|
Обзор программных средств, предназначенных
для наблюдения за персоналом
УДК 004.056.5
Безмалый В.Ф.
Введение
Технологии
наблюдаемости и основные требования к ним
StatWin 5.0
Invisible Activity
Spy Config v2.3
Inlook Express Control
Panel
PC Spy Present Softdd v2.31
Paparazzi
Industar Cybernetics Corp. 1999-2000 г.
Выводы
Введение
Наиболее уязвимым элементом любой компьютерной системы
(и наибольшей угрозой для компьютерной безопасности) является персонал.
Некоторые люди могут быть просто неподготовленными: они способны
невольно уничтожить важную информацию, которая хранится в системе,
или вмешаться в работу системы. Другие могут умышленно нарушать
правила и использовать компьютер для личных целей. Существуют также
истинные преступники, которые воруют данные (или сами компьютеры)
либо намеренно наносят ущерб компьютерному объекту [1].
Защита от персонала - это большая проблема, которой
в настоящее время уделяется огромное внимание во всем мире.
По сведениям некоторых зарубежных агентств до 90% всех нарушений
информационной защиты осуществляется настоящими или бывшими сотрудниками
потерпевших фирм. В Украине эта проблема стоит особенно
остро, так как отсутствие специализированных технических средств
и программного обеспечения, а также некомпетентность ответственных
лиц, создают благоприятную почву для развития различных форм промышленного
и коммерческого шпионажа.
Объектом промышленного шпионажа обычно выступает конфиденциальная
информация, составляющая коммерческую тайну. Субъектами промышленного
шпионажа, как в форме незаконного сбора конфиденциальной информации,
так и в форме ее незаконного использования, являются лица, которые
(или с помощью которых) реализуют внешние угрозы (конкуренты, агенты
конкурентов, партнеры и др.) или внутренние угрозы (сотрудники)
информационной безопасности субъектов предпринимательской деятельности.
При этом обязательным признаком объективной стороны незаконного
использования сведений, содержащих коммерческую тайну, являются
большие материальные убытки субъекта предпринимательской деятельности,
т. е. убытки, которые в 50 и более раз превышают установленный законом
необлагаемый минимум доходов граждан в месяц [1].
В программах защиты от персонала (Personnel Security Programs) используется
два основных подхода. Первый связан с разработкой правил безопасного
использования компьютеров при работе в сети, разграничением доступа
к информации и т.д., а также разработкой физических мер защиты (охрана
помещений, применение систем наблюдения и т.д.).
Второй подход связан с определением состава программного
(программно-аппаратного) обеспечения, которое используется администратором
безопасности вычислительной системы для обеспечения ее наблюдаемости
- свойства вычислительной системы, позволяющего фиксировать деятельность
пользователей и процессов, использование пассивных объектов, а также
однозначно устанавливать идентификаторы причастных к определенным
событиям пользователей и процессов с целью предотвращения нарушения
политики безопасности и/или обеспечения ответственности за определенные
действия [1]. Именно это свойство, в зависимости от качества его
реализации, позволяет в той или иной мере контролировать соблюдение
сотрудниками предприятия установленных правил безопасной работы
на компьютерах.
Однако многие предприятия Украины часто ограничиваются какой-либо
одной мерой защиты, например, покупкой дорогостоящего межсетевого
экрана, работающего на границе внутренней корпоративной сети и внешней
глобальной сети Internet. При этом предполагается, что все компьютеры,
объединенные в сеть, имеют выход в Internet через этот межсетевой
экран. Между тем, крупнейшие корпорации мира ежегодно увольняют
сотни сотрудников за то, что те приносят свои модемы и подключаются
к внешней сети через телефонные линии со своих рабочих мест. Если
произошла утечка критичной информации, то администратор безопасности,
не имея дополнительных программных средств, практически не в состоянии
выявить злоумышленника и определить, к какому компьютеру, в какое
время был несанкционированно подключен модем, и какая именно информация
была скомпрометирована. С этой точки зрения, межсетевые экраны не
могут обеспечить надежную защиту от персонала.
Другой пример - некоторые сотрудники банков могут
за определенную плату совершать незаконную деятельность, предоставляя
заинтересованным лицам сведения о финансовых операциях любых клиентов
банка. Эти сведения могут передаваться заинтересованному лицу, как
по сети, так и в виде распечатки, сделанной на локальном принтере.
Во втором случае никакие средства сетевого контроля не в состоянии
выявить нарушение.
Для решения этих и многих других проблем, связанных с защитой от
персонала, необходимо применять программные или программно-аппаратные
средства, реализующие свойство наблюдаемости вычислительных систем,
что позволяет:
-
определить (локализовать) все случаи попыток
несанкционированного доступа к конфиденциальной информации с
точным указанием времени и сетевого рабочего места, с которого
такая попытка осуществлялась. Локализовать все случаи искажения
(уничтожения) информации;
-
определить факты несанкционированной установки
программного обеспечения;
-
проконтролировать возможность использования
персональных компьютеров в нерабочее время и выявить цель такого
использования;
-
определить все случаи несанкционированного использования
модемов в локальной сети путем анализа фактов запуска несанкционированно
установленных специализированных приложений;
-
определить все случаи набора на клавиатуре критичных
слов и словосочетаний, подготовки каких-либо критичных документов,
передача которых третьим лицам приведет к материальному ущербу;
-
определить факты нецелевого использования персональных компьютеров
и т.д.
Технологии
наблюдаемости и основные требования к ним
Рассмотрим ряд технических требований, которым должны
удовлетворять программные или программно- аппаратные средства, обеспечивающие
наблюдаемость автоматизированных систем (АС), т.е. организационно-технических
систем, реализующих информационную технологию и объединяющих вычислительные
системы, физическую среду, персонал и обрабатываемую информацию.
Под вычислительной системой (ВС) подразумевается совокупность программно-аппаратных
средств, предназначенных для обработки информации.
Программы, обеспечивающие наблюдаемость ВС, выполняются с использованием
технологии "клиент- сервер".
Существует одна серверная часть и ограниченное множество клиентских
частей.
Клиентские части устанавливаются на рабочие станции конечных пользователей,
которые могут работать под управлением различных операционных систем.
Основные функции клиентской части:
-
регистрация определенных событий;
-
ведение журнала регистрации;
-
передача журнала регистрации на серверную часть
по установленному администратором безопасности критерию.
Клиентская часть должна:
-
загружаться автоматически с загрузкой операционной
системы;
-
быть невидимой для пользователя;
-
регистрировать тексты, набираемые в графических
и консольных окнах;
-
регистрировать время, дату загрузки системы,
имя текущего пользователя;
-
регистрировать время и дату запускаемых приложений;
-
регистрировать время и дату переключения между
задачами;
-
регистрировать адреса посещаемых узлов Internet;
-
иметь возможность применения фильтров для контроля
строго определенных приложений;
-
иметь возможность контроля по расписанию;
-
быть устойчивой к воздействию пользователя;
-
передавать отчетную информацию на серверную часть
невидимо для пользователя;
-
использовать как можно меньше системных ресурсов,
не оказывая заметного влияния на производительность системы;
-
иметь возможность автоматизированной установки
в локальной сети;
-
не конфликтовать с антивирусным и другим программным
обеспечением;
-
и др.
Таким образом, клиентская часть собирает подробные
сведения о том, какие действия производились пользователем на компьютере.
Рассмотрим более подробно существующее программное обеспечение,
решающее данную проблему на примере следующих программ:
1. StatWin 5.0, автор Дворак В.В. Программа работает под управлением
Windows 95/98/NT/2000. (http://statwin-r.da.ru).
2. Invisible Activity Spy Config v2.3 Разработка Alin Inclezan
(http://www.geocities.com/SiliconValley/Station/2980/ias.html).
3. Inlook Express Control Panel (http://www.Jungle-Monkey.com)
4. PC Spy Present Softdd v2.31 (http://www.softdd.com)
5. Paparazzi Industar Cybernetics Corp. 1999-2000 г. (http://www.xakep.ru/post/10845/default.asp)
StatWin 5.0
Инсталляционный модуль программы занимает 800kb.
Программа состоит из двух модулей ExecStat.exe и SeeStat.exe, назначение
которых понятно из названия.
Программа выполняет следующие функции:
-
Отмечает начало работы и конец работы на компьютере
-
Log-in пользователя
-
Учёт статистики (количество запусков, количество
зависаний Windows, среднее время работы...)
-
Контроль за процессами, исполняющимися в Windows.
-
Контроль за работой в Интернет
-
Контроль за работой принтера
-
Позволяет просмотреть статистику за день, неделю,
месяц, год или за весь период работы.
-
Позволяет сохранить статистику в формате csv,
что позволит в дальнейшем легко обрабатывать данную информацию
с помощью программ управления базами данных
Рисунок. 1 Окно программы SeeStat
Как видно из основного окна программы мы можем просматривать
запуски, процессы, отслеживать работу модема, работу с Интернет,
принтером, статистику использования компьютера. С помощью программы
можно запретить вход в Windows без пароля, что позволяет однозначно
идентифицировать пользователя.
С помощью окна просмотра процессов можно определить, какие процессы
и в какое время использовались (Рисунок 2).
Рисунок 2 Окно процессов.
При этом статистическая информация, собираемая на
компьютере, может сохраняться и передаваться для дальнейшей обработки
администратором на сервер сети локальной вычислительной сети, что
упрощает ее анализ.
Для того чтобы скрыть программу от пользователя, применяется так
называемый скрытый режим, при котором пользователь не видит выполнение
данной программы. При нажатии Ctrl-Alt-Del в списке программ отсутствует
программа ExecStat, то есть пользователь не знает о том, что все
его действия протоколируются.
Достоинства
-
Легко обрабатывает полученную информацию
-
Разделяет ее по направлениям
-
Позволяет управление списком отслеживаемых процессов.
Недостатки
Invisible
Activity Spy Config v2.3
Инсталляционный модуль занимает 405 kb. Программа
состоит из модуля IasConfig.exe и ряда дополнительных библиотек
и модулей.
Программа выполняет следующие функции:
-
Отмечает начало работы и конец работы на компьютере
-
Log-in пользователя
-
Контроль запуска программ, исполняющихся в Windows.
-
Контроль за работой в Интернет (наименование
сайта, страницы)
-
Контроль за работой принтера
-
Контроль за работой буфера обмена (в файл протокола
помещаются все данные, скопированные через буфер обмена)
-
Шифрование файла протокола
-
Пересылка файла протокола по e-mail.
На рисунке 3 представлено окно программы Invisible
Activity Spy Config v2.3
Рисунок 3 Invisible Activity Spy
Config v2.3
С помощью окна установок параметров можно установить
необходимые параметры работы программы. (Рисунок 4).
Рисунок 4 Установка параметров работы
программы
Достоинства
-
Простота управления, легкость настройки.
-
Контроль за работой буфера обмена (в файл протокола
помещаются все данные, скопированные через буфер обмена)
-
Шифрование файла протокола
-
Пересылка файла протокола по e-mail.
Недостатки
-
Программа видна в списке инсталлированных программ.
-
В случае работы компьютера под управлением Windows
98 при наборе в командной строке команды msconfig видна во вкладке
Автозагрузка.
-
Log-файл представляет из себя обычный текстовый
файл, что затрудняет обработку.
Кроме вышеперечисленного программного обеспечения
существует еще ПО, осуществляющее периодическое «фотографирование»
экрана компьютера и создание текстовых файлов протоколов (в файл
протокола помещаются все данные, скопированные через буфер обмена).
Рассмотрим данный класс программного обеспечения на примере трех
программ:
-
Inlook Express Control Panel (http://www.Jungle-Monkey.com)
-
PC Spy Present Softdd v2.31 (http://www.softdd.com)
-
Paparazzi Industar Cybernetics Corp. 1999-2000
г. (http://www.xakep.ru/post/10845/default.asp)
Рассмотрим данный класс программного обеспечения
более подробно
Inlook Express
Control Panel
Программа состоит из единственного модуля inlook.exe,
который при инсталляции размещается в директории Windows. При этом
программа не видна ни в списке инсталлированных программ, ни при
нажатии Ctrl-Alt-Del.
Предназначена для периодического «фотографирования» содержимого
экрана, может применяться в виде «клавиатурного шпиона», так как
позволяет отслеживать нажатия всех клавиш в промежутке между «фотографированиями»
экрана. Позволяет шифровать log-файл. На рисунке 5 показано главное
окно программы.
Рисунок 5 Главное окно программы
При работе программы периодически происходит «фотографирование»
экрана и сохранение в специальном буфере всех значений нажатых клавиш
в промежутке между фотографиями.
Рисунок 6 Окно файлов протоколов
Достоинства
-
Не видно в перечне установленного программного
обеспечения.
-
Записывается непосредственно в каталог Windows,
а поскольку состоит из всего одного файла, то это затрудняет
обнаружение.
-
Управление размером получаемых «фотографий».
Недостатки
-
Большой объем сохраняемой информации
-
Невозможность отследить, какому пользователю
принадлежат «фотографии»
-
Для получения результатов работы необходим физический
доступ к компьютеру, на котором установлено данное программное
обеспечение.
PC Spy Present
Softdd v2.31
Программа состоит из единственного запускаемого модуля
и библиотеки.
Рисунок 7 Главное окно программы
PC Spy
Как видно из Рисунка 7 данное программное обеспечение
предназначено только для «фотографирования» экрана в процессе работы
и может быть отнесено к классу «шпионов» персональных компьютеров.
Выполнение программы.
Вы можете включать эту программу в любое время, и она выполнится
полностью невидимо. PC Spy не будет показано в перечне выполняемых
задач, если пользователь нажимает CTRL-ALT-DEL (Win 95/98). Захваченные
экраны не могут быть просмотрены любым нормальным средством просмотра
графических файлов, но PC Spy может рассматривать их, используя
"Перечень зарегистрированных изображений ". Программа остановится
автоматически, как только достигнет числа изображений, выбранного
вами. Вы выбираете, как часто фиксировать отображаемые изображения
(например, каждые 120 секунд) и число «фотографируемых» экранов
перед остановкой. Как только PC Spy сохранил число экранов, которые
Вы выбрали, он автоматически выключается. Вы можете также изменять
норму сжатия для каждого сохраненного экрана. Это позволяет использовать
намного меньшее количество дискового пространства для каждого изображения.
Вы можете выполнять и возобновлять PC Spy с дискеты, затем вынуть
дискету. Когда Вы желаете рассмотреть захваченные экраны, вставьте
дискету, и запустите PC Spy, затем рассмотрите изображения, использующие
"Зарегистрированные Изображения ". (Это предохранит от любого обнаружения
программы на вашей машине).
Вы можете запускать программное обеспечение в любое время, но фактически
«фотографирование» экрана начнется в указанное вами время.
Вы можете конвертировать и сохранять захваченные изображения, и
Вы можете даже конвертировать их в изображения JPEG.
Недостатками данного программного обеспечения
являются:
-
Большой объем сохраняемой информации
-
Невозможность отследить, какому пользователю
принадлежат «фотографии»
-
Для получения результатов работы необходим физический
доступ к компьютеру, на котором установлено данное программное
обеспечение.
Paparazzi
Industar Cybernetics Corp. 1999-2000 г.
Комплект PAPARAZZI - это два независимо работающих
модуля - "агент", который делает снимки и "клиент". Модуль "агент"
инсталлируется (устанавливается) на компьютер и скрытно работает
на нем до удаления (деинсталляции), а "клиент" запускается с CD-ROMа
каждый раз, когда нужно просмотреть накопившиеся данные или изменить
настройки PAPARAZZI - частоту кадров, удалить или сортировать снимки,
приостановить наблюдение на любое время.
Программа использует методику защиты от контрнаблюдения, несанкционированного
использования или случайного запуска. Файлы данных тщательно защищены
от обнаружения и просмотра. Для пользования PAPARAZZI нужно помнить
(и сохранять в тайне) пароль и код доступа. Не зная их, воспользоваться
программой или просмотреть снимки просто невозможно.
Рисунок 8 окно настройки модуля Paparazzi
В поле «Текущее состояние» отражается статистика
работы программы и прогноз доступности ресурсов компьютера программе.
Настройте нужный вам интервал следования кадров (от 1 до 9 минут).
Начальная установка программы – 3 минуты. Можете приостановить работу
программы кнопкой «Активен-Отключен» Ваши настройки вступят
в силу после нажатия кнопки «Сохранить настройки» Кнопка «Закрыть»
закрывает панель управления и возобновляет работу с текущими настройками.
Для просмотра накопленной информации открывается специальное окно
монитора (рисунок 9) В заголовке окна монитора указано время и дата,
когда был сделан кадр, количество сделанных кадров всего и порядковый
номер текущего среди них.
Кнопки панели монитора позволяют:
-
записать выбранный кадр на дискету
-
отпечатать кадр
-
изменить масштаб показа
-
промотать кадры к началу
-
перейти к предыдущему кадру
-
перейти к следующему кадру
-
промотать кадры в конец
-
просмотреть кадры как фильм
-
просмотреть вспомогательные инструкции
-
удалить просмотренное
Рисунок 9 окно монитора Paparazzi
Достоинства
Недостатки
-
Большой объем сохраняемой информации
-
Невозможность отследить, какому пользователю
принадлежат «фотографии»
-
Для получения результатов работы необходим физический
доступ к компьютеру, на котором установлено данное программное
обеспечение.
Серверная
часть программного обеспечения
Серверной частью управляет только администратор безопасности
вычислительной системы, т.к. информация, накапливаемая в журнале
регистрации, при достижении определенного объема становится критичной,
т.е. ее потеря или неправильное использование (модификация, ознакомление)
может нанести ущерб владельцу информации или АС, или любому другому
физическому (юридическому) лицу или группе лиц. Главная функция
серверной части - централизованный сбор и хранение журналов регистрации,
передаваемых от клиентских частей. Под журналом регистрации понимается
упорядоченная совокупность регистрационных записей, каждая из которых
заносится клиентской частью по факту совершения контролируемого
события.
Наибольшая проблема при разработке серверной части - обеспечить
устойчивую работу системы в том случае, когда серверная часть будет
обслуживать десятки тысяч клиентов. При этом необходимо следить,
чтобы не возникало "утечек" памяти из-за неполного освобождения
объемов динамической памяти. Программы, реализующие свойство наблюдаемости
ВС, - это очень сложные и дорогостоящие комплексы. Поэтому они должны
обладать соответствующими мерами защиты от несанкционированного
использования. Во-первых, применяются программные технологии защиты
- проверка целостности кода и данных, шифрование данных, шифрование
трафика между клиентскими и серверной частями и т.д. Во- вторых,
применяются аппаратные ключи защиты, в которые прошивается персональная
информация о заказчике, максимально допустимое количество клиентов,
диапазон IP-адресов и др. Характерно, что программы наблюдаемости
могут применяться не только в локальной сети предприятия, но и в
глобальной сети Internet, поэтому необходимо жестко задавать диапазон
IP-адресов клиентов и их максимальное количество, IP-адрес сервера
и маску подсети.
Для удобного анализа журналов регистрации средствами систем управления
базами данных (СУБД) необходимо предусмотреть возможность автоматического
преобразования журналов регистрации в DBF- формат. Это позволяет
применять SQL-запросы и делать выборки по интересующим критериям.
Выводы
Наиболее эффективную защиту автоматизированной системы
обеспечивает только совокупность взаимосвязанных физических, технических
и организационных мер. В современных условиях, особенно, когда тысячи
компьютеров, принадлежащих одной организации, рассредоточены территориально
(в разных зданиях, городах, странах), невозможно говорить о безопасности
инфраструктуры автоматизированной системы без обеспечения ее наблюдаемости.
Перспективными направлениями развития программ наблюдаемости являются:
-
разработка модулей для звукового и видео контроля
вычислительных систем, резко увеличивающих информативность отчетной
информации;
-
разработка многоплатформенных клиентских и серверных
частей;
-
разработка модулей по оперативному уведомлению
администратора безопасности о состоянии серверной части и о
нарушениях установленной политики безопасности с использованием
средств сотовой и пейджинговой связи.
Литература
1. Наблюдаемость вычислительных систем как неотъемлемая
часть комплекса средств защиты в автоматизированных системах Д.
В. Кудин Общество с ограниченной ответственностью "АННА"®
Запорожский государственный технический университет (http://www.bezpeka.com)
|
