответствие некоему стандарту или предъявляемым требованиям.

    В ходе аудита эксперты по формальным критериям стандарта оценивают, в какой мере данный компонент или процесс удовлетворяет приведенным в стандарте требованиям, одновременно формируя список уязвимых мест автоматизированной системы.

    Отчет об аудите содержит оценку соответствия системы данному стандарту, но не содержит рекомендаций и предложений по устранению выявленных уязвимых мест и повышению уровня защищенности.



    3.4 Информационные инфекции

    В течение последнего времени множатся примеры систем, подвергнувшихся информационным инфекциям. Все говорят о том, что в будущем логические бомбы, вирусы, черви и другие инфекции явятся главной причиной компьютерных преступлений. Совсем недавно речь шла в основном о случаях с малыми системами. Между тем отмечаются случаи прямых атак и на большие системы со стороны сети или перехода вирусов от микроЭВМ к центральным («переходящий» вирус, поддерживаемый совместимостью операционных систем и унификацией наборов данных).

    В настоящее время инфекции в информационных системах становятся обычными и имеют неодинаковые последствия в каждом конкретном случае. В основном это потери рабочего времени.

    Число атак больших систем (по сети и реже через магнитные носители) растет. Речь идет, в частности, о логических бомбах, разрушающих набор данных (в том числе и тех, которые считаются защищенными, поскольку инфекция сохраняется долгое время) или парализующих систему.

    Участились случаи, когда предприятие полностью лишается одного или нескольких наборов данных, а иногда даже программ, что может в самом худшем случае привести к катастрофическим потерям.

    Угроза таких атак может быть реальной или выражаться в виде шантажа или вымогательства фондов. Мотивы при этом могут быть самые различные: от личных интересов до преступной конкуренции (случаи уже ординарные).

    Угрозы информационных инфекций опасны не только персональным ЭВМ. Они не менее опасны большим системам и информационным сетям самого различного уровня.

    Различные виды злонамеренных действий в нематериальной сфере (разрушение или изменение данных или программ) могут быть подразделены на два крупных класса:

    • физический саботаж (фальсификация данных, изменение логики обработки или защиты);
    • информационные инфекции (троянский конь, логическая бомба, черви и вирусы), являющиеся программами, далекими от того, чтобы принести полезные результаты пользователю; они предназначены для того, чтобы расстроить, изменить или разрушить полностью или частично элементы, обеспечивающие нормальное функционирование системы.

    Информационные инфекции специфически ориентированы и обладают определенными чертами: противоправны (незаконны), способны самовостанавливаться и размножаться; а также имеют определенный инкубационный период - замедленное время начала действия.

    Информационные инфекции имеют злонамеренный характер: их действия могут иметь разрушительный результат (например, уничтожение набора данных), реже физическое уничтожение (например, резкое включение и выключение дисковода), сдерживающее действие (переполнение канала ввода-вывода, памяти) или просто видоизменяющее влияние на работу программ.

    Самовосстановление и размножение приводит к заражению других программ и распространению по линиям связи. Это влияние трудно ограничить, так как недостаточно выявить только один экземпляр вируса: зараженными могут быть не только копии, но и любые другие программы, вступившие в связь с ней.

    Замедленное действие проявляется в том, что работа программы начинается при определенных условиях: дата, час, продолжительность, наступление события и т. д. Такое действие называют логической бомбой.

    Логические бомбы могут быть «запрятаны» служащим, например программистом; обычно бомба представляет собой часть программы, которая запускается всякий раз, когда вводится определенная информация. Такая ловушка может сработать не сразу. Например, она может сработать от ввода данных, вызывающих отработку секции программы, которая портит или уничтожает информацию.

    Логические бомбы, как вытекает из их названия, используются для искажения или уничтожения информации, реже с их помощью совершается кража или мошенничество. Манипуляциями с логическими бомбами обычно занимаются чем-то недовольные служащие, собирающиеся покинуть данную организацию, но это могут быть и консультанты, служащие с определенными политическими убеждениями, инженеры, которые при повторных обращениях могут попытаться вывести систему из строя.

    Реальный пример логической бомбы: программист, предвидя свое увольнение, вносит в программу заработной платы определенные изменения, работа которых начнется, если его фамилия исчезнет из набора данных о персонале фирмы.

    Троянский конь - это часть программы, которая при обращении способна, например, вмешаться в инструкцию передачи денежных средств или в движение акций, а затем уничтожить все улики. Ее можно применить также в случае, когда один пользователь работает с программой, которая предоставляет ресурсы другому пользователю. Известен случай, когда преступная группа смогла договориться с программистом торговой фирмы, работающим над банковским программным обеспечением, о том, чтобы он ввел подпрограмму, которая предоставит этим преступникам доступ в систему после ее установки с целью переместить денежные вклады.

    Известен также случай, когда фирма, разрабатывающая программное обеспечение для банковских систем, стала объектов домогательств другой фирмы, которая хотела выкупить программы и имела тесную связь с преступным миром. Преступная группа, если она удачно определит место для внедрения троянского коня (например, включит его в систему очистки с автоматизированным контролем, выдающую денежные средства), может безмерно обогатиться.

    Червь представляет собой паразитный процесс, который потребляет (истощает) ресурсы системы. Программа обладает свойством перевоплощаться и воспроизводиться в диспетчерах терминалов. Она может также приводить к разрушению программ.

    Вирус представляет собой программу, которая обладает способностью размножаться и самовосстанавливаться. Некоторые вирусы помечают программы, которые они заразили, с помощью пометы с тем, чтобы не заражать несколько раз одну и ту же программу. Эта помета используется некоторыми антивирусными средствами. Другие средства используют последовательность характерных для вирусов кодов.

    Большинство известных вирусов обладают замедленным действием. Они различаются между собой способами заражать программы и своей эффективностью. Существует три основные категории вирусов:

    • системные вирусы, объектом заражения которых являются исключительно загрузочные секторы (BOOT).
    • почтовые вирусы, объектом заражения которых являются электронные сообщения.
    • программные вирусы, заражающие различные программы функционального назначения. Программные вирусы можно подразделить на две категории в соответствии с воздействием, которое они оказывают на информационные программы. Эта классификация позволяет разработать процедуры обеспечения безопасности применительно к каждому виду вирусов.

    Восстанавливающийся вирус внедряется внутрь программы, которую он частично разрушает. Объем инфицированной программы при этом не изменяется. Это не позволяет использовать этот параметр для обнаружения заражения программы. Однако инфицированная программа не может больше нормально работать. Это довольно быстро обнаруживает пользователь.

    Вирус, внедряемый путем вставки, изменяет программу не разрушая ее. Всякий раз, когда задействуется программа, вирус проявляет себя позже, после окончания работы программы. Программа кажется нормально работающей, что может затруднить своевременное обнаружение вируса.



    3.5 Модель нарушителя информационных систем

    Попытка получить несанкционированный доступ к информационной системе или вычислительной сети с целью ознакомиться с ними, оставить записку, выполнить, уничтожить, изменить или похитит программу или иную информацию квалифицируется как компьютерное пиратство. Как явление подобные действия прослеживаются в последние 15 лет, но при этом наблюдается тенденция к их стремительному росту по мере увеличения числа бытовых ПК.

    Рост компьютерных нарушений ожидается в тех странах, где они широко рекламируются с помощью фильмов и книг, а дети в процессе игр рано начинают знакомиться с компьютерами. Вместе с тем растет число и более серьезных нарушений, связанных с умышленными действиями. Так, например, известны случаи внедрения в военные системы НАТО, США, нарушения телевизионной спутниковой связи, вывода из строя электронных узлов регистрации на бензоколонках, использующих высокочастотные усилители; известны попытки перевода в Швейцарию евробонов на сумму 8,5 млн. долл. и разрушения европейской коммуникационной сети связи. Из этого следует, что не только компьютеры, но и другие электронные системы являются объектами злоумышленных действий.

    Авторам хотелось бы разделить два определения: хакер (hacker) и кракер (cracker). Основное отличие состоит в постановке целей взлома компьютерных систем: первые ставят исследовательские задачи по оценке и нахождению уязвимостей с целью последующего повышения надежности компьютерной системы. Кракеры же вторгаются в систему с целью разрушения, кражи, порчи, модификации информации и совершают правонарушения с корыстными намерениями быстрого обогащения. Далее по тексту в некоторых случаях будем объединять их понятием «взломщик». Очевидно, что при несанкционированном доступе к информации наиболее губительным будет появление кракера. Иногда в литературе можно встретить термин крекер.

    Однако компьютерные пираты (кракеры) не интересуются, насколько хорошо осуществляется в целом контроль в той или иной системе; они ищут единственную лазейку, которая приведет их к желанной цели. Для получения информации они проявляют незаурядную изобретательность,

    используя психологические факторы, детальное планирование и активные действия. Кракеры совершают компьютерные преступления, считая, что это более легкий путь добывания денег, чем ограбление банков. При этом они пользуются такими приемами, как взяточничество и вымогательство, о которых заурядный владелец ЭВМ, возможно, читал, но никогда не предполагал, что сам станет объектом таких действий. Однако изобилие примеров говорит о том, что это не так. Объектами кракерских атак становятся как фирмы и банки, так и частные лица. Вот всего лишь несколько примеров.

    «Забавы хакеров». «Недавно компьютерная сеть г. Северска (Томская область) подверглась массированной атаке доморощенных хакеров. В результате межрайонному отделу налоговой полиции был перекрыт доступ в Интернет. Это вторжение в городскую компьютерную сеть было не только зафиксировано налоговыми полисменами, но и задокументировано на магнитных носителях для дальнейшего использования в качестве доказательства в случае возбуждения уголовного дела».

    «Суд над томскими хакерами». 16.02.2002 г. «Двух жителей Томска, рассылавших через Интернет компьютерные вирусы, судят в районном суде города. Их уголовное дело состоит из семи томов. С помощью популярной программы ICQ злоумышленники распространяли по сети файлы, зараженные вирусной программой типа «троянский конь». В активированном виде вирус позволял хакерам получить доступ к ресурсам зараженного компьютера, завладеть чужими паролями и контролировать ввод данных с клавиатуры. Как сообщили в областном УФСБ, все началось в апреле 2000 г. с жалобы жителя Томска в ОАО «Томсктелеком» на многократное увеличение месячной платы за пользование сетью Интернет. С 200 руб. сумма таинственным образом возросла в 5 раз, превысив сначала одну, а потом 2 тыс. руб. в месяц. Пострадавший рассказал, что недавно он получил по почте ICQ странное электронное письмо. Обследование компьютера потерпевшего выявило наличие вируса в системе. Вскоре был установлен номер телефона, с которого незаконно подключались к Интернету. От действий подсудимых компьютерных воров пострадало в городе еще более десяти человек. В Томской области это первое доведенное до суда уголовное дело такого рода» [39 www.dni.ru/news/society/2002/2/16/6047.html].

    «Криминал» О. Никитский. Гор. Омск. «Два года назад в Омске при помощи поддельной карты были ограблены банкоматы Омскпромст-ройбанка системы «Золотая корона». Однако разработчики платежной системы смогли тогда убедить общественность, что речь идет о случайном доступе, не связанном со взломом системы защиты. Сегодня же, два года спустя, в Омске состоялся новый судебный процесс - над молодым человеком, который сумел подделать микропроцессорную карту ОАО «Омская электросвязь» и тем самым окончательно развенчал миф о неуязвимости смарт-технологий.

    Согласно решению суда, эмуляторы (поддельные образцы) пластиковых карт, с помощью которых была ограблена «Золотая корона», изготовил 23-летний Е. Монастырев, ведущий специалист отдела вычислительной техники Томского АКБ «Нефтеэнергобанк». По мнению следователей, при помощи служебного оборудования он изготовил поддельные карты, с помощью которых в омских банкоматах неизвестные сообщники сняли 25 тыс. долл. Программист получил 2 года. Экспертизу материалов дела проводило ФАПСИ.

    В суде города рассматривается дело о подделки телефонных карт, которые работают по тому же принципу, что и банковские, хотя немного проще устроены: в зависимости от продолжительности разговора процессор телефона-автомата изменяет количество тарифных единиц, записанных в микропроцессоре карты. «При использовании телефонной карты находящаяся на ней информация об отсутствии тарифных единиц не поступала в телефонный аппарат, что позволяло пользоваться услугами связи без оплаты» - такое заключение вынесло следствие. После нейтрализации самоучки доход от продажи карт вырос на 500 тыс. руб. Ущерб от деятельности афериста составил 3 млн. руб.».

    Удивительно мало фирм и людей верит в то, что они могут пострадать от кракеров, и еще меньше таких, кто анализировал возможные угрозы и обеспечил защиту. Большинство менеджеров под действием средств массовой информации считают компьютерными нарушителями только школьников и применяют против них такое средство защиты, как пароли. При этом они не осознают более серьезной опасности, которая исходит от профессиональных или обиженных программистов, поскольку не понимают мотивов, которыми руководствуются эти люди при совершении компьютерных пиратств.

    Для предотвращения возможных угроз фирмы должны не только обеспечить защиту операционных систем, программного обеспечения и контроля доступа, но и попытаться выявить категории нарушителей и те методы, которые они используют. В зависимости от мотивов, целей и методов действия всех взломщиков можно разбить на несколько групп начиная с дилетантов и кончая профессионалами. Их можно представить четырьмя группами:

    • начинающим взломщиком;
    • освоившим основы работы на ПЭВМ и в составе сети;
    • классным специалистом;
    • специалистом высшего класса.