Немного неточностей - 146 статья дана в новой редакции, а 272 типично "хакерская" статья в старой.
"Взяли" его, наверное, как раз по 272, а потом добавили 146.
Переквалификация нормальное дело.
Я бы вообще не стал верить всему тому что написано, тем более что все материалы дела не известны, всё на уровне слухов, не известно чем в суде это ещё закончится. Это как постановка диагноза заболевания по телефону - разговор ни о чём - нужно пощупать, послушать, помять, постучать
Цитату Набокова по поводу подобной писанины приводить не буду.
НЕПРАВОМЕРНЫЙ ДОСТУП К КОМПЬЮТЕРНОЙ ИНФОРМАЦИИ В СЕТЯХ ЭВМ
В.А. МИЛАШЕВ
Милашев В.А., кандидат юридических наук.
Особенности следообразования при удаленном воздействии в сетях ЭВМ
Для объяснения противоправной деятельности злоумышленника в компьютерных сетях часто используется терминологическая база, взятая из таких дисциплин, как теория защиты информации и теория компьютерных сетей. Однако механический перенос терминологии создает проблемы, так как в устоявшееся содержание конкретных определений вкладывается иной смысл.
Следует остановиться на концептуальном для рассматриваемой проблемы термине "удаленный доступ".
В технических дисциплинах этот термин используется для обозначения возможности взаимодействия отдельных компьютеров на значительных расстояниях. Метод удаленного доступа позволяет пользователю со своего компьютера подключаться к другому компьютеру, используя линии электросвязи, и управлять его работой так, как будто он непосредственно пользуется этим компьютером.
Противоправное воздействие на компьютерную информацию, как при удаленном доступе, так и в локальных сетях, основывается на механизме взаимодействия ЭВМ и сетей ЭВМ, который мы определяем как совокупность разработанных <*> и применяемых правил и технологий, реализующих обмен цифровой информацией через компьютерные сети.
-------
<*> Существует несколько органов по стандартизации, как официальных, так и неофициальных. Самыми важными органами, по нашему мнению, являются POSIX (Portable Operating System Environment - Организация по переносимым операционным системам) и IETF (Internet Engineering Task Force - Инженерная комиссия Интернет). Рефераты новых стандартов публикуются в материалах телеконференций. Например, порядок работы протоколов сети Internet описывается документами RFS (RFS 791, RFS 1058 и т.д.). Немет Э., Снайдер Г., Сибасс С., Хейн Т.Р. UNIX: руководство системного администратора. Для профессионалов / Пер. с англ. СПб.: Питер; К.: Издательская группа BHV, 2002. С. 859.
Изучение практики правоохранительных органов показывает, что с использованием сетевых компьютерных технологий совершаются не только преступления в сфере компьютерной информации, но и иные преступления, предусмотренные УК РФ.
Например, 27 ноября 2001 г. в ГУВД г. Москвы поступило обращение юридического атташе посольства США в Москве о вымогательстве со стороны неизвестного лица из Российской Федерации денег в сумме 10000 долларов США у руководства "Гринпойнт Банка" под угрозой распространения порочащих их сведений.
В ходе проведения комплекса ОРМ сотрудниками Управления "Р" установлен и задержан по месту жительства участник организованной группы П., который отправлял электронной почтой в адрес администрации американского банка "Гринпойнт Банк" сообщения, в которых утверждалось, что отправитель располагает определенной конфиденциальной информацией, включая имена и номера банковских счетов примерно 50% вкладчиков банка. При этом потребовал выплатить ему 10000 долларов США, в противном случае информация о вкладчиках будет опубликована в сети Интернет. В результате руководство банка осуществило перечисление вышеуказанных денежных средств на расчетный счет в г. Сургут на имя задержанного. Суммарный ущерб, вызванный действиями преступника, составил свыше 250 тысяч долларов США. По данному факту возбуждено уголовное дело СУ при УВД г. Сургута по ч. 3 ст. 163 УК РФ <*>.
-------
<*> Материалы Следственного управления МВД РФ.
Видно, что использование сетевых технологий явилось способом совершения преступления, предусмотренного нормой Уголовного кодекса РФ, не отнесенной к преступлениям в сфере компьютерной информации.
Учитывая изложенное, под удаленным воздействием на ЭВМ и их сети следует понимать способ совершения преступления, при котором злоумышленник применяет специальные приемы и средства, основанные на использовании механизма взаимодействия ЭВМ в сетях ЭВМ для достижения противоправного результата.
Специальные приемы и средства - это инструментарий злоумышленника. Особенность этих приемов и средств состоит именно в том, что они непосредственно связаны с применением механизма взаимодействия ЭВМ в сетях ЭВМ. Под приемом, реализующим удаленное воздействие, мы понимаем способ действия или линию поведения злоумышленника, позволяющие ему воздействовать на ЭВМ и их сети в целях достижения противоправного результата. Под средством, реализующим удаленное воздействие, мы понимаем компьютерную информацию (команда, программа), позволяющую воздействовать на ЭВМ и их сети в целях достижения противоправного результата.
Действительно, с точки зрения выявления информационных следов на носителе информации - компьютере, который подвергся удаленному воздействию, совершенно безразлично произошло ли оно из сети, к которой он принадлежит (например, локальной сети), или совершено извне, например, через сеть Интернет. Основным и существенным является то, что команды, использованные для достижения противоправного результата, направлялись в компьютер жертвы не с его устройств ввода, а с другого компьютера по линии связи, и эти команды реализовали механизм взаимодействия компьютеров в сети.
Удаленное воздействие, являясь способом совершения преступления, тесно связано с такими элементами, как субъект, орудие, предмет посягательства, результат и цель противоправной деятельности.
Выявление многообразия проявления этих элементов и их связей друг с другом позволяет сформировать общее представление об удаленном воздействии и его проявлении вовне в качестве элемента объективной стороны противоправной деятельности.
Любое удаленное воздействие совершается злоумышленником для достижения определенной цели через получение конкретного результата.
Ради достижения этой цели злоумышленник выбирает средства и способ реализации преступного замысла.
Рассмотрим элементы криминалистической характеристики преступления, совершенного способом удаленного воздействия.
Злоумышленники и их цели. Лица, осуществляющие удаленное воздействие на компьютеры, руководствуются различными мотивами и целями. Так, Д. Айков полагает, что, "с одной стороны, это подростки, чье увлечение компьютерами и возможностью их взаимодействия перерастает в совершение противоправных действий, с другой - это лица, охотящиеся за государственными секретами, а также террористы. В середине находятся недовольные служащие, которые совершают преступления по мотивам мести, а также нанятые хакеры, которые совершают взлом системы за деньги" <*>.
-------
<*> David Icove, Karl Seger and William VonStorch, Computer Crime: A Crimefighter's Handbook, O'Reilly & Associates, Inc., Sebastopol, CA, 1995. P. 61.
Д. Рассел <*> выделяет две категории лиц, совершающих такие преступления. Это лица "свои" и "посторонние". К "своим" автор относит служащих организаций и учреждений, лиц уволенных (бывшие служащие), студентов и т.д. К посторонним лицам она относит иностранных агентов, террористов, преступников.
-------
<*> Deborah Russell and G. T. Gangemi, Sr., Computer Security Basics, O'Reilly & Associates, Inc., Sebastopol, CA, 1991. P. 14.
Ф. Коен <*> выделяет 26 категорий лиц, осуществляющих преступные действия. Подобную позицию высказывает и В. Швартау <**>.
-------
<*> Frederick B. Cohen. Protection and Security on the Information Superhighway, John Wiley & Sons, New York, 1995. P. 57.
<**> Winn Schwartau, Information Warfare: Chaos on the Electronic Superhighway, Thunder's Mouth Press, New York, NY, 1994. P. 215.
Альтернативным подходом является разделение лиц, осуществляющих удаленное воздействие, в зависимости от того, какие действия они совершают. Д. Айков предложил следующую классификацию:
- хакеры;
- преступники;
- вандалы.
Основа этой классификации в мотивации поступков:
- мотивация хакера состоит в доступе к информационным ресурсам, поражение защиты системы как решение задачи их интересует больше, чем личная материальная выгода;
- мотивация преступника - материальная выгода либо, как в случае с террористами, политическая;
- мотивация вандала - повреждение ЭВМ или сети <*>.
-------
<*> David Icove, Karl Seger and William VonStorch, Computer Crime: A Crimefighter's Handbook, O'Reilly & Associates, Inc., Sebastopol, CA, 1995. P. 62.
Однако неточность такой классификации состоит в том, что вне зависимости от побуждений все эти категории описывают преступное поведение, следовательно, отделять хакеров и вандалов от преступников логически неверно.
Д. Ховард <*> предложил иную классификацию: хакеры, шпионы, террористы, корпоративные воры, профессиональные преступники, вандалы.
-------
<*> www.cert.org
В.В. Крылов вслед за Д. Ховардом и А. Веховым предложил классифицировать злоумышленников следующим образом <*>: хакеры, шпионы, террористы, корыстные преступники, вандалы, психически больные лица. С ним соглашается Ю.В. Гаврилин <**>.
-------
<*> Крылов В.В. Расследование преступлений в сфере компьютерной информации. Криминалистика / Под ред. Н.П. Яблокова. М., 1999. С. 620.
<**> Гавилин Ю.В. Преступления в сфере компьютерной информации. М. С. 90.
Мы считаем, что классификация, предложенная Д. Ховардом, в полной мере исчерпывает все возможные типы субъектов данного вида противоправной деятельности, поэтому на данном этапе ее расширение не целесообразно.
Орудия. Как указывалось ранее, компьютер обрабатывает только двоичный код, поэтому иной возможности удаленного воздействия, кроме направления в адрес компьютера жертвы именно таких сигналов, не существует. По существу, такой двоичный код, исполняемый на удаленном компьютере, и является орудием, с помощью которого злоумышленник реализует преступный замысел.
Существует большое разнообразие орудий, с помощью которых осуществляется удаленное воздействие на ЭВМ и их сеть. Однако вся их совокупность может быть, по нашему мнению, поделена на следующие категории:
- команды пользователя,
- программы.
Команды пользователя - символы или их совокупность, набираемые злоумышленником с помощью устройств ввода информации, исполнение которых на удаленном компьютере реализует цели удаленного воздействия. Команды пользователя до последнего времени были наиболее известным и часто используемым способом удаленного воздействия.
Программой в соответствии с законом Российской Федерации "О правовой охране программ для электронных вычислительных машин и баз данных" является объективная форма представления совокупности данных и команд, предназначенных для функционирования электронных вычислительных машин (ЭВМ) и других компьютерных устройств с целью получения определенного результата.
Программы для осуществления удаленного воздействия могут быть разделены на различные группы:
1. Эксплоиты - это программы, использующие какие-либо недоработки в программах-приложениях, установленных на удаленном компьютере, запуск которых приводит достижению злоумышленником противоправного результата.
2. Автономные агенты - программы или фрагменты программ, которые действуют независимо от пользователя и используют какую-либо уязвимость. Основное его отличие от иных программ состоит в том, что он сам выбирает цель удаленного воздействия. Логика работы автономного агента позволяет ему самому выбирать компьютеры для удаленного воздействия. Наиболее известный агент - это компьютерный вирус <*>. Вирусы распространяются, копируя себя в другие программы, тем самым заражая их.
-------
<*> Donald B. Parker. The Trojan Horse Virus and Other Crimoids. In: Computers Under Attack: Intruders, Worms, and Viruses, Peter J. Denning, editor, ACM Press, New York, NY, 1990. P. 544 - 554.
3. Комплексный набор - программа, объединяющая совокупность программ, комплексное использование которых позволяет использовать ту или иную уязвимость. Такой инструментарий может содержать программы, позволяющие вести скрытое наблюдение за трафиком в сети, выяснять ее структуру, действующие в сети компьютеры, их назначение и установленное на них программное обеспечение, а также решать иные задачи.
4. Распределенный инструмент - программа, позволяющая реализовать механизм удаленного воздействия, используя силы и средства нескольких компьютеров, которые по команде злоумышленника начинают удаленное воздействие на выбранный злоумышленником компьютер. Копии программных средств для удаленного воздействия помещаются на компьютеры, которые будут реализовывать удаленное воздействие по команде злоумышленника. При этом они конфигурируются им таким образом, чтобы точно знать IP-адрес компьютера жертвы. Удаленное воздействие начинается в точно установленное время, которое задается пользователем этой программы или непосредственно по его команде.
При реализации такого удаленного воздействия трудно определить его источник, так как его реализуют сразу несколько компьютеров, а компьютер злоумышленника - инициализирующий удаленное воздействие, может быть отключен прежде, чем само удаленное воздействие будет начато.
5. Средства перехвата трафика - программы позволяющие перехватывать данные, передаваемые по линии электросвязи. Такая программа может успешно перехватывать пароли и логины пользователей, так как они передаются, как правило, по сети в открытом виде.
6. Программы типа "Троянский конь". Скрыто устанавливается злоумышленником на удаленном компьютере, как правило, путем встраивания ее в другую программу. Такая программа-носитель выполняет обычные функции (является игрой, текстовым редактором или выполняет иные полезные для пользователя действия), однако наряду с этими задачами она выполняет и скрытые функции, например, может удалять или копировать файлы (например, файлы, содержащие пароли) <*>.
-------
<*> David Icove, Karl Seger and William VonStorch, Computer Crime: A Crimefighter's Handbook, O'Reilly & Associates, Inc., Sebastopol, CA, 1995. P. 45.
7. Руткит - набор программ, позволяющих злоумышленнику "закрепиться" в компьютере жертвы и получить к нему в последующем доступ в любое удобное время. Как правило, такой набор содержат измененные версии стандартных системных файлов, не вызывающих подозрение у пользователя компьютера, которые по команде злоумышленника открывают ему доступ к сервисам и ресурсам ЭВМ. Примером таких программ могут служить: Adora, Linux root kit aka LRK, Synapsys <*>.
-------
<*> ХакерСпец. 2003. N 7. С. 78.
8. Логвайпер - программа, удаляющая следы противоправной деятельности после неправомерного доступа в компьютер. Примером такой программы служит Vanish2, Grlogwipe, Zap3 <*>.
-------
<*> ХакерСпец. 2003. N 7. С. 62.
Обстановка совершения преступления. Основные элементы, характеризующие обстановку совершения данного вида преступлений, по существу, рассматривались авторами, которые затрагивали в своих исследованиях криминалистические характеристики преступлений в сфере компьютерной информации. Так, Л.Н. Соловьев, рассматривая обстановку совершения преступлений, связанных с созданием, использованием и распространением вредоносных программ для ЭВМ, приводил такие элементы: вещественные, пространственные, временные, производственно-бытовые, программно-технические, поведенческо-психологические, используемые меры защиты. При этом автор выделял два элемента: программно-технические и используемые меры защиты <*>.
-------
<*> Соловьев Л.Н. Расследование преступлений, связанных с созданием, использованием и распространением вредоносных программ для ЭВМ. М., 2003. С. 16.
Говоря об удаленном воздействии мы полагаем, что можно указать несколько наиболее важных, по нашему мнению, элементов, определяющих обстановку совершения преступления, связанного с удаленным воздействием. Соглашаясь с Л.Н. Соловьевым, мы включаем в их число: аппаратные средства, программные средства, средства защиты. Вместе с тем считаем целесообразным добавить новый элемент - уязвимость.
Три первых элемента достаточно подробно описывались в литературе и не требуют дополнительного разъяснения. Вместе с тем последний элемент требует раскрытия.
Для осуществления удаленного воздействия злоумышленник должен воспользоваться той или иной уязвимостью, имеющейся в ЭВМ жертвы (сети ЭВМ).
А.В. Лукацкий определяет уязвимость <*> как любую характеристику информационной системы, использование которой злоумышленником может привести к реализации преступного замысла.
-------
<*> Лукацкий А.В. Обнаружение атак. 2-е изд., перераб. и доп. СПб.: БХВ - Петербург, 2003. С. 38.
Мы предлагаем уточнить эту формулировку. Уязвимость - это свойство, характеризующее недостатки компьютерной информации, облегчающие злоумышленнику совершение противоправных действий в сетях ЭВМ.
Ценность данного понятия состоит в том, что оно позволяет оценить состояние ЭВМ до удаленного воздействия и причину, позволившую злоумышленнику реализовать преступный замысел. Вместе с тем она позволяет оценить квалификацию злоумышленника, его профессиональные навыки и способности, так как в зависимости от характера уязвимости будет зависеть и механизм ее использования последним. Так, например, если злоумышленник использует ранее неизвестную уязвимость операционной системы и для ее реализации самостоятельно подготавливает программные средства, можно говорить о высокой квалификации злоумышленника. И напротив, при использовании пароля, установленного по умолчанию в компьютере для неправомерного доступа, нет оснований говорить о том, что злоумышленник - специалист высокой квалификации. Кроме того, данный элемент позволяет судить об обстановке совершения преступления, о чем будет сказано ниже.
Существуют различные классификации уязвимости (лаборатории COAST университета Пардью, компании ISS). Наиболее общей является классификация уязвимости, предложенная А.В. Лукацким <*>:
-------
<*> Лукацкий А.В. Обнаружение атак. 2-е изд., перераб. и доп. СПб.: БХВ - Петербург, 2003. С. 40.
- уязвимости проекта;
- уязвимости выполнения;
- уязвимости конфигурации.
Первая группа уязвимостей заложена в самом проекте или алгоритме выполнения программы. К таким недостаткам следует отнести уязвимость стека протокола TCP/IP.
Вторая группа уязвимостей проявляется на этапе выполнения программ. Примером такой уязвимости может служить "переполнение буфера" <*> в программе sendmail.
-------
<*> Способ противоправной деятельности, при котором злоумышленник направляет программе информации больше, чем она может переработать. Например, некая программа рассчитана на получение данных с максимальным размером 10 символов, а злоумышленник направляет ей 20 символов.
И наконец, уязвимости конфигурации - ошибки конфигурации программного и аппаратного обеспечения. Например, большинство программных продуктов распространяются в состоянии, удобном для использования средним пользователем (не требуют дополнительной конфигурации), и пароль на вход в компьютер может быть установлен при инсталляции по умолчанию, предложенный производителем. Таким образом, пользователь, который оставил программу после инсталляции в конфигурации производителя, по существу, поступает так же, как лицо, не закрывшее дверь в помещение, в результате чего произошла кража.
Результат. Статья 272 УК РФ приводит перечень уголовно наказуемых последствий неправомерного доступа к компьютерной информации: уничтожение, блокирование, модификация, копирование, нарушение работы ЭВМ, системы ЭВМ или их сети.
Практические последствия действий злоумышленника могут быть различными. Так, он может:
изменить содержание информации (модифицировать, удалить);
блокировать доступ к информации;
открыть доступ к информации для всех желающих с ней ознакомиться;
копировать информацию;
использовать услуги, представляемые компьютерной системой по своему усмотрению, и т.д.
Вместе с тем, как правильно заметил Ф. Коен <*>, какое бы событие, связанное с негативным воздействием на ЭВМ, мы ни рассматривали, существует только три результата, отражающих последствия такого воздействия:
-------
<*> Cohen F. Protection and Security on the Information Superhighway, John Wiley & Sons, New York, 1995. P. 55.
- "повреждение", посягающее на "целостность";
- "отказ", посягающий на "доступность";
- "утечка", посягающая на "конфиденциальность".
Несмотря на то что возможных вариантов поведения злоумышленника может быть множество, вместе с тем, полагаем, все они могут быть систематизированы в три группы:
- повреждение информации - любое изменение компьютерной информации, содержащейся в компьютере или передаваемой по компьютерной сети. К данной группе следует отнести как модификацию информации, выражаемую в изменении ее первоначального состояния, так и ее уничтожение - полное или частичное ее удаление с машинного носителя;
- раскрытие информации - ознакомление с информацией тех, кто не имеет права доступа к ней. К данной группе мы относим такие результаты действий злоумышленника, вследствие которых происходит утрата информацией свойства конфиденциальности;
- отказ компьютера в обслуживании пользователей - это намеренное снижение работоспособности или блокирование работы компьютера или ресурсов сети.
Такая градация действий злоумышленника позволяет сделать предположение о группе, к которой относится лицо, совершившее противоправное деяние. Например, "шпиону" более свойственно раскрытие информации, "вандалу" - повреждение. Это на начальной стадии расследования позволяет выдвигать общие версии о причастности тех или иных групп к совершению преступления.
Необходимо уточнить различие между целями и результатом удаленного воздействия. Результат удаленного воздействия - это всегда объективные изменения в материальной среде - носителе компьютерной информации, возникающие в связи с воздействием злоумышленника на компьютерную информацию в ЭВМ или сети. Отражение этих изменений несет в себе информацию о событии удаленного воздействия. Всегда можно наблюдать либо сам результат удаленного воздействия, либо сопутствующие удаленному воздействию изменения.
Способ совершения преступления (удаленное воздействие). Достижение уголовно наказуемых последствий доступа к компьютерной информации (уничтожение, блокирование, модификация и т.д.) возможно только в силу доступа к исполняемым программам, позволяющим достичь этих последствий. Исполняемая программа - это некое динамическое состояние компьютерной информации, протекающий во времени процесс. Далее под процессом мы будем понимать компьютерную программу, находящуюся в стадии выполнения, т.е. загруженную в энергозависимую память и ожидающую команд пользователя или иных событий. Так, для того чтобы копировать информацию, необходимо иметь доступ к процессу копирования, а для модификации информации необходимо иметь доступ к процессам, позволяющим ее изменять. Несомненно, сам процесс тоже является компьютерной информацией, однако доступ к нему еще не образует состава преступления. Умысел злоумышленника направлен на доступ к иной компьютерной информации, сохраненной в компьютере жертвы, которую он собирается копировать, модифицировать, уничтожать и т.д. Она сохраняется в памяти компьютера в виде последовательности байтов, получивших название файл <*>.
-------
<*> Татенбаум Э. Архитектура компьютера. СПб.: Питер, 2002. С. 464.
Доступ к процессам находится как бы вне "интереса" законодателя, однако с точки зрения объяснения способа преступной деятельности, безусловно, охватывается сферой криминалистического интереса.
Таким образом, обращение к файлу требует двух шагов:
Первый шаг - обращение к процессу.
Второй шаг - обращение к файлу.
Одни злоумышленники действительно пытаются использовать доступ к процессу для получения доступа к файлам, другие считают удаленное воздействие завершенным, если им удалось получить доступ к процессу. Третьи не стремятся получить доступ ни к процессам, ни к файлам. Их задача заключается, напротив, в направлении в адрес компьютера жертвы и соответственно действующих процессов компьютерной информации для реализации противоправных целей.
Процессы могут быть использованы как для доступа к информации, сохраненной в ЭВМ, так и для доступа к данным, которые передаются по сети. В этом случае компьютерная информация не упорядочена в виде файла, а представляет собой поток пакетов, передаваемых по сети.
К таким данным могут обращаться действующие процессы с компьютера, их передающего, компьютера, их принимающего, а также иные компьютеры, через которые эти данные проходят.
При осуществлении удаленного воздействия характер действий злоумышленника можно условно разделить на две категории:
1) противоправный доступ к ЭВМ (сети ЭВМ);
2) противоправное использование доступа к ЭВМ (сети ЭВМ).
Поясним это на примерах.
Первый пример. Злоумышленник имеет учетную запись в удаленном компьютере с ограниченными возможностями. Он желает получить доступ к учетной записи иного пользователя, а через него и "суперпользователя". Для этого он копирует файл паролей из удаленного компьютера, используя протокол передачи файлов. Специальной компьютерной программой расшифровывает эти пароли (пароли, как правило, находятся в зашифрованном виде). Затем получает доступ к учетной записи интересующего его пользователя и регистрируется вместо него. Далее, злоумышленник, используя известные ему уязвимости, получает доступ с привилегиями "суперпользователя", после чего копирует файлы и программное обеспечение.
Второй пример. Злоумышленник направляет в адрес ЭВМ группу почтовых сообщений, которые переполняют память компьютера, и ЭВМ прекращает обрабатывать поступающие запросы. Тем самым блокируется информация.
В первом примере злоумышленник не имеет права доступа к чужой учетной записи, однако своими активными действиями добивается его получения. В этом состоит концептуальное отличие от второго примера, где злоумышленник имеет доступ к сервису электронной почты, однако использует его в противоправных целях.
Вместе с тем необходимо отметить, что в ходе удаленного воздействия злоумышленник может использовать эти возможности и комбинированно.
Описанные элементы противоправных действий, совершенных способом удаленного воздействия, позволяют моделировать типовые схемы преступного поведения злоумышленников по данной категории дел. Выявленные особенности этих элементов, закономерности их взаимодействия друг с другом позволяют сформировать общее представление об удаленном воздействии как способе противоправной деятельности и его проявлении вовне.
В работах по теории компьютерных сетей и компьютерной безопасности российских авторов Н.Г. Толстого, А.И. Милославской, а также в работах зарубежных специалистов, таких, как Б. Хатч, Д. Ли, Д. Курц, Д. Скембрей, С. Мак-Клар, Э. Коул, Д. Чирилло, уделялось большое внимание рассмотрению вопроса о последовательности действий злоумышленника в отношении устройства, подключенного к компьютерной сети. Подобный интерес не случаен. Знание последовательности действий, совершаемых злоумышленником в отношении ЭВМ или сети, а также отражение этих действий программными средствами пользователя позволяют реализовать систему защиты информационных ресурсов, своевременно выявить противоправные действия злоумышленника и пресечь их.
Последовательность удаленного воздействия как совокупность действий злоумышленника не рассматривалась учеными-криминалистами, в связи с чем отсутствует комплексное представление о порядке подготовки, совершения и сокрытия следов таких преступлений.
Удаленное воздействие как деятельность злоумышленника складывается из нескольких этапов:
1-й этап: выбор цели и сбор предварительных сведений об ЭВМ (сети ЭВМ);
2-й этап: подчинение ЭВМ (сети ЭВМ);
3-й этап: закрепление и удаление следов в ЭВМ (сети ЭВМ).
Каждый из этих этапов реализует конкретные задачи, подчиненные в целом единому преступному замыслу.
Детальное рассмотрение этих этапов позволяет выявить закономерности деятельности злоумышленника при реализации удаленного воздействия, которые могут быть использованы для обнаружения, фиксации и изъятия следов противоправной деятельности.
Для проведения внешнего удаленного воздействия злоумышленник должен получить сведения о ЭВМ (сети ЭВМ), в отношении которых он планирует совершить противоправные действия.
Для этого он определяет:
- адресное пространство сети, в которой расположен объект удаленного воздействия;
- активные сетевые устройства (ЭВМ);
- открытые порты и службы в ЭВМ;
- тип операционной системы, используемой сетевыми устройствами.
Итогом проведенной работы является составление так называемой карты сети <*>.
-------
<*> Коул Э. Руководство по защите от хакеров / Пер. с англ. М.: Издательский дом "Вильямс", 2002. С. 66.
Большинство сетевых устройств имеют статический IP-адрес, который закрепляется за компьютером и не изменяется после его перезагрузки.
Для получения сведений о компьютере жертвы злоумышленник осуществляет сбор сведений из открытых источников, к которым относятся:
- Web-страница организации;
- опубликованные статьи, сообщения для печати;
- информация из архивов групп новостей и списков рассылки;
- иные сведения о событиях в организации и о принятой в ней политике безопасности.
Исследуя Web-страницу организации, злоумышленник может получить следующие сведения:
- адреса и место расположения офисов и подразделений;
- номера телефонов;
- адреса электронной почты, ICQ;
- перечень деловых партнеров;
- ссылки на другие Web-узлы, имеющие отношение к организации.
Кроме того, злоумышленник может выявить уязвимости Web-страницы.
Для получения дополнительной информации об интересующем злоумышленника домене или сетевом адресе он может использовать службы whois. Анализ сведений, полученных от этой службы, позволяет злоумышленнику выяснить:
- специфическую регистрационную информацию и соответствующие серверы whois (регистрационный запрос);
- информацию, относящуюся к организации с заданным названием (организационный запрос);
- информацию, связанную с заданным доменом (доменный запрос);
- информацию, связанную с заданной сетью или отдельным IP-адресом (сетевой запрос);
- информацию о заданном лице, как правило, являющемся администратором сети (контактный запрос) <*>.
-------
<*> Скембер Д., Мак-Клар С., Курц Д. Секреты хакеров. Безопасность сетей - готовые решения. 2-е изд. / Пер. с англ. М.: Издательский дом "Вильямс", 2001. С. 37.
Если злоумышленнику известно имя домена, то он может узнать IP-адрес интересующего его компьютера следующими способами:
- послать запрос на ответственный за домен сервер имен доменов (DNS). Эти серверы содержат всю информацию о домене, а также информацию, которая используется для взаимодействия с сетью. Для решения такой задачи может использоваться программа nslookup;
- использовать возможность переноса зоны DNS <*>. Серверы DNS могут быть настроены таким образом, что представляют копию сведений об организации участка сети любому узлу Internet по первому запросу. Реализация переноса зоны возможна также с использованием программы nslookup <**>;
-------
<*> Перенос зоны DNS - это копирование сведений об именах узлов и IP-адресах сети, содержащихся в DNS сервере.
<**> Скембер Д., Мак-Клар С., Курц Д. Секреты хакеров. Безопасность сетей - готовые решения. 2-е изд. / Пер. с англ. М.: Издательский дом "Вильямс", 2001. С. 44.
- использовать программу ping.
После выяснения хотя бы нескольких IP-адресов компьютеров жертвы злоумышленник пытается установить адресное пространство всей сети.
Для решения этой задачи злоумышленник может воспользоваться программой traceroute с последующим анализом ее результатов.
Пример работы программы приведен ниже.
Tracing route to [10.10.10.5]
Over a maximum of 30 hops:
1 2ms 3 ms 3ms 10.246.68.1
2 4ms 7 ms 4ms 10.5.5.1
3 9ms 7 ms 7ms 10.6.5.1.
4 12ms 7 ms 7ms somename.location.net [10.7.1.1.]
5 12ms 7 ms 7ms somename.location.net [10.8.1.1.]
6 8ms 11 ms 11ms somename.location.net [10.9.1.1.]
7 11ms 18 ms 21ms external.router.location.net [10.10.1.1.]
8 12ms 19 ms 19ms firewall [10.11.1.1]
9 12ms 19 ms 19ms location.net [10.10.10.5]
Trace complete <*>
-------
<*> Коул Э. Руководство по защите от хакеров / Пер. с англ. М.: Издательский дом "Вильямс", 2002. С. 75.
Злоумышленник посылает запрос на адрес 10.10.10.5 и получает ответ о пути прохождении пакета. Известно, что, как правило, организации, подключенные к сети Интернет, имеют внешний маршрутизатор (соединяющий сеть с провайдером или с сетью Интернет) и брандмауэры для защиты сетей. Вся информация, поступающая в адрес конкретного компьютера, проходит эти сетевые устройства (сначала маршрутизатор, а затем брандмауэр). Все компьютеры, которые входят в сеть Интернет через один маршрутизатор, находятся в одной сети и обычно принадлежат одной организации. Из примера видно, что по адресу 10.10.1.1 расположен маршрутизатор. Если показатели прохождения пакета для адресов 10.10.10.1 - 10.10.10.254 будут аналогичны прохождению пакета до адреса 10.10.10.5, можно предположить, что сеть 10.10.10.1 - 10.10.10.254 принадлежит одной организации, а указанные адреса являются адресным пространством сети.
Не все адреса, которые принадлежат организации, могут быть активны, т.е. не каждому адресу в каждый конкретный момент времени может соответствовать реальный компьютер, подключенный к сети. Например, часть адресов может быть зарезервирована с учетом роста сети и поэтому не использоваться, иные могут быть активными только в определенное время (использоваться сотрудниками организации в период рабочего дня с 9 до 18 часов).
Для выявления активных компьютеров в сети злоумышленник может использовать программу ping, работающую на основе протокола ICMP. В данном случае цель использования этой программы состоит в том, чтобы определить: существует ли компьютер, использующий такой адрес, и подключен ли он к сети. Если узел жертвы блокирует посылаемые злоумышленником сообщения этого протокола, то поиск активных компьютеров можно осуществить с использованием протокола TCP. Для этого могут быть использованы программы nmap, hping <*>.
-------
<*>
http://ftp.gnu.kz/soft/ Сканирование портов - это процесс пробного подключения к портам исследуемого компьютера с целью определения, какие службы ими обслуживаются.
Существует несколько типов сканирования, которые различаются средствами и методикой (например, сканирование TCP-соединением (TCP connect scan), TCP-сканирование с помощью сообщений SYN (TCP SYN scan), TCP-сканирование с помощью сообщений FIN (TCP FIN scan), UDP-сканирование и др.).
Для сканирования портов злоумышленником могут быть использованы программы ScanPort и nmap <*>.
-------
<*> Программа ScanPort разработана компанией DataSet, доступна по адресу:
http://www.dataset.fr/eng/scanport.html. Программа Nmap написана человеком под псевдонимом Fyodor (
[email protected]), доступна по адресу:
http://www.insecure.org/nmap.
Определение типа операционной системы, установленной на удаленном компьютере, позволяет злоумышленнику оптимизировать свои действия с учетом известных уязвимостей, присущих данной операционной системе.
Определение операционной системы возможно разными способами. Одним из самых известных является сбор маркеров. Маркером называется сообщение, передаваемое компьютером на запрос другого компьютера, содержащее сведение о виде и версии операционной системы, установленной на нем.
Сбор маркеров <*> - процесс подключения к разным портам компьютера жертвы и анализ сообщений, выводимых приложениями. Реализовать этот метод возможно как путем обычного подключения к службам, так и с помощью специальных утилит <**>: nmap и queso, которые предоставляют возможность исследования стека протоколов TCP/IP (stack fingerprinting) <***>.
-------
<*> Скембер Д., Мак-Клар С., Курц Д. Секреты хакеров. Безопасность сетей - готовые решения. 2-е изд. / Пер. с англ. М.: Издательский дом "Вильямс", 2001. С. 111.
<**> Утилита, здесь и далее - тип программы, которая проникает в глубь операционной системы и используется для управления компьютером.
<***> Стек протоколов - это термин, означающий два и большее количество протоколов, работающих совместно. См.: Шиндер Дебра Литтлджон. Основы компьютерных сетей / Пер. с англ. М.: Издательский дом "Вильямс", 2002. С. 44.
Достоверность результата при исследовании стека основана на том, что разработчики операционных систем и программ-приложений по-разному подходят к реализации стека TCP/IP (по-разному трактуют рекомендации RFC). Это проявляется в логике работы тех или иных программ. Таким образом, зная о существующих различиях и проверив реакцию служб изучаемой ЭВМ на различные ситуации, злоумышленник может практически однозначно определить тип и версию операционной системы установленной в компьютере жертвы.
В частности, злоумышленник может использовать программу nmap. Приведем пример работы этой программы. Злоумышленник направил запрос на IP-адреса 192.168.1.10.
#nmap -o 192.168.1.10
Starting nmap V. 2.53 by
[email protected]Interesting ports on shadow (192.168.1.10):
Port State Protocol Service
7 Open tcp echo
9 open tcp discard
13 open tcp daytime
19 open tcp chargen
21 open tcp ftp
22 open tcp ssh
23 open tcp telnet
25 open tcp smtp
37 open tcp time
111 open tcp sunrpc
512 open tcp exec
513 open tcp Login
514 open tcp Shell
2049 open tcp Hfs
045 open tcp Lockd
TCP sequence Prediction: Class=random positive increments
Difficulty=26590 (Worthy challenge)
Remote operating system guess: Solaris 2.5, 2.51 <*>
-------
<*> Скембер Д., Мак-Клар С., Курц Д. Секреты хакеров. Безопасность сетей - готовые решения. 2-е изд. / Пер. с англ. М.: Издательский дом "Вильямс", 2001. С. 83.
Видно, что опрос IP-адреса 192.168.1.10 позволяет установить размещенную на данном компьютере операционную систему Solaris 2.5.
Даже если на изучаемом узле не открыт ни один порт, nmap может определить используемую операционную систему. Характерным является пример обычного подключения к службам компьютера, приведенный в литературе. При подключении к службе sendmail на экран был выведен следующий заголовок:
220 example.org ESMTP Sendmail 8.10.1/8.10.1; 19 Apr 2000 04:43:00 <*>
-------
<*> Хатч Б., Ли Дж., Курц Дж. Секреты хакеров. Безопасность Linux - готовые решения / Пер. с англ. М.: Издательский дом "Вильямс", 2002. С. 120.
Маркер сообщил не только о том, что запущенна служба sendmail (т.е. на компьютере, скорее всего, стоит операционная система UNIX), но и проинформировал о версии программы. Окончательно убедиться в правильности своих выводов авторы смогли после подключения по протоколу telnet. Полученный маркер вывел информацию о версии операционной системы.
Red Hat Linux reliase 6.2 (Zoot)
Kernel 2.2.14 - 12 on an i686 <*>
-------
<*> Хатч Б., Ли Дж., Курц Дж. Секреты хакеров. Безопасность Linux - готовые решения / Пер. с англ. М.: Издательский дом "Вильямс", 2002. С. 120.
В приведенных примерах условный злоумышленник для получения сведений об операционной системе направлял тестовые пакеты этому компьютеру, т.е. осуществлял активное исследование.
Однако кроме активного метода исследования существует и пассивный, основанный на мониторинге сетевого трафика <*>.
-------
<*> Большие исследования в этой области были проведены Ланцом Спитзнером (Lance Spitzner).
Для этого анализируются определенные параметры пакетов (TTL - время жизни, Windows Size - размер окна, DF - бит фрагментации), передаваемых по сети, после чего делаются выводы об операционной системе, которая их формирует.
Очень часто для удаленного воздействия на компьютеры используется анализатор пакетов (sniffer) <*>. Он перехватывает и обрабатывает все пакеты, передающиеся по сети, даже те, которые не предназначены данному компьютеру, изучает содержание пакетов и собирает информацию, которая может быть использована для удаленного воздействия.
-------
<*> Анализатор пакетов будет работать только в сети, построенной на основе концентраторов.
В ходе исследования сетевого трафика злоумышленник может перехватить сведения о паролях и логинах доступа к интересующей его ЭВМ. К программам такого типа относится, например, Hunt <*>.
-------
<*> Программа Hunt написана Павлом Крауцем (Pavel Krauz), доступна по адресу:
http://www.cri.cz/kra/index.html.
Определив операционную систему, установленную на компьютере, и зная стандартную конфигурацию для этой операционной системы, злоумышленник может выяснить, какие службы запущены на каждом из открытых портов, после чего применить эксплоит для установления контроля над этими службами. Например, зная, что на компьютере установлена операционная система UNIX и порт 25 открыт, можно заключить, что на этом порту работает программа sendmail. Если же на компьютере установлена операционная система Windows NT, то на 25-м порту будет работать Microsoft Exchange.
Завершая первый этап, злоумышленник составляет карту сети.
Для этого он анализирует всю собранную информацию об интересующей сети, упорядочивает ее, в результате чего получает общее и полное представление о схеме расположения сетевых устройств, их адресах, открытых портах, используемых операционных системах, особенностях взаимодействия и работы.
Для автоматизации процесса составления карты сети существуют специальные программы, которые в графическом виде представляют исследуемую сеть. К ним относятся программы Visual Route и Cheops <*>.
-------
<*> Программа Visual Route принадлежит Visualware, Inc., доступна по адресу:
http://www.visualware.com. Автор программы Cheops неизвестен, она доступна по адресу:
http://www.marko.net/cheops.
Второй этап удаленного воздействия - подчинение ЭВМ (сети) является ключевым в данном способе совершения преступления. Следует отметить, что в литературе по информационной безопасности именно с этой стадией связывают такие термины, как "взлом" и "атака".
В целом под подчинением ЭВМ (сети) следует понимать перевод компьютера жертвы злоумышленником в такой режим работы, при котором он будет полностью контролироваться им.
Деятельность злоумышленника по осуществлению этого этапа можно подразделить на две стадии:
1) проникновение;
2) расширение полномочий.
При проникновении злоумышленник воздействует на компьютер жертвы извне и получает доступ к каким-либо его процессам.
При расширении полномочий злоумышленник, основываясь на результате, достигнутом при проникновении, расширяет свои полномочия до уровня, позволяющего ему осуществлять на этом компьютере любые действия.
В тех случаях, когда злоумышленник имеет какие-либо права и полномочия на компьютере жертвы, расширение полномочий можно рассматривать как самостоятельную форму подчинения ЭВМ. Такая ситуация может иметь место в том случае, если злоумышленник является правомерным пользователем локальной сети организации, однако расширяет свои полномочия до уровня системного администратора сети.
Существуют различные критерии, по которым можно классифицировать способы проникновения:
1) в зависимости от протоколов, используемых злоумышленником:
- проникновение с использованием TCP/IP;
- проникновение с использованием ICMP;
и др.
2) по методу реализации проникновения:
а) с использованием недокументированных возможностей работы программ и устройств:
- связанных с некорректным составлением кода программы (например, переполнение буфера, использование метасимволов);
- связанных с необычным использованием протоколов и служб;
б) с использованием разрешенных возможностей (фрагментация);
в) с использованием вредоносных программ ("троянский конь");
3) по сложности реализации:
- простые;
- сложные;
4) по количеству участников:
- одиночный;
- групповой;
5) по характеру используемых орудий для проникновения:
- общедоступное программное обеспечение;
- специально изготовленные программы.
Удаленное воздействие не всегда связано с получением доступа к компьютерной информации. Действия злоумышленника могут быть направлены на замедление работы ЭВМ, вплоть до полной невозможности осуществлять свои функции. К такому виду удаленного воздействия относится так называемый сценарий - отказ в обслуживании, который может реализоваться путем умышленных действий злоумышленника, направленных на:
- перерасход ресурсов ЭВМ <*>;
-------
<*> Норткат С., Купер М., Фирноу М., Фредерик К. Анализ типовых нарушений безопасности в сетях / Пер. с англ. М.: Издательский дом "Вильямс", 2001. С. 219.
- снижение пропускной способности канала связи <*>.
-------
<*> Норткат С., Купер М., Фирноу М., Фредерик К. Анализ типовых нарушений безопасности в сетях / Пер. с англ. М.: Издательский дом "Вильямс", 2001. С. 243.
Подбор пароля является общеизвестным способом проникновения в ЭВМ. Существуют различные типы действий, реализующих этот сценарий:
- перебор слов путем запуска словаря, оперирующего общеупотребительным набором слов (порядка 10000 слов);
- полный перебор вариантов (так называемый brute force atack), запуск программы, перебирающей все возможные комбинации буквенных и цифровых символов.
Среди служб, чаще всего подвергающихся таким воздействиям, следует отметить telnet и FTP.
Примером такой программы может служить DumpACL/DumpSec <*>.
-------
<*> Программа DumpACL/DumpSec принадлежит Somarsoft, Inc.
Следующим "общеизвестным" способом проникновения является использование отдельных параметров операционных систем и приложений, настроенных по умолчанию.
Например, для некоторых операционных систем по умолчанию устанавливаются параметры конфигурации (пароли, доступ к файлам паролей, элементы конфигурации). Знание этих особенностей может помочь злоумышленнику проникнуть в ЭВМ.
Часто для проникновения используются такие сценарии, как проникновение с использованием переполнения буфера и проникновение при отсутствии проверки ввода.
Состояние переполнения буфера возникает тогда, когда в буфер (или массив фиксированного размера) помещается данных больше, чем для этого выделено памяти программистом <*>. Такое состояние вызывается преднамеренно с целью получения доступа к ЭВМ. При этом программа, буфер которой переполнился, не завершает свою работу аварийно, а продолжает работать и выполняет при этом программный код, переданный ей в виде избыточных данных.
-------
<*> Подобные ситуации связаны часто с использованием таких функций языка C, как strcpy, strcat, sprintf, а также ряда других. Переполнение буфера ведет к генерации ошибки нарушения сегментации.
Проникновение при отсутствии проверки ввода рассмотрим на примере ОС UNIX. В этой операционной системе имеются метасимволы (например, \ / < > ! $ % * и другие), зарезервированные для специальных целей. Если программа принимает данные, вводимые пользователем, и не проверяет их корректность, то путем подбора совокупности метасимволов и иных знаков можно реализовать переполнение буфера и передать программе управляющую команду, реализующую проникновение.
Для проникновения в ЭВМ злоумышленник может перехватить существующий активный сеанс между двумя компьютерами. Цель захвата сеанса - получить доступ к ЭВМ в обход процесса аутентификации. Пользователь устанавливает соединение с сервером и в процессе аутентификации передает логин и пароль. После того как пользователь зарегистрируется, он получает доступ к серверу. Злоумышленник создает ситуацию, при которой компьютер пользователя прекращает обрабатывать информацию (для чего используется сценарий "отказ в обслуживании"), после чего направляет со своего компьютера от имени компьютера пользователя пакеты, воспринимаемые сервером как запросы компьютера пользователя.
Существует ряд программ для выполнения захвата сеанса, например Juggernaut и TTY Watcher <*>.
-------
<*> Программа Juggernaut разработана Майклом Шиффманом (Mike Schiffman), доступна по адресу:
http://www.rootshell.com. Автор программы TTY Watcher неизвестен, доступна по адресу:
http://www.cerias.purdue.edu.
Если до проникновения, злоумышленник обладал лишь той информацией, которую смог собрать из внешних источников, то, получив доступ к ЭВМ (сети), в его распоряжении оказывается значительно больше информации об интересующем его компьютере, сети, а также системе обеспечения безопасности. Получив учетную запись легального пользователя, нарушитель получает возможность применять другие средства для достижения противоправного результата. Проникнув в ЭВМ, злоумышленник старается расширить свои полномочия.
Приведем примеры способов решения этой задачи.
Прежде всего, открывается широкое поле для применения программ типа "троянский конь". Этот вид воздействия связан с подменой отдельных файлов в ЭВМ их троянскими копиями, которые выполняют вредоносные функции.
Злоумышленник может расширить свои возможности за счет получения доступа к паролям, хранящимся в ЭВМ. Например, пользователям Linux предоставляются возможности выполнять распечатку документов на принтерах, подключенных к хостам и рабочим станциям Windows. Часто доступ к таким принтерам контролируется с помощью их логинов и паролей. Эта информация хранится в файле конфигурации в каталоге, предназначенном для хранения заданий для данного принтера. Часто права на чтение этого файла представлены всем пользователям, чем может воспользоваться злоумышленник.
После подчинения ЭВМ (сети) злоумышленник старается создать условия для последующего доступа к ЭВМ (сети ЭВМ) в любое удобное время вне зависимости от желания его собственника, а также уничтожить следы противоправной деятельности.
Для этого он может установить специальную программу, открывающую дополнительный порт в компьютере жертвы. Это самый распространенный метод, с помощью которого злоумышленник может управлять процессами компьютера жертвы. К таким программам можно отнести Netcat и Tini <*>.
-------
<*> Автор программы Netcat неизвестен, доступна по адресу:
http://www.10pht.com. Автор программы Tinit неизвестен, доступна по адресу:
http://www.ntsecurity.nu/toolbox/tini.
Еще одним средством для организации последующего доступа к ресурсам компьютера является ранее описанные руткиты, которые могут осуществить подмену либо на уровне ядра программы, либо на уровне отдельных файлов.
При подмене файлов злоумышленник заменяет системные файлы компьютера жертвы своими, сконфигурированными таким образом, что злоумышленник может подключаться к ЭВМ в любое время. Подмена на уровне файла является мощным и простым средством для создания "люка" в программной среде ЭВМ. В наборе rootkit часто содержатся версии таких программ, как login, ls, ps, find, who, netstat. Часто подменяются программы, которые позволяют собственнику следить за процессами в ЭВМ или сети. После изменения этих программ собственник ЭВМ будет получать ложную информацию о процессах в ЭВМ и не сможет обнаружить несанкционированные действия злоумышленника.
При подмене системных утилит на уровне ядра происходит подключение программы злоумышленника непосредственно к ядру. Работая на уровне ядра, злоумышленник перехватывает системные вызовы. Примером подобной программы для Unix являются Lrk5 и Knark <*>. Для открытия "люков" в компьютере на базе ОС Windows могут быть использованы программы Brown Orifice и Back Orifice <**>.
-------
<*> Автор программы Lrk5 неизвестен, доступна по адресу:
http://www.packetstor...ation/rootkits. Автор программы Knark неизвестен, доступна по адресу:
http://www.packetstor...ation/rootkits.
<**> Программа Brown Orifice разработана Джекобом Боббином (Jacob Babbin), исходный код доступен по адресу:
http://www.brumleve.com/BrownOrifice. Программа Back Orifice разработана группой Cult of Dead Cow, доступна по адресу:
http://www.bo2k.com.
Для того чтобы собственник компьютера не знал о проникновении злоумышленника, последний старается удалить все следы своего присутствия в чужом компьютере.
Существует несколько областей, которые интересуют злоумышленника, прежде всего:
- файлы журналов;
- разделы, хранящие информацию об изменении файлов;
- дополнительные файлы;
- загрузка сети.
Большинство систем имеют файлы журналов или системы аудита, в которых содержится информация о том, кто подключался к ЭВМ (сети ЭВМ) и на какое время. В зависимости от уровня ведения таких журналов существует возможность документировать действия этих пользователей. Опытные злоумышленники очищают файлы журналов. Существуют два пути скрыть следы своего присутствия:
- полностью удалить все файлы журналов;
- удалить из файлов журналов только те записи, которые касаются его деятельности.
В системе UNIX на базе ОС Linux информация аудита хранится в нескольких файлах. Некоторые из этих файлов хранятся в текстовом формате и могут редактироваться вручную. Более важные файлы могут быть просмотрены только с помощью специальных программ. Ниже приведен список основных файлов, в которых хранятся журналы в ОС Linux <*>:
-------
<*> Коул Э. Руководство по защите от хакеров / Пер. с англ. М.: Издательский дом "Вильямс", 2002. С. 489.
/var/run/utmp Хранит информацию о том, кто подключился к ЭВМ
/var/log/wtmp Хранит информацию о том, кто подключался к ЭВМ и отключался от нее
/var/log/btmp Хранит информацию о неудавшихся попытках подключения
/var/log/messages Хранит информацию о системных сообщениях
/var/log/secure Хранит информацию о доступе и авторизации
Чистка файла журнала может занимать много времени, поэтому разработаны специальные программы, позволяющие упростить эту процедуру. К таким относятся, например, Chusr.c и Displant.c <*>.
-------
<*> Авторы этих программ неизвестны, они доступны по адресу:
http://www.ftp.techno.../unix/logtools.
В ходе проникновения злоумышленнику обычно нужно изменить или перекомпилировать основные системные файлы. Когда он делает это, ключевая информация о файле, такая, как дата создания и размер, изменяются. Это может служить сигналом для пользователя компьютера жертвы о действиях злоумышленника. Поэтому злоумышленник старается восстановить все измененные атрибуты файлов. Существуют программы, позволяющие злоумышленнику это сделать. Например, программа fix.c. для ОС UNIX.
Если злоумышленник использует носитель компьютерной информации компьютера жертвы для размещения своих программ и иной информации, то он, как правило, старается скрыть это от пользователя. Для этого он может:
- создать скрытые разделы на носителе компьютерной информации;
- скрыть файл, установив соответствующие атрибуты;
- подменить утилиты определения свободного места на диске.
Поскольку большинство сетей ЭВМ обеспечены системой обнаружения удаленного воздействия, любая подозрительная сетевая активность будет незамедлительно обнаружена уже на начальной стадии. Для сокрытия своей противоправной деятельности злоумышленник может использовать программы, маскирующие все его противоправные действия. Примерами таких программ являются: Loki и Covert TCP <*>.
-------
<*> Автор программы Loki неизвестен, доступна по адресу:
http://www.phrack.com. Автор программы Covert TCP неизвестен, доступна по адресу:
http://www.packetstormsecurity.org.
Программа Loki маскирует деятельность злоумышленника под другие протоколы. При этом злоумышленник туннелирует свои протоколы через те, которые разрешены в данном сегменте сети. Обычно для туннелирования применяется протокол ICMP, используемый программой ping.
Программа Covert TCP прячет информацию в заголовках пакета TCP. Информация в заголовках пакетов почти не проверяется, поэтому злоумышленник остается незамеченным. Covert TCP использует для скрытия информации три поля пакета:
- поле идентификатор IP;
- поле номера последовательности пакетов;
- поле подтверждения передачи.
Рассмотрев последовательность удаленного воздействия можно сделать вывод, что это сложная деятельность, требующая знаний и навыков работы с программными средствами. Чем выше квалификация злоумышленника, тем успешнее и быстрее он достигнет противоправного результата. Несомненно, познание удаленного воздействия как последовательности целенаправленных действий злоумышленника позволит эффективно выявлять следы его противоправной деятельности.
До настоящего времени в криминалистической литературе не предпринималось попыток классифицировать удаленное воздействие. В связи с этим предлагаемая нами классификация является первым опытом в данном направлении.
По источнику удаленного воздействия оно может подразделяться на:
- внешнее;
- внутрисетевое.
К внутрисетевым удаленным воздействиям относятся те, которые осуществляются с компьютеров, подключенных к одной сети. Особенность такого удаленного воздействия состоит в том, что, как правило, сеть сконфигурирована таким образом, что взаимоотношения устройств этой сети основаны на доверии, а работа пользователя с компьютера, подключенного к такой сети, является легитимной.
К внешним удаленным воздействиям относятся те, которые осуществляются с компьютеров, не входящих в структуру конкретной сети.
По характеру действий злоумышленника удаленного воздействия оно может быть подразделено на:
- пассивное удаленное воздействие;
- активное удаленное воздействие.
Активное удаленное воздействие - это совокупность команд, направляемых злоумышленником по линии электросвязи в адрес конкретного устройства, подключенного к сети, воздействующих на информацию, хранящуюся в нем.
Пассивное удаленное воздействие - это запуск злоумышленником процессов, позволяющих осуществлять сбор информации в линии электросвязи об устройствах, подключенных к сети, либо о сети в целом.
Пассивное удаленное воздействие, как правило, предшествует активному.
По условию начала удаленного воздействия:
- безусловное;
- зависимое.
Безусловное удаленное воздействие осуществляется злоумышленником безотносительно к каким-либо событиям, происходящим в сети.
Зависимое удаленное воздействие осуществляется либо при посылке определенного запроса от компьютера жертвы, либо при наступлении ожидаемого злоумышленником события.
По количеству злоумышленников, осуществляющих удаленное воздействие:
- групповые;
- одиночное.
По наличию обратной связи с компьютером жертвы:
- с обратной связью;
- без обратной связи.
Обратная связь подразумевает необходимость взаимодействия компьютера злоумышленника и компьютера, подвергаемого удаленному воздействию.
При удаленном воздействии без обратной связи такого взаимодействия не требуется.
По характеру используемой уязвимости <*>:
-------
<*> См.: параграф 3 "Особенности следообразования при удаленном воздействии в сетях ЭВМ".
- воздействие, использующее "уязвимость проекта";
- воздействие, использующее "уязвимость выполнения";
- воздействие, использующее "уязвимость конфигурации".
В зависимости от степени участия человека:
- при постоянном участии человека;
- удаленное воздействие осуществляется без непосредственного участия человека, выполняется специальными программами.
Примером последнего сценария может служить удаленное воздействие, осуществляемое с нескольких компьютеров <*>. Несколько хостов одновременно начинают удаленное воздействие на компьютер жертвы и выводят его из строя.
-------
<*> В технической литературе данный сценарий называется "распределенная атака "отказ в обслуживании" (Distributed Denial of Service).
Рассмотренные этапы удаленного воздействия, цели злоумышленника на каж