Недекларированные возможности современных технологий
Дата: 30.07.2003Источник: www.crime-research.ru
Автор: Лядов Н.К.
Недекларированные возможности - функциональные возможности технических средств и программного обеспечения, не описанные или не соответствующие описанным в документации, при использовании которых возможно нарушение конфиденциальности, доступности или целостности обрабатываемой информации. Реализацией не декларированных возможностей, в частности, являются программные закладки.
Развитие современной Российской экономики и экономики конкретного предприятия все больше зависит от информационных ресурсов и внедряемых технологий и как следствие - все острее встает вопрос обеспечения требуемого уровня информационной безопасности.
Информационная безопасность, подразумевает создание условий, при которых обеспечивается ознакомление и обработка информации без нанесения ущерба собственникам этих ресурсов.
В России за 2002 год зарегистрировано 3 тысячи 371 преступление в области компьютерной информации. Об этом сообщил в ходе Всероссийской конференции "Информационная безопасность России" начальник Главного управления специальных технических мероприятий МВД РФ Борис Мирошников.
Согласно статистике, среди всех зарегистрированных правонарушений в области компьютерной информации преобладают преступления, связанные с незаконным доступом к информационным ресурсам (около 90%) - "компьютерные взломы". В то же время Борис Мирошников отметил, что большая часть компьютерных преступлений остается скрытой и не регистрируется правоохранительными органами. При этом процентное соотношение раскрытых и не раскрытых правонарушений пока не установлено.
Внедрение высоких технологий в таких областях деятельности человека как телефонная и мобильная связь, система глобальной компьютерной связи INTERNET позволяет уверенно прогнозировать использование злоумышленниками в своих целях недекларированных возможностей современных технических средств таких как: мини-АТС, мобильные телефоны и программное обеспечение.
В мини-АТС - это возможность незарегистрированного абонента телефонной сети дистанционно контролировать акустику помещения, в котором установлен системный телефон или прослушивание телефонного разговора любого абонента телефонной станции.
Известны случаи, когда злоумышленники успешно использовали недекларированные возможности некоторых мини-АТС (сервисные функции не отраженные в инструкциях по эксплуатации и программированию), для прослушивания разговоров руководителей конкурирующей фирмы: генерального директора и его заместителей через микрофоны системных телефонов (SPEAKERPHONE SYSTEM). Злоумышленники воспользовались тем, что мини-АТС не проходила проверку, до ее приобретения, на наличие недекларированных сервисных функций и кроме того не контролировался сам процесс подключения абонентов, что в конечном счете и привело к такому логическому результату.
В последнее время системы сотовой связи стандарта GSM стали активно использоваться в качестве канала оповещения охранными системами различного назначения. При этом используются такие функции как: дистанционное прослушивание охраняемых объектов, управление исполнительными устройствами и другие. В качестве оконечных устройств охранных систем (оповещателей) применяются обыкновенные мобильные телефоны и персональные компьютеры. Проблема состоит в том, что используя персональный компьютер, мобильный телефон и специальное программное обеспечение возможно создание системы, которая кроме выполнения основных функций охраны без особых проблем может быть применена для контроля трафика связи, а значит и телефонного разговора, в том числе и определения места нахождения конкретного абонента.
Подтверждением этим предположениям служат многочисленные предложения ряда фирм о поставке скремблеров для защиты от прослушивания мобильных телефонов стандарта GSM, блокираторов мобильных трубок и систем связи, а также и других устройств защиты от несанкционированного контроля телефонных разговоров .
Более того, в настоящее время активно обсуждается грандиозный проект создания федеральной сети конфиденциальной сотовой связи стандарта GSM. Основными потребителями услуг этой связи станут сами спецслужбы и государственные ведомства. Скорее всего, сеть будет создана на базе инфраструктуры одного из сотовых операторов "большой тройки”.
Утечки персональных данных, которые приняли в России характер эпидемии, всего лишь одна из многих опасностей, связанных с информационной безопасностью граждан. И надо отметить, что ситуация в этой области с каждым днем ухудшается.
Однако публикации персональных данных граждан - это только начала неизбежного процесса с которым столкнулась Россия.. События в области информационной безопасности развиваются стремительными темпами. То, что раньше составляло сюжетные коллизии киберпанковских фильмов, сегодня неумолимо становится нашей суровой реальностью. Так, совсем недавно в электронных СМИ прошла информация о задержании в Москве очередной банды вымогателей. Это сообщение не заслуживало бы внимания, если б не оригинальные технологии, при помощи которых бандиты "разводили" покупателей дорогих автомобилей.
Данные на недавно купленную машину вносились в базу угнанных автомобилей, о чем "доброжелатели" сообщали новоиспеченному владельцу. После этого поступало предложение, от которого нельзя было отказаться: за некоторую мзду предлагалось соответствующую запись из базы исключить. Заметим, что информационная база, с которой производились соответствующие манипуляции, была не копией на CD, а оригиналом. В процессе следствия выяснилось, что в состав банды входили имеющие доступ к этой базе сотрудники правоохранительных органов.
Как известно, чем проще доступ в Сеть, тем хуже ее информационная безопасность, поэтому с полным основанием можно сказать, что изначальная простота доступа в INTERNET - хуже воровства, так как пользователь может даже и не узнать, что у него были скопированы - файлы и программы, не говоря уже о возможности их порчи и корректировки.
И совсем недавний пример. В одном из банков Тулы 30 января 2003 г. со счета частного лица через INTERNET были сняты 19 тысяч долларов. Как сообщили в УВД Тульской области, это не первый случай взлома банковских компьютерных сетей в Туле.
Специалисты, занимающиеся расследованием компьютерных преступлений, отмечают, что современный социальный портрет хакера – это молодой человек, в возрасте от 14 до 30 лет, чаще всего студент и то, что в последнее время уровень "мастерства" хакеров значительно вырос и перешел из стадии “любителей” в “профессионалы’ и то, что это отличные специалисты по недекларированным возможностям программного обеспечения. Если раньше внимание хакеров было обращено на западные фирмы, то сейчас наблюдается резкий интерес к работе Российских фирм, занятых в сфере электронной торговли и банковского бизнеса.
Анализ российской прессы последних лет показывает, что вопросам обеспечения информационной безопасности уделяется очень много внимания. Описываются различные технологии, рассказывается о новых продуктах и решениях и т.д. Но к изменению существующей ситуации это не приводит. Компании и фирмы как не использовали средства защиты, так и не используют их до сих пор. При этом если спросить любого грамотного технического специалиста, нужно ли обеспечивать информационную безопасность, то он однозначно ответит утвердительно. В чем же скрыт секрет такого парадокса ?.
Для одних первой задачей является предотвращение утечки информации (маркетинговых планов, перспективных разработок и т.д.) конкурентам. Другие могут пренебречь конфиденциальностью своей информации и сосредоточить свое внимание на ее целостности.
Например, для банковских учреждений важно в первую очередь обеспечить неизменность обрабатываемых платежных поручений, чтобы злоумышленник не смог несанкционированно дописать в платежное поручение еще один нолик или изменить реквизиты получателя. Для третьих компаний на первое место поднимается задача обеспечения доступности и безотказной работы информационных систем компании. Расставить такого рода приоритеты можно только в результате анализа деятельности компании.
С чего начинается стандартное решение этого вопроса, - это физическая защита. Типовой набор средств физической защиты - это системы контроля доступа, охранные видеокамеры, датчики, системы сигнализации и т.п. Все это приобретается и устанавливается в большом количестве. Однако когда дело доходит до информационной безопасности, то руководство скептически относится к средствам, ее реализующим. Если турникет, видеокамеру или огнетушитель можно потрогать руками, и целесообразность их применения видна невооруженным взглядом, то применение различных систем защиты информации (систем обнаружения атак, систем анализа защищенности и т.д.) необходимо очень тщательно обосновывать. Связано это с тем, что мир физической безопасности понятен любому человеку, в т.ч. и руководству компании. Однако, как только речь заходит об информационных технологиях, то со стороны руководства сразу же возникает непонимание. И связано это с тем, что технические специалисты (которым не надо объяснять необходимость средств защиты) и руководство компании говорят на разных языках. Первые оперируют техническими понятиями, а вторые - понятиями экономическими.
По сравнению с физической безопасностью компьютерная безопасность находится еще в младенчестве. С каждым новым достижением в области информационных технологий появляются новые аспекты обеспечения информационной безопасности. При этом у уже существующих решений появляются новые грани, на которые приходится смотреть под новым углом зрения. Физическая защита - относительно...
|
Добавить комментарий |
| Всего 0 комментариев |
