Лядов Н.К.
Centavr-ural.narod.ru
Недекларированные возможности современных технологий
Недекларированные возможности - функциональные возможности технических средств и программного обеспечения, не описанные или не соответствующие описанным в документации, при использовании которых возможно нарушение конфиденциальности, доступности или целостности обрабатываемой информации. Реализацией не декларированных возможностей, в частности, являются программные закладки.
Развитие современной Российской экономики и экономики конкретного предприятия все больше зависит от информационных ресурсов и внедряемых технологий и как следствие - все острее встает вопрос обеспечения требуемого уровня информационной безопасности.
Информационная безопасность, подразумевает создание условий, при которых обеспечивается ознакомление и обработка информации без нанесения ущерба собственникам этих ресурсов.
В России за 2002 год зарегистрировано 3 тысячи 371 преступление в области компьютерной информации. Об этом сообщил в ходе Всероссийской конференции "Информационная безопасность России" начальник Главного управления специальных технических мероприятий МВД РФ Борис Мирошников.
Согласно статистике, среди всех зарегистрированных правонарушений в области компьютерной информации преобладают преступления, связанные с незаконным доступом к информационным ресурсам (около 90%) - "компьютерные взломы". В то же время Борис Мирошников отметил, что большая часть компьютерных преступлений остается скрытой и не регистрируется правоохранительными органами. При этом процентное соотношение раскрытых и не раскрытых правонарушений пока не установлено.
Внедрение высоких технологий в таких областях деятельности человека как телефонная и мобильная связь, система глобальной компьютерной связи INTERNET позволяет уверенно прогнозировать использование злоумышленниками в своих целях недекларированных возможностей современных технических средств таких как: мини-АТС, мобильные телефоны и программное обеспечение.
В мини-АТС - это возможность незарегистрированного абонента телефонной сети дистанционно контролировать акустику помещения, в котором установлен системный телефон или прослушивание телефонного разговора любого абонента телефонной станции.
Известны случаи, когда злоумышленники успешно использовали недекларированные возможности некоторых мини-АТС (сервисные функции не отраженные в инструкциях по эксплуатации и программированию), для прослушивания разговоров руководителей конкурирующей фирмы: генерального директора и его заместителей через микрофоны системных телефонов (SPEAKERPHONE SYSTEM). Злоумышленники воспользовались тем, что мини-АТС не проходила проверку, до ее приобретения, на наличие недекларированных сервисных функций и кроме того не контролировался сам процесс подключения абонентов, что в конечном счете и привело к такому логическому результату.
В последнее время системы сотовой связи стандарта GSM стали активно использоваться в качестве канала оповещения охранными системами различного назначения. При этом используются такие функции как: дистанционное прослушивание охраняемых объектов, управление исполнительными устройствами и другие. В качестве оконечных устройств охранных систем (оповещателей) применяются обыкновенные мобильные телефоны и персональные компьютеры. Проблема состоит в том, что используя персональный компьютер, мобильный телефон и специальное программное обеспечение возможно создание системы, которая кроме выполнения основных функций охраны без особых проблем может быть применена для контроля трафика связи, а значит и телефонного разговора, в том числе и определения места нахождения конкретного абонента.
Подтверждением этим предположениям служат многочисленные предложения ряда фирм о поставке скремблеров для защиты от прослушивания мобильных телефонов стандарта GSM, блокираторов мобильных трубок и систем связи, а также и других устройств защиты от несанкционированного контроля телефонных разговоров .
Более того, в настоящее время активно обсуждается грандиозный проект создания федеральной сети конфиденциальной сотовой связи стандарта GSM. Основными потребителями услуг этой связи станут сами спецслужбы и государственные ведомства. Скорее всего, сеть будет создана на базе инфраструктуры одного из сотовых операторов "большой тройки”.
Утечки персональных данных, которые приняли в России характер эпидемии, всего лишь одна из многих опасностей, связанных с информационной безопасностью граждан. И надо отметить, что ситуация в этой области с каждым днем ухудшается.
Однако публикации персональных данных граждан - это только начала неизбежного процесса с которым столкнулась Россия.. События в области информационной безопасности развиваются стремительными темпами. То, что раньше составляло сюжетные коллизии киберпанковских фильмов, сегодня неумолимо становится нашей суровой реальностью. Так, совсем недавно в электронных СМИ прошла информация о задержании в Москве очередной банды вымогателей. Это сообщение не заслуживало бы внимания, если б не оригинальные технологии, при помощи которых бандиты "разводили" покупателей дорогих автомобилей. Данные на недавно купленную машину вносились в базу угнанных автомобилей, о чем "доброжелатели" сообщали новоиспеченному владельцу. После этого поступало предложение, от которого нельзя было отказаться: за некоторую мзду предлагалось соответствующую запись из базы исключить. Заметим, что информационная база, с которой производились соответствующие манипуляции, была не копией на CD, а оригиналом. В процессе следствия выяснилось, что в состав банды входили имеющие доступ к этой базе сотрудники правоохранительных органов.
Как известно, чем проще доступ в Сеть, тем хуже ее информационная безопасность, поэтому с полным основанием можно сказать, что изначальная простота доступа в INTERNET - хуже воровства, так как пользователь может даже и не узнать, что у него были скопированы - файлы и программы, не говоря уже о возможности их порчи и корректировки.
И совсем недавний пример. В одном из банков Тулы 30 января 2003 г. со счета частного лица через INTERNET были сняты 19 тысяч долларов. Как сообщили в УВД Тульской области, это не первый случай взлома банковских компьютерных сетей в Туле. Специалисты, занимающиеся расследованием компьютерных преступлений, отмечают, что современный социальный портрет хакера – это молодой человек, в возрасте от 14 до 30 лет, чаще всего студент и то, что в последнее время уровень "мастерства" хакеров значительно вырос и перешел из стадии “любителей” в “профессионалы’ и то, что это отличные специалисты по недекларированным возможностям программного обеспечения. Если раньше внимание хакеров было обращено на западные фирмы, то сейчас наблюдается резкий интерес к работе Российских фирм, занятых в сфере электронной торговли и банковского бизнеса.
Анализ российской прессы последних лет показывает, что вопросам обеспечения информационной безопасности уделяется очень много внимания. Описываются различные технологии, рассказывается о новых продуктах и решениях и т.д. Но к изменению существующей ситуации это не приводит. Компании и фирмы как не использовали средства защиты, так и не используют их до сих пор. При этом если спросить любого грамотного технического специалиста, нужно ли обеспечивать информационную безопасность, то он однозначно ответит утвердительно. В чем же скрыт секрет такого парадокса ?.
Для одних первой задачей является предотвращение утечки информации (маркетинговых планов, перспективных разработок и т.д.) конкурентам. Другие могут пренебречь конфиденциальностью своей информации и сосредоточить свое внимание на ее целостности.
Например, для банковских учреждений важно в первую очередь обеспечить неизменность обрабатываемых платежных поручений, чтобы злоумышленник не смог несанкционированно дописать в платежное поручение еще один нолик или изменить реквизиты получателя. Для третьих компаний на первое место поднимается задача обеспечения доступности и безотказной работы информационных систем компании. Расставить такого рода приоритеты можно только в результате анализа деятельности компании.
С чего начинается стандартное решение этого вопроса, - это физическая защита. Типовой набор средств физической защиты - это системы контроля доступа, охранные видеокамеры, датчики, системы сигнализации и т.п. Все это приобретается и устанавливается в большом количестве. Однако когда дело доходит до информационной безопасности, то руководство скептически относится к средствам, ее реализующим. Если турникет, видеокамеру или огнетушитель можно потрогать руками, и целесообразность их применения видна невооруженным взглядом, то применение различных систем защиты информации (систем обнаружения атак, систем анализа защищенности и т.д.) необходимо очень тщательно обосновывать. Связано это с тем, что мир физической безопасности понятен любому человеку, в т.ч. и руководству компании. Однако, как только речь заходит об информационных технологиях, то со стороны руководства сразу же возникает непонимание. И связано это с тем, что технические специалисты (которым не надо объяснять необходимость средств защиты) и руководство компании говорят на разных языках. Первые оперируют техническими понятиями, а вторые - понятиями экономическими.
По сравнению с физической безопасностью компьютерная безопасность находится еще в младенчестве. С каждым новым достижением в области информационных технологий появляются новые аспекты обеспечения информационной безопасности. При этом у уже существующих решений появляются новые грани, на которые приходится смотреть под новым углом зрения. Физическая защита - относительно статическая область, состоящая из систем разграничения доступа, систем сигнализации и, возможно, оборудования для наблюдения, позволяющих идентифицировать и предотвратить физическое вторжение в защищаемую область. В свою очередь, компьютерная безопасность ориентирована не на физический мир, а на киберпространство, где преступники должны быть определены только при помощи серии нулей и единиц. Все это приводит к непониманию со стороны руководства в необходимости приобретения различных средств защиты. И это несмотря на то, что за последний год число компьютерных преступлений возросло на порядок. И ущерб, нанесенный в результате несанкционированных компьютерных посягательств, измеряется миллионами долларов. При этом злоумышленник может находиться за сотни километров от своей жертвы, в т.ч. и другой стране.
Если злоумышленник для несанкционированного проникновения в здание может подделать пропуск (в виртуальном мире подделать адрес) или пролезть через окно (в виртуальном мире через модем), то никакой охранник или турникет не защитит Вас от этого.
Другой не менее распространенный пример. В каждой организации есть пользователи, обладающие практически неограниченными правами в сети. Это сетевые администраторы. Они никому неподконтрольны и могут делать в сети практически все, что угодно. Как правило, они используют свои неограниченные права для выполнения своих функциональных обязанностей. Но представьте на минуту, что администратор чем-то обижен. Будь-то низкой зарплатой, недооценкой его возможностей, местью и т.п. Известны случаи, когда такие обиженные администраторы "портили кровь" не одной компании и приводили к очень серьезному ущербу.
И тут на первый план борьбы с возникающими угрозами и со злоумышленниками, выходит незаменимый опыт работы специалистов по информационной безопасности и защите информации. Он предполагает знание нормативных документов, регламентирующих деятельность по защите информации, технических и программных средств и систем, административного управления безопасностью информации.
Без всестороннего комплексного подхода, который устанавливает единую политику безопасности и строгий текущий контроль, существенно снизить сетевые риски практически невозможно. Постоянное развитие информационных технологий вызывает появление целого ряд новых проблем, которые должны оперативно фиксироваться и решаться специалистами по информационной безопасности.
Как минимум, эффективная система обеспечения информационной безопасности предполагает наличие хорошо подготовленного, тренированного и оплачиваемого персонала, который: твердо придерживается стандартизованного подхода к обеспечению безопасности, описанного в документах, объединенных под общим названием "политика безопасности" или “концепция безопасности”^;
внедряет процедуры и технические средства защиты^;
проводит постоянный и периодический контроль подсистем аудита, обеспечивающих анализ потенциальных атак и злоупотреблений в корпоративной сети.
Только в этом случае будет обеспечена безотказная работа автоматизированной системы управления организацией, предприятием, компанией или фирмой.
^macro[showdigestcomments;^uri[];Недекларированные возможности современных технологий]