Однако, как показывает практика, такая стратегия часто оказывается неэффективной против уязвимостей «нулевого дня». Это связано с тем, что между выпуском ПО и появлением информации об «уязвимости», а тем более устранением ее разработчиками, в большинстве случаев проходит большое количество времени, в течение которого система оказывается уязвимой. Несмотря на то, что правильно настроенные средства защиты информации делают эксплуатацию некоторых из таких «уязвимостей» невозможной, всегда остается вероятность наличия не устраненных «уязвимостей», а также «уязвимостей» в ПО самих средств защиты [64].

В связи с этим в настоящее время актуальным становится применение «стратегии обмана» или отвлечения атаки информационного оружия на ложный информационный ресурс. Как показали исследования [65], реализуя «стратегию обмана» атакующей системы и отвлекая атаку на ложный информационный ресурс, можно не только не позволить получить несанкционированный доступ к защищаемой информации, но и провести ответную информационную атаку — дезинформировав атакующую сторону. Кроме того, в период отвлечения атаки на ложные информационные ресурсы возможен сбор данных об атакующей стороне для компрометации последней.

В общем случае можно выделить два типа ложных ресурсов, ориентированных на различные сферы информационного противоборства:

• ложные объекты и ресурсы в семантической части информационного пространства (например, дезинформация или заведомо ложная информация, размещаемая в СМИ и в сети Интернет);

• ложные объекты и ресурсы в телекоммуникационной части информационного пространства (например, ложные сети, узлы, БД и т. д.).

Ложные объекты и ресурсы, размещаемые в семантической части информационного пространства, ориентированы на ведение информационного противоборства в психологической сфере и направлены, главным образом, на обеспечение информационно-психологических операций.

Ложные объекты и ресурсы в телекоммуникационной части информационного пространства всегда ориентированы на ведение информационного противоборства в технической сфере. Они предназначены для обмана и отвлечения на себя атакующих информационно-технических воздействий.

К ложным объектам и ресурсам в телекоммуникационной части информационного пространства, на которые возможно эффективное отвлечение проводимых противником атак, можно отнести:

• узлы телекоммуникационных сетей;

• вычислительные и информационно-управляющие системы;

• операционные системы;

• прикладное программное обеспечение;

• базы данных и системы управления ими;

Ложные объекты информационного пространства

Рис. 8.11. Классификация ложных объектов информационного пространства

• программы управления контентом сайтов, новостных агрегаторов, страниц во внутренней сети или в сети Интернет.

В качество средств создания и использования ложных объектов в телекоммуникационной части информационного пространства можно рассматривать программное обеспечение на основе технологий виртуализации. Такие программные средства виртуализации, как VMware ESX/ESXi, Microsoft Hyper-V, Citrix Xen Server и др., позволят создать виртуальную инфраструктуру, наполнить ее ложными объектами, содержащими дезинформацию и впоследствии управлять такой системой [65].

Кроме вышеуказанных средств виртуализации возможно использование других способов и средств создания ложных объектов. К ним можно отнести — создание ложных сетей путем подмены адресов объектов сети, развертывания дополнительных сетей с организацией по ним дезинформирующего информационного обмена, использование в сети средств защиты со специально введенными в них уязвимостями (так называемых «приманок»). С примерами подобных решений можно ознакомиться в работах отечественных специалистов [84, 85, 86].

8.5. Программные клавиатурные шпионы

8.5.1. Принцип работы клавиатурных шпионов

Клавиатурные шпионы — это программа для скрытной записи информации о нажимаемых пользователем клавишах. У термина «клавиатурный шпион» есть ряд синонимов: Keyboard Logger, KeyLogger, кейлоггер; реже встречается термины «снупер», «snoop», «snooper» (от анш. snoop — буквально «человек, вечно сующий нос в чужие дела»)

Клавиатурные шпионы образуют большую категорию вредоносных программ, представлющую большую угрозу для безопасности пользователя. Как и Rootkit, о которых шла речь в предыдущей статье, клавиатурные шпионы не являются вирусами, т. к. не обладают способностью к размножению.