Загроз впровадження по мережі шкідливих програм. Загрози віддаленого запуску додатків
Загроза полягає в прагненні запустити на хості ІСПДн різні попередньо впроваджені шкідливі програми: програми-закладки, віруси, «мережеві шпигуни», основна мета яких - порушення конфіденційності, цілісності, доступності інформації і повний контроль за роботою хоста. Крім того, можливий несанкціонований запуск прикладних програм користувачів для несанкціонованого отримання необхідних порушнику даних, для запуску керованих прикладної програмою процесів і ін.
Виділяють три підкласу даних загроз:
поширення файлів, що містять несанкціонований виконуваний код;
віддалений запуск програми шляхом переповнення буфера додатків-серверів;
віддалений запуск програми шляхом використання можливостей віддаленого управління системою, що надаються прихованими програмними і апаратними закладками, або використовуваними штатними засобами.
Типові загрози першого із зазначених підкласів грунтуються на активізації поширюваних файлів при випадковому зверненні до них. Прикладами таких файлів можуть служити: файли, що містять виконуваний код в вид документи, що містять виконуваний код у вигляді елементів ActiveX, Java-аплетів, інтерпретованих скриптів (наприклад, тексти на JavaScript); файли, що містять виконувані коди програм. Для поширення файлів можуть використовуватися служби електронної пошти, передачі файлів, мережевої файлової системи.
При загрози другого підкласу використовуються недоліки програм, що реалізують мережеві сервіси (зокрема, відсутність контролю за переповненням буфера). Налаштуванням системних регістрів іноді вдається переключити процесор після переривання, викликаного переповненням буфера, на виконання коду, що міститься за кордоном буфера. Прикладом реалізації такої загрози може служити впровадження широко відомого «вірусу Морріса».
При загрози третього підкласу порушник використовує можливості віддаленого управління системою, що надаються прихованими компонентами (наприклад, «троянськими» програмами типу Back. Orifice, Net Bus), або штатними засобами управління і адміністрування комп'ютерних мереж (Landesk Management Suite, Managewise, Back Orifice і т. П.). В результаті їх використання вдається домогтися віддаленого контролю над станцією в мережі.
Якщо в Установі оброблювані ПДН не відсилаються по мережах загального користування і міжнародного обміну, встановлена \u200b\u200bантивірусний захист, то ймовірність реалізації загрози - є малоймовірною.
У всіх інших випадках повинна бути оцінена ймовірність реалізації загрози.
Узагальнений список ймовірності реалізації загроз для різних типів ІСПДн представлений в таблиці 12.
Таблиця 12
|
Тип ІСПДн |
Імовірність реалізації загрози |
Переходи. ймовірності реалізації загрози порушником |
|
Автономна ІС Iтіпа |
малоймовірна | |
|
Автономна ІС IIтіпа | ||
|
Автономна ІС IIIтіпа |
малоймовірна | |
|
Автономна ІС IVтіпа | ||
|
Автономна ІС Vтіпа |
малоймовірна | |
|
Автономна ІС VIтіпа | ||
|
ЛИС Iтіпа |
малоймовірна | |
|
ЛИС IIтіпа | ||
|
Розподілена ІС Iтіпа |
малоймовірна | |
|
Розподілена ІС IIтіпа |
діє Редакція від 15.02.2008
"БАЗОВА МОДЕЛЬ ПОГРОЗ БЕЗПЕКИ персональних даних ПРИ ЇХ ОБРОБКИ В інформаційних системах персональних даних" (затв. 15.02.2008 ФСТЕК РФ)
5. Загрози несанкціонованого доступу до інформації в інформаційній системі персональних даних
Загрози НСД в ІСПДн із застосуванням програмних і програмно-апаратних засобів реалізуються при здійсненні несанкціонованого, в тому числі випадкового, доступу, в результаті якого здійснюється порушення конфіденційності (копіювання, несанкціоноване поширення), цілісності (знищення, зміна) і доступності (блокування) ПДН, і включають в себе:
загрози доступу (проникнення) в операційну середу комп'ютера з використанням штатного програмного забезпечення (засобів операційної системи або прикладних програм загального застосування);
Загрози створення позаштатних режимів роботи програмних (програмно-апаратних) засобів за рахунок навмисних змін службових даних, ігнорування передбачених в штатних умовах обмежень на склад і характеристики оброблюваної інформації, спотворення (модифікації) самих даних і т.п .;
загрози впровадження шкідливих програм (Програмно-математичного впливу).
Склад елементів опису загроз несанкціонованого доступу до інформації в ІСПДн наведено на малюнку 3.
Крім цього, можливі комбіновані загрози, що представляють собою поєднання зазначених загроз. Наприклад, за рахунок впровадження шкідливих програм можуть створюватися умови для несанкціонованого доступу в операційну середу комп'ютера, в тому числі шляхом формування нетрадиційних інформаційних каналів доступу.
Загрози доступу (проникнення) в операційну середу ІСПДн з використанням штатного програмного забезпечення поділяються на загрози безпосереднього і віддаленого доступу. Загрози безпосереднього доступу здійснюються з використанням програмних і програмно-апаратних засобів вводу / виводу комп'ютера. Загрози віддаленого доступу реалізуються з використанням протоколів мережевого взаємодії.
Ці загрози реалізуються щодо ІСПДн як на базі автоматизованого робочого місця, не включеного в мережі зв'язку загального користування, так і стосовно всіх ІСПДн, які мають підключення до мереж зв'язку загального користування та мереж міжнародного інформаційного обміну.
Опис загроз доступу (проникнення) в операційну середу комп'ютера формально може бути представлене в такий спосіб:
загроза НСД в ІСПДн: \u003d<источник угрозы>, <уязвимость ИСПДн>, <способ реализации угрозы>, <объект воздействия (программа, протокол, данные и др.)>, <деструктивное действие>.
Малюнок 3. Елементи опису загроз несанкціонованого доступу до інформації в ІСПДн
Загрози створення позаштатних режимів роботи програмних (програмно-апаратних) засобів - це загрози "Відмови в обслуговуванні". Як правило, такі загрози розглядаються стосовно ІСПДн на базі локальних і розподілених інформаційних систем незалежно від підключення інформаційного обміну. Їх реалізація обумовлена \u200b\u200bтим, що при розробці системного або прикладного програмного забезпечення не враховується можливість навмисних дій щодо цілеспрямованого зміни:
умов обробки даних (наприклад, ігнорування обмежень на довжину пакета повідомлення);
Форматів представлення даних (з невідповідністю змінених форматів, встановлених для обробки по протоколам мережевого взаємодії);
Програмного забезпечення обробки даних.
В результаті реалізації загроз "Відмови в обслуговуванні" відбувається переповнення буферів і блокування процедур обробки, "зациклення" процедур обробки і "зависання" комп'ютера, відкидання пакетів повідомлень і ін. Опис таких загроз формально може бути представлене в такий спосіб:
загроза "Відмови в обслуговуванні": \u003d<источник угрозы>, <уязвимость ИСПДн>, <способ реализации угрозы>, <объект воздействия (носитель ПДн)>, <непосредственный результат реализации угрозы (переполнение буфера, блокирование процедуры обработки, "зацикливание" обработки и т.п.)>.
Загрози впровадження шкідливих програм (програмно-математичного впливу) недоцільно описувати з тієї ж детальністю, що і вищевказані загрози. Це обумовлено тим, що, по-перше, кількість шкідливих програм сьогодні вже значно перевищує сто тисяч. По-друге, при організації захисту інформації на практиці, як правило, досить лише знати клас шкідливої \u200b\u200bпрограми, способи і наслідки від її впровадження (інфікування). У зв'язку з цим загрози програмно-математичного впливу (ПМВ) формально можуть бути представлені таким чином:
загроза ПМВ в ІСПДн: \u003d<класс вредоносной программы (с указанием среды обитания)>, <источник угрозы (носитель вредоносной программы)>, <способ инфицирования>, <объект воздействия (загрузочный сектор, файл и т.п.)>, <описание возможных деструктивных действий>, <дополнительная информация об угрозе (резидентность, скорость распространения, полиморфичность и др.)>.
Нижче дається загальна характеристика джерел загроз безпеці інформації, вразливостей, які можуть бути використані при реалізації загроз НСД, і характеристика результатів несанкціонованого або випадкового доступу. Характеристика способів реалізації загроз дається при описі загроз доступу (проникнення) в операційну середу комп'ютера, погроз відмови в обслуговуванні і загроз ПМВ.
Джерелами загроз НСД в ІСПДн можуть бути:
порушник;
носій шкідливої \u200b\u200bпрограми;
апаратна закладка.
Загрози безпеці ПДН, пов'язані з впровадженням апаратних закладок, визначаються відповідно до нормативних документів Федеральної служби безпеки Російської Федерації в установленому нею порядку.
За наявності права постійного або разового доступу в контрольовану зону (КЗ) ІСПДн порушники поділяються на два типи:
порушники, які не мають доступу до ІСПДн, що реалізують загрози з зовнішніх мереж зв'язку загального користування і (або) мереж міжнародного інформаційного обміну, - зовнішні порушники;
порушники, які мають доступ до ІСПДн, включаючи користувачів ІСПДн, що реалізують загрози безпосередньо в ІСПДн, - внутрішні порушники.
Зовнішніми порушниками можуть бути:
розвідувальні служби держав;
Кримінальні структури;
конкуренти (конкуруючі організації);
несумлінні партнери;
зовнішні суб'єкти (фізичні особи).
Зовнішній порушник має наступні можливості:
здійснювати несанкціонований доступ до каналів зв'язку, які виходять за межі службових приміщень;
здійснювати несанкціонований доступ через автоматизовані робочі місця, підключені до мереж зв'язку загального користування і (або) мереж міжнародного інформаційного обміну;
здійснювати несанкціонований доступ до інформації з використанням спеціальних програмних впливів за допомогою програмних вірусів, шкідливих програм, алгоритмічних або програмних закладок;
Здійснювати несанкціонований доступ через елементи інформаційної інфраструктури ІСПДн, які в процесі свого життєвого циклу (Модернізації, супроводження, ремонту, утилізації) виявляються за межами контрольованої зони;
здійснювати несанкціонований доступ через інформаційні системи взаємодіючих відомств, організацій та установ при їх підключенні до ІСПДн.
Можливості внутрішнього порушника істотно залежать від діючих в межах контрольованої зони режимних та організаційно-технічних заходів захисту, в тому числі по допуску фізичних осіб до ПДН і контролю порядку проведення робіт.
Внутрішні потенційні порушники поділяються на вісім категорій залежно від способу доступу і повноважень доступу до ПДН.
До першої категорії належать особи, які мають санкціонований доступ до ІСПДн, але не мають доступу до ПДН. До цього типу порушників відносяться посадові особи, які забезпечують нормальне функціонування ІСПДн.
мати доступ до фрагментів інформації, що містить ПДН і розповсюджується по внутрішніх каналах зв'язку ІСПДн;
Розташовувати фрагментами інформації про топології ІСПДн (комунікаційної частини підмережі) і про використовувані комунікаційних протоколах і їх сервісах;
Розташовувати іменами і вести виявлення паролів зареєстрованих користувачів;
змінювати конфігурацію технічних засобів ІСПДн, вносити в неї програмно-апаратні закладки і забезпечувати знімання інформації, використовуючи безпосереднє підключення до технічних засобів ІСПДн.
має всі можливості осіб першої категорії;
Знає, щонайменше, одне легальне ім'я доступу;
Володіє всіма необхідними атрибутами (наприклад, перелом), що забезпечують доступ до деякій підмножині ПДН;
має конфіденційними даними, до яких має доступ.
Його доступ, аутентифікація і права щодо доступу до деякій підмножині ПДН повинні регламентуватися відповідними правилами розмежування доступу.
має всі можливості осіб першої та другої категорій;
Має у своєму розпорядженні інформацією про топологію ІСПДн на базі локальної та (або) розподіленої інформаційної системи, через яку здійснюється доступ, і про склад технічних засобів ІСПДн;
має можливість прямого (фізичного) доступу до фрагментів технічних засобів ІСПДн.
Має повну інформацію про системний і прикладному програмному забезпеченні, яке в сегменті (фрагменті) ІСПДн;
Має повну інформацію про технічні засоби та конфігурації сегмента (фрагмента) ІСПДн;
має доступ до засобів захисту інформації та протоколювання, а також до окремих елементів, які використовуються в сегменті (фрагменті) ІСПДн;
має доступ до всіх технічних засобів сегмента (фрагмента) ІСПДн;
володіє правами конфігурації і адміністративної настройки деякого підмножини технічних засобів сегмента (фрагмента) ІСПДн.
Має всі можливості осіб попередніх категорій;
володіє повною інформацією про системний і прикладному програмному забезпеченні ІСПДн;
володіє повною інформацією про технічні засоби та конфігурації ІСПДн;
має доступ до всіх технічних засобів обробки інформації та даними ІСПДн;
володіє правами конфігурації і адміністративної настройки технічних засобів ІСПДн.
Системний адміністратор виконує конфігурація і управління програмним забезпеченням (ПЗ) і обладнанням, включаючи обладнання, яке відповідає за безпеку об'єкта, що захищається: кошти криптографічного захисту інформації, моніторингу, реєстрації, архівації, захисту від несанкціонованого доступу.
має всі можливості осіб попередніх категорій;
володіє повною інформацією про ІСПДн;
має доступ до засобів захисту інформації та протоколювання і до частини ключових елементів ІСПДн;
Не має прав доступу до конфігурації технічних засобів мережі, за винятком контрольних (інспекційних).
Адміністратор безпеки відповідає за дотримання правил розмежування доступу, за генерацію ключових елементів, зміну паролів. Адміністратор безпеки здійснює аудит тих же засобів захисту об'єкта, що і системний адміністратор.
володіє інформацією про алгоритми і програмах обробки інформації на ІСПДн;
Володіє можливостями внесення помилок, декларованих можливостей, програмних закладок, шкідливих програм в програмне забезпечення ІСПДн на стадії її розробки, впровадження та супроводу;
може мати у своєму розпорядженні будь-якими фрагментами інформації про топології ІСПДн і технічних засобах обробки і захисту ПДН, оброблюваних в ІСПДн.
має можливості внесення закладок в технічні засоби ІСПДн на стадії їх розробки, впровадження та супроводу;
Може мати у своєму розпорядженні будь-якими фрагментами інформації про топології ІСПДн і технічних засобах обробки і захисту інформації в ІСПДн.
Носієм шкідливої \u200b\u200bпрограми може бути апаратний елемент комп'ютера або програмний контейнер. Якщо шкідлива програма не асоціюється з будь-якої прикладної програмою, то в якості її носія розглядаються:
Відчужуваний носій, тобто дискета, оптичний диск (CD-R, CD-RW), флеш-пам'ять, що відчужується вінчестер і т.п .;
Вбудовані носії інформації (вінчестери, мікросхеми оперативної пам'яті, процесор, мікросхеми системної плати, Мікросхеми пристроїв, вбудованих в системний блок, - відеоадаптера, мережевий плати, звукової плати, модему, пристроїв введення / виводу магнітних жорстких і оптичних дисків, Блоку живлення і т.п., мікросхеми прямого доступу до пам'яті, шин передачі даних, портів введення / виводу);
мікросхеми зовнішніх пристроїв (монітора, клавіатури, принтера, модему, сканера і т.п.).
Якщо шкідлива програма асоціюється з будь-якої прикладної програмою, з файлами, що мають певні розширення або інші атрибути, з повідомленнями, переданими по мережі, то її носіями є:
пакети передаються по комп'ютерній мережі повідомлень;
файли (текстові, графічні, виконувані і т.д.).
5.2. Загальна характеристика вразливостей інформаційної системи персональних данихУразливість інформаційної системи персональних даних - недолік або слабке місце в системному або прикладному програмному (програмно-апаратному) забезпечення автоматизованої інформаційної системи, які можуть бути використані для реалізації загрози безпеки персональних даних.
Причинами виникнення вразливостей є:
помилки при проектуванні та розробці програмного (програмно-апаратного) забезпечення;
навмисні дії по внесенню вразливостей в ході проектування і розробки програмного (програмно-апаратного) забезпечення;
неправильні настройки програмного забезпечення, неправомірне зміна режимів роботи пристроїв і програм;
Несанкціоноване впровадження і використання неврахованих програм з подальшим необґрунтованою витратою ресурсів (завантаження процесора, захоплення оперативної пам'яті і пам'яті на зовнішніх носіях);
впровадження шкідливих програм, що створюють уразливості в програмному і програмно-апаратне забезпечення;
несанкціоновані ненавмисні дії користувачів, що призводять до виникнення вразливостей;
збої в роботі апаратного і програмного забезпечення (викликані збоями в електроживленні, виходом з ладу апаратних елементів в результаті старіння і зниження надійності, зовнішніми впливами електромагнітних полів технічних пристроїв та ін.).
Класифікація основних вразливостей ІСПДн приведена на малюнку 4.
Малюнок 4. Класифікація вразливостей програмного забезпечення
Нижче подано загальну характеристику основних груп вразливостей ІСПДн, що включають:
уразливості системного програмного забезпечення (в тому числі протоколів мережевого взаємодії);
уразливості прикладного програмного забезпечення (в тому числі засобів захисту інформації).
5.2.1. Загальна характеристика вразливостей системного програмного забезпеченняУразливості системного програмного забезпечення необхідно розглядати з прив'язкою до архітектури побудови обчислювальних систем.
При цьому можливі уразливості:
вбудованого, в прошивках ПЗУ, ППЗУ;
в засобах операційної системи, призначених для управління локальними ресурсами ІСПДн (які забезпечують виконання функцій управління процесами, пам'яттю, пристроями введення / виводу, інтерфейсом з користувачем і т.п.), драйвери, утиліти;
У засобах операційної системи, призначених для виконання допоміжних функцій, - утиліти (архівування, дефрагментації і ін.), Системних обробних програмах (компіляторах, компонувальник, відладчика і т.п.), програмах надання користувачу додаткових послуг (спеціальних варіантах інтерфейсу, калькуляторах, іграх і т.п.), бібліотеках процедур різного призначення (бібліотеках математичних функцій, функцій введення / виводу і т.д.);
в засобах комунікаційної взаємодії (мережевих засобах) операційної системи.
Уразливості в Мікропрограми і в засобах операційної системи, призначених для управління локальними ресурсами і допоміжними функціями, Можуть являти собою:
Функції, процедури, зміна параметрів яких певним чином дозволяє використовувати їх для несанкціонованого доступу без виявлення таких змін операційною системою;
фрагменти коду програм ( "дірки", "люки"), введені розробником, що дозволяють обходити процедури ідентифікації, аутентифікації, перевірки цілісності та ін .;
Помилки в програмах (в оголошенні змінних, функцій і процедур, в кодах програм), які за певних умов (наприклад, при виконанні логічних переходів) призводять до збоїв, в тому числі до збоїв функціонування засобів і систем захисту інформації.
Уразливості протоколів мережевого взаємодії пов'язані з особливостями їх програмної реалізації і обумовлені обмеженнями на розміри застосовуваного буфера, недоліками процедури аутентифікації, відсутністю перевірок правильності службової інформації та ін. Коротка характеристика цих вразливостей стосовно до протоколів приведена в таблиці 2.
Таблиця 2
Уразливості окремих протоколів стека протоколів TCP / IP, на базі якого функціонують глобальні мережі загального користування
| Найменування протоколу | Рівень стека протоколів | Найменування (характеристика) уразливості | Зміст порушення безпеки інформації |
| FTP (File Transfer Protocol) - протокол передачі файлів по мережі | 1. Аутентифікація на базі відкритого тексту (паролі пересилаються в незашифрованому вигляді) 2. Доступ за замовчуванням 3. Наявність двох відкритих портів | Можливість перехоплення даних облікового запису (Імен зареєстрованих користувачів, паролів). Отримання віддаленого доступу до хостів | |
| telnet - протокол управління віддаленим терміналом | Прикладний, представницький, сеансовий | Аутентифікація на базі відкритого тексту (паролі пересилаються в незашифрованому вигляді) | Можливість перехоплення даних облікового запису користувача. Отримання віддаленого доступу до хостів |
| UDP - протокол передачі даних без встановлення з'єднання | транспортний | Відсутність механізму запобігання перевантажень буфера | Можливість реалізації UDP-шторму. В результаті обміну пакетами відбувається істотне зниження продуктивності сервера |
| ARP - протокол перетворення IP-адреси в фізичну адресу | Мережевий | Аутентифікація на базі відкритого тексту (інформація пересилається в незашифрованому вигляді) | Можливість перехоплення трафіку користувача зловмисником |
| RIP - протокол маршрутної інформації | транспортний | Відсутність аутентифікації керуючих повідомлень про зміну маршруту | Можливість перенаправлення трафіку через хост зловмисника |
| TCP - протокол управління передачею | транспортний | Відсутність механізму перевірки коректності заповнення службових заголовків пакету | Істотне зниження швидкості обміну і навіть повний розрив довільних з'єднань по протоколу TCP |
| DNS - протокол встановлення відповідності мнемонічних імен та мережевих адрес | Прикладний, представницький, сеансовий | Відсутність коштів перевірки аутентифікації отриманих даних від джерела | Фальсифікація відповіді DNS-сервера |
| IGMP - протокол передачі повідомлень про маршрутизації | Мережевий | Відсутність аутентифікації повідомлень про зміну параметрів маршруту | Звісно систем Win 9x / NT / 200 |
| SMTP - протокол забезпечення сервісу доставки повідомлень по електронній пошті | Прикладний, представницький, сеансовий | Можливість підробки повідомлень електронної пошти, а також адреси відправника повідомлення | |
| SNMP - протокол управління маршрутизаторами в мережах | Прикладний, представницький, сеансовий | Відсутність підтримки аутентифікації заголовків повідомлень | Можливість переповнення пропускної здатності мережі |
Для систематизації опису безлічі вразливостей використовується єдина база даних вразливостей CVE (Common Vulnerabilities and Exposures), в розробці якої брали участь фахівці багатьох відомих компаній і організацій, таких як MItrE, ISS, Cisco, BindView, Axent, NFR, L-3, CyberSafe, CERT, Carnegie Mellon University, інститут SANS і т.д. Ця база даних постійно поповнюється і використовується при формуванні баз даних численних програмних засобів аналізу захищеності і, перш за все, мережевих сканерів.
5.2.2. Загальна характеристика вразливостей прикладного програмного забезпеченняДо прикладного програмного забезпечення відносяться прикладні програми загального користування та спеціальні прикладні програми.
Прикладні програми загального користування - текстові та графічні редактори, Медіа-програми (аудіо- і відеопрогравачі, програмні засоби прийому телевізійних програм і т.п.), системи управління базами даних, програмні платформи загального користування для розробки програмних продуктів ( типу Delphi, Visual Basic), засоби захисту інформації загального користування і т.п.
Спеціальні прикладні програми - це програми, які розробляються в інтересах вирішення конкретних прикладних задач в даній ІСПДн (в тому числі програмні засоби захисту інформації, розроблені для конкретної ІСПДн).
Уразливості прикладного програмного забезпечення можуть бути:
функції і процедури, що відносяться до різних прикладних програм і несумісні між собою (не функціонує в одній операційному середовищі) через конфлікти, пов'язаних з розподілом ресурсів системи;
Функції, процедури, зміна певним чином параметрів яких дозволяє використовувати їх для проникнення в операційну середу ІСПДн і виклику штатних функцій операційної системи, виконання несанкціонованого доступу без виявлення таких змін операційною системою;
фрагменти коду програм ( "дірки", "люки"), введені розробником, що дозволяють обходити процедури ідентифікації, аутентифікації, перевірки цілісності та ін., передбачені в операційній системі;
відсутність необхідних засобів захисту (аутентифікації, перевірки цілісності, перевірки форматів повідомлень, блокування несанкціоновано модифікованих функцій і т.п.);
Помилки в програмах (в оголошенні змінних, функцій і процедур, в кодах програм), які за певних умов (наприклад, при виконанні логічних переходів) призводять до збоїв, в тому числі до збоїв функціонування засобів і систем захисту інформації, до можливості несанкціонованого доступу до інформації.
Дані про уразливість розробляється і розповсюджуваного на комерційній основі прикладного програмного забезпечення збираються, узагальнюються і аналізуються в базі даних CVE<*>.
<*> Ведеться закордонною фірмою CERT на комерційній основі.
5.3. Загальна характеристика загроз безпосереднього доступу до операційної середу інформаційної системи персональних данихЗагрози доступу (проникнення) в операційну середу комп'ютера і несанкціонованого доступу до ПДН пов'язані з доступом:
до інформації та командам, що зберігаються в базовій системі вводу / виводу (BIOS) ІСПДн, з можливістю перехоплення управління завантаженням операційної системи і отриманням прав довіреної користувача;
в операційне середовище, тобто в середу функціонування локальної операційної системи окремого технічного засобу ІСПДн з можливістю виконання несанкціонованого доступу шляхом виклику штатних програм операційної системи або запуску спеціально розроблених програм, що реалізують такі дії;
в середу функціонування прикладних програм (наприклад, до локальної системи управління базами даних);
безпосередньо до інформації користувача (до файлів, текстової, аудіо- і графічної інформації, Полях і записах в електронних базах даних) і обумовлені можливістю порушення її конфіденційності, цілісності і доступності.
Ці загрози можуть бути реалізовані в разі отримання фізичного доступу до ІСПДн або, по крайней мере, до засобів введення інформації в ІСПДн. Їх можна об'єднати за умовами реалізації на три групи.
Перша група включає в себе загрози, які реалізуються в ході завантаження операційної системи. Ці загрози безпеки інформації спрямовані на перехоплення паролів або ідентифікаторів, модифікацію програмного забезпечення базової системи введення / виведення (BIOS), перехоплення управління завантаженням зі зміною необхідної технологічної інформації для отримання несанкціонованого доступу в операційне середовище ІСПДн. Найчастіше такі загрози реалізуються з використанням відчужуваних носіїв інформації.
Друга група - загрози, що реалізуються після завантаження операційної середовища незалежно від того, яка прикладна програма запускається користувачем. Ці загрози, як правило, спрямовані на виконання безпосередньо несанкціонованого доступу до інформації. При отриманні доступу в операційне середовище порушник може скористатися як стандартними функціями операційної системи або будь-якої прикладної програми загального користування (наприклад, системи управління базами даних), так і спеціально створеними для виконання несанкціонованого доступу програмами, наприклад:
програмами перегляду і модифікації реєстру;
Програмами пошуку текстів в текстових файлах за ключовими словами і копіювання;
спеціальними програмами перегляду і копіювання записів в базах даних;
програмами швидкого перегляду графічних файлів, їх редагування або копіювання;
програмами підтримки можливостей реконфігурації програмного середовища (настройки ІСПДн в інтересах порушника) і ін.
Нарешті, третя група включає в себе загрози, реалізація яких залежить від того, яка з прикладних програм запускається користувачем, або фактом запуску будь-якої з прикладних програм. Велика частина таких загроз - це загрози впровадження шкідливих програм.
5.4. Загальна характеристика загроз безпеки персональних даних, реалізованих з використанням протоколів міжмережевого взаємодіїЯкщо ІСПДн реалізована на базі локальної або розподіленої інформаційної системи, то в ній можуть бути реалізовані загрози безпеки інформації шляхом використання протоколів міжмережевого взаємодії. При цьому може забезпечуватися НСДдо ПДН або реалізовуватися загроза відмови в обслуговування. Особливо небезпечні загрози, коли ІСПДн являє собою розподілену інформаційну систему, Підключену до мереж загального користування та (або) мереж міжнародного інформаційного обміну. Класифікаційна схема загроз, що реалізуються через мережу, наведена на малюнку 5. У її основу покладено сім наступних первинних ознак класифікації.
1. Характер загрози. За цією ознакою загрози можуть бути пасивні і активні. Пасивна загроза - це загроза, при реалізації якої не виявляється безпосередній вплив на роботу ІСПДн, але можуть бути порушені встановлені правила розмежування доступу до ПДН або мережевих ресурсів. Прикладом таких загроз є загроза "Аналіз мережевого трафіку", спрямована на прослуховування каналів зв'язку і перехоплення переданої інформації.
Активна загроза - це загроза, пов'язана з впливом на ресурси ІСПДн, при реалізації якої виявляється безпосередній вплив на роботу системи (зміна конфігурації, порушення працездатності і т.д.), і з порушенням встановлених правил розмежування доступу до ПДН або мережевих ресурсів. Прикладом таких загроз є загроза "Відмова в обслуговуванні", що реалізується як "шторм TCP-запитів".
2. Мета реалізації загрози. За цією ознакою загрози можуть бути спрямовані на порушення конфіденційності, цілісності та доступності інформації (в тому числі на порушення працездатності ІСПДн або її елементів).
3. Умова початку здійснення процесу реалізації загрози. За цією ознакою може реалізовуватися загроза:
за запитом від об'єкта, щодо якого реалізується загроза. В цьому випадку порушник очікує передачі запиту певного типу, який і буде умовою початку здійснення несанкціонованого доступу;
Малюнок 5. Класифікаційна схема загроз з використанням протоколів міжмережевого взаємодії
За настання очікуваної події на об'єкті, щодо якого реалізується загроза. В цьому випадку порушник здійснює постійний нагляд за станом операційної системи ІСПДн і при виникненні певної події в цій системі починає несанкціонований доступ;
безумовне вплив. У цьому випадку початок здійснення несанкціонованого доступу безумовно по відношенню до мети доступу, то є загроза реалізується негайно і безвідносно до стану системи.
4. Наявність зворотнього зв'язку з ІСПДн. За цією ознакою процес реалізації загрози може бути зі зворотним зв'язком і без зворотного зв'язку. Загроза, що здійснюється за наявності зворотного зв'язку з ІСПДн, характеризується тим, що на деякі запити, передані на ІСПДн, порушнику потрібно отримати відповідь. Отже, між порушником і ІСПДн існує зворотний зв'язок, яка дозволяє порушнику адекватно реагувати на всі зміни, що відбуваються в ІСПДн. На відміну від загроз, що реалізуються при наявності зворотного зв'язку з ІСПДн, при реалізації загроз без зворотного зв'язку не потрібно реагувати на будь-які зміни, що відбуваються в ІСПДн.
5. Розташування порушника щодо ІСПДн. Відповідно до цієї ознаки загроза реалізується як внутрисегментного, так і міжсегментного. Сегмент мережі - фізичне об'єднання хостів (технічних засобів ІСПДн або комунікаційних елементів, що мають мережеву адресу). Наприклад, сегмент ІСПДн утворює сукупність хостів, підключених до сервера за схемою "загальна шина". У разі, коли має місце внутрисегментного загроза, порушник має фізичний доступ до апаратних елементів ІСПДн. Якщо має місце міжсегментного загроза, то порушник розташовується поза ІСПДн, реалізуючи загрозу з іншої мережі або з іншого сегмента ІСПДн.
6. Рівень еталонної моделі взаємодії відкритих систем <*> (ISO / OSI), на якому реалізується загроза. За цією ознакою загроза може реалізовуватися на фізичному, канальному, мережевому, транспортному, сеансовому, представницькому і прикладному рівні моделі ISO / OSI.
<*> Міжнародна Організація по Стандартизації (ISO) прийняла стандарт ISO 7498, що описує взаємодію відкритих систем (OSI).
7. Співвідношення кількості порушників і елементів ІСПДн, щодо яких реалізується загроза. За цією ознакою загроза може бути віднесена до класу загроз, що реалізуються одним порушником щодо одного технічного засобу ІСПДн (загроза "один до одного"), відразу щодо кількох технічних засобів ІСПДн (загроза "один до багатьох") або декількома порушниками з різних комп'ютерів щодо одного або кількох технічних засобів ІСПДн (розподілені або комбіновані загрози).
З урахуванням проведеної класифікації можна виділити сім найбільш часто реалізуються в даний час загроз.
1. Аналіз мережевого трафіку (рисунок 6).
Малюнок 6. Схема реалізації загрози "Аналіз мережевого трафіку"
Ця загроза реалізується за допомогою спеціальної програми-аналізатора пакетів (sniffer), перехоплює всі пакети, що передаються по сегменту мережі, і виділяє серед них ті, в яких передаються ідентифікатор користувача і його пароль. В ході реалізації загрози порушник вивчає логіку роботи мережі - тобто прагне отримати однозначну відповідність подій, що відбуваються в системі, і команд, що пересилаються при цьому хостами, в момент появи даних подій. Надалі це дозволяє зловмисникові на основі завдання відповідних команд отримати, наприклад, привілейовані права на дії в системі або розширити свої повноваження в ній, перехопити потік переданих даних, якими обмінюються компоненти мережевої операційної системи, для вилучення конфіденційної або ідентифікаційної інформації (наприклад, статичних паролів користувачів для доступу до віддалених хостів по протоколах FTP і TELNET, які не передбачають шифрування), її підміни, модифікації і т.п.
2. Сканування мережі.
Сутність процесу реалізації загрози полягає в передачі запитів мережних служб хостів ІСПДн і аналізі відповідей від них. Мета - виявлення використовуваних протоколів, доступних портів мережевих служб, законів формування ідентифікаторів з'єднань, визначення активних мережевих сервісів, підбір ідентифікаторів і паролів користувачів.
3. Загроза виявлення пароля.
Мета реалізації загрози полягає в отриманні НСД шляхом подолання парольного захисту. Зловмисник може реалізовувати загрозу за допомогою цілого ряду методів, таких як простий перебір, перебір з використанням спеціальних словників, установка шкідливої \u200b\u200bпрограми для перехоплення пароля, підміна довіреного об'єкта мережі (IP-spoofing) і перехоплення пакетів (sniffing). В основному для реалізації загрози використовуються спеціальні програми, які намагаються отримати доступ до хосту шляхом послідовного підбору паролів. У разі успіху, зловмисник може створити для себе "прохід" для майбутнього доступу, який буде діяти, навіть якщо на хості змінити пароль доступу.
4. Підміна довіреного об'єкта мережі і передача по каналах зв'язку повідомлень від його імені з присвоєнням його прав доступу (малюнок 7).
Малюнок 7. Схема реалізації загрози "Підміна довіреного об'єкта мережі"
Така загроза ефективно реалізується в системах, де застосовуються нестійкі алгоритми ідентифікації і аутентифікації хостів, користувачів і т.д. Під довіреною об'єктом розуміється об'єкт мережі (комп'ютер, міжмережевий екран, маршрутизатор і т.п.), легально підключений до сервера.
Можуть бути виділені два різновиди процесу реалізації зазначеної загрози: з встановленням і без встановлення віртуального з'єднання.
Процес реалізації з встановленням віртуального з'єднання полягає в привласненні прав довіреної суб'єкта взаємодії, що дозволяє порушнику вести сеанс роботи з об'єктом мережі від імені довіреної суб'єкта. Реалізація загрози даного типу вимагає подолання системи ідентифікації і аутентифікації повідомлень (наприклад, атака rsh-служби UNIX-хоста).
Процес реалізації загрози без встановлення віртуального з'єднання може мати місце в мережах, які здійснюють ідентифікацію переданих повідомлень тільки за мережевою адресою відправника. Суть полягає в передачі службових повідомлень від імені мережевих керуючих пристроїв (наприклад, від імені маршрутизаторів) про зміну маршрутно-адресних даних. При цьому необхідно мати на увазі, що єдиними ідентифікаторами абонентів і з'єднання (по протоколу TCP) є два 32-бітних параметра Initial Sequence Number - ISS (номер послідовності) і Acknowledgment Number - ACK (номер підтвердження). Отже, для формування помилкового TCP-пакету порушнику необхідно знати поточні ідентифікатори для даного з'єднання - ISSa і ISSb, де:
ISSa - якийсь чисельне значення, що характеризує порядковий номер відправляється TCP-пакета, що встановлюється TCP-з'єднання, ініційованого хостом A;
ISSb - якийсь чисельне значення, що характеризує порядковий номер відправляється TCP-пакета, що встановлюється TCP-з'єднання, ініційованого хостом B.
Значення ACK (номера підтвердження встановлення TCP-з'єднання) визначається як значення номера, отриманого від респондента ISS (номер послідовності) плюс одиниця ACKb \u003d ISSa + 1.
В результаті реалізації загрози порушник отримує права доступу, встановлені його користувачем для довіреної абонента, до технічного засобу ІСПДн - цілі загроз.
5. Нав'язування помилкового маршруту мережі.
Дана загроза реалізується одним з двох способів: шляхом внутрисегментного або межсегментного нав'язування. Можливість нав'язування помилкового маршруту обумовлена \u200b\u200bнедоліками, властивими алгоритмам маршрутизації (зокрема, через проблеми ідентифікації мережевих керуючих пристроїв), в результаті чого можна потрапити, наприклад, на хост або в мережу зловмисника, де можна увійти в операційну середу технічного засобу в складі ІСПДн . Реалізація загрози ґрунтується на несанкціонованому використанні протоколів маршрутизації (RIP, OSPF, LSP) та управління мережею (ICMP, SNMP) для внесення змін в маршрутно-адресні таблиці. При цьому порушникові необхідно надіслати від імені мережевого керуючого пристрою (наприклад, маршрутизатора) керуюче повідомлення (малюнки 8 і 9).
Малюнок 8. Схема реалізації атаки "Нав'язування помилкового маршруту" (внутрисегментного) з використанням протоколу ICMP з метою порушення зв'язку
Малюнок 9. Схема реалізації загрози "Нав'язування помилкового маршруту" (міжсегментного) з метою перехоплення трафіку
6. Впровадження помилкового об'єкта мережі.
Ця загроза заснована на використанні недоліків алгоритмів віддаленого пошуку. У разі, якщо об'єкти мережі з самого початку не мають адресної інформації один про одного, використовуються різні протоколи віддаленого пошуку (наприклад, SAP в мережах Novell NetWare; ARP, DNS, WINS в мережах зі стеком протоколів TCP / IP), які полягають в передачі по мережі спеціальних запитів та отриманні на них відповідей з шуканої інформацією. При цьому існує можливість перехоплення порушником пошукового запиту і видачі на нього помилкового відповіді, використання якого призведе до необхідного зміни маршрутно-адресних даних. Надалі весь потік інформації, асоційований з об'єктом-жертвою, буде проходити через помилковий об'єкт мережі (малюнки 10 - 13).
Малюнок 10. Схема реалізації загрози "Впровадження помилкового ARP-сервера"
Малюнок 11. Схема реалізації загрози "Впровадження помилкового DNS-сервера" шляхом перехоплення DNS-запиту
Малюнок 12. Схема реалізації загрози "впровадження помилкового DNS-сервера" шляхом шторму DNS-відповідей на комп'ютер мережі
Малюнок 13. Схема реалізації загрози "Впровадження помилкового DNS-сервера" шляхом шторму DNS-відповідей на DNS-сервер
7. Відмова в обслуговуванні.
Ці загрози засновані на недоліки мережевого програмного забезпечення, його слабкі місця, що дозволяють порушнику створювати умови, коли операційна система виявляється не в змозі обробляти пакети.
Можуть бути виділені кілька різновидів таких загроз:
а) прихований відмова в обслуговуванні, викликаний залученням частини ресурсів ІСПДн на обробку пакетів, переданих зловмисником зі зниженням пропускної здатності каналів зв'язку, ефективності мережевих пристроїв, порушенням вимог до часу обробки запитів. Прикладами реалізації загроз подібного роду можуть служити: спрямований шторм луна-запитів по протоколу ICMP (Ping flooding), шторм запитів на встановлення TCP-з'єднань (SYN-flooding), шторм запитів до FTP-сервера;
б) явний відмова в обслуговуванні, викликаний вичерпанням ресурсів ІСПДн при обробці пакетів, переданих зловмисником (заняття всієї смуги пропускання каналів зв'язку, переповнення черг запитів на обслуговування), при якому легальні запити не можуть бути передані через мережу через недоступність середовища передачі або отримують відмова в обслуговуванні через переповнення черг запитів, дискового простору пам'яті і т.д. Прикладами загроз даного типу можуть служити шторм широкомовних ICMP-ехо-запитів (Smurf), спрямований шторм (SYN-flooding), шторм повідомлень поштового сервера (Spam);
в) явний відмова в обслуговуванні, викликаний порушенням логічної зв'язності між технічними засобами ІСПДн при передачі порушником керуючих повідомлень від імені мережевих пристроїв, що призводять до зміни маршрутно-адресних даних (наприклад, ICMP Redirect Host, DNS-flooding) або ідентифікаційної та аутентификационной інформації;
Г) явний відмова в обслуговуванні, викликаний передачею зловмисником пакетів з нестандартними атрибутами (загрози типу "Land", "TearDrop", "Bonk", "Nuke", "UDP-bomb") або мають довжину, що перевищує максимально допустимий розмір (загроза типу "Ping Death"), що може призвести до збою мережевих пристроїв, що беруть участь в обробці запитів, за умови наявності помилок в програмах, що реалізують протоколи мережевого обміну.
Результатом реалізації даної загрози може стати порушення працездатності відповідної служби надання віддаленого доступу до ПДН в ІСПДн, передача з однієї адреси такої кількості запитів на підключення до технічного засобу в складі ІСПДн, яке максимально може "вмістити" трафік (спрямований "шторм запитів"), що тягне за собою переповнення черги запитів і відмова однієї з мережевих служб або повну зупинку комп'ютера через неможливість системи займатися нічим іншим, крім обробки запитів.
8. Віддалений запуск додатків.
Загроза полягає в прагненні запустити на хості ІСПДн різні попередньо впроваджені шкідливі програми: програми-закладки, віруси, "мережеві шпигуни", основна мета яких - порушення конфіденційності, цілісності, доступності інформації і повний контроль за роботою хоста. Крім того, можливий несанкціонований запуск прикладних програм користувачів для несанкціонованого отримання необхідних порушнику даних, для запуску керованих прикладної програмою процесів і ін.
Виділяють три підкласу даних загроз:
1) поширення файлів, що містять несанкціонований виконуваний код;
2) віддалений запуск програми шляхом переповнення буфера додатків-серверів;
3) віддалений запуск програми шляхом використання можливостей віддаленого управління системою, що надаються прихованими програмними і апаратними закладками або використовуваними штатними засобами.
Типові загрози першого із зазначених підкласів грунтуються на активізації поширюваних файлів при випадковому зверненні до них. Прикладами таких файлів можуть служити: файли, що містять виконуваний код у вигляді макрокоманд (документи Microsoft Word, Excel і т.п.); html-документи, що містять виконуваний код у вигляді елементів ActiveX, Java-аплетів, інтерпретованих скриптів (наприклад, тексти на JavaScript); файли, що містять виконувані коди програм. Для поширення файлів можуть використовуватися служби електронної пошти, передачі файлів, мережевої файлової системи.
При загрози другого підкласу використовуються недоліки програм, що реалізують мережеві сервіси (зокрема, відсутність контролю переповнення буфера). Налаштуванням системних регістрів іноді вдається переключити процесор після переривання, викликаного переповненням буфера, на виконання коду, що міститься за кордоном буфера. Прикладом реалізації такої загрози може служити впровадження широко відомого "вірусу Морріса".
При загрози третього підкласу порушник використовує можливості віддаленого управління системою, що надаються прихованими компонентами (наприклад, "троянськими" програмами типу Back Orifice, Net Bus) або штатними засобами управління і адміністрування комп'ютерних мереж (Landesk Management Suite, Managewise, Back Orifice і т.п. ). В результаті їх використання вдається домогтися віддаленого контролю над станцією в мережі.
Схематично основні етапи роботи цих програм виглядають наступним чином:
інсталяція в пам'яті;
очікування запиту з віддаленого хоста, на якому запущена клієнт-програма, і обмін з нею повідомленнями про готовність;
Передача перехопленої інформації клієнту або надання йому контролю над атакується комп'ютером.
Можливі наслідки від реалізації загроз різних класів наведені в таблиці 3.
Таблиця 3
Можливі наслідки реалізації загроз різних класів
| N п / п | Тип атаки | Можливі наслідки | |
| 1 | Аналіз мережевого трафіку | Дослідження характеристик мережевого трафіку, перехоплення переданих даних, в тому числі ідентифікаторів і паролів користувачів | |
| 2 | сканування мережі | Визначення протоколів, доступних портів мережевих служб, законів формування ідентифікаторів з'єднань, активних мережевих сервісів, ідентифікаторів і паролів користувачів | |
| 3 | "Парольная" атака | Виконання будь-якого деструктивного дії, пов'язаного з отриманням несанкціонованого доступу | |
| 4 | Підміна довіреного об'єкта мережі | Зміна траси проходження повідомлень, несанкціонованих змін маршрутно-адресних даних. Несанкціонований доступ до мережевих ресурсів, нав'язування неправдивої інформації | |
| 5 | Нав'язування помилкового маршруту | Несанкціонована зміна маршрутно-адресних даних, аналіз і модифікація переданих даних, нав'язування помилкових повідомлень | |
| 6 | Впровадження помилкового об'єкта мережі | Перехоплення і перегляд трафіку. Несанкціонований доступ до мережевих ресурсів, нав'язування неправдивої інформації | |
| 7 | Відмова в обслуговуванні | Часткове вичерпання ресурсів | Зниження пропускної здатності каналів зв'язку, ефективності мережевих пристроїв. Зниження продуктивності серверних додатків |
| Повне вичерпання ресурсів | Неможливість передачі повідомлень через відсутність доступу до середовища передачі, відмова у встановленні з'єднання. Відмова в наданні сервісу (електронної пошти, файлового і т.д.) | ||
| Порушення логічної зв'язності між атрибутами, даними, об'єктами | Неможливість передачі, повідомлень через відсутність коректних маршрутно- адресних даних. Неможливість отримання послуг через несанкціонованої модифікації ідентифікаторів, паролів і т.п. | ||
| Використання помилок в програмах | Порушення працездатності мережевих пристроїв | ||
| 8 | Віддалений запуск додатків | Шляхом розсилки файлів, що містять деструктивний виконуваний код, вірусне зараження | Порушення конфіденційності, цілісності, доступності інформації |
| Шляхом переповнення буфера серверного додатка | |||
| Шляхом використання можливостей віддаленого управління системою, що надаються прихованими програмними і апаратними закладками або використовуваними штатними засобами | Приховане управління системою | ||
Процес реалізації загрози в загальному випадку складається з чотирьох етапів:
збору інформації;
вторгнення (проникнення в операційну середу);
здійснення несанкціонованого доступу;
ліквідації слідів несанкціонованого доступу.
На етапі збору інформації порушника можуть цікавити різні відомості про ІСПДн, в тому числі:
а) про топології мережі, в якій функціонує система. При цьому може досліджуватися область навколо мережі (наприклад, порушника можуть цікавити адреси довірених, але менш захищених хостів). Для визначення доступності хоста можуть використовуватися найпростіші команди (наприклад, команда ping для посилки ICMP-запитів ECHO_REQUEST з очікуванням на них ICMP-відповідей ECHO_REPLY). Існують утиліти, що здійснюють паралельне визначення доступності хостів (такі як fping), які здатні просканувати більшу область адресного простору на предмет доступності хостів за короткий проміжок часу. Топологія мережі часто визначається на підставі "лічильника вузлів" (дистанції між хостами). При цьому можуть застосовуватися такі методи, як "модуляції ttL" і записи маршруту.
Метод "модуляції ttL" реалізований програмою traceroute (для Windows NT - tracert.exe) і полягає в модуляції поля ttL IP-пакетів. Для запису маршруту можуть використовуватися ICMP-пакети, створювані командою ping.
Збір інформації може бути також заснований на запитах:
до DNS-сервера про список зареєстрованих (і, ймовірно, активних) хостів;
до маршрутизатора на основі протоколу RIP про відомих маршрутах (інформація про топологію мережі);
До некоректно сконфігурованим пристроїв, які підтримують протокол SNMP (інформація про топологію мережі).
Якщо ІСПДн знаходиться за фаєрволом (МЕ), можливий збір інформації про конфігурацію МЕ і про топології ІСПДн за МЕ, в тому числі шляхом посилки пакетів на всі порти всіх передбачуваних хостів внутрішньої (що захищається) мережі;
б) про тип операційної системи (ОС) у ІСПДн. Найвідоміший спосіб визначення типу ОС хоста заснований на тому, що різні типи ОС по-різному реалізують вимоги стандартів RFC до стека TCP / IP. Це дозволяє порушнику віддалено ідентифікувати тип ОС, встановленої на хості ІСПДн шляхом посилки спеціальним чином сформованих запитів і аналізу отриманих відповідей.
Існують спеціальні засоби, що реалізують ці методи, зокрема, Nmap і QueSO. Можна відзначити також такий метод визначення типу ОС, як найпростіший запит на встановлення з'єднання по протоколу віддаленого доступу telnet (telnet-з'єднання), в результаті якого по "зовнішнім виглядом" відповіді можна визначити тип ОС хоста. Наявність певних сервісів також може служити додатковою ознакою для визначення типу ОС хоста;
В) про що функціонують на хостах сервісах. Визначення сервісів, виконуваних на хості, засноване на методі виявлення "відкритих портів", направленому на збір інформації про доступність хоста. Наприклад, для визначення доступності UDP-порта необхідно отримати відгук у відповідь на посилку UDP-пакета відповідного порту:
якщо у відповідь прийшло повідомлення ICMP PORT UNREACHEBLE, то відповідний сервіс недоступний;
якщо це повідомлення не надійшло, то порт "відкритий".
Можливі досить різноманітні варіації використання цього методу в залежності від використовуваного протоколу в стеці протоколів TCP / IP.
Для автоматизації збору інформації про ІСПДн розроблено безліч програмних засобів. Як приклад можна відзначити наступні з них:
1) Strobe, Portscanner - оптимізовані засоби визначення доступних сервісів на основі опитування TCP-портів;
2) Nmap - засіб сканування доступних сервісів, призначене для ОС Linux, FreeBSD, Open BSD, Solaris, Windows NT. Є найпопулярнішим в даний час засобом сканування мережевих сервісів;
3) Queso - високоточний засіб визначення ОС хоста мережі на основі посилки ланцюга коректних і некоректних TCP-пакетів, аналізу відгуку та порівняння його з безліччю відомих відгуків різних ОС. даний засіб також є популярним на сьогоднішній день засобом сканування;
4) Cheops - сканер топології мережі дозволяє отримати топологію мережі, включаючи картину домену, області IP-адрес і т.д. При цьому визначається ОС хоста, а також можливі мережеві пристрої (Принтери, маршрутизатори і т.д.);
5) Firewalk - сканер, що використовує методи програми traceroute в інтересах аналізу відгуку на IP-пакети для визначення конфігурації брандмауера і побудови топології мережі.
На етапі вторгнення досліджується наявність типових вразливостей в системних сервісах або помилок в адмініструванні системи. Успішним результатом використання вразливостей зазвичай є отримання процесом порушника привілейованого режиму виконання (доступу до привілейованого режиму виконання командного процесора), внесення в систему облікового запису незаконного користувача, отримання файла паролів або порушення працездатності атакується хоста.
Цей етап розвитку загрози, як правило, є багатофазним. До фаз процесу реалізації загрози можуть ставитися, наприклад:
встановлення зв'язку з хостом, щодо якого реалізується загроза;
Виявлення уразливості;
впровадження шкідливої \u200b\u200bпрограми в інтересах розширення прав і ін.
Загрози, що реалізуються на етапі вторгнення, поділяються за рівнями стека протоколів TCP / IP, оскільки формуються на мережевому, транспортному чи прикладному рівні в залежності від використовуваного механізму вторгнення.
До типових загрозам, реалізованим на мережевому і транспортному рівнях, відносяться такі як:
а) загроза, спрямована на підміну довіреної об'єкта;
б) загроза, спрямована на створення в мережі помилкового маршруту;
В) загрози, спрямовані на створення помилкового об'єкта з використанням недоліків алгоритмів віддаленого пошуку;
Г) загрози типу "відмова в обслуговуванні", засновані на IP-дефрагментації, на формуванні некоректних ICMP-запитів (наприклад, атака "Ping of Death" і "Smurf"), на формуванні некоректних TCP-запитів (атака "Land"), на створенні "шторму" пакетів із запитами на з'єднання (атаки "SYN Flood") та ін.
До типових загрозам, реалізованим на прикладному рівні, відносяться загрози, спрямовані на несанкціонований запуск додатків, загрози, реалізація яких пов'язана з впровадженням програмних закладок (типу "троянський кінь"), з виявленням паролів доступу в мережу або до певного хосту і т.д.
Якщо реалізація загрози не принесла порушника найвищих прав доступу в системі, можливі спроби розширення цих прав до максимально можливого рівня. Для цього можуть використовуватися уразливості не тільки мережевих сервісів, а й уразливості системного програмного забезпечення хостів ІСПДн.
На етапі реалізації несанкціонованого доступу здійснюється власне досягнення мети реалізації загрози:
порушення конфіденційності (копіювання, неправомірне поширення);
Порушення цілісності (знищення, зміна);
порушення доступності (блокування).
На цьому ж етапі, після зазначених дій, як правило, формується так званий "чорний вхід" у вигляді одного із сервісів (демонів), які обслуговують певний порт і виконують команди порушника. "Чорний вхід" залишається в системі в інтересах забезпечення:
можливості отримати доступ до хосту, навіть якщо адміністратор усуне використану для успішної реалізації загрози вразливість;
можливості отримати доступ до хосту якомога більш приховано;
Можливості отримати доступ до хосту швидко (не повторюючи заново процес реалізації загрози).
"Чорний вхід" дозволяє порушнику впровадити в мережу або на певний хост шкідливу програму, наприклад, "аналізатор паролів" (password sniffer) - програму, що виділяє призначені для користувача ідентифікатори і паролі з мережевого трафіку при роботі протоколів високого рівня (ftp, telnet, rlogin і т . Д.). Об'єктами впровадження шкідливих програм можуть бути програми аутентифікації і ідентифікації, мережеві сервіси, ядро \u200b\u200bопераційної системи, файлова система, Бібліотеки і т.д.
Нарешті, на етапі ліквідації слідів реалізації загрози здійснюється спроба знищення слідів дій порушника. При цьому видаляються відповідні записи з усіх можливих журналів аудиту, в тому числі записи про факт збору інформації.
5.5. Загальна характеристика загроз програмно-математичних впливівПрограмно-математичне вплив - це вплив за допомогою шкідливих програм. Програмою з потенційно небезпечними наслідками або шкідливою програмою називають деяку самостійну програму (набір інструкцій), яка здатна виконувати будь-непорожнє підмножина наступних функцій:
Приховувати ознаки своєї присутності в програмному середовищі комп'ютера;
Мати здатність до самодублірованію, асоціювання себе з іншими програмами та (або) переносу своїх фрагментів в інші області оперативної або зовнішньої пам'яті;
руйнувати (спотворювати довільним чином) код програм в оперативній пам'яті;
виконувати без ініціювання з боку користувача (користувальницької програми в штатному режимі її виконання) деструктивні функції (копіювання, знищення, блокування і т.п.);
Зберігати фрагменти інформації з оперативної пам'яті в деяких областях зовнішньої пам'яті прямого доступу (локальних або віддалених);
Спотворювати довільним чином, блокувати і (або) підміняти виведений на зовнішній пам'ять або в канал зв'язку масив інформації, що утворився в результаті роботи прикладних програм, або вже знаходяться у зовнішній пам'яті масиви даних.
Шкідливі програми можуть бути внесені (впроваджені) як навмисно, так і випадково в програмне забезпечення, що використовується в ІСПДн, в процесі його розробки, супроводу, модифікації і настройки. Крім цього, шкідливі програми можуть бути внесені в процесі експлуатації ІСПДн з зовнішніх носіїв інформації або за допомогою мережевого взаємодії як в результаті несанкціонованого доступу, так і випадково користувачами ІСПДн.
Сучасні шкідливі програми засновані на використанні вразливостей різного роду програмного забезпечення (системного, загального, прикладного) і різноманітних мережевих технологій, володіють широким спектром деструктивних можливостей (від несанкціонованого дослідження параметрів ІСПДн без втручання у функціонування ІСПДн, до знищення ПДН і програмного забезпечення ІСПДн) і можуть діяти в усіх видах програмного забезпечення (системного, прикладного, в драйверах апаратного забезпечення і т.д.).
Наявність в ІСПДн шкідливих програм може сприяти виникненню прихованих, в тому числі нетрадиційних каналів доступу до інформації, що дозволяють розкривати, обходити або блокувати захисні механізми, передбачені в системі, в тому числі парольний і криптографічний захист.
Основними видами шкідливих програм є:
програмні закладки;
класичні програмні (комп'ютерні) віруси;
шкідливі програми, що поширюються по мережі (мережеві черв'яки);
Інші шкідливі програми, призначені для здійснення несанкціонованого доступу.
До програмних закладок відносяться програми, фрагменти коду, інструкції, що формують декларованих можливостей програмного забезпечення. Шкідливі програми можуть переходити з одного виду в інший, наприклад, програмна закладка може згенерувати програмний вірус, який, в свою чергу, потрапивши в умови мережі, може сформувати мережевого черв'яка або іншу шкідливу програму, призначену для здійснення несанкціонованого доступу.
Класифікація програмних вірусів і мережевих черв'яків представлена \u200b\u200bна малюнку 14. Коротка характеристика основних шкідливих програм зводиться до наступного. Завантажувальні віруси записують себе або в завантажувальний сектор диска (boot-сектор), або в сектор, що містить системний завантажувач вінчестера (Master Boot Record), або змінюють покажчик на активний boot-сектор. Вони впроваджуються в пам'ять комп'ютера при завантаженні з інфікованого диска. При цьому системний завантажувач зчитує вміст першого сектора диска, з якого відбувається завантаження, поміщає зчитану інформацію в пам'ять і передає на неї (тобто на вірус) управління. Після цього починають виконуватися інструкції вірусу, який, як правило, зменшує обсяг вільної пам'яті, копіює в місце, що звільнилося свій код і зчитує з диска своє продовження (якщо воно є), перехоплює необхідні вектора переривань (зазвичай - INT 13H), зчитує в пам'ять оригінальний boot-сектор і передає на нього управління.
Надалі завантажувальний вірус поводиться так само, як файловий: перехоплює звернення операційної системи до дисків і інфікує їх, в залежності від деяких умов здійснює деструктивні дії, Викликає звукові ефекти або відеоефекти.
Основними деструктивними діями, виконуваними цими вірусами, є:
знищення інформації в секторах дискет і вінчестера;
Виключення можливості завантаження операційної системи (комп'ютер "зависає");
спотворення коду завантажувача;
форматування дискет або логічних дисків вінчестера;
закриття доступу до COM- і LPT-портів;
заміна символів при друці текстів;
посмикування екрану;
зміна мітки диска або дискети;
створення псевдосбойних кластерів;
створення звукових і (або) візуальних ефектів (Наприклад, падіння букв на екрані);
псування файлів даних;
висновок на екран різноманітних повідомлень;
відключення периферійних пристроїв (Наприклад, клавіатури);
зміна палітри екрана;
Заповнення екрану сторонніми символами або зображеннями;
погашення екрану і переклад в режим очікування введення з клавіатури;
шифрування секторів вінчестера;
вибіркове знищення символів, що виводяться на екран при наборі з клавіатури;
зменшення обсягу оперативної пам'яті;
виклик друку вмісту екрана;
блокування записи на диск;
знищення таблиці розбиття (Disk Partition Table), після цього комп'ютер можна завантажити тільки з флоппі-диска;
блокування запуску виконуваних файлів;
Блокування доступу до вінчестера.
Малюнок 14. Класифікація програмних вірусів і мережевих черв'яків
Більшість завантажувальних вірусів перезаписують себе на флоппі-диски.
Метод зараження "overwriting" є найбільш простим: вірус записує свій код замість коду заражає файли, знищуючи його вміст. Природно, що при цьому файл перестає працювати і не відновлюється. Такі віруси дуже швидко виявляють себе, так як операційна система і додатки досить швидко перестають працювати.
До категорії "компаньйон" відносяться віруси, що не змінюють заражає файли. Алгоритм роботи цих вірусів полягає в тому, що для заражає файли створюється файл-двійник, причому при запуску зараженого файлу управління отримує саме цей двійник, тобто вірус. Найбільш поширені компаньйон-віруси, що використовують особливість DOS першим виконувати файли з расшіреніем.COM, якщо в одному каталозі присутні два файли з одним і тим же ім'ям, але різними розширеннями імені - .COM і.EXE. Такі віруси створюють для EXE-файлів файли-супутники, що мають те ж саме ім'я, але з расшіреніем.COM, наприклад, для файлу XCOPY.EXE створюється файл XCOPY.COM. Вірус записується в COM-файл і ніяк не змінює EXE-файл. При запуску такого файлу DOS першим виявить і виконає COM-файл, тобто вірус, який потім запустить і EXE-файл. Другу групу складають віруси, які при зараженні перейменовують файл в будь-яке інше ім'я, запам'ятовують його (для подальшого запуску файлу-господаря) і записують свій код на диск під ім'ям заражає файли. Наприклад, файл XCOPY.EXE перейменовується в XCOPY.EXD, а вірус записується під ім'ям XCOPY.EXE. При запуску управління отримує код вірусу, який потім запускає оригінальний XCOPY, що зберігається під ім'ям XCOPY.EXD. Цікавим є той факт, що даний метод працює, мабуть, у всіх операційних системах. У третю групу входять так звані "Path-companion" віруси. Вони або записують свій код під ім'ям заражає файли, але "вище" на один рівень в прописуються шляхах (DOS, таким чином, першим виявить і запустить файл-вірус), або переносять файл-жертву на один підкаталог вище і т.д.
Можливо існування і інших типів компаньйон-вірусів, що використовують інші оригінальні ідеї або особливості інших операційних систем.
Файлові черви (worms) є, в деякому сенсі, різновидом компаньйон-вірусів, але при цьому жодним чином не пов'язують свою присутність з яким-небудь виконуваним файлом. При розмноженні вони всього лише копіюють свій код в будь-які каталоги дисків в надії, що ці нові копії будуть коли-небудь запущені користувачем. Іноді ці віруси дають своїм копіям "спеціальні" імена, щоб підштовхнути користувача на запуск своєї копії - наприклад, INSTALL.EXE або WINSTART.BAT. Існують віруси-черв'яки, що використовують досить незвичайні прийоми, наприклад, записуючі свої копії в архіви (ARJ, ZIP та інші). Деякі віруси записують команду запуску зараженого файлу в BAT-файли. Не слід плутати файлові віруси-черв'яки з мережними хробаками. Перші використовують тільки файлові функції будь-якої операційної системи, другі ж при своєму розмноженні користуються мережевими протоколами.
Link-віруси, як і компаньйони-віруси, не змінюють фізичного вмісту файлів, проте при запуску зараженого файлу "змушують" ОС виконати свій код. Цій меті вони досягають модифікацією необхідних полів файлової системи.
Віруси, що заражають бібліотеки компіляторів, об'єктні модулі і вихідні тексти програм, досить екзотичні і практично не поширені. Віруси, що заражають OBJ- і LIB-файли, записують у них свій код у форматі об'єктного модуля або бібліотеки. Заражений файл, таким чином, не є виконуваним і не здатний на подальше поширення вірусу в свій поточний стан. Носієм же "живого" вірусу стає COM- або EXE-файл.
Отримавши управління, файловий вірус робить такі загальні дії:
перевіряє оперативну пам'ять на наявність своєї копії і інфікує пам'ять комп'ютера, якщо копія вірусу не знайдено (в разі, якщо вірус є резидентним), шукає незаражені файли в поточному і (або) кореневому каталозі шляхом сканування дерева каталогів логічних дисків, а потім заражає виявлені файли;
виконує додаткові (якщо вони є) функції: деструктивні дії, графічні чи звукові ефекти і т.д. ( додаткові функції резидентного вірусу можуть викликатися через деякий час після активізації в залежності від поточного часу, конфігурації системи, внутрішніх лічильників вірусу або інших умов, в цьому випадку вірус при активізації обробляє стан системних годин, встановлює свої лічильники і т.д.);
Необхідно відзначити, що чим швидше поширюється вірус, тим імовірніше виникнення епідемії цього вірусу, чим повільніше поширюється вірус, тим складніше його виявити (якщо, звичайно ж, цей вірус невідомий). Нерезидентні віруси часто є "повільними" - більшість з них при запуску заражає один або два-три файли і не встигає заполонити комп'ютер до запуску антивірусної програми (або появи нової версії антивіруса, налаштованої на даний вірус). Існують, звичайно ж, нерезидентні "швидкі" віруси, які при запуску шукають і заражають всі виконувані файли, однак такі віруси дуже помітні: при запуску кожного зараженого файлу комп'ютер деякий (іноді досить довгий) час активно працює з вінчестером, що демаскує вірус. Швидкість поширення (інфікування) у резидентних вірусів зазвичай вище, ніж у нерезидентних - вони заражають файли при будь-яких зверненнях до них. В результаті на диску виявляються зараженими все або майже все файли, які постійно використовуються в роботі. Швидкість поширення (інфікування) резидентних файлових вірусів, що заражають файли тільки при їх запуску на виконання, буде нижче, ніж у вірусів, що заражають файли і при їх відкритті, перейменування, зміну атрибутів файлу і т.д.
Таким чином, основні деструктивні дії, що виконуються файловими вірусами, пов'язані з ураженням файлів (частіше виконуваних або файлів даних), несанкціонованим запуском різних команд (в тому числі, команд форматування, знищення, копіювання і т.п.), зміною таблиці векторів переривань і ін. Разом з тим, можуть виконуватися і багато деструктивні дії, подібні до тих, які вказувалися для завантажувальних вірусів.
Макровіруси (macro viruses) є програмами на мовах (макромови), вбудованих в деякі системи обробки даних ( текстові редактори, Електронні таблиці і т.д.). Для свого розмноження такі віруси використовують можливості макромов і при їхній допомозі переносять себе з одного зараженого файлу (документа або таблиці) в інші. Найбільшого поширення набули макровіруси для пакета прикладних програм Microsoft Office.
Для існування вірусів у конкретній системі (редакторі) необхідна наявність вбудованого в систему макромови з можливостями:
1) прив'язки програми на макромові до конкретного файлу;
2) копіювання макропрограми з одного файлу в інший;
3) отримання управління макропрограми без втручання користувача (автоматичні або стандартні макроси).
Даним умовам задовольняють прикладні програми Microsoft Word, Excel і Microsoft Access. Вони містять у собі макромови: Word Basic, Visual Basic for Applications. При цьому:
1) макропрограми прив'язані до конкретного файлу або знаходяться всередині файла;
2) макромова дозволяє копіювати файли або переміщати макропрограми в службові файли системи і редаговані файли;
3) при роботі з файлом за певних умов (відкриття, закриття і т.д.) викликаються макропрограми (якщо такі є), які визначені спеціальним чином або мають стандартні імена.
Дана особливість макромов призначена для автоматичної обробки даних у великих організаціях або в глобальних мережах і дозволяє організувати так званий "автоматизований документообіг". З іншого боку, можливості макромов таких систем дозволяють вірусу переносити свій код в інші файли і таким чином заражати їх.
Більшість макровірусів активні не тільки в момент відкриття (закриття) файлу, але до тих пір, поки активний сам редактор. Вони містять всі свої функції у вигляді стандартних макросів Word / Excel / Office. Існують, однак, віруси, що використовують прийоми приховування свого коду і зберігають свій код в вигляді не макросів. Відомо три подібних прийому, всі вони використовують можливість макросів створювати, редагувати і виконувати інші макроси. Як правило, подібні віруси мають невеликий (іноді - поліморфний) макрос-завантажувач вірусу, який викликає вбудований редактор макросів, створює новий макрос, заповнює його основним кодом вірусу, виконує і потім, як правило, знищує (щоб приховати сліди присутності вірусу). Основний код таких вірусів присутній або в самому макросі вірусу у вигляді текстових рядків (іноді - зашифрованих), або зберігається в області змінних документа.
До мережевих відносяться віруси, які для свого поширення активно використовують протоколи і можливості локальних і глобальних мереж. Основним принципом роботи мережного вірусу є можливість самостійно передати свій код на віддалений сервер або робочу станцію. "Повноцінні" мережні віруси при цьому володіють ще і можливістю запустити на виконання свій код на віддаленому комп'ютері або, принаймні, "підштовхнути" користувача до запуску зараженого файлу.
Шкідливими програмами, що забезпечують здійснення несанкціонованого доступу, можуть бути:
програми підбору і розкриття паролів;
програми, що реалізують загрози;
Програми, які відображають використання декларованих можливостей програмного і програмно-апаратного забезпечення ІСПДн;
програми-генератори комп'ютерних вірусів;
програми, що демонструють уразливості засобів захисту інформації та ін.
У зв'язку з ускладненням і зростанням різноманітності програмного забезпечення число шкідливих програм швидко зростає. Сьогодні відомо понад 120 тисяч сигнатур комп'ютерних вірусів. Разом з тим, далеко не всі з них є реальною загрозою. У багатьох випадках усунення вразливостей в системному або прикладному програмному забезпеченні призвело до того, що ряд шкідливих програм вже не здатний проникнути в них. Часто основну небезпеку представляють нові шкідливі програми.
5.6. Загальна характеристика нетрадиційних інформаційних каналівНетрадиційний інформаційний канал - це канал прихованої передачі інформації з використанням традиційних каналів зв'язку і спеціальних перетворень переданої інформації, що не відносяться до криптографічних.
Для формування нетрадиційних каналів можуть використовуватися методи:
комп'ютерної стеганографії;
Засновані на маніпуляції різних характеристик ІСПДн, які можна отримувати санкціоновано (наприклад, часу обробки різних запитів, обсягів доступної пам'яті або доступних для читання ідентифікаторів файлів або процесів і т.п.).
Методи комп'ютерної стеганографії призначені для приховування факту передачі повідомлення шляхом вбудовування прихованої інформації в зовнішньо нешкідливі дані (текстові, графічні, аудіо- або відеофайли) і включають в себе дві групи методів, заснованих:
На використанні спеціальних властивостей комп'ютерних форматів зберігання і передачі даних;
На надмірності аудіо-, візуальної або текстової інформації з позиції психофізіологічних особливостей сприйняття людини.
Класифікація методів комп'ютерної стеганографії приведена на малюнку 15. Їх порівняльна характеристика приведена в таблиці 4.
Найбільший розвиток і застосування в даний час знаходять методи приховування інформації в графічних стегоконтейнер. Це обумовлено порівняно великим обсягом інформації, який можна розмістити в таких контейнерах без помітного спотворення зображення, наявністю апріорних відомостей про розміри контейнера, існуванням в більшості реальних зображень текстурних областей, що мають шумову структуру і добре підходять для вбудовування інформації, розробленою методів цифрової обробки зображень і цифрових форматів представлення зображень. В даний час існує цілий ряд як комерційних, так і безкоштовних програмних продуктів, доступних звичайному користувачеві, що реалізують відомі стеганографічні методи приховування інформації. При цьому переважно використовуються графічні і аудіоконтейнери.
Малюнок 15. Класифікація методів стеганографічного перетворення інформації (СПИ)
Таблиця 4
Порівняльна характеристика стеганографічних методів перетворення інформації
| стеганографічний метод | Коротка характеристика методу | недоліки | переваги |
| Методи приховування інформації в аудіоконтейнерах | |||
| Заснований на записи повідомлення в найменші значущі біти вихідного сигналу. В якості контейнера використовується, як правило, нестислий аудіосигнал | Невисока скритність передачі повідомлення. Низька стійкість до спотворень. Використовується тільки для певних форматів аудіофайлів | ||
| Метод приховування на основі розподілу по спектру | Заснований на генерації псевдовипадкового шуму, що є функцією впроваджуваного повідомлення, і підмішуванні отриманого шуму до основного сігналу- контейнеру в якості адитивної складової. Кодування потоків інформації шляхом розсіювання кодованих даних по спектру частот | ||
| Метод приховування на основі використання луна-сигналу | Заснований на використанні в якості шумоподобного сигналу самого аудіосигналу, затриманого на різні періоди часу в залежності від впроваджуваного повідомлення ( "дозвоночного луни") | Низький коефіцієнт використання контейнера. Значні обчислювальні витрати | Порівняно висока скритність повідомлення |
| Метод приховування в фазі сигналу | Заснований на факті нечутливості вуха людини до абсолютним значенням фази гармонік. Аудіосигнал розбивається на послідовність сегментів, повідомлення вбудовується шляхом модифікації фази першого сегмента | Малий коефіцієнт використання контейнера | Володіє значно вищою скритністю, ніж методи приховування в НЗБ |
| Методи приховування інформації в текстових контейнерах | |||
| Метод приховування на основі прогалин | Заснований на вставці прогалин в кінці рядків, після розділових знаків, між словами при вирівнюванні довжини рядків | Методи чутливі до переносу тексту з одного формату в інший. Можлива втрата повідомлення. невисока скритність | Досить велика пропускна здатність |
| Метод приховування на основі синтаксичних особливостей тексту | Заснований на тому, що правила пунктуації допускають неоднозначність при розстановці розділових знаків | Дуже низька пропускна здатність. Складність детектування повідомлення | Існує потенційна можливість підібрати такий метод, при якому будуть потрібні досить складні процедури для розкриття повідомлення |
| Метод приховування на основі синонімів | Заснований на вставці інформації в текст за допомогою чергування слів з будь-якої групи синонімів | Складний стосовно до російської мови в зв'язку з великою різноманітністю відтінків в різних синоніми | Один з найбільш перспективних методів. Має порівняно високу скритністю повідомлення |
| Метод приховування на основі використання помилок | Заснований на маскування інформаційних бітів під природні помилки, друкарські помилки, порушення правил написання сполучень голосних і приголосних, заміні кирилиці на аналогічні за зовнішнім виглядом латинські букви і ін. | Невисока пропускна здатність. Швидко розкривається при статистичному аналізі | Вельми простий в застосуванні. Висока скритність при аналізі людиною |
| Метод приховування на основі генерації квазітекста | Заснований на генерації текстового контейнера з використанням набору правил побудови речень. Використовується симетрична криптографія | Невисока пропускна здатність. Безглуздість створеного тексту | Скритність визначається методами шифрування і, як правило, досить висока |
| Метод приховування на основі використання особливостей шрифту | Заснований на вставці інформації за рахунок зміни типу шрифту і розміру букв, а також на можливості вбудовування інформації в блоки з невідомими для браузера ідентифікаторами | Легко виявляється при перетворенні масштабу документа, при статистичному стегоаналіза | Високий коефіцієнт використання контейнера |
| Метод приховування на основі використання коду документа і файлу | Заснований на розміщенні інформації в зарезервованих і невикористовуваних полях змінної довжини | Низька скритність при відомому форматі файлу | Простий в застосуванні |
| Метод приховування на основі використання жаргону | Заснований на зміну значень слів | Низька пропускна здатність. Вузько спеціалізований. низька скритність | Простий в застосуванні |
| Метод приховування на основі використання чергування довжини слів | Заснований на генерації тексту - контейнера з формуванням слів певної довжини за відомим правилом кодування | Складність формування контейнера і повідомлення | Досить висока скритність при аналізі людиною |
| Метод приховування на основі використання перших букв | Заснований на впровадженні повідомлення в перші літери слів тексту з підбором слів | Складність складання повідомлення. Низька скритність повідомлення | Дає велику свободу вибору оператору, придумувати повідомлення |
| Методи приховування інформації в графічних контейнерах | |||
| Метод приховування в найменших значущих бітах | Заснований на записи повідомлення в найменші значущі біти вихідного зображення | Невисока скритність передачі повідомлення. Низька стійкість до спотворень | Досить висока ємність контейнера (до 25%) |
| Метод приховування на основі модифікації індексного формату представлення | Заснований на редукції (заміні) кольорової палітри і впорядкування квітів в пікселях з сусідніми номерами | Застосовується переважно до стисненим зображень. Невисока скритність передачі повідомлення | Порівняно висока ємність контейнера |
| Метод приховування на основі використання автокореляційної функції | Заснований на пошуку із застосуванням автокореляційної функції областей, що містять подібні дані | складність розрахунків | Стійкість до більшості нелінійних перетворень контейнера |
| Метод приховування на основі використання нелінійної модуляції вбудованого повідомлення | Заснований на модуляції псевдослучайного сигналу сигналом, що містить приховану інформацію | ||
| Метод приховування на основі використання знаковою модуляції вбудованого повідомлення | Заснований на модуляції псевдослучайного сигналу біполярним сигналом, що містить приховану інформацію | Низька точність детектування. спотворення | Досить висока скритність повідомлення |
| Метод приховування на основі вейвлет-перетворення | Заснований на особливостях вейвлет-перетворень | складність розрахунків | висока скритність |
| Метод приховування на основі використання дискретного косинусного перетворення | Заснований на особливостях дискретного косинусного перетворення | складність розрахунок | висока скритність |
В нетрадиційних інформаційних каналах, заснованих на маніпуляції різних характеристик ресурсів ІСПДн, використовуються для передачі даних деякі колективні ресурси. При цьому в каналах, які використовують тимчасові характеристики, здійснюється модуляція за часом зайнятості ресурсу, (наприклад, модулюючи час зайнятості процесора, додатки можуть обмінюватися даними).
У каналах пам'яті ресурс використовується як проміжний буфер (наприклад, додатки можуть обмінюватися даними шляхом поміщення їх в імена створюваних файлів і директорій). У каналах баз даних і знань використовують залежності між даними, що виникають в реляційних базах даних і знань.
Нетрадиційні інформаційні канали можуть бути сформовані на різних рівнях функціонування ІСПДн:
на апаратному рівні;
на рівні мікрокодів і драйверів пристроїв;
на рівні операційної системи;
на рівні прикладного програмного забезпечення;
на рівні функціонування каналів передачі даних і ліній зв'язку.
Ці канали можуть використовуватися як для прихованої передачі скопійованій інформації, так і для прихованої передачі команд на виконання деструктивних дій, запуску додатків і т.п.
Для реалізації каналів, як правило, необхідно впровадити в автоматизовану систему програмну або програмно-апаратну ятати, що забезпечує формування нетрадиційного каналу.
Нетрадиційний інформаційний канал може існувати в системі неперервної або активізуватися одноразово або за заданими умовами. При цьому можливе існування зворотного зв'язку з суб'єктом несанкціонованого доступу.
5.7. Загальна характеристика результатів несанкціонованого або випадкового доступуРеалізація загроз несанкціонованого доступу до інформації може призводити до наступних видів порушення її безпеки:
порушення конфіденційності (копіювання, неправомірне поширення);
Порушення цілісності (знищення, зміна);
порушення доступності (блокування).
Порушення конфіденційності може бути здійснено в разі витоку інформації:
копіювання її на відчужувані носії інформації;
передачі її по каналах передачі даних;
при перегляді або копіюванні її в ході ремонту, модифікації і утилізації програмно-апаратних засобів;
при "складанні сміття" порушником в процесі експлуатації ІСПДн.
Порушення цілісності інформації здійснюється за рахунок впливу (модифікації) на програми і дані користувача, а також технологічну (системну) інформацію, що включає:
прошивки, дані і драйвера пристроїв обчислювальної системи;
програми, дані і драйвера пристроїв, що забезпечують завантаження операційної системи;
програми і дані (дескриптори, описатели, структури, таблиці і т.д.) операційної системи;
програми і дані прикладного програмного забезпечення;
Програми та дані спеціального програмного забезпечення;
Проміжні (оперативні) значення програм і даних в процесі їх обробки (читання / запису, прийому / передачі) засобами і пристроями обчислювальної техніки.
Порушення цілісності інформації в ІСПДн може також бути викликане впровадженням у неї шкідливої \u200b\u200bпрограми програмно-апаратної закладки або впливом на систему захисту інформації або її елементи.
Крім цього, в ІСПДн можливий вплив на технологічну мережеву інформацію, яка може забезпечувати функціонування різних засобів управління обчислювальною мережею:
конфігурацією мережі;
адресами і маршрутизацією передачі даних в мережі;
функціональним контролем мережі;
безпекою інформації в мережі.
Порушення доступності інформації забезпечується шляхом формування (модифікації) вихідних даних, які при обробці викликають неправильне функціонування, відмови апаратури або захоплення (завантаження) обчислювальних ресурсів системи, які необхідні для виконання програм і роботи апаратури.
Зазначені дії можуть привести до порушення або відмови функціонування практично будь-яких технічних засобів ІСПДн:
засобів обробки інформації;
засобів введення / виведення інформації;
засобів зберігання інформації;
Апаратури і каналів передачі;
засобів захисту інформації.
Необхідної для вірусів і кібер-злочинців завданням є впровадження вірусу, хробака або троянської програми в комп'ютер-жертву або мобільний телефон. Досягається ця мета різними способами, які діляться на дві основні категорії:
- соціальна інженерія (також вживається термін «соціальний інжиніринг» - калька з англійського «social engineering»);
- технічні прийоми впровадження шкідливого коду в заражає систему без відома користувача.
Часто ці способи використовуються одночасно. При цьому так само часто використовуються спеціальні заходи з протидії антивірусним програмам.
Соціальна інженерія
Методи соціальної інженерії тим чи іншим способом змушують користувача запустити заражений файл або відкрити посилання на заражений веб-сайт. Ці методи застосовуються не тільки численними поштовими хробаками, а й іншими видами шкідливого програмного забезпечення.
Завдання хакерів і вірусів - привернути увагу користувача до зараженому файлу (або HTTP-посилання на заражений файл), зацікавити користувача, змусити його клікнути по файлу (або за посиланням на файл). «Класикою жанру» є гучний в травні 2000 року поштовий черв'як LoveLetter, до сих пір зберігає лідерство за масштабом завданої фінансового збитку, згідно з даними від Computer Economics. Повідомлення, яке черв'як виводив на екран, виглядало наступним чином:
На визнання «I LOVE YOU» зреагували дуже багато, і в результаті поштові сервера великих компаній не витримали навантаження - черв'як розсилав свої копії по всіх контактах з адресної книги при кожному відкритті вкладеного VBS-файлу.
Поштовий хробак Mydoom, «рвонув» в інтернеті в січні 2004 р, використовував тексти, що імітують технічні повідомлення поштового сервера.
Варто також згадати черв'як Swen, який видавав себе за повідомлення від компанії Microsoft і маскувався під патч, що усуває ряд нових вразливостей в Windows (не дивно, що багато користувачів піддалися на заклик встановити «чергову латку від Microsoft»).
Трапляються і казуси, один з яких стався в листопаді 2005. В одній з версій хробака Sober повідомлялося, що німецька кримінальна поліція розслідує випадки відвідування нелегальних веб-сайтів. Цей лист потрапив до любителю дитячої порнографії, який прийняв його за офіційний лист, - і слухняно здався владі.
Останнім часом особливої \u200b\u200bпопулярності набули не файли, вкладені в лист, а посилання на файли, розташовані на зараженому сайті. Потенційній жертві відправляється повідомлення - поштове, через ICQ або інший пейджер, рідше - через інтернет-чати IRC (в разі мобільних вірусів звичайним способом доставки служить SMS-повідомлення). Повідомлення містить будь-якої привабливий текст, що змушує нічого не підозрює користувача клікнути на посилання. даний спосіб проникнення в комп'ютери-жертви на сьогоднішній день є найпопулярнішим і дієвим, оскільки дозволяє обходити пильні антивірусні фільтри на поштових серверах.
Використовуються також можливості файлообмінних мереж (P2P-мережі). Черв'як або троянська програма викладається в P2P-мережу під різноманітними «смачними» назвами, наприклад:
- AIM & AOL Password Hacker.exe
- Microsoft CD Key Generator.exe
- PornStar3D.exe
- play station emulator crack.exe
У пошуку нових програм користувачі P2P-мереж натикаються на ці імена, скачують файли і запускають їх на виконання.
Також досить популярні «розводки», коли жертві підсовують безкоштовну утиліту або інструкцію по злому різних платіжних систем. Наприклад, пропонують отримати безкоштовний доступ до інтернету або стільниковому оператору, Скачати генератор номерів кредитних карт, збільшити суму грошей в персональному інтернет-гаманці і т.п. Природно, що постраждалі від подібного шахрайства навряд чи будуть звертатися в правоохоронні органи (адже, по суті, вони самі намагалися заробити шахрайським способом), і інтернет-злочинці щосили цим користуються.
Незвичайний спосіб «розводки» використовував невідомий зловмисник з Росії в 2005-2006 роках. Троянська програма розсилалась на адреси, виявлені на веб-сайті job.ru, що спеціалізується на працевлаштуванні і пошуку персоналу. Деякі з тих, хто публікував там свої резюме, отримували нібито пропозицію про роботу з вкладеним в лист файлом, який пропонувалося відкрити і ознайомитися з його змістом. Файл був, природно, троянської програмою. Цікаво також те, що атака проводилася в основному на корпоративні поштові адреси. Розрахунок, мабуть, будувався на тому, що співробітники компаній навряд чи будуть повідомляти про джерело зараження. Так воно і сталося - фахівці «Лабораторії Касперського» більше півроку не могли отримати виразної інформації про метод проникнення троянської програми в комп'ютери користувачів.
Бувають і досить екзотичні випадки, наприклад, лист з вкладеним документом, в якому клієнта банку просять підтвердити (вірніше - повідомити) свої коди доступу - роздрукувати документ, заповнити прикладену форму і потім відправити її по факсу на вказаний в листі телефонний номер.
Інший незвичайний випадок доставки шпигунської програми «Додому» стався в Японії восени 2005. Якісь зловмисники розіслали заражені троянським шпигуном CD-диски на домашні адреси (місто, вулиця, будинок) клієнтів одного з японських банків. При цьому використовувалася інформація з заздалегідь вкраденої клієнтської бази цього самого банку.
технології впровадження
Ці технології використовуються зловмисниками для впровадження в систему шкідливого коду таємно, не привертаючи уваги власника комп'ютера. Здійснюється це через уразливості в системі безпеки операційних систем і в програмному забезпеченні. Наявність вразливостей дозволяє виготовленому зловмисником мережевого хробака або троянської програми проникнути в комп'ютер-жертву і самостійно запустити себе на виконання.
Уразливості є, по суті, помилками в коді або в логіці роботи різних програм. Сучасні операційні системи і додатки мають складну структуру і великий функціонал, і уникнути помилок при їх проектуванні та розробці просто неможливо. Цим і користуються вирусописатели і комп'ютерні зловмисники.
уразливими в поштових клієнтів Outlook користувалися поштові черв'яки Nimda і Aliz. Для того щоб запустити файл хробака, досить було відкрити заражене лист або просто навести на нього курсор у вікні попереднього перегляду.
Також шкідливі програми активно використовували уразливості в мережевих компонентах операційних систем. Для свого поширення такими уразливими користувалися черви CodeRed, Sasser, Slammer, Lovesan (Blaster) і багато інших черви, що працюють під ОС Windows. Під удар потрапили і Linux-системи - черви Ramen і Slapper проникали на комп'ютери через уразливості в операційному середовищі та додатках для неї.
В останні роки одним з найбільш популярних способів зараження стало впровадження шкідливого коду через веб-сторінки. При цьому часто використовуються уразливості в інтернет-браузерах. На веб-сторінку поміщається заражений файл і скрипт-програма, яка використовує уразливість в браузері. При заході користувача на заражену сторінку спрацьовує скрипт-програма, яка через уразливість закачує заражений файл на комп'ютер і запускає його там на виконання. В результаті для зараження великої кількості комп'ютерів досить заманити якомога більше число користувачів на таку веб-сторінку. Це досягається різними способами, наприклад, розсилкою спаму із зазначенням адреси сторінки, розсилкою аналогічних повідомлень через інтернет-пейджери, іноді для цього використовують навіть пошукові машини. На зараженій сторінці розміщується різноманітний текст, який рано чи пізно обраховується пошуковими машинами - і посилання на цю сторінку виявляється в списку інших сторінок в результатах пошуку.
Окремим класом стоять троянські програми, які призначені для скачування і запуску інших троянських програм. Зазвичай ці троянці, які мають дуже невеликий розмір, тим чи іншим чином (наприклад, використовуючи чергову уразливість в системі) «підсуваються» на комп'ютер-жертву, а потім вже самостійно викачують з інтернету і встановлюють в систему інші шкідливі компоненти. Часто такі троянські програми змінюють настройки браузера на найнебезпечніші, щоб «полегшити дорогу» іншим троянцам.
Уразливості, про які стають відомо, досить оперативно виправляються компаніями-розробниками, проте постійно з'являється інформація про нові вразливості, які тут же починають використовуватися численними хакерами і вірусопісателямі. Багато троянські «боти» використовують нові уразливості для збільшення своєї чисельності, а нові помилки в Microsoft Office тут же починають застосовуватися для впровадження в комп'ютери чергових троянських програм. При цьому, на жаль, має місце тенденція скорочення часового проміжку між появою інформації про чергову уразливості і початком її використання хробаками і троянцями. В результаті компанії-виробники уразливого програмного забезпечення та розробники антивірусних програм виявляються в ситуації цейтноту. Першим необхідно максимально швидко виправити помилку, протестувати результат (зазвичай званий «латкою», «патчем») і розіслати його користувачам, а другим - негайно випустити засіб детектування і блокування об'єктів (файлів, мережевих пакетів), що використовують уразливість.
Одночасне використання технологій впровадження та методів соціальної інженерії
Досить часто комп'ютерними зловмисниками використовуються відразу обидва методи. Метод соціальної інженерії - для залучення уваги потенційної жертви, а технічний - для збільшення ймовірності проникнення зараженого об'єкта в систему.
Наприклад, поштовий черв'як Mimail поширювався як вкладення в електронного листа. Для того щоб користувач звернув увагу на лист, в нього вставлявся спеціально оформлений текст, а для запуску копії хробака з вкладеного в лист ZIP-архіву - вразливість в браузері Internet Explorer. В результаті при відкритті файлу з архіву черв'як створював на диску свою копію і запускав її на виконання без будь-яких системних попереджень або додаткових дій користувача. До речі, цей черв'як був одним з перших, призначених для крадіжки персональної інформації користувачів інтернет-гаманців системи e-gold.
Іншим прикладом є розсилка спаму з темою «Привіт» і текстом «Подивися, що про тебе пишуть». За текстом слідувала посилання на якусь веб-сторінку. При аналізі з'ясувалося, що дана веб-сторінка містить скрипт-програму, яка, користуючись ще однієї вразливістю в Internet Explorer, Завантажує на комп'ютер користувача троянську програму LdPinch, призначену для крадіжки різних паролів.
Протидія антивірусних програм
Оскільки мета комп'ютерних зловмисників - впровадити шкідливий код в комп'ютери-жертви, то для цього їм необхідно не тільки змусити користувача запустити заражений файл або проникнути в систему через будь-яку вразливість, але і непомітно проскочити повз встановленого антивірусного фільтра. Тому не дивно, що зловмисники цілеспрямовано борються з антивірусними програмами. Використовувані ними технічні прийоми дуже різноманітні, але найчастіше зустрічаються такі:
Упаковка і шифрування коду. Значна частина (якщо не більшість) сучасних комп'ютерних черв'яків і троянських програм упаковані або зашифровані тим чи іншим способом. Більш того, комп'ютерним андеграундом створюються спеціально для цього призначені утиліти упаковки і шифровки. Наприклад, шкідливими виявилися абсолютно всі зустрілися в інтернеті файли, оброблені утилітами CryptExe, Exeref, PolyCrypt і деякими іншими.
Для детектування подібних черв'яків і Трої антивірусних програм доводиться або додавати нові методи розпакування і розшифровки, або додавати сигнатури на кожен зразок шкідливої \u200b\u200bпрограми, що знижує якість детектування, оскільки не завжди всі можливі зразки модифікованого коду виявляються в руках антивірусної компанії.
Мутація коду. Розведення троянського коду «сміттєвими» інструкціями. В результаті функціонал троянської програми зберігається, але значно змінюється її « зовнішній вигляд». Періодично трапляються випадки, коли мутація коду відбувається в режимі реального часу - при кожному завантаженні троянської програми з зараженого веб-сайту. Тобто все або значну частину потрапляють з такого сайту на комп'ютери зразки троянця - різні. Прикладом застосування цієї технології є поштовий черв'як Warezov, кілька версій якого викликали значні епідемії у другій половині 2006 р
Приховування своєї присутності. Так звані «руткіт-технології» (від англ. «Rootkit»), як правило, використовується троянські програми. Здійснюється перехоплення і підміна системних функцій, завдяки яким заражений файл не видно ні штатними засобами операційної системи, ні антивірусними програмами. Іноді також ховаються гілки реєстру, в яких реєструється копія троянця, і інші системні області комп'ютера. Дані технології активно використовуються, наприклад, троянцем-бекдор HacDef.
Зупинка роботи антивіруса і системи отримання оновлень антивірусних баз (апдейтів). Багато троянські програми і мережеві черв'яки роблять спеціальні дії проти антивірусних програм - шукають їх в списку активних додатків і намагаються зупинити їх роботу, псують антивірусні бази даних, блокують отримання оновлень і т.п. Антивірусних програм доводиться захищати себе адекватними способами - стежити за цілісністю баз даних, ховати від троянців свої процеси і т.п.
Приховування свого коду на веб-сайтах. Адреси веб-сторінок, на яких присутні троянські файли, рано чи пізно стають відомі антивірусним компаніям. Природно, що подібні сторінки потрапляють під пильну увагу антивірусних аналітиків - вміст сторінки періодично скачується, нові версії троянських програм заносяться в антивірусні оновлення. Для протидії цьому веб-сторінка модифікується спеціальним чином - якщо запит йде з адреси антивірусної компанії, то скачується якийсь нетроянскій файл замість троянського.
Атака кількістю. Генерація та поширення в інтернеті великої кількості нових версій троянських програм за короткий проміжок часу. В результаті антивірусні компанії виявляються «завалені» новими зразками, на аналіз яких потрібен час, що дає зловмисно коду додатковий шанс для успішного впровадження в комп'ютери.
Ці та інші методи використовуються комп'ютерним андеграундом для протидії антивірусним програмам. При цьому активність кіберзлочинців росте рік за роком, і зараз можна говорити про справжню «гонці технологій», яка розгорнулася між антивірусної індустрією і індустрією вірусної. Одночасно росте кількість хакерів-індивідуалів і злочинних груп, а також їх професіоналізм. Все це разом значно збільшує складність і обсяг роботи, необхідної антивірусним компаніям для розробки засобів захисту достатнього рівня.
Програмно-математичне вплив - це вплив за допомогою шкідливих програм. Програмою з потенційно небезпечними наслідками або шкідливою програмою називають деяку самостійну програму (набір інструкцій), яка здатна виконувати будь-непорожнє підмножина наступних функцій: · приховувати ознаки своєї присутності в програмної средекомпьютера; · володіти здатністю до самодублірованію, асоціювання себе з іншої програмами і (або) переносу своїх фрагментів в інші області оперативної або зовнішньої пам'яті; · руйнувати (спотворювати довільним чином) код програм воператівной пам'яті; · виконувати без ініціювання з боку користувача (користувальницької програми в штатному режимі її виконання) деструктивні функції (копіювання, знищення, блокування тощо .); · Зберігати фрагменти інформації з оперативної пам'яті в некоторихобластях зовнішньої пам'яті прямого доступу (локальних або віддалених); · спотворювати довільним чином, блокувати і (або) подменятьвиводімий в зовнішню пам'ять або в канал зв'язку масив інформації, що утворився в результаті роботи прикладних програм, або вже знаходяться у зовнішній пам'яті масиви даних.Шкідливі програми можуть бути внесені (впроваджені) як навмисно, так і випадково в програмне забезпечення, що використовується в ІСПДн, в процесі його розробки, супроводу, модифікації і настройки. Крім цього, шкідливі програми можуть бути внесені в процесі експлуатації ІСПДн з зовнішніх носіїв інформації або за допомогою мережевого взаємодії як в результаті несанкціонованого доступу, так і випадково користувачами ІСПДн.
Сучасні шкідливі програми засновані на використанні вразливостей різного роду програмного забезпечення (системного, загального, прикладного) і різноманітних мережевих технологій, мають широкий спектр деструктивних можливостей (від несанкціонованого дослідження параметрів ІСПДн без втручання у функціонування ІСПДн, до знищення ПДН і програмного забезпечення ІСПДн) і можуть діяти у всіх видах програмного забезпечення (системного, прикладного, в драйверах апаратного забезпечення і т.д.).
Наявність в ІСПДн шкідливих програм може сприяти виникненню прихованих, в тому числі нетрадиційних каналів доступу до інформації, що дозволяють розкривати, обходити або блокувати захисні механізми, передбачені в системі, в тому числі парольний і криптографічний захист.
Основними видами шкідливих програм є:
· Програмні закладки;
· Класичні програмні (комп'ютерні) віруси;
· Шкідливі програми, що поширюються по мережі (мережеві черв'яки);
· Інші шкідливі програми, призначені для здійснення несанкціонованого доступу.
До програмних закладок відносяться програми, фрагменти коду, інструкції, що формують декларованих можливостей програмного забезпечення. Шкідливі програми можуть переходити з одного виду в інший, наприклад, програмна закладка може згенерувати програмний вірус, який, в свою чергу, потрапивши в умови мережі, може сформувати мережевого черв'яка або іншу шкідливу програму, призначену для здійснення несанкціонованого доступу.
Коротка характеристика основних шкідливих програм зводиться до наступного. Завантажувальні віруси записують себе або в завантажувальний сектор диска (boot-сектор), або в сектор, що містить системний завантажувач вінчестера (Master Boot Record), або змінюють покажчик на активний boot-сектор. Вони впроваджуються в пам'ять комп'ютера при завантаженні з інфікованого диска. При цьому системний завантажувач зчитує вміст першого сектора диска, з якого відбувається завантаження, поміщає зчитану інформацію в пам'ять і передає на неї (тобто на вірус) управління. Після цього починають виконуватися інструкції вірусу, який, як правило, зменшує обсяг вільної пам'яті, копіює в місце, що звільнилося свій код і зчитує з диска своє продовження (якщо воно є), перехоплює необхідні вектора переривань (зазвичай - INT 13H), зчитує в пам'ять оригінальний boot-сектор і передає на нього управління.
Надалі завантажувальний вірус поводиться так само, як файловий: перехоплює звернення операційної системи до дисків і інфікує їх, в залежності від деяких умов здійснює деструктивні дії, викликає звукові ефекти або відеоефекти.
Основними деструктивними діями, виконуваними цими вірусами, є:
· Знищення інформації в секторах дискет і вінчестера;
· Виключення можливості завантаження операційної системи (комп'ютер «зависає»);
· Спотворення коду завантажувача;
· Форматування дискет або логічних дисків вінчестера;
· Закриття доступу до COM- і LPT-портів;
· Заміна символів при друці текстів;
· Посмикування екрану;
· Зміна мітки диска або дискети;
· Створення псевдосбойних кластерів;
· Створення звукових і (або) візуальних ефектів (наприклад, падіння
букв на екрані);
· Псування файлів даних;
· Висновок на екран різноманітних повідомлень;
· Відключення периферійних пристроїв (наприклад, клавіатури);
· Зміна палітри екрана;
· Заповнення екрану сторонніми символами або зображеннями;
· Погашення екрану і переклад в режим очікування введення з клавіатури;
· Шифрування секторів вінчестера;
· Вибіркове знищення символів, що виводяться на екран при наборі з клавіатури;
· Зменшення обсягу оперативної пам'яті;
· Виклик друку вмісту екрана;
· Блокування записи на диск;
· Знищення таблиці розбиття (Disk Partition Table), після цього комп'ютер можна завантажити тільки з флоппі-диска;
· Блокування запуску виконуваних файлів;
· Блокування доступу до вінчестера.
|
Малюнок 3. Класифікація програмних вірусів і мережевих черв'яків
Більшість завантажувальних вірусів перезаписують себе на флоппі-диски.
Метод зараження «overwriting» є найбільш простим: вірус записує свій код замість коду заражає файли, знищуючи його вміст. Природно, що при цьому файл перестає працювати і не відновлюється. Такі віруси дуже швидко виявляють себе, так як операційна система і додатки досить швидко перестають працювати.
До категорії «компаньйон» належать віруси, що не змінюють заражає файли. Алгоритм роботи цих вірусів полягає в тому, що для заражає файли створюється файл-двійник, причому при запуску зараженого файлу управління отримує саме цей двійник, тобто вірус. Найбільш поширені компаньйон-віруси, що використовують особливість DOS першим виконувати файли з расшіреніем.COM, якщо в одному каталозі присутні два файли з одним і тим же ім'ям, але різними розширеннями імені - .COM і.EXE. Такі віруси створюють для EXE-файлів файли-супутники, що мають те ж саме ім'я, але з расшіреніем.COM, наприклад, для файлу XCOPY.EXE створюється файл XCOPY.COM. Вірус записується в COM-файл і ніяк не змінює EXE-файл. При запуску такого файлу DOS першим виявить і виконає COM-файл, тобто вірус, який потім запустить і EXE-файл. Другу групу складають віруси, які при зараженні перейменовують файл в будь-яке інше ім'я, запам'ятовують його (для подальшого запуску файлу-господаря) і записують свій код на диск під ім'ям заражає файли. Наприклад, файл XCOPY.EXE перейменовується в XCOPY.EXD, а вірус записується під ім'ям XCOPY.EXE. При запуску управління отримує код вірусу, який потім запускає оригінальний XCOPY, що зберігається під ім'ям XCOPY.EXD. Цікавим є той факт, що даний метод працює, мабуть, у всіх операційних системах. У третю групу входять так звані «Path-companion» віруси. Вони або записують свій код під ім'ям заражає файли, але «вище» на один рівень в прописуються шляхах (DOS, таким чином, першим виявить і запустить файл-вірус), або переносять файл-жертву на один підкаталог вище і т.д.
Можливо існування і інших типів компаньйон-вірусів, що використовують інші оригінальні ідеї або особливості інших операційних систем.
Файлові черви (worms) є, в деякому сенсі, різновидом компаньйон-вірусів, але при цьому жодним чином не пов'язують свою присутність з яким-небудь виконуваним файлом. При розмноженні вони всього лише копіюють свій код в будь-які каталоги дисків в надії, що ці нові копії будуть коли-небудь запущені користувачем. Іноді ці віруси дають своїм копіям «спеціальні» імена, щоб підштовхнути користувача на запуск своєї копії - наприклад, INSTALL.EXE або WINSTART.BAT. Існують віруси-черв'яки, що використовують досить незвичайні прийоми, наприклад, записуючі свої копії в архіви (ARJ, ZIP та інші). Деякі віруси записують команду запуску зараженого файлу в BAT-файли. Не слід плутати файлові віруси-черв'яки з мережними хробаками. Перші використовують тільки файлові функції будь-якої операційної системи, другі ж при своєму розмноженні користуються мережевими протоколами.
Link-віруси, як і компаньйони-віруси, не змінюють фізичного вмісту файлів, проте при запуску зараженого файлу «змушують» ОС виконати свій код. Цій меті вони досягають модифікацією необхідних полів файлової системи.
Віруси, що заражають бібліотеки компіляторів, об'єктні модулі і вихідні тексти програм, досить екзотичні і практично не поширені. Віруси, що заражають OBJ- і LIB-файли, записують у них свій код у форматі об'єктного модуля або бібліотеки. Заражений файл, таким чином, не є виконуваним і не здатний на подальше поширення вірусу в свій поточний стан. Носієм же «живого» вірусу стає COM- або EXE-файл.
Отримавши управління, файловий вірус робить такі загальні дії:
· Перевіряє оперативну пам'ять на наявність своєї копії і інфікує
пам'ять комп'ютера, якщо копія вірусу не знайдено (в разі, якщо вірус є резидентним), шукає незаражені файли в поточному і (або) кореневому каталозі шляхом сканування дерева каталогів логічних дисків, а потім заражає виявлені файли;
· Виконує додаткові (якщо вони є) функції: деструктивні
дії, графічні чи звукові ефекти і т.д. (Додаткові функції резидентного вірусу можуть викликатися через деякий час після активізації в залежності від поточного часу, конфігурації системи, внутрішніх лічильників вірусу або інших умов, в цьому випадку вірус при активізації обробляє стан системних годин, встановлює свої лічильники і т.д.);
· Повертає управління основній програмі (якщо вона є).
Необхідно відзначити, що чим швидше поширюється вірус, тим імовірніше виникнення епідемії цього вірусу, чим повільніше поширюється вірус, тим складніше його виявити (якщо, звичайно ж, цей вірус невідомий). Нерезидентні віруси часто є «повільними» - більшість з них при запуску заражає один або два-три файли і не встигає заполонити комп'ютер до запуску антивірусної програми (або появи нової версії антивіруса, налаштованої на даний вірус). Існують, звичайно ж, нерезидентні «швидкі» віруси, які при запуску шукають і заражають всі виконувані файли, однак такі віруси дуже помітні: при запуску кожного зараженого файлу комп'ютер деякий (іноді досить довгий) час активно працює з вінчестером, що демаскує вірус. Швидкість поширення (інфікування) у резидентних вірусів зазвичай вище, ніж у нерезидентних - вони заражають файли при будь-яких зверненнях до них. В результаті на диску виявляються зараженими все або майже все файли, які постійно використовуються в роботі. Швидкість поширення (інфікування) резидентних файлових вірусів, що заражають файли тільки при їх запуску на виконання, буде нижче, ніж у вірусів, що заражають файли і при їх відкритті, перейменування, зміну атрибутів файлу і т.д.
Таким чином, основні деструктивні дії, що виконуються файловими вірусами, пов'язані з ураженням файлів (частіше виконуваних або файлів даних), несанкціонованим запуском різних команд (в тому числі, команд форматування, знищення, копіювання і т.п.), зміною таблиці векторів переривань і ін. Разом з тим, можуть виконуватися і багато деструктивні дії, подібні до тих, які вказувалися для завантажувальних вірусів.
Макровіруси (macro viruses) є програмами на мовах (макромови), вбудованих в деякі системи обробки даних (текстові редактори, електронні таблиці і т.д.). Для свого розмноження такі віруси використовують можливості макромов і при їхній допомозі переносять себе з одного зараженого файлу (документа або таблиці) в інші. Найбільшого поширення набули макровіруси для пакета прикладних програм Microsoft Office.
Для існування вірусів у конкретній системі (редакторі) необхідна наявність вбудованого в систему макромови з можливостями:
1) прив'язки програми на макромові до конкретного файлу;
2) копіювання макропрограми з одного файлу в інший;
3) отримання управління макропрограми без втручання користувача (автоматичні або стандартні макроси).
Даним умовам задовольняють прикладні програми Microsoft Word, Excel і Microsoft Access. Вони містять у собі макромови: Word Basic, Visual Basic for Applications. При цьому:
1) макропрограми прив'язані до конкретного файлу або знаходяться всередині файла;
2) макромова дозволяє копіювати файли або переміщати макропрограми в службові файли системи і редаговані файли;
3) при роботі з файлом за певних умов (відкриття, закриття і т.д.) викликаються макропрограми (якщо такі є), які визначені спеціальним чином або мають стандартні імена.
Дана особливість макромов призначена для автоматичної обробки даних у великих організаціях або в глобальних мережах і дозволяє організувати так званий «автоматизований документообіг». З іншого боку, можливості макромов таких систем дозволяють вірусу переносити свій код в інші файли і таким чином заражати їх.
Більшість макровірусів активні не тільки в момент відкриття (закриття) файлу, але до тих пір, поки активний сам редактор. Вони містять всі свої функції у вигляді стандартних макросів Word / Excel / Office. Існують, однак, віруси, що використовують прийоми приховування свого коду і зберігають свій код в вигляді не макросів. Відомо три подібних прийому, всі вони використовують можливість макросів створювати, редагувати і виконувати інші макроси. Як правило, подібні віруси мають невеликий (іноді - поліморфний) макрос-завантажувач вірусу, який викликає вбудований редактор макросів, створює новий макрос, заповнює його основним кодом вірусу, виконує і потім, як правило, знищує (щоб приховати сліди присутності вірусу). Основний код таких вірусів присутній або в самому макросі вірусу у вигляді текстових рядків (іноді - зашифрованих), або зберігається в області змінних документа.
До мережевих відносяться віруси, які для свого поширення активно використовують протоколи і можливості локальних і глобальних мереж. Основним принципом роботи мережного вірусу є можливість самостійно передати свій код на віддалений сервер або робочу станцію. «Повноцінні» мережні віруси при цьому володіють ще і можливістю запустити на виконання свій код на віддаленому комп'ютері або, принаймні, «підштовхнути» користувача до запуску зараженого файлу.
Шкідливими програмами, що забезпечують здійснення несанкціонованого доступу, можуть бути:
· Програми підбору і розкриття паролів;
· Програми, що реалізують загрози;
· Програми, що демонструють використання декларованих можливостей програмного і програмно-апаратного забезпечення ІСПДн;
· Програми-генератори комп'ютерних вірусів;
· Програми, що демонструють уразливості засобів захисту
інформації та ін.
У зв'язку з ускладненням і зростанням різноманітності програмного забезпечення число шкідливих програм швидко зростає. Сьогодні відомо понад 120 тисяч сигнатур комп'ютерних вірусів. Разом з тим, далеко не всі з них є реальною загрозою. У багатьох випадках усунення вразливостей в системному або прикладному програмному забезпеченні призвело до того, що ряд шкідливих програм вже не здатний проникнути в них. Часто основну небезпеку представляють нові шкідливі програми.
Класифікація порушників
За ознакою приналежності до ІСПДн всі порушники поділяються на дві групи:
Зовнішні порушники - фізичні особи, які не мають права перебування на території контрольованої зони, в межах якої розміщується обладнання ІСПДн;
Внутрішні порушники - фізичні особи, які мають право перебування на території контрольованої зони, в межах якої розміщується обладнання ІСПДн.
зовнішній порушник
В якості зовнішнього порушника інформаційної безпеки, розглядається порушник, який не має безпосереднього доступу до технічних засобів і ресурсів системи, що знаходяться в межах контрольованої зони.
Передбачається, що зовнішній порушник не може впливати на захищається інформацію по технічних каналах витоку, так як обсяг інформації, що зберігається і оброблюваної в ІСПДн, є недостатнім для можливої \u200b\u200bмотивації зовнішнього порушника до здійснення дій, спрямованих витік інформації по технічним каналам витоку.
Передбачається, що зовнішній порушник може впливати на захищається інформацію тільки під час її передачі по каналах зв'язку.
внутрішній порушник
Можливості внутрішнього порушника істотно залежать від діючих в межах контрольованої зони обмежувальних факторів, з яких основним є реалізація комплексу організаційно-технічних заходів, в тому числі по підбору, розстановці і забезпечення високої професійної підготовки кадрів, допуску фізичних осіб всередину контрольованої зони і контролю за порядком проведення робіт, спрямованих на запобігання та припинення несанкціонованого доступу.
Система розмежування доступу ІСПДн ІСПДн забезпечує розмежування прав користувачів на доступ до інформаційних, програмних, апаратних та інших ресурсів ІСПДн відповідно до прийнятої політики інформаційної безпеки (правилами). До внутрішніх порушників можуть ставитися (таблиця):
Адміністратори конкретних підсистем або баз даних ІСПДн (категорія II);
Користувачі, які є зовнішніми по відношенню до конкретної АС (категорія IV);
Особи, що володіють можливістю доступу до системи передачі даних (категорія V);
Співробітники ЛПУ, що мають санкціонований доступ в службових цілях в приміщення, в яких розміщуються елементів ІСПДн, але не мають права доступу до них (категорія VI);
Обслуговуючий персонал (охорона, працівники інженерно-технічних служб і т.д.) (категорія VII);
Уповноважений персонал розробників ІСПДн, який на договірній основі має право на технічне обслуговування і модифікацію компонентів ІСПДн (категорія VIII).
На осіб категорій I та II покладені завдання по адмініструванню програмно-апаратних засобів і баз даних ІСПДн для інтеграції і забезпечення взаємодії різних підсистем, що входять до складу ІСПДн. Адміністратори потенційно можуть реалізовувати загрози ІБ, використовуючи можливості по безпосередньому доступу до інформації, що захищається, оброблюваної і зберігається в ІСПДн, а також до технічних і програмних засобів ІСПДн, включаючи засоби захисту, які використовуються в конкретних АС, відповідно до встановлених для них адміністративними повноваженнями.
Ці особи добре знайомі з основними алгоритмами, протоколами, реалізованими і використовуваними в конкретних підсистемах і ІСПДн в цілому, а також з застосовуваними принципами і концепціями безпеки.
Передбачається, що вони могли б використовувати стандартне обладнання або для ідентифікації вразливостей, або для реалізації загроз ІБ. Дане обладнання може бути як частиною штатних засобів, Так і може ставитися до легко отримується (наприклад, програмне забезпечення, отримане з загальнодоступних зовнішніх джерел).
Крім того, передбачається, що ці особи могли б мати у своєму розпорядженні спеціалізованим обладнанням.
До особам категорій I та II з огляду на їх виняткову роль в ІСПДн повинен застосовуватися комплекс особливих організаційно-режимних заходів по їх підбору, прийняття на роботу, призначення на посаду та контролю виконання функціональних обов'язків.
Передбачається, що в число осіб категорій I та II будуть включатися тільки довірені особи і тому зазначені особи виключаються з числа ймовірних порушників.
Передбачається, що особи категорій III-VIII відносяться до ймовірних порушників.
Можливості внутрішнього порушника істотно залежать
від діючих в межах контрольованої зони режимних
і організаційно-технічних заходів захисту, в тому числі по допуску фізичних осіб до ПДН і контролю порядку проведення робіт.
Внутрішні потенційні порушники поділяються на вісім категорій залежно від способу доступу і повноважень доступу до ПДН.
Держпослуги особистий кабінет
Госуслугі- особистий кабінет-вхід по СНІЛС і телефону
Єдиний телефон служби порятунку в російській федерації