Название: Признаки взлома Отправлено: MOJO от 05 Июля 2006, 14:01:36 А можно ли как-то с помощью юридической терминологии, в наиболее общей форме описать основные признаки взлома? Т.е. признаки, которые свидетельствуют о том, что было совершено преступление, предусмотренное ст.183 УК (Незаконное получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну) или 272 УК (Неправомерный доступ к компьютерной информации).
Просто мне нужно написать инструкцию для сотрудников (простых пользователей и админов), в которой было бы четко прописано, при обнаружении каких признаков они должны бить тревогу и бежать к руководству, которое затем будет писать заявление в милицию. Ну, естественно, простые пользователи сначала обратятся в техподдержку, которая выяснит, не является ли этот «признак взлома» результатом компьютерной неграмотности или технической / программной неисправности. Посмотрел довольно много литературы, но нигде адекватного перечня не нашел, но уверен, что подобные перечни написаны и их много :). Вот только что-то никак не могу их найти. Может кто знает, где такой список взять? А то если самому писать – боюсь что-нибудь упустить, хотелось бы взять готовый список признаков от какого-нибудь «зубра» и переработать его в юридический текст. Да и попутно, как вы считаете, можно ли в этой инструкции log обозвать следующим образом: «электронный журнал регистрации соединений (лог-файл)». Или может быть все-таки без соединений, потому что в логах может протоколироваться не только соединения, но и иная информация. Хотя в данном случае меня интересуют только сами соединения. Кстати – это еще вопрос – могут ли иные логии (те, которые не пишут протоколы соединений) быть использованы как доказательства в суде? Я имею в виду не принципиальную возможность использования, а то, может ли в них содержаться полезная в данном случае информация? Название: Re:Признаки взлома Отправлено: Igor Michailov от 05 Июля 2006, 16:16:44 Учитывая, что каждая атака индивидуальна, что каждый день появляются новые виды угроз, думаю, что в общих словах никак не получится а зацикливаться на конкретике ... :-\
(Если Вы подозреваете, что Вашу систему можно взломать таким-то способом- неужели, Вы эту причину не устраните ;D ;D ;D ) Название: Re:Признаки взлома Отправлено: Николай Николаевич Федотов от 05 Июля 2006, 16:56:35 Просто мне нужно написать инструкцию для сотрудников (простых пользователей и админов), в которой было бы четко прописано, при обнаружении каких признаков... Если инструкция для простых людей, то и писать её нужно простым языком, а не юридическим. Для обнаружения признаков взлома существует целый класс систем. Называются они IDS. Признак взлома, понятный для пользователей - единственный. И он таков. Установленная IDS выдаёт предупреждение с приоритетом выше чем N. Название: Re:Признаки взлома Отправлено: MOJO от 05 Июля 2006, 17:56:11 Инструкция эта именно для «простых людей», но она будет носить статус нормативно документа этой организации. В ней нужно четко и ясно объяснить сотрудникам:
1. Если у вас на компьютере происходит то-то и то-то – это ахтунг (вас, возможно, хакнули или заразили вирусом). 2. Признаки того, что творится ахтунг. 3. Если ахтунг настал – обратитесь к информационщикам. Далее общие правила: 4. Информационщик должен убедится, что это именно ахтунг, произошедший в результате действий посторонних лиц, а не в результате неквалифицированных действий пользователя, ошибки в работе ПО или аппаратных средств и т.п. 5. Если это именно ахтунг – он идет к руководству. 6. Далее пишется заявление в милицию за подписью руководителя организации. Ну и соответственно положения о том, что информационщики (штатная служба технической поддержки) должны в кратчайшие сроки устранить уязвимость в защите, произвести действия, направленные на минимизацию вреда и т.д. и т.п. Несколько пунктов про признаки ахтунга для самих информационщиков. Вот, что я пока сам написал – все изложено в свободной форме. Пока это просто список. Как считаете, нужно туда еще что-нибудь добавить? Или может быть убрать что-то? Опять-таки повторюсь, признаки ориентированы на простых пользователей, неспециалистов. Единственная загвоздка с админами – наверное, не стоит ограничиваться только анализом логов… ======================= Признаки уничтожения, блокирования, модификации информации, содержащейся на жестком диске сервера или рабочей станции, произошедшего в результате неправомерного доступа к компьютерной информации либо внедрения в информационную систему вредоносных прогарам … - Удаление файлов и папок; - переименование, перемещение файлов и папок; - появление новых файлов и папок; - изменение содержания файлов и папок; - изменение размера, даты создания и иных реквизитов файлов и папок; - невозможность доступа к информационным ресурсам с использованием текущего имени пользователя и пароля; - изменение настроек используемого программного обеспечения, произошедшее без участия пользователя; - замедленная или неправильная загрузка операционной системы, невозможность загрузки операционной системы; - некорректная работа, невозможность запуска приложений; - замедление реакции ЭВМ на команды пользователя; - неадекватные реакции ЭВМ на команды пользователя; - появление на экране нестандартных символов; - регулярное появление сообщений об ошибках; - иные признаки, свидетельствующие сбоях в работе ЭВМ, системе ЭВМ или их сети. Уничтожения, блокирования, модификации информации не произошло, но анализ данных электронных журналов регистрации сетевых соединений (лог-файлов) сотрудниками отдела информационных технологий позволяет установить факт несанкционированного доступа к информации, размещенной в информационной системе – признак взлома – это относится только к работникам отдела информационных технологий, пойдет отдельным пунктом Название: Re:Признаки взлома Отправлено: Николай Николаевич Федотов от 05 Июля 2006, 18:11:39 Не стоит пытаться возлагать на людей такие функции, которые давно и успешно осуществляются компьютерами. "Вручную" контролировать размеры и даты файлов - это и есть настоящий ахтунг.
Название: Re:Признаки взлома Отправлено: Stan от 05 Июля 2006, 19:15:10 За термин IDS спасибо.
Ссылка в Википедии link (http://ru.wikipedia.org/w/index.php?title=Система_обнаружения_вторжений) Вообще-то, насколько я себе представляю, нанимается админ, который ставит файрвол и разбирается с вопросами безопасности. Зачем писать инструкцию для рядовых работников? Название: Re:Признаки взлома Отправлено: MOJO от 06 Июля 2006, 10:29:23 Инструкция пишется для всей организации в целом. Просто эти признаки адресованы простым юзерам, которые специально ничего не проверяют и не отслеживают. Просто это признаки, которые должны навести их на мысль, что что-то не так, вот и все.
Иногда вредоносные последствия всяческих атак видны сразу, например, при дефэйсе официального сайта, или когда удаляется важная информация с жесткого диска. Но очень часто негативные последствия неочевидны для простого пользователя-неспециалиста. Вот для таких случаев и пишется эта инструкция. На пользователей никто никаких обязанностей по отслеживанию чего бы то ни было не возлагает. Если заметил молодец. Но если уж заметил – незамедлительно сообщи об этом информационщикам. Про админа тоже будет сказано но совсем в общих чертах – мол если сам что обнаружил, то нужно сделать то-то и то-то. Зачем нужна такая инструкция? Причин тому очень много, но раскрыть их на общем форуме, к сожалению не могу. Той организации, которая эту фигню заказала – она очень нужна. Причем важно не столько содержание, сколько наличие этой бумажки. Мне эта бумажка тоже очень нужна – мне за ее написние денег заплатят ;) |