Глава 1. Теоретические аспекты развития информационных эпидемий в иткс

1.1. Информационные эпидемии как основная угроза безопасности информационно-телекоммуникационных сетей

Первенство в области создания информационного оружия занимает США. В 1996 г. министерством обороны США была принята «Доктрина борьбы с системами контроля и управления». В армии США созданы специальные подразделения и структуры управления для ведения информационной войны. До настоящего времени основными противниками в информационной войне США считало Россию и Китай, в настоящее время этот список постепенно расширяется с учетом изменения геополитической обстановки.

Так при проведении военных действий сил НАТО в Югославии разведывательная система «Echelon», основу которой составляет орбитальная группировка космических аппаратов радиоэлектронной разведки, применялась для слежки за президентом и другими государственными деятелями Югославии путем отслеживания информационного трафика на территории Югославии и за ее пределами. Эта система неоднократно задействовалась и на территории самих США и Европы для слежки за некоторыми сенаторами, политическими деятелями, журналистами, террористами, наркодилерами.

В открытой печати появились сведения, что в США в 2005 г. нормативные положения закона о помощи телекоммуникационных компаний правоохранительным органам под общим названием Communications Assistance for Law Enforcement Act (CALEA) дополнились правом контроля фактически за всеми сетями связи. В соответствии с этой программой производители в интересах спецслужб должны встраивать в сетевые устройства средства прямого «тайного» доступа к каналам связи. Особое внимание ФБР планирует уделить перехвату VoIP-переговоров и чатов, многие из которых ведутся по неформальным протоколам и встраиваются, например, в онлайновые игры. Поэтому разработчики соответствующих решений вынуждены работать в тесном сотрудничестве с правоохранительными органами. Операторы сетей связи и поставщики услуг должны выделять один или несколько постоянных каналов (так называемые фискальные каналы) для перехвата распространяемой по коммуникационным линиям информации и передачи ее компетентным органам. Спецслужбы добились права определения координат беспроводной трубки в реальном масштабе времени после окончания ими разговора и «прослушки» разговоров через цифровые АТС. В связи с этим в оборудовании импортного производства могут присутствовать программные и программно-аппаратные закладки, активизация которых приведет к открытию определенным абонентам запрещенных сервисов, захвату управления над оборудованием или выводу его из строя.

Решение современных проблем безопасности в информационной сфере неразрывно связано не только с обобщением и использованием накопленного опыта, но и с внедрением инновационных технологий, современных достижений науки и техники. Так не следует также сбрасывать со счетов и последние технологические новшества в области создания электронной компонентной базы (ЭКБ). Перечисленные группы изделий являются ключевыми и в значительной степени определяют не только технические и потребительские характеристики радиоэлектронной аппаратуры и систем, но и степень технологической и информационной безопасности. Например, известно, что уникальный идентификационный номер процессоров Intel, заявленный как средство защиты от незаконного копирования, между тем мог использоваться для контроля над информацией, циркулирующей в конкретном компьютере.

В начале 80-х СССР занимал на рынке ЭКБ третье место в мире после США и Японии. Основная причина заключалась в том, что не допускалось применение для военных и космических систем импортной элементной базы, при этом при создании таких систем создавалось до 70-75 % электронной промышленности. В настоящее время российская электронная промышленность значительно отстает от мирового уровня, а выпускаемая в настоящее время продукция неконкурентоспособна и не удовлетворяет современным требованиям. Доля импорта на внутреннем рынке ЭКБ выросла до 90%, а в ряде сегментов – до 100%. Поэтому с целью коренного перелома сложившейся ситуации. Программой развития электронной компонентной базы до 2025 г. предусматривается сокращение до минимума технологического разрыва между Россией и развитыми странами с последующим упрочением позиции России, как за счет создания собственной технологической базы, так и за счет международной кооперации в области разработки и производства перспективных изделий микроэлектроники. При этом военные технологии – основная причина открытия подобного производства в России. ВПК требует отечественной элементной базы на уровне современных зарубежных аналогов – военная промышленность должна работать на собственных микросхемах.

В соответствии с «Доктриной информационной безопасности Российской федерации» закупка органами государственной власти импортных средств информатизации, телекоммуникации и связи при наличии отечественных аналогов, не уступающих по своим характеристикам зарубежным образцам, является одной из угроз развитию отечественной индустрии информации, телекоммуникации и связи. Однако сегодня выполнение требований этого положения, а, следовательно, и решение в полном объеме вопросов ИБ в ИТКС различного назначения сопряжено с рядом проблем, а в некоторых случаях не представляется возможным.

Во-первых, в силу технологической отсталости России многие ИТКС строится на основе импортных технических и программных средств (например, производства Siemens, Cisco, Alcatel, Nortel). С одной стороны, это позволяет повысить качество обслуживания пользователей и предоставить им широкий перечень современных инфокоммуникационных услуг. Но с другой стороны, наличие в нем не декларированных и не выявленных возможностей может привести к серьезным последствиям.

Помимо проблем обеспечения ИБ в ИТКС при использовании импортных средств информатизации и связи, возникает так же ряд проблем, связанных с их эксплуатацией:

– отсутствие заинтересованности фирм-производителей в сертификации оборудования на соответствие требованиям защиты от разрушающих информационных воздействий (компьютерных атак) в соответствии с нормативными документами ЦБС ФСБ России. В большинстве случаев иностранные производители не предоставляют на экспертизу исходных текстов программного обеспечения;

– частая смена модельного ряда, приводит к прекращению технической поддержки снятого с производства оборудования и невозможности закупки запасных частей и комплектующих;

– обучение обслуживающего персонала и специалистов, сопряжено с рядом проблем, связанных с отсутствием полной технической документации на русском языке при существующей специфике реализованных программно-технических решений; высокой стоимостью и ограниченностью (лишь основные функции и манипуляции) курсов обучения в фирменных учебных центрах.

Кроме того, необходимо указать на тот факт, что в сетях операторов связи ЕСЭ России, у которых арендуются цифровые каналы и потоки для построения выделенных ИТКС, функционирующих для нужд органов государственной власти, обороны страны, безопасности и правопорядка, используется оборудование связи иностранного производства. Так, например, в транспортных сетях ЕСЭ России для построения сети синхронизации применяется аппаратура иностранных фирм-производителей, таких как OSCILLOUQARTZ (Швейцария), SYMMETRICOMS (США), GILLAM-FEI (Бельгия). При этом для поддержания сетевой синхронизации допускается применение приемников сигналов глобальной системы позиционирования (GPS). Здесь необходимо отметить, что для цифровых сетей связи вопросы обеспечения синхронизации являются ключевыми, так как в случае пропадания синхронизации предоставление услуг связи невозможно (нет синхронизма – нет связи). По этой причине требует изучения вопрос построения для ИТКС собственной сети синхронизации на базе отечественного оборудования.

Во-вторых, отечественное ИТ-сообщество не готово немедленно перейти к использованию критериев и методик оценки механизмов безопасности инфокоммуникационных технологий, устанавливаемых международными (ISO/IEC) и национальными стандартами, а также руководящими документами Федеральной службы по техническому и экспортному контролю (ФСТЭК России). Многие отечественные производители не имеют необходимой научной и производственной базы и занимаются лишь сборкой изделий из иностранных комплектующих (включая отдельные блоки и программное обеспечение). Известно, что в таком оборудовании не предусмотрены механизмы защиты от разрушающих информационных воздействий по информационным каналам и каналам управления, ввиду наличия в аппаратуре импортной элементной базы (до 98%) и программного обеспечения, не прошедшего соответствующую сертификацию и специальные исследования.

В-третьих, имеются определенные трудности в создании и производстве отечественных средств защиты (межсетевых экранов, антивирусных программ и других средств защиты информации). Например, если межсетевые экраны для компьютерных сетей уже научились производить, то аналогичные устройства для УПАТС, которые значительнее сложней, – нет. Данные устройства производятся зарубежными фирмами и, как правило, в Россию практически не поставляются (за исключением израильской фирмы Ectel). Производство аналогичных сертифицированных устройств в России фактически отсутствует. То же самое можно сказать и про антивирусное программное обеспечение, которое является неотъемлемой частью надежной системы информационной безопасности ИТКС.

В-четвертых, сложившаяся ситуация усугубляется тем, что в России по мнению ряда специалистов нет национального центра, который смог бы досконально проверить характеристики того или иного оборудования и удостоверить безопасность различных программных продуктов, которые рекламируется и предлагаются иностранными фирмами на отечественном рынке телекоммуникаций. До настоящего времени не разработан процесс сертификации компьютерных систем, подтверждающий обеспечиваемую безопасность. Процесс сертификации длителен, а это приводит к тому, что сертифицированные продукты обычно отстают от передовых разработок на несколько лет. По этой причине чрезвычайно трудно, почти невозможно гарантировать, что в ИТКС будет обеспечен требуемый уровень ИБ. В связи с этим требуют постоянного совершенствования нормативно-методическое обеспечение и техническая база проведения специальных работ с целью проверки защищенности как отдельных устройств и программ, так и систем связи и автоматизации в целом. Назрела необходимость разработки и внедрения специализированных программных средств для выполнения как активного, так и пассивного тестирования систем защиты.

Таким образом, современная государственная политика России, в том числе, военная, формируется в сложных условиях геополитической конкуренции, глобализации и борьбы в информационной сфере. Информация выступает одним из главных факторов, влияющих на развитие совре­менного общества. Информация, поддерживающие ее процессы, ИТКС являются основой деятельности всех властных структур и государственнозначимых организаций. В условиях растущих угроз информационной войны и информационного терроризма, постоянного совершенствования средств для их реализации, а также агрессивной политики иностранных фирм-производителей в части навязывания своих технологий, средств информатизации и связи на отечественном рынке, следует самым тщательным образом подходить к вопросу обеспечения ИБ в ИТКС. Наличие недекларированных возможностей в ЭКБ и программном обеспечении оборудования делает ИТКС уязвимыми для внешних и внутренних воздействий. Поэтому, внедряя и эксплуатируя импортные средства информатизации и связи в ИТКС, не следует исключать возможность НСД к конфигурационным базам данных и системным ресурсам, получения информации о трафике, с целью его дальнейшего анализа, а также возможности нарушения работы систем связи, информационного обеспечения и управления вплоть до полного их отключения.

История появления и эволюции компьютерных вирусов, сетевых червей, троянских программ представляет собой достаточно интересный для изучения предмет. Зародившись как явление весьма необычное, как компьютерный феномен, в 1980-х годах, примитивные вирусы постепенно превращались в сложные технологические разработки, осваивали новые ниши, проникали в компьютерные сети. Идея вируса, заражающего другие программы и компьютеры, за двадцать лет трансформировалась в криминальный бизнес. Будучи изначально творчеством вирусописателей-исследователей, компьютерные вирусы стали оружием в руках интернет-преступников.

Одновременно происходило зарождение и становление индустрии антивирусной. Появившись в конце 1980-х, первые антивирусные разработки получили большую популярность, через 10 лет став обязательным к использованию программным обеспечением. Программисты, увлечённые разработкой антивирусных программ, становились основателями антивирусных компаний, небольшие и совсем мелкие компании выросли, некоторые из них стали гигантами индустрии. Конечно, повезло не всем — многие по разным причинам «сошли с дистанции» или были поглощены более крупными компаниями. Но антивирусная индустрия всё еще продолжает формироваться, и её, скорее всего, ждут большие изменения.

История появления и эволюции компьютерных вирусов, сетевых червей, троянских программ представляет собой достаточно интересный для изучения предмет. Зародившись как явление весьма необычное, как компьютерный феномен, в 1980-х годах, примитивные вирусы постепенно превращались в сложные технологические разработки, осваивали новые ниши, проникали в компьютерные сети. Интересен тот факт, что самые первые вирусные программы создавались для борьбы с пиратами. Например, владельцы собственного программного бизнеса, продавали вместе с программами вредоносную начинку, которая начинала действовать при установке нелегальной копии программы на компьютер. Идея вируса, заражающего другие программы и компьютеры, за двадцать лет трансформировалась в криминальный бизнес. Будучи изначально творчеством вирусописателей-исследователей, компьютерные вирусы стали оружием в руках интернет-преступников.

Рассмотрим более подробно развитие вирусов. Первые компьютерные вирусы появились еще в 70-х годах, но они не имели целью разрушить систему или стереть все файлы с жесткого диска. Только в 2003 году убытки компаний, которые теряли информацию через современные вирусы, составили 55000000000 долларов. На сегодняшний день известно около 50 000 вирусов . Мы подготовили для тебя список самых известных компьютерных вирусов за всю историю человечества.

«Creeper»- одним из первых вирусов, которые начали появляться в начале 1970 — х годов. Его создателем принято считать Боба Гомаса , сотрудника компании «Bolt Beranek and Newman». Вирус умел перемещаться между серверами и оставлять на мониторе сообщение « I’M CREEPER … CATCH ME IF YOU CAN » («Я Криппер … Поймай меня, если сможешь». Никаких шпионских и деструктивных действий этот вирус не выполнял, соответственно, был достаточно безопасным.

«Elk Cloner» создал 15-летний парнем по имени Ричард Скрента с Питтсбурге в 1982 . Он заражал операционную систему DOS для Apple II, которая была записана на гибких дисках, и таким образом распространялся. После каждого пятидесятого загрузки на экране появлялся текст, который переводится так: «Elk Cloner — это уникальная программа. Она проникнет на все ваши диски и профильтрует все ваши чипы. О да, это Cloner. Он прилипнет к вам, как клей. Программа может изменить даже RAM. Впустите в себя Cloner ». «Elk Cloner» не мог нанести очень большой вред компьютеру, но мог испортить код загрузки на дисках с другими системами.

«Brain» разработали два брата, которые основали собственную фирму по разработке программного обеспечения. Вирус был предназначен для того, чтобы наказать тех, кто использует нелицензионное программное обеспечение на территории Пакистана, но случайно, выпустив этот вирус на волю, они заразили более 18 000 ПК только в США. Для создания «Brain» впервые была использована стелс — технология. Когда кто-то пытался прочитать зараженный сектор, вирус автоматически подставлял «здоровый» оригинал.

«П ‘ Пятница 13» или «Error-404» - именно такое символическое название носил вирус, который активировался именно в этот день и удалял все данные с жесткого диска. Никаких антивирусных программ тогда еще не существовало, что вызвало настоящую панику у населения.

«Июнь ‘ как Моррисона» в 1988 году напугал весь мир. Он смог вывести из строя всю глобальную сеть. Эпидемия поразила 6 000 узлов ARPANET . Такой сбой в системе привел к убыткам в размере 96000000000 долларов США. Создателем этого вируса был Роберт Моррисон , которого осудили на 3 года условно и выплате штрафа в размере 10 тысяч долларов США.

«Win9x.CIH» , другое название которого - « Чернобыль », создал тайваньский студент Чэнь Ынха 1998 года. Этот вирус стал самым разрушительным за все предыдущие годы. Вирус попадал в систему и ждал до 26 апреля. Далее он стирал всю информацию на жестком диске. В некоторых случаях вирус вызывал замену микросхемы или материнской платы. Этот вирус поразил около 500 000 компьютеров по всему миру.

«Melissa» - первый почтовый червь, который был разработан в 1999 году. Он поражал файлы WS Word, искал контакты MS Outlook и отправлял копию себя первым 50 контактов из списка. Именно через этот вирус компаниям Microsoft и Intel пришлось на время заблокировать серверы корпоративной почты. Ущерб от него составляли 100 000 000 долларов.

«I LOVE YOU»- этот вирус был разработан в 2000 году и имел аналогичный с «Melissa» принцип действия. На почту приходило письмо, который назывался «I Love You». В письмо был вложен файл, который был заражен червем. Вирус воровал все пароли с компьютера и убытки от него составили примерно 5500000000долларов.

«Sasser» изобрел немецкий школьник Свен Яшан в 2004 РОЦ и. Фактически, никакого вреда этот вирус не причинял, просто перенагружал компьютер. Такие перезагрузки были причиной блокировки спутниковой системы во Франции и отмены авиарейсов в Британии. Вирус поразил около 250 000 компьютеров во всем мире. Компания Microsoft предложила награду в размере 250 тысяч долларов за информацию о том, кто создал этот вирус.

«Conficker» является одним из наиболее опасных вирусов настоящего. Впервые его увидел свет еще в 2008 году . Сфера деятельности этого вредителя — Microsoft Windows. Вирус блокировал доступ ко всем сайтам антивирусов и обновлений Windows. В 2009 году вирус поразил 12000000 компьютеров в мире. Компания Microsoft обещала 250 000 тому, кто сообщит о создателе этого вируса.

Одновременно происходило зарождение и становление индустрии антивирусной. Появившись в конце 1980-х, первые антивирусные разработки получили большую популярность, через 10 лет став обязательным к использованию программным обеспечением. Программисты, увлечённые разработкой антивирусных программ, становились основателями антивирусных компаний, небольшие и совсем мелкие компании выросли, некоторые из них стали гигантами индустрии. Конечно, повезло не всем — многие по разным причинам «сошли с дистанции» или были поглощены более крупными компаниями. Но антивирусная индустрия всё еще продолжает формироваться, и её, скорее всего, ждут большие изменения.

Первые компьютерные вирусы создавались своими авторами исключительно с целью самоутверждения, с их помощью авторы пытались подтвердить собственные способности к созиданию компьютерных программ данного класса, поднимая собственную самооценку в случае успеха. Зачастую никакого другого функционала, кроме самокопирования, а иногда и вывода каких-либо сообщений шуточного характера, такие программы в себе не несли. Да, это мешало работать на зараженной системе, но речи об уничтожения пользовательской информации в результате заражения таким компьютерным вирусом совсем не шло. Позже злой гений вирусописателей дошел и до деструктивных действий по удалению на зараженной системе тех или иных файлов пользователя, а порой и ряда системных файлов, что приводило операционную систему в негодность. Пожалуй, венцом творения вирусописателей стал в своё время небезызвестный компьютерный вирус WIN.CIH, который в определенный момент времени вызывал повреждение материнской платы компьютера, записывая в BIOS некорректную информацию. Со временем число создаваемых компьютерных вирусов начало снижаться, отдавая пальму первенства троянским программам. Этому немало способствовал уход из индустрии большого количества начинающих вирусописателей (которые в большинстве своем – подростки) во всевозможные online игры. Кибер-криминал сегодня стал уделом профессионалов, имеющих целью своей деятельности получение прибыли.

В качестве основных путей размножения первых компьютерных вирусов были дискеты для переноса информации, намного позже их сменили CD диски, после чего компьютерные вирусы начали активно размножаться уже через сеть Интернет. На сегодняшний день встретить компьютерный вирус на просторах сети Интернет куда сложнее, чем наткнуться на ту же троянскую программу (троян). Пожалуй, основным способом размножения компьютерных вирусов на сегодняшний день являются популярные сменные носители – USB Flash диски (флешки) и DVD диски. И если на флешки компьютерный вирус может вполне записаться сам без участия пользователя, то на DVD диск попасть вирусу зачастую можно лишь в виде зараженных файлов, которые пользователь компьютера сам на диск и запишет вместе с остальной информацией.

Очень любят приукрашивать силу компьютерных вирусов голливудские режиссеры в своих фильмах про хакеров и просто компьютерных гениев. В некоторых фильмах удачно запущенный компьютерный вирус, сокрушает сеть Пентагона или крадет из банка сто миллионов долларов, попутно выводя на экран кучу графической информации о ходе своей работы. Что ж, оставим всё это на совести режиссеров, но заметим, что в реальности инциденты с компьютерными вирусами тоже случаются, но куда менее масштабные. В случае целеноправленной атаки на учреждение-жертву иногда у хакеров получается парализовать работу какой-либо системы атакуемой организации при помощи компьютерного вируса, но далеко не с той легкостью, с которой это зачастую показано в голливудских фильмах. Возможному триумфу предшествует долгая подготовительная работа, в ходе которой злоумышленник анализирует сильные и слабые стороны системы безопасности организации, выясняет наиболее удобные и возможные пути проникновения в компьютерную инфраструктуру организации и только потом уже использует специально созданный компьютерный вирус (троян) для своих целей. Сегодняшние компьютерные вирусы по своей сути имеют весьма много общего с троянскими программами (о троянах речь пойдет ниже). Большинство из компьютерных вирусов, которые можно встретить в дикой среде (in the wild), сегодня имеют четко ориентированную экономическую составляющую для своего создателя. Если раньше компьютерные вирусы в основном представляли для создателей чисто «спортивный интерес», то сегодня компьютерные вирусы дают лишний способ заработать своему автору, а порой являются и основным способом заработка… Мировой экономический кризис оставил без работы немало талантливых IT специалистов, которые начали искать себя «на другом поприще», обострив и без того непростую обстановку на антивирусном фронте. Вы спросите – а как же можно заработать с помощью компьютерного вируса? Что же, для этого сегодня вовсе не обязательно грабить банк – достаточно брать по чуть-чуть с каждого зараженного компьютерным вирусом ПК. Где-то добычей вирусописателя может стать аккаунт от яндекс.денег, где-то - учетные данные от используемой программы клиент-банк, а где-то и пароль от ICQ, за возвращение владельцу которго можно потребовать денег… Из наиболее распространенных компьютерных вирусов последнего времени стоит отметить Sality и Virut (по классификации Лаборатории Касперского). Оба этих компьютерных вируса несут в себе четко выраженную экономическую составляющую, вовлекаю зараженный компьютер в целую зомби-сеть, которая через Интернет может скрытно подчиняться своему хозяину (вирусописателю), рассылать спам или даже совершать DOS атаки на сервисы в сети Интернет. Фактически, глядя на компьютерный вирус Virut или Sality, мы сталкиваемся с трояном, дополненным способом размножения компьютерного вируса для пущей эффективности.

Система защиты информации, обрабатываемой с использованием технических средств, должна строиться по определенным принципам. Это обусловлено необходимостью противодействия целому ряду угроз безопасности информации.

Основным принципом противодействия угрозам безопасности информации, является превентивность принимаемых мер защиты, так как устранение последствий проявления угроз требует значительных финансовых, временных и материальных затрат.

Дифференциация мер защиты информации в зависимости от ее важности и частоты и вероятности возникновения угроз безопасности является следующим основным принципом противодействия угрозам.

К принципам противодействия угрозам также относится принцип достаточности мер защиты информации, позволяющий реализовать эффективную защиту без чрезмерного усложнения системы защиты информации.

Противодействие угрозам безопасности информации всегда носит недружественный характер по отношению к пользователям и обслуживающему персоналу автоматизированных систем за счет налагаемых ограничений организационного и технического характера. Поэтому одним из принципов противодействия угрозам является принцип максимальной дружественности системы обеспечения информационной безопасности. При этом следует учесть совместимость создаваемой системы противодействия угрозам безопасности информации с используемой операционной и программно-аппаратной структурой автоматизированной системы и сложившимися традициями учреждения.

Важность реализации этого принципа основана на том, что дополнение функционирующей незащищенной автоматизированной системы средствами защиты информации сложнее и дороже, чем изначальное проектирование и построение защищенной системы.

Программно-технические методы включают:

- защиту информации от несанкционированного доступа средствами проверки полномочий пользователей и обслуживающего персонала на использование информационных ресурсов;

- аутентификацию сторон, производящих обмен информацией (подтверждение подлинности отправителя и получателя);

- разграничение прав пользователей и обслуживающего персонала при доступе к информационным ресурсам, а также при хранении и предоставлении информации с ограниченным доступом;

- возможность доказательства неправомерности действий пользователей и обслуживающего персонала;

- защиту информации от случайных разрушений;

- защиту от внедрения «вирусов» в программные продукты;

- защиту баз данных различного уровня;

- выявление технических устройств и программ, представляющих опасность для нормального функционирования информационно-телекоммуникационных систем;

- применение криптографических средств защиты информации при ее хранении, обработке и передаче по каналам связи;

- подтверждение авторства сообщений с использованием электронной цифровой подписи информации.