Физические основы защиты информации от технической разведки, страница 36

Случаются ситуации, когда «люки» оставляются автором программного обеспечения преднамеренно, чтобы создать себе привилегии при дальнейшей эксплуатации программы, а многочисленные хакеры находят эти «люки» и используют их в своих целях, в том числе, для добывания сведений из системы пользователя. В этом случае речь идет о внедрении в АСОД программного обеспечения с незадекларированными возможностями. Вариантов такого внедрения множество. Некоторые фирмы-производители лицензион­ного программного обеспечения распространяют свою продукцию, не преду­преждая, что она может выполнять какие-либо особые функции. Как правило, это связано с охраной авторского права фирмы-изготовителя и защитой от пиратского использования, однако нет гарантий, что подобные необъявленные функции не используются для съема информации. Программная продукция с незадекларированными возможностями может попадать в АСОД объекта и по сетевым каналам. Наиболее распространенным является использование электронных досок объявлений (ВВЗ) и частных серверов, предлагающих бесплатные версии игр или полезных программных продуктов (например, архиваторы РКZ300В.ZIР, РКZ300.ЕХЕ). Многие из таких продуктов, называемых троянскими конями, содержат необъявленные функции. Возможны варианты, когда, сама программа является вполне безобидной, но внедряет в АСОД другую самостоятельную программу, выполняющую, среди прочих, и разведывательные функции. Такая внедренная программа (например, та же программа-демон) называется программной закладкой.

Однако недостаточно лишь добраться до винчестера противника и «скачать» с него несколько гигабайт данных. Необходимо восстановить удаленные файлы противника, тщательно разобраться в полученном объеме све­дений. Эту функцию выполняет обрабатывающая разведка. Специальные программы позволяют определить тип фрагмента когда-то удаленного файла (текстовый, графический, исполняемый и т.п.) и восстановить содержавшуюся в нем информацию; сопоставить и логически увязать имеющиеся файлы; устранить дублирование информации; отобрать по ключевым словам и ассоциированным понятиям только ту информацию, которая в данный момент необходима заказчику. Обработке подвергаются данные, полученные как в отдельном средстве вычислительной техники, так и в информационно-вычислительных сетях, при этом сеть представляет дополнительные возможности по обработке. Посредством анализа трафика можно контролировать гигантские потоки сведений, производить отбор, накопление и обработку не всех данных подряд, а только тех, которые представляют интерес для конечного потребителя. Для ведения экспресс-анализа в сети созданы специальные программы, т.н. ноуботы - «программные продукты, перемещающиеся от компьютера к компьютеру с возможностью размножения, которые отслеживают состояние дел и передают сводную информацию по каналам обмена данными». С помощью средств компьютерной разведки можно не только анализировать конкретные данные, циркулирующие во всей сети, безотносительно к их источнику, но и отслеживать деятельность конкретных организаций и отдельных лиц.