Классификация источников угроз в киберпреступности
При разделении источников по классам можно исходить из его принадлежности определенным категориям лиц, мотивов действий и преследуемых целей, характера методов достижения поставленных целей, квалификации, технической оснащенности и знаний об атакуемой информационной системе.
В 1998 г. в экспертно-криминалистическом центре МВД была проведена классификация компьютерных преступников. Обобщенный портрет отечественного хакера, созданный на основе этого анализа, выглядит примерно следующим образом:
• мужчина в возрасте от 15 до 45 лет, имеющий многолетний опыт работы на компьютере либо почти не обладающий таким опытом;
• в прошлом к уголовной ответственности не привлекался;
• яркая мыслящая личность;
• способен принимать ответственные решения;
• хороший, добросовестный работник, по характеру нетерпимый к насмешкам и потере своего социального статуса среди окружающих его людей;
• любит уединенную работу;
• приходит на службу первым и уходит последним, часто задерживается на работе после окончания рабочего дня и очень редко использует отпуск и отгулы.
Типичным компьютерным преступником может быть как немолодой хакер, использующий телефон и домашний компьютер для получения доступа к большим компьютерам, так и служащий, которому разрешен доступ к системе.
Киберпреступники классифицируются на внешних и внутренних.
Потенциально к внутренним относится персонал (инсайдеры)[10].
Инсайдер - лицо, имеющее в силу своего служебного или семейного положения доступ к конфиденциальной информации о делах компании. В эту группу включаются лица, добывающие конфиденциальную информацию о деятельности корпорации и использующие ее в целях личного обогащения.
Внутренних можно классифицировать в 3 основных типа:
· злоумышленник (хакер, крэкер, фрикер);
· объединение хакеров;
· разведка (конкурентная разведка, государственная разведка).
Рассмотрим более подробно возможные схемы действий внешних злоумышленников, использующего удаленное проникновение в информационную систему объекта атаки[11].
Хакер – человек, который полностью поглощён программированием и компьютерной технологией, тот, кто любит изучать коды оперативных систем и других программ, чтобы посмотреть, как они работают. Затем он использует свою компьютерную эрудицию в незаконных целях, таких как получения доступа к компьютерным системам без разрешения и порча программ и данных в этих системах. Будучи хакером, человек способен воровать информацию, заниматься промышленным шпионажем и запускать скрытые программы, вирусы и троянских коней.
Крэкер– это человек, который обходит или разрушает средства безопасности сети или отдельной компьютерной системы, чтобы получить несанкционированный доступ. Классическая цель крэкера – нелегально получить информацию от компьютерной системы, чтобы затем нелегально использовать компьютерные ресурсы. Как бы то ни было, главной целью большинства крэкеров является просто разрушение системы.
Фрикер– это человек, который проникает в телефонные сети или другие защищенные телекоммуникационные системы.
Данный тип кибепреступников очень сильно ограничен в финансовом плане. Он необязательно обладает глубокими знаниями в области компьютерных технологий, чаще всего использует готовые компьютерные программы, доступные из Интернета, для реализации угроз через давно известные уязвимости. Вряд ли такой тип нарушителя обладает достаточными знаниями о построении информационной системы объекта атаки. Его действия больше носят экспериментальный характер, он не стремится получить доступ к определенной информации или модифицировать ее с целью извлечения выгоды. Ему просто интересно провести некоторые действия с информационной системой объекта атаки, недоступными и неиспользуемыми простыми пользователями Интернета. Характер действия — скрытый, в меру своих способностей. Чаще всего останавливается после проведения первого успешного воздействия.
Следующий по опасности тип источника угроз — это объединенная хакерская группа. Исследуемый тип злоумышленников достаточно скован в своих финансовых возможностях. Она еще не обладает вычислительными мощностями уровня крупного предприятия и подобным пропускным каналом в Интернет. Но обладание суммарными знаниями в области компьютерных технологий представляют большую опасность. Такие злоумышленники используют всевозможные приемы для организации сканирования информационных систем с целью выявления новых уязвимостей, применяются также методы реализации угроз через уже известные уязвимости. Они в состоянии написать программы, которые используют обнаруженные уязвимости: сетевые черви, вирусы, трояны и другие вредоносные программные средства. Для выполнения своих планов они могут встраивать вредоносные программы в вычислительные системы своих жертв. При использовании таких программ они могут получить доступ к большим компьютерным мощностям вычислительных сетей крупных научных или военных ведомств, а также к каналу с высокой пропускной способностью, который соединяет пораженную сеть (сети) с Интернетом.
Описанные действия позволяют им производить мощные атаки на информационные системы в сети Интернет. Чаще всего они действуют целенаправленно и могут предпринимать определенные усилия для получения представления о принципах функционирования системы защиты банка. Планируя свои действия, группа предпринимает все возможные усилия для сокрытия факта несанкционированного доступа. Хакерская группа не останавливается до момента достижения поставленной цели или столкновения с непреодолимыми препятствиями для проведения дальнейшего вторжения.
Следующий тип —разведка, основанная на конкуренции[10].
Конкурентная разведка - сбор и обработка данных из разных источников, для выработки управленческих решений с целью повышения конкурентоспособности коммерческой организации, проводимые в рамках закона и с соблюдением этических норм (в отличие от промышленного шпионажа); а также структурное подразделение предприятия, выполняющее эти функции. Конкурентная разведка — это постоянная, циклическая последовательность действий, результатом которой является информация для выработки управленческих решений[10].
Промышленный шпионаж — одна из форм недобросовестной конкуренции, применяемая на всех уровнях экономики, начиная с небольших предприятий и заканчивая государствами. Основное предназначение промышленного шпионажа — экономия средств и времени, которые требуется затратить, чтобы догнать конкурента, занимающего лидирующее положение, либо не допустить в будущем отставания от конкурента, если тот разработал или разрабатывает новую перспективную технологию, а также чтобы выйти на новые для предприятия рынки. Это справедливо и в отношении межгосударственной конкуренции, где к вопросам экономической конкурентно способности добавляются и вопросы национальной безопасности. Основное отличие промышленного шпионажа от конкурентной разведки в том, что промышленный шпионаж нарушает нормы законодательства, прежде всего, уголовного, тогда как конкурентная разведка этого делать не может.
Данная модель включает в себя: собственные мощные вычислительные сети и каналы передачи данных с высокой пропускной способностью для выхода в Интернет; большие финансовые возможности; высокие знания компьютерных специалистов как самой компании, так и нанимаемых «под заказ». Возможны попытки подкупа сотрудников службы безопасности или иные действия из области социальной инженерии. Конкуренты могут предпринять серьезные усилия для получения сведений функционирования системы информационной защиты, в том числе внедрить своего представителя в службу безопасности. Среди целей могут быть: блокирование функционирования информационной системы конкурента, нанесение подрыва в имидже, деструктивные действия, направленные на причинение непоправимого ущерба конкуренту, вплоть до его разорения и банкротства. Для этого используются самые изощренные методы проникновения в информационные системы и воздействия на потоки данных в ней. Действия конкурентов могут носить как скрытый, так и открытый, демонстративный характер. При осуществлении своих намерений конкурирующая сторона бьется до победного конца.
Самым серьезным киберпреступником является государственная разведка ведомственного уровня, а также спецслужбы различных государств. Они обладают практически неограниченными вычислительными и финансовыми возможностями, самостоятельно регулируют и контролируют трафик в сети Интернет. На их службе состоят самые высокопрофессиональные компьютерные специалисты. В некоторых странах известны примеры, когда вместо тюремного заключения или после него известного хакера берут в службу национальной безопасности. Эти специалисты участвуют в разработке стандартов по безопасности информации, сетевых протоколов и досконально знают возможности и недостатки всех компьютерных технологий. В процессе сертификации вычислительной системы представители ведомственных органов могут получать достаточно полную информацию о ее построении. Цели, преследуемые такой группой, весьма разнообразны и их невозможно предугадать заранее. Подобные преступные элементы могут не утруждать себя сокрытием своих действий и, как уже говорилось, практически ничто неспособно их остановить. Они могут пользоваться поддержкой как законодательных, так и иных правовых актов, а также опекой органов исполнительной и судебной власти.
В таблице 2.1 сгруппирована сравнительная характеристика рассмотренных моделей типового киберпреступника.
Таблица 2.1 Сравнительная характеристика моделей типового киберпреступника
| Характеристика | Злоумышленник | Группа злоумышленников | Конкурентная разведка | Государственная разведка |
| Вычислительная мощность | Персональный компьютер | ЛВС, использование чужих вычислительных сетей | Мощные вычислительные сети | Неограниченные вычислительные мощности |
| Выход в Интернет | Модем или выделенная линия | Использование чужих каналов с высокой пропускной способностью | Собственные каналы с высокой пропускной способностью | Самостоятельный контроль над маршрутизацией трафика в Интернете |
| Финансовые возможности | Сильно ограничены | Ограничены | Большие возможности | Практически неограниченные |
| Компьютерные знания | Невысокие | Высокие | Высокие | Высокие, разработчики стандартов |
| Используемые технологии | Готовые программы известные уязвимости | Поиск новых уязвимостей, изготовление вредоносных программ | Современные методы проникновения в информационные системы и воздействия на потоки данных в ней | Доскональные знания компьютерных технологий, возможных уязвимостей и недостатков |
| Знания о построении системы безопасности объекта | Вряд ли обладает достаточными знаниями о построении информационной системы | Могут предпринимать определенные усилия для получения представления о принципах функционирования системы защиты | Могут предпринимать серьезные усилия для получения сведений о функционировании системы информационной защиты, в том числе внедрить своего представителя в службу безопасности | В процессе сертификации вычислительной системы представители ведомственных органов могут получать достаточно полную информацию о ее построении |
| Преследуемые цели | Эксперимент, любопытство | Подделка счетов, внесение искажений в работу системы | Блокировка функционирования системы, подрыв имиджа, разорение | Непредсказуемый разнообразный характер |
| Характер действий | Характер действия — скрытый в меру своих способностей | Предпринимает все возможные усилия для сокрытия факта НСД | Могут носить как скрытый, так и открытый, демонстративный характер | Могут не утруждать себя сокрытием своих действий |
| Глубина проникновения | Чаще всего останавливается после проведения первого успешного воздействия | До момента достижения поставленной цели или наступления непреодолимых препятствий для проведения дальнейшего вторжения | При осуществлении своих намерений конкурирующая сторона будет идти до победного конца | Практически ничто не способно их остановить |
Выделим основополагающие параметры киберпреступности, такие как: способы и средства совершения, ключевые мотивации, объекты, следы и субъекты.