Цели предварительной разведки достигаются путем добывания открытых и закрытых сведений. К открытым сведениям можно отнести данные о характере и режиме работы АС объекта разведки, квалификации его персонала, составе и структуре самой АС, используемом ПО, протоколах управления и взаимодействия, средствах и методах защиты информации, используемых в АС.
Для получения этих сведений нет необходимости прибегать к приемам оперативной работы (подкупу персонала, краже документации и т. п.). Эти сведения, как правило, не являются закрытыми и могут быть получены при перехвате сетевого трафика интересующей АС или попытке установить сетевое соединение непосредственно с самой АС, когда по характеру получаемого отклика можно сделать соответствующие выводы.
Установление первичного контакта с АС противника, как правило, еще не дает доступа к интересующей информации. Для этого необходимо получить дополнительные сведения закрытого характера. К таким сведениям относятся пароли, коды доступа, информация о принятых в АС правилах разграничения доступа и сетевые адреса СВТ объекта.
Для получения подобных сведений существуют разнообразные шпионские программные средства. К ним относятся, например, программы перехвата всех команд, вводимых в АС. Другим средством являются программы считывания первых 128 бит каждого файла, в которых нередко помещается служебная информация о самом файле и об АС.
Существуют также специальные программы подбора паролей. Успеху подобных программ способствуют многочисленные ошибки в современном ПО, что объясняется его сложностью и относительной новизной. Помимо ключей, интерес представляет перехват кусков зашифрованного текста с заранее известным содержанием.
Это позволяет выделить из шифрограммы секретный ключ, который используется для дальнейшего криптоанализа всего текста. Сведения, собранные об АС противника подобным образом, открывают путь к добыванию информации, интересующей заказчика, т. е. к ведению непосредственной разведки.
На стадии непосредственной разведки, как и на всех остальных, добываются не только закрытые, но также «серые» и открытые сведения. Роль открытых сведений в достижении общей ситуационной осведомленности о противнике достаточно велика.
Важнейшим достоинством перехвата открытых сведений при ведении компьютерной разведки является то, что эти сведения могут быть получены без нарушения принятых в АС правил разграничения доступа к информации. Сбором и анализом открытых сведений в сетях официально занимается множество организаций, которые за определенную плату выполняют заказы на поиск той или иной информации.
Добывание закрытых сведений всегда связано с несанкционированным доступом (далее НСД) к информации противника и имеет своим следствием утечку информации. Получение закрытых сведений осуществляется как в самой АС объекта, так и в ИВС, внешних по отношению к АС.
Добывание закрытых сведений всегда связано с несанкционированным доступом (далее НСД) к информации противника и имеет своим следствием утечку информации. Получение закрытых сведений осуществляется как в самой АС объекта, так и в ИВС, внешних по отношению к АС.
Во внешних сетях перехватываются те сообщения, которые объект разведки пересылает внешним адресатам, либо в случае виртуальной сети, те сообщения, которые циркулируют между отдельными сегментами АС. Программное проникновение в АС объекта с целью ведения разведки может осуществляться несколькими способами. Отдельную группу таких способов составляет проникновение через несетевые периферийные устройства (клавиатуру, дисководы и т. п.).
Наиболее многочисленная и динамично развивающаяся группа способов программного проникновения в АС противника это проникновение из внешних сетей. Можно выделить два основных пути такого проникновения:
проникновение с использованием паролей и идентификаторов, найденных в результате предварительной разведки;
поиск уязвимостей и ошибок (к называемых «черных ходов») в аппаратном и программном обеспечении, используемом в АС.
При применении указанных способов проникновения, недостаточно лишь добраться до винчестера противника и «скачать» с него данные. Необходимо восстановить удаленные файлы противника и тщательно разобраться в полученном объеме сведений. Эту функцию выполняет обрабатывающая разведка.
Обработке подвергаются данные, полученные как в отдельном СВТ, так и в ИВС, при этом сеть представляет дополнительные возможности по обработке. Посредством анализа трафика можно контролировать гигантские потоки сведений, производить отбор, накопление и обработку не всех данных подряд, а только тех, которые представляют интерес для заказчика.
Для ведения экспресс-анализа в сети созданы специальные программы, так называемые «ноуботы» (англ. Knowbot Knowledge Robot робот знаний), которые способны перемещаться в ИВС от между СВТ и при этом размножаться, создавая копии. «Ноубот» вводится в компьютерную систему и, обнаружив интересующую его информацию, оставляет в этом месте свою копию, которая собирает информацию и в определенное время передает ее.
С целью исключения обнаружения в «ноуботе» могут быть предусмотрены функции самоперемещения и самоуничтожения. С помощью средств компьютерной разведки можно не только анализировать конкретные данные, циркулирующие во всей сети, безотносительно к их источнику, но и отслеживать деятельность конкретных организаций и отдельных лиц.
Особо следует подчеркнуть, что обработке подвергаются не только закрытые, но и открытые сведения. Соответствующий анализ открытых источников позволяет синтезировать информацию закрытого характера. По оценке специалистов изучение 10000 открытых документов позволяет при некоторых условиях получить 1 документ высшей степени секретности.
В связи с высокой степенью угрозы безопасности информации, обрабатываемой в ИВС, все большее количество пользователей сети применяют для защиты своей информации шифрование. По этой причине одной из задач обрабатывающей компьютерной разведки является применение криптоаналитического ПО.
Кроме вооруженных сил компьютерной и радиоразведкой занимаются государственные спецслужбы и правоохранительные органы, добывая при этом, в основном, оперативную информацию путем перехвата шпионских радиограмм и электронной переписки подозреваемых лиц. А теперь обо всем поподробней
1. Военная радиоразведка
Наряду с русской, английской, французской, немецкой и австро-венгерской армиями радиоразведка в годы Первой Мировой войны велась и подразделениями экспедиционного корпуса американских войск в Европе.
Посты прослушивания, в состав которых входили подготовленные военнослужащие, владевшие немецким языком, размещались в непосредственной близости от районов расположения немецких войск. Подключив телефонные аппараты к проводным линиям связи противника, они осуществляли прослушивание и запись передаваемых по ним телеграфных и телефонных сообщений.
Посты радиоперехвата, расположенные, как правило, на значительном удалении от линии фронта, позволяли без непосредственного столкновения с противником добывать ценные сведения о его группировке, действиях и намерениях. Возможности американской радиоразведки существенно повышались благодаря использованию постов радиопеленгации, которые определяли места расположения военных радиостанций противника.
Посты радиоперехвата, расположенные, как правило, на значительном удалении от линии фронта, позволяли без непосредственного столкновения с противником добывать ценные сведения о его группировке, действиях и намерениях. Возможности американской радиоразведки существенно повышались благодаря использованию постов радиопеленгации, которые определяли места расположения военных радиостанций противника.
Зашифрованные сообщения противника с постов прослушивания и радиоперехвата поступали в отдел военной разведки экспедиционного корпуса, где специалисты по дешифровке пытались раскрыть коды и шифры, которыми пользовались немецкие военные. Криптоаналитической работой в отделе в основном занимались выпускники и бывшие преподаватели армейской криптологической школы, мобилизованные на военную службу после вступления США в войну с Германией.
10 мая 1929 года в связи с закрытием «Американского Черного Кабинета» Герберта Ярдли «MI-8» Военный департамент решил объединить все армейские службы шифрования, перехвата и дешифровки в рамках войск связи. В результате ответственность за эту деятельность в Армии США была возложена на Начальника войск связи.
Чтобы лучше исполнять эти новые обязанности, Секция кода и шифра «CCS» (англ. Code and Cipher Section) в апреле 1930 года была реорганизована в службу радиоразведки «SIS» (англ. Signals Intelligence Service), руководителем которой стал Уильям Фридман.
Перед новой службой были поставлены задачи по разработке армейских кодов и шифров, перехвату сообщений, передаваемых по проводным и радиолиниям связи, пеленгации радиостанций, криптоанализа кодов и шифров противника. Часть указанных функций предусматривалось выполнять только в случае ведения армией боевых действий.
Собственную службу радиоразведки и дешифровки имел и ВМФ США, которая называлась Секцией кода и связи «Op-58» (англ. Code and Signal Section) и с октября 1917 года находилась в составе Управления военно-морских операций (англ. Office of the Chief of Naval Operations). С января 1920 года эта секция под кодовым названием «Op-18» была подчинена Начальнику связи ВМФ (англ. Director of Naval Communications).
1 июля 1922 года она под кодовым названием «Op-20-G» вошла в состав 20-го отдела Управления связи ВМФ (англ. 20th Division of the Office of Naval Communications, G Section). С января 1924 года «Op-20-G» возглавил лейтенант Лоуренс Саффорд, ставший в дальнейшем главным криптологом ВМФ США.
11 марта 1935 года на «Op-20-G» были возложены все вопросы криптозащиты военно-морских сетей и систем связи, поэтому она была реорганизована в Группу безопасности связи (англ. Communications Security Group). С марта по октябрь 1939 года и с февраля по октябрь 1942 года «Op-20-G» работала под названием «Секция радиоразведки» (англ. Radio Intelligence Section), а с октября 1939 года по февраль 1942 года под названием «Секция безопасности связи» (англ. Communications Security Section).