Анализ технологий совершения компьютерных преступлений

   Наряду  с нелегальным получением товаров  и услуг интерес для преступных группировок представляют такие  сферы мошеннической деятельности, как азартные игры (казино, лотереи  и тотализаторы), организация финансовых пирамид, фиктивных брачных контор и фирм по оказанию мифических услуг. Во всех случаях оперативность взаимодействия с жертвами мошенничества и анонимность  самого мошенника весьма привлекательны при совершении компьютерных преступлений в сети Internet.

   Одна  из предпосылок повышенного интереса, который преступники проявляют  к сети Internet, заключается в том, что с развитием компьютерных сетей информация становится все более ценным товаром. Особенно это касается информации, имеющей отношение к банковской сфере -- данные о вкладах и вкладчиках, финансовом положении банка и клиентов, кредитной и инвестиционной политике банка, а также о направлениях его развития. Поскольку в современных условиях субъекты кредитно-финансовой деятельности не могут существовать без взаимного информационного обмена, а также без общения со своими территориально удаленными филиалами и подразделениями, то часто для этих целей они используют Internet. А это значит, что у преступников появляется реальный шанс получить доступ к сугубо секретной информации о потенциальных объектах своей преступниц деятельности. Уничтожение такой информации преступниками является разновидностью недобросовестной конкуренции со стороны предприятий. которые находятся под "крышей" этих преступников. Даже одна угроза ее уничтожения может сама по себе послужить эффективным средством воздействия на руководство банка с целью вымогательства или шантажа.

   Через Internet преступники стремятся также получить возможность нужным для себя образом модифицировать конфиденциальную служебную информацию, которая используется руководством банка для принятия каких-либо важных решений. Дело в том, что ввиду высокой трудоемкости оценки степени доверия к потенциальному получателю банковского кредита в большинстве банков промышленно-развитых стран эта операция автоматизирована. В секрете держатся не только исходные данные для принятия подобных решений, но и сами алгоритмы их выработки. Нетрудно догадаться, какими могут быть последствия, если такие алгоритмы знают посторонние лица, которые могут оказаться в состоянии модифицировать их так. чтобы они вырабатывали благоприятные для этих лиц решения.

   Дополнительная  сфера компьютерных преступлений, совершаемых  через Internet, появилась с возникновением электронных банковских расчетов. т. е. с введением в обращение так называемой электронной наличности. Есть разные способы ее хищения, но все они основываются на модификации информации, отображающей электронную наличность. Информация о наличности, имеющейся на счетах клиентов, переписывается на счета, которыми безраздельно распоряжаются преступники. Изменения также могут быть внесены в сам алгоритм, определяющий правила функционирования системы обработки информации об электронных банковских расчетах. Например, меняется курс валют, чтобы для клиентов банка валюта пересчитывалась по заниженному курсу, а разница зачислялась на счета преступников и многие другие махинации. 

2.1. Синдром Робина Гуда

     В 2008 г. в Экспертно-криминалистическом центре МВД была проведена классификация  компьютерных преступников. Обобщенный портрет отечественного хакера, созданный  на основе этого анализа, выглядит примерно так:

· мужчина  в возрасте от 15 до 45 лет, имеющий  многолетний опыт работы на компьютере;

· в прошлом  к уголовной ответственности  не привлекался;

· яркая  мыслящая личность;

· способен принимать ответственные решения;

· хороший, добросовестный работник, по характеру  нетерпимый к насмешкам и к  потере своего социального статуса  среди окружающих его людей;

· любит  уединенную работу;

· приходит на службу первым и уходит последним; часто задерживается на работе после  окончания рабочего дня и очень  редко использует отпуск и отгулы.

     По  сведениям того же Экспертно-криминалистического  центра МВД, принципиальная схема организации  взлома защитных механизмов банковской информационной системы заключается  в следующем. Профессиональные компьютерные взломщики обычно работают только после  тщательной предварительной подготовки. Они снимают квартиру на подставное лицо в доме, в котором не проживают сотрудники спецслужб или городской телефонной сети. Подкупают сотрудников банка, знакомых с деталями электронных платежей и паролями, и работников телефонной станции, чтобы обезопаситься на случай поступления запроса от службы безопасности банка. Нанимают охрану из бывших сотрудников МВД. Чаше всего взлом банковской компьютерной сети осуществляется рано утром, когда дежурный службы безопасности теряет бдительность, а вызов помощи затруднен.

     Компьютерные  преступления парадоксальны тем, что  в настоящее время трудно найти  другой вид преступления, после совершения которого его жертва не выказывает заинтересованности в поимке преступника, а сам преступник, будучи пойман, рекламирует свою деятельность на поприще компьютерного взлома, мало что утаивая от представителей правоохранительных органов. Этот парадокс вполне объясним:

жертва компьютерного  преступления совершенно убеждена, что  затраты па его раскрытие (включая  потери, понесенные в результате утраты банком своей репутации) существенно  превосходят уже причиненный  ущерб; Глава 1. Угрозы компьютерной безопасности

     Преступник, даже получив максимальный срок тюремного  наказания приобретет широкую известность в деловых и криминальных кругах, что в дальнейшем позволит ему с выгодой использовать полученные знания.

     Таким образом, для общественного мнения в России характерен "синдром  Робина Гуда" - преступники-хакеры представляются некими благородными борцами против банкиров. А поэтому хакерство  в России, по видимому, просто обречено на дальнейшее развитие.

     Суммируя  информацию о компьютерных взломах, которая время от времени появляется в отечественной прессе, можно  привести следующее обобщенное (так  сказать, "среднеарифметическое") описание одного такого взлома.

 

3. Методы  взлома компьютерных систем

 

   В общем случае программное обеспечение  любой универсальной компьютерной системы состоит из трех основных компонентов: операционной системы, сетевого программного обеспечения (СПО) и системы  управления базами данных (СУБД). Поэтому  все попытки взлома защиты компьютерных систем можно разделить на три  группы:

· атаки  на уровне операционной системы;

· атаки  на уровне сетевого программного обеспечения;

· атаки  на уровне систем управления базами данных.

Атаки на уровне систем управления базами данных 

     Защита  СУБД является одной из самых простых  задач. Это связано с тем, что  СУБД имеют строго определенную внутреннюю структуру, и операции над элементами СУБД заданы довольно четко. Есть четыре основных действия - поиск, вставка, удаление и замена элемента. Другие операции являются вспомогательными и применяются  достаточно редко. Наличие строгой  структуры и четко определенных операций упрощает решение задачи защиты СУБД. В большинстве случаев хакеры предпочитают взламывать защиту компьютерной системы на уровне операционной системы  и получать доступ к файлам СУБД с помощью средств операционной системы. Однако в случае, если используется СУБД, не имеющая достаточно надежных защитных механизмов, или плохо протестированная версия СУБД, содержащая ошибки, или  если при определении политики безопасности администратором СУБД были допущены ошибки, то становится вполне вероятным  преодоление хакером защиты, реализуемой  на уровне СУБД.

     Кроме того, имеются два специфических  сценария атаки на СУБД, для защиты от которых требуется применять  специальные методы. В первом случае результаты арифметических операций над  числовыми полями СУБД округляются  в меньшую сторону, а разница  суммируется в некоторой другой записи СУБД (как правило, эта запись содержит личный счет хакера в банке, а округляемые числовые поля относятся  к счетам других клиентов банка). Во втором случае хакер получает доступ к полям записей СУБД, для которых  доступной является только статистическая информация. Идея хакерской атаки  на СУБД - так хитро сформулировать запрос, чтобы множество записей, для которого собирается статистика, состояло только из одной записи. 

Атаки на уровне операционной системы

     Защищать  операционную систему, в отличие  от СУБД, гораздо сложнее. Дело в  том, что внутренняя структура современных  операционных систем чрезвычайно сложна, и поэтому соблюдение адекватной политики безопасности является значительно  более трудной задачей. Среди  людей несведущих бытует мнение, что  самые эффективные атаки на операционные системы могут быть организованы только с помощью сложнейших средств, основанных на самых последних достижениях науки и техники, а хакер должен быть программистом высочайшей квалификации. Это не совсем так.

     Никто не спорит с тем, что пользователю следует быть в курсе всех новинок  в области компьютерной техники. Да и высокая квалификация - совсем не лишнее. Однако искусство хакера состоит отнюдь не в том, чтобы  взламывать любую самую "крутую" компьютерную защиту. Нужно просто суметь найти слабое место в конкретной системе защиты. При этом простейшие методы взлома оказываются ничуть не хуже самых изощренных, поскольку чем проще алгоритм атаки, тем больше вероятность ее завершения без ошибок и сбоев, особенно если возможности предварительного тестирования этого алгоритма в условиях, приближенных к "боевым", весьма ограничены

     Успех реализации того или иного алгоритма  хакерской атаки на практике в  значительной степени зависит от архитектуры и конфигурации конкретной операционной системы, являющейся объектом этой атаки. Однако имеются атаки, которым  может быть подвергнута практически  любая операционная система:

· кража  пароля;

· подглядывание  за пользователем, когда тот вводит пароль, дающий право на работу с  операционной системой (даже если во время  ввода пароль не высвечивается на экране дисплея, хакер может легко  у шип, пароль, просто следя за перемещением пальцев пользователя по клавиатуре);

· получение  пароля из файла, в котором этот пароль был сохранен пользователем, не желающим затруднять себя вводом пароля при  подключении к сети (как правило, такой пароль хранится в файле  в незашифрованном виде);

· поиск  пароля, который пользователи, чтобы  не забыть, записывают па календарях, в  записных книжках или на оборотной  стороне компьютерных клавиатур (особенно часто подобная ситуация встречается, если администраторы заставляют пользователей  применять трудно запоминаемые пароли);

· кража  внешнего носителя парольной информации (дискеты или электронного ключа, на которых хранится пароль пользователя, предназначенный для входа в  операционную систему);

· полный перебор  всех возможных вариантов пароля;

· подбор пароля по частоте встречаемости символов и биграмм, с помощью словарей наиболее часто применяемых паролей, с привлечением знаний о конкретном пользователе - его имени, фамилии, номера телефона, даты рождения и т. д., с  использованием сведений о существовании  эквивалентных паролей, при этом из каждого класса опробуется всего  один пароль, что может значительно  сократить время перебора;

· сканирование жестких дисков компьютера (хакер  последовательно пытается обратиться к каждому файлу, хранимому на жестких дисках компьютерной системы; если объем дискового пространства достаточно велик, можно быть вполне уверенным, что при описании доступа  к файлам и каталогам администратор  допустил хотя бы одну ошибку, в результате чего все такие каталоги и файлы  будут прочитаны хакером; для сокрытия следов хакер может организовать эту атаку под чужим именем: например, под именем пользователя, пароль которого известен хакеру);

· сборка "мусора" (если средства операционной системы  позволяют восстанавливать ранее  удаленные объекты, хакер может  воспользоваться этой возможностью, чтобы получить доступ к объектам, удаленным другими пользователями: например, просмотрев содержимое их "мусорных" корзин);

· превышение полномочий (используя ошибки в программном  обеспечении или в администрировании  операционной системы, хакер получает полномочия, превышающие полномочия, предоставленные ему согласно действующей  политике безопасности);

· запуск программы  от имени пользователя, имеющего необходимые  полномочия, или в качестве системной  программы (драйвера, сервиса, демона и  т. д.);

· подмена  динамически загружаемой библиотеки, используемой системными программами, или изменение переменных среды, описывающих путь к таким библиотекам;

· модификация  кода или данных подсистемы защиты самой операционной системы;

· отказ  в обслуживании (целью этой атаки  является частичный или полный вывод  из строя операционной системы);

· захват ресурсов (хакерская программа производит захват всех имеющихся в операционной системе ресурсов, а затем входит в бесконечный цикл);

· бомбардировка  запросами (хакерская программа  постоянно направляет операционной системе запросы, реакция на которые  требует привлечения значительных ресурсов компьютера);