История развития ПАСЗИ. Университет итмо
Скачать 0.54 Mb.
|
Компьютерные преступления. Хакеры – компьютерные преступники Компьютерные взломы В 1981 году был произведен первый арест за совершение исключительно компьютерного преступления. Иан Мерфи (Captain Zap) был арестован за взлом компьютерной сети компании AT&T, произведенный с его домашнего персонального компьютера. Он изменил систему тарифов, поменяв местами дневной и ночной тариф. Мерфи получил наказание за кражу, а не за компьютерное преступление, однако он стал первым хакером, который был осужден. В 1983 году на широкие экраны вышел фильм «Военные игры», по сценарию которого хакер проникает в компьютерную сеть Пентагона. Фильм закрепил в массовом сознании образ хакера как преступника. Как ни странно, считается, что этот же фильм послужил толчком в развитии криминального направления хакерства: у энтузиастов проснулся азарт взломать компьютерные системы правительственных ведомств и научных организаций. Так, группой подростков, известной как «414», были взломаны несколько частных сетей, в том числе сети научных лабораторий, банков и больниц. Ими руководил 22 исключительно «спортивный» интерес, а не желание получить коммерческую выгоду, что вполне соответствует духу и этике хакеров того времени. Подростки были привлечены за незаконное компьютерное проникновение, однако реальных сроков никто не получил. Отсутствие наказания за компьютерные преступления все еще было обычной практикой в силу отсутствия законодательной базы. В то время компьютерные преступления были настолько редким явлением, что внимания вопросам обеспечения безопасности практически не уделялось. Зачастую даже администраторы компьютерных систем не были осведомлены о потенциальных рисках, существующих угрозах и защитных мерах. Взломы критически важных объектов группой «414» и осознание потенциального ущерба, который эти взломы могли причинить, наконец–то привели к пониманию актуальности и масштаба этой новой проблемы. В результате в США начались работы по созданию законов о компьютерных преступлениях и разработке первых мер защиты. В конце 1980–х произошел ряд крупных банковских ограблений с использованием компьютерных систем. В 1988 году Арманд Мур ограбил Национальный банк Чикаго с помощью помощников из числа сотрудников банка и похитил около 70 миллионов долларов. Вскоре он был арестован и осужден на 10 лет лишения свободы. Также был ограблен Национальный банк Вестминстера, хакер, взломав компьютерные системы, похитил более 1,5 миллионов долларов. Благодаря BBS в начале 1980–х по всему миру начали складываться первые хакерские объединения, такие как Legion of Doom, Masters of Desception (США) и Chaos Computer Club (Германия). В 1984 году начал выходить первый хакерский журнал 2600 и была проведена первая хакерская конференция. Берлин стал первым в мире городом, рискнувшим провести столь новое, ответственное и знаковое мероприятие. Конференция Chaos Communication Congress привлекла внимание всей хакерской общественности и объединила два враждующих лагеря, хакеров и специалистов по безопасности, для достижения одной общей цели – повышении уровня защищенности информации. Организаторы конференции (Chaos Communication Club) попытались донести до всего мира главную идею, что хакерство – не преступление. В 1987 году прошла первая конференция на американском континенте – SummerCon. Конференция собрала 20 известнейших американских хакеров, в числе которых были: Tuc, Control C, The Leftist, Lex Luthor, Doom Prophet, Ninja NYC, Forest Ranger и другие [4]. 23 Компьютерные вирусы и эпидемии До распространения Интернета вирусы в основном распространялись через зараженные дискеты, Интернет же открыл для них совершенно новую безграничную среду. В 1981 году появился первый настоящий компьютерный вирус Elk Cloner, созданный под ОС компьютеров компании Apple (наиболее распространенных в то время). Elk Cloner появился в одной из компьютерных систем техасского университета и распространялся через дискеты (заражение произошло через дискеты с пиратскими копиями компьютерных игр). Этот случай является интересным с той точки зрения, что здесь фигурируют сразу два типа компьютерных преступлений: собственно, само создание вредоносного ПО и нарушение авторских прав на компьютерные игры, которое и привело к распространению вируса (здесь жертвы первого преступления являются исполнителями второго). Также важно, что в этом первом случае проявилась суть вирусов и их создателей – желание заразить как можно большее число компьютеров. В 1983 году Лен Эйделман впервые употребил термин вирус к самокопирующимся компьютерным программам. Несколько позже Фредерик Коэн впервые дал точное определение термину «компьютерный вирус» и продемонстрировал разработанную им программу. Коэн определил вирус, как программу, которая «заражает» другие программы и модифицирует их, добавляя функционал для создания собственных копий. В 1984 году Кен Томпсон (ученый, один из создателей языка С и ОС Unix) впервые рассказал о возможности создании бэкдора в команде login одной из версий ОС Unix. Данная возможность реализовывалась через модификацию компилятора C. При сборке ОС модифицированным компилятором, он встраивал бэкдор в команду логин, а при сборке другого компилятора, в него встраивались функции для генерации уязвимостей. В исходном коде компилятора при этом невозможно было обнаружить свидетельств воздействия. К середине 80–х годов во всем мире широкое распространение получили компьютеры IBM PC под управлением MS–DOS. В результате того, что одна ОС заняла большую часть рынка, вирусы, разработанные для этой ОС, стали также массовыми. Единообразие используемых ОС и отсутствие адекватных механизмов защиты привели к тому, что появились первые вирусные эпидемии. В 1987 году произошли две первые вирусные эпидемии, вызванные вирусами Brain (первый вирус для IBM PC–совместимых ПК) и Vienna. Изначально вирус Brain был создан для борьбы с пиратским распространением ПО в Пакистане, однако ситуация вышла 24 из–под контроля. В итоге зараженными оказались более 18 000 компьютеров по всему миру. Brain был первым стелс–вирусом, скрывающим свое присутствие в ОС: при чтении зараженного сектора вирус подменял его на незараженную версию. В конце 1980–х было известно о достаточно большом числе уязвимостей в ОС UNIX, в особенности в BSD (Berkeley Software Distribution). В ноябре 1988 года появились первые заявления об атаках на компьютерные системы под управлением различных UNIX систем в научных и правительственных организациях (в том числе NASA). Это была эпидемия первого сетевого «червя», инициированная Робертом Моррисом, аспирантом Корнеллского университета. Он запустил в сеть ARPANET червя, который заразил более чем 6000 компьютеров, забил сеть нежелательным трафиком и нанес ущерб в более чем 100 млн. долларов. Червь Морриса использовал известные уязвимости (в сервере sendmail, сервисах finger, rsh/rexec) в сочетании с подбором паролей по словарю. Он скрывал свое присутствие, удаляя свой исполняемый файл и переименовывая свой процесс в sh (командная оболочка UNIX), также каждые 3 минуты червь ветвился. Целью создания червя была попытка исследовать уязвимости Unix систем. Моррис получил довольно мягкое наказание, что отражает отношение к компьютерным преступлениям в то время – они все еще не воспринимались как реальные преступления. Моррис не стал создателем концепции вируса или червя, он известен тем, что он первым ее реализовал, продемонстрировав феноменальную скорость распространения. В конце 1980–начале 1990–х вирусная активность начала расти, появился целый ряд новых сетевых червей (Father Christmas, WANK). Также в эти годы произошло еще несколько достаточно масштабных по тем временам вирусных эпидемий (Lehigh, Stoned, Jerusalem, Cascade (первый зашифрованный вирус), DATACRIME, Ping–Pong, Form, Michelangelo). Это были файловые (заражают исполняемые файлы .com и .exe, добавляя в них свой вредоносный код) и загрузочные вирусы, которые блокировали запуск ОС, уничтожали приложении при попытке их запуска, снижали производительность ПК и выполняли различные другие опасные действия. В 1988 году появился первый троян – FLU–SHOT–4, замаскированный под довольно популярный тогда антивирус. Он распространялся через BBS и уничтожал некоторые сектора жестких дисков и дискет. Троян FLU–SHOT–4 интересен тем, что он проявлялся только после того, как программа была запущена. До этого момента фрагменты вредоносного кода было невозможно обнаружить 25 в исходном коде программы, даже при исследовании его на уровне машинных команд. В конце 1980–х году появился еще ряд троянов: Scrambler, маскирующийся под драйвер клавиатуры (KEYBGR.COM); 12–Tricks, распространяющийся как программа для тестирования скорости жесткого диска (CORETEST.COM); PC Cyborg или AIDS, распространяющийся через дискеты. AIDS шифровал записи каталога, заполнял весь диск C: и подменял собой командную строку COMMAND.COM. Фактически троян блокировал работу компьютера и требовал произвести оплату за разблокировку. В этом же году был обнаружен первый многокомпонентный вирус – Ghostball, заражающий как исполняемые файлы, так и загрузочный раздел жесткого диска. Ghostball открыл новое направление развития компьютерных вирусов. В 1991 году появился новый вирус этого типа – Tequila. В 1989 году появился первый полиморфный вирус 1260 (Chameleon.1260 или V2PX). Подводя итог к этому этапу, можно сказать, что в этот период появилось и получило развитие большинство типов современных вирусов: файловые и загрузочные вирусы; вирусы–компаньоны; стелс–вирусы; сетевые вирусы, черви; полиморфные вирусы; многокомпонентные вирусы. 26 Защита информации в период второй половины 1970–х – начала 1990–х годов Коммерческие организации, персональные компьютеры и сети 1980–е – это период, когда появились первые реальные угрозы хакерства и компьютерных преступлений. Вирусы и хакеры появились как элементы исследовательских проектов в рамках ведущих университетов, персональные компьютеры и сети сделали эти явления популярными и массовыми, создав реальные угрозы государственным и коммерческим организациям. Практически до конца 1980–х большинство работ по компьютерной безопасности велись только в интересах правительственных и военных ведомств. Однако широкое распространение ИТ и ПК, рост сетей и увеличение числа случаев хакерских атак привело к тому, что проблема безопасности также стала актуальна и для коммерческих организаций. Стандарты и политики, разработанные для военных нужд и работы с конфиденциальными данными, совершенно не подходили для коммерческих организаций. В 1980–ых годах коммерческие организации только начинали активное внедрение компьютерных технологий в свою деятельность. Вопросы безопасности в основном решались исключительно на уровне парольных систем идентификации/аутентификации, часто не существовало даже простых требований к выбору пароля, а логин (обычно реальное имя пользователя) часто совпадал с паролем. К концу данного периода компьютерная безопасность уже стала восприниматься как сложное многогранное явление, пришло понимание того, что необходимо предпринимать более комплексные меры защиты. Так компьютерная безопасность стала включать в себя обеспечение конфиденциальности данных и доступности компьютерных ресурсов, защиту процессов от неправомерного использования или несанкционированных изменений. Тем не менее вопросы целостности данных и их несанкционированной модификации по–прежнему стояли на втором плане. Также к концу 1980–х начали появляться новые методы идентификации и аутентификации, более стойкие по сравнению с парольными системами. Криптография получила широкое распространение в компьютерных сетях коммерческих организаций, открыв новые направления в электронной коммерции. Однако считается, что даже в конце 1980–x годов вопросы компьютерной безопасности не воспринимались столь остро, и системные администраторы часто не применяли никаких мер защиты, что и привело к появлению такого явления как вирусные эпидемии и расширению хакерского арсенала. 27 Появление Интернета, повсеместное распространение компьютеров и сетей, развитие клиент–серверных технологий привели к тому, что вопросы обеспечения компьютерной безопасности в 1990–х стали вопросами, требующими безотлагательного и качественного решения для обеспечения существования и развития любой коммерческой организации. В большинстве случаев в коммерческих организациях не существовало единой политики организации и безопасности доступа в Интернет. Развитие и переход на технологии клиент–сервер требовали от организации обеспечения безопасности на клиентской стороне. В это время особую популярность завоевала технология тонкого клиента, когда все важные операции и «чувствительные» данные вынесены с клиентского ПК на безопасный сервер. В ответ на возникающие потребности коммерческих организаций в решениях по компьютерной безопасности, начали появляться первые готовые коммерческие решения и инструменты. Начиная с самого первого этапа при работе с информацией (как государственной, так и коммерческой) применялся принцип необходимого знания – концепция безопасности, ограничивающая допуск к информации и ресурсам обработки информации в объеме, необходимом для выполнения обязанностей заинтересованного уполномоченного лица [5]. Появление Интернета и перенос ряда услуг в онлайн среду во многом затруднило применение этого подхода, т.к. предоставление доступа по умолчанию производилось без прохождения каких–либо процедур идентификации. Необходимо было развитие технологий обеспечения безопасности и разграничения доступа в онлайн приложениях. Результатом стало развитие прикладной криптографии, применяемой для обеспечения конфиденциальности и целостности данных, передаваемых по сетям, технологий обмена ключевой информацией и появление различных межсетевых экранов. Самой опасной угрозой стали компьютерные вирусы. Присоединение корпоративных сетей к Интернету привело к возникновению ряда угроз: 1. вызванных, уязвимостями различных сетевых протоколов (в частности, TCP/IP) и систем; 2. атаки вирусов и сетевых червей; 3. опасность осуществления НСД к данным или ресурсам компьютерной системы; 4. несанкционированный перехват данных и их модификация; 5. кража паролей. 28 В качестве основных источников угроз и инициаторов атак выступали хакеры, конкурирующие организации, инсайдеры (в том числе недовольные сотрудники). Стремительный рост опасности указанных угроз и числа инцидентов безопасности привели к необходимости развития механизмов разграничения доступа, идентификации/аутентификации, обеспечения конфиденциальности и целостности данных. Системы разграничения доступа Модели разграничения доступа для коммерческих организаций В 1987 году появилась первая публикация по теории разграничения доступа в коммерческих компьютерных системах, авторами публикации были David D. Clark и David R. Wilson. Модель Кларка–Вилсона отходила от привычной и принятой у военных концепции уровней доступа и была построена с учетом тенденции внедрения ПК во все сферы деятельности коммерческих организаций. В отличие от целей защиты информации в военной области (обеспечение конфиденциальности), основной целью в коммерческих организациях является защита целостности. Под этим подразумевается защита информации от несанкционированной модификации, в том числе в следствие компьютерного мошенничества и ошибок. В отличие от модели Белла–ЛаПадула (множество субъектов–множество объектов), в модели Кларка–Вилсона компьютерная система рассматривается как система со множеством приложений. Операциями доступа в модели являются программы, выполняющие множество различных действий (транзакции), а не простые операции чтения–записи, как, например, в предшествующих моделях. Основная идея обеспечения целостности заключается в том, что в системе разрешены только «корректные транзакции» и обеспечено «разделение обязанностей», т.е. модифицировать данные может только определенный набор программ. Программы являются дополнительным уровнем в модели между данными и пользователями. Субъекты могут выполнять только программы из определенного набора, а доступ к определенным данным есть только у определенных программ. Непосредственный доступ к данным для пользователей невозможен. В модели впервые сама система безопасности рассматривается как такая же программа и ее защищенность также оценивается. Кроме того, модель решала проблему подмены пользователя в момент между идентификацией и выполнением операции, т.к. производилась дополнительная верификация субъекта до и после 29 выполнения операции. Модель Кларка–Вилсона, с точки зрения обеспечения целостности, считается одной из самых совершенных. В 1989 в Великобритании появилась модель компьютерной безопасности «Китайская стена». Своим появлением она обязана Биржевому краху 1929 года, с которого в США началась Великая депрессия. В ответ на это событие была введена политика о конфликте интересов или политика «китайских стен» для регулирования деятельности брокерско–дилерских компаний. Китайская стена должна была разделять потоки данных возникающие, в результате разных видов деятельности компании. В частности, информация, полученная в рамках одной сферы деятельности компании, не должна оказывать влияние на принятие решений в другой сфере деятельности, для которой она является конфиденциальной [6]. Т.е. Китайская стена разделяет потоки конфиденциальной информации внутри одной компании. К 1986 году компьютеры плотно вошли в повседневную деятельность финансовых компаний, но политика Китайской стены должна была соблюдаться также и для информации, циркулирующей в компьютерных системах. Применительно к информационным системам Китайская стена должна была защищать от возникновения конфликта интересов, внутреннего мошенничества, инсайдерской торговле и прочих внутренних угроз. Она реализовывала набор правил доступа, которые могли меняться автоматически и динамически после того, как субъект обращался к некоторой информации (далее доступ на определенные операции, вызывающие конфликт интересов, для него закрывался). В 1982 году появилась новая формальная модель Гогена– Мезигера (Goguen–Meseguer), открыв новый тип моделей – моделей информационного невмешательства. |