Центр исследования компьютерной преступности

home контакты

Противодействие Интернет мошенничеству путем идентификации действий сетевых агентов

Дата: 01.01.2008
Источник: www.crime-research.ru
Автор: Алексей Турута


hack/spy.jpgАктуальность
В различных работах среди угроз информационной безопасности сервиса на первые места выставляют слабую подготовку персонала, утечку информации, человеческий фактор [1]. Отметим, что эти внутренние факторы подлежат контролю менеджера проекта. В то время как внешние факторы: DoS атаки, исследование сервиса, атаки на авторизацию, подмена данных форм не зависят от работы сотрудников сервиса [1]. С увеличением степени автоматизации количество людей, задействованных в процессе работы сервиса, будет снижаться, а угрозы от внешних факторов увеличиваться.

МОШЕННИЧЕСТВО – завладение чужим имуществом или приобретение права на имущество путем обмана либо злоупотребление доверием. [2, ст. 190] В контексте Интернет мошенничества будем понимать деятельность направленную:
- на завладение чужой информации для получения права использовать ресурсы web-сервиса (вне зависимости от способа: завладение злоупотреблением доверия; путем перехвата; в результате перебора, угадывания);
- на формирование специальной информации для получения ошибки узнавания web-сервисом пользователя;
- на создания условий, в результате которых, web-сервис не доступен реальному пользователю (создание DoS атак, вызов реакции системы и блокирование записи реального пользователя).

Очевидно, что во время сеанса работы с web-сервисом, мошенник мало отличается от реального пользователя. Поэтому ряд способов защиты просто не работают. Например, шифрование трафика защищает от перехвата данных авторизации, однако если мошенник завладел такими данными, то он может себя выдавать за реального пользователя. Есть потребность в разработке новых подходов позволяющих идентифицировать агентов и их действия. С другой стороны, в роли агента (пользователя) может использоваться программный агент, управляемый алгоритмом, в таком случае мошенник может нарушать целостность данных транзакции. Для защиты web-сервиса необходимо разрабатывать методы защиты целостности данных при работе с агентами. В работе [3] предлагается способ сбора доказательств для доказательства вины и причастности организаторов DoS атак, однако хотелось бы использовать технические средства для предупреждения таких атак.

Структура работы
Для удобства читателя предлагается краткий обзор содержания работы:
1. Обзор признаков информации подлежащих защите – содержит анализ определений защиты информации и информационной безопасности трех стран, автор выбирает основные признаки, которые необходимо обеспечить. Обосновывается необходимость обеспечения доступности ресурсов в web.
2. Распределение объектов и терминов по соответствующим уровням сети – большое количество терминов характеризуют сети, объекты сетей – предлагается распределить схожие понятия по сути содержания. Определяется взаимодействие пользователя, через агента с web-сервисом.
3. Обеспечение целостности данных форм – для практической реализации предлагается подход позволяющий контролировать целостность данных форм и предупредить мошенничество с такими данными.
4. Обеспечение доступности ресурса для реального пользователя – приводится подход позволяющий эффективно идентифицировать агента, а также подходы для локализации DDoS атак для некоторых сервисов.
5. В конце работы перечислены основные результаты и используемые источники.
Обзор признаков информации подлежащих защите.
Для обзора положения, рассматриваемой задачи предупреждения Интернет мошенничества, среди задач защиты информации и информационной безопасности рассмотрим юридические термин из соответствующей отрасли права.

В некоторых источниках высказывается мнение, что информационная безопасность имеет научный (теоретический) окрас, а защита информации применяется при описании практических мероприятий. Рассмотрим некоторые определения законодательства Украины, России и США.

Термин Информационная безопасность [4, раздел 4.1.6] определяется как состояние информации, в котором обеспечивается сохранение определенных политикой безопасности свойств информации. Каких непонятно, но в разделе 4.2.1 [4] предусматривается 8 свойств. В другом определении информационной безопасности в телекоммуникационных сетях [5, ст. 1] указывается всего 5 свойств. Термин защита информации встречается как ТЗИ [6, ст. 1] и предполагает тоже 5, но иных свойств, причем не все свойства из множества определенных в разделе 4.2.1 документа [4]. Защита информации в автоматизированных системах [4, раздел 4.1.7] – определяется как деятельность предотвращающую или усложняющую возможность реализации угроз. Необходимо подчеркнуть, что законодатель изменил способ подачи определения, пропали признаки информации, т.е. в определениях не хватает единства.

В РФ термин защита информации [7, раздел 6] деятельность по предотвращению утечки информации, несанкционированно и преднамеренного воздействия на защищаемую информацию. Информационная безопасность в [8] определяется как состояние защищаемой информационной среды общества, государства. Отметим, что данные определения даны в едином духе. Определение защиты информации в автоматизированных системах, данное в Законах Украины, соответствует им. Но далее в разделе 3.1 [7] появляются термины защита информации <эсвойства информации>. Опять несколько размытые связи. Отметим, что в перечисленных определениях терминов не хватает единства.

Обратимся к определению информационной безопасности [9], ИБ - обозначает защиту информацию и информационных систем от неавторизированного доступа, использования, обнаружения, искажения, уничтожения, модификации. ИБ обеспечивает доступность, целостность и конфиденциальность информации.
Для построения системы информационной безопасности используется стандарт [10], который закрепляет использования тройки признаков CIA (конфиденциальность, целостность, доступность). Однако существуют и другие точки зрения, так Донн Паркер предложил расширить модель CIA [11], добавив обработку и управление.
Автор предполагает, что Национальное законодательство могло формироваться под влиянием законодательства других стран. В разное время, разные авторы использовали различные подходящие фрагменты, что и привело к различным формулировкам.

В работе слова информационная безопасность будет характеризовать состояние, при котором сохраняются 3 основные свойства информации: конфиденциальность, целостность, доступность информации. Защита информации – процесс, направленный на обеспечение конфиденциальности, целостности и доступности информации. Успешность обеспечения этих свойств характеризует эффективность деятельности - защиты информации и качество построенной системы информационной безопасности.
Доступность ресурса – основная задача web-сервиса.

Характерной чертой работы web-сервисов (в отличии информационных системы других отраслей) является приоритетное требование обеспечения доступности, меньше целостности, еще меньше конфиденциальности. Следовательно, часть подходов ориентированных на обеспечении работы информационных систем других отраслей (государственные органы, где приоритетным направлением является конфиденциальность, и её обеспечение делается в ущерб доступности) требуют пересмотра.

Актуальной становиться задача: обеспечить бесперебойную доставку целевого продукта и гарантировать целостность данных при обмене.
Доступность ресурса обозначает возможность своевременного и безотказного получения доступа к ресурсам [4, раздел. 4.2.7]. В работе [34, с. 7] предлагаются методики по оценке максимального времени ответа. Доступность ресурсов предполагает обеспечение качества обслуживания QoS [12].
Потеря доступности приносит убытки ресурсу, вне зависимости от причины отказа:
- некорректный расчет рабочей нагрузки при проектировании системы;
- логическая ошибка в пограничном состоянии;
- проведение DDoS (DoS) атак;
- выполнение действия для реакции системы и блокирования отдельных учетных записей.

На рисунке 1 представлена диаграмма распределения активности работы пользователей в течение суток. Различные линии и столбцы указывают на сбор усредненных данных в различные периоды для одного и того же сайта [13].

Рис. 1. Диаграмма распределения активности работы пользователей в течение суток.
На диаграмме видно, что периоды эффективной работы (синие столбцы): с 10 до 16 часов и с 19 до 23 часов, что соответствует рабочему (дневному) и домашнему (вечернему) периодам работы. Интернет мошенники могут использовать периоды наибольшей активности для проведения различных воздействий направленных на сервис и создания ситуации отказа в обслуживании. Такие потери приводят к финансовым потерям, ущерб имиджу и прочее. Отметим, что в таких ситуациях мало полезны теория массового обслуживания, процесс оптимизации структуры сети и сайта, расчет и проектирования нагрузки.

ТМО позволяет рассчитывать параметры штатного режима и констатировать (описывать) наступление пиков, а нам необходимо обеспечить эффективную работу web-сервиса именно в момент пиковых нагрузок. Аудитории web-сервиса меняется как по количеству, так и по структуре потребляемого целевого продукта, по структуре расположения, что затрудняет процесс оптимизации. Применение проектирования и новый расчет нагрузки требует новых затрат. Необходимо разрабатывать новые подходы способны вмешиваться на этапе возникновения перегрузок, пиков.

Актуальной задачей является обеспечение устойчивой работы web-сервиса в заданные периоды времени. Очевидно, что работа сервиса может обеспечиваться за счет отсечения некоторых агентов, изменения объема контента. Далее в работе будут предложены подходы по идентификации агента, сбору признаков положительно или отрицательно влияющих на предоставления доступа. А...

Добавить комментарий
2008-01-04 07:27:10 - 1. Интересно было бы посмотреть на расчеты... helgi
2008-01-03 16:06:07 - хорошая, информативная статья. Автору... owling
Всего 2 комментариев


Copyright © 2001–2008 Computer Crime Research Center

CCRC logo
Рассылка новостей


Rambler's Top100