Угрозы и возможные каналы утечки конфиденциальной информации

    Угрозу  перехвата данных следует принимать  во внимание не только при начальном  конфигурировании ИС, но и, что очень  важно, при всех изменениях. Весьма опасной угрозой являются... выставки, на которые многие организации, недолго думая, отправляют оборудование из производственной сети, со всеми хранящимися на них данными. Остаются прежними пароли, при удаленном доступе они продолжают передаваться в открытом виде. Это плохо даже в пределах защищенной сети организации; в объединенной сети выставки - это слишком суровое испытание честности всех участников. Еще один пример изменения, о котором часто забывают, - хранение данных на резервных носителях. Для защиты данных на основных носителях применяются развитые системы управления доступом; копии же нередко просто лежат в шкафах и получить доступ к ним могут многие.

    Кражи оборудования являются угрозой не только для резервных носителей, но и  для компьютеров, особенно портативных. Часто ноутбуки оставляют без присмотра на работе или в автомобиле, иногда просто теряют.

    Опасной нетехнической угрозой конфиденциальности являются методы морально-психологического воздействия, такие как маскарад - выполнение действий под видом  лица, обладающего полномочиями для  доступа к данным (см., например, статью Айрэ Винклера "Задание: шпионаж" в Jet Info, 1996, 19).

    К неприятным угрозам, от которых трудно защищаться, можно отнести злоупотребление  полномочиями. На многих типах систем привилегированный пользователь (например системный администратор) способен прочитать любой (незашифрованный) файл, получить доступ к почте любого пользователя и т.д. Другой пример - нанесение ущерба при сервисном обслуживании. Обычно сервисный инженер получает неограниченный доступ к оборудованию и имеет возможность действовать в обход программных защитных механизмов.

    Таковы  основные угрозы, которые наносят  наибольший ущерб субъектам информационных отношений.

    II

    Методы  сбора сведений для  вторжения в сеть

    Для осуществления несанкционированного доступа в компьютерную сеть требуется, как правило, провести два подготовительных этапа:

• собрать сведения о системе, используя различные методы ;
• выполнить пробные попытки войти в систему.

    Следует учитывать, что в зависимости  от профессионализма злоумышленника и поставленных им целей

    возможны  различные направления сбора сведений:

• подбор соучастников;
• анализ периодических изданий, ведомственных бюллетеней, документации и распечаток;
• перехват сообщений электронной почты;
• подслушивание разговоров, телексов, телефонов;
• перехват информации и электромагнитного излучения;
• организация краж;
• вымогательство и взятки.

    Полная  картина вырисовывается в процессе постепенного и тщательного сбора информации. И если начинающие хакеры и прочие злоумышленники должны приложить к этому все свое умение, то профессионалы достигают результатов гораздо быстрее.

    Подбор  соучастников требует большой и  кропотливой работы. Он основан на подслушивании разговоров в барах, фойе отелей, ресторанах, такси, подключении  к телефонам и телексам, изучении содержимого потерянных портфелей и документов. Иного полезную информацию можно извлечь, если предоставляется возможность подсесть к группе программистов, например, в баре. Этот способ часто используют репортеры и профессиональные агенты. Для установления контактов с целью получить информацию о вычислительной системе или выявить служебные пароли хакеры могут применять разнообразные приемы. Например:

• знакомясь, они представляются менеджерами;
• используют вопросники, раздавая их в фойе фирмы и детально расспрашивая сотрудников о компьютерной системе;
• звонят оператору ЭВМ в обеденное время с просьбой напомнить якобы забытый пароль;
• прогуливаются по зданию, наблюдая за доступом к системе;
• устанавливают контакты с незанятыми в данный момент служащими охраны, которым посетители при входе в здание фирмы должны предъявлять идентификационный код или пароль.

    Хакеры  могут почерпнуть много полезной информации из газет и других периодических  изданий, телевизионных и радиопередач. Это один из наиболее эффективных  и наименее рискованных путей получения конфиденциальной информации. Многочисленные фирмы все еще теряют информацию со своих компьютерных систем, ошибочно полагая, во-первых, что она не содержит конфиденциальной информации, и, во-вторых, что все черновые распечатки добросовестно уничтожаются. Именно таким способом хакеры смогли получить весьма полную картину организации компьютерной системы, используя выброшенные распечатки и невостребованные протоколы работы системы, которые сотрудникам вычислительного центра представляются безобидными бумажками.

    Перехват  сообщений электронной почты  производится с помощью компьютера.Обычно для подключения к электронной  почте используется бытовой компьютер  с модемом, обеспечивающим телефонную связь. Телефонный канал доступа в такую систему, как правило, незащищен, хотя в последнее время системные операторы требуют установки устройств регистрации пользователей электронной почты. Вплоть до недавнего времени многие справочные системы были оснащены блоками, с помощью которых хакеры могли извлекать большие объемы данных, а также идентификаторы и пароли пользователей. Долгое время считалось, что о перехвате сообщений может идти речь лишь в связи с деятельностью военных или секретных служб. Благодаря тому, что число фирм, оснащенных вычислительной техникой, постоянно растет, перехват сообщений стал весьма реальной угрозой и для коммерческого мира. Спектр возможных перехватов весьма широк:

• перехват устных сообщений с использованием радиопередатчиков, микрофонов и микроволновых устройств;
• подслушивание сообщений, передаваемых по телефону, телексу и другим каналам передачи данных;
• контроль за электромагнитным излучением от дисплеев;
• перехват спутниковых или микроволновых передач.

    Чтобы осуществить несанкционированное  вхождение в систему, хакеру требуется знать номер телефона или иметь доступ к линии связи, иметь протоколы работы, описание процедур входа в систему, код пользователя и пароль. Если хакер не знает телефонного адреса порта, он должен либо узнать его, завязывая знакомства, либо воспользоваться автонабирателем.

    Итак, мы видим, что действия хакера или  иного злоумышленника во многом зависят  от его профессионализма и стоящих  перед ним задач. Поэтому далее  мы рассмотрим общую собирательную  модель нарушителя безопасности информации.

    Попытка получить несанкционированный доступ к компьютерным сетям с целью ознакомиться с ними, оставить записку, выполнить, уничтожить, изменить или похитить программу или иную информацию квалифицируется как компьютерное пиратство. Как социальное явление, подобные действия прослеживаются в последние 10 лет, но при этом наблюдается тенденция к их стремительному росту по мере увеличения числа бытовых компьютеров. Для предотвращения возможных угроз фирмы должны не только обеспечить защиту операционных систем, программного обеспечения и контроль доступа, но и попытаться выявить категории нарушителей и те методы, которые они используют.

    В зависимости от мотивов, целей и  методов, действия нарушителей безопасности информации можно разделить на четыре категории:

• искатели приключений;
• идейные хакеры;
• хакеры-профессионалы;
• ненадежные (неблагополучные) сотрудники.

    Искатель  приключений, как правило, молод: очень часто это студент или старшеклассник, и у него редко имеется продуманный план атаки. Он выбирает цель случайным образом и обычно отступает, столкнувшись с трудностями. Найдя дыру в системе безопасности, он старается собрать закрытую информацию, но практически никогда не пытается ее тайно изменить. Своими победами такой искатель приключений делится только со своими близкими друзьями-коллегами.

    Идейный хакер — это тот же искатель приключений, но более искусный. Он уже выбирает себе конкретные цели (хосты и ресурсы) на основании своих убеждений. Его излюбленным видом атаки является изменение информационного наполнения Web-сервера или, в более редких случаях, блокирование работы атакуемого ресурса. По сравнению с искателем приключений, идейный хакер рассказывает об успешных атаках гораздо более широкой аудитории, обычно размещая информацию на хакерском Web-узле или в конференциях Usenet.

    Хакер-профессионал имеет четкий план действий и нацеливается на определенные ресурсы. Его атаки хорошо продуманы и обычно осуществляются в несколько этапов. Сначала он собирает предварительную информацию (тип ОС, предоставляемые сервисы и применяемые меры защиты). Затем он составляет план атаки с учетом собранных данных и подбирает (или даже разрабатывает) соответствующие инструменты. Далее, проведя атаку, он получает закрытую информацию, и наконец, уничтожает все следы своих действий. Такой атакующий профессионал обычно хорошо финансируется и может работать в одиночку или в составе команды профессионалов.

    Ненадежный (неблагополучный) сотрудник своими действиями может доставить столько же проблем (бывает и больше), сколько промышленный шпион, к тому же его присутствие обычно сложнее обнаружить. Кроме того, ему приходится преодолевать не внешнюю защиту сети, а только, как правило, менее жесткую внутреннюю. Он не так изощрен в способах атаки, как промышленный шпион, и поэтому чаще допускает ошибки и тем самым может выдать свое присутствие. Однако в этом случае опасность его несанкционированного доступа к корпоративным данным много выше, чем любого другого злоумышленника.

    Перечисленные категории нарушителей безопасности информации можно сгруппировать  по их квалификации: начинающий (искатель приключений), специалист (идейный хакер, ненадежный сотрудник), профессионал (хакер-профессионал). А если с этими группами сопоставить мотивы нарушения безопасности и техническую оснащенность каждой группы, то можно получить обобщенную модель нарушителя безопасности информации, как это показано на рис. 1.5.

    Нарушитель  безопасности информации, как правило, являясь специалистом определенной квалификации, пытается узнать все о компьютерных системах и сетях и, в частности, о средствах их защиты. Поэтому модель нарушителя определяет:

• категории лиц, в числе которых может оказаться нарушитель;
• возможные цели нарушителя и их градации по степени важности и опасности;
• предположения о его квалификации;
• оценка его технической вооруженности;
• ограничения и предположения о характере его действий.

    К категории хакеров-профессионалов обычно относят следующих лиц:

• входящих в преступные группировки, преследующие политические цели;
• стремящихся получить информацию в целях промышленного шпионажа;
• хакер или группировки хакеров, стремящихся к наживе.

    До  недавнего времени вызывали беспокойство случаи, когда недовольные руководителем  служащие, злоупотребляя своим положением, портили системы, допуская к ним посторонних или оставляя системы без присмотра в рабочем состоянии. Побудительными мотивами таких действий являются:

• реакция на выговор или замечание со стороны руководителя;
• недовольство тем, что фирма не оплатила сверхурочные часы работы (хотя чаще всего сверхурочная работа возникает из-за неэффективного использования рабочего времени);
• злой умысел в качестве, например, реванша с целью ослабить фирму как конкурента какой-либо вновь создаваемой фирмы.