10.1. Классы каналов несанкционированного получения информации
10.2. Причины нарушения целостности информации
Угроза информации - возможность возникновения на каком-либо этапе жизнедеятельности системы такого явления или события, следствием которого могут быть нежелательные воздействия на информацию.
1. Виды угроз. Основные нарушения
1.1. Физической целостности (уничтожение, разрушение элементов)
1.2. Логической целостности (разрушение логических связей)
1.3. Содержания (изменение блоков информации, внешнее навязывание ложной информации)
1.4. Конфиденциальности (разрушение защиты, уменьшение степени защищенности информации)
1.5. Прав собственности на информацию (несанкционированное копирование, использование)
2. Характер происхождения угроз
2.1. Умышленные факторы
2.1.1. Хищение носителей информации
2.1.2. Подключение к каналам связи
2.1.3. Перехват электромагнитных излучений (ЭМИ)
2.1.4. Несанкционированный доступ
2.1.5. Разглашение информации
2.1.6. Копирование данных
2.2. Естественные факторы
2.2.1. Несчастные случаи (пожары, аварии, взрывы)
2.2.2. Стихийные бедствия (ураганы, наводнения, землетрясения)
2.2.3. Ошибки в процессе обработки информации (ошибки пользователя, оператора, сбои аппаратуры)
Три наиболее выраженные угрозы:
- подверженность физическому искажению или уничтожению;
- возможность несанкционированной (случайной или злоумышленной) модификации;
- опасность несанкционированного (случайного и преднамеренного) получения информации лицами, для которых она не предназначена.
Источники угроз (понимается непосредственный исполнитель угрозы в плане ее негативного воздействия на информацию):
- люди;
- технические устройства;
- модели, алгоритмы, программы;
- технологические схемы обработки;
- внешняя среда. Предпосылки появления угроз:
- объективные (количественная или качественная недостаточность элементов системы) - причины, не связанные непосредственно с деятельностью людей и вызывающие случайные по характеру происхождения угрозы;
- субъективные - причины, непосредственно связанные с деятельностью человека и вызывающие как преднамеренные (деятельность разведок иностранных государств, промышленный шпионаж, деятельность уголовных элементов и недобросовестных сотрудников), так и непреднамеренные (плохое психофизиологическое состояние, недостаточная подготовка, низкий уровень знаний) угрозы информации.
Несанкционированный доступ - получение лицами в обход системы защиты с помощью программных, технических и других средств, а также в силу случайных обстоятельств доступа к обрабатываемой и хранимой на объекте информации.
Разглашение информации ее обладателем есть умышленное или неосторожное действие должностных лиц и граждан, которым соответствующие сведения в установленном порядке были доверены по работе, приведшие к не вызванному служебной необходимостью оглашению охраняемых сведений, в также передача таких сведений по открытым техническим каналам или обработка на некатегорированных ЭВМ.
Утечку информации в общем плане можно рассматривать как бесконтрольный и неправомерный выход конфиденциальной информации за пределы организации или круга лиц, которым эта информация была доверена.
Система защиты информации - совокупность взаимосвязанных средств, методов и мероприятий, направленных на предотвращение уничтожения, искажения, несанкционированного получения конфиденциальных сведений, отображенных полями, электромагнитными, световыми и звуковыми волнами или вещественно-материальными носителями в виде сигналов, образов, символов, технических решений и процессов.
Система защиты информации является составной частью комплексной системы безопасности.
10.1. Классы каналов несанкционированного получения информации
Рассмотрим относительно полное множество каналов несанкционированного получения информации, сформированного на основе такого показателя, как степень взаимодействия злоумышленника с элементами объекта обработки информации и самой информацией.
К первому классу относятся каналы от источника информации при НСД к нему.
- Хищение носителей информации.
- Копирование информации с носителей (материально-вещественных, магнитных и т. д.).
- Подслушивание разговоров (в том числе аудиозапись).
- Установка закладных устройств в помещение и съем информации с их помощью.
- Выведывание информации обслуживающего персонала на объекте.
- Фотографирование или видеосъемка носителей информации внутри помещения.
Ко второму классу относятся каналы со средств обработки информации при НСД к ним.
- Снятие информации с устройств электронной памяти.
- Установка закладных устройств в СОИ.
- Ввод программных продуктов, позволяющих злоумышленнику получать информацию.
- Копирование информации с технических устройств отображения (фотографирование с мониторов и др.).
К третьему классу относятся каналы от источника информации без
- Получение информации по акустическим каналам (в системах вентиляции, теплоснабжения, а также с помощью направленных микрофонов).
- Получение информации по виброакустическим каналам (с использованием акустических датчиков, лазерных устройств).
- Использование технических средств оптической разведки (биноклей, подзорных труб и т. д.).
- Использование технических средств оптико-электронной разведки (внешних телекамер, приборов ночного видения и т. д.).
- Осмотр отходов и мусора.
- Выведывание информации у обслуживающего персонала за пределами объекта.
- Изучение выходящей за пределы объекта открытой информации (публикаций, рекламных проспектов и т. д.).
К четвертому классу относятся каналы со средств обработки информации без НСД к ним.
- Электромагнитные излучения СОИ (паразитные электромагнитные излучения (ПЭМИ), паразитная генерация усилительных каскадов, паразитная модуляция высокочастотных генераторов низкочастотным сигналом, содержащим конфиденциальную информацию).
- Электромагнитные излучения линий связи.
- Подключения к линиям связи.
- Снятие наводок электрических сигналов с линий связи.
- Снятие наводок с системы питания.
- Снятие наводок с системы заземления.
- Снятие наводок с системы теплоснабжения.
- Использование высокочастотного навязывания.
- Снятие с линий, выходящих за пределы объекта, сигналов, образованных на технических средствах за счет акустоэлектрических преобразований.
- Снятие излучений оптоволоконных линий связи.
- Подключение к базам данных и ПЭВМ по компьютерным сетям.
10.2. Причины нарушения целостности информации
1. Субъективные
1.1. Преднамеренные
1.1.1. Диверсия (организация пожаров, взрывов, повреждений электропитания и др.)
1.1.2. Непосредственные действия над носителем (хищение, подмена носителей, уничтожение информации)
1.1.3. Информационное воздействие (электромагнитное облучение, ввод в компьютерные системы разрушающих программных средств, воздействие на психику личности психотропным оружием)
1.2. Непреднамеренные
1.2.1. Отказы обслуживающего персонала (гибель, длительный выход из строя)
1.2.2. Сбои людей (временный выход из строя)
1.2.3. Ошибки людей
2. Объективные, непреднамеренные
2.1. Отказы (полный выход из строя) аппаратуры, программ, систем питания и жизнеобеспечения
2.2. Сбои (кратковременный выход из строя) аппаратуры, программ, систем питания и жизнеобеспечения
2.3. Стихийные бедствия (наводнения, землетрясения, ураганы)
2.4. Несчастные случаи (пожары, взрывы, аварии)
2.5. Электромагнитная несовместимость
10.3. Виды угроз информационным системам
Угрозы информационной системе можно рассматривать с позиций их воздействия на ее характеристики, такие, в частности, как готовность системы, ее надежность и конфиденциальность.
Готовность - способность ИС обеспечить законным пользователям условия доступа к ресурсам в соответствии с принятым режимом работы.
Надежность - способность системы обеспечивать информационные потребности только законным пользователям в рамках их интересов.
Конфиденциальность - способность системы обеспечивать целостность и сохранность информации ее законных пользователей.
Угрозы могут также классифицироваться и по природе возникновения - стихийные бедствия, несчастные случаи (чрезвычайные происшествия), различного рода ошибки или злоупотребления, сбои и отказы оборудования и др.
Кроме того, угрозы могут быть классифицированы по ориентации на угрозы персоналу, материальным и финансовым ресурсам и информации, как составным элементам информационной системы.
Неоднократно предпринимались попытки описать различные виды угроз и воздействий на информационные системы, дать характеристику степени опасности каждой из них. Однако большинство таких попыток сводилось к описанию угроз на достаточно высоком уровне абстракции, так как описать угрозы на конкретном, деятельном уровне просто не представляется возможным.
На стадии концептуальной проработки вопросов безопасности информационной системы представляется возможным рассмотрение общего состава потенциальных угроз. Конкретные перечни, связанные со спецификой и информационной системы, и условий требуют определенной детализации и характерны для этапа разработки конкретного проекта системы безопасности ИС.
В общем плане к угрозам безопасности относятся:
- похищения и угрозы похищения сотрудников, персонала, членов их семей и близких родственников;
- убийства, сопровождаемые насилием, издевательствами и пытками;
- психологический террор, угрозы, запугивание, шантаж, вымогательство;
- грабежи с целью завладения денежными средствами, ценностями и документами.
Преступные посягательства в отношении помещений (в том числе и жилых), зданий и персонала проявляются в виде:
- взрывов;
- обстрелов из огнестрельного оружия, сигнальных ракетниц, ручных гранатометов;
- минирования, в том числе с применением дистанционного управления;
- поджогов, бросков канистр и иных емкостей с легковоспламеняющейся жидкостью;
- нападения, вторжения, захваты, пикетирования, блокирования;
- актов вандализма, повреждения входных дверей, решеток, ограждений, витрин, мебели, а также транспортных средств, личных и служебных.
Цель подобных акций:
- откровенный террор в отношении коммерческого предприятия;
- нанесение серьезного морального и материального ущерба;
- срыв на длительное время нормального функционирования предприятия;
- вымогательство значительных сумм денег или каких-либо льгот (кредиты, отсрочка платежей и т. п.) перед лицом террористической угрозы.
Угрозы информационным ресурсам проявляются в овладении конфиденциальной информацией, ее модификации в интересах злоумышленника или ее разрушении с целью нанесения материального ущерба.
Осуществление угроз информационным ресурсам может быть произведено:
- через имеющиеся агентурные источники в органах государственного управления, коммерческих структур, имеющих возможность получения конфиденциальной информации;
- путем подкупа лиц, непосредственно работающих на предприятии или в структурах, непосредственно связанных с его деятельностью;
- путем перехвата информации, циркулирующей в средствах и системах связи и вычислительной техники, с помощью технических средств разведки и съема информации, несанкционированного доступа к информации и преднамеренных программно-математических воздействий на нее в процессе обработки и хранения;
- путем подслушивания конфиденциальных переговоров, ведущихся в служебных помещениях, служебном и личном автотранспорте, на квартирах и дачах;
- через переговорные процессы с иностранными или отечественными фирмами, используя неосторожное обращение с информацией;
- через "инициативников" из числа сотрудников, которые хотят заработать деньги и улучшить свое благосостояние или проявляют инициативу по другим моральным или материальным причинам.
К факторам, приводящим к информационным потерям и, как следствие, к различным видам убытков или ущерба, можно отнести следующие причины и действия.
1. Материальный ущерб, связанный с несчастными случаями, вызывает частичный или полный вывод из строя оборудования или информационного ресурса. Причинами этого могут быть:
- пожары, взрывы, аварии;
- удары, столкновения, падения;
- воздействия твердых, газообразных, жидких или смешанных химических или физических сред;
- поломка элементов машин различного характера: механического, электрического, электронного и электромагнитного;
- последствия природных явлений (наводнения, бури, молнии, град, оползни, землетрясения и т. д.).
2. Кражу и преднамеренную порчу материальных средств. Воруют главным образом небольшие по габаритам аппаратные средства (мониторы, клавиатуру, принтеры, модемы, кабели и оргтехнику), информационные носители (диски, дискеты, ленты, магнитные карты и др.) и различное другое имущество и ЗИП (документация, комплектующие и др.).
Посягательства и вредительские действия проявляются в самых различных формах: явные (например, оставленная отвертка внутри печатающего устройства, в корпусе вентилятора процессора) или скрытые (например, вредные химические вещества в помещениях и аппаратуре).
3. Аварии и выход из строя аппаратуры, программ и баз данных. Остановка или нарушение деятельности информационных центров не такие уж редкие события, а продолжительность этих состояний в основном небольшая. Но иногда между тем прямые и косвенные последствия этих действий могут быть весьма значительными. Последствия этих действий к тому же не могут быть заранее предусмотрены и оценены.
4. Убытки, связанные с ошибками накопления, хранения, передачи и использования информации. Эти ошибки связаны с человеческим фактором, будь-то при использовании традиционных носителей информации (дискеты, ленты) или при диалоговом обмене в режиме удаленного доступа.
При традиционных носителях цена обычной ошибки, даже после уточнения, может достигнуть 0,5 %. Формальный и информационный контроль позволяют уменьшить величину ущерба, но тем не менее число таких ошибок не уменьшается. Их последствия редко бывают весьма значительными, однако представляют собой достаточно постоянный поток и приносят постоянные потери, обусловленные поиском, устранением и последующим повторением действий, а это невосполнимые потери времени и денег.
При диалоговом режиме дополнительно прибавляются ошибки восприятия, чтения, интерпретации содержания и соблюдения правил.
Ошибки передачи зависят от используемой техники. Они могут быть простыми при использовании средств почтовой связи и чисто техническими (телепередача). В обоих случаях могут быть потери, ошибки неумения, оплошности, наличие помех, сбои и искажения отдельных букв или сообщений. Ошибки подобного рода оцениваются как потери предприятия. И хотя их трудно определить и оценить, но учитывать необходимо. Не следует недооценивать эту категорию угроз, хотя к ним довольно быстро привыкают.
5. Ошибки эксплуатации. Эти ошибки могут приобретать различные формы: нарушение защиты, переполнение файлов, ошибки языка управления данными, ошибки при подготовке и вводе информации, ошибки операционной системы, ошибки программы, аппаратные ошибки, ошибочное толкование инструкций, пропуск операций и т. д.
Диапазон ошибок людей значителен. Иногда трудно установить различие между ошибкой, небрежностью, утомлением, непрофессионализмом и злоупотреблением.
6. Концептуальные ошибки и ошибки внедрения. Концептуальные ошибки могут иметь драматические последствия в процессе эксплуатации информационной системы.
Ошибки реализации бывают в основном менее опасными и достаточно легко устранимыми.
7. Убытки от злонамеренных действий в нематериальной сфере. Мошенничество и хищение информационных ресурсов - это одна из форм преступности, которая в настоящее время является довольно безопасной и может принести больший доход, чем прямое ограбление банка. Между тем, учитывая сложность информационных систем и их слабые стороны, этот вид действий считается достаточно легко реализуемым.
Нередко все начинается случайно, часто с небольшого правонарушения: обмана, воровства, только для того чтобы установить, что это не слишком трудное дело и в больших масштабах. Единственным препятствием остается только совесть. Мошенничество часто имеет внутренние побудительные мотивы или совершается в корыстных целях, по договоренности с третьими лицами (сотрудничество).
8. Болтливость и разглашение. Эти действия, последствия которых не поддаются учету, относятся к числу трудноконтролируемых и могут находиться в рамках от простого, наивного хвастовства до промышленного шпионажа в коммерческой деятельности - таков их диапазон.
9. Убытки социального характера. Речь идет об уходе или увольнении сотрудников, забастовках и других действиях персонала, приводящих к производственным потерям и неукомплектованности рабочих мест. Опасность этих действий существует почти всегда.
Особо опасный вид угроз представляет промышленный шпионаж как форма недобросовестной конкуренции.
Промышленный шпионаж - это наносящие владельцу коммерческой тайны ущерб незаконный сбор, присвоение и передача сведений, составляющих коммерческую тайну, а также ее носителей лицом, не уполномоченным на это ее владельцем.
10.4. Виды потерь
Информационный ущерб может рассматриваться и с точки зрения потерь, приводящих к какой-либо убыточности, в частности в тех случаях, когда они могут быть оценены.
1. Потери, связанные с материальным ущербом. Речь идет о компенсации или размещении утраченных или похищенных материальных средств. К этой сумме может добавиться целый ряд других, может быть даже более значительных:
- стоимость компенсации, возмещение другого косвенно утраченного имущества;
- стоимость ремонтно-восстановительных работ;
- расходы на анализ и исследование причин и величины ущерба;
- другие различные расходы.
2. Дополнительные расходы, связанные с персоналом, обслуживанием сети и расходы на восстановление информации, связанные с возобновлением работы сети по сбору, хранению, обработке и контролю данных.
К дополнительным расходам относятся также:
- поддержка информационных ресурсов и средств удаленного доступа;
- обслуживающий персонал, не связанный с информацией;
- специальные премии, расходы на перевозку и др.;
- другие виды расходов.
3. Эксплуатационные потери, связанные с ущемлением банковских интересов, или с финансовыми издержками, или с потерей клиентов.
Расходы на эксплуатацию соответствуют снижению общего потенциала предприятия, вызываемого следующими причинами:
- снижением банковского доверия;
- уменьшением размеров прибыли;
- потерей клиентуры;
- снижением доходов предприятия;
- другими причинами.
Естественно, что информационные потери увеличивают дополнительные расходы на их восстановление, что требует определенного времени. Временные задержки вызывают соответствующие претензии пользователей, потери интересов, а иногда и финансовые санкции.
4. Утрата фондов или невосстанавливаемого имущества. Утрата фондов соответствует в общем случае уменьшению финансовых возможностей (деньги, чеки, облигации, вексели, денежные переводы, боны, акции и т. д.).
Преступные действия могут быть предприняты и в отношении счетов третьей стороны (клиенты, поставщики, государство, лица наемного труда), а иногда даже и против капиталов. Потери собственности соответствуют утрате материальных ценностей как складированных, так и закупленных, а также недвижимости.
5. Прочие расходы и потери, в частности, связаны с моральной ответственностью.
Эта категория потерь по своему содержанию довольно разнообразна: травмы, телесные повреждения, моральный ущерб, судебные издержки, штрафы, расходы на обучение и различные эксперименты, другие виды гражданской ответственности. Сюда же можно отнести качественные потери и другие издержки.
Ущерб может быть прямой (расходы, связанные с восстановлением системы) и косвенный (потери информации, клиентуры).
10.5. Информационные инфекции
В течение последнего времени множатся примеры систем, подвергнувшихся информационным инфекциям. Все говорят о том, что в будущем логические бомбы, вирусы, черви и другие инфекции явятся главной причиной компьютерных преступлений. Совсем недавно речь шла в основном о случаях с малыми системами. Между тем отмечаются случаи прямых атак и на большие системы со стороны сети или перехода вирусов от микроЭВМ к центральным ("переходящий" вирус, поддерживаемый совместимостью операционных систем и унификацией наборов данных).
В настоящее время инфекции в информационных системах становятся обычными и имеют неодинаковые последствия в каждом конкретном случае. В основном это потери рабочего времени.
Число атак больших систем (по сети и реже через магнитные носители) растет. Речь идет, в частности, о логических бомбах, разрушающих набор данных (в том числе и тех, которые считаются защищенными, поскольку инфекция сохраняется долгое время) или парализующих систему.
Участились случаи, когда предприятие полностью лишается одного или нескольких наборов данных, а иногда даже программ, что может в самом худшем случае привести к катастрофическим потерям.
Угроза таких атак может быть реальной или выражаться в виде шантажа или вымогательства фондов. Мотивы при этом могут быть самые различные: от личных интересов до преступной конкуренции (случаи уже ординарные).
Угрозы информационных инфекций опасны не только персональным ЭВМ. Они не менее опасны большим системам и информационным сетям самого различного уровня.
Различные виды злонамеренных действий в нематериальной сфере (разрушение или изменение данных или программ) могут быть подразделены на два крупных класса:
- физический саботаж (фальсификация данных, изменение логики обработки или защиты);
- информационные инфекции (троянский конь, логическая бомба, черви и вирусы), являющиеся программами, далекими от того, чтобы принести полезные результаты пользователю; они предназначены для того, чтобы расстроить, изменить или разрушить полностью или частично элементы, обеспечивающие нормальное функционирование системы.
Информационные инфекции специфически ориентированы и обладают определенными чертами: противоправны (незаконны), способны самовостанавливаться и размножаться; а также имеют определенный инкубационный период - замедленное время начала действия.
Информационные инфекции имеют злонамеренный характер: их действия могут иметь разрушительный результат (например, уничтожение набора данных), реже физическое уничтожение (например, резкое включение и выключение дисковода), сдерживающее действие (переполнение канала ввода-вывода, памяти) или просто видоизменяющее влияние на работу программ.
Самовосстановление и размножение приводит к заражению других программ и распространению по линиям связи. Это влияние трудно ограничить, так как недостаточно выявить только один экземпляр вируса: зараженными могут быть не только копии, но и любые другие программы, вступившие в связь с ней.
Замедленное действие проявляется в том, что работа программы начинается при определенных условиях: дата, час, продолжительность, наступление события и т. д. Такое действие называют логической бомбой.
Логические бомбы могут быть "запрятаны" служащим, например программистом; обычно бомба представляет собой часть программы, которая запускается всякий раз, когда вводится определенная информация. Такая ловушка может сработать не сразу. Например, она может сработать от ввода данных, вызывающих отработку секции программы, которая портит или уничтожает информацию.
Логические бомбы, как вытекает из их названия, используются для искажения или уничтожения информации, реже с их помощью совершается кража или мошенничество. Манипуляциями с логическими бомбами обычно занимаются чем-то недовольные служащие, собирающиеся покинуть данную организацию, но это могут быть и консультанты, служащие с определенными политическими убеждениями, инженеры, которые при повторных обращениях могут попытаться вывести систему из строя.
Реальный пример логической бомбы: программист, предвидя свое увольнение, вносит в программу заработной платы определенные изменения, работа которых начнется, если его фамилия исчезнет из набора данных о персонале фирмы.
Троянский конь - это часть программы, которая при обращении способна, например, вмешаться в инструкцию передачи денежных средств или в движение акций, а затем уничтожить все улики. Ее можно применить также в случае, когда один пользователь работает с программой, которая предоставляет ресурсы другому пользователю. Известен случай, когда преступная группа смогла договориться с программистом торговой фирмы, работающим над банковским программным обеспечением, о том, чтобы он ввел подпрограмму, которая предоставит этим преступникам доступ в систему после ее установки с целью переместить денежные вклады.
Известен также случай, когда фирма, разрабатывающая программное обеспечение для банковских систем, стала объектов домогательств другой фирмы, которая хотела выкупить программы и имела тесную связь с преступным миром. Преступная группа, если она удачно определит место для внедрения троянского коня (например, включит его в систему очистки с автоматизированным контролем, выдающую денежные средства), может безмерно обогатиться.
Червь представляет собой паразитный процесс, который потребляет (истощает) ресурсы системы. Программа обладает свойством перевоплощаться и воспроизводиться в диспетчерах терминалов. Она может также приводить к разрушению программ.
Вирус представляет собой программу, которая обладает способностью размножаться и самовосстанавливаться. Некоторые вирусы помечают программы, которые они заразили, с помощью пометы с тем, чтобы не заражать несколько раз одну и ту же программу. Эта помета используется некоторыми антивирусными средствами. Другие средства используют последовательность характерных для вирусов кодов.
Большинство известных вирусов обладают замедленным действием. Они различаются между собой способами заражать программы и своей эффективностью. Существует три основные категории вирусов:
- Системные вирусы, объектом заражения которых являются исключительно загрузочные секторы (BOOT).
- Почтовые вирусы, объектом заражения которых являются электронные сообщения.
- Программные вирусы, заражающие различные программы функционального назначения. Программные вирусы можно подразделить на две категории в соответствии с воздействием, которое они оказывают на информационные программы. Эта классификация позволяет разработать процедуры обеспечения безопасности применительно к каждому виду вирусов.
Восстанавливающийся вирус внедряется внутрь программы, которую он частично разрушает. Объем инфицированной программы при этом не изменяется. Это не позволяет использовать этот параметр для обнаружения заражения программы. Однако инфицированная программа не может больше нормально работать. Это довольно быстро обнаруживает пользователь.
Вирус, внедряемый путем вставки, изменяет программу не разрушая ее. Всякий раз, когда задействуется программа, вирус проявляет себя позже, после окончания работы программы. Программа кажется нормально работающей, что может затруднить своевременное обнаружение вируса.
10.6. Модель нарушителя информационных систем
Попытка получить несанкционированный доступ к информационной системе или вычислительной сети с целью ознакомиться с ними, оставить записку, выполнить, уничтожить, изменить или похитит программу или иную информацию квалифицируется как компьютерное пиратство. Как явление подобные действия прослеживаются в последние 15 лет, но при этом наблюдается тенденция к их стремительному росту по мере увеличения числа бытовых ПК.
Рост компьютерных нарушений ожидается в тех странах, где они широко рекламируются с помощью фильмов и книг, а дети в процессе игр рано начинают знакомиться с компьютерами. Вместе с тем растет число и более серьезных нарушений, связанных с умышленными действиями. Так, например, известны случаи внедрения в военные системы НАТО, США, нарушения телевизионной спутниковой связи, вывода из строя электронных узлов регистрации на бензоколонках, использующих высокочастотные усилители; известны попытки перевода в Швейцарию евробонов на сумму 8,5 млн. долл. и разрушения европейской коммуникационной сети связи. Из этого следует, что не только компьютеры, но и другие электронные системы являются объектами злоумышленных действий.
Авторам хотелось бы разделить два определения: хакер (hacker) и кракер (cracker). Основное отличие состоит в постановке целей взлома компьютерных систем: первые ставят исследовательские задачи по оценке и нахождению уязвимостей с целью последующего повышения надежности компьютерной системы. Кракеры же вторгаются в систему с целью разрушения, кражи, порчи, модификации информации и совершают правонарушения с корыстными намерениями быстрого обогащения. Далее по тексту в некоторых случаях будем объединять их понятием "взломщик". Очевидно, что при несанкционированном доступе к информации наиболее губительным будет появление кракера. Иногда в литературе можно встретить термин крекер.
Однако компьютерные пираты (кракеры) не интересуются, насколько хорошо осуществляется в целом контроль в той или иной системе; они ищут единственную лазейку, которая приведет их к желанной цели. Для получения информации они проявляют незаурядную изобретательность, используя психологические факторы, детальное планирование и активные действия. Кракеры совершают компьютерные преступления, считая, что это более легкий путь добывания денег, чем ограбление банков. При этом они пользуются такими приемами, как взяточничество и вымогательство, о которых заурядный владелец ЭВМ, возможно, читал, но никогда не предполагал, что сам станет объектом таких действий. Однако изобилие примеров говорит о том, что это не так. Объектами кракерских атак становятся как фирмы и банки, так и частные лица. Вот всего лишь несколько примеров.
"Забавы хакеров". "Недавно компьютерная сеть г. Северска (Томская область) подверглась массированной атаке доморощенных хакеров. В результате межрайонному отделу налоговой полиции был перекрыт доступ в Интернет. Это вторжение в городскую компьютерную сеть было не только зафиксировано налоговыми полисменами, но и задокументировано на магнитных носителях для дальнейшего использования в качестве доказательства в случае возбуждения уголовного дела".
"Суд над томскими хакерами". 16.02.2002 г. "Двух жителей Томска, рассылавших через Интернет компьютерные вирусы, судят в районном суде города. Их уголовное дело состоит из семи томов. С помощью популярной программы ICQ злоумышленники распространяли по сети файлы, зараженные вирусной программой типа "троянский конь". В активированном виде вирус позволял хакерам получить доступ к ресурсам зараженного компьютера, завладеть чужими паролями и контролировать ввод данных с клавиатуры. Как сообщили в областном УФСБ, все началось в апреле 2000 г. с жалобы жителя Томска в ОАО "Томсктелеком" на многократное увеличение месячной платы за пользование сетью Интернет. С 200 руб. сумма таинственным образом возросла в 5 раз, превысив сначала одну, а потом 2 тыс. руб. в месяц. Пострадавший рассказал, что недавно он получил по почте ICQ странное электронное письмо. Обследование компьютера потерпевшего выявило наличие вируса в системе. Вскоре был установлен номер телефона, с которого незаконно подключались к Интернету. От действий подсудимых компьютерных воров пострадало в городе еще более десяти человек. В Томской области это первое доведенное до суда уголовное дело такого рода" [39 www.dni.ru/news/society/2002/2/16/6047.html].
"Криминал" О. Никитский. Гор. Омск. Два года назад в Омске при помощи поддельной карты были ограблены банкоматы Омскпромст-ройбанка системы "Золотая корона". Однако разработчики платежной системы смогли тогда убедить общественность, что речь идет о случайном доступе, не связанном со взломом системы защиты. Сегодня же, два года спустя, в Омске состоялся новый судебный процесс - над молодым человеком, который сумел подделать микропроцессорную карту ОАО "Омская электросвязь" и тем самым окончательно развенчал миф о неуязвимости смарт-технологий.
Согласно решению суда, эмуляторы (поддельные образцы) пластиковых карт, с помощью которых была ограблена УЗолотая коронаФ, изготовил 23-летний Е. Монастырев, ведущий специалист отдела вычислительной техники Томского АКБ "Нефтеэнергобанк". По мнению следователей, при помощи служебного оборудования он изготовил поддельные карты, с помощью которых в омских банкоматах неизвестные сообщники сняли 25 тыс. долл. Программист получил 2 года. Экспертизу материалов дела проводило ФАПСИ.
В суде города рассматривается дело о подделки телефонных карт, которые работают по тому же принципу, что и банковские, хотя немного проще устроены: в зависимости от продолжительности разговора процессор телефона-автомата изменяет количество тарифных единиц, записанных в микропроцессоре карты. "При использовании телефонной карты находящаяся на ней информация об отсутствии тарифных единиц не поступала в телефонный аппарат, что позволяло пользоваться услугами связи без оплаты" - такое заключение вынесло следствие. После нейтрализации самоучки доход от продажи карт вырос на 500 тыс. руб. Ущерб от деятельности афериста составил 3 млн. руб.".
Удивительно мало фирм и людей верит в то, что они могут пострадать от кракеров, и еще меньше таких, кто анализировал возможные угрозы и обеспечил защиту. Большинство менеджеров под действием средств массовой информации считают компьютерными нарушителями только школьников и применяют против них такое средство защиты, как пароли. При этом они не осознают более серьезной опасности, которая исходит от профессиональных или обиженных программистов, поскольку не понимают мотивов, которыми руководствуются эти люди при совершении компьютерных пиратств.
Для предотвращения возможных угроз фирмы должны не только обеспечить защиту операционных систем, программного обеспечения и контроля доступа, но и попытаться выявить категории нарушителей и те методы, которые они используют. В зависимости от мотивов, целей и методов действия всех взломщиков можно разбить на несколько групп начиная с дилетантов и кончая профессионалами. Их можно представить четырьмя группами:
- начинающим взломщиком;
- освоившим основы работы на ПЭВМ и в составе сети;
- классным специалистом;
- специалистом высшего класса.