И методы сбора информации для проникновения в ИС

Для анализа значительного набора источников, объектов и действий целесообразно использовать методы моделирования, при которых заранее формируется «заместитель» реальных ситуаций. Компонентами концептуальной модели безопасности информации могут быть следующие:

■ объекты угроз;

■ угрозы;

■ источники угроз;

■ цели угроз со стороны злоумышленников;

■ источники информации;

■ способы неправомерного овладения конфиденциальной информацией (способы доступа);

■ направления защиты информации;

■ способы защиты информации;

■ средства защиты информации.

Главным при построении такой модели должна стать попытатка выявить категории нарушителей и те методы, которые они используют.

Определение характеристики нарушителя называют составлением его модели. Модель нарушителя позволяет более развернуто представить возможные пути его действий.

Ожидаемая модель поведения нарушителя определяется его исходной позицией, квалификацией, степенью владения объемом информации о принципах построения системы и ее защиты. Исходная позиция нарушителя зависит от того, является ли он посторонним человеком или законным пользователем информационной системы. В последнем случае нарушитель уже имеет санкционированный доступ к информации и ресурсам информационной системы в рамках данных ему полномочий, если в системе существуют средства разграничения доступа, которые он попытается преодолеть.

Нарушитель безопасности информации, как правило, являясь специалистом опре­деленной квалификации, пытается узнать все о компьютерных системах и сетях и, в ча­стности, о средствах их защиты. Поэтому модель нарушителя определяет:

· категории лиц, в числе которых может оказаться нарушитель;

· возможные цели нарушителя и их градации по степени важности и опасности;

· предположения о его квалификации;

· оценка его технической вооруженности;

· ограничения и предположения о характере его действий.

В зависимости от мотивов, целей и методов, действия нарушителей безопасности информа­ции можно разделить на четыре категории:

· искатели приключений;

· идейные хакеры;

· хакеры-профессионалы;

· ненадежные (неблагополучные) сотруд­ники.

Искатель приключений, как правило, молод: очень часто это студент или стар­шеклассник, и у него редко имеется продуманный план атаки. Он выбирает цель слу­чайным образом и обычно отступает, столкнувшись с трудностями. Найдя дыру в сис­теме безопасности, он старается собрать закрытую информацию, но практически никогда не пытается ее тайно изменить. Своими победами такой искатель приключе­ний делится только со своими близкими друзьями-коллегами.

Идейный хакер – это тот же искатель приключений, но более искусный. Он уже выбирает себе конкретные цели на основании своих убеждений. Его излюбленным видом атаки является изменение информационного наполнения Web-сервера или, в более редких случаях, блокирование работы атакуемого ресурса. По сравнению с искателем приключений, идейный хакер рассказывает об успешных; атаках гораздо более широкой аудитории.

Хакер-профессионал имеет четкий план действий и нацеливается на определен­ные ресурсы. Его атаки хорошо продуманы и обычно осуществляются в несколько этапов. Сначала он собирает предварительную информацию (тип ОС, предоставляе­мые сервисы и применяемые меры защиты). Затем он составляет план атаки с учетом собранных данных и подбирает (или даже разрабатывает) соответствующие инстру­менты. Далее, проведя атаку, он получает закрытую информацию, и, наконец, уничто­жает все следы своих действий. Такой атакующий профессионал обычно хорошо фи­нансируется и может работать в одиночку или в составе команды профессионалов.

Профессиональные хакеры – это компьютерные фанаты, прекрасно знающие вы­числительную технику и системы связи. Они затратили массу времени на обдумыва­ние способов проникновения в системы и еще больше, экспериментируя с самими си­стемами. Для вхождения в систему профессионалы чаще всего используют некоторую систематику и эксперименты, а не рассчитывают на удачу или догадку. Их цель – вы­явить и преодолеть защиту, изучить возможности вычислительной установки и затем удалиться, утвердившись в возможности достижения своей цели. Благодаря высокой квалификации эти люди понимают, что степень риска мала, так как отсутствуют мотивы разрушения или хищения.

К категории хакеров-профессионалов обычно относят следующих лиц:

· входящих в преступные группировки, преследующие политические цели;

· стремящихся получить информацию в целях промышленного шпионажа;

· хакер или группировки хакеров, стремящихся к наживе.

Компьютерные махинации обычно тщательно спланированы и совершаются со знанием дела. Мотивом нарушений, как правило, служат большие деньги, кото­рые можно было получить, практически не рискуя. Вообще профессиональные пи­раты стремятся свести риск к минимуму. Для этого они привлекают к соучастию работающих или недавно уволившихся с фирмы служащих, поскольку для посто­роннего риск быть обнаруженным при проникновении в банковские системы весьма велик.

К угрозам, преднамеренно создаваемым злоумышленником или группой лиц (умыш­ленные угрозы) относятся:

· несанкционированный доступ к информации и сетевым ресурсам;

· раскрытие и модификация данных и программ, их копирование;

· раскрытие, модификация или подмена трафика вычислительной сети;

· разработка и распространение компьютерных вирусов, ввод в программное обес­печение логических бомб;

· кража магнитных носителей и расчетных документов;

· разрушение архивной информации или умышленное ее уничтожение;

· фальсификация сообщений, отказ от факта получения информации или измене­ние времени ее приема;

· перехват и ознакомление с информацией, передаваемой по каналам связи, и т. п.

Перечисленные категории нарушителей безопасности информации можно сгруп­пировать по их квалификации: начинающий (искатель приключений), специалист (идейный хакер, ненадежный сотрудник), профессионал (хакер-профессионал). А ес­ли с этими группами сопоставить мотивы нарушения безопасности и техническую ос­нащенность каждой группы, то можно получить обобщенную модель нарушителя бе­зопасности информации, как это показано на рис. 1.5.

До недавнего времени вызывали беспокойство случаи, когда недовольные руково­дителем служащие, злоупотребляя своим положением, портили системы, допуская к ним посторонних или оставляя системы без присмотра в рабочем состоянии. Побу­дительными мотивами таких действий являются:

· реакция на выговор или замечание со стороны руководителя;

· недовольство тем, что фирма не оплатила сверхурочные часы работы;

· злой умысел в качестве, например, реванша с целью ослабить фирму как конку­рента какой-либо вновь создаваемой фирмы.

Ненадежный (неблагополучный) сотрудник своими действиями может доставить столько же проблем (или даже больше), сколько промышленный шпион, к тому же его присутствие обычно сложнее обнаружить.Ему приходится преодоле­вать не внешнюю защиту сети, а только, как правило, менее жесткую внутреннюю. Он не так изощрен в способах атаки, как промышленный шпион, и поэтому чаще до­пускает ошибки и тем самым может выдать свое присутствие. Однако в этом случае опасность его несанкционированного доступа к корпоративным данным много выше, чем любого другого злоумышленника.

Стандартность архитектурных принципов построения оборудования и программ обеспечивает сравнительно легкий доступ к информации, находящей­ся в персональном компьютере и не требует порой высокой профессиональной квалификации. Включить компьютер и снять код доступа к системе не вызывает особых затрудне­ний: достаточно отключить аккумулятор на материнской плате. На некоторых моде­лях материнских плат для этого предусмотрен специальный переключатель. Также многие изготовители программы BIOS предусматривают коды, имеющие приоритет перед любыми пользовательскими, набрав которые можно получить дос­туп к системе. В крайнем случае можно украсть системный блок компьютера или из­влечь жесткий диск и уже в спокойной обстановке получить доступ к необходимой информации.

Многие владельцы систем часто не представляют, какую кропотливую подгото­вительную работу должен провести нарушитель чтобы проникнуть в ту или иную информационную систему. Поэтому они самонадеянно полагают: чтобы защитить файл, необходимо только указать для него пароль, и забывают, что любая информация о тех или иных слабых местах системы может помочь злоумышленнику найти лазейку и обойти пароль, получив доступ к файлу. Таким об­разом, информация становится легко доступной, если злоумышленник знает, где и что смотреть. Так, даже простая брошюра, описывающая возможности систе­мы, может оказаться весьма полезной хакеру, который не знаком с системой, и может послужить ключом для вхождения в систему.

Следует учитывать, что в зависимости от професси­онализма злоумышленника и поставленных им целей возможны различные направления сбора сведений:

· подбор соучастников;

· анализ периодических изданий, ведомственных бюллетеней, документации и рас­печаток;

· перехват сообщений электронной почты;

· подслушивание разговоров, телексов, телефонов;

· перехват информации и электромагнитного излучения;

· организация краж;

· вымогательство и взятки.

Подбор соучастников требует большой и кропотливой работы. Он основан на под­слушивании разговоров в барах, фойе отелей, ресторанах, такси, подключении к телефонам, изучении содержимого потерянных портфелей и документов. Ино­гда полезную информацию можно извлечь, если предоставляется возможность подсесть к группе программистов, например, в баре. Этот способ часто используют репортеры и профессиональные агенты.

Хакеры могут почерпнуть много полезной информации из газет и других периодичес­ких изданий, телевизионных и радиопередач. Это один из наиболее эффективных и наиме­нее рискованных путей получения конфиденциальной информации. Многочисленные фирмы все еще теряют информацию со своих компьютерных систем, ошибочно полагая, во-первых, что она не содержит конфиденциальной информации, и, во-вторых, что все черновые распечатки добросовестно уничтожаются.