Задачи по информационной безопасности с решением

Тема 1. Основные понятия информационной безопасности

Актуальность вопросов защиты информации особенно возросла в настоящее время в связи со стремительным повышением роли и значения информации в развитии современного общества вообще и в экономике в частности.

Информация – информация – сведения (сообщения, данные) независимо от формы их представления;

1. . (Закон РФ "Об информации, информационных технологиях и защите информации" (ФЗ РФ

2. Информация – это фундаментальная философская категория.

3. Информация – это важнейший ресурс, на добывание которого тратятся огромные силы и средства.

4. Информация – это ценный товар, производством и сбытом которого занято огромное количество людей.

5. Информация – это сила, приводящая в движение производственные силы мощности, армии, общественные структуры, ранящая и поднимающая людей.

Компьютерная информация – это информация, представленная в доступной для восприятия компьютерной форме, зафиксированная в памяти компьютера, на машинном носителе или передаваемая по телекоммуникационным каналам.

Информация – продукт человеческой деятельности, который в готовом виде всегда и всем кажется дешевым. Ее принято считать ценной лишь тогда, когда ее можно использовать, причем ее полезность сильно зависит от полноты, точности, достоверности и актуальности.

Информационный ресурс – это отдельные документы, массивы документов в библиотеках, архивах, фондах, банков данных и др. информационных системах.

Информация в настоящее время стала стержнем развития экономики. В ведущих индустриальных странах мира большая часть служащих занята обработкой информации (в США и Японии, например, этот показатель составляет 75-80%).

В связи с широким использованием новейших информационных технологий возникла проблема информационной безопасности в автоматизированных системах обработки, хранения и передачи конфиденциальной информации. Широкое распространение получила компьютерная преступность.

Весьма актуальными в нашей стране в настоящее время являются вопросы защиты интеллектуальной собственности и информации, составляющей, например, личную, коммерческую или служебную тайну.

Общепризнанным является также факт возрастания роли информационной безопасности в общей системе национальной безопасности.

При этом под термином « информационная безопасность» на уровне государства понимается «состояние защищенности информационной среды общества, обеспечивающее ее формирование и развитие в интересах граждан, организаций и государства».

Под информационной безопасностью (ИБ) или безопасностью информационных технологий подразумевают защищенность информации, передаваемой, накапливаемой, обрабатываемой и хранимой в информационновычислительных системах от случайных или преднамеренных воздействий внутреннего или внешнего характера, чреватых нанесением ущерба владельцам информационно ресурса или пользователям информации.

Пользователи информации в компьютерных системах – это субъекты, обращающиеся к ин-

формационно – вычислительным системам за необходимой информацией.

Таким образом, существует проблема защиты информации на всех уровнях – от физических и юридических лиц до государства в целом.

Информационная безопасность – это многомерная и многогранная область действия, в которой успех может принести только систематический комплексный подход.

Проблему обеспечения информационную безопасность можно классифицировать по 3-м группам признаков:

Субъекты, заинтересованные в информационной безопасности.

Аспекты информационной безопасности:

Доступность – возможность за приемлемое время получить информационные услуги, а также предотвращение несанкционированного отказа в получении информации.

Целостность – предотвращение несанкционированной модификации или нарушения информации.

Конфиденциальность – предотвращение несанкционированного ознакомления с информацией.

На концептуально – политическом уровне принимаются документы, которые определяют основные направления государственной политики информационной безопасности, задачи и средства достижения поставленных целей. Примером такого документа является Доктрина информацион-

ной безопасности РФ.

На законодательном уровне создается и поддерживается комплекс мер, направленных на правовое регулирование обеспечения информационной безопасности, которая отражается в законах, указах президента, постановлениях правительства.

Правовое обеспечение защиты информации зависит от вида и характера носителей информации. Электронная форма записи резко повышает возможность дистанционного перехвата информации без видимого перемещения материальных объектов. Наличие различных источников угроз, ведение бумажного и электронного делопроизводства конфиденциального характера требуют разграничения прав, обязанностей и компетенции коммерческих и некоммерческих структур, юридических и физических лиц, а также установления мер административной и уголовной ответственности.

На нормативно – техническом уровне разрабатываются стандарты, руководящие материалы, методические документы, регламентирующие процессы разработки, внедрения и эксплуатации средств обеспечения информационной безопасности (Руководящие документы Гостехкомиссии при президенте РФ 1992г.).

Важной задачей этого уровня в настоящее время является, в частности, приведение в соответствие российских стандартов с международным уровнем информационных технологий вообще и ИБ в частности.

Практический опыт показывает, что информационную безопасность предприятию может обеспечить только комплексная система защиты информации. Такая система должна включать правовые, организационные и технические методы защиты.

Организационная структура, реализующая комплекс мер безопасности на предприятии – служба безопасности базируется на правовых, методических и организационно-распорядительных документах, определяющих статус, права и обязанности этих органов защиты, порядок лицензирования их деятельности и сертификацию используемых ими технических средств защиты информации.

На уровне предприятия осуществляются конкретные меры по обеспечению информационной безопасности деловой деятельности. Для предприятия можно выделить два характерных уровня обеспечения ИБ – административный и программно-технический.

Основной мерой административного уровня является разработка политики и программы безопасности.

Политика безопасности – совокупность документированных управленческих решений, направленных на защиту информации и связанных с ней ресурсов. Политика безопасности определяет стратегию организации в области ИБ, а также количество ресурсов, которое руководство считает целесообразным выделить. Она строится на анализе рисков, которые признаются реальными для информационной системы организации.

В составе конкретных мер административного уровня можно выделить:

Управленческие меры обеспечения информационной безопасности

1) Политика безопасности

2) Программа безопасности

3) Управление рисками

4) Безопасность в жизненном цикле системы

1) Управление персоналом;

2) Физическая защита;

3) Поддержание работоспособности;

4) Реагирование на нарушение безопасности;

5) Планирование восстановительных работ.

На программно-техническом уровне доступны следующие механизмы безопасности:

1) Идентификация и аутентификация;

2) Управление доступом;

3) Протоколирование и аудит;

4) Криптографические средства защиты;

5) Межсетевое экранирование (брандмауэр, firewall).

На уровне отдельных граждан: граждане являются самым незащищенным в правовом отношении субъектом правовых отношений (нет законов о защите индивидуальной информации, номеров телефонов, почтовых рассылок (данные паспорта)).

Актуальность обеспечения информационной безопасности.

По мнению экспертов, при полном рассекречивании информации коммерческой фирмы она просуществует:

52% экспертов считают, что несколько часов, 48% – несколько дней. Если речь идет о банках, то 33% – несколько часов, 67% – несколько дней.

Причины убытков компании, пренебрегающей защитой информации:

практическое занятие для обучающихся МДК 02.01 "Правовая защита информации" для спеиальности 10.02.01 "Организация и технология защиты"

Просмотр содержимого документа
«Практическая работа на тему "Решение ситуационных задач «Информационные преступления в сфере компьютерной информации и меры защиты от них»"»

Практическое занятие №11

«Решение ситуационных задач по теме: «Информационные преступления в сфере компьютерной информации и меры защиты от них»

Алгоритм решения задачи включает в себя следующую последовательность действий:

1. Ответ на поставленный вопрос;

2. Законодательная (нормативная) база;

3. Обоснование решения со ссылкой на соответствующие законодательные предписания и фактические обстоятельства дела (фабулу).

В качестве образца предлагается решение задачи:

В деянии Шатурина можно усмотреть признаки состава преступления, предусмотренные ст. 274 УК РФ «нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации и информационно-телекоммуникационных сетей ». законодательная база для решения задачи – ст. 274 УК РФ, примечания к ст. 272 УК РФ.

Родовым объектом данного преступления являются общественная безопасность и общественный порядок; видовым – отношения в сфере компьютерной безопасности. Непосредственный объект – это отношения, обеспечивающие правила эксплуатации хранения, обработки, передачи компьютерной информации и информационно-телекоммуникационных сетей.

Объективная сторона преступления сконструирована в качестве материального состава. Обязательные условия наступления уголовной ответственности – причинение крупного ущерба. В деянии Шатурина усматриваются отдельные признаки объективной стороны деяния, в частности, нарушения правил эксплуатации информационно-телекоммуникационных сетей. Он также обладает признаками субъекта данного преступления – вменяем и достиг 16 лет. Субъективная сторона преступления характеризуется виной как в форме умысла, так и неосторожности.

Однако, вопрос об уголовной ответственности Шатурина зависит от того, в каком размере был причинен ущерб его деянием, так как состав преступления является материальным. Согласно примечанию к ст. 22 УК РФ крупным ущербом в статьях данной главы признается ущерб сумма которого превышает один миллион рублей. Таким образом, Шатурин будет подлежать уголовной ответственности по ч. 1 ст. 274 УК РФ, если его деянием причинен ущерб на сумму свыше одного миллиона рублей.

Студент заочного отделения Шатурин решил использовать компью­тер из компьютерного класса университета для оформления контрольных и курсовых работ. Без разрешения деканата факультета он проник в класс и стал работать на компьютере. Из-за крайне поверхностных знаний и навы­ков работы на компьютере произошли сбои в работе машины, что привело в дальнейшем к отключению модема – одного из элементов компьютерной системы.

Подлежит ли уголовной ответственности Шатурин? Дайте анализ состава преступления, предусмотренного ст.274 УК РФ. Что понимается под информационно-телекоммуникационными сетями и оконечным оборудованием в смысле ст. 274 УК РФ? Какие виды оконечного оборудования возможны? Относится ли к оконечному оборудованию телефонный модем?

Аспирант университета Хохлов, 23-ти лет, занимался исследова­тельской работой по компьютерной "вирусологии". Целью работы было выяснение масштаба глобальной сетевой инфраструктуры. В результате ошибки в механизме размножения вирусы, так называемые "сетевые чер­ви", проникли в университетскую компьютерную сеть и уничтожили информацию, содержащуюся в компьютерах факультетов и подразделений. В результате этого были полностью уничтожены списки сотрудников универ­ситета, расчеты бухгалтерии по зарплате, повреждены материалы науч­но-исследовательской работы, в том числе "пропали" две кандидатские и одна докторская диссертации.

Решите вопрос о правомерности действий Хохлова. В чем заключается субъективная сторона преступлений в сфере компьютерной информации?

Левченко и другие граждане Российской Федерации вступили в сго­вор на похищение денежных средств в крупных размерах, принадлежащих "City Bank of America", расположенного в г. Нью-Йорке. Образовав устойчивую преступную группу, они в период с конца июня по сентябрь 2012 г., используя электронную компьютерную систему телекоммуникационной связи "Интернет" и преодолев при этом несколько рубежей многоконтурной защиты от несанкционированного доступа с помощью персонального компьютера стан­дартной конфигурации из офиса предприятия, находящегося в г. Санкт-Пе­тербурге, вводили в систему управления наличными фондами указанного банка ложные сведения. В результате этих операций было осуществлено не менее 40 переводов денежных средств на общую сумму 10 млн 700 тыс. 952 доллара США со счетов клиентов названного банка на счета лиц, входящих в состав преступной группы, проживающих в шести странах: США, Великобри­тании, Израиле, Швейцарии, ФРГ, России.

Дайте уголовно-правовую оценку действиям Левченко и других членов орга­низованной группы.

Студент технического вуза Иванченко во время занятий по информа­тике подключился к сети "Интернет" и регулярно получал в течение семестра материалы разного содержания, в том числе и сексуального характера. В конце семестра в институт поступил запрос о работе в "Интернет" и пришел чек на оплату 105 часов пребывания в сети "Интернет".

Руководство института поставило вопрос о привлечении Иванченко к уго­ловной и гражданской ответственности.

Дайте правовую оценку действиям студента Иванченко.

Оператор ЭВМ одного из государственных учреждений Утевский, ис­пользуя многочисленные дискеты с информацией, получаемые от сотрудни­ков других организаций, не всегда проверял их на наличие "вирусов", доверя­ясь заверениям поставщиков о том, что "вирусов" нет. В результате этого в компьютер Утевского, а затем и в компьютерную сеть учреждения попал ком­бинированный вирус, что привело к утрате информации, содержащей госу­дарственную тайну, и поставило под угрозу срыва запуск одного из космичес­ких объектов.

Дайте юридический анализ действий Утевского. Что следует понимать под тяжкими последствиями нарушении правил эксплуатации информационно-телекоммуникационных сетей?

Савченко осуществлял рассылку подложных электронных писем с целью завладения персональной информацией клиентов «Ситибанка». Рассылка представляла собой электронное письмо с сообщением о переводе 100 долларов США на личный счет клиента и содержала просьбу зайти в систему Интернет-бакинта «CitibankOnline» для подтверждения перевода. В случае следования по указанной ссылке происходило попадание на сайт, созданный Савченко, и очень похожий на стартовый экран «CitibankOnline». Десять человек ввели номер кредитной карты и пин-код для того, чтобы войти в систему. Воспользовавшись полученной таким образом информацией, Савченко совершил завладение денежными средствами Павлова и Костенко, находящимися в Ситибанке, в сумме 15 и 20 тысяч долларов соответственно.

Квалифицируйте содеянное Савченко.

Гуляшов, студент факультета вычислительной математики, организовывал сетевые атаки, заключающиеся в получении обманным путем доступа в сеть посредством имитации соединения. Таким образом он получил доступ к информации о счетах пользователей интернета и номерах некоторых кредитных карт и пин-кодов. Полученную информацию Гуляшов передавал Сорокиной за вознаграждение, которая использовала ее для хищения денежных средств.

Что такое фишинг, спуфинг и фарминг? Признаки какого явления усматриваются в деянии Гуляшова? (фишинга, спуфинга или фарминга). Квалифицируйте содеянное Гуляшовым и Сорокиной.

ГУВД Московской области было возбуждено уголовное дело по факту совершение неправомерного доступа в охраняемой законом компьютерной информации в кассовых аппаратах одного из индивидуальных предпринимателей г.Павловский Посад Лебедева. Следствие квалифицировало действие Лебедева по ч.2 ст.272 УК РФ, т.е. изменение информации в контрольно-кассовых аппаратах, при которых записанная в них сумма выручки за смену искусственно занижалась. Информация, содержащаяся в контрольно-кассовых аппаратах, признана следствием разновидностью компьютерной информации. Адвокат Лебедева настаивал на изменении квалификации.

Дайте юридическую оценку содеянного. Что следует понимать под компьтерной информацией?

9. Петров использовал доработанный сотовый телефон – «сканер», который позволял производить звонки за чужой счет. Всего в течение шести месяцев Петров таким образом «израсходовал» 15 тыс.рублей. Можно ли считать информацию, содержащуюся в сотовым телефоне, компьютерной информацией? Как соотносятся компьютерная информация и коммерческая тайна? Квалифицируйте содеянное Петровым.

Программист Мохов был признан судом виновным в деяниях, предусмотренных ч.3. ст.273 УК РФ и ч.1 ст.165 УК РФ. С ноября по апрель Мохов рассылал клиентам пяти городским Интернет-провайдерам «Троянские» программы и получал логины с паролями, которыми пользовался для доступа в Интернет. Всего было доказано наличие 12 подобных эпизодов, в течение которых Мохов пользовался услугами Интернета без оплаты.

Правильно ли суд квалифицировал содеянное? В каких случаях возможна квалификация по совокупности деяний, предусмотренных ст.272-274 УК РФ с иными составами преступлений? Что следует понимать под тяжкими последствиями, применительно к составу преступления, предусмотренного ст.273 УК РФ?

Панченко и Будин, работали в компьютерной форме, распространяли «Троянские» программы и получали доступ к паролям пользователей компьютеров. Следствие квалифицировало распространение вирусных программ по ч.1 ст.273 УК РФ, а доступ к чужим паролям по ч.1. ст.272 УК РФ.

Дайте анализ объективных и субъективных признаков данных составов преступлений. Решите вопрос о квалификации содеянного.

o указать наименование занятия и его номер,

o цель занятия (самостоятельно),

o отразить ход выполнения работы,

o ответить письменно на контрольные вопросы,

Каждый год МИФИ проводит студенческую олимпиаду по ИБ. Это очень необычное мероприятие, сильно отличающееся от привычных task-based CTF. Забавно, что олимпиада носит официальный статус и даже признана Минобром, но о ней мало кто знает. При этом ее победители и призеры имеют возможность поступить в МИФИ без экзаменов.

Если вы горите желанием размять мозги и протестить ваши знания в области инфобеза, читайте наш разбор пяти более интересных задач практического тура олимпиады.

Олимпиада разделена на два тура: теоретический и практический. Они длятся по 3 часа в один день с небольшим перерывом. Теоретический тур похож на экзамен: первое задание состоит из 5 вопросов на криптографию и криптоанализ, где требуется дать развернутый ответ. Второе задание — большой тест по безопасности информационных технологий. Пробный вариант теоретического тура представлен по ссылке.

Практический тур заключается в решении 10 относительно несложных задач, связанных с программированием, обратной разработкой ПО, эксплуатацией веб-уязвимостей, криптографией и стеганографией. При выполнении этих задач можно пользоваться собственным компьютером, но без доступа к интернету и внешним носителям информации.

Участие в этой олимпиаде — интересный опыт для любого студента-безопасника, позволяющий проверить как теоретические, так и практические знания.

Задача H, 2018 год

Условие: Придя на место встречи в парк, вы никого не увидели, однако гуляя по одной из аллей, вы нашли заблокированный телефон со странной заставкой. Найдите пароль, зашифрованный в картинке-заставке и отправьте его на проверку через форму ниже.

Задачи на поиск стегоконтейнеров в изображениях обычно решаются в три этапа, от простого к сложному:

1. Проверка метаинформации: EXIF для jpeg, IDF для png
2. Проверка структуры: поиск ascii-строк, поиск добавленных в конец изображения других файлов
3. Анализ самого изображения: проверка соответствия заголовка данным, изменение color map, перебор LSBMSB

Для начала проверим тип файла:

Получаем метаинформацию из EXIF с помощью утилиты exiftool и находим первую часть флага в поле Creator:

Продолжаем анализировать файл с помощью утилиты binwalk:

Видим, что по смещению 0x99660 лежит Zip-архив с файлом part2.txt, а по смещению 0x9970D — png-изображение.

С помощью binwalk мы можем получить эти файлы и даже автоматически распаковать zip-архив.

Собираем все части флага вместе — задание решено.

Задача A, 2016 год

Условие: Найдите значение переменной $flag (32 символа хекса) в следующем php-скрипте, если известно, что результат работы скрипта равен 10899914993644372325321260353822561193.

Так как функция bcpowmod производит возведение числа 1511 в неизвестную степень в кольце вычетов 35948145881546650497425055363061529726, флагом является дискретный логарифм 10899914993644372325321260353822561193 по основанию 1511.

Писать скрипт для решения такой задачи с нуля долго, простой перебор тоже не поможет, поэтому лучше всего использовать свободную систему компьютерной алгебры Sage.

Подставляем флаг в скрипт и убеждаемся в правильности ответа:

Задача C, 2016 год

Условие: Сгенерируйте серийный номер для своего логина и отправьте ответ на проверку в формате логин: серийный номер без пробелов.

Получаем информацию о бинарнике с помощью ExeinfoPe:

Следуем совету и распаковываем файл:

Определим использованный компилятор:

Декомпилируем функцию main и немного дорабатываем вывод напильником:

Алгоритм работы программы таков:

1. Через аргументы командной строки на вход подаётся логин пользователя и 32-символьный ключ в hex-формате.
2. Ключ из hex преобразуется в бинарный вид и побайтово ксорится с логином.
3. Затем каждый из элементов получившейся последовательности преобразуется по формуле:

Результат преобразования с помощью функции memcmp сравнивается с байтовой строкой correct_key. Её полное значение — 1136CB46FFF370685D41C348CCAD6EC7

Составим систему из 16 уравнений и решим её с помощью SMT-решателя z3:

Задачи D и E, 2016 год

Условия:
D: Ответ на задачу хранится в одной из баз данных забытого сервера. Найдите уязвимость на сайте и прочитайте с ее помощью ответ.
E: Ответ на задачу хранится в одном из файлов на сервере. Найдите уязвимость на сайте и прочитайте с ее помощью файл.

Веб-интерфейс забытого сервера выглядит довольно аскетично: просто текстовая форма авторизации и заголовок «Online bank system».

Брутфорсом файлов и директорий на сервере находим защищенный паролем phpmyadmin и robots.txt с подсказкой:

Изучаем исходный код страницы авторизации и видим подозрительный скрипт jquery.js

Перехватываем POST-запрос на авторизацию с помощью Burp Suite и сразу же проверяем возможность SQL-инъекции:

Чтобы автоматизировать процесс эксплуатации уязвимости сохраняем текст запроса в файл, помечаем место инъекции звездочкой и загружаем результат в sqlmap с помощью опции -r имя_файла:

Определяем доступные нам базы данных:

Получаем флаг для задачи D:

Так как текущий пользователь не является администратором БД, мы не можем читать файлы на хосте и поэтому придётся использовать другой вектор атаки. Попробуем применить атаку XML eXternal Entity.

Мы можем заставить парсер XML прочесть интересующий нас файл и использовать содержимое этого файла как URI, чтобы оно вывелось в сообщении об ошибке.

Для этого нужно создать специальный DTD-файл (Data Type Definition; определение типа данных). XML-парсер на сервере загрузит его содержимое перед обработкой основной полезной нагрузки, что и позволит использовать значение %payload как URI.
xxe.dtd:

Теперь поднимем веб-сервер с помощью python, файл xxe.dtd должен находиться в его корневой директории.

Отправим серверу запрос такого вида:

Получаем флаг для задачи E в строке с пользователем list.

Большинство преподавателей израильской высшей школы IT и безопасности HackerU участвуют и занимают призовые места в соревнованиях и конкурсах по пентесту, веб-разработке, блокчейну. Чтобы стать победителем, недостаточно иметь только высокую мотивацию. Нужны реально полезные знания и навыки, а их получают только у лучших практиков. Если сомневаешься в будущем, хочешь научиться востребованной профессии, спроси нас. Обещаем избавить от всего лишнего и помочь тебе найти себя в мире IT.