Форум ''Интернет и Право''
14 Октября 2024, 06:06:47 *
Добро пожаловать, Гость. Пожалуйста, войдите или зарегистрируйтесь.

Войти
Новости: Форум "Интернет и Право" прекратил свою работу с 01 января 2013 г.
 
   Начало   Помощь Поиск Войти Регистрация  
В закладки:
Страниц: [1]   Вниз
  Печать  
Автор Тема: Признаки взлома  (Прочитано 5528 раз)
MOJO
Посетитель
*
Офлайн Офлайн

Сообщений: 96


Мир не так прост, как нам кажется... Он еще проще!

328174355
E-mail
« : 05 Июля 2006, 14:01:36 »

А можно ли как-то с помощью юридической терминологии, в наиболее общей форме описать основные признаки взлома? Т.е. признаки, которые свидетельствуют о том, что было совершено преступление, предусмотренное ст.183 УК (Незаконное получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну) или 272 УК (Неправомерный доступ к компьютерной информации).

Просто мне нужно написать инструкцию для сотрудников (простых пользователей и админов), в которой было бы четко прописано, при обнаружении каких признаков они должны бить тревогу и бежать к руководству, которое затем будет писать заявление в милицию.

Ну, естественно, простые пользователи сначала обратятся в техподдержку, которая выяснит, не является ли этот «признак взлома» результатом компьютерной неграмотности или технической / программной неисправности.

Посмотрел довольно много литературы, но нигде адекватного перечня не нашел, но уверен, что подобные перечни написаны и их много Улыбающийся. Вот только что-то никак не могу их найти. Может кто знает, где такой список взять? А то если самому писать – боюсь что-нибудь упустить, хотелось бы взять готовый список признаков от какого-нибудь «зубра» и переработать его в юридический текст.

Да и попутно, как вы считаете, можно ли в этой инструкции log обозвать следующим образом: «электронный журнал регистрации соединений (лог-файл)».

Или может быть все-таки без соединений, потому что в логах может протоколироваться не только соединения, но и иная информация. Хотя в данном случае меня интересуют только сами соединения. Кстати – это еще вопрос – могут ли иные логии (те, которые не пишут протоколы соединений) быть использованы как доказательства в суде? Я имею в виду не принципиальную возможность использования, а то, может ли в них содержаться полезная в данном случае информация?

« Последнее редактирование: 05 Июля 2006, 14:20:56 от MOJO » Записан
Igor Michailov
Модератор
Internet-law team
*****
Офлайн Офлайн

Пол: Мужской
Сообщений: 7261



« Ответ #1 : 05 Июля 2006, 16:16:44 »

Учитывая, что каждая атака индивидуальна, что каждый день появляются новые виды угроз, думаю, что в общих словах никак не получится а зацикливаться на конкретике ...  В замешательстве

(Если Вы подозреваете, что Вашу систему можно взломать таким-то способом- неужели, Вы эту причину не устраните  Смеющийся Смеющийся Смеющийся )
Записан

Юридические консультации.

Помощь в составлении жалоб и ходатайств.

Заверение контента сайтов, Интернет-страниц, электронной почты.
Николай Николаевич Федотов
Тех.специалист
Internet-law team
*****
Офлайн Офлайн

Пол: Мужской
Сообщений: 4531


Мафия бессмертна, сыск вечен!

263087756
WWW E-mail
« Ответ #2 : 05 Июля 2006, 16:56:35 »

Просто мне нужно написать инструкцию для сотрудников (простых пользователей и админов), в которой было бы четко прописано, при обнаружении каких признаков...

Если инструкция для простых людей, то и писать её нужно простым языком, а не юридическим.

Для обнаружения признаков взлома существует целый класс систем. Называются они IDS. Признак взлома, понятный для пользователей - единственный. И он таков. Установленная IDS выдаёт предупреждение с приоритетом выше чем N.
Записан

Форензика - компьютерная криминалистика: http://forensics.ru/
MOJO
Посетитель
*
Офлайн Офлайн

Сообщений: 96


Мир не так прост, как нам кажется... Он еще проще!

328174355
E-mail
« Ответ #3 : 05 Июля 2006, 17:56:11 »

Инструкция эта именно для «простых людей», но она будет носить статус нормативно документа этой организации. В ней нужно четко и ясно объяснить сотрудникам:

1.   Если у вас на компьютере происходит то-то и то-то – это ахтунг (вас, возможно, хакнули или заразили вирусом).
2.   Признаки того, что творится ахтунг.
3.   Если ахтунг настал – обратитесь к информационщикам.

Далее общие правила:

4.   Информационщик должен убедится, что это именно ахтунг, произошедший в результате действий посторонних лиц, а не в результате неквалифицированных действий пользователя, ошибки в работе ПО или аппаратных средств и т.п.
5.   Если это именно ахтунг – он идет к руководству.
6.   Далее пишется заявление в милицию за подписью руководителя организации.

Ну и соответственно положения о том, что информационщики (штатная служба технической поддержки) должны в кратчайшие сроки устранить уязвимость в защите, произвести действия, направленные на минимизацию вреда и т.д. и т.п.

Несколько пунктов про признаки ахтунга для самих информационщиков.


Вот, что я пока сам написал – все изложено в свободной форме. Пока это просто список. Как считаете, нужно туда еще что-нибудь добавить? Или может быть убрать что-то?
Опять-таки повторюсь, признаки ориентированы на простых пользователей, неспециалистов.
Единственная загвоздка с админами – наверное, не стоит ограничиваться только анализом логов…

=======================

Признаки уничтожения, блокирования, модификации информации, содержащейся на жестком диске сервера или рабочей станции, произошедшего в результате неправомерного доступа к компьютерной информации либо внедрения в информационную систему вредоносных прогарам …

- Удаление файлов и папок;
- переименование, перемещение файлов и папок;
- появление новых файлов и папок;
- изменение содержания файлов и папок;
- изменение размера, даты создания и иных реквизитов файлов и папок;
- невозможность доступа к информационным ресурсам с использованием текущего имени пользователя и пароля;
- изменение настроек используемого программного обеспечения, произошедшее без участия пользователя;
- замедленная или неправильная загрузка операционной системы, невозможность загрузки операционной системы;
- некорректная работа, невозможность запуска приложений;
- замедление реакции ЭВМ на команды пользователя;
- неадекватные реакции ЭВМ на команды пользователя;
- появление на экране нестандартных символов;
- регулярное появление сообщений об ошибках;
- иные признаки, свидетельствующие сбоях в работе ЭВМ, системе ЭВМ или их сети.

Уничтожения, блокирования, модификации информации не произошло, но

анализ данных электронных журналов регистрации сетевых соединений (лог-файлов) сотрудниками отдела информационных технологий позволяет установить факт несанкционированного доступа к информации, размещенной в информационной системе

– признак взлома – это относится только к работникам отдела информационных технологий, пойдет отдельным пунктом
« Последнее редактирование: 06 Июля 2006, 12:27:50 от MOJO » Записан
Николай Николаевич Федотов
Тех.специалист
Internet-law team
*****
Офлайн Офлайн

Пол: Мужской
Сообщений: 4531


Мафия бессмертна, сыск вечен!

263087756
WWW E-mail
« Ответ #4 : 05 Июля 2006, 18:11:39 »

Не стоит пытаться возлагать на людей такие функции, которые давно и успешно осуществляются компьютерами. "Вручную" контролировать размеры и даты файлов - это и есть настоящий ахтунг.
Записан

Форензика - компьютерная криминалистика: http://forensics.ru/
Stan
инквизитор
Специалист
Участник
*****
Офлайн Офлайн

Пол: Мужской
Сообщений: 805


С неприязнью к себе...


WWW
« Ответ #5 : 05 Июля 2006, 19:15:10 »

За термин IDS спасибо.

Ссылка в Википедии link

Вообще-то, насколько я себе представляю, нанимается админ, который ставит файрвол и разбирается с вопросами безопасности. Зачем писать инструкцию для рядовых работников?
« Последнее редактирование: 05 Июля 2006, 19:16:59 от Stan » Записан

Пришел — увидел — нафлудил.
MOJO
Посетитель
*
Офлайн Офлайн

Сообщений: 96


Мир не так прост, как нам кажется... Он еще проще!

328174355
E-mail
« Ответ #6 : 06 Июля 2006, 10:29:23 »

Инструкция пишется для всей организации в целом. Просто эти признаки адресованы простым юзерам, которые специально ничего не проверяют и не отслеживают. Просто это признаки, которые должны навести их на мысль, что что-то не так, вот и все.

Иногда вредоносные последствия всяческих атак видны сразу, например, при дефэйсе официального сайта, или когда удаляется важная информация с жесткого диска. Но очень часто негативные последствия неочевидны для простого пользователя-неспециалиста. Вот для таких случаев и пишется эта инструкция.

На пользователей никто никаких обязанностей по отслеживанию чего бы то ни было не возлагает. Если заметил  молодец. Но если уж заметил – незамедлительно сообщи об этом информационщикам.

Про админа тоже будет сказано но совсем в общих чертах – мол если сам что обнаружил, то нужно сделать то-то и то-то.

Зачем нужна такая инструкция? Причин тому очень много, но раскрыть их на общем форуме, к сожалению не могу. Той организации, которая эту фигню заказала – она очень нужна. Причем важно не столько содержание, сколько наличие этой бумажки.
Мне  эта бумажка тоже очень нужна – мне за ее написние денег заплатят Подмигивающий
Записан
Страниц: [1]   Вверх
  Печать  
 
Перейти в:  

Яндекс цитирования © Антон Серго, 1998-2012. Правовая информация.
Карта сайта "Интернет и Право" (internet-law.ru).

На правах рекламы:

Произвольная ссылка:







Powered by SMF 1.1.21 | SMF © 2011, Simple Machines