Кафедра экономической кибернетики
Контрольная работа
по дисциплине:
Информационные системы и технологиив банковском деле
Сумы 2008
Введение
Задача защиты информации в компьютерных информационных системах с целью предупреждения преступлений в этой сфере является на сегодня весьма актуальной. Для решения этой задачи используется целый комплекс средств, включающий в себя технические, программно-аппаратные средства и административные меры защиты информации.
Под компьютерным преступлением понимают все противозаконные действия, орудием или объектом совершения которых была электронная обработка информации. Таким образом, в круг этих проблем попадают не только преступления, непосредственно связанные с компьютерами, но и мошенничество с кредитными магнитными карточками, преступления в сфере коммуникации и т.д.
Компьютерные преступления можно разделить на две большие группы:
1. Преступления, объектом совершения которых является компьютер или компьютерная система, такие как:
– уничтожение или замена данных, программного обеспечения и оборудования;
– экономический шпионаж и разглашение информации, составляющей государственную или коммерческую тайну.
2. Противозаконные действия, для совершения которых компьютер используется как орудие, такие как:
– компьютерный саботаж;
– вымогательство и шантаж;
– растрата;
– хищение денежных средств.
Повсеместный переход к электронной обработке информации в экономике, управлении и кредитно-финансовой сфере обусловил возникновение компьютерной преступности и в Украине.
Одними из первых с этим видом преступлений столкнулись сотрудники управления по борьбе с организованной преступностью УВД Днепропетровской области. В июне 1994 года ими была предотвращена попытка хищения 864 млн. крб. путем несанкционированного проникновения в банковскую электронную систему платежей.
Ведущий инженер – компьютерщик регионального управления Проминвестбанка г. Днепропетровска, имея доступ к охранной системе компьютерной сети банка, скопировал на свою дискету программу охранной системы и при помощи личного компьютера, установленного в квартире, вошел в локальную компьютерную сеть банка. Оформив фиктивный платеж на 864 млн. крб., он вложил его в почтовый ящик компьютера банка для отправки на ранее оговоренный счет одной из днепропетровских фирм. После зачисления указанной суммы на расчетный счет фирмы злоумышленник был задержан.
Подобные факты имели место в Донецкой области и Республике Крым. Так, Управлением по борьбе с организованной преступностью УМВД Украины в Республике Крым была изобличена группа расхитителей в составе инженера по финансовой безопасности филиала АКБ «Украина» в г. Симферополе и трех нигде не работающих лиц. Инженер-компьютерщик, имея доступ к компьютеру, входящему в компьютерную сеть электронных платежей, оформил фиктивный электронный платеж, по которому перечислил свыше 450 млн. крб. на счет одной из фирм в г. Севастополе, реквизиты которой были предоставлены ему сообщниками. В дальнейшем сумма была переведена для конвертации в отделение Невиконбанка. Через два дня по фиктивной заявке один из сообщников получил в этом банке почти 11 тыс. долл. США, которые были поделены между членами преступной группы. В целях сокрытия кражи инженер стер из памяти компьютера фиктивную операцию, заменив ее на реально существующую. Через неделю после кражи все члены преступной группы были арестованы.
События последних лет приводят к необходимости серьезно задуматься над проблемой компьютерной преступности. Приведу совершенно свежий факт из этой области:
Попытка хищения 80 млн. грн. была совершена путем несанкционированного доступа в компьютерную сеть Винницкой областной дирекции Национального банка. С резервного счета деньги были переведены сначала на счет одного из местных предприятий, а потом – латвийской коммерческой фирмы. Руководство Национального банка обнаружило еще одну попытку хищения значительной суммы. По выявленным фактам возбуждено уголовное дело.
Число компьютерных преступлений растет – также увеличиваются масштабы компьютерных злоупотреблений. По оценке специалистов США, ущерб от компьютерных преступлений увеличивается на 35 процентов в год и составляет около 3,5 миллиардов долларов. Одной из причин является сумма денег, получаемая в результате преступления: в то время как ущерб от среднего компьютерного преступления составляет 560 тысяч долларов, при ограблении банка – всего лишь 19 тысяч долларов.
1. Анализ возможных угроз безопасности системы
Построение надежной защиты компьютерной системы невозможно без предварительного анализа возможных угроз безопасности системы. Этот анализ должен включать в себя:
– оценку ценности информации, хранящейся в системе;
– оценку затрат времени и средств на вскрытие системы, допустимых для злоумышленников;
– оценку характера хранящейся в системе информации, выделение наиболееопасныхугроз(несанкционированноечтение, несанкционированное изменение и т.д.);
– построение модели злоумышленника – другими словами, оценка того, от кого нужно защищаться – от постороннего лица, пользователя системы, администратора и т.д.;
– оценку допустимых затрат времени, средств и ресурсов системы на организацию ее защиты.
При проведении такого анализа защищенной системы эксперт фактически ставит себя на место хакера, пытающегося преодолеть ее защиту. Но для того, чтобы представить себя на месте хакера, нужно ответить на следующие вопросы:
– насколько высок профессиональный уровень хакера;
– насколько полной информацией об атакуемой системе обладает хакер;
– имеет ли хакер легальный доступ к атакуемой системе, если да, каковы его полномочия;
– какие методы атаки хакер будет применять с наибольшей вероятностью.
Мы не будем касаться нравственно-этических, исторических и социальных аспектов деятельности хакеров, и будем понимать под хакером лицо, которое пытается преодолеть защиту компьютерной системы, неважно, в каких целях.
В отношении атакуемой системы хакер может выступать в одной из следующих ролей:
– постороннее лицо, не имеющее легального доступа к системе. Хакер может атаковать систему только с использованием общедоступных глобальных сетей;
– сотрудник организации, не имеющий легального доступа к атакуемой системе. Более вероятна ситуация, когда в такой роли выступает не сам хакер, а его агент (уборщица, охранник и т.д.). Хакер может внедрять в атакуемую систему программные закладки. Если хакер сумеет подсмотреть или подобрать пароль легального пользователя, он может перейти в роль пользователя или администратора;
– пользователь системы, обладающий минимальными полномочиями. Хакер может атаковать систему, используя ошибки в программном обеспечении и в администрировании системы;
– администратор системы. Хакер имеет легально полученные полномочия, достаточные для того, чтобы успешно атаковать систему. Для нейтрализации этой угрозы в системе должны быть предусмотрены средства противодействия несанкционированным действиям администраторов;
- разработчик системы. Хакер может встраивать в код системы «люки» (недокументированные возможности), которые в дальнейшем позволят ему осуществлять несанкционированный доступ (НСД) к ресурсам системы.
2. Возможные атаки автоматизированной банковской системы
В общем случае автоматизированная банковская система включает в себя три основных уровня:
– одна или несколько систем управления базами данных (СУБД);
– одна или несколько операционных систем (ОС), обслуживающих СУБД и системы документооборота;
– сетевое программное обеспечение, обеспечивающее информационное взаимодействие рабочих станций и серверов банковской сети.
Атака АБС может осуществляться на любом из перечисленных уровней. Пусть, например, хакеру требуется прочитать определенные записи из базы данных (БД). Хакер может попытаться:
– прочитать эти записи средствами СУБД (атака на уровне СУБД);
– прочитать файлы БД (атака на уровне ОС);
– отправить в сеть пакеты определенного вида, получив которые, сервер БД предоставит хакеру требуемую информацию (атака на уровне сети).
Поскольку методы осуществления НСД к ресурсам АБС существенно различаются в зависимости от того, на каком уровне происходит атака АБС, эти методы для разных уровней целесообразно рассмотреть отдельно.
2.1 Возможные атаки на уровне СУБД
Защита базы данных является одной из наиболее простых задач защиты информации. Это обусловлено тем, что базы данных имеют четко определенную внутреннюю структуру, и операции над элементами баз данных также четко определены. Обычно над элементами баз данных определены всего четыре основные операции: поиск, вставка, замена и удаление. Другие операции носят вспомогательный характер и используются относительно редко. Такая простая структура системы защиты упрощает ее администрирование и сильно усложняет задачу преодоления защиты СУБД. В большинстве случаев хакеры даже не пытаются атаковать СУБД, поскольку преодолеть защиту АБС на уровнях операционной системы и сети гораздо проще. Тем не менее, в отдельных случаях преодоление хакером защиты, реализуемой СУБД, вполне возможно. Такая ситуация имеет место в следующих случаях:
если в АБС используется СУБД, защита которой недостаточно надежна;
если используется недостаточно хорошо протестированная версия СУБД, содержащая ошибки в программном обеспечении;
если администраторы базы данных допускают грубые ошибки при определении политики безопасности.
Кроме того, известны две атаки СУБД, для защиты, от которых требуются специальные меры. К ним относятся:
«атака салями», когда результаты округления результатов арифметических операций прибавляются к значению некоторого элемента базы данных (например, к сумме, хранящейся на личном счету хакера);