Защита информации

ВОЗМОЖНОСТИ НАПАДЕНИЯ НА ИНФОРМАЦИОННЫЕ СИСТЕМЫ БАНКА ИЗ ИНТЕРНЕТА И НЕКОТОРЫЕ СПОСОБЫ ОТРАЖЕНИЯ ЭТИХ АТАК

Ю. Мельников, А. Теренин

Банковские технологии № 2, 2003

Окончание. Начало в предыдущем выпуске Sec.Ru

Модель типового злоумышленника

Значение модели нарушителя при построении системы информационной безопасности

Система защиты информации в банке должна быть адекватной уровню важности, секретности и критичности защищаемой информации. Ее стоимость не должна превосходить возможный ущерб от нарушения безопасности охраняемой информации. Но в то же время преодоление системы защиты должно быть экономически нецелесообразно по сравнению с возможной выгодой от получения доступа, уничтожения, модификации или блокировки защищаемой информации.

Необходимо оценить ущерб, который может иметь место в случае утечки информации или при любом другом нарушении системы безопасности, а также вероятность нанесения подобного ущерба. Для определения адекватности стоимости системы защиты следует сопоставить размеры ущерба и вероятность его нанесения с размерами затрат на обеспечение защиты. К сожалению, реальную стоимость информации оценить довольно сложно, поэтому часто применяются качественные экспертные оценки, информационные ресурсы классифицируют как критичные для ведения бизнеса, особой важности, и т. д.

Служба безопасности банка должна если не знать своих врагов в лицо, то построить модель типичного злоумышленника. Необходимо оценить, от кого защищаться в первую очередь. Опираясь на построенную модель злоумышленника, уже можно строить адекватную систему информационной защиты. Таким образом, правильно разработанная модель нарушителя является гарантией построения адекватной защиты.

Основные подходы к построению модели злоумышленника

Чаще всего строится неформальная модель злоумышленника (нарушителя), отражающая причины и мотивы действий, его возможности, априорные знания, преследуемые цели, их приоритетность для нарушителя, основные пути достижения поставленных целей — способы реализации исходящих от него угроз, место и характер действия, возможная тактика и т. п. Для достижения поставленных целей нарушитель должен приложить определенные усилия и затратить некоторые ресурсы.

Чаще всего теоретически применяется теория игр, когда для создания защитной системы используется матрица угроз/средств защит и матрица вероятностей наступления угроз. У злоумышленника существует своя собственная матрица нападений (ценностей), в общем случае эта матрица может не совпадать с матрицей защищающейся стороны. Пользователь системы также может стать нарушителем безопасности.

Определив основные причины нарушений, представляется возможным оказать влияние на эти причины, или необходимым образом скорректировать требования к системе защиты от данного типа угроз. Вопросы безопасности вычислительных систем большей частью есть вопросы человеческих отношений и человеческого поведения. При анализе нарушений защиты необходимо уделять внимание субъекту (личности) нарушителя. Устранение причин или мотивов, побудивших к нарушению, в дальнейшем может помочь избежать повторения подобного случая.

Модель может быть не одна, целесообразно построить несколько отличающихся моделей разных типов противников информационной безопасности банка.

Для построения модели нарушителя используется информация от служб безопасности и аналитических групп о существующих средствах доступа к информации и ее обработки, о возможных способах перехвата данных на стадии передачи, обработки и хранении, об обстановке в коллективе и на объекте защиты, сведения о конкурентах и ситуации на рынке, об имевших место свершившихся случаях хищения информации и т. п.

Кроме этого, оцениваются реальные оперативные технические возможности злоумышленника для воздействия на систему защиты или на защищаемый объект. Под техническими возможностями подразумевается перечень различных технических средств, которыми может располагать злоумышленник в процессе совершения действий, направленных против системы информационной защиты.

Анализ совершаемых преступлений в области компьютерной обработки информации

Анализ уголовных дел и иной доступной информации показал, что механизм совершения компьютерных преступлений состоит в следующем:

• преступники или их сообщники имеют отношение к разработке программных средств, эксплуатации компьютерной техники или администрированию персональных компьютеров и вычислительных систем, злоумышленники используют перечисленные возможности для модификации важных записей и уничтожения следов своей деятельности;
• несанкционированный доступ осуществляется в течение короткого времени (до одной минуты) с трудно отслеживаемого терминала, имеющего связь с вычислительной сетью организации;
• внедряется заранее разработанная программа или производится некоторая модификация существующего ПО с целью создания специальных счетов физических и юридических лиц, а также рассылки фальшивых платежных поручений по заданным адресам;
• параллельно осуществляется контроль бухгалтерского ПО для предотвращения утечки информации о факте совершения преступления: контрольные и оборотные ведомости по балансовым счетам, ведомость остатков в разрезе кодов валют за день перерасчета;
• получение со счетов наличными осуществляется в заранее разработанном порядке, без оставления следов.

Классификация нарушителей безопасности

При разделении нарушителей безопасности по классам можно исходить из его принадлежности определенным категориям лиц, мотивов действий и преследуемых целей, характера методов достижения поставленных целей, квалификации, технической оснащенности и знаний об атакуемой информационной системе.

Прежде всего разделим нарушителей на внутренних и внешних. По данным многих источников и статистических исследований, отношение внутренних инцидентов к внешним оценивается примерно в 75%. Мы бы рассматривали в данном случае классическую пропорцию 80 к 20, так как факты многочисленных нарушений часто скрываются организациями или для поддержания имиджа приписываются внешним источникам.

Потенциально к внутренним нарушителям относятся сотрудники самого банка или сотрудники организаций из сферы ИТ, предоставляющие банку телекоммуникационные и иные информационные услуги.

Среди внутренних нарушителей в первую очередь можно выделить:

• непосредственных пользователей и операторов информационной системы, в том числе руководителей различных уровней;
• администраторов вычислительных сетей и информационной безопасности;
• прикладных и системных программистов;
• сотрудников службы безопасности;
• технический персонал по обслуживанию зданий и вычислительной техники, от уборщицы до ремонтной бригады;
• вспомогательный персонал и временных работников.

• безответственность;
• ошибки пользователей и администраторов;
• демонстрация своего превосходства (самоутверждение);
• «борьба с системой»;
• корыстные интересы пользователей системы;
• недостатки используемых информационных технологий.

Группу внешних нарушителей могут составлять:

• клиенты;
• приглашенные посетители;
• представители конкурирующих организаций;
• сотрудники органов ведомственного надзора и управления;
• нарушители пропускного режима;
• наблюдатели за пределами охраняемой территории.

По рекомендации экспертов в области информационной безопасности, особое внимание следует обращать на вновь принимаемых сотрудников в следующих профессиях: администраторы, программисты, специалисты в области компьютерной техники и защиты информации. Известны случаи внедрения сотрудников, работающих на конкурентов, поступления на работу хакера-одиночки или представителя хакерской группы. Чрезвычайную опасность представляют специалисты подобного уровня при вхождении в сговор с руководством подразделений и службы безопасности банка, а также с организованными преступными группами. В данном случае возможный ущерб и тяжесть последствий многократно увеличиваются.

Руководство банка, должно четко себе представлять, от каких видов нарушений необходимо защититься в первую очередь.

Типы нарушителей могут сильно отличаться, варьироваться по составу, возможностям и преследуемым целям. От одиночного нарушителя, действующего удаленно и скрытно, до хорошо вооруженной и оснащенной силовой группы, действующей молниеносно и напролом. Нельзя не учитывать возможности сговора между нарушителями, относящимися к различным типам, а также подкупа и реализации других методов воздействия.

Далее классификацию можно проводить по следующим параметрам.

Используемые методы и средства:

• сбор информации и данных;
• пассивные средства перехвата;
• использование средств, входящих в информационную систему или систему ее защиты, и их недостатков;
• активное отслеживание модификаций существующих средств обработки информации, подключение новых средств, использование специализированных утилит, внедрение программных закладок и «черных ходов» в систему, подключение к каналам передачи данных.

Уровень знаний нарушителя об организации информационной структуры:

• типовые знания о методах построения вычислительных систем, сетевых протоколов, использование стандартного набора программ;
• высокий уровень знаний сетевых технологий, опыт работы со специализированными программными продуктами и утилитами;
• высокие знания в области программирования, системного проектирования и эксплуатации вычислительных систем;
• обладание сведениями о средствах и механизмах защиты атакуемой системы;
• нарушитель являлся разработчиком или принимал участие в реализации системы обеспечения информационной безопасности.

Время информационного воздействия:

• в момент обработки информации;
• в момент передачи данных;
• в процессе хранения данных (учитывая рабочее и нерабочее состояния системы).

• удаленно с использованием перехвата информации, передающейся по каналам передачи данных, или без ее использования;
• доступ на охраняемую территорию;
• непосредственный физический контакт с вычислительной техникой, при этом можно выделить:
  • доступ к терминальным операторским станциям,
  • доступ к важным сервисам предприятия (сервера),
  • доступ к системам администрирования, контроля и управления информационной системой,
  • доступ к программам управления системы обеспечения информационной безопасности.

Создание модели нарушителя или определения значений параметров нарушителя в большой мере субъективно. Модель необходимо строить с учетом технологий обработки информации и особенностей предметной области.

Рассмотрим более подробно возможные схемы действий злоумышленника, использующего удаленное проникновение в информационную систему банка.

Начнем с самого простого варианта.

Это хакер-одиночка, обладающий стандартным персональным компьютером на базе Pentium 4, с модемным (реже выделенным) выходом в Интернет. Данный тип злоумышленников очень сильно ограничен в финансовом плане. Он необязательно обладает глубокими знаниями в области компьютерных технологий, чаще всего использует готовые компьютерные программы, доступные из Интернета, для реализации угроз через давно известные уязвимости. Вряд ли такой тип нарушителя обладает достаточными знаниями о построении информационной системы банка. Его действия больше носят экспериментальный характер, он не стремится получить доступ к определенной информации или модифицировать ее с целью извлечения выгоды. Ему просто интересно провести некоторые действия с информационной системой банка, недоступными и неиспользуемыми простыми пользователями Интернета. Характер действия — скрытый, в меру своих способностей. Чаще всего останавливается после проведения первого успешного воздействия.

Для борьбы с подобными «исследователями» администраторам безопасности необходимо четко выполнять правила, предписанные политикой безопасности организации. Устанавливать самые последние версии используемых программных продуктов и ОС, а также выпускаемые к ним патчи и расширения. Отслеживать публичные списки обнаруживаемых уязвимостей в аппаратных и программных продуктах известных производителей и совершать рекомендуемые действия для предотвращения реализации угроз с использованием обнаруженных уязвимостей.

Следующий по опасности тип злоумышленника — это объединенная хакерская группа. Исследуемый тип злоумышленников достаточно скован в своих финансовых возможностях. Она еще не обладает вычислительными мощностями уровня крупного предприятия и подобным пропускным каналом в Интернет. Но обладание суммарными знаниями в области компьютерных технологий представляют большую опасность. Такие злоумышленники используют всевозможные приемы для организации сканирования информационных систем с целью выявления новых уязвимостей, применяются также методы реализации угроз через уже известные уязвимости. Они в состоянии написать программы, которые используют обнаруженные уязвимости: сетевые черви, вирусы, трояны и другие вредоносные программные средства. Для выполнения своих планов они могут встраивать вредоносные программы в вычислительные системы своих жертв. При использовании таких программ они могут получить доступ к большим компьютерным мощностям вычислительных сетей крупных научных или военных ведомств, а также к каналу с высокой пропускной способностью, который соединяет пораженную сеть (сети) с Интернетом.

Описанные действия позволяют им производить мощные атаки на информационные системы в сети Интернет. Чаще всего они действуют целенаправленно и могут предпринимать определенные усилия для получения представления о принципах функционирования системы защиты банка. Спектр их действий — от подделки суммы на счете (модификация данных) до получения или уничтожения критичных данных по заказу. Планируя свои действия, группа предпринимает все возможные усилия для сокрытия факта несанкционированного доступа. Хакерская группа не останавливается до момента достижения поставленной цели или столкновения с непреодолимыми препятствиями для проведения дальнейшего вторжения.

Для противостояния действиям подобных групп необходимо использовать последние достижения в области обеспечения информационной безопасности объекта.

Следующий тип — предприятие-конкурент.

Данная модель включает в себя: собственные мощные вычислительные сети и каналы передачи данных с высокой пропускной способностью для выхода в Интернет; большие финансовые возможности; высокие знания компьютерных специалистов как самой компании, так и нанимаемых «под заказ». Возможны попытки подкупа сотрудников службы безопасности или иные действия из области социальной инженерии. Конкуренты могут предпринять серьезные усилия для получения сведений функционирования системы информационной защиты, в том числе внедрить своего представителя в службу безопасности. Среди целей могут быть: блокирование функционирования информационной системы конкурента, нанесение подрыва в имидже, деструктивные действия, направленные на причинение непоправимого ущерба конкуренту, вплоть до его разорения и банкротства. Для этого используются самые изощренные методы проникновения в информационные системы и воздействия на потоки данных в ней. Действия конкурентов могут носить как скрытый, так и открытый, демонстративный характер. При осуществлении своих намерений конкурирующая сторона бьется до победного конца.

Служба безопасности должна быть начеку и сама вести наблюдение за компаниями, со стороны которых возможно проявление недобросовестной конкуренции. Может применяться сбор информации, другие разведывательные действия, подкуп и перевербовка сотрудников.

Самым серьезным соперником для службы безопасности банка являются коррумпированные представители различных структур ведомственного уровня, а также спецслужбы различных государств. Они обладают практически неограниченными вычислительными и финансовыми возможностями, самостоятельно регулируют и контролируют трафик в сети Интернет. На их службе состоят самые высокопрофессиональные компьютерные специалисты. В некоторых странах известны примеры, когда вместо тюремного заключения или после него известного хакера берут в службу национальной безопасности. Эти специалисты участвуют в разработке стандартов по безопасности информации, сетевых протоколов и досконально знают возможности и недостатки всех компьютерных технологий. В процессе сертификации вычислительной системы представители ведомственных органов могут получать достаточно полную информацию о ее построении. Цели, преследуемые такой группой, весьма разнообразны и их невозможно предугадать заранее. Подобные преступные элементы могут не утруждать себя сокрытием своих действий и, как уже говорилось, практически ничто неспособно их остановить. Они могут пользоваться поддержкой как законодательных, так и иных правовых актов, а также опекой органов исполнительной и судебной власти.

Опасность может исходить и от спецслужб или разведывательных служб других государств, имеющих личные интересы в данном секторе экономики или оказывающих воздействие на различные направления деятельности государства.

Что можно сказать о борьбе с этой группой… Требуется организация защиты информации на очень высоком уровне, что подразумевает существенные издержки. Кроме этого, требуется создавать собственные службы безопасности, оснащенные и обученные лучше ведомственных, но такой поворот событий чреват вступлением в открытое противостояние с этими органами.

В табл. 1 сгруппирована сравнительная характеристика рассмотренных моделей типового злоумышленника.

Например, А. В. Лукацкий (см.: Лукацкий А. В. Обнаружение атак. — СПб.: БХВ-Петербург, 2001) приводит следующую классификацию нарушителей (разделение делается по целям, преследуемым злоумышленником):

• хакеры — собственное удовлетворение, без материальной выгоды;
• шпионы — получение информации, которая может быть использована для каких-либо политических целей;
• террористы — с целью шантажа;
• промышленные шпионы — кража промышленных секретов, материальная выгода конкурентов;
• профессиональные преступники — получение личной финансовой выгоды.

Среди целей, преследуемых нарушителями, отмечаются:

• любопытство;
• вандализм;
• месть;
• финансовая выгода;
• конкурентная выгода;
• сбор информации;
• военная или политическая выгода.

Для защиты вычислительных сетей от злоумышленного воздействия необходимо использовать программные и программно-аппаратные комплексы и системы обеспечения информационной безопасности. Для организации защиты от внешней потенциально враждебной информационной системы используются межсетевые экраны, системы построения виртуальных частных сетей (VPN), защищенные каналы передачи данных (протоколы SSL, SOCKS, IPsec), криптографические средства (ГОСТ, AES, RSA и др.), протоколы распределения ключей и сертификаты (Х.509, SKIP, ISAKMP, PKCS, PEM и др.), системы аутентификации пользователей (PAP, S/Key, CHAP) и удаленного доступа (TACACS и RADIUS). Более подробная информация имеется в: Вакка Дж. Секреты безопасности в Internet. — Киев: «Диалектика», 1997. — 505 с., и Зима В. М., Молдовян А. А., Молдовян Н. А. Безопасность глобальных сетевых технологий. — СПб.: БХВ-Петербург, 2000. — 320 с., а также в других книгах по рассматриваемой тематике.

Наиболее распространенные и доступные программы для реализации атак и защиты от них, а также базы данных и списки уязвимостей приведены во врезках (журнальной версии статьи – прим. ред. Sec.Ru) . Одна и та же программа в руках администратора защиты выступает в роли средства обеспечения информационной безопасности системы, в руках злоумышленника становиться грозным оружием для осуществления атаки или сканирования сети при проведении подготовки к атаке. По этой причине один и тот же продукт может присутствовать одновременно в двух списках.

Итак, правильное построение модели нарушителя позволяет проектировать и реализовывать систему обеспечения защиты информации в вычислительных системах банка адекватно имеющимся угрозам.

Об авторах: