Секреты и ложь. Безопасность данных в цифровом мире,

Преступники – одиночки

В апреле 1993 года маленькая группа преступников привезла автоматизированную модель банкомата Fujitsu 7020 на аллею Бэклэнд Хилл в Хартфорде (штат Коннектикут). Машина была специально запрограммирована, чтобы принимать кредитные карты (ATM-карты) от клиентов, записывать номера их счетов и личные идентификационные номера (PIN), а затем сообщать неудачливым клиентам, что выдать деньги невозможно. Несколькими днями позже банда скопировала похищенные номера счетов и личные идентификационные номера на поддельные карты ATM и стала получать по ним наличные деньги в центре Манхэттена. В конечном счете преступники были пойманы, когда банк сопоставил использование поддельных карт с ежедневными записями видеонаблюдения.

Это было умное и практичное нападение, технически более высокоорганизованное, чем большинство банковских преступлений. Один технически продвинутый преступник из Нью-Джерси прикреплял поддельный уличный депозитный ящик к стене банка и убирал его ранним утром. Но более интересное произошло в другом месте. Несколько лет назад автоматизированный кассовый аппарат был украден в Южной Африке… из полицейского управления средь бела дня.

Преступники-одиночки совершают большую часть связанных с компьютером преступлений. Иногда, являясь людьми осведомленными, они замечают недостаток в системе и принимают решение использовать его, иногда же они нападают «снаружи». Обычно у них немного денег, отсутствует доступ и недостаточно хорошо организована экспертиза, и они часто попадаются из-за глупых ошибок. Кто-то может быть достаточно сообразительным, чтобы устанавливать поддельные автоматизированные кассовые аппараты, собирать номера счетов и личные идентификационные номера, но если уж он хвастается своим умом в баре и дает арестовать себя прежде, чем вычистит все регистрационные записи… ну, в общем, сложно испытывать к нему симпатию. Посмотрите на два вызывающих нападения на Интернет в начале 2000 года. Кто-то организовал доступ к десяти тысячам номеров кредитных карт с именами и адресами. Лучшее, что он мог выдумать, – это вымогательство. Кто-то другой установил контроль над большим числом компьютеров, готовых подчиниться его указаниям. Но не смог придумать ничего лучше, чем донимать администраторов этих веб-сайтов.

Преступники-одиночки будут нацеливаться на торговые системы, потому что там – деньги. Их методы могут страдать недостатком изящества, но они будут красть деньги, и еще большие деньги понадобятся для их поимки и доказательства вины.

Злонамеренные посвященные лица

Злонамеренный член организации – опасный внутренний враг. Он всегда внутри системы, поэтому, когда он хочет атаковать, его не беспокоят заграждения, приготовленные для незваных гостей. Возможно, он имеет самый высокий уровень доступа и рассматривается системой как заслуживающий доверия, в то время как он ее атакует. Помните русского шпиона Олдриджа Эймса? Он занимал удобнейшую позицию в Центральном разведывательном управлении, чтобы продавать КГБ имена американских разведчиков, находящихся на территории Восточной Европы: его имени доверяли. Подумайте теперь о программисте, который имеет возможность написать код для базы данных платежных ведомостей, дабы обеспечить себе повышение зарплаты каждые шесть месяцев. Или о службе охраны банка, которая сообщает своим дружкам-грабителям предположительное время закрытия кассы. Злонамеренных сотрудников практически невозможно остановить, поскольку они именно те люди, которые пользуются доверием.

Вот канонический пример атаки посвященного лица. В 1978 году Стэнли Марк Рифкин был консультантом в центральном отделении банка. Он использовал свои знания и доступ к системе пересылки денег, чтобы переместить несколько миллионов долларов на счет в швейцарском банке, а затем обратить эти деньги в алмазы. Он также запрограммировал компьютерную систему на автоматическое стирание записанной на пленку резервной копии данных, поскольку в ней содержалось свидетельство его преступления (он ушел бы с этими деньгами, если бы не похвастался своему адвокату, который и рассказал обо всем).

Посвященные лица не всегда нападают на систему, иногда они просто используют ее в преступных целях. В 1991 году служащий Чарльз Шваб из Сан-Франциско использовал электронную почту компании для покупки и продажи кокаина. Некто, осужденный за насилие над детьми, работал в больнице в одном из районов Бостона. Украв пароль сослуживца, он изучал больничные карты пациентов, которым звонил с непристойными предложениями.

Посвященные лица – это необязательно служащие. Они могут быть консультантами и подрядчиками. Во время паники в связи с «проблемой 2000 года» многие компании нанимали программистов из Китая и Индии, чтобы обновить старое программное обеспечение. Оставив ксенофобию в стороне, замечу, что любой из тех программистов мог напасть на системы, будучи посвященным лицом.

Большинство компьютерных мер защиты – аппаратно-программные средства сетевой защиты (брандмауэры), системы обнаружения вторжения и т. д. – имеют дело с внешними нападающими, но в значительной степени бессильны против посвященных лиц. Атака на систему со стороны посвященных лиц менее вероятна, чем со стороны посторонних, но системы гораздо более уязвимы перед ними.

Посвященное лицо в курсе, как системы работают и где их слабые места. Такой человек знает структуру организации и то, как будет вестись любое расследование его действий. Он всегда пользуется доверием системы, которую собирается атаковать. Посвященное лицо может использовать собственные ресурсы системы против нее самой. В убийственных с точки зрения безопасности случаях посвященное лицо имеет высокую квалификацию, и еще хуже, если оно участвовало в проектировании системы.

Мотивация нападений посвященных лиц может быть различна: месть, финансовая выгода, изменение существующих порядков или даже реклама. Вообще говоря, она совпадает с мотивацией хакера, преступника-одиночки или агента национальной разведки. Степень риска, на который готовы идти злонамеренные посвященные лица, зависит от того, движимы они «высокой целью» или простой жадностью.

Конечно, атаки посвященных лиц не новы, и проблема эта возникла не в киберпространстве. Если бы не было системы электронной почты, служащий Чарльз Шваб мог бы использовать телефонную систему, факсимильные аппараты или, может быть, даже бумажную почту.

Промышленный шпионаж

Бизнес – это война. Вернее, это некое подобие войны, в которой есть судьи. Судьи устанавливают правила – что является законным, а что нет – и стараются проводить их в жизнь. Иногда, если в бизнесе задействовано достаточное количество денег и влияния, контролирующие его люди могут подать ходатайство судье и добиться изменения правил. Но обычно они делают ходы только в пределах установленных правил.

Черта, где исследовательские методы перестают быть законными, пролегает там, где заканчивается сбор сведений о конкуренте и начинается промышленный шпионаж. Черта эта устанавливается в соответствии с местными законами, но между последними всегда есть много общего. Вторжение в офис конкурента и кража файлов всегда незаконны (даже для Ричарда Никсона); просмотр их в базе данных новостей всегда законен. Подкуп старших инженеров незаконен; оплата их услуг законна. Платить за то, что они добудут копию исходного кода конкурентов, незаконно. Притвориться, что вы хотите заплатить старшим инженерам конкурентов всего лишь за консультацию… это законно, достаточно тонко и действительно умно.

Промышленный шпионаж имеет четкую мотивацию: получить преимущество в конкурентной борьбе, завладев торговыми секретами конкурентов. Общеизвестный пример: Borland обвинял Symantec в передаче торговых секретов через внедренного в компанию руководителя. В другом случае Cadence Design Systemsпредъявила иск своему конкуренту – компании Avant! – среди прочего обвинив ее в краже исходного кода. В 1999 году Alibris, продающая книги через Интернет, обвинила Amazon com в просматривании электронной почты корпорации. Компании из Китая, Франции, России, Израиля, Соединенных Штатов, как, впрочем, и отовсюду, воруют секреты технологий у иностранных конкурентов.

Промышленный шпионаж может хорошо финансироваться: аморальная, но разумная компания выделит на промышленный шпионаж достаточно средств, которые с лихвой окупятся. Даже если завладение технологией конкурента обойдется вам в полмиллиона долларов, это может быть только десятой частью расходов на самостоятельное создание такой технологии. (Когда-нибудь задайтесь вопросом, почему возвращаемый на Землю космический корабль русских так похож на все американские корабли серии «Шаттл»?) Противник такого типа не готов рисковать по-крупному, потому что репутации компании (неосязаемый, но ценный элемент) будет нанесен значительный урон, если конкуренты уличат ее в шпионаже, – он действует украдкой.

Страницы:

1 |
2 |
3 |
4 |
5 |
6 |
7 |
8 |
9 |
10 |
11 |
12 |
13 |
14 |
15 |
16 |
17 |
18 |
19 |
20 |
21 |
22 |
23 |
24 |
25 |
26 |
27 |
28 |
29 |
30 |
31 |
32 |
33 |
34 |
35 |
36 |
37 |
38 |
39 |
40 |
41 |
42 |
43 |
44 |
45 |
46 |
47 |
48 |
49 |
50 |
51 |
52 |
53 |
54 |
55 |
56 |
57 |
58 |
59 |
60 |
61 |
62 |
63 |
64 |
65 |
66 |
67 |
68 |
69 |
70 |
71 |
72 |
73 |
74 |
75 |
76 |
77 |
78 |
79 |
80 |
81 |
82 |
83 |
84 |
85 |
86 |
87 |
88 |
89 |
90 |
91 |
92 |
93 |
94 |
95 |
96 |
97 |
98 |
99 |
100 |
101 |
102 |
103 |
104 |
105 |
106 |
107 |
108 |
109 |
110 |
111 |
112 |
113 |
114 |
115 |
116 |
117 |
118 |
119 |
120 |
121 |
122 |
123 |
124 |
125