Prijetnje zlonamjernih programa koji se uvode preko mreže. Metode prodiranja zlonamjernog softvera u sustav
Zlonamjerni programi mogu biti uneseni (uneseni) namjerno i slučajno u softver koji se koristi u ISPD-u tijekom njegovog razvoja, održavanja, modifikacije i konfiguracije. Osim toga, zlonamjerni programi mogu se uvesti tijekom rada ISPD-a s vanjskog medija za pohranu ili kroz mrežnu interakciju, bilo kao rezultat neovlaštenog pristupa ili slučajno od strane korisnika ISPD-a.
Suvremeni zlonamjerni softver temelji se na iskorištavanju ranjivosti u različitim vrstama softvera (sustavnog, općeg, aplikacijskog) i raznih mrežne tehnologije, imaju širok raspon destruktivnih mogućnosti (od neovlaštenog ispitivanja ISPD parametara bez ometanja rada ISPD-a, do uništavanja PD-a i ISPD softvera) i mogu raditi u svim vrstama softvera (sustav, aplikacija, hardverski upravljački programi itd.) .
Prisutnost zlonamjernih programa u ISPD-u može doprinijeti pojavi skrivenih, uključujući netradicionalne kanale pristupa informacijama, koji omogućuju otvaranje, zaobilaženje ili blokiranje sigurnosnih mehanizama u sustavu, uključujući lozinku i kriptografsku zaštitu.
Glavne vrste zlonamjernog softvera su:
· knjižne oznake softvera;
· klasični programski (računalni) virusi;
· zlonamjerni softver koji se širi mrežom (mrežni crvi);
· drugi zlonamjerni programi osmišljeni za obavljanje nezakonitih aktivnosti.
Knjižne oznake softvera uključuju programe, fragmente koda i upute koje tvore nedeklarirane mogućnosti softvera. Zlonamjerni programi mogu se mijenjati iz jedne vrste u drugu, na primjer, softverska knjižna oznaka može generirati softverski virus, koji zauzvrat, kada je izložen mrežnim uvjetima, može formirati mrežnog crva ili drugi zlonamjerni program dizajniran za neovlašteni pristup.
kratak opis Glavni malware svodi se na sljedeće. Virusi za pokretanje zapisuju se ili u sektor za pokretanje diska (boot sector), ili u sektor koji sadrži program za pokretanje sustava tvrdog diska (Master Boot Record), ili mijenjaju pokazivač na aktivni sektor za pokretanje. Ugrađuju se u memoriju računala prilikom pokretanja sa zaraženog diska. U ovom slučaju, program za pokretanje sustava čita sadržaj prvog sektora diska s kojeg se pokreće, smješta pročitane informacije u memoriju i prenosi kontrolu na njega (tj. na virus). Nakon toga počinju se izvršavati upute virusa, što u pravilu smanjuje glasnoću slobodna memorija, kopira svoj kod u slobodni prostor i čita njegov nastavak s diska (ako postoji), presreće potrebne vektore prekida (obično INT 13H), čita izvorni boot sektor u memoriju i prenosi kontrolu na njega.
Nakon toga, boot virus se ponaša na isti način kao file virus: presreće zahtjeve operacijski sustav na diskove i zarazi ih, ovisno o određenim uvjetima, izvodi destruktivne radnje, izaziva zvučne efekte ili video efekte.
Glavna destruktivna djelovanja ovih virusa su:
· uništavanje informacija u sektorima disketa i tvrdih diskova;
· uklanjanje mogućnosti učitavanja operativnog sustava (zamrzavanje računala);
· iskrivljenje koda bootloadera;
· formatiranje disketa ili logičkih pogona tvrdog diska;
· blokiranje pristupa COM i LPT portovima;
· zamjena znakova pri ispisu tekstova;
· trzanje ekrana;
· mijenjanje oznake diska ili diskete;
· stvaranje klastera pseudo-failure;
· stvaranje zvučnih i/ili vizualnih efekata (na primjer, padanje
slova na ekranu);
· oštećenje podatkovnih datoteka;
· prikazivanje raznih poruka na ekranu;
· onesposobljavanje perifernih uređaja (na primjer, tipkovnice);
· mijenjanje palete zaslona;
· ispunjavanje ekrana suvišnim znakovima ili slikama;
· zatamnjivanje zaslona i prebacivanje u stanje pripravnosti za unos s tipkovnice;
· šifriranje sektora tvrdog diska;
· selektivno uništavanje znakova prikazanih na ekranu prilikom tipkanja s tipkovnice;
Smanjenje količine RAM-a;
· poziv za ispis sadržaja zaslona;
· blokiranje pisanja na disk;
· uništavanje particijske tablice diska, nakon čega se računalo može pokrenuti samo s diskete;
Počnite blokirati izvršne datoteke;
· blokiranje pristupa tvrdom disku.
|
Slika 3. Klasifikacija softverskih virusa i mrežnih crva
Većina virusa za pokretanje zapisuje se na diskete.
Metoda zaraze “prepisivanjem” je najjednostavnija: virus piše vlastiti kod umjesto koda zaražene datoteke, uništavajući njezin sadržaj. Naravno, u ovom slučaju datoteka prestaje raditi i ne vraća se. Takvi se virusi vrlo brzo otkrivaju jer operativni sustav i aplikacije dosta brzo prestaju raditi.
Kategorija "praćenje" uključuje viruse koji ne mijenjaju zaražene datoteke. Algoritam rada ovih virusa je da se za zaraženu datoteku kreira duplikat datoteke, a kada se zaražena datoteka pokrene, taj duplikat, odnosno virus, preuzima kontrolu. Najčešći popratni virusi su oni koji koriste značajku DOS-a za prvo pokretanje datoteka s nastavkom .COM ako postoje dvije datoteke u istom direktoriju s istim imenom, ali različitim nastavcima naziva - .COM i .EXE. Takvi virusi stvaraju satelitske datoteke za EXE datoteke koje imaju isti naziv, ali s nastavkom .COM, npr. za datoteku XCOPY.EXE stvara se datoteka XCOPY.COM. Virus se zapisuje u COM datoteku i ni na koji način ne mijenja EXE datoteku. Prilikom pokretanja takve datoteke DOS će prvo detektirati i pokrenuti COM datoteku, odnosno virus, koji će potom pokrenuti EXE datoteku. Drugu skupinu čine virusi koji kada su zaraženi preimenuju datoteku u neko drugo ime, zapamte je (za kasnije pokretanje host datoteke) i zapišu svoj kod na disk pod imenom zaražene datoteke. Na primjer, datoteka XCOPY.EXE je preimenovana u XCOPY.EXD, a virus je snimljen pod imenom XCOPY.EXE. Kada se pokrene, kontrola prima kod virusa, koji zatim pokreće izvorni XCOPY, pohranjen pod imenom XCOPY.EXD. Zanimljiva je činjenica da ovu metodučini se da radi na svim operativnim sustavima. U treću skupinu spadaju takozvani virusi “putnici”. Oni ili zapišu svoj kod pod imenom zaražene datoteke, ali “više” jednu razinu u propisanim stazama (DOS će tako prvi otkriti i pokrenuti datoteku virusa), ili pomaknu datoteku žrtve jedan poddirektorij više itd. .
Mogu postojati i druge vrste popratnih virusa koji koriste različite originalne ideje ili značajke drugih operativnih sustava.
Datotečni crvi su, u neku ruku, vrsta pratećeg virusa, ali ni na koji način ne povezuju svoju prisutnost s bilo kojom izvršnom datotekom. Kada se reproduciraju, jednostavno kopiraju svoj kod u neke direktorije na disku u nadi da će te nove kopije jednog dana pokrenuti korisnik. Ponekad ti virusi svojim kopijama daju "posebna" imena kako bi potaknuli korisnika da pokrene njihovu kopiju - na primjer, INSTALL.EXE ili WINSTART.BAT. Postoje virusi crvi koji koriste prilično neobične tehnike, na primjer, pisanje vlastitih kopija u arhive (ARJ, ZIP i drugi). Neki virusi zapisuju naredbu za pokretanje zaražene datoteke u BAT datotekama. File crve ne treba brkati s mrežnim crvima. Prvi koriste samo funkcije datoteka bilo kojeg operacijskog sustava, dok drugi koriste mrežne protokole za njihovu reprodukciju.
Link virusi, kao i popratni virusi, ne mijenjaju fizički sadržaj datoteka, ali kada se zaražena datoteka pokrene, oni "prisiljavaju" OS da izvrši svoj kod. Taj cilj postižu modificiranjem potrebnih polja datotečnog sustava.
Virusi koji zaraze biblioteke prevoditelja, objektne module i izvorni tekstovi programi su prilično egzotični i praktički nisu rašireni. Virusi koji zaraze OBJ i LIB datoteke upisuju svoj kod u njih u formatu objektnog modula ili biblioteke. Zaražena datoteka stoga nije izvršna i nije sposobna dalje širiti virus u svom trenutnom stanju. Nositelj "živog" virusa postaje COM ili EXE datoteka.
Nakon što je preuzeo kontrolu, file virus izvodi sljedeće opće radnje:
· provjerava RAM na prisutnost svoje kopije i inficira
memorija računala, ako kopija virusa nije pronađena (ako je virus rezidentni), traži nezaražene datoteke u trenutnom i (ili) korijenskom direktoriju skeniranjem stabla direktorija logičkih pogona, a zatim inficira otkrivene datoteke;
· obavlja dodatne (ako postoje) funkcije: destruktivnu
akcije, grafički ili zvučni efekti itd. ( dodatne funkcije rezidentni virusi mogu se pozvati neko vrijeme nakon aktivacije ovisno o trenutnom vremenu, konfiguraciji sustava, internim brojačima virusa ili drugim uvjetima; u ovom slučaju, kada se aktivira, virus obrađuje stanje sistemskog sata, postavlja svoje brojače itd.);
· vraća kontrolu glavnom programu (ako postoji).
Treba napomenuti da što se virus brže širi, to je veća vjerojatnost da će doći do epidemije ovog virusa; što se virus sporije širi, to ga je teže otkriti (osim, naravno, ako je ovaj virus nepoznat). Nerezidentni virusi često su "spori" - većina ih zarazi jednu ili dvije ili tri datoteke prilikom pokretanja i nemaju vremena zaraziti računalo prije pokretanja antivirusni program(ili izgled nova verzija antivirus konfiguriran za ovaj virus). Postoje, naravno, nerezidentni "brzi" virusi koji, kada se pokrenu, traže i zaraze sve izvršne datoteke, ali takvi su virusi vrlo uočljivi: kada se svaka zaražena datoteka pokrene, računalo aktivno radi s tvrdim diskom za neke (ponekad prilično dugo) vrijeme, koje demaskira virus. Brzina širenja (infekcije) rezidentnih virusa obično je veća nego kod nerezidentnih virusa - oni inficiraju datoteke kada im se pristupi. Kao rezultat, sve ili gotovo sve datoteke na disku koje se stalno koriste u radu postaju zaražene. Brzina širenja (infekcije) rezidentnih datotečnih virusa koji zaraze datoteke samo kada se pokreću na izvršenje bit će niža od one kod virusa koji zaraze datoteke i kada se otvaraju, preimenuju, mijenjaju atribute datoteke itd.
Dakle, glavne destruktivne akcije koje izvode datotečni virusi povezane su s oštećenjem datoteka (obično izvršnih ili podatkovnih datoteka), neovlaštenim pokretanjem raznih naredbi (uključujući naredbe za formatiranje, uništavanje, kopiranje itd.), promjenom tablice vektora prekida itd. U isto vrijeme, mnoge destruktivne radnje slične onima naznačenim za viruse za pokretanje također se mogu izvesti.
Makro virusi su programi napisani na jezicima (makrojezicima) ugrađenim u neke sustave za obradu podataka ( uređivači teksta, proračunske tablice itd.). Za reprodukciju, takvi virusi koriste mogućnosti makro jezika i uz njihovu pomoć se prenose iz jedne zaražene datoteke (dokumenta ili tablice) u druge. Najrašireniji su makro virusi za aplikacijske programske pakete Microsoft Office.
Da bi virusi postojali u određenom sustavu (editor), potrebno je imati makro jezik ugrađen u sustav sa sljedećim mogućnostima:
1) povezivanje programa u makro jeziku s određenom datotekom;
2) kopiranje makro programa iz jedne datoteke u drugu;
3) dobivanje kontrole nad makro programom bez intervencije korisnika (automatski ili standardni makroi).
Aplikacijski programi zadovoljavaju te uvjete Microsoft Word, Excel i Microsoft Access. Sadrže makro jezike: Word Basic, Visual Basic za aplikacije. pri čemu:
1) makro programi su vezani za određenu datoteku ili se nalaze unutar datoteke;
2) makro jezik vam omogućuje kopiranje datoteka ili premještanje makro programa u sistemske servisne datoteke i datoteke koje je moguće uređivati;
3) pri radu s datotekom pod određenim uvjetima (otvaranje, zatvaranje i sl.) pozivaju se makro programi (ako postoje) koji su definirani na poseban način ili imaju standardna imena.
Ova značajka makro jezici dizajnirani su za automatsku obradu podataka u velikim organizacijama ili u globalnim mrežama i omogućuju vam organiziranje takozvanog "automatiziranog protoka dokumenata". S druge strane, mogućnosti makro jezika takvih sustava omogućuju virusu da prenese svoj kod u druge datoteke i tako ih zarazi.
Većina makro virusa nije aktivna samo u trenutku otvaranja (zatvaranja) datoteke, već sve dok je aktivan sam uređivač. Sadrže sve svoje funkcije kao standardne Word/Excel/Office makronaredbe. Međutim, postoje virusi koji koriste tehnike za skrivanje svog koda i pohranjuju svoj kod u obliku ne-makronaredbi. Postoje tri poznate tehnike, od kojih sve koriste sposobnost makronaredbi za stvaranje, uređivanje i izvršavanje drugih makronaredbi. Takvi virusi u pravilu imaju mali (ponekad polimorfni) program za učitavanje makroa virusa, koji poziva ugrađeni uređivač makroa, kreira novi makro, popunjava ga glavnim kodom virusa, izvršava ga i zatim ga, u pravilu, uništava. (za skrivanje tragova virusa). Glavni kod takvih virusa prisutan je ili u samoj makronaredbi virusa u obliku tekstualni nizovi(ponekad šifrirano), ili pohranjeno u varijabilnom području dokumenta.
Mrežni virusi uključuju viruse koji aktivno koriste protokole i mogućnosti lokalnih i globalne mreže. Glavno načelo rada mrežnog virusa je sposobnost samostalnog prijenosa koda udaljeni poslužitelj ili radna stanica. "Punopravni" mrežni virusi također imaju mogućnost pokretanja svog koda udaljeno računalo ili barem "pogurati" korisnika da pokrene zaraženu datoteku.
Zlonamjerni programi koji omogućuju neovlašteni pristup mogu biti:
· programi za odabir i otvaranje lozinki;
· programe koji implementiraju prijetnje;
· programe koji pokazuju korištenje nedeklariranih mogućnosti ISPD softvera i hardvera;
· programi za generiranje računalnih virusa;
· programi koji pokazuju sigurnosne propuste
informacija itd.
Kako softver postaje složeniji i raznovrsniji, broj zlonamjernog softvera brzo raste. Danas je poznato više od 120 tisuća potpisa računalnih virusa. Međutim, ne predstavljaju svi stvarnu prijetnju. U mnogim slučajevima, uklanjanje ranjivosti u sustavu ili aplikaciji softver doveli su do činjenice da niz zlonamjernih programa više ne može prodrijeti u njih. Novi malware često predstavlja glavnu prijetnju.
Klasifikacija prekršitelja
Ovisno o pripadnosti ISPD-u, svi prekršitelji podijeljeni su u dvije skupine:
Vanjski prekršitelji su osobe koje nemaju pravo boravka na području kontrolirane zone unutar koje se nalazi ISPD oprema;
Interni prekršitelji su osobe koje imaju pravo boraviti na području kontrolirane zone unutar koje se nalazi ISPD oprema.
Vanjski uljez
Kao vanjski uljez sigurnost informacija, uljezom se smatra onaj koji nema izravan pristup tehničkim sredstvima i resursima sustava koji se nalaze unutar kontroliranog prostora.
Pretpostavlja se da vanjski uljez ne može utjecati na zaštićene podatke tehničkih kanala curenja, budući da je količina informacija pohranjenih i obrađenih u ISPD-u nedovoljna da eventualno motivira vanjskog uljeza da provede radnje usmjerene na curenje informacija kroz kanale tehničkog curenja.
Pretpostavlja se da vanjski uljez može utjecati na zaštićenu informaciju samo tijekom njezinog prijenosa komunikacijskim kanalima.
Uljez unutra
Sposobnosti unutarnjeg počinitelja uvelike ovise o ograničavajućim čimbenicima koji djeluju unutar kontrolirane zone, od kojih je glavni provedba niza organizacijskih i tehničkih mjera, uključujući odabir, postavljanje i pružanje visoke stručne osposobljenosti osoblja, prijem pojedinaca unutar nadzorovanog prostora i nadzor nad postupkom izvođenja radova u cilju sprječavanja i suzbijanja neovlaštenog pristupa.
ISPDn sustav kontrole pristupa osigurava razlikovanje prava korisnika na pristup informacijama, softveru, hardveru i drugim ISPDn resursima u skladu s usvojenom politikom (pravilima) informacijske sigurnosti. Interni prekršitelji mogu uključivati (tablica):
Administratori specifičnih podsustava ili ISPD baza podataka (kategorija II);
Korisnici koji su vanjski u odnosu na određeni AS (kategorija IV);
Osobe s mogućnošću pristupa sustavu prijenosa podataka (V. kategorija);
Zaposlenici zdravstvenih ustanova koji imaju odobren pristup u službene svrhe prostorijama u kojima se nalaze elementi ISPD-a, ali nemaju pravo pristupa istima (VI. kategorija);
Uslužno osoblje (zaštitari, inženjersko-tehnički radnici, itd.) (kategorija VII);
Ovlašteno osoblje ISPD programera koji na ugovornoj osnovi imaju pravo održavati i mijenjati ISPD komponente (kategorija VIII).
Osobama I. i II. kategorije povjeravaju se poslovi administriranja softvera i hardvera te ISPD baza podataka za integraciju i osiguranje interakcije različitih podsustava koji su dio ISPD-a. Administratori mogu potencijalno implementirati informacijske sigurnosne prijetnje korištenjem mogućnosti izravnog pristupa zaštićenim informacijama koje se obrađuju i pohranjuju u ISPD-u, kao i hardveru i softveru ISPD-a, uključujući sigurnosne alate koji se koriste u određenim AS-ovima, u skladu s administrativnim ovlastima uspostavljena za njih.
Ove osobe su upoznate s osnovnim algoritmima, protokolima implementiranim i korištenim u određenim podsustavima i ISPD općenito, kao i s primijenjenim sigurnosnim načelima i konceptima.
Pretpostavlja se da bi mogli koristiti standardna oprema bilo za prepoznavanje ranjivosti ili za implementaciju prijetnji informacijskoj sigurnosti. Ova oprema može biti dio standardne opreme ili može biti lako dostupna (na primjer, softver dobiven iz javno dostupnih vanjskih izvora).
Osim toga, pretpostavlja se da bi te osobe mogle imati specijalizirana oprema.
Osobe I. i II. kategorije, s obzirom na njihovu isključivu ulogu u ISPD-u, trebale bi podlijegati skupu posebnih organizacijskih i režimskih mjera za njihov izbor, zapošljavanje, postavljenje na radna mjesta i praćenje obavljanja funkcionalnih dužnosti.
Pretpostavlja se da će samo osobe od povjerenja biti uključene u broj osoba kategorije I i II, te su stoga te osobe isključene s popisa vjerojatnih prekršitelja.
Pretpostavlja se da su prekršitelji vjerojatno osobe iz kategorije III-VIII.
Sposobnosti insajdera značajno ovise o
od snaga sigurnosti koje djeluju unutar kontrolirane zone
te organizacijske i tehničke mjere zaštite, uključujući pristup pojedinaca osobnim podacima i kontrolu postupka obavljanja poslova.
Interni potencijalni prekršitelji podijeljeni su u osam kategorija ovisno o načinu pristupa i ovlastima pristupa osobnim podacima.
Neophodan zadatak za pisce virusa i kibernetičke kriminalce je uvesti virus, crv ili trojanac u žrtvino računalo ili mobitel. Ovaj cilj se ostvaruje različiti putevi, koji spadaju u dvije glavne kategorije:
- društveni inženjering (koristi se i izraz "socijalni inženjering" - paus papir od engleskog "social engineering");
- tehničke metode unošenja zlonamjernog koda u zaraženi sustav bez znanja korisnika.
Često se ove metode koriste istovremeno. Istodobno se često koriste i posebne mjere za suzbijanje antivirusnih programa.
Socijalni inženjering
Metode društvenog inženjeringa nekako tjeraju korisnika da pokrene zaraženu datoteku ili otvori poveznicu na zaraženu web stranicu. Ove metode koriste ne samo brojni crvi e-pošte, već i druge vrste zlonamjernog softvera.
Zadatak hakera i pisaca virusa je privući pozornost korisnika na zaraženu datoteku (ili HTTP poveznicu na zaraženu datoteku), zainteresirati korisnika i natjerati ga da klikne na datoteku (ili poveznicu na datoteku) . “Klasik žanra” je e-mail crv LoveLetter koji je bio senzacionalan u svibnju 2000. godine, a prema podacima Computer Economicsa i dalje je vodeći po razmjerima prouzročene financijske štete. Poruka koju je crv prikazao na ekranu izgledala je ovako:
Mnogi su ljudi reagirali na priznanje "VOLIM TE", a kao rezultat toga poslužitelji e-pošte velikih kompanija nisu mogli izdržati opterećenje - crv je slao svoje kopije svim kontaktima u adresaru svaki put kada bi se otvorila priložena VBS datoteka .
Poštanski crv Mydoom, koji je eksplodirao na internetu u siječnju 2004., koristio je tekstove koji su oponašali tehničke poruke s poslužitelja pošte.
Vrijedi spomenuti i crv Swen, koji se predstavljao kao Microsoftova poruka i maskirao se kao zakrpa koja je eliminirala brojne nove ranjivosti u Windowsima (ne čudi da su mnogi korisnici podlegli pozivu da instaliraju “još jednu Microsoftovu zakrpu” ”).
Postoje i incidenti, od kojih se jedan dogodio u studenom 2005. U jednoj od verzija crva Sober objavljeno je da njemačka kriminalistička policija istražuje slučajeve posjećivanja ilegalnih web stranica. Ovo pismo završilo je u rukama dječjeg pornografa koji ga je zamijenio za službeno pismo i poslušno se predao vlastima.
U posljednje vrijeme posebnu popularnost nisu stekle datoteke priložene e-pošti, već poveznice na datoteke koje se nalaze na zaraženom web mjestu. Poruka se šalje potencijalnoj žrtvi - poštom, putem ICQ-a ili drugog dojavljivača, ili rjeđe - putem internetskih chatova IRC (u slučaju mobilnih virusa, uobičajeni način dostave je SMS poruka). Poruka sadrži atraktivan tekst koji mami korisnika koji ništa ne sumnja da klikne na poveznicu. Ova metoda prodor u žrtvena računala daleko je najpopularnija i najučinkovitija metoda jer vam omogućuje zaobilaženje antivirusnih filtara na poslužiteljima pošte.
Također se koriste mogućnosti mreža za dijeljenje datoteka (P2P mreže). Crv ili trojanac postavljen je na P2P mrežu pod raznim ukusnim imenima, na primjer:
- AIM & AOL Password Hacker.exe
- Microsoft CD Key Generator.exe
- PornStar3D.exe
- play station emulator crack.exe
U potrazi za novim programima, korisnici P2P mreža nailaze na ova imena, preuzimaju datoteke i pokreću ih na izvršenje.
“Prevare” su također prilično popularne, kada se žrtvi daje besplatan uslužni program ili upute za hakiranje raznih sustavi plaćanja. Na primjer, oni nude dobiti besplatan pristup na Internet ili mobilni operater, preuzmite generator brojeva kreditnih kartica, povećajte količinu novca u osobnom internetskom novčaniku itd. Naravno, žrtve takve prijevare vjerojatno neće kontaktirati agencije za provođenje zakona (uostalom, zapravo su i sami pokušali zaraditi novac na lažne načine), a internetski kriminalci to u potpunosti iskorištavaju.
Nepoznati napadač iz Rusije upotrijebio je neobičnu metodu prijevare 2005.-2006. Trojanski program poslan je na adrese pronađene na web stranici job.ru, specijaliziranoj za zapošljavanje i traženje osoblja. Neki od onih koji su ondje objavili svoje životopise navodno su dobili ponudu za posao s dosjeom u prilogu pisma kojeg su morali otvoriti i upoznati se s njegovim sadržajem. Datoteka je, naravno, bila trojanski konj. Zanimljivo je i da je napad izveden uglavnom na korporativne poštanske adrese. Izračun se očito temeljio na činjenici da zaposlenici tvrtke vjerojatno neće prijaviti izvor infekcije. I tako se dogodilo - stručnjaci Kaspersky Laba više od šest mjeseci nisu mogli dobiti jasne informacije o načinu prodiranja trojanskog programa u korisnička računala.
Postoje i sasvim egzotični slučajevi, primjerice pismo s priloženim dokumentom u kojem se od klijenta banke traži da potvrdi (ili bolje rečeno javi) svoje pristupne šifre - isprintajte dokument, ispunite priloženi obrazac i zatim ga faksirajte na broj telefona naveden u pismu.
Još jedna neobična kutija za dostavu špijunski softver“kući” dogodila se u Japanu u jesen 2005. Neki su napadači slali CD-ove zaražene trojanskim špijunskim softverom na kućne adrese (grad, ulica, kuća) klijenata jedne od japanskih banaka. U ovom slučaju korišteni su podaci iz ranije ukradene baze klijenata upravo ove banke.
Tehnologije implementacije
Ove tehnologije napadači koriste za ubacivanje zlonamjernog koda u sustav bez privlačenja pozornosti vlasnika računala. To se postiže kroz sigurnosne propuste u operativnim sustavima i softveru. Prisutnost ranjivosti omogućuje mrežnom crvu ili trojanskom programu koji je proizveo napadač da prodre u žrtvino računalo i pokrene se za izvršenje.
Ranjivosti su zapravo greške u kodu ili u logici rada raznih programa. Moderni operacijski sustavi i aplikacije imaju složenu strukturu i široku funkcionalnost te je jednostavno nemoguće izbjeći pogreške u njihovom dizajnu i razvoju. To je ono što pisci virusa i računalni napadači iskorištavaju.
Ranjivosti u mail klijenti Korišten Outlook poštanski crvi Nimda i Aliz. Za pokretanje datoteke crva bilo je dovoljno otvoriti zaraženo pismo ili jednostavno prijeći pokazivačem iznad njega u prozoru za pregled.
Malware je također aktivno iskorištavao ranjivosti u mrežnim komponentama operativnih sustava. Za širenje takvih ranjivosti korišteni su crvi CodeRed, Sasser, Slammer, Lovesan (Blaster) i mnogi drugi crvi koji rade pod Windowsima. Linux sustavi također su bili napadnuti - crvi Ramen i Slapper prodrli su u računala kroz ranjivosti u ovom operativnom okruženju i aplikacijama za njega.
Posljednjih godina jedna od najpopularnijih metoda zaraze bilo je ubacivanje zlonamjernog koda putem web stranica. Ovo često iskorištava ranjivosti u internetskim preglednicima. Zaražena datoteka i skriptni program koji iskorištava ranjivost u pregledniku postavljaju se na web stranicu. Kada korisnik posjeti zaraženu stranicu, pokreće se skriptni program koji, putem ranjivosti, preuzima zaraženu datoteku na računalo i tamo je pokreće na izvršenje. Kao rezultat toga, da bi se zarazio veliki broj računala, dovoljno je namamiti što više korisnika na takvu web stranicu. To se postiže na različite načine, na primjer, slanjem neželjene pošte s naznakom adrese stranice, slanjem sličnih poruka putem internetskih pagera, ponekad se za to koriste čak i tražilice. Zaražena stranica sadrži raznovrstan tekst koji tražilice prije ili kasnije izračunaju - a poveznica na tu stranicu pojavljuje se na popisu drugih stranica u rezultatima pretraživanja.
Zasebna klasa su trojanski programi koji su dizajnirani za preuzimanje i pokretanje drugih trojanskih programa. Obično se ovi trojanci, koji su vrlo male veličine, na ovaj ili onaj način (na primjer, korištenjem druge ranjivosti u sustavu) "skliznu" na žrtvino računalo, a zatim samostalno preuzmu s interneta i instaliraju druge zlonamjerne komponente u sustav. Takvi trojanski programi često mijenjaju postavke preglednika na najnesigurnije kako bi "olakšali put" drugim trojancima.
Ranjivosti koje postanu poznate razvojne tvrtke brzo ispravljaju, ali stalno se pojavljuju informacije o novim ranjivostima koje odmah počinju koristiti brojni hakeri i pisci virusa. Mnogi trojanski “botovi” koriste nove ranjivosti kako bi povećali svoj broj, a nove greške u Microsoft Officeu odmah se počinju koristiti za uvođenje novih trojanskih programa u računala. Istovremeno, nažalost, postoji tendencija skraćivanja vremenskog intervala između pojave informacija o sljedećoj ranjivosti i početka njezine upotrebe od strane crva i trojanaca. Kao rezultat toga, ranjive softverske tvrtke i razvijači antivirusnog softvera nalaze se pod vremenskim pritiskom. Prvi trebaju popraviti grešku što je brže moguće, testirati rezultat (obično zvan “patch” ili “patch”) i distribuirati ga korisnicima, a drugi trebaju odmah objaviti alat za otkrivanje i blokiranje objekata (datoteke, mrežni paketi) koji iskorištavaju ranjivost.
Istovremena uporaba implementacijskih tehnologija i metoda društvenog inženjeringa
Vrlo često računalni napadači koriste obje metode odjednom. Metoda socijalnog inženjeringa je privući pozornost potencijalne žrtve, a tehnička metoda je povećati vjerojatnost da zaraženi objekt prodre u sustav.
Na primjer, crv pošte Mimail distribuiran je kao privitak elektronička pošta. Kako bi korisnik obratio pozornost na pismo, u njega je umetnut posebno dizajniran tekst, a kako bi se pokrenula kopija crva iz ZIP arhive priložene uz pismo, ranjivost u pregledniku Internet Explorer. Kao rezultat toga, prilikom otvaranja datoteke iz arhive, crv je napravio svoju kopiju na disku i pokrenuo je na izvršenje bez ikakvih sistemskih upozorenja ili dodatne akcije korisnik. Inače, ovaj crv je bio jedan od prvih dizajniran za krađu osobnih podataka korisnika internetskih novčanika sustava e-gold.
Drugi primjer je slanje neželjene pošte s naslovom “Pozdrav” i tekstom “Vidi što pišu o tebi”. Nakon teksta slijedila je poveznica na web stranicu. Analizom se pokazalo da se na ovoj web stranici nalazi skriptni program koji, koristeći još jednu ranjivost u Internet Exploreru, na korisnikovo računalo preuzima trojanski program LdPinch, namijenjen krađi raznih lozinki.
Suprotstavljanje antivirusnim programima
Budući da je cilj računalnih napadača infiltracija zlonamjerni kod u žrtvi računala, onda da bi to učinili ne trebaju samo prisiliti korisnika da pokrene zaraženu datoteku ili da prodre u sustav kroz neku vrstu ranjivosti, već i da se provuče pored instaliranog antivirusnog filtra. Stoga ne čudi da napadači namjerno ciljaju na antivirusne programe. Tehnike koje koriste vrlo su različite, ali najčešće su sljedeće:
Pakiranje i šifriranje koda. Značajan dio (ako ne i većina) modernih računalnih crva i trojanskih konja pakirani su ili šifrirani na ovaj ili onaj način. Štoviše, računalno podzemlje stvara alate za pakiranje i šifriranje posebno dizajnirane za tu svrhu. Na primjer, apsolutno sve datoteke pronađene na Internetu koje su obradili uslužni programi CryptExe, Exeref, PolyCrypt i neki drugi pokazali su se zlonamjernim.
Da bi otkrili takve crve i trojance, antivirusni programi moraju ili dodati nove metode raspakiranja i dešifriranja ili dodati potpise svakom uzorku zlonamjernog softvera, što smanjuje kvalitetu otkrivanja, budući da ne završe uvijek svi mogući uzorci modificiranog koda u rukama antivirusna tvrtka.
Mutacija koda. Razrjeđivanje trojanskog koda "junk" uputama. Kao rezultat toga, funkcionalnost trojanskog programa je sačuvana, ali se njegov "izgled" značajno mijenja. Povremeno postoje slučajevi kada se mutacija koda događa u stvarnom vremenu - svaki put kada se trojanski program preuzme sa zaražene web stranice. Oni. svi ili značajan dio uzoraka trojanaca koji dospijevaju na računala s takvog mjesta su različiti. Primjer korištenja ove tehnologije je crv elektroničke pošte Warezov, čije je nekoliko inačica izazvalo značajne epidemije u drugoj polovici 2006. godine.
Skrivanje vaše prisutnosti. Takozvane "rootkit tehnologije" (od engleskog "rootkit"), koje se obično koriste u trojanskim programima. Funkcije sustava se presreću i zamjenjuju, zahvaljujući čemu zaražena datoteka nije vidljiva nikome. redovnim sredstvima operativni sustav ili antivirusni programi. Ponekad su skriveni i ogranci registra u kojima je registrirana kopija trojanca, te druga područja sustava računala. Ove tehnologije aktivno koristi, na primjer, HacDef backdoor trojanac.
Zaustavljanje antivirusa i sustava za primanje ažuriranja antivirusne baze (updates). Mnogi trojanci i mrežni crvi pokušavaju posebne akcije protiv antivirusnih programa - traže ih na popisu aktivnih aplikacija i pokušavaju zaustaviti njihov rad, pokvariti antivirusne baze podataka podatke, blokirati primanje ažuriranja itd. Antivirusni programi moraju se zaštititi na adekvatan način - nadzirati integritet baza podataka, sakriti svoje procese od trojanaca itd.
Skrivanje vašeg koda na web stranicama. Adrese web stranica koje sadrže trojanske datoteke prije ili kasnije postanu poznate antivirusnim tvrtkama. Naravno, takve stranice su pod velikom pažnjom antivirusnih analitičara - sadržaj stranice se povremeno preuzima, unose se nove verzije trojanskih programa. antivirusna ažuriranja. Kako bi se to spriječilo, web stranica se modificira na poseban način - ako zahtjev dolazi s adrese antivirusne tvrtke, tada se umjesto trojanske datoteke preuzima neka datoteka koja nije trojanska.
Napad brojevima. Generiranje i distribucija na Internetu velikog broja novih verzija trojanskih programa u kratkom vremenskom razdoblju. Kao rezultat toga, antivirusne tvrtke su preplavljene novim uzorcima za koje je potrebno vrijeme da se analiziraju, dajući zlonamjernom kodu dodatnu priliku da se uspješno infiltrira u računala.
Ove i druge metode koristi računalo u podzemlju za suzbijanje antivirusnih programa. Istovremeno, aktivnost kibernetičkih kriminalaca raste iz godine u godinu i sada možemo govoriti o pravoj “tehnološkoj utrci” koja se odvija između antivirusne industrije i industrije virusa. Istodobno raste broj pojedinačnih hakera i kriminalnih skupina, kao i njihova profesionalnost. Sve to zajedno značajno povećava složenost i količinu posla koju antivirusne tvrtke zahtijevaju da razviju dovoljnu razinu zaštite.
Prijetnja leži u želji da se na ISPD hostu pokrenu razni unaprijed instalirani maliciozni programi: programi za označavanje, virusi, „mrežni špijuni“, čija je glavna svrha narušavanje povjerljivosti, integriteta, dostupnosti informacija i potpune kontrole nad rad hosta. Osim toga, moguće je neovlašteno pokretanje korisničkih aplikacijskih programa radi dobivanja neovlaštenih podataka potrebnih uljezu, pokretanja procesa nadziranih aplikacijskim programom i sl.
Postoje tri podklase ovih prijetnji:
Distribucija datoteka koje sadrže neovlašteni izvršni kod;
Udaljeno pokretanje aplikacije prekoračenjem međuspremnika aplikacijskih poslužitelja;
Pokrenite aplikaciju daljinski pomoću značajki daljinski upravljač sustav osiguran skrivenim softverskim i hardverskim knjižnim oznakama ili korišten standardnim alatima.
Tipične prijetnje prve od ovih podklasa temelje se na aktiviranju distribuiranih datoteka kada im se slučajno pristupi. Primjeri takvih datoteka uključuju: datoteke koje sadrže izvršni kod u obrascu dokumente koji sadrže izvršni kod u obrascu ActiveX kontrole, Java appleti, interpretirane skripte (na primjer, JavaScript tekstovi); datoteke koje sadrže izvršne programske kodove. Usluge se mogu koristiti za distribuciju datoteka E-mail, prijenos datoteka, mrežni datotečni sustav.
Prijetnje druge potklase iskorištavaju nedostatke programa koji implementiraju mrežne usluge(osobito, nedostatak kontrole prekoračenja međuspremnika). Podešavanjem sistemskih registara, ponekad je moguće prebaciti procesor nakon prekida uzrokovanog prekoračenjem međuspremnika da izvrši kod koji se nalazi izvan granice međuspremnika. Primjer provedbe takve prijetnje je uvođenje dobro poznatog “Morris virusa”.
Kod prijetnji treće podklase uljez koristi mogućnosti daljinske kontrole sustava koju pružaju skrivene komponente (primjerice, trojanski programi poput Back.Orifice, Net Bus), ili standardne alate za upravljanje i administraciju računalnih mreža (Landesk Management Suite, Upravljanje, stražnji otvor, itd.). Njihovom uporabom moguće je postići daljinsko upravljanje stanicom na mreži.
malo je vjerojatno.
Opći popis vjerojatnosti realizacije prijetnji za različiti tipovi ISPDn je prikazan u tablici 12.
Tablica 12
Prijetnje zlonamjernih programa koji se uvode putem mreža
Zlonamjerni programi uvedeni preko mreže uključuju viruse koji aktivno koriste protokole i mogućnosti lokalnih i globalnih mreža za širenje. Glavno načelo rada mrežnog virusa je mogućnost samostalnog prijenosa koda na udaljeni poslužitelj ili radnu stanicu. “Punopravni” mrežni virusi također imaju mogućnost pokretanja svog koda na udaljenom računalu ili, barem, “guranja” korisnika da pokrene zaraženu datoteku.
Zlonamjerni programi koji omogućuju neovlašteni pristup mogu biti:
Programi za odabir i otvaranje lozinki;
Programi koji implementiraju prijetnje;
Programi koji demonstriraju korištenje nedeklariranih mogućnosti ISPD softvera i hardvera;
Programi za generiranje računalnih virusa;
Programi koji pokazuju ranjivosti alata za informacijsku sigurnost itd.
Ako se PD koji obrađuje Ustanova ne šalje preko mreža uobičajena uporaba i međunarodna razmjena, uspostavljena antivirusna zaštita, tada je vjerojatnost realizacije prijetnje malo je vjerojatno.
U svim drugim slučajevima mora se procijeniti vjerojatnost realizacije prijetnje.
Generalizirani popis vjerojatnosti realizacije prijetnji za različite vrste informacijskih sustava prikazan je u tablici 13.
Tablica 13
Izvedivost prijetnji
Na temelju rezultata procjene razine sigurnosti (Y 1) (odjeljak 7) i vjerojatnosti realizacije prijetnje (Y 2) (odjeljak 9), izračunava se koeficijent izvedivosti prijetnje (Y) i mogućnost prijetnje koji se ostvaruje (tablica 4). Koeficijent izvedivosti prijetnje Y bit će određen omjerom Y = (Y 1 + Y 2)/20
Izvedivost prijetnji utvrđuje se na temelju Izvješća o rezultatima unutarnje revizije.
Generalizirani popis procjene izvedivosti UBPDn za različite tipove ISPDn prikazan je u tablicama 14-23.
Tablica 14 – Autonomni IC tipa I
| Vrsta PD sigurnosnih prijetnji | Mogućnost realizacije | |
| 0,25 | nizak | |
| 0,25 | nizak | |
| 0,25 | nizak | |
| 2.1.1. krađa računala | 0,25 | nizak |
| 0,25 | nizak | |
| 0,25 | nizak | |
| 0,25 | nizak | |
| 0,25 | nizak | |
| 0,25 | nizak | |
| 0,25 | nizak | |
| 0,35 | prosjek | |
| 0,25 | nizak | |
| 0,25 | nizak | |
| 0,35 | prosjek | |
| 0,25 | nizak | |
| 0,25 | nizak | |
| 0,25 | nizak | |
| 0,25 | nizak | |
| 2.3.6. Katastrofa | 0,25 | nizak |
| 0,25 | nizak | |
| 0,35 | prosjek | |
| 0,25 | nizak | |
| 0,25 | nizak | |
| 0,25 | nizak | |
| 0,25 | nizak | |
| 0,25 | nizak | |
| 0,25 | nizak | |
| 0,25 | nizak | |
| 0,25 | nizak | |
| 0,25 | nizak | |
| 0,25 | nizak | |
| 0,25 | nizak |
Tablica 15 - Autonomni IC tipa II
| Vrsta PD sigurnosnih prijetnji | Faktor izvedivosti prijetnje (Y) | Mogućnost realizacije |
| 1. Prijetnje od curenja kroz tehničke kanale. | ||
| 1.1. Prijetnje od curenja akustičkih informacija | 0,25 | nizak |
| 1.2. Prijetnje od curenja informacija o vrsti | 0,25 | nizak |
| 1.3. Prijetnje curenjem informacija putem PEMIN kanala | 0,25 | nizak |
| 2. Prijetnje neovlaštenim pristupom informacijama. | ||
| 2.1. Prijetnje uništenjem, krađom ISPD hardvera i nositelja informacija fizičkim pristupom ISPD elementima | ||
| 2.1.1. krađa računala | 0,25 | nizak |
| 2.1.2. Medijska krađa | 0,25 | nizak |
| 2.1.3. Krađa ključeva i pristupnih atributa | 0,25 | nizak |
| 2.1.4. Krađa, modifikacija, uništavanje informacija | 0,25 | nizak |
| 2.1.5. Kvar PC čvorova i komunikacijskih kanala | 0,25 | nizak |
| 2.1.6. Neovlašteni pristup informacijama kada održavanje(popravak, uništavanje) PC jedinica | 0,25 | nizak |
| 2.1.7. Neovlašteno onemogućavanje sigurnosnih mjera | 0,25 | nizak |
| 2.2. Prijetnje krađe, neovlaštene izmjene ili blokiranja informacija zbog neovlaštenog pristupa (UNA) korištenjem softvera, hardvera i softver(uključujući programske i matematičke utjecaje). | ||
| 2.2.1. Radnje zlonamjernog softvera (virusi) | 0,35 | prosjek |
| 2.2.2. Nedeklarirane mogućnosti sistemskog softvera i softvera za obradu osobnih podataka | 0,25 | nizak |
| 2.2.3. Instalacija softvera koji nije povezan s obavljanjem službenih dužnosti | 0,25 | nizak |
| 2.3. Prijetnje nenamjernim radnjama korisnika i kršenjem sigurnosti funkcioniranja ISPDn i SZPDn u njegovom sastavu zbog kvarova u softveru, kao i od neantropogenih prijetnji (kvarovi hardvera zbog nepouzdanosti elemenata, nestanka struje) i prirodnih ( udari groma, požari, poplave itd.) karakter. | ||
| 2.3.1. Gubitak ključeva i atributa pristupa | 0,35 | prosjek |
| 2.3.2. Nenamjerna izmjena (uništavanje) informacija od strane zaposlenika | 0,25 | nizak |
| 2.3.3. Nenamjerno onemogućavanje sigurnosnih značajki | 0,25 | nizak |
| 2.3.4. Kvar hardvera i softvera | 0,25 | nizak |
| 2.3.5. Nestanak struje | 0,25 | nizak |
| 2.3.6. Katastrofa | 0,25 | nizak |
| 2.4. Prijetnje namjernih radnji insajdera | ||
| 2.4.1. Pristup informacijama, izmjena, uništavanje osoba koje ih ne smiju obrađivati | 0,25 | nizak |
| 2.4.2. Otkrivanje informacija, izmjena, uništavanje od strane zaposlenika ovlaštenih za njihovu obradu | 0,35 | prosjek |
| 2.5. Prijetnje neovlaštenim pristupom putem komunikacijskih kanala. | ||
| 2.5.1. Prijetnja "Analiza mrežnog prometa" s presretanjem informacija koje se prenose iz ISPD-a i primaju iz vanjskih mreža: | ||
| 2.5.1.1. Presretanje izvan kontroliranog područja | 0,35 | prosjek |
| 2.5.1.2. Presretanje unutar kontroliranog područja od strane vanjskih uljeza | 0,25 | nizak |
| 2.5.1.3. Presretanje unutar kontroliranog područja od strane unutarnjih prekršitelja. | 0,25 | nizak |
| 2.5.2. Skeniranje prijetnji usmjerenih na identifikaciju tipa ili tipova korištenih operativnih sustava, mrežnih adresa ISPD radnih stanica, mrežne topologije, otvorenih priključaka i usluga, otvorenih veza itd. | 0,25 | nizak |
| 2.5.3 Prijetnje otkrivanjem lozinki preko mreže | 0,35 | prosjek |
| 2.5.4 Prijetnje nametanjem lažne mrežne rute | 0,25 | nizak |
| 2.5.5 Prijetnje zamjenom pouzdanog objekta na mreži | 0,25 | nizak |
| 2.5.6. Prijetnje uvođenjem lažnog objekta u ISDN iu vanjske mreže | 0,25 | nizak |
| 2.5.7. Prijetnje uskraćivanjem usluge | 0,25 | nizak |
| 2.5.8. Prijetnje daljinskog pokretanja aplikacije | 0,35 | prosjek |
| 2.5.9 Prijetnje zlonamjernih programa koji se uvode preko mreže | 0,35 | prosjek |
Tablica 16 - Autonomni IC tipa III
| Vrsta PD sigurnosnih prijetnji | Faktor izvedivosti prijetnje (Y) | Mogućnost realizacije |
| 1. Prijetnje od curenja kroz tehničke kanale. | ||
| 1.1. Prijetnje od curenja akustičkih informacija | 0,25 | nizak |
| 1.2. Prijetnje od curenja informacija o vrsti | 0,25 | nizak |
| 1.3. Prijetnje curenjem informacija putem PEMIN kanala | 0,25 | nizak |
| 2. Prijetnje neovlaštenim pristupom informacijama. | ||
| 2.1. Prijetnje uništenjem, krađom ISPD hardvera i nositelja informacija fizičkim pristupom ISPD elementima | ||
| 2.1.1. krađa računala | 0,25 | nizak |
| 2.1.2. Medijska krađa | 0,25 | nizak |
| 2.1.3. Krađa ključeva i pristupnih atributa | 0,25 | nizak |
| 2.1.4. Krađa, modifikacija, uništavanje informacija | 0,25 | nizak |
| 2.1.5. Kvar PC čvorova i komunikacijskih kanala | 0,25 | nizak |
| 2.1.6. Neovlašteni pristup informacijama tijekom održavanja (popravak, uništavanje) PC čvorova | 0,25 | nizak |
| 2.1.7. Neovlašteno onemogućavanje sigurnosnih mjera | 0,25 | nizak |
| 2.2. Prijetnje krađe, neovlaštene izmjene ili blokiranja informacija zbog neovlaštenog pristupa (UNA) korištenjem softvera, hardvera i softvera (uključujući softver i matematičke utjecaje). | ||
| 2.2.1. Radnje zlonamjernog softvera (virusi) | 0,35 | prosjek |
| 2.2.2. Nedeklarirane mogućnosti sistemskog softvera i softvera za obradu osobnih podataka | 0,25 | nizak |
| 2.2.3. Instalacija softvera koji nije povezan s obavljanjem službenih dužnosti | 0,25 | nizak |
| 2.3. Prijetnje nenamjernim radnjama korisnika i kršenjem sigurnosti funkcioniranja ISPDn i SZPDn u njegovom sastavu zbog kvarova u softveru, kao i od neantropogenih prijetnji (kvarovi hardvera zbog nepouzdanosti elemenata, nestanka struje) i prirodnih ( udari groma, požari, poplave itd.) karakter. | ||
| 2.3.1. Gubitak ključeva i atributa pristupa | 0,35 | prosjek |
| 2.3.2. Nenamjerna izmjena (uništavanje) informacija od strane zaposlenika | 0,25 | nizak |
| 2.3.3. Nenamjerno onemogućavanje sigurnosnih značajki | 0,25 | nizak |
| 2.3.4. Kvar hardvera i softvera | 0,25 | nizak |
| 2.3.5. Nestanak struje | 0,25 | nizak |
| 2.3.6. Katastrofa | 0,25 | nizak |
| 2.4. Prijetnje namjernih radnji insajdera | ||
| 2.4.1. Pristup informacijama, izmjena, uništavanje osoba koje ih ne smiju obrađivati | 0,25 | nizak |
| 2.4.2. Otkrivanje informacija, izmjena, uništavanje od strane zaposlenika ovlaštenih za njihovu obradu | 0,35 | prosjek |
| 2.5. Prijetnje neovlaštenim pristupom putem komunikacijskih kanala. | ||
| 2.5.1. Prijetnja "Analiza mrežnog prometa" s presretanjem informacija koje se prenose iz ISPD-a i primaju iz vanjskih mreža: | ||
| 2.5.1.1. Presretanje izvan kontroliranog područja | 0,25 | nizak |
| 2.5.1.2. Presretanje unutar kontroliranog područja od strane vanjskih uljeza | 0,25 | nizak |
| 2.5.1.3. Presretanje unutar kontroliranog područja od strane unutarnjih prekršitelja. | 0,25 | nizak |
| 2.5.2. Skeniranje prijetnji usmjerenih na identifikaciju tipa ili tipova korištenih operativnih sustava, mrežnih adresa ISPD radnih stanica, mrežne topologije, otvorenih priključaka i usluga, otvorenih veza itd. | 0,25 | nizak |
| 2.5.3 Prijetnje otkrivanjem lozinki preko mreže | 0,25 | nizak |
| 2.5.4 Prijetnje nametanjem lažne mrežne rute | 0,25 | nizak |
| 2.5.5 Prijetnje zamjenom pouzdanog objekta na mreži | 0,25 | nizak |
| 2.5.6. Prijetnje uvođenjem lažnog objekta u ISDN iu vanjske mreže | 0,25 | nizak |
| 2.5.7. Prijetnje uskraćivanjem usluge | 0,25 | nizak |
| 2.5.8. Prijetnje daljinskog pokretanja aplikacije | 0,25 | nizak |
| 2.5.9 Prijetnje zlonamjernih programa koji se uvode preko mreže | 0,25 | nizak |
Tablica 17 - Autonomni IC tipa IV
| Vrsta PD sigurnosnih prijetnji | Faktor izvedivosti prijetnje (Y) | Mogućnost realizacije |
| 1. Prijetnje od curenja kroz tehničke kanale. | ||
| 1.1. Prijetnje od curenja akustičkih informacija | 0,25 | nizak |
| 1.2. Prijetnje od curenja informacija o vrsti | 0,25 | nizak |
| 1.3. Prijetnje curenjem informacija putem PEMIN kanala | 0,25 | nizak |
| 2. Prijetnje neovlaštenim pristupom informacijama. | ||
| 2.1. Prijetnje uništenjem, krađom ISPD hardvera i nositelja informacija fizičkim pristupom ISPD elementima | ||
| 2.1.1. krađa računala | 0,25 | nizak |
| 2.1.2. Medijska krađa | 0,25 | nizak |
| 2.1.3. Krađa ključeva i pristupnih atributa | 0,25 | nizak |
| 2.1.4. Krađa, modifikacija, uništavanje informacija | 0,25 | nizak |
| 2.1.5. Kvar PC čvorova i komunikacijskih kanala | 0,25 | nizak |
| 2.1.6. Neovlašteni pristup informacijama tijekom održavanja (popravak, uništavanje) PC čvorova | 0,25 | nizak |
| 2.1.7. Neovlašteno onemogućavanje sigurnosnih mjera | 0,25 | nizak |
| 2.2. Prijetnje krađe, neovlaštene izmjene ili blokiranja informacija zbog neovlaštenog pristupa (UNA) korištenjem softvera, hardvera i softvera (uključujući softver i matematičke utjecaje). | ||
| 2.2.1. Radnje zlonamjernog softvera (virusi) | 0,35 | prosjek |
| 2.2.2. Nedeklarirane mogućnosti sistemskog softvera i softvera za obradu osobnih podataka | 0,25 | nizak |
| 2.2.3. Instalacija softvera koji nije povezan s obavljanjem službenih dužnosti | 0,25 | nizak |
| 2.3. Prijetnje nenamjernim radnjama korisnika i kršenjem sigurnosti funkcioniranja ISPDn i SZPDn u njegovom sastavu zbog kvarova u softveru, kao i od neantropogenih prijetnji (kvarovi hardvera zbog nepouzdanosti elemenata, nestanka struje) i prirodnih ( udari groma, požari, poplave itd.) karakter. | ||
| 2.3.1. Gubitak ključeva i atributa pristupa | 0,35 | prosjek |
| 2.3.2. Nenamjerna izmjena (uništavanje) informacija od strane zaposlenika | 0,25 | nizak |
| 2.3.3. Nenamjerno onemogućavanje sigurnosnih značajki | 0,25 | nizak |
| 2.3.4. Kvar hardvera i softvera | 0,25 | nizak |
| 2.3.5. Nestanak struje | 0,25 | nizak |
| 2.3.6. Katastrofa | 0,25 | nizak |
| 2.4. Prijetnje namjernih radnji insajdera | ||
| 2.4.1. Pristup informacijama, izmjena, uništavanje osoba koje ih ne smiju obrađivati | 0,25 | nizak |
| 2.4.2. Otkrivanje informacija, izmjena, uništavanje od strane zaposlenika ovlaštenih za njihovu obradu | 0,35 | prosjek |
| 2.5. Prijetnje neovlaštenim pristupom putem komunikacijskih kanala. | ||
| 2.5.1. Prijetnja "Analiza mrežnog prometa" s presretanjem informacija koje se prenose iz ISPD-a i primaju iz vanjskih mreža: | ||
| 2.5.1.1. Presretanje izvan kontroliranog područja | 0,35 | prosjek |
| 2.5.1.2. Presretanje unutar kontroliranog područja od strane vanjskih uljeza | 0,25 | nizak |
| 2.5.1.3. Presretanje unutar kontroliranog područja od strane unutarnjih prekršitelja. | 0,25 | nizak |
| 2.5.2. Skeniranje prijetnji usmjerenih na identifikaciju tipa ili tipova korištenih operativnih sustava, mrežnih adresa ISPD radnih stanica, mrežne topologije, otvorenih priključaka i usluga, otvorenih veza itd. | 0,25 | nizak |
| 2.5.3 Prijetnje otkrivanjem lozinki preko mreže | 0,35 | prosjek |
| 2.5.4 Prijetnje nametanjem lažne mrežne rute | 0,25 | nizak |
| 2.5.5 Prijetnje zamjenom pouzdanog objekta na mreži | 0,25 | nizak |
| 2.5.6. Prijetnje uvođenjem lažnog objekta u ISDN iu vanjske mreže | 0,25 | nizak |
| 2.5.7. Prijetnje uskraćivanjem usluge | 0,25 | nizak |
| 2.5.8. Prijetnje daljinskog pokretanja aplikacije | 0,35 | prosjek |
| 2.5.9 Prijetnje zlonamjernih programa koji se uvode preko mreže | 0,35 | prosjek |
Tablica 18 – Autonomni IC tip V
| Vrsta PD sigurnosnih prijetnji | Faktor izvedivosti prijetnje (Y) | Mogućnost realizacije |
| 1. Prijetnje od curenja kroz tehničke kanale. | ||
| 1.1. Prijetnje od curenja akustičkih informacija | 0,25 | nizak |
| 1.2. Prijetnje od curenja informacija o vrsti | 0,25 | nizak |
| 1.3. Prijetnje curenjem informacija putem PEMIN kanala | 0,25 | nizak |
| 2. Prijetnje neovlaštenim pristupom informacijama. | ||
| 2.1. Prijetnje uništenjem, krađom ISPD hardvera i nositelja informacija fizičkim pristupom ISPD elementima | ||
| 2.1.1. krađa računala | 0,25 | nizak |
| 2.1.2. Medijska krađa | 0,25 | nizak |
| 2.1.3. Krađa ključeva i pristupnih atributa | 0,25 | nizak |
| 2.1.4. Krađa, modifikacija, uništavanje informacija | 0,25 | nizak |
| 2.1.5. Kvar PC čvorova i komunikacijskih kanala | 0,25 | nizak |
| 2.1.6. Neovlašteni pristup informacijama tijekom održavanja (popravak, uništavanje) PC čvorova | 0,25 | nizak |
| 2.1.7. Neovlašteno onemogućavanje sigurnosnih mjera | 0,25 | nizak |
| 2.2. Prijetnje krađe, neovlaštene izmjene ili blokiranja informacija zbog neovlaštenog pristupa (UNA) korištenjem softvera, hardvera i softvera (uključujući softver i matematičke utjecaje). | ||
| 2.2.1. Radnje zlonamjernog softvera (virusi) | 0,35 | prosjek |
| 2.2.2. Nedeklarirane mogućnosti sistemskog softvera i softvera za obradu osobnih podataka | 0,25 | nizak |
| 2.2.3. Instalacija softvera koji nije povezan s obavljanjem službenih dužnosti | 0,25 | nizak |
| 2.3. Prijetnje nenamjernim radnjama korisnika i kršenjem sigurnosti funkcioniranja ISPDn i SZPDn u njegovom sastavu zbog kvarova u softveru, kao i od neantropogenih prijetnji (kvarovi hardvera zbog nepouzdanosti elemenata, nestanka struje) i prirodnih ( udari groma, požari, poplave itd.) karakter. | ||
| 2.3.1. Gubitak ključeva i atributa pristupa | 0,35 | prosjek |
| 2.3.2. Nenamjerna izmjena (uništavanje) informacija od strane zaposlenika | 0,25 | nizak |
| 2.3.3. Nenamjerno onemogućavanje sigurnosnih značajki | 0,25 | nizak |
| 2.3.4. Kvar hardvera i softvera | 0,25 | nizak |
| 2.3.5. Nestanak struje | 0,25 | nizak |
| 2.3.6. Katastrofa | 0,25 | nizak |
| 2.4. Prijetnje namjernih radnji insajdera | ||
| 2.4.1. Pristup informacijama, izmjena, uništavanje osoba koje ih ne smiju obrađivati | 0,25 | nizak |
| 2.4.2. Otkrivanje informacija, izmjena, uništavanje od strane zaposlenika ovlaštenih za njihovu obradu | 0,35 | prosjek |
| 2.5. Prijetnje neovlaštenim pristupom putem komunikacijskih kanala. | ||
| 2.5.1. Prijetnja "Analiza mrežnog prometa" s presretanjem informacija koje se prenose iz ISPD-a i primaju iz vanjskih mreža: | ||
| 2.5.1.1. Presretanje izvan kontroliranog područja | 0,25 | nizak |
| 2.5.1.2. Presretanje unutar kontroliranog područja od strane vanjskih uljeza | 0,25 | nizak |
| 2.5.1.3. Presretanje unutar kontroliranog područja od strane unutarnjih prekršitelja. | 0,25 | nizak |
| 2.5.2. Skeniranje prijetnji usmjerenih na identifikaciju tipa ili tipova korištenih operativnih sustava, mrežnih adresa ISPD radnih stanica, mrežne topologije, otvorenih priključaka i usluga, otvorenih veza itd. | 0,25 | nizak |
| 2.5.3 Prijetnje otkrivanjem lozinki preko mreže | 0,25 | nizak |
| 2.5.4 Prijetnje nametanjem lažne mrežne rute | 0,25 | nizak |
| 2.5.5 Prijetnje zamjenom pouzdanog objekta na mreži | 0,25 | nizak |
| 2.5.6. Prijetnje uvođenjem lažnog objekta u ISDN iu vanjske mreže | 0,25 | nizak |
| 2.5.7. Prijetnje uskraćivanjem usluge | 0,25 | nizak |
| 2.5.8. Prijetnje daljinskog pokretanja aplikacije | 0,25 | nizak |
| 2.5.9 Prijetnje zlonamjernih programa koji se uvode preko mreže | 0,25 | nizak |
Tablica 19 – Samostalni IC tipa VI
| Vrsta PD sigurnosnih prijetnji | Faktor izvedivosti prijetnje (Y) | Mogućnost realizacije |
| 1. Prijetnje od curenja kroz tehničke kanale. | ||
| 1.1. Prijetnje od curenja akustičkih informacija | 0,25 | nizak |
| 1.2. Prijetnje od curenja informacija o vrsti | 0,25 | nizak |
| 1.3. Prijetnje curenjem informacija putem PEMIN kanala | 0,25 | nizak |
| 2. Prijetnje neovlaštenim pristupom informacijama. | ||
| 2.1. Prijetnje uništenjem, krađom ISPD hardvera i nositelja informacija fizičkim pristupom ISPD elementima | ||
| 2.1.1. krađa računala | 0,25 | nizak |
| 2.1.2. Medijska krađa | 0,25 | nizak |
| 2.1.3. Krađa ključeva i pristupnih atributa | 0,25 | nizak |
| 2.1.4. Krađa, modifikacija, uništavanje informacija | 0,25 | nizak |
| 2.1.5. Kvar PC čvorova i komunikacijskih kanala | 0,25 | nizak |
| 2.1.6. Neovlašteni pristup informacijama tijekom održavanja (popravak, uništavanje) PC čvorova | 0,25 | nizak |
| 2.1.7. Neovlašteno onemogućavanje sigurnosnih mjera | 0,25 | nizak |
| 2.2. Prijetnje krađe, neovlaštene izmjene ili blokiranja informacija zbog neovlaštenog pristupa (UNA) korištenjem softvera, hardvera i softvera (uključujući softver i matematičke utjecaje). | ||
| 2.2.1. Radnje zlonamjernog softvera (virusi) | 0,35 | prosjek |
| 2.2.2. Nedeklarirane mogućnosti sistemskog softvera i softvera za obradu osobnih podataka | 0,25 | nizak |
| 2.2.3. Instalacija softvera koji nije povezan s obavljanjem službenih dužnosti | 0,25 | nizak |
| 2.3. Prijetnje nenamjernim radnjama korisnika i kršenjem sigurnosti funkcioniranja ISPDn i SZPDn u njegovom sastavu zbog kvarova u softveru, kao i od neantropogenih prijetnji (kvarovi hardvera zbog nepouzdanosti elemenata, nestanka struje) i prirodnih ( udari groma, požari, poplave itd.) karakter. | ||
| 2.3.1. Gubitak ključeva i atributa pristupa | 0,35 | prosjek |
| 2.3.2. Nenamjerna izmjena (uništavanje) informacija od strane zaposlenika | 0,25 | nizak |
| 2.3.3. Nenamjerno onemogućavanje sigurnosnih značajki | 0,25 | nizak |
| 2.3.4. Kvar hardvera i softvera | 0,25 | nizak |
| 2.3.5. Nestanak struje | 0,25 | nizak |
| 2.3.6. Katastrofa | 0,25 | nizak |
| 2.4. Prijetnje namjernih radnji insajdera | ||
| 2.4.1. Pristup informacijama, izmjena, uništavanje osoba koje ih ne smiju obrađivati | 0,25 | nizak |
| 2.4.2. Otkrivanje informacija, izmjena, uništavanje od strane zaposlenika ovlaštenih za njihovu obradu | 0,35 | prosjek |
| 2.5. Prijetnje neovlaštenim pristupom putem komunikacijskih kanala. | ||
| 2.5.1. Prijetnja "Analiza mrežnog prometa" s presretanjem informacija koje se prenose iz ISPD-a i primaju iz vanjskih mreža: | ||
| 2.5.1.1. Presretanje izvan kontroliranog područja | 0,35 | prosjek |
| 2.5.1.2. Presretanje unutar kontroliranog područja od strane vanjskih uljeza | 0,25 | nizak |
| 2.5.1.3. Presretanje unutar kontroliranog područja od strane unutarnjih prekršitelja. | 0,25 | nizak |
| 2.5.2. Skeniranje prijetnji usmjerenih na identifikaciju tipa ili tipova korištenih operativnih sustava, mrežnih adresa ISPD radnih stanica, mrežne topologije, otvorenih priključaka i usluga, otvorenih veza itd. | 0,25 | nizak |
| 2.5.3 Prijetnje otkrivanjem lozinki preko mreže | 0,35 | prosjek |
| 2.5.4 Prijetnje nametanjem lažne mrežne rute | 0,25 | nizak |
| 2.5.5 Prijetnje zamjenom pouzdanog objekta na mreži | 0,25 | nizak |
| 2.5.6. Prijetnje uvođenjem lažnog objekta u ISDN iu vanjske mreže | 0,25 | nizak |
| 2.5.7. Prijetnje uskraćivanjem usluge | 0,25 | nizak |
| 2.5.8. Prijetnje daljinskog pokretanja aplikacije | 0,35 | prosjek |
| 2.5.9 Prijetnje zlonamjernih programa koji se uvode preko mreže | 0,35 | prosjek |
Tablica 20 – LIS tipa I
Valjano Uredništvo iz 15.02.2008
"OSNOVNI MODEL SIGURNOSNIH PRIJETNJI OSOBNIM PODATKIMA TIJEKOM NJIHOVE OBRADE U INFORMACIJSKIM SUSTAVIMA OSOBNIH PODATAKA" (odobren 15. veljače 2008. od strane FSTEC Ruske Federacije)
5. Prijetnje neovlaštenog pristupa informacijama u informacijskom sustavu osobnih podataka
Prijetnje osobnim podacima u informacijskim sustavima osobnih podataka korištenjem softvera i hardvera provode se neovlaštenim, uključujući i slučajnim pristupom, koji rezultira povredom povjerljivosti (kopiranje, neovlaštena distribucija), cjelovitosti (uništavanje, izmjena) i dostupnosti (blokiranje). ) osobnih podataka, a uključuju:
prijetnje pristupa (prodora) u radnu okolinu računala korištenjem standardnog softvera (alati operacijskog sustava ili opći aplikacijski programi);
Prijetnje stvaranja neuobičajenih načina rada softvera (hardvera i softvera) zbog namjernih promjena podataka usluge, ignoriranja ograničenja sastava i karakteristika obrađenih informacija predviđenih standardnim uvjetima, iskrivljenja (modifikacije) samih podataka itd. ;
prijetnje uvođenja zlonamjernih programa (softverski i matematički utjecaj).
Sastav elemenata za opis prijetnji informacijama u sustavu upravljanja informacijama u ISPD-u prikazan je na slici 3.
Osim toga, moguće su kombinirane prijetnje koje predstavljaju kombinaciju tih prijetnji. Na primjer, uvođenjem zlonamjernih programa mogu se stvoriti uvjeti za neovlašteni pristup radnom okruženju računala, uključujući i formiranje netradicionalnih kanala za pristup informacijama.
Prijetnje pristupa (prodora) u radnu okolinu ISPD-a korištenjem standardnog softvera dijele se na prijetnje izravne i daljinski pristup. Prijetnje izravnim pristupom provode se korištenjem računalnog softvera i hardverskih ulazno/izlaznih alata. Prijetnje daljinskim pristupom implementirane su pomoću mrežnih komunikacijskih protokola.
Ove se prijetnje realiziraju u odnosu na ISPD kako na temelju automatizirane radne stanice koja nije uključena u javnu komunikacijsku mrežu, tako i u odnosu na sve ISPD koji su povezani s javnim komunikacijskim mrežama i međunarodnim mrežama. razmjena informacija.
Opis prijetnji pristupa (prodora) u radnu okolinu računala formalno se može prikazati na sljedeći način:
prijetnja NSD u ISPDn: =<источник угрозы>, <уязвимость ИСПДн>, <способ реализации угрозы>, <объект воздействия (программа, протокол, данные и др.)>, <деструктивное действие>.
Slika 3. Elementi opisa prijetnji neovlaštenog pristupa informacijama u ISDN-u
Prijetnje stvaranja abnormalnih načina rada softverskih (softverskih i hardverskih) alata su prijetnje "uskraćivanja usluge". U pravilu se ove prijetnje razmatraju u odnosu na ISDN baziran na lokalnim i distribuiranim informacijskim sustavima, neovisno o povezanosti razmjene informacija. Njihova implementacija je zbog činjenice da se pri razvoju sustavnog ili aplikacijskog softvera ne uzima u obzir mogućnost namjernih radnji za ciljane promjene:
uvjeti obrade podataka (na primjer, ignoriranje ograničenja duljine paketa poruke);
Formati prezentacije podataka (s nedosljednošću modificiranih formata uspostavljenih za obradu pomoću mrežnih komunikacijskih protokola);
Softver za obradu podataka.
Kao rezultat implementacije prijetnji uskraćivanja usluge, međuspremnici su prepunjeni i postupci obrade su blokirani, postupci obrade su u petlji i računalo se zamrzava, paketi poruka se ispuštaju, itd. Opis takvih prijetnji može se formalno predstaviti na sljedeći način:
Prijetnja uskraćivanjem usluge: =<источник угрозы>, <уязвимость ИСПДн>, <способ реализации угрозы>, <объект воздействия (носитель ПДн)>, <непосредственный результат реализации угрозы (переполнение буфера, блокирование процедуры обработки, "зацикливание" обработки и т.п.)>.
Neprimjereno je opisivati prijetnje uvođenja zloćudnih programa (softver i matematički utjecaj) jednako detaljno kao gore navedene prijetnje. To je zbog činjenice da, prvo, broj zlonamjernih programa danas već značajno premašuje sto tisuća. Drugo, kada se u praksi organizira zaštita informacija, u pravilu je dovoljno samo znati klasu zlonamjernog programa, metode i posljedice njegove implementacije (infekcije). U tom smislu, prijetnje softversko-matematičkog utjecaja (PMI) mogu se formalno predstaviti na sljedeći način:
Prijetnja iz Prvog svjetskog rata u ISPDn: =<класс вредоносной программы (с указанием среды обитания)>, <источник угрозы (носитель вредоносной программы)>, <способ инфицирования>, <объект воздействия (загрузочный сектор, файл и т.п.)>, <описание возможных деструктивных действий>, <дополнительная информация об угрозе (резидентность, скорость распространения, полиморфичность и др.)>.
U nastavku se nalazi opći opis izvora prijetnji informacijskoj sigurnosti, ranjivosti koje se mogu koristiti u implementaciji prijetnji neovlaštenog pristupa i opis rezultata neovlaštenog ili slučajnog pristupa. Obilježja načina implementacije prijetnji daju se pri opisu prijetnji pristupa (prodora) u radnu okolinu računala, prijetnji uskraćivanja usluge i prijetnji PMV-a.
Izvori NSD prijetnji u ISPD-u mogu biti:
uljez;
nosač zlonamjernog softvera;
hardverska oznaka.
Prijetnje sigurnosti osobnih podataka povezane s implementacijom hardverskih knjižnih oznaka utvrđuju se u skladu s regulatornim dokumentima Savezne sigurnosne službe Ruska Federacija na način koji je njime propisan.
Na temelju prava stalnog ili jednokratnog pristupa kontroliranom području (CA) ISPD-a, prekršitelji se dijele na dvije vrste:
prekršitelji koji nemaju pristup ISPD-u i provode prijetnje iz vanjskih javnih komunikacijskih mreža i (ili) međunarodnih mreža za razmjenu informacija vanjski su prekršitelji;
Prekršitelji koji imaju pristup ISPD-u, uključujući korisnike ISPD-a, koji implementiraju prijetnje izravno u ISPD su interni prekršitelji.
Vanjski uljezi mogu biti:
obavještajne službe država;
Kriminalne strukture;
konkurenti (konkurentske organizacije);
beskrupulozni partneri;
vanjski subjekti (pojedinci).
Vanjski uljez ima sljedeće mogućnosti:
izvršiti neovlašteni pristup komunikacijskim kanalima izvan prostora;
ostvarivati neovlašteni pristup putem automatiziranih radnih stanica povezanih s javnim komunikacijskim mrežama i (ili) međunarodnim mrežama za razmjenu informacija;
vršiti neovlašteni pristup informacijama korištenjem posebnih softverskih utjecaja putem softverskih virusa, malwarea, algoritamskih ili programskih knjižnih oznaka;
Ostvarivati neovlašteni pristup elementima informacijske infrastrukture ISPD-a koji tijekom svog životnog ciklusa (modernizacija, održavanje, popravak, zbrinjavanje) završe izvan kontroliranog područja;
ostvaruju neovlašteni pristup putem informacijskih sustava međusobno povezanih odjela, organizacija i institucija kada su povezani s ISPD-om.
Mogućnosti unutarnjeg prekršitelja bitno ovise o sigurnosnim, organizacijskim i tehničkim mjerama zaštite koje vrijede u kontroliranoj zoni, uključujući pristup pojedinaca osobnim podacima i kontrolu postupka obavljanja poslova.
Interni potencijalni prekršitelji podijeljeni su u osam kategorija ovisno o načinu pristupa i ovlastima pristupa osobnim podacima.
U prvu kategoriju spadaju osobe koje imaju ovlašteni pristup ISPD-u, ali nemaju pristup PD-u. Ova vrsta prekršitelja uključuje službenike koji osiguravaju normalno funkcioniranje ISPD-a.
imati pristup fragmentima informacija koje sadrže osobne podatke i distribuiraju se internim komunikacijskim kanalima ISPD-a;
Imati informacije o topologiji ISPD-a (komunikacijski dio podmreže) io korištenim komunikacijskim protokolima i njihovim uslugama;
Imati imena i identificirati lozinke registriranih korisnika;
mijenjati konfiguraciju tehničkih sredstava ISPD-a, dodavati hardverske i softverske knjižne oznake i osigurati dohvaćanje informacija izravnom vezom s tehničkim sredstvima ISPD-a.
ima sve sposobnosti osoba prve kategorije;
Poznaje barem jedno legalno pristupno ime;
Ima sve potrebne atribute (na primjer, lozinku) koji omogućuju pristup određenom podskupu osobnih podataka;
ima povjerljive podatke kojima ima pristup.
Njegov pristup, autentifikacija i prava pristupa određenom podskupu osobnih podataka moraju biti regulirani odgovarajućim pravilima kontrole pristupa.
ima sve sposobnosti osoba prve i druge kategorije;
Posjeduje podatke o topologiji ISPD-a na temelju lokalnog i (ili) distribuiranog informacijskog sustava putem kojeg se ostvaruje pristup te o sastavu tehničkih sredstava ISPD-a;
ima mogućnost neposrednog (fizičkog) pristupa fragmentima tehničkih sredstava ISPD.
Posjeduje potpuna informacija o sustavu i aplikativnom softveru koji se koristi u segmentu ISPD (fragment);
Ima potpune informacije o tehničkim sredstvima i konfiguraciji ISPD segmenta (fragmenta);
ima pristup informacijskoj sigurnosti i alatima za bilježenje, kao i pojedinačni elementi, korišten u segmentu (fragmentu) ISPDn;
ima pristup svim tehničkim sredstvima segmenta (fragmenta) ISPD-a;
ima prava konfiguriranja i administrativnog postavljanja određenog podskupa tehničkih sredstava segmenta (fragmenta) ISPD-a.
Posjeduje sve sposobnosti osoba iz prethodnih kategorija;
ima potpune informacije o sustavu i aplikativnom softveru ISPD-a;
ima potpune podatke o tehničkim sredstvima i konfiguraciji ISPD-a;
ima pristup svim tehničkim sredstvima obrade informacija i ISPD podataka;
ima prava konfiguriranja i administrativnog postavljanja tehničkih sredstava ISPD.
Administrator sustava konfigurira i upravlja softverom i opremom, uključujući opremu odgovornu za sigurnost štićenog objekta: alate kriptografska zaštita informiranje, praćenje, registracija, arhiviranje, zaštita od neovlaštenog pristupa.
ima sve sposobnosti osoba prethodnih kategorija;
ima potpunu informaciju o ISPD-u;
ima pristup informacijskoj sigurnosti i alatima za bilježenje te nekim od ključnih elemenata ISPD-a;
Nema prava pristupa za konfiguriranje mrežne tehničke opreme, s iznimkom kontrole (inspekcije).
Sigurnosni administrator odgovoran je za usklađenost s pravilima kontrole pristupa, generiranje ključnih elemenata i promjenu lozinki. Sigurnosni administrator revidira iste sigurnosne kontrole objekta kao i sistemski administrator.
ima informacije o algoritmima i programima za obradu informacija na ISPD-u;
Ima sposobnost uvođenja pogrešaka, nedeklariranih mogućnosti, softverskih knjižnih oznaka, zlonamjernog softvera u ISPD softver u fazi njegovog razvoja, implementacije i održavanja;
može imati bilo kakve podatke o topologiji ISPD-a i tehničkim sredstvima obrade i zaštite PD-a koji se obrađuju u ISPD-u.
ima mogućnost dodavanja knjižnih oznaka tehničkim alatima ISPD-a u fazi njihovog razvoja, implementacije i održavanja;
Može imati bilo kakve informacije o topologiji ISPD-a i tehničkim sredstvima za obradu i zaštitu informacija u ISPD-u.
Nositelj zlonamjernog softvera može biti hardverski element računala ili softverski spremnik. Ako zlonamjerni program nije povezan ni s jednim aplikacijskim programom, tada se njegovim nositeljem smatraju sljedeći:
Otuđi medij, tj. disketa, optički disk(CD-R, CD-RW), flash memorija, otuđivi tvrdi disk itd.;
Ugrađeni mediji za pohranu (tvrdi diskovi, RAM čipovi, procesor, mikro krugovi matična ploča, mikro krugovi uređaja ugrađenih u sistemsku jedinicu - video adapter, mrežna kartica, zvučna kartica, modem, ulazno/izlazni uređaji magnetski tvrdi i optički diskovi, napajanje itd., čipovi s izravnim pristupom memoriji, podatkovne sabirnice, ulazno/izlazni portovi);
mikrosklopovi vanjski uređaji(monitor, tipkovnica, pisač, modem, skener itd.).
Ako je zlonamjerni program povezan s bilo kojim aplikacijskim programom, s datotekama s određenim ekstenzijama ili drugim atributima, s porukama koje se prenose preko mreže, tada su njegovi nositelji:
paketi poruka koji se prenose preko računalne mreže;
datoteke (tekstualne, grafičke, izvršne itd.).
5.2. Opće karakteristike ranjivosti informacijskog sustava osobnih podatakaRanjivost informacijskog sustava osobnih podataka je nedostatak ili slabost u sustavu ili aplikacijskom softveru (hardveru i softveru) automatiziranog informacijskog sustava koji se može koristiti za implementaciju prijetnje sigurnosti osobnih podataka.
Uzroci ranjivosti su:
pogreške u dizajnu i razvoju softvera (hardvera i softvera);
namjerne radnje za uvođenje ranjivosti tijekom dizajna i razvoja softvera (hardvera i softvera);
netočne postavke softvera, nezakonite promjene načina rada uređaja i programa;
Neovlaštena implementacija i korištenje neobjavljenih programa s naknadnom nerazumnom potrošnjom resursa (opterećenje procesora, oduzimanje RAM-a i memorije na vanjskom mediju);
uvođenje zlonamjernog softvera koji stvara ranjivosti u softveru i hardveru;
neovlaštene nenamjerne radnje korisnika koje dovode do ranjivosti;
kvarovi u radu hardvera i softvera (uzrokovani prekidima napajanja, kvarovi hardverskih elemenata kao posljedica starenja i smanjene pouzdanosti, vanjski utjecaji elektromagnetska polja tehnički uređaji i tako dalje.).
Klasifikacija glavnih ISDN ranjivosti prikazana je na slici 4.
Slika 4. Klasifikacija ranjivosti softvera
Dolje je opći opis glavnih skupina ISDN ranjivosti, uključujući:
ranjivosti sistemskog softvera (uključujući mrežne komunikacijske protokole);
ranjivosti aplikacijskog softvera (uključujući alate za informacijsku sigurnost).
5.2.1. Opće karakteristike ranjivosti sistemskog softveraRanjivosti softvera sustava moraju se razmatrati u odnosu na arhitekturu računalnih sustava.
Postoje moguće ranjivosti:
u mikroprogramima, u ROM, PROM firmware;
u alatima operacijskog sustava dizajniranim za upravljanje lokalnim ISPD resursima (omogućavanje funkcija za upravljanje procesima, memorijom, ulazno/izlaznim uređajima, korisničkim sučeljem itd.), upravljačkim programima, uslužnim programima;
U operacijskom sustavu alati dizajnirani za obavljanje pomoćnih funkcija - uslužni programi (arhiviranje, defragmentacija itd.), programi za obradu sustava (prevoditelji, povezivači, programi za ispravljanje pogrešaka itd.), programi za pružanje korisniku dodatne usluge(specijalne mogućnosti sučelja, kalkulatori, igrice itd.), biblioteke procedura za razne namjene (biblioteke matematičkih funkcija, ulazno/izlazne funkcije itd.);
u sredstvima komunikacijske interakcije ( mrežni mediji) operacijski sustav.
Ranjivosti u firmveru i alatima operativnog sustava dizajniranim za upravljanje lokalnim resursima i pomoćnim funkcijama mogu uključivati:
Funkcije, procedure čija promjena parametara na određeni način omogućuje da se koriste za neovlašteni pristup, a da operacijski sustav ne otkrije takve promjene;
fragmenti programskog koda ("rupe", "zamke") koje je uveo programer, omogućujući zaobilaženje postupaka identifikacije, provjere autentičnosti, provjere integriteta itd.;
Pogreške u programima (u deklaraciji varijabli, funkcija i procedura, u programskim kodovima), koje pod određenim uvjetima (primjerice, prilikom izvođenja logičkih prijelaza) dovode do kvarova, uključujući kvarove u funkcioniranju alata i sustava informacijske sigurnosti.
Ranjivosti mrežnih komunikacijskih protokola povezane su s njihovim osobitostima implementacija softvera a uzrokovane su ograničenjima veličine korištenog međuspremnika, nedostacima u proceduri provjere autentičnosti, nedostatkom provjera ispravnosti servisnih informacija itd. Kratak opis ovih ranjivosti u odnosu na protokole dan je u tablici 2.
tablica 2
Ranjivosti pojedinih protokola TCP/IP protokola na temelju kojih funkcioniraju globalne javne mreže
| Naziv protokola | Sloj stoga protokola | Naziv (karakteristika) ranjivosti | Sadržaj povrede informacijske sigurnosti |
| FTP (File Transfer Protocol) - protokol za prijenos datoteka preko mreže | 1. Provjera autentičnosti čistim tekstom (lozinke se šalju nekriptirane) 2. Zadani pristup 3. Imati dva otvorena porta | Mogućnost presretanja podataka račun(registrirana korisnička imena, lozinke). Dobivanje udaljenog pristupa hostovima | |
| telnet - protokol daljinskog upravljanja terminalom | Prijava, zastupnik, sjednica | Provjera autentičnosti otvorenog teksta (lozinke se šalju nekriptirane) | Mogućnost presretanja podataka o korisničkom računu. Dobivanje udaljenog pristupa hostovima |
| UDP - protokol za prijenos podataka bez veze | Prijevoz | Nema mehanizma za sprječavanje preopterećenja međuspremnika | Mogućnost implementacije UDP oluje. Kao rezultat razmjene paketa, dolazi do značajnog smanjenja performansi poslužitelja |
| ARP - IP adresa u protokol fizičke adrese | Mreža | Provjera autentičnosti otvorenog teksta (informacije se šalju nekriptirane) | Mogućnost presretanja korisničkog prometa od strane napadača |
| RIP - Routing Information Protocol | Prijevoz | Nedostatak provjere autentičnosti kontrolnih poruka promjene rute | Mogućnost preusmjeravanja prometa preko napadačevog hosta |
| TCP - Protokol kontrole prijenosa | Prijevoz | Nedostatak mehanizma za provjeru ispravnosti popunjavanja zaglavlja paketne usluge | Značajno smanjenje brzine razmjene, pa čak i potpuni prekid proizvoljnih veza putem TCP protokol |
| DNS - protokol za uspostavljanje korespondencije između mnemotehničkih imena i mrežnih adresa | Prijava, zastupnik, sjednica | Nedostatak sredstava za provjeru autentičnosti primljenih podataka iz izvora | Ometanje odgovora DNS poslužitelja |
| IGMP - Protokol za usmjeravanje poruka | Mreža | Nedostatak provjere autentičnosti poruka o promjeni parametara rute | Zamrzavanje sustava Win 9x/NT/200 |
| SMTP - protokol za pružanje usluge dostave e-mail poruka | Prijava, zastupnik, sjednica | Mogućnost krivotvorenja email poruka, kao i adrese pošiljatelja poruke | |
| SNMP - protokol za upravljanje usmjerivačima u mrežama | Prijava, zastupnik, sjednica | Nema podrške za provjeru autentičnosti zaglavlja poruke | Mogućnost preopterećenja propusnosti mreže |
Za sistematiziranje opisa mnogih ranjivosti koristi se jedinstvena baza podataka CVE (Common Vulnerabilities and Exposures) ranjivosti u čijem razvoju su sudjelovali stručnjaci iz brojnih poznatih tvrtki i organizacija, kao što su MItrE, ISS, Cisco, BindView, Axent, NFR, L-3, CyberSafe, CERT, Sveučilište Carnegie Mellon, SANS Institut itd. Ova baza se stalno ažurira i koristi se za izradu baza brojnih softverskih alata za sigurnosnu analizu, a prije svega mrežnih skenera.
5.2.2. Opće karakteristike ranjivosti aplikacijskog softveraAplikacijski softver uključuje aplikacijske programe opće uporabe i posebne aplikacijske programe.
Primjenski programi opće uporabe - tekst i grafički urednik, medijski programi (audio i video playeri, softver za prijem televizijskih programa itd.), sustavi za upravljanje bazama podataka, javne softverske platforme za razvoj softverski proizvodi(kao što su Delphi, Visual Basic), sredstva zaštite javnih informacija itd.
Posebni aplikacijski programi su programi koji su razvijeni u interesu rješavanja specifičnih aplikacijskih problema u određenom ISPD-u (uključujući softver za informacijsku sigurnost razvijen za određeni ISPD).
Ranjivosti aplikacijskog softvera mogu uključivati:
funkcije i procedure koje pripadaju različitim aplikacijskim programima i međusobno su nekompatibilne (ne funkcioniraju u istom radnom okruženju) zbog sukoba povezanih s raspodjelom resursa sustava;
Funkcije, procedure čija promjena parametara na određeni način omogućuje njihovu upotrebu za prodiranje u operativno okruženje ISPD-a i pozivanje standardnih funkcija operacijskog sustava, vršeći neovlašteni pristup bez otkrivanja takvih promjena od strane operativnog sustava;
fragmenti programskog koda ("rupe", "zamke") koje je uveo razvojni programer, omogućujući vam da zaobiđete procedure identifikacije, provjere autentičnosti, provjere integriteta itd. koje pruža operativni sustav;
nedostatak potrebnih sigurnosnih mjera (autentifikacija, provjera integriteta, provjera formata poruka, blokiranje neovlašteno modificiranih funkcija itd.);
Pogreške u programima (u deklaraciji varijabli, funkcija i procedura, u programskim kodovima), koje pod određenim uvjetima (primjerice, prilikom izvođenja logičkih prijelaza) dovode do kvarova, uključujući kvarove u radu alata i sustava za informacijsku sigurnost, te mogućnost neovlaštenog pristupa informacijama.
Podaci o ranjivostima aplikacijskog softvera koji se razvija i distribuira na komercijalnoj osnovi prikupljaju se, kompiliraju i analiziraju u CVE bazi podataka<*>.
<*>Provodi strana tvrtka CERT na komercijalnoj osnovi.
5.3. Opće karakteristike prijetnji izravnog pristupa operativnom okruženju informacijskog sustava osobnih podatakaPrijetnje pristupa (prodora) u radnu okolinu računala i neovlaštenog pristupa osobnim podacima povezuju se s pristupom:
na informacije i naredbe pohranjene u osnovnom ulazno/izlaznom sustavu (BIOS) ISPD-a, s mogućnošću presretanja kontrole učitavanja operativnog sustava i dobivanja povjerljivih korisničkih prava;
u radnu okolinu, odnosno u radnu okolinu lokalnog operacijskog sustava zasebnog ISPD tehničkog alata s mogućnošću neovlaštenog pristupa pozivanjem standardnih programa operacijskog sustava ili pokretanjem posebno izrađenih programa koji provode takve radnje;
u operativno okruženje aplikacijskih programa (na primjer, u lokalni sustav upravljanje bazom podataka);
izravno na korisničke podatke (datoteke, tekst, audio i grafičke informacije, polja i zapisa u elektroničkim bazama podataka) i uzrokovani su mogućnošću narušavanja njegove povjerljivosti, cjelovitosti i dostupnosti.
Ove se prijetnje mogu realizirati ako se ostvari fizički pristup ISPD-u ili barem načinu unosa podataka u ISPD. Mogu se kombinirati prema uvjetima provedbe u tri skupine.
Prva skupina uključuje prijetnje koje se implementiraju tijekom učitavanja operativnog sustava. Ove prijetnje informacijskoj sigurnosti usmjerene su na presretanje lozinki ili identifikatora, modificiranje softvera osnovni sustav ulaz/izlaz (BIOS), presretanje kontrole pokretanja uz promjenu potrebnih tehnoloških informacija za prijem NSD-a u ISPDn operativno okruženje. Najčešće se takve prijetnje provode pomoću otuđenih medija.
Drugu skupinu čine prijetnje koje se implementiraju nakon učitavanja operativnog okruženja, neovisno o tome koji je aplikacijski program korisnik pokrenuo. Te su prijetnje obično usmjerene na izravan neovlašteni pristup informacijama. Prilikom pristupa operativnom okruženju, uljez može koristiti i standardne funkcije operacijskog sustava ili bilo kojeg javnog aplikacijskog programa (na primjer, sustav za upravljanje bazom podataka) i programe posebno kreirane za obavljanje neovlaštenog pristupa, na primjer:
programi za pregled i izmjenu registra;
Programi za pretraživanje teksta u tekstualne datoteke Po ključne riječi i kopiranje;
posebni programi za pregled i kopiranje zapisa u bazama podataka;
programi za brzi pregled grafičke datoteke, njihovo uređivanje ili kopiranje;
programi koji podržavaju mogućnost rekonfiguracije softverskog okruženja (ISPD postavke u interesu počinitelja), itd.
Konačno, u treću skupinu spadaju prijetnje čija implementacija je određena time koji od aplikacijskih programa korisnik pokreće, odnosno činjenicom pokretanja bilo kojeg od aplikacijskih programa. Većina ovih prijetnji su prijetnje zlonamjernim softverom.
5.4. Opće karakteristike prijetnji sigurnosti osobnih podataka implementiranih korištenjem protokola za rad na mrežiAko je ISPD implementiran na temelju lokalnog ili distribuiranog informacijskog sustava, tada se prijetnje informacijskoj sigurnosti mogu implementirati u njega korištenjem mrežnih protokola. U tom slučaju može se osigurati NSD PD-u ili se može realizirati prijetnja uskraćivanja usluge. Prijetnje su posebno opasne kada je ISPD distribuirani informacijski sustav povezan s javnim mrežama i (ili) međunarodnim mrežama za razmjenu informacija. Klasifikacijska shema prijetnji implementiranih preko mreže prikazana je na slici 5. Temelji se na sljedećih sedam primarnih kriterija klasifikacije.
1. Priroda prijetnje. Prema ovom kriteriju prijetnje mogu biti pasivne i aktivne. Pasivna prijetnja je prijetnja čija implementacija ne utječe izravno na rad informacijskog sustava, ali može kršiti utvrđena pravila za ograničavanje pristupa osobnim podacima ili mrežnim resursima. Primjer takvih prijetnji je prijetnja "Analiza mrežnog prometa", usmjerena na slušanje komunikacijskih kanala i presretanje prenesenih informacija.
Aktivna prijetnja je prijetnja povezana s utjecajem na resurse PDIS-a čija implementacija ima izravan utjecaj na rad sustava (promjene konfiguracije, poremećaji itd.), te s kršenjem utvrđenih pravila za ograničavanje pristupa PD ili mrežni resursi. Primjer takvih prijetnji je prijetnja uskraćivanjem usluge implementirana kao "TCP zahtjevna oluja".
2. Svrha provedbe prijetnje. Prema ovom kriteriju, prijetnje mogu biti usmjerene na narušavanje povjerljivosti, cjelovitosti i dostupnosti informacija (uključujući narušavanje funkcionalnosti ISPD-a ili njegovih elemenata).
3. Uvjet za početak procesa provedbe prijetnje. Na temelju ove značajke prijetnja se može realizirati:
na zahtjev objekta protiv kojeg se prijetnja provodi. U tom slučaju uljez očekuje slanje zahtjeva određene vrste, što će biti uvjet za pokretanje neovlaštenog pristupa;
Slika 5. Klasifikacijska shema prijetnji korištenjem mrežnih protokola
Nastupom očekivanog događaja na objektu u odnosu na koji se prijetnja provodi. U tom slučaju uljez stalno nadzire stanje ISPD operativnog sustava i kada se dogodi određeni događaj u ovom sustavu, započinje neovlašteni pristup;
bezuvjetni utjecaj. U ovom slučaju početak neovlaštenog pristupa je bezuvjetan u odnosu na svrhu pristupa, odnosno prijetnja se realizira odmah i neovisno o stanju sustava.
4. Dostupnost Povratne informacije s ISPDn. Prema ovoj značajki, proces implementacije prijetnje može biti sa ili bez povratne informacije. Prijetnju, koja se provodi u prisustvu povratne informacije od ISPD-a, karakterizira činjenica da počinitelj treba primiti odgovor na neke zahtjeve poslane ISPD-u. Posljedično, postoji povratna veza između prekršitelja i ISPD-a, koja omogućuje prekršitelju da adekvatno odgovori na sve promjene koje se događaju u ISPD-u. Za razliku od prijetnji implementiranih uz prisutnost povratne informacije iz ISPD-a, kada se prijetnje implementiraju bez povratne informacije, nema potrebe odgovarati na bilo kakve promjene koje se događaju u ISPD-u.
5. Lokacija počinitelja u odnosu na ISPD. U skladu s ovom značajkom, prijetnja se provodi i intrasegmentalno i intersegmentalno. Mrežni segment je fizička asocijacija računala (ISPD hardver ili komunikacijski elementi s mrežnom adresom). Na primjer, ISPD segment tvori zbirku hostova povezanih na poslužitelj pomoću sheme "zajedničke sabirnice". U slučaju kada postoji prijetnja unutar segmenta, uljez ima fizički pristup hardverskim elementima ISPD-a. Ako postoji intersegmentna prijetnja, tada se uljez nalazi izvan ISPD-a, implementirajući prijetnju iz druge mreže ili iz drugog segmenta ISPD-a.
6. Razina referentnog modela interakcije otvoreni sustavi <*>(ISO/OSI) na kojem je prijetnja implementirana. Prema ovoj značajki, prijetnja se može implementirati na fizičkoj, kanalnoj, mrežnoj, transportnoj, sesijskoj, prezentacijskoj i aplikacijskoj razini ISO/OSI modela.
<*>Međunarodna organizacija za standardizaciju (ISO) usvojila je standard ISO 7498 koji opisuje međusobno povezivanje otvorenih sustava (OSI).
7. Omjer broja prekršitelja i elemenata ISPD prema kojima se realizira prijetnja. Na temelju ovog kriterija, prijetnja se može klasificirati kao prijetnja koju jedan prekršitelj provodi protiv jednog tehničkog sredstva informacijskih sustava (prijetnja „jedan na jedan”), protiv nekoliko tehničkih sredstava informacijskih sustava odjednom („jedan- to-many” prijetnja), ili nekoliko prekršitelja s različita računala u vezi s jednim ili više tehničkih sredstava ISPD-a (distribuirane ili kombinirane prijetnje).
Uzimajući u obzir provedenu klasifikaciju, možemo identificirati sedam najčešće implementiranih prijetnji u ovom trenutku.
1. Analiza mrežnog prometa (Slika 6).
Slika 6. Shema implementacije prijetnje “Analiza mrežnog prometa”.
Ova se prijetnja implementira pomoću posebnog programa za analizu paketa (sniffer), koji presreće sve pakete koji se prenose preko segmenta mreže i među njima identificira one koji sadrže korisnički ID i lozinku. Tijekom implementacije prijetnje, napadač proučava logiku mreže - to jest, nastoji dobiti korespondenciju jedan-na-jedan između događaja koji se događaju u sustavu i naredbi koje hostovi šalju u trenutku kada se ti događaji događaju. . To ubuduće omogućuje napadaču da na temelju postavljanja odgovarajućih naredbi dobije npr. povlaštena prava za djelovanje u sustavu ili proširenje svojih ovlasti u njemu, presretanje toka prenesenih podataka koji se razmjenjuju između komponenti mrežnog operativnog sustava. , za izdvajanje povjerljivih ili identifikacijskih informacija (na primjer, statične lozinke za pristup udaljenim hostovima putem kojih korisnici mogu pristupiti FTP protokoli i TELNET, koji ne omogućuje šifriranje), njegovu zamjenu, modifikaciju itd.
2. Mrežno skeniranje.
Bit procesa implementacije prijetnji je slanje zahtjeva mrežnim uslugama ISDN hostova i analiza njihovih odgovora. Cilj je identificirati korištene protokole, dostupne portove mrežnih usluga, zakonitosti za formiranje identifikatora veze, određivanje aktivnih mrežnih usluga, izbor korisničkih identifikatora i lozinki.
3. Prijetnja otkrivanjem lozinke.
Cilj prijetnje je dobiti neovlašteni pristup podacima nadvladavanjem zaštite lozinkom. Napadač može implementirati prijetnju korištenjem brojnih metoda, kao što je jednostavna brutalna sila, gruba sila korištenjem posebnih rječnika, instaliranje zlonamjernog softvera za presretanje lozinki, lažiranje pouzdanog mrežnog objekta (IP spoofing) i njuškanje paketa. Uglavnom, za implementaciju prijetnje koriste se posebni programi koji pokušavaju dobiti pristup hostu uzastopnim pogađanjem lozinki. Ako uspije, napadač može stvoriti "propusnicu" za budući pristup, koja će ostati važeća čak i ako se pristupna lozinka promijeni na glavnom računalu.
4. Zamjena pouzdanog mrežnog objekta i prijenos poruka komunikacijskim kanalima u njegovo ime uz dodjelu njegovih prava pristupa (slika 7).
Slika 7. Shema implementacije prijetnje “Zamjena pouzdanog mrežnog objekta”
Ova se prijetnja učinkovito implementira u sustave koji koriste slabe algoritme za identifikaciju i autentifikaciju hostova, korisnika itd. Pouzdani objekt je mrežni objekt (računalo, vatrozid, usmjerivač itd.) legalno povezan s poslužiteljem.
Mogu se razlikovati dvije vrste procesa implementacije ove prijetnje: sa i bez uspostavljanja virtualne veze.
Proces implementacije uz uspostavu virtualne veze sastoji se od dodjele prava povjerljivog subjekta interakcije, što omogućuje uljezu da vodi sesiju s mrežnim objektom u ime povjerljivog subjekta. Realizacija prijetnje ove vrste zahtijeva prevladavanje sustava identifikacije i provjere autentičnosti poruka (na primjer, napad na rsh uslugu UNIX glavnog računala).
Proces implementacije prijetnje bez uspostavljanja virtualne veze može se odvijati u mrežama koje identificiraju poslane poruke samo prema mrežnoj adresi pošiljatelja. Suština je prijenos servisnih poruka u ime mrežnih kontrolnih uređaja (na primjer, u ime usmjerivača) o promjenama podataka o adresi usmjeravanja. Mora se imati na umu da su jedini identifikatori pretplatnika i veza (preko TCP-a) dva 32-bitna parametra Initial Sequence Number - ISS (sequence number) i Acknowledgment Number - ACK (acknowledgment number). Stoga, za generiranje lažnog TCP paketa, napadač mora znati trenutne identifikatore za ovu vezu - ISSa i ISSb, gdje:
ISSa je određena numerička vrijednost koja karakterizira redni broj poslanog TCP paketa, uspostavljenu TCP vezu koju je pokrenuo host A;
ISSb je određena brojčana vrijednost koja karakterizira redni broj poslanog TCP paketa, uspostavljene TCP veze koju je pokrenuo host B.
Vrijednost ACK (TCP Connection Acknowledgment Number) definirana je kao vrijednost broja primljenog od odgovora ISS (Sequence Number) plus jedinica ACKb = ISSa + 1.
Kao rezultat implementacije prijetnje, uljez dobiva prava pristupa koje je njegov korisnik uspostavio za povjerljivog pretplatnika tehničkom alatu ISPD - meti prijetnji.
5. Nametanje lažne mrežne rute.
Ova se prijetnja realizira na jedan od dva načina: unutarsegmentnim ili međusegmentnim nametanjem. Mogućnost nametanja lažne rute je zbog nedostataka svojstvenih algoritmima usmjeravanja (osobito zbog problema identificiranja mrežnih kontrolnih uređaja), zbog čega možete doći, na primjer, do glavnog računala ili mreže napadač, gdje možete ući u radno okruženje tehničkog uređaja kao dio ISPD-a. Prijetnja se temelji na neovlaštenom korištenju protokola usmjeravanja (RIP, OSPF, LSP) i protokola za upravljanje mrežom (ICMP, SNMP) za izmjene u tablicama adresa ruta. U tom slučaju napadač treba poslati kontrolnu poruku u ime mrežnog kontrolnog uređaja (primjerice rutera) (slike 8 i 9).
Slika 8. Shema implementacije napada “False route imposition” (intra-segment) korištenjem ICMP protokola za prekid komunikacije
Slika 9. Shema implementacije prijetnje „Nametanje lažne rute“ (intersegment) u svrhu presretanja prometa
6. Injektiranje lažnog mrežnog objekta.
Ova se prijetnja temelji na iskorištavanju nedostataka u algoritmima daljinskog pretraživanja. Ako mrežni objekti u početku nemaju podatke o adresama jedan o drugom, koriste se različiti protokoli za daljinsko pretraživanje (na primjer, SAP u mrežama Novell NetWare; ARP, DNS, WINS u mrežama s TCP/IP skupom protokola), koji se sastoje od prijenosa posebnih zahtjeve i primanje odgovora na njih sa traženim podacima. U tom slučaju postoji mogućnost presretanja od strane uljeza upit za pretraživanje i izdavanje lažnog odgovora na njega, čija će uporaba dovesti do potrebne promjene u podacima o usmjeravanju i adresi. U budućnosti će cijeli protok informacija povezan s objektom žrtve prolaziti kroz lažni mrežni objekt (slike 10 - 13).
Slika 10. Shema implementacije prijetnje “False ARP server injection”.
Slika 11. Shema implementacije prijetnje “Ubacivanje lažnog DNS poslužitelja” presretanjem DNS zahtjeva
Slika 12. Shema implementacije prijetnje „ubacivanje lažnog DNS poslužitelja“ jurišanjem DNS odgovora na mrežno računalo
Slika 13. Shema implementacije prijetnje “Ubacivanje lažnog DNS poslužitelja” napadom DNS odgovora na DNS poslužitelj
7. Uskraćivanje usluge.
Te se prijetnje temelje na nedostacima u mrežnom softveru, njegovim ranjivostima koje napadaču omogućuju stvaranje uvjeta u kojima operativni sustav ne može obraditi dolazne pakete.
Može se razlikovati nekoliko vrsta takvih prijetnji:
a) skriveno uskraćivanje usluge uzrokovano korištenjem dijela ISDN resursa za obradu paketa koje prenosi napadač, smanjenjem kapaciteta komunikacijskih kanala, performansi mrežnih uređaja i kršenjem zahtjeva za vremenom obrade zahtjeva. Primjeri implementacije prijetnji ove vrste uključuju: usmjerenu oluju echo zahtjeva putem ICMP protokola (Ping flooding), oluju zahtjeva za uspostavljanje TCP veze (SYN-flooding), oluju zahtjeva prema FTP poslužitelju;
b) očito uskraćivanje usluge uzrokovano iscrpljivanjem ISDN resursa prilikom obrade paketa koje je odaslao napadač (zauzimanje cijele propusnosti komunikacijskih kanala, prekoračenje redova servisnih zahtjeva), pri čemu se legitimni zahtjevi ne mogu prenijeti kroz mrežu zbog nedostupnost prijenosnog medija ili primljeno odbijanje usluge zbog prekoračenja reda čekanja zahtjeva, prostora na disku itd. Primjeri prijetnji ovog tipa uključuju oluju emitiranih ICMP echo zahtjeva (Smurf), usmjerenu oluju (SYN-flooding), oluju poruka poslužitelj pošte(Spam);
c) očito uskraćivanje usluge uzrokovano kršenjem logičke povezanosti između ISDN tehničkih sredstava kada prekršitelj prenosi kontrolne poruke u ime mrežnih uređaja, što dovodi do promjena u usmjeravanju i adresnim podacima (na primjer, ICMP Redirect Host, DNS-flooding) ili informacije o identifikaciji i autentifikaciji;
D) očito uskraćivanje usluge uzrokovano napadačem koji šalje pakete s nestandardnim atributima (prijetnje poput "Land", "TearDrop", "Bonk", "Nuke", "UDP-bomba") ili imaju duljinu koja premašuje maksimalnu dopuštene veličine (prijetnja poput "Ping Death"), što može dovesti do kvara mrežnih uređaja uključenih u obradu zahtjeva, pod uvjetom da postoje pogreške u programima koji implementiraju mrežne komunikacijske protokole.
Rezultat implementacije ove prijetnje može biti poremećaj funkcionalnosti odgovarajuće usluge za pružanje daljinskog pristupa osobnim podacima u ISPD-u, prijenos s jedne adrese tolikog broja zahtjeva za povezivanje s tehničkim objektom u sklopu ISPD koji maksimalni promet može “primiti” (usmjereni “request storm”), koji podrazumijeva prekoračenje reda zahtjeva i kvar jedne od mrežnih usluga ili potpuni prekid rada računala zbog nemogućnosti sustava da učiniti bilo što osim obrade zahtjeva.
8. Udaljeno pokretanje aplikacije.
Prijetnja leži u želji da se na ISPD hostu pokrenu razni unaprijed ubačeni maliciozni programi: programi za označavanje, virusi, „mrežni špijuni“, čija je glavna svrha narušavanje povjerljivosti, integriteta, dostupnosti informacija i potpune kontrole nad rad hosta. Osim toga, moguće je neovlašteno pokretanje korisničkih aplikacijskih programa radi dobivanja neovlaštenih podataka potrebnih uljezu, pokretanja procesa nadziranih aplikacijskim programom i sl.
Postoje tri podklase ovih prijetnji:
1) distribucija datoteka koje sadrže neovlašteni izvršni kod;
2) daljinsko pokretanje aplikacije prekoračenjem međuspremnika aplikacijskog poslužitelja;
3) daljinsko pokretanje aplikacije korištenjem mogućnosti daljinskog upravljanja sustavom koje pružaju skrivene programske i hardverske knjižne oznake ili korišteni standardni alati.
Tipične prijetnje prve od ovih podklasa temelje se na aktiviranju distribuiranih datoteka kada im se slučajno pristupi. Primjeri takvih datoteka uključuju: datoteke koje sadrže izvršni kod u obliku makro naredbi ( Microsoftovi dokumenti Word, Excel, itd.); html dokumenti koji sadrže izvršni kod u obliku ActiveX elemenata, Java appleta, interpretiranih skripti (na primjer, JavaScript tekstovi); datoteke koje sadrže izvršne programske kodove. Usluge e-pošte, prijenosa datoteka i mrežnog sustava datoteka mogu se koristiti za distribuciju datoteka.
Prijetnje druge podklase iskorištavaju nedostatke u programima koji implementiraju mrežne usluge (osobito nedostatak kontrole prelijevanja međuspremnika). Podešavanjem sistemskih registara, ponekad je moguće prebaciti procesor nakon prekida uzrokovanog prekoračenjem međuspremnika da izvrši kod koji se nalazi izvan granice međuspremnika. Primjer provedbe takve prijetnje je uvođenje dobro poznatog “Morris virusa”.
Kod prijetnji treće podklase uljez koristi mogućnosti daljinske kontrole sustava koju pružaju skrivene komponente (primjerice, trojanski programi kao što su Back Orifice, Net Bus) ili standardni alati za upravljanje i administraciju računalne mreže (Landesk Management Suite, Managewise, Back Otvor, itd.). Njihovom uporabom moguće je postići daljinsko upravljanje stanicom na mreži.
Shematski, glavne faze rada ovih programa su sljedeće:
instalacija u memoriju;
čekanje zahtjeva od udaljenog glavnog računala na kojem se izvodi program klijenta i razmjena poruka o spremnosti s njim;
Prijenos presretnutih informacija klijentu ili davanje kontrole nad napadnutim računalom.
Moguće posljedice implementacije prijetnji različitih klasa prikazane su u tablici 3.
Tablica 3
Moguće posljedice implementacije prijetnji različitih klasa
| N p/p | Vrsta napada | Moguće posljedice | |
| 1 | Analiza mrežnog prometa | Istraživanje karakteristika mrežnog prometa, presretanje prenesenih podataka, uključujući korisničke ID-ove i lozinke | |
| 2 | Mrežno skeniranje | Određivanje protokola, dostupnih priključaka mrežnih usluga, zakona za formiranje identifikatora veze, aktivnih mrežnih usluga, korisničkih ID-ova i lozinki | |
| 3 | Napad "lozinkom". | Izvođenje bilo kakvih destruktivnih radnji povezanih s neovlaštenim pristupom | |
| 4 | Zamjena pouzdanog mrežnog objekta | Promjena putanje poruka, neovlaštena promjena podataka o usmjeravanju i adresi. Neovlašteni pristup mrežnim resursima, nametanje lažnih informacija | |
| 5 | Nametanje lažnog puta | Neovlaštena promjena podataka o usmjeravanju i adresi, analiza i izmjena prenesenih podataka, nametanje lažnih poruka | |
| 6 | False Network Object Injection | Presretanje i praćenje prometa. Neovlašteni pristup mrežnim resursima, nametanje lažnih informacija | |
| 7 | Uskraćivanje usluge | Djelomično iscrpljivanje resursa | Smanjeni kapacitet komunikacijskog kanala i performanse mrežnog uređaja. Smanjena izvedba poslužiteljskih aplikacija |
| Potpuna iscrpljenost resursa | Nemogućnost prijenosa poruka zbog nedostatka pristupa prijenosnom mediju, odbijanje uspostavljanja veze. Odbijanje pružanja usluge (e-mail, datoteka, itd.) | ||
| Kršenje logičke povezanosti između atributa, podataka, objekata | Nemogućnost prijenosa poruka zbog nedostatka ispravnih podataka o usmjeravanju i adresi. Nemogućnost primanja usluga zbog neovlaštene izmjene identifikatora, lozinki itd. | ||
| Korištenje grešaka u programima | Neispravnost mrežnih uređaja | ||
| 8 | Udaljeno pokretanje aplikacije | Slanjem datoteka koje sadrže destruktivan izvršni kod, infekcija virusom | Povreda povjerljivosti, integriteta, dostupnosti informacija |
| Prepunjavanjem međuspremnika poslužiteljske aplikacije | |||
| Korištenjem mogućnosti daljinskog upravljanja sustavom koje pružaju skrivene programske i hardverske knjižne oznake ili korišteni standardni alati | Skrivena kontrola sustava | ||
Proces implementacije prijetnje općenito se sastoji od četiri faze:
prikupljanje informacija;
intruzije (prodor u radnu okolinu);
provedba neovlaštenog pristupa;
uklanjanje tragova neovlaštenog pristupa.
U fazi prikupljanja informacija, prekršitelja mogu zanimati različite informacije o ISPD-u, uključujući:
a) o topologiji mreže u kojoj sustav radi. U tom slučaju može se ispitati područje oko mreže (na primjer, napadača mogu zanimati adrese pouzdanih, ali manje sigurnih hostova). Jednostavne naredbe mogu se koristiti za određivanje dostupnosti hosta (na primjer, ping naredba za slanje ICMP ECHO_REQUEST zahtjeva i čekanje ICMP ECHO_REPLY odgovora na njih). Postoje pomoćni programi za paralelnu dostupnost hosta (kao što je fping) koji mogu skenirati veliko područje adresnog prostora radi dostupnosti hosta u kratkom vremenskom razdoblju. Mrežna topologija često se određuje na temelju "broja čvorova" (udaljenost između hostova). Mogu se koristiti tehnike kao što su "ttL modulacije" i snimanja ruta.
Metoda "ttL modulation" implementirana je programom traceroute (za Windows NT - tracert.exe) i sastoji se u modulaciji ttL polja IP paketa. ICMP paketi generirani naredbom ping mogu se koristiti za snimanje rute.
Prikupljanje podataka može se temeljiti i na zahtjevima:
DNS poslužitelju o popisu registriranih (i vjerojatno aktivnih) hostova;
usmjerivaču na temelju RIP protokola o poznatim rutama (informacije o topologiji mreže);
Na neispravno konfigurirane uređaje koji podržavaju SNMP protokol (informacije o topologiji mreže).
Ako se ISPD nalazi iza vatrozida (FW), moguće je prikupiti informacije o konfiguraciji vatrozida i topologiji ISPD-a iza vatrozida, uključujući slanje paketa na sve priključke svih navodnih hostova internog (zaštićenog) ) mreža;
b) o vrsti operacijskog sustava (OS) u ISPD-u. Najviše poznata metoda određivanje vrste OS-a domaćina temelji se na činjenici da Različite vrste Operativni sustavi implementiraju RFC standarde za TCP/IP stog na različite načine. To omogućuje napadaču daljinsku identifikaciju vrste OS-a instaliranog na ISPD hostu slanjem posebno izrađenih zahtjeva i analizom primljenih odgovora.
Postoje posebni alati koji implementiraju ove metode, posebice Nmap i QueSO. Također možete primijetiti takvu metodu za određivanje vrste OS-a kao najjednostavniji zahtjev za uspostavljanje veze pomoću telnet protokola za daljinski pristup (telnet veze), kao rezultat čega " izgled" odgovor, možete odrediti vrstu OS-a hosta. Prisutnost određenih usluga također može poslužiti kao dodatni znak za određivanje vrste OS-a hosta;
C) o uslugama koje rade na hostovima. Utvrđivanje koje se usluge izvode na glavnom računalu temelji se na tehnici "otvorenog priključka" koja prikuplja informacije o dostupnosti glavnog računala. Na primjer, da bi se utvrdila dostupnost UDP porta, potrebno je primiti odgovor kao odgovor na slanje UDP paketa na odgovarajući port:
ako je odgovor poruka ICMP PORT UNREACHEBLE, tada odgovarajuća usluga nije dostupna;
ako ova poruka nije primljena, port je "otvoren".
Postoje vrlo različite varijacije u korištenju ove metode ovisno o protokolu koji se koristi u skupu TCP/IP protokola.
Kako bi se automatiziralo prikupljanje informacija o ISPD-u, razvijeni su mnogi softverski alati. Kao primjer može se navesti sljedeće:
1) Strobe, Portscanner - optimizirani alati za određivanje dostupnih usluga na temelju prozivanja TCP portova;
2) Nmap - alat za skeniranje dostupnih usluga, dizajniran za Linux, FreeBSD, Open BSD, Solaris, Windows NT. Trenutno je najpopularniji alat za skeniranje mrežnih usluga;
3) Queso je vrlo precizan alat za određivanje OS-a mrežnog računala na temelju slanja lanca točnih i netočnih TCP paketa, analize odgovora i usporedbe s mnogim poznatim odgovorima različitih OS-ova. Ovaj alat također je danas popularan alat za skeniranje;
4) Cheops - skener topologije mreže omogućuje vam da dobijete topologiju mreže, uključujući sliku domene, područja IP adresa itd. Ovo određuje glavni OS, što je moguće bolje mrežni uređaji(pisači, ruteri, itd.);
5) Firewalk - skener koji koristi metode programa traceroute za analizu odgovora na IP pakete kako bi odredio konfiguraciju vatrozida i izgradio topologiju mreže.
U fazi invazije istražuje se prisutnost tipičnih ranjivosti u uslugama sustava ili grešaka u administraciji sustava. Uspješno iskorištavanje ranjivosti obično rezultira time da proces napadača dobije povlašteni način izvršavanja (pristup povlaštenom načinu izvršavanja naredbenog procesora), uvođenje ilegalnog korisničkog računa u sustav, dobivanje datoteke lozinke ili ometanje funkcionalnosti napadnutog glavnog računala.
Ova faza razvoja prijetnje obično je višefazna. Faze procesa realizacije prijetnje mogu uključivati, na primjer:
uspostavljanje veze s hostom protiv kojeg se prijetnja provodi;
Identifikacija ranjivosti;
uvođenje zlonamjernog programa u interesu proširenja prava itd.
Prijetnje implementirane u fazi upada dijele se na razine TCP/IP protokolnog steka, budući da se formiraju na mrežnoj, transportnoj ili aplikativnoj razini, ovisno o korištenom mehanizmu upada.
Tipične prijetnje implementirane na razini mreže i prijenosa uključuju sljedeće:
a) prijetnja usmjerena na zamjenu pouzdanog objekta;
b) prijetnja usmjerena na stvaranje lažne rute u mreži;
C) prijetnje usmjerene na stvaranje lažnog objekta korištenjem nedostataka algoritama daljinskog pretraživanja;
D) prijetnje uskraćivanjem usluge temeljene na IP defragmentaciji, na formiranju netočnih ICMP zahtjeva (primjerice, napadi “Ping of Death” i “Smurf”), na formiranju netočnih TCP zahtjeva (napad “Land”), na stvaranje “oluje” paketa sa zahtjevima za povezivanje (“SYN Flood” napadi) itd.
Tipične prijetnje implementirane na razini aplikacije uključuju prijetnje usmjerene na neovlašteno pokretanje aplikacija, prijetnje čija je implementacija povezana s uvođenjem softverskih oznaka (kao što je trojanski konj), s identifikacijom pristupnih lozinki mreži ili određenom hostu itd. .
Ako implementacija prijetnje ne daje uljezu najviša prava pristupa u sustavu, može se pokušati proširiti ta prava na najvišu moguću razinu. U tu svrhu mogu se koristiti ranjivosti ne samo mrežnih usluga, već i ranjivosti sistemskog softvera ISDN hostova.
U fazi implementacije neovlaštenog pristupa postiže se stvarni cilj implementacije prijetnje:
povreda povjerljivosti (kopiranje, neovlaštena distribucija);
Povreda cjelovitosti (uništenje, promjena);
kršenje pristupačnosti (blokiranje).
U istoj fazi, nakon ovih radnji, u pravilu se formiraju takozvana "stražnja vrata" u obliku jedne od usluga (daemona) koji opslužuju određeni port i izvršavaju naredbe uljeza. U sustavu su ostavljena "stražnja vrata" kako bi se osiguralo:
mogućnost dobivanja pristupa glavnom računalu, čak i ako administrator eliminira ranjivost korištenu za uspješnu implementaciju prijetnje;
mogućnost pristupa hostu što je moguće tajnije;
Mogućnost brzog pristupa hostu (bez ponovnog ponavljanja procesa implementacije prijetnje).
"Stražnja vrata" omogućuju napadaču da ubaci zlonamjerni program u mrežu ili na određeni host, na primjer, "njuškalo zaporke" - program koji izdvaja korisničke ID-ove i zaporke iz mrežnog prometa kada su protokoli pokrenuti visoka razina(ftp, telnet, rlogin, itd.). Objekti ubacivanja zlonamjernog softvera mogu biti programi za autentifikaciju i identifikaciju, mrežne usluge, jezgra operativnog sustava, sustav datoteka, knjižnice itd.
Konačno, u fazi uklanjanja tragova prijetnje pokušava se uništiti tragove djelovanja uljeza. U tom slučaju, odgovarajući unosi se brišu iz svih mogućih dnevnika revizije, uključujući unose o činjenici prikupljanja informacija.
5.5. Opće karakteristike prijetnji softverskih i matematičkih utjecajaProgramsko-matematički utjecaj je utjecaj korištenjem zlonamjernih programa. Program s potencijalno opasnim posljedicama ili zlonamjerni program je neki neovisni program (skup uputa) koji je sposoban izvršiti bilo koji neprazan podskup sljedećih funkcija:
Sakrijte znakove svoje prisutnosti u okruženju računalnog softvera;
Imati sposobnost samodupliciranja, povezivanja s drugim programima i (ili) prijenosa svojih fragmenata u druga područja RAM-a ili vanjske memorije;
uništiti (na bilo koji način iskriviti) kod programa u RAM-u;
obavljati destruktivne funkcije (kopiranje, uništavanje, blokiranje, itd.) bez inicijacije korisnika (korisnički program u svom normalnom načinu rada);
Pohranite dijelove informacija iz RAM-a u neka područja vanjske memorije s izravnim pristupom (lokalne ili udaljene);
Proizvoljno iskriviti, blokirati i (ili) zamijeniti niz informacija izlaznih u vanjsku memoriju ili komunikacijski kanal, formiran kao rezultat rada aplikacijskih programa, ili nizova podataka koji se već nalaze u vanjskoj memoriji.
Zlonamjerni programi mogu biti uneseni (uneseni) namjerno i slučajno u softver koji se koristi u ISPD-u tijekom njegovog razvoja, održavanja, modifikacije i konfiguracije. Osim toga, zlonamjerni programi mogu se uvesti tijekom rada ISPD-a s vanjskog medija za pohranu ili kroz mrežnu interakciju, bilo kao rezultat neovlaštenog pristupa ili slučajno od strane korisnika ISPD-a.
Suvremeni zlonamjerni softver temelji se na korištenju ranjivosti u različitim vrstama softvera (sustavski, opći, aplikacijski) i različitim mrežnim tehnologijama, ima širok raspon destruktivnih mogućnosti (od neovlaštenog ispitivanja ISPD parametara bez ometanja funkcioniranja ISPD-a, do uništavanja PD i ISPD softvera) i može djelovati u svim vrstama softvera (sustav, aplikacija, hardverski upravljački programi itd.).
Prisutnost zlonamjernih programa u ISPD-u može doprinijeti pojavi skrivenih, uključujući netradicionalne kanale pristupa informacijama, koji omogućuju otvaranje, zaobilaženje ili blokiranje sigurnosnih mehanizama u sustavu, uključujući lozinku i kriptografsku zaštitu.
Glavne vrste zlonamjernog softvera su:
softverske knjižne oznake;
klasični programski (računalni) virusi;
zlonamjerni programi koji se šire mrežom (mrežni crvi);
Ostali zlonamjerni programi osmišljeni za obavljanje nezakonitih aktivnosti.
Knjižne oznake softvera uključuju programe, fragmente koda i upute koje tvore nedeklarirane mogućnosti softvera. Zlonamjerni programi mogu se mijenjati iz jedne vrste u drugu, na primjer, softverska knjižna oznaka može generirati softverski virus, koji zauzvrat, kada je izložen mrežnim uvjetima, može formirati mrežnog crva ili drugi zlonamjerni program dizajniran za neovlašteni pristup.
Klasifikacija softverskih virusa i mrežnih crva prikazana je na slici 14. Kratak opis glavnih malicioznih programa je kako slijedi. Virusi za pokretanje zapisuju se ili u sektor za pokretanje diska (boot sector), ili u sektor koji sadrži program za pokretanje sustava tvrdog diska (Master Boot Record), ili mijenjaju pokazivač na aktivni sektor za pokretanje. Ugrađuju se u memoriju računala prilikom pokretanja sa zaraženog diska. U ovom slučaju, program za pokretanje sustava čita sadržaj prvog sektora diska s kojeg se pokreće, smješta pročitane informacije u memoriju i prenosi kontrolu na njega (tj. na virus). Nakon toga počinju se izvršavati upute virusa, koji u pravilu smanjuje količinu slobodne memorije, kopira svoj kod u slobodni prostor i čita njegov nastavak s diska (ako postoji), presreće potrebne vektore prekida (obično INT 13H), čita izvorni boot sektor i prenosi kontrolu na njega.
Nakon toga, boot virus ponaša se na isti način kao datotečni virus: presreće pozive operativnog sustava prema diskovima i inficira ih, ovisno o određenim uvjetima, izvodi destruktivne radnje, izaziva zvučne efekte ili video efekte.
Glavna destruktivna djelovanja ovih virusa su:
uništavanje informacija u sektorima disketa i tvrdih diskova;
Uklanjanje mogućnosti učitavanja operativnog sustava (računalo se zamrzava);
oštećenje koda bootloadera;
formatiranje disketa ili logičkih pogona tvrdog diska;
blokiranje pristupa COM i LPT priključcima;
zamjena znakova pri ispisu tekstova;
trzanje ekrana;
mijenjanje oznake diska ili diskete;
stvaranje klastera pseudo-failure;
stvaranje zvučnih i/ili vizualnih efekata (na primjer, slova koja padaju na ekran);
oštećenje podatkovnih datoteka;
prikazivanje raznih poruka na ekranu;
Onemogućavanje perifernih uređaja (na primjer, tipkovnice);
promjena palete zaslona;
Ispunjavanje zaslona stranim znakovima ili slikama;
isključivanje zaslona i prebacivanje u stanje pripravnosti za unos s tipkovnice;
šifriranje sektora tvrdog diska;
selektivno uništavanje znakova prikazanih na ekranu prilikom tipkanja s tipkovnice;
smanjenje količine RAM-a;
poziv za ispis sadržaja zaslona;
blokiranje pisanja na disk;
uništavanje particijske tablice (Disk Partition Table), nakon čega se računalo može pokrenuti samo s diskete;
blokiranje pokretanja izvršnih datoteka;
Blokiranje pristupa tvrdom disku.
Slika 14. Klasifikacija softverskih virusa i mrežnih crva
Većina virusa za pokretanje zapisuje se na diskete.
Metoda zaraze "prepisivanjem" je najjednostavnija: virus piše vlastiti kod umjesto koda zaražene datoteke, uništavajući njezin sadržaj. Naravno, u ovom slučaju datoteka prestaje raditi i ne vraća se. Takvi se virusi vrlo brzo otkrivaju jer operativni sustav i aplikacije dosta brzo prestaju raditi.
Kategorija "pratitelj" uključuje viruse koji ne mijenjaju zaražene datoteke. Algoritam rada ovih virusa je da se za zaraženu datoteku kreira duplikat datoteke, a kada se zaražena datoteka pokrene, taj duplikat, odnosno virus, preuzima kontrolu. Najčešći popratni virusi su oni koji koriste značajku DOS-a za prvo pokretanje datoteka s nastavkom .COM ako postoje dvije datoteke u istom direktoriju s istim imenom, ali različitim nastavcima naziva - .COM i .EXE. Takvi virusi stvaraju satelitske datoteke za EXE datoteke koje imaju isti naziv, ali s nastavkom .COM, npr. za datoteku XCOPY.EXE stvara se datoteka XCOPY.COM. Virus se zapisuje u COM datoteku i ni na koji način ne mijenja EXE datoteku. Prilikom pokretanja takve datoteke DOS će prvo detektirati i pokrenuti COM datoteku, odnosno virus, koji će potom pokrenuti EXE datoteku. Drugu skupinu čine virusi koji kada su zaraženi preimenuju datoteku u neko drugo ime, zapamte je (za kasnije pokretanje host datoteke) i zapišu svoj kod na disk pod imenom zaražene datoteke. Na primjer, datoteka XCOPY.EXE je preimenovana u XCOPY.EXD, a virus je snimljen pod imenom XCOPY.EXE. Kada se pokrene, kontrola prima kod virusa, koji zatim pokreće izvorni XCOPY, pohranjen pod imenom XCOPY.EXD. Zanimljiva je činjenica da se čini da ova metoda radi na svim operativnim sustavima. Treća skupina uključuje takozvane "Path-companion" viruse. Oni ili zapišu svoj kod pod imenom zaražene datoteke, ali “više” jednu razinu u propisanim stazama (DOS će tako prvi otkriti i pokrenuti datoteku virusa), ili pomaknu datoteku žrtve jedan poddirektorij više itd. .
Mogu postojati i druge vrste popratnih virusa koji koriste druge izvorne ideje ili značajke drugih operativnih sustava.
Datotečni crvi su, u neku ruku, vrsta pratećeg virusa, ali ni na koji način ne povezuju svoju prisutnost s bilo kojom izvršnom datotekom. Kada se reproduciraju, jednostavno kopiraju svoj kod u neke direktorije na disku u nadi da će te nove kopije jednog dana pokrenuti korisnik. Ponekad ti virusi svojim kopijama daju "posebna" imena kako bi potaknuli korisnika da pokrene njihovu kopiju - na primjer, INSTALL.EXE ili WINSTART.BAT. Postoje virusi crvi koji koriste prilično neobične tehnike, na primjer, pisanje vlastitih kopija u arhive (ARJ, ZIP i drugi). Neki virusi zapisuju naredbu za pokretanje zaražene datoteke u BAT datotekama. File crve ne treba brkati s mrežnim crvima. Prvi koriste samo funkcije datoteka bilo kojeg operacijskog sustava, dok drugi koriste mrežne protokole za njihovu reprodukciju.
Link virusi, kao i popratni virusi, ne mijenjaju fizički sadržaj datoteka, ali kada se zaražena datoteka pokrene, oni "prisiljavaju" OS da izvrši svoj kod. Taj cilj postižu modificiranjem potrebnih polja datotečnog sustava.
Virusi koji zaraze biblioteke prevoditelja, objektne module i izvorne kodove programa prilično su egzotični i praktički neuobičajeni. Virusi koji zaraze OBJ i LIB datoteke upisuju svoj kod u njih u formatu objektnog modula ili biblioteke. Zaražena datoteka stoga nije izvršna i nije sposobna dalje širiti virus u svom trenutnom stanju. Nositelj "živog" virusa postaje COM ili EXE datoteka.
Nakon što je preuzeo kontrolu, file virus izvodi sljedeće opće radnje:
Provjerava RAM na prisutnost svoje kopije i inficira memoriju računala ako kopija virusa nije pronađena (ako je virus rezidentni), traži nezaražene datoteke u trenutnom i (ili) korijenskom direktoriju skeniranjem stabla direktorija logičkog diskove, a zatim zarazi otkrivene datoteke;
obavlja dodatne (ako postoje) funkcije: destruktivne radnje, grafičke ili zvučne efekte itd. (dodatne funkcije rezidentnog virusa mogu se pozvati neko vrijeme nakon aktivacije, ovisno o trenutnom vremenu, konfiguraciji sustava, internim brojačima virusa ili drugim uvjetima; u ovom slučaju, kada se aktivira, virus obrađuje stanje sistemskog sata, postavlja svoj brojači itd.);
Treba napomenuti da što se virus brže širi, to je veća vjerojatnost da će doći do epidemije ovog virusa; što se virus sporije širi, to ga je teže otkriti (osim, naravno, ako je ovaj virus nepoznat). Nerezidentni virusi često su "spori" - većina njih inficira jednu ili dvije ili tri datoteke prilikom pokretanja i nemaju vremena zaraziti računalo prije pokretanja antivirusnog programa (ili se pojavi nova verzija antivirusa konfiguriranog za ovaj virus ). Postoje, naravno, nerezidentni "brzi" virusi koji, kada se pokrenu, traže i zaraze sve izvršne datoteke, ali takvi su virusi vrlo uočljivi: kada se svaka zaražena datoteka pokrene, računalo aktivno radi s tvrdim diskom za neke (ponekad prilično dugo) vrijeme, koje demaskira virus. Brzina širenja (infekcije) rezidentnih virusa obično je veća nego kod nerezidentnih virusa - oni inficiraju datoteke kada im se pristupi. Kao rezultat, sve ili gotovo sve datoteke na disku koje se stalno koriste u radu postaju zaražene. Brzina širenja (infekcije) rezidentnih datotečnih virusa koji zaraze datoteke samo kada se pokreću na izvršenje bit će niža od one kod virusa koji zaraze datoteke i kada se otvaraju, preimenuju, mijenjaju atribute datoteke itd.
Dakle, glavne destruktivne akcije koje izvode datotečni virusi povezane su s oštećenjem datoteka (obično izvršnih ili podatkovnih datoteka), neovlaštenim pokretanjem raznih naredbi (uključujući naredbe za formatiranje, uništavanje, kopiranje itd.), promjenom tablice vektora prekida itd. U isto vrijeme, mnoge destruktivne radnje slične onima naznačenim za viruse za pokretanje također se mogu izvesti.
Makro virusi su programi na jezicima (makrojezici) ugrađeni u neke sustave za obradu podataka (uređivači teksta, proračunske tablice itd.). Za reprodukciju, takvi virusi koriste mogućnosti makro jezika i uz njihovu pomoć se prenose iz jedne zaražene datoteke (dokumenta ili tablice) u druge. Najrašireniji makro virusi su oni za Microsoft Office paket aplikacija.
Da bi virusi postojali u određenom sustavu (editor), potrebno je imati makro jezik ugrađen u sustav sa sljedećim mogućnostima:
1) povezivanje programa u makro jeziku s određenom datotekom;
2) kopiranje makro programa iz jedne datoteke u drugu;
3) dobivanje kontrole nad makro programom bez intervencije korisnika (automatski ili standardni makroi).
Ove uvjete ispunjava primijenjena Microsoft programi Word, Excel i Microsoft Access. Sadrže makro jezike: Word Basic, Visual Basic za aplikacije. pri čemu:
1) makro programi su vezani za određenu datoteku ili se nalaze unutar datoteke;
2) makro jezik vam omogućuje kopiranje datoteka ili premještanje makro programa u sistemske servisne datoteke i datoteke koje je moguće uređivati;
3) pri radu s datotekom pod određenim uvjetima (otvaranje, zatvaranje i sl.) pozivaju se makro programi (ako postoje) koji su definirani na poseban način ili imaju standardna imena.
Ova značajka makrojezika namijenjena je automatskoj obradi podataka u velikim organizacijama ili u globalnim mrežama i omogućuje organiziranje takozvanog "automatiziranog protoka dokumenata". S druge strane, mogućnosti makro jezika takvih sustava omogućuju virusu da prenese svoj kod u druge datoteke i tako ih zarazi.
Većina makro virusa nije aktivna samo u trenutku otvaranja (zatvaranja) datoteke, već sve dok je aktivan sam uređivač. Sadrže sve svoje funkcije kao standardne Word/Excel/Office makronaredbe. Međutim, postoje virusi koji koriste tehnike za skrivanje svog koda i pohranjuju svoj kod u obliku ne-makronaredbi. Postoje tri poznate tehnike, od kojih sve koriste sposobnost makronaredbi za stvaranje, uređivanje i izvršavanje drugih makronaredbi. Takvi virusi u pravilu imaju mali (ponekad polimorfni) program za učitavanje makroa virusa, koji poziva ugrađeni uređivač makroa, kreira novi makro, popunjava ga glavnim kodom virusa, izvršava ga i zatim ga, u pravilu, uništava. (za skrivanje tragova virusa). Glavni kod takvih virusa prisutan je ili u samoj makronaredbi virusa u obliku tekstualnih nizova (ponekad šifriranih) ili je pohranjen u varijabilnom području dokumenta.
Mrežni virusi uključuju viruse koji aktivno koriste protokole i mogućnosti lokalnih i globalnih mreža za širenje. Glavno načelo rada mrežnog virusa je mogućnost samostalnog prijenosa koda na udaljeni poslužitelj ili radnu stanicu. “Punopravni” mrežni virusi također imaju mogućnost pokretanja svog koda na udaljenom računalu ili, barem, “guranja” korisnika da pokrene zaraženu datoteku.
Zlonamjerni programi koji omogućuju neovlašteni pristup mogu biti:
programi za odabir i otvaranje lozinki;
programi koji implementiraju prijetnje;
Programi koji demonstriraju korištenje nedeklariranih mogućnosti ISPD softvera i hardvera;
programi za generiranje računalnih virusa;
programi koji pokazuju ranjivosti alata za informacijsku sigurnost itd.
Kako softver postaje složeniji i raznovrsniji, broj zlonamjernog softvera brzo raste. Danas je poznato više od 120 tisuća potpisa računalnih virusa. Međutim, ne predstavljaju svi stvarnu prijetnju. U mnogim slučajevima uklanjanje ranjivosti u sustavu ili aplikacijskom softveru dovelo je do toga da određeni broj zlonamjernih programa više ne može prodrijeti u njih. Novi malware često predstavlja glavnu prijetnju.
5.6. Opće karakteristike netradicionalnih informacijskih kanalaNetradicionalni informacijski kanal je kanal za tajni prijenos informacija korištenjem tradicionalnih komunikacijskih kanala i posebnih transformacija prenesenih informacija, koje nisu povezane s kriptografskima.
Metode koje se mogu koristiti za formiranje netradicionalnih kanala su:
računalna steganografija;
Na temelju manipulacije različitim ISPD karakteristikama koje se mogu dobiti na ovlašteni način (primjerice, vrijeme obrade raznih zahtjeva, količina raspoložive memorije ili čitljivih identifikatora datoteka ili procesa itd.).
Metode računalne steganografije osmišljene su da sakriju činjenicu prijenosa poruke ugrađivanjem skrivenih informacija u naizgled bezopasne podatke (tekstualne, grafičke, audio ili video datoteke) i uključuju dvije skupine metoda koje se temelje na:
O korištenju posebnih svojstava računalnih formata za pohranu i prijenos podataka;
Na redundanciju audio, vizualnih ili tekstualne informacije s pozicije psihofizioloških karakteristika ljudske percepcije.
Klasifikacija metoda računalne steganografije prikazana je na slici 15. Njihove usporedne karakteristike dane su u tablici 4.
Trenutno se najviše razvijaju i koriste metode za skrivanje informacija u grafičkim stegokontejnerima. To je zbog relativno velike količine informacija koje se mogu smjestiti u takve spremnike bez primjetnog izobličenja slike, prisutnosti apriornih informacija o veličini spremnika, postojanja u većini stvarne slike područja teksture koja imaju strukturu šuma i dobro su prikladna za ugrađivanje informacija, sofisticiranost metoda obrade digitalne slike i digitalni formati prezentacija slike. Trenutno postoji cijela linija dostupni i komercijalni i besplatni softverski proizvodi prosječnom korisniku, implementirajući dobro poznate steganografske metode skrivanja informacija. U ovom slučaju uglavnom se koriste grafički i audio spremnici.
Slika 15. Klasifikacija metoda za steganografsku transformaciju informacija (STI)
Tablica 4
Usporedne karakteristike steganografskih metoda za pretvorbu informacija
| Steganografska metoda | Kratak opis metode | Mane | Prednosti |
| Metode skrivanja informacija u audio spremnicima | |||
| Na temelju pisanja poruke u najmanje bitne bitove izvornog signala. U pravilu se kao spremnik koristi nekomprimirani audio signal. | Niska tajnost prijenosa poruka. Mala otpornost na izobličenje. Koristi se samo za određene formate audio datoteka | ||
| Metoda skrivanja na temelju distribucije spektra | Temelji se na generiranju pseudoslučajnog šuma, koji je funkcija ugrađene poruke, i miješanju dobivenog šuma u signal glavnog spremnika kao dodatnu komponentu. Kodiranje tokova informacija raspršivanjem kodiranih podataka po frekvencijskom spektru | ||
| Metoda skrivanja temeljena na eho signalu | Na temelju upotrebe samog audio signala kao signala sličnog šumu, odgođenog za različita vremenska razdoblja ovisno o ugrađenoj poruci ("dial-up echo") | Niska iskorištenost spremnika. Značajni troškovi računanja | Relativno visoka tajnost poruka |
| Metoda skrivanja u fazi signala | Na temelju činjenice da je ljudsko uho neosjetljivo na apsolutnu vrijednost harmonijske faze. Audio signal je podijeljen u niz segmenata, poruka je ugrađena modificiranjem faze prvog segmenta | Niska iskorištenost spremnika | Ima znatno veću tajnost od NZB metoda prikrivanja |
| Metode skrivanja informacija u tekstualnim spremnicima | |||
| Metoda skrivanja temeljena na prostoru | Na temelju umetanja razmaka na kraju redaka, nakon interpunkcijskih znakova, između riječi prilikom poravnavanja duljine redaka | Metode su osjetljive na prijenos teksta iz jednog formata u drugi. Poruka se može izgubiti. Nizak stealth | Dovoljno velika propusnost |
| Metoda skrivanja na temelju sintaktičkih značajki teksta | Na temelju činjenice da interpunkcijska pravila dopuštaju dvosmislenost u postavljanju interpunkcijskih znakova | Vrlo niska propusnost. Poteškoće u otkrivanju poruke | Postoji mogućnost odabira metode koja bi zahtijevala vrlo složene postupke za rješavanje poruke. |
| Metoda skrivanja temeljena na sinonimima | Temelji se na umetanju informacija u tekst izmjenom riječi iz bilo koje skupine sinonima | Složeno u odnosu na ruski jezik zbog široke palete nijansi u različitim sinonimima | Jedna od metoda koje najviše obećavaju. Ima relativno visoku tajnost poruka |
| Metoda skrivanja temeljena na pogreškama | Temelji se na prerušavanju informacijskih bitova u prirodne pogreške, tipfelere, kršenje pravila pisanja kombinacija samoglasnika i suglasnika, zamjenu ćirilice sličnim latiničnim slovima, itd. | Niska propusnost. Brzo otkriveno statističkom analizom | Vrlo jednostavan za korištenje. Visoka tajnost kada ga analiziraju ljudi |
| Metoda skrivanja temeljena na generiranju kvazi-teksta | Na temelju generiranja tekstualnog spremnika korištenjem skupa pravila za konstruiranje rečenica. Koristi simetričnu kriptografiju | Niska propusnost. Besmislenost stvorenog teksta | Tajnost je određena metodama šifriranja i u pravilu je vrlo visoka |
| Metoda skrivanja na temelju značajki fonta | Na temelju umetanja informacija promjenom vrste fonta i veličine slova, kao i mogućnosti ugrađivanja informacija u blokove s identifikatorima nepoznatim pregledniku | Lako se identificira prilikom transformacije mjerila dokumenta, tijekom statističke steganalize | Visoka stopa iskorištenja spremnika |
| Metoda skrivanja na temelju koda dokumenta i datoteke | Na temelju postavljanja informacija u rezervirana i neiskorištena polja promjenjive duljine | Niska tajnost s poznatim formatom datoteke | Jednostavan za korištenje |
| Metoda prikrivanja koja se temelji na korištenju žargona | Na temelju mijenjanja značenja riječi | Niska propusnost. Usko specijalizirani. Nizak stealth | Jednostavan za korištenje |
| Metoda skrivanja na temelju izmjene duljine riječi | Na temelju generiranja tekstualnog spremnika s tvorbom riječi određene duljine prema poznatom pravilu kodiranja | Složenost oblikovanja spremnika i poruke | Dovoljno visoka tajnost kada ga analiziraju ljudi |
| Metoda skrivanja koja se temelji na korištenju prvih slova | Na temelju uvođenja poruke u prva slova riječi teksta s izborom riječi | Poteškoće u sastavljanju poruke. Niska privatnost poruka | Pruža veću slobodu izbora operateru koji smišlja poruku |
| Metode skrivanja informacija u grafičkim spremnicima | |||
| Metoda skrivanja najmanje značajnih bitova | Na temelju pisanja poruke u najmanje bitne bitove izvorne slike | Niska tajnost prijenosa poruka. Niska otpornost na izobličenje | Dovoljno veliki kapacitet spremnika (do 25%) |
| Metoda skrivanja temeljena na modificiranju formata prikaza indeksa | Na temelju smanjenja (zamjene) palete boja i sređivanja boja u pikselima sa susjednim brojevima | Odnosi se uglavnom na komprimirane slike. Niska tajnost prijenosa poruka | Relativno veliki kapacitet spremnika |
| Metoda skrivanja temeljena na korištenju autokorelacijske funkcije | Na temelju pretraživanja pomoću funkcije autokorelacije za područja koja sadrže slične podatke | Složenost izračuna | Otporan na većinu nelinearnih transformacija spremnika |
| Metoda skrivanja koja se temelji na korištenju nelinearne modulacije ugrađene poruke | Temelji se na modulaciji pseudoslučajnog signala signalom koji sadrži skrivene informacije | ||
| Metoda skrivanja koja se temelji na korištenju modulacije znakova ugrađene poruke | Temelji se na modulaciji pseudoslučajnog signala bipolarnim signalom koji sadrži skrivene informacije | Niska točnost detekcije. Izobličenja | Dosta visoka tajnost poruka |
| Metoda skrivanja temeljena na valićnoj transformaciji | Na temelju značajki valićnih transformacija | Složenost izračuna | Visoki stealth |
| Metoda skrivanja temeljena na diskretnoj kosinusnoj transformaciji | Na temelju značajki diskretne kosinusne transformacije | Izračun težine | Visoki stealth |
U netradicionalnim informacijskim kanalima, temeljenim na manipulaciji različitim karakteristikama ISDN resursa, neki zajednički resursi koriste se za prijenos podataka. U isto vrijeme, u kanalima koji koriste vremenske karakteristike, modulacija se provodi na temelju vremena zauzetosti zajedničkog resursa (na primjer, moduliranjem vremena zauzetosti procesora, aplikacije mogu razmjenjivati podatke).
U memorijskim kanalima, resurs se koristi kao međuspremnik (na primjer, aplikacije mogu razmjenjivati podatke stavljajući ih u nazive stvorenih datoteka i direktorija). Izvori baza podataka i znanja koriste ovisnosti između podataka koji nastaju u relacijskim bazama podataka i znanja.
Netradicionalni informacijski kanali mogu se formirati na različitim razinama funkcioniranja ISPD-a:
na hardverskoj razini;
na razini mikrokodova i upravljačkih programa uređaja;
na razini operativnog sustava;
na razini aplikacijskog softvera;
na razini funkcioniranja kanala prijenosa podataka i komunikacijskih linija.
Ovi se kanali mogu koristiti i za tajni prijenos kopiranih informacija, kao i za tajni prijenos naredbi za izvođenje destruktivnih radnji, pokretanje aplikacija itd.
Za implementaciju kanala, u pravilu, potrebno je uvesti u automatizirani sustav softversku ili hardversko-softversku komponentu koja osigurava formiranje netradicionalnog kanala.
Netradicionalni informacijski kanal može postojati u sustavu kontinuirano ili se aktivirati jednokratno ili pod određenim uvjetima. U ovom slučaju moguće je da postoji povratna informacija od subjekta NSD-a.
5.7. Opće karakteristike rezultata neovlaštenog ili slučajnog pristupaImplementacija prijetnji neovlaštenog pristupa informacijama može dovesti do sljedećih vrsta kršenja njihove sigurnosti:
povreda povjerljivosti (kopiranje, neovlaštena distribucija);
Povreda cjelovitosti (uništenje, promjena);
kršenje pristupačnosti (blokiranje).
Do povrede povjerljivosti može doći u slučaju curenja informacija:
kopiranje na otuđivi medij za pohranu;
prijenos putem podatkovnih kanala;
kada ga pregledavate ili kopirate tijekom popravka, modifikacije i odlaganja softvera i hardvera;
tijekom “odvoza smeća” od strane prekršitelja tijekom rada ISPD-a.
Povreda cjelovitosti informacija provodi se zbog utjecaja (modifikacije) korisničkih programa i podataka, kao i tehnoloških (sustavnih) informacija, uključujući:
Upravljački programi, podaci i uređaji računalnog sustava;
programe, podatke i upravljačke programe za uređaje koji omogućuju učitavanje operativnog sustava;
programi i podaci (ručke, deskriptori, strukture, tablice itd.) operativnog sustava;
programi i podaci aplikacijskog softvera;
Posebni softverski programi i podaci;
Međuvrijednosti (operativne) programa i podataka tijekom njihove obrade (čitanje/pisanje, primanje/prijenos) sredstvima i uređajima računalne tehnologije.
Narušavanje cjelovitosti informacija u sustavu informacijske sigurnosti može biti uzrokovano i unošenjem zlonamjernog softverskog i hardverskog programa u njega ili utjecajem na sustav informacijske sigurnosti ili njegove elemente.
Osim toga, u ISPD-u je moguće utjecati na podatke tehnološke mreže, što može osigurati funkcioniranje različitih alata za upravljanje računalnim mrežama:
konfiguracija mreže;
adrese i usmjeravanje prijenosa podataka u mreži;
funkcionalna kontrola mreže;
sigurnost informacija na mreži.
Povreda dostupnosti informacija osigurava se formiranjem (promjenom) izvornih podataka, koji, kada se obrađuju, uzrokuju neispravan rad, kvarove hardvera ili hvatanje (učitavanje) računalnih resursa sustava, koji su potrebni za izvršavanje programa i operativne opreme.
Navedene radnje mogu dovesti do poremećaja ili neuspjeha u radu gotovo svih tehničkih sredstava ISPD-a:
sredstva za obradu informacija;
sredstva za unos/izlaz informacija;
sredstva za pohranu informacija;
Oprema i prijenosni kanali;
alati za informacijsku sigurnost.