Kötü niyetli programlar ağında uygulama tehditleri. Uzaktan Uygulama Başlatma Tehditleri
Tehdit, ana bilgisayarda önceden uygulanmış çeşitli kötü amaçlı yazılımları piyasaya sürme arzusudur: ana amacı, ana amacı, ana amacı, bir gizlilik, dürüstlük, bilgi kullanılabilirliği ve ev sahibinin çalışmaları üzerinde tam kontrolü olan temel amacı olan "Ağ Spies", . Ek olarak, uygulama programı, vb. Tarafından yönetilen süreçleri başlatmak için izinsiz veri alımı için yetkisiz kullanıcı uygulama programlarının yetkisiz edilmesi mümkündür.
Üç tehdit veri alt sınıfı ayırt edilir:
yetkisiz yürütülebilir kod içeren dosyaların dağılımı;
uzaktan Uygulama Uygulama Tamponlarının Taşınmasıyla Başlatma;
uzaktan Uygulama Gizli yazılım ve donanım yer imleri tarafından sağlanan uzaktan kumanda sistemi seçeneklerini kullanarak veya standart araçlarla kullanılır.
Belirtilen alt sınıfların birincisinin tipik tehditleri, bunlara yanlışlıkla erişim durumunda dağıtılan dosyaların etkinleştirilmesine dayanır. Bu tür dosyaların örnekleri olabilir: ActiveX Elements, Java Applets, yorumlanan komut dosyaları (örneğin, JavaScript'teki metinler), yürütülebilir kod içeren belgelerde yürütülebilir kod içeren dosyalar; Yürütülebilir program kodları içeren dosyalar. Dosyaları dağıtmak için e-posta hizmetleri, dosya aktarımı, ağ dosyası sistemi kullanılabilir.
İkinci alt sınıfın tehditleri ile, ağ hizmetleri uygulayan programların eksiklikleri (özellikle, tampon taşması üzerinde kontrol yok) kullanılır. Sistem kayıtlarının belirlenmesi, işlemciyi tampon taşması nedeniyle, tamponun yurtdışında yer alan kod yürütülmesinden kaynaklandıktan sonra işlemciyi değiştirmek mümkündür. Böyle bir tehdidin uygulanmasına bir örnek, yaygın olarak bilinen bir "Morris virüsü" nin tanıtılması olabilir.
Üçüncü alt sınıfın tehditlerinde, suçlu, gizli bileşenler tarafından sağlanan sistemin uzaktan kumandasının yeteneklerini kullanır (örneğin, troyan tipi program türleri. Orifice, net otobüs) veya personel yönetimi ve yönetimi bilgisayar ağları (Landesk Management Suite, Yönetim, Geri Deliği, vb.). Kullanımlarının bir sonucu olarak, ağdaki istasyonun üzerinde uzaktan kumandayı elde etmek mümkündür.
Kurum işlenmiş PDN'ler ağ üzerinden gönderilmezse genel kullanım ve uluslararası değişim, virüsten koruma koruması, daha sonra tehdidin uygulanmasının olasılığı - olası değil.
Diğer tüm durumlarda, bir tehdit olasılığı tahmin edilmelidir.
Farklı kanal türleri için tehditlerin uygulanması olasılıklarının genelleştirilmiş listesi Tablo 12'de sunulmaktadır.
Tablo 12.
|
Kauden türü |
Bir tehdit olasılığı |
Coefs. Bir ihlal edici tehdidin olasılığı |
|
Özerk IC Itipa |
olası olmayan | |
|
Özerk Iitipa'dır | ||
|
Özerk IIITIP |
olası olmayan | |
|
Özerk ISTP'dir | ||
|
Özerk IC VTIPA |
olası olmayan | |
|
Özerk IC Vitype | ||
|
Tilki ufacık |
olası olmayan | |
|
FOX ILTIPA | ||
|
Dağıtılmış Itipa |
olası olmayan | |
|
Dağıtılmış Itipa'dır. |
davranmak Editör 15.02.2008
"Kişisel verilerin bilgi sistemlerinde işlem yaparken kişisel verilerin güvenliğine ilişkin temel tehdit modeli" (UTV. 15.02.2008 FSTEC RF)
5. Kişisel Verilerin Bilgi Sistemindeki Bilgiye Yetkisiz Erişim Tehditleri
NSD'nin yazılım ve yazılım ve donanım kullanımı ile birlikte yaşadıkları tehditler, gizlilik ihlali (kopyalanma, yetkisiz dağıtım), bütünlük (imha, değişim) ve bunun bir sonucu olarak, rastgele, erişim dahil, PDN'lerin kullanılabilirliği (engelleme) ve şunları içerir:
standart yazılımı kullanarak bilgisayarın çalışma ortamında erişim (penetrasyon) tehditleri (fonlar) işletim sistemi veya uygulama uygulamalı programlar);
Anormal yazılım modları oluşturma tehditleri (Yazılım ve Donanım) Fonlar Servis verilerindeki kasıtlı değişiklikler nedeniyle, personel koşullarında verilen sınırlamaları, verilerin kendilerinin bozulması (modifikasyonları), vb.;
uygulama tehditleri kötü amaçlı programlar (yazılım ve matematiksel etki).
NSD tehditlerinin tanımının tanımının bileşimi, ölmekte olan bilgilere, Şekil 3'te gösterilmektedir.
Ayrıca, bu tehditlerin birleşimi olan kombine tehditler mümkündür. Örneğin, kötü amaçlı programların uygulanmasından dolayı, NSD için, geleneksel olmayan erişim bilgi kanalları da dahil olmak üzere, bilgisayarın çalışma ortamına koşullar oluşturulabilir.
Çalışma ortamında standart yazılım kullanımı ile erişim tehditleri (penetrasyon) doğrudan tehditlere ayrılmıştır ve uzaktan erişim. Doğrudan erişim tehditleri, bilgisayar giriş / çıktısının yazılım ve yazılımı ve donanımı kullanılarak gerçekleştirilir. Ağ etkileşimi protokolleri kullanılarak uzaktan erişim tehditleri uygulanır.
Bu tehditler, kamu iletişimi ağına dahil edilmeyen ve kamu iletişim ağlarına dahil olmayan ve uluslararası bilgi alışverişi ağlarına bağlantısı olan tüm saygınlığa sahip olan otomatik işyerinin temelinde veritabanına göre uygulanmaktadır.
Bilgisayarın çalışma ortamına erişme tehditlerinin (penetrasyon) resmi olarak açıklaması aşağıdaki gibi gösterilebilir:
nSD'nin DOT'de Tehditi: \u003d<источник угрозы>, <уязвимость ИСПДн>, <способ реализации угрозы>, <объект воздействия (программа, протокол, данные и др.)>, <деструктивное действие>.
Şekil 3. NSD'nin Tehditlerinin CDN'deki Bilgilere Bilgilerinin Açıklamasının Elemanları
Acil durum oluşturma tehditleri Yazılımın (yazılım ve donanım) fonları "Bakım yapmayı reddetme" tehdididir. Kural olarak, bu tehditler, bilgi alışverişine bakılmaksızın, yerel ve dağıtılmış bilgi sistemlerine dayanan veritabanı ile ilgili olarak kabul edilir. Uygulamaları, sistem veya uygulama yazılımı geliştirildiğinde, hedeflenen bir değişimde kasıtlı eylemlerin olasılığı dikkate alınmadığı gerçeğinden kaynaklanmaktadır:
veri işleme koşulları (örneğin, mesaj paketinin uzunluğundaki kısıtlamaları yoksay);
Veri Temsilciliği formatları (modifiye edilmiş formatların, ağ etkileşimi protokolleri altında işleme için takılmamış);
Veri işleme yazılımı.
"Bakımın Reddedilmesi" tehditlerinin, tamponların taşması ve engelleme işlemlerini, "işleme prosedürlerini ve bir bilgisayarın" aydınlanmasını engelleyen, mesaj paketlerini atma, vb. "Döndürme" işleme prosedürlerinin uygulanması sonucunda, mesaj paketlerinin vs. aşağıdaki gibi temsil edilir:
"Bakım yapmayı reddetme" tehdidi: \u003d<источник угрозы>, <уязвимость ИСПДн>, <способ реализации угрозы>, <объект воздействия (носитель ПДн)>, <непосредственный результат реализации угрозы (переполнение буфера, блокирование процедуры обработки, "зацикливание" обработки и т.п.)>.
Kötü niyetli programların (yazılım ve matematiksel etki) tanıtım tehditleri, yukarıdaki tehditlerle aynı detaylarla tanımlamak pratik değildir. Bunun nedeni, her şeyden önce, bugün kötü amaçlı programların sayısı zaten yüz binden daha yüksek olduğu gerçeğinden kaynaklanmaktadır. İkincisi, pratikte bilgi koruması düzenlerken, kural olarak, sadece kötü amaçlı program sınıfını, yöntemleri ve sonuçlarını uygulanmasından (enfeksiyon) bilmek yeterlidir. Bu bağlamda, yazılım ve matematiksel etki tehdidi (PMW) resmi olarak aşağıdaki gibidir:
pMW'nin DOT'de Tehditi: \u003d<класс вредоносной программы (с указанием среды обитания)>, <источник угрозы (носитель вредоносной программы)>, <способ инфицирования>, <объект воздействия (загрузочный сектор, файл и т.п.)>, <описание возможных деструктивных действий>, <дополнительная информация об угрозе (резидентность, скорость распространения, полиморфичность и др.)>.
Aşağıda, bilgi güvenliği tehditlerinin, NSD tehditlerinin uygulanmasında kullanılabilecek güvenlik açıklarının genel özellikleri ve yetkisiz veya yanlışlıkla erişim sonuçlarının özellikleridir. Tehdit etme yöntemlerinin özelliği, (penetrasyon), bilgisayarın çalışma ortamına (penetrasyon), (penetrasyon), PMW'nin bakımı ve tehditlerini reddetme tehditlerini tanımlarken verilmektedir.
Dodge'daki NSD'nin tehdit kaynakları şöyle olabilir:
ihlalci;
kötü amaçlı yazılım taşıyıcısı;
donanım sekmesi.
Donanım yer imlerinin uygulanmasıyla ilgili PDN güvenlik tehditleri, düzenleyici belgelere göre belirlenir. Federal hizmet Güvenlik Rusya Federasyonu Öngörülen şekilde.
Kalıcı veya bir kerelik erişim haklarının kontrollü bölgeye (KZ) varlığına göre, davetsiz misafirler iki türe ayrılır:
dış halka açık iletişim ağları ve (veya) uluslararası bilgi alışverişi ağlarındaki tehditleri uygulayan konutlara erişimi olmayan ihlalatörler dış davetsiz misafirlerdir;
dOTGE'ye, DOT kullanıcıları dahil, doğrudan iç davetsiz misafirlere tehdit uygulayan ihlalatörler.
Dış ihlaller şunlar olabilir:
devletlerin keşif hizmetleri;
Ceza yapıları;
rakipler (rakip kuruluşlar);
haksız ortaklar;
dış konular (bireyler).
Harici davetsiz misafir aşağıdaki özelliklere sahiptir:
hİZMET BİLDİRİMİNİN DOĞRU DEĞİLDİR, iletişim kanallarına yetkisiz erişin;
kamu İletişim Ağlarına ve (veya) uluslararası bilgi alışverişi ağlarına bağlı otomatik işler aracılığıyla yetkisiz erişimi yapın;
yazılım virüsleri, kötü amaçlı yazılımlar, algoritmik veya yazılım yer imleri aracılığıyla özel yazılım etkileri kullanarak bilgiye yetkisiz erişin;
Cadn'nin bilgi altyapısının elemanları ile yetkisiz erişimi gerçekleştirin; yaşam döngüsü (modernleşme, bakım, onarım, geri dönüşüm) kontrollü bölgenin dışında olduğu ortaya çıktı;
etkileşimli erişimin etkileşimi, etkileşimli bölümlerin, kuruluşların ve kurumların CD'ye bağlandıklarında bilgi sistemleri ile etkiler.
İç değer düşüklüğünün olanakları, bireylerin PDN'lere kabul edilmesi ve iş yürütme prosedürünü kontrol etmek de dahil olmak üzere kontrollü bölge içinde faaliyet gösterecek rejime ve teknik ve teknik önlemlere önemli ölçüde bağlıdır.
Yurt içi potansiyel ihlalatörler, erişim yöntemine ve PDNS'ye erişim iznine bağlı olarak sekiz kategoriye ayrılır.
İlk kategori, atlatmak için yetkili erişim olan kişileri içerir, ancak PDNS'ye erişime sahip değildir. Bu tür ihlal edenler, normal olmayan işleyişi sağlayan yetkilileri içerir.
pDN'ler içeren bilgi parçalarına erişin ve CDM'nin iç iletişim kanallarıyla uzanır;
CDN'nin topolojisi (alt ağın iletişim parçası) ve kullanılan iletişim protokolleri ve kullanılan hizmetleri hakkında bilgi parçaları;
İsimleri yerleştirin ve kayıtlı kullanıcıların şifrelerini tanımlamak;
teknik Araçlar Chadna'nın yapılandırmasını değiştirin, yazılım ve donanım yer imleri yapın ve doğrudan bağlantı kullanarak bilgi verin. teknik araçlar Yakalandı.
ilk kategorideki kişilerin tüm olanaklarına sahiptir;
En az bir yasal erişim adını bilir;
Belirli bir PD alt kümesine erişim sağlayan tüm gerekli özelliklere (örneğin, şifre) sahiptir;
erişimin hangi gizli verilere sahiptir.
Bir PDN'lerin belirli bir alt kümesine erişimi, kimlik doğrulaması ve erişim hakları, erişimin silinmesine olan ilgili erişime tabi tutulmalıdır.
birinci ve ikinci kategorilerin tüm olanaklarına sahip;
Veritabanının topolojisi, erişimin yapıldığı yerel ve (veya) dağıtılmış bir bilgi sistemi temelinde ve CDN'nin teknik araçlarının bileşimi hakkında bilgi sahibidir;
teknik, CDN'nin parçalarına doğrudan (fiziksel) erişim yeteneğine sahiptir.
CDM'nin segmentinde (fragmanında) kullanılan sistem ve uygulama yazılımı hakkında tam bilgi sahibidir;
CDN'nin segmentinin (fragmanının) teknik araçları ve konfigürasyonu hakkında tam bilgi sahibidir;
bilgi ve günlük kaydını koruma araçlarına, ayrıca segmentte (fragman) CDN'de kullanılan bireysel unsurlara da erişebilir;
cETET'lerin tüm teknik segmentlerine (fragman) erişimi vardır;
cDN'nin segmentinin (fragman) teknik araçlarının belirli bir alt kümesinin yapılandırma ve idari yapılandırması hakkına sahiptir.
Önceki kategorilerin tüm olanaklarına sahip;
sistem ve uygulamalı kaynak yazılımı hakkında tam bilgi sahibidir;
teknik araçlar ve yapılandırmalar hakkında tam bilgi sahibidir.
bilgi ve Veri İmtiyazlarının tüm teknik araçlarına erişimi vardır;
konfigürasyon ve teknik araçların idari ayarlarının haklarına sahiptir.
Sistem yöneticisi, korumalı nesnenin güvenliğinden sorumlu ekipman dahil, yazılımın (yazılımın) ve ekipmanlarının yapılandırmasını ve yönetimini gerçekleştirir: kriptografik koruma Bilgi, izleme, kayıt, arşivleme, NSD'ye karşı koruma.
önceki kategorilerin tüm olanaklarına sahip;
dodge hakkında tam bilgi var;
bilgiyi koruma ve günlüğe kaydetme ve CDN'nin kilit unsurlarının bir kısmına erişimine sahiptir;
Kontrol (muayene) hariç, ağın teknik araçlarının yapılandırmasına erişimi yoktur.
Güvenlik yöneticisi, anahtar elemanları oluşturmak için, erişimin ayrılması için kurallara uymaktan sorumludur, şifreleri aktarın. Güvenlik yöneticisi, aynı nesne korumasının bir denetimini sistem yöneticisi olarak gerçekleştirir.
dodge için algoritmalar ve bilgi işlem programları hakkında bilgi sahibi olur;
Hata yapma, ilan edilmemiş yetenekleri, yazılım yer imleri, kötü amaçlı yazılımın geliştirilmesi, tanıtımı ve bakımı aşamasında CDN yazılımını yapma olanaklarına sahiptir;
dNT'nin topolojisi ve CAD'ye işlenen PD'lerin işlenmesinin ve korunmasının teknik araçları hakkında herhangi bir bilgi parçasına sahip olabilir.
konum impalarını, geliştirme, uygulama ve bakımının aşamasında doktora imkanı ile ilgili olanakları vardır;
Onurun topolojisi ile ilgili herhangi bir bilgi parçasına ve konuttaki bilgileri işleme ve koruma araçları hakkında bilgi sahibi olabilir.
Kötü amaçlı bir programın taşıyıcısı, bilgisayar donanım öğesi veya bir yazılım kabı olabilir. Kötü amaçlı program herhangi bir uygulama programıyla ilişkili değilse, taşıyıcısı dikkate alındığında:
Yabancılaştırılabilir ortam, yani disket, optik disk (CD-R, CD-RW), Flash bellek, yabancılaşmış Winchester, vb.;
Dahili medya (Winchesters, Ram Mikrocircuits, İşlemci, Microcircuits sistem kartı, gömülü cihazların mikrokakları sistem birimi- Video adaptörü, ağ kartı, ses kartı, modem, G / Ç aygıtları manyetik sert ve optik disklergüç kaynağı vb., Doğrudan erişim mikrokir kemiği, veri iletim lastikleri, G / Ç bağlantı noktaları);
harici cihazların devreleri (monitör, klavye, yazıcı, modem, tarayıcı vb.).
Kötü amaçlı program herhangi bir uygulama programı ile ilişkiliyse, belirli uzantıları veya diğer özelliklere sahip dosyalarla, ağ üzerinden iletilen mesajlar varsa, taşıyıcıları şunlardır:
bilgisayar ağ mesajları tarafından iletilen paketler;
dosyalar (metin, grafik, çalıştırılabilir vb.).
5.2. Kişisel veri bilgi sisteminin kırılganlığının genel özellikleriKişisel veri bilgi sisteminin kırılganlığı, güvenlik tehdidini kişisel verilere uygulamak için kullanılabilecek otomatik bir bilgi sistemi sağlayan, sistemde veya uygulama yazılımında (yazılım ve donanım) bir eksiklik veya zayıf bir yerdir.
Güvenlik açıklarının oluşumunun nedenleri:
yazılımın (Yazılım ve Donanım) Güvenlik Tasarımı ve Geliştirmesinde Hatalar;
yazılımın (yazılım ve donanım) güvenliği tasarımı ve geliştirilmesi sırasında güvenlik açıkları için kasıtlı eylemler;
yanlış yazılım ayarları, cihazlarda ve program modlarında yasadışı değişiklik;
İzinsiz Uygulama ve Kayıtsız Programların Kullanımı Daha sonra makul olmayan kaynak harcamalarıyla (yükleme işlemcisi, harici ortamlarda RAM ve bellek yakalayın);
kötü amaçlı yazılımın tanıtılması, yazılım ve yazılım ve donanımlarda güvenlik açıkları oluşturma;
güvenlik açıklarına yol açan kullanıcıların yetkisiz istemeden olmayan eylemleri;
donanım ve yazılım çalışmalarındaki arızalar (güç arızalarından kaynaklanır, donanım elemanlarının yaşlanma sonucu ortaya çıkması ve güvenilirliğini azaltır, elektromanyetik alanların dış etkileri teknik Cihazlar ve benzeri.).
Ana güvenlik açıklarının sınıflandırılması, Şekil 4'te kaydırılır.
Şekil 4. Yazılım güvenlik açıklarının sınıflandırılması
Aşağıda, aşağıdakiler dahil olmak üzere, CDN'nin ana güvenlik açıklarının genel özellikleridir:
sistematik yazılım güvenlik açıkları (ağ etkileşimi protokolleri dahil);
uygulamalı yazılımın güvenlik açıkları (bilgi güvenliği araçları dahil).
5.2.1. Sistem yazılımı güvenlik açıklarının genel özellikleriSistem yazılımı güvenlik açıkları, bilgisayar sistemlerinin yapımının mimarisine referansla dikkate alınmalıdır.
Aynı zamanda, güvenlik açıkları mümkündür:
firmware'de, Firmware ROM'unda, PPZA;
cDM'nin yerel kaynaklarını yönetmeyi amaçlayan işletim sistemi (performans kontrol fonksiyonları, bellek, giriş / çıkış aygıtları, kullanıcı arayüzü, vb.), sürücüler, yardımcı programlar;
Yardımcı fonksiyonların (arşivleme, birleştirme, vb.) Uygulamasına yönelik işletim sistemi aracılığıyla, sistem işleme programları (derleyiciler, bağlayıcılar, hata ayıklayıcı vb.), Kullanıcıya ek hizmetler için sağlama programları (özel arayüz seçenekleri) hesap makineleri, oyunlar vb.), Çeşitli amaçlı prosedürlerin kütüphaneleri (matematiksel fonksiyonların kütüphaneleri, G / Ç fonksiyonları, vb.);
İşletim sisteminin iletişim etkileşimi (ağ araçları) aracılığıyla.
Firmware'deki güvenlik açıkları ve yerel kaynakları yönetme amaçlı işletim sistemi araçlarında ve yardımcı fonksiyonlarolabilir:
İşlevler, prosedürler, değişen parametrelerin, belirli bir şekilde, bu değişiklikleri işletim sisteminde bu tür değişiklikleri tespit etmeden yetkisiz erişim için kullanmalarını sağlar;
geliştirici tarafından tanıtılan program kodunun ("delikler", "kapaklar") parçaları, kimlik doğrulama, kimlik doğrulama, bütünlük kontrolleri, vb.
Programlardaki hatalar (değişkenler, işlevler ve prosedürler, program kodlarında), belirli koşullar altında (örneğin, mantıksal geçişler yaparken), fonların işleyişinin ve bilgi koruma sistemlerinin arızalarının arızaları da dahil olmak üzere başarısızlıklara yol açar.
Ağ etkileşimi güvenlik açıkları, yazılım uygulamalarının özellikleri ile ilişkilidir ve kullanılan tamponun boyutunda kısıtlamalar, kimlik doğrulama prosedürünün dezavantajları, servis bilgilerinin doğruluğu için kontrol eksikliği, vb. Kısa açıklama. Protokollerle ilgili bu güvenlik açıklarının Tablo 2'de gösterilmiştir.
Tablo 2
Ayrı TCP / IP protokollerinin güvenlik açıkları, küresel paylaşılan ağların çalıştığı temelinde protokolleri yığın protokolleri.
| İsim protokolü | Yığın Seviyesi Protokolleri | İsim (Karakteristik) Güvenlik Açığı | Bilgi güvenliği ihlallerinin içeriği |
| FTP (Dosya Transfer Protokolü) - Ağ üzerinden dosya aktarım protokolü | 1. Metin veritabanı kimlik doğrulamasını açın (şifreler şifrelenmemiş olarak gönderilir) 2. Varsayılan erişim 3. İki açık bağlantı noktasının varlığı | Verileri engelleme yeteneği hesap (Kayıtlı kullanıcı adları, şifreler). Uzak ana bilgisayar erişimi almak | |
| telnet - Uzak Terminal Yönetimi Protokolü | Uygulanan, Temsilci, Oturum | Açık metin veritabanı kimlik doğrulaması (şifreler şifrelenmemiş olarak gönderilir) | Kullanıcı hesabı verilerini engelleme yeteneği. Uzak ana bilgisayar erişimi almak |
| UDP - Bağlanmadan Veri İletim Protokolü | Ulaşım | Tampon aşırı yük mekanizması yok | UDP fırtınasını uygulama olasılığı. Paketlerin değişimi sonucunda, sunucu performansında önemli bir azalma var. |
| ARP - Fiziksel adreste IP adres dönüşüm protokolü | Ağ | Açık metin veritabanı kimlik doğrulaması (Bilgi şifrelenmemiş biçimde gönderilir) | Bir saldırgan tarafından kullanıcı trafiğini engelleme yeteneği |
| RIP - Yönlendirme Bilgilerinin Protokolü | Ulaşım | Rotayı değiştirme hakkında kontrol mesajlarının kimlik doğrulaması yok | Trafiği saldırganın ana bilgisayarı üzerinden yönlendirebilme |
| TCP - Transfer Yönetimi Protokolü | Ulaşım | Dolum servis paketlerinin doğruluğunu kontrol etmek için hiçbir mekanizma yok | Döviz kuru ve hatta TCP protokolünde tam bir keyfi bağlantılar farkında önemli bir azalma |
| DNS - Mnemonic adlarının ve ağ adreslerinin uygunluğunu belirlemek için protokol | Uygulanan, Temsilci, Oturum | Kaynak verilerinden kimlik doğrulama araçları eksikliği | DNS Sunucusu Yanıtının Falsifies |
| IGMP - Yönlendirme Mesaj Protokolü | Ağ | Rota parametrelerini değiştirme konusunda hiçbir kimlik doğrulama mesajı yok | 9X / NT / 200 sistemlerini kazanın |
| SMTP - E-posta Mesaj Hizmetleri Servis Protokolü | Uygulanan, Temsilci, Oturum | E-postaların yanı sıra adres gönderenin adreslerinin yanı sıra | |
| SNMP - Router Rota Yönetimi Protokolü | Uygulanan, Temsilci, Oturum | Destek kimlik doğrulama mesajlaşma eksikliği | Ağ Bant Genişliğini Taşma Yeteneği |
Bir dizi güvenlik açıkının bir tanımını sistematikleştirmek için, tek bir CVE güvenlik açıklaması (ortak güvenlik açıkları ve maruziyetleri), Gönye, ISS, Cisco, BindView, Axent gibi birçok tanınmış şirket ve kuruluşların uzmanlarının gelişmesinde kullanılır. , NFR, L-3, CyberSafe, Cert, Carnegie Mellon Üniversitesi, SANS Enstitüsü, vb. Bu veritabanı sürekli olarak güncellenir ve sayısız güvenlik analizi yazılımı ve her şeyden önce ağ tarayıcılarının veritabanlarının oluşumunda kullanılır.
5.2.2. Uygulamalı yazılım güvenlik açığının genel özellikleriUygulama yazılımı, paylaşılan uygulamalı programları ve özel uygulama programlarını içerir.
Uygulamalı Halk Uygulamalı Programlar - Metin ve grafik editörü, Medya programları (ses ve video oynatıcılar, televizyon programı yazılımı, vb.), Veri Tabanı Yönetim Sistemleri, Yazılım Geliştirme Yazılımı için Genel Yazılım Platformları ( delphi yazın., Visual Basic), Genel Bilgi Koruma Araçları vb.
Özel uygulama programları, bu CD'deki belirli uygulamalı görevleri çözme ilgi alanlarında geliştirilen programlardır (belirli bir CDN için geliştirilen bilgi koruma yazılımı dahil).
Uygulama yazılımının güvenlik açıkları şunlar olabilir:
farklı uygulama programları ile ilgili fonksiyonlar ve prosedürler, sistem kaynaklarının dağılımı ile ilişkili çatışmalar nedeniyle (bir işletim ortamında çalışmıyor);
İşlevler, prosedürler, belirli bir şekilde değişim, bunları operasyonel Çarşamba gününe nüfuz etmelerini ve işletim sisteminin standart işlevlerini çağırmanıza olanak sağlayan, işletim sisteminde bu tür değişiklikleri tespit etmeden yetkisiz bir erişim gerçekleştirmenizi sağlar;
geliştirici tarafından girilen program kodu ("delikler", "kapaklar") parçaları, işletim sisteminde belirtilen tanımlama prosedürlerini, kimlik doğrulamasını, bütünlük kontrollerini vb. İzindirin;
gerekli güvenlik araçlarının eksikliği (kimlik doğrulama, bütünlüğü kontrol etme, mesaj formatlarının doğrulanması, yetkisiz değiştirilmiş işlevleri engelleme, vb.);
Programlardaki hatalar (değişkenler, fonksiyonlar ve prosedürler, program kodlarında), belirli koşullar altında (örneğin, mantıksal geçişler gerçekleştirirken), fonların ve bilgi koruma sistemlerinin işleyişinin arızaları da dahil olmak üzere başarısızlıklara yol açar. Erişim bilgisine izinsiz erişim.
Ticari tabanlı bir uygulama yazılımı üzerinde geliştirilen ve dağıtılan güvenlik açıkları hakkında veri toplanır, özetlenmiş ve CVE veritabanında analiz edilir.<*>.
<*> Ticari olarak bir yabancı şirket sertifikası tarafından yürütülür.
5.3. Kişisel veri bilgi sisteminin çalışma ortamına doğrudan erişim tehditlerinin genel özelliğiBilgisayarın çalışma ortamında erişim (penetrasyon) tehditleri ve PDN'ye yetkisiz erişim erişim ile ilişkilidir:
temel G / Ç sisteminde (BIOS) depolanan bilgi ve komutlara, işletim sisteminin yüklenmesini durdurma ve güvenilir kullanıcının haklarını almak olasılığı ile;
İşletim ortamında, yani ayrı bir teknik aracın yerel işletim sisteminin işleyişinde, işletim sisteminin personelini veya bu tür eylemleri uygulayan özel geliştirilen programların başlatılmasıyla yetkisiz erişimin yapılması olasılığıdır. ;
uygulama programlarının işleyişinde (örneğin, yerel veritabanı yönetim sistemine);
doğrudan kullanıcı bilgilerine (dosyalara, metinsel, ses ve grafik Bilgisi, elektronik veritabanlardaki alanlar ve girişler) ve gizliliğini, bütünlüğünü ve erişilebilirliğini ihlal etme olasılığından kaynaklanmaktadır.
Bu tehditler, konuta fiziksel erişimin veya en azından CD'deki bilgileri girmenin araçlarına uygulanması durumunda uygulanabilir. Uygulama şartları altında üç gruba birleştirilebilirler.
İlk grup, işletim sistemi önyükleme sırasında uygulanan tehditler içerir. Bu bilgiler güvenlik tehditleri, şifreleri veya tanımlayıcıları, yazılım değişikliklerini durdurmayı amaçlamaktadır. ana sistem I / O (BIOS), indirme yönetiminin bir NSD'yi bir işletim ortamına girmek için gerekli teknolojik bilgilerindeki bir değişiklikle durdurulması. En sık, bu tür tehditler yabancılaşmış medya kullanılarak uygulanır.
İkinci grup - hangi uygulama programının başlatıldığına bakılmaksızın çalışma ortamını yükledikten sonra uygulanan tehditler. Bu tehditler genellikle bilgiye doğrudan yetkisiz erişimi yapmayı amaçlar. Çalışma ortamına erişimin alınması üzerine, ihlal eden, hem standart işletim sistemi işlevlerini veya herhangi bir kamu uygulama programını (örneğin, veritabanı yönetim sistemleri) kullanabilir ve programlarla yetkisiz bir erişim yapmak için özel olarak oluşturulabilir, örneğin:
kayıt defterinin programı görüntüleme ve değiştirilmesi;
Anahtar kelimeler ve kopyalama ile metin dosyalarında metin arama programları;
Özel Görüntüleme Programları ve Veritabanlarındaki Girişleri Kopyala;
programlar hızlı Görünüm grafik dosyaları, düzenleme veya kopyalama;
yazılım ortamının yeniden yapılandırılmasının yeteneklerini destekleyen programlar (davetsiz misafirlerin çıkarlarında tutulur), vb.
Son olarak, üçüncü grup, uygulama programlarından hangisinin kullanıcı tarafından başlatıldığı ve uygulama programlarından herhangi birinin başlatılmasının gerçeği olarak belirlenen tehditler içermektedir. Bu tehditlerin çoğu, kötü amaçlı programların tanıtımına yönelik tehditlerdir.
5.4. İnternet etkileşimi protokolleri kullanılarak uygulanan kişisel verilerin güvenliğine yönelik tehditlerin genel özellikleriVeritabanı, yerel veya dağıtılmış bir bilgi sisteminin temelinde uygulanırsa, güvenlik tehditlerinde ara bağlantı protokollerinin kullanımına uygulanabilir. NSD'nin PDN'lere veya bakımı reddetme tehdidine kadar sağlanabilir. Öldüğü zaman özellikle tehlikeli tehditler bilgi sistemiGenel kullanım ağlarına ve (veya) uluslararası bilgi alışverişi ağlarına bağlı. Ağ üzerinden uygulanan tehditlerin sınıflandırma şeması Şekil 5'te gösterilmektedir. Aşağıdaki birincil sınıflandırma belirtisine dayanmaktadır.
1. Tehditin doğası. Bu temelde, tehdit pasif ve aktif olabilir. Pasif tehdit, CDN'nin çalışması üzerinde doğrudan bir etkisi olmadığı, ancak PDNS veya ağ kaynaklarına erişimin ayrılması kuralları ihlal edilebileceği bir tehdittir. Bu tür tehditlerin bir örneği, iletişim kanallarını dinlemeyi ve iletilen bilgileri engellemeyi amaçlayan "ağ trafiği analizi" nin tehdididir.
Aktif tehdit, CDN'nin kaynakları üzerindeki etkileri ile ilgili bir tehdittir; bunun, uygulamanın, sistemin çalışması üzerinde doğrudan bir etkiye geçtiği (yapılandırmada değişiklik, performansın vb. Değersizliği) ve PDNS veya ağ kaynaklarına erişimi ayırt etmek için belirlenmiş kuralların ihlal edilmesiyle. Bu tür tehditlerin bir örneği, "TCP sorgu fırtınası" olarak uygulanan "Bakım Reddetme" tehdididir.
2. Tehditin gerçekleştirilmesinin amacı. Bu temelde, tehdit, Gizliliği, Bütünlüğü ve Bilginin kullanılabilirliğini ihlal etmeye yönelik olabilir (CAD veya unsurlarının performansının ihlali dahil).
3. Durum, tehdidi gerçekleştirme sürecini uygulamaya başlamıştır. Bu temelde, tehdit uygulanabilir:
tehditin uygulandığı bir nesnenin istek üzerine. Bu durumda, ihlal eden, yetkisiz erişimin başlangıcının durumu olacak, belirli bir tür bir talebin bulaşmasını bekler;
Şekil 5. Parçalı etkileşim protokollerini kullanarak tehditlerin sınıflandırma şeması
Tesisteki beklenen etkinliğin ortaya çıkması, tehdidin uygulandığı görecelidir. Bu durumda, ihlal eden, işletim sistemi Cadov'un durumunun kalıcı izlemesini gerçekleştirir ve bu sistemde belirli bir olay meydana geldiğinde, yetkisiz erişim başlangıcıdır;
koşulsuz etki. Bu durumda, yetkisiz erişimin uygulanmasının başlangıcı, erişim hedefine göre koşulsuzdur, yani tehdit derhal uygulanır ve sistem durumuna önemsizdir.
4. Kullanılabilirlik geri bildirim Keen ile. Bu temelde, tehdidi uygulama süreci geri bildirim ve geri bildirim olmadan olabilir. CTF'den geri bildirimlerin varlığında gerçekleştirilen tehdit, bir Cevap alması için talimatlara aktarılan bazı taleplerin gerekli olduğu gerçeğiyle karakterizedir. Sonuç olarak, ihlal eden ve Dodge arasında, talimatın CDN'de meydana gelen tüm değişikliklere yeterince yanıt vermesini sağlayan bir geri bildirim var. CD'den geri bildirimlerin varlığında uygulanan tehditlerin aksine, geri bildirim olmadan tehditlerin uygulanmasında, PM'de meydana gelen herhangi bir değişikliğe cevap vermek gerekli değildir.
5. Davetsiz misafirlerin konumu nispeten boyanmıştır. Bu işarete göre, tehdit hem mücevher hem de integnetite uygulanır. Ağ segmenti, ana bilgisayarların fiziksel bir ilişkisidir (ağ adresine sahip olan Dodge veya İletişim Öğeleri). Örneğin, noktanın segmenti, "Toplam Otobüs" şemasına göre sunucuya bağlı bir dizi ana bilgisayar kümesi oluşturur. Verimli bir tehdidin gerçekleştiği durumlarda, talimatın CAD'nin donanım unsurlarına fiziksel erişimine sahiptir. Bir kesişen tehdidi gerçekleşirse, davetsiz misafir beklemenin dışında, başka bir ağdan veya başka bir CAD segmentinden bir tehdit uygulayın.
6. Etkileşimin referans modelinin seviyesi açık sistemler <*> (ISO / OSI), tehdidin uygulandığı. Bu temelde, tehdit, ISO / OSI modelinin fiziksel, kanal, ağ, nakliye, oturum, temsili ve uygulama düzeyinde uygulanabilir.
<*> Uluslararası Standardizasyon Örgütü (ISO), açık sistemlerin (OSI) etkileşimini açıklayan ISO 7498 standardını benimsemiştir.
7. Tehditin uygulandığı, ihlal edenlerin sayısının ve onurun unsurlarının oranı. Bu temelde, tehdit, bir ihlal eden tarafından bir tek ciddiyetten (bire bire "tehdidi), CAD'nin çeşitli teknik araçlarına göre (" bire bire "tehdidi) ile ilgili tehditler sınıfına atfedilebilir. "bir ila çok") veya birkaç ihlalci ile farklı bilgisayarlar Bir veya daha fazla teknik yolla ilgili olarak, keenns (dağıtılmış veya kombine tehditler).
Sınıflandırmayı dikkate alarak, mevcut tehditlerde en sık uygulanan yedi kişi ayırt edilebilir.
1. Ağ trafiğinin analizi (Şekil 6).
Şekil 6. Tehditin "Ağ Trafik Analizi" Şeması
Bu tehdit, özel bir paket analiz programı (SNIFFER) kullanılarak uygulanır, ağ segmentiyle iletilen tüm paketleri ve kullanıcının tanımlayıcısının ve şifresinin iletildiği. Tehditin uygulanması sırasında, ihlal eden, ağ operasyonunun mantığını inceler - yani, sistemde meydana gelen olayların belirsiz bir şekilde bir uyumunu ve bu olaylar sırasında ana bilgisayarlarla birlikte verilen komutları elde etmeyi amaçlamaktadır. Gelecekte, bu, bir saldırganın, örneğin, örneğin sistemdeki eylemlerin ayrıcalıklı haklarını, örneğin sistemdeki eylemler için ayrıcalıklı haklar ve bunda genişleten, ağın bileşenlerini ileten iletilen verilerin akışını engellemeye izin verir. Sistem, gizli veya kimlik bilgilerini çıkarmak için (örneğin, Statik Şifreler, şifreleme sağlayamayan FTP ve Telnet protokollerini kullanarak uzak ana bilgisayarlara erişmek için kullanıcılar), ikame, modifikasyonları vb.
2. Ağ tarama.
Tehditi uygulama sürecinin özü, ana bilgisayar anahtarlarının ağ hizmetlerine olan istekleri aktarmak ve cevapları onlardan analiz etmektir. Amaç, Network Services bağlantı noktalarına, bağlantı tanımlayıcılarının oluşumu, aktif ağ hizmetlerinin tanımı, tanımlayıcıların ve kullanıcı şifrelerinin tanımı için kullanılan kullanılmış protokolleri tanımlamaktır.
3. Şifrenin tespiti için tehdit.
Tehditin uygulanmasının amacı, şifre korumasının üstesinden gelerek bir NSD elde etmektir. Saldırgan, basit bir büstü, özel sözlükleri kullanarak, parolayı kesmek için kötü amaçlı bir program yüklemek, güvenilir bir ağ nesnesinin (IP sahtekarlığı) ve paket müdahalesinin (koklama) yerine getirilmesi için basit bir büstü, kaba kuvvet gibi bir çok yöntemle ilgili bir tehdit sahibi olabilir. . Esas olarak tehditlerin uygulanması için, ana bilgisayara tutarlı bir şifre seçimiyle erişmeye çalışan özel programlar tarafından kullanılır. Başarılı olursa, saldırgan, ana bilgisayardaki Access şifresini değiştirmeniz gerekse bile, gelecekteki erişim için kendisi için bir "geçiş" oluşturabilir.
4. Güvenilir bir ağ nesnesinin yerini ve iletişim kanalları üzerinden iletilerin erişim haklarının atanması ile adına iletilmesi (Şekil 7).
Şekil 7. "Güvenilir bir ağ nesnesinin değiştirilmesi" tehdidinin şeması
Böyle bir tehdit, ana bilgisayarları, kullanıcıları vb. Tanımlamak ve kimlik doğrulama için kararsız algoritmaların uygulandığı sistemlerde etkili bir şekilde uygulanmaktadır. Güvenilir nesnenin altında, sunucuya yasal olarak bağlı olan ağ nesnesi (bilgisayar, güvenlik duvarı, yönlendirici vb.) Olarak anlaşılmaktadır.
Belirtilen tehdidi uygulama sürecinin iki çeşit izole edilebilir: kuruluşla ve sanal bir bağlantının kurulması olmadan.
Sanal bir bileşiğin kurulmasıyla yapılan uygulama süreci, ihlalatçının güvenilir işletme adına ağın nesnesiyle bir oturum yapmasına izin veren güvenilir bir etkileşim haklarını atamaktır. Bu tür tehdidinin uygulanması, kimlik ve kimlik doğrulama sisteminin (örneğin, bir UNIX-Host RSH-Host saldırısı) aşmasını gerektirir.
Sanal bağlantı kurmadan tehdidini uygulama süreci, iletilen mesajları yalnızca gönderenin ağ adresi aracılığıyla tanımlayan ağlarda oluşabilir. İşletme, rota verilerini değiştirmede şebeke kontrol aygıtları (örneğin, yönlendiriciler adına) adına hizmet mesajlarının transferidir. Tek abone tanımlayıcıların ve bağlantıların (TCP üzerinden) iki 32 bit parametre ilk sekans numarası - ISS (sıra numarası) ve onay numarası - ACK (Onay numarası) olduğu unutulmamalıdır. Sonuç olarak, ihlallere yanlış bir TCP paketi oluşturmak için bu bağlantı için mevcut tanımlayıcıları bilmeniz gerekir - ISSA ve ISSB, nerede:
ISSA - Host A tarafından başlatılan TCP bağlantısının kurulu olan TCP paketinin sırası numarasını karakterize eden bazı sayısal değer;
ISSB - TCP Paketinin Sıra numarasını karakterize eden bazı sayısal değer B, Host B tarafından başlatılan TCP bağlantısı tarafından yüklenmiş olan numara.
ACK değeri (TCP bağlantı onayı onayı numaraları), cevap veren ISS (Sıra Numarası) Plus ACKB \u003d ISSA + 1 biriminden alınan numaranın değeri olarak tanımlanmaktadır.
Tehditin uygulanmasının bir sonucu olarak, ihlal eden, kullanıcısı tarafından güvenilir bir abone için, tehditlerin yoğunluğunun teknik araçlarına ait olan erişim haklarını alır.
5. Yanlış bir ağ rotası uygulamak.
Bu tehdit iki şekilde uygulanır: Verimli ve intra intra veya intersegment dayatmasıyla. Yanlış bir yol getirme yeteneği, yönlendirme algoritmalarında (özellikle, özellikle ağ kontrol cihazlarını tanımlama sorunu nedeniyle), örneğin, ana bilgisayara veya içeride bulunmanın mümkün olduğu bir dezavantajlardan kaynaklanmaktadır. Bir saldırganın ağı, teknik araçların çalışma ortamını CDN çalışma ortamında girebileceğiniz. Tehditin uygulanması, rota tablolarında değişiklik yapmak için yönlendirme protokollerinin (RIP, OSPF, LSP) ve ağ yönetimi (ICMP, SNMP) kullanımının yetkisiz kullanımına dayanmaktadır. Aynı zamanda, ihlal eden, ağ kontrol cihazı adına (örneğin, bir yönlendirici) kontrol mesajı (Şekil 8 ve 9) gönderilmelidir.
Şekil 8. İCMP protokolünü kullanarak "Yanlış rotanın bağlanması" (yanlış rotanın bağlanması), iletişimi ihlal etmek için
Şekil 9. Trafiği engellemek için "sahte bir rota" (yanlışlık) uygulanmasının uygulanmasının planlanması
6. Yanlış bir ağ nesnesinin uygulanması.
Bu tehdit, uzaktan arama algoritmalarının eksikliklerinin kullanımına dayanmaktadır. Ağ nesnelerinin başlangıçta birbirleriyle ilgili adres bilgisine sahip değilse, çeşitli uzak arama protokolleri kullanılır (örneğin, Novell NetWare ağlarında SAP, ARP, DNS, TCP / IP protokol yığını olan ağlarda kazanır), Özel ağ istekleri ve bunlara bilgi aramak için cevaplar alma. Bu durumda, arama sorgusunun ihlal ettiği ve kullanımı, rota adres verilerinde istenen değişikliğe yol açacak olan yanlış bir cevap vermek mümkündür. Gelecekte, nesne kurbanıyla ilişkili tüm bilgi akışı, sahte ağ nesnesinden geçecektir (Şekil 10 - 13).
Şekil 10. Tehditin uygulanmasının "sahte ARP sunucusunun uygulanması" şeması
Şekil 11. Bir DNS isteğini yakalayarak uygulama şeması "Yanlış DNS sunucusunun uygulanması"
Şekil 12. Bir ağdaki DNS yanıt fırtınası tarafından "Bir Yanlış DNS Sunucusunun Uygulanması" Uygulama Şeması
Şekil 13. DNS sunucusuna DNS yanıt fırtınası tarafından "Bir Yanlış DNS Sunucusunun Uygulanması" Tehditinin Projesi Uygulaması
7. Bakım yapmayı reddetmek.
Bu tehditler, ağ yazılımının eksikliklerine dayanmaktadır, işletim sistemi gelen paketleri işleme koyamadığında, ihlalatçının koşullar yaratmasına izin veren güvenlik açıkları.
Bu tür tehditlerin çeşitli çeşitleri izole edilebilir:
a) Saldırgan tarafından iletilen paket işleme kaynaklarının bir kısmının, iletişim kanallarının bant genişliğinde, ağ cihazları, talep talep etme gereksinimlerini ihlal etmekten kaynaklanmasından kaynaklanan gizli reddetme. Bu tür tehditlerin uygulanmasının örnekleri: ECHO talepleri tarafından ICMP (ping sel), TCP bağlantılarını ayarlamak için bir fırtına, FTP sunucusuna bir fırtına sorgusu;
b) Saldırgan tarafından iletilen paketleri işlerken (tüm bant genişliği bant genişliğini, servis sorgu sıraları) işgal edildiğinde, kaynakların kullanılamaması nedeniyle ağ üzerinden aktarılamayacağı paketleri işlerken atılan kaynakların tükenmesinden kaynaklanan açık bir reddetme. Şanzıman ortamı veya istek sorgu sıraları, bellek disk alanı vb. Bu tür tehdit örnekleri, bir fırtınanın (Syn-sel), posta sunucusuna (spam) bir fırtınanın bir fırtınası olan bir fırtınanın (SYN-Floucy) tarafından yönlendirilen yayınların bir fırtınası olarak hizmet edebilir;
c) CTADV'nin teknik araçları arasındaki mantıksal bağlantının ihlal edilmesinin neden olduğu açık bir reddetme, ağ cihazları adına kontrol mesajları ihraç ederken, rota adres verilerini değiştirir (örneğin, ICMP yönlendirme konumu) , DNS-Sel) veya tanımlama ve kimlik doğrulama bilgileri;
D) Paketlerin saldırganı tarafından standart olmayan özellikler ("arazi" tipi "," gözyaşı "," BONK "," NUKE "," UDP-BOMBOM ") veya sahip olma veya sahip olmasından kaynaklanan bakımın açıkça reddedilmesi. Verilen maksimum boyutun (Tip Threat "ping ölümünün (Tip Threat" ping ölümünü "aşan bir uzunluk, bu, sorgu işleme işlemine dahil olan bir ağ aygıtlarının toplanmasına neden olabilir, ağ değişimi protokollerini uygulayan programlardaki hatalara tabidir.
Bu tehdidin uygulanmasının sonucu, PDNS'ye uzaktan erişim sağlanması için ilgili hizmetin ihlal edilmesi, bu tür bir sayıdaki talebin bir adresinden bir adresinden bir adresinden bir adresinden iletim, CDN'nin bileşiminde, hangi maksimum Trafiğe ("sorgu fırtınası" ("sorgu fırtınası"), sorgu kuyruğunun taşmasını ve ağ hizmetlerinden birinin geçilmesini veya sistemin herhangi birine girmediğinden dolayı ağ hizmetlerinden birinin veya bilgisayarın tam bir durmasını gerektirebilir. Sorgu işleme hariç.
8. Uzaktan uygulama lansmanı.
Tehdit, ev sahibi için önceden uygulanmış çeşitli kötü amaçlı yazılımları başlatma arzusunda yatıyor: yer imi programları, virüsler, "ağ casusları", asıl amacı, bir gizlilik, bütünlük, bilgi kullanılabilirliği ve iş üzerinde tam kontrol ev sahibi. Ek olarak, uygulama programı, vb. Tarafından yönetilen süreçleri başlatmak için izinsiz veri alımı için yetkisiz kullanıcı uygulama programlarının yetkisiz edilmesi mümkündür.
Üç tehdit veri alt sınıfı ayırt edilir:
1) Yetkisiz yürütülebilir kod içeren dosyaların dağılımı;
2) Uygulamanın uzaktan başlatılması Uygulama-sunucu tamponu;
3) Gizli yazılım ve donanım yer imleri tarafından sağlanan sistemin uzaktan kumandasını kullanarak uzaktan uygulama lansmanı veya standart yollarla kullanılır.
Belirtilen alt sınıfların birincisinin tipik tehditleri, bunlara yanlışlıkla erişim durumunda dağıtılan dosyaların etkinleştirilmesine dayanır. Bu tür dosyaların örnekleri hizmet verebilir: MakroSample (Microsoft Word, Excel belgeleri vb.) Formunda yürütülebilir kod içeren dosyalar; ActiveX Elements olarak yürütülebilir kod içeren HTML belgeleri, Java uygulamaları komut dosyaları ile yorumlanır (örneğin, JavaScript metinleri); Yürütülebilir program kodları içeren dosyalar. Dosyaları dağıtmak için e-posta hizmetleri, dosya aktarımı, ağ dosyası sistemi kullanılabilir.
İkinci alt sınıfın tehditlerinde, ağ hizmetlerini uygulayan programların dezavantajları (özellikle, kontrol taşması kontrolü yok) kullanılır. Sistem kayıtlarının belirlenmesi, işlemciyi tampon taşması nedeniyle, tamponun yurtdışında yer alan kod yürütülmesinden kaynaklandıktan sonra işlemciyi değiştirmek mümkündür. Böyle bir tehdidin uygulanmasına bir örnek, yaygın olarak bilinen bir "Morris virüsü" nin tanıtılması olabilir.
Üçüncü alt sınıfın tehditlerinde, suçlu, gizli bileşenler tarafından sağlanan sistemi uzaktan yönetme yeteneğini kullanır (örneğin, "TROYAN" TİP ORIFICICE, NET BUS) veya bilgisayar ağlarının düzenli kontrolleri ve yönetimi (Landesk Management Suite) , Yönetici, arka deliği vb.). Kullanımlarının bir sonucu olarak, ağdaki istasyonun üzerinde uzaktan kumandayı elde etmek mümkündür.
Şematik olarak, bu programların çalışmalarının ana aşamaları şöyle görünür:
bellekte kurulum;
İstemci programının çalıştığı uzak bir ana bilgisayar sorgusu bekliyorum ve onunla hazırlık mesajlarının değişimi;
Kalan bilgiyi müşteriye aktarma veya saldırgan bilgisayar üzerinde kontrol sağlama.
Çeşitli sınıfların tehditlerinin uygulanmasından kaynaklanan olası sonuçlar Tablo 3'te gösterilmiştir.
Tablo 3.
Çeşitli sınıfların tehditlerinin uygulanmasının olası sonuçları
| N p / n | Saldırı türü | Olası sonuçlar | |
| 1 | Ağ trafiği analizi | Ağ trafiği özelliklerinin araştırılması, Kullanıcı tanımlayıcıları ve şifreler dahil, iletilen verilerin durdurulması | |
| 2 | Tarama ağı | Şebeke Servisleri Bağlantı Noktaları için mevcut protokollerin tanımı, Bağlantıların tanımlayıcıları, aktif ağ hizmetleri, tanımlayıcılar ve kullanıcı şifreleri oluşturma yasaları | |
| 3 | "Şifre" saldırısı | Yetkisiz erişimin elde edilmesiyle ilgili herhangi bir yıkıcı eylemi gerçekleştirmek | |
| 4 | Güvenilir bir ağ nesnesinin değiştirilmesi | Mesajların geçişini değiştirme, rota verilerinde yetkisiz değişiklik. Yanlış bilgi dayatmak, ağ kaynaklarına yetkisiz erişim | |
| 5 | Sahte bir rota dayatmak | Rota verilerinde yetkisiz değişiklik, iletilen verilerin analizi ve değiştirilmesi, yanlış mesajlar getirme | |
| 6 | Yanlış ağ nesnesinin uygulanması | Müdahale ve trafiği görüntüleme. Yanlış bilgi dayatmak, ağ kaynaklarına yetkisiz erişim | |
| 7 | Hizmet verme | Kaynakların kısmi tükenmesi | İletişim kanallarının bant genişliğini azaltmak, ağ cihazları. Azaltılmış Sunucu Uygulama Performansı |
| Kaynakların tam tükenmesi | İletim ortamına erişim eksikliği nedeniyle mesaj iletememe, bağlantı kurmayı reddetme. Hizmet sağlamayı reddetmek (e-posta, dosya vb.) | ||
| Öznitelikler, veri, nesneler arasındaki mantıksal bağlantının ihlali | İletimin yetersizliği, doğru rota verileri eksikliği nedeniyle mesajlar. Tanımlamacıların, şifrelerin, vb. İzinsiz modifikasyon nedeniyle hizmet edinmenin imkansızlığı | ||
| Programlarda hataların kullanımı | Ağ cihazlarının ihlali | ||
| 8 | Uygulamaların uzaktan başlatılması | Yıkıcı yürütülebilir kod, viral enfeksiyon içeren dosyaları göndererek | Gizlilik ihlali, dürüstlük, bilgi kullanılabilirliği |
| Sunucu uygulama arabelleğini taşarak | |||
| Gizli yazılım ve donanım yer imleri tarafından sağlanan sistemin uzaktan kumanda yeteneklerini kullanarak veya standart tarafından kullanılarak | Gizli Yönetim Sistemi | ||
Genel durumdaki tehdidi uygulama süreci dört aşamadan oluşur:
bilgi koleksiyonu;
istila (çalışma ortamına nüfuz etme);
yetkisiz erişimin uygulanması;
yetkisiz erişim izlerini ortadan kaldırmak.
Bilgi toplama aşamasında, ihlal edenler aşağıdakiler de dahil olmak üzere yoğunluk hakkında çeşitli bilgilerle ilgilenebilir:
a) sistemin çalıştığı ağ topolojisinde. Bu, ağın etrafındaki alanı keşfedebilir (örneğin, davetsiz misafir, güvenilir, ancak daha az korunan ana bilgisayarların adresleriyle ilgilenebilir). Ana bilgisayarın erişilebilirliğini belirlemek için, en basit komutlar kullanılabilir (örneğin, Echo_Reply ICMP yanıtlarının beklentileri ile Echo_Request ICMP sorgularını göndermek için Ping komutu. Kısa bir süre içinde ana bilgisayarın kullanılabilirliği için adres alanının geniş alanını tarayabilen, ana bilgisayarın kullanılabilirliğinin (fving gibi) paralel tanımını gerçekleştiren yardımcı programlar vardır. Ağ topolojisi genellikle "düğüm ölçer" temelinde tanımlanır (ana bilgisayarlar arasındaki mesafe). Bu durumda, "Modülasyon TTL" ve rota kaydı gibi yöntemler uygulanabilir.
TTL modülasyon yöntemi, Traceroute (Windows NT - Tracert.exe için) tarafından uygulanır ve IP paket TTL alanını modüle etmektir. Ping komutu tarafından oluşturulan ICMP paketleri rotayı kaydetmek için kullanılabilir.
Bilgi koleksiyonu sorgulara da dayanabilir:
kayıtlı (ve muhtemelen aktif) ana bilgisayarların listesi hakkında DNS sunucusuna;
rIP protokolü yönlendiricisine bilinen rotalarda (ağ topolojisi hakkında bilgi);
SNMP'yi destekleyen (ağ topolojisi bilgisi) düzgün bir şekilde yapılandırılmış cihazlar.
Keenns güvenlik duvarı (ME) arkasında ise, benim için ve benim için CD'lerin topolojisi hakkında bilgi toplamak, dahili iddia edilen tüm ana bilgisayarların tüm limanlarına paketler de dahil olmak üzere, benim için CD'lerin topolojisi hakkında bilgi almak mümkündür (korunan) ağ;
b) Çalışma sisteminin (OS) türünde. Ev sahibi işletim sisteminin türünü belirleme yöntemi, gerçeğine dayanmaktadır. farklı şekiller İşletim sistemi farklı şekillerde TCP / IP yığını için RFC standartlarını uygular. Bu, talimatın, özel olarak oluşturulmuş istekleri göndererek ve alınan yanıtları analiz ederek konakçıya kurulu olan işletim sisteminin tipini uzaktan tanımlamasını sağlar.
Bu yöntemleri, özellikle NMAP ve QUESO'yu uygulayan özel yollar vardır. Ayrıca, işletim sistemi türünü belirlemek için bu yöntemi, TELNET uzaktan erişim protokolü (Telnet bağlantıları) aracılığıyla bir bağlantı kurmak için en basit sorgu olarak, bir sonucu olarak, ana bilgisayar tipinin "görünüm" ile belirlenebileceği bir sonuç olarak not edebilirsiniz. Cevap. Belirli hizmetlerin varlığı, ana bilgisayar işletim sisteminin türünü belirlemek için ek bir özellik olarak da hizmet verebilir;
C) Hosts üzerinde çalışan hizmetler hakkında. Ev sahibi üzerinde yürütülen hizmetlerin tanımı, ana bilgisayarın erişilebilirliği hakkında bilgi toplamayı amaçlayan "açık portları" tanımlama yöntemine dayanmaktadır. Örneğin, UDP bağlantı noktasının kullanılabilirliğini belirlemek için, UDP paketinin öncülüne karşılık gelen bağlantı noktasına yanıt olarak bir cevap almanız gerekir:
iCMP bağlantı noktası uyuşmazlığı yanıt olarak alınırsa, ilgili hizmet mevcut değildir;
bu mesaj gelmediyse, "açılmış" bağlantı noktası.
Bu yöntemin kullanımının son derece farklı varyasyonları, TCP / IP protokolü yığında kullanılan protokole bağlı olarak mümkündür.
Yoğunluk hakkında bilgi toplamasını otomatikleştirmek için birçok yazılım geliştirilmiştir. Örnek olarak, bunların aşağıdakileri not edilebilir:
1) Strobe, Portscanner - Optimize Edilmiş Tanım Araçları mevcut hizmetler bir TCP portu anketine göre;
2) NMAP - Linux, FreeBSD, Açık BSD, Solaris, Windows NT için tasarlanan mevcut hizmetler için tarama aracı. Ağ hizmetlerini taramak için en popüler mevcut araçtır;
3) Queso, doğru ve yanlış TCP paketlerinin devresinin parseline dayanarak ağ konakçısını belirlemek için yüksek hassasiyetli bir araçtır, yanıt analizi ve bunun çeşitli işletim sistemlerinin çok sayıda yanıtıyla karşılaştırılması. Bu şu anlama gelir Ayrıca Tarama Taraması'na çıkmak için de popülerdir;
4) Cheops - Ağ Topolojisi Tarayıcı, bir etki alanı resmi, IP adresleri vb. Dahil olmak üzere bir ağ topolojisi elde etmenizi sağlar. Aynı zamanda, konak işletim sistemi mümkün olduğu kadar belirlenir ağ cihazları (yazıcılar, yönlendiriciler vb.);
5) Firewalk, güvenlik duvarının yapılandırılmasını belirlemek ve ağ topolojisini oluşturmak için IP paketlerine yanıt analizinin çıkarlarına göre Traceroute program yöntemlerini kullanan bir tarayıcıdır.
İstila aşamasında, sistemin uygulanmasındaki sistem hizmetlerinde veya hatalardaki tipik güvenlik açıklarının varlığı incelenmiştir. Güvenlik açıklarının kullanımının başarılı bir sonucu, genellikle ayrıcalıklı bir yürütme modu (ayrıcalıklı komut işlemcisi yürütme moduna erişim), yasadışı bir kullanıcının muhasebe kaydının hesabını girerek, şifre dosyası veya işlemin bozulması saldırgan ev sahibi.
Tehditin gelişiminin bu aşaması genellikle çok fazlıdır. Tehditi uygulama sürecinin aşamaları, örneğin:
tehditin gerçekleştiği göreceli olarak ev sahibi ile bağlantının kurulması;
Güvenlik açığının tanımlanması;
kötü niyetli bir programın, genişleyen hakların ve başkalarının çıkarlarına dahil edilmesi.
Son aşamada uygulanan tehditler TCP / IP protokolü yığın seviyesine ayrılır, çünkü kullanılmış istila mekanizmasına bağlı olarak bir ağda, taşıma veya uygulamalı düzeyde oluşur.
Ağ ve taşıma seviyelerinde uygulanan tip tehditler aşağıdakileri içerir:
a) güvenilir bir nesnenin değiştirilmesine yönelik tehdit;
b) Ağa yanlış bir yol oluşturmayı amaçlayan tehdit;
C) Uzaktan arama algoritmalarının eksikliklerini kullanarak yanlış bir nesne oluşturmayı amaçlayan tehditler;
D) Yanlış ICMP isteklerinin (örneğin, "Ölüm" ve "Smurf" saldırısına göre, IP birleştirme işlemine dayanarak "Bakım Reddetme" tehditleri (örneğin, "Ölüm" ve "Surf"), Arazi Saldırısı ), Bağlantı istekleri (SYN sel saldırıları), vb. "Fırtına" paketlerinin oluşturulması üzerine.
Uygulama düzeyinde uygulanan tipik tehditler, uygulamaların yetkisiz piyasaya sürülmemizi amaçlayan tehditler, uygulama, uygulama yer imlerinin (Truva Atı gibi "), ağa erişim şifrelerinin tanımlanması ile veya belirli bir ev sahibi vb.
Tehditin gerçekleştirilmesi, sistemdeki en yüksek erişim haklarının ihlalatçısını getirmediyse, bu hakları mümkün olan en yüksek seviyeye genişletmeye çalışır. Bunun için sadece ağ servislerinin değil, aynı zamanda sistem yazılımı ana bilgisayarlarının güvenlik açığının da kullanılamaz.
İzinsiz erişimin uygulanması aşamasında, bir tehdit uygulama amacına ulaşılması gerçekleştirilir:
gizlilik ihlali (kopyalama, yasadışı dağılım);
Dürüstlük ihlali (imha, değişim);
kullanılabilirlik ihlali (engelleme).
Aynı aşamada, bu eylemlerden sonra, kural olarak, "siyah giriş" olarak adlandırılan "siyah giriş", bazı bağlantı noktalarına hizmet eden ve davetsiz misafir komutlarını yürüten hizmetlerden biri (şeytanlar) biçiminde oluşturulur. Teminatın çıkarlarında "Black Login" sistemde kaldı:
yönetici, tehdidi başarılı bir şekilde uygulamak için kullanılan güvenlik açığını ortadan kaldırsa bile, ana bilgisayara erişme fırsatları;
ana bilgisayara mümkün olduğunca düşük erişme fırsatları;
Host'a hızlı bir şekilde erişme fırsatları (tehdidin gerçekleştirilme sürecini tekrarlamadan).
"Siyah girişi", ihlalatçının bir ağa veya belirli bir ana bilgisayara kötü amaçlı bir program uygulamasına izin verir, örneğin bir "Parola Analiz Cihazı" (Şifre Sniffer), üst düzey çalışırken, kullanıcı tanımlayıcıları ve şifreleri ağ trafiğinden tahsis eden bir programdır. Protokoller (FTP, Telnet, Rlogin ve T.). Kötü amaçlı yazılım uygulamalarının nesneleri, kimlik doğrulama ve kimlik programları, ağ hizmetleri, işletim sistemi çekirdeği olabilir, dosya sistemi, kütüphaneler vb.
Son olarak, tehdidin izlerinin ortadan kaldırılması aşamasında, ihlal edenlerin izlerini yok etmek için bir girişimde bulunulur. Aynı zamanda, uygun girişler, bilgi toplama gerçeği hakkında kayıtlar dahil olmak üzere tüm olası denetim günlüğelerinden silinir.
5.5. Yazılım tehditlerinin genel özellikleri ve matematiksel etkilerYazılım-matematiksel etki, kötü amaçlı programların yardımı ile bir etkidir. Potansiyel olarak tehlikeli sonuçlar veya kötü niyetli programlara sahip program, boş olmayan bir alt kümeyi gerçekleştirebilen bazı bağımsız bir program (talimatlar kümesi) olarak adlandırılır. aşağıdaki işlevler:
Varlıklarının işaretlerini gizle yazılım bilgisayar;
Kendi kendine ilan etme, kendini diğer programlarla birliği ve (veya) fragmanlarını diğer operasyonel veya dış hafızaya aktarma yeteneğine sahip olmak;
(keyfi bir yolu bozma) RAM'deki program kodunu yok etmek;
kullanıcıdan başlatılmadan (uygulamasının normal modunda kullanıcı programı) yıkıcı işlevler (kopyalama, yıkım, engelleme vb.);
Dış doğrudan erişim alanlarında (yerel veya uzak) bazı alanlarda RAM'den bilgi parçalarını kaydedin;
Harici belleği veya iletişim kanalını değiştirmek için keyfi bir şekilde, blok ve (veya), uygulama programlarının uygulanması sonucu oluşan bir bilgi dizisi veya veri dizilerinin harici hafızasında.
Kötü amaçlı programlar, tasarımda kullanılan yazılımda, gelişimi, eşlik, modifikasyonlar ve ayarlar sürecinde hem kasten hem de rastgele yapılabilir. Ek olarak, CDN'nin harici ortamdan veya NSDS'nin ve KAH'nin rastgele kullanıcıları tarafından harici ortamlardan veya ağ etkileşiminden çalıştırılması sırasında kötü amaçlı yazılımlar yapılabilir.
Modern kötü amaçlı programlar, çeşitli yazılım türlerinin (sistemik, genel, uygulanan) ve çeşitli ağ teknolojilerinin güvenlik açıklarının kullanımına dayanmaktadır. geniş spektrum Yıkıcı özellikler (PDN'nin parametrelerinin yetkisiz çalışmasından PDN'nin işleyişinde, PDN'lerin ve CDN yazılımının yıkılmasından önce) ve her türlü yazılımda hareket edebilir (donanım sürücülerinde, vb.) .).
Kötü amaçlı programların varlığı, sistemde, şifre ve şifreleme koruması da dahil olmak üzere, sistemde sağlanan koruyucu mekanizmaların açmanızı, atlamanıza veya engellemenizi sağlayan bilgilere, geleneksel olmayan erişim kanalları da dahil olmak üzere gizlenmenin oluşmasına katkıda bulunabilir.
Ana kötü amaçlı program türleri:
yazılım yer imleri;
klasik yazılım (bilgisayar) virüsleri;
ağ üzerinden yayılan kötü amaçlı programlar (ağ solucanları);
NSD'nin uygulanmasına yönelik diğer kötü amaçlı programlar.
Yazılım yer imleri arasında programlar, kod parçaları, bildirilmemiş yazılım yetenekleri oluşturan talimatlar içerir. Kötü amaçlı programlar, bir türden diğerine geçebilir, örneğin, bir yazılım döşeme, sırayla ağ koşullarına çarpan bir yazılım virüsü oluşturabilir, bir NSD'yi uygulamak için tasarlanmış bir ağ kurduğu veya başka bir kötü amaçlı yazılım programı oluşturabilir.
Yazılım virüslerinin ve ağ solucanlarının sınıflandırılması, Şekil 14'te sunulmuştur. Ana kötü amaçlı programların kısa bir açıklaması aşağıdakilere indirgenir. Önyükleme virüsleri, kendilerini diskin (önyükleme sektörü) önyükleme sektöründe (önyükleme sektöründe) veya sektörde sistem önyükleme Winchester (ana önyükleme kaydı) veya işaretçiyi aktif önyükleme sektörüne değiştirin. Enfekte bir diskten yüklenirken bilgisayarın hafızasına sokulurlar. Bu durumda, sistem yükleyici, indirmenin yapıldığı diskin ilk sektörünün içeriğini okur, okuma bilgileri belleğe ve kendisine (yani virüs) kontrolüne aktarır. Bundan sonra, bir kural olarak, ücretsiz bellek miktarını azaltan virüs talimatları başlatılır, kodunu boşaltılan yere kopyalar ve devamını diskten okur (varsa), gerekli kesme vektörünü keser (genellikle int) 13h), orijinal bellek önyükleme sektörünü okur ve kontrolü iletir.
Gelecekte, önyüklenebilir virüs, dosyayla aynı şekilde davranır: işletim sisteminin erişimini disklere erişir ve bazı koşullara bağlı olarak, bunları enfekte eder. yıkıcı eylemler, ses efektlerine veya video efektlerine neden olur.
Bu virüsler tarafından gerçekleştirilen ana yıkıcı eylemler şunlardır:
disket ve sabit sürücü sektörlerinde bilginin imhası;
İşletim sisteminin yeteneklerinin ortadan kaldırılması (bilgisayar "asılı");
yükleyici kodunun bozulması;
sabit sürücünün disketini veya mantıksal disklerini biçimlendirme;
cOM ve LPT bağlantı noktalarına erişimin kapatılması;
metinleri yazarken sembollerin değiştirilmesi;
seğirme ekranı;
diskin veya disketin etiketini değiştirme;
psödo içermeyen kümeler oluşturma;
ses oluşturma ve (veya) görsel efektler (örneğin, ekrandaki harflerle bırakın);
hasar Verileri Dosyaları;
çeşitli mesajları görüntüleme;
Ayrılma Çevresel aygıtlar (örneğin, klavye);
ekran Paleti'ni değiştirme;
Ekranı yabancılar veya görüntülerle doldurma;
ekran Geri Ödeme ve Çeviri Giriş Modu Klavyedeki;
winchester Sektörlerinin Şifrelenmesi;
klavyedeki ayarlandığında ekranda görüntülenen karakterlerin seçici yok edilmesi;
rAM'in azaltılması;
serigrafi yazdırmayı çağırmak;
diskteki kayıtları engelleme;
disk bölüm tablosu tablosu, bundan sonra, bilgisayar sadece bir disketten indirilebilir;
yürütülebilir dosyaların başlangıcını engelleme;
Winchester'a erişimin engellenmesi.
Şekil 14. Yazılım virüslerinin ve ağ solucanlarının sınıflandırılması
En önyüklenebilir virüsler, disketlerde kendilerini üzerine yazar.
"Üzerine yazma" enfeksiyon yöntemi en basittir: virüs, enfekte olmuş dosyanın kodu yerine kodunu kaydeder, içeriğini yok eder. Doğal olarak, dosya çalışmayı durdururken ve geri yüklenmez. Bu tür virüsler kendilerini çok hızlı bir şekilde tespit eder, çünkü işletim sistemi ve uygulamalar oldukça hızlı bir şekilde çalışmayı bıraktı.
"Companion" kategorisi, virüslü dosyaları değiştirmeyen virüsleri içerir. Bu virüslerin çalışmalarının algoritması, kirli dosya için bir çift dosyanın oluşturulması ve enfekte olmuş dosya başlatıldığında, kontrol bu ikiz alır, yani virüs. DOS özelliğini kullanan en yaygın companyon virüsleri, bir dizinde aynı ada sahip iki dosya varsa, ancak bir dizinde iki dosya varsa, ancak İsminin çeşitli isimleri ile - .com i.exe. Bu tür virüsler, aynı ada sahip olan exe dosyaları için uydu dosyaları oluşturur, ancak örneğin Excention.com ile Xcopy.com dosyası Xcopy.exe dosyası için oluşturulur. Virüs COM dosyasına kaydedilir ve EXE dosyasını değiştirmez. Böyle bir DOS dosyasını başlattığınızda, ilk önce COM dosyasını algılar ve yürütür, yani, ardından başlatılan virüs ve EXE dosyası. İkinci grup, virüs bulaştığında, dosyayı başka bir ada yeniden adlandırın, hatırlayın (ana bilgisayar dosyasının sonraki başlatılması için) ve kodunu enfekte olmuş dosyanın adı altında diske yazın. Örneğin, xcopy.exe dosyası Xcopy.exd olarak yeniden adlandırılır ve virüs, Xcopy.exe adı altında yazılır. Başlarken, kontrol virüs kodunu alır, bu daha sonra Xcopy.exd adı altında saklanan orijinal XCOPY'yi başlatır. Bu gerçeği ilginç bu method Tüm işletim sistemlerinde görünüyor. Üçüncü grup, "yol arkadaşı" virüslerini içerir. Ya kodlarını virüslü dosyanın adı altında yazarlar, ancak öngörülen yollarda bir seviyede "yukarıda" bir seviye (ilk önce ilk olarak algılanır ve virüs dosyasını başlatır) veya fedakarlık dosyasını yukarıdaki bir alt dizin için tolere edin , vb.
Diğer orijinal fikirleri veya diğer işletim sistemlerinin özelliklerini kullanan diğer eşlik eden virüs türleri mevcuttur.
Solucanlar (solucanlar), bir anlamda, bir tür Companyon virüsleridir, ancak hiçbir şekilde bulunmadıklarını herhangi bir dosyayla ilişkilendirmezler. Üremede, yalnızca kodlarını yalnızca bu yeni kopyaların kullanıcı tarafından çalıştırılacağı umuduyla herhangi bir disk kataloğuna kopyaladılar. Bazen bu virüsler, kullanıcıyı kopyalamalarını başlatmak için kullanıcıyı zorlamak için "özel" isimlerinin kopyalarını verir - örneğin, Install.exe veya WinStart.bat. Oldukça olağandışı teknikleri, örneğin kopyalarını arşivlerde kaydeder (Arj, Zip ve diğerleri) kullanan Wormi virüsleri var. Bazı virüsler, virüslü bir dosyanın başlatılmasını BAT dosyalarında kaydeder. Chervi dosyası virüslerini ağ solucanları ile karıştırmayın. İlk olarak, herhangi bir işletim sisteminin dosya işlevlerini kullanırken, ikinci onların çoğaltılmasında ağ protokollerini kullanır.
Companion virüsleri gibi bağlantı virüsleri, dosyaların fiziksel içeriğini değiştirmez, ancak, enfekte olmuş dosya başlatıldığında, "neden" işletim sistemi kodunuzu yürütür. Bu hedefler, gerekli dosya sistemi alanlarının değiştirilmesine ulaşırlar.
Virüsler, derleyicilerin kütüphanelerinin enfeksiyonu, nesne modülleri ve kaynak metinleri oldukça egzotik ve pratik olarak yaygın değildir. Virüsler, OBJ ve LIB dosyalarını enfekte edin, kodlarını Nesne Modülü veya Kütüphanesi biçiminde onlara yazın. Böylece virüslü dosya yapılmaz ve virüsü akım durumuna daha fazla yayılamaz. "Canlı" virüsün taşıyıcısı bir com veya exe dosyası olur.
Kontrolü aldıktan sonra, dosya virüsü aşağıdaki genel eylemleri gerçekleştirir:
Kontrol etme veri deposu Kopyanızın varlığı için, virüsün bir kopyası bulunursa (virüs bir ikamet ise), bir mantıksal disk dizinlerini tarayarak mevcut ve (veya) kök dizininde yayınlanmamış dosyaları arar. algılanan dosyaları bulaştırır;
ek (varsa) işlevleri yapar: yıkıcı eylemler, grafik veya ses efektleri vb. ( ek fonksyonlar Yerleşik virüs, aktivasyondan sonra, aktivasyondan sonra, aktivasyondan sonra, sistem konfigürasyonu, iç virüs sayaçları veya diğer koşullara bağlı olarak, bu durumda bu durumda, sistem saatlerinin durumunu işler, sayaçlarını vb. Kazanır) ;
Virüsün daha hızlı dağıtıldığı belirtilmelidir, büyük olasılıkla ortaya çıkma Bu virüsün salgınları, virüsün yavaşlaması, onu tespit etmek ne kadar zor olur (tabii ki, bu virüs bilinmiyorsa). Yerleşik olmayan virüsler genellikle "yavaş", bunların çoğu, bir veya iki-üç dosyayı enfekte eder ve antivirüs programını çalıştırmadan önce bilgisayarı yüzmek için zaman yoktur (veya yapılandırılmış antivirüsün yeni bir sürümünün görünümü) bu virüs). Tabii ki, tüm yürütülebilir dosyaları arayan ve bulaşan ve bulaşan, bu tür virüsler çok belirgindir; ancak bu tür virüsler çok belirgindir: Her virüslü dosyaya başladığınızda, bilgisayarın bazı (bazen uzun süre) zamanıdır virüsü kıran sabit sürücü ile çalışmak. Yerleşik virüslerdeki dağılımın (enfeksiyon) hızı, genellikle ikamet edilmemekten daha yüksektir - dosyaları onlara hitap eden dosyaları bulaştırır. Sonuç olarak, sürekli kullanımda kullanılan tüm dosyalar diske enfekte olur. Yerleşik dosya virüslerinin dağıtım (enfeksiyonu), dosyaları yalnızca yürütmeye başladıklarında, dosyaları enfekte eden virüslerden daha düşük olacak ve açtıklarında, yeniden adlandırıldığında, dosya özniteliklerini değiştirdiklerinde vb.
Böylece, dosya virüsleri tarafından gerçekleştirilen ana yıkıcı eylemler, dosyaların yenilgisi (daha sık yürütülebilir veya veri dosyaları), çeşitli komutların (biçimlendirme, imha, kopyalama komutları vb. Dahil), tabloyu değiştirme ile ilişkilendirilir. Vektörleri kesme ve Dr. Aynı zamanda, önyükleme virüsleri için belirtilenlere benzer birçok yıkıcı eylem gerçekleştirilebilir.
Makrovirüsler (makro virüsleri) bazı veri işleme sistemlerine (makro dil) (makro dil) (makro dil) (makro dil) ( metin editörleri, elektronik tablolar vb.). Üreme için, bu tür virüsler makro-dillerin yeteneklerini kullanır ve kendilerini enfekte olmuş bir dosyadan (belge veya tablodan) başkalarına aktarmaları. Makrovirüsler başvuru paketi için en büyük dağıtımını aldı Microsoft Office..
Belirli bir sistemde (editör) virüslerin varlığı için, yetenekleri içeren yerleşik bir makro-dil oluşturmak gerekir:
1) Makro-dilde belirli bir dosyaya bağlamalar;
2) Makrogramları bir dosyadan diğerine kopyalayın;
3) Makro programının yönetimini kullanıcı müdahalesi olmadan elde etmek (otomatik veya standart makrolar).
Bu koşullar uygulanan tatmin microsoft programları Kelime, Excel ve Microsoft Access. Makromazik içerirler: Word Basic, Visual Basic uygulamaları için. Burada:
1) Makrogramlar belirli bir dosyaya bağlanır veya dosyanın içindedir;
2) Makro dil, dosyaları kopyalamanıza veya makrogramları sistem hizmeti dosyalarına ve düzenlenebilir dosyalara kopyalamanızı sağlar;
3) Belirli koşullar altında bir dosyayla çalışırken (açılış, kapatma, vb.), Makro çerçeveler (varsa) özel bir şekilde tanımlanmış veya standart adlarınız var.
Bu özellik Macroeads, büyük organizasyonlarda veya küresel ağlarda verileri otomatik olarak işlemek için tasarlanmıştır ve "otomatik belge yönetimi" olarak adlandırmanıza izin verir. Öte yandan, bu tür sistemlerin makro-dil yetenekleri, virüsün kodlarını diğer dosyalara aktarmasına ve böylece bunlara bulaşmasına izin verir.
Çoğu makrovirüsler yalnızca dosyanın açılması (kapanması) zamanında değil, editörün kendisi etkin olduğu sürece aktiftir. Tüm işlevlerini standart kelime / Excel / Office makroları şeklinde içerirler. Bununla birlikte, kodlarını gizleme ve kodlarını makrolar biçiminde saklama alımlarını kullanan virüsler vardır. Böyle bir resepsiyon var, hepsi diğer makroları oluşturma, düzenleme ve yürütme yeteneğini kullanır. Kural olarak, benzer virüsler, yerleşik makro editöre neden olan virüsün küçük (bazen polimorfik) bir makroyuna sahiptir, bu da yeni bir makro oluşturur, virüsün temel koduyla doldurur, gerçekleştirir ve ardından bir kural olarak, yok eder (virüs varlığının izlerini gizlemek için). Bu tür virüslerin ana kodu, virüs makronunda metin dizeleri (bazen şifrelenmiş) biçiminde veya belgenin değişkenlerinin alanında depolanır.
Ağ, dağıtımları için yerel ve küresel ağların protokollerini ve olanaklarını kullanan virüsleri içerir. Ağ virüsünün ana prensibi, kodunuzu uzak bir sunucuya veya iş istasyonuna bağımsız olarak aktarma yeteneğidir. "Tam teşekküllü" ağ virüsleri, kodlarını başlatma fırsatı var. uzak bilgisayar Veya en azından "Enfekte bir dosyayı başlatmak için kullanıcıya basın.
NSD'nin uygulanmasını sağlayan kötü amaçlı programlar şunlar olabilir:
seçim ve Açma Programları;
programları uygulayan tehditler;
Bildirilmemiş Yazılım ve Donanım ve Donanım Yetenekleri Kullanımını Gösteren Programlar
bilgisayar virüsü jeneratör programları;
bilgi güvenliği araçlarının ve diğerlerinin güvenlik açıklarını gösteren programlar.
Yazılımın komplikasyonu ve artan çeşitliliği nedeniyle, kötü amaçlı programların sayısı hızla artmaktadır. Bugün 120 bin'den fazla bilgisayar virüs imzası bilinmektedir. Aynı zamanda, hepsi gerçek bir tehdidi temsil etmiyor. Çoğu durumda, sistemde veya uygulama yazılımındaki güvenlik açıklarının ortadan kaldırılması, bir dizi kötü amaçlı programların artık içinde uygulanamaması gerçeğine yol açtı. Genellikle ana tehlike yeni kötü amaçlı programları temsil eder.
5.6. Geleneksel olmayan bilgi kanallarının genel özellikleriGeleneksel olmayan bilgi kanalı, geleneksel iletişim kanallarını ve kriptografik ile ilgili olmayan iletilen bilgilerin özel dönüşümlerini kullanarak bir bilgi kanalıdır.
Geleneksel olmayan kanallar oluşturmak için yöntemler kullanılabilir:
bilgisayar steganografisi;
Manipülasyona göre Çeşitli özellikler Yaptırılmış olan Caiden (örneğin, çeşitli sorguların işlenmesi, hacimlerinin işlem süresi) yanıtlanan hafıza veya dosya veya işlemlerin tanımlayıcılarını okumak için erişilebilir veya erişilebilir.).
Bilgisayar steganography yöntemleri, mesajı dışarıdan sosisli verilerde (metin, grafik, ses veya video dosyaları) yerleştirerek mesajı aktarma gerçeğini gizlemek için tasarlanmıştır ve iki yöntem grubunu içerir:
Depolama ve veri aktarımı için bilgisayar formatlarının özel özelliklerini kullanarak;
Ses, görsel veya metin Bilgisi İnsan algısının psiko-fizyolojik özelliklerinin konumundan.
Bilgisayar seganografi yöntemlerinin sınıflandırılması, Şekil 15'te gösterilmiştir. karşılaştırmalı Özellikler Tablo 4'te gösterilmiştir.
En büyük gelişme ve uygulama şu anda grafik stegroontainers bilgilerini gizleme yöntemlerini buluyor. Bunun nedeni, göze çarpan görüntü bozulması olmadan, bu tür kaplarda, kabın boyutu, bir gürültü yapısına sahip ve kuyuya sahip olan dokusal alanların en gerçek görüntülerindeki varlığının varlığı olan bu tür konteynerlerde bulunabilen nispeten büyük miktarda bilgi nedeniyle - Bilgiyi gömmek için, dijital görüntü işleme ve dijital yöntemlerin gelişen yöntemleri, görüntü sunum formatları. Şu anda, bilgiyi gizleme konusunda tanınmış seganografik yöntemleri uygulayan her zamanki kullanıcıya mevcut olan hem ticari hem de ücretsiz yazılım ürünleri var. Aynı zamanda, grafik ve sesli sınırlar ağırlıklı olarak kullanılır.
Şekil 15. Steganografik Bilgi Dönüşümü Yöntemlerinin Sınıflandırılması (SP)
Tablo 4.
Seganografik Bilgi Dönüşüm Yöntemlerinin Karşılaştırmalı Özellikleri
| Steganografik yöntem | Kısa Karakteristik Yöntem | Dezavantajları | Faydalar |
| Sesli Sütunlarda Bilgi Gizleme Yöntemleri | |||
| Mesajın kaynak sinyalin en küçük parçalarına kaydedilmesine dayanarak. Kullanılan bir konteyner olarak, kural olarak, sıkıştırılmamış bir ses sinyali olarak | Düşük gizlilik mesaj aktarımı. Düşük bozulma direnci. Yalnızca belirli ses dosyası formatları için kullanılır. | ||
| Spektrumun dağılımına dayanan gizlenme yöntemi | Psödo-rastgele gürültünün oluşumuna dayanarak, ortaya çıkan mesajın işlevi olan ve elde edilen gürültüyü ana sinyal kapsayıcısına bir ilave bileşen olarak karıştırın. Saçılma kodlu veri spektrum verilerinin kodlanması bilgi akışları | ||
| Bir yankı sinyalinin kullanımına dayanan kalsaksiyon yöntemi | Ses sinyalinin kullanımına dayanarak, uygulanan mesaja bağlı olarak farklı zaman dilimlerinde gözaltına alınmıştır ("Downtown Ech") | Düşük konteyner kullanımı katsayısı. Önemli hesaplama maliyetleri | Garip Gizli Mesajlar |
| Sinyal fazında kalsaksiyon yöntemi | İnsan kulağının, harmonik fazın mutlak değerine duyarsızlığının gerçeğine dayanarak. Ses sinyali sıra sekansına ayrılır, mesaj ilk bölümün fazını değiştirerek gömülür. | Küçük konteyner kullanımı katsayısı | NBB'deki gizleme yöntemlerinden çok daha yüksek bir sekreterliğe sahiptir. |
| Metin kaplarında bilgi gizleme yöntemleri | |||
| Sonik tabanlı gizlenme yöntemi | Çizgilerin sonunda, noktalama işaretlerinin ardından, dizelerin uzunluğunu hizaladığı kelimeler arasında, | Yöntemler, metnin bir formattan diğerine aktarılmasına duyarlıdır. Olası iletişim kaybı. Düşük gizlilik | Oldukça büyük bant genişliği |
| Metnin sözdizimsel özelliklerine göre kalection yöntemi | Noktalama işaretlerinin hizalanması durumunda noktalama işaretlerinin belirsizliklere izin verdiği gerçeğine dayanmaktadır. | Çok düşük bant genişliği. Mesajın tespitinin eksiksizliği | Mesajı ifşa etmek için son derece karmaşık prosedürlerin gerekli olacağı bu yöntemi seçmek için potansiyel bir fırsat var. |
| Eş anlamlı Gizleme Yöntemi | Herhangi bir eşanlamlı gruptan kelimelerin alternatifini kullanarak metneye bilgi eklemeye dayanarak | Farklı eş anlamlılardaki çok çeşitli tonlar nedeniyle Rus dili ile ilgili olarak karmaşık | En umut verici yöntemlerden biri. Nispeten yüksek bir post sonrası var |
| Hata Kullanımına Dayalı Kaldırım Yöntemi | Bilgi bitlerinin doğal hatalar altında, yazım hataları, yazma kurallarının yazma kurallarının ihlalleri, Kirillerin latin harflerin görünümünde benzeri şekilde değiştirilmesi, yazıların ihlal edilmesine dayanmaktadır. | Düşük bant genişliği. İstatistiksel analiz ile hızla ortaya çıktı | Kullanımı son derece kolay. İnsan analiz ederken yüksek gizlilik |
| Kalsitektik Nesil Bazlı Yöntem | Kurallar için bir dizi teklif kullanarak bir metin kabının oluşumuna dayanarak. Simetrik şifreleme kullanılır | Düşük bant genişliği. Oluşturulan metnin olgunluğu | Gizlilik şifreleme yöntemleri ile belirlenir ve bir kural olarak, oldukça yüksek |
| Yazı tipi özelliklerinin kullanımına dayanan gizlenme yöntemi | Yazı tipi ve harf boyutundaki değişikliklerden kaynaklanan bilgilerin yanı sıra, tarayıcı tanımlayıcıları için bilinmeyen bloklara ilişkin bilgileri gömme olasılığına bağlı olarak | Belgenin ölçeği dönüştürüldüğünde, istatistiksel hostes ile kolayca tespit edilir. | Konteyner kullanımının yüksek katsayısı |
| Doküman kodunun ve dosyanın kullanımına dayanan kalsaksiyon yöntemi | Ayrılmış ve kullanılmayan değişken uzunluk alanlarında ilan bilgisine dayanarak | Bilinen bir dosya formatı ile düşük gizlilik | Kullanımı kolay |
| Jargon kullanımına dayanan kalsaksiyon yöntemi | Değişen kelimelere dayanarak | Düşük bant genişliği. NERCO uzmanlaşmış. Düşük gizlilik | Kullanımı kolay |
| Kelimelerin dönüşümünün kullanımına dayanan kalsaksiyon yöntemi | Bilinen kodlama kuralına göre belirli bir uzunlukta kelimelerin oluşumuyla metin haznesinin oluşturulmasına dayanarak | Kabın oluşumunun karmaşıklığı ve mesaj | İnsan analiz ederken yeterince yüksek gizlilik |
| İlk harflerin kullanımına dayanan kalsaksiyon yöntemi | Mesajın metnin kelimelerinin ilk harflerini kelimelerin seçimi ile girişine dayanarak | Mesajın derlenmesinin karmaşıklığı. Düşük gizlilik mesajı | Bir mesajı icat eden bir operatör seçmek için daha fazla özgürlük verir |
| Grafik kaplarda bilgi gizleme yöntemleri | |||
| En küçük önemli parçalarda gizlenme yöntemi | Orijinal görüntünün en küçük önemli parçalarına mesaj göndermeye dayanarak | Düşük gizlilik mesaj aktarımı. Düşük bozulma direnci | Yeterince yüksek konteyner kapasitesi (% 25'e kadar) |
| Dizin gönderim formatının modifikasyonuna dayanan kalsaksiyon yöntemi | Azaltma (değiştirme) renk paletine ve bitişik sayılarla piksellerde renk siparişlerine dayanarak | Esas olarak sıkıştırılmış görüntüler için kullanılır. Düşük Güç İletim Görevlisi | Reparatif olarak yüksek konteyner kapasitesi |
| Otokorelasyon fonksiyonunun kullanımına dayanan kalsaksiyon yöntemi | Benzer verileri içeren alanların otokorelasyon fonksiyonunu kullanarak aramaya dayanarak | Tamamlama Kompleksi | En doğrusal olmayan konteyner dönüşümlerine karşı direnç |
| Gömülü bir mesajın doğrusal olmayan modülasyonunun kullanımına dayanan kalsaksiyon yöntemi | Pseudo-rastgele sinyalin gizli bilgiyi içeren sinyalin modülasyonuna dayanarak | ||
| Gömülü mesajın ikonik modülasyonunun kullanımına dayanan kalsaksiyon yöntemi | Pseudo-rastgele sinyalin, gizli bilgileri içeren bir bipolar sinyalle modülasyonuna dayanarak | Düşük tespit doğruluğu. Bozulma | Yeterince yüksek gizlilik mesajı |
| Dalgacık-dönüşüm tabanlı gizlilik yöntemi | Dalgacık dönüşümlerinin özelliklerine dayanarak | Tamamlama Kompleksi | Yüksek salgı |
| Kesikli kosinüs dönüşümünün kullanımına dayanan kalsaksiyon yöntemi | Ayrık kosinüs dönüşümünün özelliklerine dayanarak | Bütünlük hesaplaması | Yüksek salgı |
CDN kaynaklarının çeşitli özelliklerinin manipülasyonuna dayanan geleneksel olmayan bilgi kanallarında, bazı paylaşılan kaynakları iletmek için kullanılır. Aynı zamanda, zaman özelliklerini kullanarak kanallarda, paylaşılan bir kaynağın istihdam süresinin modülasyonu (örneğin, işlemci istihdamı süresi modüle etme, uygulamalar veri değiştirebilir).
Bellek kanallarında, kaynak bir ara tampon olarak kullanılır (örneğin, uygulamalar, isimleri yerleştirerek verileri değiştirebilir. oluşturulan dosyalar ve dizin). Veritabanlarının kanallarında ve bilgi, meydana gelen veriler arasındaki bağımlılıkları kullanın. ilişkisel bazlar Veri ve bilgi.
Geleneksel olmayan bilgi kanalları çeşitli rölanti seviyelerinde oluşturulabilir:
donanım düzeyinde;
mikrokod ve cihaz sürücüleri seviyesinde;
işletim sistemi seviyesinde;
uygulama yazılımı düzeyinde;
veri iletim kanallarının ve iletişim hatlarının işleyişi seviyesinde.
Bu kanallar, yıkıcı eylemlerin yürütülmesi, lansman uygulamaları vb. İçin kopyalanan bilgi ve gizli komutların gizli iletimi için kullanılabilir.
Kanalları bir kural olarak uygulamak için, geleneksel olmayan bir kanalın oluşumunu sağlayan otomatik bir sistemde bir yazılım veya yazılım ve donanım yer imini uygulamak gerekir.
Geleneksel olmayan bilgi kanalı, sistemde sürekli veya bir kez veya belirli koşullarda etkinleştirilebilir. Bu durumda, NSD'nin konusu ile geri bildirimin varlığı mümkündür.
5.7. Yetkisiz veya yanlışlıkla erişimin sonuçlarının genel özellikleriNSDS'nin bilgiye tehditlerinin uygulanması, güvenlik ihlalinin aşağıdaki türlerine yol açabilir:
gizlilik ihlali (kopyalama, yasadışı dağılım);
Bozulmuş bütünlük (imha, değişim);
kullanılabilirlik ihlali (engelleme).
Gizlilik bozukluğu, bilgi sızıntısı durumunda uygulanabilir:
yabancılaşmış medyaya kopyalamak;
veri kanalları aracılığıyla iletimi;
yazılımın ve donanımın onarımı, modifikasyonu ve imhası sırasında görüntülenirken veya kopyalanırken;
cDN'nin çalışması sırasında ihlalater tarafından "çöp tertibatı" ile.
Bilginin bütünlüğünün ihlali, programlar ve kullanıcı verileri üzerindeki etkisi (modifikasyon) ve ayrıca:
bilgi İşlem Sistemi Cihazlarının Firmware, Veri ve Sürücüleri;
işletim sistemi önyüklemesi sağlayan programlar, veri ve sürücüler;
İşletim sisteminin programları ve verileri (tanımlayıcılar, tanımlayıcılar, yapılar, tablolar vb.);
programlar ve uygulama yazılımı verileri;
Özel yazılım programları ve veriler;
Programların ve verilerin işleme sürecinde (okuma / yazma, alma / iletme), bilgi işlem ekipmanının araçları ve aygıtlarındaki ara değer değerleri.
Bilginin bütünlüğünün CPF'ye ihlali, kötü amaçlı bir program ve donanım programının tanıtımından veya bilgi güvenliği sistemi veya unsurları üzerindeki etkisinden kaynaklanabilir.
Ek olarak, bilişim ağını kontrol etmenin çeşitli yöntemlerinin işleyişini sağlayabilen teknolojik ağ bilgilerini etkilerek mümkündür:
ağ yapılandırması;
adreslerde adresler ve rota veri aktarımı;
fonksiyonel ağ kontrolü;
ağdaki bilgilerin güvenliği.
Bilginin mevcudiyetinin ihlali, kaynak verilerin oluşturulması (değiştirilmesi), işlenmesi, programları ve ekipman işlemlerini gerçekleştirmek için gereken sistem hesaplama kaynaklarının yanlış çalışmasına, ekipman arızalarını veya yakalamasına neden olur (yüklenmesine neden olur).
Bu eylemler, hemen hemen her türlü teknik yolun işleyişinin ihlal edilmesine veya başarısızlığına yol açabilir:
bilgi işlem;
bilgi G / Ç Bilgisi;
bilgi depolama ortamı;
Ekipman ve iletim kanalları;
bilgi Güvenliği Araçları.
Virüs yazarları ve siber suçlular görevi için gerekli bir fedakarlıkta bir virüs, solucan veya Trojan programı tanıtmaktır. cep telefonu. Bu amaç, iki ana kategoriye ayrılan çeşitli şekillerde elde edilir:
- sosyal Mühendislik ("Sosyal Mühendislik" terimini de kullandı - İngilizce "Sosyal Mühendislik" ile izleniyor);
- kullanıcının bilgisi olmadan kötü amaçlı kodun virüslü bir sisteme girilmesi için teknik teknikler.
Genellikle bu yöntemler aynı anda kullanılır. Aynı zamanda, virüsten koruma programlarına karşı koymak için özel önlemler kullanılır.
Sosyal mühendislik
Sosyal Mühendislik Yöntemleri Bir şekilde veya başka bir kullanıcı, kullanıcının virüslü dosyayı çalıştırmasını veya bağlantısını enfekte olmuş web sitesine açmasını sağlar. Bu yöntemler sadece çok sayıda posta solucanı tarafından değil, aynı zamanda diğer kötü amaçlı yazılım türleri tarafından da uygulanır.
Bilgisayar korsanlarının ve virüs yazarlarının görevi - kullanıcının dikkatini virüslü dosyaya (veya enfekte olmuş dosyaya http bağlantısına) çekmek için kullanıcıyı ilginizi çekin, dosyayı (veya dosyanın bağlantısını) tıklatın. "Türün Klasik", Bilgisayar Ekonomisi Verilerine göre, Mayıs 2000'de Mayıs 2000'deki LovelyLitter Postwall'dur. Solucanın ekranda görüntüleneceği mesajı şöyle görünüyordu:
"Seni seviyorum" tanıma çok fazla tepki verdi ve sonuç olarak posta sunucuları Büyük şirketler yüke dayanamadı - solucan, yatırımlanan VBS dosyasının her açılışında, adres defterindeki tüm kişilere kopyalarını gönderdi.
MyDoom'un posta solucanı, Ocak 2004'te internette "acele", posta sunucusunun teknik mesajlarını simüle eden metinleri kullandı.
Ayrıca, Microsoft'un mesajı için kendisini veren ve Windows'ta bir dizi yeni güvenlik açığını ortadan kaldıran bir yama altında maskelenen Swen solucanından bahsetmeye değerdir (birçok kullanıcının "Microsoft'tan sonraki bölmeyi ayarlamaya başlamaması şaşırtıcı değildir) .
Bunlardan biri Kasım 2005'te meydana gelen olgular da vardır. Solucan ayık sürümlerinden birinde, Alman ceza polisinin yasadışı web sitelerini ziyaret etme vakalarını araştırdığı bildirildi. Bu mektup, resmi mektup için alan bir çocuk pornografisinin hayranına düştü ve itaatkarlara yetkililere itiraz etti.
Son zamanlarda, mektuba yatırılan mektupta popülerlik yapılmadı, ancak enfekte olmuş sitede bulunan dosyalara bağlantılar. Mesaj, Potansiyel Mağdur'a gönderilir - Posta, ICQ veya başka bir çağrı cihazı aracılığıyla daha az sıklıkla - IRC İnternet sohbetleri (Mobil virüsler durumunda, normal teslimat yönteminde bir SMS mesajı kullanılır). Mesaj, şüphesiz kullanıcıyı bağlantıya tıklatan herhangi bir çekici metni içerir. Bu method Bugün fedakarlıktaki nüfuzlar, bugün en popüler ve etkilidir, çünkü vigilant anti-virüs filtrelerini e-posta sunucularında atlamanıza izin verir.
Dosya paylaşım ağlarının (P2P ağı) olanakları da kullanılır. Solucan veya Trojan programı, P2P ağında, örneğin çeşitli "lezzetli" isimler altında ortaya konur:
- AIM & AOL ŞİFRE HACKER.EXE
- Microsoft CD Key Generator.exe
- Pornstar3d.exe.
- oyun istasyonu emulator crack.exe
Yeni programlar arayışında, P2P ağlarının kullanıcıları bu isimlere tökezledi, dosyaları indirin ve çalıştırmak için çalıştırın.
Ayrıca popüler "kablolama", kurban, çeşitli hacklemek için ücretsiz bir yardımcı program veya talimatlar uygularken Ödeme Sistemleri. Örneğin, ücretsiz internet erişimi olsun veya hücresel operatör, Kredi kartı numarası jeneratörünü indirin, kişisel bir internet cüzdanındaki para miktarını arttırın vb. Doğal olarak, böyle sahtekarlığın kurbanlarının kanun uygulayıcı kurumlarına gitmesi pek mümkün değildir (sonuçta, aslında kendilerini hileli bir şekilde kazanmaya çalıştılar) ve internet suçluları bunun için kullanılır.
"Kablolama" nın sıradışı yolu, 2005-2006 yıllarında Rusya'dan bilinmeyen bir saldırgan kullandı. Trojan programı, işte uzmanlaşmış ve personel aramak için Job.RU web sitesinde bulunan adreslere gönderildi. Orada özgeçmişlerini yayınlayanların bazıları, içeriğiyle kendilerini açıp tanımak için önerilen bir mektuba yatırılan bir dosyayla çalışmak için iddia edilen bir teklif aldı. Dosya, Tabii ki, Trojan programı. Ayrıca, saldırının temel olarak kurumsal posta adreslerine yapılması ilginçtir. Görünüşe göre hesaplama, şirket çalışanlarının enfeksiyon kaynağını bildirme olasılığı olası değildir. Bu yüzden oldu - 14 aydan uzun bir süredir Kaspersky laboratuvar uzmanları, kullanıcıların bilgisayarlarında Trojan programına nüfuz etme yöntemi hakkında anlaşılır bilgi alamadı.
Ayrıca, örneğin, bankanın müşterinin erişim kodlarını onaylaması (veya daha doğrusu) onaylamaları istenen bir belgeye sahip olan bir mektup da var - belgeyi yazdırın, ekli formu doldurun ve sonra gönder mektupta belirtilen telefon numarasına faksla.
Başka bir sıradışı teslimat davası casus yazılım programı "Eve" Japonya'da 2005 yılının sonbaharında meydana geldi. Bazı saldırganlar, CD'leri Japon bankalarından birinin müşterilerinin müşterilerinin (şehir, sokak, ev) ev adreslerine (şehir, sokak, ev) ile bulaştığını gönderdi. Aynı zamanda, bu bankanın kendisinin çalınan bir müşteri tabanından bilgi kullanılmıştır.
Teknoloji Uygulaması
Bu teknolojiler, davetsiz misafirler tarafından sistemdeki kötü amaçlı kodları uygulamak için kullanılır, bilgisayarın sahibinin dikkatini çekmeyen, gizlidir. İşletim sistemlerinin güvenlik sisteminde ve yazılımdaki güvenlik açıklarından gerçekleştirilir. Güvenlik açıklarının varlığı, ağ kurduğu bir ağ solucanının veya bir Trojan programının fedakarlığa nüfuz etmesini ve bağımsız olarak kendisini başlatmasını sağlar.
Güvenlik açıkları temel olarak koddaki veya çeşitli programların çalışmalarının mantığına göre hatalardır. Modern işletim sistemleri ve uygulamaları karmaşık bir yapıya ve kapsamlı bir işlevselliğe sahiptir ve tasarım ve gelişmelerinde hataları önlemek imkansızdır. Bu, virüsler ve bilgisayar davetsiz misafirleri tarafından kullanılır.
Güvenlik Açıkları B. posta müşterileri Outlook, Nimda ve Aliz posta solucanlarını kullandı. Solucan dosyasını başlatmak için, virüslü bir harf açmak için yeterliydi veya sadece imleci önizleme penceresine getirmek için yeterli.
Ayrıca, kötü amaçlı programlar, işletim sistemlerinin ağ bileşenlerinde aktif olarak güvenlik açıklarını kullanmıştır. Dağılımı için, kodlanmış, Sasser, Slammer, Lovesan (Blaster) solucanları ve Windows altında çalışan diğer birçok solucan için bu tür bir güvenlik açıklarını kullandı. Blow ve Linux sistemleri altında - solucanlar Ramen ve Slapper, bu çalışma ortamında ve bunun için uygulamalarda güvenlik açıkları ile bilgisayarlara nüfuz eder.
Son yıllarda, en popüler enfeksiyon yöntemlerinden biri, web sayfaları üzerinden kötü amaçlı kodun tanıtılmasıdır. İnternet tarayıcılarında genellikle kullanılan güvenlik açıklarıdır. Web sayfası, tarayıcıda güvenlik açığı kullanan önceden File ve Script programına yerleştirilir. Kullanıcı virüslü sayfaya ulaştığında, komut dosyası programı tetiklenir, hangi güvenlik açığı virüslü dosyayı bilgisayara indirir ve yürütme için orada başlar. Sonuç olarak, çok sayıda bilgisayara enfekte etmek için, bu tür bir web sayfasına mümkün olduğunca mümkün olduğunca yememek yeterlidir. Bu, örneğin, sayfanın adresi ile spam göndererek, İnternet sayfaları aracılığıyla benzer mesajlar gönderen, bazen arama motorları bile bu konuda kullanılabilir. Enfekte sayfada, daha erken veya geç arama motorları tarafından kontrol edildiği çeşitli bir metin var - ve bu sayfaya bağlantı, arama sonuçlarındaki diğer sayfalar listesinde.
Ayrı bir sınıf, diğer Trojan programlarını indirmek ve başlatmak için tasarlanmış Trojan programlarıdır. Genellikle, çok küçük bir boyuta sahip olan bu truva atları, bir şekilde veya başka bir şekilde (örneğin, sistemdeki bir sonraki kırılganlığı kullanarak) fedakarlık bilgisayarı üzerinde "uygun" ve daha sonra internetten bağımsız olarak ortaya çıkar ve diğer kötü amaçlı bileşenleri kurarak sistem. Genellikle bu tür trojanlar tarayıcı ayarlarını, diğer Truva atlarına "yolun kolaylaştırılması" için en güvensizliğine değiştirir.
Bilinen güvenlik açıkları, geliştiriciler tarafından derhal düzeltildi, ancak yeni güvenlik açıkları hakkında bilgi sürekli olarak ortaya çıkıyor, bu da hemen hemen bir çok hacker ve virüs tarafından kullanılmaya başlanıyor. Birçok Trojan "Botlar", sayılarını artırmak için yeni güvenlik açıklarını kullanıyor ve Microsoft Office'teki yeni hatalar hemen bilgisayarlara düzenli Trojan programlarını tanıtmak için kullanılmaya başladı. Aynı zamanda, ne yazık ki, bir sonraki güvenlik açığı ve solucanların ve truva atlarının kullanımının başlangıcındaki bilgilerin ortaya çıkması arasındaki geçici boşluğu azaltma eğilimi vardır. Sonuç olarak, savunmasız yazılım ve antivirüs programlarının geliştiricileri üreticileri Zeietic'in durumunda. Birincisi, mümkün olduğunca çabuk düzeltilmeli, sonucu test edin (genellikle "yama", "yama" olarak adlandırılır ve kullanıcılara gönderin ve ikincisi, tespit aracını ve engelleme nesneleri (dosyalar, ağ paketleri) derhal bırakmaktır. güvenlik açığı kullanarak.
Sosyal mühendisliğin uygulanması ve yöntemleri için teknolojilerin eşzamanlı kullanımı
Oldukça sık, bilgisayar davetsiz misafirleri bir kerede her iki yöntemde de kullanılır. Sosyal mühendislik yöntemi, enfekte olmuş nesnenin sisteme girme olasılığını arttırmak için potansiyel bir kurbanın dikkatini çekmek ve teknik olmaktır.
Örneğin, Mimail'in posta solucanı bir ek olarak yayıldı. e-posta. Kullanıcının mektuba dikkat etmeleri için, içine özel bir şekilde dekore edilmiş bir metin yerleştirilir ve solucanın bir kopyasını harfe bağlı zip arşivinden başlatmak için - Güvenlik Açığı İnternet tarayıcısı Explorer. Sonuç olarak, arşivden bir dosyayı açarken, solucan diskte bir kopya oluşturdu ve herhangi bir sistem uyarısı veya kullanıcının ek eylemleri olmadan yürütmeye başladı. Bu arada, bu solucan, hırsızlık için amaçlanan birincisiydi. kişisel bilgi İnternet cüzdan kullanıcıları e-altın sistemi.
Başka bir örnek, "Merhaba" ve "Sizin hakkında ne yazdıklarını görmek" olan spam posta gönderin. Metin, belirli bir Web sayfasına bağlantıyı takip etti. Analiz ederken, bu web sayfasının, başka bir güvenlik açığı kullanan bir komut dosyası programı içerdiği ortaya çıktı. Internet Explorer., LDPinch Trojan programını, çeşitli şifrelerin çalınması amaçlı kullanıcıya yükler.
Antivirüs programlarına karşı
Bilgisayar davetsiz misafirlerinin amacı, mağdur bilgisayarlarda kötü amaçlı kod tanıtmak, o zaman bunun için sadece kullanıcının kirli bir dosyayı başlatmasına zorlamak ya da sistemi herhangi bir güvenlik açığı yoluyla girmeleri için değil, aynı zamanda kurulu antivirüs filtresi tarafından kesin olarak kaydırılmaları gerekir. Bu nedenle, saldırganların antivirüs programlarıyla bilerek mücadele etmeleri şaşırtıcı değildir. Kullanılan teknik teknikler çok çeşitlidir, ancak çoğu zaman aşağıdakiler bulunur:
Ambalaj ve şifreleme kodu. Modern bilgisayar solucanlarının ve Trojan programlarının (çoğu değilse) (çoğu değilse) bir şekilde veya başka bir şekilde paketlenir veya şifrelenir. Ayrıca, bu tasarlanmış paketleme ve şifreleme yardımcı programları için özellikle bilgisayar düşük akım oluşturulmuştur. Örneğin, kötü niyetli, Cryptexe, Exeref, Polycrypt yardımcı programları ve diğerleri ile tedavi edilen tüm dosyalar kesinlikle ortaya çıktı.
Bu tür solucanları ve trojanları tespit etmek için, virüsten koruma programlarının yeni açma ve şifreleme yöntemleri eklemek veya her bir kötü amaçlı programın her bir örneği için imza eklemek için, bu, tüm mümkün olan tüm kod örnekleri elinde olduğundan, tespitin kalitesini azaltır. Anti-virüs şirketi.
Kod mutasyonu. Trojan kodunun "çöp" talimatlarının seyreltilmesi. Sonuç olarak, Trojan programının işlevleri kalır, ancak önemli ölçüde değişir " görünüm" Kod mutasyonu gerçek zamanlı olarak gerçekleştiğinde, virüslü web sitesinden her bir indirme ile birlikte vakalar periyodik olarak gerçekleşir. Şunlar. Böyle bir siteye düşen Trojan örneklerinin tamamı veya önemli bir parçası farklıdır. Bu teknolojinin uygulanmasına bir örnek, birkaç sürümün 2006'nın ikinci yarısında önemli salgınlara neden olan Warezov'un posta solucanıdır.
Varlığını gizleme. "Rootkit Technologies" olarak adlandırılan (İngilizce "rootkitten), genellikle Truva programlarında yaygın olarak kullanılan. Sistem fonksiyonlarının durdurulması ve değiştirilmesi, enfekte olmuş dosyanın görünmemesi, ne de işletim sisteminin normal araçları ne de virüsten koruma programları ile gerçekleştirilir. Bazen kayıt şubeleri, Trojan'ın bir kopyasının ve bilgisayarın diğer sistem alanlarının kaydedildiği gizlenir. Bu teknolojiler, örneğin Trojan-Backdoor Hacdef'i aktif olarak kullanılmaktadır.
Antivirüsün çalışmalarını ve sistemi antivirüs bazlarının güncellemelerini (güncellemeler) alınması için durdurun. Birçok Truva programı ve ağ solucanı, antivirüs programlarına karşı özel eylemler alır - bunları aktif uygulamalar listesinde arıyorsunuz ve çalışmalarını durdurmaya çalışın, Antivirüs veritabanlarını bozma, güncellemelerin alınmasını engelleyin vb. Antivirüs programları kendilerini yeterli yollarla korumak zorundadır - veritabanlarının bütünlüğünü izlemek, süreçlerini Truva atlarından vb.
Web sitelerinde kodunuzu gizlemek. Trojan dosyalarının mevcut olduğu web sayfalarının adresleri, er ya da geç, antivirüs şirketleri bilinir. Doğal olarak, bu sayfalar, anti-virüs analistlerinin yakınlığına dikkat çekiyor - Sayfanın içeriği periyodik olarak indirilenler, Trojan programlarının yeni sürümleri kaydedildi antivirüs güncellemeleri. Bunu önlemek için, Web sayfası özel bir şekilde değiştirilir - istek anti-virüs şirketi adresinden geçerse, Trojan yerine bazı Nucleani dosyası indirilir.
Saldırı miktarı. İnternette Nesil ve Dağıtım Çok sayıda Trojan programlarının yeni sürümleri kısa bir süre içinde. Sonuç olarak, anti-virüs şirketleri, yeni örneklerle "yükselir", bu da zamanın analiz etmesinin zamanını gerektiren zaman gerektiren, bu da bilgisayarlara başarılı bir şekilde giriş yapma şansı ek bir şans verir.
Bunlar ve diğer yöntemler, antivirüs programlarını önlemek için bilgisayarın yeraltında kullanılır. Aynı zamanda, siber suçların aktivitesi yıldan bir yıl sonra büyüyor ve şimdi virüsten koruma endüstrisi ve viral endüstri arasında dönen "Technologies Yarışı" hakkında konuşabiliriz. Aynı zamanda, bireysel bilgisayar korsanlarının ve ceza gruplarının yanı sıra profesyonelliklerinin yanı sıra büyüyor. Bütün bunlar birlikte, virüsten koruma şirketlerinin yeterli düzeyde gelişmesi için gerekli işlerin karmaşıklığını ve miktarını büyük ölçüde arttırır.
Yazılım-matematiksel etki, kötü amaçlı programların yardımı ile bir etkidir. Potansiyel olarak tehlikeli sonuçlar veya kötü niyetli programlara sahip program, aşağıdaki işlevlerin boş olmayan bir alt kümesini gerçekleştirebilen bazı bağımsız bir program (talimatlar kümesi) olarak adlandırılır: · Yazılımın Midcomptions'daki varlığının işaretlerini gizle; · Yeteneğine sahip olmak Kendini ayarlamak için, kendinizi düz programlarla ve (veya) fragmanlarının diğer operasyonel veya harici bellek alanlarına aktarılması; · Properatif bellek programlarının bir kodunu yok etmek (keyfi) bir kodu yok etmek; · Kullanıcıdan başlamadan gerçekleştirmek için (Standart yürütme modunda kullanıcı programı) yıkıcı fonksiyonlar (kopyalama, yıkım, engelleme ve benzerleri.); · Doğru erişimin (yerel veya remaned) harici hafızanın dış hafızalarındaki RAM'den bilgi parçalarını kaydedin; · keyfi bir şekilde, bloğu ve (veya) dış hafızaya veya iletişim kanalına, bir dizi bilgi bir dizi bozulma Uygulanan programların bir sonucu olarak oluşturulmuş veya zaten veri dizisinin harici hafızasında bulunur.Kötü amaçlı programlar, tasarımda kullanılan yazılımda, gelişimi, eşlik, modifikasyonlar ve ayarlar sürecinde hem kasten hem de rastgele yapılabilir. Ek olarak, CDN'nin harici ortamdan veya NSDS'nin ve KAH'nin rastgele kullanıcıları tarafından harici ortamlardan veya ağ etkileşiminden çalıştırılması sırasında kötü amaçlı yazılımlar yapılabilir.
Modern kötü amaçlı programlar, çeşitli yazılımların (sistemik, genel, uygulamalı) ve çeşitli ağ teknolojilerinin geniş bir yelpazedeki yıkıcı yeteneklerin (PDN parametrelerinin izinsiz çalışmasından, işleyişi olmadan izinsiz çalışmasından) CDN, PDNS ve Yazılım CDN'nin yıkılmasından önce) ve her türlü yazılımda hareket edebilir (sistem, donanım sürücülerinde, vb.).
Kötü amaçlı programların varlığı, sistemde, şifre ve şifreleme koruması da dahil olmak üzere, sistemde sağlanan koruyucu mekanizmaların açmanızı, atlamanıza veya engellemenizi sağlayan bilgilere, geleneksel olmayan erişim kanalları da dahil olmak üzere gizlenmenin oluşmasına katkıda bulunabilir.
Ana kötü amaçlı program türleri:
· Yazılım yer imleri;
· Klasik yazılım (bilgisayar) virüsleri;
· Ağ üzerinden yayılan kötü amaçlı programlar (ağ solucanları);
· NSD'nin uygulanmasına yönelik diğer kötü amaçlı programlar.
Yazılım yer imleri arasında programlar, kod parçaları, bildirilmemiş yazılım yetenekleri oluşturan talimatlar içerir. Kötü amaçlı programlar, bir türden diğerine geçebilir, örneğin, bir yazılım döşeme, sırayla ağ koşullarına çarpan bir yazılım virüsü oluşturabilir, bir NSD'yi uygulamak için tasarlanmış bir ağ kurduğu veya başka bir kötü amaçlı yazılım programı oluşturabilir.
Ana kötü amaçlı programların kısa bir açıklaması aşağıdakilere indirgenir. Önyükleme virüsleri, kendilerini diskin önyükleme sektörüne (önyükleme sektörü) veya ana önyükleme kaydını içeren sektörde veya işaretçiyi aktif önyükleme sektörüne değiştirin. Enfekte bir diskten yüklenirken bilgisayarın hafızasına sokulurlar. Bu durumda, sistem yükleyici, indirmenin yapıldığı diskin ilk sektörünün içeriğini okur, okuma bilgileri belleğe ve kendisine (yani virüs) kontrolüne aktarır. Bundan sonra, bir kural olarak, ücretsiz bellek miktarını azaltan virüs talimatları başlatılır, kodunu boşaltılan yere kopyalar ve devamını diskten okur (varsa), gerekli kesme vektörünü keser (genellikle int) 13h), orijinal bellek önyükleme sektörünü okur ve kontrolü iletir.
Gelecekte, önyükleme virüsü dosya ile aynı şekilde davranır: İşletim sisteminin erişimini keser ve yıkıcı eylemler yapan bazı koşullara bağlı olarak, ses efektlerine veya video etkilerine neden olur.
Bu virüsler tarafından gerçekleştirilen ana yıkıcı eylemler şunlardır:
· Disket ve sabit sürücü sektörlerinde bilginin imhası;
· İşletim sistemini yükleme olasılığını hariç tutma ("Freezes" Bilgisayar);
· Yükleyici kodunun bozulması;
· Sabit sürücünün disketinin veya mantıksal disklerinin biçimlendirilmesi;
· COM ve LPT limanlarına erişimi kapatmak;
· Metinleri yazarken sembollerin değiştirilmesi;
· Ekran seğirmesi;
· Diskin veya disketin etiketini değiştirin;
· Pseudo-serbest kümeler oluşturmak;
· Ses ve (veya) görsel efektler oluşturma (örneğin, bırak
ekrandaki harfler);
· Hasta veri dosyaları;
· Çeşitli mesajları görüntüler;
· Çevresel cihazları ayırın (örneğin, klavye);
· Ekran paletini değiştirin;
· Ekranı dışarıya veya görüntülerle doldurun;
· Klavyedeki boş modda ekran geri ödeme ve çeviri;
· Sabit sürücünün şifreleme sektörleri;
· Klavyedeki ayarlandığında ekranda görüntülenen karakterlerin seçici imhası;
· RAM'i azaltmak;
· Ekranın ekranının yazdırılmasını değiştirme;
· Diskteki kayıtları engelleme;
· Bir bölüm tablosunu (disk bölümü tablosu) durdurmak, bundan sonra, bilgisayar sadece disketten indirilebilir;
· Yürütülebilir dosyaların başlangıcını engellemek;
· Winchester'a erişimi engellemek.
|
Şekil 3. Yazılım virüslerinin ve ağ solucanlarının sınıflandırılması
En önyüklenebilir virüsler, disketlerde kendilerini üzerine yazar.
Enfeksiyon yönteminin üzerine yazılması en basittir: Virüs, enfekte olmuş dosyanın kodu yerine kodunu kaydeder, içeriğini tahrip eder. Doğal olarak, dosya çalışmayı durdururken ve geri yüklenmez. Bu tür virüsler kendilerini çok hızlı bir şekilde tespit eder, çünkü işletim sistemi ve uygulamalar oldukça hızlı bir şekilde çalışmayı bıraktı.
"Companion" kategorisi, kirli dosyaları değiştirmeyen virüsleri içerir. Bu virüslerin çalışmalarının algoritması, kirli dosya için bir çift dosyanın oluşturulması ve enfekte olmuş dosya başlatıldığında, kontrol bu ikiz alır, yani virüs. DOS özelliğini kullanan en yaygın companyon virüsleri, bir dizinde aynı ada sahip iki dosya varsa, ancak bir dizinde iki dosya varsa, ancak İsminin çeşitli isimleri ile - .com i.exe. Bu tür virüsler, aynı ada sahip olan exe dosyaları için uydu dosyaları oluşturur, ancak örneğin Excention.com ile Xcopy.com dosyası Xcopy.exe dosyası için oluşturulur. Virüs COM dosyasına kaydedilir ve EXE dosyasını değiştirmez. Böyle bir DOS dosyasını başlattığınızda, ilk önce COM dosyasını algılar ve yürütür, yani, ardından başlatılan virüs ve EXE dosyası. İkinci grup, virüs bulaştığında, dosyayı başka bir ada yeniden adlandırın, hatırlayın (ana bilgisayar dosyasının sonraki başlatılması için) ve kodunu enfekte olmuş dosyanın adı altında diske yazın. Örneğin, xcopy.exe dosyası Xcopy.exd olarak yeniden adlandırılır ve virüs, Xcopy.exe adı altında yazılır. Başlarken, kontrol virüs kodunu alır, bu daha sonra Xcopy.exd adı altında saklanan orijinal XCOPY'yi başlatır. İlginç olan, bu yöntemin görünüşte tüm işletim sistemlerinde çalışmasıdır. Üçüncü grup, "yol arkadaşı" virüslerini içerir. Ya kodlarını enfekte olmuş dosyanın adı altında yazarlar, ancak önerilen yollarda bir seviye (DOS, ilk önce ilk olarak virüs dosyasını başlatır) veya fedakarlık dosyasını yukarıdaki bir alt dizinle tolere ederek " vb.
Diğer orijinal fikirleri veya diğer işletim sistemlerinin özelliklerini kullanan diğer eşlik eden virüs türleri mevcuttur.
Solucanlar (solucanlar), bir anlamda, bir tür Companyon virüsleridir, ancak hiçbir şekilde bulunmadıklarını herhangi bir dosyayla ilişkilendirmezler. Üremede, yalnızca kodlarını yalnızca bu yeni kopyaların kullanıcı tarafından çalıştırılacağı umuduyla herhangi bir disk kataloğuna kopyaladılar. Bazen bu virüsler, kullanıcıyı kopyalarını başlatması için kullanıcıyı itmek için "özel" isimlerinin kopyalarını verir - örneğin, install.exe veya winstart.bat. Oldukça olağandışı teknikleri, örneğin kopyalarını arşivlerde kaydeder (Arj, Zip ve diğerleri) kullanan Wormi virüsleri var. Bazı virüsler, virüslü bir dosyanın başlatılmasını BAT dosyalarında kaydeder. Chervi dosyası virüslerini ağ solucanları ile karıştırmayın. İlk olarak, herhangi bir işletim sisteminin dosya işlevlerini kullanırken, ikinci onların çoğaltılmasında ağ protokollerini kullanır.
Companion-virüsler gibi bağlantı virüsleri, dosyaların fiziksel içeriğini değiştirmez, ancak virüslü dosya başlatıldığında, işletim sistemi yazılımı kodunuzu yürütür. Bu hedefler, gerekli dosya sistemi alanlarının değiştirilmesine ulaşırlar.
Virüsler, derleyicilerin kütüphanelerinin enfeksiyonu, nesne modülleri ve kaynak metinleri oldukça egzotik ve pratik olarak yaygın değildir. Virüsler, OBJ ve LIB dosyalarını enfekte edin, kodlarını Nesne Modülü veya Kütüphanesi biçiminde onlara yazın. Böylece virüslü dosya yapılmaz ve virüsü akım durumuna daha fazla yayılamaz. "Yaşam" virüsünün taşıyıcısı bir COM- veya EXE dosyası haline gelir.
Kontrolü aldıktan sonra, dosya virüsü aşağıdaki genel eylemleri gerçekleştirir:
· Kopyası için RAM'i kontrol eder ve enfekte
bilgisayar belleği Virüsün bir kopyası bulunmazsa (virüs bir ikamet ise), Mantıksal disk dizinlerini tarayarak geçerli ve (veya) kök dizininde etkin olmayan dosyaları arar ve ardından algılanan dosyaları enfekte eder;
· Ek (eğer varsa) işlevleri gerçekleştirir: yıkıcı
eylemler, grafik veya ses efektleri vb. (Yerleşik virüsün ilave fonksiyonları, aktivasyondan sonra, aktivasyondan sonra, aktivasyondan sonra, sistem konfigürasyonuna, iç virüs sayaçlarına veya diğer koşullara bağlı olarak, bu durumda, sistem saatinin durumunu işlemi yaparken virüs, sayaçlar vb.);
· Ana programın yönetimini döndürür (ise).
Virüsün daha hızlı yayılacağı, bu virüsün salgınının ortaya çıkması daha muhtemel olduğu, virüsün daha yavaş olduğu, onu tespit etmek daha zor olanı, onu tespit etmek daha zordur (tabii ki, bu virüs bilinmiyorsa). Yerleşik olmayan virüsler genellikle "yavaş "dur - çoğu başlangıçta bir veya iki veya üç dosya ile enfekte olur ve antivirüs programını başlatmadan önce (veya yapılandırılmış antivirüsün yeni bir sürümünün görünümünün görünümünü) bu virüs için). Elbette, yerleşik olmayan "hızlı" virüsler, tüm dosyaları arayan ve bulaşan, ancak bu tür virüsler çok belirgindir: Her virüslü dosyaya başladığınızda, bilgisayarın aktif olarak çalıştığı zaman (bazen yeterince uzun) vardır. virüsü takip eden sabit diskle. Yerleşik virüslerdeki dağılımın (enfeksiyon) hızı, genellikle ikamet edilmemekten daha yüksektir - dosyaları onlara hitap eden dosyaları bulaştırır. Sonuç olarak, sürekli kullanımda kullanılan tüm dosyalar diske enfekte olur. Yerleşik dosya virüslerinin dağıtım (enfeksiyonu), dosyaları yalnızca yürütmeye başladıklarında, dosyaları enfekte eden virüslerden daha düşük olacak ve açtıklarında, yeniden adlandırıldığında, dosya özniteliklerini değiştirdiklerinde vb.
Böylece, dosya virüsleri tarafından gerçekleştirilen ana yıkıcı eylemler, dosyaların yenilgisi (daha sık yürütülebilir veya veri dosyaları), çeşitli komutların (biçimlendirme, imha, kopyalama komutları vb. Dahil), tabloyu değiştirme ile ilişkilendirilir. Vektörleri kesme ve Dr. Aynı zamanda, önyükleme virüsleri için belirtilenlere benzer birçok yıkıcı eylem gerçekleştirilebilir.
Makrovirüsler (Makro virüsleri) bazı veri işleme sistemlerine (metin editörleri, elektronik tablolar vb.) Katıştırılmış dillerdir (makro-dil). Üreme için, bu tür virüsler makro-dillerin yeteneklerini kullanır ve kendilerini enfekte olmuş bir dosyadan (belge veya tablodan) başkalarına aktarmaları. Macrovirüsler, Microsoft Office uygulama paketi için en yaygındı.
Belirli bir sistemde (editör) virüslerin varlığı için, yetenekleri içeren yerleşik bir makro-dil oluşturmak gerekir:
1) Makro-dilde belirli bir dosyaya bağlamalar;
2) Makrogramları bir dosyadan diğerine kopyalayın;
3) Makro programının yönetimini kullanıcı müdahalesi olmadan elde etmek (otomatik veya standart makrolar).
Bu koşullar, Microsoft Word, Excel ve Microsoft Access uygulamalarından memnundur. Makromazik içerirler: Word Basic, Visual Basic uygulamaları için. Burada:
1) Makrogramlar belirli bir dosyaya bağlanır veya dosyanın içindedir;
2) Makro dil, dosyaları kopyalamanıza veya makrogramları sistem hizmeti dosyalarına ve düzenlenebilir dosyalara kopyalamanızı sağlar;
3) Belirli koşullar altında bir dosyayla çalışırken (açılış, kapatma, vb.), Makro çerçeveler (varsa) özel bir şekilde tanımlanmış veya standart adlarınız var.
Bu makro dilin bu özelliği, büyük organizasyonlarda veya küresel ağlarda otomatik veri işleme için tasarlanmıştır ve "otomatik belge yönetimi" olarak adlandırılan söz konusudur. Öte yandan, bu tür sistemlerin makro-dil yetenekleri, virüsün kodlarını diğer dosyalara aktarmasına ve böylece bunlara bulaşmasına izin verir.
Çoğu makrovirüsler yalnızca dosyanın açılması (kapanması) zamanında değil, editörün kendisi etkin olduğu sürece aktiftir. Tüm işlevlerini standart kelime / Excel / Office makroları şeklinde içerirler. Bununla birlikte, kodlarını gizleme ve kodlarını makrolar biçiminde saklama alımlarını kullanan virüsler vardır. Böyle bir resepsiyon var, hepsi diğer makroları oluşturma, düzenleme ve yürütme yeteneğini kullanır. Kural olarak, benzer virüsler, yerleşik makro editöre neden olan virüsün küçük (bazen polimorfik) bir makroyuna sahiptir, bu da yeni bir makro oluşturur, virüsün temel koduyla doldurur, gerçekleştirir ve ardından bir kural olarak, yok eder (virüs varlığının izlerini gizlemek için). Bu tür virüslerin ana kodu, virüs makronunda metin dizeleri (bazen şifrelenmiş) biçiminde veya belgenin değişkenlerinin alanında depolanır.
Ağ, dağıtımları için yerel ve küresel ağların protokollerini ve olanaklarını kullanan virüsleri içerir. Ağ virüsünün ana prensibi, kodunuzu uzak bir sunucuya veya iş istasyonuna bağımsız olarak aktarma yeteneğidir. "Tam teşekküllü" ağ virüsleri de kodlarını uzak bir bilgisayarda ya da en azından "enfekte bir dosyayı başlatmak için kullanıcıya basma yeteneğine de sahiptir.
NSD'nin uygulanmasını sağlayan kötü amaçlı programlar şunlar olabilir:
· Seçim ve açma şifreleri programları;
· Tehditleri uygulayan programlar;
· Yazılım ve yazılım ve donanım CDM'sinin ilan edilmeyen yeteneklerinin kullanımını gösteren programlar;
· Bilgisayar virüsü jeneratör programları;
· Güvenlik güvenlik açıklarını gösteren programlar
bilgi vb.
Yazılımın komplikasyonu ve artan çeşitliliği nedeniyle, kötü amaçlı programların sayısı hızla artmaktadır. Bugün 120 bin'den fazla bilgisayar virüs imzası bilinmektedir. Aynı zamanda, hepsi gerçek bir tehdidi temsil etmiyor. Çoğu durumda, sistemde veya uygulama yazılımındaki güvenlik açıklarının ortadan kaldırılması, bir dizi kötü amaçlı programların artık içinde uygulanamaması gerçeğine yol açtı. Genellikle ana tehlike yeni kötü amaçlı programları temsil eder.
İhlallerin Sınıflandırılması
Dodge'a ait olan tüm ihlaller iki gruba ayrılır:
Dış ihlalatörler - ekipmanın sabırsız olduğu kontrol edilen bölgenin topraklarında kalma hakkına sahip olmayan bireyler;
İç ihlalatörler - ekipmanın uygulandığı kontrollü bölgenin topraklarında kalma hakkına sahip olanlar.
Dış ihlal eden
Harici bir bilgi güvenliği ihlali olarak, kontrol edilen bölge içindeki sistemin teknik kaynaklarına ve kaynaklarına doğrudan erişimi olmayan bir ihlalci olarak kabul edilir.
Dış ihlal edenin, sızıntı teknik kanalları hakkında korumalı bilgileri etkilemediği, çünkü konutlara kaydedilen ve işlenen bilgi miktarı, sızıntı hakkındaki bilgilerin sızmasını amaçlamak için dış ihlal edenlerin olası motivasyonu için yetersiz kaldığı varsayılmaktadır. kanallar.
Dış davetsiz misafirlerin, yalnızca iletişim kanalları üzerinden transfer sırasında korumalı bilgileri etkileyebileceği varsayılmaktadır.
İç talimat
İç değer düşüklüğünün olanakları, şu anda kontrol edilen bölge içinde faaliyet gösteren kısıtlayıcı bölge içinde faaliyet gösteren kısıtlayıcı faktörlere bağlıdır; Kontrollü bölgenin içinde ve prosedürün kontrolü, yetkisiz erişimi engellemeyi ve önlenmeyi amaçlayan çalışmaların kontrolü.
Erişim sistemi dağıtım dağıtım sistemi hücreleri, benimsenen bilgi güvenliği politikasına (Kurallar) uyarınca bilgi, yazılım, donanım ve diğer kaynaklara erişmek için kullanıcı haklarının sınırlandırılmasını sağlar. İç İhlalcilere İlişkileyebilir (Tablo):
Belirli alt sistemlerin yöneticileri veya kategorinin veritabanları II);
Belirli AC'ye göre harici olan kullanıcılar (Kategori IV);
Veri İletim Sistemine (Kategori V) erişme yeteneğine sahip kişiler;
Elemanların sabırsız olduğu, ancak onlara erişime sahip olmayan, ancak bunlara erişime sahip olmayan tesislerde yetkili erişime sahip çalışanları ord (Kategori VI);
Servis personeli (güvenlik, mühendislik ve mühendislik işçileri vb.) (Kategori VII);
Sözleşme temelinde olan CDN'nin geliştiricilerinin yetkili personeli hakkı vardır. bakım ve kodun bileşenlerinin değiştirilmesi (Kategori VIII).
I ve II kategorilerinin yüzleri, entegrasyon için veritabanının yazılımını ve donanımını ve veritabanlarını uygulamak için görevler atanır ve CDN'nin bir parçası olan çeşitli alt sistemlerin etkileşimini sağlar. Yöneticiler, Korunan Bilgiye Doğrudan Erişim Olanaklarını Kullanarak, Korunan Bilgiye Doğrudan Erişim Olanaklarını Kullanarak ve Teknik ve Teknik ve yazılım Caiden, belirli AC'de, onlar için kurulan idari otoriteye uygun olarak kullanılan koruma araçları da dahil olmak üzere.
Bu kişiler, ana algoritmalara, belirli alt sistemlerde uygulanan protokoller ve bir bütün olarak güvensizliğin yanı sıra, aynı zamanda güvenliğin uygulanabilir prensipleri ve kavramları ile iyi bilinmektedir.
Kullanabilecekleri varsayılmaktadır standart ekipman ya güvenlik açıklarını belirlemek ya da IB tehditlerinin gerçekleştirilmesi için. Bu ekipman bir parçası olabilir tam zamanlıve kolayca elde edilebilir (örneğin, genel olarak erişilebilir dış kaynaklardan elde edilen yazılımlar).
Ek olarak, bu kişilerin sahip olabileceği varsayılmaktadır. Özel Ekipman.
Kişi kategorileri I ve II, istisnai rolleri göz önüne alındığında, özel bir organizasyonel ve rejim önlemleri kompleksi, fonksiyonel görevlerin yerine getirilmesinin seçimlerine, istihdamına, atanmasına ve kontrolüne uygulanmalıdır.
Yalnızca güvenilir kişilerin I ve II kategorilerinin sayısına dahil edileceği varsayılmaktadır ve bu nedenle, bu kişiler muhtemel ihlal edenlerin sayısından dışlanır.
III-VIII kategorilerinin yüzlerinin muhtemel ihlallere atıfta bulunduğu varsayılmaktadır.
İç değer düşüklüğünün olanakları önemli ölçüde bağımlıdır.
kontrollü bölge içinde geçerli olan rejimden
ve bireylerin PDN'lere kabul edilmesi ve iş yürütme prosedürünün kontrolü dahil olmak üzere organizasyonel ve teknik önlemler.
Yurt içi potansiyel ihlalatörler, erişim yöntemine ve PDNS'ye erişim iznine bağlı olarak sekiz kategoriye ayrılır.
Devlet Hizmetleri Kişisel Hesap
Devlet Denetleme Kabine - Snils ve Telefon Üzerine Giriş
Rusya Federasyonu'nda tek telefon kurtarma hizmeti