После подписания Бушем новых директив под руководством директора национальной разведки США была создана специальная структура, которой предписано осуществлять координацию усилий американских спецслужб по вскрытию источников кибернетических атак на федеральные информационные системы. МВБ будет обеспечивать защиту этих систем. А Пентагону (ОСК ВС США) надлежит разработать стратегию противодействия всем попыткам извлечения данных, потеря которых может повредить национальной безопасности страны.
За последние полтора года сети Государственного департамента, Министерства торговли, Минобороны и МВБ США неоднократно подвергались атакам хакеров и зарубежных спецслужб. Чиновники в Вашингтоне и специалисты по компьютерной безопасности утверждают, что крупнейшие атаки на эти ведомства, включая базы данных некоторых лабораторий, занимающихся ядерными разработками, и крупных подрядчиков МО, были предприняты Китаем.
Новыми директивами Буша Пентагону разрешается разрабатывать планы проведения кибернетических контратак на информационные сети противников США. В тех случаях, когда АНБ будет установлен конкретный факт нападения и выявлен сервер иностранного государства, с которого была осуществлена атака, специалисты Минобороны нанесут по нему ответный удар, чтобы прекратить новые атаки на информационные сети американского правительства1. Такие же меры будут приниматься в тех случаях, когда атакам будут подвергаться сети частных фирм.
В начале марта 2008 г. в США состоялись учения под кодовым названием «Кибернетический ураган-2». Их проводило МВБ с участием 18 федеральных ведомств, в том числе ЦРУ, ФБР, МО (ОСК ВС США) и АНБ, представителей девяти американских штатов и свыше трех десятков частных компаний, а также соответствующих служб Австралии, Великобритании, Канады и Новой Зеландии. Командный пункт учений располагался, как сообщается, в штаб-квартире секретной службы США, которая отвечает за безопасность главы государства и структурно входит в состав МВБ. «Вероятный противник» не обозначался, однако считалось, что он преследует политические и экономические цели и для их достижения предпринял мощную кибератаку против компьютерной инфраструктуры страны. В ходе учений участники отрабатывали совместные действия, призванные дать отпор этому нападению.
Учения «Кибернетический ураган-2» стали еще одним свидетельством разворачивающейся в США подготовки к ведению кибервойн. Об опасности их развязывания в будущем утверждали за океаном, да и в целом на Западе уже давно. Однако то, что эта война не такая уж виртуальная, а главное, что ее последствия могут быть не менее катастрофическими, чем от ракетной, заговорили в США и НАТО со всей серьезностью с середины прошлого года2. Активному воздействию в этот период подвергались информационные сети Эстонии, США, Германии, Франции, Великобритании и Южной Кореи.
Сегодня в мире еженедельно регистрируются, сообщается на сайте Washington Profile, более 55 млн акций компьютерных хакеров как успешных, так и безуспешных. Ущерб от них составляет более 15 млрд долларов ежегодно и продолжает быстро расти. Наиболее распространенный способ действия хакеров - блокировка корпоративной сети или интернет-ресурса избранного объекта с помощью DDoS-атаки (Distributive Denial of Service --отказ в обслуживании). Суть его состоит в том, что в необходимый момент хакеры по команде начинают забрасывать выбранный ресурс тысячами ложных запросов (спамов) в секунду. Это приводит или к выходу из строя сервера, подвергшегося атаке, или к прекращению доступа к нему другим пользователям. Скоординированная рассылка американскими хакерами в течение нескольких дней более 500 тысяч писем привела к полному выводу из строя правительственного сайта Югославии. В то же время представитель НАТО Джими Ши отмечал, что их почтовый сервер длительное время получал ежедневно более 2 тысяч посланий только от одного отправителя.
Хакеры в своих атаках на киберпространство используют также рассылку ложных писем, направляющих пользователя на поддельный ресурс, внешне напоминающий оригинальный, и внедрение крадущих информацию вирусов - «троянов». Последние, получившие свое название от «троянского коня», обычно перехватывают нажатия клавиш, могут делать копии экрана пользователя или копировать данные, посылаемые пользователем через сеть, затем полученная информация направляется по нужным адресам.
Информационный конфликт как форма взаимодействия информационных систем применительно к вычислительным сетям характеризуется преднамеренным характером воздействий нарушителя.
При этом его объектами становятся как информация, хранимая, обрабатываемая и передаваемая в интересах решения прикладных задач пользователей, так и сами вычислительные сети, т. е. все доступные для воздействия ресурсы.
Обеспечение безопасного функционирования вычислительных сетей в таких условиях связано с защитой от более широкого спектра угроз безопасности информации и со специфичным распределением таких угроз по элементам вычислительной сети. В качестве основной формы воздействия на вычислительные сети со стороны нарушителя выступают компьютерные атаки (КА), защита от которых для обычных условий функционирования вычислительных сетей, как правило, не рассматривается или рассматривается как второстепенная задача по защите от вирусов.
Следовательно, специфика условий информационного конфликта определяет необходимость контроля реальной защищенности вычислительных сетей от КА и поиска эффективных решений для защиты от них.
Объективной реальностью в развитии теории и практики защиты информации в вычислительных сетях стало появление нового вида глобальных угроз безопасности их функционирования - информационного оружия, с помощью которого реализуются задачи информационного противоборства.
В общем случае под информационным оружием понимается совокупность средств и способов воздействия на информацию, информационно-психологические, информационно-технические объекты и информационный ресурс в целях решения задач воздействующей стороны.
Другими словами, это сплав специально организованной информации и информационных технологий, позволяющий целенаправленно преодолевать систему защиты, воздействовать на информацию или нарушать нормальное функционирование информационно-вычислительных систем.
Применительно к вычислительным сетям информационная борьба представляет собой особую форму конфликта с активным воздействием нарушителя и пассивным поведением системы защиты вычислительной сети. В подобных условиях, называемых далее условиями информационного конфликта, обеспечение безопасности функционирования вычислительной сети предполагает защиту обрабатываемой в вычислительной сети информации от НСД со стороны нарушителя, а также защиту самой вычислительной сети от НСВ со стороны нарушителя, направленных на нарушение ее функционирования. Применительно к условиям информационного противоборства термин «защита информации от НСД» включает в себя все аспекты обеспечения безопасности информации: конфиденциальность (защита от несанкционированного чтения или копирования); целостность (защита от несанкционированного изменения или удаления); доступность (защита от несанкционированного блокирования).
Основной формой информационного воздействия нарушителя на ресурсы вычислительной сети являются КА, представляющие собой упорядоченные во времени действия по преодолению системы защиты и нарушению безопасности информации, реализуемые посредством программ с потенциально опасными (деструктивными) функциями. К числу таких функций относятся:
* сокрытие признаков своего присутствия в программно-аппаратной или вычислительной среде;
* осуществление сбора данных о параметрах вычислительной сети и о системе ее защиты;
* самодублирование или перенос своих фрагментов в другие области оперативной или внешней памяти;
* ассоциирование с другими программами в вычислительном окружении;
* искажение или разрушение кода программ в оперативной памяти;
* сохранение фрагментов информации из оперативной памяти в некоторой области внешней памяти (локальной или удаленной);
* искажение, блокирование или подмена выводимого во внешнюю память или в канал связи массива информации, образующейся при выполнении прикладных программ;
* подавление информационного обмена в телекоммуникационных сетях;
* искажение или фальсификация информации при обмене по каналам телекоммуникационных сетей;
* нейтрализация или нарушение работы тестовых программ и системы защиты.
В случае успеха КА реализуются одна или несколько угроз безопасности функционирования вычислительной сети, то есть потенциально возможное событие, процесс или явление, которые посредством воздействия на информацию или другие компоненты вычислительной сети могут прямо или косвенно привести к нарушению безопасности информации.
В зависимости от принадлежности источника угрозы выделяют внутренние и внешние угрозы безопасности функционирования вычислительной сети. Основным источником внутренних угроз являются высококвалифицированные специалисты в области разработки и эксплуатации программного обеспечения (ПО) и технических средств, знакомые со спецификой решаемых в автоматизированной системе (АС) задач, структурой, основными функциями и принципами работы программно-аппаратных средств защиты информации, имеющие возможность использования штатного оборудования и технических средств сети.
В зависимости от конкретных условий функционирования и особенностей вычислительной сети в качестве источника внутренних угроз могут выступать:
* авторизованные субъекты доступа - администратор вычислительной сети, администратор баз данных, администратор безопасности, пользователи, программисты, разработчики;
* вспомогательный технический и обслуживающий персонал - служба охраны, жизнеобеспечения и др.
Источниками внешних угроз для вычислительных сетей являются:
* представители криминальных структур и террористических организаций, заинтересованные в хищении информации, составляющей государственную или коммерческую тайну, или причинении ущерба инфраструктуре организации;
* хакеры или недобросовестные поставщики телекоммуникационных услуг;
* подразделения и службы технической разведки иностранных государств. Основным классификационным признаком угроз безопасности выступает их направленность. В соответствии с этим выделяют угрозы нарушения конфиденциальности, целостности или доступности информации. При этом в качестве объекта угрозы рассматривается как оперативная информация, обрабатываемая в интересах конечных пользователей вычислительной сети, так и технологическая, используемая для организации функционирования комплекса средств обработки информации и комплекса средств защиты информации.
К угрозам нарушения конфиденциальности информации в вычислительных сетях относятся:
* несанкционированное чтение или копирование информации, в том числе остаточной или технологической, на любом из этапов ее обработки;
* несанкционированный импорт или экспорт конфиденциальной информации;
* передача информации между элементами вычислительной сети, относящимися к разным классам защищенности.
Угрозами нарушения целостности являются:
* несанкционированная модификация либо удаление программ или данных;
* вставка, изменение или удаление данных в элементах протокола в процессе обмена между абонентами вычислительной сети;
* потеря данных в результате сбоев, нарушения работоспособности элементов вычислительной сети или некомпетентных действий субъектов доступа. К угрозам нарушения доступности относятся:
* повторение или замедление элементов протокола;
* подавление обмена в телекоммуникационных сетях;
* моделирование ложной тождественности узла вычислительной сети или связи для передачи данных;
* использование ошибок или недокументированных возможностей служб и протоколов передачи данных для инициирования отказа в обслуживании;
* перерасход вычислительных или телекоммуникационных ресурсов.
В отдельный класс угроз следует выделить события, которые в зависимости от условий могут нарушить любую из составляющих безопасности информации:
* проектирование архитектуры системы, технологии обработки данных, разработка прикладных программ с возможностями, представляющими опасность для работоспособности системы и безопасности информации;
* несанкционированное включение в состав комплексов средств обработки информации и средств защиты информации новых элементов или изменение режимов их работы;
* доступ к ресурсам вычислительной сети без использования штатных средств вычислительной техники (СВТ) или выполнение программ или действий в обход системы защиты;
* подбор, перехват или разглашение (компрометация) параметров аутентификации или ключей шифрования (дешифрования);
* несанкционированный запуск программ;
* использование нестойких параметров аутентификации или ключей шифрования либо их несвоевременная смена;
* навязывание ранее переданного или ложного сообщения, отрицание факта его передачи или приема;
* некомпетентное использование, настройка или администрирование комплексов средств обработки информации и средств защиты информации;