2015-05-10
1728
Разработка модели нарушителя.
Важнейшим и определяющим элементом криминалистической характеристики любого, в том числе и компьютерного, преступления является совокупность данных, характеризующих способ его совершения.
Под способом совершения преступления обычно понимают объективно и субъективно обусловленную систему поведения субъекта до, в момент и после совершения преступления, оставляющего различного рода характерные следы, позволяющие с помощью криминалистических приемов и средств получить представление о сути происшедшего, своеобразии преступного поведения правонарушителя, его отдельных личностных данных и, соответственно, определить наиболее оптимальные методы решения задач раскрытия преступления.
Выделяют следующие общие группы по отношению к способу совершения компьютерных преступлений:
1. изъятие средств компьютерной техники;
2. перехват информации;
3. несанкционированный доступ;
4. манипуляция данными и управляющими командами;
5. комплексные методы.
|
|
|
К первой группе относятся традиционные способы совершения обычных видов преступлений, в которых действия преступника направлены на изъятие чужого имущества. Характерной отличительной чертой данной группы способов совершения компьютерных преступлений будет тот факт, что в них средства компьютерной техники будут всегда выступать только в качестве предмета преступного посягательства. Например, прокуратурой г. Кургана в 1997г. расследовалось уголовное дело по факту убийства частного предпринимателя. В ходе обыска на квартире убитого следователем был изъят персональный компьютер. По имеющейся оперативной информации в памяти этой ЭВМ убитый мог хранить фамилии, адреса своих кредиторов и должников. В дальнейшем этот компьютер по решению следователя был передан в одну из компьютерных фирм для производства исследования содержимого его дисков памяти. В ту же ночь из помещения этой компьютерной фирмы путем отгиба решеток была произведена кража данного компьютера. В результате того, что изъятие и передача ЭВМ были произведены следователем с рядом процессуальных нарушений, данное преступление осталось не раскрытым.
Ко второй группе относятся способы совершения компьютерных преступлений, основанные на действиях преступника, направленных на получение данных и машинной информации посредством использования методов аудиовизуального и электромагнитного перехвата. Далее в скобках будут приводиться оригиналы названий способов на английском языке
Активный перехват (interception) осуществляется с помощью подключения к телекоммуникационному оборудованию компьютера, например линии принтера или телефонному проводу канала связи, либо непосредственно через соответствующий порт персонального компьютера.
|
|
|
Пассивный (электромагнитный) перехват (electromagnetic pickup) основан на фиксации электромагнитных излучений, возникающих при функционировании многих средств компьютерной техники, включая и средства коммуникации. Так, например, излучение электронно-лучевой трубки дисплея можно принимать с помощью специальных приборов на расстоянии до 1000 м.
Аудиоперехват или снятие информации по виброакустическому каналу является опасным и достаточно распространенным способом и имеет две разновидности. Первая заключается в установке подслушивающего устройства в аппаратуру средств обработки информации, вторая - в установке микрофона на инженерно-технические конструкции за пределами охраняемого помещения (стены, оконные рамы, двери и т.п.).
Видеоперехват осуществляется путем использования различной видеооптической техники.
“Уборка мусора” (scavening) представляет собой достаточно оригинальный способ перехвата информации. Преступником неправомерно используются технологические отходы информационного процесса, оставленные пользователем после работы с компьютерной техникой. Например, даже удаленная из памяти и с жестких дисков компьютера, а также дискет информация подлежит восстановлению и несанкционированному изъятию с помощью специальных программных средств.
К третьей группе способов совершения компьютерных преступлений относятся действия преступника, направленные на получение несанкционированного доступа к информации. К ним относятся следующие способы.
§ “Компьютерный абордаж” (hacking) – несанкционированный доступ в компьютер или компьютерную сеть без права на то. Этот способ используется хакерами для проникновения в чужие информационные сети.
§ «За дураком» (piggybacking). Этот способ используется преступниками путем подключения компьютерного терминала к каналу связи через коммуникационную аппаратуру в тот момент времени, когда сотрудник отвечающий за работу средства компьютерной техники, кратковременно покидает свое рабочее место, оставляя терминал в рабочем режиме.
§ “За хвост” (between-the-lines entry). При этом способе съема информации преступник подключается к линии связи законного пользователя и дожидается сигнала, обозначающего конец работы, перехватывает его на себя и осуществляет доступ к системе.
§ Неспешный выбор (browsing). При данном способе совершения преступления, преступник осуществляет несанкционированный доступ к компьютерной системе путем нахождения слабых мест в ее защите.
§ “Брешь” (trapdoor entry). В отличие от “неспешного выбора”, когда производится поиск уязвимых мест в защите компьютерной системы, при данном способе преступником осуществляется конкретизация поиска: ищутся участки программ, имеющие ошибку или неудачную логику построения. Выявленные таким образом “бреши” могут использоваться преступником многократно, пока не будут обнаружены.
§ “Люк” (trapdoor). Данный способ является логическим продолжением предыдущего. В месте найденной “бреши” программа “разрывается” и туда дополнительно преступником вводится одна или несколько команд. Такой “люк” “открывается” по необходимости, а включенные команды автоматически выполняются.
К четвертой группе способов совершения компьютерных преступлений относятся действия преступников, связанные с использованием методов манипуляции данными и управляющими командами средств компьютерной техники. Эти методы наиболее часто используются преступниками для совершения различного рода противоправных деяний и достаточно хорошо известны сотрудникам подразделений правоохранительных органов, специализирующихся по борьбе с компьютерными преступлениями.
|
|
|
Наиболее широко используются следующие способы совершения компьютерных преступлений, относящихся к этой группе:
“Троянский конь” (trojan horse). Данный способ заключается в тайном введении в чужое программное обеспечение специально созданных программ, которые, попадая в информационно-вычислительные системы, начинают выполнять новые, не планировавшиеся законным владельцем действия, с одновременным сохранением прежних функций. В соответствии с нормативным законодательством под такой программой понимается “программа для ЭВМ, приводящая к несанкционированному уничтожению, блокированию, модификации либо копированию информации, нарушению работы ЭВМ, системы ЭВМ или их сети”. По существу “троянский конь” - это модернизация рассмотренного выше способа “люк” с той лишь разницей, что люк “открывается” не при помощи непосредственных действий преступника, а автоматически, с использованием специально подготовленной для этих целей программы и без непосредственного участия самого преступника. С помощью такого способа преступники обычно отчисляют на заранее открытый счет определенную сумму с каждой банковской операции. Возможен и вариант увеличения преступниками избыточных сумм на счетах при автоматическом пересчете рублевых остатков, связанных с переходом к коммерческому курсу соответствующей валюты. Разновидностями такого способа совершения компьютерных преступлений является внедрение в программы “логических бомб” (logic bomb) и “временных бомб” (time bomb).
«Компьютерный вирус» (virus). С правовой точки зрения, под компьютерным вирусом следует понимать вредоносную программу для ЭВМ, способную самопроизвольно присоединяться к другим программам (“заражать” их) и при запуске последних выполнять различные нежелательные действия: порчу файлов, искажение, стирание данных и информации, переполнение машинной памяти и создание помех в работе ЭВМ.
К этой же группе относят и некоторые другие способы совершения компьютерных преступлений, которые иногда выделяются в самостоятельные группы:
|
|
|
§ Компьютерное мошенничество;
§ Незаконное копирование.
Компьютерное мошенничество чаще всего осуществляется способом “подмены данных” (data digging) или "подмены кода" (code change). Это наиболее простой и поэтому очень часто применяемый способ совершения преступления. Действия преступников в этом случае направлены на изменение или введение новых данных, и осуществляются они, как правило, при вводе-выводе информации.
Незаконное копирование (тиражирование) программ с преодолением программных средств защиты предусматривает незаконное создание копии ключевой дискеты, модификацию кода системы защиты, моделирование обращения к ключевой дискете, снятие системы защиты из памяти ЭВМ.
Не секрет, что подавляющая часть программного обеспечения, используемого в России, является пиратскими копиями взломанных хакерами программ. Самой популярной операционной системой на Украине является Microsoft Windows'98. По статистике, на долю этой платформы приходится свыше 77 процентов отечественного рынка операционных систем. Своим бесспорным успехом на украинском рынке Windows'98 обязана деятельности компьютерных пиратов. По данным международной организации BSA, занимающейся вопросами охраны интеллектуальной собственности, свыше 90 процентов используемых на Украине программ установлены на компьютеры без лицензий, тогда как в США таких не более 24 процентов.
Пятая группа способов – комплексные методы – включает в себя различные комбинации рассмотренных выше способов совершения компьютерных преступлений. Следует заметить, что рассмотренная выше классификация не является, как уже говорилось выше, единственно возможной. Так, по международной классификации в отдельную группу принято выделять такие способы, как компьютерный саботаж с аппаратным или программным обеспечением, которые приводят к выводу из строя компьютерной системы. Наиболее значительные компьютерные преступления совершаются посредством порчи программного обеспечения, причем часто его совершают работники, недовольные своим служебным положением, отношением с руководством. Существует также ряд способов совершения преступлений, которые крайне сложно отнести к какой либо группе. К таким способам относятся асинхронная атака, моделирование, мистификация, маскарад и т.д.
Асинхронная атака (Asynchronous attack). Сложный способ, требующий хорошего знания операционной системы. Используя асинхронную природу функционирования большинства операционных систем, их заставляют работать при ложных условиях, из-за чего управление обработкой информации частично или полностью нарушается. Если лицо, совершающее "асинхронную атаку", достаточно профессионально, оно может использовать ситуацию, чтобы внести изменения в операционную систему или сориентировать ее на выполнение своих целей, причем извне эти изменения не будут заметны.
Моделирование (Simulation). Создается модель конкретной системы, в которую вводятся исходные данные и учитываются планируемые действия. На основании полученных результатов методом компьютерного перебора и сортировки выбираются возможные подходящие комбинации. Затем модель возвращается к исходной точке и выясняется, какие манипуляции с входными данными нужно проводить для получения на выходе желаемого результата. В принципе, "прокручивание" модели вперед-назад может происходить многократно, чтобы через несколько итераций добиться необходимого итога. После этого остается осуществить задуманное на практике.
Мистификация(spoofing). Возможна в случаях когда пользователь удаленного терминала ошибочно подключается к какой-либо системе, будучи абсолютно уверенным, что работает именно с той самой системой, с которой намеревался. Владелец системы, к которой произошло подключение, формируя правдоподобные отклики, может поддержать контакт в течение определенного времени и получать конфиденциальную информацию, в частности коды пользователя.
4. Планирование защитных мероприятий по видам угроз и каналам.
Защита информации от утечки по визуально оптическим каналам
Защита информации от утечки по визуально-оптическому каналу — это комплекс мероприятий, исключающих или уменьшающих возможность выхода конфиденциальной информации за пределы контролируемой зоны за счет распространения световой энергии.
Человек видит окружающий его мир и предметы за счет отраженного от них света либо за счет их собственного излучения. Наиболее привычным для человека носителем информации об объектах его интересов является видимое человеческим глазом излучение. С помощью зрительной системы человек получает наибольший (до 90%) объем информации из внешнего мира. Соседние участки видимого спектра — инфракрасный и ультрафиолетовый — также несут существенную информацию об окружающих предметах, но она не может быть воспринята человеческим глазом непосредственно. Для этих целей используются различного рода преобразователи невидимого изображения в видимое — визуализация невидимых изображений.
Окружающий нас мир освещается естественным светом (Солнце, Луна, звезды) и искусственным освещением. Возможность наблюдения объектов определяется величиной падающего потока света (освещенность), отраженного от объекта света (отражающие свойства) и контрастом объекта на фоне окружающих его предметов.
В дневное время, когда освещенность создается светом Солнца, глаз человека обладает наибольшей цветовой и контрастной чувствительностью. В сумерки, когда солнечный диск постепенно уходит за линию горизонта, освещенность падает в зависимости от глубины погружения Солнца. Уменьшение освещенности вызывает ухудшение работы зрения, а следовательно, сокращение дальности и ухудшение цветоразличия. Эти физические особенности необходимо учитывать при защите информации от утечки по визуально-оптическим каналам.
Средства и способы защиты
С целью защиты информации от утечки по визуально-оптическому каналу рекомендуется:
- располагать объекты защиты так, чтобы исключить отражение света в стороны возможного расположения злоумышленника (пространственные ограждения);
- уменьшить отражательные свойства объекта защиты;
- уменьшить освещенность объекта защиты (энергетические ограничения);
- использовать средства преграждения или значительного ослабления отраженного света: ширмы, экраны, шторы, ставни, темные стекла и другие
преграждающие среды, преграды;
- применять средства маскирования, имитации и другие с целью защиты и введения в заблуждение злоумышленника;
- использовать средства пассивной и активной защиты источника от неконтролируемого распространения отражательного или излученного света и
других излучений;
- осуществлять маскировку объектов защиты, варьируя отражательными свойствами и контрастом фона;
- применять маскирующие средства сокрытия объектов можно в виде аэрозольных завес и маскирующих сеток, красок, укрытий.
В качестве оперативных средств сокрытия находят широкое применение аэрозольные завесы. Это взвешенные в газообразной среде мельчайшие частицы различных веществ, которые в зависимости от размеров и агрегатного сочетания образуют дым, копоть, туман. Они преграждают распространение отраженного от объекта защиты света. Хорошими светопоглощающими свойствами обладают дымообразующие вещества.
Аэрозольные образования в виде маскирующих завес обеспечивают индивидуальную или групповую защиту объектов и техники, в том числе и выпускаемую продукцию.
Защита информации от утечки по акустическим каналам
Защита информации от утечки по акустическому каналу — это комплекс мероприятий, исключающих или уменьшающих возможность выхода конфиденциальной информации за пределы контролируемой зоны за счет акустических полей.
Основными мероприятиями в этом виде защиты выступают организационные и организационно-технические меры. Организационные меры предполагают проведение архитектурно-планировочных, пространственных и режимных мероприятий, а организационно-технические — пассивных (звукоизоляция, звукопоглощение) и активных (звукоподавление) мероприятий. Не исключается проведение и технических мероприятий за счет применения специальных защищенных средств ведения конфиденциальных переговоров.
Архитектурно-планировочные меры предусматривают предъявление определенных требований на этапе проектирования зданий и помещений или их реконструкцию и приспособление с целью исключения или ослабления неконтролируемого распространения звуковых полей непосредственно в воздушном пространстве или в строительных конструкциях в виде структурного звука. Эти требования могут предусматривать как выбор расположения помещений в пространственном плане, так и их оборудование необходимыми для акустической безопасности элементами, исключающими прямое или отраженное в сторону возможного расположения злоумышленника распространение звука. В этих целях двери оборудуются тамбурами, окна ориентируются в сторону охраняемой (контролируемой) от присутствия посторонних лиц территории.
Режимные меры предусматривают строгий контроль пребывания в контролируемой зоне сотрудников и посетителей. Организационно-технические меры предусматривают использование звукопоглощающих средств. Пористые и мягкие материалы типа ваты, ворсистые ковры, пенобетон, пористая сухая штукатурка являются хорошими звукоизолирующими и звукопоглощающими материалами — в них очень много поверхностей раздела между воздухом и твердым телом, что приводит к многократному отражению и поглощению звуковых колебаний.
Средства и способы защиты
Для определения эффективности защиты звукоизоляции используются шумомеры. Шумомер — это измерительный прибор, который преобразует колебания звукового давления в показания, соответствующие уровню звукового давления. В сфере акустической защиты речи используются аналоговые шумомеры.
По точности показаний шумомеры подразделяются на четыре класса. Шумомеры нулевого класса служат для лабораторных измерений, первого — для натурных измерений, второго — для общих целей; шумомеры третьего класса используются для ориентированных измерений. На практике для оценки степени защищенности акустических каналов используются шумомеры второго класса, реже — первого.
Измерения акустической защищенности реализуются методом образцового источника звука. Образцовым называется источник с заранее известным уровнем мощности на определенной частоте (частотах).
Выбирается в качестве такого источника магнитофон с записанным на пленку сигналом на частотах 500 Гц и 1000 Гц, модулированным синусоидальным сигналом в 100 — 120 Гц. Имея образцовый источник звука и шумомер, можно определить поглощающие возможности помещения. Величина акустического давления образцового источника звука известна. Принятый с другой стороны стены сигнал замерен по показаниям шумомера. Разница между показателями и дает коэффициент поглощения.
В зависимости от категории выделенного помещения эффективность звукоизоляции должна быть разной. Рекомендуются следующие нормативы поглощения на частотах 500 и 1000 Гц соответственно.
Частота сигнала (Гц) Категории помещений (дБ) коэфф. поглощения
I II III
500 53 48 43
1000 56 51 46
В тех случаях, когда пассивные меры не обеспечивают необходимого уровня безопасности, используются активные средства. К активным средствам относятся генераторы шума — технические устройства, вырабатывающие шумоподобные электронные сигналы.
Эти сигналы подаются на соответствующие датчики акустического или вибрационного преобразования. Акустические датчики предназначены для создания акустического шума в помещениях или вне их, а вибрационные — для маскирующего шума в ограждающих конструкциях. Вибрационные датчики приклеиваются к защищаемым конструкциям, создавая в них звуковые колебания. В качестве примера генераторов шума можно привести систему виброакустического зашумления «Заслон» («Маском»). Система позволяет защитить до 10 условных поверхностей, имеет автоматическое включение вибропреобразователей при появлении акустического сигнала. Эффективная шумовая полоса частот 100 — 6000 Гц.
Защита информации от утечки по электромагнитным каналам
Защита информации от утечки по электромагнитным каналам — это комплекс мероприятий, исключающих или ослабляющих возможность неконтролируемого выхода конфиденциальной информации за пределы контролируемой зоны за счет электромагнитных полей побочного характера и наводок.
Известны следующие электромагнитные каналы утечки информации:
- микрофонный эффект элементов электронных схем;
- электромагнитное излучение низкой и высокой частоты;
- возникновение паразитной генерации усилителей различного назначения;
- цепи питания и цепи заземления электронных схем;
- взаимное влияние проводов и линий связи;
- высокочастотное навязывание;
- волоконно-оптические системы.
Для защиты информации от утечки по электромагнитным каналам применяются как общие методы защиты от утечки, так и специфические — именно для этого вида каналов. Кроме того, защитные действия молено классифицировать на конструкторско-технологические решения, ориентированные на исключение возможности возникновения таких каналов, и эксплуатационные, связанные с обеспечением условий использования тех или иных технических средств в условиях производственной и трудовой деятельности.
Конструкторско-технологические мероприятия по локализации возможности образования условий возникновения каналов утечки информации за счет побочных электромагнитных излучений и наводок в технических средствах обработки и передачи информации сводятся к рациональным конструкторско-технологическим решениям, к числу которых относятся:
- экранирование элементов и узлов аппаратуры; ослабление электромагнитной, емкостной, индуктивной связи между элементами и токонесущими проводами;
-- фильтрация сигналов в цепях питания и заземления и другие меры, связанные с использованием ограничителей, развязывающих цепей, систем взаимной компенсации, ослабителей по ослаблению или уничтожению ПЭМИН.
Экранирование позволяет защитить их от нежелательных воздействий акустических и электромагнитных сигналов и излучений собственных электромагнитных полей, а также ослабить (или исключить) паразитное влияние внешних излучений. Экранирование бывает электростатическое, магнитостатическое и электромагнитное.
Электростатическое экранирование заключается в замыкании силовых линий электростатического поля источника на поверхность экрана и отводе наведенных зарядов на массу и на землю. Такое экранирование эффективно для устранения емкостных паразитных связей. Экранирующий эффект максимален на постоянном токе и с повышением частоты снижается.
Магнитостатическое экранирование основано на замыкании силовых линий магнитного поля источника в толще экрана, обладающего малым магнитным сопротивлением для постоянного тока и в области низких частот.
С повышением частоты сигнала применяется исключительно электромагнитное экранирование. Действие электромагнитного экрана основано на том, что высокочастотное электромагнитное поле ослабляется им же созданным (благодаря образующимся в толще экрана вихревым токам) полем обратного направления.
Если расстояние между экранирующими цепями, проводами, приборами составляет 10% от четверти длины волны, то можно считать, что электромагнитные связи этих цепей осуществляются за счет обычных электрических и магнитных полей, а не в результате переноса энергии в пространстве с помощью электромагнитных волн. Это дает возможность отдельно рассматривать экранирование электрических и магнитных полей, что очень важно, так как на практике преобладает какое-либо одно из полей и подавлять другое нет необходимости.
Заземление и металлизация аппаратуры и ее элементов служат надежным средством отвода наведенных сигналов на землю, ослабления паразитных связей и наводок между отдельными цепями.
Фильтры различного назначения служат для подавления или ослабления сигналов при их возникновении или распространении, а также для защиты систем питания аппаратуры обработки информации. Для этих же целей могут применяться и другие технологические решения. Эксплуатационные меры ориентированы на выбор мест установки технических средств с учетом особенностей их электромагнитных полей с таким расчетом, чтобы исключить их выход за пределы контролируемой зоны. В этих целях возможно осуществлять экранирование помещений, в которых находятся средства с большим уровнем побочных электромагнитных излучений (ПЭМИ).
Защита информации от утечки по материально-вещественным каналам
Защита информации от утечки по материально-вещественному каналу — это комплекс мероприятий, исключающих или уменьшающих возможность неконтролируемого выхода конфиденциальной информации за пределы контролируемой зоны в виде производственных или промышленных отходов.
В практике производственной и трудовой деятельности отношение к отходам является бросовым. В зависимости от профиля работы предприятия отходы могут быть в виде испорченных накладных, фрагментов исполняемых документов, черновиков, бракованных заготовок деталей, панелей, кожухов и других устройств для разрабатываемых моделей новой техники или изделий.
По виду отходы могут быть твердыми, жидкими и газообразными. И каждый из них может бесконтрольно выходить за пределы охраняемой территории. Жидкости сливаются в канализацию, газы уходят в атмосферу, твердые отходы — зачастую просто на свалку. Особенно опасны твердые отходы. Это и документы, и технология, и используемые материалы, и испорченные комплектующие.
