Безопасность программного обеспечения компьютерных систем

       

Человеческий фактор


Преднамеренные и непреднамеренные нарушения безопасности программного обеспечения безопасности компьютерных систем большинство отечественных и зарубежных специалистов связывают с деятельностью человека. При этом технические сбои аппаратных средств КС, ошибки программного обеспечения и т.п. часто рассматриваются лишь как второстепенные факторы, связанные с проявлением угроз безопасности.

С некоторой степенью условности злоумышленников в данном случае можно разделить на два основных класса:

  • злоумышленники-любители (будем называть их хакерами);

  • злоумышленники-профессионалы.

Хакеры - это люди, увлеченные компьютерной и телекоммуникационной техникой, имеющие хорошие навыки в программировании и довольно любознательные. Их деятельность в большинстве случаев не приносит особого вреда компьютерным системам. Ко второму классу можно отнести отечественные, зарубежные и международные криминальные сообщества и группы, а также правительственные организации и службы, которые осуществляют свою деятельность в рамках концепции "информационной войны". К этому же классу можно отнести и сотрудников самих предприятий и фирм, ведущих разработку или эксплуатацию программного обеспечения.

Хакеры и группы хакеров

Хакеры часто образуют небольшие группы. Иногда эти группы периодически собираются, а в больших городах хакеры и группы хакеров встречаются регулярно. Но основная форма взаимодействия осуществляется через Интернет, а ранее - через электронные доски BBS. Как правило, каждая группа хакеров имеет свой определенный (часто критический) взгляд на другие группы. Хакеры часто прячут свои изобретения от хакеров других групп и даже от соперников в своей группе.

Существуют несколько типов хакеров. Это хакеры, которые:

  • стремятся проникнуть во множество различных компьютерных систем (маловероятно, что такой хакер объявится снова после успешного проникновения в систему);

  • получают удовольствие, оставляя явный след того, что он проник в систему;

    желают воспользоваться оборудованием, к которому ему запрещен доступ;




    охотятся за конфиденциальной информацией;

    собираются модифицировать определенный элемент данных, например баланс банка, криминальную запись или экзаменационные оценки;

    пытаются нанести ущерб "вскрытой" (обезоруженной) системе.


Группы хакеров, с некоторой степенью условности, можно разделить на следующие:



  • группы хакеров, которые получают удовольствие от вторжения и исследования больших ЭВМ, а также ЭВМ, которые используются в различных государственных учреждениях;


  • группы хакеров, которые специализируются на телефонной системе;

    группы хакеров - коллекционеров кодов - это хакеры, запускающие перехватчики кода, которые ищут карту вызовов (calling card) и номера PBX (private branch exchange - частная телефонная станция с выходом в общую сеть);

    группы хакеров, которые специализируются на вычислениях. Они используют компьютеры для кражи денег, вычисления номеров кредитных карточек и другой ценной информации, а затем продают свои услуги и методы другим, включая членов организованной преступности. Эти хакеры могут скупать у коллекционеров кодов номера PBX и продавать их за 200-500$, и подобно другим видам информации неоднократно. Архивы кредитных бюро, информационные срезы баз данных уголовного архива ФБР и баз данных других государственных учреждений также представляют для них большой интерес. Хакеры в этих группах, как правило, не находят взаимопонимания с другими хакерами;

    группы хакеров, которые специализируются на сборе и торговле пиратским программным обеспечением.


Типовой потрет хакера

Ниже приводится два обобщенных портрета хакера, один составлен по данным работы и характеризует скорее зарубежных хакеров-любителей, в то время как второй - это обобщенный портрет отечественного злонамеренного хакера, составленный Экспертно-криминалистическим центром МВД России .

В первом случае отмечается, что многие хакеры обладают следующими особенностями :



  • мужчина: большинство хакеров - мужчины, как и большинство программистов;


  • молодой: большинству хакеров от 14 до 21 года, и они учатся в институте или колледже.



    Когда хакеры выходят в деловой мир в качестве программистов, их программные проекты источают большую часть их излишней энергии, и корпоративная обстановка начинает менять их жизненную позицию. Возраст компьютерных преступников показан на рис.4.1 ;

    сообразительный: хакеры часто имеют коэффициент интеллекта выше среднего. Не смотря на свой своеобразный талант, большинство из них в школе или колледже не были хорошими учениками. Например, большинство программистов пишут плохую документацию и плохо владеют языком;

    концентрирован на понимании, предсказании и управлении: эти три условия составляет основу компетенции, мастерства и самооценки и стремительные технологические сдвиги и рост разнообразного аппаратного и программного обеспечения всегда будут вызовом для хакеров;




Рис. 4.1. Возрастное распределение обнаруженных компьютерных преступников



  • увлечен компьютерами: для многих пользователей компьютер - это необходимый рабочий инструмент. Для хакера же - это "удивительная игрушка" и объект интенсивного исследования и понимания;


  • отсутствие преступных намерений: по данным лишь в 10% рассмотренных случаев компьютерной преступности нарушения, совершаемые хакерами, привели к разрушению данных компьютерных систем. В связи с этим можно предположить, что менее 1% всех хакеров являются злоумышленниками.


Обобщенный портрет отечественного хакера выглядит следующим образом: это мужчина в возрасте от 15 до 45 лет, либо имеющий многолетний опыт работы на компьютере, либо почти не обладающий таким опытом; в прошлом к уголовной ответственности не привлекался; является яркой, мыслящей личностью, способной принимать ответственные решения; хороший, добросовестный работник; по характеру нетерпимый к насмешкам и к потере своего социального статуса в рамках окружающей его группы людей; любит уединенную работу; приходит на службу первым и уходит последним; часто задерживается на работе после окончании рабочего дня и очень редко использует отпуска и отгулы.

Криминальные сообщества и группы, сценарий взлома компьютерной системы



В связи со стремительным ростом информационных технологий и разнообразных компьютерных и телекоммуникационных средств и систем, наблюдается экспоненциальный рост как количества компьютерных атак, так и объем нанесенного от них ущерба (см. табл.4.3). Это показали исследования, проведенные в 90-х гг. в США . Анализ показывает, что такая тенденция постоянно сохраняется.

За последнее время в нашей стране не отмечено ни одного компьютерного преступления, которое было бы совершено одиночкой . Более того, известны случаи, когда организованными преступными группировками нанимались бригады из десятков хакеров. Им предоставлялись отдельные охраняемые помещения, оборудованные самыми передовыми компьютерными средствами и системами для проникновения в компьютерные сети коммерческих банков (см. табл.4.4).

Специалисты правоохранительных органов России неоднократно отмечали тот факт, что большинство компьютерных преступлений в банковской сфере совершается при непосредственном участии самих служащих коммерческих банков . Результаты исследований, проведенных с привлечением банковского персонала, показывают, что доля таких преступлений приближается к отметке 70%. При осуществлении попытки хищения 2 млрд. рублей из филиала одного крупного коммерческого банка преступники оформили проводку фиктивного платежа с помощью удаленного доступа к компьютеру через модем, введя пароль и идентификационные данные, которые им передали сообщники из состава персонала этого филиала. Далее эти деньги были переведены в соседний банк, где преступники попытались снять их со счета, оформив поддельное платежное поручение.

По данным Экспертно-криминалистического центра МВД России принципиальный сценарий взлома защитных механизмов банковской компьютерной системы представляется следующим. Компьютерные злоумышленники-профессионалы обычно работают только после тщательной предварительной подготовки. Они снимают квартиру на подставное лицо в доме, в котором не проживают сотрудники ФСБ, МВД или МГТС. Подкупают сотрудников банка, знакомых с деталями электронных платежей и паролями, и работников телефонной станции, чтобы обезопасить себя на случай поступления запроса от службы безопасности банка.



Нанимают охрану из бывших сотрудников МВД. Чаще всего взлом банковской компьютерной системы осуществляется рано утром, когда дежурный службы безопасности теряет свою бдительность, а вызов помощи затруднен.

Таблица 4.3

Год События, цифры, факты
21.11. 1988 Вирус Морриса на 24 часа вывел из строя сеть ARPANET. Ущерб составил98 млн. долларов.
1989 К. Митник подключился к одному из компьютеров ИВС объединенной системы ПВО Североамериканского континента (North American Air Defense Command)
1989 Группа хакеров MOD уничтожила почти всю информацию в компьютере, используемом корпорацией Educational Broadcasting Corp., общественной телевизионной станцией WNET, канал 13 в Нью-Йорке
1990 К. Нейдорф осуществил доступ к телефонную сеть системы 911 в девяти штатах США и получил конфиденциальную информациюв виде кодов доступа
1994 Национальная аудиторская служба Великобритании (National Audit Office - NAO) зарегистрировала 655 случаев НСД и 562 случая заражения вирусами компьютерных систем британских правительственных организаций, что в 1.4 и 3.5 раза соответственно превышает уровень 1993 г.
1994 В США ущерб от НСД к информационно-вычислительным ресурсам превысил $10 млрд. (в 1991 г. по оценкам USA Research $1.75 млрд.)
1995 В США из 150 проверенных исследовательских и производственных вычислительных комплексов 48% подверглись успешной реализации НСД.
1995 В Великобритании ущерб от НСД к информационно-вычислительным ресурсам превысил 5 млрд. Фунтов стерлингов (в 4 раза больше по сравнению с 1989 г.)
1995 В сети Bitnet (международная академическая сеть) за 2 часа вирус, замаскированный под рождественское поздравление, заразил более 500 тысяч компьютеров по всему миру, при этом сеть IBM прекратила вообще работу на несколько часов.
Декабрь 1996 Компьютерная атака на WebCom (крупнейшего провайдера услуг WWW в США) вывела из строя на 40 часов больше 3000 абонентских пунктов WWW. Атака представляла собой "синхронный поток", которая блокирует функционирование сервера и приводит к "отказу в обслуживании". Поиск маршрута атаки длился 10 часов.
<



/p>

Таблица 4.4

Год События, цифры, факты
1993 Была совершена попытка хищения 68 миллионов долларов путем манипуляции с данными в компьютерных сетях Центрального Банка России
1994 В. Левин проник в компьютерную систему Ситибанка и сумел перевести 2.8 миллиона долларов на счета своих сообщников в США, Швейцарии, Нидерландах и Израиле
1995 Ущерб, нанесенный банкам США за счет несанкционированного использования компьютерных сете путем введения и "навязывания" ложной информации из Москвы и Санкт-Петербурга российскими хакерами составил за I квартал 1995 г. составил $300 млн.
1997 Правоохранительными органами России было выявлено 15 компьютерных преступлений, связанных НСД к банковским базам данных. В ходе расследования установлены факты незаконного перевода 6,3 млрд. рублей. Доля компьютерных преступлений от общего числа преступлений в кредитно-финансовой сфере в 1997 г. составила 0,02% при их раскрываемостине более 1-5%.
1998 Предотвращено хищения на сумму 2 млрд. рублей из филиала одногоиз самых крупных коммерческих банков России
Злоумышленники в профессиональных коллективах программистов-разработчиков

Согласно существующей статистики в коллективах людей занятых той или иной деятельностью, как правило, только около 85% являются вполне лояльными (честными), а остальные 15% делятся примерно так: 5% - могут совершить что-нибудь противоправное, если, по их представлениям, вероятность заслуженного наказания мала; 5% - готовы рискнуть на противоправные действия, даже если шансы быть уличенным и наказанным складываются 50 на 50; 5% - готовы пойти на противозаконный поступок, даже если они почти уверены в том, что будут уличены и наказаны. Такая статистика в той или иной мере может быть применима к коллективам, участвующим в разработке и эксплуатации информационно-технических составляющих компьютерных систем.

Таким образом, можно предположить, что не менее 5% персонала, участвующего в разработке и эксплуатации программных комплексов, способны осуществить действия криминального характера из корыстных побуждений либо под влиянием каких-нибудь иных обстоятельств.

По другим данным считается, что от 80 до 90% компьютерных нарушений являются внутренними, в частности считается, что на каждого "... подлого хакера приходится один обозленный и восемь небрежных работников, и все они могут производить разрушения изнутри".


Содержание раздела