Компьютерная криминалистика

Обстановка

Несколько слов об экстремизме. Признать тот или иной материал экстремистским (равно как возбуждающим межнациональную рознь или, скажем, порнографическим) можно, лишь проведя экспертизу. А до той поры распространение материала защищено правом на свободу слова.

Лишь пару раз пришлось видеть в Интернете истинно экстремистский материал, то есть по которому было позже вынесено заключение эксперта. Несравненно чаще приходилось сталкиваться с "экстремизмом" со стороны операторов связи, сотрудники которых отключали клиентов и закрывали сайты, опираясь исключительно на собственные представления о политике и религии. Подлинная цитата из Правил оказания услуг одного крупного российского хостинг-провайдера: "запрещается размещение информации, пропагандирующей фашизм и коммунизм". Точка.

Был даже случай, когда за отключение якобы экстремистского сайта (оценка его содержания произведена исключительно техническими сотрудниками провайдера) было возбуждено уголовное дело против отключившего сайт по статье 144 УК (воспрепятствование законной профессиональной деятельности журналистов), поскольку "экстремистский" веб-сайт был зарегистрирован как СМИ.

Следы

Если размещение информации преступник проводил лично и вручную, следы зависят от способа размещения. При размещении информации лично, но с использованием автоматизации будут также следы от поиска, настройки и пробных запусков соответствующей программы. Существуют общедоступные бесплатные и платные программы для рассылки спама по электронной почте, по телеконференциям, для массового постинга в веб-форумы и доски объявлений.

При заказе размещения (рассылки) у специализирующихся на этом профессионалов, то есть спамеров, искать следы размещения на компьютере подозреваемого бессмысленно. Лучше искать следы его контактов со спамерами: объявления спамеров, переписка с ними, телефонные переговоры, следы подготовки размещаемого текста, перевода денег. Найденные спамеры, если их склонить к сотрудничеству, дадут изобличающие показания, и никаких технических следов размещения информации искать уже не понадобится.

Кроме того, злоумышленник наверняка будет сам просматривать размещенные им тексты как с целью контроля, так и ради отслеживания реакции других. В случае личных некорыстных мотивов он должен испытывать удовлетворение при просмотре своих сообщений. При просмотре образуются соответствующие следы.

5.4 Dos-атаки

Способ

DoS-атака* или атака типа "отказ в обслуживании" является одним из видов неправомерного доступа, а именно такого, который приводит к блокированию информации и нарушению работы ЭВМ и их сети. Иные виды неправомерного доступа (копирование информации, уничтожение информации), а также использование вредоносных программ могут быть этапами осуществления DoS-атаки.

Такие атаки принято разделять на два типа: атаки, использующие какие-либо уязвимости в атакуемой системе и атаки, не использующие уязвимостей. Во втором случае своеобразным "поражающим фактором" атаки является перегрузка ресурсов атакуемой системы - процессора, ОЗУ, диска, пропускной способности канала.

Итак, можно выделить два типа преступлений, связанных с DoS-атаками, - с целью доставить неприятности владельцу или пользователям атакуемого ресурса и с целью получить выкуп.

В первом случае, как и при клевете и оскорблениях, следует искать "обиженного". При этом непосредственным исполнителем может быть как он сам, так и нанятый профессионал.

Во втором случае мы имеем дело с хладнокровным криминальным расчетом, и преступление мало чем отличается от офлайнового вымогательства или недобросовестной конкуренции.

Обстановка

Один тип DoS-атаки основан на использовании уязвимостей в программном обеспечении атакуемого ресурса. Другой тип - так называемый флуд- не использует никаких уязвимостей и рассчитан на простое исчерпание ресурсов жертвы (полоса канала, оперативная память, быстродействие процессора, место на диске и т.п.). Как легко понять, ко флуду нет неуязвимых, поскольку любые компьютерные ресурсы конечны. Тем не менее разные сайты подвержены флуду в разной степени. Например, CGI-скрипт, работающий на веб-сайте, может быть написан неоптимально и требовать для своей работы слишком много оперативной памяти. Пока такой CGI-скрипт вызывается раз в минуту, эта неоптимальность совершенно незаметна. Но стоит злоумышленнику произвести вы- зов CGI-скрипта хотя бы сто раз в секунду (никаких особых затрат со стороны злоумышленника для этого не требуется, всего 300 пакетов в секунду порядка 5 Мбит/с) - и неоптимальность CGI-скрипта приводит к полному параличу веб-сайта.

То есть запас по производительности и есть первичная защита от DoS- атаки.

Обычные хостинг-провайдеры держат на одном сервере по нескольку десятков клиентских веб-сайтов. По экономическим причинам большого запаса производительности они сделать не могут. Отсюда следует, что типичный веб-сайт, размещенный у хостинг-провайдера, уязвим даже к самому простейшему флуду.

Потерпевший

Потерпевшим в подавляющем большинстве случаев выступает юри- дическое лицо.

Коммерческие организации редко бывают заинтересованы в офици- альном расследовании, поскольку для них главное - устранить опасность и минимизировать убытки. В наказании злоумышленника они не видят для себя никакой выгоды. А участие в судебном процессе в роли потер- певшего часто негативно отражается на деловой репутации.

Выступить потерпевшим организация-владелец атакуемого ресурса может в следующих случаях:

- когда есть уверенность, что не наказанный злоумышленник будет повторять атаки;

- когда предприятию надо отчитываться за понесенные убытки или перерывы в оказании услуг перед партнерами, клиентами, акционерами;

- когда руководитель предприятия усматривает в атаке личные мотивы, личную обиду, когда уязвлено его самолюбие.

В прочих случаях не приходится рассчитывать на заинтересованность потерпевшего в раскрытии преступления.

Следует помнить, что многие DoS-атаки воздействуют сразу на целый сегмент Сети, на канал, на маршрутизатор, за которым могут располагаться много потребителей услуг связи, даже если непосредственной целью атаки является лишь один из них. Для целей расследования необходимо установить, на кого именно был направлен умысел преступника. Формальным же потерпевшим может выступить любой из пострадавших от атаки.

Следы

При подготовке и проведении DoS-атаки образуются следующие следы технического характера:

- наличие инструментария атаки - программных средств (агентов), установленных на компьютере злоумышленника или, чаще, на чужих используемых для этой цели компьютерах, а также средств для управления агентами;

- следы поиска, тестирования, приобретения инструментария;

- логи (преимущественно статистика трафика) операторов связи, через сети которых проходила атака;

- логи технических средств защиты - детекторов атак и аномалий трафика, систем обнаружения вторжений, межсетевых экранов, специализированных антифлудовых фильтров;

- логи, образцы трафика и другие данные, специально полученные техническими специалистами операторов связи в ходе расследования инцидента, выработки контрмер, отражения атаки. (Следует знать, что DoS-атака требует немедленной реакции, если владелец желает спасти свой ресурс или хотя бы соседние ресурсы от атаки. В ходе такой борьбы обе стороны могут применять различные маневры и контрманевры, из-за чего картина атаки усложняется.);

- следы от изучения подозреваемым (он же заказчик атаки) рекламы исполнителей DoS-атак, его переписки, переговоров и денежных расчетов с исполнителями;

- следы от контрольных обращений подозреваемого к атакуемому ресурсу в период атаки, чтобы убедиться в ее действенности.

При профессиональном осуществлении атаки используются зомби- сети или иной специализированный инструментарий. Естественно, он не одноразовый. Исполнители не заинтересованы в простаивании своих мощностей и могут осуществлять несколько атак одновременно, либо осуществлять теми же программными агентами параллельно с атакой другие функции, например, рассылку спама.

• 5.5 Вредоносные программы
• Способ
• Антивирусные аналитики отмечают явную тенденцию к коммерциализации вредоносного ПО. Еще 5-7 лет назад почти все вирусы и черви создавались без явной корыстной цели, как полагают, из хулиганских побуждений или из честолюбия.
• А среди современных вредоносных программ большинство составляют программы, заточенные под извлечение выгоды. Основные их разновидности (с точки зрения предназначения) суть следующие:

- троянские программы для создания зомби-сетей*, которые затем используются для рассылки спама, DoS-атак, организации фишерских сайтов и т.п.; нередко они снабжены механизмом самораспространения;

- так называемое spyware*, то есть черви и троянцы для похищения персональных данных - паролей и ключей к платежным системам, реквизитов банковских карточек и других данных, которые можно использовать для мошенничества или хищения;

- так называемое adware*, то есть вредоносные программы, скрытно внедряющиеся на персональный компьютер и показывающие пользователю несанкционированную рекламу (иногда к классу adware причисляют не только вредоносные, но и "законопослушные" программы, которые показывают рекламу с ведома пользователя);

- руткиты*, служащие для повышения привилегий пользователя и сокрытия его действий на "взломанном" компьютере;

- логические бомбы*, которые предназначены для автоматического уничтожения всей чувствительной информации на компьютере в заданное время или при выполнении (при невыполнении) определенных условий;

- так называемое "ransomware" - подвид троянских программ, которые после скрытного внедрения на компьютер жертвы шифруют файлы, содержащие пользовательскую информацию, после чего предъявляют требование об уплате выкупа за возможность восстановления файлов пользователя.

Следует отметить, что так называемые кряки* - программы, предназначенные для обхода технических средств защиты авторского права, - не относятся ко вредоносным. Как по букве закона, так и по техническим особенностям создания и применения, они стоят особняком.

Следы

При изготовлении вредоносных программ можно обнаружить следующие цифровые следы:

- исходный текст вредоносной программы, его промежуточные варианты, исходные тексты других вредоносных или двойного назначения программ, из которых вирмейкер заимствовал фрагменты кода;

- антивирусное ПО различных производителей, на котором создатель вредоносной программы обязательно тестирует свою, а также средства для дизассемблирования и отладки;

- программные средства для управления вредоносными программами (многие из них работают по схеме "клиент-сервер", одна из частей внедряется на компьютер жертвы, а другая часть работает под непосредственным управлением злоумышленника);

- средства и следы тестирования работы вредоносных программ под различными вариантами ОС;

- следы контактирования с заказчиками или пользователями вредоносной программы, передачи им экземпляров и документации, оплаты.

При распространении и применении вредоносных программ можно обнаружить следующие цифровые следы:

- средства и следы тестирования работы вредоносной программы под различными вариантами ОС;

- контакты с создателем или распространителем-посредником вредоносной программы;

- программные средства для управления вредоносной программой, данные о внедрениях этой программы к жертвам, результаты деятельности (пароли, отчеты о готовности, похищенные персональные данные);

- средства распространения вредоносной программы или контакты с теми, кто подрядился ее распространять.

• 5.6 Другое
• Отдельно можно выделить еще несколько видов мошенничества:

- Платежи через интернет

- Терроризм и кибервойна

- Мошенничество в онлайн-играх

- Накрутка



• Заключение к разделу
• Теория уголовного права и криминалистика оперируют различными критериями при классификации преступлений. В Уголовном кодексе преступления объединены в статьи по общности объекта преступления, в главы - по общности родового объекта преступления. Криминалистика же характеризует преступления совсем иными параметрами - способ совершения, личность преступника, личность потерпевшего, методы раскрытия и так далее. Оттого и классификация другая. Общую криминалистическую характеристику могут иметь преступления из разных глав УК (например, клевета и возбуждение национальной розни). А преступления, объединенные в одну статью УК, с точки зрения криминалистики, существенно отличны друг от друга (например, нарушение авторских прав в Сети и в офлайне).
• Отсюда понятно, что является ошибочным строить криминалистические характеристики преступлений, классифицируя их по критериям уголовного права.
• В данном разделе были рассмотрены наиболее распространенные на сегодняшний день виды компьютерных преступлений. Следует помнить, что вследствие развития индустрии ИТ способы совершения киберпреступлений быстро меняются, возникают новые, а старые постепенно сходят на нет.

• 6. Исследование работы системы Traffic Monitor
• 6.1 Определение угроз информационной безопасности
• Решение задачи выявления и оценки угроз информационной безопасности предполагает ясное понимание определений, причин, источников и видов угроз информационной безопасности.
• В соответствии с ГОСТ Р 51624-2000 "угроза безопасности информации -- совокупность условий и факторов, создающих потенциальную или реально существующую опасность, связанную с утечкой информации и/или несанкционированными и/или непреднамеренными воздействиями на нее". Относительно информационной системы коммерческого предприятия можно сказать, что угроза безопасности информации -- это возможное происшествие, преднамеренное или нет, которое может оказать нежелательное воздействие на активы и ресурсы, связанные с этой информационной системой. Отсюда можно сделать вывод, что существование угрозы информационной безопасности как таковой еще не является достаточным условием нарушения безопасности. Тем не менее, сам факт возможного нарушения безопасности требует принятия мер защиты. В соответствии с ГОСТ Р 51624-2000 угрозами безопасности информационных и телекоммуникационных средств и систем могут являться:

- противоправные сбор и использование информации;

- нарушения технологии обработки информации;

- внедрение в аппаратные и программные изделия компонентов, реализующих функции, не предусмотренные документацией на эти изделия; разработка и распространение программ, нарушающих нормальное функционирование информационных и информационно-телекоммуникационных систем, в том числе систем защиты информации;

- уничтожение, повреждение, радиоэлектронное подавление или разрушение средств и систем обработки информации, телекоммуникации и связи;

- воздействие на парольно-ключевые системы защиты автоматизированных систем обработки и передачи информации; компрометация ключей и средств криптографической защиты информации;

- утечка информации по техническим каналам;

- внедрение электронных устройств для перехвата информации в технические средства обработки, хранения и передачи информации по каналам связи, а также в служебные помещения органов государственной власти, предприятии, учреждении и организаций независимо от формы собственности;

- уничтожение, повреждение, разрушение или хищение машинных и других носителей информации;

- перехват информации в сетях передачи данных и на линиях связи, дешифрования этой информации и навязывание ложной информации;

- использование несертифицированных отечественных и зарубежных информационных технологий, средств защиты информации, средств информатизации, телекоммуникации и связи при создании и развитии российской информационной инфраструктуры;

- несанкционированный доступ к информации, находящейся в банках и базах данных;

- нарушение законных ограничений на распространение информации.

Очевидно, что угрозы безопасности информации могут приводить:

- к нарушению конфиденциальности информации;

- к нарушению целостности информации;

- к нарушению доступности информации.

Рассмотрим определения данных типов угроз более детально.

Угроза нарушения конфиденциальности (раскрытия) информации заключается в том, что информация становится известной не полномочному на это лицу. Причем угрозы раскрытия могут проявляться не только в виде несанкционированного доступа к конфиденциальной информации, но и в виде раскрытия факта существования данной информации. Как пример, угроза раскрытия факта существования финансовой сделки, а не ее содержания.

Таким образом, оценка защиты информационной системы от угрозы нарушения конфиденциальности информации требует оценки адекватности предпринятых методов защиты от этой угрозы и оценки механизмов, реализующих эти методы.

Угроза нарушения целостности информации включает в себя любую возможность несанкционированного изменения информации, хранящейся в информационной системе или передаваемой в процессе взаимодействия систем друг с другом. Целостность информации может нарушиться как по причине ее преднамеренного изменения нарушителем, так и в результате случайной ошибки, халатности.

Угроза нарушения целостности в общем случае относится не только к данным, но и к программам. Это позволяет рассматривать угрозу нарушения целостности программного обеспечения (и как один из аспектов угрозу внедрения в него вирусов, закладок, троянских программ) как частный случай, связанный с угрозами нарушения целостности. Говоря о целостности информации, необходимо иметь в виду не только проблемы, связанные с несанкционированной модификацией данных, но и вопросы, связанные со степенью доверия к источнику, из которого были получены эти данные (от кого получены данные, как они были защищены до внесения в информационную систему, каким образом были внесены и т. д.). Как следствие этого оценка защиты информационной системы от угрозы нарушения целостности требует не только оценки адекватности методов защиты от этой угрозы и оценки механизмов, реализующих эти методы, но и оценки степени доверия к происхождению данных, что делает защиту от угрозы нарушения целостности гораздо более трудной.

Угроза нарушения доступности (отказа в обслуживании) -- возможность блокирования доступа к некоторому ресурсу информационной системы, которая может быть реализована в результате, как умышленных действий нарушителя, так и по совокупности случайных факторов. Блокирование доступа может быть постоянным, так что запрашиваемый ресурс никогда не будет получен авторизованным пользователем, или может вызвать только задержку запрашиваемого ресурса, достаточно долгую для того, чтобы он стал бесполезным (в таких случаях говорят, что ресурс исчерпан). Наиболее частые примеры атак, связанных с отказом служб, включают в себя такое занятие одним или несколькими пользователями ресурсов общего пользования (принтеры или процессоры), при котором другие пользователи не могут с ними работать. Пока эти ресурсы не являются частью некоторого критического приложения, данный тип атаки может не считаться слишком опасным. Однако если доступ к ресурсу должен быть получен своевременно, то атак отказа в обслуживании необходимо избежать.

Также введем другие необходимые определения.

Уязвимость -- это присущие объекту информатизации причины, приводящие к нарушению безопасности информации на конкретном объекте и обусловленные недостатками процесса функционирования объекта информатизации, свойствами архитектуры АС, протоколами обмена и интерфейсами, применяемыми программным обеспечением и аппаратной платформой, условиями эксплуатации.

Последствия -- это возможные последствия реализации угрозы (возможные действия) при взаимодействии источника угрозы через имеющиеся уязвимости.

Ущерб - утрата активов, повреждение активов и инфраструктуры организации или другой вред активам и инфраструктуре организации, наступивший в результате реализации угроз информационной безопасности через уязвимости информационной безопасности.

Как видно из этих определений, последствия -- это всегда пара "источник + уязвимость", реализующая угрозу и приводящая к ущербу. При этом анализ последствий предполагает проведение анализа возможного ущерба и выбора методов парирования угроз безопасности информации.

• 6.2 Анализ подходов к формированию и классификации множества угроз
• К настоящему времени специалистами фиксируется очень большое количество разноплановых угроз различного происхождения.
• Все источники угроз безопасности информации можно разделить на три основных класса:

- обусловленные действиями субъекта (антропогенные источники угроз);

- обусловленные техническими средствами (техногенные источники угрозы);

- обусловленные стихийными источниками.

Рассмотрим каждый класс угроз более подробным образом.

Антропогенными источниками угроз безопасности информации выступают субъекты, действия которых могут быть квалифицированы как умышленные или случайные преступления. Только в этом случае можно говорить о причинении ущерба. Эта группа наиболее обширна и представляет наибольший интерес с точки зрения организации защиты, так как действия субъекта всегда можно оценить, спрогнозировать и принять адекватные меры. Методы противодействия в этом случае управляемы и напрямую зависят от воли организаторов защиты информации. В качестве антропогенного источника угроз можно рассматривать субъекта, имеющего доступ (санкционированный или нет) к работе со штатными средствами защищаемого объекта. Субъекты (источники), действия которых могут привести к нарушению безопасности информации могут быть внешние и внутренние. Внешние источники могут быть случайными или преднамеренными и иметь разный уровень квалификации. К ним относятся: криминальные структуры; потенциальные преступники и хакеры; недобросовестные партнеры; технический персонал поставщиков услуг; представители надзорных организаций и аварийных служб; представители силовых структур. Внутренние субъекты (источники), как правило, представляют собой высококвалифицированных специалистов в области разработки и эксплуатации программного обеспечения и технических средств, знакомы со спецификой решаемых задач, структурой и основными функциями и принципами работы программно-аппаратных средств защиты информации, имеют возможность использования штатного оборудования и технических средств сети. К ним относятся: основной персонал (пользователи, программисты, разработчики); представители службы защиты информации; вспомогательный персонал (уборщики, охрана); технический персонал (жизнеобеспечение, эксплуатация).

Необходимо учитывать также, что особую группу внутренних антропогенных источников составляют лица с нарушенной психикой и специально внедренные и завербованные агенты, которые могут быть из числа основного, вспомогательного и технического персонала, а также представителей службы защиты информации. Данная группа рассматривается в составе перечисленных выше источников угроз, но методы парирования угрозам для этой группы могут иметь свои отличия. Таким образом, квалификация антропогенных источников информации играет важную роль в оценке их влияния и учитывается при ранжировании источников угроз.

Техногенные источники угроз определены технократической деятельностью человека и развитием цивилизации. Однако последствия, вызванные такой деятельностью, вышли из под контроля человека и существуют сами по себе. Эти источники угроз менее прогнозируемые, напрямую зависят от свойств техники и поэтому требуют особого внимания. Данный класс источников угроз безопасности информации особенно актуален в современных условиях, так как в сложившихся условиях эксперты ожидают резкого роста числа техногенных катастроф, вызванных физическим и моральным устареванием технического парка используемого оборудования, а также отсутствием материальных средств на его обновление. Технические средства, являющиеся источниками потенциальных угроз безопасности информации могут быть: внешними средства связи; сети инженерных коммуникации (водоснабжения, канализации); транспорт. Внутренние: некачественные технические средства обработки информации; некачественные программные средства обработки информации; вспомогательные средства (охраны, сигнализации, телефонии); другие технические средства, применяемые в учреждении.

Стихийные источники угроз объединяют обстоятельства, составляющие непреодолимую силу, то есть такие обстоятельства, которые носят объективный и абсолютный характер, распространяющийся на всех. К непреодолимой силе в законодательстве и договорной практике относят стихийные бедствия или иные обстоятельства, которые: невозможно предусмотреть или предотвратить; возможно предусмотреть, но невозможно предотвратить при современном уровне человеческого знания и возможностей. Такие источники угроз совершенно не поддаются прогнозированию и поэтому меры защиты от них должны применяться всегда. Стихийные источники потенциальных угроз информационной безопасности, как правило, являются внешними по отношению к защищаемому объекту и под ними понимаются: природные катаклизмы: пожары; землетрясения; наводнения; ураганы; различные непредвиденные обстоятельства; необъяснимые явления; другие форс-мажорные обстоятельства.

Умышленные угрозы безопасности, в свою очередь, можно разделить на активные и пассивные.

Пассивные угрозы направлены в основном на несанкционированное использование информационных ресурсов информационной системы, не оказывая при этом влияния на ее функционирование. Например, несанкционированный доступ к базам данных, прослушивание каналов связи и т.д.

Активные угрозы имеют целью нарушение нормального функционирования ИС путем целенаправленного воздействия на ее компоненты. К активным угрозам относятся, например, вывод из строя компьютера или его операционной системы, искажение сведений в БД, разрушение ПО компьютеров, нарушение работы линий связи и т.д. Источником активных угроз могут быть действия взломщиков, вредоносные программы и т.п.

Причины внешних угроз в случае целенаправленного информационного воздействия скрыты в борьбе конкурирующих информационных систем за общие ресурсы, обеспечивающие системе допустимый режим существования.

Причины внутренних угроз -- в появлении внутри системы множества элементов, подструктур, для которых привычный режим функционирования стал в силу ряда обстоятельств недопустимым.

На протяжении всего периода существования проблемы защиты информации предпринимались попытки классифицировать источники угроз безопасности информации и сами угрозы с целью дальнейшей стандартизации средств и методов, применяемых для защиты. Различными авторами предлагается целый ряд подходов к такой классификации. При этом в качестве критериев деления множества угроз на классы используются виды порождаемых опасностей, степень злого умысла, источники проявления угроз и т.д. Рассмотрим эти подходы более подробно.

В достаточно известной монографии Л. Дж. Хофмана "Современные методы защиты информации" были выделены 5 групп различных угроз: хищение носителей, запоминание или копирование информации, несанкционированное подключение к аппаратуре, несанкционированный доступ к ресурсам системы, перехват побочных излучений и наводок.

В книге "Защита информации в персональных ЭВМ" предпринята попытка классификации угроз, причем в качестве критерия классификации выбран тип средства, с помощью которого может быть осуществлено несанкционированное получение информации.

Авторами было выделено три типа средств: человек, аппаратура и программа. К группе угроз, в реализации которых основную роль играет человек, отнесены хищение носителей, чтение информации с экрана дисплея, чтение информации с распечаток; к группе, где основным средством выступает аппаратура, подключение к устройствам и перехват излучений; к группе, где основным средством является программа, несанкционированный программный доступ, программное дешифрование зашифрованных данных, программное копирование информации с носителей.

Аналогичный подход предлагается и группой авторов учебных пособий по защите информации от несанкционированного доступа. Ими выделены три класса: природные (стихийные бедствия, магнитные бури, радиоактивное излучение); технические (отключение или колебания электропитания, отказы и сбои аппаратно-программных средств, электромагнитные излучения и наводки, утечки через каналы связи); созданные людьми (непреднамеренные и преднамеренные действия различных категорий лиц).

В руководящем документе Гостехкомиссии России "Защита от несанкционированного доступа к информации. Термины и определения" введено понятие модели нарушителя в автоматизированной системе обработки данных, причем в качестве нарушителя здесь рассматривается субъект, имеющий доступ к работе со штатными средствами системы. Нарушители классифицируются по уровню возможностей, предоставляемых им штатными средствами. В документе выделяются четыре уровня этих возможностей:

1 самый низкий - возможности запуска задач (программ) из фиксированного набора, реализующих заранее предусмотренные функции обработки информации;

2 первый промежуточный - дополнительно к предыдущему предусматривает возможности создания и запуска собственных программ с новыми функциями обработки информации;

3 второй промежуточный - дополнительно к предыдущему предполагает возможности управления функционированием системы, т.е. воздействия на базовое программное обеспечение и на состав и конфигурацию ее оборудования;

4 самый высокий - определяется всем объемом возможностей лиц, осуществляющих проектирование, реализацию и ремонт технических средств системы, вплоть до включения в состав системы собственных технических средств с новыми функциями обработки информации.

Предполагается, что нарушитель на своем уровне является специалистом высшей квалификации, знает все о системе, в том числе и о средствах защиты.

Еще один вид источников угроз безопасности информации, связанный с ее хищением, достаточно подробно классифицирован в монографии С.П. Расторгуева "Программные методы защиты информации в компьютерах и сетях". Автор выделяет четыре способа хищения информации:

1 по каналам побочных электромагнитных излучений;

2 посредством негласного копирования, причем выделено две разновидности копирования: "ручное" (печать с экрана на принтер или вывод из памяти на принтер или экран) и "вирусное" (например, вывод из памяти на принтер, на экран или передача информации с помощью встроенной в компьютер радиозакладки);

3 хищение носителей информации;

4 хищение персонального компьютера.

В монографии В.А. Герасименко введены понятия дестабилизирующих факторов, источников их проявления и причин нарушения защищенности информации. Предложены подходы к формированию относительно полных множеств указанных причин и приведена структура этих множеств применительно к нарушению физической целостности информации и несанкционированному ее получению.

Достаточно детальный анализ угроз несанкционированного получения информации проведен также в учебном пособии В.Ю. Гайковича и Д.В. Ершова, причем концептуальные подходы анализа перекликаются с подходами, изложенными в монографии Герасименко.

Своеобразный вид угроз представляют специальные программы, скрытно и преднамеренно внедряемые в различные функциональные программные системы, которые после одного или нескольких запусков разрушают хранящуюся в них информацию и/или совершают другие недозволенные действия. К настоящему времени известно несколько разновидностей таких программ: электронные вирусы, компьютерные черви, троянские кони и др.

Вредоносные программы представляют достаточно большую опасность для современных автоматизированных систем. Детальный анализ этих угроз и методов борьбы с ними приведен в учебном пособии Б.И. Скородумова и др. Нетрудно видеть, что в процессе формирования множества угроз достаточно четко проявилась тенденция перехода от эмпирических подходов к системно-концептуальным, научно обоснованным подходам.

В этой связи интересной представляется классификация угроз безопасности информации по способам их возможного негативного воздействия. Такая классификация предусматривает подразделение угроз на информационные, программно-математические, физические и организационные.

Информационные угрозы реализуются в виде:

- нарушения адресности и своевременности информационного обмена, противозаконного сбора и использования информации;

- осуществления несанкционированного доступа к информационным

- ресурсам и их противоправного использования;

- хищения информационных ресурсов из банков и баз данных;

- нарушения технологии обработки информации.

Программно-математические угрозы реализуются в виде:

- внедрения в аппаратные и программные изделия компонентов, реализующих функции, не описанные в документации на эти изделия;

- разработки и распространения программ, нарушающих нормальное функционирование информационных систем или систем защиты информации.

Физические угрозы реализуются в виде:

- уничтожения, повреждения, радиоэлектронного подавления или разрушения средств и систем обработки информации, телекоммуникации и связи;

- уничтожения, повреждения, разрушения или хищения машинных и других носителей информации;

- хищения программных или аппаратных ключей и средств криптографической защиты информации;

- перехвата информации в технических каналах связи и телекоммуникационных системах;

- внедрения электронных устройств перехвата информации в технические средства связи и телекоммуникационные системы, а также в служебные помещения;

- перехвата, дешифрования и навязывания ложной информации в сетях передачи данных и линиях связи;

- воздействия на парольно-ключевые системы защиты средств обработки и передачи информации.

Организационные угрозы реализуются в виде:

- невыполнения требований законодательства в информационной сфере;

- противоправной закупки несовершенных или устаревших информационных технологий, средств информатизации, телекоммуникации и связи.

Угрозы, как возможные опасности совершения какого-либо действия, направленного против объекта защиты, проявляются не сами по себе, а через уязвимости, приводящие к нарушению безопасности информации на конкретном объекте информатизации.

• 6.3 Способы защиты от утечек конфиденциальной информации
• На сегодняшний день существует два основных способа защиты от утечек данных:

· Организационный подход;

· Технические меры.

Рассмотрим оба способа более подробно.

Организационный подход предполагает разработку различных политик, правил и процедур. Основная задача организационных мер - обеспечить корректный доступ ко всем данным предприятия, а также мотивировать работников заботиться о безопасности. После их реализации каждый сотрудник компании знает, к каким данным он может обращаться с теми или иными правами.

Даже после внедрения всех должных организационных мер останутся сотрудники, имеющие вполне легальный доступ к конфиденциальным данным. Понятно, что такие люди останутся, поскольку любые, даже самые секретные данные бесполезны, если никто не может их прочитать. С другой стороны, именно такие "легальные" сотрудники представляют наибольшую опасность для предприятия. Такие люди могут легко вынести наружу те данные, к которым они имеют официальный доступ. Чтобы избежать подобных утечек, наряду с организационными необходимо применять технические меры. Независимо от конкретного решения, смысл этих мер сводится к контролю над действиями тех сотрудников, которые имеют легальный доступ к конфиденциальным данным. В большинстве случаев под контролем подразумевается мониторинг всех возможных каналов, по которым могут произойти утечки.

Грамотная защита компании от утечки сводится к комплексу организационных и технических мер, причём организационные меры здесь первичны.

Существуют два основных подхода к мониторингу каналов утечки. Первый подход подразумевает внедрение точечных решений, ориентированных на отдельный канал (электронную почту, Интернет-трафик или мобильные устройства). Подобные решения могут заниматься не только отслеживанием утечек данных, но и решать ряд сопутствующих проблем, таких как контроль доступа или архивирование почтовой корреспонденции. Однако применение точечных систем для защиты от утечек имеет ряд очевидных недостатков:

1) дороговизна и трудоемкость;

2) снижение производительности.

Все эти недостатки можно минимизировать с помощью периметровых решений: они защищают сразу весь периметр организации, выполняя работу по выявлению и предотвращению утечек конфиденциальной информации. Кроме того, та же система может способствовать исполнению "внешних" требований по защите информации, предъявляемых партнёрами или государственными органами. Например, служить гарантией выполнения требований по обработке персональных данных. При этом используется единая консоль управления, единая база контентной фильтрации, а также централизованное хранилище всех событий и данных, покидающих корпоративную сеть. Одним из таких решений является InfoWatch Traffic Monitor 3.1.

• 6.4 Комплексная система InfoWatch Traffic Monitor
• Рынок продуктов для защиты от внутренних угроз сейчас находится в стадии бурного роста. На нем сегодня присутствуют десятки продуктов, в той или иной мере позволяющие уменьшить риск утечки информации через собственных сотрудников. Однако, большинство из них контролирует один-два канала утечки, не давая возможность компаниям организовать комплексную защиту.
• InfoWatch Traffic Monitor осуществляет мониторинг и фильтрацию данных, передаваемых как внутри сети компании, так и за ее пределы. Решение позволяет анализировать широкий спектр протоколов, включая электронную почту (SMTP, Lotus) веб-трафик (HTTP), интернет - пейджеры (IM), данные, передаваемые на печать, а также копируемые на сменные носители (модуль InfoWatch Device Monitor) (см. Приложение А).
• Комплексное решение IW TM 4.1 в отслеживает в режиме on-line операции вывода конфиденциальной информации из информационной системы компании (пересылка по корпоративной и web-почте, публикация в Интернет, печать, копирование файлов на сменные носители и т.д.), позволяет в автоматическом и полуавтоматическом режиме блокировать подозрительные операции.
• IW TM 4.1 хранит содержимое всех операций по выносу информации за пределы информационной системы компании по любому из названных каналов и позволяет делать аналитические выборки из него для расследования случаев утечки данных. Централизованная консоль управления позволяет офицеру ИТ-безопасности контролировать работу всех компонентов решения, осуществлять мониторинг действий пользователей, настраивать политику ИТ-безопасности и создавать статистические отчеты.
• Архитектура комплексного решения IW TM 4.1 носит распределенный характер и включает в себя следующие программные компоненты:
• * Ядро системы - хранилище информационных объектов и событий в системе, система централизованного управления перехватчиками и центральная консоль Офицера ИТ-безопасности.
• * Перехватчик InfoWatch Web Monitor (IWWM) - контролирует движение информации в сеть Интернет, в том числе веб-почту, форумы и чаты. IWWM сканирует исходящий Интернет-трафик, выделяет подозрительный и запрещенный к отправке через эти каналы контент, блокирует пересылку информации, которая содержит или может содержать конфиденциальные данные .
• Перехватчик реализован в двух архитектурах: Transparent Proxy и plug-in для сервера Microsoft ISA.
• * Перехватчик InfoWatch Mail Monitor (IWMM) предназначен для предотвращения утечки информации через корпоративную почтовую систему. IWMM сканирует почтовый трафик (текст электронных сообщений и вложенные файлы) и блокирует пересылку корреспонденции, которая содержит или может содержать конфиденциальные данные. Перехватчик реализован в двух архитектурах: SMTP-Gateway и plug-in для сервера Lotus Notes.
• * Перехватчик InfoWatch ICQ Monitor - (IWIM) в режиме реального времени сканирует трафик обмена информацией через ICQ и, при выявлении конфиденциального контента, может блокировать передачу данных. Перехватчик реализован в архитектуре Transparent Proxy.
• * Перехватчик InfoWatch Device Monitor (IWDM) контролирует действия пользователей с отчуждаемыми устройствами хранения информации. Он позволяет организовать использование портативных устройств хранения информации и коммуникационных портов, а также передавать на анализ Ядру содержание копируемых на сменные носители файлов. Перехватчик реализован в виде агента на рабочей станции.
• * Перехватчик InfoWatch Print Monitor (IWPM) выполняет мониторинг петаемых документов и, при обнаружении конфиденциального контента, может блокировать печать документа. Перехватчик реализован в виде виртуального принтера.
• Система поставляется в виде Ядра и минимум одного перехватчика.
• Все перехватчики передают информационных объекты в Ядро системы для атрибутного и контентного анализа, на основании которого выполняется заранее назначенный сценарий - пропуск информации, ее блокирование, оповещение офицера безопасности, помещение в карантин и т.д.
• Хранилище информационных объектов и событий, являющееся частью Ядра системы, позволяет накапливать информацию о событиях, инцидентах и маршрутах перемещения конфиденциальных данных, покидающих корпоративную сеть. Этим обеспечивается ведение протокола операций с чувствительной информацией, что является необходимым требованием большинства законодательных регулирующих норм.
• Удобную обработку информации, накопленной хранилищем, позволяет осуществить сервер отчетов. С его помощью можно создать широкий диапазон как стандартных, так и настроенных офицером ИТ-безопасности отчетов.
• Рабочее место офицера безопасности представляет собой web-консоль управления, на которую поступают оповещения о нарушении политики внутренней безопасности.
• Интеграция Ядра системы с популярным LDAP обеспечивает единую идентификацию пользователей, выполнивших действие с информационным объектом независимо от канала, по которому оно было перехвачено.
• Ввиду многомодульного характера IW TM 4.1 требования к аппаратному обеспечению формулируются для каждого компонента решения отдельно. Требования к аппаратному обеспечению зависят от объема информационных потоков и размера хранимой информации.
• 
• Заключение к разделу
• В таблице 00 приведено соответствие между основными требованиями стандарта Центробанка по ИТ - безопасности и возможностями комплексного решения IES. Следует отметить, что помимо функциональности, описанной в таблице и требуемой обсуждаемым стандартом, продукт позволяет защититься от таких опасных угроз, как корпоративный саботаж, нецелевое использование информационных ресурсов компании, кража и разглашение конфиденциальных данных.
• Функциональность InfoWatch TM 4.1 применительно к стандарту ЦБ по ИТ - безопасности( см. Приложение Б
• Таким образом, комплексное решение IW TM позволяет удовлетворить основным требованиям стандарта Центробанка по ИТ - безопасности, в том числе тем, которые являются частью исходной концептуальной схемы (парадигмы) данного нормативного акта.

• 7. Разработка научно-методических рекомендаций по построению системы защиты конфиденциальной информации компании от внутренних утечек
• Исследование контентной фильтрации
• Прежде, чем определить, какими продуктами необходимо защищаться от внутренних ИТ-угроз, необходимо, как и при внедрении любой системы безопасности, ответить на базовые вопросы - зачем от них нужно защищаться, каков портрет нарушителя и какие ресурсы компания готова потратить на защиту от внутренних угроз.
• Ответ на вопрос "Зачем внедрять систему защиты от внутренних угроз?" и следующий из ответа на него вопрос "Как внедрять эту систему?" не столь очевиден, как это кажется на первый взгляд. Рассмотрим четыре возможных ответа на этот вопрос (см. Таблицу 1).
• Таблица 1 - Основные цели систем защиты против внутренних нарушителей

Цели и методика внедрения системы защиты против инсайдеров
Цель	Внедрение
Соответствие требованиям нормативных стандартов	Внедрение контролей, проверяемых при аудите
Сохранность информации	Открытое внедрение в сочетании с кадровой работой
Выявление канала утечки	Скрытое внедрение в сочетании с ОРМ
Доказательство непричастности	Архивация движения данных и сетевых операций для доказательства того, что источник утечки не внутри фирмы
Соответствие требованиям нормативных стандартов	Внедрение контролей, проверяемых при аудите

• Системный ландшафт
• После определения цели защиты против инсайдеров необходимо описать системный ландшафт - комплекс технических средств и правил, имеющих место быть в компании.
• Права пользователей
• Как обычно обстоят дела в информационной системе компании, офицеру информационной безопасности которой поручено создать технологическую инфраструктуру по защите от внутренних ИТ-угроз? Во-первых, отсутствует единая политика по стандартизации процессов, происходящих на рабочих местах пользователя. Это означает, что часть пользователей обладает правами локальных администраторов. Обычно это две группы пользователей - пользователи устаревших операционных систем (MS Windows 98, например) и пользователи ноутбуков. Это также означает, что копии конфиденциальных документов хранятся на рабочих местах. Кроме того, на рабочих местах установлено потенциально опасное ПО - файловые менеджеры, которые могут проводить операции с временными файлами Windows, программы синхронизации с мобильными устройствами, программы шифрования и т.д.
• Средства защиты
• Нельзя сказать, что никакие меры по защите информации от внутренних угроз в типичной компании не принимаются. Обычно заказчики относят к этому типу технические решения по контролю доступа к ресурсам (Интернет, корпоративная почта и USB), а также сигнатурную контентную фильтрацию (обычно специальным образом настроенный антиспам-фильтр). Однако эти методы действенны лишь против неосторожных либо неквалифицированных нарушителей. Сигнатурная контентная фильтрация легко обходится либо примитивным удалением "опасных" слов, либо элементарным кодированием, не требующим запуска специальных программ шифрования - заменой символов одной части кодировки (например, западноевропейской) на похожие символы другой (например, кириллической), замена букв на цифры, транслитерирование и т.п. Запрещенный доступ злонамеренные сотрудники обычно получают имитацией служебной необходимости - не стоит забывать, что мы говорим о внутренней ИТ-безопасности, т.е. методы "запретить все" неприменимы, так как приведут к остановке бизнеса.
• Таким образом, компании имеют необходимость, с одной стороны, упорядочить систему хранения конфиденциальной информации, с другой стороны, внедрить более совершенную систему защиты от внутренних угроз.
• Положение о конфиденциальной информации в электронном виде
• Определив, для чего мы защищаем конфиденциальную информацию, хранящуюся в корпоративной информационной сети, важно понять, что конкретно мы собираемся защищать. Прежде всего, в компании необходимо дать определение конфиденциальной информации и установить разрешенные действия с ней для разных групп пользователей. В каждой компании существует (или, по крайней мере, должно существовать) "Положение о конфиденциальной информации", описывающее порядок работы с такими данными, находящимися в бумажном виде. Необходимо адаптировать его к электронным документам. В реальности эта процедура занимает несколько недель и сводится к регламентации действий с такими отсутствующими в бумажных документах сущностями, как копия документа, часть документа и т.п. Регламенты работы с конфиденциальной информацией в электронном виде также с небольшими изменениями приходят из регламентов обращения с документами в бумажном виде. То есть определяется цикл жизни документа -- где он создается, как и кем используется, кто и в каких условиях может вносить в него изменения, сколько он хранится и как уничтожается. криминальный компьютерный преступление следственный
• Контентная категоризация
• Регламенты использования документов, содержащих конфиденциальную информацию, должны включать описание системы хранения документов и организации доступа к ним. Здесь тоже нет ничего принципиально нового -- опыт работы с бумажными документами накоплен огромный. Те же нехитрые правила -- перед получением доступа к документам для чтения или внесения изменений сотрудник указывает, на каком основании и для чего он собирается обратиться к документу; что собирается с ним делать; когда он закончит работать с документом и т. д. Этот "журнал" работы с документом в случае с электронными данными вести даже проще, так как большая часть операций (например, проверка прав доступа или прав на изменение содержания, учет времени работы и контроль изменений) может идти в автоматическом режиме. Термин "журналирование" , обозначающий процесс ведения журнала доступа к документу, встречается в источниках наряду с термином "логирование".
• Также в положении должно быть отмечено, что никакой администратор не может изменять информацию в журнале своей работы, чтобы возможность скрыть следы не подвигла его на неправомерные действия.
• Классификация информации по уровню конфиденциальности
• После построения документарной базы можно переходить к следующей процедуре: классификации имеющейся информации. Необходимо определить, какие документы являются конфиденциальными, какие сотрудники имеют доступ какого уровня к каким документам. Таким образом, создается так называемый реестр конфиденциальных документов, содержащий, помимо описания документов и прав доступа, еще и правила внесения в него документов и правила их изъятия (уничтожения). Поскольку в каждой компании каждый день создается множество новых документов, часть из них -- конфиденциальные, то без создания механизма их автоматической или полуавтоматической классификации реестр уже через несколько месяцев потеряет актуальность.
• Классификация внутренних нарушителей
• Сотрудники, допускающие утечку конфиденциальной информации, будучи допущенными к ней, классифицируются по нескольким критериям -- злонамеренные или халатные, ставящие цели себе сами или действующие по заказу, охотящиеся за конкретной информацией или выносящие все, к чему имеют доступ. Правильно классифицировав потенциального нарушителя, сотрудники подразделения информационной безопасности компании могут спрогнозировать поведение нарушителя при невозможности осуществления попытки передачи информации. Кроме того, рассматривая средства защиты, всегда надо иметь в виду, против каких нарушителей эти средства действенны, а против каких -- нет.
• Разделим нарушителей на пять основных видов (см. Таблица 2) -- неосторожные, манипулируемые, саботажники, нелояльные и мотивируемые извне. Рассмотрим каждый вид и их подвиды подробнее.
...