USER-MASTER.ORG

Ємельянов С. Л. Сутність та методи комп’ютерної розвідки / С. Л. Ємельянов // Право і безпека. – Науковий журнал. – 2010. – №4 (36). – С. 262-266.

УДК 621.96: 004.056

Відомо, що у сучасних інформаційних системах (ІС) обробляється, накопичується та передається великий обсяг як відкритої інформації, так і інформації з обмеженим доступом (ІзОД).

У зв'язку з цим придбала широкий розмах і діяльність по гласному та негласному добуванню інформації з відкритих і закритих ІС, баз і банків даних, контролю за повідомленнями, які передаються в комп’ютерних мережах, отриманню персональних даних користувачів ІС і іншої цінної комп'ютерної інформації. Для характеристики подібної діяльності сталі широко використовуватися терміни: «комп'ютерне шпигунство», «комп'ютерна розвідка», «інформаційно-аналітична робота в Інтернет», «аналітична розвідка», «комп'ютерний моніторинг» і ін. [1-8].

Проте в нормативно–методичних документах і численних публікаціях з даної тематики дотепер відсутнє єдине термінологічне тлумачення сутності, задач, методів та засобів комп'ютерної розвідки (КР), що і зумовлює актуальність проблеми, яка розглядається.

Низка авторів, що спеціалізуються на теорії і практиці економічної розвідки (званої також конкурентною, діловою, комерційною, competitive intelligence, business intelligence і ін.), визначають КР як аналітичну обробку величезного числа даних з різноманітних відкритих джерел інформації, перш за все з Інтернет. Сутність КР вони бачать в пошуку і передачі інформації з відкритих комп'ютерних систем і мереж “всесвітньої павутини” з подальшою верифікацією і аналітичною обробкою [1, 2].

Термін «аналітична розвідка» вперше з'явився в нормативних документах МВС Росії в 1992 р. для позначення особливої форми діяльності оперативно-розшукових підрозділів [3]. Аналітична розвідка була визначена як розвідувальний пошук, технічна розвідка, комплексне вивчення матеріалів скритого нагляду і оперативної установки, а також аналіз повідомлень, публікацій і виступів в засобах масової інформації, статистичних даних, відомостей автоматизованих банків даних. КР розглядалася при цьому як один з видів аналітичної розвідки, що цілеспрямовано використовується для моніторингу комп'ютерних систем.

Однак більшість авторів [4, 5], спираючись на визначення технічної розвідки як способу добування інформації за допомогою технічних засобів, небезпідставно відносить КР до одного з видів технічної розвідки. В нормативному документі РФ [6] КР також розглядається як один з методів доступу до інформації, що захищається, із застосуванням технічних засобів розвідки (ТЗР).

У роботі [7] автор також трактує КР як метод добування інформації шляхом перехоплення і аналізу побічних електромагнітних випромінювань і наведень (ПЕВІН) засобів ЕОТ, тобто розглядає її як різновид радіоелектронної розвідки, яка, у свою чергу, є одним з видів технічної розвідки.

Таким чином, раніше невирішеною частиною проблеми є питання: що ж таке комп'ютерна розвідка, які канали витоку інформації вона може використовувати і якими методами проводитися?

Мета статті – визначення сутності комп'ютерної розвідки, її місця в загальній системі добування інформації з типової ІС і систематизація можливих методів її ведення.

На наш погляд, сутність КР полягає в добуванні:

  • комп'ютерної інформації, яка оброблюється, зберігається та передається в ІС;
  • даних і відомостей про характеристики (параметри) програмних, апаратних і програмно-апаратних комплексів, вживаних в ІС;
  • даних і відомостей про вживані в ІС методи, способи і механізми захисту інформації;
  • персональної інформації про користувачів ІС.

Відомо [4-8], що однією з основних (базових) класифікуючих ознак ТЗР є фізичний принцип побудови їх апаратури (Рис. 1), який перекриває всі існуючі і потенційно-можливі технічні канали витоку інформації (ТКВІ) з об'єкту розвідки. Основні ТКВІ також класифікують по фізичних полях, за допомогою яких може розповсюджуватися інформація, що захищається: радіоканали, акустичні, електричні, оптичні і матеріально-речовинні канали, які достатньо добре відомі, систематизовані і вивчені [8, 9]. Складніше йде аналіз технічних каналів витоку комп'ютерної інформації (ТКВКІ).

По-перше, сам термін «комп'ютерна інформація» дотепер не має однозначного законодавчо закріпленого визначення. Так, наприклад, в спеціальному Розділі XVI КК України в диспозиціях статей 361-363 [10] йдеться про інформацію, яка зберігається, обробляється або розповсюджується за допомогою автоматизованих систем, комп'ютерних мереж або мереж зв'язку. В ст. 2 Закону України [11] наголошується, що об'єктами захисту є інформація, яка обробляється, і програмне забезпечення, яке призначене для обробки цієї інформації.

У ряді міжнародних нормативно-правових документів [12] частіше використовується термін «комп'ютерні дані» для позначення інформації у формі, придатній для обробки в комп'ютерній системі та мережі (КСМ), разом з відповідним програмним забезпеченням і т.д.

По-друге, є певні розбіжності і суперечності в трактуванні фізичної природи ТКВКІ. Якщо, наприклад, виходити з класичного визначення каналу витоку як каналу передачі інформації у вигляді: джерело→фізичне середовище→отримувач [5, 8], то ТКВКІ формально може розглядатися як самостійний канал витоку, оскільки він має всі вказані елементи.

Рис. 1. Роль та місце КР в системі добування інформації з типового об’єкту розвідки

Джерело інформації тут ІС, середовище (тракт) розповсюдження – телекомунікаційні лінії зв'язку (нижні фізичний і канальний рівні моделі відкритих систем OSI [13]), одержувач інформації – інші держави, окремі юридичні або фізичні особи, які добувають ІзОД з об'єкту розвідки шляхом безконтактного проникнення в КСМ.

Проте, існує і інша думка [8, с. 227] про недоцільність виділення явищ, що приводять до витоку інформації з КСМ, в окрему групу, створюючу самостійний технічний канал витоку інформації, оскільки багато з них при більш детальному розгляді можуть бути приведені до одного з описаних ТКВІ, наприклад, електромагнітного або матеріально-речовинного.

Виходячи з сутності КР, витікає, що вона не прив'язується до фізичних полів і сигналів (не є видовою або сигнальною) на відміну від інших способів ведення технічної розвідки.

Предметом дослідження КР є не побічні (небажані) ефекти, неминуче супроводжуючі функціонування технічних засобів ІС і лежачі в основі утворення ненавмисних ТКВІ, а різні види комп'ютерної інформації, що є результатом якраз штатного функціонування ІС і реалізації її основного призначення – збору, аналізу, обробки, зберігання, передачі інформації і ін.

Основним методом ведення КР є несанкціонований доступ (НСД) до комп'ютерної інформації, циркулюючої в ІС. Проте в термінах комп'ютерної безпеки [14] йдеться не про технічну (комп'ютерну) розвідку і про канали витоку інформації, а, відповідно, про загрози конфіденційності комп'ютерної інформації і про приховані (таємні) канали проникнення в КСМ, які можуть виявлятися як на фізичному рівні (фізичний доступ до елементів ІС, розкрадання носіїв інформації і т.д.), так і на логічному рівні (відключення або обхід системи захисту, захоплення привілеїв, помилкова маршрутизація потоків даних і ін.).

Способи безконтактного НСД в комп'ютерні системи і мережі засновані (Рис.1) на використовуванні недоліків мов програмування, наявності уразливостей (“люків”, “дір” і т.д.) в штатному програмному забезпеченні (ПЗ) ІС і вживанні спеціального ПЗ, званого атакуючим [15]. Його вживання, як правило, припускає роботу на більш високих рівнях згаданої моделі OSI (транспортному і мережевому, сеансовому і представницькому, прикладному).

У роботі [4, с. 31] зазначено, що “…к компьютерной разведке нельзя относить средства активного воздействия на информационные системы противника: почтовые и логические бомбы, электронные черви, SYH-наводнения, атаки типа “Салями”, большинство вирусов”.

Проте, в КР, як і в технічній розвідці взагалі, можуть застосовуватися пасивні і активні методи добування інформації. Наприклад, радіолокаційна або лазерна види технічної розвідки засновані на активній локації об'єктів розвідки (або їх елементів) за допомогою випромінювання спеціальних зондуючих сигналів і прийому відбитих відкликів. Інші види ТЗР використовують власне випромінювання об'єктів розвідки в різних частотних діапазонах. Аналогічно, при добуванні інформації через ТКВІ можуть застосовуватися як активні (ВЧ-нав'язування, опромінювання лазерним променем поверхні стекол, використовування апаратних закладок, радіомікрофонів і ін.), так і пасивні методи перехоплення інформаційних сигналів (ПЕВІН, акустики приміщень і ін.).

Тому і в КР можливе як пасивне перехоплення інформації (прийом і аналіз мережевого трафіку, сканування портів ПК і ін.), так і активні методи добування комп'ютерної інформації, за допомогою, наприклад, упровадження в КСМ вірусів, троянців, логічних бомб, що спрацьовують при настанні певних умов або ініціюються сигналами ззовні, програм–клавіатурних шпигунів тощо [15, 16].

На наш погляд, не відносяться до КР:

  • вивідування відомостей через персонал КСМ, оскільки це самостійний канал витоку інформації через суб'єкти-носії інформації (розголошення);
  • аналіз і обробка, у тому числі з використанням комп'ютерних систем, відкритих текстів ЗМІ, Інтернет;
  • використання апаратних закладок в засобах ЕОТ;
  • передача розвідданих за допомогою КСМ;
  • перехоплення та аналіз ПЕВІН засобів ЕОТ;
  • фізичне проникнення до елементів КСМ, нагляд за їх роботою, копіювання інформації або розкрадання її носіїв, оскільки це інші методи НСД.

Слід зазначити, що висловлений підхід до визначення сутності і методів комп'ютерної розвідки не суперечить існуючим нормативно-методичним документам щодо захисту інформації, а лише доповнює їх, зберігаючи базовий підхід до можливих шляхів (каналів) витоку інформації з об'єкту інформатизації за рахунок [17]: розголошення інформації персоналом; вживання технічних засобів розвідки (по технічних каналах витоку інформації); НСД до джерел інформації, що захищається.

Висновки.

  1. Комп'ютерна розвідка є відносно новим і самостійним видом технічної розвідки.
  2. З формальної точки зору можуть розглядатися канали витоку комп'ютерної інформації як самостійні технічні канали розповсюдження ІзОД з об'єкту інформатизації, проте вони потребують подальшого дослідження.
  3. Сутність комп'ютерної розвідки полягає в добуванні:
    • комп'ютерної інформації, яка оброблюється, накопичується та передається в ІС;
    • даних і відомостей про характеристики (параметри) програмних, апаратних і програмно-апаратних комплексів, вживаних в ІС;
    • даних і відомостей про вживані в ІС методи, способи і механізми захисту інформації;
    • персональної інформації про користувачів ІС.
  4. Основним методом ведення комп'ютерної розвідки є несанкціонований безконтактний доступ до комп'ютерної інформації, циркулюючої в ІС.
  5. Комп'ютерна розвідка може вестися як за допомогою активних, так і пасивних методів.
  6. Доцільно законодавчо визначити термін «комп'ютерна інформація».

Література

  1. Доронин А. И. Бизнес-разведка. – 2-ое изд., перераб. и доп. / А. А. Доронин. – М.: Изд-во «Ось-89», 2003. – 384 с.
  2. Мисюк С. Компьютерная разведка: взгляд на сайт компании из недр Интернета [Електронний ресурс]. – Режим доступу: http://www.daily.sec.ru/dailypblshow.cfm?rid=17&pid=8872.
  3. Скрыль С. В. Аналитическая разведка в оценке угроз информационной безопасности / С. В. Скрыль, В. В. Киселев // Системы безопасности, 2003. – № 6 (48). – С. 96-97.
  4. Меньшаков Ю. К. Защита объектов и информации от технических средств разведки / Ю. К. Меньшаков. – М.: Российск. гос. гуманит. ун-т, 2002. – 399 с.
  5. Халяпин Д. Б. Защита информации. Вас подслушивают? Защищайтесь! / Д. Б. Халяпин. – М.: НОУ ШО “Баярд”, 2004. – 432 с.
  6. Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения.: ГОСТ Р 51275-99. – [Действительный от 01.01.2000]. – (Государственный стандарт России).
  7. Ржавский В. К. Информационная безопасность: практическая защита информационных технологий и телекоммуникационных систем: Учебное пособие / В. К. Ржавский. – Волгоград: Изд-во ВолГУ, 2002. – 122 с.
  8. Хорошко В. А. Методы и средства защиты информации / В. А. Хорошко, А. А. Чекатков. – Юниор, 2003. – 504 с.
  9. Емельянов С. Л. Техническая разведка и технические каналы утечки информации / С. Л. Емельянов // Системи обробки інформації. – 2010. – Вип. 3 (84). Інформаційна та економічна безпека: Харківський університет Повітряних Сил ім. І. Кожедуба. – С. 20-23.
  10. Кримінальний кодекс України від 5 квітня 2001 р. // Офіційний вісник України. – 2001. – №21. – Ст. 920.
  11. Про захист інформації в інформаційно-телекомунікаційних системах: Закон України від 5 липня 1994 р. // Відомості Верховної Ради. – 1994. – №31. – Cт. 286.
  12. Конвенція про кіберзлочинність (офіційний переклад) // Офіційний вісник України. – 2007. – № 65. – С. 107. – Ст. 2535.
  13. Протоколы информационно-вычислительных сетей: [справочник] / Под общ. ред. И. А. Мизина, А. П. Кулешова. – М.: Радио и связь, 1990. – 504 с.
  14. Термінологія в галузі захисту інформації в комп’ютерних системах від несанкціонованого доступу: Затв. наказом ДСТСЗІ від 28 квітня 1999 р. (НД ТЗІ 1.1-003-99). – [Чинний від 07.01. 1999 р.] / [Електронний ресурс]. – Режим доступу: http://www.dstszi.gov.ua/dstszi/control/uk/publish/article?art_id=40396&cat_id=38835.
  15. Анин Б.Ю. Защита компьютерной информации / Б. Ю. Анин. – СПб.: БХВ-Петербург, 2000. – 384 с.
  16. Красноступ Н. Шпионские программы и новейшие методы защиты от них / Н. Красноступ, Д. Кудин // Правове, нормативне та метрологічне забезпечення системи захисту інформації в Україні: науково-технічний збірник. – НТУУ “КПІ”, ДСТС ЗІ СБУ. – 2004. – Вып. 9. – С. 67-75.
  17. Ємельянов С. Л. Шляхи і канали витоку інформації з типового об’єкту інформатизації / С. Л. Ємельянов, В. В. Носов // Право і безпека. – Науковий журнал. – 2009. – №1. – С. 273-279.

Добавить комментарий

Защитный код
Обновить

Поиск