Сергей Аврин

Сегодня, когда на радиорынках запросто можно купить CD-ROMы с вполне «боевыми», по оценке ФАПСИ, программами «взлома» систем защиты компьютерных сетей, когда компьютерные злоумышленники организуют свои страницы в Интернете, издают электронные журналы и проводят электронные конференции, где обмениваются опытом, преуменьшить опасность компьютерных преступлений нельзя, тем более, что на Руси, как известно, медленно запрягают, да быстро ездят, а таланты российских интеллектуалов уже известны во всем мире. И чтобы «дело Левина» не жило и не побеждало, банкам уже теперь следует уделять самое пристальное внимание вопросам обеспечения защиты от компьютерных злоумышленников.

В силу этого «глазами хакера» в рамках данного семинара на сети пришлось посмотреть сотрудникам Института криптографии, связи и информатики (ИКСИ) Академии ФСБ, а также одному из сильнейших в России специалистов по обеспечению сетевой безопасности Андрею Крючкову из фирмы «Кварта-Технологии», и надо сказать, что его участники услышали для себя много поучительного.

Что говорит Закон
В российском законодательстве к собственно компьютерным преступлениям отнесены только действия, объектами посягательства которых становится информация, которая хранится и обрабатывается компьютерами или компьютерными сетями. В то же время на практике к ним часто относятся и деяния, при которых компьютер или компьютерная сеть становятся средством совершения «традиционных» преступлений: хищений, махинаций, подлогов и т. п.

В УК РФ, введенном в действие с 1 января 1997 г., есть специальная глава «Компьютерная преступность», включающая три статьи, посвященные посягательствам на компьютерную информацию: в ст. 272 «Преступления в сфере компьютерной информации» и ст. 274 «Нарушение правил эксплуатации ЭВМ, систем ЭВМ, или их сетей» речь идет об охране информации ограниченного доступа, имеющей специальный законодательно установленный статус (государственная тайна, персональные данные и коммерческая тайна), а в ст. 273 -- о разработке, использовании и распространении вредоносных программ.

По мнению Александра Косовца (юрфак МГУ), ст. 274 может помочь службам безопасности банков в профилактике правонарушений со стороны сотрудников банков: разработка и доведение до сведения сотрудников правил эксплуатации компьютерных систем в банке с одновременным предупреждением о возможном наступлении за их нарушение уголовной ответственности в сочетании с другими административными мерами могут предупредить возможные попытки этих лиц использовать свое служебное положение во вред банку.

В то же время, как заметил начальник учебно-научного комплекса Московского института (МИ) МВД РФ Анатолий Овчинский, хакерство в чистом виде (т. е. несанкционированное проникновение в чужую информационную систему с целью ознакомления с информацией без причинения ей вреда) согласно действующему УК уголовной ответственности не подлежит, в отличие, например, от проникновения в чужое жилище без последствий для содержимого жилища, осуществленное против воли его владельца. Кроме того, как выяснилось, в юридической практике хранящаяся в электронном виде информация в суде в качестве доказательства ни в какой форме не используется, поэтому уголовному преследованию за манипуляции с информацией подвергнуться практически нельзя.

«Поберегись!»
По данным ГИЦ МВД России, доля компьютерных преступлений в общем числе преступных посягательств в финансово-кредитной сфере России (к этим преступлениям относятся мошенничества, совершаемые с использованием как компьютерной техники, так и поддельных пластиковых карточек) в 1997 г. составила 0,02%. В настоящее время расчеты с использованием электронных платежей осуществляют уже более 2 тыс. коммерческих банков и их филиалов, и преступления, совершаемые путем несанкционированного доступа к их банковским базам данных через телекоммуникационные сети, получают все большее распространение: число уже выявленных финансовых преступлений, совершенных с использованием электронных средств доступа, превысило сотню, а размер безвозвратно понесенного ущерба перевалил за 20 млрд неденоминированных рублей.

В истекшем году органами МВД было выявлено 54 случая неправомерного использования пластиковых карточек с суммарным ущербом более 1,7 млрд руб. и 15 преступлений, связанных с незаконным переводом средств на сумму 6,3 млрд руб. (при этом мошенничества, совершенные посредством пластиковых карточек, были зафиксированы в 12 регионах России, а преступления с использованием компьютерных систем -- в трети ее субъектов). Например, в Москве были пресечено несколько преступлений, в одном из которых преступникам удалось, использовав модем и ставший известным им код идентификации пользователя, перевести средства на сумму 2 млрд. руб. из филиала одного из банков сначала в его головной офис, а затем в другой коммерческий банк, откуда они попытались снять их по фальшивому платежному поручению. В другом преступлении экономист одного из московских банков сумел путем несанкционированного входа в компьютерные сети электронных платежей банка, по которым происходило зачисление и списание его валютных средств по корреспондентскому счету в Bank of New York (США), осуществить перечисление более 300 тыс. долл. США на счет московского представительства одной из зарубежных фирм и с помощью соучастников обналичить их.

«Классическое» хищение денежных средств путем направления пользователем электронной системы платежей «Клиент-Банк» подложного платежного поручения было совершено помощником главного бухгалтера одной из коммерческих фирм, в обязанности которого входила подготовка на компьютере платежных поручений. Преступник, воспользовавшись дискетой с электронными подписями распорядителей кредитов, составил фиктивное платежное поручение и незаконно перевел 3,2 млн. долл США с валютного счета фирмы на заранее открытый по фальшивым документам другой валютный счет, откуда они затем были переведены в один из коммерческих банков США.

Повышается интерес преступников и к электронной торговле в Интернете. Анализ, выполненный сотрудниками ГУЭП МВД России с участием службы безопасности одного из крупных банков Москвы показал, что только за один месяц в нем пресекается более 200 попыток оплаты товаров через Интернет по фиктивным пластиковым карточкам на сумму около 20 тыс. долл. США.

По мнению начальника учебно-научного комплекса МИ МВД России Анатолия Овчинского, среди основных тенденций развития компьютерной преступности в банковской сфере можно выделить следующие:

принятие ей группового характера и срастание «обычной» организованной преступности с банковской «беловоротничковой»;
продолжающийся рост удельного веса компьютерных преступлений и материального ущерба от них в общей доле материальных потерь в финансовом секторе и доли компьютерных мошенничеств, совершенных с использованием систем удаленного доступа;
рост числа трансконтинентальных компьютерных преступлений и разнообразия применяемых компьютерных технологий в преступной деятельности;
сохраняющаяся высокая латентность компьютерных преступлений, имеющая и субъективную сторону: нежелание банковских структур взаимодействовать с правоохранительными органами (анкетирование руководителей и сотрудников служб безопасности российских банков показал, что к этому не готовы более 80% респондентов, опасаясь ухудшения имиджа банка).

Кто такие «хакеры»
Специалисты, профессионально занимающиеся противодействием компьютерным преступлениям, совершаемым с помощью телекоммуникационных сетей, подразделяют злоумышленников на хакеров, преступников и вандалов. «Классические» хакеры, как правило, заинтересованы в самом факте прорыва защиты, а не в получении финансовой выгоды (это некий вызов определенной организации или обществу в целом), в то время, как профессиональные преступники, наоборот, ставят своей целью нанесение финансового ущерба, а вандалы характеризуются целенаправленным гневом в отношении определенной организации или всего общества.

Обобщенный портрет «классического» хакера-одиночки нарисовал Анатолий Комиссаров (экспертно-криминалистический центр МВД): чаще всего это лицо мужского пола от пятнадцати до сорока пяти лет (в России чаще всего до двадцати пяти) без уголовного прошлого, обладающее либо очень большим, либо, наоборот, очень маленьким (дилетант) опытом работы с компьютером. Психологи утверждают, что хакер -- это почти всегда очень яркая, мыслящая личность, способная к принятию ответственных решений и нетерпимая к насмешкам и потере социального статуса, и в то же время он очень трудоспособен и старателен (чаще всего скромный, незаметный труженик: любит раньше всех приходить на работу и оставаться после после ее окончания).

В то же время, как говорит и зарубежная, и отечественная практика хакеры -- профессиональные преступники в одиночку никогда не работают и, в отличие от «классических» хакеров, готовят свои акции очень тщательно.

Характерные способы совершения хакерских взломов сетей
Как считают специалисты, российские «хакерские» преступные группировки ни в чем не уступают зарубежным, и их характеризует высокая техническая оснащенность и достаточно высокий интеллектуальный уровень. Хакеры -- профессиональные преступники, выполняющие атаку на банковскую систему, хорошо знают телекоммуникационные и расчетно-платежные технологии и работают так, что универсальную 100%-ную защиту против них построить весьма сложно.

Они практически не используют очень изощренных алгоритмов атак (чем сложнее алгоритм, тем выше вероятность ошибок и сбоев при его реализации), никогда не атакуют систему под своим именем или со своего сетевого адреса и заранее продумывает порядок действий на случай неудачи (если атака не удалась, они пытаются замести следы, если это невозможно -- стараются оставить ложный след путем очень грубой и заведомо неудачной атаки системы с другого сетевого адреса).

В 1996 г. американским Computer Security Institute на основании исследования, проведенного им по заданию Международной группы по компьютерным преступлениям ФБР США, был составлен «Обзор компьютерной безопасности и преступлений», из которого вытекает, что наиболее часто используемыми хакерами методами атак и диверсий являются следующие:

подбор паролей, ключей и другой идентификационной или аутентификационной информации (brute-force) -- 13,9%;
подмена IP-адресов (IP-spoofing) -- метод атаки, при котором злоумышленник подменяет IP-адреса пакетов, передаваемых по Интернету или другой глобальной сети, так, что они выглядят поступившими изнутри сети, где каждый узел доверяет адресной информации другого -- 12,4;
инициирование отказа в обслуживании (denial of service) -- воздействия на сеть или отдельные ее части с целью нарушения порядка штатного функционирования -- 16,3%;
анализ трафика (sniffer), т. е. его прослушивание и расшифровка с целью сбора передаваемых паролей, ключей и другой идентификационной или аутентификационной информации -- 11,2%;
сканирование (scanner) -- метод атаки с использованием программ, последовательно перебирающих возможные точки входа в систему (например, номера TCP-портов или телефонные номера) с целью установления путей и возможностей проникновения -- 15,9%;
подмена, навязывание, уничтожение, переупорядочивание или изменение содержимого данных/сообщений, передаваемых по сети (data diddling) -- 15,6%.
К другим типам было отнесено атак и диверсий 14,7%.

Как защищаться от хакеров
Несмотря на широкое обсуждение в общедоступных электронных конференциях слабостей компьютерных систем, в прессе отсутствуют публикации, посвященные обсуждению методик противодействия попыткам проникновения в защищенные системы и действий администраторов по ликвидации последствий несанкционированного доступа. Естественно, что такое положение не может привести к сокращению их числа. Достоинством данного семинара явилось как раз то, что выступления большинства его участников носили ярко выраженный практический характер и изобиловали практическими рекомендациями по организации защиты от действий хакеров.

Мне показалась очень ценной мысль преподавателя ИКСИ Академии ФСБ Вадима Проскурина о том, что в области защиты информации создалась парадоксальная ситуация: хотя все говорят, что защищаются именно от хакеров, при разработке схем защиты и политики безопасности администраторы в большей степени ориентируются не на модель злоумышленника, а на набор руководящих документов (в первую очередь это «Оранжевая книга» и набор документов Гостехкомиссии, во многом совпадающих с ней). Но некоторые требования «Оранжевой книги» уже безнадежно устарели, и одним из них является шестисимвольная длина паролей, вскрытие которых при оптимизации алгоритмов порождения ключей сегодня может быть осуществлено с использованием процессора Pentium-200 с технологией ММХ (она очень хорошо способствует этому) менее чем за сутки (в связи с этим следует иметь в виду, что реально защищаемая длина пароля составляет 9--11 символов).

В «Оранжевой книге» также ничего не сказано о возможностях использования шифровании и средств защиты от разрушающих программных воздействий (программных «закладок»).

Кроме того, следует иметь в виду, что поскольку документы пишутся для некоего усредненного случая, может оказаться, что описанная в них система защиты слишком сильна по отношению к конкретной защищаемой системе в чем-то одном (вспомним, что чем лучше система защищена, тем сложнее в ней работать пользователю, и он пытается обойти эту защиту) и слаба в чем-то другом. В силу этого защиту от хакеров следует строить именно с учетом их возможных действий, рассматривая указанные документы не как догму, а как информацию к размышлению.

В целом же считается, что надежная защита сетевого уровня АБС может быть обеспечена только в случае применения следующих мер:

Максимально возможная изоляция сети от внешнего мира (физическое отсечение платежных систем от внешних открытых сетей, построенных по принципам Интернет-технологии, обязательно). Однако, поскольку банку трудно совсем изолироваться от внешней среды и полностью перейти на внутренние корпоративные сети, на жестких дисках компьютеров, подключенных к Интернет, какая-либо значимая информация не должна храниться ни под каким видом (идеальная реализация такого компьютера -- бездисковая рабочая станция).

Использование защищенных сетевых протоколов. Пока еще мало кому известно о появлении нового протокола, относящего к семейству протоколов TCP/IP и получившего наименование IPv6, который, кроме улучшенного управления маршрутизацией и доставкой пакетов, позволяет за счет применения алгоритмов аутентификации и шифрования обеспечивать целостность и конфиденциальность передаваемой информации (при этом важно, что соответствующие продукты на основе спецификации безопасности IPsec, входящей в стандарт IPv6, уже получают сертификаты ФАПСИ). В то же время следует иметь в виду, что в довольно популярном в банковской среде протоколе PPTP найдено уже шесть неустранимых недостатков, касающихся обеспечения безопасности.

Шифрование сетевого трафика, позволяющего отсечь действие такой угрозы, как перехват пакетов. При этом, однако, следует иметь в виду, что использование аппаратных средств шифрования (например, широко известных средств «Криптон-4» и «Криптон-5» и криптографического адаптера модели 4715 фирмы IBM), создавая иллюзию полной безопасности, на самом деле является паллиативом в силу того, что текстовые документы в них приходят по внешнему интерфейсу в открытом виде.

Использование процедуры ЭЦП для сетевых пакетов в качестве меры борьбы с угрозой навязывания пакетов и атаками, вызывающими эффект «Отказ в обслуживании». При этом ЭЦП должна обладать высокой криптографически стойкостью, подписываться должны все пакеты, а неподписанные пакеты -- игнорироваться.

Использование межсетевых экранов, задачей которых является защита сети пользователя от «плохих» воздействий.

Однако без организационных мер, к которым - кроме тщательнейшего продумывания организации системы защиты и политики безопасности, скрупулезной настройки всех элементов защиты, постоянного проведения мониторинга всей сетевой активности, трафика, системы безопасности, аудита и выработки рекомендаций по усилению системы защиты - необходимо отнести и постоянный действенный контроль за реализацией изданных распоряжений в области информационной безопасности (как показывает практика, особое внимание при этом следует уделять проблеме хранения паролей на рабочих местах), все технические ухищрения в области обеспечения безопасности могут оказаться бесполезными.