Форум ''Интернет и Право''

Основной раздел => Компьютерные преступления => Тема начата: MOJO от 05 Июля 2006, 14:01:36



Название: Признаки взлома
Отправлено: MOJO от 05 Июля 2006, 14:01:36
А можно ли как-то с помощью юридической терминологии, в наиболее общей форме описать основные признаки взлома? Т.е. признаки, которые свидетельствуют о том, что было совершено преступление, предусмотренное ст.183 УК (Незаконное получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну) или 272 УК (Неправомерный доступ к компьютерной информации).

Просто мне нужно написать инструкцию для сотрудников (простых пользователей и админов), в которой было бы четко прописано, при обнаружении каких признаков они должны бить тревогу и бежать к руководству, которое затем будет писать заявление в милицию.

Ну, естественно, простые пользователи сначала обратятся в техподдержку, которая выяснит, не является ли этот «признак взлома» результатом компьютерной неграмотности или технической / программной неисправности.

Посмотрел довольно много литературы, но нигде адекватного перечня не нашел, но уверен, что подобные перечни написаны и их много :). Вот только что-то никак не могу их найти. Может кто знает, где такой список взять? А то если самому писать – боюсь что-нибудь упустить, хотелось бы взять готовый список признаков от какого-нибудь «зубра» и переработать его в юридический текст.

Да и попутно, как вы считаете, можно ли в этой инструкции log обозвать следующим образом: «электронный журнал регистрации соединений (лог-файл)».

Или может быть все-таки без соединений, потому что в логах может протоколироваться не только соединения, но и иная информация. Хотя в данном случае меня интересуют только сами соединения. Кстати – это еще вопрос – могут ли иные логии (те, которые не пишут протоколы соединений) быть использованы как доказательства в суде? Я имею в виду не принципиальную возможность использования, а то, может ли в них содержаться полезная в данном случае информация?



Название: Re:Признаки взлома
Отправлено: Igor Michailov от 05 Июля 2006, 16:16:44
Учитывая, что каждая атака индивидуальна, что каждый день появляются новые виды угроз, думаю, что в общих словах никак не получится а зацикливаться на конкретике ...  :-\

(Если Вы подозреваете, что Вашу систему можно взломать таким-то способом- неужели, Вы эту причину не устраните  ;D ;D ;D )


Название: Re:Признаки взлома
Отправлено: Николай Николаевич Федотов от 05 Июля 2006, 16:56:35
Просто мне нужно написать инструкцию для сотрудников (простых пользователей и админов), в которой было бы четко прописано, при обнаружении каких признаков...

Если инструкция для простых людей, то и писать её нужно простым языком, а не юридическим.

Для обнаружения признаков взлома существует целый класс систем. Называются они IDS. Признак взлома, понятный для пользователей - единственный. И он таков. Установленная IDS выдаёт предупреждение с приоритетом выше чем N.


Название: Re:Признаки взлома
Отправлено: MOJO от 05 Июля 2006, 17:56:11
Инструкция эта именно для «простых людей», но она будет носить статус нормативно документа этой организации. В ней нужно четко и ясно объяснить сотрудникам:

1.   Если у вас на компьютере происходит то-то и то-то – это ахтунг (вас, возможно, хакнули или заразили вирусом).
2.   Признаки того, что творится ахтунг.
3.   Если ахтунг настал – обратитесь к информационщикам.

Далее общие правила:

4.   Информационщик должен убедится, что это именно ахтунг, произошедший в результате действий посторонних лиц, а не в результате неквалифицированных действий пользователя, ошибки в работе ПО или аппаратных средств и т.п.
5.   Если это именно ахтунг – он идет к руководству.
6.   Далее пишется заявление в милицию за подписью руководителя организации.

Ну и соответственно положения о том, что информационщики (штатная служба технической поддержки) должны в кратчайшие сроки устранить уязвимость в защите, произвести действия, направленные на минимизацию вреда и т.д. и т.п.

Несколько пунктов про признаки ахтунга для самих информационщиков.


Вот, что я пока сам написал – все изложено в свободной форме. Пока это просто список. Как считаете, нужно туда еще что-нибудь добавить? Или может быть убрать что-то?
Опять-таки повторюсь, признаки ориентированы на простых пользователей, неспециалистов.
Единственная загвоздка с админами – наверное, не стоит ограничиваться только анализом логов…

=======================

Признаки уничтожения, блокирования, модификации информации, содержащейся на жестком диске сервера или рабочей станции, произошедшего в результате неправомерного доступа к компьютерной информации либо внедрения в информационную систему вредоносных прогарам …

- Удаление файлов и папок;
- переименование, перемещение файлов и папок;
- появление новых файлов и папок;
- изменение содержания файлов и папок;
- изменение размера, даты создания и иных реквизитов файлов и папок;
- невозможность доступа к информационным ресурсам с использованием текущего имени пользователя и пароля;
- изменение настроек используемого программного обеспечения, произошедшее без участия пользователя;
- замедленная или неправильная загрузка операционной системы, невозможность загрузки операционной системы;
- некорректная работа, невозможность запуска приложений;
- замедление реакции ЭВМ на команды пользователя;
- неадекватные реакции ЭВМ на команды пользователя;
- появление на экране нестандартных символов;
- регулярное появление сообщений об ошибках;
- иные признаки, свидетельствующие сбоях в работе ЭВМ, системе ЭВМ или их сети.

Уничтожения, блокирования, модификации информации не произошло, но

анализ данных электронных журналов регистрации сетевых соединений (лог-файлов) сотрудниками отдела информационных технологий позволяет установить факт несанкционированного доступа к информации, размещенной в информационной системе

– признак взлома – это относится только к работникам отдела информационных технологий, пойдет отдельным пунктом


Название: Re:Признаки взлома
Отправлено: Николай Николаевич Федотов от 05 Июля 2006, 18:11:39
Не стоит пытаться возлагать на людей такие функции, которые давно и успешно осуществляются компьютерами. "Вручную" контролировать размеры и даты файлов - это и есть настоящий ахтунг.


Название: Re:Признаки взлома
Отправлено: Stan от 05 Июля 2006, 19:15:10
За термин IDS спасибо.

Ссылка в Википедии link (http://ru.wikipedia.org/w/index.php?title=Система_обнаружения_вторжений)

Вообще-то, насколько я себе представляю, нанимается админ, который ставит файрвол и разбирается с вопросами безопасности. Зачем писать инструкцию для рядовых работников?


Название: Re:Признаки взлома
Отправлено: MOJO от 06 Июля 2006, 10:29:23
Инструкция пишется для всей организации в целом. Просто эти признаки адресованы простым юзерам, которые специально ничего не проверяют и не отслеживают. Просто это признаки, которые должны навести их на мысль, что что-то не так, вот и все.

Иногда вредоносные последствия всяческих атак видны сразу, например, при дефэйсе официального сайта, или когда удаляется важная информация с жесткого диска. Но очень часто негативные последствия неочевидны для простого пользователя-неспециалиста. Вот для таких случаев и пишется эта инструкция.

На пользователей никто никаких обязанностей по отслеживанию чего бы то ни было не возлагает. Если заметил  молодец. Но если уж заметил – незамедлительно сообщи об этом информационщикам.

Про админа тоже будет сказано но совсем в общих чертах – мол если сам что обнаружил, то нужно сделать то-то и то-то.

Зачем нужна такая инструкция? Причин тому очень много, но раскрыть их на общем форуме, к сожалению не могу. Той организации, которая эту фигню заказала – она очень нужна. Причем важно не столько содержание, сколько наличие этой бумажки.
Мне  эта бумажка тоже очень нужна – мне за ее написние денег заплатят ;)