Amenințările cu programele rău intenționate care sunt introduse în rețea. Metode pentru ca malware-ul să pătrundă într-un sistem
Programele rău intenționate pot fi introduse (introduse) atât intenționat, cât și accidental în software-ul utilizat în ISPD în timpul dezvoltării, întreținerii, modificării și configurării acestuia. În plus, programele rău intenționate pot fi introduse în timpul funcționării ISPD de pe medii de stocare externe sau prin interacțiunea rețelei, fie ca urmare a accesului neautorizat, fie accidental de către utilizatorii ISPD.
Malware-ul modern se bazează pe exploatarea vulnerabilităților din diverse tipuri de software (sistem, general, aplicație) și diverse tehnologii de rețea, au o gamă largă de capabilități distructive (de la examinarea neautorizată a parametrilor ISPD fără a interfera cu funcționarea ISPD, până la distrugerea software-ului PD și ISPD) și pot funcționa în toate tipurile de software (sistem, aplicație, drivere hardware etc.) .
Prezența programelor rău intenționate în ISPD poate contribui la apariția unor canale ascunse, inclusiv netradiționale, de acces la informații, care să permită deschiderea, ocolirea sau blocarea mecanismelor de securitate prevăzute în sistem, inclusiv protecția prin parolă și criptografică.
Principalele tipuri de malware sunt:
· marcaje software;
· viruși software clasici (de calculator);
· raspandirea programelor malware in retea (viermi de retea);
· alte programe rău intenționate concepute pentru a desfășura activități ilegale.
Marcajele software includ programe, fragmente de cod și instrucțiuni care formează capabilități software nedeclarate. Programele rău intenționate se pot schimba de la un tip la altul, de exemplu, un marcaj de software poate genera un virus software, care, la rândul său, atunci când este expus la condițiile rețelei, poate forma un vierme de rețea sau alt program rău intenționat conceput pentru a efectua acces neautorizat.
o scurtă descriere a Principalul malware se rezumă la următoarele. Virușii de pornire se scriu fie în sectorul de pornire al discului (sectorul de pornire), fie în sectorul care conține încărcătorul de pornire de sistem al hard diskului (Master Boot Record) sau schimbă indicatorul către sectorul de pornire activ. Acestea sunt încorporate în memoria computerului atunci când sunt pornite de pe un disc infectat. În acest caz, încărcătorul de pornire a sistemului citește conținutul primului sector al discului de pe care este făcută boot-ul, plasează informațiile citite în memorie și îi transferă controlul (adică virusului). După aceasta, încep să fie executate instrucțiunile virusului, ceea ce, de regulă, reduce volumul memorie libera, își copiază codul în spațiul liber și îi citește continuarea de pe disc (dacă există), interceptează vectorii de întrerupere necesari (de obicei INT 13H), citește sectorul de boot original în memorie și îi transferă controlul.
Ulterior, virusul de boot se comportă în același mod ca virusul fișierului: interceptează cererile sistem de operare pe discuri și le infectează, în funcție de anumite condiții, efectuează acțiuni distructive, provoacă efecte sonore sau efecte video.
Principalele acțiuni distructive efectuate de acești viruși sunt:
· distrugerea informațiilor în sectoare ale dischetelor și hard disk-urilor;
· eliminarea posibilității de încărcare a sistemului de operare (calculatorul se blochează);
· distorsiunea codului bootloader-ului;
· formatarea dischetelor sau unităților logice ale unui hard disk;
· blocarea accesului la porturile COM și LPT;
· înlocuirea caracterelor la tipărirea textelor;
· zvâcnirea ecranului;
· schimbarea etichetei unui disc sau dischetă;
· crearea de clustere de pseudo-eșecuri;
· crearea de efecte sonore și/sau vizuale (de exemplu, cădere
litere de pe ecran);
· coruperea fișierelor de date;
· afișarea diverselor mesaje pe ecran;
· dezactivarea dispozitivelor periferice (de exemplu, tastatura);
· schimbarea paletei ecranului;
· umplerea ecranului cu personaje sau imagini străine;
· întunecarea ecranului și trecerea în modul standby pentru introducerea tastaturii;
· criptarea sectoarelor de hard disk;
· distrugerea selectivă a caracterelor afișate pe ecran la tastarea de la tastatură;
Reducerea cantității de memorie RAM;
· apel pentru a imprima conținutul ecranului;
· blocarea scrierii pe disc;
· distrugerea Disk Partition Table, după care computerul poate fi pornit doar de pe o dischetă;
Începeți să blocați fișiere executabile;
· blocarea accesului la hard disk.
|
Figura 3. Clasificarea virușilor software și a viermilor de rețea
Majoritatea virușilor de boot se scriu singuri pe dischete.
Metoda de infectare „suprascrierea” este cea mai simplă: virusul își scrie propriul cod în loc de codul fișierului infectat, distrugându-i conținutul. Desigur, în acest caz fișierul nu mai funcționează și nu este restaurat. Astfel de viruși se dezvăluie foarte repede, deoarece sistemul de operare și aplicațiile încetează să funcționeze destul de repede.
Categoria „însoțitor” include viruși care nu modifică fișierele infectate. Algoritmul de operare al acestor viruși este că se creează un fișier duplicat pentru fișierul infectat, iar atunci când fișierul infectat este lansat, acest duplicat, adică virusul, primește controlul. Cei mai obișnuiți viruși însoțitori sunt cei care folosesc caracteristica DOS pentru a executa mai întâi fișiere cu extensia .COM dacă există două fișiere în același director cu același nume, dar cu extensii de nume diferite - .COM și .EXE. Astfel de viruși creează fișiere satelit pentru fișierele EXE care au același nume, dar cu extensia .COM, de exemplu, pentru fișierul XCOPY.EXE este creat un fișier XCOPY.COM. Virusul se scrie într-un fișier COM și nu modifică fișierul EXE în niciun fel. Când rulează un astfel de fișier, DOS va detecta și executa mai întâi fișierul COM, adică virusul, care va lansa apoi fișierul EXE. Al doilea grup este format din viruși care, atunci când sunt infectați, redenumesc un fișier cu alt nume, îl amintesc (pentru lansarea ulterioară a fișierului gazdă) și își scriu codul pe disc sub numele fișierului infectat. De exemplu, fișierul XCOPY.EXE este redenumit în XCOPY.EXD, iar virusul este înregistrat sub numele XCOPY.EXE. Când este lansat, controlul primește codul virusului, care rulează apoi XCOPY original, stocat sub numele XCOPY.EXD. Un fapt interesant este că aceasta metoda pare să funcționeze pe toate sistemele de operare. Al treilea grup include așa-numiții viruși „însoțitor de cale”. Ei fie își scriu codul sub numele fișierului infectat, dar „mai înalt” cu un nivel în căile prescrise (DOS va fi astfel primul care detectează și lansează fișierul virus), fie mută fișierul victimă cu un subdirector mai sus etc. .
Pot exista și alte tipuri de viruși însoțitori care folosesc diferiți idei originale sau caracteristici ale altor sisteme de operare.
Viermii de fișiere sunt, într-un fel, un tip de virus însoțitor, dar în niciun fel nu asociază prezența lor cu niciun fișier executabil. Când se reproduc, pur și simplu își copiază codul în niște directoare de disc în speranța că aceste noi copii vor fi într-o zi lansate de utilizator. Uneori, acești viruși dau copiilor lor nume „speciale” pentru a încuraja utilizatorul să ruleze copia lor - de exemplu, INSTALL.EXE sau WINSTART.BAT. Există viruși de viermi care folosesc tehnici destul de neobișnuite, de exemplu, scrierea unor copii ale lor în arhive (ARJ, ZIP și altele). Unii viruși scriu comanda pentru a rula fișierul infectat în fișiere BAT. Viermii de fișiere nu trebuie confundați cu viermii de rețea. Primii folosesc doar funcțiile de fișiere ale oricărui sistem de operare, în timp ce cei din urmă folosesc protocoale de rețea pentru reproducerea lor.
Virușii de legătură, precum virușii însoțitori, nu modifică conținutul fizic al fișierelor, dar atunci când un fișier infectat este lansat, ei „forțează” sistemul de operare să-și execute codul. Ei ating acest scop prin modificarea câmpurilor necesare ale sistemului de fișiere.
Virușii care infectează bibliotecile compilatorului, modulele obiect și textele sursă programele sunt destul de exotice și practic nu sunt răspândite. Virușii care infectează fișierele OBJ și LIB își scriu codul în ele în formatul unui modul obiect sau bibliotecă. Prin urmare, fișierul infectat nu este executabil și nu este capabil să răspândească în continuare virusul în starea sa actuală. Purtătorul virusului „în direct” devine un fișier COM sau EXE.
După ce a câștigat controlul, virusul fișierului efectuează următoarele acțiuni generale:
· verifică RAM pentru prezența copiei sale și infectează
memoria computerului, dacă o copie a virusului nu este găsită (dacă virusul este rezident), caută fișiere neinfectate în directorul curent și (sau) rădăcină prin scanarea arborelui de directoare al unităților logice și apoi infectează fișierele detectate;
· îndeplinește funcții suplimentare (dacă există): distructiv
acțiuni, efecte grafice sau sonore etc. ( funcții suplimentare virușii rezidenți pot fi apelați la ceva timp după activare în funcție de ora curentă, configurația sistemului, contoarele interne de viruși sau alte condiții; în acest caz, atunci când este activat, virusul procesează starea ceasului sistemului, își setează contoarele etc.);
· readuce controlul programului principal (dacă există unul).
Trebuie remarcat faptul că, cu cât un virus se răspândește mai repede, cu atât este mai probabil să apară o epidemie a acestui virus; cu cât virusul se răspândește mai lent, cu atât este mai dificil de detectat (cu excepția cazului în care, desigur, acest virus este necunoscut). Virușii nerezidenți sunt adesea „lenti” - majoritatea infectează unul sau două sau trei fișiere atunci când sunt lansate și nu au timp să infesteze computerul înainte de lansare program antivirus(sau aspectul versiune noua antivirus configurat pentru acest virus). Există, desigur, viruși „rapidi” nerezidenți care, atunci când sunt lansati, caută și infectează toate fișierele executabile, dar astfel de viruși sunt foarte vizibili: atunci când fiecare fișier infectat este lansat, computerul lucrează activ cu hard disk-ul pentru unii. (uneori destul de lung), care demascează virusul. Rata de răspândire (infecție) a virușilor rezidenți este de obicei mai mare decât a virușilor nerezidenți - aceștia infectează fișierele atunci când se face orice acces la ele. Ca urmare, toate sau aproape toate fișierele de pe disc care sunt utilizate în mod constant în muncă devin infectate. Rata de răspândire (infecție) a virușilor rezidenți de fișiere care infectează fișierele doar atunci când sunt lansate pentru execuție va fi mai mică decât cea a virușilor care infectează fișierele și atunci când sunt deschise, redenumite, modificate atributele fișierului etc.
Astfel, principalele acțiuni distructive efectuate de virușii de fișiere sunt asociate cu deteriorarea fișierelor (de obicei fișiere executabile sau de date), lansarea neautorizată a diferitelor comenzi (inclusiv formatare, distrugere, copiere comenzi etc.), modificarea tabelului vector de întreruperi etc. În același timp, pot fi efectuate și multe acțiuni distructive similare cu cele indicate pentru virușii de boot.
Virușii macro sunt programe scrise în limbi (macrolimbi) încorporate în unele sisteme de procesare a datelor ( editori de text, foi de calcul etc.). Pentru a se reproduce, astfel de viruși folosesc capabilitățile limbilor macro și, cu ajutorul lor, se transferă dintr-un fișier infectat (document sau tabel) la alții. Cei mai răspândiți sunt virușii macro pentru pachetele de aplicații software Microsoft Office.
Pentru ca virușii să existe într-un anumit sistem (editor), este necesar să existe un limbaj macro încorporat în sistem cu următoarele capacități:
1) conectarea unui program într-un limbaj macro la un anumit fișier;
2) copierea programelor macro dintr-un fișier în altul;
3) obținerea controlului unui program macro fără intervenția utilizatorului (macro-uri automate sau standard).
Programele de aplicare îndeplinesc aceste condiții Microsoft Word, Excel și Microsoft Access. Acestea conțin limbaje macro: Word Basic, Visual Basic pentru Aplicații. în care:
1) programele macro sunt legate de un anumit fișier sau sunt localizate în interiorul unui fișier;
2) limbajul macro vă permite să copiați fișiere sau să mutați programe macro în fișiere de serviciu de sistem și fișiere editabile;
3) când se lucrează cu un fișier în anumite condiții (deschidere, închidere etc.), sunt apelate programe macro (dacă există), care sunt definite într-un mod special sau au nume standard.
Această caracteristică limbajele macro este concepută pentru prelucrarea automată a datelor în organizații mari sau în rețele globale și vă permite să organizați așa-numitul „flux automat de documente”. Pe de altă parte, capacitățile de limbaj macro ale unor astfel de sisteme permit virusului să-și transfere codul în alte fișiere și astfel să le infecteze.
Majoritatea virușilor macro sunt activi nu numai în momentul în care fișierul este deschis (închis), ci atât timp cât editorul în sine este activ. Acestea conțin toate funcțiile lor ca macrocomenzi standard Word/Excel/Office. Există, totuși, viruși care folosesc tehnici pentru a-și ascunde codul și pentru a-și stoca codul sub formă de non-macro-uri. Există trei tehnici cunoscute, toate care folosesc capacitatea macrocomenzilor de a crea, edita și executa alte macrocomenzi. De regulă, astfel de viruși au un mic (uneori polimorf) încărcător de macro-virusuri, care apelează editorul de macro-uri încorporat, creează o nouă macrocomandă, o completează cu codul principal al virusului, îl execută și apoi, de regulă, îl distruge. (pentru a ascunde urmele virusului). Codul principal al unor astfel de viruși este prezent fie în macro-ul virusului în sine, sub formă șiruri de text(uneori criptat) sau stocat în zona variabilă a documentului.
Virușii de rețea includ viruși care utilizează în mod activ protocoale și capabilități locale și rețele globale. Principiul principal al unui virus de rețea este capacitatea de a-și transmite în mod independent codul către server la distanta sau statie de lucru. Virușii de rețea „cu drepturi depline” au și capacitatea de a-și rula codul computer la distanță sau cel puțin „împingeți” utilizatorul să ruleze fișierul infectat.
Programele rău intenționate care permit accesul neautorizat pot fi:
· programe pentru selectarea și deschiderea parolelor;
· programe care implementează amenințări;
· programe care demonstrează utilizarea capabilităților nedeclarate ale software-ului și hardware-ului ISPD;
· programe generatoare de viruși informatici;
· programe care demonstrează vulnerabilități de securitate
informatii, etc.
Pe măsură ce software-ul devine mai complex și mai variat, numărul de programe malware crește rapid. Astăzi, sunt cunoscute peste 120 de mii de semnături de viruși informatici. Cu toate acestea, nu toate reprezintă o amenințare reală. În multe cazuri, eliminarea vulnerabilităților dintr-un sistem sau aplicație software a condus la faptul că o serie de programe rău intenționate nu mai sunt capabile să le pătrundă. Noile programe malware reprezintă adesea principala amenințare.
Clasificarea contravenienților
Pe baza afilierii lor la ISPD, toți contravenienții sunt împărțiți în două grupuri:
Contravenienții externi sunt persoane fizice care nu au dreptul de a rămâne pe teritoriul zonei controlate în cadrul căreia se află echipamente ISPD;
Contravenienții interni sunt persoane fizice care au dreptul de a rămâne pe teritoriul zonei controlate în cadrul căreia se află echipamentele ISPD.
Intrus extern
Ca intrus extern securitatea informatiei, se consideră intrus care nu are acces direct la mijloacele tehnice și resursele sistemului situat în zona controlată.
Se presupune că un intrus extern nu poate influența informațiile protejate prin canale tehnice scurgeri, deoarece cantitatea de informații stocate și procesate în ISPD este insuficientă pentru a motiva eventual un intrus extern să efectueze acțiuni care vizează scurgerea de informații prin canalele de scurgere tehnice.
Se presupune că un intrus extern poate afecta informațiile protejate numai în timpul transmiterii acesteia prin canalele de comunicație.
Intrus înăuntru
Capacitățile unui infractor intern depind în mod semnificativ de factorii restrictivi care operează în zona controlată, dintre care principalul este punerea în aplicare a unui set de măsuri organizatorice și tehnice, inclusiv selecția, plasarea și furnizarea unei pregătiri profesionale înalte a personalului, admiterea. indivizii in interiorul zonei controlate si monitorizarea procedurii de efectuare a lucrarilor care vizeaza prevenirea si suprimarea accesului neautorizat.
Sistemul de control al accesului ISPDn asigură diferențierea drepturilor utilizatorilor de a accesa informații, software, hardware și alte resurse ISPDn în conformitate cu politica (regulile) de securitate a informațiilor adoptată. Infractorii interni pot include (tabel):
Administratori de subsisteme specifice sau baze de date ISPD (categoria II);
Utilizatori care sunt externi unui AS specific (categoria IV);
Persoane cu capacitatea de a accesa sistemul de transmitere a datelor (categoria V);
Salariații instituțiilor sanitare care au acces autorizat în scop oficial în sediul în care se află elementele ISPD, dar nu au dreptul de acces la acestea (categoria VI);
Personalul de service (lucrători de securitate, inginerie și servicii tehnice etc.) (categoria VII);
Personalul autorizat al dezvoltatorilor ISPD care, pe bază contractuală, are dreptul de a întreține și modifica componentele ISPD (categoria VIII).
Persoanele din categoriile I și II sunt încredințate cu sarcinile de administrare software și hardware și baze de date ISPD pentru integrarea și asigurarea interacțiunii diferitelor subsisteme care fac parte din ISPD. Administratorii pot implementa potențial amenințări la securitatea informațiilor folosind capacitățile de acces direct la informațiile protejate procesate și stocate în ISPD, precum și la hardware-ul și software-ul ISPD, inclusiv instrumentele de securitate utilizate în AS-uri specifice, în conformitate cu competențele administrative. stabilite pentru ei.
Acești indivizi sunt familiarizați cu algoritmii de bază, protocoalele implementate și utilizate în subsisteme specifice și ISPD în general, precum și cu principiile și conceptele de securitate aplicate.
Se presupune că ar putea folosi echipament standard fie pentru a identifica vulnerabilități, fie pentru a implementa amenințări la securitatea informațiilor. Acest echipament poate face parte din echipamentul standard sau poate fi ușor disponibil (de exemplu, software obținut din surse externe disponibile publicului).
În plus, se presupune că acești indivizi ar putea avea echipamente specializate.
Persoanele din categoriile I și II, având în vedere rolul lor exclusiv în ISPD, ar trebui să facă obiectul unui set de măsuri organizatorice și de regim speciale pentru selecția, angajarea, numirea lor într-o funcție și monitorizarea îndeplinirii atribuțiilor funcționale.
Se presupune că în numărul persoanelor din categoriile I și II vor fi incluse doar persoane de încredere și, prin urmare, aceste persoane sunt excluse din lista probabililor contravenienți.
Se presupune că persoanele din categoriile III-VIII sunt susceptibile de a fi contravenienți.
Capacitățile unui insider depind în mod semnificativ de
de la forțele de securitate care operează în zona controlată
și măsuri organizatorice și tehnice de protecție, inclusiv accesul persoanelor la datele cu caracter personal și controlul procedurii de desfășurare a muncii.
Infractorii interni potențiali sunt împărțiți în opt categorii, în funcție de metoda de acces și autoritatea de acces la datele personale.
O sarcină necesară pentru scriitorii de viruși și infractorii cibernetici este introducerea unui virus, vierme sau troian într-un computer victimă sau telefon mobil. Acest obiectiv este atins căi diferite, care se încadrează în două categorii principale:
- inginerie socială (se folosește și termenul de „ingineria socială” - hârtie de calc din engleza „ingineria socială”);
- metode tehnice de introducere a codului rău intenționat într-un sistem infectat fără știrea utilizatorului.
Adesea, aceste metode sunt utilizate simultan. În același timp, sunt adesea folosite și măsuri speciale de contracarare a programelor antivirus.
Inginerie sociala
Metodele de inginerie socială forțează cumva utilizatorul să lanseze un fișier infectat sau să deschidă un link către un site web infectat. Aceste metode sunt folosite nu numai de numeroși viermi de e-mail, ci și de alte tipuri de software rău intenționat.
Sarcina hackerilor și scriitorilor de viruși este de a atrage atenția utilizatorului asupra unui fișier infectat (sau a unui link HTTP către un fișier infectat), de a-l interesa pe utilizator și de a-l forța să facă clic pe fișier (sau un link către un fișier) . Un „clasic al genului” este viermele de email LoveLetter, care a fost senzațional în mai 2000 și rămâne lider în ceea ce privește amploarea daunelor financiare cauzate, potrivit datelor de la Computer Economics. Mesajul pe care l-a afișat viermele pe ecran arăta astfel:
Mulți oameni au reacționat la mărturisirea „TE IUBESC” și, ca urmare, serverele de e-mail ale companiilor mari nu au putut rezista încărcării - viermele a trimis copii ale lui însuși tuturor persoanelor de contact din agenda de fiecare dată când a fost deschis un fișier VBS atașat. .
Viermele de e-mail Mydoom, care a explodat pe Internet în ianuarie 2004, folosea texte care imitau mesajele tehnice de la un server de e-mail.
De menționat și viermele Swen, care a pozat ca un mesaj de la Microsoft și s-a deghizat într-un patch care a eliminat o serie de noi vulnerabilități în Windows (nu este de mirare că mulți utilizatori au cedat apelului de a instala „un alt patch de la Microsoft ”).
Există, de asemenea, incidente, dintre care unul a avut loc în noiembrie 2005. Într-una dintre versiunile viermelui Sober s-a raportat că poliția penală germană investiga cazuri de vizitare a site-urilor web ilegale. Această scrisoare a ajuns în mâinile unui pornograf infantil care a confundat-o cu o scrisoare oficială și s-a predat cu ascultare autorităților.
Recent, nu sunt fișierele atașate la e-mailuri care au câștigat o popularitate deosebită, ci mai degrabă link-uri către fișiere aflate pe un site web infectat. Un mesaj este trimis unei posibile victime - prin poștă, prin ICQ sau alt pager, sau mai rar - prin chat-uri pe Internet IRC (în cazul virușilor de pe mobil, metoda obișnuită de livrare este un mesaj SMS). Mesajul conține un text atractiv care atrage utilizatorul nebănuit să facă clic pe link. Aceasta metoda pătrunderea în computerele victime este de departe cea mai populară și eficientă metodă, deoarece vă permite să ocoliți filtrele anti-virus vigilente de pe serverele de e-mail.
De asemenea, sunt utilizate capabilitățile rețelelor de partajare a fișierelor (rețele P2P). Un vierme sau troian este postat într-o rețea P2P sub o varietate de nume gustoase, de exemplu:
- AIM și AOL Password Hacker.exe
- Microsoft CD Key Generator.exe
- PornStar3D.exe
- emulator play station crack.exe
În timp ce caută programe noi, utilizatorii rețelelor P2P dau peste aceste nume, descarcă fișierele și le lansează pentru execuție.
„Înșelătoriile” sunt, de asemenea, destul de populare, atunci când victimei i se oferă un utilitar gratuit sau instrucțiuni pentru hacking diferite sisteme de plată. De exemplu, se oferă să obțină acces liber la Internet sau operator mobil, descărcați un generator de numere de card de credit, creșteți suma de bani din portofelul personal de internet etc. Desigur, este puțin probabil ca victimele unei astfel de fraude să contacteze agențiile de aplicare a legii (la urma urmei, de fapt, ei înșiși au încercat să facă bani prin mijloace frauduloase), iar criminalii de pe internet profită din plin de acest lucru.
Un atacator necunoscut din Rusia a folosit o metodă neobișnuită de înșelăciune în 2005-2006. Programul troian a fost trimis la adresele găsite pe site-ul job.ru, specializat în căutare de angajare și personal. Unii dintre cei care și-au publicat CV-urile acolo ar fi primit o ofertă de muncă cu un dosar atașat scrisorii, pe care li s-a cerut să o deschidă și să se familiarizeze cu conținutul acesteia. Dosarul era, desigur, un cal troian. De asemenea, este interesant faptul că atacul a fost efectuat în principal asupra companiilor adrese postale. Calculul s-a bazat aparent pe faptul că este puțin probabil ca angajații companiei să raporteze sursa infecției. Și așa s-a întâmplat - specialiștii Kaspersky Lab nu au putut obține informații clare despre metoda de penetrare a programului troian în computerele utilizatorilor timp de mai mult de șase luni.
Există, de asemenea, cazuri destul de exotice, de exemplu, o scrisoare cu un document atașat în care un client al băncii este rugat să confirme (sau mai degrabă, să raporteze) codurile de acces - tipăriți documentul, completați formularul atașat și apoi trimiteți-l prin fax la adresa numărul de telefon specificat în scrisoare.
Un alt caz de livrare neobișnuit spyware„to the home” a avut loc în Japonia în toamna anului 2005. Unii atacatori au trimis CD-uri infectate cu un spyware troian la adresele de domiciliu (oraș, stradă, casă) ale clienților uneia dintre băncile japoneze. În acest caz, au fost folosite informații din baza de date de clienți furată anterior a acestei bănci.
Tehnologii de implementare
Aceste tehnologii sunt folosite de atacatori pentru a introduce cod rău intenționat în sistem fără a atrage atenția proprietarului computerului. Acest lucru se realizează prin vulnerabilități de securitate în sistemele de operare și software. Prezența vulnerabilităților permite unui vierme de rețea sau program troian fabricat de un atacator să pătrundă într-un computer victimă și să se lanseze pentru a fi executat.
Vulnerabilitățile sunt, de fapt, erori în cod sau în logica funcționării diferitelor programe. Sistemele de operare și aplicațiile moderne au o structură complexă și o funcționalitate extinsă și este pur și simplu imposibil de evitat erorile în proiectarea și dezvoltarea lor. De asta profită scriitorii de viruși și atacatorii de computere.
Vulnerabilitățile în clienti de mail Outlook folosit viermi de poștă Nimda și Aliz. Pentru a lansa fișierul vierme, a fost suficient să deschideți litera infectată sau pur și simplu să treceți cu mouse-ul peste ea în fereastra de previzualizare.
De asemenea, programele malware au exploatat în mod activ vulnerabilitățile din componentele de rețea ale sistemelor de operare. Viermii CodeRed, Sasser, Slammer, Lovesan (Blaster) și mulți alți viermi care rulează sub Windows au fost folosiți pentru a răspândi astfel de vulnerabilități. Sistemele Linux au fost, de asemenea, atacate - viermii Ramen și Slapper au pătruns în computere prin vulnerabilități din acest mediu de operare și aplicații pentru acesta.
În ultimii ani, una dintre cele mai populare metode de infectare a fost injectarea de cod rău intenționat prin intermediul paginilor web. Acest lucru exploatează adesea vulnerabilitățile browserelor de internet. Un fișier infectat și un program script care exploatează o vulnerabilitate din browser sunt plasate pe o pagină web. Când un utilizator vizitează o pagină infectată, este declanșat un program de script care, printr-o vulnerabilitate, descarcă fișierul infectat pe computer și îl lansează acolo pentru execuție. Drept urmare, pentru a infecta un număr mare de computere, este suficient să atragi cât mai mulți utilizatori la o astfel de pagină web. Acest lucru se realizează în diferite moduri, de exemplu, prin trimiterea de spam care indică adresa paginii, trimiterea de mesaje similare prin intermediul paginilor de internet, uneori chiar și motoarele de căutare sunt folosite pentru aceasta. Pagina infectată conține o varietate de text, care mai devreme sau mai târziu este calculat de motoarele de căutare - iar linkul către această pagină apare în lista altor pagini din rezultatele căutării.
O clasă separată sunt programele troiene care sunt concepute pentru a descărca și rula alte programe troiene. De obicei, acești troieni, care au dimensiuni foarte mici, într-un fel sau altul (de exemplu, folosind o altă vulnerabilitate în sistem) sunt „alunecați” pe computerul victimei, apoi se descarcă independent de pe Internet și instalează alte componente rău intenționate în sistemul. Adesea, astfel de programe troiene schimbă setările browserului cu cele mai nesigure pentru a „facilita drumul” altor troieni.
Vulnerabilitățile care devin cunoscute sunt corectate rapid de companiile de dezvoltare, dar apar în mod constant informații despre noi vulnerabilități, care încep imediat să fie folosite de numeroși hackeri și scriitori de viruși. Mulți „boți” troieni folosesc noi vulnerabilități pentru a-și crește numărul, iar noi erori din Microsoft Office încep imediat să fie folosite pentru a introduce noi programe troiene în computere. În același timp, din păcate, există tendința de a scurta intervalul de timp dintre apariția informațiilor despre următoarea vulnerabilitate și începerea utilizării acesteia de către viermi și troieni. Drept urmare, companiile vulnerabile de software și dezvoltatorii de software antivirus se află sub presiunea timpului. Prima trebuie să remedieze eroarea cât mai repede posibil, să testeze rezultatul (numit de obicei „patch” sau „patch”) și să-l distribuie utilizatorilor, iar a doua trebuie să elibereze imediat un instrument pentru detectarea și blocarea obiectelor (fișiere, pachete de rețea) care exploatează vulnerabilitatea.
Utilizarea simultană a tehnologiilor de implementare și a metodelor de inginerie socială
Destul de des, atacatorii informatici folosesc ambele metode simultan. Metoda ingineriei sociale este de a atrage atenția unei potențiale victime, iar metoda tehnică este de a crește probabilitatea ca un obiect infectat să pătrundă în sistem.
De exemplu, viermele de e-mail Mimail a fost distribuit ca atașament la e-mail. Pentru ca utilizatorul să acorde atenție scrisorii, în ea a fost inserat text special conceput și pentru a lansa o copie a viermelui din arhiva ZIP atașată scrisorii, o vulnerabilitate în browser Internet Explorer. Ca urmare, la deschiderea unui fișier dintr-o arhivă, viermele și-a creat o copie a lui pe disc și a lansat-o pentru execuție fără avertismente de sistem sau acțiuni suplimentare utilizator. Apropo, acest vierme a fost unul dintre primele concepute pentru a fura informații personale de la utilizatorii portofelelor de internet cu sistem e-gold.
Un alt exemplu este trimiterea de spam cu subiectul „Bună ziua” și textul „Uite ce scriu despre tine”. Textul a fost urmat de un link către o pagină web. În urma analizei, s-a dovedit că această pagină web conține un program de script care, profitând de o altă vulnerabilitate din Internet Explorer, descarcă programul troian LdPinch pe computerul utilizatorului, conceput pentru a fura diverse parole.
Contracararea programelor antivirus
Deoarece scopul atacatorilor informatici este să se infiltreze cod rău intenționatîn computerele victime, apoi pentru a face acest lucru trebuie nu numai să forțeze utilizatorul să ruleze un fișier infectat sau să pătrundă în sistem printr-un fel de vulnerabilitate, ci și să se strecoare pe lângă filtrul antivirus instalat. Prin urmare, nu este surprinzător faptul că atacatorii vizează în mod deliberat programele antivirus. Tehnicile pe care le folosesc sunt foarte diverse, dar cele mai comune sunt următoarele:
Ambalarea și criptarea codului. O parte semnificativă (dacă nu cea mai mare parte) a viermilor de computer modern și a cailor troieni sunt ambalate sau criptate într-un fel sau altul. Mai mult, computerul subteran creează utilități de ambalare și criptare special concepute pentru acest scop. De exemplu, absolut toate fișierele găsite pe Internet care au fost procesate de utilitățile CryptExe, Exeref, PolyCrypt și altele s-au dovedit a fi rău intenționate.
Pentru a detecta astfel de viermi și troieni, programele antivirus trebuie fie să adauge noi metode de dezambalare și decriptare, fie să adauge semnături la fiecare eșantion de malware, ceea ce reduce calitatea detectării, deoarece nu întotdeauna toate mostrele posibile de cod modificat ajung în mâinile compania de antivirus.
Mutația codului. Diluarea codului troian cu instrucțiuni „junk”. Ca urmare, funcționalitatea programului troian este păstrată, dar „aspectul” acestuia se schimbă semnificativ. Periodic, există cazuri în care mutația codului are loc în timp real - de fiecare dată când un program troian este descărcat de pe un site web infectat. Acestea. toate sau o parte semnificativă a eșantioanelor troiene care ajung la computere de pe un astfel de site sunt diferite. Un exemplu de utilizare a acestei tehnologii este viermele de e-mail Warezov, ale cărui mai multe versiuni au provocat epidemii semnificative în a doua jumătate a anului 2006.
Ascunzându-ți prezența. Așa-numitele „tehnologii rootkit” (din engleză „rootkit”), utilizate de obicei în programele troiene. Funcțiile sistemului sunt interceptate și înlocuite, datorită cărora fișierul infectat nu este vizibil pentru nimeni. mijloace regulate sistem de operare sau programe antivirus. Uneori, ramurile de registry în care este înregistrată o copie a troianului și alte zone de sistem ale computerului sunt, de asemenea, ascunse. Aceste tehnologii sunt utilizate în mod activ, de exemplu, de către troianul backdoor HacDef.
Oprirea antivirusului și a sistemului de primire a actualizărilor bazei de date antivirus (actualizări). Mulți troieni și viermi de rețea încearcă actiuni specialeîmpotriva programelor antivirus - le caută în lista de aplicații active și încearcă să-și oprească munca, strica baze de date antivirus date, blocați primirea de actualizări etc. Programele antivirus trebuie să se protejeze în moduri adecvate - să monitorizeze integritatea bazelor de date, să își ascundă procesele de troieni etc.
Ascunderea codului dvs. pe site-uri web. Adresele paginilor web care conțin fișiere troiene devin mai devreme sau mai târziu cunoscute companiilor de antivirus. Desigur, astfel de pagini intră în atenția analiștilor antivirus - conținutul paginii este descărcat periodic, noi versiuni ale programelor troiene sunt introduse în actualizări antivirus. Pentru a contracara acest lucru, pagina web este modificată într-un mod special - dacă solicitarea vine de la adresa unei companii de antivirus, atunci se descarcă un fișier non-troian în locul celui troian.
Atacul prin numere. Generarea și distribuirea pe Internet a unui număr mare de versiuni noi de programe troiene într-o perioadă scurtă de timp. Drept urmare, companiile de antivirus se trezesc inundate de noi mostre care necesită timp pentru a fi analizate, oferind codului rău intenționat o șansă suplimentară de a se infiltra cu succes în computere.
Acestea și alte metode sunt folosite de computerul subteran pentru a contracara programele antivirus. În același timp, activitatea infractorilor cibernetici crește an de an, iar acum putem vorbi despre o adevărată „cursă tehnologică” care s-a desfășurat între industria antivirus și industria virusului. În același timp, numărul hackerilor individuali și a grupurilor criminale, precum și profesionalismul acestora, este în creștere. Toate acestea împreună cresc semnificativ complexitatea și cantitatea de muncă cerută de companiile de antivirus pentru a dezvolta un nivel suficient de protecție.
Amenințarea constă în dorința de a lansa diferite programe rău intenționate preinstalate pe gazda ISPD: programe de marcare, viruși, „spioni de rețea”, al căror scop principal este de a încălca confidențialitatea, integritatea, disponibilitatea informațiilor și controlul complet asupra funcţionarea gazdei. În plus, lansarea neautorizată a programelor de aplicație utilizator este posibilă pentru a obține date neautorizate necesare intrusului, pentru a lansa procese controlate de programul de aplicație etc.
Există trei subclase ale acestor amenințări:
Distribuirea fișierelor care conțin cod executabil neautorizat;
Lansarea de la distanță a aplicației prin depășirea tamponului a serverelor de aplicații;
Lansați o aplicație de la distanță folosind funcții telecomandă sistem furnizat de marcaje software și hardware ascunse sau utilizate de instrumente standard.
Amenințările tipice ale primei dintre aceste subclase se bazează pe activarea fișierelor distribuite atunci când acestea sunt accesate accidental. Exemple de astfel de fișiere includ: fișiere care conțin cod executabil în formular documente care conțin cod executabil în formular controale ActiveX, applet-uri Java, scripturi interpretate (de exemplu, texte JavaScript); fișiere care conțin coduri de program executabile. Serviciile pot fi folosite pentru a distribui fișiere E-mail, transfer de fișiere, sistem de fișiere în rețea.
Amenințările celei de-a doua subclase profită de deficiențele programelor care le implementează servicii de rețea(în special, lipsa controlului depășirii tamponului). Prin ajustarea registrelor de sistem, este uneori posibilă comutarea procesorului după o întrerupere cauzată de o depășire a tamponului pentru a executa codul conținut în afara limitei tamponului. Un exemplu de implementare a unei astfel de amenințări este introducerea binecunoscutului „virus Morris”.
Cu amenințările din a treia subclasă, intrusul folosește capacitățile de control de la distanță ale sistemului oferite de componente ascunse (de exemplu, programe troiene precum Back. Orifice, Net Bus) sau instrumente standard pentru gestionarea și administrarea rețelelor de calculatoare (Landesk Management Suite, Managewise, Back Orifice etc.). P.). Ca urmare a utilizării lor, este posibil să se realizeze controlul de la distanță asupra unei stații din rețea.
este puțin probabil.
O listă generală a probabilității ca amenințările să fie realizate pentru tipuri diferite ISPDn este prezentat în Tabelul 12.
Tabelul 12
Amenințările de introducere a programelor rău intenționate prin intermediul rețelelor
Programele rău intenționate introduse în rețea includ viruși care utilizează în mod activ protocoalele și capabilitățile rețelelor locale și globale pentru a se răspândi. Principiul principal de funcționare al unui virus de rețea este capacitatea de a-și transfera în mod independent codul pe un server sau o stație de lucru la distanță. Virușii de rețea „cu drepturi depline” au și capacitatea de a-și rula codul pe un computer la distanță sau, cel puțin, de a „împinge” utilizatorul să ruleze un fișier infectat.
Programele rău intenționate care permit accesul neautorizat pot fi:
Programe pentru selectarea și deschiderea parolelor;
Programe care implementează amenințări;
Programe care demonstrează utilizarea capabilităților nedeclarate ale software-ului și hardware-ului ISPD;
Programe generatoare de viruși de calculator;
Programe care demonstrează vulnerabilități ale instrumentelor de securitate a informațiilor etc.
Dacă PD-ul procesat de Instituție nu este transmis prin rețele uz comunși schimb internațional, stabilit protectie antivirus, atunci probabilitatea ca amenințarea să fie realizată este este puțin probabil.
În toate celelalte cazuri, probabilitatea ca amenințarea să fie realizată trebuie evaluată.
O listă generalizată a probabilității ca amenințările să fie realizate pentru diferite tipuri de sisteme informaționale este prezentată în Tabelul 13.
Tabelul 13
Fezabilitatea amenințărilor
Pe baza rezultatelor evaluării nivelului de securitate (Y 1) (secțiunea 7) și a probabilității ca amenințarea să fie realizată (Y 2) (secțiunea 9), se calculează coeficientul de fezabilitate a amenințării (Y) și posibilitatea amenințării. în curs de realizare este determinată (Tabelul 4). Coeficientul de fezabilitate a amenințării Y va fi determinat de raportul Y = (Y 1 + Y 2)/20
Fezabilitatea amenințărilor este determinată pe baza Raportului privind rezultatele auditului intern.
O listă generalizată de evaluare a fezabilității UBPDn pentru diferite tipuri de ISPDn este prezentată în Tabelele 14-23.
Tabelul 14 – CI autonom tip I
| Tipul de amenințări la securitatea PD | Posibilitate de implementare | |
| 0,25 | scăzut | |
| 0,25 | scăzut | |
| 0,25 | scăzut | |
| 2.1.1. Furtul PC-ului | 0,25 | scăzut |
| 0,25 | scăzut | |
| 0,25 | scăzut | |
| 0,25 | scăzut | |
| 0,25 | scăzut | |
| 0,25 | scăzut | |
| 0,25 | scăzut | |
| 0,35 | in medie | |
| 0,25 | scăzut | |
| 0,25 | scăzut | |
| 0,35 | in medie | |
| 0,25 | scăzut | |
| 0,25 | scăzut | |
| 0,25 | scăzut | |
| 0,25 | scăzut | |
| 2.3.6. Dezastru | 0,25 | scăzut |
| 0,25 | scăzut | |
| 0,35 | in medie | |
| 0,25 | scăzut | |
| 0,25 | scăzut | |
| 0,25 | scăzut | |
| 0,25 | scăzut | |
| 0,25 | scăzut | |
| 0,25 | scăzut | |
| 0,25 | scăzut | |
| 0,25 | scăzut | |
| 0,25 | scăzut | |
| 0,25 | scăzut | |
| 0,25 | scăzut |
Tabelul 15 - CI autonom tip II
| Tipul de amenințări la securitatea PD | Factorul de fezabilitate a amenințării (Y) | Posibilitate de implementare |
| 1. Amenințări de la scurgeri prin canale tehnice. | ||
| 1.1. Amenințări de scurgere de informații acustice | 0,25 | scăzut |
| 1.2. Amenințări ale scurgerii de informații despre specii | 0,25 | scăzut |
| 1.3. Amenințări de scurgere de informații prin canalele PEMIN | 0,25 | scăzut |
| 2. Amenințări cu accesul neautorizat la informații. | ||
| 2.1. Amenințări de distrugere, furt de hardware ISPD și purtători de informații prin accesul fizic la elementele ISPD | ||
| 2.1.1. Furtul PC-ului | 0,25 | scăzut |
| 2.1.2. Furtul media | 0,25 | scăzut |
| 2.1.3. Furtul de chei și atribute de acces | 0,25 | scăzut |
| 2.1.4. Furtul, modificarea, distrugerea informațiilor | 0,25 | scăzut |
| 2.1.5. Defecțiunea nodurilor PC și a canalelor de comunicație | 0,25 | scăzut |
| 2.1.6. Acces neautorizat la informații când întreținere(repararea, distrugerea) unităților PC | 0,25 | scăzut |
| 2.1.7. Dezactivarea neautorizată a măsurilor de securitate | 0,25 | scăzut |
| 2.2. Amenințări de furt, modificare neautorizată sau blocare a informațiilor din cauza accesului neautorizat (UNA) folosind software, hardware și software(inclusiv programe și influențe matematice). | ||
| 2.2.1. Acțiuni ale programelor malware (viruși) | 0,35 | in medie |
| 2.2.2. Capacități nedeclarate ale software-ului de sistem și software-ului pentru prelucrarea datelor cu caracter personal | 0,25 | scăzut |
| 2.2.3. Instalarea de software care nu are legătură cu îndeplinirea atribuțiilor oficiale | 0,25 | scăzut |
| 2.3. Amenințări ale acțiunilor neintenționate ale utilizatorilor și încălcări ale securității funcționării ISPDn și SZPDn în componența sa din cauza defecțiunilor software-ului, precum și a amenințărilor non-antropice (defecțiuni hardware din cauza nefiabilității elementelor, întreruperi de curent) și naturale ( fulgere, incendii, inundatii etc.) caracter. | ||
| 2.3.1. Pierderea cheilor și a atributelor de acces | 0,35 | in medie |
| 2.3.2. Modificarea (distrugerea) neintenționată a informațiilor de către angajați | 0,25 | scăzut |
| 2.3.3. Dezactivarea neintenționată a funcțiilor de securitate | 0,25 | scăzut |
| 2.3.4. Eșecul hardware și software | 0,25 | scăzut |
| 2.3.5. Pana de curent | 0,25 | scăzut |
| 2.3.6. Dezastru | 0,25 | scăzut |
| 2.4. Amenințări ale unor acțiuni deliberate din interior | ||
| 2.4.1. Accesul la informații, modificarea, distrugerea persoanelor care nu au voie să le prelucreze | 0,25 | scăzut |
| 2.4.2. Dezvăluirea informațiilor, modificarea, distrugerea de către angajații autorizați să le prelucreze | 0,35 | in medie |
| 2.5 Amenințări de acces neautorizat prin canale de comunicare. | ||
| 2.5.1 Amenințarea „Analiza traficului de rețea” cu interceptarea informațiilor transmise de la ISPD și primite din rețele externe: | ||
| 2.5.1.1. Interceptarea în afara zonei controlate | 0,35 | in medie |
| 2.5.1.2. Interceptarea în zona controlată de către intruși externi | 0,25 | scăzut |
| 2.5.1.3 Interceptarea în zona controlată de către contravenienți interni. | 0,25 | scăzut |
| 2.5.2 Scanarea amenințărilor care vizează identificarea tipului sau tipurilor de sisteme de operare utilizate, adresele de rețea ale stațiilor de lucru ISPD, topologia rețelei, porturile și serviciile deschise, conexiunile deschise etc. | 0,25 | scăzut |
| 2.5.3 Amenințări de dezvăluire a parolelor prin rețea | 0,35 | in medie |
| 2.5.4 Amenințări cu impunerea unei rute de rețea false | 0,25 | scăzut |
| 2.5.5 Amenințări de înlocuire a unui obiect de încredere în rețea | 0,25 | scăzut |
| 2.5.6 Amenințări cu introducerea unui obiect fals atât în ISDN, cât și în rețelele externe | 0,25 | scăzut |
| 2.5.7.Amenințări cu refuzul serviciului | 0,25 | scăzut |
| 2.5.8.Amenințări ale lansării de la distanță a aplicației | 0,35 | in medie |
| 2.5.9 Amenințări ale programelor rău intenționate care sunt introduse în rețea | 0,35 | in medie |
Tabelul 16 - CI autonom tip III
| Tipul de amenințări la securitatea PD | Factorul de fezabilitate a amenințării (Y) | Posibilitate de implementare |
| 1. Amenințări de la scurgeri prin canale tehnice. | ||
| 1.1. Amenințări de scurgere de informații acustice | 0,25 | scăzut |
| 1.2. Amenințări ale scurgerii de informații despre specii | 0,25 | scăzut |
| 1.3. Amenințări de scurgere de informații prin canalele PEMIN | 0,25 | scăzut |
| 2. Amenințări cu accesul neautorizat la informații. | ||
| 2.1. Amenințări de distrugere, furt de hardware ISPD și purtători de informații prin accesul fizic la elementele ISPD | ||
| 2.1.1. Furtul PC-ului | 0,25 | scăzut |
| 2.1.2. Furtul media | 0,25 | scăzut |
| 2.1.3. Furtul de chei și atribute de acces | 0,25 | scăzut |
| 2.1.4. Furtul, modificarea, distrugerea informațiilor | 0,25 | scăzut |
| 2.1.5. Defecțiunea nodurilor PC și a canalelor de comunicație | 0,25 | scăzut |
| 2.1.6. Acces neautorizat la informații în timpul întreținerii (reparației, distrugerii) nodurilor PC | 0,25 | scăzut |
| 2.1.7. Dezactivarea neautorizată a măsurilor de securitate | 0,25 | scăzut |
| 2.2. Amenințări de furt, modificare neautorizată sau blocare a informațiilor din cauza accesului neautorizat (UNA) folosind software, hardware și software (inclusiv software și influențe matematice). | ||
| 2.2.1. Acțiuni ale programelor malware (viruși) | 0,35 | in medie |
| 2.2.2. Capacități nedeclarate ale software-ului de sistem și software-ului pentru prelucrarea datelor cu caracter personal | 0,25 | scăzut |
| 2.2.3. Instalarea de software care nu are legătură cu îndeplinirea atribuțiilor oficiale | 0,25 | scăzut |
| 2.3. Amenințări ale acțiunilor neintenționate ale utilizatorilor și încălcări ale securității funcționării ISPDn și SZPDn în componența sa din cauza defecțiunilor software-ului, precum și a amenințărilor non-antropice (defecțiuni hardware din cauza nefiabilității elementelor, întreruperi de curent) și naturale ( fulgere, incendii, inundatii etc.) caracter. | ||
| 2.3.1. Pierderea cheilor și a atributelor de acces | 0,35 | in medie |
| 2.3.2. Modificarea (distrugerea) neintenționată a informațiilor de către angajați | 0,25 | scăzut |
| 2.3.3. Dezactivarea neintenționată a funcțiilor de securitate | 0,25 | scăzut |
| 2.3.4. Eșecul hardware și software | 0,25 | scăzut |
| 2.3.5. Pana de curent | 0,25 | scăzut |
| 2.3.6. Dezastru | 0,25 | scăzut |
| 2.4. Amenințări ale unor acțiuni deliberate din interior | ||
| 2.4.1. Accesul la informații, modificarea, distrugerea persoanelor care nu au voie să le prelucreze | 0,25 | scăzut |
| 2.4.2. Dezvăluirea informațiilor, modificarea, distrugerea de către angajații autorizați să le prelucreze | 0,35 | in medie |
| 2.5 Amenințări de acces neautorizat prin canale de comunicare. | ||
| 2.5.1 Amenințarea „Analiza traficului de rețea” cu interceptarea informațiilor transmise de la ISPD și primite din rețele externe: | ||
| 2.5.1.1. Interceptarea în afara zonei controlate | 0,25 | scăzut |
| 2.5.1.2. Interceptarea în zona controlată de către intruși externi | 0,25 | scăzut |
| 2.5.1.3 Interceptarea în zona controlată de către contravenienți interni. | 0,25 | scăzut |
| 2.5.2 Scanarea amenințărilor care vizează identificarea tipului sau tipurilor de sisteme de operare utilizate, adresele de rețea ale stațiilor de lucru ISPD, topologia rețelei, porturile și serviciile deschise, conexiunile deschise etc. | 0,25 | scăzut |
| 2.5.3 Amenințări de dezvăluire a parolelor prin rețea | 0,25 | scăzut |
| 2.5.4 Amenințări cu impunerea unei rute de rețea false | 0,25 | scăzut |
| 2.5.5 Amenințări de înlocuire a unui obiect de încredere în rețea | 0,25 | scăzut |
| 2.5.6 Amenințări cu introducerea unui obiect fals atât în ISDN, cât și în rețelele externe | 0,25 | scăzut |
| 2.5.7.Amenințări cu refuzul serviciului | 0,25 | scăzut |
| 2.5.8.Amenințări ale lansării de la distanță a aplicației | 0,25 | scăzut |
| 2.5.9 Amenințări ale programelor rău intenționate care sunt introduse în rețea | 0,25 | scăzut |
Tabelul 17 - CI autonom tip IV
| Tipul de amenințări la securitatea PD | Factorul de fezabilitate a amenințării (Y) | Posibilitate de implementare |
| 1. Amenințări de la scurgeri prin canale tehnice. | ||
| 1.1. Amenințări de scurgere de informații acustice | 0,25 | scăzut |
| 1.2. Amenințări ale scurgerii de informații despre specii | 0,25 | scăzut |
| 1.3. Amenințări de scurgere de informații prin canalele PEMIN | 0,25 | scăzut |
| 2. Amenințări cu accesul neautorizat la informații. | ||
| 2.1. Amenințări de distrugere, furt de hardware ISPD și purtători de informații prin accesul fizic la elementele ISPD | ||
| 2.1.1. Furtul PC-ului | 0,25 | scăzut |
| 2.1.2. Furtul media | 0,25 | scăzut |
| 2.1.3. Furtul de chei și atribute de acces | 0,25 | scăzut |
| 2.1.4. Furtul, modificarea, distrugerea informațiilor | 0,25 | scăzut |
| 2.1.5. Defecțiunea nodurilor PC și a canalelor de comunicație | 0,25 | scăzut |
| 2.1.6. Acces neautorizat la informații în timpul întreținerii (reparației, distrugerii) nodurilor PC | 0,25 | scăzut |
| 2.1.7. Dezactivarea neautorizată a măsurilor de securitate | 0,25 | scăzut |
| 2.2. Amenințări de furt, modificare neautorizată sau blocare a informațiilor din cauza accesului neautorizat (UNA) folosind software, hardware și software (inclusiv software și influențe matematice). | ||
| 2.2.1. Acțiuni ale programelor malware (viruși) | 0,35 | in medie |
| 2.2.2. Capacități nedeclarate ale software-ului de sistem și software-ului pentru prelucrarea datelor cu caracter personal | 0,25 | scăzut |
| 2.2.3. Instalarea de software care nu are legătură cu îndeplinirea atribuțiilor oficiale | 0,25 | scăzut |
| 2.3. Amenințări ale acțiunilor neintenționate ale utilizatorilor și încălcări ale securității funcționării ISPDn și SZPDn în componența sa din cauza defecțiunilor software-ului, precum și a amenințărilor non-antropice (defecțiuni hardware din cauza nefiabilității elementelor, întreruperi de curent) și naturale ( fulgere, incendii, inundatii etc.) caracter. | ||
| 2.3.1. Pierderea cheilor și a atributelor de acces | 0,35 | in medie |
| 2.3.2. Modificarea (distrugerea) neintenționată a informațiilor de către angajați | 0,25 | scăzut |
| 2.3.3. Dezactivarea neintenționată a funcțiilor de securitate | 0,25 | scăzut |
| 2.3.4. Eșecul hardware și software | 0,25 | scăzut |
| 2.3.5. Pana de curent | 0,25 | scăzut |
| 2.3.6. Dezastru | 0,25 | scăzut |
| 2.4. Amenințări ale unor acțiuni deliberate din interior | ||
| 2.4.1. Accesul la informații, modificarea, distrugerea persoanelor care nu au voie să le prelucreze | 0,25 | scăzut |
| 2.4.2. Dezvăluirea informațiilor, modificarea, distrugerea de către angajații autorizați să le prelucreze | 0,35 | in medie |
| 2.5 Amenințări de acces neautorizat prin canale de comunicare. | ||
| 2.5.1 Amenințarea „Analiza traficului de rețea” cu interceptarea informațiilor transmise de la ISPD și primite din rețele externe: | ||
| 2.5.1.1. Interceptarea în afara zonei controlate | 0,35 | in medie |
| 2.5.1.2. Interceptarea în zona controlată de către intruși externi | 0,25 | scăzut |
| 2.5.1.3 Interceptarea în zona controlată de către contravenienți interni. | 0,25 | scăzut |
| 2.5.2 Scanarea amenințărilor care vizează identificarea tipului sau tipurilor de sisteme de operare utilizate, adresele de rețea ale stațiilor de lucru ISPD, topologia rețelei, porturile și serviciile deschise, conexiunile deschise etc. | 0,25 | scăzut |
| 2.5.3 Amenințări de dezvăluire a parolelor prin rețea | 0,35 | in medie |
| 2.5.4 Amenințări cu impunerea unei rute de rețea false | 0,25 | scăzut |
| 2.5.5 Amenințări de înlocuire a unui obiect de încredere în rețea | 0,25 | scăzut |
| 2.5.6 Amenințări cu introducerea unui obiect fals atât în ISDN, cât și în rețelele externe | 0,25 | scăzut |
| 2.5.7.Amenințări cu refuzul serviciului | 0,25 | scăzut |
| 2.5.8.Amenințări ale lansării de la distanță a aplicației | 0,35 | in medie |
| 2.5.9 Amenințări ale programelor rău intenționate care sunt introduse în rețea | 0,35 | in medie |
Tabelul 18 – CI autonom tip V
| Tipul de amenințări la securitatea PD | Factorul de fezabilitate a amenințării (Y) | Posibilitate de implementare |
| 1. Amenințări de la scurgeri prin canale tehnice. | ||
| 1.1. Amenințări de scurgere de informații acustice | 0,25 | scăzut |
| 1.2. Amenințări ale scurgerii de informații despre specii | 0,25 | scăzut |
| 1.3. Amenințări de scurgere de informații prin canalele PEMIN | 0,25 | scăzut |
| 2. Amenințări cu accesul neautorizat la informații. | ||
| 2.1. Amenințări de distrugere, furt de hardware ISPD și purtători de informații prin accesul fizic la elementele ISPD | ||
| 2.1.1. Furtul PC-ului | 0,25 | scăzut |
| 2.1.2. Furtul media | 0,25 | scăzut |
| 2.1.3. Furtul de chei și atribute de acces | 0,25 | scăzut |
| 2.1.4. Furtul, modificarea, distrugerea informațiilor | 0,25 | scăzut |
| 2.1.5. Defecțiunea nodurilor PC și a canalelor de comunicație | 0,25 | scăzut |
| 2.1.6. Acces neautorizat la informații în timpul întreținerii (reparației, distrugerii) nodurilor PC | 0,25 | scăzut |
| 2.1.7. Dezactivarea neautorizată a măsurilor de securitate | 0,25 | scăzut |
| 2.2. Amenințări de furt, modificare neautorizată sau blocare a informațiilor din cauza accesului neautorizat (UNA) folosind software, hardware și software (inclusiv software și influențe matematice). | ||
| 2.2.1. Acțiuni ale programelor malware (viruși) | 0,35 | in medie |
| 2.2.2. Capacități nedeclarate ale software-ului de sistem și software-ului pentru prelucrarea datelor cu caracter personal | 0,25 | scăzut |
| 2.2.3. Instalarea de software care nu are legătură cu îndeplinirea atribuțiilor oficiale | 0,25 | scăzut |
| 2.3. Amenințări ale acțiunilor neintenționate ale utilizatorilor și încălcări ale securității funcționării ISPDn și SZPDn în componența sa din cauza defecțiunilor software-ului, precum și a amenințărilor non-antropice (defecțiuni hardware din cauza nefiabilității elementelor, întreruperi de curent) și naturale ( fulgere, incendii, inundatii etc.) caracter. | ||
| 2.3.1. Pierderea cheilor și a atributelor de acces | 0,35 | in medie |
| 2.3.2. Modificarea (distrugerea) neintenționată a informațiilor de către angajați | 0,25 | scăzut |
| 2.3.3. Dezactivarea neintenționată a funcțiilor de securitate | 0,25 | scăzut |
| 2.3.4. Eșecul hardware și software | 0,25 | scăzut |
| 2.3.5. Pana de curent | 0,25 | scăzut |
| 2.3.6. Dezastru | 0,25 | scăzut |
| 2.4. Amenințări ale unor acțiuni deliberate din interior | ||
| 2.4.1. Accesul la informații, modificarea, distrugerea persoanelor care nu au voie să le prelucreze | 0,25 | scăzut |
| 2.4.2. Dezvăluirea informațiilor, modificarea, distrugerea de către angajații autorizați să le prelucreze | 0,35 | in medie |
| 2.5 Amenințări de acces neautorizat prin canale de comunicare. | ||
| 2.5.1 Amenințarea „Analiza traficului de rețea” cu interceptarea informațiilor transmise de la ISPD și primite din rețele externe: | ||
| 2.5.1.1. Interceptarea în afara zonei controlate | 0,25 | scăzut |
| 2.5.1.2. Interceptarea în zona controlată de către intruși externi | 0,25 | scăzut |
| 2.5.1.3 Interceptarea în zona controlată de către contravenienți interni. | 0,25 | scăzut |
| 2.5.2 Scanarea amenințărilor care vizează identificarea tipului sau tipurilor de sisteme de operare utilizate, adresele de rețea ale stațiilor de lucru ISPD, topologia rețelei, porturile și serviciile deschise, conexiunile deschise etc. | 0,25 | scăzut |
| 2.5.3 Amenințări de dezvăluire a parolelor prin rețea | 0,25 | scăzut |
| 2.5.4 Amenințări cu impunerea unei rute de rețea false | 0,25 | scăzut |
| 2.5.5 Amenințări de înlocuire a unui obiect de încredere în rețea | 0,25 | scăzut |
| 2.5.6 Amenințări cu introducerea unui obiect fals atât în ISDN, cât și în rețelele externe | 0,25 | scăzut |
| 2.5.7.Amenințări cu refuzul serviciului | 0,25 | scăzut |
| 2.5.8.Amenințări ale lansării de la distanță a aplicației | 0,25 | scăzut |
| 2.5.9 Amenințări ale programelor rău intenționate care sunt introduse în rețea | 0,25 | scăzut |
Tabelul 19 – IC independent de tip VI
| Tipul de amenințări la securitatea PD | Factorul de fezabilitate a amenințării (Y) | Posibilitate de implementare |
| 1. Amenințări de la scurgeri prin canale tehnice. | ||
| 1.1. Amenințări de scurgere de informații acustice | 0,25 | scăzut |
| 1.2. Amenințări ale scurgerii de informații despre specii | 0,25 | scăzut |
| 1.3. Amenințări de scurgere de informații prin canalele PEMIN | 0,25 | scăzut |
| 2. Amenințări cu accesul neautorizat la informații. | ||
| 2.1. Amenințări de distrugere, furt de hardware ISPD și purtători de informații prin accesul fizic la elementele ISPD | ||
| 2.1.1. Furtul PC-ului | 0,25 | scăzut |
| 2.1.2. Furtul media | 0,25 | scăzut |
| 2.1.3. Furtul de chei și atribute de acces | 0,25 | scăzut |
| 2.1.4. Furtul, modificarea, distrugerea informațiilor | 0,25 | scăzut |
| 2.1.5. Defecțiunea nodurilor PC și a canalelor de comunicație | 0,25 | scăzut |
| 2.1.6. Acces neautorizat la informații în timpul întreținerii (reparației, distrugerii) nodurilor PC | 0,25 | scăzut |
| 2.1.7. Dezactivarea neautorizată a măsurilor de securitate | 0,25 | scăzut |
| 2.2. Amenințări de furt, modificare neautorizată sau blocare a informațiilor din cauza accesului neautorizat (UNA) folosind software, hardware și software (inclusiv software și influențe matematice). | ||
| 2.2.1. Acțiuni ale programelor malware (viruși) | 0,35 | in medie |
| 2.2.2. Capacități nedeclarate ale software-ului de sistem și software-ului pentru prelucrarea datelor cu caracter personal | 0,25 | scăzut |
| 2.2.3. Instalarea de software care nu are legătură cu îndeplinirea atribuțiilor oficiale | 0,25 | scăzut |
| 2.3. Amenințări ale acțiunilor neintenționate ale utilizatorilor și încălcări ale securității funcționării ISPDn și SZPDn în componența sa din cauza defecțiunilor software-ului, precum și a amenințărilor non-antropice (defecțiuni hardware din cauza nefiabilității elementelor, întreruperi de curent) și naturale ( fulgere, incendii, inundatii etc.) caracter. | ||
| 2.3.1. Pierderea cheilor și a atributelor de acces | 0,35 | in medie |
| 2.3.2. Modificarea (distrugerea) neintenționată a informațiilor de către angajați | 0,25 | scăzut |
| 2.3.3. Dezactivarea neintenționată a funcțiilor de securitate | 0,25 | scăzut |
| 2.3.4. Eșecul hardware și software | 0,25 | scăzut |
| 2.3.5. Pana de curent | 0,25 | scăzut |
| 2.3.6. Dezastru | 0,25 | scăzut |
| 2.4. Amenințări ale unor acțiuni deliberate din interior | ||
| 2.4.1. Accesul la informații, modificarea, distrugerea persoanelor care nu au voie să le prelucreze | 0,25 | scăzut |
| 2.4.2. Dezvăluirea informațiilor, modificarea, distrugerea de către angajații autorizați să le prelucreze | 0,35 | in medie |
| 2.5 Amenințări de acces neautorizat prin canale de comunicare. | ||
| 2.5.1 Amenințarea „Analiza traficului de rețea” cu interceptarea informațiilor transmise de la ISPD și primite din rețele externe: | ||
| 2.5.1.1. Interceptarea în afara zonei controlate | 0,35 | in medie |
| 2.5.1.2. Interceptarea în zona controlată de către intruși externi | 0,25 | scăzut |
| 2.5.1.3 Interceptarea în zona controlată de către contravenienți interni. | 0,25 | scăzut |
| 2.5.2 Scanarea amenințărilor care vizează identificarea tipului sau tipurilor de sisteme de operare utilizate, adresele de rețea ale stațiilor de lucru ISPD, topologia rețelei, porturile și serviciile deschise, conexiunile deschise etc. | 0,25 | scăzut |
| 2.5.3 Amenințări de dezvăluire a parolelor prin rețea | 0,35 | in medie |
| 2.5.4 Amenințări cu impunerea unei rute de rețea false | 0,25 | scăzut |
| 2.5.5 Amenințări de înlocuire a unui obiect de încredere în rețea | 0,25 | scăzut |
| 2.5.6 Amenințări cu introducerea unui obiect fals atât în ISDN, cât și în rețelele externe | 0,25 | scăzut |
| 2.5.7.Amenințări cu refuzul serviciului | 0,25 | scăzut |
| 2.5.8.Amenințări ale lansării de la distanță a aplicației | 0,35 | in medie |
| 2.5.9 Amenințări ale programelor rău intenționate care sunt introduse în rețea | 0,35 | in medie |
Tabelul 20 – LIS de tip I
Valabil Editorial din 15.02.2008
„MODEL DE BAZĂ DE AMENINȚĂRI LA SECURITATEA DATELOR CU CARACTER PERSONAL ÎN TIMPUL PRELUCRĂRII LOR ÎN SISTEME DE INFORMAȚII DE DATE PERSONALE” (aprobat la 15 februarie 2008 de către FSTEC al Federației Ruse)
5. Amenințări de acces neautorizat la informații din sistemul de informații cu date cu caracter personal
Amenințările la adresa datelor cu caracter personal din sistemele informatice de date cu caracter personal care utilizează software și hardware sunt implementate atunci când accesul neautorizat, inclusiv accidental, are loc, rezultând o încălcare a confidențialității (copiere, distribuire neautorizată), a integrității (distrugere, modificare) și a disponibilității (blocare). ) de date cu caracter personal și includ:
amenințări de acces (pătrundere) în mediul de operare al computerului folosind software standard (instrumente ale sistemului de operare sau programe generale de aplicație);
Amenințări de creare a unor moduri de operare anormale ale software-ului (hardware și software) din cauza modificărilor deliberate ale datelor de serviciu, ignorarea restricțiilor privind compoziția și caracteristicile informațiilor prelucrate prevăzute în condiții standard, denaturarea (modificarea) datelor în sine etc. ;
amenințări cu introducerea de programe rău intenționate (software și influență matematică).
Compoziția elementelor pentru descrierea amenințărilor la adresa informațiilor din sistemul de management al informațiilor din ISPD este prezentată în Figura 3.
În plus, sunt posibile amenințări combinate, reprezentând o combinație a acestor amenințări. De exemplu, prin introducerea de programe rău intenționate, pot fi create condiții pentru accesul neautorizat în mediul de operare al computerului, inclusiv prin formarea unor canale netradiționale de acces la informații.
Amenințările de acces (pătrundere) în mediul de operare al ISPD folosind software-ul standard sunt împărțite în amenințări directe și acces de la distanță. Amenințările de acces direct sunt efectuate folosind software de calculator și instrumente hardware de intrare/ieșire. Amenințările de acces la distanță sunt implementate folosind protocoale de comunicare în rețea.
Aceste amenințări sunt realizate în raport cu ISPD atât pe baza unei stații de lucru automatizate care nu este inclusă în rețeaua publică de comunicații, cât și în raport cu toate ISPD care sunt conectate la rețelele publice de comunicații și la rețelele internaționale. schimb de informatii.
Descrierea amenințărilor de acces (penetrare) în mediul de operare al unui computer poate fi prezentată oficial după cum urmează:
amenințare cu NSD în ISPDn: =<источник угрозы>, <уязвимость ИСПДн>, <способ реализации угрозы>, <объект воздействия (программа, протокол, данные и др.)>, <деструктивное действие>.
Figura 3. Elemente ale descrierii amenințărilor de acces neautorizat la informații din ISDN
Amenințările de creare a unor moduri de operare anormale ale instrumentelor software (software și hardware) sunt amenințări de tip „Denial of Service”. De regulă, aceste amenințări sunt luate în considerare în raport cu ISDN bazat pe sisteme informaționale locale și distribuite, indiferent de conexiunea schimbului de informații. Implementarea lor se datorează faptului că, la dezvoltarea unui sistem sau aplicație software, nu se ia în considerare posibilitatea acțiunilor deliberate pentru modificări vizate:
condițiile de procesare a datelor (de exemplu, ignorarea restricțiilor privind lungimea unui pachet de mesaj);
Formate de prezentare a datelor (cu inconsecvența formatelor modificate stabilite pentru prelucrare folosind protocoale de comunicare în rețea);
Software de prelucrare a datelor.
Ca urmare a implementării amenințărilor de tip Denial of Service, bufferele sunt depășite și procedurile de procesare sunt blocate, procedurile de procesare sunt bucle și computerul se blochează, pachetele de mesaje sunt abandonate etc. Descrierea unor astfel de amenințări poate fi prezentată oficial după cum urmează:
Amenințare cu refuzul serviciului: =<источник угрозы>, <уязвимость ИСПДн>, <способ реализации угрозы>, <объект воздействия (носитель ПДн)>, <непосредственный результат реализации угрозы (переполнение буфера, блокирование процедуры обработки, "зацикливание" обработки и т.п.)>.
Este nepotrivit să descriem amenințările de introducere a programelor rău intenționate (software și influență matematică) în același detaliu ca și amenințările de mai sus. Acest lucru se datorează faptului că, în primul rând, numărul de programe rău intenționate astăzi depășește deja semnificativ o sută de mii. În al doilea rând, atunci când organizați protecția informațiilor în practică, de regulă, este suficient doar să cunoașteți clasa programului rău intenționat, metodele și consecințele implementării acestuia (infecție). În acest sens, amenințările din influența software-matematică (PMI) pot fi prezentate formal după cum urmează:
Amenințarea primului război mondial în ISPDn: =<класс вредоносной программы (с указанием среды обитания)>, <источник угрозы (носитель вредоносной программы)>, <способ инфицирования>, <объект воздействия (загрузочный сектор, файл и т.п.)>, <описание возможных деструктивных действий>, <дополнительная информация об угрозе (резидентность, скорость распространения, полиморфичность и др.)>.
Mai jos este o descriere generală a surselor de amenințări la adresa securității informațiilor, vulnerabilitățile care pot fi utilizate în implementarea amenințărilor de acces neautorizat și o descriere a rezultatelor accesului neautorizat sau accidental. Caracteristicile metodelor de implementare a amenințărilor sunt date atunci când se descriu amenințările de acces (penetrare) în mediul de operare al unui computer, amenințările cu refuzul serviciului și amenințările PMV.
Sursele amenințărilor NSD în ISPD pot fi:
intrus;
purtător de programe malware;
marcaj hardware.
Amenințările la adresa securității datelor cu caracter personal asociate cu implementarea marcajelor hardware sunt determinate în conformitate cu documentele de reglementare ale Serviciului Federal de Securitate Federația Rusăîn modul prescris de acesta.
Pe baza dreptului de acces permanent sau unic în zona controlată (CA) a ISPD, contravenții sunt împărțiți în două tipuri:
încalcătorii care nu au acces la ISPD și implementează amenințări din rețelele publice externe de comunicații și (sau) rețelele internaționale de schimb de informații sunt contravenienți externi;
Încalcătorii care au acces la ISPD, inclusiv utilizatorii ISPD, care implementează amenințări direct în ISPD sunt infractori interni.
Intrușii externi pot fi:
serviciile de informații ale statelor;
Structuri penale;
concurenți (organizații concurente);
parteneri fără scrupule;
entitati externe (persoane fizice).
Un intrus extern are următoarele capacități:
efectuează acces neautorizat la canalele de comunicare în afara sediului;
exercita acces neautorizat prin stații de lucru automate conectate la rețele publice de comunicații și (sau) rețele internaționale de schimb de informații;
să efectueze acces neautorizat la informații folosind influențe software speciale prin viruși software, malware, algoritmi sau marcaje software;
Să exercite acces neautorizat prin elemente ale infrastructurii informaționale ISPD, care pe parcursul ciclului lor de viață (modernizare, întreținere, reparare, eliminare) ajung în afara zonei controlate;
exercită acces neautorizat prin sistemele informaționale ale departamentelor, organizațiilor și instituțiilor care interacționează atunci când acestea sunt conectate la ISPD.
Capacitățile unui contravenient intern depind în mod semnificativ de măsurile de securitate, organizatorice și tehnice de protecție în vigoare în zona controlată, inclusiv accesul persoanelor la datele personale și controlul procedurii de desfășurare a muncii.
Infractorii interni potențiali sunt împărțiți în opt categorii, în funcție de metoda de acces și autoritatea de acces la datele personale.
Prima categorie include persoanele care au acces autorizat la ISPD, dar nu au acces la PD. Acest tip de contravenient include oficialii care asigură funcționarea normală a ISPD.
au acces la fragmente de informații care conțin date cu caracter personal și sunt distribuite prin canalele de comunicare interne ale ISPD;
Deține informații despre topologia ISPD (partea de comunicare a subrețelei) și despre protocoalele de comunicație utilizate și serviciile acestora;
Să aibă nume și să identifice parolele utilizatorilor înregistrați;
modificați configurația mijloacelor tehnice ISPD, adăugați-i marcaje hardware și software și asigurați-vă că informațiile sunt preluate folosind o conexiune directă la mijloacele tehnice ISPD.
are toate capacitățile persoanelor din prima categorie;
Cunoaște cel puțin un nume de acces legal;
Are toate atributele necesare (de exemplu, o parolă) care oferă acces la un anumit subset de date personale;
are date confidențiale la care are acces.
Accesul, autentificarea și drepturile sale de acces la un anumit subset de date cu caracter personal trebuie reglementate de regulile adecvate de control al accesului.
are toate capacitățile persoanelor din prima și a doua categorie;
Are informații despre topologia ISPD bazată pe sistemul informațional local și (sau) distribuit prin care se asigură accesul și despre componența mijloacelor tehnice ale ISPD;
are capacitatea de a direcționa accesul (fizic) la fragmente de mijloace tehnice ISPD.
Posedă informatii complete despre sistemul și aplicația software utilizată în segmentul ISPD (fragment);
Are informații complete despre mijloacele tehnice și configurația segmentului ISPD (fragment);
are acces la instrumente de securitate și înregistrare a informațiilor, precum și elemente individuale, folosit într-un segment (fragment) al ISPDn;
are acces la toate mijloacele tehnice ale segmentului (fragmentului) ISPD;
are dreptul de a configura și configura administrativ un anumit subset de mijloace tehnice ale unui segment (fragment) al unui ISPD.
Are toate capacitățile persoanelor din categoriile anterioare;
are informații complete despre sistemul și software-ul de aplicație al ISPD;
are informații complete despre mijloacele tehnice și configurația ISPD;
are acces la toate mijloacele tehnice de prelucrare a informațiilor și la datele ISPD;
are dreptul de a configura și configura administrativ mijloacele tehnice ISPD.
Administratorul de sistem configurează și gestionează software-ul și echipamentele, inclusiv echipamentele responsabile cu securitatea obiectului protejat: instrumente protecţie criptografică informare, monitorizare, înregistrare, arhivare, protecție împotriva accesului neautorizat.
are toate capacitățile persoanelor din categoriile anterioare;
are informații complete despre ISPD;
are acces la instrumente de securitate și înregistrare a informațiilor și la unele dintre elementele cheie ale ISPD;
Nu are drepturi de acces pentru configurarea echipamentelor tehnice de rețea, cu excepția celor de control (inspecție).
Administratorul de securitate este responsabil pentru respectarea regulilor de control al accesului, generarea elementelor cheie și schimbarea parolelor. Administratorul de securitate auditează aceleași controale de securitate a obiectelor ca și administratorul de sistem.
are informații despre algoritmi și programe de prelucrare a informațiilor pe ISPD;
Are capacitatea de a introduce erori, capabilități nedeclarate, marcaje software, malware în software-ul ISPD în stadiul dezvoltării, implementării și întreținerii acestuia;
poate avea orice informații despre topologia ISPD și mijloacele tehnice de procesare și protejare a PD procesate în ISPD.
are capacitatea de a adăuga marcaje la instrumentele tehnice ISPD în stadiul dezvoltării, implementării și întreținerii acestora;
Poate avea orice informații despre topologia ISPD și mijloacele tehnice de procesare și protecție a informațiilor din ISPD.
Purtătorul de malware poate fi un element hardware al computerului sau un container software. Dacă programul rău intenționat nu este asociat cu niciun program de aplicație, atunci următoarele sunt considerate ca purtător:
Mediu alienabil, adică dischetă, disc optic(CD-R, CD-RW), memorie flash, hard disk alienabil etc.;
Suporturi de stocare încorporate (hard disk-uri, cipuri RAM, procesor, microcircuite placa de baza, microcircuite ale dispozitivelor încorporate în unitatea de sistem - adaptor video, placă de rețea, placă de sunet, modem, dispozitive de intrare/ieșire dur magneticși discuri optice, surse de alimentare etc., cipuri de acces direct la memorie, magistrale de date, porturi de intrare/ieșire);
microcircuite dispozitive externe(monitor, tastatură, imprimantă, modem, scaner etc.).
Dacă un program rău intenționat este asociat cu orice program de aplicație, cu fișiere cu anumite extensii sau alte atribute, cu mesaje transmise prin rețea, atunci purtătorii acestuia sunt:
Pachete de mesaje transmise printr-o rețea de calculatoare;
fișiere (text, grafic, executabil etc.).
5.2. Caracteristici generale ale vulnerabilităților sistemului de informații cu date personaleVulnerabilitatea unui sistem de informații cu date personale este o deficiență sau o slăbiciune a sistemului sau a aplicației software (hardware și software) a unui sistem informatic automatizat care poate fi utilizat pentru a implementa o amenințare la adresa securității datelor personale.
Cauzele vulnerabilităților sunt:
erori în proiectarea și dezvoltarea de software (hardware și software);
acțiuni deliberate pentru a introduce vulnerabilități în timpul proiectării și dezvoltării de software (hardware și software);
setări software incorecte, modificări ilegale ale modurilor de operare ale dispozitivelor și programelor;
Implementarea și utilizarea neautorizată a programelor nereprezentate cu consum nerezonabil de resurse (încărcarea procesorului, confiscarea memoriei RAM și a memoriei pe medii externe);
introducerea de malware care creează vulnerabilități în software și hardware;
acțiuni neautorizate neintenționate ale utilizatorilor care conduc la vulnerabilități;
defecțiuni în funcționarea hardware-ului și a software-ului (cauzate de întreruperi de curent, defecțiuni ale elementelor hardware ca urmare a îmbătrânirii și scăderii fiabilității, influente externe câmpuri electromagnetice dispozitive tehnice si etc.).
Clasificarea principalelor vulnerabilități ISDN este prezentată în Figura 4.
Figura 4. Clasificarea vulnerabilităților software
Mai jos este o descriere generală a principalelor grupuri de vulnerabilități ISDN, inclusiv:
vulnerabilități ale software-ului de sistem (inclusiv protocoale de comunicare în rețea);
vulnerabilități ale aplicațiilor software (inclusiv instrumente de securitate a informațiilor).
5.2.1. Caracteristicile generale ale vulnerabilităților software de sistemVulnerabilitățile software-ului de sistem trebuie luate în considerare în raport cu arhitectura sistemelor de calcul.
Există posibile vulnerabilități:
în microprograme, în ROM, firmware PROM;
în instrumentele sistemului de operare destinate gestionării resurselor ISPD locale (furnizarea de funcții de gestionare a proceselor, memorie, dispozitive de intrare/ieșire, interfață utilizator etc.), drivere, utilități;
În instrumentele sistemului de operare concepute pentru a îndeplini funcții auxiliare - utilitare (arhivare, defragmentare etc.), programe de procesare a sistemului (compilatoare, linkere, depanare etc.), programe pentru furnizarea utilizatorului servicii aditionale(opțiuni speciale de interfață, calculatoare, jocuri etc.), biblioteci de proceduri pentru diverse scopuri (biblioteci de funcții matematice, funcții de intrare/ieșire etc.);
în mijloacele de interacțiune de comunicare ( media de rețea) sistem de operare.
Vulnerabilitățile în firmware-ul și instrumentele sistemului de operare concepute pentru a gestiona resursele locale și funcțiile auxiliare pot include:
Funcții, proceduri, modificarea parametrilor cărora într-un anumit mod le permite să fie utilizate pentru acces neautorizat fără ca sistemul de operare să detecteze astfel de modificări;
fragmente de cod de program („găuri”, „capcane”) introduse de dezvoltator, permițând ocolirea procedurilor de identificare, autentificare, verificare a integrității etc.;
Erori în programe (în declararea variabilelor, funcțiilor și procedurilor, în codurile programelor), care în anumite condiții (de exemplu, la efectuarea tranzițiilor logice) duc la defecțiuni, inclusiv defecțiuni în funcționarea instrumentelor și sistemelor de securitate a informațiilor.
Vulnerabilitățile protocoalelor de comunicare în rețea sunt asociate cu particularitățile acestora implementare softwareși sunt cauzate de limitări ale dimensiunii bufferului utilizat, deficiențe în procedura de autentificare, lipsa verificărilor pentru corectitudinea informațiilor de serviciu etc. O scurtă descriere a acestor vulnerabilități în raport cu protocoalele este dată în Tabelul 2.
masa 2
Vulnerabilitățile protocoalelor individuale ale stivei de protocoale TCP/IP, pe baza cărora funcționează rețelele publice globale
| Nume protocol | Stratul de stivă de protocol | Numele (caracteristică) vulnerabilității | Conținutul unei încălcări a securității informațiilor |
| FTP (File Transfer Protocol) - protocol pentru transferul de fișiere într-o rețea | 1. Autentificare în text simplu (parolele sunt trimise necriptate) 2. Acces implicit 3. Având două porturi deschise | Posibilitatea de interceptare a datelor cont(nume de utilizator înregistrate, parole). Obținerea accesului de la distanță la gazde | |
| telnet - protocol de control terminal la distanță | Aplicație, reprezentant, sesiune | Autentificare în text simplu (parolele sunt trimise necriptate) | Abilitatea de a intercepta datele contului utilizatorului. Obținerea accesului de la distanță la gazde |
| UDP - protocol de transfer de date fără conexiune | Transport | Niciun mecanism pentru a preveni supraîncărcarea tamponului | Posibilitatea implementării UDP storm. Ca urmare a schimbului de pachete, există o scădere semnificativă a performanței serverului |
| ARP - Protocolul adresei IP la adresa fizică | Reţea | Autentificare în text simplu (informațiile sunt trimise necriptate) | Posibilitatea de interceptare a traficului utilizatorului de către un atacator |
| RIP - Protocolul de informații de rutare | Transport | Lipsa autentificării mesajelor de control al schimbării rutei | Abilitatea de a redirecționa traficul prin gazda atacatorului |
| TCP - Protocolul de control al transmisiei | Transport | Lipsa unui mecanism pentru verificarea umplerii corecte a antetelor serviciului de pachete | Reducere semnificativă a vitezei de schimb și chiar întreruperea completă a conexiunilor arbitrare prin Protocolul TCP |
| DNS - protocol pentru stabilirea corespondenței între numele mnemonice și adresele de rețea | Aplicație, reprezentant, sesiune | Lipsa mijloacelor de verificare a autentificării datelor primite de la sursă | Modificarea răspunsului serverului DNS |
| IGMP - Routing Message Protocol | Reţea | Lipsa autentificării mesajelor despre modificarea parametrilor rutei | Sistemele Win 9x/NT/200 se blochează |
| SMTP - protocol pentru furnizarea serviciului de livrare a mesajelor de e-mail | Aplicație, reprezentant, sesiune | Posibilitatea de falsificare a mesajelor de e-mail, precum și a adresei expeditorului mesajului | |
| SNMP - protocol pentru gestionarea routerelor în rețele | Aplicație, reprezentant, sesiune | Nu există suport pentru autentificarea antetului mesajului | Posibilitatea supraîncărcării lățimii de bandă a rețelei |
Pentru a sistematiza descrierea multor vulnerabilități, este utilizată o singură bază de date cu vulnerabilități CVE (Common Vulnerabilities and Exposures), la dezvoltarea căreia au participat specialiști din multe companii și organizații cunoscute, precum MItrE, ISS, Cisco, BindView, Axent, NFR, L-3, CyberSafe, CERT, Universitatea Carnegie Mellon, Institutul SANS etc. Această bază de date este actualizată constant și este folosită pentru a crea baze de date cu numeroase instrumente software de analiză a securității și, mai ales, scanere de rețea.
5.2.2. Caracteristici generale ale vulnerabilităților aplicațiilor softwareAplicațiile software includ programe de aplicații de uz general și programe de aplicații speciale.
Programe de aplicație de uz general - text și editor grafic, programe media (playere audio și video, software pentru recepția programelor de televiziune etc.), sisteme de gestionare a bazelor de date, platforme software publice pentru dezvoltare produse software(cum ar fi Delphi, Visual Basic), mijloace de protejare a informațiilor publice etc.
Programele speciale de aplicații sunt programe care sunt dezvoltate în interesul rezolvării problemelor specifice aplicației într-un anumit ISPD (inclusiv software de securitate a informațiilor dezvoltat pentru un anumit ISPD).
Vulnerabilitatea software-ului de aplicație poate include:
funcții și proceduri care aparțin unor programe de aplicație diferite și sunt incompatibile între ele (nu funcționează în același mediu de operare) din cauza conflictelor legate de distribuția resurselor sistemului;
Funcții, proceduri, modificarea parametrilor cărora într-un anumit fel le permite să fie utilizate pentru a pătrunde în mediul de operare al ISPD și apelează funcții standard ale sistemului de operare, efectuând acces neautorizat fără detectarea unor astfel de modificări de către sistemul de operare;
fragmente de cod de program („găuri”, „capcane”) introduse de dezvoltator, permițându-vă să ocoliți procedurile de identificare, autentificare, verificare a integrității etc. prevăzute în sistemul de operare;
lipsa măsurilor de securitate necesare (autentificarea, verificarea integrității, verificarea formatelor mesajelor, blocarea funcțiilor modificate neautorizate etc.);
Erori în programe (în declararea variabilelor, funcțiilor și procedurilor, în codurile programelor), care în anumite condiții (de exemplu, la efectuarea tranzițiilor logice) duc la eșecuri, inclusiv defecțiuni în funcționarea instrumentelor și sistemelor de securitate a informațiilor, precum și posibilitatea de acces neautorizat la informații.
Datele privind vulnerabilitățile aplicațiilor software dezvoltate și distribuite pe bază comercială sunt colectate, compilate și analizate în baza de date CVE<*>.
<*>Realizat de compania străină CERT pe bază comercială.
5.3. Caracteristici generale ale amenințărilor de acces direct la mediul de operare al unui sistem de informații cu date personaleAmenințările de acces (pătrundere) în mediul de operare al computerului și accesul neautorizat la datele personale sunt asociate cu accesul la:
la informații și comenzi stocate în sistemul de bază de intrare/ieșire (BIOS) al ISPD, cu capacitatea de a intercepta controlul încărcării sistemului de operare și de a obține drepturi de utilizator de încredere;
în mediul de operare, adică în mediul de operare al sistemului de operare local al unui instrument tehnic separat ISPD cu capacitatea de a efectua acces neautorizat prin apelarea programelor standard ale sistemului de operare sau lansarea de programe special concepute care implementează astfel de acțiuni;
în mediul de operare al programelor de aplicație (de exemplu, spre sistem local managementul bazei de date);
direct la informațiile utilizatorului (fișiere, text, audio și informatii grafice, câmpurile și înregistrările din bazele de date electronice) și sunt cauzate de posibilitatea încălcării confidențialității, integrității și disponibilității acestuia.
Aceste amenințări pot fi realizate dacă se obține acces fizic la ISPD sau cel puțin la mijloacele de introducere a informațiilor în ISPD. Ele pot fi combinate în funcție de condițiile de implementare în trei grupuri.
Primul grup include amenințările care sunt implementate în timpul încărcării sistemului de operare. Aceste amenințări la securitatea informațiilor vizează interceptarea parolelor sau identificatorilor, modificarea software-ului sistem de bază intrare/ieșire (BIOS), interceptarea controlului de pornire cu modificarea informațiilor tehnologice necesare pentru a primi NSD-ul în mediul de operare ISPDn. Cel mai adesea, astfel de amenințări sunt implementate folosind medii înstrăinate.
Al doilea grup este format din amenințări care sunt implementate după încărcarea mediului de operare, indiferent de programul de aplicație lansat de utilizator. Aceste amenințări vizează, de obicei, accesul direct neautorizat la informații. La obținerea accesului la mediul de operare, intrusul poate folosi atât funcțiile standard ale sistemului de operare sau orice program de aplicație publică (de exemplu, un sistem de gestionare a bazelor de date), cât și programe special create pentru a efectua acces neautorizat, de exemplu:
programe pentru vizualizarea și modificarea registrului;
Programe de căutare text în fișiere text De Cuvinte cheieși copiere;
programe speciale pentru vizualizarea și copierea înregistrărilor în baze de date;
programe de vizualizare rapidă fisiere grafice, editarea sau copierea acestora;
programe pentru a sprijini capacitatea de reconfigurare a mediului software (setări ISPD în interesul infractorului), etc.
În cele din urmă, al treilea grup include amenințările, a căror implementare este determinată de care dintre programele de aplicație este lansată de utilizator, sau de faptul lansării oricăruia dintre programele aplicației. Cele mai multe dintre aceste amenințări sunt amenințări malware.
5.4. Caracteristici generale ale amenințărilor la adresa securității datelor cu caracter personal implementate folosind protocoale de internetworkingDacă un ISPD este implementat pe baza unui sistem informațional local sau distribuit, atunci amenințările la adresa securității informațiilor pot fi implementate în el prin utilizarea protocoalelor de interconectare. În acest caz, poate fi furnizată DNS către PD sau poate fi realizată amenințarea cu refuzul serviciului. Amenințările sunt deosebit de periculoase atunci când ISPD este un sistem de informații distribuit conectat la rețele publice și (sau) rețele internaționale de schimb de informații. Schema de clasificare a amenințărilor implementate în rețea este prezentată în Figura 5. Se bazează pe următoarele șapte criterii primare de clasificare.
1. Natura amenințării. Conform acestui criteriu, amenințările pot fi pasive sau active. O amenințare pasivă este o amenințare, a cărei implementare nu afectează direct funcționarea sistemului informațional, dar poate încălca regulile stabilite pentru restricționarea accesului la datele personale sau la resursele rețelei. Un exemplu de astfel de amenințări este amenințarea „Network Traffic Analysis”, care vizează ascultarea canalelor de comunicare și interceptarea informațiilor transmise.
O amenințare activă este o amenințare asociată cu un impact asupra resurselor PDIS, a cărei implementare are un impact direct asupra funcționării sistemului (modificări de configurare, întrerupere etc.) și cu o încălcare a regulilor stabilite pentru restricționarea accesului la PD sau resurse de rețea. Un exemplu de astfel de amenințări este o amenințare Denial of Service implementată ca o „furtună de solicitări TCP”.
2. Scopul implementării amenințării. Conform acestui criteriu, amenințările pot avea ca scop încălcarea confidențialității, integrității și disponibilității informațiilor (inclusiv perturbarea funcționalității ISPD sau a elementelor acestuia).
3. Condiție pentru începerea procesului de implementare a amenințării. Pe baza acestei caracteristici, se poate realiza o amenințare:
la cererea obiectului împotriva căruia se pune în aplicare ameninţarea. În acest caz, intrusul se așteaptă la transmiterea unei cereri de un anumit tip, care va fi condiția pentru inițierea accesului neautorizat;
Figura 5. Schema de clasificare a amenințărilor folosind protocoale de internetworking
La apariția unui eveniment așteptat la unitatea în legătură cu care amenințarea este implementată. În acest caz, intrusul monitorizează constant starea sistemului de operare ISPD și, atunci când are loc un anumit eveniment în acest sistem, începe accesul neautorizat;
impact neconditionat. În acest caz, începutul accesului neautorizat este necondiționat în raport cu scopul accesului, adică amenințarea se realizează imediat și indiferent de starea sistemului.
4. Disponibilitate părere cu ISPDn. Conform acestei caracteristici, procesul de implementare a unei amenințări poate fi cu sau fără feedback. Amenințarea, realizată în prezența feedback-ului din partea ISPD, se caracterizează prin faptul că infractorul trebuie să primească un răspuns la unele solicitări transmise ISPD. În consecință, există un feedback între contravenient și ISPD, care permite contravenientului să răspundă în mod adecvat la toate schimbările care apar în ISPD. Spre deosebire de amenințările implementate în prezența feedback-ului din partea ISPD, atunci când amenințările sunt implementate fără feedback, nu este nevoie să răspundem la orice modificări care apar în ISPD.
5. Locația infractorului în raport cu ISPD. În conformitate cu această caracteristică, amenințarea este implementată atât intrasegmentar, cât și intersegmentar. Un segment de rețea este o asociere fizică de gazde (hardware ISPD sau elemente de comunicare cu o adresă de rețea). De exemplu, un segment ISPD formează o colecție de gazde conectate la server folosind o schemă „autobuz comună”. În cazul în care există o amenințare intra-segment, intrusul are acces fizic la elementele hardware ale ISPD. Dacă există o amenințare intersegmentară, atunci intrusul este situat în afara ISPD, implementând amenințarea dintr-o altă rețea sau dintr-un alt segment al ISPD.
6. Nivelul modelului de referință de interacțiune sisteme deschise <*>(ISO/OSI) pe care este implementată amenințarea. Conform acestei caracteristici, amenințarea poate fi implementată la niveluri fizice, de canal, de rețea, de transport, de sesiune, de prezentare și de aplicație ale modelului ISO/OSI.
<*>Organizația Internațională pentru Standardizare (ISO) a adoptat standardul ISO 7498, care descrie interconectarea sistemelor deschise (OSI).
7. Raportul dintre numărul de contravenienți și elementele ISPD împotriva cărora se realizează amenințarea. Pe baza acestui criteriu, amenințarea poate fi clasificată ca o amenințare implementată de un contravenient împotriva unui mijloc tehnic de sisteme informatice (o amenințare „unu-la-unu”), împotriva mai multor mijloace tehnice ale sistemelor informaționale simultan (un „unul-la-unu”). to-many” amenințare), sau de către mai mulți contravenienți cu diferite calculatoare privind unul sau mai multe mijloace tehnice ale ISPD (amenințări distribuite sau combinate).
Luând în considerare clasificarea efectuată, putem identifica cele șapte amenințări cel mai frecvent implementate în prezent.
1. Analiza traficului în rețea (Figura 6).
Figura 6. Schema de implementare a amenințării „Analiza traficului în rețea”.
Această amenințare este implementată folosind un program special de analiză de pachete (sniffer), care interceptează toate pachetele transmise printr-un segment de rețea și identifică printre acestea pe cele care conțin un ID de utilizator și o parolă. În timpul implementării amenințării, intrusul studiază logica rețelei - adică se străduiește să obțină o corespondență unu-la-unu între evenimentele care au loc în sistem și comenzile trimise de gazde în momentul în care apar aceste evenimente. . În viitor, acest lucru permite unui atacator, pe baza setării comenzilor corespunzătoare, să obțină, de exemplu, drepturi privilegiate de a acționa în sistem sau de a-și extinde puterile în acesta, să intercepteze fluxul de date transmise schimbate între componentele unui sistem de operare în rețea. , pentru a extrage informații confidențiale sau de identificare (de exemplu, parole statice utilizatorilor pentru a accesa gazdele de la distanță prin Protocoale FTPși TELNET, care nu oferă criptare), înlocuirea, modificarea acestuia etc.
2. Scanare în rețea.
Esența procesului de implementare a amenințărilor este transmiterea cererilor către serviciile de rețea ale gazdelor ISDN și analizarea răspunsurilor de la acestea. Scopul este de a identifica protocoalele utilizate, porturile disponibile ale serviciilor de rețea, legile pentru formarea identificatorilor de conexiune, determinarea serviciilor de rețea active, selectarea identificatorilor de utilizator și a parolelor.
3. Amenințarea dezvăluirii parolei.
Scopul amenințării este de a obține date de acces neautorizat prin depășirea protecției prin parolă. Un atacator poate implementa o amenințare folosind o serie de metode, cum ar fi forța brută simplă, forța brută folosind dicționare speciale, instalarea de software rău intenționat pentru a intercepta parolele, falsificarea unui obiect de rețea de încredere (IP spoofing) și sniffing de pachete. Practic, pentru a implementa amenințarea, se folosesc programe speciale care încearcă să obțină acces la gazdă prin ghicirea secvențială a parolelor. Dacă are succes, atacatorul poate crea o „permisă” pentru accesul viitor, care va rămâne valabilă chiar dacă parola de acces este schimbată pe gazdă.
4. Înlocuirea unui obiect de rețea de încredere și transmiterea mesajelor prin canale de comunicație în numele acestuia cu atribuirea drepturilor sale de acces (Figura 7).
Figura 7. Schema de implementare a amenințării „Înlocuirea unui obiect de rețea de încredere”
Această amenințare este implementată eficient în sistemele care utilizează algoritmi slabi pentru identificarea și autentificarea gazdelor, utilizatorilor etc. Un obiect de încredere este un obiect de rețea (computer, firewall, router etc.) conectat legal la server.
Se pot distinge două tipuri de proces de implementare a acestei amenințări: cu și fără stabilirea unei conexiuni virtuale.
Procesul de implementare cu stabilirea unei conexiuni virtuale constă în atribuirea drepturilor unui subiect de încredere de interacțiune, ceea ce permite unui intrus să conducă o sesiune cu un obiect de rețea în numele unui subiect de încredere. Realizarea amenințării de acest tip necesită depășirea sistemului de identificare și autentificare a mesajelor (de exemplu, un atac asupra serviciului rsh al unei gazde UNIX).
Procesul de implementare a unei amenințări fără a stabili o conexiune virtuală poate avea loc în rețele care identifică mesajele transmise numai după adresa de rețea a expeditorului. Esența este transmiterea mesajelor de serviciu în numele dispozitivelor de control al rețelei (de exemplu, în numele routerelor) despre modificările datelor de adrese de rutare. Trebuie avut în vedere faptul că singurii identificatori ai abonaților și conexiunilor (prin TCP) sunt doi parametri de 32 de biți Initial Sequence Number - ISS (număr de secvență) și Acknowledgement Number - ACK (număr de confirmare). Prin urmare, pentru a genera un pachet TCP fals, atacatorul trebuie să cunoască identificatorii actuali pentru această conexiune - ISSa și ISSb, unde:
ISSa este o anumită valoare numerică care caracterizează numărul de secvență al pachetului TCP trimis, conexiunea TCP stabilită inițiată de gazda A;
ISSb este o anumită valoare numerică care caracterizează numărul de secvență al pachetului TCP trimis, conexiunea TCP stabilită inițiată de gazda B.
Valoarea ACK (Numărul de confirmare a conexiunii TCP) este definită ca valoarea numărului primit de la ISS (Numărul de secvență) care răspunde plus unitatea ACKb = ISSa + 1.
Ca urmare a implementării amenințării, intrusul primește drepturile de acces stabilite de utilizatorul său pentru abonatul de încredere la instrumentul tehnic ISPD - ținta amenințărilor.
5. Impunerea unei rute de rețea false.
Această amenințare este realizată într-unul din două moduri: prin impunere intra-segment sau inter-segment. Posibilitatea de a impune o rută falsă se datorează deficiențelor inerente algoritmilor de rutare (în special, din cauza problemei identificării dispozitivelor de control al rețelei), în urma cărora puteți ajunge, de exemplu, la gazda sau rețeaua unui atacator, unde puteți intra în mediul de operare al unui dispozitiv tehnic ca parte a unui ISPD . Amenințarea se bazează pe utilizarea neautorizată a protocoalelor de rutare (RIP, OSPF, LSP) și a protocoalelor de gestionare a rețelei (ICMP, SNMP) pentru a face modificări în tabelele de adrese de rută. În acest caz, atacatorul trebuie să trimită un mesaj de control în numele dispozitivului de control al rețelei (de exemplu, un router) (Figurile 8 și 9).
Figura 8. Schema de implementare a atacului „impunere rută falsă” (intra-segment) folosind protocolul ICMP pentru a întrerupe comunicarea
Figura 9. Schema de implementare a amenințării „Impunerea unui traseu fals” (intersegment) în scopul interceptării traficului
6. Injectarea unui obiect de rețea fals.
Această amenințare se bazează pe exploatarea defectelor în algoritmii de căutare la distanță. Dacă obiectele de rețea nu au inițial informații despre adresă unul despre celălalt, se folosesc diverse protocoale de căutare la distanță (de exemplu, SAP în rețelele Novell NetWare; ARP, DNS, WINS în rețelele cu o stivă de protocoale TCP/IP), care constă în transmiterea specială. solicitări și primirea de răspunsuri la acestea cu informațiile solicitate. În acest caz, există posibilitatea de interceptare de către un intrus interogare de căutareși emiterea unui răspuns fals la acesta, a cărui utilizare va duce la modificarea necesară a datelor de rutare și adrese. În viitor, întregul flux de informații asociat obiectului victimă va trece prin obiectul de rețea fals (Figurile 10 - 13).
Figura 10. Schema de implementare a amenințării „False ARP server injection”.
Figura 11. Schema de implementare a amenințării „Injectarea unui server DNS fals” prin interceptarea unei cereri DNS
Figura 12. Schema de implementare a amenințării „injectarea unui server DNS fals” prin asaltarea răspunsurilor DNS la un computer din rețea
Figura 13. Schema de implementare a amenințării „Injectarea unui server DNS fals” prin asaltarea răspunsurilor DNS către serverul DNS
7. Refuzarea serviciului.
Aceste amenințări se bazează pe defecte ale software-ului de rețea, vulnerabilitățile sale care permit unui atacator să creeze condiții atunci când sistemul de operare nu poate procesa pachetele primite.
Se pot distinge mai multe tipuri de astfel de amenințări:
a) refuzarea ascunsă a serviciului cauzată de utilizarea unei părți a resurselor ISDN pentru procesarea pachetelor transmise de atacator, reducerea capacității canalelor de comunicație, a performanței dispozitivelor din rețea și încălcarea cerințelor privind timpul de procesare a cererilor. Exemple de implementare a amenințărilor de acest fel includ: o furtună direcționată de solicitări ecou prin protocolul ICMP (Ping flooding), o furtună de solicitări de stabilire a conexiunilor TCP (SYN-flooding), o furtună de solicitări către serverul FTP;
b) o refuzare evidentă a serviciului cauzată de epuizarea resurselor ISDN la procesarea pachetelor transmise de către un atacator (ocupând întreaga lățime de bandă a canalelor de comunicație, depășirea cozilor de solicitări de servicii), în care cererile legitime nu pot fi transmise prin rețea din cauza inaccesibilitatea mediului de transmisie sau sunt primite refuzul serviciului din cauza depășirii cozilor de solicitare, spațiu pe disc etc. Exemple de amenințări de acest tip includ o furtună de solicitări de ecou ICMP difuzate (Smurf), o furtună direcționată (inundare SYN), o furtună de mesaje server de mail(Spam);
c) o refuz evident de serviciu cauzată de o încălcare a conectivității logice între mijloacele tehnice ISDN atunci când infractorul transmite mesaje de control în numele dispozitivelor din rețea, ceea ce duce la modificări ale datelor de rutare și adrese (de exemplu, gazdă de redirecționare ICMP, inundare DNS) sau informații de identificare și autentificare;
D) o refuzare evidentă a serviciului cauzată de un atacator care transmite pachete cu atribute nestandard (amenințări precum „Land”, „TearDrop”, „Bonk”, „Nuke”, „UDP-bomb”) sau având o lungime care depășește limita maximă. dimensiunea admisă (amenințare precum „Ping Death”), care poate duce la defecțiunea dispozitivelor de rețea implicate în procesarea cererilor, cu condiția să existe erori în programele care implementează protocoale de comunicare în rețea.
Rezultatul implementării acestei amenințări poate fi o întrerupere a funcționalității serviciului corespunzător de furnizare a accesului de la distanță la datele cu caracter personal din ISPD, transmiterea de la o adresă a unui astfel de număr de solicitări de conectare la o facilitate tehnică ca parte a ISPD pe care îl poate „acomoda” traficul maxim („furtună de solicitări” direcționată), care implică o depășire a cozii de solicitare și defectarea unuia dintre serviciile de rețea sau oprirea completă a computerului din cauza incapacității sistemului de a face orice altceva decât procesează cererile.
8. Lansarea aplicației de la distanță.
Amenințarea constă în dorința de a lansa pe gazda ISPD diverse programe dăunătoare pre-injectate: programe de marcare, viruși, „spioni de rețea”, al căror scop principal este de a încălca confidențialitatea, integritatea, disponibilitatea informațiilor și controlul complet asupra funcţionarea gazdei. În plus, lansarea neautorizată a programelor de aplicație utilizator este posibilă pentru a obține date neautorizate necesare intrusului, pentru a lansa procese controlate de programul de aplicație etc.
Există trei subclase ale acestor amenințări:
1) distribuirea fișierelor care conțin cod executabil neautorizat;
2) lansarea de la distanță a aplicației prin depășirea buffer-ului serverului de aplicații;
3) lansarea de la distanță a aplicației prin utilizarea capacităților de control de la distanță ale sistemului oferite de marcajele software și hardware ascunse sau instrumentele standard utilizate.
Amenințările tipice ale primei dintre aceste subclase se bazează pe activarea fișierelor distribuite atunci când acestea sunt accesate accidental. Exemple de astfel de fișiere includ: fișiere care conțin cod executabil sub formă de macrocomenzi ( documente Microsoft Word, Excel etc.); documente html care conțin cod executabil sub formă de elemente ActiveX, applet-uri Java, scripturi interpretate (de exemplu, texte JavaScript); fișiere care conțin coduri de program executabile. Serviciile de e-mail, transfer de fișiere și sisteme de fișiere în rețea pot fi utilizate pentru a distribui fișiere.
Amenințările celei de-a doua subclase profită de deficiențele programelor care implementează servicii de rețea (în special, lipsa controlului depășirii tamponului). Prin ajustarea registrelor de sistem, este uneori posibilă comutarea procesorului după o întrerupere cauzată de o depășire a tamponului pentru a executa codul conținut în afara limitei tamponului. Un exemplu de implementare a unei astfel de amenințări este introducerea binecunoscutului „virus Morris”.
Cu amenințările din a treia subclasă, intrusul folosește capacitățile de control de la distanță ale sistemului oferite de componente ascunse (de exemplu, programe troiene precum Back Orifice, Net Bus) sau instrumente standard de gestionare și administrare a rețelei de computere (Landesk Management Suite, Managewise, Back). Orificiu etc.). Ca urmare a utilizării lor, este posibil să se realizeze controlul de la distanță asupra unei stații din rețea.
Schematic, principalele etape ale activității acestor programe sunt următoarele:
instalare în memorie;
așteptarea unei cereri de la o gazdă la distanță pe care rulează programul client și schimbul de mesaje de pregătire cu acesta;
Transferarea informațiilor interceptate către client sau acordarea acestuia de control asupra computerului atacat.
Consecințele posibile ale implementării amenințărilor de diferite clase sunt prezentate în Tabelul 3.
Tabelul 3
Consecințele posibile ale implementării amenințărilor de diferite clase
| N p/p | Tip de atac | Consecințele posibile | |
| 1 | Analiza traficului în rețea | Cercetarea caracteristicilor traficului de rețea, interceptarea datelor transmise, inclusiv ID-uri de utilizator și parole | |
| 2 | Scanare în rețea | Determinarea protocoalelor, porturile disponibile ale serviciilor de rețea, legi pentru formarea identificatorilor de conexiune, servicii de rețea active, ID-uri de utilizator și parole | |
| 3 | Atacul „parolă”. | Efectuarea oricărei acțiuni distructive legate de obținerea accesului neautorizat | |
| 4 | Înlocuirea unui obiect de rețea de încredere | Modificarea rutei mesajelor, modificarea neautorizată a datelor de rutare și adrese. Acces neautorizat la resursele rețelei, impunerea de informații false | |
| 5 | Impunerea unui traseu fals | Schimbarea neautorizată a datelor de rutare și adrese, analiza și modificarea datelor transmise, impunerea de mesaje false | |
| 6 | Injecție de obiecte de rețea false | Interceptarea și vizualizarea traficului. Acces neautorizat la resursele rețelei, impunerea de informații false | |
| 7 | Refuzarea serviciului | Epuizarea parțială a resurselor | Capacitate redusă a canalului de comunicație și performanță a dispozitivului de rețea. Scăderea performanței aplicațiilor server |
| Epuizarea totală a resurselor | Incapacitatea de a transmite mesaje din cauza lipsei de acces la mediul de transmisie, refuzul de a stabili o conexiune. Refuzul de a furniza serviciul (e-mail, dosar etc.) | ||
| Încălcarea conectivității logice între atribute, date, obiecte | Imposibilitatea transmiterii mesajelor din cauza lipsei datelor corecte de rutare și adrese. Imposibilitatea de a primi servicii din cauza modificării neautorizate a identificatorilor, parolelor etc. | ||
| Utilizarea erorilor în programe | Funcționare defectuoasă a dispozitivelor de rețea | ||
| 8 | Lansarea aplicației de la distanță | Prin trimiterea de fișiere care conțin cod executabil distructiv, infecție cu virus | Încălcarea confidențialității, integrității, disponibilității informațiilor |
| Prin depășirea buffer-ului aplicației server | |||
| Prin utilizarea capabilităților de control ale sistemului de la distanță oferite de marcajele software și hardware ascunse sau instrumentele standard utilizate | Control ascuns al sistemului | ||
Procesul de implementare a amenințărilor constă în general din patru etape:
colectarea de informații;
intruziuni (pătrundere în mediul de operare);
implementarea accesului neautorizat;
eliminarea urmelor de acces neautorizat.
În etapa de colectare a informațiilor, infractorul poate fi interesat de diverse informații despre ISPD, inclusiv:
a) despre topologia rețelei în care funcționează sistemul. În acest caz, zona din jurul rețelei poate fi examinată (de exemplu, atacatorul poate fi interesat de adresele gazdelor de încredere, dar mai puțin sigure). Comenzile simple pot fi folosite pentru a determina disponibilitatea gazdei (de exemplu, comanda ping pentru a trimite cereri ICMP ECHO_REQUEST și pentru a aștepta răspunsuri ICMP ECHO_REPLY la acestea). Există utilități paralele de disponibilitate a gazdei (cum ar fi fping) care pot scana o zonă mare a spațiului de adrese pentru disponibilitatea gazdei într-o perioadă scurtă de timp. Topologia rețelei este adesea determinată pe baza „numărului de noduri” (distanța dintre gazde). Pot fi utilizate tehnici precum „modulațiile ttL” și înregistrările rutelor.
Metoda „modulării ttL” este implementată de programul traceroute (pentru Windows NT - tracert.exe) și constă în modularea câmpului ttL al pachetelor IP. Pachetele ICMP generate de comanda ping pot fi folosite pentru a înregistra o rută.
Colectarea informațiilor se poate baza și pe solicitări:
către serverul DNS despre lista gazdelor înregistrate (și probabil active);
către router pe baza protocolului RIP despre rutele cunoscute (informații despre topologia rețelei);
Pentru dispozitivele configurate incorect care acceptă protocolul SNMP (informații despre topologia rețelei).
Dacă ISPD este situat în spatele unui firewall (FW), este posibil să colectați informații despre configurația firewall-ului și topologia ISPD din spatele firewall-ului, inclusiv prin trimiterea de pachete către toate porturile tuturor presupuselor gazde ale sistemului intern (protejat). ) rețea;
b) despre tipul de sistem de operare (OS) din ISPD. Cel mai metoda cunoscuta determinarea tipului de sistem de operare gazdă se bazează pe faptul că Tipuri variate Sistemele de operare implementează standardele RFC pentru stiva TCP/IP în moduri diferite. Acest lucru permite unui atacator să identifice de la distanță tipul de sistem de operare instalat pe gazda ISPD, trimițând cereri special concepute și analizând răspunsurile primite.
Există instrumente speciale care implementează aceste metode, în special, Nmap și QueSO. De asemenea, puteți observa o astfel de metodă pentru determinarea tipului de sistem de operare ca fiind cea mai simplă solicitare de a stabili o conexiune folosind protocolul de acces la distanță telnet (conexiuni telnet), drept urmare " aspect" răspuns, puteți determina tipul de sistem de operare gazdă. Prezența anumitor servicii poate servi și ca un semn suplimentar pentru a determina tipul de sistem de operare gazdă;
C) despre serviciile care rulează pe gazde. Determinarea ce servicii rulează pe o gazdă se bazează pe o tehnică de „port deschis” care colectează informații despre disponibilitatea gazdei. De exemplu, pentru a determina disponibilitatea unui port UDP, este necesar să primiți un răspuns ca răspuns la trimiterea unui pachet UDP către portul corespunzător:
dacă răspunsul este un mesaj ICMP PORT UNREACHEBLE, atunci serviciul corespunzător este indisponibil;
dacă acest mesaj nu este primit, atunci portul este „deschis”.
Există variații foarte diferite în utilizarea acestei metode, în funcție de protocolul utilizat în stiva de protocoale TCP/IP.
Pentru a automatiza colectarea de informații despre ISPD, au fost dezvoltate multe instrumente software. Ca exemplu, pot fi remarcate următoarele:
1) Strobe, Portscanner - instrumente optimizate pentru determinarea serviciilor disponibile pe baza sondajului de porturi TCP;
2) Nmap - un instrument de scanare a serviciilor disponibile, conceput pentru Linux, FreeBSD, Open BSD, Solaris, Windows NT. În prezent, este cel mai popular instrument pentru scanarea serviciilor de rețea;
3) Queso este un instrument extrem de precis pentru a determina sistemul de operare al unei gazde de rețea pe baza trimiterii unui lanț de pachete TCP corecte și incorecte, analizând răspunsul și comparându-l cu multe răspunsuri cunoscute ale diferitelor sisteme de operare. Acest instrument este, de asemenea, un instrument de scanare popular astăzi;
4) Cheops - scanerul de topologie de rețea vă permite să obțineți topologia rețelei, inclusiv o imagine a domeniului, zonele de adrese IP etc. Aceasta determină sistemul de operare gazdă, cât mai bine posibil dispozitive de rețea(imprimante, routere etc.);
5) Firewalk - un scanner care utilizează metode de program traceroute pentru a analiza răspunsul la pachetele IP pentru a determina configurația firewall-ului și a construi topologia rețelei.
În faza de invazie, este investigată prezența vulnerabilităților tipice în serviciile de sistem sau a erorilor în administrarea sistemului. Exploatarea cu succes a vulnerabilităților are ca rezultat, de obicei, ca procesul atacatorului să obțină un mod de execuție privilegiat (acces la modul de execuție privilegiat al procesorului de comenzi), introducerea unui cont de utilizator ilegal în sistem, obținerea unui fișier cu parolă sau perturbarea funcționalității gazdei atacate.
Această etapă de dezvoltare a amenințărilor este de obicei în mai multe faze. Fazele procesului de realizare a amenințării pot include, de exemplu:
stabilirea unei conexiuni cu gazda împotriva căreia este implementată amenințarea;
Identificarea vulnerabilităților;
introducerea unui program rău intenționat în interesul extinderii drepturilor etc.
Amenințările implementate în etapa de intruziune sunt împărțite în niveluri ale stivei de protocoale TCP/IP, deoarece se formează la nivel de rețea, transport sau aplicație, în funcție de mecanismul de intruziune utilizat.
Amenințările tipice implementate la nivel de rețea și transport includ următoarele:
a) o amenințare care vizează înlocuirea unui obiect de încredere;
b) o amenințare care vizează crearea unei rute false în rețea;
C) amenințări care vizează crearea unui obiect fals folosind deficiențele algoritmilor de căutare la distanță;
D) amenințări de refuzare a serviciului bazate pe defragmentarea IP, pe formarea de solicitări ICMP incorecte (de exemplu, atacurile „Ping of Death” și „Smurf”), pe formarea de solicitări TCP incorecte (atacul „Land”); la crearea unei „furtuni” de pachete cu cereri de conectare (atacuri „SYN Flood”) etc.
Amenințările tipice implementate la nivel de aplicație includ amenințările care vizează lansarea neautorizată a aplicațiilor, amenințările a căror implementare este asociată cu introducerea de marcaje software (cum ar fi un cal troian), cu identificarea parolelor de acces la o rețea sau o anumită gazdă etc. .
Dacă implementarea unei amenințări nu oferă intrusului cele mai înalte drepturi de acces în sistem, se pot încerca să extindă aceste drepturi la cel mai înalt nivel posibil. În acest scop, pot fi utilizate vulnerabilități nu numai ale serviciilor de rețea, ci și vulnerabilități ale software-ului de sistem al gazdelor ISDN.
În etapa de implementare a accesului neautorizat, obiectivul real de implementare a amenințării este atins:
încălcarea confidențialității (copiere, distribuire neautorizată);
Încălcarea integrității (distrugere, schimbare);
încălcarea accesibilității (blocarea).
În aceeași etapă, după aceste acțiuni, de regulă, se formează așa-numita „ușă din spate” sub forma unuia dintre servicii (daemoni) care servește un anumit port și execută comenzile intrusului. „Ușa din spate” este lăsată în sistem pentru a asigura:
capacitatea de a obține acces la gazdă, chiar dacă administratorul elimină vulnerabilitatea folosită pentru a implementa cu succes amenințarea;
capacitatea de a obține acces la gazdă cât mai secret posibil;
Abilitatea de a obține acces rapid la gazdă (fără a repeta procesul de implementare a amenințării din nou).
O „ușă din spate” permite unui atacator să introducă un program rău intenționat într-o rețea sau pe o anumită gazdă, de exemplu, un „sniffer de parole” - un program care extrage ID-urile utilizatorului și parolele din traficul de rețea atunci când protocoalele rulează nivel inalt(ftp, telnet, rlogin etc.). Obiectele injectării de malware pot fi programe de autentificare și identificare, servicii de rețea, nucleu de sistem de operare, Sistemul de fișiere, biblioteci etc.
În cele din urmă, în etapa eliminării urmelor amenințării, se încearcă distrugerea urmelor acțiunilor intrusului. În acest caz, intrările corespunzătoare sunt șterse din toate jurnalele de audit posibile, inclusiv intrările despre faptul de a colecta informații.
5.5. Caracteristici generale ale amenințărilor din software și influențe matematiceInfluența software-matematică este influența folosind programe rău intenționate. Un program cu consecințe potențial periculoase sau un program rău intenționat este un program independent (set de instrucțiuni) care este capabil să execute orice subset nevid al următoarelor funcții:
Ascundeți semnele prezenței dumneavoastră în mediul software al computerului;
Au capacitatea de a se autoduplica, de a se asocia cu alte programe și (sau) de a-și transfera fragmentele în alte zone ale RAM sau memorie externă;
distrugeți (distorsionați în orice fel) codul programelor din RAM;
efectuează funcții distructive (copiere, distrugere, blocare etc.) fără inițiere din partea utilizatorului (programul utilizatorului în modul său normal de execuție);
Stocați informații din RAM în unele zone ale memoriei externe cu acces direct (local sau la distanță);
Distorsionați în mod arbitrar, blocați și (sau) înlocuiți o serie de informații de ieșire către memoria externă sau un canal de comunicație, format ca urmare a funcționării programelor de aplicație, sau matrice de date aflate deja în memoria externă.
Programele rău intenționate pot fi introduse (introduse) atât intenționat, cât și accidental în software-ul utilizat în ISPD în timpul dezvoltării, întreținerii, modificării și configurării acestuia. În plus, programele rău intenționate pot fi introduse în timpul funcționării ISPD de pe medii de stocare externe sau prin interacțiunea rețelei, fie ca urmare a accesului neautorizat, fie accidental de către utilizatorii ISPD.
Malware modern se bazează pe utilizarea vulnerabilităților în diverse tipuri de software (sistem, general, aplicație) și diverse tehnologii de rețea, are o gamă largă de capabilități distructive (de la examinarea neautorizată a parametrilor ISPD fără a interfera cu funcționarea ISPD, până la distrugere). de software PD și ISPD) și poate acționa în toate tipurile de software (sistem, aplicație, drivere hardware etc.).
Prezența programelor rău intenționate în ISPD poate contribui la apariția unor canale ascunse, inclusiv netradiționale, de acces la informații, care să permită deschiderea, ocolirea sau blocarea mecanismelor de securitate prevăzute în sistem, inclusiv protecția prin parolă și criptografică.
Principalele tipuri de malware sunt:
marcaje software;
viruși software clasici (de calculator);
programe rău intenționate care se răspândesc în rețea (viermi de rețea);
Alte programe rău intenționate concepute pentru a desfășura activități ilegale.
Marcajele software includ programe, fragmente de cod și instrucțiuni care formează capabilități software nedeclarate. Programele rău intenționate se pot schimba de la un tip la altul, de exemplu, un marcaj de software poate genera un virus software, care, la rândul său, atunci când este expus la condițiile rețelei, poate forma un vierme de rețea sau alt program rău intenționat conceput pentru a efectua acces neautorizat.
Clasificarea virușilor software și a viermilor de rețea este prezentată în Figura 14. O scurtă descriere a principalelor programe rău intenționate este următoarea. Virușii de pornire se scriu fie în sectorul de pornire al discului (sectorul de pornire), fie în sectorul care conține încărcătorul de pornire de sistem al hard diskului (Master Boot Record) sau schimbă indicatorul către sectorul de pornire activ. Acestea sunt încorporate în memoria computerului atunci când sunt pornite de pe un disc infectat. În acest caz, încărcătorul de pornire a sistemului citește conținutul primului sector al discului de pe care este făcută boot-ul, plasează informațiile citite în memorie și îi transferă controlul (adică virusului). După aceasta, încep să fie executate instrucțiunile virusului, care, de regulă, reduce cantitatea de memorie liberă, își copiază codul în spațiul liber și citește continuarea acestuia de pe disc (dacă există), interceptează vectorii de întrerupere necesari. (de obicei INT 13H), citește sectorul de boot original și îi transferă controlul.
Ulterior, un virus de boot se comportă la fel ca un virus de fișier: interceptează apelurile de la sistemul de operare către discuri și le infectează, în funcție de anumite condiții, efectuează acțiuni distructive, provoacă efecte sonore sau efecte video.
Principalele acțiuni distructive efectuate de acești viruși sunt:
distrugerea informațiilor în sectoare ale dischetelor și hard disk-urilor;
Eliminarea posibilității de încărcare a sistemului de operare (calculatorul se blochează);
coruperea codului bootloader-ului;
formatarea dischetelor sau unităților logice ale unui hard disk;
blocarea accesului la porturile COM și LPT;
înlocuirea caracterelor la tipărirea textelor;
zvâcnirea ecranului;
schimbarea etichetei unui disc sau dischetă;
crearea de clustere de pseudo-eșecuri;
crearea de efecte sonore și/sau vizuale (de exemplu, litere care cad pe ecran);
coruperea fișierelor de date;
afișarea diferitelor mesaje pe ecran;
Dezactivarea dispozitivelor periferice (de exemplu, tastatura);
schimbarea paletei ecranului;
Umplerea ecranului cu personaje sau imagini străine;
oprirea ecranului și trecerea în modul standby pentru introducerea tastaturii;
criptarea sectoarelor de hard disk;
distrugerea selectivă a caracterelor afișate pe ecran la tastarea de la tastatură;
reducerea cantității de memorie RAM;
apel pentru a imprima conținutul ecranului;
blocarea scrierilor pe disc;
distrugerea tabelului de partiții (Disk Partition Table), după care computerul poate fi pornit doar de pe o dischetă;
blocarea lansării fișierelor executabile;
Blocarea accesului la hard disk.
Figura 14. Clasificarea virușilor software și a viermilor de rețea
Majoritatea virușilor de boot se scriu singuri pe dischete.
Metoda de infectare „suprascrierea” este cea mai simplă: virusul își scrie propriul cod în loc de codul fișierului infectat, distrugându-i conținutul. Desigur, în acest caz fișierul nu mai funcționează și nu este restaurat. Astfel de viruși se dezvăluie foarte repede, deoarece sistemul de operare și aplicațiile încetează să funcționeze destul de repede.
Categoria „însoțitor” include viruși care nu modifică fișierele infectate. Algoritmul de operare al acestor viruși este că se creează un fișier duplicat pentru fișierul infectat, iar atunci când fișierul infectat este lansat, acest duplicat, adică virusul, primește controlul. Cei mai obișnuiți viruși însoțitori sunt cei care folosesc caracteristica DOS pentru a executa mai întâi fișiere cu extensia .COM dacă există două fișiere în același director cu același nume, dar cu extensii de nume diferite - .COM și .EXE. Astfel de viruși creează fișiere satelit pentru fișierele EXE care au același nume, dar cu extensia .COM, de exemplu, pentru fișierul XCOPY.EXE este creat un fișier XCOPY.COM. Virusul se scrie într-un fișier COM și nu modifică fișierul EXE în niciun fel. Când rulează un astfel de fișier, DOS va detecta și executa mai întâi fișierul COM, adică virusul, care va lansa apoi fișierul EXE. Al doilea grup este format din viruși care, atunci când sunt infectați, redenumesc un fișier cu alt nume, îl amintesc (pentru lansarea ulterioară a fișierului gazdă) și își scriu codul pe disc sub numele fișierului infectat. De exemplu, fișierul XCOPY.EXE este redenumit în XCOPY.EXD, iar virusul este înregistrat sub numele XCOPY.EXE. Când este lansat, controlul primește codul virusului, care rulează apoi XCOPY original, stocat sub numele XCOPY.EXD. Un fapt interesant este că această metodă pare să funcționeze pe toate sistemele de operare. Al treilea grup include așa-numiții viruși „Companion Path”. Ei fie își scriu codul sub numele fișierului infectat, dar „mai înalt” cu un nivel în căile prescrise (DOS va fi astfel primul care detectează și lansează fișierul virus), fie mută fișierul victimă cu un subdirector mai sus etc. .
Pot exista și alte tipuri de viruși însoțitori care folosesc alte idei sau caracteristici originale ale altor sisteme de operare.
Viermii de fișiere sunt, într-un fel, un tip de virus însoțitor, dar în niciun fel nu asociază prezența lor cu niciun fișier executabil. Când se reproduc, pur și simplu își copiază codul în niște directoare de disc în speranța că aceste noi copii vor fi într-o zi lansate de utilizator. Uneori, acești viruși dau copiilor lor nume „speciale” pentru a încuraja utilizatorul să ruleze copia lor - de exemplu, INSTALL.EXE sau WINSTART.BAT. Există viruși de viermi care folosesc tehnici destul de neobișnuite, de exemplu, scrierea unor copii ale lor în arhive (ARJ, ZIP și altele). Unii viruși scriu comanda pentru a rula fișierul infectat în fișiere BAT. Viermii de fișiere nu trebuie confundați cu viermii de rețea. Primii folosesc doar funcțiile de fișiere ale oricărui sistem de operare, în timp ce cei din urmă folosesc protocoale de rețea pentru reproducerea lor.
Virușii de legătură, precum virușii însoțitori, nu modifică conținutul fizic al fișierelor, dar atunci când un fișier infectat este lansat, ei „forțează” sistemul de operare să-și execute codul. Ei ating acest scop prin modificarea câmpurilor necesare ale sistemului de fișiere.
Virușii care infectează bibliotecile compilatorului, modulele obiect și codurile sursă ale programelor sunt destul de exotice și practic neobișnuite. Virușii care infectează fișierele OBJ și LIB își scriu codul în ele în formatul unui modul obiect sau bibliotecă. Prin urmare, fișierul infectat nu este executabil și nu este capabil să răspândească în continuare virusul în starea sa actuală. Purtătorul virusului „în direct” devine un fișier COM sau EXE.
După ce a câștigat controlul, virusul fișierului efectuează următoarele acțiuni generale:
Verifică memoria RAM pentru prezența copiei sale și infectează memoria computerului dacă o copie a virusului nu este găsită (dacă virusul este rezident), caută fișiere neinfectate în directorul curent și (sau) rădăcină prin scanarea arborelui de directoare al logicii. unități și apoi infectează fișierele detectate;
îndeplinește funcții suplimentare (dacă există): acțiuni distructive, efecte grafice sau sonore etc. (funcțiile suplimentare ale virusului rezident pot fi apelate la ceva timp după activare, în funcție de ora curentă, configurația sistemului, contoarele interne de viruși sau alte condiții; în acest caz, atunci când este activat, virusul procesează starea ceasului sistemului, își setează contoare etc.);
Trebuie remarcat faptul că, cu cât un virus se răspândește mai repede, cu atât este mai probabil să apară o epidemie a acestui virus; cu cât virusul se răspândește mai lent, cu atât este mai dificil de detectat (cu excepția cazului în care, desigur, acest virus este necunoscut). Virușii nerezidenți sunt adesea „lenti” - majoritatea infectează unul sau două sau trei fișiere atunci când sunt lansate și nu au timp să infesteze computerul înainte de lansarea programului antivirus (sau să apară o nouă versiune a antivirusului configurat pentru acest virus). ). Există, desigur, viruși „rapidi” nerezidenți care, atunci când sunt lansati, caută și infectează toate fișierele executabile, dar astfel de viruși sunt foarte vizibili: atunci când fiecare fișier infectat este lansat, computerul lucrează activ cu hard disk-ul pentru unii. (uneori destul de lung), care demascează virusul. Rata de răspândire (infecție) a virușilor rezidenți este de obicei mai mare decât a virușilor nerezidenți - aceștia infectează fișierele atunci când se face orice acces la ele. Ca urmare, toate sau aproape toate fișierele de pe disc care sunt utilizate în mod constant în muncă devin infectate. Rata de răspândire (infecție) a virușilor rezidenți de fișiere care infectează fișierele doar atunci când sunt lansate pentru execuție va fi mai mică decât cea a virușilor care infectează fișierele și atunci când sunt deschise, redenumite, modificate atributele fișierului etc.
Astfel, principalele acțiuni distructive efectuate de virușii de fișiere sunt asociate cu deteriorarea fișierelor (de obicei fișiere executabile sau de date), lansarea neautorizată a diferitelor comenzi (inclusiv formatare, distrugere, copiere comenzi etc.), modificarea tabelului vector de întreruperi etc. În același timp, pot fi efectuate și multe acțiuni distructive similare cu cele indicate pentru virușii de boot.
Virușii macro sunt programe în limbi (macrolimbi) încorporate în unele sisteme de prelucrare a datelor (editore de text, foi de calcul etc.). Pentru a se reproduce, astfel de viruși folosesc capabilitățile limbilor macro și, cu ajutorul lor, se transferă dintr-un fișier infectat (document sau tabel) la alții. Cei mai răspândiți viruși macro sunt cei pentru pachetul de aplicații Microsoft Office.
Pentru ca virușii să existe într-un anumit sistem (editor), este necesar să existe un limbaj macro încorporat în sistem cu următoarele capacități:
1) conectarea unui program într-un limbaj macro la un anumit fișier;
2) copierea programelor macro dintr-un fișier în altul;
3) obținerea controlului unui program macro fără intervenția utilizatorului (macro-uri automate sau standard).
Aceste condiții sunt îndeplinite prin aplicare programe Microsoft Word, Excel și Microsoft Access. Acestea conțin limbaje macro: Word Basic, Visual Basic pentru aplicații. în care:
1) programele macro sunt legate de un anumit fișier sau sunt localizate în interiorul unui fișier;
2) limbajul macro vă permite să copiați fișiere sau să mutați programe macro în fișiere de serviciu de sistem și fișiere editabile;
3) când se lucrează cu un fișier în anumite condiții (deschidere, închidere etc.), sunt apelate programe macro (dacă există), care sunt definite într-un mod special sau au nume standard.
Această caracteristică a macrolimbilor este destinată procesării automate a datelor în organizații mari sau în rețele globale și vă permite să organizați așa-numitul „flux automat de documente”. Pe de altă parte, capacitățile de limbaj macro ale unor astfel de sisteme permit virusului să-și transfere codul în alte fișiere și astfel să le infecteze.
Majoritatea virușilor macro sunt activi nu numai în momentul în care fișierul este deschis (închis), ci atât timp cât editorul în sine este activ. Acestea conțin toate funcțiile lor ca macrocomenzi standard Word/Excel/Office. Există, totuși, viruși care folosesc tehnici pentru a-și ascunde codul și pentru a-și stoca codul sub formă de non-macro-uri. Există trei tehnici cunoscute, toate care folosesc capacitatea macrocomenzilor de a crea, edita și executa alte macrocomenzi. De regulă, astfel de viruși au un mic (uneori polimorf) încărcător de macro-virusuri, care apelează editorul de macro-uri încorporat, creează o nouă macrocomandă, o completează cu codul principal al virusului, îl execută și apoi, de regulă, îl distruge. (pentru a ascunde urmele virusului). Codul principal al unor astfel de viruși este prezent fie în macro-ul virusului, sub formă de șiruri de text (uneori criptat), fie este stocat în zona variabilă a documentului.
Virușii de rețea includ viruși care utilizează în mod activ protocoalele și capabilitățile rețelelor locale și globale pentru a se răspândi. Principiul principal de funcționare al unui virus de rețea este capacitatea de a-și transfera în mod independent codul pe un server sau o stație de lucru la distanță. Virușii de rețea „cu drepturi depline” au și capacitatea de a-și rula codul pe un computer la distanță sau, cel puțin, de a „împinge” utilizatorul să ruleze un fișier infectat.
Programele rău intenționate care permit accesul neautorizat pot fi:
programe pentru selectarea și deschiderea parolelor;
programe care implementează amenințări;
Programe care demonstrează utilizarea capabilităților nedeclarate ale software-ului și hardware-ului ISPD;
programe generatoare de viruși de calculator;
programe care demonstrează vulnerabilități ale instrumentelor de securitate a informațiilor etc.
Pe măsură ce software-ul devine mai complex și mai variat, numărul de programe malware crește rapid. Astăzi, sunt cunoscute peste 120 de mii de semnături de viruși informatici. Cu toate acestea, nu toate reprezintă o amenințare reală. În multe cazuri, eliminarea vulnerabilităților din software-ul de sistem sau aplicație a dus la faptul că o serie de programe rău intenționate nu mai sunt capabile să le pătrundă. Noile programe malware reprezintă adesea principala amenințare.
5.6. Caracteristici generale ale canalelor de informare netradiționaleUn canal de informare netradițional este un canal de transmitere secretă a informațiilor folosind canale tradiționale de comunicare și transformări speciale ale informațiilor transmise, care nu au legătură cu cele criptografice.
Metodele care pot fi folosite pentru a forma canale netradiționale sunt:
steganografie computerizată;
Pe baza manipulării diferitelor caracteristici ISPD care pot fi obținute într-o manieră autorizată (de exemplu, timpul de procesare a diferitelor solicitări, cantitatea de memorie disponibilă sau identificatorii de fișier sau proces lizibil etc.).
Metodele de steganografie computerizată sunt concepute pentru a ascunde faptul transmiterii mesajelor prin încorporarea informațiilor ascunse în date aparent inofensive (fișiere text, grafice, audio sau video) și includ două grupuri de metode bazate pe:
Cu privire la utilizarea proprietăților speciale ale formatelor de computer pentru stocarea și transmiterea datelor;
Pe redundanța audio, vizuală sau informații text din poziţia caracteristicilor psihofiziologice ale percepţiei umane.
Clasificarea metodelor de steganografie computerizată este prezentată în Figura 15. Caracteristicile comparative ale acestora sunt prezentate în Tabelul 4.
Metodele pentru ascunderea informațiilor în stegocontainere grafice sunt în prezent cele mai dezvoltate și utilizate. Acest lucru se datorează cantității relativ mari de informații care pot fi plasate în astfel de containere fără o distorsiune vizibilă a imaginii, prezenței informațiilor a priori despre dimensiunea containerului, existenței în majoritatea imagini reale zonele de textură care au o structură de zgomot și sunt potrivite pentru încorporarea informațiilor, sofisticarea metodelor de procesare a imaginilor digitale și formate digitale prezentarea imaginii. În prezent există întreaga linie disponibile atât produse software comerciale, cât și libere la utilizatorul mediu, implementând metode steganografice binecunoscute de ascundere a informațiilor. În acest caz, se folosesc în principal containerele grafice și audio.
Figura 15. Clasificarea metodelor de transformare a informațiilor steganografice (STI)
Tabelul 4
Caracteristici comparative ale metodelor steganografice de conversie a informațiilor
| Metoda steganografică | Scurtă descriere a metodei | Defecte | Avantaje |
| Metode pentru ascunderea informațiilor în containere audio | |||
| Bazat pe scrierea unui mesaj la cei mai puțin semnificativi biți ai semnalului original. De regulă, un semnal audio necomprimat este folosit ca container. | Secret redus al transmiterii mesajelor. Rezistență scăzută la distorsiuni. Folosit numai pentru anumite formate de fișiere audio | ||
| Metoda de ascundere bazată pe distribuția spectrului | Se bazează pe generarea de zgomot pseudo-aleatoriu, care este o funcție a mesajului încorporat, și pe amestecarea zgomotului rezultat în semnalul principal al containerului ca componentă aditivă. Codificarea fluxurilor de informații prin împrăștierea datelor codificate pe un spectru de frecvență | ||
| Metoda de ascundere bazată pe semnalul ecou | Bazat pe utilizarea semnalului audio în sine ca semnal asemănător zgomotului, întârziat pentru diferite perioade de timp, în funcție de mesajul încorporat („ecou dial-up”) | Rată scăzută de utilizare a containerului. Costuri de calcul semnificative | Secretul relativ ridicat al mesajelor |
| Metoda de ascundere în faza de semnal | Pe baza faptului că urechea umană este insensibilă la valoarea absolută a fazei armonice. Semnalul audio este împărțit într-o secvență de segmente, mesajul este încorporat prin modificarea fazei primului segment | Rată scăzută de utilizare a containerului | Are un secret semnificativ mai mare decât metodele de ascundere NZB |
| Metode pentru ascunderea informațiilor în containere de text | |||
| Metoda de ascundere bazată pe spațiu | Bazat pe inserarea de spații la sfârșitul rândurilor, după semnele de punctuație, între cuvinte la alinierea lungimii liniilor | Metodele sunt sensibile la transferul de text dintr-un format în altul. Mesajul poate fi pierdut. Stealth scăzut | Debit suficient de mare |
| Metoda de ascundere bazată pe caracteristicile sintactice ale textului | Pe baza faptului că regulile de punctuație permit ambiguitatea în plasarea semnelor de punctuație | Debit foarte scăzut. Dificultatea de a detecta un mesaj | Există potențialul de a selecta o metodă care ar necesita proceduri foarte complexe pentru a rezolva mesajul. |
| Metoda de ascundere bazată pe sinonime | Pe baza inserării de informații în text prin alternarea cuvintelor din orice grup de sinonime | Complex în raport cu limba rusă datorită varietății mari de nuanțe în diferite sinonime | Una dintre cele mai promițătoare metode. Are un secret relativ ridicat al mesajelor |
| Metoda de ascundere bazată pe erori | Se bazează pe deghizarea biților de informații ca erori naturale, greșeli de scriere, încălcarea regulilor de scriere a combinațiilor de vocale și consoane, înlocuirea alfabetului chirilic cu litere latine similare ca aspect etc. | Debit scăzut. Dezvăluit rapid de analiza statistică | Foarte usor de folosit. Secret mare atunci când este analizat de oameni |
| Metoda de ascundere bazată pe generarea cvasi-text | Bazat pe generarea unui container de text folosind un set de reguli pentru construirea propozițiilor. Utilizează criptografia simetrică | Debit scăzut. Lipsa de sens a textului creat | Secretul este determinat de metodele de criptare și, de regulă, este foarte ridicat |
| Metoda de ascundere bazată pe caracteristicile fontului | Pe baza inserării de informații prin modificarea tipului de font și a mărimii literelor, precum și a capacității de a încorpora informații în blocuri cu identificatori necunoscuti browserului | Usor de identificat la transformarea scarii documentului, in timpul steganalizei statistice | Rată ridicată de utilizare a containerului |
| Metoda de ascundere bazată pe codul documentului și al fișierului | Bazat pe plasarea informațiilor în câmpuri cu lungime variabilă rezervate și neutilizate | Secret redus cu format de fișier cunoscut | Ușor de folosit |
| Metoda de ascundere bazată pe utilizarea jargonului | Bazat pe schimbarea sensului cuvintelor | Lățime de bandă redusă. Îngust specializat. Stealth scăzut | Ușor de folosit |
| Metoda de ascundere bazată pe alternarea lungimii cuvintelor | Bazat pe generarea unui container de text cu formarea de cuvinte de o anumită lungime conform unei reguli de codificare cunoscute | Complexitatea formării unui container și mesaj | Secret suficient de ridicat atunci când este analizat de oameni |
| Metoda de ascundere bazată pe utilizarea primelor litere | Bazat pe introducerea unui mesaj în primele litere ale cuvintelor textului cu o selecție de cuvinte | Dificultate în compunerea unui mesaj. Confidențialitate scăzută a mesajelor | Oferă o mai mare libertate de alegere operatorului care vine cu mesajul |
| Metode pentru ascunderea informațiilor în containere grafice | |||
| Metoda de ascundere a biților mai puțin semnificativi | Bazat pe scrierea unui mesaj la cele mai puțin semnificative biți din imaginea originală | Secret redus al transmiterii mesajelor. Rezistență scăzută la distorsiuni | Capacitate suficient de mare a containerului (până la 25%) |
| Metoda de ascundere bazată pe modificarea formatului de reprezentare a indexului | Bazat pe reducerea (înlocuirea) paletei de culori și ordonarea culorilor în pixeli cu numere adiacente | Se aplică în principal la imagini comprimate. Secret redus al transmiterii mesajelor | Capacitate relativ mare a containerului |
| Metoda de ascundere bazată pe utilizarea funcției de autocorelare | Pe baza unei căutări folosind o funcție de autocorelare pentru zone care conțin date similare | Complexitatea calculelor | Rezistent la majoritatea transformărilor neliniare ale containerelor |
| Metoda de ascundere bazată pe utilizarea modulării neliniare a mesajului încorporat | Bazat pe modularea unui semnal pseudo-aleatoriu de către un semnal care conține informații ascunse | ||
| Metoda de ascundere bazată pe utilizarea modulării semnului mesajului încorporat | Bazat pe modularea unui semnal pseudo-aleatoriu de către un semnal bipolar care conține informații ascunse | Precizie scăzută de detectare. Distorsiuni | Secretul mesajelor destul de ridicat |
| Metoda de ascundere bazată pe transformarea wavelet | Bazat pe caracteristicile transformărilor wavelet | Complexitatea calculelor | Înalt stealth |
| Metoda de ascundere bazată pe transformarea cosinus discretă | Pe baza caracteristicilor transformării cosinus discrete | Calculul dificultatii | Înalt stealth |
În canalele de informare netradiționale, pe baza manipulării diferitelor caracteristici ale resurselor ISDN, unele resurse partajate sunt folosite pentru transmiterea datelor. În același timp, în canalele care utilizează caracteristici de temporizare, modularea se realizează pe baza timpului de ocupat al resursei partajate (de exemplu, prin modularea timpului de ocupat al procesorului, aplicațiile pot face schimb de date).
În canalele de memorie, resursa este folosită ca un buffer intermediar (de exemplu, aplicațiile pot face schimb de date plasându-le în numele fișierelor și directoarelor create). Baza de date și fluxurile de cunoștințe folosesc dependențe între datele care apar în bazele de date relaționale și cunoștințe.
Canalele de informare netradiționale pot fi formate la diferite niveluri de funcționare a ISPD:
la nivel hardware;
la nivelul microcodurilor și driverelor de dispozitiv;
la nivel de sistem de operare;
la nivel de aplicație software;
la nivelul de funcţionare a canalelor de transmisie a datelor şi a liniilor de comunicaţie.
Aceste canale pot fi folosite atât pentru transmiterea sub acoperire a informațiilor copiate, cât și pentru transmiterea sub acoperire a comenzilor pentru efectuarea de acțiuni distructive, lansarea aplicațiilor etc.
Pentru implementarea canalelor, de regulă, este necesară introducerea în sistemul automatizat a unei componente software sau hardware-software care asigură formarea unui canal netradițional.
Un canal de informare netradițional poate exista în sistem continuu sau poate fi activat o singură dată sau în condiții specificate. În acest caz, este posibil să existe feedback din partea subiectului DNS.
5.7. Caracteristici generale ale rezultatelor accesului neautorizat sau accidentalImplementarea amenințărilor de acces neautorizat la informații poate duce la următoarele tipuri de încălcare a securității acestora:
încălcarea confidențialității (copiere, distribuire neautorizată);
Încălcarea integrității (distrugere, schimbare);
încălcarea accesibilității (blocarea).
O încălcare a confidențialității poate apărea în cazul scurgerii de informații:
copierea acestuia pe medii de stocare alienabile;
transmiterea acestuia prin canale de date;
la vizualizarea sau copierea acestuia în timpul reparației, modificării și eliminării software-ului și hardware-ului;
în timpul „colectării gunoiului” de către contravenient în timpul funcționării ISPD.
Încălcarea integrității informațiilor este efectuată din cauza impactului (modificării) programelor și datelor utilizatorului, precum și a informațiilor tehnologice (de sistem), inclusiv:
firmware, drivere de date și dispozitive ale sistemului informatic;
programe, date și drivere de dispozitiv care permit încărcarea sistemului de operare;
programe si date (manere, descriptori, structuri, tabele etc.) ale sistemului de operare;
programe software de aplicație și date;
Programe software speciale și date;
Valori intermediare (operaționale) ale programelor și datelor în timpul prelucrării acestora (citire/scriere, recepție/transmitere) prin mijloace și dispozitive de tehnologie informatică.
Încălcarea integrității informațiilor dintr-un sistem de securitate a informațiilor poate fi cauzată și de introducerea unui program software și hardware rău intenționat în acesta sau de un impact asupra sistemului de securitate a informațiilor sau a elementelor acestuia.
În plus, în ISPD este posibilă influențarea informațiilor tehnologice ale rețelei, care pot asigura funcționarea diferitelor instrumente de management al rețelei de calculatoare:
Configurarea Rețelei;
adrese și rutare a transmisiei de date în rețea;
control funcțional al rețelei;
securitatea informațiilor din rețea.
Încălcarea disponibilității informațiilor este asigurată de formarea (modificarea) datelor sursă, care, atunci când sunt prelucrate, determină funcționarea incorectă, defecțiuni hardware sau captarea (încărcarea) resurselor de calcul ale sistemului, care sunt necesare executării programelor și echipamentelor de operare.
Acțiunile indicate pot duce la întreruperea sau eșecul funcționării aproape a oricăror mijloace tehnice ale ISPD:
instrumente de prelucrare a informațiilor;
mijloace de intrare/ieșire a informațiilor;
mijloace de stocare a informațiilor;
Echipamente și canale de transmisie;
instrumente de securitate a informațiilor.