ISSN 1991-3087
Рейтинг@Mail.ru Rambler's Top100
Яндекс.Метрика

НА ГЛАВНУЮ

Обратное отслеживание и анонимность в киберпространстве

 

Акулов Никита Витальевич,

студент Национального исследовательского университета «Московский институт электронной техники» (МИЭТ).

 

Под термином «кибермощность» понимается способность действовать и влиять через киберпространство. Военное, экономическое, культурное или регулирующий влияние на те или иные структуры в киберпространстве является выражением власти того или иного государства [1].

Развитие Интернета, отсутствие у него границ и, в некоторой степени, даже беззаконность позволяет резко усилить возможности пользователей. В результате, некоторые группы негосударственных субъектов независимо друг от друга приобрели кибермощность такой степени, что могут бросить вызов государствам в киберпространстве.

Особой проблемой в киберпространстве является трудность отслеживания вредоносной активности. Это обеспечивает анонимность источникам вредоносных действий.

Технология и фундаментальное понятие Интернета, как мы его знаем сегодня, изначально были созданы для военной промышленности в середине XXI века для того, чтобы обеспечивать связь. Сеть, обладавшая высокой устойчивостью к помехам, была разработана в то время, когда безопасность между связывающимися абонентами не считалась высоко необходимой. Развитие Интернета, позволили создать связь, буквально, между всем. Кибератаки в настоящее время могут быть запущены из любой точки мира.

 

Категории злоумышленников

 

На основе знаний и мотиваций злоумышленников можно разделить на следующие категории [1]:

·                    «Детский сценарий» – это термин для неопытных компьютерных хакеров, которые используют вредоносные инструменты для атаки на сеть и для уменьшения популярности сайтов.

·                    Черные хакеры – злоумышленники, которые нарушают работу сетей и компьютеров. Они всегда пытаются придумать новые виды атак и ищут уязвимости в системах, чтобы получить к ним доступ.

·                    Хактивисты – это обычно политически или религиозно мотивированные хакеры-активисты, которые пытаются выставить незаконную деятельность корпораций и правительства или просто преследуют свои личные цели.

·                    Преступные группы хакеров – профессиональные хакеры, которых можно нанять для проникновения в компьютерные системы, для шпионажа и выполнения компьютерных атак на бизнес конкурентов.

·                    Хакерские группы, которые финансируются правительством – хакеры, которые шпионят и нападают на гражданских лиц, корпорации и правительства других стран. Их нанимают для управления киберпространством от имени правительства.

·                    Кибертеррористы ​​– эти хакеры пытаются посеять страх и ужас на почве религиозных и политических убеждений. Их действия направленны на то, чтобы сорвать значащие инфраструктурные услуги, такие как водоснабжение, электричество и коммуникации.

 

Анонимность в Интернете

 

Существует несколько способов, с помощью которых может быть достигнута анонимность. Каждый метод имеет различные уровни эффективности, а также потенциальные недостатки.

Хакеры могут по-разному скрыть свою личность во время атак. Первый способ – это уничтожить все доказательства о нападении (например, файлы журналов). Другой – это использовать украденную личность (например, имена, документы, изображения и т.д.) для того, чтобы направить расследование в неверном направлении.

Прокси-серверы позволяют пользователям скрыть свой IP -адрес, направляя весь определенный тип трафика (например, просмотра веб-страниц) через другой адрес.

Прокси-серверы предлагают различные уровни анонимности[2]:

·                    нет анонимности – веб-сервер не знает IP клиента, но знает, что прокси-сервер используется. Прокси передает IP -адрес клиента к веб-серверу;

·                    низкий уровень анонимности – веб-сервер не знает IP клиента, но он знает, что прокси используется;

·                    средний уровень анонимности – веб-сервер знает, что клиент использует прокси-сервер, и думает, что знает его IP, но IP используется не клиентом. Как правило, это прокси с несколькими интерфейсами;

·                    высокий уровень анонимности – веб-сервер не знает IP клиента и не имеет никакого прямого доказательство использования прокси (нет ссылки на связь прокси в запросе).

Еще один хороший способ достижения конфиденциальности является туннелирование всего сетевого трафика сервера перед передачей данных к ресурсу, будто пользователь на самом деле пытается получить доступ. С помощью VPN весь сетевой трафик шифруется между начальной (клиент) и конечной точками (сервер) туннеля.

VPN часто используется, когда сотрудники должны подключаться к корпоративным сетям вне офиса (дома, за рубежом и т.д.). Фирмы с филиалами в нескольких городах, могут использовать такое туннелирование для обеспечения связи между филиалами в разных частях страны и базовой сетью компании. Например, кассовые терминалы магазина могут быть подключены к центральной базе данных компании, чтобы отслеживать детали инвентаризации.

Подключение к VPN также может быть полезно, когда используются государственные незащищенные сети. Это особенно важно в отношении данных, которые не зашифрована (например, HTP или HTTP, в незашифрованном виде отправки и получения электронной почты и т.д.).

Существуют специальные приложения, которые позволяют пользователю получить анонимный доступ к Интернету. Они используют несколько государственных или частных прокси-серверов, которые транслируют зашифрованные данные через несколько случайно выбранных узлов. Эта техника называется луковой маршрутизацией. Название относится к аналогии удаления слоев лука: несколько слоев шифрования были применены к передаваемым данным, и каждый узел ретрансляции расшифровывает (удаляет) следующий слой, пока исходные данные не раскрываются, затем посылает получателю.

Одним из наиболее популярных приложений анонимности, используемых в настоящее время, является TOR (The Onion Router). TOR был первоначально разработан, реализован и установлен в США военно-морской научно-исследовательской лабораторией для использования в ВМС США, с главной целью защиты правительственной связи.

Проект TOR предлагает читателю множество примеров его использования, Идея состоит в том, чтобы использовать извилистый, трудный для слежки маршрут, периодически стирая след пользователя. Вместо того чтобы идти по прямому пути от отправителя к получателю, пакеты данных выбирают произвольный путь через несколько (не менее трех) серверов, которые скрывают следы пользователя. Так что ни один наблюдатель в любой точке не сможет узнать, откуда данные пришли и куда они собирается. При использовании луковой маршрутизации важно не разглашать личную информацию, которая передается в незашифрованном виде. В идеале, даже трафик входа и выхода анонимность сетей (между источником и местом назначения) должен быть зашифрованным.

 

Обратное слежение

 

Судя по методам атаки, а также по её количеству и распределению, необходимо определить: атака проводится одним человеком или группой хакеров. Иногда атаки распределены таким образом, что ни один источник не может быть определен, например, когда несколько хакеров инициировали атаки одновременно против нескольких целей.

Для начала специалисты информационной безопасности должны определить, что произошло в первую очередь. Они должны собрать информацию о нападении от пострадавших систем.

Необходимо провести проверку изменений конфигурации системы и проанализировать журнал событий. Это может быть длительным и сложным процессом, поскольку хакеры пытаются скрыть свою деятельность. Кроме того, системы могут иногда создавать большое количество сообщений в журнале, что замедляет процесс поиска нужной информации (например, IP- адрес атакующего). Тем не менее, анализируя эту информацию, специалисты по безопасности могут потенциально оценить намерения и масштаб атаки.

Если атаки периодически повторяются или еще продолжаются, то более эффективно провести мониторинг деятельности злоумышленников в режиме реального времени. Можно заманить хакеров в ловушку. В случае успеха, специалисты смогут собрать полезную информацию о поведении, квалификации и намерениях злоумышленников. С помощью этих данных безопасность фактических производственных систем может быть адаптирована и усовершенствована.

Один из самых основных инструментов для отслеживания хакеров является трассировка. Это инструмент, который прослеживает маршрутную сеть пакетов на целевой хост. Трассировка использует специально созданные заголовки сетевых пакетов, чтобы вызвать реакцию (т.е. ответ на хост под управлением трассировки) от маршрутизаторов. Из-за различной конфигурации сетевых устройств, трассировка иногда не может обнаружить точную топологию сети.

Физическое или юридическое лицо, ответственное за IP-адрес, может быть определен с помощью протокола WHOIS. База данных WHOIS иногда показывает адрес регистранта, но это не обязательно физическое местоположение сетевого устройства. Чаще всего это официальный адрес регистрации. Приблизительное местоположение (например, город) устройства может быть определено с помощью услуги геолокации. В большинстве случаях это первая точка соприкосновения.

Если ни один из инструментов и методов не дал никаких значимых результатов, и атаки до сих пор повторяются, то есть возможность заманить хакеров для выявления более подробной информацию о них с помощью ловушки.

Ловушка может быть установлена ​​с помощью специальных фрагментов данных, называемых Honeytokens. Honeytokens может принимать форму информации о кредитной карте, учетные данные для входа, компьютерные файлы или другие виды информации (коммерческая тайна, объявления данных и т.д.).

Когда хакер попался в ловушку, специалисту информационной безопасности поступает специальный вызов, и начинается подробное протоколирование в системе, направленное на сбор максимально возможного количества данных о пользователе из Honeytoken .

Специалисты информационной безопасности могут создать механизмы обнаружения утечек данных, которые будут сканировать весь исходящий сетевой трафик, и монитор для конкретных кодов, слов honeytokens и других предопределенных структур данных.

 

Литература

 

1.                  Peacetime Regime for State Activities in Cyberspace International Law, International Relations and Diplomacy Katharina Ziolkowski (ed.) // 2013 NATO CCD COE, ISBN 978-9949-9211-7-1, 2013.–169c.

2.                  Романец Ю. В., Тимофеев П.А., Шаньгин В.Ф. Защита информации в компьютерных системах и сетях. / Под ред. В.Ф. Шаньгина. – М.: Радио и связь, 1999. – 328 с. - ISBN 5-256-01436-6. - ISBN 5-256-01436-6: 63-00.

3.                  Столлингс В. Основы защиты сетей. Приложения и стандарты [Текст]: Пер. с англ. / В. Столлингс. - М.: Вильямс, 2002. - 430 с. - ISBN 5-8459-0298-3: 200-00; 219-00.

4.                  Галатенко В. А. Основы информационной безопасности [Текст]: Курс лекций: Учеб. пособие / В. А. Галатенко; Под ред. В.Б. Бетелина. - 2-е изд., испр. - М.: Интернет-Университет Информационных технологий, 2004. - 263 с. - ISBN 5-9556-0015-9: 200-00.

 

Поступила в редакцию 19.05.2015 г.

2006-2019 © Журнал научных публикаций аспирантов и докторантов.
Все материалы, размещенные на данном сайте, охраняются авторским правом. При использовании материалов сайта активная ссылка на первоисточник обязательна.