Конкурентная разведка и военно-техническое сотрудничество Андрей Масалович

НТС "Рособоронэкспорт" декабрь 2009

С этого доклада началось многолетнее сотрудничество Рособоронэкспорта и команды Avalanche

Обеспечение прогнозирования, выявления, предупреждения и пресечения внешних угроз информационной безопасности является сегодня одной из ключевых проблем в процессе международного военно-технического сотрудничества.
Данный доклад посвящен решению этой проблемы методами компьютерной конкурентной разведки.

Конкурентная разведка (от англ. Competetive Intelligence, сокр. CI) — сбор и обработка данных из разных источников, для выработки управленческих решений с целью повышения конкурентоспособности коммерческой организации, проводимые в рамках закона и с соблюдением этических норм (в отличие от промышленного шпионажа); а также структурное подразделение, выполняющее эти функции.

Сегодня арсенал конкурентной разведки включает богатый набор методик получения информации из открытых (а также недостаточно защищенных) источников, и в первую очередь – из сети Интернет. Методы конкурентной разведки во многих случаях позволяют получать доступ к конфиденциальным и даже секретным документам, используя уязвимости защиты, утечки информации, а также результаты действий инсайдеров. При этом аналитик, использующий данные методы, впрямую не нарушает законы и этические нормы своей страны, а его деятельность в Интернете остается скрытной и не оставляет улик.

Как такое становится возможным? Рассмотрим простой пример. Крупная государственная компания, имеющая отношение к обеспечению компонентов критической инфраструктуры страны, имеет набор документов с грифом «Коммерческая тайна». При проверке Счетной палатой часть информации попадает в итоговую справку, которая трактуется как «служебная тайна», а поскольку признаков гостайны в документе нет, а понятие «служебной тайны» законодательно не регламентировано, документ получает гриф «Для служебного пользования». Через некоторое время документ попадает в архив, доступ к которому из Интернета фактически неограничен и бесконтролен. Специалист, знающий подобные схемы, с легкостью получит доступ к конфиденциальным сведениям данной компании, не нарушая никаких технических компонентов защиты информации и не оставляя следов.

Вот еще один пример, демонстрирующий на практике методы конкурентной разведки в Интернете. Крупнейшая мировая ИТ-компания размещает в Интернете в открытом доступе документ, ссылка на который имеет вид:

https://partner.имя_компании.com/download/global/40043498

Сам документ никакого интереса не представляет, но в его адресе конкурентный разведчик увидит более десятка серьезных (точнее, грубейших) нарушений защиты. Вот лишь два из них:
- для передачи открытого документа использован шифрованный протокол https – значит, где-то поблизости (вероятнее всего, в той же папке) находятся секретные документы;
- адрес страницы заканчивается подряд идущими цифрами.

Значит, с большой долей вероятности, можно получить другие документы из данной папки, просто уменьшая номер документа (раз есть документ номер 98, значит должен быть и 97, и 96 и т.д.).

Итак, видя документ номер 98, проверим наличие документа 97 по адресу

https://partner.имя_компании.com/download/global/40043497

Такой документ действительно существует, но также особого интереса не представляет.

Продолжим исследование папки. На очереди – документ 96. Пробуем его открыть:

https://partner.имя_компании.com/download/global/40043496

И сервер действительно позволяет открыть этот документ, хотя он гораздо менее безобиден, чем два предыдущих. Данный документ – это результаты внутрифирменного сравнения своей продукции с конкурентами, и на документе стоит гриф «Highly Confidential» («Строго конфиденциально»- высший гриф секретности для коммерческой компании). Итак, для того, чтобы получить доступ к коммерческой тайне самых крупных компаний, конкурентному разведчику зачастую достаточно нескольких минут.

В арсенале интернет-разведки около 700 подобных приемов. Чтобы обучиться наиболее простым и мощным из них, достаточно всего двух дней. К сожалению, большинство компаний пренебрегает обучением своих служб безопасности и информационного противодействия – и оставляет свои данные фактически беззащитными.

Согласно исследованию InfoWatch, проведенному в конце 2006 года, только 2 процента компаний реально обеспечивают защиту своей конфиденциальной информации. Увы, на практике ситуация еще более плачевна. За последние три года, выполняя работы по аудиту утечек конфиденциальной информации для различных компаний – от небольших фирм до крупных холдингов и даже спецслужб, автору этих строк ни разу не довелось подписаться под фразой «Утечек не обнаружено». Утечки – зачастую болезненные и представляющие угрозу бизнесу и развитию компании – обнаруживаются практически всегда.

Исключение не составляют даже информационные системы военных ведомств и спецслужб других стран.

Вот, например, материалы последней конференции Тихоокеанской группировки армии США (US Pacific Command S & T Conference).

Подавляющее большинство докладов конференции – секретны (гриф «Classified»), секретны даже целые секции, например секция «Перспективные системы вооружений». Единственный открытый документ – анонс конференции – содержит несколько абзацей по обеспечению режима секретности (запрещается проносить на заседания сотовые телефоны, диктофоны, любые электронные и электрические устройства, связки ключей, брелки, массивные авторучки, очки с толстыми дужками и т.д.).

Сервер с материалами конференции первоклассно защищен. Любой нападающий будет обнаружен еще на этапе подготовки атаки. Итак, в открытом доступе материалов конференции нет, а закрытые разделы информационной системы надежно защищены.

А теперь посмотрим на ситуацию глазами конкурентного развдечика. Из анонса видно, что ключевым докладом конференции является доклад зам. министра обороны США Ч. Перкинса. Зная особенности документооборота секретариата министерства обороны США, можно предположить, что копия доклада хранится на их сервере с грифом «Секретно», а вот черновики доклада – в гораздо менее защищенном хранилище текущих документов с грифом «Для служебного пользования». Десять минут поисков с использованием приемов, подобных приведенному выше – и вот в наших руках последний черновик доклада «Перспективные системы и концепции вооружений», объемом 27 страниц и без грифа. И его содержимое идентично финальной версии доклада, который хранится в недрах закрытых хранилищ Пентагона.

Как такое становится возможным? Одна из причин – во всеобщем непонимании специфики Интернета, как глобального хранилища информации. Если попросить аналитика или даже специалиста по информационной безопасности нарисовать общую схему Интернета, то, независимо от конкретного наполнения, схема вероятнее всего предстанет черно-белой. Вот белая область открытого Интернета, вот черная область защищенных ресурсов, доступ к которым ограничен и требует аутентификации.

В действительности, пользователь практически не видит открытого Интернета – ему доступна лишь его мизерная часть, так называемый «видимый Интернет», т.е. ресурсы, которые можно получить при использовании ссылок, поисковых систем и информационных баз. Подавляющее большинство документов в Интернете сегодня относятся к т.н. «Невидимому Интернету» (также используются термины «глубинный» или «скрытый» Интернет, «Invisible Web», «Hidden Web»).

Аналогично, реально защищенные ресурсы составляют незначительную часть от общего числа информационных ресурсов, которые их владельцам представляются закрытыми.

Пространство между этими двумя полюсами занимает «серая» область – документы, невидимые для обычных пользователей, но доступные конкурентному разведчику. Перечислим лишь некоторые интересные компоненты этой области:
§ Страницы, невидимые поисковым роботам (вследствие ошибок кодирования и др.)
§ Документы в новых и специальных форматах (docx, pps и др.)
§ Страницы, требующие специальных поисковых команд (мультимедиа)
§ Открытые разделы (на серверах Пентагона более 50 000 папок, оставленных открытыми по халатности)
§ Открытые ftp-сервера (часто сотрудники используют их как «личную флешку»)
§ Массовые утечки документов с грифом ДСП
§ Документы краткосрочного хранения (в том числе – регулярные утечки конфиденциальных и секретных документов)
§ Утечки паролей электронной почты, ftp-серверов, защищенных хранилищ и т.п. (в декабре 2009 г. специализированные поисковые роботы Avalanche собрали более 5000 пар «логин-пароль» , попавших в открытый доступ вследствие ошибок СБ)
§ Уязвимости в организации защищенных разделов, позволяющие обойти защиту, не прибегая к атакам и взлому
Список можно продолжить...

Применительно к деятельности Рособоронэкспорта в области ВТС экспресс-анализ «невидимого Интернета» показывает наличие в доступности следующих документов, представляющих угрозу процессу реализации государственной политики военно-технического сотрудничества Российской Федерации с иностранными государствами:
1. Отчет «Спецслужбы России. Лояльность, коррупция, анти-террор» (США, Университет специальных операций, август 2005, 36 страниц)
2. Отчет «Рособоронэкспорт» (США, Институт стратегических исследований, 2007, 108 стр.)
3. Отчет «Венесуэла: Уго Чавес, боливарский социализм и методы ассиметричной войны» (США, Институт стратегических исследований, 2005, 39 стр.)
4. Отчет «Региональная безопасность в Азии и перспективы стратегического сотрудничества Индии и США» (США, Институт стратегических исследований, 2005, 215 стр.)
5. Отчет «Стратегическое сотрудничество США и Индии: возможности и препятствия в XXI веке» (США, Колледж высшего командного состава, 2006, 137 стр.)
6. Многочисленные справки военных аналитиков США по каждому этапу реализации контрактов Рособоронэкспорта с Индией, Китаем, Венесуэлой.
7. Аналитические отчеты Пентагона о ходе реализации российского проекта истребителя пятого поколения – с техническими характеристиками, функциональными схемами, фотографиями макетов и т.д.

Анализ этих документов свидетельствует о целенаправленном противодействии деятельности Рособоронэкспорта со стороны военных структур и спецслужб США, а также о многочисленных утечках важной информации, в том числе – секретной.

Рекомендации

В целях обеспечения прогнозирования, выявления, предупреждения и пресечения внутренних и внешних угроз информационной безопасности в процессе ВТС рекомендуется взаимосвязанное выполнение следующих ключевых действий:

1. Провести обучение специалистов методам противодействия новейшим видам угроз, включая использование методов и приемов конкурентной разведки.

2. Провести аудит наличия (утечек) конфиденциальной информации в открытых источниках и выработать рекомендации по устранению возможных каналов утечек.

3. Внедрить комплексную систему мониторинга информационного пространства, обеспечивающую прогнозирование, выявление, предупреждение и пресечение внутренних и внешних угроз информационной безопасности.

4. Доработать политику информационной безопаcности в части активного противодействия деятельности конкурентов, рейдеров, мошенников и инсайдеров.

Указанные шаги необходимо провести в сотрудничестве с профессиональной командой в области информационной безопасности и конкурентной разведки, обладающей достаточной компетенцией и опытом, Возможным партнером может выступить ЗАО «ДиалогНаука», которое с 1992 года специализируется на комплексном обеспечении информационной безопасности крупных компаний и государственных структур и сегодня является одной из ведущих компаний в данной сфере. Свою деятельность компания «ДиалогНаука» осуществляет на основании лицензий Федеральной службы по техническому и экспортному контролю (ФСТЭК), Федеральной службы безопасности (ФСБ) и Министерства обороны РФ.

Система интернет-мониторинга и раннего обнаружения угроз может быть построена на основе поисковой технологии Avalanche («Лавина»). Семейство специализированных роботов Avalanche позволяет организовать скрытый мониторинг интернет-порталов, сайтов, серверов и других ресурсов с целью сбора информации, невидимой для поисковых систем и обычных поисковых роботов. Мощность «проникающих роботов» такова, что им в большинстве случаев удается открывать папки на интернет-серверах и добираться до скрытой и даже конфиденциальной информации. При этом необходимо подчеркнуть, что роботы Avalanche действуют только законными методами и не используют средства взлома паролей, троянские программы и т.д.

Развертывание и настройка системы интернет-мониторинга занимает около полугода, но уже после первых тестовых настроек она начинает приносить улов, позволяющий обнаруживать утечки критичеки важных документов до их появления в открытом доступе.

Использование системы интернет-мониторинга в комплексе с другими предлагаемыми мерами по укреплению информационной безопасности позволит обеспечить эффективное решение задач по реализации государственной политики в сфере ВТС Российской Федерации с иностранными государствами.

Масалович Андрей Игоревич - кандидат физ.-мат. наук, автор более 200 печатных работ.
Подполковник ФАПСИ в отставке.
Лауреат стипендии РАИ "Выдающимся ученым России" за 1993 г.

© А. Масалович 24.04.1995

Новости ВПК, 2009