Неформальная модель нарушителя в ас

Типичный компьютерный преступник - это не молодой хакер, использующий телефон и домашний компьютер для получения доступа к большим компьютерам. Типичный компьютерный преступник - это служащий, которому разрешен доступ к системе, нетехническим пользователем которой он является. В США компьютерные преступления, совершенные служащими, составляют 70-80 процентов ежегодного ущерба, связанного с компьютерами. Остальные 20 процентов дают действия нечестных и недовольных сотрудников. И совершаются они по целому ряду причин.

Определение 2. Нарушитель - это лицо, предпринявшее попытку выполнения запрещенных операций (действий) по ошибке, незнанию или осознанно со злым умыслом (из корыстных интересов) или без такового (ради игры или удовольствия, с целью самоутверждения и т.п.) и использующее для этого различные возможности, методы и средства.

Злоумышленником – это нарушитель, намеренно идущий на нарушение из корыстных побуждений.

Неформальная модель нарушителя отражает его практические и теоретические возможности, время и место действия и т.п. Для достижения своих целей нарушитель должен приложить некоторые усилия, затратить определенные ресурсы. Исследовав причины нарушений, можно либо повлиять на сами эти причины (конечно если это возможно), либо точнее определить требования к системе защиты от данного вида нарушений или преступлений.

В каждом конкретном случае, исходя из конкретной технологии обработки информации, может быть определена модель нарушителя, которая должна быть адекватна реальному нарушителю для данной АС.

При разработке модели нарушителя определяются:

• предположения о категориях лиц, к которым может принадлежать нарушитель;

• предположения о мотивах действий нарушителя (преследуемых нарушителем целях);

• предположения о квалификации нарушителя и его технической оснащенности (об используемых для совершения нарушения методах и средствах);

• ограничения и предположения о характере возможных действий нарушителей.

По отношению к АС нарушители могут быть внутренними (из числа персонала системы) или внешними (посторонними лицами). Внутренним нарушителем может быть лицо из следующих категорий персонала:

• пользователи (операторы) системы;

• персонал, обслуживающий технические средства (инженеры, техники);

• сотрудники отделов разработки и сопровождения ПО (прикладные и системные программисты);

• технический персонал, обслуживающий здания (уборщики, электрики, сантехники и другие сотрудники, имеющие доступ в здания и помещения, где расположены компоненты АС);

• сотрудники службы безопасности АС;

• руководители различных уровней должностной иерархии.

Посторонние лица, которые могут быть нарушителями:

• клиенты (представители организаций, граждане);

• посетители (приглашенные по какому-либо поводу);

• представители организаций, взаимодействующих по вопросам обеспечения жизнедеятельности организации (энерго-, водо-, теплоснабжения и т.п.);

• представители конкурирующих организаций (иностранных спецслужб) или лица, действующие по их заданию;

• лица, случайно или умышленно нарушившие пропускной режим (без цели нарушить безопасность АС);

• любые лица за пределами контролируемой территории.

Причиной совершения компьютерных преступлений может быть:

- личная или финансовая выгода;

- развлечение;

- месть;

- попытка добиться расположения кого-либо к себе;

- самовыражение;

- случайность;

- вандализм.

Можно выделить три основных мотива нарушений: безответственность, самоутверждение и корыстный интерес.

При нарушениях, вызванных безответственностью, пользователь целенаправленно или случайно производит какие-либо разрушающие действия, не связанные тем не менее со злым умыслом. В большинстве случаев это следствие некомпетентности или небрежности.

Некоторые пользователи считают получение доступа к системным наборам данных крупным успехом, затевая своего рода игру "пользователь - против системы" ради самоутверждения либо в собственных глазах, либо в глазах коллег.

Нарушение безопасности АС может быть вызвано и корыстным интересом пользователя системы. В этом случае он будет целенаправленно пытаться преодолеть систему защиты для доступа к хранимой, передаваемой и обрабатываемой в АС информации. Даже если АС имеет средства, делающие такое проникновение чрезвычайно сложным, полностью защитить ее от проникновения практически невозможно.

Всех нарушителей можно классифицировать следующим образом.

По уровню знаний об АС :

• знает функциональные особенности АС, основные закономерности формирования в ней массивов данных и потоков запросов к ним, умеет пользоваться штатными средствами;

• обладает высоким уровнем знаний и опытом работы с техническими средствами системы и их обслуживания;

• обладает высоким уровнем знаний в области программирования и вычислительной техники, проектирования и эксплуатации автоматизированных информационных систем;

• знает структуру, функции и механизм действия средств защиты, их сильные и слабые стороны.

Пример 1.

Как один бывший сотрудник организации (специалист сервис-центра, желающий отомстить за свое увольнение) организовал атаку на сеть организации, основываясьна знании структуры и функций сети и порядка ее использования.

Одним из средств организации взаимодействия между сотрудниками в компании был специальный почтовый адрес на почтовом сервере, который позволял тому, кто знал его, сразу послать сообщение большому числу пользователей во всей организации.

Неделей позже после увольнения злоумышленника, все сотрудники компании получили письмо из Интернета от адреса, который вроде бы принадлежал промышленной группе, в которую входила компания, и с которой шло активное взаимодействие по электронной почте. Если говорить конкретно, то казалось, что письмо послано президентом этой промышленной группы и было предназначено всем сотрудниками компании. В письме сообщалось, что документ, находящийся в приложении к письму, - это презентация на PowerPoint президента компании, и что сотрудники должны распаковать этот файл и запустить эту программу, чтобы посмотреть презентацию президента.

На самом деле никакой презентации в этом файле не было. Вместо этого приложение содержало небольшую программу, которая при запуске удаляла все содержимое жесткого диска на машине пользователя. Это письмо было послано на тот описанный ранее малоизвестный внутренний широковещательный адрес электронной почты. 1200 пользователей получили это письмо. Более 450 пользователей запустили программу и очистили свои диски, прежде чем поняли, что происходит на самом деле. Нечего и говорить, что почти нигде данные на жестких дисках не имели резервных копий.

Пример 2.

Как уволенный сетевой администратор подарил на прощание "подарок" своей организации, выведя из строя ее сеть.

После увольнения своего сотрудника (сетьевого администратора),компания ничего не сделала для того, чтобы изменить пароли, которые он знал и не внесла нужные изменения в средства защиты для удаленного доступа. Это означало, что этот сетевой администратор по-прежнему имел полный доступ ко всем ресурсам сети, даже не находясь физически в здании.

Через неделю, пользователи начали жаловаться, что они не могут получить доступ к системам и службам в сети компании и системам во внешних сетях, хотя могли делать на прошлой неделе. Дальнейшее расследование показало, что проблема возникает после перезагрузки ПЭВМ. До перезагрузки ПЭВМ может получить доступ куда-либо, куда это нужно ее пользователю. Но после перезагрузки ПЭВМ не могла установить соединения со многими машинами в сети.

Но в сети за последнюю неделю не делалось никаких изменений в конфигурации, и не вносились никакие изменения в программное обеспечение.

Результатом этой проблемы стало то, что многие пользователи не могли получить доступа к веб-серверам интранета, многие не могли получить доступ к ресурсам Интернета, а ряд систем во внутренней сети и во внешних сетях оказались недоступными всемпользователям.

Запуск сетевого анализатора в этом сегменте ЛВС для выявления различий в трафике между нормально работающими системами и тем, которые работали плохо. Первичный анализ пакетов протоколов TCP/IP, используемых всеми рабочими станциями, не показал никаких различий в формате пакетов. Но после анализа большого числа пакетов и побитного их сравнения было выявлено небольшое различие между правильно работающими системами и теми, которые не могли получить доступ к Интернету.

В пакете IP есть поле, называемое "ВРЕМЯ ЖИЗНИ", которое используется для предотвращения переполнения сети ошибочными пакетами. Это поле часто используется для установки максимально допустимого числа маршрутизаторов между отправителем пакетов и их получателем. Его функция очень похожа на поводок собаки: оно ограничивает величину расстояния, на которое кто-то может отойти от своей системы. По умолчанию на большинстве систем его значение равно 255. Это означает. Что на пути между отправителем и получателем может быть не более 255 маршрутизаторов, при попытке пройти большее их число пакет будет уничтожен.

Изучение пакетов выявило, что правильно функционирующие системы посылали пакет с полем "ВРЕМЯ ЖИЗНИ", имеющим значение 255, а в пакетах, отправляемых плохо работающими системами он было равно 1. Это означало, что первый же маршрутизатор, на который попадал пакет, уничтожал его. По сути это лишало пользователя неправильно работающих систем возможности использовать сеть за маршрутизатором. Ему были доступны только те системы, пакеты к которым передавались через коммутаторы и концентраторы. Естественно для объединения сетей в организации использовались маршрутизаторы, и пользователи не могли добраться до удаленных машин.

Исследование параметров протокола на плохо работающих системах выявило, что это поле устанавливалось в 1 в одном из файлов, использовавшихся для конфигурирования протокола после перезагрузки. Другие системы не пострадали сразу же из-за того, что после перезагрузки они не считывали конфигурационные файлы и не меняли значение поля "ВРЕМЯ ЖИЗНИ".

Дата последнего изменения файлов соответствовала следующему дню после увольнения сетевого администратора. Дальнейшее расследование показало, что для распространения измененных файлов по системам пользователей были использованы средства системного администрирования. Журналы модемного пула показали наличие сеансов этого сетевого администратора в ночь после увольнения и на следующий день. Сразу же после этих сеансов начались проблемы у пользователей.

К сожалению в данной ситуации не было абсолютно никакого способа доказать, что именно сетевой администратор был причиной всех бед, хотя было ясно, что только он единственный из тех, кто имел доступ к системе администрирования, обладал необходимой квалификацией для совершения таких действий.

По уровню возможностей (используемым методам и средствам):

• применяющий чисто агентурные методы получения сведений;

• применяющий пассивные средства (технические средства перехвата без модификации компонентов системы);

• использующий только штатные средства и недостатки систем защиты для ее преодоления (несанкционированные действия с использованием разрешенных средств), а также компактные магнитные носители информации, которые могут быть скрытно пронесены через посты охраны;

• применяющий методы и средства активного воздействия (модификация и подключение дополнительных технических средств, подключение к каналам передачи данных, внедрение программных закладок и использование специальных инструментальных и технологических программ).

По времени действия:

• в процессе функционирования АС (во время работы компонентов системы);

• в период неактивности компонентов системы (в нерабочее время, во время плановых перерывов в ее работе, перерывов для обслуживания и ремонта и т.п.);

• как в процессе функционирования АС, так и в период неактивности компонентов системы.

По месту действия:

• без доступа на контролируемую территорию организации;

• с контролируемой территории без доступа в здания и сооружения;

• внутри помещений, но без доступа к техническим средствам АС;

• с рабочих мест конечных пользователей (операторов) АС;

• с доступом в зону данных (баз данных, архивов и т.п.);

• с доступом в зону управления средствами обеспечения безопасности АС.

Могут учитываться следующие ограничения и предположения о характере действий возможных нарушителей:

• работа по подбору кадров и специальные мероприятия затрудняют возможность создания коалиций нарушителей, т.е. объединения (сговора) и целенаправленных действий по преодолению подсистемы защиты двух и более нарушителей;

• нарушитель, планируя попытки НСД, скрывает свои несанкционированные действия от других сотрудников;

• НСД может быть следствием ошибок пользователей, администраторов, эксплуатирующего и обслуживающего персонала, а также недостатков принятой технологии обработки информации и т.д.

Определение конкретных значений характеристик возможных нарушителей в значительной степени субъективно. Модель нарушителя, построенная с учетом особенностей конкретной предметной области и технологии обработки информации, может быть представлена перечислением нескольких вариантов его облика. Каждый вид нарушителя должен быть охарактеризован значениями характеристик, приведенных выше.

Возможный ущерб АС и обрабатываемой информации при НСД зависит от уровня возможностей нарушителя (злоумышленника), который может обладать правами: разработчика, программиста, пользователя, администратора АСОД.

Результатом реализации угроз информации может быть ее утрата (разрушение, уничтожение),утечка (извлечение, копирование), искажение (модификация, подделка) или блокирование.

Возможную совокупность и результаты реализации всех видов угроз нанесения ущерба для конкретной АС определить заранее трудно. Поэтому модель потенциальных угроз нанесения ущерба АС и обрабатываемой информации должна создаваться совместно владельцем автоматизированной системы и специалистами по защите информации на этапах разработки и создания АС и уточняться в ходе ее эксплуатации.