Секреты и ложь. Безопасность данных в цифровом мире

ОглавлениеДобавить в закладки К обложке

Вот канонический пример атаки посвященного лица. В 1978 году Стэнли Марк Рифкин был консультантом в центральном отделении банка. Он использовал свои знания и доступ к системе пересылки денег, чтобы переместить несколько миллионов долларов на счет в швейцарском банке, а затем обратить эти деньги в алмазы. Он также запрограммировал компьютерную систему на автоматическое стирание записанной на пленку резервной копии данных, поскольку в ней содержалось свидетельство его преступления (он ушел бы с этими деньгами, если бы не похвастался своему адвокату, который и рассказал обо всем).

Посвященные лица не всегда нападают на систему, иногда они просто используют ее в преступных целях. В 1991 году служащий Чарльз Шваб из Сан-Франциско использовал электронную почту компании для покупки и продажи кокаина. Некто, осужденный за насилие над детьми, работал в больнице в одном из районов Бостона. Украв пароль сослуживца, он изучал больничные карты пациентов, которым звонил с непристойными предложениями.

Посвященные лица – это необязательно служащие. Они могут быть консультантами и подрядчиками. Во время паники в связи с «проблемой 2000 года» многие компании нанимали программистов из Китая и Индии, чтобы обновить старое программное обеспечение. Оставив ксенофобию в стороне, замечу, что любой из тех программистов мог напасть на системы, будучи посвященным лицом.

Большинство компьютерных мер защиты – аппаратно-программные средства сетевой защиты (брандмауэры), системы обнаружения вторжения и т. д. – имеют дело с внешними нападающими, но в значительной степени бессильны против посвященных лиц. Атака на систему со стороны посвященных лиц менее вероятна, чем со стороны посторонних, но системы гораздо более уязвимы перед ними.

Посвященное лицо в курсе, как системы работают и где их слабые места. Такой человек знает структуру организации и то, как будет вестись любое расследование его действий. Он всегда пользуется доверием системы, которую собирается атаковать. Посвященное лицо может использовать собственные ресурсы системы против нее самой. В убийственных с точки зрения безопасности случаях посвященное лицо имеет высокую квалификацию, и еще хуже, если оно участвовало в проектировании системы.

Мотивация нападений посвященных лиц может быть различна: месть, финансовая выгода, изменение существующих порядков или даже реклама. Вообще говоря, она совпадает с мотивацией хакера, преступника-одиночки или агента национальной разведки. Степень риска, на который готовы идти злонамеренные посвященные лица, зависит от того, движимы они «высокой целью» или простой жадностью.

Конечно, атаки посвященных лиц не новы, и проблема эта возникла не в киберпространстве. Если бы не было системы электронной почты, служащий Чарльз Шваб мог бы использовать телефонную систему, факсимильные аппараты или, может быть, даже бумажную почту.

Промышленный шпионаж

Бизнес – это война. Вернее, это некое подобие войны, в которой есть судьи. Судьи устанавливают правила – что является законным, а что нет – и стараются проводить их в жизнь. Иногда, если в бизнесе задействовано достаточное количество денег и влияния, контролирующие его люди могут подать ходатайство судье и добиться изменения правил. Но обычно они делают ходы только в пределах установленных правил.

Черта, где исследовательские методы перестают быть законными, пролегает там, где заканчивается сбор сведений о конкуренте и начинается промышленный шпионаж. Черта эта устанавливается в соответствии с местными законами, но между последними всегда есть много общего. Вторжение в офис конкурента и кража файлов всегда незаконны (даже для Ричарда Никсона); просмотр их в базе данных новостей всегда законен. Подкуп старших инженеров незаконен; оплата их услуг законна. Платить за то, что они добудут копию исходного кода конкурентов, незаконно. Притвориться, что вы хотите заплатить старшим инженерам конкурентов всего лишь за консультацию… это законно, достаточно тонко и действительно умно.

Промышленный шпионаж имеет четкую мотивацию: получить преимущество в конкурентной борьбе, завладев торговыми секретами конкурентов. Общеизвестный пример: Borland обвинял Symantec в передаче торговых секретов через внедренного в компанию руководителя. В другом случае Cadence Design Systems[14]предъявила иск своему конкуренту – компании Avant! – среди прочего обвинив ее в краже исходного кода. В 1999 году Alibris, продающая книги через Интернет, обвинила Amazon com в просматривании электронной почты корпорации. Компании из Китая, Франции, России, Израиля, Соединенных Штатов, как, впрочем, и отовсюду, воруют секреты технологий у иностранных конкурентов.


-= 28 =-
Регистрация.
Забыли пароль?
Логин
Пароль
Запомнить меня