Електронна війна
Очевидно, що при організації “чорного” обліку на двох ЕОМ у різних містах КРС буде просто не в змозі одержати необхідні їм дані. У принципі, у розпорядженні КРС немає ні техніки для ведення електронного стеження, ні засобів для розшифровки даних комп’ютера, ні фахівців, здатних це зробити, якби такі й були.
Існує можливість того, що КРС звернеться до Прокуратури, МВС або СБУ. Нехай так. Але навіть маючи технічні можливості й права, ці відомства будуть практично не в змозі протистояти грамотно організованій передачі даних у комп’ютерних мережах. У найкращому разі такі дані можна перехопити, але розшифрувати їх буде неможливо.Не випадково закони США забороняють експорт криптографічних алгоритмів і програм46, а в РФ прийнято закон, що забороняє “...використання не сертифікованих криптографічних програм...”. Сертифікація такої програми означає наявність у ній спеціального універсального пароля47, який передається спецслужбам48.
В Україні ситуація нагадує російську, але в перекрученому варіанті. Датований 28.11.97 р., виходить спільний наказ Держкомітету із стандартизації, метрології й сертифікації й СБУ № 708/156 “Про затвердження тимчасової інструкції й порядку поставки й використання ключів до засобів криптографічного захисту”. Він визначив монополіста, якому дано право поставляти ключі для криптографічних систем - Головне управління урядового зв’язку СБУ. 22.05.98 р. видано Указ Президента № 505/98 “Про Положення про порядок здійснення криптографічного захисту інформації в Україні”(зі змінами й доповненнями від 15.09.98 р.), що пропонує всім користувачам криптографічних систем реєструватися в “порядку, передбаченому законодавством”. А 17.11.98 р. - спільний наказ № 104/81 Ліцензійної Палати України й Департаменту спеціальних телекомунікаційних систем і захисту інформації СБУ “Про затвердження інструкції про умови й правила ведення підприємницької діяльності, пов’язаної з...
використанням засобів криптографічного захисту інформації...”. Цей наказ визначає, що підлягають ліцензуванню роботи з використання засобів криптографічного захисту інформації, а також використання захищених телекомунікаційних та інших систем і комплексів із засобами криптозахисту.Цікава відмінність положень на Україні й у Росії. Російський законодавець забороняє ввезення на територію РФ програм, що шифрують (незрозуміло, правда, як можна митниці запобігти потоку електронної інформації) і вказує використовувати тільки сертифіковані криптографічні програми. Український законодавець пропонує одержувати паролі від самих силових структур. Ще небагато - і підприємства будуть одержувати в них ключі й від дверей офісів.
Для непосвячених пояснимо, чому навколо шифрованих програм, стільки занепокоєння законодавця. Справа в тому, що на сучасних персональних комп’ютерах за допомогою до
ступних безкоштовних програм можна зашифрувати дані так, що на їхнє розшифрування (за відсутності пароля) піде час, що перевищує в 12 млн разів вік нашого Всесвіту49. Тому електронне листування стало недоступним для перлюстрування.
На рис. 6 показано найпростішу схему передачі даних у віддалений комп’ютер на зберігання.
Рис. 6. Схема передачі даних через телефонну мережу міської АТС
Передана підприємством інформація може бути легко перехоплена, може бути визначений також телефонний номер місця зберігання даних і, отже, визначена його міська адреса. Нагадуємо: перехоплення даних не означає можливості їхнього наступного розшифрування, що дає підприємству можливість шифрувати дані перед їх відправленням. У принципі, така схема роботи дозволяє спецслужбам (якщо передаються незашифровані дані) розсекретити паролі доступу й одержати інформацію.
Рис. 7. Передача даних через телефонні радіоканали
Схема, подана на рис.
7, ускладнює визначення адреси, тим більше що мобільний телефон може бути в будь-якому місці міста й будь-якому місці зони, охопленої радіусом мовлення телефонної компанії. У випадку анонімних телефонних номерів довідатися про місце зберігання облікової інформації, що зберігається на переносному комп’ютері типу Notebook, практично неможливо. Вирішення такого завдання можуть запропонувати тільки спецслужби. Існуючі нині системи спостереження за радіоефіром і визначення місця знаходження радіотелефону хоч і дорогі, але при більш-менш постійному ареалі перебування радіотелефону все-таки можуть виявити власника.З певною регулярністю (один раз за кілька місяців) можуть змінюватися номери телефонів, зрозуміло, через підставних осіб, або взагалі використовуватися інший спосіб зв’язку (наприклад, змінений стандарт передачі даних).
На рис. 8 дається розгорнута схема, що є практично невразливою для визначення місця зберігання інформації.
| Підприєм ство | Орендована підприємством квартира | Радіо телефон | Ланка - додатковий буфер | Місце зберігання даних |
| Можливі дії контрольно-ревізійних або спеціальних служб | ||||
| Доступ до даних неможливий | Доступ у квартиру або підключення до лінії для перехоплення даних | Спроба знайти телефон для перехоплення даних | Доступ у квартиру або підключення до лінії для перехоплення даних | Доступ у квартиру |
| Можливі відповідні дії підприємства | ||||
| На підприємстві немає даних фізично | Сигнал тривоги й закінчення негласної оренди | Доступ до анонімного радіотелефону неможливий | Сигнал тривоги й закінчення негласної оренди | Сигнал тривоги, знищення, шифрування даних обліку |
Рис.
8. Розгорнута схема передачі облікових даних.Кількість додаткових ланок-буферів може бути обмежена тільки фінансовими можливостями підприємства. Очевидно, що буфери можуть бути провідними телефонами міської АТС, стільниковими й мобільними (GSM, NMT). Причому використання GSM означає можливість розміщення буферів в інших містах й інших країнах. Місцем зберігання даних може бути стаціонарний комп’ютер, а може бути й переносний, котрий поміститься в невеликому портфелі. На сьогодні телефони із прямим виходом в Internet - не рідкість і теоретично можна розглянути симбіоз передачі даних з використанням міської АТС, західних протоколів передачі (GSM) і частиною лінії передачі буде слугуватити Internet. Регулярно змінюючи номери міських і мобільних телефонів, провайдера, використовуючи криптопроцесори51 у своїх ПК поряд із застосуванням звичайних програм для шифрування (наприклад, популярна PGP), підприємство зробить свою інформацію недосяжною. Якщо державні служби захочуть одержати дані таких організацій, їм доведеться покладатися тільки на незаконне силове вирішення проблеми. У технічного експерта, що відповідає за безпеку даних, завжди буде кілька хвилин для відключення від ліній передач даних або подачі сигналу тривоги в неї для ініціювання підпрограм, що шифрують дані. Досить цікаві варіанти насильницького відключення підприємства від живильних ліній, телефонних каналів, щоб перешкодити перемістити важливі дані з території фірми в місце зберігання даних. Імовірно, технічні радники можуть передбачити таку можливість і вимагати облаштованості апаратної частини АБС блоками безперебійного живлення, адже якщо комп’ютери залишилися без живлення, то силовим структурам нескладно буде вилучити необхідну інформацію. При відключенні провідних телефонних ліній підприємства силовими структурами може бути передбачена можливість передачі інформації за допомогою мобільних телефонів, радіоподовжувачів або звичайних потужних радіотелефонів, радіус дії яких становить сотні метрів.
У цьому випадку сам телефон (база) установлюється недалеко від місця знаходження підприємства, а трубка приєднується до модему.Наведені схеми дають змогу “вийти” на інформацію як на вихідне місце, так і на кореспондента. Однак, XXI ст. може запропонувати й більш надійні з погляду безпеки інформації схеми передачі. Зрозуміло, ми маємо на увазі використання комп’ютерних мережних технологій. Сьогодні можна передавати й одержувати інформацію, забронювавши собі в Internet безкоштовний дисковий простір, електронну пошту. Цікаво, що фізично сама інформація буде розміщуватися на території інших держав, тобто фізичний доступ до неї досить утруднений, а силові українські структури не мають у своєму розпорядженні достатніх штатів для проникнення [і законного(?) і незаконного] у кібертериторію підприємств.
Варто мати на увазі, що навіть непомітно для підприємства підключившись до каналу передачі даних, КРС не зможуть інтерпретувати отриману інформацію, якщо при її передачі використовуються алгоритми шифрування типу RSA або DES52. Протокол передачі даних за наведеною схемою не потребує одночасної роботи усіх устроїв-буферів - це, до речі, підсилює стійкість системи до злому. У буферах цілком можуть бути присутнім комп’ютери зі своїми розкладами передачі даних (яке повинне мінятися). Для забезпечення безпеки необхідно дотримуватися правила: одночасно може працювати не більше двох відрізків лінії передачі даних і то при досить великій кількості буферів.
Схеми передачі зашифрованих даних через Internet і проблеми безпеки при таких протоколах передачі взагалі виходять за межі розуміння співробітниками КРС і бухгалтерами. Можна лише вказати, що практично всі фірми, що конвертують (і не тільки вони) передають і зберігають інформацію, використовуючи Internet. Більше того, захисні програми вже інтегровані з популярними додатками для роботи в мережу й для роботи з ними від людини не потрібна висока кваліфікація в галузі інформаційних технологій.
Як приклад наведемо подробиці роботи з програмою шифрування даних PGP.
Ця програма дає можливість працювати з документами на звичайному персональному комп’ютері під управлінням операційної системи родини Windows, не використовуючи ніяких особливих хитрувань з метою захисту своїх даних. Техніка роботи із цим пакетом така: після установки програми (вона, до речі, належить до класу freeware - тобто безкоштовний) користувач може створити у своїй операційній системі ще один диск будь-якого розміру, на якому він може зберігати свої файли. Техніка роботи при цьому (копіювання, редагування, видалення документів, запуск програм) не відрізняється від роботи зі звичайними дисками. Але відкрити такий диск можна тільки знаючи пароль. Навіть у випадку, коли перевіряючі раптово заходять у кімнату, у якій службовець підприємства в цей момент працює саме з відкритим (тобто доступним) диском, працівникові досить скинути операційну систему, натиснувши Reset на передній панелі системного блоку, - і після завантаження цей диск зникає із системи.У програмі передбачена також можливість автоматично закривати диск після заздалегідь певного часу, скажімо через 10 хв після відсутності активності користувача. Навіть фахівець високого класу, побачивши встановлену на комп’ютері програму PGP, може тільки розвести руками - якщо програма встановлена коректно й пароль невідомий, то дані з цього диска не можуть бути прочитані. Теоретично пароль може бути отриманий двома способами (обидва вони незаконні): силовий тиск на користувача цього комп’ютера з вимогою видати пароль, а також непомітне впровадження в його комп’ютер програми клавіатурного шпигуна, що записує всі натиснуті клавіші в окремий текстовий файл, у тому числі можна записати й уведений пароль. Звичайно, можна сподіватися на те, що користувач має записаний пароль у його особистих записних книжках, але шанси одержання такого роду інформації невеликі. У звичайному випадку працівник КРС навіть не має подання про подібні технології й можливості, у нього немає й не може бути консультантів-експертів необхідного класу для вирішення цих завдань, не говорячи вже про їхню сумнівну обґрунтованість і незаконність.
При роботі з подібним програмним забезпеченням завжди існує одна проблема, описвана тільки в рідкісний спеціальній літературі, а саме - при встановленні пароля користувач завжди прагне зробити його легким для запам’ятовування й коротким (мало символів). Це сильно послаблює захисні можливості програм, що шифрують дані, і робить їх легкими для „злому”. У той же час при встановленні довгого пароля (наприклад, en_09%sk28ie/jv*h+ee03ij’v~n) запам’ятати і вводити його щораз користувачеві важко. Тому часто звичайні люди записують його на папері або включають такі програмні опції, які забезпечують його запам’ятовування в комп’ютері й наступне автоматичне уведення. Це робить паролі легкодоступними й зводить нанівець весь комплекс захисних заходів. Тому технічні радники компанії повинні ретельно продумати, як саме забезпечити запам’ятовуваність довгого пароля й передбачити блокування режиму запам’ятовування пароля на диску комп’ютера.
Надзвичайно важливим є розуміння діючої тенденції поступової втрати пильності. Ця тенденція наявна практично в усіх сферах людської діяльності. Виражається вона в тому, що із плином досить тривалого часу (більше кількох місяців) практично будь-яка людина послабляє свою увагу, почуття відповідальності в неї притупляється. Тому пароль записують на папері і наклеюють його її на монітор комп’ютера, або ж вводять новий простий пароль, вимикають пароля взагалі тощо. Саме використання таких особливостей людської психіки (небажання щоденних рутинних дій) дає нам як перевіряючим певні шанси.
Звичайно, PGP - не єдина програма, що може зробити практично неможливим доступ до даних підприємства, є ще цілий ряд програмно-апаратних комплексів, які перетворюють звичайний персональний комп’ютер у незламний банк даних.
Втім, якщо розробкою підприємства фіскальні органи вирішили зайнятися всерйоз, із залученням досить кваліфікованих фахівців, шанси набагато збільшуються й співвідношення 1/99 буде виглядати як 10/90 - на користь підприємства, що веде подвійний облік. При цьому ми вважаємо, що як тільки фірма використовує подібні технології, то вона має у своєму розпорядженні службовців зі значним інтелектуальним потенціалом, які не дадуть можливості одержати дані з комп’ютерів навіть при швидкому силовому захопленні фірми. Для цього досить вимкнути загальне живлення комп’ютерів - і всі шифровані диски при новому вмиканні машин зникнуть із операційних систем. При цьому не обов’язково тримати спеціального службовця біля головного рубильника, а досить усього лише набрати заздалегідь певний номер з мобільного телефону. Такі необмежені можливості існують на базі інформаційних технологій. Ці досягнення пропонують кожному за відносно невелику вартість оперативно маніпулювати фінансовими активами, перебуваючи при цьому за десятки тисяч кілометрів від них.
Існують і й апаратні системи захисту ПК від несанкціонованого доступу. У цьому випадку ключем до інформації є чіп- карта, невеликі пристрої-ключі, які приєднуються до портів ПК (Lpt або USB) - так звані HASP й Hardlock ключі53. Аналогічні продукти випускають навіть українські фірми. Наприклад, компанія “Геос-Інформ” випускає програму “Захисник”, яка може захищати директорії й файли від знищення або приховувати їх. Фірма Compaq випускає пристрій, що грунтується на біометричному принципі. Мініатюрний датчик зчитує відбиток пальця й при збігу з наявними даними користувач одержує доступ до ПК.
Підприємство може легально передати всі свої облікові дані на зберігання. Законами України передбачена можливість надання послуг архіваріуса - фірма може доручити адвокатській конторі зберігати свою документацію, і перебувати ця контора може по всій території України. Доступ до такої документації без дозволу власника документів можливий тільки за рішенням суду або на вимогу правоохоронних органів. Більш зрозумілою мовою це означає, що при спробі одержати облікову інформацію силовим шляхом у КРС може нічого не вийти, а підприємство одержить якийсь час для організаційного маневру. У принципі, при попередній змові, у першого архіваріуса може лежати договір про передачу документів іншому архіваріусові й при силовому тиску на першого він пред’являє цей договір і посилається на неможливість передачі документів КРС, хоча б у них було рішення суду або постанова прокурора. А по пейджеру вже давно відправлене повідомлення з прихованим сигналом про необхідність повернення документів власникові для оброблення. І коли КРС прибуде в гості до другого архіваріуса (до речі, потрібно ще встигнути одержати повторне рішення суду або додаткову санкцію прокурора), він розведе руками й відправить перевіряючих до власника документів (або ... до третього, хто знає...).
Серйозним недоліком АБС із погляду ефективності перевірки є те, що електронний документ не має нині юридичної сили. Навіть так званий цифровий підпис не є доказом. Це означає, що дані ЕОМ можуть розглядатися в суді, але на підставі тільки цих даних рішення не може бути прийнято. Ро- здрукована на принтері відомість взагалі є всім чим завгодно, але тільки не документом, що, втім, не означає непридатності її для використання. У принципі, майже завжди можна виявити, хто зробив помилковий запис і залучити його до дисциплінарної відповідальності, якщо ведеться електронний журнал реєстрації операцій і змін. Але якщо в ЕОМ утримуються дані, що є побічними доказами карних злочинів (ст. 148
ч. 2 КК України), то вони не можуть бути такими54.
Не виключений, варіант подій, при яких електронна облікова інформація буде програмно недоступна, але відповідальності ніхто не понесе... - зрозуміло, у повній відповідності із законами України.
3.7.
Еще по теме Електронна війна:
- Балканська війна, 1912. p.
- Порушення правил експлуатації автоматизованих електронно-обчислювальних систем (ст. 363).
- 82. Радянсько-Польська війна і Україна.
- Япансько-російська війна, 1904. p.
- Російсько-турецька війна, 1877 —1878. p.
- Зірванне дипльоматнчнихзносин і європейська війна, 1914. p.
- 5.5.3. Електронна торгівля
- 3.10.2. Організація та облік міжбанківських розрахунків через систему електронних платежів НБУ
- Використання електронних таблиць для аналізу медико-біологічних даних. Електронні таблиці Microsoft Excel
- Стаття 363. Порушення правил експлуатації автоматизованих електронно-обчислювальних систем
- 73. Війна Радянської Росії проти УНР(кінець 1917 – початок 1918 рр. ). Причини поразок укр. військ.
- §2. Види злочинів у сфері використання електронно-обчислювальних машин (комп'ютерів), систем та комп'ютерних мереж і мереж електрозв'язку