Виявлення та протидія інформаційним атакам з мережі Інтернет
Досліджено методи вивчення ресурсів інформаційно-комутативних технологій (ІКТ) і використання їхніх вразливостей з метою нейтралізації інформаційного впливу супротивника в ході інформаційних атак, які частіше називають інформаційними операціями. Наведено схеми аналізу відкритих джерел і реальні прик...
Saved in:
| Published in: | Реєстрація, зберігання і обробка даних |
|---|---|
| Date: | 2009 |
| Main Author: | |
| Format: | Article |
| Language: | Ukrainian |
| Published: |
Інститут проблем реєстрації інформації НАН України
2009
|
| Subjects: | |
| Online Access: | https://nasplib.isofts.kiev.ua/handle/123456789/50405 |
| Tags: |
Add Tag
No Tags, Be the first to tag this record!
|
| Journal Title: | Digital Library of Periodicals of National Academy of Sciences of Ukraine |
| Cite this: | Виявлення та протидія інформаційним атакам з мережі Інтернет / В.Ю. Зубок // Реєстрація, зберігання і обробка даних. — 2009. — Т. 11, № 4. — С. 89-96. — Бібліогр.: 4 назв. — укр. |
Institution
Digital Library of Periodicals of National Academy of Sciences of Ukraine| _version_ | 1860261010953207808 |
|---|---|
| author | Зубок, В.Ю. |
| author_facet | Зубок, В.Ю. |
| citation_txt | Виявлення та протидія інформаційним атакам з мережі Інтернет / В.Ю. Зубок // Реєстрація, зберігання і обробка даних. — 2009. — Т. 11, № 4. — С. 89-96. — Бібліогр.: 4 назв. — укр. |
| collection | DSpace DC |
| container_title | Реєстрація, зберігання і обробка даних |
| description | Досліджено методи вивчення ресурсів інформаційно-комутативних технологій (ІКТ) і використання їхніх вразливостей з метою нейтралізації інформаційного впливу супротивника в ході інформаційних атак, які частіше називають інформаційними операціями. Наведено схеми аналізу відкритих джерел і реальні приклади. Алгоритм дій з дослідження ІКТ-інфраструктури супротивника однаково придатний і для застосування тієї ж методики з метою аналізу власних вразливостей. Надано рекомендації щодо запобіжних заходів для ускладнення та уповільнення розвідки власної ІКТ-інфраструктури з боку супротивника.
Исследованы методы изучения ИКТ-ресурсов и использования их уязвимостей с целью нейтрализации информационного влияния противника в ходе информационных атак, чаще называемых информационными операциями. Приведены схемы анализа открытых источников и реальные примеры. Алгоритм действий по исследованию ИКТ-инфраструктуры противника годен и для применения этой же методики с целью анализа собственных уязвимостей. Даны рекомендации по превентивным мерам для затруднения и замедления разведки собственной ИКТ-инфраструктуры со стороны соперника.
Methods of IT resources reconnaissance and utilization of their vulnerabilities to neutralize the opponent’s information influences in process of information assaults, which are often named information operations (info ops) are investigation. Diagrams and real examples of public resources analysis are provided. The algorithm of IT structure investigation is equally suitable for own vulnerabilities tests. Suggestions about preventive events for retarding reconnaissance of protected IT resources by the rival are given.
|
| first_indexed | 2025-12-07T18:55:17Z |
| format | Article |
| fulltext |
ISSN 1560-9189 Реєстрація, зберігання і обробка даних, 2009, Т. 11, № 4 89
УДК 681.3
В. Ю. Зубок
Інформаційний центр «Електронні вісті»
Виявлення та протидія інформаційним атакам
з мережі Інтернет
Досліджено методи вивчення ресурсів інформаційно-комутативних
технологій (ІКТ) і використання їхніх вразливостей з метою нейтралі-
зації інформаційного впливу супротивника в ході інформаційних атак,
які частіше називають інформаційними операціями. Наведено схеми
аналізу відкритих джерел і реальні приклади. Алгоритм дій з дослі-
дження ІКТ-інфраструктури супротивника однаково придатний і для
застосування тієї ж методики з метою аналізу власних вразливостей.
Надано рекомендації щодо запобіжних заходів для ускладнення та
уповільнення розвідки власної ІКТ-інфраструктури з боку супротивника.
Ключові слова: інформаційні операції, Інтернет, мережна розвідка,
мережні вразливості, відкриті джерела, сканування мереж.
Вступ
Сьогодні інформація стає найважливішим стратегічним ресурсом, недостача
якого призводить до істотних утрат у всіх областях життя. Раніше вважалося, що
інформація всього лише забезпечує поінформованість людей про події й факти в
навколишньому світі, тобто вона сприймалась як корисний ресурс, призначений
для розширення людських можливостей. Наразі ж будь-який суспільний процес
потребує обробки надзвичайної кількості інформації, і ця обробка вже давно є не-
можливою без інформаційно-комунікаційних технологій (ІКТ).
Щодня ми стаємо свідками того, що політичні, суспільні та бізнес-конфлікти
переходять в площину інформаційних протиборств, які без перебільшення мають
характер інформаційних війн. У класичному розумінні інформаційна війна — це
одна з форм інформаційного протиборства, а точніше — комплекс заходів щодо
інформаційного впливу на масову свідомість для зміни поведінки людей і на-
в’язування їм цілей, які не відповідають їхнім інтересам, а також захист від подіб-
них впливів.
ІКТ-ресурси суперника стають одними з перших цілей, і часто — першими
жертвами інформаційної війни. Глибоке проникнення всесвітньої комп’ютерної
мережі Інтернет в життя суспільства неймовірно збільшує як можливості супро-
тивників, так і їхні вразливості. Метою статті є показати шляхи для аналізу вразли-
© В. Ю. Зубок
В. Ю. Зубок
90
востей власних ІКТ-ресурсів, способи запобігання та протидії використанню вра-
зливостей ІКТ-ресурсів у ході «інформаційних операцій».
Поняття «інформаційні операції»
Термін «інформаційні операції» поширився завдяки численним документам і
публікаціям Міністерства оборони США. Інформаційні операції визначаються як
«акції, спрямовані на вплив на інформацію та інформаційні системи супротивни-
ка, також захист власної інформації та інформаційних систем» [1].
Інформація є відображенням вкладеного в неї змісту, а інформаційні системи
обробляють інформацію, критичну для прийняття рішень. Тому сьогодні інфор-
мація перетворилася з абстрактного терміна в об’єкт, мету та засіб інформаційних
операцій. Відповідно до польового уставу військового відомства США «Інформа-
ційні операції» (FM 100-6), «Орієнтація в ситуації означає комбінацію ясного
представлення про диспозиції своїх і ворожих сил з оцінкою ситуації та намірів з
боку командування». Рівень готовності до проведення інформаційних операцій
сьогодні вважається ключовим фактором успіху проведення будь-якої соціальної
процедури, кампанії.
Особливою метою при проведенні інформаційних операцій є інформаційно-
аналітичні системи суб’єкта впливу. Здійснюючи вплив на такі системи, можна
домогтися того, що особи з табору супротивника, що приймають рішення, роби-
тимуть неадекватні висновки.
У цьому випадку до безпосередніх інформаційних впливів може бути відне-
сене розміщення в інформаційному просторі документів, що компрометують про-
тилежну сторону, рекламу (у тому числі приховану) своїх переваг, перекручені
дані про зовнішнє середовище, перекручену інформацію про наміри тощо.
Рис. 1. Вплив на інформаційно-аналітичну
систему супротивника:
Inf — інформаційний простір;
IAS — інформаційно-аналітична система;
A — абонент системи (особа,
що приймає рішення);
IO — інформаційні впливи
Виявлення та протидії інформаційним атакам з мережі Інтернет
ISSN 1560-9189 Реєстрація, зберігання і обробка даних, 2009, Т. 11, № 4 91
Інформаційний вплив
Одним із основних методів ведення інформаційних операцій є інформаційний
вплив, що надається з метою інформаційного керування — непрямого інформа-
ційного впливу, коли об’єкту керування дається певна інформаційна картина, під
впливом якої він формує лінію своєї поведінки.
Процес інформаційного впливу може бути розділений на такі етапи [2]:
— генерацію джерелом впливу даних, інформаційних елементів та інформа-
ційних сукупностей;
— передачу інформації джерелом впливу;
— прийом інформації реципієнтом;
— генерацію сукупності даних, інформаційних елементів і нових сукупнос-
тей об ’єкта впливу;
— відповідні активні дії об’єкта впливу.
Інформаційні впливи на елементи систем можна класифікувати за такими
ознаками, як джерела виникнення, тривалість впливу, природа виникнення тощо.
Для вибору конкретних способів реалізації інформаційного керування необ-
хідно конкретизувати завдання, розв’язувані за допомогою інформаційного впли-
ву, провести аналіз процесу формування інформаційних операцій і виробити кри-
терії їхньої оцінки. Інформаційне керування розглядають як процес, що охоплює
такі три взаємозалежні напрямки:
1) керування обміном даними між реальним світом і віртуальним світом
суб’єкта впливу;
2) керування віртуальним світом суб’єктів впливу, механізмами прийняття
рішень;
3) керування процесом перетворення рішень у дії суб’єкта впливу в реально-
му світі.
Інформаційний вплив може бути двох основних видів:
1) зміна в необхідний бік даних, які використовує інформаційно-аналітична
система об’єкта впливу при прийнятті рішень;
2) безпосередній вплив на процес ухвалення рішення об’єкта впливу, напри-
клад, на процедури ухвалення рішення або окремих осіб, що приймають рішення.
Нейтралізація інформаційного впливу супротивника
за допомогою атаки на ІКТ-ресурси
У XXI столітті вплив на ІКТ-ресурси супротивника в ході інформаційної опе-
рації може стати найпродуктивнішим знаряддям інформаційних війн. Втручання в
технології передачі, обробки та зберігання інформації в автоматизованих систе-
мах може бути з метою:
— несвоєчасного потрапляння інформації до інформаційно-аналітичної сис-
теми (ІАС), а як наслідок — несвоєчасного аналізу інформації та реагування з бо-
ку абонента ІАС;
— затримки в обробці та розповсюдженні інформації, а як наслідок — не-
своєчасного поширення інформації, яка породжена згідно рішень абонента ІАС;
це може суттєво знизити ефективність соціального та суспільного впливу інфор-
мації, що мала бути поширена;
В. Ю. Зубок
92
— постачання в ІАС хибної інформації шляхом несанкціонованого втручання
в довірені канали постачання інформації, в тому числі підробки мережних атри-
бутів, електронних підписів і т.ін., що може вплинути на аналіз справжньої інфо-
рмації та примусити абонента прийняти помилкові рішення;
— здобуття конфіденційної інформації стосовно супротивника шляхом неса-
нкціонованого втручання в його автоматизовані системи чи шляхом впливу на пе-
вних користувачів автоматизованих систем супротивника, що мають доступ до
конфіденційної інформації;
— розповсюдження хибної інформації від імені супротивника шляхом втру-
чання в його канали розповсюдження та (або) підробки атрибутів джерела інфор-
мації.
З точки зору етапів реалізації інформаційної операції, її напрямків та видів, є
цілком очевидним, що атака на ІКТ-ресурси, яка досягла мети, заважатиме реалі-
зації одного, декількох чи всіх етапів інформаційного впливу супротивника за
будь-яким з напрямків, які перелічені раніше. Крім того, успішна атака на ІКТ-
ресурси водночас є дійовим засобом реалізації власного інформаційного впливу.
Пошук вразливостей ІКТ-ресурсів підчас інформаційних операцій
Процес інформаційної атаки через втручання в ІКТ може бути умовно розді-
лено на три основні етапи: дослідження ІКТ-структури супротивника, аналіз враз-
ливостей, використання вразливостей [3]. Дослідження ІКТ-структури організації
починається ззовні, з використанням лише відкритої інформації. Наведемо декі-
лька зразків на прикладі власного приватного домена автора.
Досліджуються пошукові системи WWW стосовно їхніх знань про відомі до-
мени та IP-адреси об’єкта дослідження, участь користувачів з такими доменними
та IP-адресами у різноманітних форумах (рис. 2). Також за допомогою пошукових
систем можна знайти приховані сторінки сайтів, які колись були з’єднані з основ-
ними, але на момент дослідження не існує посилань на них з інших ресурсів.
Результати можуть бути приголомшливими. Так, на сайті однієї поважної ор-
ганізації було виявлено публічно доступні звіти proxy-сервера стосовно внутрі-
шніх користувачів і перелік ресурсів, які вони відвідували.
Рис. 2. Дослідження посилань за допомогою пошукових систем
Виявлення та протидії інформаційним атакам з мережі Інтернет
ISSN 1560-9189 Реєстрація, зберігання і обробка даних, 2009, Т. 11, № 4 93
Досліджуються публічні бази даних WHOIS, які належать адміністраторам
публічних доменів, щоб з ’ясувати, де підключені авторитетні DNS та хто їх адмі-
ніструє. На рис. 3 наведено результат аналізу домена, який пропонує сайт
www.robtex.com, у вигляді графа і таблиці.
Досліджуються публічні бази даних регіонального Інтернет-реєстру (RIR), які
керують наданням IP-адрес у певному регіоні, щоб з’ясувати які блоки IP-адрес
пов’язані з мережею досліджуваного об’єкта, як вони взаємодіють з іншими про-
вайдерами та хто їх адмініструє.
Аналізуються глобальні таблиці маршрутизації Інтернету, які є публічно до-
ступними в багатьох центрах координації мережі. Інформація з серверів маршру-
тів і так званих «looking glass» дозволить виявити, до яких операторів підключена
досліджувана мережа шляхом вивчення взаємодії автономних систем (AS), та на-
віть дізнатись, якими були ці зв’язки протягом останнього часу (рис. 4).
а)
б)
Рис. 3. Аналіз DNS у вигляді графа (а) та таблиці ієрархії DNS (б) з сайту www.robtex.com
В. Ю. Зубок
94
Наведений аналіз тим складніше, чим менше такої інформації дозволяє поба-
чити організація. Нажаль, повністю приховати структуру неможливо, бо в бага-
тьох випадках посилення захисту призводить до суттєвого або навіть неприйнтно-
го ускладнення взаємодії ІКТ із зовнішнім світом — мережею Інтернет. Насампе-
ред, неможливо приховати точки входу (IP-адреси) для повідомлень e-mail, DNS,
адресу публічного веб-сайту. За необхідності та при наполегливості можна вира-
хувати доволі точне географічне розташування того чи іншого сервера.
Після вивчення відкритої інформації атакуючою стороною, можливе застосу-
вання суто «хакерських» методів щодо випробування мережної інфраструктури та
мережних служб на наявність відомих вразливостей, які можуть допомогти в реа-
лізації інформаційної операції. Під «хакерськими» методами маються на увазі
сканування адрес і мереж, спроби «брутального» підбору пароля, різноманітних
атак, пов’язаних з проблемами реалізації комунікаційних протоколів в певному
програмному забезпеченні атакованої мережі. Кінцевою метою атаки на ІКТ може
бути отримання конфіденційної інформації, виведення з ладу (тобто недосяжність
для легальних користувачів) певного сервісу, зміна інформації на офіційному сай-
ті супротивника (deface). Все це має допомогти в реалізації мети всієї інформа-
ційної операції, яка була наведена раніше і загалом визначається як атака на ін-
формаційний вплив.
Якщо виконується тестування мережі великої організації, коли організація
дозволяє побачити мінімум інформації, оцінювання безпеки великих мереж може
стати досить довгим циклічним процесом. Крок за кроком, дані, отримані через
витоки інформації, стосовно довірених доменних імен, IP-адрес, деталей обліко-
Рис. 4. Дослідження «провайдерських» зв’язків стосовно досліджуваних IP-адрес
за останній час (з сайту www.ripe.net)
Виявлення та протидії інформаційним атакам з мережі Інтернет
ISSN 1560-9189 Реєстрація, зберігання і обробка даних, 2009, Т. 11, № 4 95
вих записів користувачів можуть бути передані до інших процесів для подальшо-
го тестування. Блок-схема на рис. 5 окреслює цю процедуру і дані, що передають-
ся між процесами [4].
Ця блок-схема включає складання «реєстру» (enumeration) мережі, масове
сканування мережі, і, наприкінці, тестування специфічних сервісів. У процесі тес-
тування аналітик може натрапити на неконтрольований сервіс DNS, що дозволить
ідентифікувати попередньо невідомі блоки IP-адресс, які можуть бути знов «зго-
довані» процесу enumeration щоб ідентифікувати подальші компоненти мережі.
Таким самим чином у публічно доступних директоріях аналітик може натрапити
на декілька облікових записів, до яких може бути застосований метод підбору па-
роля.
Рис. 5. Блок-схема алгоритму дослідження і втручання в інформаційно-комунікаційну мережу
Контрзаходи проти дослідження ІКТ-ресурсів
Очевидним є те, що при захисті власних ІКТ-ресурсів під час проведення ін-
формаційних операцій першим завданням постає ускладнення роботи супротив-
В. Ю. Зубок
96
ника щодо дослідження ІКТ-інфраструктури. Найбільш дієвим контрзаходом та-
кому вивченню є доведення обсягу публічно доступної інформації до такого міні-
муму, щоб стороннє оцінювання безпеки стало буквально нескінченним цикліч-
ним процесом. Щоб досягти цього, можна скористатися такими рекомендаціями:
1) публічно доступні веб-сервери не повинні містити чи видавати зайвого ко-
нтенту:
— ніяких веб-документів, крім тих, до яких необхідний доступ зовнішніх ко-
ристувачів;
— заборонити лістинг директорій (directory index);
2) поштові системи мають не деталізувати структуру поштової системи в за-
головках e-mail;
3) у DNS не деталізувати, і тим більше не конкретизувати інформацію зворо-
тнього резолвінгу стосовно будь-яких адрес, крім тих, що належать відкритим
сервісам;
4) опубліковані контакти з адміністративних і технічних питань у БД адмініс-
траторів доменів та IP-ресурсів повинні бути не персональні, а узагальнені (так
звані «рольові»), для запобігання атакуванню окремої особи засобами соціальної
інженерії.
Використовуючи схему, наведену на рис. 5, та спеціалізоване програмне за-
безпечення, можна самостійно перевіряти ступінь відкристості ІКТ-ресурсів орга-
нізації до такого дослідження.
Висновки
Втручання в ІКТ-ресурси сьогодні є одним із дієвих засобів проведення ін-
формаційних операцій і йому властива така ж етапність і схема проведення, що й
більш традиційним операціям, які проходять за межами ІКТ.
Як і традиційна інформаційна операція, атака на ІКТ-ресурси може виявитись
або вдалою, або невдалою. Для своєчасного виявлення атаки необхідно приділити
увагу вивченню мережної активності, спроб сканування, відносного обсягу елект-
ронних листів із шкідливим контентом тощо. Для цього доречно використовувати
і ретроспективний аналіз, тобто знаходження аналогів — операцій, що вже відбу-
лися, вдалих або невдалих. Вжиття профілактичних запобіжних заходів, що на-
правлені на ускладнення та уповільнення вивчення ІКТ-інфраструктури об’єкта
атаки, суттєво знизить ефективність останньої.
1. Information Operations Roadmap — DoD US. — 30 October 2003. — 78 p.
2. Фурашев В.М. Інформаційні операції крізь призму системи моніторингу та інтеграції
Інтернет-ресурсів / В.М. Фурашев, Д.В. Ланде // Правова інформатика. — 2009. — № 2(22). —
С. 49–57.
3. Klevinsky T.J. Hack I.T. — Security Through Penetration Testing / T.J. Klevinsky, S. Laliberte,
A. Gupta. — Addison -Wesley Professional, 2002.
4. Chris McNab. Network Security Assessment. — [2-nd еd.] / McNab. Chris. — O’Reilly, 2008.
Надійшла до редакції 04.11.2009
|
| id | nasplib_isofts_kiev_ua-123456789-50405 |
| institution | Digital Library of Periodicals of National Academy of Sciences of Ukraine |
| issn | 1560-9189 |
| language | Ukrainian |
| last_indexed | 2025-12-07T18:55:17Z |
| publishDate | 2009 |
| publisher | Інститут проблем реєстрації інформації НАН України |
| record_format | dspace |
| spelling | Зубок, В.Ю. 2013-10-16T23:08:46Z 2013-10-16T23:08:46Z 2009 Виявлення та протидія інформаційним атакам з мережі Інтернет / В.Ю. Зубок // Реєстрація, зберігання і обробка даних. — 2009. — Т. 11, № 4. — С. 89-96. — Бібліогр.: 4 назв. — укр. 1560-9189 https://nasplib.isofts.kiev.ua/handle/123456789/50405 681.3 Досліджено методи вивчення ресурсів інформаційно-комутативних технологій (ІКТ) і використання їхніх вразливостей з метою нейтралізації інформаційного впливу супротивника в ході інформаційних атак, які частіше називають інформаційними операціями. Наведено схеми аналізу відкритих джерел і реальні приклади. Алгоритм дій з дослідження ІКТ-інфраструктури супротивника однаково придатний і для застосування тієї ж методики з метою аналізу власних вразливостей. Надано рекомендації щодо запобіжних заходів для ускладнення та уповільнення розвідки власної ІКТ-інфраструктури з боку супротивника. Исследованы методы изучения ИКТ-ресурсов и использования их уязвимостей с целью нейтрализации информационного влияния противника в ходе информационных атак, чаще называемых информационными операциями. Приведены схемы анализа открытых источников и реальные примеры. Алгоритм действий по исследованию ИКТ-инфраструктуры противника годен и для применения этой же методики с целью анализа собственных уязвимостей. Даны рекомендации по превентивным мерам для затруднения и замедления разведки собственной ИКТ-инфраструктуры со стороны соперника. Methods of IT resources reconnaissance and utilization of their vulnerabilities to neutralize the opponent’s information influences in process of information assaults, which are often named information operations (info ops) are investigation. Diagrams and real examples of public resources analysis are provided. The algorithm of IT structure investigation is equally suitable for own vulnerabilities tests. Suggestions about preventive events for retarding reconnaissance of protected IT resources by the rival are given. uk Інститут проблем реєстрації інформації НАН України Реєстрація, зберігання і обробка даних Методи захисту інформації в комп’ютерних системах і мережах Виявлення та протидія інформаційним атакам з мережі Інтернет Обнаружение и противодействие информационным атакам из сети Интернет Revelation and Counteraction to the Internet-Based Information Operations Article published earlier |
| spellingShingle | Виявлення та протидія інформаційним атакам з мережі Інтернет Зубок, В.Ю. Методи захисту інформації в комп’ютерних системах і мережах |
| title | Виявлення та протидія інформаційним атакам з мережі Інтернет |
| title_alt | Обнаружение и противодействие информационным атакам из сети Интернет Revelation and Counteraction to the Internet-Based Information Operations |
| title_full | Виявлення та протидія інформаційним атакам з мережі Інтернет |
| title_fullStr | Виявлення та протидія інформаційним атакам з мережі Інтернет |
| title_full_unstemmed | Виявлення та протидія інформаційним атакам з мережі Інтернет |
| title_short | Виявлення та протидія інформаційним атакам з мережі Інтернет |
| title_sort | виявлення та протидія інформаційним атакам з мережі інтернет |
| topic | Методи захисту інформації в комп’ютерних системах і мережах |
| topic_facet | Методи захисту інформації в комп’ютерних системах і мережах |
| url | https://nasplib.isofts.kiev.ua/handle/123456789/50405 |
| work_keys_str_mv | AT zubokvû viâvlennâtaprotidíâínformacíinimatakamzmerežíínternet AT zubokvû obnaruženieiprotivodeistvieinformacionnymatakamizsetiinternet AT zubokvû revelationandcounteractiontotheinternetbasedinformationoperations |