Носов В.В. "Технології аудиту інформаційних систем"

Лекція 2. Ідентифікація комп'ютерних зловмисників

Навчальні питання

1. Ілюзія невразливості зловмисника

2. Анонімність в Інтернеті

3. Законопроект про систему автоматизованого перехоплення телекомунікацій в Україні

Література

1. Иван Скляров. На чем прокалываются хакеры. Журнал "Хакер", март 2004.

2. Степан Ильин. Доверяй, но проверяй. Журнал "Хакер", март 2004.

Час: 2 акад. г.

Вступ

Для проведения внешнего аудита компьютерной сети необходимо иметь модель нарушителя, чтобы иметь возможность более точно воспроизвести его действия при осуществлении им проникновения или воздействия на сеть.

Для начала рассмотрим некоторые психологические аспекты поведения злоумышленника, которые раскрываются из неформальной среды компьютерных специалистов [1, 2], и особенности обеспечения анонимности в Интернете.

Сегодня в информационных сообщениях с некоторой периодичностью объявляется об успешном задержании спецслужбами очередного компьютерного злоумышленника. Причем чаще всего речь идет не о начинающих и неквалифицированных злоумышленниках, а о грамотных и, если можно так сказать, профессиональных хакерах, уделявших собственной безопасности много внимания.

Какие факторы позволяют спецслужбам идентифицировать компьютерных злоумышленников?

1. Ілюзія невразливості зловмисника

Совершив несколько удачных несанкционированных действий (взломов) и не по­павшись, с их точки зрения, многие злоумышленники начинают питать иллюзии относи­тельно собственной неуязвимости.

На самом деле ситуация может быть следующей:

• совершенные деяния не привели к значительным негативным последствиям;

• отсутствует заявление потерпевших;

• злоумышленник уже под скрытым пристальным наблюдением правоохранительных органов.

Причинами сокрытия фактов несанкционированного доступа (НСД) владельцами информационных ресурсов является следующее:

• незначительность причиненного ущерба и перспектива взаимодействия с правоохранительными органами, к которым зачастую существует предвзятое отношение;

• сокрытие фактов НСД непосредственными сотрудниками организаций (администраторами) перед руководством из-за боязни признания своей некомпетентности;

• боязнь того, что информация о взломе станет доступна общественности, а это может принести дополнительные убытки из-за падения деловой репутации;

• потерпевшей является организация, сама нарушающая законодательство в той, или иной области.

Но так бывает не всегда, и даже такое, по сути, незначительное хулиганство, как "дефейс" (несанкционированное удаленное изменение страницы web-сайта) может стать причиной расследования правоохранительными органами.

Например, действия группы Fluffy Bunny (Пушистый Кролик) привлекли внимание ФБР после терактов 11 сен­тября, когда на множестве сайтов появились лозунги Fluffy Bunny Goes Jihad ("Пушистый кролик идет на джихад"). Это было расцене­но как протест против американской глобаль­ной кампании по борьбе с терроризмом, т.е. членов группы фактически приравняли к террористам (!!!).

Таким образом, можно выделить особую категорию правонарушений, которые ПОЧТИ ВСЕГДА становятся объектом расследования спецслужб:

• воровство,

• вымогательство,

• шпионаж,

• НСД к государственным серверам.

Правоохранительные органы может привлечь и просто высокая хакерская активность, например, огром­ный список дефейсов на хакерском сайте. В таком случае возможно проведение профилактических бесед с подозреваемыми лицами (демонстрация подконтрольности действий подозреваемого) с целью пресечения в будущем более тяжких правонарушений (см. hangup.pisem.net).

Вывод первый: отсутствие немедленного наказания за НСД не означает, что злоумышленник не в поле зрения правоохранительных органов и этого не случится позже. Профессиональные злоумышленники никогда не чувствуют себя в безопасности.

Не существует "своих" и "чужих" спецслужб.

Среди многих представите­лей андеграунда существует одно ошибоч­ное убеждение, что если не трогать отечественные серверы, то за собственную безопас­ность можно не беспокоиться.

Да, действительно, существуют определенные сложности во взаимодействии правоохранительных органов разных стран при раскрытии и расследовании компьютерных преступлений, и не достаточно полностью урегулирована соответствующая нормативно-правовая база.

Широко известна история, когда следователь Игорь Ткач из Управления ФСБ РФ чуть не возбудил уголовное дело против агента ФБР США Майкла Шулера после ареста последним двух челябинских хакеров Алексея Горшкова и Василия Иванова (с деталями дела можно ознакомиться в Интернете).

Однако со временем ситуация меняется и растет вероятность того, что злоумышленник ответит за все свои деяния.

Кроме того, правонарушитель лишаешь себя возможности безбоязненного выезда за рубеж (не обязатель­но в США), т.к. там его уже могут ждать. Пример тому ‑ история с 25-лет­ним украинским хакером, который был пой­ман в Бангкоке при содействии таиландских и американских спецслужб. Большинство хакеров из стран СНГ (бывшего СССР) попадают в руки правосудия именно за пределами родины.

Вывод второй: нет различий между отечественными и зарубеж­ными спецслужбами ‑ спецслужбы всех стран одинаково опасны для хакера. Практика пока­зывает, что иностранные спецслужбы пока представляют большую угрозу для хакера.