Информационные войны

4. «Серый кардинал». Самый опасный тип высокопоставленных инсайдеров. Имеют доступ к широкому спектру документов.

В финансовой деятельности инсайдерские торговые операции на рынке ценных бумаг -- это операции с ценными бумагами на основе внутренней информации о деятельности компании-эмитента, часто они бывают незаконными.

В повседневной жизни инсайдерские знания рассматриваются как источник действительной информации, которая может противоречить официальным заявлениям.

В бизнесе инсайдеры -- лица, имеющие доступ к внутренней информации о корпорации; обычно инсайдерами являются директора и старшие менеджеры, а также владельцы более 10% голосов компании

Инсайдерство достаточно распространено на Западе и в США, не избежали подобной участи и российские компании. Согласно статистике, лишь каждая десятая компания внедряет систему защиты от утечек информации.

По результатам целого ряда исследований, примерно 66 процентов утечек конфиденциальной информации приходится на частные предприятия. Остальные 34 процента принадлежат государственному сектору.

Особенно от инсайдерства страдают банковские и финансовые структуры, где объектами утечки информации могут быть персональные данные или данные о счетах, кредитные истории, информация о ситуациях, которые могут повлиять на стоимость ценных бумаг на фондовом рынке.

В США в 2006 году сотрудник крупной компании продал базу электронных адресов клиентов (92 миллиона) спамерам за 28 тысяч долларов. В России же одним из самых громких примеров инсайдерских действий можно назвать последний случай, когда в двадцатых числах марта 2008 года в интернете появился сайт www.radarix.com, на котором были размещены данные миллионов жителей России и Украины. При поиске по имени человека можно было узнать сведения о судимости, приводах человека в милицию, а также паспортные данные, адреса, телефоны, информацию из налоговых служб, номерные знаки автомобиля и многое другое. Это был первый случай размещения настолько крупной объединенной базы с персональными данными в Интернете.

В подавляющем большинстве случаев внутренние нарушители не несут сколько-нибудь существенной ответственности.

Наиболее распространённое наказание для халатных сотрудников -- формальные выговоры (45%), а для злонамеренных инсайдеров -- увольнение (51%) без симметричного судебного преследования или материальных взысканий. Не меньшую озабоченность вызывает и степень латентности внутренних нарушений: 42% респондентов затруднились определить количество утечек конфиденциальных данных.

В тройку «призёров» по степени опасности среди каналов утечки респонденты вынесли мобильные носители (70%), электронную почту (52%) и Интернет (33%). Больше всего инсайдеров привлекают персональные данные (68%), финансовые отчёты и детали конкретных сделок (40%).

В 87% случаев инсайдеры использовали простые команды зарегистрированных пользователей. Лишь иногда применялись специфические технические знания о мерах безопасности систем.

В настоящее время существует широкий рынок аппаратных средств защиты информации в виде электронных ключей и смарт-карт.

Еще одним способом решения проблемы с инсайдерством является защита каждого секретного документа (в большинстве случаев это возможно, если документ уже закончен и не должен подвергаться изменениям, иначе остается только ограничение доступа). Осуществить это решение можно следующим образом.

Во-первых, можно делать документы неотделимыми от программ их просмотра, которые в свою очередь привязываются к компьютеру. По этому пути идут, например, компании StarForce и Adobe. В этом случае программа просмотра активируется на конкретных компьютерах (например, в бухгалтерии), а документы защищаются таким образом, что их можно просмотреть только в программах, установленных именно для этих целей именно на этом компьютере. Кроме того, существует возможность защитить документ, который будет отправлен из организации по электронной почте или на каком-либо носителе. При этом открыть его и прочитать сможет только адресат, имея определенный серийный номер и специальную программу-просмотрщик. В этом продукте реализована система отчетов, в которой можно посмотреть, на каком компьютере, сколько раз и когда открывался документ. Еще один популярный способ обеспечения защиты от инсайдеров - применение в работе методов поведенческого анализа, которые используются различными производителями. В этом случае на компьютеры сотрудников устанавливаются специальные программные модули, например, Safe'n'Sec (известное решение от компании S.N.Safe&Software), которые блокируют доступ к файлам любых программ, кроме разрешенных. В этом случае уже невозможно, например, приаттачить документ к электронному письму или запустить то или иное приложение без разрешения.

Страны с развитой экономикой столкнулись с проблемой инсайда давно. Первый судебный прецедент случился в 1909 году: директор Philippine Sugar Estates Development Company выкупил у одного из акционеров долю (800 акций), «забыв» предупредить последнего о грядущей продаже компании по существенно более высоким ставкам. Верховный суд США постановил, что директор поступил нехорошо, и присудил вернуть акции пострадавшему акционеру. Первые законодательные акты, запрещающие использование подобной информации, появились ещё в 30-х годах, сразу же после окончания великой депрессии - крупнейшего экономического и финансового кризиса в XX веке.



Примеры инсайдерских сделок:

1982 год, дело Кьярелло: издатель, получивший заказ на печать буклета, посвященного грядущему слиянию двух компаний, купил акции одной из них, прилично на этом заработав. Вопреки ожиданиям, верховный суд США вынес оправдательный вердикт, вернувшись к исходному принципу об обязательном наличии трастовых отношений между инсайдером и акционерами компании, чьи акции используются в сделке. У издателя вообще не было никаких прямых отношений с этой компанией, поэтому его отпустили на все четыре стороны.

14 правил SEC (Комиссия по ценным бумагам и биржам в США) -- это просто хрестоматийная иллюстрация лицемерия американской псевдоэтической законодательной системы. То есть если вы, обедая в ресторане, случайно подслушали за соседним столиком разговор двух руководящих работников компании А о грядущем сенсационном росте квартальной прибыли, кинулись домой и купили 1000 колл-опционов этой компании, которые на следующий день выросли в цене на 300%, вы не совершили ничего предосудительного. Так поступать типа можно. Зато если вы, обедая в ресторане, случайно подслушали за соседним столиком разговор двух руководящих работников компании А о грядущем слиянии с компанией В, кинулись домой и купили 1000 колл-опционов компании А, которые на следующий день выросли в цене на 300%, то вы совершили преступление, которое преследуется и по гражданскому, и по уголовному законодательству.

Звучит по-идиотски? Не спешите с выводами. Помните, как весь мир покатывался со смеху после заявления Билла Клинтона, что он в молодости марихуану курил, но не затягивался? Так вот, мир добровольно расписался в полном непонимании американской морально-этической системы. В самой Америке над заявлением президента смеялись только маргиналы, не интегрированные в систему. Потому что согласно этой системе курить и не затягиваться совершенно не одно и то же, что курить и затягиваться. Более того, не только с правовой (это-то понятно), но и с морально-этической точки зрения не затягиваться лучше (!), чем затягиваться. Согласно той же самой логике использовать инсайдерскую информацию о поглощениях -- это зло, а о квартальном отчете -- это добро.

2010 год, дело Гриффитса и Стеффса. Перечислять бесконечные прецеденты по инсайдерским судебным разбирательствам нет ни малейшего смысла, поскольку вместо закономерностей мы лишь наблюдаем флюгерные постановления, отражающие моду времени. Посему достаточно посмотреть, куда эволюционировала вся эта система в наши дни. Итак, рядовые работники Florida East Coast Railway (инженер-механик и проводник поездной бригады) заметили, что к ним в железнодорожное депо зачастили «белые воротнички» в дорогих костюмах, причем не только «большие шишки» родной компании, но и неизвестные функционеры. Из этих своих наблюдений работяги заключили, что намечается поглощение, и накупили колл-опционов на все семейные сбережения. Спустя короткое время Fortress Investing Group купила флоридскую железную дорогу, а семьи Гриффитса и Стеффса стали богаче ровно на $1 млн. И что же? SEC спустила на бедолаг всех мыслимых и немыслимых собак, засудив по полной программе за дьявольский инсайд. На основании чего? А все тех же бессмысленных раздела 10(b) и правила 10b-5, согласно которым ценные бумаги покупались на основании «манипулятивных и вводящих в заблуждение посылок» (оцените туманность формулировки -- manipulative and deceptive devices!).

6. Безопасность сотовой связи

Все преступления в существующих сетях мобильной связи можно разбить на три группы:

1. мошенничество, наносящее ущерб операторам сотовой связи, дилерам и абонентам;

2. несанкционированный перехват конфиденциальной информации, или так называемый мобильный шпионаж;

3. нарушение режима сетевого обслуживания абонентов из хулиганских побуждений, не связанным перехватом конфиденциальной информации.

Ежегодные убытки от мобильных преступлений в мировой сотовой индустрии составляют около $25 млрд., или 3-5% от общей суммы доходов, в России - около 10%.

Схемы преступлений

1.Фрод (fraud). Фрод - мошенничество. Классифицируют 200 видов фрода.

Заключив контракт с оператором под «чужим» именем, мошенник становится авторизованным пользователем сети и на какое-то время получает возможность анонимного доступа к ее услугам; при этом последующие его действия могут быть самыми непредсказуемыми.

Мошенничество с роумингом.

Например, в основе мошенничества с роумингом лежит задержка по времени между сделанными звонками и процедурой биллинга. Эту задержку мошенники используют для того, чтобы сделать максимальное количество звонков.

В международной практике различают три процедуры регистрации роуминговых звонков:

1. через международные биллинговые центры (clearinghouse)--задержка от 1 до 7 дней;

2. отправка отчета, когда объем роуминговых звонков превышает определенный порог, так называемый отчет HUR (High Usage Report)-- задержка от 24 до 36 ч;

3. процедура RoamEx (Roamer CDR Exchange), при которой параметры вызовов CDR (Call Detail Records) сразу же заносятся в базу данных и в дальнейшем используются для выполнения биллинговых операций - задержка не превышает 10 с.

При типовой схеме мошенничества в роуминге фродастер заключает контракт или покупает кредитную карту у оператора А, затем перебирается в другую сеть, принадлежащую оператору B , и становится роумером. В новой сети он делает дорогостоящие звонки, заранее замышляя их не оплачивать. Звонки делаются до тех пор, пока ему не будет отказано в доступе.

2. Серфинг (surfing). Мошенник, не являясь авторизованным пользователем сети, пытается войти в нее под чужим именем, используя для этого различные механизмы -- клонирование мобильных телефонов, незаконное получение кодов авторизации и т. д.

Клонирование.

Клонирование-это технология, позволяющая на основе одной официально купленной у оператора SIM-карты, произвести любое количество SIM-карт с зарегистрированным на них одним и тем же телефонным номером и которые можно использовать в сотовой сети одного оператора связи.

Зашифрованные данные абонента GSM хранятся в небольшой смарт-карте, которая вставляется в телефон. Без карты, называемой также модулем идентификации пользователя (SIM - Subscriber Identification Module).

Обнаруженная дыра в безопасности позволяет извлечь секретную информацию из одного SIM и переписать ее в другой, создав точную копию первого телефона. В апреле 1998 г. группа компьютерных экспертов из Калифорнии широко объявила и продемонстрировала, что ей удалось клонировать мобильный телефон стандарта GSM.

Ранее всеми по умолчанию предполагалось, что цифровые сети GSM гораздо надежнее защищены от этой напасти, приносящей миллионные убытки сетям аналоговой сотовой телефонии.

С появлением сетей стандарта GSM в нашей стране классический сотовый фрикинг умер. Остались лишь некоторые дыры операторов как-то: обновление информации о пользование GPRS'ом раз в сутки на UMC, проблемы с биллингом Лайфа - случайные нетарифицируемые звонки.

3. Хостинг (ghosting) - использование специальных технических средств, позволяющих настроить операторское оборудование на предоставление услуг бесплатно или по крайне низким тарифам. Типичный пример - аппаратное подавление ответного сигнала, отправляемого по сети после приема вызова. Пока узел-источник безуспешно ожидает этот сигнал, мошенник успевает совершить бесплатный звонок.

4. Акаунтинг (accounting). Вмешательство в работу биллинговой, или учетной, системы, где хранятся счета клиентов, с целью уменьшения платы за трафик или возврата уже произведенных платежей. Мошенники действуют в расчете на то, что обнаружить их действия в огромном потоке обрабатываемой информации довольно сложно. Потерянные суммы чаще всего списываются на ошибки сотрудников.

5. Утечка информации (information abuse)--получение паролей, секретных кодов доступа и другой конфиденциальной информации обычно с целью последующей их продажи третьим лицам. Нередко такую информацию поставляют служащие компании-оператора или ее бывшие сотрудники.

В стандартах NMT-450 и AMPS, не предусматривавших использования SIM-карт. Достаточно было просканировать серийный номер телефона, передаваемый по открытому радиоканалу, и присвоить его другой трубке. В результате абонент, аппарат которого подвергся подобной процедуре, оплачивал счета за двоих - себя и фрикера. В следующих модификациях стандарта - NAMPS/DAMPS - была предусмотрена защита от клонирования в виде комбинации номера телефона в сети и серийного номера трубки.

Широкое распространение в Японии получил прием с упущенным вызовом или, как его называют в оригинале, wan-giri (буквально - "один звонок"). Мошенник дозванивается до жертвы и тут же прерывает связь, не дожидаясь ответа. Многие из любопытства перезванивают на определившийся незнакомый номер. А через некоторое время расплачиваются за свой интерес, получив счет на энную сумму. К стандартному счету за услуги мобильной связи эта бумажка никакого отношения не имеет, но многие оплачивают все скопом, не вникая в подробности. Интересно, что японское законодательство не предусматривает ответственности за wan-giri, и полиция лишь советует гражданам соблюдать осторожность и не разговаривать с незнакомцами даже по мобильному.

Постоянной головной болью для отечественных операторов стали так называемые "переговорные пункты". На украденный или найденный паспорт покупается несколько десятков SIM-карт с тарифами, предусматривающими разговоры в кредит. После этого мошенники отправляются в те общественные места, где необходимость позвонить куда-либо возникает особенно часто, такие как вокзалы или общежития. Там они предлагают свои услуги всем желающим по относительно низким ценам. Разговоры ведутся до тех пор, пока отрицательная сумма на балансе не достигнет критического размера и SIM-карта не заблокируется.

Тогда ей на смену приходит свежая "симка", и "переговорный пункт" возобновляет работу. Настоящей удачей для таких деятелей становится получение корпоративных номеров, ради которых иногда даже регистрируют фиктивные фирмы. По таким SIM-картам можно влезать в долги вплоть до нескольких тысяч долларов. После исчерпания лимита фирма благополучно самоликвидируется.

Одному из пользователей столичного оператора сотовой связи по окончании расчетного периода был выставлен счет на 1,5 тыс. долл. Он предъявил претензию на несколько звонков большой длительности, которые были осуществлены на номера спутниковых телефонов.

Оказалось, что при серфинге в Интернете с помощью GPRS-сессии на одном из иностранных эротических ресурсов он нажал на баннер, который переадресовал его вызов на такой спутниковый номер, по которому он смог получить доступ к приватной части сайта. Связь была хорошая, поэтому он несколько раз в месяц заходил туда, не обратив внимания на значительно большую тарификацию (порядка $2 в минуту). Причем предупреждение о переадресации по более высокой цене было на том сайте -- правда, на английском языке. В итоге счет, конечно, пришлось оплачивать.

Типы преступников

1. Фродастеры (злостные неплательщики). Делятся на две группы --криминальные элементы и недобросовестные клиенты. Первые для заключения контракта с компанией используют поддельные документы, вторые - подлинные, но платить при этом не торопятся, попадая в категорию безнадежных должников.

2. Фрикеры (телефонные пираты). Первоначально усилия фрикеров были направлены на создание устройств, «обманывающих» АТС с целью получения бесплатных звонков. Сегодня фрикеры, часто являясь специалистами в области связи, могут переконфигурировать услуги и формы оплаты сотовой связи.

3. Хакеры. Основная цель хакера - атакуя сетевую инфраструктуру, проникнуть в базы данных операторских компаний.

4. Вирусописатели. Огромная опасность исходит и от хакеров-вирусописателей (virus-maker). Созданные ими вирусы потенциально способны разрушить базы данных операторов, уничтожить деньги в мобильных банкоматах.

5. Кракеры. Разновидность хакеров. Специализируются в области программного обеспечения. Основная сфера их деятельности -- взлом прикладного ПО, а также написание программ, позволяющих проникнуть в сеть через ее уязвимые точки. Деятельность кракеров всегда преследует корыстные цели и связана, как правило, с воровством конфиденциальной информации.

6. Кардеры. Мошенники, занимающиеся подделкой пластиковых карт. Этот вид криминального бизнеса считается одним из самых серьезных в сфере высоких технологий. Наиболее уязвимое место в схеме --prepaid-карта, а точнее, скрытый в ней цифровой код. Способов его прочтения множество, включая профессиональное удаление защитного слоя на карте с последующим его восстановлением или замещением новым кодом, считанным с другой карточки, -- метод shave &paste («сбрить и наклеить»).

7. Инсайдеры. Сотрудники операторских компаний, передающих злоумышленникам информацию о способах проникновения в систему.

8. Мобильные лохотронщики. Эта группа криминальных элементов перекочевала с городских улиц в прибыльный мобильный бизнес почти сразу же за введением карточной системы расчетов с абонентами. Жертвами мобильных лохотронщиков становятся излишне доверчивые абоненты сетей мобильной связи. Наиболее опытные обманщики предпочитают телефоны многоговорящих абонентов.

Кардерство (кардинг)

Кардинг (carding) --операция с использованием банковской карты или ее реквизитов, не инициированная или не подтвержденная ее держателем.

Реквизиты платежных карт, как правило, берут со взломанных серверов Интернет-магазинов, платежных и расчётных систем, а также с ПК (либо непосредственно, либо через программы удаленного доступа, т. н. «трояны» и «черви»).

Также на сегодняшний день появилась масса сервисов где можно приобрести ворованные реквизиты из рук других кардеров которые торгуют ими оптом, обычно по 1-2 долл за штуку. Один из самых крупных общества кардеров долгое время был carderplanet.net, но ресурс был прикрыт властями.

Кроме того, наиболее распространённым методом воровства номеров платежных карт на сегодня является фишинг (phishing, искаженное «fishing» -- «рыбалка») -- создание мошенниками сайта, который будет пользоваться доверием у пользователя, например -- сайт, похожий на сайт банка пользователя, через который и воруются реквизиты платежных карт.

Для защиты от фишинга производители основных интернет-браузеров договорились о применении одинаковых способов информирования пользователей о том, что они открыли подозрительный сайт, который может принадлежать мошенникам. Новые версии браузеров уже обладают такой возможностью, которая соответственно именуется «антифишинг».

Адалт - довольно интересный и актуальный на сегодняшний день вид мошенничества, кардеры создают подставной платный порносайт и получают 2 в одном: отлов у посетителей новых реквизитов и заработок на уже имеющихся. Порносайты для получения номеров карт используют в основном новички.

Частным случаем кардинга является скимминг, при котором используется скиммер -- инструмент злоумышленника для считывания, например, магнитной дорожки платежной карты. Представляет из себя устройство со считывающей магнитной головкой, усилителем -- преобразователем, памятью и переходником для подключения к компьютеру. Скиммеры могут быть портативными, миниатюрными.

Существуют скиммеры, устанавливаемые на приёмное окно банкомата, которые запоминают карту, одновременно подсматривается или снимается при помощи накладной клавиатуры или видеокамеры пинкод, после этого можно изготовить карту с магнитной полосой и, зная пинкод, снять все деньги в пределах лимита выдачи.

Меры безопасности: абсолютное -- не передавать свою карту в чужие руки, реальное -- следить за тем, чтобы вашу карту использовали лишь по назначению (и не смогли применить портативное устройство, спрятанное под одеждой, например, официанта).

Взлом карточных баз данных является основой кардинга, именно взломщики обеспечивают «сырьем» этот криминальный бизнес. Однако случаи, когда взлом был обнаружен, можно пересчитать по пальцам.

Львиная доля хакеров, снабжающих мировой кардинг качественным "сырьем", являются бывшими гражданами СССР.

Видов интернет-кардинга существует не меньше десятка. Самый испытанный и надежный связан с использованием дропов - людей, которые согласны принимать товары, купленные через Интернет, на свой адрес. В США, как правило, это небогатые граждане, уверенные, что работают в абсолютно легальной посылторговой компании - только на дому. Дроп функционирует не больше месяца - потом к нему всегда приходят федеральные агенты. Говорят, что именно благодаря дроп-схемам в Москве - и в Интернет-магазинах - такое богатое предложение ноутбуков и цифровых фотоаппаратов по демпинговым ценам.

В странах продажи товаров кардеры предлагают покупателям ворованные вещи по цене на 30-70% ниже, чем в обычном магазине, но, разумеется, без гарантийного обслуживания. Для сохранения анонимности кардеров покупатели связываются с ними по электронной почте и таким же способом получают счет на «Яндекс.Деньги», WebMoney, E-gold или RUpay. На этот счет клиент отправляет деньги предоплатой и свои данные. Через 3-7 дней с ним связывается курьер.

Если в деле взлома баз данных кредитных карт Россия вне конкуренции, то в сфере изготовления «пластика» конкурентами являются страны Юго-Восточной Азии, Прибалтика и Украина. При этом используется промышленное оборудование, и выявить подделку подчас не могут даже в банках.

В среднем продается по 500 карт в месяц, оптовая цена - $80, если покупать одну -$180. Это без стоимости дампа, потому что дамп клиент присылает сам. Себестоимость - $1,5 - 3 за штуку.

Весь комплекс - офсетная печать, голограммы, аппарат для эмбоссирования (выдавливание имени и номера) стоит порядка $1 млн. Но редко кто покупает такое дорогое оборудование, используются мощности для производства дисконтных карт магазинов.

Кардерство, как это ни парадоксально, согласно российскому законодательству, относится не к разделу «О компьютерных преступлениях», а к статье 158 УК («Тайное хищение чужого имущества») или к статье 165 УК («Причинение имущественного ущерба путем обмана или злоупотребления доверием»). В случае со взломом компьютерных систем преступление подпадает под 165 статью. Считается, что кардер «злоупотребляет доверием» интернет-магазина, предоставляя чужую карточку, снимая с нее деньги и получая товар.

Глоссарий

CC, картон, картофель, мухи - кредитные карты или информация о них. Например, муха - это номер карты плюс CVV код, имя кардхолдера, дата окончания действия карты, адрес кардхолдера (страна, город, индекс, улица, дом, телефон, e-mail).

Вбивальщик - человек, который знает, как правильно купить товар в е-магазине или аккаунт на порносайте, так чтобы при этом не появилось сообщение transaction declined.

Белый пластик - это не пластик от элитных производителей, как мне однажды заявил «гуру» кардинга, а просто белый кусок пластика (обычно марки CR-80) с пустой магнитной полосой. Похож на CD-болванку, и на него тоже можно записать много интересного ;).

Дамп - информация, записанная на магнитной полосе кредитной карты. Обычно состоит из 2 или 3 треков.

Магнитная полоса состоит из нескольких магнитных дорожек (трек) (чаще всего - 3). Ширина ее составляет от 10,1 до 10,3 мм (если на креде 3 дорожки). Каждая дорожка отвечает за хранение своей собственной информации, при этом на каждой дорожке могут располагаться максимум 107 символов (цифровых или буквенных).

· 1 дорожка содержит основную инфу: идентификационный номер, общую информацию о владельце, сведения про эмитент, срок действия карты и немного служебной информации.

· 2 дорожка отвечает за авторизацию карточки (полностью определяет, какие операции и на какую сумму ты можешь производить с кредой), а также дублирует часть инфы с первой дорожки.

· 3 дорожка используется в основном при работе с банкоматом (иногда ее может и не быть - тогда магнитная полоса будет уже). Первые две дорожки только для чтения, третья - также и для записи (на ней, например, банкомат делает отметки о снятии денег). Для защиты магнитной полосы от подделок существуют специальные проверочные коды CVV (Card Verification Value) для Visa и CVC (Card Verification Code) для Europay, но копированию полосы они противостоять не могут.

С точки зрения российского законодательства мобильный телефон и базовая станция сотовой сети рассматриваются как элементы компьютерной сети.

Поэтому формальный состав преступления в случае фрода -- это “вмешательство в работу компьютерной сети” (статья 272 УК). Максимальное наказание, предусмотренное по этой статье, -- тюремное заключение сроком от трех до пяти лет.

В России реально до суда доводятся два-три случая в год, при этом наказание составляет от года до трех лет условно или полтора года в исправительной колонии.

И обязательно штраф на полную сумму ущерба. Также фрод может быть квалифицирован по статье 165 УК -- “причинение имущественного ущерба путем обмана и злоупотребления доверием” (срок до шести лет).

7. Компьютерные вирусы

Компьютерный вирус -- разновидность компьютерных программ, отличительной особенностью которых является способность к размножению (саморепликация).

Компьютерный вирус был назван по аналогии с биологическими вирусами за сходный механизм распространения. Вирусы распространяются, копируя свое тело, внедряют себя в исполняемый код других программ, заменяют собой другие программы, прописываясь в автозапуск и другое.

Каналы распространения вирусов:

Каналы

1. Флеш-накопители, включая цифровые фотоаппараты, цифровые видеокамеры, цифровые плееры (MP3-плееры), сотовые телефоны. Использование этого канала ранее было преимущественно обусловлено возможностью создания на накопителе специального файла autorun.inf, в котором можно указать программу, запускаемую Проводником Windows при открытии такого накопителя. В последней версии MS Windows под торговым названием Windows 7 возможность автозапуска файлов с переносных носителей была устранена.

2. Электронная почта. Обычно вирусы в письмах электронной почты маскируются под безобидные вложения: картинки, документы, музыку, ссылки на сайты. В некоторых письмах могут содержаться действительно только ссылки, то есть в самих письмах может и не быть вредоносного кода, но если открыть такую ссылку, то можно попасть на специально созданный веб-сайт, содержащий вирусный код.

3. Системы обмена мгновенными сообщениями. Также распространена рассылка ссылок на якобы фото, музыку либо программы, в действительности являющиеся вирусами.

4. Веб-страницы. Ввиду наличия на страницах всемирной паутины различного «активного» содержимого: скриптов, ActiveX-компонент.

Скрипт (сценарий) - это программа, которая автоматизирует некоторую задачу, которую без сценария пользователь делал бы вручную, используя интерфейс программы.

Элементы управления ActiveX - это небольшие программы, которые вставляются в эти страницы. К сожалению, так как они являются программами, то могут быть атакованы вирусами. Данная технология, используемая среди прочих, повышает функциональность веб-страниц (добавление анимации, видео, трехмерный просмотр и т.п.).

5. Локальные сети.

Принято разделять вирусы:

1. по поражаемым объектам (файловые вирусы, загрузочные вирусы, скриптовые вирусы, макровирусы, сетевые черви);

Файловые вирусы. Они поражают исполняемые файлы: EXE, COM, SYS, BAT. Эти вирусы заражают компьютер, если была запущена программа, которая уже содержит вирус.

Загрузочные вирусы заражают загрузочный (boot) сектор съемного диска и boot-сектор винчестера. Принцип действия загрузочных вирусов основан на алгоритмах запуска ОС при включении или перезагрузке компьютера. После необходимых тестов установленного оборудования (памяти, дисков и т.д.) программа системной загрузки считывает первый физический сектор загрузочного диска (A:, C: или CD-ROM в зависимости от параметров, установленных в BIOS Setup) и передает на него управление.

Скрипт-вирусы (Script virus) - вирусы, написанные на языках Visual Basic, Basic Script, Java Script. На компьютер пользователя такие вирусы, чаще всего, проникают в виде почтовых сообщений, содержащих во вложениях файлы-сценарии.

Макрокомандные вирусы (макровирусы) (Macroviruses) - вирусы, заражающие файлы документов, используемые приложениями Microsoft Office. Microsoft Office могут содержать встроенные программы (макросы) на полнофункциональном языке программирования, а в Microsoft Word эти макросы автоматически запускаются при открытии любого документа, его закрытии, сохранении и т.д.

Вирусы-«черви» Эти вирусы не изменяют программные файлы. Они проникают в память компьютера из компьютерной сети, и вычисляют адреса других компьютеров. Затем в обнаруженные компьютеры рассылаются копии вируса.

по поражаемым операционным системам и платформам (DOS, Microsoft Windows, Unix, Linux);

по технологиям, используемым вирусом (полиморфные вирусы, стелс-вирусы, руткиты);

Полиморфный вирус -- это такой шифрующийся вирус, который при заражении новых файлов и системных областей диска шифрует собственный код. При этом для шифрования вирус пользуется случайными паролями (ключами), а также различными методами шифрования, что исключает возможность опознания вируса по сигнатурам вирусов.

Сигнатура вируса - характерный фрагмент двоичного кода, позволяющий опознать большинство вирусов. Новые вирусы определяются по новым сигнатурам.

Стелс-вирус -- это вирус, оставляющий в памяти компьютера модули, перехватывающие обращение программ к дискам. Когда программа читает зараженный файл или загрузочную запись, стелс-вирус подменяет данные, чтобы ввести в заблуждение антивирусные программы

Rootkit (руткит) - это программа или набор программ для скрытия следов присутствия злоумышленника или вредоносной программы в системе.

по языку, на котором написан вирус (ассемблер, высокоуровневый язык программирования, скриптовый язык и др.);

по дополнительной вредоносной функциональности (бэкдоры, кейлоггеры, шпионы, ботнеты и др.).

Бэкдор, backdoor (от англ. back door, чёрный ход) -- программа или набор программ, которые устанавливает взломщик на взломанном им компьютере после получения первоначального доступа с целью повторного получения доступа к системе. Бэкдор -- особо важная составляющая руткита. Основное назначение Backdoor - скрытное управление компьютером. Как правило, Backdoor позволяет копировать файлы с пораженного компьютера и наоборот, передавать на пораженный компьютер файлы и программы.

Кейлоггер - (англ. key -- клавиша и logger -- регистрирующее устройство) -- это программное обеспечение или аппаратное устройство, регистрирующее каждое нажатие клавиши на клавиатуре компьютера. Программные кейлоггеры принадлежат к той группе программных продуктов, которые осуществляют контроль над деятельностью пользователя персонального компьютера.

Троянские кони (логические бомбы или временные бомбы)

К троянским коням относятся программы, наносящие какие-либо разрушительные действия, т.е. в зависимости от каких-либо условий или при каждом запуске уничтожающая информацию на дисках, "завешивающая" систему, и т.п. В качестве примера можно привести и такой случай - когда такая программа во время сеанса работы в Интернете пересылала своему автору идентификаторы и пароли с компьютеров, где она обитала.

Большинство известных троянских коней являются программами, которые "подделываются" под какие-либо полезные программы, новые версии популярных утилит или дополнения к ним.

Безопасность при работе в сети Internet

1. Установить на компьютере антивирусный пакет, состоящий из:

ь программы-монитора, моментально обнаруживающего вирус;

ь программы-сканер, способного найти зараженный вирусом файл и тут же излечить его;

ь центра управления и модуля, отвечающего за обновление антивирусных баз через Интернет.

К таким пакетам относятся:

1.Антивирус Касперского AVP (http://www.avp.ru);

2. Doctor Web (http://www.drweb.ru);

3.Norton Antivirus (http://wwvv.symantec.com) и др.

Установив антивирусную программу, не забывайте регулярно обновлять ее базу через Интернет.

2. Настроить программу-браузер на безопасный уровень, потому, что в момент загрузки веб-страницы вы незаметно для себя можете за грузить опасные компоненты, с помощью которых неизвестные вам лица могут попасть в содержимое вашего компьютера.

В качестве таких нежелательных компонентов чаще всего выступают:

объекты ActiveX;

апплеты Java;

программы, написанные на языке Visual Basic Scripting (VBS).

Апплет (мобильный код) - небольшая программа-приложение к другой более развитой прикладной программе. Используются для реализации на Web-странице анимации изображений и придания им интерактивных свойств при взаимодействии с другими пользователями Интернета. Наиболее распространенными типами мобильных кодов являются Java и ActiveX.

3. Сделать резервные копии важных файлов и программ.

Непрофессионалу сложно обнаружить присутствие вирусов на компьютере, поскольку они умело маскируются среди обычных файлов.

1. Признаки заражения

Есть ряд признаков, свидетельствующих о заражении компьютера:

вывод на экран непредусмотренных сообщений или изображений;

подача непредусмотренных звуковых сигналов;

неожиданное открытие и закрытие лотка CD-ROM-устройства;

произвольный, без вашего участия, запуск на компьютере каких-либо программ;

при наличии на вашем компьютере межсетевого экрана, появление предупреждений о попытке какой-либо из программ вашего компьютера выйти в интернет, хотя вы это никак не инициировали.

Если вы замечаете, что с компьютером происходит подобное, то с большой степенью вероятности можно предположить, что ваш компьютер поражен вирусом.

Кроме того, есть некоторые характерные признаки поражения вирусом через электронную почту:

друзья или знакомые говорят вам о сообщениях от вас, которые вы не отправляли;

в вашем почтовом ящике находится большое количество сообщений без обратного адреса и заголовка.

Есть также косвенные признаки заражения вашего компьютера:

частые зависания и сбои в работе компьютера;

медленная работа компьютера при запуске программ;

невозможность загрузки операционной системы;

исчезновение файлов и каталогов или искажение их содержимого;

частое обращение к жесткому диску (часто мигает лампочка на системном блоке);

интернет-браузер «зависает» или ведет себя неожиданным образом (например, окно программы невозможно закрыть).

В 90% случаев наличие косвенных симптомов вызвано сбоем в аппаратном или программном обеспечении.

Несмотря на то, что подобные симптомы с малой вероятностью свидетельствуют о заражении, при их появлении рекомендуется провести полную проверку вашего компьютера установленной на нем антивирусной программой.

8. Антивирусные программы и межсетевые экраны

Антивирусная программа (АП) - программа для обнаружения компьютерных вирусов, а также нежелательных программ и восстановления зараженных файлов, а также для профилактики - предотвращения заражения (модификации) файлов или операционной системы.

Первые антивирусные программы появились в 1984 года (первый вирус для персональных компьютеров Apple появился в 1977 году, и только в 1981 году появились вирусы, представляющие какую-либо угрозу).

Методы обнаружения вирусов АП:

1. сканирование файлов для поиска известных вирусов, соответствующих определению в антивирусных базах;

2. обнаружение подозрительного поведения любой из программ, похожего на поведение заражённой программы.

1 метод:

АП, анализируя файл, обращается к антивирусным базам АП. В случае соответствия какого-либо участка кода просматриваемого файла (сигнатуре) вируса в базах, программа-антивирус может по запросу выполнить одно из следующих действий:

1. Удалить инфицированный файл.

2. Заблокировать доступ к инфицированному файлу.

3. Отправить файл в карантин (то есть сделать его недоступным для выполнения с целью недопущения дальнейшего распространения вируса).

4. Попытаться «вылечить» файл, удалив тело вируса из файла.

5. В случае невозможности лечения/удаления, выполнить эту процедуру при следующей перезагрузке операционной системы.

Вирусная база регулярно обновляется производителем антивирусов, пользователям рекомендуется обновлять их как можно чаще

2 метод:

Если программа пытается выполнить какие-либо подозрительные с точки зрения антивирусной программы действия, то такая активность будет заблокирована, или же антивирус может предупредить пользователя о потенциально опасных действиях такой программы.

В настоящее время подобные превентивные методы обнаружения вредоносного кода, в том или ином виде, широко применяются в качестве модуля антивирусной программы, а не отдельного продукта.

Метод обнаружения подозрительного поведения даёт защиту от новых вирусов, которых ещё нет в антивирусных базах. Однако такой метод даёт большое количество ложных срабатываний.

Популярные АП:

1. Avast Antivirus Professional

2. AVG Anti-Virus & Anti-Spyware

3. Avira Antivir

4. Dr.Web (4,1%)

5. Eset Nod32 (7,5%)

6. Kaspersky Anti-Virus (4,3%)

7. Norton Anti-Virus

8. Outpost Antivirus Pro

9. Panda Antivirus

Бесплатные АП защищают систему не хуже, чем их платные аналоги. Единственное неудобство - это необходимость регистрации.

Бесплатные антивирусные программы:

1. Avira Free AntiVirus:

2. Avast Free Antivirus

3. AVG Free Antivirus

4. Panda Active Scan Free Antivirus

5. PC Tools

Недостатки АП:

1. ни одна из существующих антивирусных технологий не может обеспечить полной защиты от вирусов;

2. АП забирает часть вычислительных ресурсов системы, нагружая центральный процессор и жёсткий диск;

3. Антивирусные программы могут видеть угрозу там, где её нет (ложные срабатывания);

4. Антивирусные программы загружают обновления из Интернета, тем самым расходуя трафик.

Полезные советы:

1. Применение комплекса антивирусных программ

2. Необходимо периодическое обновление антивирусных программ

3. Проверка информации поступающей извне.

4. Периодическая проверка всего компьютера.

5. Осторожность с незнакомыми файлами. Их действия могут не соответствовать названию.

9. Межсетевые экраны

Межсетевомй экрамн - комплекс аппаратных и/или программных средств, осуществляющий контроль и фильтрацию проходящих через него сетевых пакетов в соответствии с заданными правилами.

Межсетевые экраны также называют:

1. Брандмамуэр (нем. Brandmauer) -- заимствованный из немецкого языка термин, являющийся аналогом английского firewall в его оригинальном значении (стена, которая разделяет смежные здания, предохраняя от распространения пожара). Интересно, что в области компьютерных технологий в немецком языке употребляется слово «firewall».

2. Файрвомл, файервомл -- образованo транслитерацией английского термина firewall, эквивалентного термину межсетевой экран, в настоящее время не является официальным заимствованным словом в русском языке;

3. Информационные мембраны (редко используется).

Аппаратный брэндмауэр - это просто некий ящик, включаемый между локальной и внешней сетями, позволяющий или запрещающий обмен данными на основании предопределенных правил;

Программный файрвол это программа, установленная на компьютере и делающая, в общем, то же самое. Преимущество последнего в том, что можно устанавливать правила в зависимости от программы, обменивающейся данными, а недостаток в том, что надежность программного брандмауэра зависит от того, насколько толково им управляет пользователь.

Основной задачей сетевого экрана является защита компьютерных сетей от несанкционированного доступа. Также сетевые экраны часто называют фильтрами, так как их основная задача -- не пропускать (фильтровать) пакеты, не подходящие под критерии, определённые в конфигурации.

Сетевые экраны делятся на:

1. традиционный сетевой - программа (или неотъемлемая часть операционной системы) на шлюзе (сервер, передающий трафик между сетями) или аппаратное решение, контролирующие входящие и исходящие потоки данных между подключенными сетями.

2. персональный сетевой экран - программа, установленная на пользовательском компьютере и предназначенная для защиты от несанкционированного доступа только этого компьютера.

Межсетевой экран может реализовать ряд политик доступа к сервисам по следующим принципам:

1. Запретить доступ из Интернета во внутреннюю сеть и разрешить доступ из внутренней сети в Интернет.

2. Разрешить ограниченный доступ во внутреннюю сеть из Интернета, обеспечивая работу только отдельных авторизованных систем, например информационных и почтовых серверов.

При работе с МЭ, прежде всего, необходимо установить, насколько «доверительной» или «подозрительной» должна быть система защиты. Правила доступа к внутренним ресурсам должны базироваться на одном из следующих принципов:

1. Запрещать все, что не разрешено в явной форме.

2. Разрешать все, что не запрещено в явной форме.

Функции файрвола:

1. Отслеживанием всех подозрительных контактов. Какие-то программы с твоего компьютера могут пытаться отправлять некие данные в Интернет, а также получать оттуда информацию.

В ряде случаев - почтовая программа, мессенджер (ICQ, MSN) - это вполне нормально, но если совершенно неизвестная тебе программа вдруг пытается самостоятельно установить контакт с Интернетом - с высокой долей вероятности это троян.

2. Блокированием всех портов, не нужных для работы, и анализом трафика, идущего через открытые порты. Как мы уже говорили, с Интернетом компьютер общается через порты. Через них же осуществляются атаки на компьютер. Файрвол стоит на страже этих портов, предупреждая тебя обо всех несанкционированных попытках проникновения.

3. Наблюдением за выполняемыми (запускаемыми) программами.

4. При первом запуске программы брандмауэр запоминает её данные. И если в момент очередного запуска выяснится, что программа вдруг изменилась, брандмауэр тебя об этом обязательно предупредит (если он настроен соответствующим образом).

Ведь если программу изменил не ты (например, поставив новую версию), это может означать, что программа заражена вирусом.

Наиболее популярны сегодня Outpost Firewall, Norton Personal Firewall, Zone Alarm, Kerio, McAfee, Kaspersky Anti-Hacker и другие.

10. Хакеры

В сфере информационных технологий термин "хак" (hack) означает оригинальный ход в программировании или использовании программного обеспечения, в результате которого компьютер позволял осуществлять операции, ранее не предусмотренные или считавшиеся невозможными.

Тех, кто осуществлял данную задачу, называют хакеры.

Те, кто не может осуществить подобные действия и не стремиться к исследованию компьютерных систем, называют ламеры (lamer англ. - неполноценный, убогий, калека).

Есть еще один термин, который обозначает тех, кто не понимает принципов работы хакера, но пользуется их методами. Это скрипт-кидди.

Движение хакеров зародилось в американской молодежной среде. Хакеры, как и хиппи, выступали сторонниками неограниченной свободы, но применительно к киберпространству.

В развитии движения хакеров можно выделить ряд этапов:

- начальный этап развития глобальной сети Интернет (1960-е годы). Хакерское движение не носило деструктивный характер. Это была демократическая и творческая среда.

- конец 1970-х гг. Наблюдается повышение агрессивности. Особо агрессивных хакеров, которые занимаются взломами систем, начинают называть кракерами.

- 1980-е гг. - начало 90-х гг. Движение хакеров становится мощной силой. Оно сращивается с криминальным миром. В ФБР в это время была разработана «Матрица компьютерных преступников», описывающая их обобщенные типы. В 1997 г. при МВД России было создано Управление «Р» по борьбе с компьютерной преступностью.

- 90-е гг. Движение хакеров приобретает новые черты: наличие ярко выраженного интереса к последним новинкам компьютерной техники; системная подготовка взлома; широкое использование агентурных и оперативно-технических методов; разработка программы действий, обеспечивающих анонимность атаки; широкое применение программных закладок.

- современное время. Создание крупных союзов, объединений. Популяризация хакерской культуры через СМИ. У хакеров функционируют собственные сайты, издаются журналы. Сформировался ососбый вид бизнеса «Аренда хакеров», который позволяет купить услугу взлома любой частной или государственной сети. Услуга, кстати, не считается дорогой (около 1000$).

Хакеры в разных странах имеют свои отличительные особенности.

Америка. Индивидуалисты. Часто действуют из соображений саморекламы. Большинство из американских хакеров подростки.

Европа. Склонны к обучению. Изобретают собственные способы взлома. Реже сообщают о своих подвигах через чаты и сайты. Часто осуществляют взлом в протестных целях.

Азия. Доминирует коллективное начало. Строгая иерархия в группе. Приоритет этики над экономической выгодой (важно не «потерять лицо»). Китайские хакеры часто сотрудничают с государством.

Россия. Отрицает иерархию. Редко сотрудничает с властью. Русский хакер имеет возраст от 15 до 45 лет. Крайне редко привлекаются к уголовной ответственности. Это, как правило, добросовестный работник с завышенной самооценкой, нетерпимый к насмешкам. Часто осуществляют взлом по идеологическим соображениям.



В среде хакеров принято ценить время своё и других хакеров, т.е. «не изобретать велосипед». Это подразумевает необходимость делиться своими достижениями, создавая свободные и/или открытые программы.

Известные хакеры (в первоначальном смысле слова)

1. Линус Торвальдс - создатель ядра Linux

2. Линус Торвальдс - создатель открытого ядра Linux

3. Ларри Уолл - создатель языка и системы программирования Perl

4. Ричард Столлмэн - основатель концепции свободного программного обеспечения

5. Марк Цукерберг юный миллиардер, вошедший в историю как недоучка-хакер.

Известные взломщики

1. Роберт Моррис -- автор Червя Морриса 1988 года. (На самом деле червь Морриса был лабораторным опытом, поэтому взломщиком его можно считать условно.)

2. Адриан Ламо -- известен взломами Yahoo, Citigroup, Bank of America и Cingular.

3. Джонатан Джозеф Джеймс -- американский хакер, стал первым несовершеннолетним, осужденным за хакерство.

4. Джон Дрейпер -- один из первых хакеров в истории компьютерного мира.

Известные хакеры-писатели

1. Крис Касперски -- автор популярных книг и статей на компьютерную тематику

2. Кевин Митник -- самый известный компьютерный взломщик, ныне писатель и специалист в области информационной безопасности.

Одно из самых освящаемых дел о хакерах это так называемое «Дело Левина.

Дело Левина.

17 августа 1995 г. в Лондонском суде Bow Street Magistrates началось слушание уголовного дела, согласно которому россиянин Владимир Левин обвинялся в ограблении американского банка Citibank на 2,8 миллиона долларов. Из них 400 тыс. исчезло бесследно.

Хакер взломал банковскую сеть Citibank'a, находясь в маленьком офисе АОЗТ "Сатурн" в Петербурге, которое занималось торгово-посредническими операциями. В июле 1994 года он вместе со своим напарником - одним из совладельцев фирмы "Сатурн" - впервые проник в компьютерный центр Citibank'a и перевел из него деньги в калифорнийское отделение Bank of Amerika на счета своих друзей.

Похищенные деньги перемещались в банки Финляндии, Израиля, Германии, Голландии, Швейцарии и России. Часть сумм обнаружили в Сан-Франциско и в одном из голландских банков на счетах эмигрантов из России. Вскоре одновременно в нескольких городах были арестованы граждане, пытавшиеся обналичить счета В. Левина.

Технология оказалась несложной: хакер подключился к компьютеру одного из американских банкиров и запустил в него «троянского коня», который открыл доступ к файлам системы управления наличных счетов. Взломщик несколько месяцев «сидел» на линии, просматривая чужие файлы и следя за движением миллиардов долларов.

Сразу после инцидента служба безопасности Citibank'a совместно с правоохранительными органами начала работу по выявлению нарушителя. Однако в течение полугода американские спецслужбы (в том числе ФБР) не могли его достать - арестовать Левина было возможно только за пределами России. Специалисты американских спецслужб дурачили Левина, позволяя ему перекидывать несуществующие деньги со счетов Citibank'a (на жаргоне хакеров такая операция называется "dummy" - пустышка).

До сих пор держится в секрете, как лосанджелесские банкиры обнаружили компьютер, с которого была предпринята попытка проникновения в сеть Citibank'a. Достоверно известно только то, что помощь в розыске Левина оказал хакер из Сан-Франциско, который около полутора лет тому назад был арестован по обвинению во взломе компьютерной банковской системы того же самого Citibank'a.

Приговор: 4 года лишения свободы плюс крупный штраф.

Яркий пример того, как хакеры могут разрушить бизнес-схему, отлаживаемую годами,-- «развод» одной из крупнейших в России платежных Интернет-систем Assist с «Аэрофлотом», происшедший в июле 2010 г. Система совместно с ВТБ 24 осуществляла проводки дистанционных платежей за билеты, которые клиенты приобретали через сайт авиакомпании.

В середине июля услуга стала недоступна -- из-за хакерской атаки доступ к платежному шлюзу оказался перекрыт. После нескольких дней простоя сервиса «Аэрофлот» решил отказаться от услуг Assist и теперь пользуется платежной системой Альфабанка, а еще через суд требует от бывшего партнера более 190 млн. руб. в качестве компенсации упущенной выгоды.

Бороться с хакерами могут службы безопасности компаний, специализированные предприятия, которым антихакерские мероприятия передаются на аутсорсинг, ну и, естественно, полиция.

Сейчас услуги антихакеров, как правило, востребованы банками и крупными компаниями, как правило, сырьевыми.