Человечество больше всего любит чужие тайны.
Штирлиц, 17 мгновений весны
Ведущие жесткую конкурентную борьбу нечистоплотные деятели Интернета грубо вторгаются в личную жизнь безобидных посетителей Сети, стремясь собрать о них максимум информации. В результате наши почтовые ящики ломятся от сомнительных или вовсе непристойных предложений, а из карманов утекают деньги за лишний трафик. Поголовье вирусов, червей и жучков счету не поддается, Интернет-живность начала инфицировать сама себя, и распространение заразы приобретает ныне масштабы пандемии. Программы-шпионы, обрядившись в овечьи шкуры, наблюдают за нашими действиями из укромных уголков жесткого диска и регулярно отправляют своим хозяевам пароли и прочую секретную информацию. Страшно?
Как защитить себя и свой ПК? На любой вкус — антивирусные программы, брандмауэры, генераторы и хранители паролей, шифраторы, а также аппаратные средства, среди которых всевозможные «противоугонные устройства»: ключи, брелки, диски, смарт-карты... И хотя все эти защитные меры носят скорее реактивный, чем профилактический характер, мы по крайней мере осведомлены об основных напастях, подстерегающих беспечных пользователей ПК.
Только вот технологии не стоят на месте. Появляются все новые средства против охотников за чужой информацией, непрерывно совершенствуются методы защиты. И естественно, не дремлют хакеры и спецслужбы, в свою очередь изобретая изощренные способы обойти все то, что создали ревнители компьютерной безопасности. Спрос рождает предложение — как с одной, так и с другой стороны. Поистине столетняя война: затяжное и мучительное великое противостояние. Кому-то все, о чем будет рассказано ниже, может показаться заокеанской экзотикой или капризами «загнивающих капиталистов». Но разве так уж важно, в каких целях и кем все это придумано? «А la guerre comme a la guerre»: помимо тех, кто понимает, во что влез и кто делает на этом свой бизнес, жертвами «мозговых штурмов» и «одиночных перестрелок» все чаще становятся ни в чем не повинные пользователи ПК. Не пора ли создавать народное ополчение и вооружаться — хотя бы знаниями?
Под колпаком
Рис.1. Клавиатурный монитор («аппаратный логгер») |
Из всех «оригинальных» способов хищения информации с ПК, наверное, самым информативным для злоумышленника является наблюдение за клавиатурой. Во-первых, человеку нелегко заметить, что он стал объектом слежки. Во-вторых, анализируя последовательности нажатий на клавиатуре, можно извлечь практически любую информацию: имена и пароли при авторизации в некоторых программах, списки посещаемых ресурсов Интернета, письма, которые вы отправляете своим друзьям, важные цифры, вставленные в отчет шефу... Как это возможно?
Извлечение текста. Проникнув в дом или офис без вашего ведома, недоброжелатели могут установить на ваш ПК клавиатурный монитор (рис. 1 — 3).
Рис. 2 и 3. Вид ПК до установки клавиатурного монитора и после |
Этот маленький «краб» в течение определенного периода времени записывает произведенные вами нажатия на клавиши, фиксируя таким образом всю набираемую на компьютере информацию. После установки этого неприметного устройства специалистам останется только еще раз проникнуть в ваше помещение и снять данные с клавиатурного монитора. Компания, производящая это устройство, говорит, что его можно установить за 12 с независимо от того, включен ПК или нет. Как правило, мало кто из нас обращает внимание на заднюю сторону системного блока. Если же вы проявили бдительность, но не обнаружили на задней стороне своего ПК такую штучку, это вовсе не значит, что все в порядке. Устройство при желании можно незаметно прикрепить к системной плате, закамуфлировав под какой-нибудь конденсатор. Кроме того, клавиатура может быть заменена на аналогичную с заранее установленным внутри нее монитором.
Видеонаблюдение. Проникнув в помещение, злоумышленники могут установить над вашим рабочим местом миниатюрную видеокамеру, которая будет записывать нажатия на клавиши, например, во время ввода парольной фразы.
Аудионаблюдение. Отличие такого метода слежки от предыдущего состоит лишь в том, что вместо миниатюрной видеокамеры устанавливается датчик, фиксирующий звуки, идущие от клавиатуры. Затем будет проведен анализ записи: сравнение со звуками нажатия на клавиши, полученными во время набора известного текста. Правда, по мнению специалистов, нужен не один жучок, а целая система. Если расположить определенным образом микрофоны (не менее шести), можно вычислить абсолютную координату источника звука в системе, образованной микрофонами, а затем по этой координате определить, какая клавиша нажата.
Анализ переменного напряжения в сети. С помощью специального оборудования, подключенного к питающей сети, можно отследить незначительные колебания напряжения, происходящие во время набора текста, и таким образом записать все нажатия на клавиши. Однако некоторые сведущие люди утверждают, что это нереально, так как блок питания компьютера представляет собой импульсный преобразователь напряжения. Проще говоря, ток потребления контроллера, установленного в клавиатуре, не превышает 0,001 А, а номинальный ток блока питания — примерно 5—6 А с коэффициентом пульсаций 0,25%. Конечно, «наблюдатели» могут поставить режекторный фильтр, отсекающий собственные пульсации блока питания ПК, но будут ли заметны клавиатурные импульсы на фоне неизбежно присутствующих шумов? Из сети питания можно определить включение дисковода или CD-ROM (по запуску двигателей привода, которые потребляют достаточно ощутимый ток), да и то будет фиксироваться лишь увеличение потребляемой мощности, а не характер или тем более сами данные. Но чем черт не шутит?
Анализ электромагнитного излучения. Компьютерные процессоры и мониторы излучают электромагнитные волны, которые способно уловить и записать специальное оборудование, установленное, например, на машине, припаркованной неподалеку от вашего дома или офиса или в квартире соседней многоэтажки. Такой способ вызывает большое количество споров по поводу своей практической осуществимости. Британские службы, проводящие мониторинг электромагнитного излучения с целью поиска тех, кто смотрит без лицензии определенные ТВ-каналы, не могут уловить излучение, испускаемое плазменными телевизорами. Но то, что ПК и мониторы в Пентагоне имеют специальные металлические кожухи, значительно ослабляющие уровень электромагнитных излучений, — не повод ли, чтобы призадуматься?
Юстас — Алексу
Если вы еще не знакомы, позвольте представить: PGP, криптографическая программа с высокой степенью надежности, позволяющая конфиденциально обмениваться электронной информацией. Главное ее преимущество состоит в том, что для обмена зашифрованными сообщениями пользователям не нужно передавать друг другу тайные ключи, так как PGP построена на особом принципе работы — публичной криптографии. Пользователи могут открыто посылать друг другу свои ключи через Интернет и при этом не беспокоиться о возможности несанкционированного доступа каких-либо третьих лиц к их конфиденциальным сообщениям. Однако и здесь все не так просто. Познакомьтесь с некоторыми ухищрениями, к которым прибегают сотрудники ФБР для расшифровки PGP-сообщений.
Измененная копия программы-шифратора. Проникнув в дом или офис, специалисты могут установить на вашем ПК вместо оригинальной версии поддельную копию PGP. Все сообщения, закодированные с помощью такой программы, будут элементарно расшифровываться этими людьми.
Специальный вирус. Еще одна разновидность атаки — вирусная программа, записывающая в специальный файл все нажатия клавиш. Естественно, при этом ваш PGP-пароль или парольная фраза будут зафиксированы, после чего все сообщения, закодированные с помощью PGP, очень просто расшифровать. Во время вашего очередного визита в Интернет такой вирус отошлет информацию «куда следует».
Генерация случайных чисел. Пробравшись в ваш ПК, специалисты копируют файл под названием randseed.bin, используемый программой PGP для генерации псевдослучайных данных при создании шифровального блока. Этот способ очень сложен и чрезвычайно дорог, поэтому к нему прибегают только для защиты национальной безопасности.
Криптоанализ. Перехватить зашифрованные сообщения, посланные через Интернет, довольно легко. А после того как информация поймана, она попадает к специалистам для проведения криптоанализа. Эта процедура осуществляется суперкомпьютерами, но на расшифровку одного сообщения все равно может уйти до нескольких недель, месяцев или даже десятков лет — в зависимости от содержания, формата и длины. Этот трудоемкий процесс пригоден только тогда, когда ни один из описанных выше методов не принес результата.
Будьте бдительны
В Америке законодательно закреплено право руководства знать, чем занимаются его подчиненные в каждый конкретный момент рабочего времени. Правда, любой работодатель обязан предупредить сотрудника о том, что за ним наблюдают. У нас в стране хоть и считается аморальным «подсматривать», этим часто грешат коммерческие фирмы. Кроме того, наши домашние компьютеры вообще никакой закон не защищает. Что же делать?
СОВЕТ 1. Первым делом проверьте способ подключения клавиатуры к ПК. Если она подсоединена к разъему на системной плате через какой-то подозрительный цилиндр (рис.1), существует большая вероятность, что именно это мы и ищем. Сей так называемый «аппаратный логгер» можно убрать и подключить клавиатуру непосредственно в системную плату. Одно маленькое замечание: вместо логгера может оказаться другое устройство, например удлинитель порта или совмещенный с ним разъем для внешнего питания.
С аппаратным перехватчиком информации разобрались. Но вот узнать, установлено ли на ПК шпионское программное обеспечение (например, WinWhatWhere?s Investigator или Spectorsoft?s Spector), гораздо труднее. Эти приложения маскируют свои названия и могут отсылать информацию через Интернет.
СОВЕТ 2. Для того чтобы предотвратить несанкционированную отправку каких-либо данных, установите у себя на компьютере персональный брандмауэр, в частности Zone Alarm. Если он у вас уже есть, проверьте список приложений, имеющих право доступа в Сеть. Обнаружив незнакомца, настройте брандмауэр так, чтобы он спрашивал у вас разрешения отсылать данные. Это, кстати, весьма помогает ловить всяческих «троянских коней». Обычно любая программа стремится сообщить кому-нибудь что-либо при запуске, тут-то вы ее и сцапаете! Если же необходимость передать данные в Интернет возникла на пустом месте, в не связанный ни с каким событием момент, придется исследовать сложившуюся ситуацию с другой стороны.
Программы-«снифферы» (от англ. sniff — нюхать) зачастую ведут свои журналы на жестком диске.
СОВЕТ 3. Установите антихакерское ПО, например SpyCop (есть ознакомительная версия, полная стоит 50 долл.) или SpyDetect (25 долл.). Обе программы могут проверять жесткий диск на предмет наличия файлов, созданных мониторами слежения за клавиатурой, и стирать не только журналы, но и сами приложения. Ознакомительная версия SpyCop выполняет частичное сканирование и не может удалять файлы. Но главное — установить сам факт нелегального надсмотра! Далее следует вручную удалить все подозрительное из активных приложений, перезапустить Windows и снова проверить сканером содержимое жесткого диска.
СОВЕТ 4. Не думайте, что удаленные файлы нельзя восстановить. Существуют специальные программы для извлечения и чтения всей информации, когда-либо стертой с жесткого диска. Кроме того, Windows оставляет следы в файле подкачки (swap-файл), используемом для ускорения работы этой ОС. Особенно велика вероятность попадания туда информации в случае, когда вы переносите данные из одной программы в другую при помощи буфера обмена. Чтобы надежно удалить файлы с конфиденциальной информацией, примените бесплатную утилиту Eraser (http://www.iki.fi/st/eraser). В Windows 2000 ее можно настроить так, чтобы при каждой перезагрузке компьютера swap-файл перезаписывался нулями. А для того чтобы стереть данные из него в Windows 95/98/Me, понадобится утилита DOS типа Scorch (http://www.bonaventura.free-online.co.uk), специально для этого созданная. Чтобы перестала изменяться величина динамического файла подкачки, задайте ему в настройках одинаковые минимальный и максимальный размеры, например 300 Мбайт. Еще более эффективно полностью отключить swap-файл и нарастить оперативную память компьютера (RAM) до такой степени, чтобы отпала какая-либо необходимость в нем.
СОВЕТ 5. Многие программы, работающие под управлением Windows, как правило, оставляют копии рабочих файлов во временных каталогах. Это происходит, в частности, при распечатке каких-либо документов. Тщательно проверяйте установки программ, в которых вы работаете с конфиденциальной информацией. Чаще всего временные копии находятся в каталогах C:Windows Temp (Windows 98/Me) и C:Documents and Settings AdministratorLocal SettingsTemp (Windows 2000). Кроме того, не забывайте регулярно очищать свободное место вашего жесткого диска с помощью таких утилит, как Norton Free Space Wipe или PGP Free Space Wipe. Программа Eraser также поддерживает эту функцию. Если слежка угрожает вашей жизни, замените жесткий диск на новый, старый же разберите и сточите с него верхний слой наждачной бумагой.
ВНИМАНИЕ! При использовании программ по надежному удалению информации (Eraser, PGP wipe и др.) в файловой системе NTFS остается нестертым так называемый alternate data stream. Поэтому обработайте все свободное место на жестком диске по методу wipe free space. Это позволит полностью удалить все фрагменты, которые могли остаться в зоне alternate data stream.
СОВЕТ 6. Во время работы с конфиденциальными данными лучше всего отключиться от сетевого источника питания и телефонного разъема. Для этого вам понадобится ноутбук, работающий от аккумулятора. Конечно, надо понимать, что этот вид защиты не будет приоритетным в силу того, что анализировать колебания напряжения в сети чрезвычайно трудно.
СОВЕТ 7. Старайтесь расстроить планы наблюдающих за вами злоумышленников: покинув свое обычное рабочее место, вы скроетесь из поля зрения установленной в помещении видеокамеры, а сигналы, издаваемые клавиатурой, не будут слышны «радиожучку». Самые удачные места для работы с конфиденциальной информацией — скамейка в парке, переполненное кафе или ресторан, стоянка автобусов, аэропорт, пляж и т. п. В общем, старайтесь быть непредсказуемы, появляйтесь там, где «врагам» очень сложно будет тайно подслушивать или подсматривать за вами.
СОВЕТ 8. Ни в коем случае никуда не записывайте свои пароли. Отнеситесь к этому серьезно.
СОВЕТ 9. Никогда не подсоединяйте ноутбук к телефонной розетке, не используйте его для хождения по Интернету и не оставляйте без присмотра. Если вы получили зашифрованное сообщение, сохраните его на дискете в виде текстового файла, затем перейдите в другое место, проверьте дискету с помощью антивирусной программы и расшифруйте сообщение на ноутбуке. Ни в коем случае не оставляйте расшифрованные сообщения на своем ПК.
СОВЕТ 10. Вполне понятно, что ваши интересы не совпадают с желаниями человека, который во что бы то ни стало намерен раскрыть чужие тайны. Помните, как «пьяный воздух свободы сыграл с Плейшнером злую шутку?» Не теряйте бдительность, будьте готовы к тому, что скоро гласно или негласно какой-нибудь жучок или заразная программа появятся у вас вновь. Может, стоит подумать, а не устроить ли самому слежку, чтоб узнать, кто же это пакостит?! Но помните: все хорошо в меру, и худой мир лучше доброй ссоры.
В статье использованы советы по предотвращению шпионского наблюдения (Эндрю Брандт, PC World, № 7/02), а также материалы сайта «Оффшорные механизмы и решения для российских компаний» (www.gloffs.com/computer_security.htm).
Чтите УК!
Сегодня Уголовный кодекс РФ предусматривает ответственность за три вида компьютерных преступлений:
Ст. 272. Неправомерный доступ к компьютерной информации, если это повлекло уничтожение, блокирование, модификацию либо копирование информации, нарушение работы вычислительных систем;
Ст. 273. Создание, использование и распространение вредоносных программ для ЭВМ;
Ст. 274. Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети.
Давайте разберемся, что значат эти формулировки, ибо незнание, как известно, не освобождает...
Еще дедушка Винер определил так: «Информация — это обозначение содержания, полученного из внешнего мира в процессе нашего приспособления к нему и приспособления к нему наших чувств». Уничтожить информацию — значит привести ее в такое состояние, когда она уже не может быть восстановлена. Блокирование — действие, после которого невозможно будет использовать информацию при ее сохранности. Модификация — это любые изменения, не имеющие своей целью обеспечить нормальное функционирование данных. Копирование — воспроизведение информации в любой материальной форме. Следует иметь в виду, что в УК речь идет о копировании с прямым умыслом, а уничтожение, блокирование, модификация и нарушение работы компьютерной системы могут быть совершены как умышленно, так и по неосторожности. Суть преступления, предусмотренного ст. 272, такова: если неправомерный доступ был, но не произошло уничтожение, блокирование, модификация или копирование информации, то ответственность не наступает. Причем доступ является правомерным, если вы как правообладатель, собственник информации или системы разрешаете доступ другим лицам. Неправомерным он будет тогда, когда лицо не имеет права на доступ к данной информации либо имеет право, но осуществляет его помимо установленного порядка.
«Светит» за все это от штрафа в 200 МРОТ до лишения свободы на пять лет. Впрочем, статья не регулирует ситуации, когда неправомерный доступ происходит в результате неосторожных действий, что отсекает огромный пласт возможных посягательств, включая те действия, которые совершались злонамеренно, так как при расследовании обстоятельств крайне трудно будет доказать умысел компьютерного преступника.
По поводу ст. 273 нужно сказать следующее. С точки зрения Генеральной прокуратуры РФ, программа для компьютера — это описание, воспринимаемое ЭВМ и достаточное для решения определенных задач. Ответственность наступает за создание, изменение, использование и распространение программ, которые потенциально вредоносны. Причем пагубных последствий ждать не надо. В создании, использовании и распространении вредных программ считается виновным тот, кто сознает, что он может навредить, и желает этого. При таком раскладе можно получить от трех до семи лет лишения свободы.
Со ст. 274 все и проще, и сложнее одновременно. Ретивая уборщица шваброй выдернула сетевой кабель из UPS или мышка бежала и хвостиком махнула, из-за чего вы не успели сохранить сотню-другую уникальных данных, — они вовсе не преступники (с точки зрения УК). Хотя и предусматривается ответственность за неосторожные деяния, но по ней должны квалифицироваться, например, действия специалиста по обслуживанию системы управления транспортом, установившего инфицированную программу без антивирусной проверки, что повлекло серьезную транспортную аварию.
Между нарушением правил эксплуатации и наступившими последствиями обязательно должна быть установлена причинная связь. Здесь субъект преступления специальный: лицо, имеющее доступ к системе или сети по своим профессиональным обязанностям. Наказание соответствующее: лишение права заниматься определенной деятельностью на срок до пяти лет или, если будут иметь место тяжкие последствия, лишение свободы на срок до четырех лет.
Вот и все, что может инкриминировать действующий в настоящее время Уголовный кодекс РФ. Правда, существуют еще законы «О средствах массовой информации», «О правовой охране программ для ЭВМ и баз данных», «О правовой охране топологий интегральных микросхем», «Об авторском праве и смежных правах», «О государственной тайне», «О связи», «Об информации, информатизации и защите информации» и Патентный закон РФ.