Научная статья на тему 'Модель оценки угроз информационной безопасности на основе материалов хакерских конференций'

Модель оценки угроз информационной безопасности на основе материалов хакерских конференций Текст научной статьи по специальности «Компьютерные и информационные науки»

CC BY
767
94
i Надоели баннеры? Вы всегда можете отключить рекламу.
Ключевые слова
ХАКЕРСКИЕ КОНФЕРЕНЦИИ / HACKER CONFERENCES / МОДЕЛЬ УГРОЗ / THREAT MODEL / ЗАЩИТА ИНФОРМАЦИИ / INFORMATION SECURITY / ПРОГНОЗИРОВАНИЕ АТАК / FORECASTING OF ATTACKS

Аннотация научной статьи по компьютерным и информационным наукам, автор научной работы — Хусаинова Э. Р.

Проблема создания модели угроз является мало разработанной и актуальной. Модели угроз должны стать отправными точками для проектирования будущих систем защиты компьютерных и информационных систем. Построение модели угроз на основе материалов хакерских конференций позволит повысить надежность и защищенность информационных систем и программных продуктов.

i Надоели баннеры? Вы всегда можете отключить рекламу.
iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.
i Надоели баннеры? Вы всегда можете отключить рекламу.

THREAT EVALUATION MODEL OF INFORMATION SAFETY ON THE BASIS OF HACKER CONFERENCE MATERIALS

The problem of threat model creation is actual and not enough developed. Threat models should become starting points for designing of the future computer and information protection systems. Construction of threat model within the hacker conferences will allow improving reliability and security of information systems and software products.

Текст научной работы на тему «Модель оценки угроз информационной безопасности на основе материалов хакерских конференций»

МЕТОДЫ И СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ

УДК 004.056

МОДЕЛЬ ОЦЕНКИ УГРОЗ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ НА ОСНОВЕ МАТЕРИАЛОВ ХАКЕРСКИХ

КОНФЕРЕНЦИЙ Э.Р. Хусаинова

Проблема создания модели угроз является мало разработанной и актуальной. Модели угроз должны стать отправными точками для проектирования будущих систем защиты компьютерных и информационных систем. Построение модели угроз на основе материалов хакерских конференций позволит повысить надежность и защищенность информационных систем и программных продуктов. Ключевые слова: хакерские конференции, модель угроз, защита информации, прогнозирование атак.

Введение

Предотвращение компьютерных атак со стороны злоумышленников - очень актуальная задача для специалистов, работающих в сфере информационных технологий. Согласно данным исследования специалистов из университета Мериленда (США), в Сети каждые 39 секунд происходит новая компьютерная атака [1]. Поэтому очень важно быть в курсе самых последних новостей, касающихся взлома и различного рода атак со стороны хакеров. Получить такую информацию можно из конференций и съездов, организуемых бывшими хакерами, ныне экспертами в области безопасности компьютерных систем и главами соответствующих ИТ-компаний. Попытаемся построить структурную модель оценки угроз информационной безопасности (ИБ) на основе материалов хакерских форумов и съездов.

Цели и задачи конференций хакеров

В литературе моделирование процессов нарушения информационной безопасности предлагается осуществлять на основе рассмотрения логической цепочки: «угроза -источник угрозы - метод реализации - уязвимость - последствия». Требуется, чтобы в ходе анализа все возможные источники угроз были идентифицированы, все возможные уязвимости сопоставлены с идентифицированными источниками угроз, всем источникам угроз и уязвимостям (факторам) сопоставлены методы реализации [2]. На наш взгляд, такая модель в рамках хакерских конференций будет неполной, поскольку не учитываются мотивы и цели субъектов угроз, а также их количественные и качественные характеристики, потоки информации, циркулирующие между источниками угроз и объектами исследований (т.е. уязвимостями).

Рассмотрим, что представляют собой хакерские конференции, каковы цели, задачи, масштабы подобных съездов, набирающих все большую популярность и значимость в области защиты ИБ.

Хакерские конференции - одни из важнейших мероприятий в области ИБ, значительно способствующие повышению уровня защиты информации и квалификации специалистов, а также демонстрирующие новые угрозы и атаки, методы реализации взлома и нападения на компьютерные и информационные системы. География проведения подобных мероприятий достаточно обширна. Функционирует ежегодная конференция БеРсои в Лас-Вегасе, где собираются несколько тысяч участников из многих стран мира

8

- от США до Австралии [3]. С 1989 г. раз в четыре года проходит представительный хакерский форум в Голландии «Hackers At Large». Ежегодно в Германии проходит Всемирный конгресс хакеров под эгидой «Chaos Comрuter Club». Аналогичные конференции проходят также в таких странах, как Канада, Израиль, Южная Корея, Япония, Малайзия, Саудовская Аравия, Англия и т.д.

На международных съездах хакеров отчетливо прослеживается тенденция взаимодействия хакерского движения с государственными и коммерческими структурами. В них принимают участие представители государственных органов безопасности, администраторы крупнейших фирм. Более того, некоторые из известных хакеров активно участвуют в государственных и международных организациях по информационной безопасности. Так, например, президент и основатель «Chaos Comрuter Club» (Клуб компьютерного хаоса) Энди Мюллер-Мэган входит в состав всемирной организации «ICANN» (Internet Coloration for Assigned Names and Numbers) [4].

С каждым годом количество и состав участников растет и меняется: от хакеров до профессионалов в компьютерной безопасности, представителей крупнейших корпораций, правительственных организаций и федеральных спецслужб.

Цели, задачи и программа конференций становятся все более серьезными и глобальными, от развлечений до совместной борьбы с кибертерроризмом:

- привлечение внимания к информационной безопасности;

- сбор информации, обмен опытом борьбы с «кибертерроризмом»;

- реализация предупреждающих стратегий;

- демонстрация новейших решений в области управления информационной безопасностью;

- разработка инструментов для защиты системы от возможных угроз;

- обсуждение проблем социальных аспектов хакерства и др.

В программе хакерских конференций обсуждаются не только вопросы защиты ИБ, но и нападения со стороны нарушителей. В частности, в программу прошедших конференций были включены такие темы, как электронное голосование (поиск недостатков и выявление возможных угроз), беспроводные сети (Bluetooth - возможная утечка информации, атака с расстояния, уязвимости), DNS (сетевые атаки через DNS), социальные и технические аспекты (совесть хакера, злоупотребление властью), хакинг (методы против защиты в нецифровом мире), сетевая безопасность (IIS защита баз данных и трояны) и т. д.

Роль конференций в прогнозировании перспективных угроз

Еще одним важным достижением участников конференций является новое программное обеспечение, которое вполне можно использовать в повседневной жизни. Например, хакерская конференция ShmooCon 2GG8 порадовала целым арсеналом необычных устройств, которые можно было проверить в действии прямо на посетителях. Особую отметку получила оболочка Silica на базе Nokia N8GG, которая автоматически сканирует все окружающие Windows-компьютеры через WiFi, выявляет уязвимые ПК и позволяет сделать скриншоты с любого из них за пару щелчков мыши [5].

Результаты и подведение итогов конференций носят ценный характер с точки зрения привлечения всеобщего внимания к проблемам компьютерной безопасности и укрепления защиты важных инфраструктур от кибератак. Так, на конференции Defcon 17, прошедшей в июле 2GG9 года, правительство США открыто приглашало на работу «этичных хакеров». Это связано с тем, что в последние годы атакам подвергаются ключевые компьютерные сети, включая электроэнергетические системы. Специалист по безопасности и пилот Райтер Кункель (Righter Kunkel) продемонстрировал собравшим-

ся, как легко можно проникнуть в управляющую систему движения воздушного транспорта Федерального управления гражданской авиации США. При желании атакующий может, среди прочего, мешать обмену данными с диспетчерской вышкой, блокировать радар, ввести в систему поддельный план полета самолета, выдать себя за пилота, таковым не являясь, или же запретить самолетам вылет из аэропорта. Возможно, именно с этим связано множество авиационных крушений, произошедших в последнее время по всему миру [6].

Как видно, анализ негативных последствий реализации угроз на конференциях предполагает обязательную идентификацию возможных источников угроз, уязвимо-стей, способствующих их проявлению и методов реализации, т.е. классификацию (рис.)

Рис. Структурная модель взаимодействия в среде хакерских конференций

К группе заинтересованной стороны относят представителей государственных структур, спецслужб, корпораций, компаний, банков, ИТ-специалистов, хакеров и агентов, для каждого из которых интерес представляет свой объект исследования. Например, для госструктур такими объектами являются программные устройства, системы контроля доступа, протоколы и т.д.

Заинтересованная сторона выбирает объект исследования, предоставляет полный или ограниченный доступ к ресурсу, ставит цели и задачи перед организаторами и сроки выполнения поставленных задач. Так, например, компания Microsoft предлагает исследовать на предмет безопасности, простоты использования, визуализации новую операционную систему (ОС), допустим, Windows Vista (объект исследования), и ставит перед организаторами следующие задачи: выявить основные области ОС, которые требуют дальнейшей доработки и модернизации, предложить возможные решения выявленных проблем. Организаторам было выделено 100 бета-версий ОС. Организаторы же, в свою очередь, выбирают группу хакеров, определяют информационные и технические ресурсы, подлежащие защите либо атаке. Участники исследуют объект, проводят анализ характеристик угроз и уязвимых мест для информации, оценивают и измеряют риски, подбирают и используют методы и способы защиты или взлома.

Вернемся к нашему примеру. Группа американских исследователей выделила такие объекты: безопасность доступа к ОС, уязвимости с точки зрений Интернет-угроз, защищенность от вирусных атак и т.п. Также были предложены соответствующие методы: интеграция в систему нескольких вирусов и исследование поведения ОС, использование программы генерации пароля для аутентификации. Подобные действия были проведены и другими группами.

Далее участники приступают к практической части конференции. На этом этапе производятся весь анализ и составление будущего выступления, презентации своих достижений на конференции:

- проверка методов и способов защиты или взлома на объектах;

- анализ и подведение итогов исследования;

- подготовка к презентации полученных результатов;

- демонстрация и апробация новых утилит и устройств.

Таким образом, модель оценки угроз информационной безопасности - непрерывный цикл информационных потоков между субъектами и объектами съездов. Это совокупность внешних и внутренних факторов и их влияния на состояние информационной безопасности и на сохранение материальных и информационных ресурсов. Модель угроз должна впоследствии использоваться в проектировании будущих систем защиты информационной безопасности от возможных уязвимостей.

Мотивация субъектов конференций

Определив источники угроз и уязвимости для анализа причин и последствий реализации угроз, необходимо выяснить, какими же мотивами и целями руководствовались нарушители. Представители компаний и банков действуют в целях получения личной выгоды, новой информации об уязвимостях, протоколах; государственные и спецслужбы - в целях национальной безопасности, раскрытия конфиденциальной информации, предотвращения утечек баз данных и другой важной информации; хакеры -ради получения порции адреналина от осуществления незаконных действий, а также, чтобы проверить свои возможности и способности в области хакинга и защиты.

В продолжение примера отметим следующее. Американские, русские и французские ученые достигли конкретных результатов и выступили с докладами на конференции. Компания Microsoft, таким образом, получила интересующие ее сведения об ОС Windows Vista и определила для себя дальнейшие пути исследований и модернизации своего продукта. Все субъекты получили свою выгоду: организаторы - денежный чек, участники - премии, вакансии в компании заказчика, известность и способность доказать значимость своих исследований, а Microsoft - новые цели, ценные кадры и рекламу ОС.

В целом такой вид получения информации касательно интересующего заказчика объекта имеет как свои плюсы, так и минусы. Непосредственно сами результаты конференции и конкретных исследований, довольно быстрое достижение результата можно отнести к положительным аспектам, а риск, на который идет заказчик, предлагая участникам изучить сам объект, в силу своей непредсказуемости, безусловно, является отрицательной стороной. Ведь публичное выступление на хакерской конференции коренным образом влияет на общественное мнение, что может как прибавить, так и уменьшить спрос на объект. Несмотря на это, подобные съезды приобретают все большую популярность и охватывают все новые и новые горизонты информационных технологий.

Заключение

Таким образом, исследование материалов хакерских конференций напрямую способствует выявлению уязвимостей программного обеспечения и оборудования, а также предотвращению Интернет-атак. Вышеперечисленные примеры доказывают эффективность подобных мероприятий и вполне адекватную реакцию на это со стороны представителей государственных и коммерческих предприятий. К наиболее важным результатам конференций следует относить последующие изменения в программном и техническом оборудовании, а также глобальное информирование пользователей ПК о возможных путях преодоления защиты и доступа к их персональным данным.

ОЦЕНКА ЭФФЕКТИВНОСТИ АТАК ЗЛОУМЫШЛЕННИКА В ПРОЦЕССЕ ПОСТРОЕНИЯ..

Необходимо проводить хакерские конференции в России для защиты национальных интересов страны, уделять должное внимание вопросам информационной безопасности, каковые и обсуждаются на подобных конференциях.

Результатами проведения подобной конференции в России могут стать:

- привлечение внимания общественности к проблемам защиты информации;

- повышение мирового статуса России в области информационной безопасности;

- привлечение дополнительных государственных и зарубежных инвестиций в область защиты информации.

Это качественно повысит уровень информационной безопасности и даст возможность более интенсивно развивать данную область.

Литература

1. Сайт Интернет-журнала Hackzone [Электронный ресурс] / 2009. - Режим доступа: http://www.hackzone.ru/news/view/id/5204/, свободный. - Яз. рус.

2. Вихорев С., Кобцев Р. Как определить источники угроз? [Электронный ресурс] / 2003. - Режим доступа: http://www.citforum.ru/security/articles/threats/, свободный. -Яз. рус.

3. Сайт конференции DefCon [Электронный ресурс] / 2009. - Режим доступа: www.defcon.org, свободный. - Яз. англ.

4. Сайт конференции Chaos Communication Congress [Электронный ресурс] / 2009. -Режим доступа: www.ccc.de, свободный. - Яз. англ., нем.

5. Хакерские гаджеты на конференции ShmooCon [Электронный ресурс] / 2008. - Режим доступа: http://habrahabr.ru/blogs/infosecurity/5893/, свободный. - Яз. рус.

6. Сайт Интернет-журнала securitylab [Электронный ресурс] / 2009. - Режим доступа: http://www.securitylab.ru/, свободный. - Яз. рус.

Хусаинова Эльвира Робертовна - Санкт-Петербургский государственный университет ин-

формационных технологий, механики и оптики, аспирант, [email protected]

УДК 004.056.4

ОЦЕНКА ЭФФЕКТИВНОСТИ АТАК ЗЛОУМЫШЛЕННИКА В ПРОЦЕССЕ ПОСТРОЕНИЯ ЕГО МОДЕЛИ

А.И. Спивак

Проектирование системы защиты информации всегда сопровождается созданием модели нарушителя безопасности. Общеизвестным подходом является использование характеристик злоумышленника в качестве основных параметров для оценки атак на систему защиты. Изменение свойств объекта защиты может быть использовано для выполнения оценки действий нарушителя безопасности. Ключевые слова: модель, безопасность, злоумышленник, оценка, информация.

Введение

В процессе построении системы информационной безопасности на одном из этапов производится оценка эффективности атак злоумышленника. На основе данных об объекте защиты и возможных атаках строится модель защиты. Полнота описания угроз безопасности, а также правильность модели нарушителя позволяют системе защиты информации учитывать большую часть атак и иметь адекватные меры по препятство-ванию их реализации.

i Надоели баннеры? Вы всегда можете отключить рекламу.