Классификация киберпреступности

Содержание

 

Введение

1. Анализ киберпреступности

1.1 Основные понятия и определения

1.2 Классификация киберпреступности

1.2.1 Классификация компьютерных преступлений по Интерполу

1.2.2 Классификация компьютерных преступлений по Российскому законодательству

1.3 Актуальность и проблемы борьбы с киберпреступностью

1.4 Контроль над киберпреступностью

Выводы

2. Классификация киберпреступлений

2.1 Источники угроз в киберпространстве

2.2 Классификация источников угроз в киберпреступности

2.3 Мотивы и цели киберпреступников

2.4 Способы подготовки и совершения киберпреступлений

2.5 Характерные следы киберпреступлений

2.6 Классификация киберпреступлений

2.6.1 Классификация киберпреступлений по способу использования

2.6.1.1 Компьютер как объект преступления

2.6.1.2 Компьютер как орудие преступления

2.6.1.3 Компьютер как запоминающее устройство

2.6.2 Классификация по способу воздействия

2.6.3 Классификация по наличию насилия

2.6.4 Классификация по размеру вреда

Выводы

3. Модели киберпреступлений

3.1 Общая модель совершения киберпреступления

3.1.1 Информационный обмен

3.1.2 Совершение киберпреступления

3.1.2.1 Получение доступа

3.1.2.2 Расширение полномочий

3.1.2.3 Кража информации

3.1.2.4 Зомбирование

3.1.2.4 Сокрытие следов

3.1.2.5 Отказ в обслуживании

3.1.3 Этап расследования КП

3.1.3.1 Определение параметров

3.1.3.2 Обнаружение и фиксация следов

Выводы

4. Раздел БЖД

Введение

4.1 Охрана труда

4.1.1 Нормирование категории тяжести труда

4.1.2 Нормирование микроклимата помещения

4.1.3 Эргономика помещения

4.1.4 Описание вредных производственных факторов

4.1.5 Освещение рабочего места

4.1.6 Расчет искусственного освещения

4.1.7 Уровень шума на рабочем месте. Расчет уровня шума

4.2. Охрана окружающей среды

4.2.1 Современные методы утилизации и переработки твердых бытовых отходов

4.2.2 Рекомендации по защите окружающей среды от ТБО

4.3. Чрезвычайные ситуации

4.3.1 Классификация ЧС

4.3.2 Пожарная безопасность

Выводы

5. Анализ и оценка экономической эффективности разработки модели киберпреступлений

5.1 Общее описание системы

5.2 Расчет единовременных затрат

5.3 Расчет постоянных затрат

5.4 Затраты на электроэнергию

5.5 Оценка эффективности проекта

Заключение

Список литературы

 

Введение

 

В настоящее время компьютерные и телекоммуникационные технологии охватывают практически все сферы жизни общества. Не предвидя возможностей для злоупотребления, оно поставило эти технологии себе на службу, что породило новый вид преступности - компьютерной преступности.

Проблема киберпреступности переросла в масштабы мирового сообщества. Для разработки научного подхода к решению этой проблемы необходима ее формализация: выделение основных объектов и определение принципиальных свойств рассматриваемого явления.

Результаты анализа характеристики компьютерной преступности позволяют прогнозировать усложнение борьбы с нею ввиду того, что способы совершения компьютерных преступлений с каждым годом приобретают все более изощренный и трудноопределимый характер. К решению этой проблемы необходимо подходить комплексно.

Исходя из вышеописанного, сформулирована цель работы: повышение эффективности средств подготовки информации для расследования киберпреступлений.

Для реализации поставленной цели необходимо решить следующую последовательность задач:

- провести систематизацию компьютерной преступности, в которой выделить основные параметры;

- предложить классификации компьютерной преступности по разным признакам;

- построить общую модель, включающую этапы подготовки, совершения и расследования.

Чем лучше будет разработана база данных в области киберпреступности, тем эффективнее будут проводиться расследования в этой области.

Анализ киберпреступности

 

В российской специальной литературе недостаточно освещена проблема киберпреступности как следствия глобализации информационных процессов. Этот пробел еще предстоит восполнить[1]. России также не оказалось среди государств, подписавших в ноябре 2001 года Конвенцию Совета Европы о киберпреступности. Но международное сообщество тоже пока находится в поиске не только методов борьбы с этой проблемой, но и в процессе выработки единой политики по данному вопросу, в том числе понятийного аппарата.

Преступность в виртуальном пространстве – новое для нас явление, но часть преступлений, совершаемых в сфере высоких технологий - это знакомые нам кражи, мошенничества, вымогательство. И для исследования проблемы киберпреступности необходимо дать корректные определения таким явлениям, как виртуальное пространство, киберпреступность, компьютерные преступления, кибертерроризм, чтобы отграничить их друг от друга и от смежных понятий.

В данной главе рассматриваются основные понятия в киберпреступности, актуальность данной проблемы и способы борьбы.

1.1 Основные понятия и определения

 

В настоящее время не существует сколько-нибудь обобщенных данных для формирования понятий основных элементов характеристики киберпреступлений. Все еще не существует четкого определения понятия киберпреступления и дискутируются различные точки зрения по их классификации.

Некоторые правоведы считают, что компьютерные преступления представляют собой все преступления, при котором компьютер является орудием, средством или целью их совершения, а другие объединяют под этим термином все противозаконные действия, которые причиняют ущерб имуществу и связаны с электронной обработкой информации. В Германии, например, полиция, использует определение киберпреступности как «все противозаконные действия, при которых электронная информация выступала средством либо объектом».

В.Б. Вехов[2], определяя в своей работе данный вид преступлений как компьютерные преступления. В своих определениях "компьютерного преступления" Вехов четко акцентирует внимание на том, что это «предусмотренные уголовным законом общественно опасные действия».

Киберпреступность - это преступность в так называемом «виртуальном пространстве». Виртуальное пространство можно определить как моделируемое с помощью компьютера информационное пространство, в котором находятся сведения о лицах, предметах, фактах, событиях, явлениях и процессах, представленные в математическом, символьном или любом другом виде и находящиеся в процессе движения по локальным и глобальным компьютерным сетям, либо сведения, хранящиеся в памяти любого физического или виртуального устройства, а также другого носителя, специально предназначенного для их хранения, обработки и передачи.

Это определение соответствует рекомендациям экспертов ООН. По их мнению, термин «киберпреступность» охватывает любое преступление, которое может совершаться с помощью компьютерной системы или сети, в рамках компьютерной системы или сети или против компьютерной системы или сети. Таким образом, к киберпреступлениям может быть отнесено любое преступление, совершенное в электронной среде.

Преступление, совершенное в киберпространстве - это виновное противоправное вмешательство в работу компьютеров, компьютерных программ, компьютерных сетей, несанкционированная модификация компьютерных данных, а также иные противоправные общественно опасные действия, совершенные с помощью или посредством компьютеров, компьютерных сетей и программ.

Из источника [3]: понятие киберпреступности включает в себя не только деяния, совершенные в глобальной сети Интернет. Оно распространяется на все виды преступлений, совершенных в информационно-телекоммуникационной сфере, где информация, информационные ресурсы, информационная техника могут выступать (являться) предметом (целью) преступных посягательств, средой, в которой совершаются правонарушения и средством или орудием преступления.

Конвенция Совета Европы говорит о четырех типах компьютерных преступлений «в чистом виде», определяя их как преступления против конфиденциальности, целостности и доступности компьютерных данных и систем[4]:

незаконный доступ — ст. 2 (противоправный умышленный
доступ к компьютерной системе либо ее части);

незаконный перехват - ст. 3 (противоправный умышленный
перехват не предназначенных для общественности передач компьютерных данных на компьютерную систему, с нее либо в ее пределах);

вмешательство в данные - ст. 4 (противоправное повреждение,
удаление, нарушение, изменение либо пресечение компьютерных
данных);

вмешательство в систему - ст. 5 (серьезное противоправное
препятствование функционированию компьютерной системы путем ввода, передачи, повреждения, удаления, нарушения, изменения либо пресечения компьютерных данных).

На наш взгляд, именно эти четыре вида преступлений являются собственно «компьютерными», остальные - это либо связанные с компьютером (computer-related), либо совершаемые с помощью компьютера (computer-facilitated) преступления. К ним относятся:

преступления,в которых компьютер является орудием (электронные хищения, мошенничества и т.п.);

деяния, при совершении которых компьютер является интеллектуальным средством (например, размещение на сайтах детской порнографии, информации, разжигающей национальную, расовую, религиозную вражду и т.д.).

Сам термин «кибертерроризм» появился в лексиконе предположительно в 1997 году. Именно тогда специальный агент ФБР Марк Поллитт определил этот вид терроризма как «преднамеренные политически мотивированные атаки на информационные, компьютерные системы, компьютерные программы и данные, выраженные в применении насилия по отношению к гражданским целям со стороны субнациональных групп или тайных агентов».

Известный эксперт Д. Деннинг говорит о кибертерроризме как о «противоправной атаке или угрозе атаки на компьютеры, сети или информацию, находящуюся в них, совершенную с целью принудить органы власти к содействию в достижении политических или социальных целей».

Исследователи M.Дж. Девост, Б.X. Хьютон, Н.А. Поллард определяют информационный терроризм (а кибертерроризм является его разновидностью) как:

(1) соединение преступного использования информационных систем с помощью мошенничества или злоупотреблений с физическим насилием, свойственным терроризму; и

(2) сознательное злоупотребление цифровыми информационными системами, сетями или компонентами этих систем или сетей в целях, которые способствуют осуществлению террористических операций или актов.

Обобщая различные точки зрения, можно сделать вывод о том, что в настоящее время существуют два основных течения научной мысли.

Одна часть исследователей относит к компьютерным преступлениям действия, в которых компьютер является либо объектом, либо орудием посягательств.

Исследователи же второй группы относят к компьютерным преступлениям только противозаконные действия в сфере автоматизированной обработки информации. В качестве главного классифицирующего признака, позволяющего отнести эти преступления в обособленную группу, выделяется общность способов, орудий, объектов посягательств.

Иными словами, объектом посягательства является информация, обрабатываемая в компьютерной системе, а компьютер служит орудием посягательства.

Подводя некоторые итоги, можно выделить следующие характерные особенности киберпреступления:

1) неоднородность объекта посягательства;

2) выступление машинной информации, как в качестве объекта, так и в качестве средства преступления;

3) многообразие предметов и средств преступного посягательства.

Проблема налицо: существует проблема, которая нашла отражение в работах ученых, существуют разнообразные мнения, но отсутствует единство взглядов на понятие указанной категории преступлений.

Зарубежными коллегами например, используются такие понятия как High tech сrime или Cyber crime, которые переводятся как «преступления в сфере высоких технологий» и «киберпреступления».

Поэтому целесообразно обозначить термин «киберпреступление» как преступления, совершенные с использованием компьютерной сети, как компонента преступления, акцентируя внимание на способе совершения.

QS – компьютерный саботаж

QSH - с аппаратным обеспечением

QSS - с программным обеспечением

QSZ - прочие виды саботажа

Выводы

 

Киберпреступность уже стала большой проблемой для всего мира – и проблема стремительно нарастает. Правоохранительные органы пытаются угнаться за ней – законодатели принимают новые законы, полицейские агентства формируют специальные подразделения по борьбе с киберпреступностью. Киберпреступление, как и любое другое преступление есть не только правовая, но и социальная проблема. Чтобы успешно бороться с киберпреступностью, должны привлекаться IT – специалисты и те в обществе, кого затрагивает, прямо или косвенно преступная деятельность, нашедшая благоприятную среду – виртуальное пространство.

Необходимо создать унифицированную классификацию и формальную модель киберпреступлений, которые облегчат и противодействие, и расследование киберпреступности.

Выводы

 

В данной главе проведена классификация источников угроз в киберпреступности, классификация киберпреступности по способу воздействия, по наличию насилия и по размеру вреда. На основе проведенной классификации, можно построить функциональную модель киберпреступлений.

киберпреступление компьютерный модель

 

Модели киберпреступлений

 

В этой главе поэтапно описаны действия киберпреступника, проведено моделирование киберпреступления в общем и в частных порядках.

Вполне очевидно, что все киберпреступления совершаются по какой-то определенной модели, что существуют определенные этапы, через которые обязательно необходимо пройти злоумышленнику при совершении противоправных действий (например, изучение объекта атаки, получение доступа к объекту, кража информации и заметание следов).

Все модели совершения киберпреступлений в общей части содержат три этапа: изучение жертвы, атака на жертву и сокрытие следов киберпреступления. Каждый из этапов содержит по три стадии: рекогносцировка, сканирование, составление карты, получение доступа к системе, расширение полномочий, кража информации, уничтожение следов, создание «черных ходов» и отказ в обслуживании. Однако у всех имеющихся моделей киберпреступлений имеется множество недостатков, касающихся отображения процессов формирования связей, управлений и механизмов, а также среды их возникновения.

Разработка этого материала стимулировалась отделом «К» МВД РТ и руководителем дипломного проекта. По вопросу моделей киберпреступлений очень мало материала, как российских, так и зарубежных авторов, кроме того, данный материал предназначен только для служебного пользования. Методы создания моделей МВД РТ полностью не раскрывает.

Поскольку после каждого шага злоумышленника рождаются все новые следы, ущерб соответственно становится специфическим. Тщательно исследуя ущерб и проводя обратные действия с объектом атаки, возможно реконструировать само киберпреступление буквально по шагам.

Так, например, если в ходе анализа узнается, что злоумышленник периодически похищал конфиденциальную информацию с закрытого источника в сети, становится очевидным, что он не мог провернуть этого без первоначального получения доступа к сети объекта, без увеличения полномочий в данной сети, без сканирования информационных ресурсов и без зомбирования объекта (исключения составляют инсайдеры). Информация обо всем этом непременно должна остаться в файловых журналах серверов, тщательное изучение которых вполне может указать непосредственно на злоумышленника.

Если в ходе изучения фактов узнается, что особо ценная информация уничтожена общеизвестными вредоносными программами, которые не могли проникнуть на объект, вследствие наличия на последнем межсетевого экрана, то необходимо уделить особое внимание открытым каналам передачи данных (флеш-накопители, компакт-диски и т.п.), а также произвести поиск приватных кодов. Подозрения могут в этом случае пасть на упакованные исполняемые файлы в системных папках операционной системы, которых просто там быть не должно.

Или, например, если становится известным, что злоумышленник модифицировал данные в определенной базе данных, то стоит уделить внимание модифицированным в этот период записям, в результате чего можно определить круг учетных записей, под которыми был получен несанкционированный доступ. Также стоит уделить внимание системным журналам базы данных, в которых может остаться информация о том. под какой учетной записью пытался получить доступ злоумышленник и был ли пароль взломан грубым перебором или был уже заранее известен. Из анализа проведенных злоумышленником изменений можно определить уровень его познаний в области этой базы данных и сузить крут подозреваемых лиц.

Только четкое представление проводящего анализ специалиста о том, что все кибепреступления совершаются в определенной последовательности, а также о том, какие следы рождаются в процессе информационного взаимодействия на разных стадиях, позволят ему взглянуть на имеющиеся факты получения несанкционированного доступа к охраняемой информации комплексно и адекватно.

Этап 2. Перечень сети

Первый шаг в процессе создания перечня (инвентаризации) сети состоит в идентификации доменных имен и связанных с ними сетей, относящихся к данной организации. Доменные имена характеризуют присутствие в Интернете и являются сетевыми эквивалентами названия компании. Существует множество баз данных, которые можно опросить для получения необходимой информации.

Разные запросы предоставляют различную информацию. Основная часть сведений, используемых злоумышленниками в начале атаки, изменяется запросами следующих типов:

- Организационным. Выводит всю информацию, относящуюся к конкретной организации;

- Доменный. Выводит всю информацию, относящуюся к конкретному домену;

- Сетевой. Выводит всю информацию, относящуюся к конкретной сети или к одному IP-адресу;

- Контактный. Выводит всю информацию, относящуюся к конкретному лицу, обычно— к ответственному сотруднику организации.

Этап 3. Опрос DNS

После определения всех связанных доменов можно начать опрос DNS (Domain Name Service — служба доменных имен). DNS представляет собой распределенную базу данных, используемую для отображения IP-адресов на имена сетевых компьютеров и наоборот. Если DNS сконфигурирована без учета требований зашиты, важная информация об организации становится доступной.

Пересылка файла зоны

Одной из наиболее серьезных ошибок конфигурации, которую может сделать системный администратор, является разрешение ненадежным пользователям Интернета выполнять пересылку зон DNS.

Пересылка файла зоны (zone transfer) позволяет вторичному управляющему серверу обновлять свою базу данных о зонах, но запросам к первичному управляющему серверу. Это делается для повышения надежности (резервирования) DNS на случай отказа первичного сервера имен. Обычно пересылку зоны DNS достаточно выполнять только на вторичных управляющих серверах DNS. Однако многие серверы DNS сконфигурированы неверно, поэтому выдают копию зоны любому, кто ее запросит. Это не так плохо, если выводятся только информация о подключенных к Интернету системах и реальные имена сетевых компьютеров, хотя поиск потенциальных целей для атаки упрощается. Настоящая проблема возникает тогда, когда организация не пользуется механизмом общих, личных DNS для отделения внешней информации DNS (которая является общедоступной) от своей внутренней (личной, частной) информации. В этом случае атакующим раскрываются имена и IP-адреса внутренних сетевых компьютеров. Предоставление в Интернете информации о внутренних IP-адресах ненадежному пользователю аналогично предоставлению полной схемы или дорожной карты внутренней сети организации.

Этап 4. Разведка сети

После идентификации сетей злоумышленник пытается определить их топологию, а также потенциальные пути доступа.

Сканирование.

Если рекогносцировка — это поиск источников информации, то сканирование обнаружение уязвимостей систем. Во время рекогносцировки атакующий получает: имена и телефоны сотрудников, диапазоны IP-адресов, серверы DNS и почтовые серверы. Теперь он определяет, какие системы живы и достижимы из Интернета, с помощью утилит диапазонной проверки по ping, сканирования портов и автоматизированных средств исследования.

Сканирование портов

Применив диапазонное зондирование IСМР или TCP, злоумышленник находит функционирующие (живые) системы и при этом собирает некоторую полезную информацию. Затем приступает к сканированию портов каждой системы. Сканирование портов представляет собой процесс подключения к портам TCP и UDP исследуемой системы с целью выявления работающих служб или состояния порта LISTENING (прослушивание).

Идентификация слушающих портов важна в определении типа операционной системы и используемых приложений. Активные слушающие службы могут позволить неавторизованному пользователю получить доступ к системам с неправильной конфигурацией или к версиям программных продуктов с известными слабыми местами в защите.

Итак, существует множество средств и методов сканирования портов. Основная цель при сканировании портов состоит в выявлении слушающих портов TCP и UDP исследуемой системы. Вторая цель — определение типа сканируемой операционной системы. Конкретная информация об операционной системе используется на этапе построения карты слабых мест. Требуется максимальная точность в выявлении уязвимых мест исследуемой системы или систем. Поэтому нужна определенная степень уверенности в том, что удастся идентифицировать операционную систему целевого объекта. Применяют методы захвата заголовков, которые извлекают информацию из служб FTP, telnet, SMTP, HTTP, POP и др. Это простейший способ определения операционной системы и соответствующего номера версии работающей службы.

Способы, которые могут быть использованы для идентификации операционной системы.

· Проба пакетом FIN.На открытый порт посылается пакет FIN. Правильным поведением будет отсутствие ответа, однако многие реализации стека (например, в Windows NT) отправляют в ответ сообщение FIN/ACK.

· Проба фальшивым флагом. В заголовке TCP пакета SYN устанавливается неопределенный флаг TCP. Некоторые операционные системы (например, Linux) передают установленный флаг в ответном пакете.

· Выборка начального последовательного номера (ISN, Initial Sequence Number). Основная предпосылка состоит в поиске шаблона для начальной нумерации, применяемого в реализации TCP при отклике на запрос соединения.

· Мониторинг бита запрета фрагментации (DF, Do not Fragment). Некоторые операционные системы для повышения производительности устанавливают бит (флаг) запрета фрагментации. Проверка этого бита позволяет определить тип операционной системы.

· Начальный размер окна TCP. Отслеживается начальный размер окна в возвращаемых пакетах. Для некоторых реализаций стека это значение уникально и может существенно повысить точность идентификации.

· Значение АСК. Стеки IP отличаются значением последовательного номера (Sequence Number), используемым для поля АСК (некоторые реализации посылают в ответ тот же номер, а другие— номер плюс один).

· Подавление сообщений об ошибках ICMP.

· Выборки информации сообщений об ошибках ICMP. Операционные системы отличаются объемом информации, которую они посылают в ответ на ошибки ICMP. Проверяя возвращенное сообщение, можно сделать некоторые предположения о типе операционной системы.

· Целостность ответных сообщений об ошибках ICMP. Некоторые реализации стека изменяют заголовки IP в возвращаемых сообщениях об ошибках IСМР. Проверяя изменение заголовка, можно сделать некоторые предположения об операционной системе.

· Тип службы (ToS, Type of Service). Большинство реализаций стека помешает в это поле значение 0, однако оно может варьироваться.

· Обработка фрагментов. При повторной сборке пакета некоторые стеки переписывают новые данные поверх старых, а некоторые наоборот. Выяснив, как были собраны тестовые пакеты, можно сделать определенные предположения об операционной системе хоста.

· Параметры TCP. Посылая пакеты несколькими параметрами (такими, как "нет операции", максимальный размер сегмента, коэффициент масштаба окна или метка времени), можно сделать некоторые предположения об операционной системе.

Составление карты

Далее злоумышленник составляет карту (план) своих последующих действий, где определяет конкретные цели, задачи и мотивы своего деяния.

После этого злоумышленник переходит на стадию совершения КП, где его действия уже нарушает законодательство РФ и других стран.

 

Получение доступа

Имея определенные цели, мотивы и задачи киберпреступник получает доступ к объекту. На стадии получения доступа, злоумышленник решает проблемы обхода систем защиты объекта, а также получения доступа к интересующему информационному ресурсу с минимальными правами.

Варианты получения доступа к объекту, то есть взлом системы подробно представлены в зарубежной литературе Макклуре С, Скембрэй Док., Куртц Дне, российской литературе Левина М.

Получив доступ к объекту с ограниченными правами, злоумышленник при помощи специализированных утилит производит эскалацию своих привилегий, т.е расширяет свои полномочия.

Расширение полномочий

Чтобы получить информацию с взломанной машины и остальной части сети, необходимо расширить привилегии до статуса более мощной учетной записи.

Этот процесс называется расширением привилегий. Этот термин в общих чертах описывает процесс расширения возможностей владельца текущей учетной записи пользователя до возможностей более привилегированной учетной записи, такой как учетная запись администратора или запись SYSTEM. С точки зрения преступника, взлом учетной записи пользователя и последующая атака по расширению привилегий может быть проще, чем поиск на удаленной системе уязвимого места, которое сразу же могло предоставить права уровня суперпользователя. В любом случае, прошедший аутентификацию злоумышленник, скорее всего, будет иметь в своем распоряжении больше ресурсов, чем тот, кто не прошел аутентификацию, независимо от уровня привилегий.

В Windows каждый субъект доступа обладает некоторым (возможно, пустым) набором привилегий. Привилегии представляют собой права на выполнение субъектом действий, касающихся системы в целом, а не отдельных ее объектов.

Существуют следующие привилегии (наиболее основные):

- архивирование файлов и каталогов;

- завершение работы операционной системы и перезагрузка компьютера;

- изменение системного времени;

- доступ к компьютеру из сети;

- разрешение локального входа;

- отладка программ;

- принудительное удаленное завершение работы;

- загрузка и выгрузка драйверов устройств;

- управление аудитом и журналом безопасности;

- создание файла подкачки;

- увеличение приоритета диспетчирования;

- изменение параметров среды;

- смена владельца файлов или иных объектов;

- создание журналов безопасности.

При входе в систему пользователь (преступник) получает привилегии, а затем расширяет их до уровня, необходимого для решения поставленных целей.

Некоторые из перечисленных привилегий позволяют злоумышленнику, обладающим ими, преодолевать те или иные элементы защиты операционной системы. Рассмотрим эти привилегии.

- Привилегия создавать резервные копии информации позволяет пользователю игнорировать разграничение доступа при чтении файлов, директорий, ключей и значений реестра. Аналогично – восстанавливать.

- Привилегия назначать процессам высокий приоритет позволяет пользователю "завесить" операционную систему, создав процесс с высоким приоритетом и введя его в вечный цикл.

- Пользователь, обладающий привилегией изменять системные переменные среды, может, изменив значения переменных path и windir, добиться того, чтобы поиск операционной системой исполняемых модулей для загрузки начинался с личной директории пользователя. Если затем пользователь поместит в эту директорию под именем одной из системных библиотек программную закладку, при первом же обращении операционной системы к данной библиотеке данная программная закладка будет запущена с полномочиями системного процесса.

- Привилегия отлаживать программы позволяет пользователю обращаться к любому процессу по любому методу доступа. В частности, программа, запущенная таким пользователем, может изменить произвольным образом содержимое адресного пространства любого процесса операционной системы, что предоставляет такому пользователю практически неограниченные полномочия.

- Привилегия загружать и выгружать драйверы и сервисы позволяет пользователю выполнять произвольный код от имени и с правами операционной системы (псевдопользователя SYSTEM). Пользователь может внедрять в операционную систему программные закладки под видом драйверов и сервисов. Учитывая, что драйверы устройств Windows NT могут игнорировать большинство защитных функций операционной системы, эта привилегия дает обладающему ею субъекту практически неограниченные полномочия.

- Привилегия аудитора позволяет пользователю маскировать свои несанкционированные действия, изменяя политику аудита таким образом, чтобы эти действия не регистрировались.

- Привилегия добавлять записи в журнал аудита (создание журналов безопасности) позволяет пользователю записывать в журнал аудита произвольную информацию, в том числе и информацию, компрометирующую других пользователей.

Расширение привилегий — это очень мощный вид атак, которые используются для повышения уровня прав учетной записи пользователя до уровня администратора.

 

Кража информации

После расширения полномочий до необходимого злоумышленнику уровня, он производит кражу информации, которая возможна в двух реализациях:

· непосредственный перенос информации на компьютер, с которого злоумышленник получил доступ;

· копирование на общие ресурсы типа файлообменных серверов, а затем перенос с этих ресурсов на нужный компьютер.

Если в первом случае отследить компьютер, на который произошел перенос информации, не представляет больших сложностей, то во втором процедура поиска может зайти в тупик из-за большей территориальной удаленности аппаратной части этого сервера или из-за его анонимности.

Произведя кражу информации, злоумышленник оценивает ее значимость и принимает решение произвести зомбирование объекта, переходя тем самым на стадию- зомбирование.

Зомбирование

Злоумышленник негласно для легального пользователя переносит на объект необходимые вредоносные программы.

Сначала переносится специализированная программа класса «Downloader» необходимой версии и назначения, в последствии именно эта программа в автоматическом режиме будет проводить остальные переносы вредоносных кодов от класса “scanner” – для периодического изучения изменений информации до “rootkit”- для скрытного удаленного администрирования данного объекта.

После переноса на объект всех необходимых вредоносных программ, злоумышленник периодически проводит аудит ресурсов, эксплуатирует аппаратные и информационные ресурсы объекта и т. д. В последнее время стала актуальна тенденция объединения зараженных компьютеров посредством специализированных вредоносных программ в «зомби - сети», благодаря которым можно управлять одновременно несколькими зараженными компьютерами.

Программы, которые позволяют киберпреступникам удаленно управлять зараженными машинами (каждой в отдельности, частью компьютеров, входящих в сеть, или всей сетью целиком) без ведома пользователя. Такие программы называются ботами.

Ботнеты обладают мощными вычислительными ресурсами, являются грозным кибероружием и хорошим способом зарабатывания денег для злоумышленников. При этом зараженными машинами, входящими в сеть, хозяин ботнета может управлять откуда угодно: из другого города, страны или даже с другого континента, а организация Интернета позволяет делать это анонимно.

Управление компьютером, который заражен ботом, может быть прямым и опосредованным. В случае прямого управления злоумышленник может установить связь с инфицированным компьютером и управлять им, используя встроенные в тело программы-бота команды. В случае опосредованного управления бот сам соединяется с центром управления или другими машинами в сети, посылает запрос и выполняет полученную команд.

Зараженные вредоносной программой-ботом компьютеры, находящиеся под тайным контролем киберпреступников, называют еще зомби-компьютерами, а сеть, в которую они входят, – зомби-сетью.

Использование ботнетов

Ботнеты могут использоваться злоумышленниками для решения криминальных задач разного масштаба:

· Рассылка спама. Многотысячные ботнеты позволяют спамерам осуществлять с зараженных машин миллионные рассылки в течение короткого времени. Кроме обеспечения скорости и масштабности рассылок, ботнеты решают еще одну проблему спамеров. Адреса, с которых активно рассылается спам, зачастую попадают в черные списки почтовых серверов, и письма, приходящие с них, блокируются или автоматически помечаются как спам. Рассылка спама с сотен тысяч зомби-машин позволяет не использовать для рассылки одни и те же адреса.

· Кибершантаж. Ботнеты широко используются и для проведения DDoS атак (Distributed Denial of Service – распределенная атака типа «отказ в обслуживании»). В ходе такой атаки с зараженных ботом машин создается поток ложных запросов на атакуемый сервер в Сети. В результате сервер из-за перегрузки становится недоступным для пользователей.

· Анонимный доступ в Сеть. Злоумышленники могут обращаться к серверам в Сети, используя зомби-машины, и от имени зараженных машин совершать киберпреступления - например, взламывать веб-сайты или переводить украденные денежные средства.

· Кража конфиденциальных данных. Этот вид криминальной деятельности, пожалуй, никогда не перестанет привлекать киберпреступников, а с помощью ботнетов улов в виде различных паролей (для доступа к E-Mail, ICQ, FTP-ресурсам, веб-сервисам) и прочих конфиденциальных данных пользователей увеличивается в тысячи раз. Бот, которым заражены компьютеры в зомби-сети, может скачать другую вредоносную программу – например, троянца, ворующего пароли. В таком случае инфицированными троянской программой окажутся все компьютеры, входящие в эту зомби-сеть, и злоумышленники смогут заполучить пароли со всех зараженных машин. Украденные пароли перепродаются или используются, в частности, для массового заражения веб-страниц (например, пароли для всех найденных FTP-аккаунтов) с целью дальнейшего распространения вредоносной программы-бота и расширения зомби-сети.

Однако наступает момент, когда появляется необходимость убрать все следы пребывания на данном объекте по каким либо причинам. Так киберпреступление переходит на следующую стадию – уничтожение следов, реализующееся в виде специализированных кодов, которые после сокрытия следов самоуничтожаются.

В итоге эксплуатации объекта на нем не остается никаких очевидных следов, а поэтому определить злоумышленника и привлечь к ответственности становится делом практически