Классификация по размеру вреда

Киберпреступления, сопряженные с насилием или потенциальным насилием против человека, в особенности преступления против детей, имеют обычно больший приоритет. Преступления против собственности, имеющие большой размер финансовых потерь, имеют приоритет над преступлениями, принесшими незначительные потери.

Выводы

В данной главе проведена классификация источников угроз в киберпреступности, классификация киберпреступности по способу воздействия, по наличию насилия и по размеру вреда. На основе проведенной классификации, можно построить функциональную модель киберпреступлений.

киберпреступление компьютерный модель

Модели киберпреступлений

В этой главе поэтапно описаны действия киберпреступника, проведено моделирование киберпреступления в общем и в частных порядках.

Вполне очевидно, что все киберпреступления совершаются по какой-то определенной модели, что существуют определенные этапы, через которые обязательно необходимо пройти злоумышленнику при совершении противоправных действий (например, изучение объекта атаки, получение доступа к объекту, кража информации и заметание следов).

Все модели совершения киберпреступлений в общей части содержат три этапа: изучение жертвы, атака на жертву и сокрытие следов киберпреступления. Каждый из этапов содержит по три стадии: рекогносцировка, сканирование, составление карты, получение доступа к системе, расширение полномочий, кража информации, уничтожение следов, создание «черных ходов» и отказ в обслуживании. Однако у всех имеющихся моделей киберпреступлений имеется множество недостатков, касающихся отображения процессов формирования связей, управлений и механизмов, а также среды их возникновения.

Разработка этого материала стимулировалась отделом «К» МВД РТ и руководителем дипломного проекта. По вопросу моделей киберпреступлений очень мало материала, как российских, так и зарубежных авторов, кроме того, данный материал предназначен только для служебного пользования. Методы создания моделей МВД РТ полностью не раскрывает.

Поскольку после каждого шага злоумышленника рождаются все новые следы, ущерб соответственно становится специфическим. Тщательно исследуя ущерб и проводя обратные действия с объектом атаки, возможно реконструировать само киберпреступление буквально по шагам.

Так, например, если в ходе анализа узнается, что злоумышленник периодически похищал конфиденциальную информацию с закрытого источника в сети, становится очевидным, что он не мог провернуть этого без первоначального получения доступа к сети объекта, без увеличения полномочий в данной сети, без сканирования информационных ресурсов и без зомбирования объекта (исключения составляют инсайдеры). Информация обо всем этом непременно должна остаться в файловых журналах серверов, тщательное изучение которых вполне может указать непосредственно на злоумышленника.

Если в ходе изучения фактов узнается, что особо ценная информация уничтожена общеизвестными вредоносными программами, которые не могли проникнуть на объект, вследствие наличия на последнем межсетевого экрана, то необходимо уделить особое внимание открытым каналам передачи данных (флеш-накопители, компакт-диски и т.п.), а также произвести поиск приватных кодов. Подозрения могут в этом случае пасть на упакованные исполняемые файлы в системных папках операционной системы, которых просто там быть не должно.

Или, например, если становится известным, что злоумышленник модифицировал данные в определенной базе данных, то стоит уделить внимание модифицированным в этот период записям, в результате чего можно определить круг учетных записей, под которыми был получен несанкционированный доступ. Также стоит уделить внимание системным журналам базы данных, в которых может остаться информация о том. под какой учетной записью пытался получить доступ злоумышленник и был ли пароль взломан грубым перебором или был уже заранее известен. Из анализа проведенных злоумышленником изменений можно определить уровень его познаний в области этой базы данных и сузить крут подозреваемых лиц.

Только четкое представление проводящего анализ специалиста о том, что все кибепреступления совершаются в определенной последовательности, а также о том, какие следы рождаются в процессе информационного взаимодействия на разных стадиях, позволят ему взглянуть на имеющиеся факты получения несанкционированного доступа к охраняемой информации комплексно и адекватно.