Для того чтобы обнаружить хакера, требуется:
· хорошее программное обеспечение текущего контроля;
· регулярная проверка системных журналов;
· «следящая» система.
Предположив, что программное обеспечение находится в порядке, наиболее очевидные следы преступления могут быть разделены на две категории: внешние и внутренние.
Внешними следами, связанными с попытками внедриться в коммуникационную линию связи, являются:
- выведенные из строя сигнальные устройства на кабелях связи;
- усиление затухания сигналов в оптической линии связи;
- изменения в напряжении, емкости, сопротивлении или частоте.
Внутренними следами, связанными с попыткой получить доступ через обычный входной набор или по дистанционному тракту, являются:
- телефонные звонки различной длительности в комнату, когда после ответа можно услышать посылки модема, указывающие на атаку, проводимую путем последовательного автоматического набора диска;
- повторяемые безуспешно попытки входа в систему;
|
|
- повторяющая передача управляющих команд;
- частое использование подсказок;
- неразрешенная или незапланированная работа;
- оскорбительные или клеветнические сообщения;
- уничтоженная или испорченная информация;
- перемещенные или измененные файлы и вновь созданные справочники;
- жалобы заказчиков, поставщиков и пользователей на возникающие время от времени ошибки и трудности входа и работы в системе.
Организация должна постараться хоть на один шаг опередить хакера. Информация о начинающем преступнике может быть собрана, например, с помощью:
— обращения к местному почтовому ящику, чтобы проверить наличие учетной информации о фирме в секции злоумышленника;
— поддержания связи с отделом кадров, занимающимся проблемами недовольных или чем-то обеспокоенных служащих;
— использования других хакеров в качестве информаторов без ознакомления их с деталями системы данной фирмы, например, через третьих лиц.
Чтобы обнаружить потенциальную активность промышленного шпиона или профессионального хакера, фирма должна освоить самые разные методы:
- обнаружить попытки кражи можно, например, скрытой камерой, направленной на мешки с распечатками, приготовленными к вывозу;
- проверить благонамеренность всех посетителей, в частности специалистов по средствам связи, электриков, водопроводчиков, а также торговых агентов.
Особо опасными местами являются арендованные несколькими фирмами помещения, где нередко в течение дня можно увидеть 10 - 15 разного рода специалистов, стремящихся получить доступ в главный узел связи. При этом идентификационные карточки, удостоверяющие личность, проверяются крайне редко. Известно, что, используя коридоры и переходы в зданиях, специалисты проводят в помещения посторонних лиц.
|
|
От специалистов следует требовать предъявления стандартной идентификационной карточки с фотографией и документа, показывающего, какого рода работу выполняет данное лицо. Всегда следует сверять по телефону заранее подготовленный шифр или код получившего отказ сообщения. От специалиста необходимо требовать, чтобы он фиксировал шифр входа в главный узел связи, отмечая в журнале:
- дату и время посещения;
- фамилию, имя;
- название фирмы, для которой выполняется работа;
- факт проверки идентификационной карточки.
Регистрационный журнал должен периодически проверяться. Все посетители должны быть идентифицированы. Если пришедший - покупатель или специалист по маркетингу, он должен предъявить удостоверение своей фирмы и номер телефона, по которому непосредственно можно навести справки. Штат должен быть предупрежден о том, каких посетителей следует остерегаться. Подозрительными могут быть:
- посторонние лица, утверждающие, что они ищут в данном здании человека или фирму, которой нет в перечне учреждений, арендующих данное помещение;
- потенциальные клиенты, желающие в деталях узнать о данной фирме, но вместе с тем, однако, упомянув о цели своего визита - большом заказе, старающиеся не вдаваться в подробности относительно их фирмы.
Штат секретарей обычно плохо обучен тому,как распознать и какие предпринять действия против энергичного, настойчивого посетителя, не желающего уходить без информации, за которой он пришел. В подобных случаях секретарю нужно проявить твердость и выпроводить посетителя или вызвать помощников. Однако чаще в этих случаях информация выдается секретарем раньше, чем возникает подозрение. Чтобы предотвратить утечку секретной информации, должна осуществляться политика «чистых столов»: никакие документы не должны оставаться на столах после окончания рабочего времени, и все ненужные бумажки должны быть разорваны перед выбросом их в корзину.
Система реагирования должна быть устроена таким образом, чтобы все жалобы, поступившие от посетителей, просителей и пользователей, сопоставлялись и анализировались. В этом должны помочь пакеты статистического анализа, которые контролируют такие необычные явления, как, например:
- каждый вечер в одно и то же время системы начинают давать сбой;
- появляются ошибочные сообщения; наблюдаются ошибки при передаче;
- наблюдается расхождение результатов.
Как только возникают подозрения, что возможны разведывательные действия или преступление, должно быть предпринято полномасштабное расследование.