Носов В.В. "Технології аудиту інформаційних систем"
Лекція 2. Ідентифікація комп'ютерних зловмисників
Навчальні питання
1. Ілюзія невразливості зловмисника
2. Анонімність в Інтернеті
3. Законопроект про систему автоматизованого перехоплення телекомунікацій в Україні
Література
Иван Скляров. На чем прокалываются хакеры. Журнал "Хакер", март 2004.
Степан Ильин. Доверяй, но проверяй. Журнал "Хакер", март 2004.
Час: 2 акад. г.
Вступ
Для проведения внешнего аудита компьютерной сети необходимо иметь модель нарушителя, чтобы иметь возможность более точно воспроизвести его действия при осуществлении им проникновения или воздействия на сеть.
Для начала рассмотрим некоторые психологические аспекты поведения злоумышленника, которые раскрываются из неформальной среды компьютерных специалистов [1, 2], и особенности обеспечения анонимности в Интернете.
Сегодня в информационных сообщениях с некоторой периодичностью объявляется об успешном задержании спецслужбами очередного компьютерного злоумышленника. Причем чаще всего речь идет не о начинающих и неквалифицированных злоумышленниках, а о грамотных и, если можно так сказать, профессиональных хакерах, уделявших собственной безопасности много внимания.
Какие факторы позволяют спецслужбам идентифицировать компьютерных злоумышленников?
Ілюзія невразливості зловмисника
Совершив несколько удачных несанкционированных действий (взломов) и не попавшись, с их точки зрения, многие злоумышленники начинают питать иллюзии относительно собственной неуязвимости.
На самом деле ситуация может быть следующей:
совершенные деяния не привели к значительным негативным последствиям;
отсутствует заявление потерпевших;
злоумышленник уже под скрытым пристальным наблюдением правоохранительных органов.
Причинами сокрытия фактов несанкционированного доступа (НСД) владельцами информационных ресурсов является следующее:
незначительность причиненного ущерба и перспектива взаимодействия с правоохранительными органами, к которым зачастую существует предвзятое отношение;
сокрытие фактов НСД непосредственными сотрудниками организаций (администраторами) перед руководством из-за боязни признания своей некомпетентности;
боязнь того, что информация о взломе станет доступна общественности, а это может принести дополнительные убытки из-за падения деловой репутации;
потерпевшей является организация, сама нарушающая законодательство в той, или иной области.
Но так бывает не всегда, и даже такое, по сути, незначительное хулиганство, как "дефейс" (несанкционированное удаленное изменение страницы web-сайта) может стать причиной расследования правоохранительными органами.
Например, действия группы Fluffy Bunny (Пушистый Кролик) привлекли внимание ФБР после терактов 11 сентября, когда на множестве сайтов появились лозунги Fluffy Bunny Goes Jihad ("Пушистый кролик идет на джихад"). Это было расценено как протест против американской глобальной кампании по борьбе с терроризмом, т.е. членов группы фактически приравняли к террористам (!!!).
Таким образом, можно выделить особую категорию правонарушений, которые ПОЧТИ ВСЕГДА становятся объектом расследования спецслужб:
воровство,
вымогательство,
шпионаж,
НСД к государственным серверам.
Правоохранительные органы может привлечь и просто высокая хакерская активность, например, огромный список дефейсов на хакерском сайте. В таком случае возможно проведение профилактических бесед с подозреваемыми лицами (демонстрация подконтрольности действий подозреваемого) с целью пресечения в будущем более тяжких правонарушений (см. hangup.pisem.net).
Вывод первый: отсутствие немедленного наказания за НСД не означает, что злоумышленник не в поле зрения правоохранительных органов и этого не случится позже. Профессиональные злоумышленники никогда не чувствуют себя в безопасности.
Не существует "своих" и "чужих" спецслужб.
Среди многих представителей андеграунда существует одно ошибочное убеждение, что если не трогать отечественные серверы, то за собственную безопасность можно не беспокоиться.
Да, действительно, существуют определенные сложности во взаимодействии правоохранительных органов разных стран при раскрытии и расследовании компьютерных преступлений, и не достаточно полностью урегулирована соответствующая нормативно-правовая база.
Широко известна история, когда следователь Игорь Ткач из Управления ФСБ РФ чуть не возбудил уголовное дело против агента ФБР США Майкла Шулера после ареста последним двух челябинских хакеров Алексея Горшкова и Василия Иванова (с деталями дела можно ознакомиться в Интернете).
Однако со временем ситуация меняется и растет вероятность того, что злоумышленник ответит за все свои деяния.
Кроме того, правонарушитель лишаешь себя возможности безбоязненного выезда за рубеж (не обязательно в США), т.к. там его уже могут ждать. Пример тому ‑ история с 25-летним украинским хакером, который был пойман в Бангкоке при содействии таиландских и американских спецслужб. Большинство хакеров из стран СНГ (бывшего СССР) попадают в руки правосудия именно за пределами родины.
Вывод второй: нет различий между отечественными и зарубежными спецслужбами ‑ спецслужбы всех стран одинаково опасны для хакера. Практика показывает, что иностранные спецслужбы пока представляют большую угрозу для хакера.