Общая модель совершения киберпреступления
Рис.3.1 Моделирование кибепреступления
В качестве «нулевого» приближения для моделирования выбрана схема действий для совершения киберпреступлений предложенная зарубежными исследователями Макклуре С. Скембрэй Дж., Курти Дж.[13]. Поэтапно описано функционирование схемы, рассмотрены методы прохождения стадий.
рис.3.2 Функциональная модель киберпреступления
3.1.1 Информационный обмен
Информационный обмен является необходимым динамическим компонентом информационной системы.
Информационный обмен состоит из нескольких стадий: обмен данными, рекогносцировка, сканирование, составление карты.
На стадии обмена данными злоумышленник узнает о существовании объекта атаки, у него появляется мотив для совершения преступления, а также формируются цели и перечень задач. Математическая зависимость информационного обмена может быть представлена: А1 = <I1,C1,М1,O1,O2,O3>, где А1 - результат информационного обмена, I1 - первичные данные, С1 - методы и средства получения конфиденциальной информации, M1- Социум, программное и аппаратное обеспечение, O1 - итоговая мотивация, O2 - сформированные задачи, O3 - конечные цели. Далее он на стадии рекогносцировки проводит исследование объекта, где выясняет, какие уязвимости в системе защиты объекта существуют. Затем на стадии сканирования он проверяет, какие вероятные уязвимости в системе защиты доступны. После этого он переходит на стадию составления карты и проводит графическое или принципиальное моделирование объекта с целью определения последующих мероприятий и отработки эффективной схемы нападения. До данного момента все действия злоумышленника не нарушают законодательство РФ и других стран, а потому данная часть модели встречается во многих видах компьютерных преступлений. На рис.3.3 подробно описан этап информационного обмена.
Рис. 3.3 Этап информационного обмена
Прежде чем злоумышленник добьется успеха, он должен пройти все эти этапы. Рассмотрим подробно каждый из этапов[13].
Рекогносцировкат.е. искусство сбора информации о цели. Преступники не начнут грабить банк с того, что просто зайдут и потребуют деньги. Предварительно преступники соберут информацию о банке: маршруты бронированных инкассаторских машин, время перевозки денег, расположение видеокамер, количество кассиров, запасные выходы и все прочее, что необходимо знать для успешного осуществления преступной авантюры.
То же самое справедливо для нападающих на компьютерные системы. Злоумышленникам нужно собрать множество информации, чтобы произвести хирургически точную атаку (ту, которая не будет мгновенно перехвачена). В силу этого атакующие должны собрать максимально возможное количество информации обо всех аспектах компьютерной защиты организации. Сбор сведений завершается составлением карты потенциальных зон поражения, т.е. профиля имеющихся подсистем Интернета, удаленного доступа, интрасети и экстрасети. Придерживаясь структурированной методологии, атакующие могут систематически извлекать информацию из множества источников для составления точной карты зон поражения любой организации.
Систематическая рекогносцировка организации позволяет атакующим создать подробный профиль состояния ее компьютерной защиты. Комбинируя различные средства и технологии, злоумышленники могут выяснить для неизвестного объекта набор доменных имен, сетевых блоков и индивидуальных IP-адресов систем, непосредственно подключенных к Интернету. Существует множество методов разведки, но все они направлены в основном на поиск информации, связанной со следующими технологиями: Интернет, интрасеть, удаленный доступ и экстрасеть. В таблице 1.1 показаны технологии и информация, которую пытается найти любой атакующий.
Таблица 3.1 Технологии и основные сведения, выявляемые атакующими.
Технология | Идентифицируются |
Интернет | Доменные имена Блоки сетевых адресов Конкретные IP адреса систем, доступных из Интернета Службы TCP и UDP, работающие на каждой идентифицированной системе Системная архитектура (например, SPARC или X86) Механизмы управления доступом и соответствующие списки управления доступом (ACL) Системы обнаружения вторжения (IDS) Перечень характеристик системы (имена пользователей и групп, системные заголовки, таблицы маршрутизации, информация SNMP) |
Интрасеть | Используемые сетевые протоколы (например, IP, IPX, DecNET и т.д.) Имена внутренних доменов Блоки сетевых адресов Конкретные IP-адреса систем, доступных через интрасеть Службы TCP и UDP, работающие на каждой идентифицированной системе Системная архитектура (например, SPARC или Х86) Механизмы управления доступом и соответствующие списки управления доступом (ACL) Системы обнаружения вторжения IDS Перечень характеристик системы (имена пользователей и групп, системные заголовки, таблицы маршрутизации, информация SNMP) |
Удаленный доступ | Аналоговые/цифровые телефонные номера Тип удаленной системы Механизмы аутентификации |
Экстрасеть | Источник и точка назначения соединения Тип соединения Механизм управления доступом |
Рекогносцировка необходима для систематического и последовательного подтверждения того, что определена вся информация, относящаяся к упомянутым выше технологиям. При отсутствии качественной методологии подобного исследования можно упустить ключевые элементы информации, связанной с конкретной технологией или организацией.
Многие методы рекогносцировки различных технологий (например, Интернета и интрасети) совпадают. Уделим основное внимание рекогносцировке подключений организаций к Интернету. Сложно составить поэтапное руководство по рекогносцировке, поскольку она может проводиться в нескольких направлениях. Опишем базовые этапы позволяющие выполнить тщательный рекогносцировочный анализ. Многие из предлагаемых методов могут применяться и для других технологий.