A hálózaton keresztül bevezetett rosszindulatú programok fenyegetései. A rosszindulatú programok rendszerbe való behatolásának módszerei
Az ISPD-ben használt szoftverekbe annak fejlesztése, karbantartása, módosítása és konfigurálása során szándékosan és véletlenül is rosszindulatú programokat lehet bevinni (bevezetni). Ezenkívül rosszindulatú programok kerülhetnek be az ISPD működése során külső adathordozóról vagy hálózati interakció révén, akár jogosulatlan hozzáférés eredményeként, akár véletlenül az ISPD-felhasználók által.
A modern rosszindulatú programok különféle típusú (rendszer, általános, alkalmazás) és különféle szoftverek sebezhetőségeinek kihasználásán alapulnak. hálózati technológiák, sokféle romboló képességgel rendelkezik (az ISPD-paraméterek jogosulatlan vizsgálatától az ISPD működésének megzavarása nélkül a PD- és ISPD-szoftverek megsemmisítéséig), és minden típusú szoftverben (rendszer, alkalmazás, hardver-illesztőprogramok stb.) működhet. .
A rosszindulatú programok jelenléte az ISPD-ben hozzájárulhat az információhoz való hozzáférés rejtett, köztük nem hagyományos csatornáinak megjelenéséhez, amelyek lehetővé teszik a rendszerben biztosított biztonsági mechanizmusok megnyitását, megkerülését vagy blokkolását, beleértve a jelszó- és kriptográfiai védelmet.
A rosszindulatú programok fő típusai a következők:
· szoftveres könyvjelzők;
· klasszikus szoftveres (számítógépes) vírusok;
· a hálózaton keresztül terjedő rosszindulatú programok (hálózati férgek);
· egyéb rosszindulatú programok, amelyeket illegális tevékenységek végrehajtására terveztek.
A szoftverkönyvjelzők olyan programokat, kódrészleteket és utasításokat tartalmaznak, amelyek nem deklarált szoftverképességeket alkotnak. A rosszindulatú programok egyik típusról a másikra változhatnak, például egy szoftveres könyvjelző szoftvervírust generálhat, amely viszont a hálózati feltételeknek kitéve hálózati férget vagy más, illetéktelen hozzáférést végrehajtó rosszindulatú programot képezhet.
rövid leírása A fő rosszindulatú program a következőkre vezethető vissza. A rendszerindító vírusok vagy a lemez indító szektorába (boot szektor), vagy a merevlemez rendszerindító betöltőjét tartalmazó szektorba (Master Boot Record) írják magukat, vagy az aktív rendszerindító szektorra állítják a mutatót. A fertőzött lemezről történő rendszerindításkor beágyazódnak a számítógép memóriájába. Ebben az esetben a rendszerindító beolvasó beolvassa a lemez első szektorának tartalmát, amelyről a rendszerindítás történik, az olvasott információt a memóriába helyezi, és átadja neki (azaz a vírusnak) a vezérlést. Ezt követően megkezdődik a vírus utasításainak végrehajtása, ami általában csökkenti a hangerőt szabad memória, bemásolja a kódját a szabad helyre, és kiolvassa a folytatását a lemezről (ha van), elfogja a szükséges megszakítási vektorokat (általában INT 13H), beolvassa az eredeti boot szektort a memóriába és átadja neki a vezérlést.
Ezt követően a rendszerindító vírus ugyanúgy viselkedik, mint a fájlvírus: elfogja a kéréseket operációs rendszer lemezekre és megfertőzi azokat, bizonyos feltételektől függően romboló műveleteket hajt végre, hang- vagy videóeffektusokat okoz.
A vírusok által végrehajtott fő pusztító tevékenységek a következők:
· információk megsemmisítése a hajlékonylemezek és merevlemezek szektoraiban;
· az operációs rendszer betöltésének lehetőségének kiküszöbölése (a számítógép lefagy);
· a rendszerbetöltő kód torzulása;
· merevlemez hajlékonylemezeinek vagy logikai meghajtóinak formázása;
· a COM és LPT portokhoz való hozzáférés blokkolása;
· karakterek cseréje szövegek nyomtatásakor;
· képernyőrángás;
· lemez vagy hajlékonylemez címkéjének megváltoztatása;
· pszeudo-kudarc klaszterek létrehozása;
· hang- és/vagy vizuális effektusok létrehozása (például esés
betűk a képernyőn);
· adatfájlok sérülése;
· különféle üzenetek megjelenítése a képernyőn;
· perifériás eszközök (például billentyűzet) letiltása;
· a képernyő paletta megváltoztatása;
· a képernyő feltöltése idegen karakterekkel vagy képekkel;
· a képernyő elsötétítése és készenléti módba kapcsolás a billentyűzet beviteléhez;
· merevlemez szektorok titkosítása;
· a képernyőn megjelenő karakterek szelektív megsemmisítése billentyűzetről történő gépeléskor;
A RAM mennyiségének csökkentése;
· felhívás képernyőtartalom nyomtatására;
· lemezre írás blokkolása;
· a Disk Partition Table megsemmisítése, amely után a számítógép csak hajlékonylemezről indítható;
Kezdje el a blokkolást futtatható fájlok;
· a merevlemezhez való hozzáférés blokkolása.
|
3. ábra Szoftvervírusok és hálózati férgek osztályozása
A legtöbb rendszerindító vírus floppy lemezre írja magát.
A „felülírás” fertőzési módszer a legegyszerűbb: a vírus saját kódot ír a fertőzött fájl kódja helyett, tönkretéve annak tartalmát. Természetesen ebben az esetben a fájl leáll, és nem kerül visszaállításra. Az ilyen vírusok nagyon gyorsan felfedik magukat, mivel az operációs rendszer és az alkalmazások meglehetősen gyorsan leállnak.
A „kísérő” kategóriába azok a vírusok tartoznak, amelyek nem változtatják meg a fertőzött fájlokat. Ezeknek a vírusoknak az a működési algoritmusa, hogy a fertőzött fájlhoz duplikált fájl jön létre, és a fertőzött fájl elindításakor ez a másolat, vagyis a vírus kapja meg az irányítást. A leggyakoribb kísérővírusok azok, amelyek a DOS szolgáltatást használják a .COM kiterjesztésű fájlok végrehajtására, ha két fájl van ugyanabban a könyvtárban azonos névvel, de eltérő névkiterjesztéssel – .COM és .EXE. Az ilyen vírusok szatellit fájlokat hoznak létre az azonos nevű, de .COM kiterjesztésű EXE-fájlokhoz, például az XCOPY.EXE fájlhoz egy XCOPY.COM fájl jön létre. A vírus beírja magát egy COM fájlba, és semmilyen módon nem módosítja az EXE fájlt. Egy ilyen fájl futtatásakor a DOS először észleli és végrehajtja a COM fájlt, vagyis a vírust, amely ezután elindítja az EXE fájlt. A második csoportba azok a vírusok tartoznak, amelyek fertőzöttség esetén átneveznek egy fájlt más névre, emlékeznek rá (a hosztfájl későbbi elindításához), és a fertőzött fájl neve alatt írják ki a kódjukat a lemezre. Például az XCOPY.EXE fájlt átnevezzük XCOPY.EXD-re, és a vírus XCOPY.EXE néven kerül rögzítésre. Indításkor a vezérlő megkapja a víruskódot, amely az eredeti XCOPY-t futtatja, XCOPY.EXD néven. Érdekes tény, hogy ez a módszerúgy tűnik, minden operációs rendszeren működik. A harmadik csoportba tartoznak az úgynevezett „Path-companion” vírusok. Vagy a fertőzött fájl neve alá írják a kódjukat, de egy szinttel „feljebb” az előírt útvonalakon (a DOS így lesz az első, amely észleli és elindítja a vírusfájlt), vagy egy alkönyvtárral feljebb helyezik az áldozat fájlt, stb. .
Lehetnek más típusú társvírusok is, amelyek mást használnak eredeti ötletek vagy más operációs rendszerek funkciói.
A fájlférgek bizonyos értelemben társvírusok, de semmiképpen sem társítják jelenlétüket egyetlen végrehajtható fájlhoz sem. Amikor reprodukálnak, egyszerűen átmásolják a kódjukat néhány lemezkönyvtárba, abban a reményben, hogy ezeket az új másolatokat a felhasználó egyszer elindítja. Néha ezek a vírusok „speciális” elnevezéseket adnak másolataiknak, hogy a felhasználót a saját példányuk futtatására ösztönözzék – például INSTALL.EXE vagy WINSTART.BAT. Vannak olyan féregvírusok, amelyek meglehetősen szokatlan technikákat használnak, például saját másolatokat írnak archívumba (ARJ, ZIP és mások). Egyes vírusok BAT-fájlokban írják ki a parancsot a fertőzött fájl futtatására. A fájlférgeket nem szabad összetéveszteni a hálózati férgekkel. Az előbbiek csak bármely operációs rendszer fájlfunkcióit használják, míg az utóbbiak hálózati protokollokat használnak a reprodukáláshoz.
A linkvírusok, akárcsak a kísérővírusok, nem változtatják meg a fájlok fizikai tartalmát, de amikor egy fertőzött fájl elindul, „kényszerítik” az operációs rendszert a kód végrehajtására. Ezt a célt a fájlrendszer szükséges mezőinek módosításával érik el.
Vírusok, amelyek megfertőzik a fordítókönyvtárakat, objektummodulokat és forrásszövegek A programok meglehetősen egzotikusak és gyakorlatilag nem elterjedtek. Az OBJ és LIB fájlokat megfertőző vírusok objektummodul vagy könyvtár formátumban írják bele kódjukat. A fertőzött fájl ezért nem futtatható, és jelenlegi állapotában nem képes tovább terjeszteni a vírust. Az „élő” vírus hordozója COM vagy EXE fájl lesz.
Miután megszerezte az irányítást, a fájlvírus a következő általános műveleteket hajtja végre:
· ellenőrzi a RAM-ot a másolat megléte szempontjából, és megfertőzi
a számítógép memóriája, ha nem található a vírus másolata (ha a vírus rezidens), a logikai meghajtók könyvtárfájának átvizsgálásával megkeresi a nem fertőzött fájlokat az aktuális és (vagy) gyökérkönyvtárban, majd megfertőzi az észlelt fájlokat;
· további (ha vannak) funkciókat lát el: destruktív
műveletek, grafikai vagy hanghatások stb. ( további funkciókat a rezidens vírusok az aktiválás után egy idő után hívhatók az aktuális időtől, a rendszer konfigurációjától, a belső vírusszámlálóktól vagy egyéb körülményektől függően; ebben az esetben aktiváláskor a vírus feldolgozza a rendszeróra állapotát, beállítja a számlálóit stb.);
· visszaadja a vezérlést a főprogramnak (ha van ilyen).
Meg kell jegyezni, hogy minél gyorsabban terjed a vírus, annál valószínűbb, hogy járvány lép fel; minél lassabban terjed a vírus, annál nehezebb felismerni (kivéve persze, ha ez a vírus ismeretlen). A nem-rezidens vírusok gyakran „lassúak” – a legtöbbjük egy vagy két vagy három fájlt fertőz meg indításkor, és nincs idejük megfertőzni a számítógépet az indítás előtt. víruskereső program(vagy megjelenés új verzió ehhez a vírushoz konfigurált víruskereső). Természetesen vannak nem-rezidens „gyors” vírusok, amelyek indításkor minden futtatható fájlt megkeresnek és megfertőznek, de az ilyen vírusok nagyon észrevehetők: amikor minden fertőzött fájl elindul, a számítógép bizonyos ideig aktívan együttműködik a merevlemezzel. (néha elég hosszú) idő, ami leleplezi a vírust. A rezidens vírusok terjedési (fertőződési) sebessége általában magasabb, mint a nem rezidens vírusoké – megfertőzik a fájlokat, amikor hozzájuk férnek. Ennek eredményeként a lemezen található összes vagy majdnem minden fájl, amelyet folyamatosan használnak a munkában, megfertőződik. Azon rezidens fájlvírusok terjedési sebessége (fertőződése), amelyek csak akkor fertőzik meg a fájlokat, amikor elindítják őket, alacsonyabb lesz, mint azoké a vírusoké, amelyek megnyitáskor, átnevezésükkor, fájlattribútumok megváltoztatásakor is megfertőzik őket.
Így a fájlvírusok által végrehajtott fő romboló műveletek a fájlok (általában futtatható vagy adatfájlok) károsodásához, különféle parancsok illetéktelen elindításához (beleértve a formázást, megsemmisítést, parancsok másolását stb.), a megszakítási vektortábla megváltoztatásához stb. Ugyanakkor számos, a rendszerindító vírusoknál javasolthoz hasonló romboló művelet is végrehajtható.
A makróvírusok bizonyos adatfeldolgozó rendszerekbe beépített nyelveken (makronyelveken) írt programok ( szövegszerkesztők, táblázatok stb.). A reprodukáláshoz az ilyen vírusok a makrónyelvek képességeit használják, és segítségükkel átviszik magukat egy fertőzött fájlból (dokumentumból vagy táblázatból) másokba. A legelterjedtebbek az alkalmazásszoftver-csomagokhoz használt makróvírusok Microsoft Office.
Ahhoz, hogy egy adott rendszerben (szerkesztőben) vírusok létezzenek, be kell építeni egy makrónyelvet a rendszerbe, amely a következő képességekkel rendelkezik:
1) egy makrónyelvű program összekapcsolása egy adott fájllal;
2) makróprogramok másolása egyik fájlból a másikba;
3) makróprogram vezérlésének megszerzése felhasználói beavatkozás nélkül (automatikus vagy szabványos makrók).
Az alkalmazási programok megfelelnek ezeknek a feltételeknek Microsoft Word, Excel és Microsoft Access. Makrónyelveket tartalmaznak: Word Basic, Visual Basic az Alkalmazásokhoz. Ahol:
1) a makróprogramok egy adott fájlhoz vannak kötve, vagy egy fájlban találhatók;
2) a makrónyelv lehetővé teszi a fájlok másolását vagy a makróprogramok áthelyezését a rendszerszolgáltatás fájljaiba és a szerkeszthető fájlokba;
3) ha egy fájllal bizonyos feltételek mellett (megnyitás, bezárás stb.) dolgozik, akkor a makróprogramok (ha vannak) meghívásra kerülnek, amelyek speciális módon vannak definiálva, vagy szabványos nevekkel rendelkeznek.
Ez a funkció A makrónyelvek automatikus adatfeldolgozásra szolgálnak nagy szervezetekben vagy globális hálózatokban, és lehetővé teszik az úgynevezett „automatizált dokumentumfolyam” megszervezését. Másrészt az ilyen rendszerek makrónyelvi képességei lehetővé teszik, hogy a vírus átvihesse kódját más fájlokba, és így megfertőzze azokat.
A legtöbb makróvírus nem csak a fájl megnyitásakor (bezárásakor) aktív, hanem addig, amíg maga a szerkesztő aktív. Minden funkciójukat szabványos Word/Excel/Office makrókként tartalmazzák. Vannak azonban olyan vírusok, amelyek technikákat alkalmaznak kódjuk elrejtésére és kódjuk nem makrók formájában történő tárolására. Három ismert technika létezik, amelyek mindegyike a makrók képességét használja más makrók létrehozására, szerkesztésére és végrehajtására. Az ilyen vírusoknak általában van egy kicsi (néha polimorf) vírusmakróbetöltőjük, amely meghívja a beépített makrószerkesztőt, létrehoz egy új makrót, kitölti a fő víruskóddal, végrehajtja, majd általában megsemmisíti. (hogy elrejtse a vírus nyomait). Az ilyen vírusok fő kódja vagy magában a vírusmakróban található formában szöveges karakterláncok(néha titkosítva), vagy a dokumentum változó területén tárolva.
A hálózati vírusok közé tartoznak azok a vírusok, amelyek aktívan használják a helyi és a protokollokat és képességeket globális hálózatok. A hálózati vírusok fő működési elve az a képesség, hogy önállóan továbbítsák a kódjukat távoli szerver vagy munkaállomáson. A „teljes értékű” hálózati vírusok is képesek futtatni a kódjukat távoli számítógép vagy legalább "nyomja" a felhasználót a fertőzött fájl futtatására.
A jogosulatlan hozzáférést lehetővé tevő rosszindulatú programok a következők lehetnek:
· jelszavak kiválasztására és megnyitására szolgáló programok;
· fenyegetéseket megvalósító programok;
· olyan programok, amelyek bemutatják az ISPD szoftverek és hardverek nem bejelentett képességeinek használatát;
· számítógépes vírusgeneráló programok;
· olyan programok, amelyek biztonsági réseket mutatnak be
információk stb.
A szoftverek összetettebbé és változatosabbá válásával a rosszindulatú programok száma gyorsan növekszik. Ma több mint 120 ezer számítógépes vírus aláírása ismert. Azonban nem mindegyik jelent valós veszélyt. Sok esetben a rendszer vagy alkalmazás sebezhetőségeinek kiküszöbölése szoftver oda vezetett, hogy számos rosszindulatú program már nem képes behatolni rajtuk. Az új rosszindulatú programok gyakran jelentik a fő veszélyt.
A szabálysértők osztályozása
Az ISPD-vel való kapcsolatuk alapján minden szabálysértőt két csoportra osztanak:
Külső szabálysértők azok a személyek, akiknek nincs joguk az ellenőrzött zóna területén tartózkodni, amelyen belül az ISPD berendezések találhatók;
A belső szabálysértők azok a személyek, akiknek joguk van az ellenőrzött zóna területén tartózkodni, amelyen belül az ISPD berendezés található.
Külső behatoló
Külső behatolóként információ biztonság, olyan behatolónak minősül, aki nem fér hozzá közvetlenül az ellenőrzött területen belül található rendszer műszaki eszközeihez és erőforrásaihoz.
Feltételezhető, hogy egy külső behatoló nem tudja befolyásolni a védett információt technikai csatornák kiszivárogtatások, mivel az ISPD-ben tárolt és feldolgozott információ mennyisége nem elegendő ahhoz, hogy a külső behatolót arra ösztönözze, hogy olyan műveleteket hajtson végre, amelyek célja az információ kiszivárogtatása a technikai szivárgási csatornákon keresztül.
Feltételezhető, hogy egy külső behatoló csak a kommunikációs csatornákon keresztüli átvitel során tudja befolyásolni a védett információkat.
Betolakodó belül
A belső elkövető képességei jelentősen függnek az ellenőrzött zónában működő korlátozó tényezőktől, amelyek közül a legfontosabb a szervezeti és technikai intézkedések végrehajtása, beleértve a személyzet kiválasztását, elhelyezését és magas szakmai képzését, befogadását. magánszemélyek az ellenőrzött területen belül, és figyelemmel kíséri a jogosulatlan hozzáférés megakadályozását és megakadályozását célzó munkavégzés menetét.
Az ISPDn beléptető rendszer biztosítja az információkhoz, szoftverekhez, hardverekhez és egyéb ISPDn erőforrásokhoz való hozzáférési jogosultságok megkülönböztetését az elfogadott információbiztonsági politikának (szabályoknak) megfelelően. A belső jogsértők a következők lehetnek (táblázat):
Meghatározott alrendszerek vagy ISPD-adatbázisok adminisztrátorai (II. kategória);
Egy adott AS-en kívüli felhasználók (IV. kategória);
Az adatátviteli rendszerhez hozzáféréssel rendelkező személyek (V. kategória);
Az egészségügyi intézmények azon alkalmazottai, akik az ISPD elemeit tartalmazó helyiségekbe hivatali célból beléphetnek, de nem rendelkeznek hozzáférési joggal (VI. kategória);
Kiszolgáló személyzet (biztonsági, mérnöki és műszaki szolgáltatások dolgozói stb.) (VII. kategória);
Az ISPD fejlesztők felhatalmazott munkatársai, akik szerződéses alapon jogosultak az ISPD összetevőinek karbantartására és módosítására (VIII. kategória).
Az I. és II. kategóriájú személyeket bízzák meg a szoftver és hardver, valamint az ISPD-adatbázisok adminisztrációjával az ISPD részét képező különböző alrendszerek integrálása és interakciójának biztosítása érdekében. Az adminisztratív jogosítványoknak megfelelően az adminisztrátorok potenciálisan az ISPD-ben feldolgozott és tárolt védett információkhoz, valamint az ISPD hardveréhez és szoftveréhez való közvetlen hozzáférési lehetőségekkel valósíthatnak meg információbiztonsági fenyegetéseket, beleértve az adott AS-ekben használt biztonsági eszközöket is. létesített számukra.
Ezek a személyek ismerik az egyes alrendszerekben és általában az ISPD-ben megvalósított és használt alapvető algoritmusokat, protokollokat, valamint az alkalmazott biztonsági elveket és koncepciókat.
Feltételezhető, hogy használhatják alapfelszerelés vagy a sebezhetőségek azonosítására vagy az információbiztonsági fenyegetések megvalósítására. Ez a berendezés része lehet a szabványos felszerelésnek, vagy könnyen elérhető (például nyilvánosan elérhető külső forrásokból származó szoftver).
Ezenkívül feltételezhető, hogy ezek az egyének rendelkezhettek speciális felszerelés.
Az I. és II. kategóriájú személyekre, tekintettel az ISPD-ben betöltött kizárólagos szerepükre, speciális szervezeti és rendszerintézkedéseket kell alkalmazni a kiválasztásra, felvételre, pozícióba való kinevezésükre és a funkcionális feladatok ellátásának ellenőrzésére.
Feltételezhető, hogy az I. és II. kategóriájú személyek számába csak megbízható személyek kerülnek be, ezért ezeket a személyeket kizárják a valószínűsíthető jogsértők listájáról.
Feltételezhető, hogy a III-VIII. kategóriába tartozó személyek valószínűleg szabálysértők.
A bennfentes képességei jelentősen függenek attól
az ellenőrzött zónában működő biztonsági erőktől
valamint a szervezeti és műszaki védelmi intézkedések, beleértve az egyének személyes adatokhoz való hozzáférését és a munkavégzési eljárás ellenőrzését.
A belső potenciális jogsértők nyolc kategóriába sorolhatók a személyes adatokhoz való hozzáférés módjától és a hozzáférési jogosultságtól függően.
A vírusírók és a kiberbűnözők szükséges feladata vírus, féreg, trójai bejuttatása az áldozat számítógépébe ill. mobiltelefon. Ez a cél megvalósul különböző utak, amelyek két fő kategóriába sorolhatók:
- social engineering (a „social engineering” kifejezést is használják - pauszpapír az angol „social engineering” szóból);
- a rosszindulatú kódok fertőzött rendszerbe való bejuttatásának technikai módszerei a felhasználó tudta nélkül.
Ezeket a módszereket gyakran egyidejűleg alkalmazzák. Ugyanakkor gyakran alkalmaznak speciális intézkedéseket a víruskereső programok ellen.
Szociális tervezés
A social engineering módszerek valamilyen módon arra kényszerítik a felhasználót, hogy elindítson egy fertőzött fájlt, vagy nyissa meg a fertőzött webhelyre mutató hivatkozást. Ezeket a módszereket nemcsak számos e-mail féreg használja, hanem más típusú rosszindulatú szoftverek is.
A hackerek és vírusírók feladata, hogy felhívják a felhasználó figyelmét egy fertőzött fájlra (vagy egy fertőzött fájlra mutató HTTP-hivatkozásra), felkeltsék a felhasználó érdeklődését, és rákényszerítsék a fájlra (vagy egy fájl hivatkozására) kattintásra. . A „műfaj klasszikusa” a LoveLetter e-mail féreg, amely 2000 májusában szenzációs volt, és a Computer Economics adatai szerint továbbra is vezető szerepet tölt be az okozott anyagi kár mértékét tekintve. A féreg által a képernyőn megjelenő üzenet így nézett ki:
Sokan reagáltak az „I LOVE YOU” vallomásra, és ennek következtében a nagyvállalatok levelezőszerverei nem bírták a terhelést – a féreg minden alkalommal, amikor egy csatolt VBS-fájlt megnyitott, másolatokat küldött magáról a címjegyzékben lévő összes névjegyhez. .
A 2004 januárjában az interneten felrobbant Mydoom levelezőféreg olyan szövegeket használt, amelyek egy levelezőszerver technikai üzeneteit imitálták.
Érdemes megemlíteni a Swen férget is, amely a Microsoft üzeneteként jelent meg, és olyan javításnak álcázta magát, amely számos új Windows sebezhetőséget szüntetett meg (nem meglepő, hogy sok felhasználó engedett a felszólításnak, hogy telepítsenek „egy másik javítást a Microsofttól ”).
Vannak olyan incidensek is, amelyek közül az egyik 2005 novemberében történt. A Józan féreg egyik verziójában arról számoltak be, hogy a német bűnügyi rendőrség illegális weboldalak látogatásának ügyében nyomoz. Ez a levél egy gyermekpornográfus kezébe került, aki hivatalos levélnek tartotta, és engedelmesen megadta magát a hatóságoknak.
Az utóbbi időben nem az e-mailekhez csatolt fájlok szereztek különösebb népszerűséget, hanem a fertőzött weboldalon található fájlokra mutató hivatkozások. Üzenetet küldenek a potenciális áldozatnak - levélben, ICQ-n vagy más személyhívón keresztül, ritkábban - internetes chaten IRC-n keresztül (mobilvírusok esetén a szokásos kézbesítési mód SMS üzenet). Az üzenet vonzó szöveget tartalmaz, amely a gyanútlan felhasználót a hivatkozásra való kattintásra csábítja. Ez a módszer Az áldozat számítógépekbe való behatolás messze a legnépszerűbb és leghatékonyabb módszer, mivel lehetővé teszi a levelezőszerverek éber vírusirtó szűrőinek megkerülését.
A fájlmegosztó hálózatok (P2P hálózatok) képességeit is használják. Egy féreg vagy trójai számos ízletes néven van közzétéve egy P2P hálózaton, például:
- AIM & AOL Password Hacker.exe
- Microsoft CD Key Generator.exe
- PornStar3D.exe
- play Station emulator crack.exe
A P2P hálózatok felhasználói új programok keresése közben találkoznak ezekkel a nevekkel, letöltik a fájlokat és elindítják őket végrehajtásra.
Az „átverések” is meglehetősen népszerűek, amikor az áldozat ingyenes segédprogramot vagy utasításokat kap különféle feltörésekhez. fizetési rendszerek. Például felajánlják, hogy kapnak szabad hozzáférés az internetre ill mobilszolgáltató, tölts le egy hitelkártyaszám generátort, növeld a személyes internetes pénztárcádban lévő pénz mennyiségét stb. Természetesen az ilyen csalások áldozatai valószínűleg nem lépnek kapcsolatba a bűnüldöző szervekkel (végül is ők maguk próbáltak csalárd módon pénzt keresni), és az internetes bűnözők ezt teljes mértékben kihasználják.
Egy ismeretlen oroszországi támadó szokatlan megtévesztési módszert alkalmazott 2005-2006-ban. A trójai programot a munkavállalásra és munkaerő-keresésre szakosodott job.ru weboldalon található címekre küldték. Az ottani önéletrajzukat közzétevők egy része állítólag állásajánlatot kapott a levélhez csatolt fájllal, amelyet megkérték, hogy nyissa meg és ismerkedjen meg a tartalmával. A fájl természetesen egy trójai faló volt. Az is érdekes, hogy a támadást főleg cégek ellen követték el postacímek. A számítás nyilvánvalóan azon alapult, hogy a cég alkalmazottai valószínűleg nem jelentették a fertőzés forrását. Így is történt – a Kaspersky Lab szakemberei több mint hat hónapig nem tudtak egyértelmű információkat szerezni a trójai program felhasználói számítógépekbe való behatolási módjáról.
Vannak egészen egzotikus esetek is, például egy csatolt dokumentumot tartalmazó levél, amelyben a banki ügyfelet arra kérik, hogy erősítse meg (vagy inkább jelentse) a hozzáférési kódját - nyomtassa ki a dokumentumot, töltse ki a mellékelt űrlapot, majd faxolja el a a levélben megadott telefonszámot.
Egy újabb szokatlan szállítási eset spyware Az „otthonba” eset Japánban 2005 őszén történt. Egyes támadók trójai spyware-rel fertőzött CD-ket küldtek az egyik japán bank ügyfeleinek otthoni címére (város, utca, ház). Ebben az esetben éppen ennek a banknak a korábban ellopott ügyféladatbázisából használtak fel információkat.
Megvalósítási technológiák
Ezeket a technológiákat a támadók arra használják, hogy rosszindulatú kódokat lopjanak be a rendszerbe anélkül, hogy felhívnák magukra a számítógép tulajdonosának figyelmét. Ez az operációs rendszerek és szoftverek biztonsági résein keresztül történik. A sérülékenységek megléte lehetővé teszi, hogy a támadó által készített hálózati féreg vagy trójai program behatoljon az áldozat számítógépébe, és elinduljon végrehajtásra.
A sérülékenységek valójában a különböző programok kódjában vagy működési logikájában fellépő hibák. A modern operációs rendszerek és alkalmazások összetett szerkezettel és kiterjedt funkcionalitással rendelkeznek, és egyszerűen lehetetlen elkerülni a tervezési és fejlesztési hibákat. Ezt használják ki a vírusírók és a számítógépes támadók.
Sebezhetőségek benne levelezőkliensek Outlook használt levélférgek Nimda és Aliz. A féregfájl elindításához elég volt megnyitni a fertőzött levelet, vagy az előnézeti ablakban egyszerűen rámutatni az egérmutatót.
A rosszindulatú programok aktívan kihasználták az operációs rendszerek hálózati összetevőinek sebezhetőségeit is. A CodeRed, a Sasser, a Slammer, a Lovesan (Blaster) és sok más, Windows alatt futó férgek az ilyen sérülékenységek terjesztésére szolgáltak. A Linux rendszereket is támadás érte – a Ramen és a Slapper férgek ezen operációs környezet és az ehhez szükséges alkalmazások sebezhetőségein keresztül hatoltak be a számítógépekbe.
Az utóbbi években a fertőzés egyik legnépszerűbb módja a rosszindulatú kódok weboldalakon keresztül történő befecskendezése volt. Ez gyakran kihasználja az internetes böngészők biztonsági réseit. A fertőzött fájl és a böngésző biztonsági rését kihasználó parancsfájl egy weboldalra kerül. Amikor a felhasználó meglátogat egy fertőzött oldalt, egy script program indul el, amely egy sérülékenységen keresztül letölti a fertőzött fájlt a számítógépére, és ott elindítja azt végrehajtásra. Ennek eredményeként nagyszámú számítógép megfertőzéséhez elegendő minél több felhasználót rácsalogatni egy ilyen weboldalra. Ezt többféleképpen érik el, például az oldal címét feltüntető spam küldésével, hasonló üzenetek küldésével internetes lapozókon keresztül, néha még keresőket is használnak erre. A fertőzött oldal sokféle szöveget tartalmaz, amit előbb-utóbb kiszámolnak a keresők – az erre az oldalra mutató hivatkozás pedig megjelenik a többi oldal listájában a keresési eredmények között.
Külön osztályt alkotnak azok a trójai programok, amelyeket más trójai programok letöltésére és futtatására terveztek. Általában ezek a nagyon kis méretű trójaiak ilyen vagy olyan módon (például a rendszer egy másik sebezhetőségét kihasználva) az áldozat számítógépére „csúsztatják”, majd önállóan letöltik az internetről, és más rosszindulatú összetevőket telepítenek. a rendszer. Az ilyen trójai programok gyakran módosítják a böngésző beállításait a legbizonytalanabbra, hogy „könnyebbé tegyék az utat” más trójaiak számára.
Az ismertté vált sebezhetőségeket a fejlesztőcégek gyorsan kijavítják, de folyamatosan jelennek meg az információk új sérülékenységekről, amelyeket számos hacker és vírusíró azonnal használni kezd. Sok trójai „bot” új sebezhetőséget használ számának növelésére, és a Microsoft Office új hibáit azonnal felhasználják új trójai programok számítógépekbe való bevezetésére. Ugyanakkor sajnálatos módon az a tendencia, hogy lerövidül a következő sebezhetőségről szóló információ megjelenése és a férgek és trójaiak általi használatának megkezdése között eltelt idő. Ennek eredményeként a sebezhető szoftvercégek és a víruskereső szoftverfejlesztők időkényszernek vannak kitéve. Az elsőnek a lehető leggyorsabban ki kell javítania a hibát, tesztelni kell az eredményt (általában "javításnak" vagy "javításnak" nevezik), és el kell juttatnia a felhasználókhoz, a másodiknak pedig azonnal ki kell adnia egy eszközt az objektumok (fájlok, hálózati csomagok), amelyek kihasználják a biztonsági rést.
Megvalósítási technológiák és social engineering módszerek egyidejű alkalmazása
A számítógépes támadók gyakran mindkét módszert egyszerre használják. A social engineering módszere az, hogy felhívja a potenciális áldozat figyelmét, a technikai módszer pedig annak a valószínűsége, hogy növelje annak valószínűségét, hogy egy fertőzött tárgy behatol a rendszerbe.
Például a Mimail levelezőféreg a következőhöz lett csatolva email. Annak érdekében, hogy a felhasználó figyeljen a levélre, speciálisan erre a célra tervezett szöveget illesztettek be, és a levélhez csatolt ZIP archívumból elindítani a féreg másolatát, ami a böngésző biztonsági rése. internet böngésző. Ennek eredményeként a féreg egy fájl archívumból való megnyitásakor másolatot készített magáról a lemezen, és minden rendszer figyelmeztetés vagy figyelmeztetés nélkül elindította azt végrehajtásra. további műveletek felhasználó. Mellesleg, ez a féreg volt az egyik első, amelyet arra terveztek, hogy személyes adatokat lopjon el az e-gold rendszerű internetes pénztárcák felhasználóitól.
Egy másik példa a spam küldése „Helló” témával és „Nézd, mit írnak rólad” szöveggel. A szöveget egy weboldalra mutató hivatkozás követte. Az elemzés során kiderült, hogy ez a weboldal tartalmaz egy script programot, amely az Internet Explorer egy másik biztonsági rését kihasználva letölti a felhasználó számítógépére az LdPinch trójai programot, amely különféle jelszavak ellopására szolgál.
A víruskereső programok elleni küzdelem
Mivel a számítógépes támadók célja a beszivárgás rosszindulatú kód az áldozat számítógépekbe, akkor ehhez nem csak arra kell kényszeríteni a felhasználót, hogy futtasson egy fertőzött fájlt, vagy valamilyen sérülékenységen keresztül behatoljon a rendszerbe, hanem a telepített vírusvédelmi szűrőn is át kell osonni. Ezért nem meglepő, hogy a támadók szándékosan víruskereső programokat vesznek célba. Az általuk használt technikák nagyon változatosak, de a leggyakoribbak a következők:
A kód csomagolása és titkosítása. A modern számítógépes férgek és trójai falók jelentős része (ha nem a legtöbb) ilyen vagy olyan módon be van csomagolva vagy titkosítva. Sőt, a földalatti számítógép kifejezetten erre a célra kialakított csomagoló és titkosító segédprogramokat hoz létre. Például az interneten található összes fájl, amelyet a CryptExe, Exeref, PolyCrypt és néhány más segédprogram dolgozott fel, rosszindulatúnak bizonyult.
Az ilyen férgek és trójaiak észleléséhez a víruskereső programoknak vagy új kicsomagolási és visszafejtési módszereket kell hozzáadniuk, vagy minden egyes rosszindulatú programmintához aláírást kell adniuk, ami rontja az észlelés minőségét, mivel nem mindig minden lehetséges módosított kódminta kerül a felhasználók kezébe. a víruskereső cég.
Kódmutáció. A trójai kód felhígítása „szemét” utasításokkal. Ennek eredményeként a trójai program funkcionalitása megmarad, de „megjelenése” jelentősen megváltozik. Időnként előfordulnak olyan esetek, amikor a kódmutáció valós időben történik – minden alkalommal, amikor egy trójai programot letöltenek egy fertőzött webhelyről. Azok. az ilyen oldalról a számítógépeket elérő trójai minták mindegyike vagy jelentős része eltérő. E technológia alkalmazására példa a Warezov emailféreg, amelynek több változata is jelentős járványokat okozott 2006 második felében.
Jelenléted elrejtése. Az úgynevezett „rootkit technológiák” (az angol „rootkit” szóból), amelyeket általában a trójai programokban használnak. A rendszer funkcióit elfogják és lecserélik, aminek köszönhetően a fertőzött fájl senki számára nem látható. rendszeres eszközökkel operációs rendszer vagy víruskereső programok. Néha a rendszerleíró adatbázis ágai, amelyekben a trójai egy példánya regisztrálva van, és a számítógép más rendszerterületei is rejtve vannak. Ezeket a technológiákat például a HacDef backdoor trójai aktívan használja.
A víruskereső és a víruskereső adatbázis-frissítések (frissítések) fogadására szolgáló rendszer leállítása. Sok trójai és hálózati féreg próbálkozik ezzel speciális akciók vírusirtó programok ellen - megkeresik őket az aktív alkalmazások listájában, és megpróbálják leállítani, elrontani a munkájukat víruskereső adatbázisok adatok, blokkolja a frissítések fogadását stb. A víruskereső programoknak megfelelő módon meg kell védeniük magukat - figyelniük kell az adatbázisok integritását, el kell rejteni a folyamataikat a trójaiak elől, stb.
A kód elrejtése a webhelyeken. A trójai fájlokat tartalmazó weboldalak címei előbb-utóbb ismertté válnak a vírusirtó cégek számára. Természetesen az ilyen oldalak a víruskereső elemzők figyelme alá esnek - az oldal tartalma rendszeresen letöltődik, a trójai programok új verziói kerülnek be. víruskereső frissítések. Ennek ellensúlyozására a weboldalt speciális módon módosítják – ha a kérés egy vírusirtó cég címéről érkezik, akkor a trójai helyett valamilyen nem trójai fájl kerül letöltésre.
Támadás számokkal. A trójai programok nagyszámú új verziójának létrehozása és terjesztése az interneten rövid időn belül. Ennek eredményeként a víruskereső cégeket elárasztják új minták, amelyek elemzése időbe telik, így a rosszindulatú kódok további esélyt adnak a számítógépek sikeres behatolására.
Ezeket és más módszereket használja a föld alatti számítógép a víruskereső programok elleni küzdelemben. Ezzel együtt évről évre nő a kiberbűnözők aktivitása, és most igazi „technológiai versenyről” beszélhetünk, amely az antivírusipar és a vírusipar között bontakozott ki. Ezzel párhuzamosan nő az egyes hackerek és bűnözői csoportok száma, valamint szakmai felkészültségük. Mindez együttesen jelentősen megnöveli a víruskereső cégektől a megfelelő szintű védelem kialakításához szükséges munka összetettségét és mennyiségét.
A fenyegetés abban rejlik, hogy különféle előre telepített rosszindulatú programokat indítanak el az ISPD gazdagépen: könyvjelző programokat, vírusokat, „hálózati kémeket”, amelyek fő célja az információk bizalmas kezelésének, integritásának, elérhetőségének megsértése és az adatok teljes körű ellenőrzése. a fogadó működése. Ezen túlmenően a felhasználói alkalmazásprogramok jogosulatlan elindításával lehetőség nyílik a behatoló számára szükséges jogosulatlan adatok megszerzésére, az alkalmazási program által vezérelt folyamatok elindítására stb.
Ezeknek a fenyegetéseknek három alosztálya van:
Jogosulatlan futtatható kódot tartalmazó fájlok terjesztése;
Távoli alkalmazásindítás az alkalmazáskiszolgálók puffertúlcsordulásával;
Indítson el egy alkalmazást távolról a funkciók használatával távirányító rejtett szoftver és hardver könyvjelzők által biztosított rendszer, vagy szabványos eszközök által használt rendszer.
Ezen alosztályok közül az első tipikus fenyegetései az elosztott fájlok aktiválásán alapulnak, amikor véletlenül hozzáférnek. Ilyen fájlok például: végrehajtható kódot tartalmazó fájlok az űrlapon végrehajtható kódot tartalmazó dokumentumok az űrlapon ActiveX vezérlők, Java kisalkalmazások, értelmezett szkriptek (például JavaScript szövegek); végrehajtható programkódokat tartalmazó fájlok. A szolgáltatások fájlok terjesztésére használhatók Email, fájlátvitel, hálózati fájlrendszer.
A második alosztály fenyegetései kihasználják a megvalósító programok hiányosságait hálózati szolgáltatások(különösen a puffer túlcsordulás szabályozásának hiánya). A rendszerregiszterek beállításával néha lehetséges a processzor átkapcsolása a puffertúlcsordulás okozta megszakítás után a pufferhatáron kívüli kód végrehajtására. Egy ilyen fenyegetés megvalósítására példa a jól ismert „Morris vírus” bevezetése.
A harmadik alosztály fenyegetéseinél a behatoló a rejtett komponensek (például trójai programok, mint a Back. Orifice, Net Bus), vagy a számítógépes hálózatok kezelésére és adminisztrációjára szolgáló szabványos eszközök (Landesk Management Suite, Managewise, Hátsó nyílás stb.). P.). Használatuk eredményeképpen lehetséges a hálózaton lévő állomáson keresztüli távvezérlés.
valószínűtlen.
A fenyegetések megvalósulásának valószínűségének általános listája különböző típusok Az ISPDn-t a 12. táblázat mutatja be.
12. táblázat
A hálózatokon keresztül bevezetett rosszindulatú programok fenyegetései
A hálózaton keresztül bevezetett rosszindulatú programok között vannak olyan vírusok, amelyek aktívan használják a helyi és globális hálózatok protokolljait és képességeit a terjedéshez. A hálózati vírusok fő működési elve az a képesség, hogy a kódját önállóan továbbítsák egy távoli szerverre vagy munkaállomásra. A „teljes értékű” hálózati vírusok arra is képesek, hogy kódjukat egy távoli számítógépen is lefuttatják, vagy legalábbis „lenyomják” a felhasználót egy fertőzött fájl futtatására.
A jogosulatlan hozzáférést lehetővé tevő rosszindulatú programok a következők lehetnek:
Jelszavak kiválasztására és megnyitására szolgáló programok;
Fenyegetéseket megvalósító programok;
Az ISPD szoftverek és hardverek nem bejelentett képességeinek használatát bemutató programok;
Számítógépes vírusgenerátor programok;
Az információbiztonsági eszközök sebezhetőségeit bemutató programok stb.
Ha az Intézmény által feldolgozott PD-t nem küldik el hálózatokon közös használatúés nemzetközi csere, létrejött vírusvédelem, akkor a fenyegetés megvalósulásának valószínűsége az valószínűtlen.
Minden más esetben fel kell mérni a fenyegetés megvalósulásának valószínűségét.
A fenyegetések megvalósulásának valószínűségének általános listája a különböző típusú információs rendszerek esetében a 13. táblázatban látható.
13. táblázat
A fenyegetések megvalósíthatósága
A biztonsági szint (Y 1) (7. szakasz) és a fenyegetés megvalósulásának valószínűsége (Y 2) (9. szakasz) értékelésének eredményei alapján kiszámítják a fenyegetés megvalósíthatósági együtthatóját (Y) és a fenyegetés lehetőségét. Meghatározzák (4. táblázat). Az Y veszély megvalósíthatósági együtthatóját az Y = (Y 1 + Y 2)/20 arány határozza meg
A fenyegetések megvalósíthatóságának meghatározása a belső ellenőrzés eredményeiről készült Jelentés alapján történik.
A 14-23. táblázatok tartalmazzák az UBPDn különböző típusú ISPDn-típusok esetén történő megvalósíthatóságának értékelésének általános listáját.
14. táblázat – I. típusú autonóm IC
| A PD biztonsági fenyegetések típusai | Megvalósítási lehetőség | |
| 0,25 | alacsony | |
| 0,25 | alacsony | |
| 0,25 | alacsony | |
| 2.1.1. PC lopás | 0,25 | alacsony |
| 0,25 | alacsony | |
| 0,25 | alacsony | |
| 0,25 | alacsony | |
| 0,25 | alacsony | |
| 0,25 | alacsony | |
| 0,25 | alacsony | |
| 0,35 | átlagos | |
| 0,25 | alacsony | |
| 0,25 | alacsony | |
| 0,35 | átlagos | |
| 0,25 | alacsony | |
| 0,25 | alacsony | |
| 0,25 | alacsony | |
| 0,25 | alacsony | |
| 2.3.6. Katasztrófa | 0,25 | alacsony |
| 0,25 | alacsony | |
| 0,35 | átlagos | |
| 0,25 | alacsony | |
| 0,25 | alacsony | |
| 0,25 | alacsony | |
| 0,25 | alacsony | |
| 0,25 | alacsony | |
| 0,25 | alacsony | |
| 0,25 | alacsony | |
| 0,25 | alacsony | |
| 0,25 | alacsony | |
| 0,25 | alacsony | |
| 0,25 | alacsony |
15. táblázat - II. típusú autonóm IC
| A PD biztonsági fenyegetések típusai | Fenyegetés megvalósíthatósági tényezője (Y) | Megvalósítási lehetőség |
| 1. A műszaki csatornákon keresztüli szivárgásból eredő veszélyek. | ||
| 1.1. Az akusztikus információszivárgás veszélye | 0,25 | alacsony |
| 1.2. A fajokra vonatkozó információszivárgás veszélye | 0,25 | alacsony |
| 1.3. A PEMIN csatornákon keresztüli információszivárgás veszélye | 0,25 | alacsony |
| 2. Az információkhoz való jogosulatlan hozzáféréssel kapcsolatos fenyegetések. | ||
| 2.1. Az ISPD-hardverek és információhordozók megsemmisítésével, ellopásával kapcsolatos fenyegetések az ISPD-elemekhez való fizikai hozzáférés révén | ||
| 2.1.1. PC lopás | 0,25 | alacsony |
| 2.1.2. Médialopás | 0,25 | alacsony |
| 2.1.3. Kulcsok és hozzáférési attribútumok ellopása | 0,25 | alacsony |
| 2.1.4. Információ lopása, módosítása, megsemmisítése | 0,25 | alacsony |
| 2.1.5. PC csomópontok és kommunikációs csatornák meghibásodása | 0,25 | alacsony |
| 2.1.6. Az információkhoz való jogosulatlan hozzáférés, amikor karbantartás PC egységek (javítása, megsemmisítése). | 0,25 | alacsony |
| 2.1.7. A biztonsági intézkedések jogosulatlan letiltása | 0,25 | alacsony |
| 2.2. Az információk lopásával, jogosulatlan módosításával vagy blokkolásával fenyegető illetéktelen hozzáférés (UNA) szoftver, hardver és szoftver(beleértve a program és a matematikai hatásokat). | ||
| 2.2.1. Rosszindulatú programok (vírusok) műveletei | 0,35 | átlagos |
| 2.2.2. A rendszerszoftverek és a személyes adatok feldolgozására szolgáló szoftverek nem bejelentett képességei | 0,25 | alacsony |
| 2.2.3. Hivatali feladatok ellátásához nem kapcsolódó szoftverek telepítése | 0,25 | alacsony |
| 2.3. A felhasználók nem szándékos cselekedeteinek fenyegetése, valamint az ISPDn és SZPDn összetételében a működés biztonságának megsértése szoftverhiba miatt, valamint nem antropogén fenyegetésekből (az elemek megbízhatatlansága miatti hardverhibák, áramkimaradások) és természetes ( villámcsapás, tűz, árvíz stb.) karakter. | ||
| 2.3.1. Kulcsok és hozzáférési attribútumok elvesztése | 0,35 | átlagos |
| 2.3.2. Az információk nem szándékos módosítása (megsemmisítése) az alkalmazottak által | 0,25 | alacsony |
| 2.3.3. A biztonsági funkciók nem szándékos letiltása | 0,25 | alacsony |
| 2.3.4. Hardver és szoftver meghibásodása | 0,25 | alacsony |
| 2.3.5. Áramkimaradás | 0,25 | alacsony |
| 2.3.6. Katasztrófa | 0,25 | alacsony |
| 2.4. A bennfentesek szándékos cselekedeteivel való fenyegetés | ||
| 2.4.1. Az információkhoz való hozzáférés, azok módosítása, megsemmisítése, akiknek a feldolgozása nem engedélyezett | 0,25 | alacsony |
| 2.4.2. Az információk feldolgozására jogosult munkatársak általi közzététel, módosítás, megsemmisítés | 0,35 | átlagos |
| 2.5. A kommunikációs csatornákon keresztüli jogosulatlan hozzáférés veszélye. | ||
| 2.5.1. „Hálózati forgalom elemzése” fenyegetés az ISPD-től továbbított és külső hálózatoktól kapott információk elfogásával: | ||
| 2.5.1.1. Elfogás az ellenőrzött területen kívül | 0,35 | átlagos |
| 2.5.1.2. Elfogás az ellenőrzött területen belül külső behatolók által | 0,25 | alacsony |
| 2.5.1.3 Az ellenőrzött területen belüli elfogás belső szabálysértők által. | 0,25 | alacsony |
| 2.5.2. A fenyegetések vizsgálata a használt operációs rendszerek típusának vagy típusainak, az ISPD munkaállomások hálózati címeinek, hálózati topológiának, nyitott portoknak és szolgáltatásoknak, nyitott kapcsolatoknak stb. azonosítására. | 0,25 | alacsony |
| 2.5.3. A hálózaton keresztüli jelszavak felfedésének veszélye | 0,35 | átlagos |
| 2.5.4. Hamis hálózati útvonal kiszabásával kapcsolatos fenyegetések | 0,25 | alacsony |
| 2.5.5. A hálózaton lévő megbízható objektum lecserélésével kapcsolatos veszélyek | 0,25 | alacsony |
| 2.5.6. Hamis objektum bevezetésével kapcsolatos fenyegetések mind az ISDN-ben, mind a külső hálózatokban | 0,25 | alacsony |
| 2.5.7. Szolgáltatásmegtagadási fenyegetések | 0,25 | alacsony |
| 2.5.8. Távoli alkalmazásindítás veszélyei | 0,35 | átlagos |
| 2.5.9 A hálózaton keresztül bevezetett rosszindulatú programok fenyegetései | 0,35 | átlagos |
16. táblázat - Autonóm IC típus III
| A PD biztonsági fenyegetések típusai | Fenyegetés megvalósíthatósági tényezője (Y) | Megvalósítási lehetőség |
| 1. A műszaki csatornákon keresztüli szivárgásból eredő veszélyek. | ||
| 1.1. Az akusztikus információszivárgás veszélye | 0,25 | alacsony |
| 1.2. A fajokra vonatkozó információszivárgás veszélye | 0,25 | alacsony |
| 1.3. A PEMIN csatornákon keresztüli információszivárgás veszélye | 0,25 | alacsony |
| 2. Az információkhoz való jogosulatlan hozzáféréssel kapcsolatos fenyegetések. | ||
| 2.1. Az ISPD-hardverek és információhordozók megsemmisítésével, ellopásával kapcsolatos fenyegetések az ISPD-elemekhez való fizikai hozzáférés révén | ||
| 2.1.1. PC lopás | 0,25 | alacsony |
| 2.1.2. Médialopás | 0,25 | alacsony |
| 2.1.3. Kulcsok és hozzáférési attribútumok ellopása | 0,25 | alacsony |
| 2.1.4. Információ lopása, módosítása, megsemmisítése | 0,25 | alacsony |
| 2.1.5. PC csomópontok és kommunikációs csatornák meghibásodása | 0,25 | alacsony |
| 2.1.6. Az információkhoz való jogosulatlan hozzáférés a PC csomópontok karbantartása (javítása, megsemmisítése) során | 0,25 | alacsony |
| 2.1.7. A biztonsági intézkedések jogosulatlan letiltása | 0,25 | alacsony |
| 2.2. Szoftver, hardver és szoftver (beleértve a szoftvert és a matematikai hatásokat) illetéktelen hozzáférés (UNA) miatti lopással, jogosulatlan módosítással vagy blokkolással fenyegető veszélyek. | ||
| 2.2.1. Rosszindulatú programok (vírusok) műveletei | 0,35 | átlagos |
| 2.2.2. A rendszerszoftverek és a személyes adatok feldolgozására szolgáló szoftverek nem bejelentett képességei | 0,25 | alacsony |
| 2.2.3. Hivatali feladatok ellátásához nem kapcsolódó szoftverek telepítése | 0,25 | alacsony |
| 2.3. A felhasználók nem szándékos cselekedeteinek fenyegetése, valamint az ISPDn és SZPDn összetételében a működés biztonságának megsértése szoftverhiba miatt, valamint nem antropogén fenyegetésekből (az elemek megbízhatatlansága miatti hardverhibák, áramkimaradások) és természetes ( villámcsapás, tűz, árvíz stb.) karakter. | ||
| 2.3.1. Kulcsok és hozzáférési attribútumok elvesztése | 0,35 | átlagos |
| 2.3.2. Az információk nem szándékos módosítása (megsemmisítése) az alkalmazottak által | 0,25 | alacsony |
| 2.3.3. A biztonsági funkciók nem szándékos letiltása | 0,25 | alacsony |
| 2.3.4. Hardver és szoftver meghibásodása | 0,25 | alacsony |
| 2.3.5. Áramkimaradás | 0,25 | alacsony |
| 2.3.6. Katasztrófa | 0,25 | alacsony |
| 2.4. A bennfentesek szándékos cselekedeteivel való fenyegetés | ||
| 2.4.1. Az információkhoz való hozzáférés, azok módosítása, megsemmisítése, akiknek a feldolgozása nem engedélyezett | 0,25 | alacsony |
| 2.4.2. Az információk feldolgozására jogosult munkatársak általi közzététel, módosítás, megsemmisítés | 0,35 | átlagos |
| 2.5. A kommunikációs csatornákon keresztüli jogosulatlan hozzáférés veszélye. | ||
| 2.5.1. „Hálózati forgalom elemzése” fenyegetés az ISPD-től továbbított és külső hálózatoktól kapott információk elfogásával: | ||
| 2.5.1.1. Elfogás az ellenőrzött területen kívül | 0,25 | alacsony |
| 2.5.1.2. Elfogás az ellenőrzött területen belül külső behatolók által | 0,25 | alacsony |
| 2.5.1.3 Az ellenőrzött területen belüli elfogás belső szabálysértők által. | 0,25 | alacsony |
| 2.5.2. A fenyegetések vizsgálata a használt operációs rendszerek típusának vagy típusainak, az ISPD munkaállomások hálózati címeinek, hálózati topológiának, nyitott portoknak és szolgáltatásoknak, nyitott kapcsolatoknak stb. azonosítására. | 0,25 | alacsony |
| 2.5.3. A hálózaton keresztüli jelszavak felfedésének veszélye | 0,25 | alacsony |
| 2.5.4. Hamis hálózati útvonal kiszabásával kapcsolatos fenyegetések | 0,25 | alacsony |
| 2.5.5. A hálózaton lévő megbízható objektum lecserélésével kapcsolatos veszélyek | 0,25 | alacsony |
| 2.5.6. Hamis objektum bevezetésével kapcsolatos fenyegetések mind az ISDN-ben, mind a külső hálózatokban | 0,25 | alacsony |
| 2.5.7. Szolgáltatásmegtagadási fenyegetések | 0,25 | alacsony |
| 2.5.8. Távoli alkalmazásindítás veszélyei | 0,25 | alacsony |
| 2.5.9 A hálózaton keresztül bevezetett rosszindulatú programok fenyegetései | 0,25 | alacsony |
17. táblázat - IV. típusú autonóm IC
| A PD biztonsági fenyegetések típusai | Fenyegetés megvalósíthatósági tényezője (Y) | Megvalósítási lehetőség |
| 1. A műszaki csatornákon keresztüli szivárgásból eredő veszélyek. | ||
| 1.1. Az akusztikus információszivárgás veszélye | 0,25 | alacsony |
| 1.2. A fajokra vonatkozó információszivárgás veszélye | 0,25 | alacsony |
| 1.3. A PEMIN csatornákon keresztüli információszivárgás veszélye | 0,25 | alacsony |
| 2. Az információkhoz való jogosulatlan hozzáféréssel kapcsolatos fenyegetések. | ||
| 2.1. Az ISPD-hardverek és információhordozók megsemmisítésével, ellopásával kapcsolatos fenyegetések az ISPD-elemekhez való fizikai hozzáférés révén | ||
| 2.1.1. PC lopás | 0,25 | alacsony |
| 2.1.2. Médialopás | 0,25 | alacsony |
| 2.1.3. Kulcsok és hozzáférési attribútumok ellopása | 0,25 | alacsony |
| 2.1.4. Információ lopása, módosítása, megsemmisítése | 0,25 | alacsony |
| 2.1.5. PC csomópontok és kommunikációs csatornák meghibásodása | 0,25 | alacsony |
| 2.1.6. Az információkhoz való jogosulatlan hozzáférés a PC csomópontok karbantartása (javítása, megsemmisítése) során | 0,25 | alacsony |
| 2.1.7. A biztonsági intézkedések jogosulatlan letiltása | 0,25 | alacsony |
| 2.2. Szoftver, hardver és szoftver (beleértve a szoftvert és a matematikai hatásokat) illetéktelen hozzáférés (UNA) miatti lopással, jogosulatlan módosítással vagy blokkolással fenyegető veszélyek. | ||
| 2.2.1. Rosszindulatú programok (vírusok) műveletei | 0,35 | átlagos |
| 2.2.2. A rendszerszoftverek és a személyes adatok feldolgozására szolgáló szoftverek nem bejelentett képességei | 0,25 | alacsony |
| 2.2.3. Hivatali feladatok ellátásához nem kapcsolódó szoftverek telepítése | 0,25 | alacsony |
| 2.3. A felhasználók nem szándékos cselekedeteinek fenyegetése, valamint az ISPDn és SZPDn összetételében a működés biztonságának megsértése szoftverhiba miatt, valamint nem antropogén fenyegetésekből (az elemek megbízhatatlansága miatti hardverhibák, áramkimaradások) és természetes ( villámcsapás, tűz, árvíz stb.) karakter. | ||
| 2.3.1. Kulcsok és hozzáférési attribútumok elvesztése | 0,35 | átlagos |
| 2.3.2. Az információk nem szándékos módosítása (megsemmisítése) az alkalmazottak által | 0,25 | alacsony |
| 2.3.3. A biztonsági funkciók nem szándékos letiltása | 0,25 | alacsony |
| 2.3.4. Hardver és szoftver meghibásodása | 0,25 | alacsony |
| 2.3.5. Áramkimaradás | 0,25 | alacsony |
| 2.3.6. Katasztrófa | 0,25 | alacsony |
| 2.4. A bennfentesek szándékos cselekedeteivel való fenyegetés | ||
| 2.4.1. Az információkhoz való hozzáférés, azok módosítása, megsemmisítése, akiknek a feldolgozása nem engedélyezett | 0,25 | alacsony |
| 2.4.2. Az információk feldolgozására jogosult munkatársak általi közzététel, módosítás, megsemmisítés | 0,35 | átlagos |
| 2.5. A kommunikációs csatornákon keresztüli jogosulatlan hozzáférés veszélye. | ||
| 2.5.1. „Hálózati forgalom elemzése” fenyegetés az ISPD-től továbbított és külső hálózatoktól kapott információk elfogásával: | ||
| 2.5.1.1. Elfogás az ellenőrzött területen kívül | 0,35 | átlagos |
| 2.5.1.2. Elfogás az ellenőrzött területen belül külső behatolók által | 0,25 | alacsony |
| 2.5.1.3 Az ellenőrzött területen belüli elfogás belső szabálysértők által. | 0,25 | alacsony |
| 2.5.2. A fenyegetések vizsgálata a használt operációs rendszerek típusának vagy típusainak, az ISPD munkaállomások hálózati címeinek, hálózati topológiának, nyitott portoknak és szolgáltatásoknak, nyitott kapcsolatoknak stb. azonosítására. | 0,25 | alacsony |
| 2.5.3. A hálózaton keresztüli jelszavak felfedésének veszélye | 0,35 | átlagos |
| 2.5.4. Hamis hálózati útvonal kiszabásával kapcsolatos fenyegetések | 0,25 | alacsony |
| 2.5.5. A hálózaton lévő megbízható objektum lecserélésével kapcsolatos veszélyek | 0,25 | alacsony |
| 2.5.6. Hamis objektum bevezetésével kapcsolatos fenyegetések mind az ISDN-ben, mind a külső hálózatokban | 0,25 | alacsony |
| 2.5.7. Szolgáltatásmegtagadási fenyegetések | 0,25 | alacsony |
| 2.5.8. Távoli alkalmazásindítás veszélyei | 0,35 | átlagos |
| 2.5.9 A hálózaton keresztül bevezetett rosszindulatú programok fenyegetései | 0,35 | átlagos |
18. táblázat – V. típusú autonóm IC
| A PD biztonsági fenyegetések típusai | Fenyegetés megvalósíthatósági tényezője (Y) | Megvalósítási lehetőség |
| 1. A műszaki csatornákon keresztüli szivárgásból eredő veszélyek. | ||
| 1.1. Az akusztikus információszivárgás veszélye | 0,25 | alacsony |
| 1.2. A fajokra vonatkozó információszivárgás veszélye | 0,25 | alacsony |
| 1.3. A PEMIN csatornákon keresztüli információszivárgás veszélye | 0,25 | alacsony |
| 2. Az információkhoz való jogosulatlan hozzáféréssel kapcsolatos fenyegetések. | ||
| 2.1. Az ISPD-hardverek és információhordozók megsemmisítésével, ellopásával kapcsolatos fenyegetések az ISPD-elemekhez való fizikai hozzáférés révén | ||
| 2.1.1. PC lopás | 0,25 | alacsony |
| 2.1.2. Médialopás | 0,25 | alacsony |
| 2.1.3. Kulcsok és hozzáférési attribútumok ellopása | 0,25 | alacsony |
| 2.1.4. Információ lopása, módosítása, megsemmisítése | 0,25 | alacsony |
| 2.1.5. PC csomópontok és kommunikációs csatornák meghibásodása | 0,25 | alacsony |
| 2.1.6. Az információkhoz való jogosulatlan hozzáférés a PC csomópontok karbantartása (javítása, megsemmisítése) során | 0,25 | alacsony |
| 2.1.7. A biztonsági intézkedések jogosulatlan letiltása | 0,25 | alacsony |
| 2.2. Szoftver, hardver és szoftver (beleértve a szoftvert és a matematikai hatásokat) illetéktelen hozzáférés (UNA) miatti lopással, jogosulatlan módosítással vagy blokkolással fenyegető veszélyek. | ||
| 2.2.1. Rosszindulatú programok (vírusok) műveletei | 0,35 | átlagos |
| 2.2.2. A rendszerszoftverek és a személyes adatok feldolgozására szolgáló szoftverek nem bejelentett képességei | 0,25 | alacsony |
| 2.2.3. Hivatali feladatok ellátásához nem kapcsolódó szoftverek telepítése | 0,25 | alacsony |
| 2.3. A felhasználók nem szándékos cselekedeteinek fenyegetése, valamint az ISPDn és SZPDn összetételében a működés biztonságának megsértése szoftverhiba miatt, valamint nem antropogén fenyegetésekből (az elemek megbízhatatlansága miatti hardverhibák, áramkimaradások) és természetes ( villámcsapás, tűz, árvíz stb.) karakter. | ||
| 2.3.1. Kulcsok és hozzáférési attribútumok elvesztése | 0,35 | átlagos |
| 2.3.2. Az információk nem szándékos módosítása (megsemmisítése) az alkalmazottak által | 0,25 | alacsony |
| 2.3.3. A biztonsági funkciók nem szándékos letiltása | 0,25 | alacsony |
| 2.3.4. Hardver és szoftver meghibásodása | 0,25 | alacsony |
| 2.3.5. Áramkimaradás | 0,25 | alacsony |
| 2.3.6. Katasztrófa | 0,25 | alacsony |
| 2.4. A bennfentesek szándékos cselekedeteivel való fenyegetés | ||
| 2.4.1. Az információkhoz való hozzáférés, azok módosítása, megsemmisítése, akiknek a feldolgozása nem engedélyezett | 0,25 | alacsony |
| 2.4.2. Az információk feldolgozására jogosult munkatársak általi közzététel, módosítás, megsemmisítés | 0,35 | átlagos |
| 2.5. A kommunikációs csatornákon keresztüli jogosulatlan hozzáférés veszélye. | ||
| 2.5.1. „Hálózati forgalom elemzése” fenyegetés az ISPD-től továbbított és külső hálózatoktól kapott információk elfogásával: | ||
| 2.5.1.1. Elfogás az ellenőrzött területen kívül | 0,25 | alacsony |
| 2.5.1.2. Elfogás az ellenőrzött területen belül külső behatolók által | 0,25 | alacsony |
| 2.5.1.3 Az ellenőrzött területen belüli elfogás belső szabálysértők által. | 0,25 | alacsony |
| 2.5.2. A fenyegetések vizsgálata a használt operációs rendszerek típusának vagy típusainak, az ISPD munkaállomások hálózati címeinek, hálózati topológiának, nyitott portoknak és szolgáltatásoknak, nyitott kapcsolatoknak stb. azonosítására. | 0,25 | alacsony |
| 2.5.3. A hálózaton keresztüli jelszavak felfedésének veszélye | 0,25 | alacsony |
| 2.5.4. Hamis hálózati útvonal kiszabásával kapcsolatos fenyegetések | 0,25 | alacsony |
| 2.5.5. A hálózaton lévő megbízható objektum lecserélésével kapcsolatos veszélyek | 0,25 | alacsony |
| 2.5.6. Hamis objektum bevezetésével kapcsolatos fenyegetések mind az ISDN-ben, mind a külső hálózatokban | 0,25 | alacsony |
| 2.5.7. Szolgáltatásmegtagadási fenyegetések | 0,25 | alacsony |
| 2.5.8. Távoli alkalmazásindítás veszélyei | 0,25 | alacsony |
| 2.5.9 A hálózaton keresztül bevezetett rosszindulatú programok fenyegetései | 0,25 | alacsony |
19. táblázat – VI típusú önálló IC
| A PD biztonsági fenyegetések típusai | Fenyegetés megvalósíthatósági tényezője (Y) | Megvalósítási lehetőség |
| 1. A műszaki csatornákon keresztüli szivárgásból eredő veszélyek. | ||
| 1.1. Az akusztikus információszivárgás veszélye | 0,25 | alacsony |
| 1.2. A fajokra vonatkozó információszivárgás veszélye | 0,25 | alacsony |
| 1.3. A PEMIN csatornákon keresztüli információszivárgás veszélye | 0,25 | alacsony |
| 2. Az információkhoz való jogosulatlan hozzáféréssel kapcsolatos fenyegetések. | ||
| 2.1. Az ISPD-hardverek és információhordozók megsemmisítésével, ellopásával kapcsolatos fenyegetések az ISPD-elemekhez való fizikai hozzáférés révén | ||
| 2.1.1. PC lopás | 0,25 | alacsony |
| 2.1.2. Médialopás | 0,25 | alacsony |
| 2.1.3. Kulcsok és hozzáférési attribútumok ellopása | 0,25 | alacsony |
| 2.1.4. Információ lopása, módosítása, megsemmisítése | 0,25 | alacsony |
| 2.1.5. PC csomópontok és kommunikációs csatornák meghibásodása | 0,25 | alacsony |
| 2.1.6. Az információkhoz való jogosulatlan hozzáférés a PC csomópontok karbantartása (javítása, megsemmisítése) során | 0,25 | alacsony |
| 2.1.7. A biztonsági intézkedések jogosulatlan letiltása | 0,25 | alacsony |
| 2.2. Szoftver, hardver és szoftver (beleértve a szoftvert és a matematikai hatásokat) illetéktelen hozzáférés (UNA) miatti lopással, jogosulatlan módosítással vagy blokkolással fenyegető veszélyek. | ||
| 2.2.1. Rosszindulatú programok (vírusok) műveletei | 0,35 | átlagos |
| 2.2.2. A rendszerszoftverek és a személyes adatok feldolgozására szolgáló szoftverek nem bejelentett képességei | 0,25 | alacsony |
| 2.2.3. Hivatali feladatok ellátásához nem kapcsolódó szoftverek telepítése | 0,25 | alacsony |
| 2.3. A felhasználók nem szándékos cselekedeteinek fenyegetése, valamint az ISPDn és SZPDn összetételében a működés biztonságának megsértése szoftverhiba miatt, valamint nem antropogén fenyegetésekből (az elemek megbízhatatlansága miatti hardverhibák, áramkimaradások) és természetes ( villámcsapás, tűz, árvíz stb.) karakter. | ||
| 2.3.1. Kulcsok és hozzáférési attribútumok elvesztése | 0,35 | átlagos |
| 2.3.2. Az információk nem szándékos módosítása (megsemmisítése) az alkalmazottak által | 0,25 | alacsony |
| 2.3.3. A biztonsági funkciók nem szándékos letiltása | 0,25 | alacsony |
| 2.3.4. Hardver és szoftver meghibásodása | 0,25 | alacsony |
| 2.3.5. Áramkimaradás | 0,25 | alacsony |
| 2.3.6. Katasztrófa | 0,25 | alacsony |
| 2.4. A bennfentesek szándékos cselekedeteivel való fenyegetés | ||
| 2.4.1. Az információkhoz való hozzáférés, azok módosítása, megsemmisítése, akiknek a feldolgozása nem engedélyezett | 0,25 | alacsony |
| 2.4.2. Az információk feldolgozására jogosult munkatársak általi közzététel, módosítás, megsemmisítés | 0,35 | átlagos |
| 2.5. A kommunikációs csatornákon keresztüli jogosulatlan hozzáférés veszélye. | ||
| 2.5.1. „Hálózati forgalom elemzése” fenyegetés az ISPD-től továbbított és külső hálózatoktól kapott információk elfogásával: | ||
| 2.5.1.1. Elfogás az ellenőrzött területen kívül | 0,35 | átlagos |
| 2.5.1.2. Elfogás az ellenőrzött területen belül külső behatolók által | 0,25 | alacsony |
| 2.5.1.3 Az ellenőrzött területen belüli elfogás belső szabálysértők által. | 0,25 | alacsony |
| 2.5.2. A fenyegetések vizsgálata a használt operációs rendszerek típusának vagy típusainak, az ISPD munkaállomások hálózati címeinek, hálózati topológiának, nyitott portoknak és szolgáltatásoknak, nyitott kapcsolatoknak stb. azonosítására. | 0,25 | alacsony |
| 2.5.3. A hálózaton keresztüli jelszavak felfedésének veszélye | 0,35 | átlagos |
| 2.5.4. Hamis hálózati útvonal kiszabásával kapcsolatos fenyegetések | 0,25 | alacsony |
| 2.5.5. A hálózaton lévő megbízható objektum lecserélésével kapcsolatos veszélyek | 0,25 | alacsony |
| 2.5.6. Hamis objektum bevezetésével kapcsolatos fenyegetések mind az ISDN-ben, mind a külső hálózatokban | 0,25 | alacsony |
| 2.5.7. Szolgáltatásmegtagadási fenyegetések | 0,25 | alacsony |
| 2.5.8. Távoli alkalmazásindítás veszélyei | 0,35 | átlagos |
| 2.5.9 A hálózaton keresztül bevezetett rosszindulatú programok fenyegetései | 0,35 | átlagos |
20. táblázat – I. típusú LIS
Érvényes Szerkesztőség től 15.02.2008
„A SZEMÉLYES ADATOK BIZTONSÁGI VESZÉLYEZÉSE ALAPVETŐ MODELL A SZEMÉLYES ADATOK INFORMÁCIÓS RENDSZEREKBEN TÖRTÉNŐ FELDOLGOZÁSA SORÁN” (jóváhagyta 2008. február 15-én az Orosz Föderáció FSTEC-je)
5. A személyes adatok információs rendszerében található információkhoz való jogosulatlan hozzáférés veszélye
A személyes adatokkal kapcsolatos fenyegetés a személyes adatok információs rendszereiben szoftver és hardver segítségével akkor valósul meg, amikor jogosulatlan, ideértve a véletlenszerű hozzáférést is végrehajtják, ami a titoktartás (másolás, jogosulatlan terjesztés), integritás (megsemmisítés, módosítás) és elérhetőség (blokkolás) megsértését eredményezi. ) személyes adatok, és tartalmazzák:
a számítógép operációs környezetébe való hozzáférés (behatolás) fenyegetései szabványos szoftverek (operációs rendszer eszközei vagy általános alkalmazási programok) használatával;
A szoftver (hardver és szoftver) rendellenes működési módok létrehozásának veszélye a szolgáltatási adatok szándékos megváltoztatása, a feldolgozott információ összetételére és jellemzőire vonatkozó szabványos feltételekben előírt korlátozások figyelmen kívül hagyása, maguk az adatok torzítása (módosítása) stb. ;
rosszindulatú programok bevezetésével kapcsolatos fenyegetés (szoftver és matematikai befolyás).
Az ISPD információkezelési rendszerében az információkat fenyegető veszélyek leírására szolgáló elemek összetételét a 3. ábra mutatja.
Ezenkívül lehetségesek kombinált fenyegetések, amelyek e fenyegetések kombinációját jelentik. Például a rosszindulatú programok bevezetésével megteremthetők a feltételek a számítógép operációs környezetébe való jogosulatlan hozzáféréshez, beleértve a nem hagyományos információ-elérési csatornák kialakítását is.
Az ISPD működési környezetébe szabványos szoftverrel való hozzáférés (behatolás) veszélyei közvetlen és távoli hozzáférés. A közvetlen hozzáférésű fenyegetéseket számítógépes szoftverek és hardveres beviteli/kimeneti eszközök segítségével hajtják végre. A távelérési fenyegetéseket hálózati kommunikációs protokollok segítségével valósítják meg.
Ezek a fenyegetések az ISPD-vel kapcsolatban mind a nyilvános kommunikációs hálózatban nem szereplő automatizált munkaállomások, mind pedig a nyilvános kommunikációs hálózatokhoz és nemzetközi hálózatokhoz kapcsolódó összes ISPD vonatkozásában megvalósulnak. információcsere.
A számítógép működési környezetébe való hozzáférés (penetráció) fenyegetésének leírása formálisan a következőképpen mutatható be:
NSD veszélye az ISPDn-ben: =<источник угрозы>, <уязвимость ИСПДн>, <способ реализации угрозы>, <объект воздействия (программа, протокол, данные и др.)>, <деструктивное действие>.
3. ábra: Az ISDN-ben található információkhoz való jogosulatlan hozzáféréssel kapcsolatos fenyegetések leírásának elemei
A szoftver (szoftver és hardver) eszközök rendellenes működési módjának létrehozásával kapcsolatos fenyegetések „szolgáltatásmegtagadási” fenyegetések. Ezeket a fenyegetéseket főszabály szerint a helyi és elosztott információs rendszereken alapuló ISDN-nel kapcsolatban figyelembe veszik, függetlenül az információcsere kapcsolatától. Megvalósításuk annak a ténynek köszönhető, hogy a rendszer- vagy alkalmazásszoftver fejlesztése során nem veszik figyelembe a célzott változtatások szándékos cselekvésének lehetőségét:
adatfeldolgozási feltételek (például egy üzenetcsomag hosszára vonatkozó korlátozások figyelmen kívül hagyása);
Adatmegjelenítési formátumok (a hálózati kommunikációs protokollok segítségével történő feldolgozásra létrehozott módosított formátumok ellentmondásával);
Adatfeldolgozó szoftver.
A szolgáltatásmegtagadásos fenyegetések megvalósítása következtében a pufferek túlcsordulnak és a feldolgozási folyamatok blokkolódnak, a feldolgozási folyamatok hurkolódnak, a számítógép lefagy, üzenetcsomagok eldobódnak stb. Az ilyen fenyegetések leírása formálisan a következőképpen mutatható be:
Szolgáltatásmegtagadási fenyegetés: =<источник угрозы>, <уязвимость ИСПДн>, <способ реализации угрозы>, <объект воздействия (носитель ПДн)>, <непосредственный результат реализации угрозы (переполнение буфера, блокирование процедуры обработки, "зацикливание" обработки и т.п.)>.
Nem célszerű a rosszindulatú programok (szoftverek és matematikai befolyás) bevezetésével kapcsolatos fenyegetéseket a fenti fenyegetéssel azonos részletességgel ismertetni. Ez annak köszönhető, hogy egyrészt a rosszindulatú programok száma ma már jelentősen meghaladja a százezret. Másodszor, az információvédelem gyakorlati megszervezésekor általában elég csak ismerni a rosszindulatú program osztályát, végrehajtásának (fertőzés) módszereit és következményeit. Ebben a tekintetben a szoftver-matematikai befolyásból (PMI) származó fenyegetések formálisan a következőképpen jeleníthetők meg:
Első világháborús fenyegetés az ISPDn-ben: =<класс вредоносной программы (с указанием среды обитания)>, <источник угрозы (носитель вредоносной программы)>, <способ инфицирования>, <объект воздействия (загрузочный сектор, файл и т.п.)>, <описание возможных деструктивных действий>, <дополнительная информация об угрозе (резидентность, скорость распространения, полиморфичность и др.)>.
Az alábbiakban általános leírás található az információbiztonságot fenyegető veszélyforrásokról, a jogosulatlan hozzáféréssel kapcsolatos fenyegetések megvalósítása során felhasználható sebezhetőségekről, valamint a jogosulatlan vagy véletlen hozzáférés eredményeiről. A fenyegetések megvalósítási módszereinek jellemzőit a számítógép operációs környezetébe való hozzáférés (penetráció), a szolgáltatásmegtagadás és a PMV fenyegetések leírásakor adjuk meg.
Az NSD-fenyegetések forrásai az ISPD-ben a következők lehetnek:
betolakodó;
rosszindulatú programok hordozója;
hardveres könyvjelző.
A hardveres könyvjelzők végrehajtásával kapcsolatos személyes adatok biztonságát fenyegető veszélyeket a Szövetségi Biztonsági Szolgálat szabályozási dokumentumaival összhangban határozzák meg. Orosz Föderáció az általa előírt módon.
Az ISPD ellenőrzött területéhez (CA) való állandó vagy egyszeri hozzáférés joga alapján a szabálysértőket két típusra osztják:
Azok a jogsértők, akik nem férnek hozzá az ISPD-hez, és külső nyilvános kommunikációs hálózatokból és (vagy) nemzetközi információcsere-hálózatokból fenyegetéseket hajtanak végre, külső jogsértőknek minősülnek;
Azok a jogsértők, akik hozzáférnek az ISPD-hez, beleértve az ISPD-felhasználókat is, akik közvetlenül az ISPD-ben valósítanak meg fenyegetést, belső jogsértők.
A külső behatolók lehetnek:
államok hírszerző szolgálatai;
Bûnügyi szerkezetek;
versenytársak (versenytárs szervezetek);
gátlástalan partnerek;
külső entitások (egyének).
Egy külső behatoló a következő képességekkel rendelkezik:
a helyiségen kívüli kommunikációs csatornákhoz való jogosulatlan hozzáférést végrehajtani;
jogosulatlan hozzáférés gyakorlása nyilvános kommunikációs hálózatokhoz és (vagy) nemzetközi információcsere-hálózatokhoz kapcsolódó automatizált munkaállomásokon keresztül;
jogosulatlan hozzáférést végezhet az információkhoz speciális szoftverhatások segítségével szoftvervírusok, rosszindulatú programok, algoritmikus vagy szoftveres könyvjelzők segítségével;
jogosulatlan hozzáférés gyakorlása az ISPD információs infrastruktúra elemein keresztül, amelyek életciklusuk során (korszerűsítés, karbantartás, javítás, ártalmatlanítás) az ellenőrzött területen kívülre kerülnek;
jogosulatlan hozzáférést gyakorolhatnak az egymással együttműködő osztályok, szervezetek és intézmények információs rendszerein keresztül, amikor az ISPD-hez kapcsolódnak.
A belső jogsértő képességei jelentősen függnek az ellenőrzött körzeten belül érvényben lévő biztonsági, szervezési és műszaki védelmi intézkedésektől, beleértve az egyének személyes adatokhoz való hozzáférését és a munkavégzési eljárás ellenőrzését.
A belső potenciális jogsértők nyolc kategóriába sorolhatók a személyes adatokhoz való hozzáférés módjától és a hozzáférési jogosultságtól függően.
Az első kategóriába azok a személyek tartoznak, akik jogosultak hozzáférni az ISPD-hez, de nem rendelkeznek hozzáféréssel a PD-hez. Az ilyen típusú jogsértők közé tartoznak az ISPD normális működését biztosító tisztviselők.
hozzáférhet az ISPD belső kommunikációs csatornáin keresztül terjesztett, személyes adatokat tartalmazó információtöredékekhez;
Információkkal rendelkezzen az ISPD (az alhálózat kommunikációs része) topológiájáról, valamint a használt kommunikációs protokollokról és azok szolgáltatásairól;
Rendelkezik a regisztrált felhasználók nevével és jelszavaival;
módosítsa az ISPD technikai eszközeinek konfigurációját, adjon hozzá hardver- és szoftverkönyvjelzőket, és gondoskodjon arról, hogy az információ az ISPD technikai eszközeivel való közvetlen kapcsolaton keresztül kerüljön lekérésre.
rendelkezik az első kategóriába tartozó személyek minden képességével;
Ismer legalább egy legális hozzáférési nevet;
Rendelkezik az összes szükséges attribútummal (például jelszó), amely hozzáférést biztosít a személyes adatok bizonyos részhalmazához;
bizalmas adatokkal rendelkezik, amelyekhez hozzáfér.
Hozzáférését, hitelesítését és a személyes adatok bizonyos részhalmazához való hozzáférési jogait a megfelelő hozzáférés-szabályozási szabályoknak kell szabályozniuk.
rendelkezik az első és második kategóriába tartozó személyek minden képességével;
Információkkal rendelkezik az ISPD topológiájáról a helyi és (vagy) elosztott információs rendszer alapján, amelyen keresztül a hozzáférés biztosított, valamint az ISPD technikai eszközeinek összetételéről;
képes közvetlen (fizikai) hozzáférést biztosítani az ISPD technikai eszközeinek töredékeihez.
Rendelkezik teljes körű tájékoztatást az ISPD szegmensben használt rendszerről és alkalmazásszoftverről (töredék);
Teljes körű információval rendelkezik az ISPD szegmens (töredék) műszaki eszközeiről és konfigurációjáról;
hozzáféréssel rendelkezik az információbiztonsági és naplózó eszközökhöz, valamint egyedi elemek, az ISPDn egy szegmensében (töredékében) használatos;
hozzáféréssel rendelkezik az ISPD szegmensének (töredékének) minden technikai eszközéhez;
jogosult az ISPD egy szegmensének (töredékének) a műszaki eszközeinek bizonyos részhalmazának konfigurálására és adminisztratív beállítására.
Rendelkezik az előző kategóriákba tartozó személyek minden képességével;
teljes körű információval rendelkezik az ISPD rendszeréről és alkalmazási szoftvereiről;
teljes körű információval rendelkezik az ISPD műszaki eszközeiről és konfigurációjáról;
hozzáféréssel rendelkezik az információfeldolgozás minden technikai eszközéhez és az ISPD-adatokhoz;
jogosult az ISPD technikai eszközök konfigurálására és adminisztratív beállítására.
A rendszergazda konfigurálja és kezeli a szoftvereket és berendezéseket, beleértve a védett objektum biztonságáért felelős berendezéseket: eszközöket kriptográfiai védelem információ, figyelés, regisztráció, archiválás, jogosulatlan hozzáférés elleni védelem.
rendelkezik az előző kategóriákba tartozó személyek minden képességével;
teljes körű információval rendelkezik az ISPD-ről;
hozzáféréssel rendelkezik az információbiztonsági és naplózási eszközökhöz, valamint az ISPD néhány kulcsfontosságú eleméhez;
Nincs hozzáférési joga a hálózati műszaki berendezések konfigurálásához, kivéve a vezérlő (ellenőrző) berendezéseket.
A biztonsági adminisztrátor felelős a hozzáférés-szabályozási szabályok betartásáért, a kulcselemek generálásáért és a jelszavak megváltoztatásáért. A biztonsági adminisztrátor ugyanazokat az objektumbiztonsági vezérlőket ellenőrzi, mint a rendszergazda.
információval rendelkezik az ISPD-re vonatkozó információk feldolgozására szolgáló algoritmusokról és programokról;
Képes hibákat, nem bejelentett képességeket, szoftverkönyvjelzőket, rosszindulatú programokat bevinni az ISPD-szoftverbe a fejlesztés, a megvalósítás és a karbantartás szakaszában;
rendelkezhet bármilyen információval az ISPD topológiájáról, valamint az ISPD-ben feldolgozott PD feldolgozásának és védelmének technikai eszközeiről.
képes könyvjelzőket hozzáadni az ISPD technikai eszközeihez a fejlesztés, a megvalósítás és a karbantartás szakaszában;
Bármilyen információval rendelkezhet az ISPD topológiájáról, valamint az ISPD információfeldolgozásának és védelmének technikai eszközeiről.
A rosszindulatú programhordozó lehet számítógépes hardverelem vagy szoftvertároló. Ha a rosszindulatú program nincs társítva egyetlen alkalmazásprogrammal sem, akkor a következők számítanak hordozójának:
Elidegeníthető adathordozó, azaz hajlékonylemez, optikai lemez(CD-R, CD-RW), flash memória, elidegeníthető merevlemez stb.;
Beépített adathordozók (merevlemezek, RAM chipek, processzor, mikroáramkörök alaplap, rendszeregységbe épített eszközök mikroáramkörei - videó adapter, hálózati kártya, hangkártya, modem, bemeneti/kimeneti eszközök mágneses keményés optikai lemezek, tápegység stb., közvetlen memóriaelérési chipek, adatbuszok, bemeneti/kimeneti portok);
mikroáramkörök külső eszközök(monitor, billentyűzet, nyomtató, modem, szkenner stb.).
Ha egy rosszindulatú program bármely alkalmazáshoz, bizonyos kiterjesztésű vagy más attribútumú fájlokhoz, hálózaton keresztül továbbított üzenetekhez kapcsolódik, akkor a hordozói a következők:
számítógépes hálózaton keresztül továbbított üzenetcsomagok;
fájlok (szöveges, grafikus, végrehajtható stb.).
5.2. A személyes adatok információs rendszerének sebezhetőségeinek általános jellemzőiA személyes adatok információs rendszerének sebezhetősége az automatizált információs rendszer rendszerének vagy alkalmazási szoftverének (hardverének és szoftverének) hiányossága vagy gyengesége, amely alkalmas a személyes adatok biztonságát veszélyeztető veszélyek megvalósítására.
A sebezhetőség okai a következők:
hibák a szoftver (hardver és szoftver) tervezésében és fejlesztésében;
a szoftver (hardver és szoftver) tervezése és fejlesztése során sebezhető pontok bevezetésére irányuló szándékos cselekvések;
hibás szoftverbeállítások, az eszközök és programok működési módjának illegális megváltoztatása;
Fel nem számolt programok jogosulatlan megvalósítása és használata, az ezt követő indokolatlan erőforrás-felhasználással (processzor terhelés, RAM és memória lefoglalása külső adathordozón);
szoftverekben és hardverekben sebezhetőséget okozó rosszindulatú programok bevezetése;
a felhasználók jogosulatlan, nem szándékos tevékenységei, amelyek sebezhetőséghez vezetnek;
hardver és szoftver működési hibák (áramkimaradások, hardverelemek meghibásodása az öregedés és a megbízhatóság csökkenése miatt, külső hatások elektromágneses mezők technikai eszközök satöbbi.).
A fő ISDN-sebezhetőségek osztályozása a 4. ábrán látható.
4. ábra A szoftver sebezhetőségeinek osztályozása
Az alábbiakban általános leírás található az ISDN-sebezhetőségek fő csoportjairól, beleértve a következőket:
a rendszerszoftver sérülékenységei (beleértve a hálózati kommunikációs protokollokat);
alkalmazási szoftverek (beleértve az információbiztonsági eszközöket) sebezhetőségei.
5.2.1. A rendszerszoftver-sebezhetőségek általános jellemzőiA rendszerszoftverek sebezhetőségeit figyelembe kell venni a számítástechnikai rendszerek architektúrájával kapcsolatban.
Vannak lehetséges sebezhetőségek:
mikroprogramokban, ROM-ban, PROM firmware;
a helyi ISPD-erőforrások kezelésére tervezett operációs rendszer-eszközökben (folyamatok, memória, beviteli/kimeneti eszközök, felhasználói felület stb.), illesztőprogramok, segédprogramok kezelésére;
Az operációs rendszer segédfunkcióinak végrehajtására tervezett eszközökben - segédprogramok (archiválás, töredezettségmentesítés stb.), rendszerfeldolgozó programok (fordítók, linkerek, hibakeresők stb.), a felhasználót biztosító programok további szolgáltatások(speciális interfész opciók, számológépek, játékok stb.), különféle célú eljárások könyvtárai (matematikai függvénykönyvtárak, bemeneti/kimeneti függvények stb.);
a kommunikációs interakció eszközeiben ( hálózati média) operációs rendszer.
A helyi erőforrások és kiegészítő funkciók kezelésére tervezett firmware és operációs rendszer eszközeinek biztonsági rései a következők lehetnek:
Funkciók, eljárások, amelyek paramétereinek bizonyos módon történő megváltoztatása lehetővé teszi, hogy jogosulatlan hozzáférésre használják őket anélkül, hogy az operációs rendszer észlelné az ilyen változásokat;
a fejlesztő által bevezetett programkód töredékek ("lyukak", "csapdák"), amelyek lehetővé teszik az azonosítási, hitelesítési, integritás-ellenőrzési eljárások stb. megkerülését;
Programhibák (változók, függvények és eljárások deklarációjában, programkódokban), amelyek bizonyos feltételek mellett (például logikai átmenetek végrehajtásakor) meghibásodásokhoz vezetnek, beleértve az információbiztonsági eszközök és rendszerek működésének meghibásodását is.
A hálózati kommunikációs protokollok sebezhetőségei azok sajátosságaihoz kapcsolódnak szoftver megvalósításés a használt puffer méretének korlátai, a hitelesítési eljárás hiányosságai, a szolgáltatási információk helyességének ellenőrzésének hiánya stb. okozzák. A protokollokkal kapcsolatos sérülékenységek rövid leírását a 2. táblázat tartalmazza.
2. táblázat
A TCP/IP protokollverem egyes protokolljainak sebezhetőségei, amelyek alapján a globális nyilvános hálózatok működnek
| Protokoll neve | Protokoll verem réteg | A sebezhetőség neve (jellemzője). | Az információbiztonság megsértésének tartalma |
| FTP (File Transfer Protocol) - protokoll fájlok hálózaton keresztüli átvitelére | 1. Egyszerű szöveges hitelesítés (a jelszavak titkosítása nélkül kerülnek elküldésre) 2. Alapértelmezett hozzáférés 3. Két nyitott port | Lehetőség adatelfogásra fiókot(regisztrált felhasználónevek, jelszavak). Távoli hozzáférés megszerzése a gazdagépekhez | |
| telnet - távoli terminálvezérlő protokoll | Jelentkezés, képviselő, ülés | Egyszerű szöveges hitelesítés (a jelszavak titkosítása nélkül kerülnek elküldésre) | Lehetőség a felhasználói fiókok adatainak lehallgatására. Távoli hozzáférés megszerzése a gazdagépekhez |
| UDP - kapcsolat nélküli adatátviteli protokoll | Szállítás | Nincs olyan mechanizmus, amely megakadályozná a puffer túlterhelését | Az UDP storm megvalósításának lehetősége. A csomagcsere következtében jelentősen csökken a szerver teljesítménye |
| ARP – IP-cím a fizikai cím protokollhoz | Hálózat | Egyszerű szöveges hitelesítés (az információkat titkosítatlanul küldi el) | A felhasználói forgalom támadó általi elfogásának lehetősége |
| RIP – Routing Information Protocol | Szállítás | Az útvonalváltoztatási vezérlő üzenetek hitelesítésének hiánya | Lehetőség a forgalom átirányítására a támadó gazdagépén keresztül |
| TCP - Transmission Control Protocol | Szállítás | A csomagszolgáltatási fejlécek helyes kitöltésének ellenőrzésére szolgáló mechanizmus hiánya | Az adatcsere sebességének jelentős csökkenése és akár az önkényes kapcsolatok teljes megszakítása is TCP protokoll |
| DNS - protokoll a mnemonikus nevek és a hálózati címek közötti megfelelés létrehozására | Jelentkezés, képviselő, ülés | Eszközök hiánya a forrástól kapott adatok hitelesítésének ellenőrzésére | A DNS-kiszolgáló válaszának manipulálása |
| IGMP – Routing Message Protocol | Hálózat | Az útvonalparaméterek módosításáról szóló üzenetek hitelesítésének hiánya | A Win 9x/NT/200 rendszerek lefagynak |
| SMTP - e-mail üzenetek kézbesítési szolgáltatásának protokollja | Jelentkezés, képviselő, ülés | Lehetőség az e-mail üzenetek, valamint az üzenet küldőjének címének hamisítására | |
| SNMP - protokoll a hálózatok útválasztóinak kezelésére | Jelentkezés, képviselő, ülés | Nem támogatja az üzenetfejléc-hitelesítést | A hálózati sávszélesség túlterhelésének lehetősége |
Számos sebezhetőség leírásának rendszerezésére a CVE (Common Vulnerabilities and Exposures) sebezhetőségek egyetlen adatbázisa szolgál, melynek fejlesztésében számos neves cég és szervezet szakemberei vettek részt, mint például a MItrE, ISS, Cisco, BindView, Axent, NFR, L-3, CyberSafe, CERT, Carnegie Mellon Egyetem, SANS Intézet stb. Ez az adatbázis folyamatosan frissül, és számos biztonsági elemző szoftver és mindenekelőtt hálózati szkenner adatbázis létrehozására szolgál.
5.2.2. Alkalmazási szoftverek sebezhetőségeinek általános jellemzőiAz alkalmazásszoftverek közé tartoznak az általános használatú alkalmazási programok és a speciális alkalmazási programok.
Általános felhasználású alkalmazási programok - szöveges és grafikus szerkesztő, médiaprogramok (audio- és videolejátszók, televíziós műsorok fogadására szolgáló szoftverek stb.), adatbázis-kezelő rendszerek, nyilvános szoftverplatformok fejlesztéshez szoftver termékek(például Delphi, Visual Basic), a nyilvános információk védelmének eszközei stb.
A speciális alkalmazási programok olyan programok, amelyeket egy adott ISPD-ben meghatározott alkalmazási problémák megoldása érdekében fejlesztettek ki (beleértve egy adott ISPD-hez kifejlesztett információbiztonsági szoftvert is).
Az alkalmazásszoftver sebezhetőségei a következők lehetnek:
különböző alkalmazási programokhoz tartozó, egymással inkompatibilis (nem azonos működési környezetben működő) funkciók és eljárások a rendszererőforrások elosztásával kapcsolatos konfliktusok miatt;
Funkciók, eljárások, amelyek paramétereinek bizonyos módon történő megváltoztatása lehetővé teszi az ISPD működési környezetébe való behatolást és az operációs rendszer szabványos funkcióinak meghívását, jogosulatlan hozzáférést végrehajtva anélkül, hogy az operációs rendszer észlelné az ilyen változásokat;
a fejlesztő által bevezetett programkód töredékek ("lyukak", "csapdák"), amelyek lehetővé teszik az operációs rendszerben biztosított azonosítási, hitelesítési, integritás-ellenőrzési stb. eljárások megkerülését;
a szükséges biztonsági intézkedések hiánya (hitelesítés, integritás-ellenőrzés, üzenetformátumok ellenőrzése, jogosulatlan módosult funkciók blokkolása stb.);
Programhibák (változók, függvények és eljárások deklarációjában, programkódokban), amelyek bizonyos feltételek mellett (például logikai átmenetek végrehajtásakor) meghibásodásokhoz vezetnek, beleértve az információbiztonsági eszközök és rendszerek működésének meghibásodását, valamint a az információkhoz való jogosulatlan hozzáférés lehetősége.
A kereskedelmi alapon fejlesztett és terjesztett alkalmazási szoftverek sebezhetőségeire vonatkozó adatokat a CVE adatbázisban gyűjtik, állítják össze és elemzik.<*>.
<*>Kereskedelmi alapon a külföldi CERT cég végzi.
5.3. A személyes adatok információs rendszerének működési környezetéhez való közvetlen hozzáféréssel kapcsolatos fenyegetések általános jellemzőiA számítógép működési környezetébe való hozzáférés (behatolás) és a személyes adatokhoz való jogosulatlan hozzáférés fenyegetése a következőkhöz való hozzáféréssel jár:
az ISPD alapvető bemeneti/kimeneti rendszerében (BIOS) tárolt információkhoz és parancsokhoz, amelyek képesek az operációs rendszer betöltésének vezérlésére és megbízható felhasználói jogok megszerzésére;
működési környezetébe, azaz egy különálló ISPD technikai eszköz helyi operációs rendszerének működési környezetébe, amely képes szabványos operációs rendszer programok meghívásával vagy speciálisan erre a célra kialakított, ilyen műveleteket végrehajtó programok indításával illetéktelen hozzáférést végrehajtani;
alkalmazási programok működési környezetébe (pl helyi rendszer adatbázis-kezelés);
közvetlenül a felhasználói információkhoz (fájlok, szöveg, hang és grafikus információk, mezők és rekordok az elektronikus adatbázisokban), és a titkosságának, integritásának és elérhetőségének megsértésének lehetősége okozza.
Ezek a fenyegetések akkor valósulhatnak meg, ha fizikai hozzáférést kapunk az ISPD-hez, vagy legalább az ISPD-be való információbevitel eszközeihez. A megvalósítás feltételei szerint három csoportba vonhatók.
Az első csoportba azok a fenyegetések tartoznak, amelyek az operációs rendszer betöltése során valósulnak meg. Ezek az információbiztonsági fenyegetések jelszavak vagy azonosítók elfogására, szoftverek módosítására irányulnak alaprendszer bemenet/kimenet (BIOS), a rendszerindítás-vezérlés elfogása az NSD ISPDn működési környezetbe történő fogadásához szükséges technológiai információk megváltoztatásával. Az ilyen fenyegetéseket leggyakrabban elidegenített média segítségével hajtják végre.
A második csoportba azok a fenyegetések tartoznak, amelyek az operációs környezet betöltése után kerülnek megvalósításra, függetlenül attól, hogy a felhasználó melyik alkalmazásprogramot indította el. Ezek a fenyegetések általában közvetlenül az információkhoz való jogosulatlan hozzáférésre irányulnak. Az operációs környezethez való hozzáférés során a behatoló használhatja az operációs rendszer vagy bármely nyilvános alkalmazási program (például adatbázis-kezelő rendszer) szabványos funkcióit és a kifejezetten jogosulatlan hozzáférés végrehajtására létrehozott programokat, például:
Programok a rendszerleíró adatbázis megtekintésére és módosítására;
Szövegkereső programok be szöveges fájlokÁltal kulcsszavakatés másolás;
speciális programok adatbázisokban lévő rekordok megtekintésére és másolására;
gyorsnézegető programok grafikus fájlok szerkesztése vagy másolása;
a szoftverkörnyezet újrakonfigurálását támogató programok (ISPD-beállítások az elkövető érdekében), stb.
Végül a harmadik csoportba tartoznak a fenyegetések, amelyek megvalósítását az határozza meg, hogy a felhasználó melyik alkalmazásprogramot indítja el, illetve az, hogy valamelyik alkalmazási program elindult. A legtöbb ilyen fenyegetés rosszindulatú program.
5.4. A személyes adatok biztonságát fenyegető fenyegetések általános jellemzői az internetmunka protokollok segítségévelHa egy ISPD-t helyi vagy elosztott információs rendszer alapján valósítanak meg, akkor az információbiztonságot fenyegető veszélyek az internetmunka protokollok használatával valósíthatók meg benne. Ebben az esetben az NSD a PD felé nyújtható, vagy megvalósulhat a szolgáltatásmegtagadás veszélye. A fenyegetések különösen akkor veszélyesek, ha az ISPD nyilvános hálózatokhoz és (vagy) nemzetközi információcsere-hálózatokhoz kapcsolódó elosztott információs rendszer. A hálózaton keresztül megvalósított fenyegetések osztályozási sémája az 5. ábrán látható. Az alábbi hét elsődleges besorolási kritériumon alapul.
1. A fenyegetés jellege. E kritérium szerint a fenyegetés lehet passzív vagy aktív. Passzív fenyegetésnek minősül az a fenyegetés, amelynek megvalósítása az információs rendszer működését közvetlenül nem érinti, de sértheti a személyes adatokhoz vagy hálózati erőforrásokhoz való hozzáférés korlátozására megállapított szabályokat. Ilyen fenyegetésekre példa a „Network Traffic Analysis” fenyegetés, amelynek célja a kommunikációs csatornák meghallgatása és a továbbított információk elfogása.
Az aktív fenyegetés a PDIS erőforrásokra gyakorolt hatáshoz kapcsolódó fenyegetés, amelynek megvalósítása közvetlen hatással van a rendszer működésére (konfigurációs változások, zavarok stb.), valamint a hozzáférés korlátozására megállapított szabályok megsértésével. PD vagy hálózati erőforrások. Ilyen fenyegetésekre példa a szolgáltatásmegtagadási fenyegetés, amelyet „TCP-kérésviharként” valósítottak meg.
2. A fenyegetés megvalósításának célja. E kritérium szerint a fenyegetés irányulhat az információk titkosságának, integritásának és elérhetőségének megsértésére (ideértve az ISPD vagy elemei működésének megzavarását is).
3. A fenyegetés megvalósítási folyamatának megkezdésének feltétele. Ezen jellemző alapján a fenyegetés realizálható:
annak az objektumnak a kérésére, amely ellen a fenyegetést végrehajtják. Ebben az esetben a behatoló egy bizonyos típusú kérés továbbítására számít, ami a jogosulatlan hozzáférés kezdeményezésének feltétele lesz;
5. ábra: Internetworking protokollokat használó fenyegetések osztályozási sémája
Várható esemény bekövetkezésekor azon a létesítményen, amellyel kapcsolatban a fenyegetést megvalósítják. Ebben az esetben a behatoló folyamatosan figyeli az ISPD operációs rendszer állapotát, és ha egy bizonyos esemény bekövetkezik ebben a rendszerben, megkezdi az illetéktelen hozzáférést;
feltétel nélküli hatás. Ebben az esetben a jogosulatlan hozzáférés megkezdése a hozzáférés céljához képest feltétel nélküli, vagyis a fenyegetés azonnal és a rendszer állapotától függetlenül realizálódik.
4. Elérhetőség Visszacsatolás ISPDn-nel. E funkció szerint a fenyegetés megvalósításának folyamata történhet visszajelzéssel vagy anélkül. Az ISPD visszajelzése mellett végrehajtott fenyegetést az a tény jellemzi, hogy az elkövetőnek választ kell kapnia az ISPD-hez továbbított egyes kérésekre. Következésképpen visszacsatolás van a szabálysértő és az ISPD között, amely lehetővé teszi a szabálysértő számára, hogy megfelelően reagáljon az ISPD-ben bekövetkező összes változásra. Ellentétben az ISPD-től érkező visszacsatolás jelenlétében megvalósított fenyegetésekkel, amikor a fenyegetéseket visszacsatolás nélkül hajtják végre, nem kell reagálni az ISPD-ben bekövetkező változásokra.
5. Az elkövető tartózkodási helye az ISPD-hez képest. Ezzel a funkcióval összhangban a fenyegetést mind intraszegmentálisan, mind interszegmentálisan megvalósítják. A hálózati szegmens a gazdagépek fizikai társulása (ISPD hardver vagy kommunikációs elemek hálózati címmel). Például egy ISPD szegmens a szerverhez „közös busz” séma segítségével csatlakoztatott gazdagépek gyűjteményét alkotja. Abban az esetben, ha szegmensen belüli fenyegetés áll fenn, a behatoló fizikailag hozzáfér az ISPD hardverelemeihez. Ha van szegmensek közötti fenyegetés, akkor a behatoló az ISPD-n kívül található, és egy másik hálózatról vagy az ISPD egy másik szegmenséből valósítja meg a fenyegetést.
6. Interakciós referenciamodell szintje nyílt rendszerek <*>(ISO/OSI), amelyen a fenyegetés megvalósul. E funkció szerint a fenyegetés az ISO/OSI modell fizikai, csatorna, hálózati, szállítási, munkamenet, prezentáció és alkalmazás szintjén valósítható meg.
<*>A Nemzetközi Szabványügyi Szervezet (ISO) elfogadta az ISO 7498 szabványt, amely a nyílt rendszerek összekapcsolását (OSI) írja le.
7. A megsértők számának és az ISPD-elemeknek az aránya, amelyekkel szemben a fenyegetés megvalósul. E kritérium alapján a fenyegetés az információs rendszerek egy technikai eszközével szemben egy jogsértő által megvalósított fenyegetésnek („egy az egyhez” fenyegetés), az információs rendszerek több technikai eszközével szemben egyszerre (egy-egy- sok” fenyegetés), vagy több megsértő által különböző számítógépek az ISPD egy vagy több technikai eszközével kapcsolatban (elosztott vagy kombinált fenyegetések).
Az elvégzett besorolást figyelembe véve a jelenleg hét leggyakrabban alkalmazott fenyegetést tudjuk azonosítani.
1. Hálózati forgalom elemzése (6. ábra).
6. ábra. A „Hálózati forgalomelemzés” fenyegetés megvalósítási sémája
Ezt a fenyegetést egy speciális csomagelemző program (sniffer) segítségével valósítják meg, amely elfogja a hálózati szegmensen keresztül továbbított összes csomagot, és ezek között azonosítja azokat, amelyek felhasználói azonosítót és jelszót tartalmaznak. A fenyegetés megvalósítása során a behatoló a hálózat logikáját tanulmányozza – vagyis arra törekszik, hogy egy-egy megfeleltetést szerezzen a rendszerben előforduló események és a hostok által az események bekövetkezésének pillanatában küldött parancsok között. . A jövőben ez lehetővé teszi a támadó számára, hogy a megfelelő parancsok beállítása alapján kiváltságos jogokat szerezzen, hogy fellépjen a rendszerben, vagy kiterjessze abban a hatáskörét, elfogja a hálózati operációs rendszer összetevői között kicserélt továbbított adatok áramlását. , bizalmas vagy azonosító információk (például statikus jelszavak) kinyerésére, amelyek segítségével a felhasználók hozzáférhetnek a távoli gazdagépekhez FTP protokollokés a titkosítást nem biztosító TELNET), annak helyettesítése, módosítása stb.
2. Hálózati szkennelés.
A fenyegetés implementációs folyamatának lényege, hogy kéréseket továbbítanak az ISDN-állomások hálózati szolgáltatásaihoz, és elemzik a tőlük érkező válaszokat. A cél a használt protokollok, a hálózati szolgáltatások elérhető portjainak azonosítása, a csatlakozási azonosítók kialakítására vonatkozó törvények, az aktív hálózati szolgáltatások meghatározása, a felhasználói azonosítók és jelszavak kiválasztása.
3. A jelszó felfedésének veszélye.
A fenyegetés célja a jelszavas védelem leküzdésével jogosulatlan hozzáférési adatok megszerzése. A támadó számos módszerrel valósíthat meg fenyegetést, például egyszerű brute force, brute force speciális szótárak használatával, rosszindulatú szoftverek telepítése jelszavak elfogására, megbízható hálózati objektum meghamisítása (IP-hamisítás) és csomagszimulálás. Alapvetően a fenyegetés megvalósításához speciális programokat használnak, amelyek a jelszavak szekvenciális kitalálásával próbálnak hozzáférni a gazdagéphez. Ha sikeres, a támadó létrehozhat egy "pass"-t a jövőbeni hozzáféréshez, amely akkor is érvényes marad, ha a hozzáférési jelszót megváltoztatják a gazdagépen.
4. Megbízható hálózati objektum helyettesítése és üzenetek továbbítása kommunikációs csatornákon a nevében hozzáférési jogainak hozzárendelésével (7. ábra).
7. ábra: „Megbízható hálózati objektum helyettesítése” fenyegetés megvalósítási sémája
Ezt a fenyegetést hatékonyan megvalósítják olyan rendszerekben, amelyek gyenge algoritmusokat használnak a gazdagépek, felhasználók stb. azonosítására és hitelesítésére. A megbízható objektum egy hálózati objektum (számítógép, tűzfal, útválasztó stb.), amely legálisan kapcsolódik a szerverhez.
A fenyegetés megvalósításának két típusa különböztethető meg: virtuális kapcsolat létrehozásával és anélkül.
A virtuális kapcsolat létrehozásával járó megvalósítási folyamat egy megbízható interakciós alany jogainak hozzárendeléséből áll, ami lehetővé teszi a behatoló számára, hogy munkamenetet folytasson egy hálózati objektummal egy megbízható alany nevében. A fenyegetés felismerése ebből a típusból megköveteli az üzenetazonosító és hitelesítési rendszer leküzdését (például egy UNIX gazdagép rsh szolgáltatása elleni támadás).
A fenyegetés virtuális kapcsolat létrehozása nélküli megvalósítása olyan hálózatokban valósulhat meg, amelyek csak a küldő hálózati címe alapján azonosítják a továbbított üzeneteket. A lényeg a szolgáltatási üzenetek továbbítása a hálózatvezérlő eszközök nevében (például útválasztók nevében) az útválasztási címadatok változásairól. Nem szabad megfeledkezni arról, hogy az előfizetők és a kapcsolatok (TCP-n keresztül) egyetlen azonosítója a két 32 bites paraméter a kezdeti sorszám - ISS (sorozatszám) és a nyugtázási szám - ACK (nyugtázási szám). Ezért hamis TCP-csomag generálásához a támadónak ismernie kell a kapcsolat aktuális azonosítóit - ISSa és ISSb, ahol:
Az ISSa egy bizonyos számérték, amely az elküldött TCP-csomag sorszámát jellemzi, az A gazdagép által kezdeményezett létrejött TCP-kapcsolatot;
Az ISSb egy bizonyos számérték, amely az elküldött TCP-csomag sorszámát, a B gazdagép által kezdeményezett létrejött TCP-kapcsolatot jellemzi.
Az ACK (TCP Connection Acknowledgement Number) értéke a válaszadó ISS-től kapott szám értéke (sorozatszám), plusz az ACKb = ISSa + 1 egység.
A fenyegetés megvalósítása eredményeként a behatoló megkapja a felhasználója által a megbízható előfizető számára az ISPD technikai eszközhöz - a fenyegetések célpontjához - létrehozott hozzáférési jogokat.
5. Hamis hálózati útvonal előírása.
Ez a fenyegetés kétféle módon valósul meg: szegmensen belüli vagy szegmensek közötti kényszerítés révén. A hamis útvonal előírásának lehetősége az útválasztási algoritmusokban rejlő hiányosságokból adódik (különösen a hálózatvezérlő eszközök azonosításának problémája miatt), amelyek eredményeként például eljuthat egy állomás gazdagépéhez vagy hálózatához. támadó, ahol az ISPD részeként beléphet egy műszaki eszköz működési környezetébe. A fenyegetés az útválasztási protokollok (RIP, OSPF, LSP) és a hálózatfelügyeleti protokollok (ICMP, SNMP) jogosulatlan használatán alapul az útvonal-címtáblázatok módosítására. Ebben az esetben a támadónak vezérlőüzenetet kell küldenie a hálózati vezérlőeszköz (például egy útválasztó) nevében (8. és 9. ábra).
8. ábra: A „False route imposition” (szegmensen belüli) támadás megvalósítási sémája az ICMP protokollt használva a kommunikáció megzavarására
9. ábra. A forgalom elfogása céljából „Hamis útvonal” (kereszteződés) fenyegetés megvalósítási sémája
6. Hamis hálózati objektum beadása.
Ez a fenyegetés a távoli keresési algoritmusok hibáinak kihasználásán alapul. Ha a hálózati objektumok kezdetben nem rendelkeznek címinformációkkal egymásról, különféle távoli keresési protokollokat használnak (például SAP a Novell NetWare hálózatokban; ARP, DNS, WINS a TCP/IP protokollveremű hálózatokban), amely speciális protokollok továbbításából áll. kéréseket és válaszokat kap a szükséges információkkal. Ebben az esetben fennáll annak a lehetősége, hogy egy behatoló elfogja keresési lekérdezésés hamis válasz adása rá, amelynek felhasználása az útválasztási és címadatok szükséges megváltoztatásához vezet. A jövőben az áldozat objektumhoz kapcsolódó teljes információáramlás áthalad a hamis hálózati objektumon (10-13. ábra).
10. ábra: A „False ARP server injekció” fenyegetés megvalósítási sémája
11. ábra: „Hamis DNS-kiszolgáló befecskendezése” fenyegetés megvalósítási sémája DNS-kérés elfogásával
12. ábra. A „hamis DNS-kiszolgáló befecskendezése” fenyegetés megvalósítási sémája a DNS-válaszok hálózati számítógépre való rohamozásával
13. ábra: A „Hamis DNS-kiszolgáló befecskendezése” fenyegetés megvalósítási sémája a DNS-válaszok DNS-kiszolgálóra való rohamozásával
7. Szolgáltatás megtagadása.
Ezek a fenyegetések a hálózati szoftverek hibáin alapulnak, azok sebezhetőségein, amelyek lehetővé teszik a támadó számára, hogy olyan körülményeket teremtsen, amikor az operációs rendszer nem tudja feldolgozni a bejövő csomagokat.
Az ilyen fenyegetéseknek több típusa különböztethető meg:
a) rejtett szolgáltatásmegtagadás, amelyet az ISDN-erőforrások egy részének a támadó által továbbított csomagok feldolgozására való felhasználása okoz, ami csökkenti a kommunikációs csatornák kapacitását, a hálózati eszközök teljesítményét, és megsérti a kérésfeldolgozási időre vonatkozó követelményeket. Példák az ilyen típusú fenyegetések megvalósítására: az ICMP protokollon keresztül irányított visszhangkérések vihara (Ping elárasztás), TCP-kapcsolatok létrehozására irányuló kérések vihara (SYN-elárasztás), kérések vihara az FTP-kiszolgálóhoz;
b) nyilvánvaló szolgáltatásmegtagadás, amelyet az ISDN-erőforrások kimerülése okoz a támadó által továbbított csomagok feldolgozása során (a kommunikációs csatornák teljes sávszélességét elfoglalva, túlcsorduló szolgáltatáskérési sorok), amelyben a jogos kérések nem továbbíthatók a hálózaton keresztül a támadó által továbbított csomagok feldolgozása során. az átviteli közeg elérhetetlensége, vagy a fogadás szolgáltatásmegtagadása kérési sorok túlcsordulása, lemezterület stb. miatt. Az ilyen típusú fenyegetésekre példa a sugárzott ICMP-visszhang kérések vihara (Smurf), az irányított vihar (SYN-fllooding), az üzenetvihar. levelezőszerver(Levélszemét);
c) nyilvánvaló szolgáltatásmegtagadás, amelyet az ISDN technikai eszközei közötti logikai kapcsolat megsértése okoz, amikor az elkövető hálózati eszközök nevében vezérlőüzeneteket továbbít, ami az útválasztás és a címadatok megváltozásához vezet (például ICMP átirányítási gazdagép, DNS-elárasztás) vagy azonosítási és hitelesítési információk;
D) nyilvánvaló szolgáltatásmegtagadás, amelyet egy támadó okoz nem szabványos attribútumokkal (például "Land", "TearDrop", "Bonk", "Nuke", "UDP-bomb") vagy a maximumot meghaladó hosszúságú csomagokat továbbító. megengedett méret (például "Ping Death"), ami a kérések feldolgozásában részt vevő hálózati eszközök meghibásodásához vezethet, feltéve, hogy hibák vannak a hálózati kommunikációs protokollokat megvalósító programokban.
E fenyegetés megvalósításának eredménye az ISPD-ben szereplő személyes adatokhoz való távoli hozzáférést biztosító megfelelő szolgáltatás működésének megszakadása lehet, ilyen számú csatlakozási kérelem továbbítása egy címről egy műszaki létesítményhez az ISPD, amelyet a maximális forgalom „el tud fogadni” (irányított „kérési vihar”), amely a kérési sor túlcsordulását és az egyik hálózati szolgáltatás meghibásodását vagy a számítógép teljes leállását vonja maga után a rendszer képtelensége miatt. a kérések feldolgozásán kívül bármi mást tehet.
8. Távoli alkalmazásindítás.
A fenyegetés abban rejlik, hogy az ISPD gazdagépén különféle előre beinjektált rosszindulatú programokat akarnak elindítani: könyvjelző programokat, vírusokat, „hálózati kémeket”, amelyek fő célja a titkosság, az integritás, az információk elérhetőségének és a teljes ellenőrzésnek a megsértése. a fogadó működése. Ezen túlmenően a felhasználói alkalmazásprogramok jogosulatlan elindításával lehetőség nyílik a behatoló számára szükséges jogosulatlan adatok megszerzésére, az alkalmazási program által vezérelt folyamatok elindítására stb.
Ezeknek a fenyegetéseknek három alosztálya van:
1) jogosulatlan végrehajtható kódot tartalmazó fájlok terjesztése;
2) távoli alkalmazásindítás az alkalmazáskiszolgáló pufferének túlcsordulásával;
3) az alkalmazás távoli indítása a rejtett szoftver és hardver könyvjelzők vagy szabványos eszközök által biztosított távvezérlési lehetőségekkel.
Ezen alosztályok közül az első tipikus fenyegetései az elosztott fájlok aktiválásán alapulnak, amikor véletlenül hozzáférnek. Ilyen fájlok például a következők: makróparancsok formájában végrehajtható kódot tartalmazó fájlok ( Microsoft dokumentumok Word, Excel stb.); ActiveX elemek, Java kisalkalmazások, értelmezett szkriptek (például JavaScript szövegek) formájában futtatható kódot tartalmazó html dokumentumok; végrehajtható programkódokat tartalmazó fájlok. E-mail, fájlátvitel és hálózati fájlrendszer-szolgáltatások használhatók fájlok terjesztésére.
A második alosztály veszélyei kihasználják a hálózati szolgáltatásokat megvalósító programok hiányosságait (különösen a puffertúlcsordulás szabályozásának hiányát). A rendszerregiszterek beállításával néha lehetséges a processzor átkapcsolása a puffertúlcsordulás okozta megszakítás után a pufferhatáron kívüli kód végrehajtására. Egy ilyen fenyegetés megvalósítására példa a jól ismert „Morris vírus” bevezetése.
A harmadik alosztály fenyegetéseinél a behatoló a rejtett komponensek (például trójai programok, mint a Back Orifice, Net Bus) vagy a szabványos számítógépes hálózatkezelő és adminisztrációs eszközök (Landesk Management Suite, Managewise, Back) által biztosított távoli rendszervezérlési képességeket használja. nyílás stb.). Használatuk eredményeképpen lehetséges a hálózaton lévő állomáson keresztüli távvezérlés.
Sematikusan e programok munkájának fő szakaszai a következők:
telepítés a memóriába;
kérést várni egy távoli gazdagéptől, amelyen a kliensprogram fut, és készenléti üzenetet váltani vele;
Az elfogott információk továbbítása a kliensnek, vagy irányítás átadása a megtámadott számítógép felett.
A különböző osztályokba tartozó fenyegetések megvalósításának lehetséges következményeit a 3. táblázat mutatja be.
3. táblázat
A különböző osztályokba tartozó fenyegetések megvalósításának lehetséges következményei
| N p/p | Támadás típusa | Lehetséges következmények | |
| 1 | Hálózati forgalom elemzése | Hálózati forgalmi jellemzők kutatása, továbbított adatok lehallgatása, beleértve a felhasználói azonosítókat és jelszavakat | |
| 2 | Hálózati szkennelés | Protokollok, hálózati szolgáltatások elérhető portjai, kapcsolatazonosítók kialakítására vonatkozó törvények, aktív hálózati szolgáltatások, felhasználói azonosítók és jelszavak meghatározása | |
| 3 | "Jelszó" támadás | Az illetéktelen hozzáféréssel kapcsolatos bármely pusztító tevékenység végrehajtása | |
| 4 | Megbízható hálózati objektum helyettesítése | Üzenetek útvonalának megváltoztatása, irányítás és címadatok jogosulatlan megváltoztatása. A hálózati erőforrásokhoz való jogosulatlan hozzáférés, hamis információk kikényszerítése | |
| 5 | Hamis útvonal kikényszerítése | Útvonal- és címadatok jogosulatlan megváltoztatása, továbbított adatok elemzése és módosítása, hamis üzenetek kiírása | |
| 6 | False Network Object Injection | A forgalom elfogása és megtekintése. A hálózati erőforrásokhoz való jogosulatlan hozzáférés, hamis információk kikényszerítése | |
| 7 | Szolgáltatás megtagadása | Az erőforrások részleges kimerülése | Csökkentett kommunikációs csatorna kapacitás és hálózati eszköz teljesítménye. A szerveralkalmazások teljesítményének csökkenése |
| Az erőforrások teljes kimerülése | Üzenetek továbbításának képtelensége az átviteli közeghez való hozzáférés hiánya miatt, a kapcsolat létrehozásának megtagadása. A szolgáltatásnyújtás megtagadása (e-mail, fájl stb.) | ||
| Az attribútumok, adatok, objektumok közötti logikai kapcsolat megsértése | Az üzenetek továbbításának lehetetlensége a helyes útválasztás és címadatok hiánya miatt. Szolgáltatások fogadásának képtelensége az azonosítók, jelszavak stb. jogosulatlan módosítása miatt. | ||
| Hibák használata a programokban | A hálózati eszközök meghibásodása | ||
| 8 | Távoli alkalmazásindítás | Pusztító futtatható kódot tartalmazó fájlok küldésével vírusfertőzés | A titoktartás, az integritás, az információk elérhetősége megsértése |
| A kiszolgálóalkalmazás-puffer túlcsordulásával | |||
| A rejtett szoftver- és hardverkönyvjelzők vagy a használt szabványos eszközök által biztosított távvezérlési képességek használatával | Rejtett rendszervezérlés | ||
A fenyegetés bevezetési folyamata általában négy szakaszból áll:
információgyűjtés;
behatolások (behatolás a működési környezetbe);
jogosulatlan hozzáférés megvalósítása;
az illetéktelen hozzáférés nyomainak megszüntetése.
Az információgyűjtés szakaszában az elkövető érdeklődhet az ISPD-vel kapcsolatos különféle információk iránt, beleértve:
a) annak a hálózatnak a topológiájáról, amelyben a rendszer működik. Ebben az esetben a hálózat körüli terület vizsgálható (például a támadót a megbízható, de kevésbé biztonságos gazdagépek címei érdekelhetik). Egyszerű parancsok használhatók a gazdagép elérhetőségének meghatározására (pl. ping parancs ICMP ECHO_REQUEST kérések küldéséhez és az ICMP ECHO_REPLY válaszok megvárásához). Léteznek párhuzamos gazdagép-elérhetőségi segédprogramok (például fping), amelyek a címtér nagy területén képesek rövid időn belül átvizsgálni a gazdagép elérhetőségét. A hálózati topológiát gyakran a "csomópontszám" (a gazdagépek közötti távolság) alapján határozzák meg. Olyan technikák használhatók, mint a „ttL moduláció” és az útvonalrögzítés.
A "ttL moduláció" módszert a traceroute program valósítja meg (Windows NT esetén - tracert.exe), és az IP-csomagok ttL mezőjének modulálásából áll. A ping parancs által generált ICMP-csomagok használhatók az útvonal rögzítésére.
Az információgyűjtés kérések alapján is történhet:
a DNS-kiszolgálónak a regisztrált (és valószínűleg aktív) gazdagépek listájáról;
az útválasztóhoz a RIP protokoll alapján az ismert útvonalakról (hálózati topológia információ);
Helytelenül konfigurált eszközökhöz, amelyek támogatják az SNMP protokollt (hálózati topológia információ).
Ha az ISPD egy tűzfal (FW) mögött található, lehetőség van a tűzfal konfigurációjáról és a tűzfal mögötti ISPD topológiájáról információkat gyűjteni, beleértve a csomagok küldését a belső (védett) összes feltételezett hosztjának minden portjára. ) hálózat;
b) az operációs rendszer (OS) típusáról az ISPD-ben. A legtöbb ismert módszer a gazdagép operációs rendszer típusának meghatározása azon alapul, hogy Különféle típusok Az operációs rendszerek különböző módokon valósítják meg a TCP/IP-verem RFC-szabványait. Ez lehetővé teszi a támadó számára, hogy távolról azonosítsa az ISPD gazdagépre telepített operációs rendszer típusát speciálisan kialakított kérések küldésével és a kapott válaszok elemzésével.
Vannak speciális eszközök, amelyek megvalósítják ezeket a módszereket, különösen az Nmap és a QueSO. Megjegyezhet egy ilyen módszert az operációs rendszer típusának meghatározására, mint a legegyszerűbb kérést a kapcsolat létrehozására a telnet távoli elérési protokoll használatával (telnet kapcsolatok), aminek eredményeként " kinézet" választ, meghatározhatja a gazdagép operációs rendszer típusát. Bizonyos szolgáltatások jelenléte további jelként is szolgálhat a gazdagép operációs rendszer típusának meghatározásához;
C) a gazdagépeken futó szolgáltatásokról. A gazdagépen futó szolgáltatások meghatározása egy "nyitott port" technikán alapul, amely információkat gyűjt a gazdagép elérhetőségéről. Például egy UDP-port elérhetőségének meghatározásához választ kell kapnia az UDP-csomag megfelelő portra történő küldésére:
ha a válasz egy ICMP PORT UNREACHEBLE üzenet, akkor a megfelelő szolgáltatás nem érhető el;
ha ez az üzenet nem érkezik meg, akkor a port „nyitva van”.
A TCP/IP protokollveremben használt protokolltól függően ennek a módszernek nagyon különböző változatai vannak.
Az ISPD-vel kapcsolatos információgyűjtés automatizálására számos szoftvereszközt fejlesztettek ki. Példaként a következőket lehet megjegyezni:
1) Strobe, Portscanner - optimalizált eszközök az elérhető szolgáltatások meghatározásához a TCP portok lekérdezése alapján;
2) Nmap - az elérhető szolgáltatások ellenőrzésére szolgáló eszköz, amelyet Linux, FreeBSD, Open BSD, Solaris, Windows NT rendszerekhez terveztek. Jelenleg ez a legnépszerűbb eszköz a hálózati szolgáltatások ellenőrzésére;
3) A Queso egy rendkívül pontos eszköz egy hálózati gazdagép operációs rendszerének meghatározására, amely helyes és helytelen TCP-csomagok láncának elküldése, a válasz elemzése és a különböző operációs rendszerek ismert válaszaival való összehasonlítása alapján történik. Ezt az eszközt ma is népszerű szkennelőeszköz;
4) Cheops - a hálózati topológia szkenner lehetővé teszi a hálózati topológia lekérését, beleértve a tartomány képét, az IP-címterületeket stb. Ez a lehető legjobban meghatározza a gazdagép operációs rendszert hálózati eszközök(nyomtatók, útválasztók stb.);
5) Firewalk – olyan szkenner, amely traceroute programmódszereket használ az IP-csomagokra adott válasz elemzésére a tűzfal konfigurációjának meghatározásához és a hálózati topológia felépítéséhez.
Az invázió szakaszában a rendszerszolgáltatások tipikus sebezhetőségeinek vagy a rendszeradminisztrációs hibáknak a meglétét vizsgálják. A sérülékenységek sikeres kihasználása általában azt eredményezi, hogy a támadó folyamat privilegizált végrehajtási módba kerül (hozzáfér a parancsfeldolgozó privilegizált végrehajtási módjához), illegális felhasználói fiókot visz be a rendszerbe, jelszófájlt szerez, vagy megzavarja a megtámadott gazdagép működését.
A fenyegetésfejlődés ezen szakasza általában többfázisú. A fenyegetés megvalósítási folyamatának fázisai lehetnek például:
kapcsolat létrehozása azzal a fogadóval, amely ellen a fenyegetést végrehajtják;
A sebezhetőségek azonosítása;
kártékony program bevezetése a jogok bővítése érdekében stb.
A behatolási szakaszban megvalósított fenyegetések a TCP/IP protokollverem szintjeire vannak osztva, mivel hálózati, szállítási vagy alkalmazási szinten jönnek létre, az alkalmazott behatolási mechanizmustól függően.
A hálózati és szállítási szinteken megvalósított tipikus fenyegetések a következők:
a) egy megbízható objektum lecserélését célzó fenyegetés;
b) hamis útvonal létrehozására irányuló fenyegetés a hálózatban;
C) hamis objektum létrehozására irányuló fenyegetések a távoli keresési algoritmusok hiányosságaival;
D) az IP töredezettségmentesítésen alapuló szolgáltatásmegtagadás, hibás ICMP kérések (például „Ping of Death” és „Smurf” támadások), helytelen TCP kérések létrehozása („Land” támadás), csatlakozási kérelmekkel rendelkező csomagok „viharának” létrehozásáról („SYN Flood” támadások) stb.
Az alkalmazásszinten megvalósított tipikus fenyegetések közé tartoznak az alkalmazások jogosulatlan elindítását célzó fenyegetések, olyan fenyegetések, amelyek megvalósítása szoftveres könyvjelzők (például trójai faló) bevezetésével, hálózathoz vagy adott gazdagéphez való hozzáférési jelszavak azonosításával kapcsolatos, stb. .
Ha a fenyegetés megvalósítása nem biztosítja a behatolónak a legmagasabb hozzáférési jogokat a rendszerben, akkor meg lehet próbálni ezeket a jogokat a lehető legmagasabb szintre bővíteni. Erre a célra nem csak a hálózati szolgáltatások, hanem az ISDN gazdagépek rendszerszoftverének sebezhetőségei is felhasználhatók.
A jogosulatlan hozzáférés megvalósításának szakaszában a fenyegetés megvalósításának tényleges célja megvalósul:
a titoktartás megsértése (másolás, jogosulatlan terjesztés);
Az integritás megsértése (megsemmisítése, megváltoztatása);
akadálymentesítés megsértése (blokkolás).
Ugyanebben a szakaszban, ezen műveletek után, általában egy úgynevezett „hátsó ajtó” jön létre az egyik szolgáltatás (démon) formájában, amely egy bizonyos portot szolgál ki, és végrehajtja a behatoló parancsait. A "hátsó ajtó" a rendszerben marad annak érdekében, hogy:
a gazdagéphez való hozzáférés lehetősége, még akkor is, ha a rendszergazda megszünteti a fenyegetés sikeres megvalósításához használt sebezhetőséget;
a lehető legtitkosabban hozzáférni a gazdagéphez;
Gyors hozzáférés a gazdagéphez (anélkül, hogy megismételné a fenyegetés végrehajtásának folyamatát).
A „hátsó ajtó” lehetővé teszi a támadók számára, hogy rosszindulatú programot vezessenek be a hálózatba vagy egy adott gazdagépre, például „jelszószippelőt” – egy olyan programot, amely protokollok futása közben felhasználói azonosítókat és jelszavakat von ki a hálózati forgalomból. magas szint(ftp, telnet, rlogin stb.). A rosszindulatú program befecskendezésének tárgyai lehetnek hitelesítési és azonosítási programok, hálózati szolgáltatások, operációs rendszer kernel, fájlrendszer, könyvtárak stb.
Végül a fenyegetés nyomainak megszüntetésének szakaszában megkísérlik elpusztítani a betolakodó cselekedeteinek nyomait. Ebben az esetben a megfelelő bejegyzések törlődnek az összes lehetséges ellenőrzési naplóból, beleértve az információgyűjtés tényére vonatkozó bejegyzéseket is.
5.5. A szoftverek és a matematikai hatások által okozott fenyegetések általános jellemzőiA szoftver-matematikai befolyásolás rosszindulatú programok általi befolyásolás. A potenciálisan veszélyes következményekkel járó program vagy rosszindulatú program olyan független program (utasításkészlet), amely képes végrehajtani a következő funkciók bármely nem üres részhalmazát:
Elrejti jelenléte jeleit a számítógépes szoftverkörnyezetben;
Legyen képes önmagát sokszorosítani, társítani magát más programokkal és (vagy) átvinni annak töredékeit a RAM vagy a külső memória más területeire;
semmisítse meg (bármilyen módon torzítsa el) a RAM-ban lévő programok kódját;
destruktív funkciókat hajt végre (másolás, megsemmisítés, blokkolás stb.) a felhasználó kezdeményezése nélkül (a felhasználói program normál végrehajtási módjában);
Tárolja a RAM-ból származó információkat a külső közvetlen hozzáférésű memória bizonyos területein (helyi vagy távoli);
Önkényesen torzítson, blokkoljon és (vagy) cseréljen ki egy külső memóriába vagy kommunikációs csatornára kimenő információtömböt, amely alkalmazási programok működése eredményeként alakult ki, vagy már a külső memóriában található adattömböket.
Az ISPD-ben használt szoftverekbe annak fejlesztése, karbantartása, módosítása és konfigurálása során szándékosan és véletlenül is rosszindulatú programokat lehet bevinni (bevezetni). Ezenkívül rosszindulatú programok kerülhetnek be az ISPD működése során külső adathordozóról vagy hálózati interakció révén, akár jogosulatlan hozzáférés eredményeként, akár véletlenül az ISPD-felhasználók által.
A modern rosszindulatú programok különféle típusú szoftverek (rendszer, általános, alkalmazás) és különféle hálózati technológiák sérülékenységeinek felhasználásán alapulnak, számos romboló képességgel rendelkeznek (az ISPD-paraméterek jogosulatlan vizsgálatától az ISPD működésének megzavarása nélkül a megsemmisítésig PD és ISPD szoftver), és minden típusú szoftverben (rendszer, alkalmazás, hardver illesztőprogramok stb.) működhet.
A rosszindulatú programok jelenléte az ISPD-ben hozzájárulhat az információhoz való hozzáférés rejtett, köztük nem hagyományos csatornáinak megjelenéséhez, amelyek lehetővé teszik a rendszerben biztosított biztonsági mechanizmusok megnyitását, megkerülését vagy blokkolását, beleértve a jelszó- és kriptográfiai védelmet.
A rosszindulatú programok fő típusai a következők:
szoftveres könyvjelzők;
klasszikus szoftver- (számítógépes) vírusok;
a hálózaton terjedő rosszindulatú programok (hálózati férgek);
Más rosszindulatú programok, amelyeket illegális tevékenységek végrehajtására terveztek.
A szoftverkönyvjelzők olyan programokat, kódrészleteket és utasításokat tartalmaznak, amelyek nem deklarált szoftverképességeket alkotnak. A rosszindulatú programok egyik típusról a másikra változhatnak, például egy szoftveres könyvjelző szoftvervírust generálhat, amely viszont a hálózati feltételeknek kitéve hálózati férget vagy más, illetéktelen hozzáférést végrehajtó rosszindulatú programot képezhet.
A szoftvervírusok és hálózati férgek osztályozását a 14. ábra mutatja be. A fő rosszindulatú programok rövid leírása a következő. A rendszerindító vírusok vagy a lemez indító szektorába (boot szektor), vagy a merevlemez rendszerindító betöltőjét tartalmazó szektorba (Master Boot Record) írják magukat, vagy az aktív rendszerindító szektorra állítják a mutatót. A fertőzött lemezről történő rendszerindításkor beágyazódnak a számítógép memóriájába. Ebben az esetben a rendszerindító beolvasó beolvassa a lemez első szektorának tartalmát, amelyről a rendszerindítás történik, az olvasott információt a memóriába helyezi, és átadja neki (azaz a vírusnak) a vezérlést. Ezt követően megkezdődik a vírus utasításainak végrehajtása, amely általában csökkenti a szabad memória mennyiségét, bemásolja a kódját a szabad helyre, és kiolvassa a folytatását a lemezről (ha van), elfogja a szükséges megszakítási vektorokat. (általában INT 13H), beolvassa az eredeti rendszerindító szektort, és átadja neki a vezérlést.
Ezt követően a rendszerindító vírus ugyanúgy viselkedik, mint a fájlvírus: elfogja az operációs rendszertől a lemezekre érkező hívásokat, és bizonyos körülményektől függően megfertőzi azokat, pusztító műveleteket hajt végre, hang- vagy videóeffektusokat okoz.
A vírusok által végrehajtott fő pusztító tevékenységek a következők:
információk megsemmisítése a hajlékonylemezek és merevlemezek szektoraiban;
Az operációs rendszer betöltésének lehetőségének megszüntetése (a számítógép lefagy);
a rendszerbetöltő kód sérülése;
merevlemez hajlékonylemezeinek vagy logikai meghajtóinak formázása;
a COM és LPT portokhoz való hozzáférés blokkolása;
karakterek cseréje szövegek nyomtatásakor;
képernyő rángatózása;
lemez vagy hajlékonylemez címkéjének megváltoztatása;
pszeudo-kudarc klaszterek létrehozása;
hang- és/vagy vizuális effektusok létrehozása (például a képernyőre hulló betűk);
adatfájlok sérülése;
különböző üzenetek megjelenítése a képernyőn;
Perifériás eszközök (például billentyűzet) letiltása;
a képernyő paletta megváltoztatása;
A képernyő feltöltése idegen karakterekkel vagy képekkel;
a képernyő kikapcsolása és készenléti módba váltás a billentyűzet beviteléhez;
merevlemez szektorok titkosítása;
a képernyőn megjelenő karakterek szelektív megsemmisítése billentyűzetről történő gépeléskor;
a RAM mennyiségének csökkentése;
képernyőtartalom nyomtatásának hívása;
lemezre írás blokkolása;
a partíciós tábla (Disk Partition Table) megsemmisítése, amely után a számítógép csak floppy lemezről indítható;
a végrehajtható fájlok indításának blokkolása;
A merevlemezhez való hozzáférés blokkolása.
14. ábra Szoftvervírusok és hálózati férgek osztályozása
A legtöbb rendszerindító vírus floppy lemezre írja magát.
A "felülírás" fertőzési módszer a legegyszerűbb: a vírus a fertőzött fájl kódja helyett saját kódot ír, tönkretéve annak tartalmát. Természetesen ebben az esetben a fájl leáll, és nem kerül visszaállításra. Az ilyen vírusok nagyon gyorsan felfedik magukat, mivel az operációs rendszer és az alkalmazások meglehetősen gyorsan leállnak.
A "kísérő" kategóriába azok a vírusok tartoznak, amelyek nem változtatják meg a fertőzött fájlokat. Ezeknek a vírusoknak az a működési algoritmusa, hogy a fertőzött fájlhoz duplikált fájl jön létre, és a fertőzött fájl elindításakor ez a másolat, vagyis a vírus kapja meg az irányítást. A leggyakoribb kísérővírusok azok, amelyek a DOS szolgáltatást használják a .COM kiterjesztésű fájlok végrehajtására, ha két fájl van ugyanabban a könyvtárban azonos névvel, de eltérő névkiterjesztéssel – .COM és .EXE. Az ilyen vírusok szatellit fájlokat hoznak létre az azonos nevű, de .COM kiterjesztésű EXE-fájlokhoz, például az XCOPY.EXE fájlhoz egy XCOPY.COM fájl jön létre. A vírus beírja magát egy COM fájlba, és semmilyen módon nem módosítja az EXE fájlt. Egy ilyen fájl futtatásakor a DOS először észleli és végrehajtja a COM fájlt, vagyis a vírust, amely ezután elindítja az EXE fájlt. A második csoportba azok a vírusok tartoznak, amelyek fertőzöttség esetén átneveznek egy fájlt más névre, emlékeznek rá (a hosztfájl későbbi elindításához), és a fertőzött fájl neve alatt írják ki a kódjukat a lemezre. Például az XCOPY.EXE fájlt átnevezzük XCOPY.EXD-re, és a vírus XCOPY.EXE néven kerül rögzítésre. Indításkor a vezérlő megkapja a víruskódot, amely az eredeti XCOPY-t futtatja, XCOPY.EXD néven. Érdekes tény, hogy ez a módszer minden operációs rendszeren működik. A harmadik csoportba tartoznak az úgynevezett „Path-companion” vírusok. Vagy a fertőzött fájl neve alá írják a kódjukat, de egy szinttel „feljebb” az előírt útvonalakon (a DOS így lesz az első, amely észleli és elindítja a vírusfájlt), vagy egy alkönyvtárral feljebb helyezik az áldozat fájlt, stb. .
Lehetnek más típusú társvírusok is, amelyek más operációs rendszerek eredeti ötleteit vagy funkcióit használják.
A fájlférgek bizonyos értelemben társvírusok, de semmiképpen sem társítják jelenlétüket egyetlen végrehajtható fájlhoz sem. Amikor reprodukálnak, egyszerűen átmásolják a kódjukat néhány lemezkönyvtárba, abban a reményben, hogy ezeket az új másolatokat a felhasználó egyszer elindítja. Néha ezek a vírusok „speciális” elnevezéseket adnak másolataiknak, hogy a felhasználót a másolatuk futtatására ösztönözzék – például INSTALL.EXE vagy WINSTART.BAT. Vannak olyan féregvírusok, amelyek meglehetősen szokatlan technikákat használnak, például saját másolatokat írnak archívumba (ARJ, ZIP és mások). Egyes vírusok BAT-fájlokban írják ki a parancsot a fertőzött fájl futtatására. A fájlférgeket nem szabad összetéveszteni a hálózati férgekkel. Az előbbiek csak bármely operációs rendszer fájlfunkcióit használják, míg az utóbbiak hálózati protokollokat használnak a reprodukáláshoz.
A linkvírusok, akárcsak a kísérővírusok, nem változtatják meg a fájlok fizikai tartalmát, de amikor egy fertőzött fájl elindul, „kényszerítik” az operációs rendszert a kód végrehajtására. Ezt a célt a fájlrendszer szükséges mezőinek módosításával érik el.
A fordítókönyvtárakat, objektummodulokat és programok forráskódjait megfertőző vírusok meglehetősen egzotikusak és gyakorlatilag ritkák. Az OBJ és LIB fájlokat megfertőző vírusok objektummodul vagy könyvtár formátumban írják bele kódjukat. A fertőzött fájl ezért nem futtatható, és jelenlegi állapotában nem képes tovább terjeszteni a vírust. Az „élő” vírus hordozója COM vagy EXE fájl lesz.
Miután megszerezte az irányítást, a fájlvírus a következő általános műveleteket hajtja végre:
Ellenőrzi a RAM-ban a másolat meglétét, és megfertőzi a számítógép memóriáját, ha nem található a vírus másolata (ha a vírus rezidens), megkeresi a nem fertőzött fájlokat az aktuális és (vagy) gyökérkönyvtárban a logikai könyvtárfa átvizsgálásával. meghajtókat, majd megfertőzi az észlelt fájlokat;
további (ha vannak) funkciókat lát el: romboló akciók, grafikai vagy hanghatások stb. (a rezidens vírus további funkciói az aktiválás után valamivel meghívhatók, az aktuális időtől, a rendszer konfigurációjától, a belső vírusszámlálóktól vagy egyéb körülményektől függően; ilyenkor aktiváláskor a vírus feldolgozza a rendszeróra állapotát, beállítja számlálók stb.);
Meg kell jegyezni, hogy minél gyorsabban terjed a vírus, annál valószínűbb, hogy járvány lép fel; minél lassabban terjed a vírus, annál nehezebb felismerni (kivéve persze, ha ez a vírus ismeretlen). A nem-rezidens vírusok gyakran „lassúak” – a legtöbbjük egy, két vagy három fájlt fertőz meg indításkor, és nincs idejük megfertőzni a számítógépet, mielőtt a víruskereső program elindulna (vagy a vírus számára konfigurált víruskereső új verziója megjelenik ). Természetesen vannak nem-rezidens „gyors” vírusok, amelyek indításkor minden futtatható fájlt megkeresnek és megfertőznek, de az ilyen vírusok nagyon észrevehetők: amikor minden fertőzött fájl elindul, a számítógép bizonyos ideig aktívan együttműködik a merevlemezzel. (néha elég hosszú) idő, ami leleplezi a vírust. A rezidens vírusok terjedési sebessége (fertőződése) általában magasabb, mint a nem rezidens vírusoké – megfertőzik a fájlokat, amikor hozzájuk férnek. Ennek eredményeként a lemezen található összes vagy majdnem minden fájl, amelyet folyamatosan használnak a munkában, megfertőződik. Azon rezidens fájlvírusok terjedési sebessége (fertőződése), amelyek csak akkor fertőzik meg a fájlokat, amikor elindítják őket, alacsonyabb lesz, mint azoké a vírusoké, amelyek megnyitáskor, átnevezésükkor, fájlattribútumok megváltoztatásakor is megfertőzik őket.
Így a fájlvírusok által végrehajtott fő romboló műveletek a fájlok (általában futtatható vagy adatfájlok) károsodásához, különféle parancsok illetéktelen elindításához (beleértve a formázást, megsemmisítést, parancsok másolását stb.), a megszakítási vektortábla megváltoztatásához stb. Ugyanakkor számos, a rendszerindító vírusoknál javasolthoz hasonló romboló művelet is végrehajtható.
A makróvírusok bizonyos adatfeldolgozó rendszerekbe (szövegszerkesztőkbe, táblázatokba stb.) beépített nyelvű (makronyelvű) programok. A reprodukáláshoz az ilyen vírusok a makrónyelvek képességeit használják, és segítségükkel átviszik magukat egy fertőzött fájlból (dokumentumból vagy táblázatból) másokba. A legelterjedtebb makróvírusok a Microsoft Office alkalmazáscsomaghoz tartoznak.
Ahhoz, hogy egy adott rendszerben (szerkesztőben) vírusok létezzenek, be kell építeni egy makrónyelvet a rendszerbe, amely a következő képességekkel rendelkezik:
1) egy makrónyelvű program összekapcsolása egy adott fájllal;
2) makróprogramok másolása egyik fájlból a másikba;
3) makróprogram vezérlésének megszerzése felhasználói beavatkozás nélkül (automatikus vagy szabványos makrók).
Ezeket a feltételeket az alkalmazottak teljesítik Microsoft programok Word, Excel és Microsoft Access. Makrónyelveket tartalmaznak: Word Basic, Visual Basic for Applications. Ahol:
1) a makróprogramok egy adott fájlhoz vannak kötve, vagy egy fájlban találhatók;
2) a makrónyelv lehetővé teszi a fájlok másolását vagy a makróprogramok áthelyezését a rendszerszolgáltatás fájljaiba és a szerkeszthető fájlokba;
3) ha egy fájllal bizonyos feltételek mellett (megnyitás, bezárás stb.) dolgozik, akkor a makróprogramok (ha vannak) meghívásra kerülnek, amelyek speciális módon vannak definiálva, vagy szabványos nevekkel rendelkeznek.
A makronyelvek ezen funkciója nagy szervezetekben vagy globális hálózatokban történő automatikus adatfeldolgozásra szolgál, és lehetővé teszi az úgynevezett „automatizált dokumentumfolyam” megszervezését. Másrészt az ilyen rendszerek makrónyelvi képességei lehetővé teszik, hogy a vírus átvihesse kódját más fájlokba, és így megfertőzze azokat.
A legtöbb makróvírus nem csak a fájl megnyitásakor (bezárásakor) aktív, hanem addig, amíg maga a szerkesztő aktív. Minden funkciójukat szabványos Word/Excel/Office makrókként tartalmazzák. Vannak azonban olyan vírusok, amelyek technikákat alkalmaznak kódjuk elrejtésére és kódjuk nem makrók formájában történő tárolására. Három ismert technika létezik, amelyek mindegyike a makrók képességét használja más makrók létrehozására, szerkesztésére és végrehajtására. Az ilyen vírusoknak általában van egy kicsi (néha polimorf) vírusmakróbetöltőjük, amely meghívja a beépített makrószerkesztőt, létrehoz egy új makrót, kitölti a fő víruskóddal, végrehajtja, majd általában megsemmisíti. (hogy elrejtse a vírus nyomait). Az ilyen vírusok fő kódja vagy magában a vírusmakróban található szöveges karakterláncok formájában (néha titkosítva), vagy a dokumentum változó területén van tárolva.
A hálózati vírusok közé tartoznak azok a vírusok, amelyek aktívan használják a helyi és globális hálózatok protokolljait és képességeit a terjedéshez. A hálózati vírusok fő működési elve az a képesség, hogy a kódját önállóan továbbítsák egy távoli szerverre vagy munkaállomásra. A „teljes értékű” hálózati vírusok arra is képesek, hogy kódjukat egy távoli számítógépen is lefuttatják, vagy legalábbis „lenyomják” a felhasználót egy fertőzött fájl futtatására.
A jogosulatlan hozzáférést lehetővé tevő rosszindulatú programok a következők lehetnek:
Jelszavak kiválasztására és megnyitására szolgáló programok;
fenyegetéseket megvalósító programok;
Az ISPD szoftverek és hardverek nem bejelentett képességeinek használatát bemutató programok;
Számítógépes vírusgenerátor programok;
az információbiztonsági eszközök sebezhetőségét bemutató programok stb.
A szoftverek összetettebbé és változatosabbá válásával a rosszindulatú programok száma gyorsan növekszik. Ma több mint 120 ezer számítógépes vírus aláírása ismert. Azonban nem mindegyik jelent valós veszélyt. Sok esetben a rendszer- vagy alkalmazásszoftverek sebezhetőségeinek kiküszöbölése oda vezetett, hogy számos rosszindulatú program már nem tud behatolni rajtuk. Az új rosszindulatú programok gyakran jelentik a fő veszélyt.
5.6. A nem hagyományos információs csatornák általános jellemzőiA nem hagyományos információs csatorna az információ titkos továbbítására szolgáló csatorna hagyományos kommunikációs csatornákon és a továbbított információ speciális, nem kriptográfiai átalakításain keresztül.
A nem hagyományos csatornák kialakítására a következő módszerek használhatók:
számítógépes szteganográfia;
Különféle, engedélyezett módon beszerezhető ISPD-jellemzők manipulálásán alapul (például a különböző kérések feldolgozási ideje, a rendelkezésre álló memória vagy az olvasható fájl vagy folyamatazonosítók mennyisége stb.).
A számítógépes szteganográfiai módszerek célja az üzenettovábbítás tényének elrejtése azáltal, hogy rejtett információkat ágyaznak be látszólag ártalmatlan adatokba (szöveg-, grafikus-, hang- vagy videofájlokba), és két módszercsoportot tartalmaznak, amelyek a következőkön alapulnak:
A számítógépes formátumok speciális tulajdonságainak használatáról adatok tárolására és továbbítására;
A redundanciáról audio, vizuális ill szöveges információk az emberi észlelés pszichofiziológiai jellemzőinek pozíciójából.
A számítógépes szteganográfiai módszerek osztályozását a 15. ábra mutatja, összehasonlító jellemzőiket a 4. táblázat tartalmazza.
Jelenleg az információk grafikus stegocontainerekben való elrejtésére szolgáló módszereket fejlesztik és használják leginkább. Ez annak köszönhető, hogy viszonylag nagy mennyiségű információ helyezhető el az ilyen tárolókban a kép észrevehető torzulása nélkül, a konténer méretére vonatkozó előzetes információ megléte, a legtöbb esetben valódi képek olyan textúraterületek, amelyek zajszerkezettel rendelkeznek, és jól alkalmasak információ beágyazására, a digitális képfeldolgozási eljárások kifinomultságára, ill. digitális formátumok képbemutató. Jelenleg létezik egész sor kereskedelmi és ingyenes szoftvertermékek egyaránt elérhetők az átlagos felhasználónak, az információk elrejtésének jól ismert szteganográfiai módszereinek megvalósítása. Ebben az esetben elsősorban grafikus és hangtárolókat használnak.
15. ábra: A szteganográfiai információtranszformációs (STI) módszerek osztályozása
4. táblázat
Információkonvertáló szteganográfiai módszerek összehasonlító jellemzői
| Szteganográfiai módszer | A módszer rövid leírása | Hibák | Előnyök |
| Módszerek az információk hangtárolókban való elrejtésére | |||
| Azon alapul, hogy üzenetet ír az eredeti jel legkevésbé jelentős bitjére. Általában tömörítetlen hangjelet használnak tárolóként. | Az üzenettovábbítás alacsony titkossága. Alacsony ellenállás a torzítással szemben. Csak bizonyos hangfájlformátumokhoz használatos | ||
| Spektrumeloszláson alapuló rejtőzködési módszer | A beágyazott üzenet függvényében ál-véletlen zaj generálásán alapul, és az így keletkező zajt a fő konténer jelébe keverik, mint additív komponenst. Információfolyamok kódolása a kódolt adatok frekvenciaspektrumon való szétszórásával | ||
| Visszhangjelen alapuló rejtőzködési módszer | Magának az audiojelnek zajszerű jelként történő felhasználása alapján, amely a beágyazott üzenettől függően különböző ideig késleltetett ("tárcsázós visszhang") | Alacsony konténerhasználati arány. Jelentős számítási költségek | Viszonylag magas üzenettitkosság |
| Rejtős módszer jelfázisban | Azon a tényen alapul, hogy az emberi fül érzéketlen a harmonikus fázis abszolút értékére. Az audiojel szegmensek sorozatára van felosztva, az üzenet beágyazása az első szegmens fázisának módosításával | Alacsony konténerhasználati arány | Lényegesen nagyobb titkossággal rendelkezik, mint az NZB elrejtő módszerei |
| Módszerek az információk szöveges tárolókban való elrejtésére | |||
| Tér alapú rejtőzködési módszer | Szóközök beszúrása alapján a sorok végén, írásjelek után, szavak között a sorok hosszának igazítása során | A módszerek érzékenyek a szöveg egyik formátumból a másikba való átvitelére. Az üzenet elveszhet. Alacsony lopakodás | Megfelelően nagy áteresztőképesség |
| A szöveg szintaktikai sajátosságain alapuló elrejtőzési módszer | Azon a tényen alapul, hogy az írásjelek szabályai lehetővé teszik az írásjelek elhelyezésének kétértelműségét | Nagyon alacsony áteresztőképesség. Üzenet észlelésének nehézsége | Lehetőség van olyan módszer kiválasztására, amely nagyon összetett eljárásokat igényel az üzenet feloldásához. |
| Szinonima alapú rejtőzködési módszer | Az információk szövegbe történő beillesztése alapján bármely szinonimcsoportból származó szavak váltakozásával | Bonyolult az orosz nyelvhez képest a különböző szinonimák sokféle árnyalata miatt | Az egyik legígéretesebb módszer. Viszonylag magas az üzenettitkosság |
| Hiba alapú elrejtési módszer | Alapja az információs bitek természetes hibának, elírásnak való álcázása, a magánhangzók és mássalhangzók kombinációira vonatkozó szabályok megsértése, a cirill ábécé felváltása hasonló megjelenésű latin betűkkel stb. | Alacsony áteresztőképesség. Statisztikai elemzéssel gyorsan kiderül | Nagyon könnyen használható. Magas titkosság, ha emberek vizsgálják |
| Kvázi szöveggeneráláson alapuló rejtőzködési módszer | Szövegtároló generálása alapján, mondatalkotási szabályokkal. Szimmetrikus kriptográfiát használ | Alacsony áteresztőképesség. A megalkotott szöveg értelmetlensége | A titkosságot titkosítási módszerek határozzák meg, és általában nagyon magas |
| A betűtípus jellemzői alapján elrejtő módszer | Információk beillesztése alapján a betűtípus és a betűméret megváltoztatásával, valamint a böngésző számára ismeretlen azonosítójú blokkokba ágyazható információk | Könnyen azonosítható a dokumentumskála átalakításakor, a statisztikai sztegaanalízis során | Magas konténer kihasználtság |
| Dokumentum- és fájlkódon alapuló elrejtési módszer | Fenntartott és nem használt változó hosszúságú mezőkbe történő információ elhelyezése alapján | Alacsony titkosság ismert fájlformátummal | Könnyen kezelhető |
| A zsargonhasználaton alapuló rejtőzködési módszer | A szavak jelentésének megváltoztatásán alapul | Alacsony sávszélesség. Szűk specializáció. Alacsony lopakodás | Könnyen kezelhető |
| A szóhossz váltakozásán alapuló rejtőzködési módszer | Szövegtároló generálása alapján, bizonyos hosszúságú szavak képzésével egy ismert kódolási szabály szerint | A konténer és az üzenet kialakításának összetettsége | Emberi elemzéskor kellően magas titkosság |
| Az első betűk használatán alapuló elrejtőzési módszer | A szöveg szavainak első betűibe történő üzenet bevezetése alapján, szavak kiválasztásával | Üzenet összeállításának nehézségei. Alacsony üzenetvédelem | Nagyobb választási szabadságot biztosít az üzenetet megfogalmazó kezelőnek |
| Az információk grafikus tárolókba való elrejtésének módszerei | |||
| A legkevésbé jelentős bitek elrejtésének módszere | Azon alapul, hogy üzenetet ír az eredeti kép legkevésbé jelentős bitjeire | Az üzenettovábbítás alacsony titkossága. Alacsony torzítási ellenállás | Megfelelően nagy konténerkapacitás (akár 25%) |
| Az indexábrázolási formátum módosításán alapuló elrejtési módszer | A színpaletta csökkentése (csere) és a színek pixelenkénti rendezése a szomszédos számokkal | Főleg a tömörített képek. Az üzenettovábbítás alacsony titkossága | Viszonylag nagy konténerkapacitás |
| Az autokorrelációs függvény használatán alapuló rejtési módszer | A hasonló adatokat tartalmazó területek autokorrelációs funkcióval végzett keresése alapján | A számítások összetettsége | Ellenáll a legtöbb nemlineáris konténertranszformációnak |
| A beágyazott üzenet nemlineáris modulációján alapuló elrejtési módszer | Egy pszeudo-véletlen jelnek egy rejtett információt tartalmazó jel általi modulációján alapul | ||
| A beágyazott üzenet előjelmodulációján alapuló elrejtési módszer | Egy pszeudo-véletlen jelnek egy rejtett információt tartalmazó bipoláris jel általi modulációján alapul | Alacsony észlelési pontosság. Torzítások | Elég magas üzenettitkosság |
| A wavelet transzformáción alapuló elrejtési módszer | A wavelet transzformációk jellemzői alapján | A számítások összetettsége | Magas lopakodás |
| Diszkrét koszinusz transzformáción alapuló rejtési módszer | A diszkrét koszinusz transzformáció jellemzői alapján | Számítási nehézség | Magas lopakodás |
A nem hagyományos információs csatornákban az ISDN-erőforrások különféle jellemzőinek manipulálása alapján bizonyos megosztott erőforrásokat használnak az adatok továbbítására. Ugyanakkor az időzítési jellemzőket használó csatornákban a modulációt a megosztott erőforrás foglaltsági ideje alapján hajtják végre (például a processzor foglaltsági idejének modulálásával az alkalmazások adatokat cserélhetnek).
A memóriacsatornákban az erőforrást köztes pufferként használják (például az alkalmazások úgy cserélhetnek adatot, hogy azokat a létrehozott fájlok és könyvtárak nevébe helyezik). Az adatbázis- és tudáshírcsatornák a relációs adatbázisokban felmerülő adatok és a tudás közötti függőséget használnak.
A nem hagyományos információs csatornák az ISPD működésének különböző szintjein alakíthatók ki:
hardver szinten;
a mikrokódok és az eszközmeghajtók szintjén;
operációs rendszer szintjén;
alkalmazási szoftver szinten;
adatátviteli csatornák és kommunikációs vonalak működésének szintjén.
Ezek a csatornák használhatók mind a másolt információk titkos továbbítására, mind a parancsok rejtett továbbítására romboló műveletek végrehajtására, alkalmazások indítására stb.
A csatornák megvalósításához általában szükség van egy olyan szoftver vagy hardver-szoftver komponens bevezetésére az automatizált rendszerbe, amely biztosítja egy nem hagyományos csatorna kialakítását.
Egy nem hagyományos információs csatorna folyamatosan létezhet a rendszerben, vagy egyszeri vagy meghatározott feltételek mellett aktiválható. Ebben az esetben lehetséges, hogy visszajelzés érkezik az NSD alanyától.
5.7. A jogosulatlan vagy véletlen hozzáférés eredményeinek általános jellemzőiAz információkhoz való jogosulatlan hozzáféréssel kapcsolatos fenyegetések végrehajtása a biztonság következő típusú megsértéséhez vezethet:
a titoktartás megsértése (másolás, jogosulatlan terjesztés);
Az integritás megsértése (megsemmisítése, megváltoztatása);
akadálymentesítés megsértése (blokkolás).
A titoktartás megsértése információszivárgás esetén fordulhat elő:
másolása elidegeníthető adathordozóra;
továbbítása adatcsatornákon keresztül;
a szoftver és hardver javítása, módosítása és ártalmatlanítása során történő megtekintése vagy másolása során;
az ISPD működése során a szabálysértő által végzett „szemétgyűjtés” során.
Az információk integritásának megsértése a felhasználói programok és adatok, valamint a technológiai (rendszer-) információk hatása (módosítása) miatt következik be, beleértve:
a számítógépes rendszer firmware-je, adat- és eszközillesztőprogramjai;
az operációs rendszer betöltését lehetővé tevő programok, adatok és eszközillesztőprogramok;
az operációs rendszer programjai és adatai (leírók, leírók, struktúrák, táblázatok stb.);
Alkalmazási szoftver programok és adatok;
Speciális szoftver programok és adatok;
A programok és adatok köztes (működési) értékei feldolgozásuk során (olvasás/írás, fogadás/továbbítás) számítástechnikai eszközökkel és eszközökkel.
Az információbiztonsági rendszerben az információ integritásának megsértését okozhatja rosszindulatú szoftver és hardver program bejuttatása, illetve az információbiztonsági rendszerre vagy annak elemeire gyakorolt hatás is.
Ezenkívül az ISPD-ben lehetőség van a technológiai hálózati információk befolyásolására, amelyek biztosítják a különböző számítógépes hálózatkezelő eszközök működését:
hálózati konfiguráció;
címek és adatátviteli útválasztás a hálózatban;
funkcionális hálózatvezérlés;
információbiztonság a hálózaton.
Az információ elérhetőségének megsértését olyan forrásadatok kialakítása (módosítása) biztosítja, amelyek feldolgozása során hibás működést, hardver meghibásodást vagy a rendszer számítási erőforrásainak befogását (betöltését) okozzák, amelyek a programok és az üzemeltetési berendezések végrehajtásához szükségesek.
A jelzett intézkedések az ISPD szinte bármely technikai eszköze működésének megzavarásához vagy meghibásodásához vezethetnek:
információfeldolgozó eszközök;
információbeviteli/kimeneti eszközök;
információtároló eszközök;
Berendezések és átviteli csatornák;
információbiztonsági eszközök.