Защита информации: шпиономания
13.09.2002
Шпиономания. Биометрическая регрессия. Удаленная работа - шаг в будущее.
Человечество больше всего любит чужие тайны. Штирлиц, 17 мгновений весны
Ведущие жесткую конкурентную борьбу нечистоплотные деятели Интернета грубо вторгаются в личную жизнь безобидных посетителей Сети, стремясь собрать о них максимум информации. В результате наши почтовые ящики ломятся от сомнительных или вовсе непристойных предложений, а из карманов утекают деньги за лишний трафик. Поголовье вирусов, червей и жучков счету не поддается, Интернет-живность начала инфицировать сама себя, и распространение заразы приобретает ныне масштабы пандемии. Программы-шпионы, обрядившись в овечьи шкуры, наблюдают за нашими действиями из укромных уголков жесткого диска и регулярно отправляют своим хозяевам пароли и прочую секретную информацию.
Технологии не стоят на месте. Появляются все новые средства против охотников за чужой информацией, непрерывно совершенствуются методы защиты. И естественно, не дремлют хакеры и спецслужбы, в свою очередь, изобретая изощренные способы обойти все то, что создали ревнители компьютерной безопасности. Спрос рождает предложение - как с одной, так и с другой стороны. Поистине столетняя война: затяжное и мучительное великое противостояние. Кому-то все, о чем будет рассказано ниже, может показаться заокеанской экзотикой или капризами «загнивающих капиталистов». Но разве так уж важно, в каких целях и кем все это придумано? «А lа guerre comme a la guerre»: помимо тех, кто понимает, во что влез и кто делает на этом свой бизнес, жертвами «мозговых штурмов» и «одиночных перестрелок» все чаще становятся ни в чем не повинные пользователи ПК. Не пора ли создавать народное ополчение и вооружаться - хотя бы знаниями?
Под колпаком
Из всех «оригинальных» способов хищения информации с ПК, наверное, самым информативным для злоумышленника является наблюдение за клавиатурой. Во-первых, человеку нелегко заметить, что он стал объектом слежки. Во-вторых, анализируя последовательности нажатий на клавиатуре, можно извлечь практически любую информацию: имена и пароли при авторизации в некоторых программах, списки посещаемых ресурсов Интернета, письма, которые вы отправляете своим друзьям, важные цифры, вставленные в отчет шефу... Как это возможно?
Извлечение текста. Проникнув в дом или офис без вашего ведома, недоброжелатели могут установить па ваш ПК клавиатурный монитор. Этот маленький «краб» в течение определенного периода времени записывает произведенные вами нажатия на клавиши, фиксируя, таким обраceзом, всю набираемую на компьютере информацию. После установки этого неприметного устройства специалистам останется только еще раз проникнуть в ваше помещение и снять данные с клавиатурного монитора. Компания, производящая это устройство, говорит, что его можно установить за 12 сек. независимо от того, включен ПК или нет. Как правило, мало кто из нас обращает внимание на заднюю сторону системного блока. Если же вы проявили бдительность, но не обнаружили на задней стороне своего ПК такую штучку, это вовсе не значит, что все в порядке. Устройство при желании можно незаметно прикрепить к системной плате, закамуфлировав под какой-нибудь конденсатор. Кроме того, клавиатура может быть заменена на аналогичную с заранее установленным внутри нее монитором.
Видеонаблюдение. Проникнув в помещение, злоумышленники могут установить над вашим рабочим местом миниатюрную видеокамеру, которая будет записывать нажатия на клавиши, например, во время ввода парольной фразы.
Аудионаблюдение. Отличие такого метода слежки от предыдущего состоит лишь в том, что вместо миниатюрной видеокамеры устанавливается датчик, фиксирующий звуки, идущие от клавиатуры. Затем будет проведен анализ записи: сравнение со звуками нажатия на клавиши, полученными во время набора известного текста. Правда, по мнению специалистов, нужен не один жучок, а целая система. Если расположить определенным образом микрофоны (не менее шести), можно вычислить абсолютную координату источника звука в системе, образованной микрофонами, а затем по этой координате определить, какая клавиша нажата.
Анализ переменного напряжения в сети. С помощью специального оборудования, подключенного к питающей сети, можно отследить незначительные колебания напряжения, происходящие во время набора текста, и таким образом записать все нажатия на клавиши. Однако некоторые сведу щие люди утверждают, что это нереально, так как блок питания компьюте ра представляет собой импульсный преобразователь напряжения. Проще говоря, ток потребления контроллера, установленного в клавиатуре, не превышает 0,001 А, а номинальный ток блока питания -примерно 5-6 А с коэффициентом пульсаций 0,25%. Конечно, «наблюдатели» могут поставить режекторный фильтр, отсекающий собственные пульсации блока питания ПК, но будут ли заметны клавиатурные импульсы на фоне неизбежно присутствующих шумов? Из сети питания можно определить включение дисковода или CD-ROM (по запуску двигателей привода, которые потребляют достаточно ощутимый ток), да и то будет фиксироваться лишь увеличение потребляемой мощности, а не характер или тем более сами данные. Но чем черт не шутит?
Анализ электромагнитного излучения. Компьютерные процессоры и мониторы излучают электромагнитные волны, которые способно уловить и записать специальное оборудование, установленное, например, на машине, припаркованной неподалеку от вашего дома или офиса или в квартире соседней многоэтажки. Такой способ вызывает большое количество споров по поводу своей практической осуществимости. Британские службы, проводящие мониторинг электромагнитного излучения с целью поиска тех, кто смотрит без лицензии определенные ТВ-каналы, не могут уловить излучение, испускаемое плазменными телевизорами. Но то, что ПК и мониторы в Пентагоне имеют специальные металлические кожухи, значительно ослабляющие уровень электромагнитных излучений, - не повод ли, чтобы призадуматься?
Юстас - Алексу
Если вы еще не знакомы, позвольте представить: PGP, криптографическая программа с высокой степенью надежности, позволяющая конфиденциально обмениваться электронной информацией. Главное ее преимущество состоит в том, что для обмена зашифрованными сообщениями пользователям не нужно передавать друг другу тайные ключи, так как PGP построена на особом принципе работы - публичной криптографии. Пользователи могут, открыто посылать друг другу свои ключи через Интернет и при этом не беспокоиться о возможности несанкционированного доступа каких-либо третьих лиц к их конфиденциальным сообщениям. Однако и здесь все не так просто. Познакомьтесь с некоторыми ухищрениями, к которым прибегают сотрудники ФБР для расшифровки PGP-сообщений.
Измененная копия программы-шифратора. Проникнув в дом или офис, специалисты могут установить на вашем ПК вместо оригинальной версии поддельную копию PGP. Все сообщения, закодированные с помощью такой программы, будут элементарно расшифровываться этими людьми.
Специальный вирус.Еще одна разновидность атаки - вирусная программа, записывающая в специальный файл все нажатия клавиш. Естественно, при этом ваш PGP-пароль или парольная фраза будут зафиксированы, после чего все сообщения, закодированные с помощью PGP, очень просто расшифровать. Во время вашего очередного визита в Интернет такой вирус отошлет информацию «куда следует».
Генерация случайных чисел. Пробравшись в ваш ПК, специалисты копируют файл под названием randseed.bin, используемый программой PGP для генерации псевдослучайных данных при создании шифровального блока. Этот способ очень сложен и чрезвычайно дорог, поэтому к нему прибегают только для защиты национальной безопасности.
Криптоанализ. Перехватить зашифрованные сообщения, посланные через Интернет, довольно легко. А после того как информация поймана, она попадает к специалистам для проведения криптоанализа. Эта процедура осуществляется суперкомпьютерами, но на расшифровку одного сообщения все равно может уйти до нескольких недель, месяцев или даже десятков лет - в зависимости от содержания, формата и длины. Этот трудоемкий процесс пригоден только тогда, когда ни один из описанных выше методов не принес результата.
Будьте бдительны
В Америке законодательно закреплено право руководства знать, чем занимаются его подчиненные в каждый конкретный момент рабочего времени. Правда, любой работодатель обязан предупредить сотрудника о том, что за ним наблюдают. У нас в стране хоть и считается аморальным «подсматривать», этим часто грешат коммерческие фирмы. Кроме того, наши домашние компьютеры вообще никакой закон не защищает.
Сегодня Уголовный кодекс РФ предусматривает ответственность за три вида компьютерных преступлений:
Ст. 272. Неправомерный доступ к компьютерной информации, если это повлекло уничтожение, блокирование, модификацию либо копирование информации, нарушение работы вычислительных систем;
Ст. 273. Создание, использование и распространение вредоносных программ для ЭВМ;
Ст. 274. Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети.
Давайте разберемся, что значат эти формулировки, ибо незнание, как известно, не освобождает...
Еще дедушка Винер определил так: «Информация - это обозначение содержания, полученного из внешнего мира в процессе нашего приспособления к нему и приспособления к нему наших чувств». Уничтожить информацию - значит привести ее в такое состояние, когда она уже не может быть восстановлена. Блокирование - действие, после которого невозможно будет использовать информацию при ее сохранности. Модификация - это любые изменения, не имеющие своей целью обеспечить нормальное функционирование данных. Копирование - воспроизведение информации в любой материальной форме. Следует иметь в виду, что в УК речь идет о копировании с прямым умыслом, а уничтожение, блокирование, модификация и нарушение работы компьютерной системы могут быть совершены как умышленно, так и по неосторожности. Суть преступления, предусмотренного ст. 272, такова: если неправомерный доступ был, но не произошло уничтожение, блокирование, модификация или копирование информации, то ответственность не наступает. Причем доступ является правомерным, если вы как правообладатель, собственник информации или системы разрешаете доступ другим лицам. Неправомерным он будет тогда, когда лицо не имеет права на доступ к данной информации либо имеет право, но осуществляет его помимо установленного порядка.
«Светит» за все это от штрафа в 200 МРОТ до лишения свободы на пять лет. Впрочем, статья не регулирует ситуации, когда неправомерный доступ происходит в результате неосторожных действий, что отсекает огромный пласт возможных посягательств, включая те действия, которые совершались злонамеренно, так как при расследовании обстоятельств крайне трудно будет доказать умысел компьютерного преступника.
По поводу ст. 273 нужно сказать следующее. С точки зрения Генеральной прокуратуры РФ, программа для компьютера - это описание, воспринимаемое ЭВМ и достаточное для решения определенных задач. Ответственность наступает за создание, изменение, использование и распространение программ, которые потенциально вредоносны. Причем пагубных последствий ждать не надо. В создании, использовании и распространении вредных программ считается виновным тот, кто сознает, что он может навредить, и желает этого. При таком раскладе можно получить от трех до семи лет лишения свободы.
Со ст. 274 все и проще, и сложнее одновременно. Ретивая уборщица шваброй выдернула сетевой кабель из UPS или мышка бежала и хвостиком махнула, из-за чего вы не успели сохранить сотню-другую уникальных данных, - они вовсе не преступники (с точки зрения УК). Хотя и предусматривается ответственность за неосторожные деяния, но по ней должны квалифицироваться, например, действия специалиста по обслуживанию системы управления транспортом, установившего инфицированную программу без антивирусной проверки, что повлекло серьезную транспортную аварию.
Между нарушением правил эксплуатации и наступившими последствиями обязательно должна быть установлена причинная связь. Здесь субъект преступления специальный: лицо, имеющее доступ к системе или сети по своим профессиональным обязанностям. Наказание соответствующее: лишение права заниматься определенной деятельностью на срок до пяти лет или, если будут иметь место тяжкие последствия, лишение свободы на срок до четырех лет.
Вот и все, что может инкриминировать действующий в настоящее время Уголовный кодекс РФ. Правда, существуют еще законы «О средствах массовой информации», «О правовой охране программ для ЭВМ и баз данных», «О правовой охране топологий интегральных микросхем», «Об авторском праве и смежных правах», «О государственной тайне», «О связи», «Об информации, информатизации и защите информации» и Патентный закон РФ.
Средства защиты, поставляемые нашей компанией и активно продаваемые, нашими партнерами помогут Заказчикам решить проблемы несанкционированного доступа.
Биометрическая регрессия
Согласно предварительным оценкам IBIA, Международной организации поставщиков биометрических устройств и программ, суммарный оборот биометрических средств безопасности в этом году должен был впервые перевалить рубеж в 500 миллионов евро. Столь впечатляющая цифра выводилась экспертами на основе анализа рыночных тенденций, в значительной мере характеризующихся обостренным интересом корпоративных и правительственных заказчиков к новым технологиям защиты после известных событий 11 сентября.
Однако при составлении радужных прогнозов относительно стремительного роста эксперты не учли, похоже, одно важное обстоятельство. Наряду с повышением общего интереса к биометрическим устройствам возросла и тщательность, с которой заказчики стали тестировать это оборудование. И тут быстро стало выясняться, что декларируемые изготовителем характеристики качества товара - это одно, а реальные показатели - совершенно иное.
Первые сигналы о проблемах в отрасли прозвучали, когда на конференции Биометрического консорциума представитель министерства обороны США огласил неуте шительные выводы военных, тестировавших системы опознания по сетчатке глаза (Indian) и по лицу (VisionicsFacelt). Испытания показали, что система Facelt фирмы Visionics обеспечивает опознание людей вовсе не с 99-процентной надежностью, как декларируется, а от силы в 51% случаев. Этот же вывод позже подтвердила администрация флоридского международного аэропорта Палм-Бич, где аналогичное оборудование тестировалось на сотрудниках. Поэтому в конечном итоге от применения этой аппаратуры в аэропорту было решено отказаться. Еще одна важнейшая проблема коммерческих биометрических систем заключается в том, что главной характеристикой их качества считаются подсчитанные самими изготовителями пороговые значения ошибок 1-го и 2-го рода, т. е. вероятности отвержения «своего» и принятия «чужого». Хотя эти цифры, безусловно, важны для первичной оценки системы, значительно больший интерес представляли бы анали тические результаты независимых экспертов.
Но получить к ним доступ крайне непросто. Так, в прошлом году в Германии Фраунгоферовский исследовательский институт (г. Дармштадт) совместно с Федеральным институтом безопасности информационных технологий (BSI) провел серию интенсивных тестов на предмет поиска уязвимости в биометрических системах. Результаты были получены явно весьма интересные, однако до сведения общественности их так и не довели из-за мощнейшего давления со стороны производителей оборудования. Но подобная тактика умолчания может срабатывать лишь на протяжении очень ограниченного интервала времени. Поэтому в мае появилось сразу несколько публикаций независимых экспертов, серьезнейшим образом компрометирующих системы биометрической защиты. В статье японского математика-криптографа Цутому Мацумото и его студентов из университета Иокогамы продемонстрировано, как любители без всяких профессиональных навыков сумели обмануть свыше десятка популярных коммерческих систем опознания пользователей по отпечатку пальца. Извлеченная же из трудов специализированной конференции статья двух голландцев, Тона ван дер Путте и Йероэна Койнинга, показывает, что при чуть более глубоком знании особенностей работы подобных дактилоскопических систем удается преодолевать их все практически со 100-процентным успехом (изготовив, например, фальшивый палец из силикона).
А в наиболее свежей публикации подобного рода эксперты немецкого компьютерного журнала «c't» провели обширное исследование целого букета из 11 систем биометрической верификации на основе распознавания лиц, пальцев и радужной оболочки глаз пользователей. Выводы, сделанные исследователями, совершенно однозначны: биометрические системы для потребительского рынка пока еще явно не достигли того уровня, когда их можно рассматривать в качестве реальной альтернативы традиционным паролям и персональным идентификационным номерам. Все из протестированных биометрических систем удалось без особого труда обмануть, а потому приходится их классифицировать скорее как забавные игрушки, а не как «серьезные средства защиты», пользуясь формулировкой их изготовителей.
Немаловажно подчеркнуть, что эксперты «c't» ориентировались в первую очередь на самые тривиальные методы обмана систем, не требующие сколько-нибудь серьезных профессиональных навыков. Так, систему опознания лиц удавалось преодолевать с помощью либо обычной фотографии зарегистрированного пользователя, либо экрана ноутбука, демонстрирующего видеоклип с записью лица «жертвы». Аналогично, с помощью цифровой фотографии глаза, распечатанной на цветном принтере высокого разрешения, удавалось обмануть систему анализа радужной оболочки. А многочисленные дактилоскопические системы преодолевались с помощью отпечатков пальцев «жертвы», снятых с помощью мелкого графитового порошка и липкой ленты-скотча.
Короче говоря, все эти любительские эксперименты более чем наглядно демонстрируют, почему изготовители биометрических систем столь старательно пытались помешать широкому опубликованию результатов независимых экспертиз их продукции.
Удаленная работа - шаг в будующее
Эксперты из Европейского института служб найма считают, что в 2010 году в Европе 27 млн. человек будут работать удаленно. Больше всего таких людей будет среди тех, кто уже выполнят какую-либо работу на домашнем компьютере, а также среди работающих одновременно в нескольких фирмах. В 2000 году их насчитывалось 3,7 млн., а к 2010 года эта цифра увеличится до 14 млн. Также к телеработникам присоединится большое число специалистов, предоставляющих свои услуги посредствам связи. Их количество возрастет до 6,58 млн. человек. Остальным людям, работающими удаленно, окажутся служащие предприятий, а также группа, получившая название - eLancers - те, кто работает сам на себя и при этом использует Интернет в качестве рабочего инструмента.
Надеемся, что такая ситуация будет в скором времени и в России.
