Технології комп’ютерної безпеки

Размещено на http://www.allbest.ru/

Размещено на http://www.allbest.ru/

МІНІСТЕРСТВО ОСВІТИ І НАУКИ,

МОЛОДІ ТА СПОРТУ УКРАЇНИ

МІЖНАРОДНИЙ ЕКОНОМІКО-ГУМАНІТАРНИЙ УНІВЕРСИТЕТ ІМЕНІ АКАДЕМІКА СТЕПАНА ДЕМ'ЯНЧУКА

ТЕХНОЛОГІЇ КОМП'ЮТЕРНОЇ БЕЗПЕКИ

Книга 5

Чернецький І.Ф.

Рівне, 2011

УДК 614.2 Чернецький І.Ф. Технології комп'ютерної безпеки. Монографія. Книга 5. Науковий керівник Р.М. Літнарович. МЕГУ, Рівне, 2011.-95 с. Chernetskiy I.F. Technologies of computer safety. Book 5. Monograph. IEGU, Rivne, 2011. - 97 p.

Рецензенти: В.Г. Бурачек, доктор технічних наук, професор

Є.С. Парняков, доктор технічних наук, професор

В.О.Боровий, доктор технічних наук, професор

Відповідальний за випуск: Й.В. Джунь, доктор фізико-математичних наук, професор.

Послідовно розглядаються основні поняття побудови сучасних технологій комп'ютерної безпеки. Монографія містить актуальний матеріал довідково-аналітичного характеру по наступних темах: основи безпеки даних в комп'ютерних системах, ідентифікація і аутентифікація користувачів, захист даних від несанкціонованого доступу, основи захисту даних від комп'ютерних вірусів, основи криптографії, криптографічні методи захисту інформації, стандарти захисту інформації.

Ключові слова: комп'ютерна безпека, інформаційна безпека, захист, інформація.

Последовательно рассматриваются основные понятия построения современных технологий компьютерной безопасности. Монография содержит актуальный материал справочно-аналитического характера по следующим темам: основы безопасности данных в компьютерных системах, идентификация и аутентификация пользователей, защита данных от несанкционированного доступа, основы защиты данных от компьютерных вирусов, основы криптографии, криптографические методы защиты информации, стандарты защиты информации.

Ключевые слова: компьютерная безопасность, информационная безопасность, защита, информация.

The basic concepts of construction of modern technologies of computer safety are consistently examined. A monograph contains aktual material certificate analytical character on the followings themes: bases of safety of information in the computer systems, authentication and authentification of users, protection of data from an unauthorized division, bases of protection of data from computer viruses, bases of cryptography, cryptographic methods of priv, standards of priv.

Keywords: computer safety, informative safety, defence, information

© Чернецький І.Ф

Зміст

Вступ

1. Загрози комп'ютерної безпеки

1.1 Проблеми правового захисту комп'ютерної інформації в Україні

1.2 Комп'ютер очима хакера

1.3 Хто такі хакери?

1.4 Методи злому комп'ютерних систем

1.5 Захист системи від злому

2. Програми-шпигуни

2.1 Програмні закладки

2.2 Моделі впливу програмних закладок на комп'ютери

2.3 Захист від програмних закладок

2.4 Троянські програми

2.5 Клавіатурні шпигуни

3. Парольний захист операційних систем

4. Безпека комп'ютерної мережі

4.1 Технології з'єднань комп'ютерів

4.2 Інформаційний захист мережі з використанням брандмауерів та серверів посередників

4.3 Захист ресурсів в мережній ОС Novel NetWare

4.4 Захист електронної пошти

5. Основи криптографії

5.1 Принципи частотного крипто аналізу

6. Криптографічні ключі

7. Криптографічні протоколи

8. Надійність криптосистем

8.1 Як вибрати хороший криптографічний алгоритм

8.2 Симетричний або асиметричний криптографічний алгоритм?

8.3 Шифрування в каналах зв'язку комп'ютерної мережі

8.4 Шифрування файлів

8.5 Апаратне і програмне шифрування

8.6 Стискання та шифрування

8.7 Як заховати один шифр текст в іншому

8.8 Чому криптосистеми ненадійні

Список використаної літератури

Вступ

комп'ютерний хакер програма криптографія

Люди, йдучи з дому, зазвичай закривають вхідні двері на замок. Вони також замикають свої автомобілі, залишаючи їх припаркованими на вулиці або на стоянці. І як правило, не повідомляють номер своєї кредитної картки першому зустрічному співрозмовнику, який пристає до перехожих, і настирливо пропонуючи купити в нього товари сумнівної якості. Однак переважна більшість людей до кінця не усвідомлює, наскільки сильно вони ризикують, якщо не піклуються про захист інформації, що знаходиться в їхніх комп'ютерах. Достовірно відомо, що лише окремі користувачі вживають хоч якісь заходи, покликані зберегти їхні дані. Решта всерйоз замислюються про це тільки тоді, коли втрачають інформацію, збережену в комп'ютері. Більш того, їхні комп'ютерні системи найчастіше зовсім не захищені від крадіжок і вандалізму. Кожен раз, використовуючи свій комп'ютер, його власник додає туди певну порцію інформації. Саме ця сукупна інформація і є найбільш цінним компонентом всієї комп'ютерної системи. А це означає, що якщо не вжити спеціальних заходів для її захисту, витрати, які понесе користувач, спробувавши відновити втрачені дані, значно перевищать вартість апаратних засобів, що використовуються для зберігання цих даних. Ще більш загрозливою небезпечними наслідками є ситуація, при якій податкова і банківська інформація користувача або його ділова переписка потрапляє в чужі руки.

Важко собі уявити, що хтось, перебуваючи при здоровому розумі і твердій пам'яті, з доброї волі надає свою особисту інформацію людям, з якими не має або не бажає мати жодних справ. Але навіть якщо вам нема чого приховувати від сторонніх (у це важко повірити, але припустимо, що це дійсно так), неодмінно знайдеться хтось, хто не проти перетворити ваш комп'ютер в купу непотрібного мотлоху, як тільки випаде така можливість. Розплодилися киберпанки, крекери, фрікерів і брейкери з великим ентузіазмом займаються електронним злодійством, що можна порівняти з оскверненням могил і розмальовування стін будинків непристойними написами. Не слід нехтувати і захистом даних від стихійних біду. Адже зовсім не важливо, зіпсується ваш жорсткий диск від комп'ютерного вірусу, від рук злісного хакера, або ту ж саму ведмежу послугу вам надасть ураган, повінь або кульова блискавка. Не менш важливо відзначити, що незалежно від того, наскільки цінна ваша інформація, українським законодавством вона безумовно визнається об'єктом вашої власності. І ви, як власник своєї інформації. маєте право визначати правила її обробки та захисту.

Базовим у цьому відношенні Державний стандарт України із захисту інформації який може вживати необхідних заходів для запобігання витоку, розкрадання, втрати, спотворення і підробки інформації. Питання полягає в тому, які дії є насправді необхідними для адекватного захисту вашої інформації. Ризикну припустити, що ви навряд чи залишаєте свій будинок навіть на короткий час без того, щоб не замкнути двері, хоча це досить клопітке заняття. По-перше, необхідно володіти мінімумом технічних знань, щоб підібрати і встановити надійний замок. По-друге, потрібен постійний контроль за станом замку, щоб утримувати його в справності. По-третє, щоб замок запобігав проникнення в будинок сторонніх людей, ви повинні дотримуватися певні правила (зберігати ключі в надійному місці, а також не залишати двері незамкненими). Подібні ж правила застосовні і у випадку захисту інформації в комп'ютерних системах.

Саме тому так важливо відшукати розумний компроміс між цінністю ваших даних і незручностями, пов'язаними з використанням необхідних заходів безпеки. Як і дверний замок, будь-яка система комп'ютерного захисту інформації не є цілком безпечною. Завжди знайдеться хтось, здатний зламати захисні механізми комп'ютера. На щастя, такі люди зустрічаються дуже рідко, інакше єдиний спосіб захистити наші дані полягав би у їх знищення.

Таким чином, завдання забезпечення інформаційної безпеки суперечлива за самою своєю суттю. З одного боку, засобів забезпечення безпеки ніколи не буває занадто багато в тому сенсі, що захист завжди можна тим або іншим способом подолати (просто кожен раз, коли підвищується рівень захисту, доводиться вигадувати більш витончений спосіб її обходу). З іншого боку, чим сильніше когось або щось захищають, тим більше виникає незручностей і обмежень, і в результаті замість почуття спокою інформаційна безпека викликає лише роздратування і прагнення від неї відмахнутися, як від набридливої мухи. Наприклад, за рахунок жорсткого контролю за доступом до комп'ютерної системи за допомогою паролів безсумнівно знижується ймовірність їх підбору зломщиком, проте одночасно це змушує рядових користувачів докладати значно більше зусиль для придумування і запам'ятовування паролів. А установка строгих обмежень на доступ до інформації створює додаткові труднощі при спільній роботі з цією інформацією. Тому ідеальною та універсальної системи захисту інформації не існує: тут все дуже індивідуально, і варіант захисту, найбільш близький до оптимального, весь час доводиться підбирати заново.

Уважно вивчивши пропоновану вашій увазі книгу, ви зможете підібрати оптимальні методи для захисту комп'ютерної інформації. При цьому дуже істотну роль гратиме ступінь ізольованості вашого комп'ютера від зовнішнього світу. Якщо комп'ютер знаходиться у вас вдома або в офісі і фізично не пов'язаний з іншими комп'ютерами (за допомогою модему або апаратної мережі), то, цілком ймовірно, найбільша небезпека полягає в тому, що хтось занесе в нього вірус чи троянську програму.

Друга, вкрай несприятлива перспектива, полягає в тому, що ваш комп'ютер може бути викрадений. Решту неприємностей можна уникнути, застосовуючи парольний захист комп'ютера і шифруючи файли, що містять конфіденційну інформацію. У цьому випадку забезпечити свій комп'ютер досить надійним захистом зможе будь-яка людина, навіть не дуже сильний в питаннях інформаційної безпеки. Якщо комп'ютерна система підключена до мережі, то потрібно прийняти додаткові заходи безпеки, кваліфіковано встановити і правильно використовувати які під силу тільки підготовленим спеціалісту, який має досвід роботи в галузі захисту інформації. Зашиті механізми, вбудовані в мережні операційні системи, всілякі брандмауери та аналізатори безпеки мереж вимагають дуже гонкою па-будівництва. Тому навіть незначна помилка при їх установці і настройці чревата серйозними наслідками, оскільки зловмиснику досить виявити лише одне слабке місце в системі захисту, щоб здійснити її злом. Однак і у випадку, якщо комп'ютер працює і складі мережі, вивчення пропонованої книги буде корисно всім - від технаря до менеджера, не має глибоких знань в цих питаннях. Адже правильне використання засобів захисту інформації можливе лише в тому випадку, коли всі люди, так чи інакше причетні до роботи з середи вами обробки та зберігання даних, усвідомлюють (нехай навіть у найзагальніших рисах) принципи забезпечення надійного функціонування цих засобів і скрупульозно слідують даними принципам на практиці.

1. Загрози комп'ютерної безпеки

1.1 Проблеми правового захисту комп'ютерної інформації в Україні

Проблеми правового захисту комп'ютерної інформації зацікавили юристів провідних зарубіжних країн у 70-80-ті рр., коли почався розквіт комп'ютерної техніки. Поява і розповсюдження в 70-ті рр. компактних і порівняно недорогих персональних комп'ютерів створили можливість підключення до потужних інформаційних потоків необмеженого кола осіб, призвели до комп'ютеризації господарської і управлінської діяльності, використання комп'ютерної техніки в космічних дослідженнях, обороні, атомній енергетиці та інших сферах життя суспільства, де порушення роботи такої техніки здатне викликати аварії і навіть катастрофи з людськими жертвами і величезними економічними втратами. Крім того, поява комп'ютерних банків з інформацією персонального характеру робить неправомірний доступ до неї вельми небезпечним для прав і свобод людини. Постало питання про контрольованість доступу до інформації та її збереження. Особливо гостро така проблема стоїть у країнах з високорозвиненими технологіями й інформаційними мережами.

Традиційні заходи (організаційні, програмні, технічні) не можуть повною мірою відігравати роль стримуючого фактора. У зв'язку з цим велика увага приділяється розвитку кримінального законодавства. Під кримінально-правовими заходами боротьби з комп'ютерною злочинністю в літературі розуміють прийняття кримінально-правових норм, якими встановлюється кримінальна відповідальність за вчинення окремих діянь у сфері використання комп'ютерної техніки. Зіткнувшись з комп'ютерною злочинністю, правоохоронні органи спочатку вели з нею боротьбу з допомогою традиційних правових норм про викрадення, привласнення, шахрайство і т.д.

Однак, такий підхід виявився не зовсім вдалим, оскільки багато комп'ютерних злочинів не охоплюються складами традиційних злочинів. Невідповідність кримінологічної реальності і кримінально-правових норм вимагали розвитку останніх. Цей розвиток відбувається у двох напрямках: 1) ширше трактування традиційних норм і їх застосування за аналогією;2) розробка спеціалізованих норм про комп'ютерні злочини. Що ж таке комп'ютерний злочин? Деякі вчені піддають сумніву доцільність вживання терміна “комп'ютерні злочини”. Наприклад, В.В. Крилов пропонує як альтернативне ширше розуміння - “інформаційні злочини”, яке дозволяє абстрагуватися від конкретних технічних засобів. М.Ф. Ахраменко під комп'ютерним злочином розуміє «вчинення винного суспільно-небезпечного протиправного діяння з використанням інформаційно-обчислювальних систем або із впливом на них».

Кримінальна поліція Німеччини взяла на озброєння визначення комп'ютерної злочинності, яке включає в себе «всі протизаконні дії, за яких електронна обробка інформації була знаряддям їх скоєння або об'єктом». Швейцарські експерти під комп'ютерною злочинністю розуміють «всі зумисні та протизаконні дії, які призводять до нанесення шкоди майну і скоєння яких стало можливим завдяки електронній обробці інформації». У 1973 р. у Швеції приймається закон, згідно з яким встановлена відповідальність за неправомірну зміну, знищення або доступ до записів на комп'ютерних носіях (інформаційні зловживання). Пізніше спеціальні норми про комп'ютерні злочини були прийняті в США, Великобританії, Австрії, Канаді (липень 1985 р.), Данії (грудень 1985 р.), Австралії, Франції, Португалії (1982 р.) й інших країнах.

Необхідність видання законів, спеціально орієнтованих на боротьбу з комп'ютерними злочинами, досить швидко була усвідомлена в США на рівні законодавчих органів окремих штатів. На початок 70-х рр. відповідні закони були видані в шести штатах, а робота над законопроектами велася у дванадцяти інших. До 1985 р. такі акти були прийняті в 47 штатах. Наприклад, у штаті Флорида “Закон про комп'ютерні злочини” набув сили 1 січня 1978 р. і є найбільш грунтовним з усіх аналогічних актів інших штатів США. Згідно з даним законом конкретні види комп'ютерних злочинів розподілені на три групи:

* злочини проти інтелектуальної власності, тобто зумисне незаконне внесення змін, знищення або викрадення даних, програм і документації, пов'язаної з комп'ютерами;

* злочини, що завдають шкоди комп'ютерному обладнанню, тобто знищення або пошкодження комп'ютерних систем, приладів і т.д.;

* злочини проти користувачів комп'ютерів, тобто, будь-яке незаконне використання чужого комп'ютера, в тому числі спроба обробити на ньому які-небудь дані, недопущення до користування комп'ютером особи, яка має на це право. На думку автора, до числа комп'ютерних злочинів доцільно віднести як злочини у сфері комп'ютерної інформації, так і злочини, які вчиняються з використанням комп'ютерних технологій. Комп'ютерною визнається інформація, тобто, відомості про осіб, предмети, факти, події, явища і процеси, що зберігаються в комп'ютерній системі, мережі або на машинних носіях. Правове забезпечення комп'ютерної безпеки - сукупність норм права, що визначають суспільні відносини, які виникають у процесі діяльності людей щодо безпечного використання комп'ютерної техніки для обробки інформації.

Ці правові норми можуть бути представлені у вигляді законів, положень, інструкцій, інших нормативно-правових документів. За В.І. Ярочкіним, предметом правового регулювання в області гарантування інформаційної, в тому числі комп'ютерної безпеки є:

* правовий режим інформації, засобів інформатики, індустрії інформатизації і систем інформаційних послуг в умовах ризику, засоби і форми захисту інформації.

* правовий статус учасників правовідносин у процесах інформатизації;

* порядок стосунків суб'єктів з урахуванням їх правового статусу на різних стадіях і рівнях процесу функціонування інформаційних структур і систем. О.П. Крюкова під правовим забезпеченням інформаційної безпеки розуміє:

* захист інтересів фізичних осіб - шляхом введення норм, які встановлюють межі збирання і використання відомостей про цих осіб з боку держави або інших суб'єктів;

* захист інтересів держави і суспільства - шляхом встановлення пріоритетів захисту інформації, яка охороняється як власність держави;

* захист інтересів юридичних і фізичних осіб - шляхом встановлення норм, які регулюють поводження з інформацією, що охороняється і забезпечує діяльність цих осіб, і встановлення механізмів захисту цих суб'єктів. З метою уніфікації національних законодавств у 1989 році комітетом міністрів Європейського союзу був узгоджений і затверджений Список правопорушень, рекомендований країнам-членам ЄС з метою розробки єдиної кримінальної стратегії, пов'язаної з комп'ютерними злочинами. “Мінімальний список правопорушень” містить наступні вісім видів комп'ютерних злочинів:

1. Комп'ютерне шахрайство. Введення, зміна, стирання або пошкодження даних ЕОМ чи програм ЕОМ, або ж інше втручання в хід обробки даних, яке впливає на хід обробки даних таким чином, що служить причиною економічних втрат або викликає втрату майна іншої людини з наміром незаконного покращення економічного становища для себе або іншої особи (як альтернатива - з наміром до незаконного позбавлення цієї особи її майна).

2. Підробка комп'ютерної інформації. Несанкціоноване стирання, пошкодження, погіршення або пригнічення даних ЕОМ або інше втручання в хід обробки даних різними способами, або створення таких умов, які згідно з національним законодавством складатимуть таке правопорушення, як підробка в традиційному розумінні такого порушення.

3. Пошкодження даних ЕОМ або програм ЕОМ. Несанкціоноване стирання, пошкодження або пригнічення даних ЕОМ або програм ЕОМ.

4. Комп'ютерний саботаж. Введення, зміна, стирання, пошкодження даних ЕОМ або втручання в системи ЕОМ з наміром перешкоджання функціонуванню комп'ютера або системи передачі даних.

5. Несанкціонований доступ. Несанкціонований доступ до системи ЕОМ через мережу з порушенням засобів захисту.

6. Несанкціоноване перехоплення даних. Несанкціоноване перехоплення з допомогою технічних засобів зв'язку як у межах комп'ютера, системи або мережі, так і ззовні.

7. Несанкціоноване використання захищених комп'ютерних програм. Незаконне відтворення, розповсюдження або зв'язок з програмою ЕОМ, яка захищена у відповідності з законом.

8. Несанкціоноване відтворення схем. Несанкціоноване відтворення схемних рішень, захищених у відповідності з законом про напівпровідникові вироби (програми), або комерційна експлуатація, або незаконне імпортування з цією ж метою схеми або напівпровідникового виробу як продукту, створеного з використанням даних схем. “Необов'язковий список порушень” включає в себе наступні чотири види комп'ютерних злочинів:

1. Зміна даних ЕОМ або програм ЕОМ. Незаконна зміна даних або програм ЕОМ.

2. Комп'ютерний шпіонаж. Придбання з використанням незаконних засобів або шляхом несанкціонованого розкриття, пересилання або використання торгових або комерційних таємниць з допомогою подібних методів чи інших незаконних засобів з тим чи іншим наміром, що завдає економічної шкоди особі шляхом доступу до його таємниць або дозволяє отримати незаконну економічну перевагу для себе чи іншої особи.

3. Використання ЕОМ без дозволу. Використання системи ЕОМ або комп'ютерної мережі без відповідного дозволу є злочинним, коли воно:

* інкримінується в умовах великого ризику втрат, викликаних невідомою особою, яка використовує систему або завдає шкоди системі чи її функціонуванню;

* інкримінується невідомій особі, яка має намір завдати шкоди і використовує для цього систему або завдає шкоди системі чи її функціонуванню;

* застосовується у випадку, коли втрачається інформація з допомогою невідомого автора, який використав дану систему або завдав шкоди системі чи її функціонуванню.

4. Використання захищеної програми ЕОМ без дозволу. Використання без дозволу захищеної програми ЕОМ або її незаконне відтворення з наміром виправити програму таким чином, аби отримати незаконну економічну вигоду для себе або іншої особи або завдати шкоди законному власникові даної програми. Протягом останніх десятиліть в США прийнято ряд федеральних законів, що створили правову основу для формування і проведення єдиної державної політики в області інформатизації і захисту інформації. Наприклад, закон Сполучених Штатів “Про забезпечення безпеки ЕОМ” № HR 145, прийнятий конгресом у травні 1987 року, встановлює пріоритет національних інтересів при вирішенні питань безпеки інформації, у тому числі й приватної інформації. Законом встановлено, що “важливою” є така інформація, “втрата якої, неправильне використання, несанкціонована зміна якої або доступ до якої можуть призвести до небажаного впливу на національні інтереси”. Встановлена також категорія інформації обмеженого доступу - “нетаємна, але важлива з точки зору національної безпеки”. До цієї категорії віднесена переважна частина відомостей, що циркулюють або обробляються в інформаційно-телекомунікаційних системах приватних фірм і корпорацій, які працюють за державним замовленням. Комп'ютерні злочини у США можуть підпадати як під юрисдикцію штату, в якому вони скоєні, так і під федеральні закони. Порушення федерального законодавства відбувається у випадках, коли:

* злочин скоювався стосовно комп'ютерних систем, що належать урядові США;

* злочин скоювався стосовно комп'ютерних систем, що належать банкам або іншим фінансовим організаціям;

* відбулося викрадення або розкриття інформації про національну оборону, атомну енергетику, іншої державної закритої інформації;

* злочин скоювався з інших штатів або держав;

* при скоєнні злочину використовувалися міжнародні системи зв'язку. Сьогодні в світі близько 20 країн мають національне законодавство, що стосується використання глобального інформаційного простору. До розряду пріоритетних висувається питання правових і організаційних механізмів регулювання використання Internet. В Internet відсутня централізована система управління. Координатором виступає Товариство учасників Internet (ISOC), яке є громадською організацією, що базується на внесках і пожертвуваннях спонсорів. Зарубіжними дослідниками неодноразово підкреслювалась необхідність не обтяжувати Internet зайвим державним регулюванням. Однак, розвиток цієї глобальної мережі ставить ряд правових проблем, для вирішення яких уже прийняті і готуються до прийняття низка законодавчих актів. Одним з важливих кроків, спрямованих на врегулювання цієї проблеми, є прийняття Радою Європи (Council of Europe) 23 листопада 2001 року Конвенції про кіберзлочинність. Враховуючи складність проблеми, Рада Європи підготувала й опублікувала проект Конвенції щодо боротьби зі злочинами в кіберпросторі ще на початку 2000 року. Цей документ став першою міжнародною угодою з юридичних і процедурних аспектів розслідування і кримінального переслідування кіберзлочинів.

Конвенцією передбачаються скоординовані на національному і міждержавному рівнях дії, спрямовані на недопущення несанкціонованого втручання в роботу комп'ютерних систем, незаконного перехоплення даних і втручання в комп'ютерні системи. Прийняття державами-членами Ради Європи “Конвенції про кіберзлочинність” стало результатом розуміння важливості проведення політики, направленої на захист суспільства від кіберзлочинів, необхідності появи відповідного законодавства і зміцнення міжнародного співробітництва. Одним із головних висновків, який можна зробити, аналізуючи “Конвенцію”, є вироблення спільної позиції з питання про те, які діяння, пов'язані з використанням комп'ютерних систем, мають бути криміналізовані. З правової точки зору велике значення мають загальні принципи, що стосуються міжнародного співробітництва.

Це питання видачі комп'ютерних злочинців і надання один одному взаємодопомоги при розслідуванні кримінальних справ, пов'язаних з комп'ютерними системами і даними. З урахуванням специфіки соціального феномену кіберзлочинності, масштабів інформатизації і розвитку глобальної мережі Інтернет стає все менш вірогідним, що подібні злочини обмежуватимуться територією однієї держави. У процесі проведення розслідування правоохоронні органи різних держав мають співробітничати між собою, надаючи потенційно корисну інформацію один одному. В зв'язку з правовою допомогою, при розслідуванні кіберзлочинів неодмінно виникатимуть і інші проблеми. Якщо внутрішнім правом однієї з сторін не передбачені конкретні повноваження щодо пошуку доказів в електронному середовищі, така сторона буде не в змозі адекватно реагувати на прохання про надання допомоги. З цієї причини важливою умовою міжнародного співробітництва є узгодження повноважень вживати необхідних заходів для розслідування таких видів злочинів.

Обмеженість національного законодавства і відсутність єдиної правової бази правоохоронних органів у боротьбі з даним видом правопорушень - ось одна з головних причин зростання кількості комп'ютерних злочинів. Лише шляхом органічного поєднання кримінально-правових і криміналістичних стратегій боротьби з даним видом злочинів можна досягти успіху. Важливою складовою такої стратегії має стати міжнародне співробітництво в даній сфері, оскільки вже очевидно, що контролювати транснаціональну складову кіберзлочинів на рівні окремих держав практично неможливо. Міжнародне співробітництво в боротьбі зі злочинністю в сфері використання комп'ютерних технологій потребує правового, організаційного і наукового забезпечення. Підписання “Конвенції” в Будапешті 23 листопада 2001 року главою української делегації Сюзанною Станик, безперечно, сприятиме зміцненню міжнародного співробітництва в боротьбі з кіберзлочинністю. Нещодавно Президентом України підписані прийняті парламентом зміни до Концепції національної безпеки України. В Концепції уточнюється перелік пріоритетів національних інтересів України, до яких, зокрема, належать: гарантування конституційних прав і свобод людини і громадянина, захист державного суверенітету, територіальної цілісності і недоторканості кордонів, невтручання іноземних держав у внутрішні справи країни, створення конкурентоспроможної, соціально орієнтованої ринкової економіки, забезпечення постійного зростання рівня життя і добробуту населення. Визначаються загрози національній безпеці та інтересам України, серед яких комп'ютерна злочинність і комп'ютерний тероризм належать до числа пріоритетних.

До основних принципів, за якими формується і проводиться державна політика України у сфері захисту інформації належать, перш за все:

- додержання балансу інтересів особи, суспільства та держави, їх взаємна відповідальність;

- єдність підходів до забезпечення захисту інформації, які визначаються загрозами безпеці інформації та режимом доступу до неї;

- комплексність, повнота та безперервність заходів захисту інформації; - відкритість нормативно-правових актів та нормативних документів з питань захисту інформації, які не містять відомостей, що становлять державну таємницю;

- узгодженість нормативно-правових актів організаційно-управлінського змісту та нормативних документів з питань технічного захисту інформації з відповідними міжнародними договорами України;

- обов'язковість захисту інженерно-технічними заходами інформації, що складає державну та іншу, передбачену законом, таємницю, конфіденційної інформації, що є власністю держави, відкритої інформації, важливої для держави, незалежно від того, де зазначена інформація циркулює, а також відкритої інформації, важливої для особи та суспільства, якщо ця інформація циркулює в органах державної влади та органах місцевого самоврядування, Національній академії наук, Збройних Силах, інших військових формуваннях, органах внутрішніх справ, на державних підприємствах, у державних установах та організаціях;

- виконання на власний розсуд суб'єктами інформаційних відносин вимог щодо технічного захисту конфіденційної інформації, що належить державі, та відкритої інформації, важливої для особи та суспільства, якщо остання циркулює поза межами державних органів, підприємств, установ і організацій;

- покладення відповідальності за формування та реалізацію державної політики у сфері технічного захисту інформації на спеціально уповноважений центральний орган виконавчої влади;

- ієрархічність побудови організаційних структур системи захисту інформації та керівництво їх діяльністю у межах повноважень, визначених нормативно-правовими актами;

- методичне керівництво спеціально уповноваженим центральним органом виконавчої влади у сфері захисту інформації діяльністю організаційних структур системи технічного захисту інформації;

- скоординованість дій та розмежування сфер діяльності організаційних структур системи технічного захисту інформації з іншими системами захисту інформації та системами забезпечення інформаційної безпеки, як складової національної безпеки;

- фінансова забезпеченість системи захисту інформації за рахунок Державного бюджету України, бюджету Автономної Республіки Крим, місцевих бюджетів та інших джерел. З аналізу нормативно-правових актів України витікає, що державна політика у сфері захисту інформації визначається пріоритетністю національних інтересів, має на меті унеможливлення реалізації загроз для інформації та здійснюється шляхом виконання положень, зазначених у законодавстві та положень Концепції технічного захисту інформації, а також програм розвитку захисту інформації та окремих проектів.

1.2 Комп'ютер очима хакера

У діловому світі нарешті визнали важливість вирішення проблеми захисту комп'ютерних даних. Гучні процеси, пов'язані з проникненням зловмисників в корпоративні комп'ютерні системи, особливо поділи Левіна, назване Інтерполом найсерйознішим транснаціональним мережевим комп'ютерним злочином, внаслідок якого американський Сіті-банк втратив 400 тис. доларів, привернули пильну увагу не тільки фахівців в області комп'ютерної обробки даних, але і директорів компаній. Останні нехай із запізненням, але все-таки зрозуміли, що з пуском в експлуатацію кожної нової комп'ютерної системи, що має вихід у глобальну комп'ютерну мережу Internet, вони ризикують розкрити перед зловмисниками всіх мастей (професійними зломщиками і грабіжниками, скривдженими підлеглими або нічим не погребують конкурентами) вікно, через яке ті можуть безперешкодно проникати у святая святих компанії і наносити істотної матеріальної шкоди. В результаті як необізнаність керівників, так і бюджетні обмеження тепер не є основними перешкодами на шляху впровадження заходів захисту інформації в комп'ютерних системах, а головну роль грає вибір конкретних інструментів і рішень.

З'ясувалося, що створення добре захищеної комп'ютерної системи неможливо без ретельного аналізу потенційних загроз для її безпеки. Фахівці склали перелік дій, які потрібно зробити в кожному конкретному випадку, щоб представляти сценарії можливих нападів на комп'ютерну систему. Цей перелік включав:

* визначення цінності інформації, що зберігається в комп'ютерній системі:

* оцінку тимчасових і фінансових витрат, які може дозволити собі зловмисник для подолання механізмів захисту комп'ютерної системи;

* ймовірну модель поведінки зловмисника при атаці на комп'ютерну систему;

* оцінку тимчасових і фінансових витрат, необхідних для організації адекватного захисту комп'ютерної системи.

Таким чином, при проведенні аналізу потенційних загроз безпеки комп'ютерної системи експерт ставив себе на місце зловмисника, який намагається проникнути в цю систему. А для цього йому необхідно було зрозуміти, що являє собою зловмисник, від якого потрібно захищатися. І в першу чергу потрібно було якомога точніше відповісти на наступні питання:

* наскільки високий рівень професійної підготовки зловмисника;

* якою інформацією про атакуєму комп'ютерну систему він володіє;

* як зловмисник здійснює доступ до цієї системи;

* яким способом атаки він скористається з найбільшою ймовірністю.

Проте експертам, яким доводилося ставити себе на місце зловмисника, щоб відповісти на перелічені вище запитання, дуже не сподобалося іменуватися зловмисниками. По-перше, це слово - довге й незграбне, а по-друге, воно не зовсім адекватно відображає суть розв'язуваної задачі, яка полягає не в знаходженні проломів у захисті комп'ютерної системи, а в їх ліквідації. Тому вони взяли на озброєння інший термін, який точніше відповідає покладеним на них місії, і стали розробляти сценарії поведінки так званих хакерів.

1.3 Хто такі хакери

Хоча останнім часом термін хакер можна досить часто зустріти на сторінках комп'ютерної преси, люди до цих пір не склалося єдиної думки про те, кого саме слід іменувати хакером. Часто хакером називають будь-якого висококласного фахівця в галузі обчислювальної техніки і всього, що з нею пов'язано. Однак серед журналістів, які зачіпають тему хакерства, є серйозні розбіжності щодо того, як хакери застосовують свої унікальні знання на практиці.

Одні пропонують називати хакером лише того, хто намагається зламати захист комп'ютерних систем, щоб потім видати обгрунтовані рекомендації щодо поліпшення їх захисних механізмів, інші - іменувати хакером висококваліфікованого фахівця, який зламує комп'ютери виключно в злочинних цілях. Щоб не вплутуватися в полеміку, яка в основному стосується морально-етичної сторони діяльності хакерів, для початку назвемо хакером будь-якої людини, що прагне обійти захист комп'ютерної системи, незалежно від того, переслідуються за законом його дії. При цьому основною метою хакера є отримання додаткових привілеїв і прав доступу до комп'ютерної системи. По відношенню до атакуємої їм комп'ютерній системі хакер може бути:

* сторонньою особою, не має жодних легальних привілеїв і прав доступу;

* користувачем комп'ютерної системи, що володіє обмеженими привілеями та правами доступу.

Статистика комп'ютерних злочинів свідчить про те, що рівень професійної підготовки хакера варіюється в дуже широких межах. Хакером може стати навіть школяр, випадково виявив програму злому на одному із спеціалізованих хакерських серверів та мережі Internet. У той же час відзначено і поява справжніх хакерських банд, ватажками яких є комп'ютерні фахівці найвищої кваліфікації.

Надалі під хакером буде розумітися тільки високо кваліфікований фахівець, оскільки саме його дії являють найбільшу загрозу безпеці комп'ютерних систем. Для такого хакера характерні наступні риси та особливості поведінки:

* він завжди в курсі останніх новинок у галузі комп'ютерної техніки пристроїв зв'язку та програмних засобів;

* перед тим як атакувати комп'ютерну систему, він всіма доступними способами намагається зібрати максимум інформації про цю систему, включаючи дані про використовуваний у ній програмному забезпеченні та її адміністраторах;

* добуваючи потрібну йому інформацію, він не потребує агентурними та оперативно-технічними методами (наприклад, встановлюючи підслуховуючі пристрої в місцях, часто відвідуваних обслуговуючим персоналом комп'ютерних систем, які він має намір зламати);

* перед спробою злому комп'ютерної системи він випробує методи, які планує застосувати для атаки на цю систему, на заздалегідь підготовленій моделі, що має ті ж засоби забезпечення безпеки, що і атакують система;

* сама атака комп'ютерної системи здійснюється по можливості швидко, щоб її адміністратори не змогли зафіксувати факт вчинення атаки і не встигли вжити заходів для відбиття атаки і для виявлення особи і місцезнаходження атакуючого;

* хакер не користується надто витонченими методами злому запиті комп'ютерної системи, оскільки чим складніше алгоритм атаки, тим імовірніше виникнення помилок і збоїв при його реалізації;

* щоб мінімізувати час, необхідний для злому, і кількість можливих помилок, хакер зазвичай атакує комп'ютерну систему за допомогою заздалегідь написаних програм, а не вручну, набираючи необхідні команди на клавіатурі комп'ютера;

* хакер ніколи не діє під власним ім'ям і ретельно приховує свій мережевий адресу, а про всяк випадок у нього є ретельно продуманий план замести сліди або залишити помилковий слід (наприклад. одночасно ведучи невмілу і свідомо приречену на провал атаку, завдяки чому журнал аудиту атакується комп'ютерної системи виявляється забитий повністю повідомленнями про події, що ускладнюють для системного адміністратора з'ясування характеру дійсної атаки і вжиття заходів, щоб не допустити її в майбутньому);

* хакери широко застосовують програмні закладки, які самознищується або при їх виявленні, або після закінчення фіксованого періоду часу.

1.4 Методи злому комп'ютерних систем

У загальному випадку програмне забезпечення будь-якої універсальної комп'ютерної системи складається з трьох основних компонентів: операційної системи, мережевого програмного забезпечення (МПЗ) та системи управління базами даних (СУБД). Тому всі спроби злому захисту комп'ютерних систем можна розділити на три групи:

* атаки на рівні операційної системи;

* атаки на рівні мережного програмного забезпечення;

* атаки на рівні систем управління базами даних.

Атаки на рівні систем управління базами даних

Захист СУБД є однією з найпростіших завдань. Це пов'язано з тим, що СУБД мають строго певну внутрішню структуру, і операції над елементами СУБД задані досить чітко. Є чотири основні дії - пошук, вставка, видалення і заміна елементу. Інші операції є допоміжними і застосовуються досить рідко. Наявність строгої структури і чітко визначених операцій спрощує рішення задачі захисту СУБД. У більшості випадків хакери вважають за краще зламувати захист комп'ютерної системи на рівні операційної системи і отримувати доступ до файлів СУБД за допомогою засобів операційної системи. Однак у випадку, якщо використовується СУБД, яка не має достатньо надійних захисних механізмів, чи погано протестована версія СУБД, що містить помилки, або якщо при визначенні політики безпеки адміністратором СУБД були допущені помилки, то стає цілком ймовірним подолання хакером захисту, що реалізується на рівні СУБД.

Крім того, є два специфічних сценарію атаки на СУБД, для захисту від яких потрібно застосовувати спеціальні методи. У першому випадку результати арифметичних операцій над числовими полями СУБД округляються в меншу сторону, а різниця підсумовується в деякій іншого запису СУБД (як правило, цей запис містить особистий рахунок хакера в банку, а округляемое числові поля відносяться до рахунків інших клієнтів банку). У другому випадку хакер отримує доступ до полів записів СУБД, для яких доступною є тільки статистична інформація. Ідея хакерської атаки на СУБД - так хитро сформулювати запит, щоб безліч записів, для якого збирається статистика, складалося тільки з одного запису.

Атаки на рівні операційної системи

Захищати операційну систему, на відміну від СУБД, набагато складніше. Справа в тому, що внутрішня структура сучасних операційних систем надзвичайно складна, і тому дотримання адекватної політики безпеки є значно більш важким завданням. Серед людей недосвідчених існує думка, що найефективніші атаки на операційні системи можуть бути організовані тільки за допомогою складних засобів, заснованих на новітніх досягненнях науки і техніки, а хакер повинен бути програмістом високої кваліфікації. Це не зовсім так.

Ніхто не сперечається з тим, що користувачу слід бути в курсі всіх новинок в області комп'ютерної техніки. Та й висока кваліфікація - зовсім не зайве. Проте мистецтво хакера полягає зовсім не в тому, щоб зламувати будь-яку саму "крутий" комп'ютерний захист. Потрібно просто зуміти знайти слабке місце в конкретній системі захисту. При цьому найпростіші методи злому виявляються нітрохи не гірше самих витончених, оскільки чим простіше алгоритм атаки, тим більше вірогідність її завершення без помилок і збоїв, особливо якщо можливості попереднього тестування цього алгоритму в умовах, наближених до "бойових", дуже обмежені

Успіх реалізації того чи іншого алгоритму хакерської атаки на практиці в значній мірі залежить від архітектури і конфігурації конкретної операційної системи, що є об'єктом цієї атаки. Проте є атаки, яким може бути піддана практично будь-яка операційна система:

* крадіжка пароля;

* підглядання за користувачем, коли той вводить пароль, що дає право на роботу з операційною системою (навіть якщо під час введення пароль не висвічується на екрані дисплея, хакер може легко у шип, пароль, просто стежачи за переміщенням пальців користувача по клавіатурі);

* отримання пароля з файлу, в якому цей пароль був збережений користувачем, не охочим утрудняти себе введенням пароля при підключенні до мережі (як правило, такий пароль зберігається у файлі в незашифрованому вигляді);

* пошук пароля, який користувачі, щоб не забути, записують па календарях, у записних книжках або на зворотному боці комп'ютерних клавіатур (особливо часто подібна ситуація зустрічається, якщо адміністратори примушують користувачів застосовувати важко запам'ятовуються паролі);

* крадіжка зовнішнього носія парольної інформації (дискети або електронного ключа, на яких зберігається пароль користувача, призначений для входу в операційну систему);

* повний перебір всіх можливих варіантів пароля;

* підбір пароля по частоті символів і биграмм, за допомогою словників найчастіше вживаних паролів, із залученням знань про конкретного користувача - його імені, прізвища, номери телефону, дати народження і т. д., з використанням відомостей про існування еквівалентних паролів, при цьому з кожного класу випробовується всього один пароль, що може значно скоротити час перебору;

* сканування жорстких дисків комп'ютера (хакер послідовно намагається звернутися до кожного файлу, що зберігається на жорстких дисках комп'ютерної системи; якщо обсяг дискового простору достатньо великий, можна бути цілком впевненим, що при описі доступу до файлів і каталогів адміністратор допустив хоча б одну помилку, в результаті чого всі такі каталоги і файли будуть прочитані хакером; для приховування слідів хакер може організувати цю атаку під чужим ім'ям: наприклад, під ім'ям користувача, пароль якого відомий хакеру);

* збірка "сміття" (якщо засоби операційної системи дозволяють відновлювати раніше видалені об'єкти, хакер може скористатися цією можливістю, щоб отримати доступ до об'єктів, вилученим іншими користувачами: наприклад, переглянувши вміст їх "сміттєвих" кошиків);

* перевищення повноважень (використовуючи помилки в програмному забезпеченні або в адмініструванні операційної системи, хакер отримує повноваження, що перевищують повноваження, надані йому відповідно до чинної політики безпеки);

* запуск програми від імені користувача, що має необхідні повноваження, або як системної програми (драйвера, сервісу, демона і т. д.);

* підміна динамічно завантажується бібліотеку до системними програмами, або зміна змінних середовища, що описують шлях до таких бібліотеках;

* модифікація коду або даних підсистеми захисту самої операційної системи;

* відмову в обслуговуванні (метою цієї атаки є частковий або повний вивід з ладу операційної системи);

* захоплення ресурсів (хакерська програма проводить захоплення всіх наявних в операційній системі ресурсів, а потім входить в нескінченний цикл);

* бомбардування запитами (хакерська програма постійно направляє операційній системі запити, реакція на які вимагає залучення значних ресурсів комп'ютера);

* використання помилок в програмному забезпеченні або адмініструванні.

Якщо в програмному забезпеченні комп'ютерної системи немає помилок і її адміністратор суворо дотримується політики безпеки, рекомендовану розробниками операційної системи, то атаки всіх перерахованих піки, малоефективні. Додаткові заходи, які повинні бути зроблені для підвищення рівня безпеки, в значній мірі залежать від конкретної операційної системи, під управлінням якої працюємо дана комп'ютерна система. Тим не менш, доводиться визнати, що незалежно від вжитих заходів повністю усунути загрозу злому комп'ютерної системи на рівні операційної системи неможливо. Тому політика забезпечення безпеки повинна проводитися так, щоб, навіть подолавши захист, створювану засобами операційної системи, хакер не зміг завдати серйозного збитку.

Атаки на рівні мережного програмного забезпечення.

СПО є найбільш вразливим, тому що канал зв'язку, по якому передаються повідомлення, найчастіше не захищений, і кожен, хто може мати доступ до цього каналу, відповідно, може перехоплювати повідомлення і відправляти свої власні. Тому на рівні МПЗ можливі наступні хакерські атаки:

* прослуховування сегменту локальної мережі (в межах одного й того ж сегменту локальної мережі приєднаному до нього комп'ютер в змозі приймати повідомлення, адресовані іншим комп'ютерам сегменту, а отже, якщо комп'ютер хакера приєднаний до деякого сегменту локальної мережі, то йому стає доступний весь інформаційний обмін між комп'ютерами цього сегмента);

* перехоплення повідомлень на маршрутизаторі (якщо хакер має привілейований доступ до мережного маршрутизатора, то він отримує можливість перехоплювати всі повідомлення, що проходять через цей маршрутизатор, і хоча тотальний перехоплення неможливий через занадто великого обсягу, надзвичайно привабливим для хакера є вибіркове перехоплення повідомлень, що містять паролі користувачів і їх електронну пошту);

* створення помилкового маршрутизатора (шляхом відправки в мережу повідомлень спеціального виду хакер добивається, щоб його комп'ютер став маршрутизатором мережі, після чого отримує доступ до всіх хто проходить через його повідомлення);

* нав'язування повідомлень (відправляючи в мережу повідомлення з помилковим зворотним мережною адресою, хакер перемикає на свій комп'ютер вже встановлені мережні з'єднання і в результаті отримує права користувачів, чиї з'єднання обманним шляхом були переключені на комп'ютер хакера);

* відмову в обслуговуванні (хакер відправляє в мережу повідомлення спеціальною виду, після чого одна або декілька комп'ютерних систем, підключених до мережі, повністю або частково виходять з ладу).

Оскільки хакерські атаки на рівні МПЗ спровоковані відкритістю мережних з'єднань, розумно припустити, що дли відображення цих атак необхідно максимально захистити канали зв'язку і тим самим ускладнити обмін інформацією з мережі для тих, хто не є легальним користувачем. Нижче перераховані деякі способи такого захисту:

* максимальне обмеження розмірів комп'ютерної мережі (чим більше мережа, тим важче її захистити);

* ізоляція мережі від зовнішнього світу (по можливості слід обмежувати фізичний доступ до комп'ютерної мережі ззовні, щоб зменшити вірогідність несанкціонованого підключення хакера);

* шифрування мережних повідомлень (тим самим можна усунути загрозу перехоплення повідомлень, правда, за рахунок зниження продуктивності СПО і зростання накладних витрат);

* електронний цифровий підпис мережних повідомлень (якщо всі повідомлення, передані по комп'ютерній мережі, забезпечуються електронним цифровим підписом, і при цьому непідписані повідомлення ігноруються, то можна забути про загрозу нав'язування повідомлень і про більшість загроз, пов'язаних з відмовою в обслуговуванні);

* використання брандмауерів (брандмауер є допоміжним засобом захисту, застосовуваним тільки в тому випадку, якщо комп'ютерну мережу не можна ізолювати від інших мереж, оскільки брандмауер досить часто не здатний відрізнити потенційно небезпечне мережне повідомлення від абсолютно нешкідливого, і в результаті типовою є ситуація, коли брандмауер не тільки не захищає мережу від хакерських атак, а й навіть перешкоджає її нормальному функціонуванню).

1.5 Захист системи від злому

Перераховані вище методи хакерської атаки на комп'ютерну систему є найбільш типовими і описані в загальній формі. Найпоширеніші з цих методів будуть розглянуті нижче більш детально, оскільки їх застосування в конкретних випадках має свої особливості, які вимагають застосування додаткових захисних заходів. А поки для узагальненої моделі злому комп'ютерних систем можна сформулювати універсальні правила, яких слід дотримуватися, щоб звести ризик до мінімуму.

* Не відставайте від хакерів: будьте завжди в курсі останніх розробок в галузі комп'ютерної безпеки. Оформіть передплату на кілька спеціалізованих журналів, в яких докладно висвітлюються питання захисту комп'ютерних систем від злому. Регулярно переглядав матеріали, що поміщаються на хакерських серверах Internet (наприклад. astalavista.box.sk).

* Керуйтеся принципом розумної достатності: не прагнете побудувати абсолютно надійний захист. Адже чим потужніший зашита, тим більше ресурсів комп'ютерної системи вона споживає і тим важче використовувати її. Зберігайте в секреті інформацію про принципи дії захисних механізмів комп'ютерної системи. Чим менше хакеру відомо про ці принципи, тим важче буде для нього організувати успішну атаку.

* Постарайтеся максимально обмежити розміри захищається комп'ютерної мережі та без крайньої необхідності не допускайте її підключення до Internet.

* Перед тим як вкласти кошти в купівлю нового програмного забезпечення, пошукайте інформацію про нього, наявну на хакерських серверах Internet.

* Розміщуйте сервери в охоронюваних приміщеннях. Не підключайте до них клавіатуру і дисплеї, щоб доступ до цих серверів здійснювався тільки через мережу.

* Абсолютно всі повідомлення, що передаються по незахищених каналах зв'язку, повинні шифруватися і забезпечуватися цифровим підписом.

* Якщо захищається комп'ютерна мережа має з'єднання з незахищеною мережею, то всі повідомлення, що відправляються в цю мережу або прийняті з неї повинні проходити через брандмауер, а також шифруватися і забезпечуватися цифровим підписом.

* Не нехтуйте можливостями, які надає аудит. Інтервал між сеансами перегляду журналу аудиту не повинен перевищувати однієї доби.

* Якщо виявиться, що кількість подій, приміщенні в журнал аудиту, надзвичайно велика, вивчіть уважно всі нові записи. оскільки не виключено, що комп'ютерна система піддалася атаці хакера, який намагається замести сліди свого нападу, зафіксовані в журналі аудиту.

* Регулярно проводите перевірку цілісності програмного забезпечення комп'ютерної системи. Перевірки її на наявність програмних закладок.

* Реєструйте всі зміни політики безпеки в звичайному паперовому журналі. Регулярно звіряйте політику безпеки із зареєстрованою в цьому журналі. Це допоможе виявити присутність програмної закладки, якщо вона була впроваджена хакером в комп'ютерну систему.

...