Amenințări de implementare a rețelei de programe rău intenționate. Amenințările lansării aplicațiilor la distanță

Amenințarea este de a dori să lanseze diverse malware pre-implementate pe gazdă: programe de marcaj, viruși, "spioni de rețea", scopul principal al căruia este o încălcare a confidențialității, integrității, disponibilității informației și controlului deplin asupra activității gazdei . În plus, este posibilă lansarea neautorizată a programelor de aplicații de utilizator pentru obținerea neautorizată a datelor necesare de la violator, pentru a începe procesele gestionate de programul de aplicare etc.

Trei subclasă de date de amenințare se distinge:

distribuirea dosarelor care conțin cod executiv neautorizat;

lansarea aplicațiilor la distanță prin suprapunerea tampoanelor de aplicații;

lansarea aplicațiilor la distanță utilizând opțiunile pentru sistemul de control al telecomenzii furnizate de marcaje de software ascunse și hardware sau utilizate de mijloace standard.

Amenințările tipice ale primului dintre subclasele specificate se bazează pe activarea fișierelor distribuite în caz de acces accidental la acestea. Exemple de astfel de fișiere pot fi: fișierele care conțin codul executabil în documentele de vizualizare care conțin codul executabil sub formă de elemente ActiveX, Applets Java, scripturi interpretate (de exemplu, texte pe JavaScript); Fișiere care conțin coduri de program executabile. Serviciile de e-mail, transferul de fișiere, sistemul de fișiere de rețea pot fi utilizate pentru a distribui fișiere.

Odată cu amenințările celei de-a doua subclasă, sunt utilizate neajunsuri ale programelor de implementare a serviciilor de rețea (în special, fără control al buffer-ului). Setarea registrelor sistemului este uneori posibilă pentru a comuta procesorul după întreruperea cauzată de depășirea tamponului, la execuția codului conținut în străinătate a tamponului. Un exemplu de implementare a unei astfel de amenințări poate fi introducerea unui "virus" maritim ".

În amenințările celei de-a treia subclase, infractorul folosește capacitățile telecomenzii sistemului furnizate de componente ascunse (de exemplu, tipuri de programe de tip Troyan. Orificiu, autobuz net), sau administrarea personalului retele de calculatoare (Landesk Management Suite, Gresewise, orificiu din spate etc.). Ca urmare a utilizării lor, este posibilă obținerea unui control la distanță asupra postului din rețea.

Dacă instituția PDN-urile procesate nu sunt trimise peste rețele uz comun și schimbul internațional, protecția antivirusului instalat, atunci probabilitatea implementării amenințării - este puțin probabil.

În toate celelalte cazuri, ar trebui estimată probabilitatea unei amenințări.

Lista generalizată a probabilităților de implementare a amenințărilor pentru diferite tipuri de canale este prezentată în tabelul 12.

Tabelul 12.

Tipul lui Cauden.	Probabilitatea unei amenințări	Coeff. probabilitatea unei amenințări a unui violator
Autonome IC Itipa.	improbabil
Autonome este Iitipa.
Autonome este Iitip.	improbabil
Autonome este Istip.
Autonome IC Vtipa.	improbabil
Autonome IC VITYPE.
Fox utype.	improbabil
Fox Iltipa.
Distribuit Itipa	improbabil
Distribuit este IMIPA.

act Editorial 15.02.2008

"Modelul de bază al amenințărilor la adresa securității datelor cu caracter personal la prelucrarea în sistemele informatice ale datelor cu caracter personal" (UTV. 15.02.2008 FSTEC RF)

5. Amenințările accesului neautorizat la informații în sistemul informatic al datelor cu caracter personal

Amenințările SND în locuințe cu utilizarea software-ului și a software-ului și a hardware-ului sunt implementate în implementarea accesului neautorizat, inclusiv a aleatorilor, ca urmare a încălcării confidențialității (copiere, distribuție neautorizată), integritatea (distrugerea, schimbarea) și Disponibilitate (blocare) a PDN-urilor și include:

amenințări de acces (penetrare) în mediul de operare al computerului utilizând software-ul standard (fonduri sistem de operare sau programe aplicate aplicate);

Amenințări de a crea moduri anormale de fonduri software (software și hardware) din cauza modificărilor deliberate ale datelor de serviciu, ignorați limitările prevăzute în condițiile de personal pentru compoziția și caracteristicile informațiilor care sunt prelucrate (modificări) ale datelor în sine, etc.;

amenințări de implementare programe rău intenționate (software și impact matematic).

Compoziția elementelor descrierii amenințărilor NSD la informațiile din moarte este prezentată în Figura 3.

În plus, sunt posibile amenințări combinate, care sunt o combinație a acestor amenințări. De exemplu, datorită implementării programelor rău intenționate, pot fi create condiții pentru SND în mediul de operare al computerului, inclusiv prin formarea de canale de informare de acces netradiționale.

Amenințările de acces (penetrare) în mediul de operare prin utilizarea software-ului standard sunt împărțite în amenințările directe și acces de la distanță. Amenințările accesului direct se efectuează utilizând software-ul și software-ul și hardware-ul computerului / ieșirii computerului. Amenințările accesului la distanță sunt implementate utilizând protocoale de interacțiune în rețea.

Aceste amenințări sunt puse în aplicare în raport cu baza de date pe baza locului de muncă automatizat, care nu este inclusă în rețeaua de comunicații publice și în legătură cu toată demnitatea care are o legătură cu rețelele de comunicații publice și rețelele de schimb de informații internaționale.

Descrierea amenințărilor la adresa accesului (penetrației) în mediul de operare al calculatorului poate fi reprezentată după cum urmează:

amenințarea NSD în Dot: \u003d<источник угрозы>, <уязвимость ИСПДн>, <способ реализации угрозы>, <объект воздействия (программа, протокол, данные и др.)>, <деструктивное действие>.

Figura 3. Elemente ale descrierii amenințărilor NSD la informațiile din CDN

Amenințările de a crea un mod de urgență de funcționare a fondurilor software (software și hardware) sunt amenințarea "refuzului de a menține". De regulă, aceste amenințări sunt luate în considerare în legătură cu baza de date bazată pe sisteme informatice locale și distribuite, indiferent de schimbul de informații. Implementarea acestora se datorează faptului că, la dezvoltarea software-ului de sistem sau de aplicație, nu este luată în considerare posibilitatea acțiunilor deliberate asupra unei schimbări vizate:

condiții de procesare a datelor (de exemplu, ignorați restricțiile privind lungimea pachetului de mesaje);

Formate de reprezentare a datelor (cu nerespectarea formatelor modificate instalate pentru prelucrare sub protocoale de interacțiune a rețelei);

Software de procesare a datelor.

Ca urmare a punerii în aplicare a amenințărilor "refuzul de întreținere", depășirea tamponului și a procedurilor de procesare a blocării, procedurile de procesare "looping" și o "iluminare" a unui computer, aruncarea pachetelor de mesaje etc. Descrierea acestor amenințări poate fi oficial reprezentate după cum urmează:

amenințarea de "refuzul de a menține": \u003d<источник угрозы>, <уязвимость ИСПДн>, <способ реализации угрозы>, <объект воздействия (носитель ПДн)>, <непосредственный результат реализации угрозы (переполнение буфера, блокирование процедуры обработки, "зацикливание" обработки и т.п.)>.

Amenințări la adresa introducerii programelor rău intenționate (software și impact matematic) este impracticabilă pentru a descrie cu același detaliu ca amenințările de mai sus. Acest lucru se datorează faptului că, în primul rând, numărul de programe rău intenționate astăzi este deja semnificativ mai mare de o sută de mii. În al doilea rând, atunci când organizați protecția informațiilor în practică, de regulă, este suficient doar să cunoaștem clasa programului rău intenționat, metode și consecințe din implementarea acestuia (infecție). În acest sens, amenințarea cu software și impactul matematic (PMW) poate fi reprezentată oficial după cum urmează:

amenințarea PMW în Dot: \u003d<класс вредоносной программы (с указанием среды обитания)>, <источник угрозы (носитель вредоносной программы)>, <способ инфицирования>, <объект воздействия (загрузочный сектор, файл и т.п.)>, <описание возможных деструктивных действий>, <дополнительная информация об угрозе (резидентность, скорость распространения, полиморфичность и др.)>.

Mai jos este caracteristicile generale ale surselor de amenințări la adresa securității informațiilor, vulnerabilități care pot fi utilizate în implementarea amenințărilor NSD și caracteristica rezultatelor accesului neautorizat sau accidental. Caracteristica metodelor de implementare a amenințărilor este dată la descrierea amenințărilor la adresa accesului (penetrarii) în mediul de operare al computerului, amenințările la adresa de a refuza întreținerea și amenințările PMW.

Sursele de amenințări ale NSD în Dodge pot fi:

violator;

transportator de malware;

fila Hardware.

Amenințările privind siguranța PDN asociate cu implementarea marcajelor hardware sunt determinate în conformitate cu documentele de reglementare Serviciul federal Securitate Federația Rusă În modul prescris.

În funcție de prezența drepturilor de acces permanente sau unice la zona controlată (KZ), intrușii sunt împărțiți în două tipuri:

violatorii care nu au acces la locuințele care implementează amenințări din partea rețelelor publice de comunicații publice și (sau) rețelele de schimb de informații internaționale sunt intruși externi;

violatorii care au acces la Dodge, inclusiv utilizatorii de punct, implementarea amenințărilor direct în intrușii interni.

Violatorii externi pot fi:

servicii de recunoaștere a statelor;

Structuri criminale;

concurenți (organizații concurente);

parteneri incorecți;

subiecți externi (persoane).

Intrusul extern are următoarele caracteristici:

exercita accesul neautorizat la canalele de comunicare, plecând în afara spațiilor de serviciu;

să efectueze acces neautorizat prin intermediul locurilor de muncă automatizate conectate la rețelele de comunicații publice și (sau) rețelele de schimb de informații internaționale;

realizarea accesului neautorizat la informații utilizând un impact software special prin intermediul virușilor software, malware, marcaje algoritmice sau software;

Efectuați acces neautorizat prin elementele infrastructurii de informații ale CADN, care, în procesul lor ciclu de viață (Modernizarea, întreținerea, repararea, reciclarea) se dovedesc a fi în afara zonei controlate;

impact Accesul neautorizat prin intermediul sistemelor informatice de interacțiune de departamente, organizații și instituții atunci când sunt conectate la CD.

Posibilitățile deprecierii interne depind în mod semnificativ de regimul și măsurile tehnice și tehnice care să funcționeze în zona controlată, inclusiv admiterea persoanelor fizice la PDN-uri și să controleze procedura de desfășurare a muncii.

Violatorii potențiali interni sunt împărțiți în opt categorii, în funcție de metoda de acces și de permisiunile de acces la PDNS.

Prima categorie include persoane cu acces autorizat la Dodge, dar nu au acces la PDN-uri. Acest tip de violatori includ oficiali care asigură funcționarea normală impudentă.

au acces la fragmente de informații care conțin PDN-uri și se extind prin canalele de comunicare interne ale CDM;

Fragmente de informații despre topologia CDN (partea de comunicare a subrețea) și protocoalele de comunicare utilizate și serviciile lor utilizate;

Plasați numele și identificarea parolelor utilizatorilor înregistrați;

modificați configurația instrumentelor tehnice Chadna, faceți marcaje de software și hardware și furnizați informații utilizând conexiune directă la mijloace tehnice Prins.

posedă toate posibilitățile persoanelor din prima categorie;

Cunoaște cel puțin un nume de acces legal;

Are toate atributele necesare (de exemplu, parola), oferind acces la un anumit subset PD;

are date confidențiale în care accesul.

Accesul, autentificarea și drepturile de acces la un anumit subset de PDN-uri ar trebui să fie guvernate de accesul relevant la ștergerea accesului.

are toate posibilitățile persoanelor din prima și a doua categorii;

Are informații despre topologia bazei de date pe baza unui sistem informatic local și (sau) distribuit prin care se efectuează accesul și compoziția mijloacelor tehnice de CDN;

are capacitatea de a accesa direct (fizic) la fragmentele de mijloace tehnice CDN.

Are informații complete despre software-ul sistemului și aplicației utilizate în segmentul (fragmentul) CDM;

Are informații complete despre mijloacele tehnice și configurația segmentului (fragment) al CDN;

are acces la mijloacele de protejare a informațiilor și logarii, precum și a elementelor individuale utilizate în segmentul (fragment) CDN;

are acces la toate segmentele tehnice (fragment) ale CETS;

el are drepturile de configurare și configurație administrativă a unui anumit subset al mijloacelor tehnice ale segmentului (fragment) al CDN.

Are toate posibilitățile oamenilor din categoriile anterioare;

are informații complete despre sistemul și software-ul sursă aplicat;

are informații complete despre mijloacele tehnice și configurațiile.

are acces la toate mijloacele tehnice de prelucrare a informațiilor și a datelor impudent;

el are drepturile de configurare și reglarea administrativă a mijloacelor tehnice.

Administratorul de sistem efectuează configurarea și gestionarea software-ului (software) și a echipamentelor, inclusiv echipamente responsabile pentru siguranța obiectului protejat: protecția criptografică Informații, monitorizare, înregistrare, arhivare, protecție împotriva NSD.

are toate posibilitățile oamenilor din categoriile anterioare;

are informații complete despre Dodge;

are acces la mijloacele de protecție a informațiilor și logarii și a unei părți din elementele-cheie ale CDN;

Nu are acces la configurația mijloacelor tehnice ale rețelei, cu excepția controlului (inspecției).

Administratorul de securitate este responsabil pentru respectarea regulilor de separare a accesului, pentru generarea de elemente cheie, transferul parolelor. Administratorul de securitate efectuează un audit al aceluiași mijloace de protecție a obiectului ca administrator de sistem.

are informații despre algoritmi și programe de procesare a informațiilor pentru Dodge;

Are posibilitățile de a face greșeli, capabilități non-declarate, marcaje software, programe malware în software-ul CDN în stadiul dezvoltării, introducerii și întreținerii;

poate avea fragmente de informații despre topologia DNT și a mijloacelor tehnice de prelucrare și protejare a PD-urilor procesate în CAD.

are posibilitățile de a face marcaje pentru mijloacele tehnice PHDN în stadiul dezvoltării, implementării și întreținerii acestora;

Acesta poate avea fragmente de informații despre topologia demnității și despre mijloacele tehnice de prelucrare și protejare a informațiilor în locuință.

Transportatorul unui program rău intenționat poate fi un element hardware de calculator sau un container de software. Dacă programul rău intenționat nu este asociat cu niciun program de aplicație, atunci este considerat transportatorul său:

Mass-media alienabile, adică dischetă, disc optic (CD-R, CD-RW), memorie flash, Winchester înstrăinat etc.;

Media încorporată (Winchesters, microcircuite RAM, procesor, microcircuite bord de sistem, microcircuitele de dispozitive încorporate în unitate de sistem- adaptor video, card de rețea, placă de sunet, modem, dispozitive I / O greu magnetic și discuri optice, sursa de alimentare etc., microclecuiri directe de acces, anvelope de transmisie de date, porturi I / O);

circuite de dispozitive externe (monitor, tastatură, imprimantă, modem, scaner etc.).

Dacă programul rău intenționat este asociat cu orice program de aplicație, cu fișiere care au extensii specifice sau alte atribute, cu mesaje transmise în rețea, atunci purtătorii săi sunt:

pachete transmise prin mesaje de rețea de calculatoare;

fișiere (text, grafic, executabil etc.).

5.2. Caracteristicile generale ale vulnerabilității sistemului informatic al datelor cu caracter personal

Vulnerabilitatea sistemului informatic cu date personale este o deficiență sau un loc slab în software-ul sistemului sau aplicației (software și hardware) care oferă un sistem informatic automat care poate fi utilizat pentru punerea în aplicare a amenințării de securitate la adresa datelor cu caracter personal.

Cauzele apariției vulnerabilităților sunt:

erori în proiectarea și dezvoltarea securității software (software și hardware);

acțiuni intenționate pentru a face vulnerabilități în timpul proiectării și dezvoltării securității software (software și hardware);

setări software incorecte, schimbări ilegale ale dispozitivelor și modurilor de program;

Implementarea neautorizată și utilizarea programelor neînregistrate cu cheltuieli ulterioare de resurse nerezonabile (procesor de încărcare, memorie RAM și memorie pe medii externe);

introducerea malware-ului, creând vulnerabilități în software și software și hardware;

acțiuni neautorizate neintenționate ale utilizatorilor care duc la vulnerabilități;

eșecuri în activitatea de hardware și software (cauzate de eșecurile de putere, eșecul elementelor hardware ca urmare a îmbătrânirii și reducerea fiabilității, influențele externe ale câmpurilor electromagnetice dispozitive tehnice si etc.).

Clasificarea principalelor vulnerabilități este deplasată în Figura 4.

Figura 4. Clasificarea vulnerabilităților software

Mai jos este caracteristicile generale ale principalelor grupuri de vulnerabilități ale CDN, inclusiv:

vulnerabilități software sistematice (inclusiv protocoale de interacțiune în rețea);

vulnerabilități ale software-ului aplicat (inclusiv instrumente de securitate a informațiilor).

5.2.1. Caracteristicile generale ale vulnerabilităților software-ului de sistem

Vulnerabilitățile software-ului de sistem trebuie luate în considerare cu referire la arhitectura construcției sistemelor de calcul.

În același timp, sunt posibile vulnerabilități:

În firmware, în firmware ROM, PPZA;

În mijlocul sistemului de operare destinat gestionării resurselor locale ale CDM (furnizarea de funcții de control al performanței, memorie, dispozitive de intrare / ieșire, interfață de utilizator etc.), drivere, utilități;

În mijloacele de operare destinate implementării funcțiilor auxiliare - utilități (arhivare, defragmentare etc.), programe de procesare a sistemului (compilatoare, linkere, depanare etc.), programe de furnizare pentru servicii suplimentare (Opțiuni speciale de interfață , calculatoare, jocuri etc.), biblioteci de proceduri diferite (biblioteci de funcții matematice, funcții I / O etc.);

În mijlocul interacțiunii de comunicare (mijloace de rețea) ale sistemului de operare.

Vulnerabilități în firmware și în mijloacele de sistem de operare destinate gestionării resurselor locale și funcții auxiliarepoate:

Funcțiile, procedurile, schimbarea parametrilor din care într-un anumit mod le permite să le utilizeze pentru accesul neautorizat fără a detecta astfel de modificări ale sistemului de operare;

fragmente de cod de program ("găuri", "ieftini"), introduse de dezvoltator, permițând ocolirea procedurilor de identificare, autentificare, controale de integritate etc.;

Erori în programe (în declarația de variabile, funcții și proceduri, în codurile programului), care, în anumite condiții (de exemplu, atunci când efectuează tranziții logice) conduc la eșecuri, inclusiv eșecurile funcționării fondurilor și sistemelor de protecție a informațiilor.

Vulnerabilitățile de interacțiune a rețelei sunt asociate cu caracteristicile implementării software-ului și se datorează restricțiilor privind mărimea tamponului utilizat, dezavantajele procedurii de autentificare, lipsa controalelor pentru corectitudinea informațiilor de serviciu etc. Din aceste vulnerabilități în raport cu protocoalele sunt prezentate în tabelul 2.

masa 2

Vulnerabilitățile protocoalelor TCP / IP separate pe baza cărora funcționează rețelele comune globale.

Protocolul de nume	Protocoalele la nivel de stivă	Numele (caracteristică) Vulnerabilitate	Conținutul încălcărilor privind securitatea informațiilor
FTP (protocol de transfer de fișiere) - Protocolul de transfer de fișiere în rețea		1. Deschiderea autentificării bazei de date text (parolele sunt trimise în necriptate) 2. Accesul implicit 3. Prezența a două porturi deschise	Capacitatea de a intercepta datele cont (Numele de utilizator înregistrate, parolele). Obținerea accesului la gazdă la distanță
telnet - Protocolul de gestionare a terminalului la distanță	Aplicat, reprezentant, sesiune	Deschiderea autentificării bazei de date text (parolele sunt trimise în necriptate)	Capacitatea de a intercepta datele contului de utilizator. Obținerea accesului la gazdă la distanță
UDP - protocolul de transmisie de date fără conectare	Transport	Nu există mecanism de supraîncărcare tampon	Posibilitatea de a implementa furtuna UDP. Ca urmare a schimbului de pachete, există o reducere semnificativă a performanței serverului
ARP - IP Address Protocol de transformare în adresa fizică	Reţea	Deschiderea autentificării bazei de date text (informațiile sunt trimise în formular necriptat)	Abilitatea de a intercepta traficul utilizatorilor de către un atacator
RIP - Protocolul de informații de rutare	Transport	Fără autentificare a mesajelor de control despre schimbarea traseului	Abilitatea de a redirecționa traficul prin gazda atacatorului
TCP - Protocolul de gestionare a transferurilor	Transport	Nici un mecanism de verificare a corectitudinii pachetelor de servicii de umplere	O reducere semnificativă a cursului de schimb și chiar a unui decalaj complet al conexiunilor arbitrare pe protocolul TCP
DNS - protocol pentru stabilirea conformității numelor mnemonice și a adreselor de rețea	Aplicat, reprezentant, sesiune	Lipsa instrumentelor de autentificare din datele sursă	Falsificarea răspunsului serverului DNS
IGMP - Protocolul mesajului de rutare	Reţea	Nu există un mesaj de autentificare pe schimbarea parametrilor de traseu	Câștigă sisteme 9x / NT / 200
SMTP - Protocolul serviciului de servicii de mesaje de e-mail	Aplicat, reprezentant, sesiune		Abilitatea de a falsifica e-mailurile, precum și adresele adreselor expeditorului
SNMP - Protocolul de gestionare a rutei routerului	Aplicat, reprezentant, sesiune	Lipsa mesajelor de autentificare a suportului	Abilitatea de a depăși lățimea de bandă de rețea

Pentru a sistematiza o descriere a unui set de vulnerabilități, se utilizează o bază de date privind vulnerabilitățile CVE (vulnerabilități și expuneri comune), în dezvoltarea specialiștilor din multe companii și organizații bine-cunoscute, cum ar fi MITER, ISS, Cisco, Bindview, Axent , NFR, L-3, Cybersafe, Cert, Universitatea Carnegie Mellon, Institutul Sans etc. Această bază de date este actualizată în mod constant și utilizată în formarea bazelor de date de numeroase software de analiză a securității și, mai presus de toate, scanere de rețea.

5.2.2. Caracteristicile generale ale vulnerabilității aplicate software

Software-ul de aplicație include programe aplicate partajate și programe speciale de aplicații.

Programe aplicate publice aplicate - Text și editor grafic, programe media (playere audio și video, software de recepție a programelor de televiziune etc.), sisteme de gestionare a bazelor de date, platforme software generale pentru software-ul de dezvoltare software ( tastați Delphi., Visual Basic), instrumente de protecție a informațiilor publice etc.

Programele speciale de aplicații sunt programe care sunt dezvoltate în scopul soluționării sarcinilor aplicate specifice pe acest CD (inclusiv software-ul de protecție a informațiilor dezvoltat pentru un CDN specific).

Vulnerabilitățile software-ului de aplicare pot fi:

funcții și proceduri legate de diferite programe de aplicații și incompatibile între ele (care nu funcționează într-un singur mediu de operare) datorită conflictelor asociate distribuției resurselor de sistem;

Funcții, proceduri, modificări într-un anumit mod, care vă permite să le utilizați pentru a pătrunde în miercuri operaționale și pentru a apela funcțiile standard ale sistemului de operare, efectuând acces neautorizat fără a detecta astfel de modificări ale sistemului de operare;

fragmente de cod de program ("găuri", "ieftini"), introduse de dezvoltator, permițând trecerea procedurilor de identificare, autentificare, controale de integritate etc. prevăzute în sistemul de operare;

lipsa instrumentelor de securitate necesare (autentificare, verificarea integrității, verificarea formatelor de mesaje, blocarea funcțiilor modificate neautorizate etc.);

Datele privind vulnerabilitățile dezvoltate și distribuite pe un software de aplicații comerciale sunt colectate, rezumate și analizate în baza de date CVE<*>.

<*> Condus de o societate străină certe pe o bază comercială.

5.3. Caracteristica generală a amenințărilor accesului direct la mediul de operare al sistemului informatic cu date personale

Amenințările de acces (penetrare) în mediul de operare al computerului și accesul neautorizat la PDN sunt asociate cu accesul:

la informații și comenzi stocate în sistemul de bază I / O (BIOS) locuiesc, cu posibilitatea de a interveni încărcării sistemului de operare și de a primi drepturile utilizatorului de încredere;

În mediul de operare, adică funcționarea sistemului local de operare a unui mijloc tehnic separat, amploarea este posibilitatea de a efectua acces neautorizat prin apelarea personalului sistemului de operare sau lansarea unor programe special dezvoltate care implementează astfel de acțiuni ;

cu privire la funcționarea programelor de aplicație (de exemplu, la sistemul local de gestionare a bazelor de date);

direct la informațiile despre utilizator (în fișiere, text, audio și informații grafice., câmpurile și intrările în baze de date electronice) și se datorează posibilității de a încălca confidențialitatea, integritatea și accesibilitatea acestuia.

Aceste amenințări pot fi puse în aplicare în cazul obținerii accesului fizic la locuință sau, cel puțin, la mijloacele de introducere a informațiilor din CD. Ele pot fi combinate în condițiile implementării în trei grupuri.

Primul grup include amenințări implementate în timpul boot-ului sistemului de operare. Aceste amenințări la adresa securității informațiilor vizează interceptarea parolelor sau a identificatorilor, modificări software sistem de bază. I / O (BIOS), interceptarea managementului descărcării cu o modificare a informațiilor tehnologice necesare pentru a obține un NSD într-un mediu de operare. Cel mai adesea, astfel de amenințări sunt implementate folosind mass-media înstrăinate.

Al doilea grup - amenințările implementate după încărcarea mediului de operare, indiferent de programul de aplicare. Aceste amenințări vizează, de obicei, să efectueze acces direct neautorizat la informații. La primirea accesului la mediul de funcționare, încălcătorul poate utiliza atât funcții standard ale sistemului de operare, fie orice program de aplicație publică (de exemplu, sisteme de gestionare a bazelor de date) și create special pentru a efectua acces neautorizat cu programele, de exemplu:

prezentarea programului și modificarea registrului;

Programe de căutare text în fișiere text după cuvinte cheie și copiere;

programe speciale de vizionare și intrări de copiere în baze de date;

programe vizualizare rapidă fișiere grafice, editați sau copiați-le;

programe de susținere a capacităților reconfigurării mediului software (setările păstrate în interesul intrusului) etc.

În cele din urmă, cel de-al treilea grup include amenințări, a căror implementare este determinată prin care dintre programele de aplicații este inițiată de utilizator sau de lansarea oricăruia dintre programele de aplicații. Majoritatea acestor amenințări sunt amenințările la adresa introducerii programelor rău intenționate.

5.4. Caracteristicile generale ale amenințărilor la adresa securității datelor cu caracter personal implementate utilizând protocoalele de interacțiune pe Internet

Dacă baza de date este implementată pe baza unui sistem informatic local sau distribuit, acesta poate fi implementat în amenințările de siguranță la utilizarea protocoalelor de interconectare. Acesta poate fi furnizat de către SND la PDN-uri sau de amenințarea refuzului de a menține. Amenințările deosebit de periculoase atunci când sunt distribuite pe moarte sistem informaticconectat la rețelele generale de utilizare și (sau) rețelele de schimb de informații internaționale. Schema de clasificare a amenințărilor implementate în rețea este prezentată în Figura 5. Se bazează pe șapte semne principale de clasificare.

1. Natura amenințării. Pe această bază, amenințarea poate fi pasivă și activă. Amenințarea pasivă este o amenințare, cu implementarea căreia nu are un impact direct asupra funcționării CDN, dar regulile de separare a accesului la PDN-uri sau resursele de rețea pot fi încălcate. Un exemplu de astfel de amenințări este amenințarea "analiza traficului de rețea", care vizează ascultarea canalelor de comunicare și interceptarea informațiilor transmise.

Amenințarea activă este o amenințare asociată cu impactul asupra resurselor CDN, cu implementarea căreia se dovedește a fi un impact direct asupra funcționării sistemului (schimbarea configurației, afectarea performanței etc.) și cu o încălcare a regulilor stabilite pentru a distinge accesul la PDN-uri sau resurse de rețea. Un exemplu de astfel de amenințări este amenințarea "refuzului de întreținere", implementată ca o "furtună de interogare TCP".

2. Scopul realizării amenințării. Pe această bază, amenințarea poate fi îndreptată spre încălcarea confidențialității, integrității și disponibilității informațiilor (inclusiv încălcarea performanței CAD sau a elementelor sale).

3. Condiția a început să implementeze procesul de realizare a amenințării. Pe această bază, amenințarea poate fi implementată:

la cererea unui obiect referitor la care este pusă în aplicare amenințarea. În acest caz, încălcătorul se așteaptă la transmiterea unui anumit tip de cerere, care va fi condiția de începere a accesului neautorizat;

Figura 5. Schema de clasificare a amenințărilor care utilizează protocoale de interacțiune interconectate

La apariția evenimentului așteptat la instalație, în raport cu care este pusă în aplicare amenințarea. În acest caz, încălcătorul efectuează monitorizarea permanentă a statului sistemului de operare Cadov și când apare un anumit eveniment în acest sistem, începe accesul neautorizat;

impact necondiționat. În acest caz, începutul punerii în aplicare a accesului neautorizat este în mod necondiționat în raport cu scopul de acces, adică amenințarea este implementată imediat și irelevantă pentru starea sistemului.

4. Disponibilitate părere Cu dornici. Pe această bază, procesul de implementare a amenințării poate fi cu feedback și fără feedback. Amenințarea efectuată în prezența feedback-ului din partea CTF se caracterizează prin faptul că unele solicitări transferate locuitorilor la violator sunt obligați să primească un răspuns. În consecință, există un feedback între violator și Dodge, care permite încălcătorului să răspundă în mod adecvat tuturor schimbărilor care apar în CDN. Spre deosebire de amenințările puse în aplicare în prezența feedback-ului de pe CD, în implementarea amenințărilor fără feedback, nu este necesar să se răspundă la orice schimbări care apar în PM.

5. Locația intrusului este relativ vopsită. În conformitate cu acest semn, amenințarea este implementată atât în \u200b\u200bbijuterie, cât și integrată. Segmentul de rețea este o asociație fizică a gazdei (mijloace tehnice de dodge sau elemente de comunicare care au o adresă de rețea). De exemplu, segmentul punctului formează un set de gazde conectate la server în conformitate cu schema "Total Bus". În cazul în care are loc o amenințare intra-fertilă, încălcătorul are acces fizic la elementele hardware ale CAD. Dacă are loc o amenințare intersecțională, intrusul este situat în afara locuirii, implementarea unei amenințări dintr-o altă rețea sau dintr-un alt segment de CAD.

6. Nivelul modelului de referință al interacțiunii sisteme deschise <*> (ISO / OSI), pe care este implementată amenințarea. Pe această bază, amenințarea poate fi implementată pe nivelul fizic, de canal, de transport, transport, sesiune, reprezentativ și de aplicare al modelului ISO / OSI.

<*> Organizația Internațională de Standardizare (ISO) a adoptat standardul ISO 7498 care descrie interacțiunea sistemelor deschise (OSI).

7. Raportul dintre numărul de violatori și elementele demnității față de care este pusă în aplicare amenințarea. Pe această bază, amenințarea poate fi atribuită clasei de amenințări implementate de un violator cu privire la un mijloc tehnic de cading (amenințarea "una la una"), imediat față de mai multe mijloace tehnice ale CAD (amenințarea cu privire la "unul la mulți") sau mai mulți violatori cu diferite computere Cu privire la unul sau mai multe mijloace tehnice, dorințele (amenințările distribuite sau combinate).

Luând în considerare clasificarea, cele șapte cele mai des puse în aplicare în prezentele amenințări pot fi distinse.

1. Analiza traficului de rețea (Figura 6).

Figura 6. Schema amenințării "Analiza traficului de rețea"

Această amenințare este implementată utilizând un program special de analiză a pachetelor (Sniffer), interceptarea tuturor pachetelor transmise prin segmentul de rețea și cele în care sunt transmise identificatorul utilizatorului și parola acesteia. În timpul implementării amenințării, încălcătorul studiază logica operațiunii de rețea - adică urmărește obținerea unei conformități fără echivoc a evenimentelor care apar în sistem și comenzile trimise cu gazde la momentul acestor evenimente. În viitor, acest lucru permite unui atacator bazat pe sarcina comenzilor relevante pentru a obține, de exemplu, drepturi privilegiate la acțiuni în sistem sau să-și extindă puterile în ea, interceptează fluxul de date transmise care comunică componentele rețelei Sistem, pentru a extrage informații confidențiale sau de identificare (de exemplu, utilizatorii parolei statice pentru a accesa gazdele la distanță utilizând protocoalele FTP și Telnet care nu oferă criptare), substituirea, modificările, etc.

2. Rețeaua de scanare.

Esența procesului de implementare a amenințării este de a transfera cererile la serviciile de rețea ale cheilor gazde și de analiză a răspunsurilor de la acestea. Scopul este de a identifica protocoalele utilizate la porturile de servicii de rețea, legile pentru formarea identificatorilor de conexiuni, definirea serviciilor de rețea activă, selectarea identificatorilor și parolele utilizatorilor.

3. Amenințarea la detectarea parolei.

Scopul punerii în aplicare a amenințării este obținerea unui SND prin depășirea protecției prin parolă. Atacatorul poate avea o amenințare cu o serie de metode, cum ar fi un bust simplu, forță brută folosind dicționare speciale, instalând un program rău intenționat pentru a intercepta parola, substituirea unui obiect de rețea de încredere (spoofing IP) și interceptarea pachetelor (sniffing) . În principal, pentru implementarea amenințărilor sunt utilizate de programe speciale care încearcă să acceseze gazda printr-o selecție consistentă de parole. Dacă succesul, atacatorul poate crea o "trecere" pentru el pentru accesul viitor, care va acționa, chiar dacă trebuie să schimbați parola de acces pe gazdă.

4. Înlocuirea unui obiect de rețea de încredere și transmiterea mesajelor asupra canalelor de comunicare din numele său cu atribuirea drepturilor sale de acces (Figura 7).

Figura 7. Schema amenințării de "înlocuire a unui obiect de rețea de încredere"

O astfel de amenințare este implementată efectiv în sistemele în care algoritmii instabili pentru identificarea și autentificarea gazdelor, utilizatori etc. se aplică. Sub obiectul de încredere este înțeles ca obiect de rețea (calculator, firewall, router, etc.), conectat legal la server.

Două soiuri ale procesului de implementare a amenințării specificate pot fi izolate: cu unitatea și fără stabilirea unei conexiuni virtuale.

Procesul de implementare cu instituirea unui compus virtual este de a atribui drepturile unei entități de încredere de interacțiune, ceea ce permite încălcătorului să efectueze o sesiune cu obiectul rețelei în numele entității de încredere. Punerea în aplicare a amenințării de acest tip necesită depășirea sistemului de identificare și autentificare (de exemplu, un atac gazdă de gazdă UNIX).

Procesul de implementare a amenințării fără a stabili o conexiune virtuală poate apărea în rețelele care identifică mesajele transmise numai prin adresa rețelei expeditorului. Entitatea este transferul de mesaje de serviciu în numele dispozitivelor de control al rețelei (de exemplu, în numele routerelor) pe schimbarea datelor privind traseul. Ar trebui să se țină cont de faptul că singurii identificatori și conexiuni de abonați (prin TCP) sunt doi parametri 32 de biți Număr de secvență inițială - ISS (număr de secvență) și număr de confirmare - ACK (număr de confirmare). În consecință, pentru a forma un pachet fals TCP la încălcarea, trebuie să cunoașteți identificatorii actuali pentru această conexiune - ISSA și ISB, unde:

ISSA - o valoare numerică care caracterizează numărul de secvență al numărului de pachete TCP trimis instalat de conexiunea TCP inițiată de gazda A;

ISB - o valoare numerică care caracterizează numărul de secvență al numărului de pachete TCP trimis instalat de conexiunea TCP inițiată de gazdă B.

Valoarea ACK (numerele de confirmare a conexiunii conexiunii TCP) este definită ca valoarea numărului primit de la ISS (numărul de secvență) plus ACKB \u003d ISSA + 1 unitate.

Ca urmare a punerii în aplicare a amenințării, încălcătorul primește drepturile de acces stabilite de utilizatorul său pentru un abonat de încredere la mijloacele tehnice de densitate a amenințărilor.

5. Impunerea unui traseu de rețea fals.

Această amenințare este implementată de una din cele două moduri: prin impunerea intra-fertilă sau de intersement. Abilitatea de a impune o cale falsă se datorează dezavantajelor inerente algoritmilor de rutare (în special, datorită problemei identificării dispozitivelor de control al rețelei), ca urmare a căreia este posibilă obținerea, de exemplu, la gazdă sau în Rețeaua unui atacator, unde puteți intra în mediul de operare al mijloacelor tehnice din mediul de operare al CDN. Implementarea amenințării se bazează pe utilizarea neautorizată a protocoalelor de rutare (RIP, OSPF, LSP) și gestionarea rețelei (ICMP, SNMP) pentru a face schimbări în mesele de traseu. În același timp, încălcătorul trebuie trimis în numele dispozitivului de control al rețelei (de exemplu, un router) mesaj de control (figurile 8 și 9).

Figura 8. Implementarea schemei a atacului "Legarea traseului fals" (intra-segment) utilizând protocolul ICMP pentru a încălca comunicarea

Figura 9. Schema de punere în aplicare a amenințării "impunerea unui traseu fals" (integragmentare) pentru a intercepta traficul

6. Implementarea unui obiect de rețea fals.

Această amenințare se bazează pe utilizarea deficiențelor algoritmilor de căutare la distanță. Dacă obiectele de rețea inițial nu au informații despre adresa unul pe celălalt, se utilizează diferite protocoale de căutare la distanță (de exemplu, SAP în Novell NetWare rețele; ARP, DNS, câștigă în rețele cu stivă de protocol TCP / IP), care sunt transmise prin intermediul unui a solicitări speciale de rețea și primirea răspunsurilor la acestea cu căutarea informațiilor. În acest caz, este posibil să interceptați încălcătorul interogării de căutare și să emitem un răspuns fals, utilizarea cărora va duce la modificarea dorită a datelor privind adresa de rutare. În viitor, întregul flux de informații asociate obiectului-victimă va trece prin obiectul de rețea fals (Figurile 10 - 13).

Figura 10. Schema de implementare a amenințării "Implementarea unui server fals ARP"

Figura 11. Schema de implementare "Implementarea unui server DNS false" prin interceptarea unei solicitări DNS

Figura 12. Schema de implementare "Implementarea unui server DNS false" de către furtuna de răspuns DNS pe o rețea

Figura 13. Implementarea schemei a amenințării "Implementarea unui server DNS fals" de către furtuna de răspuns DNS la serverul DNS

7. Refuzul de a menține.

Aceste amenințări se bazează pe deficiențe de software de rețea, vulnerabilitățile sale care permit violatorului să creeze condiții atunci când sistemul de operare nu poate procesa pachetele primite.

Mai multe soiuri de astfel de amenințări pot fi izolate:

a) Refuzul ascuns de a menține, cauzat de implicarea unei părți a resurselor procesului de prelucrare a pachetelor transmise de atacator cu o scădere a lățimii de bandă a canalelor de comunicare, a dispozitivelor de rețea, încălcarea cerințelor pentru solicitarea solicitărilor. Exemple de implementare a amenințărilor de acest tip pot fi: direcționate de cererile de ecou de către ICMP (inundații PING), o furtună pentru stabilirea conexiunilor TCP (inundații SYN), o interogare furtună la serverul FTP;

b) un refuz explicit de a menține, cauzat de epuizarea resurselor ocolită la procesarea pachetelor transmise de atacator (ocuparea întregii lățime de bandă de bandă, cozile de interogare de serviciu), în care cererile juridice nu pot fi transferate prin rețea datorită lipsei de disponibilitate Mediul de transmisie sau obțineți eșecul de a menține din cauza cozi de interogare a solicitării, spațiului discului de memorie etc. Exemple de amenințări de acest tip pot servi ca o furtună de cereri de difuzare ICMP-ECHO (SMURF), regizat de o furtună (inundații Syn), o furtună de mesaje către serverul de e-mail (spam);

c) un refuz explicit de a menține, cauzat de o încălcare a legăturii logice între mijloacele tehnice ale CTADV, atunci când transferă încălcătorul mesajelor de control în numele dispozitivelor de rețea, rezultând în schimbarea datelor de adresă a rutei (de exemplu, ICMP Redirect Host , Inundații DNS) sau informații de identificare și autentificare;

D) un refuz explicit de întreținere cauzată de transmiterea de către atacatorul de pachete cu atribute non-standard (amenințări de tip "teren", "bonk", "nuck", "udp-bomb") sau având O lungime care depășește dimensiunea maximă admisă (amenințăre de tip "moarte Ping"), care poate duce la o colecție de dispozitive de rețea implicate în procesarea interogării, sub rezerva erorilor în programele care implementează protocoalele de schimb de rețea.

Rezultatul punerii în aplicare a acestei amenințări poate fi o încălcare a serviciului relevant pentru furnizarea de acces la distanță la PD la PD, transmiterea de la o serie de astfel de solicitări la mijloacele tehnice în compoziția CDN, care maximă poate "găzdui" traficul (direcționat "Storm de interogare") că implică depășirea coada de așteptare și eșecul uneia dintre serviciile de rețea sau o oprire completă a computerului datorită incapacității sistemului de a se angaja în oricare altul, Cu excepția procesării interogării.

8. Lansarea aplicațiilor la distanță.

Amenințarea constă în dorința de a lansa diverse malware pre-implementate pe gazdă: programe de marcaj, viruși, "spioni de rețea", scopul principal al căruia este o încălcare a confidențialității, integrității, disponibilității informației și controlului deplin asupra activității gazdă. În plus, este posibilă lansarea neautorizată a programelor de aplicații de utilizator pentru obținerea neautorizată a datelor necesare de la violator, pentru a începe procesele gestionate de programul de aplicare etc.

Trei subclasă de date de amenințare se distinge:

1) distribuirea fișierelor care conțin cod executabil neautorizat;

2) lansarea la distanță a aplicației prin tampon de aplicații de aplicații;

3) Lansarea aplicației la distanță utilizând telecomanda sistemului furnizat de marcaje de software și hardware ascunse sau utilizate de mijloace standard.

Amenințările tipice ale primului dintre subclasele specificate se bazează pe activarea fișierelor distribuite în caz de acces accidental la acestea. Exemple de astfel de fișiere pot servi: fișiere care conțin cod executabil sub formă de macrosample (Microsoft Word, Documente Excel etc.); Documentele HTML conținând codul executabil ca elemente ActiveX, Appletele Java interpretate de scripturi (de exemplu, textele JavaScript); Fișiere care conțin coduri de program executabile. Serviciile de e-mail, transferul de fișiere, sistemul de fișiere de rețea pot fi utilizate pentru a distribui fișiere.

În amenințările celei de-a doua subclasă, dezavantajele programelor de implementare a serviciilor de rețea (în special, nu sunt controlate controlul de control al controlului). Setarea registrelor sistemului este uneori posibilă pentru a comuta procesorul după întreruperea cauzată de depășirea tamponului, la execuția codului conținut în străinătate a tamponului. Un exemplu de implementare a unei astfel de amenințări poate fi introducerea unui "virus" maritim ".

În amenințările celei de-a treia subclase, infractorul folosește capacitatea de a gestiona de la distanță sistemul furnizat de componentele ascunse (de exemplu, programele "Troyan" de orificiu de tip inapoi, autobuzul net) sau controale regulate și administrarea rețelelor de calculatoare (Landesk Management Suite , Gestionarea orificiului, etc.). Ca urmare a utilizării lor, este posibilă obținerea unui control la distanță asupra postului din rețea.

Schematic, principalele etape ale activității acestor programe arată astfel:

instalare în memorie;

așteptarea unei interogări de gazdă la distanță pe care se execută programul client și schimbul de mesaje de pregătire;

Transferarea informațiilor interceptate clientului sau furnizarea de control asupra computerului atacat.

Posibilele consecințe ale implementării amenințărilor de diferite clase sunt prezentate în tabelul 3.

Tabelul 3.

Posibile consecințe ale implementării amenințărilor de diferite clase

N p / n	Tipul de atac		Consecințele posibile
1	Analiza traficului de rețea.		Investigarea caracteristicilor de trafic de rețea, interceptarea datelor transmise, inclusiv identificatorii de utilizator și parolele
2	Scanarea rețelei.		Definiția protocoalelor disponibile pentru porturile de servicii de rețea, legile de formare a identificatorilor de conexiuni, servicii de rețea activă, identificatori și parole de utilizatori
3	"Parolă" atacă		Efectuarea oricărei acțiuni distructive asociate cu obținerea accesului neautorizat
4	Înlocuirea unui obiect de rețea de încredere		Schimbarea trecerii mesajelor, schimbarea neautorizată a datelor privind traseul. Accesul neautorizat la resursele de rețea, impunând informații false
5	Impunerea unui traseu fals		Schimbarea neautorizată a datelor de traseu, analiza și modificarea datelor transmise, impunând mesaje false
6	Implementarea unui obiect de rețea fals		Interceptarea și vizualizarea traficului. Accesul neautorizat la resursele de rețea, impunând informații false
7	Nerespectarea serviciului	Epuizarea parțială a resurselor	Reducerea lățimii de bandă a canalelor de comunicare, a dispozitivelor de rețea. Reducerea performanței aplicației serverului
		Epuizarea completă a resurselor	Incapacitatea de a transmite mesaje din cauza lipsei de acces la mediul de transmisie, refuzul de a stabili o conexiune. Refuzul de a oferi servicii (e-mail, fișier etc.)
		Încălcarea legăturii logice între atribute, date, obiecte	Incapacitatea transmiterii, a mesajelor datorate lipsei datelor corecte ale traseului. Imposibilitatea de a obține servicii datorate modificării neautorizate a identificatorilor, parolelor etc.
		Utilizarea erorilor în programe	Încălcarea dispozitivelor de rețea
8	Lansarea la distanță a aplicațiilor	Prin trimiterea de fișiere care conțin codul executabil distructiv, infecția virală	Încălcarea confidențialității, integrității, disponibilității informațiilor
		Prin depășirea tamponului de aplicare a serverului
		Folosind capabilitățile de control la distanță ale sistemului furnizate de marcajele de software și hardware ascunse sau utilizate de standard	Sistem de management ascuns

Procesul de punere în aplicare a amenințării în cazul general constă din patru etape:

colectarea informațiilor;

invazia (penetrarea în mediul de operare);

exercitarea accesului neautorizat;

eliminarea urmelor de acces neautorizat.

În stadiul de colectare a informațiilor, violatorii pot fi interesați de diverse informații despre densitate, inclusiv:

a) În topologia rețelei, în care funcționează sistemul. Acest lucru poate explora zona din jurul rețelei (de exemplu, intrusul poate fi interesat de adresele gazdelor de încredere, dar mai puțin protejate). Pentru a determina accesibilitatea gazdei, pot fi utilizate cele mai simple comenzi (de exemplu, comanda Ping pentru a trimite interogări ecou_request ICMP cu așteptările răspunsurilor ICMP ECHO_REPLY. Există utilități care îndeplinesc definiția paralelă a disponibilității gazdei (cum ar fi Fping), care sunt capabile să scaneze zona mare a spațiului de adresă pentru disponibilitatea gazdei într-o perioadă scurtă de timp. Topologia rețelei este adesea definită pe baza "nodului" (distanța dintre gazde). În acest caz, pot fi aplicate metode precum "modulare TTL" și înregistrarea traseului.

Metoda de modulare TTL este implementată de Traceroute (pentru Windows NT - Tracert.exe) și este de a modula câmpul IP pachet TTL. Pachetele ICMP create de comanda Ping pot fi utilizate pentru înregistrarea traseului.

Colectarea informațiilor poate fi, de asemenea, bazată pe interogări:

la serverul DNS despre lista de gazde înregistrate (și, probabil active);

la routerul de protocol RIP pe rutele cunoscute (informații privind topologia rețelei);

Dispozitive configurate necorespunzătoare care acceptă SNMP (informații despre topologia rețelei).

Dacă Kenns se află în spatele firewall-ului (ME), este posibil să se colecteze informații despre configurația ME și despre topologia CD-urilor pentru mine, inclusiv prin trimiterea de pachete la toate porturile tuturor presupuselor gazde ale interne (protejate) reţea;

b) pe tipul de sistem de operare (OS) în locuință. Cea mai faimoasă metodă de determinare a tipului de operare gazdă se bazează pe faptul că tipuri diferite OS în moduri diferite implementați cerințele standardelor RFC către stack-ul TCP / IP. Acest lucru permite încălcătorului să identifice de la distanță tipul de sistem de operare instalat pe gazdă prin trimiterea de solicitări formate special și analizarea răspunsurilor primite.

Există mijloace speciale care implementează aceste metode, în special, NMAP și QUESO. De asemenea, puteți observa această metodă pentru a determina tipul de operare, ca interogare cea mai simplă pentru stabilirea unei conexiuni prin intermediul protocolului de acces la telecomandă (conexiuni Telnet), ca rezultat al căruia tipul de gazdă poate fi determinat de "aspectul" Răspuns. Prezența anumitor servicii poate servi, de asemenea, ca o caracteristică suplimentară pentru a determina tipul de operare gazdă;

C) Despre serviciile care operează pe gazde. Definiția serviciilor executate pe gazdă se bazează pe metoda de identificare a "porturilor deschise" care vizează colectarea de informații despre accesibilitatea gazdei. De exemplu, pentru a determina disponibilitatea portului UDP, trebuie să primiți un răspuns ca răspuns la premisa pachetului UDP la portul corespunzător:

dacă portul ICMP nu este primit ca răspuns, serviciul corespunzător nu este disponibil;

dacă acest mesaj nu a sosit, portul "a fost deschis".

Variațiile extrem de diverse ale utilizării acestei metode sunt posibile în funcție de protocolul utilizat în stiva protocol TCP / IP.

Multe software au fost dezvoltate pentru automatizarea colectării de informații despre densitate. Ca exemplu, pot fi observate următoarele:

1) strobe, portscanner - înseamnă definiție optimizată servicii disponibile pe baza unui sondaj de port TCP;

2) NMAP - Instrumentul de scanare pentru serviciile disponibile destinate Linux, FreeBSD, BSD deschis, Solaris, Windows NT. Este cel mai popular instrument curent de scanare a serviciilor de rețea;

3) QUESO este un instrument de înaltă precizie pentru determinarea OS gazdă de rețea pe baza parcelei circuitului de pachete TCP corecte și incorecte, analiza de răspuns și compararea acestuia cu o multitudine de răspunsuri cunoscute de diverse sistem de operare cunoscuți de diverse OS. Asta înseamnă este, de asemenea, popular până în prezent de scanare până în prezent;

4) Cheops - Scaner de topologie de rețea vă permite să obțineți o topologie de rețea, inclusiv o imagine de domeniu, adrese IP etc. În același timp, sistemul gazdă este determinat, cât și posibil dispozitive de rețea (imprimante, routere etc.);

5) Firewalk este un scaner utilizând metodele programului Traceroute în interesul analizei răspunsului la pachetele IP pentru a determina configurația firewall-ului și pentru a construi topologia rețelei.

La etapa invaziei, prezența vulnerabilităților tipice în serviciile de sistem sau erorile din administrația sistemului este investigată. Un rezultat reușit al utilizării vulnerabilităților este de obicei obținut prin procesul unui mod de execuție privilegiat (acces la modul de execuție a procesorului de comandă privilegiat), introducând contul înregistrării contabilă a unui utilizator ilegal, primirea fișierului de parolă sau întreruperea operațiunii a gazdei atacate.

Această etapă a dezvoltării amenințării este de obicei multifazică. Fazele procesului de implementare a amenințării pot include, de exemplu:

stabilirea unei legături cu gazda, în raport cu care se realizează amenințarea;

Identificarea vulnerabilității;

introducerea unui program rău intenționat în interesul extinderii drepturilor și al altora.

Amenințările implementate în stadiul final sunt împărțite în nivelurile de stivuire a protocolului TCP / IP, deoarece acestea se formează pe o rețea, un nivel de transport sau la nivel aplicat, în funcție de mecanismul de invazie utilizat.

Tipul de amenințări implementate pe nivelele de rețea și de transport includ:

a) amenințarea care vizează înlocuirea unui obiect de încredere;

b) amenințarea care vizează crearea unui traseu fals în rețea;

C) amenințările care vizează crearea unui obiect fals folosind deficiențele algoritmilor de căutare la distanță;

D) amenințările "refuzului de întreținere", pe baza defragmentării IP, pe formarea unor solicitări incorecte ICMP (de exemplu, atacul "Ping of Moartea" și "SMURF"), pe formarea unor solicitări TCP incorecte (atac de teren ), Cu privire la crearea unui pachet de "furtună" cu cererile de conectare (atacurile de inundații Syn) etc.

Amenințările tipice puse în aplicare la nivel de aplicare includ amenințări care vizează lansarea neautorizată a aplicațiilor, amenințări, a cărei implementare este asociată cu implementarea marcajelor software (cum ar fi calul troian "), cu identificarea parolelor de acces la rețea sau la o gazdă specifică etc.

În cazul în care realizarea amenințării nu a adus încălcătorul celor mai mari drepturi de acces în sistem, încercările de a extinde aceste drepturi la cel mai înalt nivel posibil sunt posibile. Pentru aceasta, pot fi utilizate vulnerabilități ale serviciilor de rețea nu numai, dar și vulnerabilitatea gazdelor de software de sistem.

În etapa de punere în aplicare a accesului neautorizat, se efectuează realizarea scopului implementării unei amenințări:

încălcarea confidențialității (copierea, distribuția ilegală);

Încălcarea integrității (distrugere, schimbare);

Încălcarea disponibilității (blocarea).

În aceeași etapă, după aceste acțiuni, de regulă, așa-numita "intrare neagră" este formată sub forma unuia dintre serviciile (demoni) care servește un port și execută comenzile de intrus. "Login negru" este lăsat în sistem în interesul garanției:

oportunități de accesare a gazdei, chiar dacă administratorul elimină vulnerabilitatea utilizată pentru implementarea cu succes a amenințării;

oportunități de accesare a gazdei la fel de scăzută;

Oportunități de a accesa rapid gazda (fără a repeta procesul de realizare a amenințării).

"Intrarea neagră" permite violatorului să implementeze un program rău intenționat unei rețele sau o anumită gazdă, de exemplu, un "analizor de parolă" (parolă Sniffer) este un program care alocă identificatorii de utilizator și parolele din traficul de rețea atunci când lucrați la nivel înalt protocoale (FTP, Telnet, RLogin și T .d.). Obiectele de implementare a malware-ului pot fi programe de autentificare și de identificare, servicii de rețea, nucleu sistem de operare, sistemul de fișiere, biblioteci etc.

În cele din urmă, în stadiul de eliminare a urmelor amenințării, se face o încercare de a distruge urmele acțiunilor încălcării. În același timp, înregistrările corespunzătoare sunt șterse din toate jurnalele posibile de audit, inclusiv înregistrările despre colectarea informațiilor.

5.5. Caracteristicile generale ale amenințărilor de software și impact matematic

Ascunde semnele prezenței lor în software. calculator;

Au capacitatea de auto-afilare, asocierea de sine cu alte programe și (sau) transferarea fragmentelor sale în alte zone de memorie operațională sau externă;

distruge (denaturează un mod arbitrar) codul programului în memoria RAM;

executați fără inițierea de la utilizator (program de utilizator în modul regulat al executării sale) (copiere, distrugere, blocare etc.);

Salvați fragmente de informații de la RAM în unele zone ale accesului direct (local sau la distanță);

Pentru a distorsiona un mod arbitrar, bloc și (sau) pentru a înlocui memoria externă sau la canalul de comunicare, o serie de informații formate ca urmare a aplicării programelor de aplicație sau deja în memoria externă a matricelor de date.

Programele rău intenționate pot fi făcute (implementate) atât în \u200b\u200bmod deliberat, cât și aleatoriu în software-ul utilizat în proiectare, în procesul de dezvoltare, acompaniament, modificări și setări. În plus, malware-ul poate fi realizat în timpul funcționării CDN de la medii externe sau prin interacțiune în rețea, atât ca urmare a NSD, cât și a utilizatorilor aleatorii ai CAD.

Programele malware moderne se bazează pe utilizarea vulnerabilităților de diferite tipuri de software (sistemic, general, aplicat) și diverse tehnologii de rețea, posedă spectru larg Capacități distructive (de la studiul neautorizat al parametrilor PDN fără interferențe în funcționarea PDN, înainte de distrugerea PDN-urilor și a software-ului CDN) și pot acționa în toate tipurile de software (sistem, aplicat, în driverele hardware etc. .).

Prezența programelor rău intenționate poate contribui la apariția unor canale de acces ascunse, inclusiv la informații care vă permit să deschideți, să ocoliți sau să blocați mecanismele de protecție prevăzute în sistem, inclusiv parola și protecția criptografică.

Principalele tipuri de programe rău intenționate sunt:

marcaje software;

software-ul clasic (calculator);

programe rău intenționate care se propagă în rețea (viermi de rețea);

Alte programe rău intenționate destinate implementării NSD.

Marcajele software includ programe, fragmente de cod, instrucțiuni care formează capabilități software non-declarate. Programele rău intenționate se pot deplasa de la o specie la alta, de exemplu, un software de stabilire poate genera un virus software, care, la rândul său, lovind condițiile de rețea, poate forma un vierme de rețea sau alt program rău intenționat conceput pentru a implementa un NSD.

Clasificarea virușilor software și a viermilor de rețea este prezentată în Figura 14. O scurtă descriere a principalelor programe rău intenționate este redusă la următoarele. Virușii de boot se scrie fie în sectorul de boot al discului (sector de boot), fie în sectorul care conține blocarea sistemului Winchester (Record Master Boot) sau schimbați indicatorul în sectorul boot activ. Acestea sunt introduse în memoria computerului când se încarcă de pe un disc infectat. În acest caz, încărcătorul sistemului citește conținutul primului sector al discului de la care se face descărcarea, pune informații despre citirea în memorie și transferurile la acesta (adică, virusul). După aceea, instrucțiunile de virus sunt pornite, care, de regulă, reduce cantitatea de memorie liberă, copiază codul său în locul vacant și citește continuarea acestuia de pe disc (dacă există), interceptează vectorul de întrerupere necesar (de obicei int int 13h), citește sectorul inițial de boot de memorie și transmite controlul la acesta.

În viitor, virusul bootabil se comportă în același mod ca și fișierul: interceptează accesul sistemului de operare la discuri și le infectează, în funcție de anumite condiții acțiuni distructive, cauzează efecte sonore sau efecte video.

Principalele acțiuni distructive efectuate de aceste virusuri sunt:

distrugerea informațiilor în sectoarele dischetei și hard disk-ului;

Eliminarea capacităților sistemului de operare (computerul "se blochează");

distorsiunea codului încărcătorului;

formatarea dischetelor sau a discurilor logice ale unității hard disk;

închiderea accesului la porturile COM și LPT;

Înlocuirea simbolurilor la imprimarea textelor;

ecranul de răsucire;

schimbarea etichetei discului sau a dischetei;

crearea clusterelor pseudo-free;

crearea de sunet și (sau) efecte vizuale (de exemplu, picătură în litere pe ecran);

daune fișiere de date;

afișând o varietate de mesaje;

Deconectare dispozitiv periferic (de exemplu, tastatura);

schimbarea paletei de ecran;

Umplerea ecranului cu ieșiri sau imagini;

rambursarea ecranului și modul de introducere a traducătorului de la tastatură;

criptarea sectoarelor Winchester;

distrugerea selectivă a caracterelor afișate pe ecran când setați de la tastatură;

reducerea memoriei RAM;

apelarea imprimării ecranului;

blocarea înregistrărilor pe disc;

tabelul de masă de partiție de disc, după aceea, calculatorul poate fi descărcat numai de pe o dischetă;

blocând începutul fișierelor executabile;

Blocând accesul la Winchester.

Figura 14. Clasificarea virușilor software și a viermilor de rețea

Cele mai multe virusuri bootabile se suprascriu pe dischete.

Metoda de infectare "suprascriere" este cea mai simplă: virusul înregistrează codul său în locul codului fișierului infectat, distrugând conținutul său. Firește, în timp ce fișierul nu mai funcționează și nu este restaurat. Astfel de viruși se detectează foarte repede, deoarece sistemul de operare și aplicațiile sunt destul de repede oprit de lucru.

Categoria "Companion" include viruși care nu modifică fișierele infectate. Algoritmul de lucru al acestor virusuri este acela că este creat un fișier dublu pentru fișierul contaminat și când este pornit fișierul infectat, controlul primește acest gemene, adică virusul. Cele mai frecvente virusuri de companie utilizând caracteristica DOS pentru a executa mai întâi fișierele cu extensia.com, dacă există două fișiere cu același nume într-un singur director, dar prin diferite nume ale numelui - .com i.exe. Astfel de viruși creează fișiere prin satelit pentru fișierele exe, care au același nume, dar cu extensia.com, de exemplu, fișierul xcopy.com este creat pentru fișierul xcopy.exe. Virusul este înregistrat în fișierul COM și nu modifică fișierul exe. Când porniți un astfel de fișier DOS, primul va detecta și executa fișierul com, adică virusul care va porni apoi și fișierul exe. Al doilea grup face viruși care, atunci când sunt infectați, redenumiți fișierul în orice alt nume, amintiți-vă (pentru lansarea ulterioară a fișierului gazdă) și scrieți codul pe disc sub numele fișierului infectat. De exemplu, fișierul xcopy.exe este redenumit la xcopy.exd, iar virusul este scris sub numele xcopy.exe. Când porniți, controlul primește codul de virus, care pornește apoi xcopia originală stocată sub numele xcopy.exd. Interesant faptul că aceasta metoda Se pare că se află în toate sistemele de operare. Cel de-al treilea grup include așa-numitele viruși "căi de companie". Aceștia își scriu codul sub numele dosarului infectat, dar "deasupra" un nivel în căile prescrise (DOS, astfel încât prima va fi detectată pentru prima dată și lansează fișierul de virus) sau va tolera fișierul de sacrificiu la o subdirectoare de mai sus , etc.

Este posibil să existe și alte tipuri de viruși de companie care utilizează alte idei originale sau caracteristici ale altor sisteme de operare.

Viermii de fișiere (viermi) sunt, într-un sens, un tip de viruși ai companiei, dar în nici un caz nu își asociază prezența cu orice fișier executat. În reproducere, ele copiază numai codul în orice cataloage de disc în speranța că aceste noi copii vor fi difuzate vreodată de către utilizator. Uneori, acești viruși își dau copii de nume "speciale" pentru a împinge utilizatorul să-și înceapă copia - de exemplu, install.exe sau winstart.bat. Există viruși viermi care utilizează tehnici destul de neobișnuite, de exemplu, înregistrându-și copii în arhive (ARJ, ZIP și altele). Unii viruși înregistrează lansarea unui fișier infectat în fișierele BAT. Nu confunda virusurile de fișiere Chervi cu viermi de rețea. Primul folosește numai funcțiile de fișier ale oricărui sistem de operare, al doilea în reproducerea lor utilizează protocoalele de rețea.

Link Virusuri, cum ar fi virușii de companie, nu modifică conținutul fizic al fișierelor, cu toate acestea, când este pornit fișierul infectat, sistemul de operare "Cauza" execută codul. Aceste obiective ajung la modificarea câmpurilor de sistem de fișiere necesare.

Virușii, infectarea bibliotecilor de compilatoare, module de obiect și textele sursă ale programelor sunt destul de exotice și practic nu sunt comune. Virusurile, infectarea fișierelor Obj- și LIB, scrieți codul lor în ele în formatul modulului sau bibliotecii de obiect. Dosarul infectat nu este astfel efectuat și nu este capabil să răspândească în continuare virusul în starea sa actuală. Transportatorul virusului "live" devine un fișier com- sau exe.

După ce a primit controlul, virusul fișierului efectuează următoarele acțiuni generale:

Control berbec Pentru prezența copiei dvs. și infectează memoria calculatorului dacă se găsește o copie a virusului (dacă virusul este un rezident), caută fișiere nelegate în directorul curent și (sau) rădăcină prin scanarea unei directoare de disc logice și apoi infectează fișiere detectate;

efectuează funcții suplimentare (dacă există): acțiuni distructive, efecte grafice sau sonore etc. ( funcții suplimentare Virusul rezident poate fi numit după un timp după activare, în funcție de ora curentă, configurația sistemului, contoarele interne de virus sau alte condiții, în acest caz virusul la activarea proceselor starea orelor de sistem, își stabilește contoarele etc. ;

Trebuie remarcat faptul că cu cât este distribuit virusul mai rapid, cel mai probabil apariția Epidemiile acestui virus, cu atât mai lent virusul este răspândit, cu atât este mai dificil să îl detectați (dacă, bineînțeles, acest virus este necunoscut). Virușii nerezidenți sunt adesea "lenți" - majoritatea dintre ele atunci când pornesc acesta infectează unul sau două trei fișiere și nu are timp să plutească computerul înainte de a rula programul antivirus (sau aspectul unei noi versiuni a antivirusului configurat la acest virus). Există, desigur, virusuri nerezidente "rapide" care caută și infectează toate fișierele executabile, cu toate acestea, astfel de viruși sunt foarte vizibili: Când porniți fiecare fișier infectat, computerul are un timp (uneori destul de lung) este activ Lucrul cu hard diskul, care demonstrează virusul. Viteza de distribuție (infecție) la virușii rezidenți este de obicei mai mare decât nerezidentă - infectează fișierele cu orice contestație la acestea. Ca rezultat, toate fișierele utilizate în mod constant în funcționare sunt infectate pe disc. Viteza de distribuție (infecție) a virușilor de fișiere rezidente infectează fișierele numai atunci când au început să execute, vor fi mai mici decât cele ale virușilor care infectează fișierele și când sunt deschise, redenumite, schimbând atributele de fișiere etc.

Astfel, principalele acțiuni distructive efectuate de virușii de fișiere sunt asociate cu înfrângerea fișierelor (mai des executiv sau fișiere de date), lansarea neautorizată a diferitelor comenzi (inclusiv formatarea, distrugerea, comenzile de copiere etc.), schimbând tabelul de Se pot efectua vectori și dr. În același timp, pot fi efectuate multe acțiuni distructive similare celor indicate pentru virușii de boot.

Macrovirusurile (macro virusurile) sunt limbi (macro-limbă) integrate în unele sisteme de prelucrare a datelor ( editori de text, foi de calcul etc.). Pentru reproducerea sa, astfel de viruși utilizează capabilitățile macrovolelor și cu ajutorul lor se transferă dintr-un dosar infectat (document sau tabel) altor persoane. Macrovirusurile au primit cea mai mare distribuție pentru pachetul de aplicații Microsoft Office..

Pentru existența virusurilor într-un anumit sistem (editor), este necesar să se construiască o limbă macro-in-in-in capabilitati:

1) Legături de program pe macro-limbă la un anumit fișier;

2) copiați macroprogramele dintr-un dosar la altul;

3) Obținerea gestionării programului macro fără intervenția utilizatorului (macrocomenzi automate sau standard).

Aceste condiții îndeplinesc aplicate programe Microsoft. Word, Excel și Microsoft Access. Acestea conțin Macromasics: Word Basic, Visual Basic pentru aplicații. În care:

1) Macrogramele sunt legate de un anumit fișier sau sunt în interiorul fișierului;

2) Macro-Language vă permite să copiați fișierele sau să mutați macroprogramele la fișierele de service de sistem și fișierele editabile;

3) Când lucrați cu un fișier în anumite condiții (deschidere, închidere etc.), cadrele macro sunt numite (dacă există), care sunt definite într-un mod special sau au nume standard.

Această caracteristică Macroeads sunt concepute pentru a procesa automat datele în organizații mari sau rețele globale și vă permit să organizați așa-numitul "gestionare automată a documentelor". Pe de altă parte, capacitățile macro-limbă ale unor astfel de sisteme permit virusul să-și transfere codul în alte fișiere și să le infecteze astfel.

Majoritatea macrovirusurilor sunt activi nu numai la momentul deschiderii (închiderii) fișierului, dar atâta timp cât editorul în sine este activ. Acestea conțin toate funcțiile lor sub formă de macrocomenzi standard / Excel / Office. Există totuși viruși care utilizează recepții de ascundere a codului lor și stocându-și codul sub formă de macrocomenzi. Există trei astfel de recepții, toate utilizează capacitatea de a crea, edita și executa alte macrocomenzi. De regulă, virușii similare au un mic macro mic (uneori polimorfe) al virusului, ceea ce determină editorul macro încorporat, creează un nou macro, îl umple cu codul de bază al virusului, efectuează și apoi, de regulă, distruge (pentru a ascunde urmele prezenței virusului). Codul principal al unor astfel de virusuri este prezent fie în macroul virusului în sine sub forma de șiruri de text (uneori criptate), fie depozitate în zona variabilelor documentului.

Rețeaua include viruși care utilizează în mod activ protocoalele și posibilitățile rețelelor locale și globale pentru distribuirea acestora. Principiul principal al virusului de rețea este capacitatea de a transfera în mod independent codul la un server de la distanță sau la o stație de lucru. Virusurile de rețea "Full-Fledged" au ocazia să-și înceapă codul computer la distanță Sau cel puțin "împingeți utilizatorul să lanseze un fișier infectat.

Programe rău intenționate care asigură implementarea NSD pot fi:

programe de selecție și deschidere;

amenințări de implementare a programelor;

Programe care demonstrează utilizarea capabilităților de software și hardware și hardware non-declarate

programe de generare a virusului computerului;

programe care demonstrează vulnerabilitățile instrumentelor de securitate a informațiilor și alții.

Datorită complicației și creșterii diversității software-ului, numărul de programe rău intenționate crește rapid. Astăzi sunt cunoscute mai mult de 120 de mii de semnături de viruși de calculator. În același timp, nu toate acestea reprezintă o adevărată amenințare. În multe cazuri, eliminarea vulnerabilităților în software-ul sistemului sau aplicației a condus la faptul că o serie de programe rău intenționate nu mai pot implementa în ele. Adesea, principalul pericol reprezintă noi programe rău intenționate.

5.6. Caracteristicile generale ale canalelor de informare non-tradiționale

Canalul de informații non-tradiționale este un canal de asigurare a informațiilor utilizând canale tradiționale de comunicare și transformări speciale ale informațiilor transmise care nu sunt legate de criptografice.

Metodele pot fi utilizate pentru a forma canale neconvenționale:

steganografie de calculator;

Pe baza manipulării diverse caracteristici Caiden, care poate fi obținut sancționat (de exemplu, timpul de procesare a diferitelor interogări, volume memorie răspunsată sau accesibil pentru a citi identificatorii de fișiere sau procese etc.).

Metodele de steganografie de calculator sunt concepute pentru a ascunde faptul că transferarea mesajului prin încorporarea informațiilor ascunse în date inofensive (text, grafice, audio sau video) și includ două grupe de metode bazate:

Pe utilizarea proprietăților speciale ale formatelor de calculator pentru depozitare și transfer de date;

Privind redundanța audio, vizuală sau informații text. Din poziția caracteristicilor psiho-fiziologice ale percepției umane.

Clasificarea metodelor de seganografie computerizate este prezentată în Figura 15. Ei caracteristici comparative prezentat în tabelul 4.

Cea mai mare dezvoltare și aplicație găsesc în prezent metode de ascundere a informațiilor în stegroontaineri grafici. Acest lucru se datorează unei cantități relativ mari de informații care pot fi găzduite în astfel de recipiente fără o denaturare a imaginii vizibile, prezența unei informații priori despre mărimea containerului, existența în cele mai reale imagini ale zonelor texturale având o structură de zgomot și bine - Îndepărtarea informațiilor încorporate, metodele de dezvoltare a formatelor de procesare a imaginilor digitale și a metodelor digitale. În prezent, există o serie de produse software comerciale și gratuite disponibile utilizatorului obișnuit care implementează metodele seganografice bine cunoscute de ascundere a informațiilor. În același timp, conștierii grafici și audio sunt utilizați în mod predominant.

Figura 15. Clasificarea metodelor de transformare a informațiilor steganografice (SP)

Tabelul 4.

Caracteristicile comparative ale metodelor de conversie a informațiilor seganografice

Metoda steganografică	Metodă caracteristică scurtă	dezavantaje	Beneficii
Metode de ascundere a informațiilor în conștierii audio
	Pe baza înregistrării mesajului la cele mai mici biți semnificativi ai semnalului sursă. Ca un container utilizat, de regulă, un semnal audio necomprimat	Transfer de mesaje reduse de secret. Rezistență la distorsiune scăzută. Utilizate numai pentru anumite formate de fișiere audio.
Metoda de ascundere bazată pe distribuția spectrului	Bazat pe generarea zgomotului pseudo-aleatoriu, care este funcția mesajului introdus și se amestecă zgomotul rezultat la recipientul principal de semnalizare ca o componentă aditivă. Codarea fluxurilor de informații prin împrăștierea datelor cu frecvent de date codate
Metoda de calfacție bazată pe utilizarea unui semnal ECHO	Bazându-se pe utilizarea semnalului audio, reținut pentru perioade diferite de timp, în funcție de mesajul implementat ("ECH DOWNTOWN")	Coeficientul de utilizare a containerului scăzut. Costuri semnificative de computație	Mesaje de stealth de înaltă performanță
Metoda de calfacție în faza de semnal	Pe baza insensibilității urechii umane la valoarea absolută a fazei armonice. Semnalul audio este împărțit în secvență de secvență, mesajul este încorporat prin modificarea fazei primului segment	Coeficientul de utilizare a recipientelor mici	Are o secretitate mult mai mare decât ascunderea metodelor în NBB
Metode de ascundere a informațiilor în containerele de text
Metoda de ascundere bazată pe sonică	Pe baza spațiilor de inserare la sfârșitul liniilor, după semne de punctuație, între cuvintele la alinierea lungimii corzilor	Metodele sunt sensibile la transferul de text de la un format la altul. Posibilă pierdere de comunicare. Secretul scăzut	Destul de mare lățime de bandă
Metoda de calfacție bazată pe caracteristicile sintactice ale textului	Se bazează pe faptul că regulile de punctuație permit ambiguitățile la alinierea semnelor de punctuație	Lățime de bandă foarte scăzută. Completitudinea detectării mesajului	Există o posibilitate potențială de a alege această metodă la care vor fi necesare proceduri extrem de complexe pentru a dezvălui mesajul.
Metoda de concentrare bazată pe sinonim	Pe baza introducerii informațiilor în text folosind alternarea cuvintelor din orice grup sinonim	Complicate în raport cu limba rusă datorită varietății mari de nuanțe în diferite sinonime	Una dintre metodele cele mai promițătoare. Are o postare relativ înaltă
Metoda de calfacție bazată pe utilizarea erorilor	Se bazează pe mascarea biților de informație în cadrul erorilor naturale, greșelile, încălcările regulilor de scriere a combinațiilor de vocale și consoane, înlocuind chirilicul la similar în apariția literelor latine etc.	Lățime de bandă scăzută. Rapid dezvăluit cu analiza statistică	Extrem de ușor de utilizat. Secretul ridicat la analizarea omului
Metoda bazată pe generarea calcitectică	Pe baza generației unui container text utilizând un set de propuneri pentru reguli. Se utilizează criptografia simetrică	Lățime de bandă scăzută. Maturiseră a textului creat	Secretul este determinat prin metode de criptare și, de regulă, destul de mare
Metoda de ascundere bazată pe utilizarea caracteristicilor fontului	Pe baza introducerii informațiilor datorate modificărilor tipului de font și dimensiunea literei, precum și posibilitatea de a încorpora informații în blocuri cu identificatori necunoscuți pentru browser	Ușor de detectat atunci când scala documentului este convertită, cu stewardia statistică	Coeficientul ridicat de utilizare a containerului
Metoda de calfacție bazată pe utilizarea codului documentului și a fișierului	Pe baza informațiilor de postare în câmpurile rezervate și neutilizate de lungime variabilă	Secretul scăzut cu un format de fișier cunoscut	Ușor de folosit
Metoda de calfacție bazată pe utilizarea jargonului	Pe baza schimbărilor cuvintelor	Lățime de bandă scăzută. Nerco specializat. Secretul scăzut	Ușor de folosit
Metoda de calfacție bazată pe utilizarea alternanței cuvintelor	Pe baza generației de containere text cu formarea cuvintelor de o anumită lungime în conformitate cu regula de codificare cunoscută	Complexitatea formării containerului și a mesajului	Secretul suficient de ridicat la analizarea omului
Metoda de calfacție bazată pe utilizarea primelor litere	Pe baza introducerii mesajului în primele litere ale cuvintelor textului cu selecția cuvintelor	Complexitatea compilării mesajului. Mesaj de secret scăzut	Oferă o mai mare libertate de a alege un operator care inventează un mesaj
Metode de ascundere a informațiilor în recipientele grafice
Metoda de ascundere a celor mai mici biți semnificativi	Pe baza mesajelor de postare către cei mai mici biți semnificativi ai imaginii originale	Transfer de mesaje reduse de secret. Rezistență la distorsiune scăzută	Capacitate suficient de mare a recipientului (până la 25%)
Metoda de calfacție bazată pe modificarea formularului de prezentare a indexului	Pe baza paletei de culori de reducere (înlocuire) și a ordonării culorilor în pixeli cu numere adiacente	Este folosit în principal imagini comprimate. Postarea transmisiei de putere redusă	Capacitatea de capacitate de containere de înaltă performanță
Metoda de calfacție bazată pe utilizarea funcției de autocorelare	Pe baza căutării utilizând funcția de autocorelare a zonelor care conțin date similare	Complex de complex	Rezistența la cele mai multe transformări de container neliniare
Metoda de calfacție bazată pe utilizarea modulației neliniare a unui mesaj încorporat	Pe baza modulației semnalului pseudo-aleatoriu la semnalul care conține informațiile ascunse
Metoda de calfacție bazată pe utilizarea modulației iconice a mesajului încorporat	Pe baza modulației semnalului pseudo-aleatoriu printr-un semnal bipolar care conține informațiile ascunse	Precizie scăzută de detectare. Distorsiuni	Mesaj suficient de mare al secretului
Metoda de concentrare bazată pe wavelet-conversie	Pe baza particularităților transformărilor wavelet	Complex de complex	Secreție ridicată
Metoda de calfacție bazată pe utilizarea transformării discrete cosine	Pe baza caracteristicilor transformării cosinei discrete	Calculul completitudinii	Secreție ridicată

În canalele de informare neconvenționale bazate pe manipularea diferitelor caracteristici ale resurselor CDN, sunt utilizate pentru a transmite unele resurse partajate. În același timp, în canalele care utilizează caracteristicile de timp, modularea timpului de angajare al unei resurse comune (de exemplu, modul de angajare a procesorului, aplicațiile pot face schimb de date).

În canalele de memorie, resursa este utilizată ca tampon intermediar (de exemplu, aplicațiile pot schimba datele prin plasarea acestora în nume crearea fișierelor și director). În canalele de baze de date și cunoștințe folosesc dependențele între datele care apar bazele relaționale Date și cunoștințe.

Canalele de informare non-tradiționale pot fi formate la diferite niveluri de inactivitate:

la nivelul hardware;

la nivelul microcodurilor și driverelor de dispozitiv;

la nivelul sistemului de operare;

la nivelul software-ului de aplicație;

la nivelul funcționării canalelor de transmisie a datelor și a liniilor de comunicare.

Aceste canale pot fi utilizate atât pentru transmiterea ascunsă a informațiilor copiate, cât și pentru comenzile secrete pentru executarea acțiunilor distructive, lansarea aplicațiilor etc.

Pentru a pune în aplicare canalele, este de regulă, este necesar să se implementeze un software sau un marcaj de software și hardware într-un sistem automatizat care să asigure formarea unui canal netradițional.

Canalul de informare neconvențional poate exista în sistem continuu sau activat o singură dată sau în condiții specificate. În acest caz, este posibilă existența feedback-ului cu subiectul NSD.

5.7. Caracteristicile generale ale rezultatelor accesului neautorizat sau accidental

Punerea în aplicare a amenințărilor la NSD la informații poate duce la următoarele tipuri de încălcare a securității sale:

încălcarea confidențialității (copiere, distribuție ilegală);

Integritate afectată (distrugere, schimbare);

Încălcarea disponibilității (blocarea).

Tulburarea confidențialității poate fi implementată în cazul scurgerilor de informații:

copierea acestuia la mass-media înstrăinată;

transmiterea acesteia prin canale de date;

la vizualizarea sau copierea acestuia în timpul reparației, modificării și eliminării software-ului și a hardware-ului;

cu "ansamblul de gunoi" de violare în timpul funcționării CDN.

Încălcarea integrității informațiilor se efectuează prin impactul (modificarea) asupra programelor și datelor de utilizator, precum și informații tehnologice (sistem), inclusiv:

firmware, date și drivere ale dispozitivelor de sistem de calcul;

programe, date și drivere dispozitive care furnizează boot-ul sistemului de operare;

programe și date (descriptori, descriptori, structuri, tabele etc.) ale sistemului de operare;

programe și date software de aplicație;

Programe și date software speciale;

Valorile intermediare (operaționale) ale programelor și datelor în procesul de prelucrare (citire / scriere, recepție / transmitere) prin mijloace și dispozitive de echipament de calcul.

Încălcarea integrității informațiilor în CPF poate fi, de asemenea, cauzată de introducerea unui program rău intenționat și a unui impact hardware asupra sistemului de securitate a informațiilor sau a elementelor sale.

În plus, este posibil să se efectueze informații despre rețeaua tehnologică, care să poată asigura funcționarea diferitelor mijloace de control al rețelei de calcul:

configurarea Rețelei;

adresele și transferul de date privind traseul în rețea;

controlul rețelei funcționale;

securitatea informațiilor privind rețeaua.

Încălcarea disponibilității informațiilor este furnizată prin formarea (modificarea) datelor sursă, care atunci când procesării cauzează funcționarea incorectă, eșecurile echipamentului sau capturarea (încărcătura) a resurselor de calcul care sunt necesare pentru a efectua programe și funcționarea echipamentelor.

Aceste acțiuni pot duce la încălcarea sau eșecul funcționării aproape orice mijloace tehnice CADN:

procesarea informatiei;

iNFORMAȚII INFORMAȚII I / O;

medii de stocare a informațiilor;

Echipamente și canale de transmisie;

instrumente de securitate a informațiilor.

Necesare pentru scriitorii de viruși și sarcina criminalilor cibernetici este introducerea unui program de virus, vierme sau troian într-un computer de sacrificiu sau telefon mobil. Acest obiectiv este realizat în diferite moduri care sunt împărțite în două categorii principale:

ingineria socială (a folosit, de asemenea, termenul "inginerie socială" - urmărirea cu limba engleză "inginerie socială");
tehnici tehnice pentru introducerea unui cod rău intenționat într-un sistem infectat fără cunoștințele unui utilizator.

Adesea, aceste metode sunt utilizate simultan. În același timp, măsurile speciale sunt folosite pentru a contracara programele anti-virus.

Inginerie sociala

Metode de inginerie socială într-un fel sau altul face ca utilizatorul să ruleze fișierul infectat sau să deschidă link-ul către site-ul infectat. Aceste metode sunt aplicate nu numai de numeroase viermi poștali, ci și de alte tipuri de software rău intenționat.

Sarcina hackerilor și a scriitorilor de viruși - pentru a atrage atenția utilizatorului la fișierul infectat (sau link-ul HTTP către fișierul infectat), interesați utilizatorul, faceți clic pe fișier (sau pe link-ul la fișier). "Clasicul genului" este LoveLeter Postwall în mai 2000, păstrând în continuare leadership pe amploarea daunelor financiare cauzate, conform datelor de economie informatică. Mesajul pe care viermele a fost afișat pe ecran, arăta astfel:

La recunoașterea "Te iubesc" a reacționat foarte mult și ca rezultat servers de mail Companiile mari nu au putut rezista încărcăturii - viermele și-au trimis copii pe toate contactele de la agendă de fiecare dată când se deschide fișierul VBS investit.

Viermele de corespondență din MyDoom, "Rushing" pe Internet în ianuarie 2004, au folosit texte care simulează mesajele tehnice ale serverului de poștă electronică.

De asemenea, merită menționat viermele SWEN, care sa eliberat pentru mesajul de la Microsoft și mascat sub un plasture care elimină o serie de noi vulnerabilități în Windows (nu este surprinzător faptul că mulți utilizatori au cedat să stabilească "Compartimentul următor din Microsoft") .

Există, de asemenea, cazuri, dintre care una a avut loc în noiembrie 2005. Într-una din versiunile viermei sobru, sa raportat că poliția penală germană investighează cazurile de vizită a site-urilor ilegale. Această scrisoare a căzut la un fan al pornografiei infantile, care a luat-o pentru scrisoarea oficială - și a predat ascultător autorităților.

Recent, nu popularitatea a fost făcută în scrisoarea investită în scrisoare, dar link-uri către fișiere situate pe site-ul infectat. Mesajul este trimis la potențialul victimă - Postal, prin intermediul ICQ sau un alt pager, mai puțin de multe ori - prin intermediul chat-urilor de internet IRC (în cazul virușilor mobile, un mesaj SMS este utilizat în metoda de livrare obișnuită). Mesajul conține orice text atractiv care face ca utilizatorul care să nu fie clic pe link. Aceasta metoda Penetrațiile în computerele sacrifici astăzi este cea mai populară și mai eficientă, deoarece vă permite să ocoliți filtrele anti-virus vigilent pe serverele de e-mail.

Sunt utilizate și posibilitățile de rețele de partajare a fișierelor (rețeaua P2P). Viermele sau programul troian este stabilit în rețeaua P2P sub o varietate de nume de "delicioase", de exemplu:

AIM & AOL PASSWORD HACKER.EXE
Microsoft CD Key Generator.exe
Pornstar3d.exe.
emulator de stații de redare crack.exe

În căutarea de programe noi, utilizatorii rețelelor P2P sunt împiedicate în aceste nume, descărcați fișiere și executați-le pentru a executa.

De asemenea, popular "cablare", când victima aplică o utilitate sau instrucțiuni gratuite pentru hacking diverse sisteme de plată. De exemplu, oferta de a obține acces gratuit la internet sau operatorul celular, Descărcați generatorul de numere de card de credit, creșteți suma de bani într-un portofel personal de internet etc. În mod natural, este puțin probabil ca victimele unei astfel de fraude să meargă la agențiile de aplicare a legii (la urma urmei, ei înșiși au încercat să câștige un mod fraudulos), iar criminali-internet sunt utilizați de acest lucru.

Modul neobișnuit de "cablare" a folosit un atacator necunoscut din Rusia în perioada 2005-2006. Programul troian a fost trimis la adresele găsite pe site-ul job.ru specializat în ocuparea forței de muncă și căutarea personalului. Unii dintre cei care au publicat CV-urile lor acolo au primit o presupusă propunere de a lucra cu un dosar investit într-o scrisoare, care a fost propus să se deschidă și să se familiarizeze cu conținutul său. Dosarul a fost, desigur, programul troian. De asemenea, este interesant faptul că atacul a fost realizat în principal pe adresele poștale corporative. Calculul, aparent, a fost construit pe faptul că angajații companiilor sunt puțin probabil să raporteze sursa de infecție. Așa că sa întâmplat - Specialiștii Kaspersky Lab pentru mai mult de șase luni nu au putut obține informații inteligibile despre metoda de penetrare a programului troian în computerele utilizatorilor.

Există, de exemplu, cazuri destul de exotice, de exemplu, o scrisoare cu un document investit, în care clientul băncii este rugat să confirme (sau mai degrabă - să raporteze) codurile de acces - Imprimați documentul, completați formularul atașat și apoi trimiteți-l prin fax la numărul de telefon specificat în scrisoare.

Un alt caz de livrare neobișnuit programul spyware. "Casa" a avut loc în Japonia în toamna anului 2005. Unii atacatori au trimis infectarea CD-urilor cu adresele de origine troiene (oraș, stradă, casă) de clienți ai uneia dintre băncile japoneze. În același timp, informațiile au fost folosite de la o bază de clienți pre-furată a acestei bănci în sine.

Implementarea tehnologiei.

Aceste tehnologii sunt utilizate de intruși pentru a implementa codul rău intenționat în sistem este secret, fără a atrage atenția proprietarului calculatorului. Se efectuează prin vulnerabilități în sistemul de securitate al sistemelor de operare și în software. Prezența vulnerabilităților permite unui vierme de rețea de rețea sau un program troian să pătrundă în sacrificiu și să se lanseze independent.

Vulnerabilitățile sunt în esență erori în cod sau în logica activității diferitelor programe. Sistemele moderne de operare și aplicațiile au o structură complexă și o funcționalitate extinsă și este pur și simplu imposibil să se evite erorile în proiectarea și dezvoltarea lor. Acesta este utilizat de viruși și intruși de calculator.

Vulnerabilități B. clienții poștali Outlook au folosit viermi poștali NIMDA și Aliz. Pentru a porni fișierul de vierme, a fost suficient să deschideți o scrisoare infectată sau pur și simplu pentru a aduce cursorul pe acesta în fereastra de previzualizare.

De asemenea, programele rău intenționate au utilizat în mod activ vulnerabilitățile în componentele de rețea ale sistemelor de operare. Pentru distribuția sa, viermi de codificat, Sasser, Slammer, Lovesan (Blaster) și multe alte viermi care rulează sub ferestre au folosit astfel de vulnerabilități. Sub lovitura și sistemele Linux - viermi Ramen și Slupper au pătruns computere prin vulnerabilități în acest mediu de operare și aplicații pentru aceasta.

În ultimii ani, una dintre cele mai populare metode de infecție a devenit introducerea codului rău intenționat prin intermediul paginilor web. Este adesea folosită vulnerabilități în browserele de internet. Pagina web este plasată în programul Advance File și Script care utilizează vulnerabilitatea în browser. Când utilizatorul ajunge la pagina infectată, programul de script este declanșat, care vulnerabilitate descărcați fișierul infectat la computer și îl începe acolo pentru execuție. Ca rezultat, pentru a infecta un număr mare de computere, este suficient să atrageți cât mai mult posibil utilizatorii unei astfel de pagini web. Acest lucru se realizează în diferite moduri, de exemplu, trimiterea spamului cu adresa paginii, trimiterea de mesaje similare prin intermediul paginilor de internet, uneori chiar și motoarele de căutare pentru acest lucru. Pe pagina infectată există un text variat, care mai devreme sau târziu este verificat de motoarele de căutare - și link-ul către această pagină se află în lista altor pagini din rezultatele căutării.

O clasă separată este programele troiene care sunt concepute pentru a descărca și lansa alte programe Trojan. De obicei, acești troieni care au o dimensiune foarte mică, într-un fel sau altul (de exemplu, folosind următoarea vulnerabilitate în sistem) "se potrivesc" pe computerul sacrificiu și apoi să se rostogolească independent de pe Internet și să stabilească alte componente rău intenționate la sistem. Adesea, astfel de troieni schimbă setările browserului la cele mai nesigure de "facilitarea drumului" altor troieni.

Vulnerabilitățile care devin cunoscute sunt corectate cu promptitudine de către dezvoltatori, dar informațiile despre noile vulnerabilități apar în mod constant, care încep imediat să fie utilizate de numeroși hackeri și viruși. Multe "boturi" troiene utilizează noi vulnerabilități pentru a-și crește numerele, iar noile erori din Microsoft Office încep imediat să fie utilizate pentru a introduce programe troiene regulate la computere. În același timp, din păcate, există o tendință de reducere a decalajului temporar între apariția informațiilor privind următoarea vulnerabilitate și începutul utilizării lor viermi și a troienilor. Ca urmare, producătorii de software vulnerabili și dezvoltatorii de programe antivirus se află în situația Zeietic. Primul trebuie să fie fixat cât mai repede posibil, testați rezultatul (de obicei, numit "patch", "patch") și trimite-l utilizatorilor, iar al doilea este de a elibera imediat instrumentul de detectare și blocarea obiectelor (fișiere, pachete de rețea) folosind vulnerabilitatea.

Utilizarea simultană a tehnologiilor pentru implementarea și metodele ingineriei sociale

Destul de des, intrușii de calculator sunt utilizați la ambele metode. Metoda de inginerie socială este de a atrage atenția unei potențiale victime și tehnice - pentru a crește probabilitatea de penetrare a obiectului infectat în sistem.

De exemplu, viermele poștale ale lui Mimail sa răspândit ca atașament în e-mail. Pentru ca utilizatorul să acorde atenție scrisorii, este introdus un text special decorat și pentru a începe o copie a viermei din arhiva ZIP atașată la litera - vulnerabilitate în motor de cautare Explorator. Ca rezultat, la deschiderea unui fișier din arhivă, viermele a creat o copie pe disc și a pornit-o pe execuție fără avertismente de sistem sau acțiuni suplimentare ale utilizatorului. Apropo, acest vierme a fost unul dintre primele, destinate furtului informații personale Internet Wallet Utilizatori E-Gold System.

Un alt exemplu este corespondența spamului cu "Hi" și textul "Vezi ce scrie despre tine". Textul a urmat link-ul către o anumită pagină web. Când analizați, sa dovedit că această pagină web conține un program de script care, utilizând o altă vulnerabilitate în Internet Explorer., Încarcă programul Trojan LDpinch către utilizator, destinat furtului diferitelor parole.

Combaterea programelor antivirus

Deoarece scopul intrușilor de calculator este de a introduce codul rău intenționat în computerele victimelor, atunci pentru aceasta nu trebuie doar să forțeze utilizatorul să înceapă un fișier contaminat sau să intre în sistem prin orice vulnerabilitate, dar, de asemenea, să alunece imperceptibil de filtrul antivirus instalat. Prin urmare, nu este surprinzător faptul că atacatorii se luptă intenționat cu programele antivirus. Tehnicile tehnice utilizate sunt foarte diverse, dar cel mai adesea se găsesc următoarele:

Ambalare și cod de criptare. O parte semnificativă (dacă nu este cea mai mare) a viermilor moderni și a programelor troiene sunt ambalate sau criptate într-un fel sau altul. În plus, computerul subcurrent este creat special pentru aceste utilități de ambalare și criptare proiectate. De exemplu, Malicious sa dovedit a fi absolut toate fișierele tratate cu utilități criptexe, exerenț, policrypt și altele.

Pentru a detecta astfel de viermi și troieni, programele anti-virus trebuie fie să adauge noi metode de despachetare și decriptare sau să adauge semnături pentru fiecare probă dintr-un program rău intenționat, ceea ce reduce calitatea detectării, deoarece toate probele posibile de cod modificate sunt în mâini a companiei antivirus.

Mutație de cod. Diluarea codului troian "coș de gunoi". Ca rezultat, funcțiile programului troian rămâne, dar se schimbă semnificativ " aspect" Cazurile apar periodic atunci când mutația de cod are loc în timp real - cu fiecare descărcare a programului Trojan de pe site-ul infectat. Acestea. Toate sau o parte semnificativă a eșantioanelor troian care se încadrează de la un astfel de sit sunt diferite. Un exemplu de aplicare a acestei tehnologii este viermele de corespondență din Warezov, din care mai multe versiuni au cauzat epidemii semnificative în a doua jumătate a anului 2006.

Ascunzându-vă prezența. Așa-numitele "tehnologii Rootkit" (de la "rootkit englez), utilizate în mod obișnuit în programele troiene. Se efectuează interceptarea și înlocuirea funcțiilor sistemului, datorită cărora fișierul infectat nu este vizibil, nici prin mijloace regulate ale sistemului de operare, nici de programele antivirus. Uneori, sucursalele de registry sunt, de asemenea, ascunse în care sunt înregistrate o copie a troianului și a altor zone de sistem ale computerului. Aceste tehnologii sunt utilizate în mod activ, de exemplu, troian-backdoor HACDEF.

Oprirea activității antivirusului și a sistemului de obținere a actualizărilor bazelor antivirus (actualizări). Multe programe troiene și viermi de rețea iau acțiuni speciale împotriva programelor antivirus - căutându-le în lista de aplicații active și încearcă să-și oprească activitatea, să strică bazele de date Antivirus, să blocheze primirea actualizărilor etc. Programele antivirus trebuie să se protejeze cu modalități adecvate - să monitorizeze integritatea bazelor de date, să-și ascundă procesele de la troieni etc.

Ascunderea codului pe site-uri web. Adresele de pagini web pe care sunt prezente fișiere trojan, mai devreme sau mai târziu, companiile antivirus devin cunoscute. Bineînțeles, astfel de pagini se încadrează în continuare atenția analiștilor anti-viruși - conținutul paginii Descărcări periodice, versiunile noi ale programelor Trojan sunt înregistrate în actualizări antivirus. Pentru a contracara acest lucru, pagina web este modificată într-un mod special - dacă cererea merge de la adresa companiei antivirus, atunci un fișier nucleani este descărcat în loc de Trojan.

Cantitatea de atac. Generarea și distribuția pe Internet un numar mare Noi versiuni ale programelor troiene într-o perioadă scurtă de timp. Ca rezultat, companiile anti-virus sunt "înviat" cu noi eșantioane, ceea ce necesită timp să analizeze timpul, ceea ce oferă o șansă suplimentară o șansă suplimentară de introducere reușită în computere.

Aceste și alte metode sunt utilizate de către calculatorul subteran pentru a contracara programele antivirus. În același timp, activitatea ciberneticilor este în creștere de la an după an, iar acum putem vorbi despre prezenta "Cursa Tehnologiilor", care sa transformat între industria antivirus și industria virală. În același timp, numărul de hackeri individuali și grupuri criminale, precum și profesionalismul lor, crește. Toate acestea îmbunătățesc foarte mult complexitatea și cantitatea de muncă necesară pentru companiile antivirus să dezvolte niveluri suficiente.

Impactul software-matematic este un impact cu ajutorul programelor rău intenționate. Programul cu consecințe potențial periculoase sau un program rău intenționat se numește un program independent (set de instrucțiuni), care este capabil să efectueze orice subset non-goale din următoarele funcții: · Ascunde semnele prezenței sale în limitele de software; · Aveți capacitatea la auto-ajustare, să vă asociați cu programe drepte și (sau) să transferați fragmentele lor în alte zone de memorie operațională sau externă; · Să distrugă (denaturează un cod arbitrar) de programe de memorie procratic; · Pentru a efectua fără inițierea de la utilizator (Program de utilizator în modul de execuție standard) Funcțiile distructive (copiere, distrugere, blocare și altele asemenea.); · Salvați fragmente de informații de la RAM în Soulders de memorie externă a accesului drept (locale sau rămășite); · Pentru a distorsiona un mod arbitrar, bloc și (sau) fără schimbare în memoria exterioară sau în canalul de comunicare, o gamă de informații formate ca rezultat al programelor aplicate sau localizate deja în memoria externă a matricei de date.

Programele malware moderne se bazează pe utilizarea vulnerabilităților de diferite tipuri de software (sistemic, general, aplicat) și diverse tehnologii de rețea, posedă o gamă largă de capabilități distructive (de la studiul neautorizat al parametrilor PDN fără interferență în funcționarea CDN, înainte de distrugerea PDN-urilor și software-ului CDN) și poate acționa în toate tipurile de software (sistem, aplicat, în drivere hardware etc.).

Principalele tipuri de programe rău intenționate sunt:

· Marcaje software;

· Virusuri clasice de software (computer);

· Programe rău intenționate care se propagă în rețea (viermi de rețea);

· Alte programe rău intenționate destinate implementării NSD.

O scurtă descriere a principalelor programe rău intenționate este redusă la următoarele. Virusurile de pornire se scrie fie în sectorul de boot al discului (sector de boot), fie în sectorul care conține înregistrarea Master Boot) sau schimbând indicatorul în sectorul de boot activ. Acestea sunt introduse în memoria computerului când se încarcă de pe un disc infectat. În acest caz, încărcătorul sistemului citește conținutul primului sector al discului de la care se face descărcarea, pune informații despre citirea în memorie și transferurile la acesta (adică, virusul). După aceea, instrucțiunile de virus sunt pornite, care, de regulă, reduce cantitatea de memorie liberă, copiază codul său în locul vacant și citește continuarea acestuia de pe disc (dacă există), interceptează vectorul de întrerupere necesar (de obicei int int 13h), citește sectorul inițial de boot de memorie și transmite controlul la acesta.

În viitor, virusul de boot se comportă în același mod ca și fișierul: interceptează accesul sistemului de operare la discuri și le infectează, în funcție de anumite condiții realizează acțiuni distructive, cauzează efecte sonore sau efecte video.

Principalele acțiuni distructive efectuate de aceste virusuri sunt:

· Distrugerea informațiilor în sectoarele dischetelor și hard disk-ului;

· Excludeți posibilitatea încărcării sistemului de operare (computerul "îngheață");

· Distorsiunea codului încărcătorului;

· Formatarea dischetelor sau a discurilor logice ale hard diskului;

· Închiderea accesului la porturile COM și LPT;

· Înlocuirea simbolurilor la imprimarea textelor;

· Știri de ecran;

· Schimbați eticheta discului sau dischetei;

· Crearea de clustere pseudo-free;

· Crearea efectelor vizuale (sau) (de exemplu, picătură
litere de pe ecran);

· Dosare de date bolnave;

· Afișează o varietate de mesaje;

· Deconectați dispozitivele periferice (de exemplu, tastatura);

· Schimbați paleta de ecran;

· Umpleți ecranul cu ieșiri sau imagini;

· Rambursarea și traducerea ecranului în modul Repaus din tastatură;

· Sectoare de criptare a hard disk-ului;

· Distrugerea selectivă a caracterelor afișate pe ecran când setați de la tastatură;

· Reducerea RAM;

· Schimbarea tipăririi ecranului ecranului;

· Blocarea înregistrărilor pe disc;

· Deconectarea unui tabel de partiții (tabel de partiție pe disc), după aceea, computerul poate fi descărcat numai de pe discheta;

· Blocarea începutului fișierelor executabile;

· Blocarea accesului la Winchester.

Figura 3. Clasificarea virușilor software și a viermilor de rețea

Cele mai multe virusuri bootabile se suprascriu pe dischete.

Metoda de infectare a suprascrierii este cea mai simplă: virusul înregistrează codul său în locul codului fișierului infectat, distrugând conținutul său. Firește, în timp ce fișierul nu mai funcționează și nu este restaurat. Astfel de viruși se detectează foarte repede, deoarece sistemul de operare și aplicațiile sunt destul de repede oprit de lucru.

Categoria "Companion" include viruși care nu schimbă fișierele contaminate. Algoritmul de lucru al acestor virusuri este acela că este creat un fișier dublu pentru fișierul contaminat și când este pornit fișierul infectat, controlul primește acest gemene, adică virusul. Cele mai frecvente virusuri de companie utilizând caracteristica DOS pentru a executa mai întâi fișierele cu extensia.com, dacă există două fișiere cu același nume într-un singur director, dar prin diferite nume ale numelui - .com i.exe. Astfel de viruși creează fișiere prin satelit pentru fișierele exe, care au același nume, dar cu extensia.com, de exemplu, fișierul xcopy.com este creat pentru fișierul xcopy.exe. Virusul este înregistrat în fișierul COM și nu modifică fișierul exe. Când porniți un astfel de fișier DOS, primul va detecta și executa fișierul com, adică virusul care va porni apoi și fișierul exe. Al doilea grup face viruși care, atunci când sunt infectați, redenumiți fișierul în orice alt nume, amintiți-vă (pentru lansarea ulterioară a fișierului gazdă) și scrieți codul pe disc sub numele fișierului infectat. De exemplu, fișierul xcopy.exe este redenumit la xcopy.exd, iar virusul este scris sub numele xcopy.exe. Când porniți, controlul primește codul de virus, care pornește apoi xcopia originală stocată sub numele xcopy.exd. Interesant este faptul că această metodă funcționează, aparent, în toate sistemele de operare. Cel de-al treilea grup include așa-numitele viruși "căi de companie". Aceștia își scriu codul sub numele dosarului infectat, dar "deasupra" un nivel în căile propuse (DOS, astfel încât primul va fi detectat pentru prima dată și lansează fișierul de virus) sau va tolera fișierul sacrificiu la o subdirectoare de mai sus, etc.

Este posibil să existe și alte tipuri de viruși de companie care utilizează alte idei originale sau caracteristici ale altor sisteme de operare.

Viermii de fișiere (viermi) sunt, într-un sens, un tip de viruși ai companiei, dar în nici un caz nu își asociază prezența cu orice fișier executat. În reproducere, ele copiază numai codul în orice cataloage de disc în speranța că aceste noi copii vor fi difuzate vreodată de către utilizator. Uneori, acești viruși își dau copii de nume "speciale" pentru a împinge utilizatorul să lanseze copiile lor - de exemplu, install.exe sau winstart.bat. Există viruși viermi care utilizează tehnici destul de neobișnuite, de exemplu, înregistrându-și copii în arhive (ARJ, ZIP și altele). Unii viruși înregistrează lansarea unui fișier infectat în fișierele BAT. Nu confunda virusurile de fișiere Chervi cu viermi de rețea. Primul folosește numai funcțiile de fișier ale oricărui sistem de operare, al doilea în reproducerea lor utilizează protocoalele de rețea.

Link Virusuri, cum ar fi virușii de companie, nu modifică conținutul fizic al fișierelor, dar când este pornit fișierul infectat, software-ul OS execută codul. Aceste obiective ajung la modificarea câmpurilor de sistem de fișiere necesare.

După ce a primit controlul, virusul fișierului efectuează următoarele acțiuni generale:

· Verifică RAM pentru copie și infectare

memoria computerului Dacă nu se găsește o copie a virusului (dacă virusul este un rezident), caută fișierele neimprimate în directorul curent și (sau) rădăcini prin scanarea directoarelor de disc logice și apoi infectează fișierele detectate;

· Efectuează funcții suplimentare (dacă există): distructive

acțiuni, efecte grafice sau sonore etc. (Funcțiile suplimentare ale virusului rezident pot fi numite după un timp după activare, în funcție de ora curentă, configurația sistemului, contoarele interne de virus sau alte condiții, în acest caz virusul la activarea proceselor starea ceasului de sistem, stabilește contoare etc.);

· Returnează gestionarea programului principal (dacă este).

Trebuie remarcat faptul că cu cât virusul este mai rapid, cu atât este mai probabil apariția epidemiei acestui virus, cu atât este mai lent virusul, cu atât mai dificil de detectat (dacă, bineînțeles, acest virus este necunoscut). Virușii nerezidenți sunt adesea "lenți" - majoritatea fiind infectați cu unul sau două sau trei fișiere atunci când porniți și nu au timp să plutească computerul înainte de lansarea programului antivirus (sau aspectul unei noi versiuni a antivirusului configurat la acest virus). Există, desigur, viruși nerezidenți "rapizi", care caută și infectează toate fișierele, dar astfel de viruși sunt foarte vizibili: Când porniți fiecare fișier infectat, computerul are unele (uneori destul de lung), timpul funcționează în mod activ cu hard diskul, care demonstrează virusul. Viteza de distribuție (infecție) la virușii rezidenți este de obicei mai mare decât nerezidentă - infectează fișierele cu orice contestație la acestea. Ca rezultat, toate fișierele utilizate în mod constant în funcționare sunt infectate pe disc. Viteza de distribuție (infecție) a virușilor de fișiere rezidente infectează fișierele numai atunci când au început să execute, vor fi mai mici decât cele ale virușilor care infectează fișierele și când sunt deschise, redenumite, schimbând atributele de fișiere etc.

Macrovirusurile (macro virusurile) sunt limbi (macro-limbă) încorporate în unele sisteme de prelucrare a datelor (editori de text, foi de calcul etc.). Pentru reproducerea sa, astfel de viruși utilizează capabilitățile macrovolelor și cu ajutorul lor se transferă dintr-un dosar infectat (document sau tabel) altor persoane. Macrovirusurile au fost cele mai comune pentru pachetul de aplicații Microsoft Office.

Pentru existența virusurilor într-un anumit sistem (editor), este necesar să se construiască o limbă macro-in-in-in capabilitati:

1) Legături de program pe macro-limbă la un anumit fișier;

2) copiați macroprogramele dintr-un dosar la altul;

3) Obținerea gestionării programului macro fără intervenția utilizatorului (macrocomenzi automate sau standard).

Aceste condiții sunt satisfăcute cu aplicațiile Microsoft Word, Excel și Microsoft Access. Acestea conțin Macromasics: Word Basic, Visual Basic pentru aplicații. În care:

1) Macrogramele sunt legate de un anumit fișier sau sunt în interiorul fișierului;

2) Macro-Language vă permite să copiați fișierele sau să mutați macroprogramele la fișierele de service de sistem și fișierele editabile;

3) Când lucrați cu un fișier în anumite condiții (deschidere, închidere etc.), cadrele macro sunt numite (dacă există), care sunt definite într-un mod special sau au nume standard.

Această caracteristică a macro-limbă este destinată procesării automate a datelor în organizații mari sau în rețele globale și vă permite să organizați așa-numitul "gestionare automată a documentelor". Pe de altă parte, capacitățile macro-limbă ale unor astfel de sisteme permit virusul să-și transfere codul în alte fișiere și să le infecteze astfel.

Rețeaua include viruși care utilizează în mod activ protocoalele și posibilitățile rețelelor locale și globale pentru distribuirea acestora. Principiul principal al virusului de rețea este capacitatea de a transfera în mod independent codul la un server de la distanță sau la o stație de lucru. Virusurile de rețea "Fuld-Fledged" au, de asemenea, capacitatea de a-și rula codul pe un computer la distanță sau cel puțin "împingeți utilizatorul pentru a lansa un fișier infectat.

Programe rău intenționate care asigură implementarea NSD pot fi:

· Programe de selecție și de deschidere a parolelor;

· Programe care implementează amenințări;

· Programe care demonstrează utilizarea capabilităților non-declarate de software și software și hardware CDM;

· Programe de generare a virusului computerului;

· Programe care demonstrează vulnerabilități de securitate
informații etc.

Clasificarea violatorilor

Pe baza apartenenței la Dodge, toți violatorii sunt împărțiți în două grupuri:

Violatorii externi - persoane care nu au dreptul de a rămâne pe teritoriul zonei controlate, în cadrul căruia echipamentul este nerăbdător;

Violatorii interni - persoanele care au dreptul de a rămâne pe teritoriul zonei controlate, în cadrul căruia se impune echipamentul.

Violator extern

În calitate de violator al securității informațiilor externe, este considerat un violator, care nu are acces direct la resursele și resursele tehnice ale sistemului în zona controlată.

Se presupune că încălcătorul extern nu poate afecta informațiile protejate privind canalele tehnice de scurgere, deoarece cantitatea de informații stocate și prelucrate în locuințe este insuficientă pentru posibila motivație a încălcării externe de a efectua acțiuni care vizează scurgerea informațiilor privind scurgerile canale.

Se presupune că intrusul extern poate afecta informațiile protejate numai în timpul transferului prin canale de comunicare.

Violator intern

Posibilitățile de insuficiență interne depind în mod semnificativ de factorii restrictivi care operează în mod curent în cadrul zonei controlate, dintre care menținerea unui complex de măsuri organizaționale și tehnice, inclusiv selecția, acordarea și furnizarea personalului de înaltă formare, la admiterea persoanelor fizice În interiorul zonei controlate și controlul lucrărilor de procedură menite să prevină și să împiedice accesul neautorizat.

Sistemul de distribuție a distribuției sistemului de acces oferă o delimitare a drepturilor utilizatorilor de a accesa informații, software, hardware și alte resurse, în conformitate cu politica adoptată de securitate a informațiilor (reguli). La violatorii interni se pot relaționa (tabelul):

Administratorii unor subsisteme sau baze de date specifice din categoria II);

Utilizatori care sunt externi în raport cu AC (categoria IV);

Persoanele cu capacitatea de a accesa sistemul de transmisie a datelor (categoria V);

Angajați angajați cu acces autorizat la sediul din incintă, în care elementele sunt nerăbdătoare, dar nu au acces la acestea (categoria VI);

Personal de service (lucrători de securitate, inginerie și inginerie etc.) (categoria VII);

Personalul autorizat al dezvoltatorilor CDN, care este pe o bază contractuală are dreptul la întreținere și modificarea componentelor codului (categoria VIII).

Fațele categoriilor I și II sunt atribuite sarcini pentru administrarea de software și hardware și baze de date din baza de date pentru integrare și asigurarea interacțiunii diferitelor subsisteme care fac parte din CDN. Administratorii pot implementa potențial amenințările la IB, utilizând posibilitățile de acces direct la informațiile protejate prelucrate și stocate în locuință, precum și la tehnică și tehnică software. Caiden, inclusiv mijloacele de protecție utilizate în AC specific, în conformitate cu autoritatea administrativă stabilită pentru aceștia.

Aceste persoane sunt bine familiarizate cu principalii algoritmi, protocoalele puse în aplicare și utilizate în subsisteme specifice și insecuritatea în ansamblu, precum și cu principiile și conceptele aplicabile de securitate.

Se presupune că ar putea folosi echipament standard fie să identifice vulnerabilitățile, fie pentru realizarea amenințărilor IB. Acest echipament poate fi ca parte cu normă întreagăși se pot referi la obținerea cu ușurință (de exemplu, software obținut din surse externe accesibile publicului).

În plus, se presupune că aceste persoane ar putea avea echipamente specializate.

Categorii Persoanelor I și II, având în vedere rolul lor excepțional, ar trebui să se aplice un complex de măsuri organizaționale și de regim special pentru selecția, ocuparea forței de muncă, numirea și controlul îndeplinirii sarcinilor funcționale.

Se presupune că numai persoanele de încredere vor fi incluse în numărul de categorii I și II și, prin urmare, aceste persoane sunt excluse din numărul de violatori probabili.

Se presupune că fețele categoriilor III-VIII se referă la violatorii probabili.

Posibilitățile insuficienței interne sunt semnificativ dependente
Din regimul valabil în zona controlată
și măsuri organizaționale și tehnice de protecție, inclusiv admiterea persoanelor fizice la PDN-uri și controlul procedurii de desfășurare a muncii.

Violatorii potențiali interni sunt împărțiți în opt categorii, în funcție de metoda de acces și de permisiunile de acces la PDNS.