Загроз впровадження через мережу шкідливих програм. Способи проникнення шкідливих програм у систему
Шкідливі програми можуть бути внесені (впроваджені) як навмисно, так і випадково до програмного забезпечення, що використовується в ІСПДн, у процесі його розробки, супроводу, модифікації та налаштування. Крім цього, шкідливі програми можуть бути внесені в процесі експлуатації ІСПДн із зовнішніх носіїв інформації або через мережеву взаємодію як в результаті НСД, так і випадково користувачами ІСПДн.
Сучасні шкідливі програми засновані на використанні вразливостей різного роду програмного забезпечення (системного, загального, прикладного) та різноманітних мережевих технологій, мають широкий спектр деструктивних можливостей (від несанкціонованого дослідження параметрів ІСПДн без втручання у функціонування ІСПДн, до знищення ПДн та програмного забезпечення ІСПДн) і можуть діяти у всіх видах програмного забезпечення (системного, прикладного, в драйверах апаратного забезпечення і т.д.).
Наявність в ІСПДн шкідливих програм може сприяти виникненню прихованих, у тому числі нетрадиційних каналів доступу до інформації, що дозволяють розкривати, обходити або блокувати захисні механізми, передбачені в системі, у тому числі парольний та криптографічний захист.
Основними видами шкідливих програм є:
· Програмні закладки;
· класичні програмні (комп'ютерні) віруси;
· Шкідливі програми, що розповсюджуються по мережі (мережеві черв'яки);
· Інші шкідливі програми, призначені для здійснення НСД.
До програмних закладок належать програми, фрагменти коду, інструкції, які формують недекларовані можливості програмного забезпечення. Шкідливі програми можуть переходити з одного виду до іншого, наприклад, програмна закладка може згенерувати програмний вірус, який, у свою чергу, потрапивши в умови мережі, може сформувати мережевого черв'яка або іншу шкідливу програму, призначену для здійснення НСД.
коротка характеристикаОсновні шкідливі програми зводяться до наступного. Завантажувальні віруси записують себе або в завантажувальний сектор диска (boot-сектор), або сектор, що містить системний завантажувач вінчестера (Master Boot Record), або змінюють покажчик на активний boot-сектор. Вони входять у пам'ять комп'ютера під час завантаження з інфікованого диска. При цьому системний завантажувач зчитує вміст першого сектора диска, з якого проводиться завантаження, поміщає лічену інформацію на згадку і передає на неї (тобто вірус) управління. Після цього починають виконуватись інструкції вірусу, який, як правило, зменшує обсяг вільної пам'яті, Копіює в місце, що звільнилося свій код і зчитує з диска своє продовження (якщо воно є), перехоплює необхідні вектора переривань (зазвичай - INT 13H), зчитує в пам'ять оригінальний boot-сектор і передає на нього управління.
Надалі завантажувальний вірус поводиться так само, як файловий: перехоплює звернення операційної системидо дисків та інфікує їх, в залежності від деяких умов робить деструктивні дії, викликає звукові ефекти або відеоефекти.
Основними деструктивними діями, що виконуються цими вірусами, є:
· Знищення інформації в секторах дискет та вінчестера;
· Виключення можливості завантаження операційної системи (комп'ютер «зависає»);
· Спотворення коду завантажувача;
· Форматування дискет або логічних дисків вінчестера;
· Закриття доступу до COM-і LPT-портів;
· Заміна символів при друку текстів;
· Посмикування екрану;
· Зміна мітки диска або дискети;
· Створення псевдозбійних кластерів;
· створення звукових та (або) візуальних ефектів (наприклад, падіння
літер на екрані);
· Псування файлів даних;
· Виведення на екран різноманітних повідомлень;
· відключення периферійних пристроїв (наприклад, клавіатури);
· Зміна палітри екрана;
· Заповнення екрану сторонніми символами або зображеннями;
· Погашення екрану та переведення в режим очікування введення з клавіатури;
· Шифрування секторів вінчестера;
· Вибіркове знищення символів, що виводяться на екран при наборі з клавіатури;
· Зменшення обсягу оперативної пам'яті;
· виклик друку вмісту екрана;
· Блокування запису на диск;
· Знищення таблиці розбиття (Disk Partition Table), після цього комп'ютер можна завантажити тільки з флоппі-диска;
· Блокування запуску виконуваних файлів;
· Блокування доступу до вінчестера.
|
Рисунок 3. Класифікація програмних вірусів та мережевих хробаків
Більшість завантажувальних вірусів перезаписують себе на флоппі-диски.
Метод зараження «overwriting» є найпростішим: вірус записує свій код замість коду файлу, що заражається, знищуючи його вміст. Природно, що файл перестає працювати і не відновлюється. Такі віруси дуже швидко виявляють себе, оскільки операційна система та програми досить швидко перестають працювати.
До категорії «компаньйон» відносяться віруси, що не змінюють файли, що заражаються. Алгоритм роботи цих вірусів полягає в тому, що для файлу, що заражається створюється файл-двійник, причому при запуску зараженого файлу управління отримує саме цей двійник, тобто вірус. Найбільш поширені компаньйон-віруси, що використовують особливість DOS першим виконувати файли з розширенням. Такі віруси створюють для EXE-файлів файли-супутники, що мають те саме ім'я, але з розширенням.COM, наприклад, для файлу XCOPY.EXE створюється файл XCOPY.COM. Вірус записується в COM-файл і не змінює EXE-файл. При запуску такого файлу DOS першим виявить та виконає COM-файл, тобто вірус, який потім запустить і EXE-файл. Другу групу складають віруси, які при зараженні перейменовують файл в якесь інше ім'я, запам'ятовують його (для подальшого запуску файла-хазяїна) і записують свій код на диск під ім'ям файлу, що заражається. Наприклад, файл XCOPY.EXE перейменовується на XCOPY.EXD, а вірус записується під ім'ям XCOPY.EXE. При запуску керування отримує код вірусу, який потім запускає оригінальний XCOPY, що зберігається під назвою XCOPY.EXD. Цікавим є той факт, що даний методпрацює, мабуть, у всіх операційних системах. До третьої групи входять так звані «Path-companion» віруси. Вони або записують свій код під ім'ям файлу, що заражається, але «вище» на один рівень у прописуваних шляхах (DOS, таким чином, першим виявить і запустить файл-вірус), або переносять файл-жертву на один підкаталог вище і т.д.
Можливе існування та інших типів компаньйон-вірусів, які використовують інші оригінальні ідеїчи особливості інших операційних систем.
Файлові черв'яки (worms) є, в певному сенсі, різновидом компаньйон-вірусів, але при цьому жодним чином не пов'язують свою присутність з виконуваним файлом. При розмноженні вони лише копіюють свій код в будь-які каталоги дисків, сподіваючись, що ці нові копії будуть коли-небудь запущені користувачем. Іноді ці віруси дають своїм копіям спеціальні імена, щоб підштовхнути користувача на запуск своєї копії - наприклад, INSTALL.EXE або WINSTART.BAT. Існують віруси-хробаки, які використовують досить незвичайні прийоми, наприклад записують свої копії в архіви (ARJ, ZIP та інші). Деякі віруси записують команду запуску зараженого файлу у BAT-файли. Не слід плутати файлові віруси-хробаки з мережевими хробаками. Перші використовують лише файлові функції якоїсь операційної системи, другі ж при своєму розмноженні користуються мережевими протоколами.
Link-віруси, як і компаньйон-віруси, не змінюють фізичного вмісту файлів, проте при запуску зараженого файлу "примушують" ОС виконати свій код. Цієї мети вони досягають модифікацією необхідних полів файлової системи.
Віруси, що заражають бібліотеки компіляторів, об'єктні модулі та вихідні текстипрограм, досить екзотичні та практично не поширені. Віруси, що заражають OBJ- та LIB-файли, записують у них свій код у форматі об'єктного модуля або бібліотеки. Заражений файл, таким чином, не виконується і не здатний на подальше поширення вірусу в своєму поточному стані. Носієм ж «живого» вірусу стає COM-або EXE-файл.
Отримавши керування, файловий вірус робить такі спільні дії:
· перевіряє оперативну пам'ять на наявність своєї копії та інфікує
пам'ять комп'ютера, якщо копію вірусу не знайдено (у разі, якщо вірус є резидентним), шукає незаражені файли у поточному та (або) кореневому каталозі шляхом сканування дерева каталогів логічних дисків, а потім заражає виявлені файли;
· Виконує додаткові (якщо вони є) функції: деструктивні
дії, графічні чи звукові ефекти тощо. ( додаткові функціїрезидентного вірусу можуть викликатися через деякий час після активізації в залежності від поточного часу, конфігурації системи, внутрішніх лічильників вірусу або інших умов, у цьому випадку вірус при активізації обробляє стан системного годинника, встановлює свої лічильники і т.д.);
· Повертає управління основний програмі (якщо вона є).
Необхідно відзначити, що чим швидше поширюється вірус, тим швидше виникнення епідемії цього вірусу, чим повільніше поширюється вірус, тим складніше його виявити (якщо, звичайно ж, цей вірус невідомий). Нерезидентні віруси часто є «повільними» - більшість із них при запуску заражає один або два-три файли і не встигає заполонити комп'ютер до запуску антивірусної програми(або появи нової версіїантивірусу, налаштованої на цей вірус). Існують, звичайно ж, нерезидентні «швидкі» віруси, які при запуску шукають і заражають всі файли, проте такі віруси дуже помітні: при запуску кожного зараженого файлу комп'ютер деякий (іноді досить довгий) час активно працює з вінчестером, що демаскує вірус. Швидкість поширення (інфікування) у резидентних вірусів зазвичай вища, ніж у нерезидентних – вони заражають файли при будь-яких зверненнях до них. В результаті на диску заражені всі або майже всі файли, які постійно використовуються в роботі. Швидкість поширення (інфікування) резидентних файлових вірусів, що заражають файли тільки при їх запуску на виконання, буде нижчою, ніж у вірусів, що заражають файли і при їх відкритті, перейменуванні, зміні атрибутів файлу і т.д.
Таким чином, основні деструктивні дії, що виконуються файловими вірусами, пов'язані з ураженням файлів (частіше виконуваних або файлів даних), несанкціонованим запуском різних команд (у тому числі команд форматування, знищення, копіювання тощо), зміною таблиці векторів переривань і ін. Разом з тим, можуть виконуватися і багато деструктивних дій, подібні до тих, які вказувалися для завантажувальних вірусів.
Макровіруси (macro viruses) є програмами на мовах (макромовах), вбудованих в деякі системи обробки даних ( текстові редактори, електронні таблиці та ін.). Для свого розмноження такі віруси використовують можливості макромов і за допомогою їх переносять себе з одного зараженого файлу (документа або таблиці) в інші. Найбільшого поширення набули макровіруси для пакета прикладних програм. Microsoft Office.
Для існування вірусів у конкретній системі (редакторі) потрібна наявність вбудованої в систему макромови з можливостями:
1) прив'язки програми на макромові до конкретного файлу;
2) копіювання макропрограм з одного файлу до іншого;
3) отримання управління макропрограмою без втручання користувача (автоматичні чи стандартні макроси).
Цим умовам задовольняють прикладні програми Microsoft Word, Excel та Microsoft Access. Вони містять макромови: Word Basic, Visual Basic for Applications. При цьому:
1) макропрограми прив'язані до конкретного файлу чи перебувають усередині файла;
2) макромова дозволяє копіювати файли або переміщати макропрограми в службові файли системи та файли, що редагуються;
3) при роботі з файлом за певних умов (відкриття, закриття тощо) викликаються макропрограми (якщо такі є), які визначені спеціальним чином або мають стандартні імена.
Ця особливістьмакромов призначена для автоматичної обробки даних у великих організаціях або в глобальних мережах і дозволяє організувати так званий «автоматизований документообіг». З іншого боку, можливості макромов таких систем дозволяють вірусу переносити свій код інші файли і таким чином заражати їх.
Більшість макровірусів активні не тільки в момент відкриття (закриття) файлу, але доки активний сам редактор. Вони містять усі свої функції у вигляді стандартних макросів Word/Excel/Office. Існують, проте, віруси, використовують прийоми приховування свого коду і зберігають свій код як макросів. Відомо три подібні прийоми, всі вони використовують можливість макросів створювати, редагувати та виконувати інші макроси. Як правило, подібні віруси мають невеликий (іноді поліморфний) макрос-завантажувач вірусу, який викликає вбудований редактор макросів, створює новий макрос, заповнює його основним кодом вірусу, виконує і потім, як правило, знищує (щоб приховати сліди присутності вірусу). Основний код таких вірусів присутній або в макросі вірусу у вигляді текстових рядків(іноді – зашифрованих), або зберігається у сфері змінних документа.
До мережевих відносяться віруси, які для свого поширення активно використовують протоколи та можливості локальних та глобальних мереж. Основним принципом роботи мережного вірусу є можливість самостійно передати свій код на віддалений серверчи робочу станцію. «Повноцінні» мережеві віруси при цьому мають ще й можливість запустити на виконання свій код на віддаленому комп'ютеріабо, принаймні, підштовхнути користувача до запуску зараженого файлу.
Шкідливими програмами, що забезпечують здійснення НСД, можуть бути:
· Програми підбору та розкриття паролів;
· Програми, що реалізують загрози;
· Програми, що демонструють використання недекларованих можливостей програмного та програмно-апаратного забезпечення ІСПДн;
· Програми-генератори комп'ютерних вірусів;
· Програми, що демонструють уразливості засобів захисту
інформації та ін.
У зв'язку з ускладненням та зростанням різноманітності програмного забезпечення кількість шкідливих програм швидко зростає. Сьогодні відомо понад 120 тисяч сигнатур комп'ютерних вірусів. Разом з тим, далеко не всі з них є реальною загрозою. У багатьох випадках усунення вразливостей у системному чи прикладному програмне забезпеченняпризвело до того, що ряд шкідливих програм вже не здатний впровадитись у них. Часто основну небезпеку становлять нові шкідливі програми.
Класифікація порушників
За ознакою приналежності до ІСПД всі порушники діляться на дві групи:
Зовнішні порушники – фізичні особи, які мають права перебування біля контрольованої зони, не більше якої розміщується устаткування ИСПДн;
Внутрішні порушники – фізичні особи, які мають право перебування на території контрольованої зони, в межах якої розміщується обладнання ІСПД.
Зовнішній порушник
Як зовнішній порушник інформаційної безпеки, Розглядається порушник, який не має безпосереднього доступу до технічних засобів і ресурсів системи, що знаходяться в межах контрольованої зони.
Передбачається, що зовнішній порушник не може впливати на інформацію, що захищається технічним каналамвитоку, оскільки обсяг інформації, що зберігається та обробляється в ІСПДн, є недостатнім для можливої мотивації зовнішнього порушника до здійснення дій, спрямованих на витік інформації по технічних каналах витоку.
Передбачається, що зовнішній порушник може впливати на інформацію, що захищається, тільки під час її передачі по каналах зв'язку.
Внутрішній порушник
Можливості внутрішнього порушника істотно залежать від діючих у межах контрольованої зони обмежувальних факторів, з яких основним є реалізація комплексу організаційно-технічних заходів, у тому числі щодо підбору, розстановки та забезпечення високої професійної підготовки кадрів, допуску фізичних осібвнутрішньо контрольованої зони та контролю за порядком проведення робіт, спрямованих на запобігання та припинення несанкціонованого доступу.
Система розмежування доступу ІСПДн ІСПДн забезпечує розмежування прав користувачів на доступ до інформаційних, програмних, апаратних та інших ресурсів ІСПДн відповідно до прийнятої політики інформаційної безпеки (правил). До внутрішніх порушників можуть належати (таблиця):
Адміністратори конкретних підсистем або баз даних ІСПД (категорія II);
Користувачі, які є зовнішніми стосовно конкретної АС (категорія IV);
Особи, які мають можливість доступу до системи передачі даних (категорія V);
Співробітники ЛПЗ, які мають санкціонований доступ у службових цілях до приміщень, в яких розміщуються елементам ІСПДн, але не мають права доступу до них (категорія VI);
Обслуговуючий персонал (охорона, працівники інженерно-технічних служб тощо) (категорія VII);
Уповноважений персонал розробників ІСПДН, який на договірній основі має право на технічне обслуговування та модифікацію компонентів ІСПДН (категорія VIII).
На осіб категорій I та II покладено завдання з адміністрування програмно-апаратних засобів та баз даних ІСПДн для інтеграції та забезпечення взаємодії різних підсистем, що входять до складу ІСПДн. Адміністратори потенційно можуть реалізовувати загрози ІБ, використовуючи можливості по безпосередньому доступу до інформації, що захищається, обробляється і зберігається в ІСПДн, а також до технічних і програмних засобів ІСПДн, включаючи засоби захисту, які використовуються в конкретних АС, відповідно до встановлених для них адміністративних повноважень.
Ці особи добре знайомі з основними алгоритмами, протоколами, що реалізуються та використовуються в конкретних підсистемах та ІСПДн в цілому, а також із принципами та концепціями безпеки, що застосовуються.
Передбачається, що вони могли б використовувати стандартне обладнанняабо для ідентифікації уразливостей, або для реалізації загроз ІХ. Дане обладнання може бути як частиною штатних засобів, так і може відноситися до легко одержуваного (наприклад, програмне забезпечення, отримане із загальнодоступних зовнішніх джерел).
Крім того, передбачається, що ці особи могли б мати в своєму розпорядженні спеціалізованим обладнанням.
До осіб категорій I і II з огляду на їх виняткову роль в ІСПДН повинен застосовуватися комплекс особливих організаційно-режимних заходів щодо їх добору, прийняття на роботу, призначення на посаду та контроль за виконанням функціональних обов'язків.
Передбачається, що до осіб категорій I і II включатимуться лише довірені особи і тому зазначені особи виключаються з-поміж ймовірних порушників.
Передбачається, що особи категорій III-VIII належать до можливих порушників.
Можливості внутрішнього порушника суттєво залежать
від діючих у межах контрольованої зони режимних
та організаційно-технічних заходів захисту, у тому числі щодо допуску фізичних осіб до ПДН та контролю порядку проведення робіт.
Внутрішні потенційні порушники поділяються на вісім категорій залежно від способу доступу та повноважень доступу до ПДН.
Необхідним для вірусописачів та кібер-злочинців завданням є впровадження вірусу, черв'яка або троянської програми у комп'ютер-жертву або мобільний телефон. Досягається ця мета у різний спосіб, які поділяються на дві основні категорії:
- соціальна інженерія (також використовується термін «соціальний інжиніринг» - калька з англійської «social engineering»);
- технічні прийоми впровадження шкідливого коду в систему без відома користувача.
Часто ці способи використовують одночасно. При цьому часто використовуються спеціальні заходи щодо протидії антивірусним програмам.
Соціальна інженерія
Методи соціальної інженерії в той чи інший спосіб змушують користувача запустити заражений файл або відкрити посилання на заражений веб-сайт. Ці методи застосовуються як численними поштовими черв'яками, а й іншими видами шкідливого програмного забезпечення.
Завдання хакерів та вірусописачів - привернути увагу користувача до зараженого файлу (або HTTP-посилання на заражений файл), зацікавити користувача, змусити його натиснути на файл (або на посилання на файл). «Класикою жанру» є гучний у травні 2000 року поштовий черв'як LoveLetter, який досі зберігає лідерство за масштабом завданих фінансових збитків, згідно з даними від Computer Economics. Повідомлення, яке хробак виводив на екран, виглядало так:
На визнання "I LOVE YOU" зреагували дуже багато, і в результаті поштові сервери великих компаній не витримали навантаження - черв'як розсилав свої копії по всіх контактах з адресної книги при кожному відкритті вкладеного VBS-файлу.
Поштовий черв'як Mydoom, який «рванув» в інтернеті в січні 2004 р., використовував тексти, що імітують технічні повідомлення поштового сервера.
Варто також згадати хробака Swen, який видавав себе за повідомлення від компанії Microsoft і маскувався під патч, що усуває ряд нових вразливостей у Windows (не дивно, що багато користувачів піддалися на заклик встановити «чергову латку від Microsoft»).
Трапляються й казуси, один із яких стався у листопаді 2005. В одній із версій хробака Sober повідомлялося, що німецька кримінальна поліція розслідує випадки відвідування нелегальних веб-сайтів. Цей лист потрапив до любителя дитячої порнографії, який прийняв його за офіційний лист, – і слухняно здався владі.
Останнім часом особливої популярності набули не файли, вкладені в лист, а посилання на файли, розташовані на зараженому сайті. Потенційній жертві відправляється повідомлення – поштове, через ICQ або інший пейджер, рідше – через інтернет-чати IRC (у разі мобільних вірусів звичайним способом доставки є SMS-повідомлення). Повідомлення містить будь-який привабливий текст, що змушує користувача, що нічого не підозрює, клікнути на посилання. Цей спосібпроникнення в комп'ютери-жертви на сьогоднішній день є найпопулярнішим і дієвим, оскільки дозволяє оминати пильні антивірусні фільтри на поштових серверах.
Використовуються також можливості файлообмінних мереж (P2P-мережі). Черв'як або троянська програма викладається в P2P-мережу під різноманітними «смачними» назвами, наприклад:
- AIM & AOL Password Hacker.exe
- Microsoft CD Key Generator.exe
- PornStar3D.exe
- play station emulator crack.exe
У пошуку нових програм користувачі P2P-мереж натикаються на ці імена, завантажують файли та запускають їх на виконання.
Також досить популярні «розводки», коли жертві підсовують безкоштовну утиліту або інструкцію зі злому різних платіжних систем. Наприклад, пропонують отримати безкоштовний доступдо інтернету або стільникового оператора, скачати генератор номерів кредитних карток, збільшити суму грошей у персональному інтернет-гаманці тощо. Природно, що постраждалі від подібного шахрайства навряд чи звертатимуться до правоохоронних органів (адже, по суті, вони самі намагалися заробити шахрайським способом), і інтернет-злочинці цим користуються.
Незвичайний спосіб розведення використовував невідомий зловмисник з Росії в 2005-2006 роках. Троянська програма розсилалася на адреси, виявлені на веб-сайті job.ru, що спеціалізується на працевлаштуванні та пошуку персоналу. Деякі з тих, хто публікував там свої резюме, отримували пропозицію про роботу з вкладеним у лист файлом, який пропонувалося відкрити і ознайомитися з його вмістом. Файл був, звісно, троянської програмою. Цікаво також те, що атака проводилася в основному на корпоративні поштові адреси. Розрахунок, мабуть, будувався на тому, що співробітники компаній навряд чи повідомлятимуть про джерело зараження. Так воно і сталося – фахівці «Лабораторії Касперського» більше півроку не могли отримати виразної інформації про метод проникнення троянської програми до комп'ютерів користувачів.
Бувають і досить екзотичні випадки, наприклад, лист із вкладеним документом, у якому клієнта банку просять підтвердити (вірніше – повідомити) свої коди доступу – роздрукувати документ, заповнити форму, що додається, а потім відправити її факсом на вказаний у листі телефонний номер.
Інший незвичайний випадок доставки шпигунської програми«дому» стався Японії восени 2005. Деякі зловмисники розіслали заражені троянським шпигуном CD-диски на домашні адреси (місто, вулиця, будинок) клієнтів однієї з японських банків. При цьому використовувалася інформація із заздалегідь вкраденої клієнтської бази цього банку.
Технології впровадження
Ці технології використовуються зловмисниками для впровадження в систему шкідливого коду потай, не привертаючи уваги власника комп'ютера. Здійснюється це через уразливості у системі безпеки операційних систем та у програмному забезпеченні. Наявність уразливостей дозволяє виготовленому зловмисником мережевому хробакові або троянській програмі проникнути в комп'ютер-жертву та самостійно запустити себе на виконання.
Вразливості є по суті помилками в коді або в логіці роботи різних програм. Сучасні операційні системи та додатки мають складну структуру та великий функціонал, і уникнути помилок при їх проектуванні та розробці просто неможливо. Цим і користуються вірусописьменники та комп'ютерні зловмисники.
Вразливістю в поштових клієнтів Outlook користувалися поштові черв'яки Nimda та Aliz. Щоб запустити файл черв'яка, достатньо було відкрити заражений лист або просто навести на нього курсор у вікні попереднього перегляду.
Також шкідливі програми активно використовували уразливості у мережевих компонентах операційних систем. Для свого поширення такими вразливими користувалися хробаки CodeRed, Sasser, Slammer, Lovesan (Blaster) та багато інших хробаків, що працюють під ОС Windows. Під удар потрапили і Linux-системи - черв'яки Ramen і Slapper проникали на комп'ютери через уразливості в цьому операційному середовищі та додатках для неї.
В останні роки одним з найпопулярніших методів зараження стало використання шкідливого коду через веб-сторінки. При цьому часто використовуються уразливості в інтернет-браузерах. На веб-сторінку розміщується заражений файл та скрипт-програма, яка використовує вразливість у браузері. При заході користувача на заражену сторінку спрацьовує скрипт-програма, яка через вразливість закачує заражений файл на комп'ютер і запускає його на виконання. В результаті для зараження великої кількості комп'ютерів достатньо заманити якнайбільше користувачів на таку веб-сторінку. Це досягається різними способами, наприклад, розсилкою спаму із зазначенням адреси сторінки, розсилкою аналогічних повідомлень через інтернет-пейджери, іноді для цього використовують навіть пошукові машини. На зараженій сторінці розміщується різноманітний текст, який рано чи пізно обраховується пошуковими машинами - і посилання на цю сторінку надається у списку інших сторінок у результатах пошуку.
Окремим класом стоять троянські програми, які призначені для завантаження та запуску інших троянських програм. Зазвичай ці троянці, які мають дуже невеликий розмір, тим чи іншим чином (наприклад, використовуючи чергову вразливість у системі) «підсовуються» на комп'ютер-жертву, а потім вже самостійно викачують з інтернету та встановлюють інші шкідливі компоненти. Часто такі троянські програми змінюють налаштування браузера на небезпечні, щоб «полегшити дорогу» іншим троянцям.
Вразливості, про які стають відомо, досить оперативно виправляються компаніями-розробниками, проте постійно з'являється інформація про нові вразливості, які відразу починають використовуватися численними хакерами та вірусописувачами. Багато троянських "ботів" використовують нові вразливості для збільшення своєї чисельності, а нові помилки в Microsoft Office відразу починають застосовуватися для впровадження в комп'ютери чергових троянських програм. При цьому, на жаль, має місце тенденція скорочення тимчасового проміжку між появою інформації про чергову вразливість та початком її використання хробаками та троянцями. В результаті компанії-виробники вразливого програмного забезпечення та розробники антивірусних програм опиняються у ситуації цейтноту. Першим необхідно максимально швидко виправити помилку, протестувати результат (зазвичай званий «латкою», «патчем») та розіслати його користувачам, а другим – негайно випустити засіб детектування та блокування об'єктів (файлів, мережевих пакетів), які використовують вразливість.
Одночасне використання технологій впровадження та методів соціальної інженерії
Досить часто комп'ютерними зловмисниками використовуються відразу обидва методи. p align="justify"> Метод соціальної інженерії - для привернення уваги потенційної жертви, а технічний - для збільшення ймовірності проникнення зараженого об'єкта в систему.
Наприклад, поштовий черв'як Mimail поширювався як вкладення в електронного листа. Для того, щоб користувач звернув увагу на лист, в нього вставлявся спеціально оформлений текст, а для запуску копії черв'яка з вкладеного в лист ZIP-архіву - вразливість у браузері Internet Explorer. В результаті при відкритті файлу з архіву черв'як створював на диску свою копію і запускав її на виконання без системних попереджень або додаткових дійкористувача. До речі, цей черв'як був одним із перших, призначених для крадіжки персональної інформації користувачів інтернет-гаманців системи e-gold.
Іншим прикладом є розсилка спаму з темою «Привіт» та текстом «Подивися, що про тебе пишуть». За текстом було посилання на якусь веб-сторінку. Під час аналізу з'ясувалося, що ця веб-сторінка містить скрипт-програму, яка, користуючись ще однією вразливістю в Internet Explorer, завантажує на комп'ютер користувача троянську програму LdPinch, призначену для крадіжки різних паролів.
Протидія антивірусним програмам
Оскільки мета комп'ютерних зловмисників – впровадити шкідливий кодв комп'ютери-жертви, то для цього їм необхідно не тільки змусити користувача запустити заражений файл або проникнути в систему через якусь вразливість, але й непомітно проскочити повз встановлений антивірусний фільтр. Тож не дивно, що зловмисники цілеспрямовано борються з антивірусними програмами. Використовувані ними технічні прийоми дуже різноманітні, але найчастіше зустрічаються такі:
Упаковка та шифрування коду.Значна частина (якщо не більшість) сучасних комп'ютерних черв'яків та троянських програм упаковані чи зашифровані тим чи іншим способом. Більше того, комп'ютерним андеграундом створюються спеціально для цього призначені утиліти упаковки та шифрування. Наприклад, шкідливими виявилися абсолютно всі файли, що зустрілися в інтернеті, оброблені утилітами CryptExe, Exeref, PolyCrypt і деякими іншими.
Для детектування подібних черв'яків і троянців антивірусним програмам доводиться або додавати нові методи розпакування та розшифровки, або додавати сигнатури на кожен зразок шкідливої програми, що знижує якість детектування, оскільки не всі можливі зразки модифікованого коду опиняються в руках антивірусної компанії.
Мутація коду.Розведення троянського коду «сміттєвими» інструкціями. В результаті функціонал троянської програми зберігається, але змінюється її «зовнішній вигляд». Періодично трапляються випадки, коли мутація коду відбувається в режимі реального часу - при кожній завантаженні троянської програми із зараженого веб-сайту. Тобто. всі або значна частина зразків троянця, що потрапляють з такого сайту на комп'ютери - різні. Прикладом застосування цієї технології є поштовий черв'як Warezov, кілька версій якого викликали значні епідемії у другій половині 2006 року.
Приховування своєї присутності.Так звані «руткіт-технології» (від англ. «rootkit»), які зазвичай використовуються в троянських програмах. Здійснюється перехоплення та підміна системних функцій, завдяки яким заражений файл не видно. штатними засобамиопераційної системи, ні антивірусними програмами. Іноді ховаються гілки реєстру, в яких реєструється копія троянця, та інші системні області комп'ютера. Дані технології активно використовуються, наприклад, троянцем-бекдор HacDef.
Зупинення роботи антивірусу та системи отримання оновлень антивірусних баз (апдейтів).Багато троянських програм і мережевих червів роблять спеціальні діїпроти антивірусних програм - шукають їх у списку активних програм і намагаються зупинити їхню роботу, псують антивірусні базиданих, блокують отримання оновлень тощо. Антивірусним програмам доводиться захищати себе адекватними способами – стежити за цілісністю баз даних, ховати від троянців свої процеси тощо.
Приховування коду на веб-сайтах.Адреси веб-сторінок, на яких присутні троянські файли, рано чи пізно стають відомими антивірусним компаніям. Природно, що подібні сторінки потрапляють під пильну увагу антивірусних аналітиків – вміст сторінки періодично завантажується, нові версії троянських програм заносяться до антивірусні оновлення. Для протидії цьому веб-сторінка модифікується спеціальним чином - якщо запит йде з адреси антивірусної компанії, то завантажується якийсь нетроянський файл замість троянського.
Атака кількістю.Генерація та розповсюдження в інтернеті великої кількості нових версій троянських програм за короткий проміжок часу. В результаті антивірусні компанії виявляються "завалені" новими зразками, на аналіз яких потрібен час, що дає зловмисному коду додатковий шанс для успішного впровадження в комп'ютери.
Ці та інші методи використовують комп'ютерний андеграунд для протидії антивірусним програмам. При цьому активність кіберзлочинців зростає рік за роком, і зараз можна говорити про справжню «гонку технологій», яка розгорнулася між антивірусною індустрією та вірусною індустрією. Одночасно зростає кількість хакерів-індивідуалів та злочинних груп, а також їхній професіоналізм. Все це разом значно збільшує складність та обсяг роботи, необхідної антивірусним компаніям для розробки засобів захисту достатнього рівня.
Загроза полягає в прагненні запустити на хості ІСПД різні попередньо запроваджені шкідливі програми: програми-закладки, віруси, «мережеві шпигуни», основна мета яких - порушення конфіденційності, цілісності, доступності інформації та повний контроль за роботою хоста. Крім того, можливий несанкціонований запуск прикладних програм користувачів для несанкціонованого отримання необхідних порушнику даних для запуску керованих прикладною програмою процесів та ін.
Виділяють три підкласи даних загроз:
Поширення файлів, що містять несанкціонований код, що виконується;
Віддалений запуск програми шляхом переповнення буфера додатків-серверів;
Віддалений запуск програми шляхом використання можливостей віддаленого керуваннясистемою, що надаються прихованими програмними та апаратними закладками, або використовуваними штатними засобами.
Типові загрози першого із зазначених підкласів ґрунтуються на активізації файлів, що розповсюджуються, при випадковому зверненні до них. Прикладами таких файлів можуть бути: файли, що містять код, що виконується у вигляді документи, що містять виконуваний код у вигляді елементів ActiveX, Java-аплетів, що інтерпретуються скриптів (наприклад, тексти на JavaScript); файли, що містять коди програм, що виконуються. Для поширення файлів можуть використовуватись служби електронної пошти, передачі файлів, мережної файлової системи.
За загроз другого підкласу використовуються недоліки програм, що реалізують мережеві сервіси(зокрема відсутність контролю за переповненням буфера). Налаштуванням системних регістрів іноді вдається переключити процесор після переривання, викликаного переповненням буфера, виконання коду, що міститься за кордоном буфера. Прикладом такої загрози може бути використання широко відомого «вірусу Морріса».
При загрозах третього підкласу порушник використовує можливості віддаленого керування системою, що надаються прихованими компонентами (наприклад, «троянськими» програмами типу Back. Orifice, Net Bus), або штатними засобами управління та адміністрування комп'ютерних мереж (Landesk Management Suite, Managewise, Back Orifice тощо). п.). В результаті їх використання вдається домогтися віддаленого контролю за станцією в мережі.
є малоймовірною.
Узагальнений список ймовірності реалізації загроз для різних типівІСПДн представлений у таблиці 12.
Таблиця 12
Загрози впровадження через мережу шкідливих програм
До шкідливих програм, що впроваджуються по мережі, відносяться віруси, які для свого поширення активно використовують протоколи та можливості локальних та глобальних мереж. Основним принципом роботи вірусу є можливість самостійно передати свій код на віддалений сервер або робочу станцію. "Повноцінні" мережеві віруси при цьому мають ще й можливість запустити на виконання свій код на віддаленому комп'ютері або, принаймні, "підштовхнути" користувача до запуску зараженого файлу.
Шкідливими програмами, що забезпечують здійснення НСД, можуть бути:
Програми підбору та розкриття паролів;
Програми, які реалізують загрози;
Програми, що демонструють використання недекларованих можливостей програмного та програмно-апаратного забезпечення ІСПДН;
Програми-генератори комп'ютерних вірусів;
Програми, що демонструють уразливість засобів захисту інформації та ін.
Якщо в Установі оброблювані ПДН не пересилаються мережами загального користуваннята міжнародного обміну, встановлена антивірусний захист, то можливість реалізації загрози – є малоймовірною.
У всіх інших випадках має бути оцінена можливість реалізації загрози.
Узагальнений список ймовірності реалізації загроз різних типів ИСПДн представлений у таблиці 13.
Таблиця 13
Реалізація загроз
За підсумками оцінки рівня захищеності (Y 1) (розділ 7) та ймовірності реалізації загрози (Y 2) (розділ 9), розраховується коефіцієнт реалізованості загрози (Y) та визначається можливість реалізації загрози (таблиця 4). Коефіцієнт реалізованості загрози Y визначатиметься співвідношенням Y = (Y 1 + Y 2)/20
Визначення реалізованості загроз провадиться на підставі Звіту про результати проведення внутрішньої перевірки.
Узагальнений список оцінки реалізованості УБПДН для різних типів ІСПДН наведено в таблицях 14-23.
Таблиця 14 - Автономна ІС I типу
| Тип загроз безпеки ПДН | Можливість реалізації | |
| 0,25 | низька | |
| 0,25 | низька | |
| 0,25 | низька | |
| 2.1.1. Крадіжка ПЕОМ | 0,25 | низька |
| 0,25 | низька | |
| 0,25 | низька | |
| 0,25 | низька | |
| 0,25 | низька | |
| 0,25 | низька | |
| 0,25 | низька | |
| 0,35 | середня | |
| 0,25 | низька | |
| 0,25 | низька | |
| 0,35 | середня | |
| 0,25 | низька | |
| 0,25 | низька | |
| 0,25 | низька | |
| 0,25 | низька | |
| 2.3.6. Стихійне лихо | 0,25 | низька |
| 0,25 | низька | |
| 0,35 | середня | |
| 0,25 | низька | |
| 0,25 | низька | |
| 0,25 | низька | |
| 0,25 | низька | |
| 0,25 | низька | |
| 0,25 | низька | |
| 0,25 | низька | |
| 0,25 | низька | |
| 0,25 | низька | |
| 0,25 | низька | |
| 0,25 | низька |
Таблиця 15 - Автономна ІС II типу
| Тип загроз безпеки ПДН | Коефіцієнт реалізованості загрози (Y) | Можливість реалізації |
| 1. Загрози від витоку технічних каналів. | ||
| 1.1. Загрози витоку акустичної інформації | 0,25 | низька |
| 1.2. Загрози витоку видової інформації | 0,25 | низька |
| 1.3. Загрози витоку інформації на каналах ПЕМІН | 0,25 | низька |
| 2. Загрози несанкціонованого доступу до інформації. | ||
| 2.1. Загрози знищення, розкрадання апаратних засобів ІСПДН носіїв інформації шляхом фізичного доступу до елементів ІСПДН | ||
| 2.1.1. Крадіжка ПЕОМ | 0,25 | низька |
| 2.1.2. Крадіжка носіїв інформації | 0,25 | низька |
| 2.1.3. Крадіжка ключів та атрибутів доступу | 0,25 | низька |
| 2.1.4. Крадіжки, модифікації, знищення інформації | 0,25 | низька |
| 2.1.5. Виведення з ладу вузлів ПЕОМ, каналів зв'язку | 0,25 | низька |
| 2.1.6. Несанкціонований доступ до інформації при технічне обслуговування(ремонт, знищення) вузлів ПЕОМ | 0,25 | низька |
| 2.1.7. Несанкціоноване відключення засобів захисту | 0,25 | низька |
| 2.2. Загрози розкрадання, несанкціонованої модифікації або блокування інформації за рахунок несанкціонованого доступу (НСД) із застосуванням програмно-апаратних та програмних засобів(У тому числі програмно-математичних впливів). | ||
| 2.2.1. Дії шкідливих програм (вірусів) | 0,35 | середня |
| 2.2.2. Недекларовані можливості системного ПЗ та ПЗ для обробки персональних даних | 0,25 | низька |
| 2.2.3. Встановлення ПЗ не пов'язаного з виконанням службових обов'язків | 0,25 | низька |
| 2.3. Загрози ненавмисних дій користувачів та порушень безпеки функціонування ІСПДн та СЗПДн у її складі через збоїв у програмному забезпеченні, а також від загроз неантропогенного (збоїв апаратури через ненадійність елементів, збоїв електроживлення) та стихійного (ударів блискавок, пожеж, повеней) т.п.) характеру. | ||
| 2.3.1. Втрата ключів та атрибутів доступу | 0,35 | середня |
| 2.3.2. Ненавмисна модифікація (знищення) інформації співробітниками | 0,25 | низька |
| 2.3.3. Ненавмисне відключення засобів захисту | 0,25 | низька |
| 2.3.4. Вихід з ладу апаратно-програмних засобів | 0,25 | низька |
| 2.3.5. Збій системи електропостачання | 0,25 | низька |
| 2.3.6. Стихійне лихо | 0,25 | низька |
| 2.4. Загрози навмисних дій внутрішніх порушників | ||
| 2.4.1. Доступ до інформації, модифікація, знищення осіб, які не допущені до її обробки | 0,25 | низька |
| 2.4.2. Розголошення інформації, модифікація, знищення працівниками допущеними до її обробки | 0,35 | середня |
| 2.5.Погрози несанкціонованого доступу каналами зв'язку. | ||
| 2.5.1.Погроза «Аналіз мережного трафіку» з перехопленням інформації, що передається з ІСПДн і приймається із зовнішніх мереж: | ||
| 2.5.1.1. Перехоплення за переділами з контрольованої зони | 0,35 | середня |
| 2.5.1.2. Перехоплення в межах контрольованої зони зовнішніми порушниками | 0,25 | низька |
| 2.5.1.3.Перехоплення в межах контрольованої зони внутрішніми порушниками. | 0,25 | низька |
| 2.5.2.Загрози сканування, спрямовані на виявлення типу або типів використовуваних операційних систем, мережевих адрес робочих станцій ІСПДн, топології мережі, відкритих портів і служб, відкритих з'єднань та ін. | 0,25 | низька |
| 2.5.3.Погрози виявлення паролів через мережу | 0,35 | середня |
| 2.5.4.Погрози нав'язування хибного маршруту мережі | 0,25 | низька |
| 2.5.5.Загрози заміни довіреного об'єкта в мережі | 0,25 | низька |
| 2.5.6.Загрози впровадження помилкового об'єкта як в ІСПДн, так і в зовнішніх мережах | 0,25 | низька |
| 2.5.7.Погрози типу «Відмова в обслуговуванні» | 0,25 | низька |
| 2.5.8.Загрози віддаленого запуску додатків | 0,35 | середня |
| 2.5.9.Загрози впровадження через мережу шкідливих програм | 0,35 | середня |
Таблиця 16 - Автономна ІС III типу
| Тип загроз безпеки ПДН | Коефіцієнт реалізованості загрози (Y) | Можливість реалізації |
| 1. Загрози від витоку технічних каналів. | ||
| 1.1. Загрози витоку акустичної інформації | 0,25 | низька |
| 1.2. Загрози витоку видової інформації | 0,25 | низька |
| 1.3. Загрози витоку інформації на каналах ПЕМІН | 0,25 | низька |
| 2. Загрози несанкціонованого доступу до інформації. | ||
| 2.1. Загрози знищення, розкрадання апаратних засобів ІСПДН носіїв інформації шляхом фізичного доступу до елементів ІСПДН | ||
| 2.1.1. Крадіжка ПЕОМ | 0,25 | низька |
| 2.1.2. Крадіжка носіїв інформації | 0,25 | низька |
| 2.1.3. Крадіжка ключів та атрибутів доступу | 0,25 | низька |
| 2.1.4. Крадіжки, модифікації, знищення інформації | 0,25 | низька |
| 2.1.5. Виведення з ладу вузлів ПЕОМ, каналів зв'язку | 0,25 | низька |
| 2.1.6. Несанкціонований доступ до інформації при технічному обслуговуванні (ремонті, знищенні) вузлів ПЕОМ | 0,25 | низька |
| 2.1.7. Несанкціоноване відключення засобів захисту | 0,25 | низька |
| 2.2. Загрози розкрадання, несанкціонованої модифікації чи блокування інформації з допомогою несанкціонованого доступу (НСД) із застосуванням програмно-апаратних і програмних засобів (зокрема програмно-математичних впливів). | ||
| 2.2.1. Дії шкідливих програм (вірусів) | 0,35 | середня |
| 2.2.2. Недекларовані можливості системного ПЗ та ПЗ для обробки персональних даних | 0,25 | низька |
| 2.2.3. Встановлення ПЗ не пов'язаного з виконанням службових обов'язків | 0,25 | низька |
| 2.3. Загрози ненавмисних дій користувачів та порушень безпеки функціонування ІСПДн та СЗПДн у її складі через збоїв у програмному забезпеченні, а також від загроз неантропогенного (збоїв апаратури через ненадійність елементів, збоїв електроживлення) та стихійного (ударів блискавок, пожеж, повеней) т.п.) характеру. | ||
| 2.3.1. Втрата ключів та атрибутів доступу | 0,35 | середня |
| 2.3.2. Ненавмисна модифікація (знищення) інформації співробітниками | 0,25 | низька |
| 2.3.3. Ненавмисне відключення засобів захисту | 0,25 | низька |
| 2.3.4. Вихід з ладу апаратно-програмних засобів | 0,25 | низька |
| 2.3.5. Збій системи електропостачання | 0,25 | низька |
| 2.3.6. Стихійне лихо | 0,25 | низька |
| 2.4. Загрози навмисних дій внутрішніх порушників | ||
| 2.4.1. Доступ до інформації, модифікація, знищення осіб, які не допущені до її обробки | 0,25 | низька |
| 2.4.2. Розголошення інформації, модифікація, знищення працівниками допущеними до її обробки | 0,35 | середня |
| 2.5.Погрози несанкціонованого доступу каналами зв'язку. | ||
| 2.5.1.Погроза «Аналіз мережного трафіку» з перехопленням інформації, що передається з ІСПДн і приймається із зовнішніх мереж: | ||
| 2.5.1.1. Перехоплення за переділами з контрольованої зони | 0,25 | низька |
| 2.5.1.2. Перехоплення в межах контрольованої зони зовнішніми порушниками | 0,25 | низька |
| 2.5.1.3.Перехоплення в межах контрольованої зони внутрішніми порушниками. | 0,25 | низька |
| 2.5.2.Загрози сканування, спрямовані на виявлення типу або типів використовуваних операційних систем, мережевих адрес робочих станцій ІСПДн, топології мережі, відкритих портів і служб, відкритих з'єднань та ін. | 0,25 | низька |
| 2.5.3.Погрози виявлення паролів через мережу | 0,25 | низька |
| 2.5.4.Погрози нав'язування хибного маршруту мережі | 0,25 | низька |
| 2.5.5.Загрози заміни довіреного об'єкта в мережі | 0,25 | низька |
| 2.5.6.Загрози впровадження помилкового об'єкта як в ІСПДн, так і в зовнішніх мережах | 0,25 | низька |
| 2.5.7.Погрози типу «Відмова в обслуговуванні» | 0,25 | низька |
| 2.5.8.Загрози віддаленого запуску додатків | 0,25 | низька |
| 2.5.9.Загрози впровадження через мережу шкідливих програм | 0,25 | низька |
Таблиця 17 - Автономна ІС IV типу
| Тип загроз безпеки ПДН | Коефіцієнт реалізованості загрози (Y) | Можливість реалізації |
| 1. Загрози від витоку технічних каналів. | ||
| 1.1. Загрози витоку акустичної інформації | 0,25 | низька |
| 1.2. Загрози витоку видової інформації | 0,25 | низька |
| 1.3. Загрози витоку інформації на каналах ПЕМІН | 0,25 | низька |
| 2. Загрози несанкціонованого доступу до інформації. | ||
| 2.1. Загрози знищення, розкрадання апаратних засобів ІСПДН носіїв інформації шляхом фізичного доступу до елементів ІСПДН | ||
| 2.1.1. Крадіжка ПЕОМ | 0,25 | низька |
| 2.1.2. Крадіжка носіїв інформації | 0,25 | низька |
| 2.1.3. Крадіжка ключів та атрибутів доступу | 0,25 | низька |
| 2.1.4. Крадіжки, модифікації, знищення інформації | 0,25 | низька |
| 2.1.5. Виведення з ладу вузлів ПЕОМ, каналів зв'язку | 0,25 | низька |
| 2.1.6. Несанкціонований доступ до інформації при технічному обслуговуванні (ремонті, знищенні) вузлів ПЕОМ | 0,25 | низька |
| 2.1.7. Несанкціоноване відключення засобів захисту | 0,25 | низька |
| 2.2. Загрози розкрадання, несанкціонованої модифікації чи блокування інформації з допомогою несанкціонованого доступу (НСД) із застосуванням програмно-апаратних і програмних засобів (зокрема програмно-математичних впливів). | ||
| 2.2.1. Дії шкідливих програм (вірусів) | 0,35 | середня |
| 2.2.2. Недекларовані можливості системного ПЗ та ПЗ для обробки персональних даних | 0,25 | низька |
| 2.2.3. Встановлення ПЗ не пов'язаного з виконанням службових обов'язків | 0,25 | низька |
| 2.3. Загрози ненавмисних дій користувачів та порушень безпеки функціонування ІСПДн та СЗПДн у її складі через збоїв у програмному забезпеченні, а також від загроз неантропогенного (збоїв апаратури через ненадійність елементів, збоїв електроживлення) та стихійного (ударів блискавок, пожеж, повеней) т.п.) характеру. | ||
| 2.3.1. Втрата ключів та атрибутів доступу | 0,35 | середня |
| 2.3.2. Ненавмисна модифікація (знищення) інформації співробітниками | 0,25 | низька |
| 2.3.3. Ненавмисне відключення засобів захисту | 0,25 | низька |
| 2.3.4. Вихід з ладу апаратно-програмних засобів | 0,25 | низька |
| 2.3.5. Збій системи електропостачання | 0,25 | низька |
| 2.3.6. Стихійне лихо | 0,25 | низька |
| 2.4. Загрози навмисних дій внутрішніх порушників | ||
| 2.4.1. Доступ до інформації, модифікація, знищення осіб, які не допущені до її обробки | 0,25 | низька |
| 2.4.2. Розголошення інформації, модифікація, знищення працівниками допущеними до її обробки | 0,35 | середня |
| 2.5.Погрози несанкціонованого доступу каналами зв'язку. | ||
| 2.5.1.Погроза «Аналіз мережного трафіку» з перехопленням інформації, що передається з ІСПДн і приймається із зовнішніх мереж: | ||
| 2.5.1.1. Перехоплення за переділами з контрольованої зони | 0,35 | середня |
| 2.5.1.2. Перехоплення в межах контрольованої зони зовнішніми порушниками | 0,25 | низька |
| 2.5.1.3.Перехоплення в межах контрольованої зони внутрішніми порушниками. | 0,25 | низька |
| 2.5.2.Загрози сканування, спрямовані на виявлення типу або типів використовуваних операційних систем, мережевих адрес робочих станцій ІСПДн, топології мережі, відкритих портів і служб, відкритих з'єднань та ін. | 0,25 | низька |
| 2.5.3.Погрози виявлення паролів через мережу | 0,35 | середня |
| 2.5.4.Погрози нав'язування хибного маршруту мережі | 0,25 | низька |
| 2.5.5.Загрози заміни довіреного об'єкта в мережі | 0,25 | низька |
| 2.5.6.Загрози впровадження помилкового об'єкта як в ІСПДн, так і в зовнішніх мережах | 0,25 | низька |
| 2.5.7.Погрози типу «Відмова в обслуговуванні» | 0,25 | низька |
| 2.5.8.Загрози віддаленого запуску додатків | 0,35 | середня |
| 2.5.9.Загрози впровадження через мережу шкідливих програм | 0,35 | середня |
Таблиця 18 - Автономна ІС V типу
| Тип загроз безпеки ПДН | Коефіцієнт реалізованості загрози (Y) | Можливість реалізації |
| 1. Загрози від витоку технічних каналів. | ||
| 1.1. Загрози витоку акустичної інформації | 0,25 | низька |
| 1.2. Загрози витоку видової інформації | 0,25 | низька |
| 1.3. Загрози витоку інформації на каналах ПЕМІН | 0,25 | низька |
| 2. Загрози несанкціонованого доступу до інформації. | ||
| 2.1. Загрози знищення, розкрадання апаратних засобів ІСПДН носіїв інформації шляхом фізичного доступу до елементів ІСПДН | ||
| 2.1.1. Крадіжка ПЕОМ | 0,25 | низька |
| 2.1.2. Крадіжка носіїв інформації | 0,25 | низька |
| 2.1.3. Крадіжка ключів та атрибутів доступу | 0,25 | низька |
| 2.1.4. Крадіжки, модифікації, знищення інформації | 0,25 | низька |
| 2.1.5. Виведення з ладу вузлів ПЕОМ, каналів зв'язку | 0,25 | низька |
| 2.1.6. Несанкціонований доступ до інформації при технічному обслуговуванні (ремонті, знищенні) вузлів ПЕОМ | 0,25 | низька |
| 2.1.7. Несанкціоноване відключення засобів захисту | 0,25 | низька |
| 2.2. Загрози розкрадання, несанкціонованої модифікації чи блокування інформації з допомогою несанкціонованого доступу (НСД) із застосуванням програмно-апаратних і програмних засобів (зокрема програмно-математичних впливів). | ||
| 2.2.1. Дії шкідливих програм (вірусів) | 0,35 | середня |
| 2.2.2. Недекларовані можливості системного ПЗ та ПЗ для обробки персональних даних | 0,25 | низька |
| 2.2.3. Встановлення ПЗ не пов'язаного з виконанням службових обов'язків | 0,25 | низька |
| 2.3. Загрози ненавмисних дій користувачів та порушень безпеки функціонування ІСПДн та СЗПДн у її складі через збоїв у програмному забезпеченні, а також від загроз неантропогенного (збоїв апаратури через ненадійність елементів, збоїв електроживлення) та стихійного (ударів блискавок, пожеж, повеней) т.п.) характеру. | ||
| 2.3.1. Втрата ключів та атрибутів доступу | 0,35 | середня |
| 2.3.2. Ненавмисна модифікація (знищення) інформації співробітниками | 0,25 | низька |
| 2.3.3. Ненавмисне відключення засобів захисту | 0,25 | низька |
| 2.3.4. Вихід з ладу апаратно-програмних засобів | 0,25 | низька |
| 2.3.5. Збій системи електропостачання | 0,25 | низька |
| 2.3.6. Стихійне лихо | 0,25 | низька |
| 2.4. Загрози навмисних дій внутрішніх порушників | ||
| 2.4.1. Доступ до інформації, модифікація, знищення осіб, які не допущені до її обробки | 0,25 | низька |
| 2.4.2. Розголошення інформації, модифікація, знищення працівниками допущеними до її обробки | 0,35 | середня |
| 2.5.Погрози несанкціонованого доступу каналами зв'язку. | ||
| 2.5.1.Погроза «Аналіз мережного трафіку» з перехопленням інформації, що передається з ІСПДн і приймається із зовнішніх мереж: | ||
| 2.5.1.1. Перехоплення за переділами з контрольованої зони | 0,25 | низька |
| 2.5.1.2. Перехоплення в межах контрольованої зони зовнішніми порушниками | 0,25 | низька |
| 2.5.1.3.Перехоплення в межах контрольованої зони внутрішніми порушниками. | 0,25 | низька |
| 2.5.2.Загрози сканування, спрямовані на виявлення типу або типів використовуваних операційних систем, мережевих адрес робочих станцій ІСПДн, топології мережі, відкритих портів і служб, відкритих з'єднань та ін. | 0,25 | низька |
| 2.5.3.Погрози виявлення паролів через мережу | 0,25 | низька |
| 2.5.4.Погрози нав'язування хибного маршруту мережі | 0,25 | низька |
| 2.5.5.Загрози заміни довіреного об'єкта в мережі | 0,25 | низька |
| 2.5.6.Загрози впровадження помилкового об'єкта як в ІСПДн, так і в зовнішніх мережах | 0,25 | низька |
| 2.5.7.Погрози типу «Відмова в обслуговуванні» | 0,25 | низька |
| 2.5.8.Загрози віддаленого запуску додатків | 0,25 | низька |
| 2.5.9.Загрози впровадження через мережу шкідливих програм | 0,25 | низька |
Таблиця 19 - Автономна ІС VI типу
| Тип загроз безпеки ПДН | Коефіцієнт реалізованості загрози (Y) | Можливість реалізації |
| 1. Загрози від витоку технічних каналів. | ||
| 1.1. Загрози витоку акустичної інформації | 0,25 | низька |
| 1.2. Загрози витоку видової інформації | 0,25 | низька |
| 1.3. Загрози витоку інформації на каналах ПЕМІН | 0,25 | низька |
| 2. Загрози несанкціонованого доступу до інформації. | ||
| 2.1. Загрози знищення, розкрадання апаратних засобів ІСПДН носіїв інформації шляхом фізичного доступу до елементів ІСПДН | ||
| 2.1.1. Крадіжка ПЕОМ | 0,25 | низька |
| 2.1.2. Крадіжка носіїв інформації | 0,25 | низька |
| 2.1.3. Крадіжка ключів та атрибутів доступу | 0,25 | низька |
| 2.1.4. Крадіжки, модифікації, знищення інформації | 0,25 | низька |
| 2.1.5. Виведення з ладу вузлів ПЕОМ, каналів зв'язку | 0,25 | низька |
| 2.1.6. Несанкціонований доступ до інформації при технічному обслуговуванні (ремонті, знищенні) вузлів ПЕОМ | 0,25 | низька |
| 2.1.7. Несанкціоноване відключення засобів захисту | 0,25 | низька |
| 2.2. Загрози розкрадання, несанкціонованої модифікації чи блокування інформації з допомогою несанкціонованого доступу (НСД) із застосуванням програмно-апаратних і програмних засобів (зокрема програмно-математичних впливів). | ||
| 2.2.1. Дії шкідливих програм (вірусів) | 0,35 | середня |
| 2.2.2. Недекларовані можливості системного ПЗ та ПЗ для обробки персональних даних | 0,25 | низька |
| 2.2.3. Встановлення ПЗ не пов'язаного з виконанням службових обов'язків | 0,25 | низька |
| 2.3. Загрози ненавмисних дій користувачів та порушень безпеки функціонування ІСПДн та СЗПДн у її складі через збоїв у програмному забезпеченні, а також від загроз неантропогенного (збоїв апаратури через ненадійність елементів, збоїв електроживлення) та стихійного (ударів блискавок, пожеж, повеней) т.п.) характеру. | ||
| 2.3.1. Втрата ключів та атрибутів доступу | 0,35 | середня |
| 2.3.2. Ненавмисна модифікація (знищення) інформації співробітниками | 0,25 | низька |
| 2.3.3. Ненавмисне відключення засобів захисту | 0,25 | низька |
| 2.3.4. Вихід з ладу апаратно-програмних засобів | 0,25 | низька |
| 2.3.5. Збій системи електропостачання | 0,25 | низька |
| 2.3.6. Стихійне лихо | 0,25 | низька |
| 2.4. Загрози навмисних дій внутрішніх порушників | ||
| 2.4.1. Доступ до інформації, модифікація, знищення осіб, які не допущені до її обробки | 0,25 | низька |
| 2.4.2. Розголошення інформації, модифікація, знищення працівниками допущеними до її обробки | 0,35 | середня |
| 2.5.Погрози несанкціонованого доступу каналами зв'язку. | ||
| 2.5.1.Погроза «Аналіз мережного трафіку» з перехопленням інформації, що передається з ІСПДн і приймається із зовнішніх мереж: | ||
| 2.5.1.1. Перехоплення за переділами з контрольованої зони | 0,35 | середня |
| 2.5.1.2. Перехоплення в межах контрольованої зони зовнішніми порушниками | 0,25 | низька |
| 2.5.1.3.Перехоплення в межах контрольованої зони внутрішніми порушниками. | 0,25 | низька |
| 2.5.2.Загрози сканування, спрямовані на виявлення типу або типів використовуваних операційних систем, мережевих адрес робочих станцій ІСПДн, топології мережі, відкритих портів і служб, відкритих з'єднань та ін. | 0,25 | низька |
| 2.5.3.Погрози виявлення паролів через мережу | 0,35 | середня |
| 2.5.4.Погрози нав'язування хибного маршруту мережі | 0,25 | низька |
| 2.5.5.Загрози заміни довіреного об'єкта в мережі | 0,25 | низька |
| 2.5.6.Загрози впровадження помилкового об'єкта як в ІСПДн, так і в зовнішніх мережах | 0,25 | низька |
| 2.5.7.Погрози типу «Відмова в обслуговуванні» | 0,25 | низька |
| 2.5.8.Загрози віддаленого запуску додатків | 0,35 | середня |
| 2.5.9.Загрози впровадження через мережу шкідливих програм | 0,35 | середня |
Таблиця 20 - ЛИС I типу
Діє Редакція від 15.02.2008
"БАЗОВА МОДЕЛЬ ЗАГРОЗ БЕЗПЕКИ ПЕРСОНАЛЬНИХ ДАНИХ ПРИ ЇХ ОБРОБЦІ В ІНФОРМАЦІЙНИХ СИСТЕМАХ ПЕРСОНАЛЬНИХ ДАНИХ" (утв. 15.02.2008 ФСТЕК РФ)
5. Загрози несанкціонованого доступу до інформації в інформаційній системі персональних даних
Загрози НСД в ІСПДн із застосуванням програмних та програмно-апаратних засобів реалізуються при здійсненні несанкціонованого, у тому числі випадкового, доступу, внаслідок якого здійснюється порушення конфіденційності (копіювання, несанкціоноване поширення), цілісності (знищення, зміна) та доступності (блокування) ПДн, і включають:
загрози доступу (проникнення) до операційного середовища комп'ютера з використанням штатного програмного забезпечення (засобів операційної системи або прикладних програм загального застосування);
Загрози створення позаштатних режимів роботи програмних (програмно-апаратних) коштів за рахунок навмисних змін службових даних, ігнорування передбачених у штатних умовах обмежень на склад та характеристики інформації, що обробляється, спотворення (модифікації) самих даних тощо;
загрози запровадження шкідливих програм (програмно-математичного впливу).
Склад елементів опису загроз НСД до інформації в ИСПДн наведено малюнку 3.
Крім цього, можливі комбіновані загрози, що є поєднанням зазначених загроз. Наприклад, за рахунок впровадження шкідливих програм можуть створюватись умови для НСД в операційне середовище комп'ютера, у тому числі шляхом формування нетрадиційних інформаційних каналів доступу.
Загрози доступу (проникнення) в операційне середовище ІСПД з використанням штатного програмного забезпечення поділяються на загрози безпосереднього та віддаленого доступу. Загрози безпосереднього доступу здійснюються з використанням програмних та програмно-апаратних засобів введення/виведення комп'ютера. Загрози віддаленого доступу реалізуються з допомогою протоколів мережевої взаємодії.
Ці загрози реалізуються щодо ІСПДн як на базі автоматизованого робочого місця, не включеного в мережі зв'язку загального користування, так і стосовно всіх ІСПДн, що мають підключення до мереж зв'язку загального користування та мереж міжнародного інформаційного обміну.
Опис погроз доступу (проникнення) в операційне середовище комп'ютера формально може бути представлений таким чином:
загроза НСД в ІСПДн: =<источник угрозы>, <уязвимость ИСПДн>, <способ реализации угрозы>, <объект воздействия (программа, протокол, данные и др.)>, <деструктивное действие>.
Рисунок 3. Елементи опису загроз НДД до інформації в ІСПДН
Загрози створення позаштатних режимів роботи програмних (програмно-апаратних) засобів - це загрози "відмовлення в обслуговуванні". Як правило, дані загрози розглядаються стосовно ІСПДн на базі локальних та розподілених інформаційних систем незалежно від підключення інформаційного обміну. Їхня реалізація обумовлена тим, що при розробці системного або прикладного програмного забезпечення не враховується можливість навмисних дій щодо цілеспрямованої зміни:
умов обробки даних (наприклад, ігнорування обмежень на довжину пакета повідомлення);
Форматів подання даних (з невідповідністю змінених форматів, встановлених для обробки за протоколами мережевої взаємодії);
Програмне забезпечення обробки даних.
В результаті реалізації загроз "Відмову в обслуговуванні" відбувається переповнення буферів та блокування процедур обробки, "зациклювання" процедур обробки та "зависання" комп'ютера, відкидання пакетів повідомлень та ін. Опис таких загроз формально може бути представлений таким чином:
загроза "Відмову в обслуговуванні": =<источник угрозы>, <уязвимость ИСПДн>, <способ реализации угрозы>, <объект воздействия (носитель ПДн)>, <непосредственный результат реализации угрозы (переполнение буфера, блокирование процедуры обработки, "зацикливание" обработки и т.п.)>.
Загрози застосування шкідливих програм (програмно-математичного впливу) недоцільно описувати з тією ж детальністю, як і вищевказані небезпеки. Це пов'язано з тим, що, по-перше, кількість шкідливих програм сьогодні вже значно перевищує сто тисяч. По-друге, при організації захисту інформації на практиці, як правило, достатньо лише знати клас шкідливої програми, способи та наслідки від її впровадження (інфікування). У зв'язку з цим загрози програмно-математичного впливу (ПМВ) формально можуть бути такі:
загроза ПМВ в ІСПДн: =<класс вредоносной программы (с указанием среды обитания)>, <источник угрозы (носитель вредоносной программы)>, <способ инфицирования>, <объект воздействия (загрузочный сектор, файл и т.п.)>, <описание возможных деструктивных действий>, <дополнительная информация об угрозе (резидентность, скорость распространения, полиморфичность и др.)>.
Нижче надається загальна характеристика джерел загроз безпеці інформації, уразливостей, які можуть бути використані при реалізації загроз НДД, та характеристика результатів несанкціонованого чи випадкового доступу. Характеристика способів реалізації загроз дається при описі загроз доступу (проникнення) в операційне середовище комп'ютера, загроз відмови в обслуговуванні та загроз ПМВ.
Джерелами загроз НСД в ІСПД можуть бути:
порушник;
носій шкідливої програми;
апаратне закладання.
Загрози безпеки ПДН, пов'язані з використанням апаратних закладок, визначаються відповідно до нормативних документів Федеральної служби безпеки Російської Федераціїу встановленому нею порядку.
За наявності права постійного або разового доступу в контрольовану зону (КЗ) ІСПД порушники поділяються на два типи:
порушники, які мають доступу до ИСПДн, реалізують загрози із зовнішніх мереж зв'язку загального користування та (або) мереж міжнародного інформаційного обміну, - зовнішні порушники;
порушники, які мають доступ до ІСПДн, включаючи користувачів ІСПДн, що реалізують загрози безпосередньо в ІСПДн, – внутрішні порушники.
Зовнішніми порушниками можуть бути:
розвідувальні служби держав;
Кримінальні структури;
конкуренти (конкуруючі організації);
недобросовісні партнери;
зовнішні суб'єкти (фізичні особи).
Зовнішній порушник має такі можливості:
здійснювати несанкціонований доступ до каналів зв'язку, які виходять за межі службових приміщень;
здійснювати несанкціонований доступ через автоматизовані робочі місця, підключені до мереж зв'язку загального користування та (або) мереж міжнародного інформаційного обміну;
здійснювати несанкціонований доступ до інформації з використанням спеціальних програмних впливів за допомогою програмних вірусів, шкідливих програм, алгоритмічних чи програмних закладок;
Здійснювати несанкціонований доступ через елементи інформаційної інфраструктури ІСПДн, які у процесі свого життєвого циклу (модернізації, супроводу, ремонту, утилізації) опиняються поза контрольованою зоною;
здійснювати несанкціонований доступ через інформаційні системи взаємодіючих відомств, організацій та установ при їх підключенні до ІСПДН.
Можливості внутрішнього порушника істотно залежать від діючих у межах контрольованої зони режимних та організаційно-технічних заходів захисту, у тому числі щодо допуску фізичних осіб до ПДН та контролю порядку проведення робіт.
Внутрішні потенційні порушники поділяються на вісім категорій залежно від способу доступу та повноважень доступу до ПДН.
До першої категорії належать особи, які мають санкціонований доступ до ІСПДн, але не мають доступу до ПДН. До цього типу порушників належать посадові особи, які забезпечують нормальне функціонування ІСПДН.
мати доступ до фрагментів інформації, що містить ПДН і поширюється по внутрішніх каналах зв'язку ІСПДн;
Розташовувати фрагментами інформації про топологію ІСПДн (комунікаційної частини підмережі) та про використовувані комунікаційні протоколи та їх сервіси;
Мати імена і вести виявлення паролів зареєстрованих користувачів;
змінювати конфігурацію технічних засобів ІСПДн, вносити до неї програмно-апаратні закладки та забезпечувати знімання інформації, використовуючи безпосереднє підключення до технічних засобів ІСПДн.
має всі можливості осіб першої категорії;
Знає щонайменше одне легальне ім'я доступу;
Має всі необхідні атрибути (наприклад, паролем), що забезпечують доступ до деякого підмножини ПДн;
має у своєму розпорядженні конфіденційні дані, до яких має доступ.
Його доступ, автентифікація і права доступу до деякого підмножини ПДн повинні регламентуватися відповідними правилами розмежування доступу.
має всі можливості осіб першої та другої категорій;
Має інформацію про топологію ІСПДн на базі локальної та (або) розподіленої інформаційної системи, через яку здійснюється доступ, та про склад технічних засобів ІСПДн;
має можливість прямого (фізичного) доступу до фрагментів технічних засобів ІСПДН.
Має повною інформацієюпро системне та прикладне програмне забезпечення, що використовується в сегменті (фрагменті) ІСПДн;
Володіє повною інформацією про технічні засоби та конфігурацію сегмента (фрагменту) ІСПДн;
має доступ до засобів захисту інформації та протоколювання, а також до окремим елементам, що використовуються у сегменті (фрагменті) ІСПДн;
має доступ до всіх технічних засобів сегменту (фрагменту) ІСПДн;
має права конфігурування та адміністративної настройки деякого підмножини технічних засобів сегмента (фрагменту) ІСПДн.
Має всі можливості осіб попередніх категорій;
володіє повною інформацією про системне та прикладне програмне забезпечення ІСПДн;
володіє повною інформацією про технічні засоби та конфігурацію ІСПДн;
має доступ до всіх технічних засобів обробки інформації та даних ІСПДН;
має права конфігурування та адміністративного налаштування технічних засобів ИСПДн.
Системний адміністратор виконує конфігурування та управління програмним забезпеченням (ПЗ) та обладнанням, включаючи обладнання, що відповідає за безпеку об'єкта, що захищається: засоби криптографічного захистуінформації, моніторингу, реєстрації, архівації, захисту від НСД.
має всі можливості осіб попередніх категорій;
має повну інформацію про ІСПДн;
має доступ до засобів захисту інформації та протоколювання та до частини ключових елементів ІСПДН;
Не має прав доступу до конфігурування технічних засобів мережі, крім контрольних (інспекційних).
Адміністратор безпеки відповідає за дотримання правил розмежування доступу, за створення ключових елементів, зміну паролів. Адміністратор безпеки здійснює аудит тих самих засобів захисту об'єкта, що й системний адміністратор.
володіє інформацією про алгоритми та програми обробки інформації на ІСПДн;
Має можливості внесення помилок, недекларованих можливостей, програмних закладок, шкідливих програм у програмне забезпечення ІСПДн на стадії її розробки, впровадження та супроводу;
може мати у своєму розпорядженні будь-які фрагменти інформації про топологію ІСПДн та технічні засоби обробки та захисту ПДн, що обробляються в ІСПДн.
має можливості внесення закладок у технічні засоби ИСПДн на стадії їх розробки, впровадження та супроводу;
Може мати у своєму розпорядженні будь-які фрагменти інформації про топологію ІСПДн та технічні засоби обробки та захисту інформації в ІСПДн.
Носієм шкідливої програми може бути апаратний елемент комп'ютера або програмний контейнер. Якщо шкідлива програма не асоціюється з якоюсь прикладною програмою, то як її носій розглядаються:
Відчужуваний носій, тобто дискета, оптичний диск(CD-R, CD-RW), флеш-пам'ять, вінчестер, що відчужується, тощо;
Вбудовані носії інформації (вінчестери, мікросхеми оперативної пам'яті, процесор, мікросхеми системної плати, мікросхеми пристроїв, що вбудовуються в системний блок, - відеоадаптера, мережної плати, звукової плати, модему, пристроїв введення/виводу магнітних жорсткихта оптичних дисків, блоку живлення тощо, мікросхеми прямого доступу до пам'яті, шин передачі даних, портів вводу/виводу);
мікросхеми зовнішніх пристроїв(монітора, клавіатури, принтера, модему, сканера тощо).
Якщо шкідлива програма асоціюється з будь-якою прикладною програмою, з файлами, що мають певні розширення або інші атрибути, з повідомленнями, що передаються по мережі, її носіями є:
пакети повідомлень, що передаються по комп'ютерній мережі;
файли (текстові, графічні, виконувані тощо).
5.2. Загальна характеристика уразливостей інформаційної системи персональних данихВразливість інформаційної системи персональних даних - недолік чи слабке місце у системному чи прикладному програмному (програмно-апаратному) забезпеченні автоматизованої інформаційної системи, які можуть бути використані для реалізації загрози безпеці персональних даних.
Причинами виникнення уразливостей є:
помилки при проектуванні та розробці програмного (програмно-апаратного) забезпечення;
навмисні дії щодо внесення вразливостей у ході проектування та розробки програмного (програмно-апаратного) забезпечення;
неправильні налаштування програмного забезпечення, неправомірна зміна режимів роботи пристроїв та програм;
Несанкціоноване впровадження та використання неврахованих програм з подальшим необґрунтованим витрачанням ресурсів (завантаження процесора, захоплення оперативної пам'яті та пам'яті на зовнішніх носіях);
впровадження шкідливих програм, що створюють уразливості у програмному та програмно-апаратному забезпеченні;
несанкціоновані ненавмисні дії користувачів, що призводять до виникнення вразливостей;
збої в роботі апаратного та програмного забезпечення (викликані збоями в електроживленні, виходом з ладу апаратних елементів внаслідок старіння та зниження надійності, зовнішніми впливамиелектромагнітних полів технічних пристроївта ін.).
Класифікація основних уразливостей ИСПДн наведено малюнку 4.
Рисунок 4. Класифікація вразливостей програмного забезпечення
Нижче наведено загальну характеристику основних груп уразливостей ІСПДн, що включають:
уразливості системного програмного забезпечення (у тому числі протоколів мережевої взаємодії);
уразливість прикладного програмного забезпечення (у тому числі засобів захисту інформації).
5.2.1. Загальна характеристика уразливостей системного програмного забезпеченняВразливість системного програмного забезпечення слід розглядати з прив'язкою до архітектури побудови обчислювальних систем.
При цьому можливі уразливості:
у мікропрограмах, у прошивках ПЗП, ППЗП;
у засобах операційної системи, призначених для управління локальними ресурсами ІСПДн (що забезпечують виконання функцій управління процесами, пам'яттю, пристроями вводу/виводу, інтерфейсом з користувачем тощо), драйверах, утилітах;
У засобах операційної системи, призначених до виконання допоміжних функцій, - утилітах (архівування, дефрагментації та інших.), системних обробних програмах (компіляторах, компоновщиках, отладчиках тощо.), програмах надання користувачеві додаткових послуг(спеціальні варіанти інтерфейсу, калькулятори, ігри тощо), бібліотеки процедур різного призначення (бібліотеки математичних функцій, функції вводу/виводу тощо);
у засобах комунікаційної взаємодії ( мережевих засобах) операційної системи.
Вразливості в мікропрограмах та засобах операційної системи, призначених для управління локальними ресурсами та допоміжними функціями, можуть являти собою:
Функції, процедури, зміна параметрів яких певним чином дозволяє їх використовувати для несанкціонованого доступу без виявлення таких змін операційною системою;
фрагменти коду програм ("дірки", "люки"), введені розробником, що дозволяють обходити процедури ідентифікації, автентифікації, перевірки цілісності та ін;
Помилки в програмах (в оголошенні змінних, функцій і процедур, кодах програм), які за певних умов (наприклад, при виконанні логічних переходів) призводять до збоїв, у тому числі до збоїв функціонування засобів та систем захисту інформації.
Уразливості протоколів мережевої взаємодії пов'язані з особливостями їх програмної реалізаціїта обумовлені обмеженнями на розміри застосовуваного буфера, недоліками процедури аутентифікації, відсутністю перевірок правильності службової інформації та ін. Коротка характеристика цих уразливостей стосовно протоколів наведена у таблиці 2.
Таблиця 2
Уразливості окремих протоколів стека протоколів TCP/IP, з урахуванням якого функціонують глобальні мережі загального користування
| Найменування протоколу | Рівень стеку протоколів | Найменування (характеристика) уразливості | Зміст порушення безпеки інформації |
| FTP (File Transfer Protocol) - протокол передачі файлів через мережу | 1. Аутентифікація на базі відкритого тексту (паролі пересилаються в незашифрованому вигляді) 2. За замовчуванням 3. Наявність двох відкритих портів | Можливість перехоплення даних облікового запису(імен зареєстрованих користувачів, паролів). Отримання віддаленого доступу до хостів | |
| telnet - протокол керування віддаленим терміналом | Прикладний, представницький, сеансовий | Аутентифікація на базі відкритого тексту (паролі пересилаються у незашифрованому вигляді) | Можливість перехоплення даних облікового запису користувача. Отримання віддаленого доступу до хостів |
| UDP - протокол передачі даних без встановлення з'єднання | Транспортний | Відсутність механізму запобігання перевантаженням буфера | Можливість реалізації UDP-шторму. В результаті обміну пакетами відбувається суттєве зниження продуктивності сервера |
| ARP - протокол перетворення IP-адреси на фізичну адресу | Мережевий | Аутентифікація на базі відкритого тексту (інформація пересилається у незашифрованому вигляді) | Можливість перехоплення трафіку користувача зловмисником |
| RIP – протокол маршрутної інформації | Транспортний | Відсутність автентифікації керуючих повідомлень про зміну маршруту | Можливість перенаправлення трафіку через хост зловмисника |
| TCP - протокол керування передачею | Транспортний | Відсутність механізму перевірки коректності заповнення службових заголовків пакету | Істотне зниження швидкості обміну і навіть повний розрив довільних з'єднань протоколу TCP |
| DNS - протокол встановлення відповідності мнемонічних імен та мережевих адрес | Прикладний, представницький, сеансовий | Відсутність засобів перевірки аутентифікації отриманих даних від джерела | Фальсифікація відповіді DNS-сервера |
| IGMP - протокол передачі повідомлень про маршрутизацію | Мережевий | Відсутність автентифікації повідомлень про зміну параметрів маршруту | Зависання систем Win 9x/NT/200 |
| SMTP - протокол забезпечення сервісу доставки повідомлень електронною поштою | Прикладний, представницький, сеансовий | Можливість фальшування повідомлень електронної пошти, а також адреси відправника повідомлення | |
| SNMP - протокол управління маршрутизаторами у мережах | Прикладний, представницький, сеансовий | Відсутність підтримки автентифікації заголовків повідомлень | Можливість переповнення пропускної спроможності мережі |
Для систематизації опису безлічі вразливостей використовується єдина база даних уразливостей CVE (Common Vulnerabilities and Exposures), у розробці якої брали участь фахівці багатьох відомих компаній та організацій, таких як MItrE, ISS, Cisco, BindView, Axent, NFR, L-3, CyberSafe, CERT, Carnegie Mellon University, інститут SANS і т.д. Ця база даних постійно поповнюється і використовується для формування баз даних численних програмних засобів аналізу захищеності і, перш за все, мережевих сканерів.
5.2.2. Загальна характеристика уразливостей прикладного програмного забезпеченняДо прикладного програмного забезпечення належать прикладні програми загального користування та спеціальні прикладні програми.
Прикладні програми загального користування - текстові та графічні редактори, медіа-програми (аудіо- та відеопрогравачі, програмні засоби прийому телевізійних програм тощо), системи управління базами даних, програмні платформи загального користування для розробки програмних продуктів(Типу Delphi, Visual Basic), засоби захисту інформації загального користування і т.п.
Спеціальні прикладні програми - це програми, які розробляються на користь вирішення конкретних прикладних завдань у цій ІСПДн (зокрема програмні засоби захисту, розроблені для конкретної ИСПДн).
Вразливості прикладного програмного забезпечення можуть бути:
функції та процедури, що стосуються різних прикладних програм і несумісні між собою (що не функціонують в одному операційному середовищі) через конфлікти, пов'язані з розподілом ресурсів системи;
Функції, процедури, зміна певним чином параметрів яких дозволяє використовувати їх для проникнення в операційне середовище ІСПДн та виклику штатних функцій операційної системи, виконання несанкціонованого доступу без виявлення таких змін операційною системою;
фрагменти коду програм ("дірки", "люки"), введені розробником, що дозволяють обходити процедури ідентифікації, автентифікації, перевірки цілісності та ін, передбачені в операційній системі;
відсутність необхідних засобів захисту (автентифікації, перевірки цілісності, перевірки форматів повідомлень, блокування несанкціоновано модифікованих функцій тощо);
Помилки в програмах (в оголошенні змінних, функцій і процедур, кодах програм), які за певних умов (наприклад, при виконанні логічних переходів) призводять до збоїв, у тому числі до збоїв функціонування засобів та систем захисту інформації, до можливості несанкціонованого доступу до інформації.
Дані про вразливості прикладного програмного забезпечення, що розробляється і розповсюджується на комерційній основі, збираються, узагальнюються та аналізуються в базі даних CVE<*>.
<*>Ведеться зарубіжною фірмою CERT на комерційній основі.
5.3. Загальна характеристика загроз безпосереднього доступу до операційного середовища інформаційної системи персональних данихЗагрози доступу (проникнення) в операційне середовище комп'ютера та несанкціонованого доступу до ПДН пов'язані з доступом:
до інформації та команд, що зберігаються в базовій системі вводу/виводу (BIOS) ІСПДн, з можливістю перехоплення керування завантаженням операційної системи та отриманням прав довіреного користувача;
в операційне середовище, тобто у середовище функціонування локальної операційної системи окремого технічного засобу ІСПД з можливістю виконання несанкціонованого доступу шляхом виклику штатних програм операційної системи або запуску спеціально розроблених програм, що реалізують такі дії;
у середу функціонування прикладних програм (наприклад, до локальній системіуправління базами даних);
безпосередньо до інформації користувача (до файлів, текстової, аудіо- та графічної інформації, полям та записам в електронних базах даних) та обумовлені можливістю порушення її конфіденційності, цілісності та доступності.
Ці загрози можуть бути реалізовані у разі отримання фізичного доступу до ІСПДн або принаймні до засобів введення інформації в ІСПДн. Їх можна об'єднати за умовами реалізації на три групи.
Перша група включає загрози, що реалізуються в ході завантаження операційної системи. Ці загрози безпеці інформації спрямовані на перехоплення паролів або ідентифікаторів, модифікацію програмного забезпечення базової системивведення/виводу (BIOS), перехоплення управління завантаженням зі зміною необхідної технологічної інформації для отримання НСД в операційне середовище ІСПД. Найчастіше такі загрози реалізуються з використанням носіїв інформації, що відчужуються.
Друга група - погрози, реалізовані після завантаження операційного середовища незалежно від цього, яка прикладна програма запускається користувачем. Ці загрози зазвичай спрямовані на виконання безпосередньо несанкціонованого доступу до інформації. При отриманні доступу до операційного середовища порушник може скористатися як стандартними функціями операційної системи або будь-якої прикладної програми загального користування (наприклад, системи управління базами даних), так і спеціально створеними для виконання несанкціонованого доступу програмами, наприклад:
програмами перегляду та модифікації реєстру;
Програмами пошуку текстів у текстових файлахпо ключовим словамта копіювання;
спеціальними програмами перегляду та копіювання записів у базах даних;
програмами швидкого перегляду графічних файлів, їх редагування чи копіювання;
програмами підтримки можливостей реконфігурації програмного середовища (налаштування ІСПДн на користь порушника) та інших.
Нарешті, третя група включає загрози, реалізація яких визначається тим, яка з прикладних програм запускається користувачем, або фактом запуску будь-якої з прикладних програм. Більшість таких загроз - це загрози впровадження шкідливих програм.
5.4. Загальна характеристика загроз безпеці персональних даних, що реалізуються з використанням протоколів міжмережевої взаємодіїЯкщо ІСПДн реалізована на базі локальної чи розподіленої інформаційної системи, то в ній можуть бути реалізовані загрози безпеці інформації шляхом використання протоколів міжмережевої взаємодії. При цьому може забезпечуватись НСД до ПДН або реалізовуватись загроза відмови в обслуговування. Особливо небезпечні загрози, коли ІСПД є розподіленою інформаційною системою, підключеною до мереж загального користування та (або) мереж міжнародного інформаційного обміну. Класифікаційну схему загроз, що реалізуються по мережі, наведено на малюнку 5. В її основу покладено сім наступних первинних ознак класифікації.
1. Характер небезпеки. За цією ознакою загрози можуть бути пасивними та активними. Пасивна загроза - це загроза, при реалізації якої не безпосередньо впливає на роботу ІСПДн, але можуть бути порушені встановлені правила розмежування доступу до ПДн або мережевих ресурсів. Прикладом таких загроз є загроза "Аналіз мережевого трафіку", спрямована на прослуховування каналів зв'язку та перехоплення інформації, що передається.
Активна загроза - це загроза, пов'язана з впливом на ресурси ІСПДН, при реалізації якої безпосередньо впливає на роботу системи (зміна конфігурації, порушення працездатності і т.д.), і з порушенням встановлених правил розмежування доступу до ПДН або мережевих ресурсів. Прикладом таких погроз є загроза "Відмова в обслуговуванні", що реалізується як "шторм TCP-запитів".
2. Мета реалізації небезпеки. За цією ознакою загрози можуть бути спрямовані на порушення конфіденційності, цілісності та доступності інформації (у тому числі на порушення працездатності ІСПД або її елементів).
3. Умова початку здійснення процесу реалізації загрози. За цією ознакою може реалізовуватись загроза:
на запит від об'єкта, щодо якого реалізується загроза. У цьому випадку порушник очікує на передачу запиту певного типу, який і буде умовою початку здійснення несанкціонованого доступу;
Рисунок 5. Класифікаційна схема загроз із використанням протоколів міжмережевої взаємодії
Після настання очікуваної події на об'єкті, щодо якого реалізується загроза. У цьому випадку порушник здійснює постійне спостереження за станом операційної системи ІСПДн та при виникненні певної події у цій системі починає несанкціонований доступ;
безумовний вплив. У цьому випадку початок здійснення несанкціонованого доступу безумовно по відношенню до мети доступу, тобто загроза реалізується негайно та безвідносно стану системи.
4. Наявність зворотнього зв'язкуз ІСПДн. За цією ознакою процес реалізації загрози може бути із зворотним зв'язком і без зворотного зв'язку. Загроза, здійснювана за наявності зворотний зв'язок з ИСПДн, характеризується тим, що деякі запити, передані на ИСПДн, порушнику потрібно отримати відповідь. Отже, між порушником та ІСПДН існує зворотний зв'язок, який дозволяє порушнику адекватно реагувати на всі зміни, що відбуваються в ІСПДН. На відміну від загроз, що реалізуються за наявності зворотного зв'язку з ІСПДн, при реалізації загроз без зворотного зв'язку не потрібно реагувати на будь-які зміни, що відбуваються в ІСПДН.
5. Розташування порушника щодо ІСПДн. Відповідно до цієї ознаки загроза реалізується як внутрішньосегментно, і міжсегментно. Сегмент мережі - фізичне об'єднання хостів (технічних засобів ІСПД або комунікаційних елементів, що мають мережеву адресу). Наприклад, сегмент ІСПДн утворює сукупність хостів, підключених до сервера за схемою "загальна шина". У випадку, коли є внутрішньосегментна загроза, порушник має фізичний доступ до апаратних елементів ІСПДн. Якщо має місце міжсегментна загроза, то порушник розташовується поза ІСПДн, реалізуючи загрозу з іншої мережі або іншого сегменту ІСПДн.
6. Рівень еталонної моделі взаємодії відкритих систем <*>(ISO/OSI), де реалізується загроза. За цією ознакою загроза може реалізовуватись на фізичному, канальному, мережевому, транспортному, сеансовому, представницькому та прикладному рівні моделі ISO/OSI.
<*>Міжнародна Організація стандартизації (ISO) прийняла стандарт ISO 7498, що описує взаємодію відкритих систем (OSI).
7. Співвідношення кількості порушників та елементів ІСПДН, щодо яких реалізується загроза. За цією ознакою загроза може бути віднесена до класу загроз, що реалізуються одним порушником щодо одного технічного засобу ІСПДн (загроза "один до одного"), одразу щодо кількох технічних засобів ІСПДн (загроза "один до багатьох") або кількома порушниками з різних комп'ютерівщодо одного або кількох технічних засобів ІСПДн (розподілені чи комбіновані загрози).
З урахуванням проведеної класифікації можна виділити сім загроз, що найчастіше реалізуються в даний час.
1. Аналіз мережевого трафіку (рисунок 6).
Рисунок 6. Схема реалізації загрози "Аналіз мережного трафіку"
Ця загроза реалізується за допомогою спеціальної програми-аналізатора пакетів (sniffer), що перехоплює всі пакети, що передаються по сегменту мережі, і виділяє серед них ті, в яких передаються ідентифікатор користувача та пароль. У ході реалізації загрози порушник вивчає логіку роботи мережі - тобто прагне отримати однозначну відповідність подій, що відбуваються в системі, і команд, які при цьому пересилаються хостами, в момент появи даних подій. Надалі це дозволяє зловмиснику на основі завдання відповідних команд отримати, наприклад, привілейовані права на дії в системі або розширити свої повноваження в ній, перехопити потік даних, якими обмінюються компоненти мережної операційної системи, для вилучення конфіденційної або ідентифікаційної інформації (наприклад, статичних паролів користувачів для доступу до віддалених хостів по протоколів FTPта TELNET, що не передбачає шифрування), її заміни, модифікації тощо.
2. Сканування мережі.
Сутність процесу реалізації загрози полягає у передачі запитів мережевим службам хостів ІСПДн та аналізі відповідей від них. Ціль - виявлення використовуваних протоколів, доступних портів мережевих служб, законів формування ідентифікаторів з'єднань, визначення активних мережевих сервісів, підбір ідентифікаторів та паролів користувачів.
3. Загроза виявлення пароля.
Мета реалізації загрози полягає у отриманні НСД шляхом подолання парольного захисту. Зловмисник може реалізовувати загрозу за допомогою низки методів, таких як простий перебір, перебір з використанням спеціальних словників, встановлення шкідливої програми для перехоплення пароля, заміна довіреного об'єкта мережі (IP-spoofing) і перехоплення пакетів (sniffing). В основному для реалізації загрози використовуються спеціальні програми, які намагаються отримати доступ до хоста шляхом послідовного підбору паролів. У разі успіху, зловмисник може створити для себе "прохід" для майбутнього доступу, який діятиме, навіть якщо на хості змінити пароль доступу.
4. Підміна довіреного об'єкта мережі та передача каналами зв'язку повідомлень від його імені з наданням його прав доступу (рисунок 7).
Рисунок 7. Схема реалізації загрози "Підміна довіреного об'єкта мережі"
Така загроза ефективно реалізується у системах, де застосовуються нестійкі алгоритми ідентифікації та аутентифікації хостів, користувачів тощо. Під довіреним об'єктом розуміється об'єкт мережі (комп'ютер, міжмережевий екран, маршрутизатор тощо), легально підключений до сервера.
Можуть бути виділені два різновиди процесу реалізації зазначеної загрози: із встановленням та без встановлення віртуального з'єднання.
Процес реалізації із встановленням віртуального з'єднання полягає у присвоєнні прав довіреного суб'єкта взаємодії, що дозволяє порушнику вести сеанс роботи з об'єктом мережі від імені довіреного суб'єкта. Реалізація загрози даного типувимагає подолання системи ідентифікації та аутентифікації повідомлень (наприклад, атака rsh-служби UNIX-хоста).
Процес реалізації загрози без встановлення віртуального з'єднання може мати місце в мережах, що здійснюють ідентифікацію повідомлень, що передаються тільки за мережевою адресою відправника. Сутність полягає в передачі службових повідомлень від імені мережевих пристроїв керування (наприклад, від імені маршрутизаторів) про зміну маршрутно-адресних даних. При цьому необхідно мати на увазі, що єдиними ідентифікаторами абонентів та з'єднання (за протоколом TCP) є два 32-бітові параметри Initial Sequence Number - ISS (номер послідовності) і Acknowledgment Number - ACK (номер підтвердження). Отже, для формування помилкового TCP-пакету порушнику необхідно знати поточні ідентифікатори для даного з'єднання - ISSa та ISSb, де:
ISSa - деяке чисельне значення, що характеризує порядковий номер TCP-пакета, що відправляється, встановлюваного TCP-з'єднання, ініційованого хостом A;
ISSb - деяке чисельне значення, що характеризує порядковий номер TCP-пакета, що відправляється, встановлюваного TCP-з'єднання, ініційованого хостом B.
Значення ACK (номера підтвердження встановлення TCP-з'єднання) визначається значення номера, отриманого від респондента ISS (номер послідовності) плюс одиниця ACKb = ISSa + 1.
Внаслідок реалізації загрози порушник отримує права доступу, встановлені його користувачем для довіреного абонента, до технічного засобу ІСПДн – мети загроз.
5. Нав'язування хибного маршруту мережі.
Ця загроза реалізується одним із двох способів: шляхом внутрішньосегментного або міжсегментного нав'язування. Можливість нав'язування хибного маршруту обумовлена недоліками, притаманними алгоритмам маршрутизації (зокрема, через проблему ідентифікації мережевих керуючих пристроїв), внаслідок чого можна потрапити, наприклад, на хост або в мережу зловмисника, де можна увійти в операційне середовище технічного засобу у складі ІСПДН . Реалізація загрози ґрунтується на несанкціонованому використанні протоколів маршрутизації (RIP, OSPF, LSP) та управління мережею (ICMP, SNMP) для внесення змін до маршрутно-адресних таблиць. При цьому порушнику необхідно надіслати від імені мережевого керуючого пристрою (наприклад, маршрутизатора) керуюче повідомлення (малюнки 8 і 9).
Малюнок 8. Схема реалізації атаки "Нав'язування хибного маршруту" (внутрішньосегментне) з використанням протоколу ICMP з метою порушення зв'язку
Малюнок 9. Схема реалізації загрози "Нав'язування неправдивого маршруту" (міжсегментне) з метою перехоплення трафіку
6. Використання хибного об'єкта мережі.
Ця загроза полягає в використанні недоліків алгоритмів віддаленого пошуку. У випадку, якщо об'єкти мережі спочатку не мають адресної інформації один про одного, використовуються різні протоколи віддаленого пошуку (наприклад, SAP у мережах Novell NetWare; ARP, DNS, WINS у мережах зі стеком протоколів TCP/IP), що полягають у передачі по мережі спеціальних запитів та одержання на них відповідей з шуканою інформацією. При цьому існує можливість перехоплення порушником пошукового запитута видачі на нього хибної відповіді, використання якої призведе до необхідної зміни маршрутно-адресних даних. Надалі весь потік інформації, асоційований з об'єктом-жертвою, проходитиме через хибний об'єкт мережі (малюнки 10 - 13).
Рисунок 10. Схема реалізації загрози "Впровадження помилкового ARP-сервера"
Малюнок 11. Схема реалізації загрози "Впровадження помилкового DNS-сервера" шляхом перехоплення DNS-запиту
Малюнок 12. Схема реалізації загрози "використання помилкового DNS-сервера" шляхом шторму DNS-відповідей на комп'ютер мережі
Рисунок 13. Схема реалізації загрози "Впровадження помилкового DNS-сервера" шляхом шторму DNS-відповідей на DNS-сервер
7. Відмова в обслуговуванні.
Ці загрози засновані на недоліках мережного програмного забезпечення, його вразливості, що дозволяють порушнику створювати умови, коли операційна система не в змозі обробляти пакети, що надходять.
Може бути виділено кілька різновидів таких загроз:
а) прихована відмова в обслуговуванні, викликана залученням частини ресурсів ІСПДн на обробку пакетів, що передаються зловмисником зі зниженням пропускної спроможності каналів зв'язку, продуктивності мережевих пристроїв, порушенням вимог на час обробки запитів. Прикладами реалізації подібних загроз можуть бути: спрямований шторм луна-запитів за протоколом ICMP (Ping flooding), шторм запитів на встановлення TCP-з'єднань (SYN-flooding), шторм запитів до FTP-сервера;
б) явна відмова в обслуговуванні, викликана вичерпанням ресурсів ІСПДн при обробці пакетів, що передаються зловмисником (заняття всієї смуги пропускання каналів зв'язку, переповнення черг запитів на обслуговування), при якому легальні запити не можуть бути передані через мережу через недоступність середовища передачі або отримують відмова в обслуговуванні через переповнення черг запитів, дискового простору пам'яті і т.д. Прикладами загроз даного типу можуть бути шторм широкомовних ICMP-ехо-запитів (Smurf), спрямований шторм (SYN-flooding), шторм повідомлень поштовому серверу(Spam);
в) явна відмова в обслуговуванні, викликана порушенням логічної зв'язності між технічними засобами ІСПДн при передачі порушником керуючих повідомлень від імені мережевих пристроїв, що призводять до зміни маршрутно-адресних даних (наприклад, ICMP Redirect Host, DNS-flooding) або ідентифікаційної та автентифікації;
Г) явна відмова в обслуговуванні, викликана передачею зловмисником пакетів з нестандартними атрибутами (загрози типу "Land", "TearDrop", "Bonk", "Nuke", "UDP-bomb") або мають довжину, що перевищує максимально допустимий розмір (загроза типу "Ping Death"), що може призвести до збою мережевих пристроїв, що беруть участь у обробці запитів, за умови помилок у програмах, що реалізують протоколи мережного обміну.
Результатом реалізації цієї загрози може стати порушення працездатності відповідної служби надання віддаленого доступу до ПДН до ІСПДн, передача з однієї адреси такої кількості запитів на підключення до технічного засобу у складі ІСПДн, яке максимально може "вмістити" трафік (направлений "шторм запитів"), що тягне за собою переповнення черги запитів та відмова однієї з мережевих служб або повну зупинку комп'ютера через неможливість системи займатися нічим іншим, крім обробки запитів.
8. Віддалений запуск програм.
Загроза полягає в прагненні запустити на хості ІСПД різні попередньо запроваджені шкідливі програми: програми-закладки, віруси, "мережеві шпигуни", основна мета яких - порушення конфіденційності, цілісності, доступності інформації і повний контроль за роботою хоста. Крім того, можливий несанкціонований запуск прикладних програм користувачів для несанкціонованого отримання необхідних порушнику даних для запуску керованих прикладною програмою процесів та ін.
Виділяють три підкласи даних загроз:
1) поширення файлів, що містять несанкціонований виконуваний код;
2) віддалений запуск програми шляхом переповнення буфера додатків-серверів;
3) віддалений запуск програми шляхом використання можливостей віддаленого управління системою, що надаються прихованими програмними та апаратними закладками або штатними засобами, що використовуються.
Типові загрози першого із зазначених підкласів ґрунтуються на активізації файлів, що розповсюджуються, при випадковому зверненні до них. Прикладами таких файлів можуть бути: файли, що містять код у вигляді макрокоманд ( документи Microsoft Word, Excel тощо); html-документи, що містять код, що виконується у вигляді елементів ActiveX, Java-аплетів, інтерпретованих скриптів (наприклад, тексти на JavaScript); файли, що містять коди програм, що виконуються. Для поширення файлів можуть використовуватись служби електронної пошти, передачі файлів, мережевої файлової системи.
При загрозах другого підкласу використовуються недоліки програм, що реалізують мережеві послуги (зокрема відсутність контролю переповнення буфера). Налаштуванням системних регістрів іноді вдається переключити процесор після переривання, викликаного переповненням буфера, виконання коду, що міститься за кордоном буфера. Прикладом такої загрози може бути використання широко відомого " вірусу Морріса " .
При загрозах третього підкласу порушник використовує можливості віддаленого керування системою, що надаються прихованими компонентами (наприклад, "троянськими" програмами типу Back Orifice, Net Bus) або штатними засобами управління та адміністрування комп'ютерних мереж (Landesk Management Suite, Managewise, Back Orifice тощо). ). В результаті їх використання вдається домогтися віддаленого контролю за станцією в мережі.
Схематично основні етапи роботи цих програм виглядають так:
інсталяція у пам'яті;
очікування запиту з віддаленого хоста, на якому запущено клієнт-програму, та обмін із нею повідомленнями про готовність;
Передача перехопленої інформації клієнту або надання йому контролю над комп'ютером, що атакується.
Можливі наслідки від загроз різних класів наведено у таблиці 3.
Таблиця 3
Можливі наслідки реалізації загроз різних класів
| N п/п | Тип атаки | Можливі наслідки | |
| 1 | Аналіз мережевого трафіку | Дослідження характеристик мережевого трафіку, перехоплення даних, що передаються, в тому числі ідентифікаторів і паролів користувачів | |
| 2 | Сканування мережі | Визначення протоколів, доступних портів мережевих служб, законів формування ідентифікаторів з'єднань, активних мережевих сервісів, ідентифікаторів та паролів користувачів | |
| 3 | "Парольна" атака | Виконання будь-якої деструктивної дії, пов'язаної з отриманням несанкціонованого доступу | |
| 4 | Підміна довіреного об'єкта мережі | Зміна траси проходження повідомлень, несанкціонована зміна маршрутно-адресних даних. Несанкціонований доступ до мережевих ресурсів, нав'язування неправдивої інформації | |
| 5 | Нав'язування хибного маршруту | Несанкціонована зміна маршрутно-адресних даних, аналіз та модифікація переданих даних, нав'язування хибних повідомлень | |
| 6 | Використання хибного об'єкта мережі | Перехоплення та перегляд трафіку. Несанкціонований доступ до мережевих ресурсів, нав'язування неправдивої інформації | |
| 7 | Відмова в обслуговуванні | Часткове вичерпання ресурсів | Зниження пропускної спроможності каналів зв'язку, продуктивності мережевих пристроїв. Зниження продуктивності серверних програм |
| Повне вичерпання ресурсів | Неможливість передачі повідомлень через відсутність доступу до середовища передачі, відмова у встановленні з'єднання. Відмова у наданні сервісу (електронної пошти, файлового тощо) | ||
| Порушення логічного зв'язку між атрибутами, даними, об'єктами | Неможливість передачі, повідомлень через відсутність коректних маршрутно-адресних даних. Неможливість отримання послуг через несанкціоновану модифікацію ідентифікаторів, паролів тощо. | ||
| Використання помилок у програмах | Порушення працездатності мережевих пристроїв | ||
| 8 | Віддалений запуск програм | Шляхом розсилки файлів, що містять деструктивний код, що виконується, вірусне зараження | Порушення конфіденційності, цілісності, доступності інформації |
| Шляхом переповнення буфера серверної програми | |||
| Шляхом використання можливостей віддаленого управління системою, що надаються прихованими програмними та апаратними закладками або штатними засобами, що використовуються. | Приховане керування системою | ||
Процес реалізації загрози у загальному випадку складається із чотирьох етапів:
збирання інформації;
вторгнення (проникнення в операційне середовище);
здійснення несанкціонованого доступу;
ліквідацію слідів несанкціонованого доступу.
На етапі збору інформації порушника можуть цікавити різні відомості про ІСПД, зокрема:
а) про топологію мережі, в якій функціонує система. При цьому може досліджуватися область навколо мережі (наприклад, порушника можуть цікавити адреси довірених, але менш захищених хостів). Для визначення доступності хоста можуть використовуватись найпростіші команди (наприклад, команда pingдля надсилання ICMP-запитів ECHO_REQUEST з очікуванням на них ICMP-відповідей ECHO_REPLY). Існують утиліти, що здійснюють паралельне визначення доступності хостів (такі як fping), які здатні просканувати велику область адресного простору щодо доступності хостів за короткий проміжок часу. Топологія мережі часто визначається виходячи з " лічильника вузлів " (дистанції між хостами). При цьому можуть застосовуватись такі методи, як "модуляції ttL" та запису маршруту.
Метод "модуляції ttL" реалізований програмою traceroute (для Windows NT - tracert.exe) і полягає у модуляції поля ttL IP-пакетів. Для запису маршруту можуть використовуватися пакети ICMP, створювані командою ping.
Збір інформації може бути також ґрунтується на запитах:
до DNS-серверу про список зареєстрованих (і, ймовірно, активних) хостів;
до маршрутизатора на основі протоколу RIP про відомі маршрути (інформація про топологію мережі);
До некоректно налаштованих пристроїв, що підтримують протокол SNMP (інформація про топологію мережі).
Якщо ІСПДн знаходиться за міжмережевим екраном (МЕ), можливий збір інформації про конфігурацію МЕ та про топологію ІСПДн за МЕ, у тому числі шляхом посилки пакетів на всі порти всіх передбачуваних хостів внутрішньої мережі, що захищається;
б) про тип операційної системи (ОС) в ІСПДн. Самий відомий спосібвизначення типу ОС хоста заснований на тому, що різні типиОС по-різному реалізують вимоги стандартів RFC до стеку TCP/IP. Це дозволяє порушнику віддалено ідентифікувати тип ОС, встановленої на хості ІСПД шляхом посилки спеціальним чином сформованих запитів і аналізу отриманих відповідей.
Існують спеціальні засоби, що реалізують ці методи, зокрема, Nmap і QueSO. Можна відзначити також такий метод визначення типу ОС, як найпростіший запит на встановлення з'єднання за протоколом віддаленого доступу telnet (telnet-з'єднання), в результаті якого " зовнішньому виглядувідповіді можна визначити тип ОС хоста. Наявність певних сервісів також може бути додатковою ознакою для визначення типу ОС хоста;
В) про сервіси, що функціонують на хостах. Визначення сервісів, що виконуються на хості, ґрунтується на методі виявлення "відкритих портів", спрямованому на збір інформації про доступність хоста. Наприклад, для визначення доступності UDP-порту необхідно отримати відгук у відповідь на посилку UDP-пакета відповідному порту:
якщо відповідь надійшло повідомлення ICMP PORT UNREACHEBLE, то відповідний сервіс недоступний;
якщо це повідомлення не надійшло, то порт "відкритий".
Можливі різноманітні варіації використання цього методу залежно від використовуваного протоколу в стеку протоколів TCP/IP.
Для автоматизації збору інформації про ІСПД розроблено безліч програмних засобів. Як приклад можна назвати такі:
1) Strobe, Portscanner – оптимізовані засоби визначення доступних сервісів на основі опитування TCP-портів;
2) Nmap – засіб сканування доступних сервісів, призначений для ОС Linux, FreeBSD, Open BSD, Solaris, Windows NT. Є найпопулярнішим у час засобом сканування мережевих сервісів;
3) Queso - високоточний засіб визначення ОС хоста мережі на основі посилки ланцюга коректних та некоректних TCP-пакетів, аналізу відгуку та порівняння його з безліччю відомих відгуків різних ОС. Цей засібтакож є популярним на сьогоднішній день засобом сканування;
4) Cheops - сканер топології мережі дозволяє отримати топологію мережі, включаючи картину домену, області IP-адрес тощо. При цьому визначається ОС хоста, а також можливі мережеві пристрої(Принтери, маршрутизатори тощо);
5) Firewalk - сканер, який використовує методи програми traceroute на користь аналізу відгуку на IP-пакети визначення конфігурації міжмережевого екрану і побудови топології мережі.
На етапі вторгнення досліджується наявність типових уразливостей у системних сервісах чи помилок у адмініструванні системи. Успішним результатом використання вразливостей зазвичай є отримання процесом порушника привілейованого режиму виконання (доступу до привілейованого режиму виконання командного процесора), внесення до системи облікового запису незаконного користувача, отримання файлу паролів або порушення працездатності хоста, що атакується.
Цей етап розвитку загрози, зазвичай, є багатофазним. До фаз процесу реалізації загрози можуть належати, наприклад:
встановлення зв'язку з хостом, щодо якого реалізується загроза;
Виявлення вразливості;
використання шкідливої програми у сфері розширення прав та інших.
Загрози, реалізовані на етапі вторгнення, поділяються за рівнями стека протоколів TCP/IP, оскільки формуються на мережному, транспортному чи прикладному рівні залежно від механізму вторгнення, що використовується.
До типових загроз, що реалізуються на мережному та транспортному рівнях, належать такі як:
а) загроза, спрямована на заміну довіреного об'єкта;
б) загроза, спрямована на створення в мережі хибного маршруту;
В) загрози, створені задля створення хибного об'єкта з допомогою недоліків алгоритмів віддаленого пошуку;
Г) загрози типу "відмова в обслуговуванні", засновані на IP-дефрагментації, на формуванні некоректних ICMP-запитів (наприклад, атака "Ping of Death" та "Smurf"), на формуванні некоректних TCP-запитів (атака "Land"), на створенні "шторму" пакетів із запитами на з'єднання (атаки "SYN Flood") та ін.
До типових погроз, що реалізуються на прикладному рівні, відносяться погрози, спрямовані на несанкціонований запуск додатків, погрози, реалізація яких пов'язана з впровадженням програмних закладок (типу "троянський кінь"), з виявленням паролів доступу до мережі або до певного хосту тощо.
Якщо реалізація загрози не принесла порушнику найвищих прав доступу до системи, можливі спроби розширення цих прав максимально можливого рівня. Для цього можуть використовуватися вразливості не тільки мережевих сервісів, а й уразливості системного програмного забезпечення хостів ІСПдн.
На етапі реалізації несанкціонованого доступу здійснюється власне досягнення мети реалізації загрози:
порушення конфіденційності (копіювання, неправомірне поширення);
Порушення цілісності (знищення, зміна);
порушення доступності (блокування).
На цьому ж етапі після зазначених дій, як правило, формується так званий "чорний вхід" у вигляді одного з сервісів (демонів), які обслуговують деякий порт і виконують команди порушника. "Чорний вхід" залишається в системі на користь забезпечення:
можливості отримати доступ до хоста, навіть якщо адміністратор усуне використану для успішної реалізації загрози вразливість;
можливості отримати доступ до хоста якомога скритніше;
Можливості отримати доступ до хоста швидко (не повторюючи наново процес реалізації загрози).
"Чорний вхід" дозволяє порушнику впровадити в мережу або на певний хост шкідливу програму, наприклад, "аналізатор паролів" (password sniffer) - програму, що виділяє ідентифікатори користувача та паролі з мережевого трафіку при роботі протоколів високого рівня(ftp, telnet, rlogin тощо). Об'єктами впровадження шкідливих програм можуть бути програми аутентифікації та ідентифікації, мережеві послуги, ядро операційної системи, файлова система, бібліотеки і т.д.
Зрештою, на етапі ліквідації слідів реалізації загрози здійснюється спроба знищення слідів дій порушника. При цьому видаляються відповідні записи зі всіх можливих журналів аудиту, у тому числі записи щодо збору інформації.
5.5. Загальна характеристика загроз програмно-математичних впливівПрограмно-математичний вплив – це вплив за допомогою шкідливих програм. Програмою з потенційно небезпечними наслідками чи шкідливою програмою називають деяку самостійну програму (набір інструкцій), яка здатна виконувати будь-яке непусте підмножина наступних функцій:
Приховувати ознаки своєї присутності у програмному середовищі комп'ютера;
Мати здатність до самодублювання, асоціювання себе з іншими програмами та (або) перенесення своїх фрагментів в інші області оперативної або зовнішньої пам'яті;
руйнувати (перекручувати довільним чином) код програм в оперативній пам'яті;
виконувати без ініціювання з боку користувача (програми користувача в штатному режимі її виконання) деструктивні функції (копіювання, знищення, блокування тощо);
Зберігати фрагменти інформації з оперативної пам'яті деяких областях зовнішньої пам'яті прямого доступу (локальних чи віддалених);
Спотворювати довільним чином, блокувати і (або) підміняти виведений у зовнішню пам'ять або канал зв'язку масив інформації, що утворився в результаті роботи прикладних програм, або масиви даних, що вже знаходяться в зовнішній пам'яті.
Шкідливі програми можуть бути внесені (впроваджені) як навмисно, так і випадково до програмного забезпечення, що використовується в ІСПДн, у процесі його розробки, супроводу, модифікації та налаштування. Крім цього, шкідливі програми можуть бути внесені в процесі експлуатації ІСПДн із зовнішніх носіїв інформації або через мережеву взаємодію як в результаті НСД, так і випадково користувачами ІСПДн.
Сучасні шкідливі програми засновані на використанні вразливостей різного роду програмного забезпечення (системного, загального, прикладного) та різноманітних мережевих технологій, мають широкий спектр деструктивних можливостей (від несанкціонованого дослідження параметрів ІСПДн без втручання у функціонування ІСПДн, до знищення ПДН та програмного забезпечення діяти у всіх видах програмного забезпечення (системного, прикладного, драйверах апаратного забезпечення тощо).
Наявність в ІСПДн шкідливих програм може сприяти виникненню прихованих, у тому числі нетрадиційних каналів доступу до інформації, що дозволяють розкривати, обходити або блокувати захисні механізми, передбачені в системі, у тому числі парольний та криптографічний захист.
Основними видами шкідливих програм є:
програмні закладки;
класичні програмні (комп'ютерні) віруси;
шкідливі програми, що розповсюджуються по мережі (мережеві черв'яки);
Інші шкідливі програми, призначені реалізації НСД.
До програмних закладок належать програми, фрагменти коду, інструкції, які формують недекларовані можливості програмного забезпечення. Шкідливі програми можуть переходити з одного виду до іншого, наприклад, програмна закладка може згенерувати програмний вірус, який, у свою чергу, потрапивши в умови мережі, може сформувати мережевого черв'яка або іншу шкідливу програму, призначену для здійснення НСД.
p align="justify"> Класифікація програмних вірусів і мережевих черв'яків представлена на малюнку 14. Коротка характеристика основних шкідливих програм зводиться до наступного. Завантажувальні віруси записують себе або в завантажувальний сектор диска (boot-сектор), або сектор, що містить системний завантажувач вінчестера (Master Boot Record), або змінюють покажчик на активний boot-сектор. Вони входять у пам'ять комп'ютера під час завантаження з інфікованого диска. При цьому системний завантажувач зчитує вміст першого сектора диска, з якого проводиться завантаження, поміщає лічену інформацію на згадку і передає на неї (тобто вірус) управління. Після цього починають виконуватися інструкції вірусу, який, як правило, зменшує обсяг вільної пам'яті, копіює в місце, що звільнилося, свій код і зчитує з диска своє продовження (якщо воно є), перехоплює необхідні вектори переривань (зазвичай - INT 13H), зчитує в пам'ять оригінальний boot-сектор і передає на нього керування.
Надалі завантажувальний вірус поводиться так само, як файловий: перехоплює звернення операційної системи до дисків та інфікує їх, залежно від деяких умов робить деструктивні дії, викликає звукові ефекти або відеоефекти.
Основними деструктивними діями, що виконуються цими вірусами, є:
знищення інформації в секторах дискет та вінчестера;
Виключення можливості завантаження операційної системи (комп'ютер "зависає");
спотворення коду завантажувача;
форматування дискет чи логічних дисків вінчестера;
закриття доступу до COM- та LPT-портів;
заміна символів під час друку текстів;
посмикування екрану;
зміна мітки диска чи дискети;
створення псевдозбійних кластерів;
створення звукових та (або) візуальних ефектів (наприклад, падіння літер на екрані);
псування файлів даних;
виведення на екран різноманітних повідомлень;
Вимкнення периферійних пристроїв (наприклад, клавіатури);
зміна панелі екрану;
Заповнення екрана сторонніми символами чи зображеннями;
погашення екрану та переведення в режим очікування введення з клавіатури;
шифрування секторів вінчестера;
вибіркове знищення символів, що виводяться на екран при наборі з клавіатури;
зменшення обсягу оперативної пам'яті;
виклик друку вмісту екрана;
блокування запису на диск;
знищення таблиці розбиття (Disk Partition Table), після цього комп'ютер можна завантажити лише з флоппі-диска;
блокування запуску виконуваних файлів;
Блокування доступу до вінчестера.
Рисунок 14. Класифікація програмних вірусів та мережевих хробаків
Більшість завантажувальних вірусів перезаписують себе на флоппі-диски.
Метод зараження "overwriting" є найпростішим: вірус записує свій код замість коду файлу, що заражається, знищуючи його вміст. Природно, що файл перестає працювати і не відновлюється. Такі віруси дуже швидко виявляють себе, оскільки операційна система та програми досить швидко перестають працювати.
До категорії "компаньйон" відносяться віруси, що не змінюють файли, що заражаються. Алгоритм роботи цих вірусів полягає в тому, що для файлу, що заражається створюється файл-двійник, причому при запуску зараженого файлу управління отримує саме цей двійник, тобто вірус. Найбільш поширені компаньйон-віруси, що використовують особливість DOS першим виконувати файли з розширенням .COM, якщо в одному каталозі присутні два файли з тим самим ім'ям, але різними розширеннями імені - .COM і .EXE. Такі віруси створюють для EXE-файлів файли-супутники, що мають те саме ім'я, але з розширенням.COM, наприклад, для файлу XCOPY.EXE створюється файл XCOPY.COM. Вірус записується в COM-файл і не змінює EXE-файл. При запуску такого файлу DOS першим виявить та виконає COM-файл, тобто вірус, який потім запустить і EXE-файл. Другу групу складають віруси, які при зараженні перейменовують файл в якесь інше ім'я, запам'ятовують його (для подальшого запуску файла-хазяїна) і записують свій код на диск під ім'ям файлу, що заражається. Наприклад, файл XCOPY.EXE перейменовується на XCOPY.EXD, а вірус записується під ім'ям XCOPY.EXE. При запуску керування отримує код вірусу, який потім запускає оригінальний XCOPY, що зберігається під назвою XCOPY.EXD. Цікавим є той факт, що даний метод працює, мабуть, у всіх операційних системах. До третьої групи входять так звані "Path-companion" віруси. Вони або записують свій код під ім'ям файлу, що заражається, але "вище" на один рівень у прописуваних шляхах (DOS, таким чином, першим виявить і запустить файл-вірус), або переносять файл-жертву на один підкаталог вище і т.д.
Можливе існування та інших типів компаньйон-вірусів, які використовують інші оригінальні ідеї чи особливості інших операційних систем.
Файлові черв'яки (worms) є, в певному сенсі, різновидом компаньйон-вірусів, але при цьому жодним чином не пов'язують свою присутність з виконуваним файлом. При розмноженні вони лише копіюють свій код в будь-які каталоги дисків, сподіваючись, що ці нові копії будуть коли-небудь запущені користувачем. Іноді ці віруси дають своїм копіям "спеціальні" імена, щоб спонукати користувача на запуск своєї копії - наприклад, INSTALL.EXE або WINSTART.BAT. Існують віруси-хробаки, які використовують досить незвичайні прийоми, наприклад записують свої копії в архіви (ARJ, ZIP та інші). Деякі віруси записують команду запуску зараженого файлу у BAT-файли. Не слід плутати файлові віруси-хробаки з мережевими хробаками. Перші використовують лише файлові функції якоїсь операційної системи, другі ж при своєму розмноженні користуються мережевими протоколами.
Link-віруси, як і компаньйон-віруси, не змінюють фізичного вмісту файлів, проте при запуску зараженого файлу "примушують" ОС виконати свій код. Цієї мети вони досягають модифікацією необхідних полів файлової системи.
Віруси, що заражають бібліотеки компіляторів, об'єктні модулі та вихідні тексти програм, досить екзотичні та практично не поширені. Віруси, що заражають OBJ- та LIB-файли, записують у них свій код у форматі об'єктного модуля або бібліотеки. Заражений файл, таким чином, не виконується і не здатний на подальше поширення вірусу в своєму поточному стані. Носієм ж "живого" вірусу стає COM-або EXE-файл.
Отримавши керування, файловий вірус робить такі спільні дії:
Перевіряє оперативну пам'ять на наявність своєї копії та інфікує пам'ять комп'ютера, якщо копію вірусу не знайдено (у разі, якщо вірус є резидентним), шукає незаражені файли в поточному та (або) кореневому каталозі шляхом сканування дерева каталогів логічних дисків, а потім заражає виявлені файли ;
виконує додаткові (якщо є) функції: деструктивні дії, графічні чи звукові ефекти тощо. (додаткові функції резидентного вірусу можуть викликатися через деякий час після активізації залежно від поточного часу, конфігурації системи, внутрішніх лічильників вірусу чи інших умов, у разі вірус при активізації обробляє стан системного годинника, встановлює свої лічильники тощо.);
Необхідно відзначити, що чим швидше поширюється вірус, тим швидше виникнення епідемії цього вірусу, чим повільніше поширюється вірус, тим складніше його виявити (якщо, звичайно ж, цей вірус невідомий). Нерезидентні віруси часто є "повільними" - більшість із них при запуску заражає один або два-три файли і не встигає заполонити комп'ютер до запуску антивірусної програми (або появи нової версії антивірусу, налаштованої на цей вірус). Існують, звичайно ж, нерезидентні "швидкі" віруси, які при запуску шукають і заражають всі файли, проте такі віруси дуже помітні: при запуску кожного зараженого файлу комп'ютер деякий (іноді досить довгий) час активно працює з вінчестером, що демаскує вірус. Швидкість поширення (інфікування) у резидентних вірусів зазвичай вища, ніж у нерезидентних - вони заражають файли при будь-яких зверненнях до них. В результаті на диску заражені всі або майже всі файли, які постійно використовуються в роботі. Швидкість поширення (інфікування) резидентних файлових вірусів, що заражають файли тільки при їх запуску на виконання, буде нижчою, ніж у вірусів, що заражають файли і при їх відкритті, перейменуванні, зміні атрибутів файлу і т.д.
Таким чином, основні деструктивні дії, що виконуються файловими вірусами, пов'язані з ураженням файлів (частіше виконуваних або файлів даних), несанкціонованим запуском різних команд (у тому числі команд форматування, знищення, копіювання тощо), зміною таблиці векторів переривань і ін. Разом з тим, можуть виконуватися і багато деструктивних дій, подібні до тих, які вказувалися для завантажувальних вірусів.
Макровіруси (macro viruses) є програмами мовами (макромовами), вбудованих у деякі системи обробки даних (текстові редактори, електронні таблиці тощо). Для свого розмноження такі віруси використовують можливості макромов і за допомогою їх переносять себе з одного зараженого файлу (документа або таблиці) в інші. Найбільшого поширення набули макровіруси для пакета прикладних програм Microsoft Office.
Для існування вірусів у конкретній системі (редакторі) потрібна наявність вбудованої в систему макромови з можливостями:
1) прив'язки програми на макромові до конкретного файлу;
2) копіювання макропрограм з одного файлу до іншого;
3) отримання управління макропрограмою без втручання користувача (автоматичні чи стандартні макроси).
Цим умовам задовольняють прикладні програми Microsoft Word, Excel та Microsoft Access. Вони містять макромови: Word Basic, Visual Basic for Applications. При цьому:
1) макропрограми прив'язані до конкретного файлу чи перебувають усередині файла;
2) макромова дозволяє копіювати файли або переміщати макропрограми в службові файли системи та файли, що редагуються;
3) при роботі з файлом за певних умов (відкриття, закриття тощо) викликаються макропрограми (якщо такі є), які визначені спеціальним чином або мають стандартні імена.
Ця особливість макромов призначена для автоматичної обробки даних у великих організаціях або у глобальних мережах і дозволяє організувати так званий "автоматизований документообіг". З іншого боку, можливості макромов таких систем дозволяють вірусу переносити свій код інші файли і таким чином заражати їх.
Більшість макровірусів активні не тільки в момент відкриття (закриття) файлу, але доки активний сам редактор. Вони містять усі свої функції у вигляді стандартних макросів Word/Excel/Office. Існують, проте, віруси, використовують прийоми приховування свого коду і зберігають свій код як макросів. Відомо три подібні прийоми, всі вони використовують можливість макросів створювати, редагувати та виконувати інші макроси. Як правило, подібні віруси мають невеликий (іноді поліморфний) макрос-завантажувач вірусу, який викликає вбудований редактор макросів, створює новий макрос, заповнює його основним кодом вірусу, виконує і потім, як правило, знищує (щоб приховати сліди присутності вірусу). Основний код таких вірусів присутній або в макросі вірусу у вигляді текстових рядків (іноді - зашифрованих), або зберігається в області змінних документа.
До мережевих відносяться віруси, які для свого поширення активно використовують протоколи та можливості локальних та глобальних мереж. Основним принципом роботи вірусу є можливість самостійно передати свій код на віддалений сервер або робочу станцію. "Повноцінні" мережеві віруси при цьому мають ще й можливість запустити на виконання свій код на віддаленому комп'ютері або, принаймні, "підштовхнути" користувача до запуску зараженого файлу.
Шкідливими програмами, що забезпечують здійснення НСД, можуть бути:
програми підбору та розкриття паролів;
програми, які реалізують загрози;
Програми, що демонструють використання недекларованих можливостей програмного та програмно-апаратного забезпечення ІСПДН;
програми-генератори комп'ютерних вірусів;
програми, що демонструють уразливість засобів захисту інформації та ін.
У зв'язку з ускладненням та зростанням різноманітності програмного забезпечення кількість шкідливих програм швидко зростає. Сьогодні відомо понад 120 тисяч сигнатур комп'ютерних вірусів. Разом з тим, далеко не всі з них є реальною загрозою. У багатьох випадках усунення уразливостей у системному або прикладному програмному забезпеченні призвело до того, що ряд шкідливих програм вже не здатний впровадитись у них. Часто основну небезпеку становлять нові шкідливі програми.
5.6. Загальна характеристика нетрадиційних інформаційних каналівНетрадиційний інформаційний канал - це канал потайної передачі інформації з використанням традиційних каналів зв'язку та спеціальних перетворень інформації, що передається, не відносяться до криптографічних.
Для формування нетрадиційних каналів можуть використовуватись методи:
комп'ютерної стеганографії;
Засновані на маніпуляції різних характеристик ІСПДн, які можна отримувати санкціоновано (наприклад, часу обробки різних запитів, об'ємів доступної пам'яті або для читання ідентифікаторів файлів або процесів тощо).
Методи комп'ютерної стеганографії призначені для приховання факту передачі повідомлення шляхом вбудовування інформації, що приховується, в зовні нешкідливі дані (текстові, графічні, аудіо- або відеофайли) і включають дві групи методів, заснованих:
на використанні спеціальних властивостей комп'ютерних форматів зберігання та передачі даних;
На надмірності аудіо-, візуальної або текстової інформаціїз позиції психофізіологічних особливостей сприйняття людини
Класифікація методів комп'ютерної стеганографії наведено малюнку 15. Їх порівняльна характеристика наведено у таблиці 4.
Найбільшого розвитку та застосування нині знаходять методи приховування інформації у графічних стегоконтейнерах. Це зумовлено порівняно великим обсягом інформації, який можна розмістити в таких контейнерах без помітного спотворення зображення, наявністю апріорних відомостей про розмір контейнера, існуванням у більшості реальних зображеньтекстурних областей, що мають шумову структуру та добре підходять для вбудовування інформації, опрацьованістю методів цифрової обробки зображень та цифрових форматівуявлення зображень. В даний час існує цілий рядяк комерційних, так і безкоштовних програмних продуктів, доступних звичайному користувачеві, що реалізують відомі стеганографічні методи приховування інформації При цьому переважно використовуються графічні та аудіоконтейнери.
Малюнок 15. Класифікація методів стеганографічного перетворення інформації (СПІ)
Таблиця 4
Порівняльна характеристика стеганографічних методів перетворення інформації
| Стеганографічний метод | Коротка характеристика методу | Недоліки | Переваги |
| Методи приховування інформації в аудіоконтейнерах | |||
| Заснований на записи повідомлення найменші значні біти вихідного сигналу. Як контейнер використовується, як правило, несжатий аудіосигнал | Невисока скритність передачі. Низька стійкість до спотворень. Використовується лише для певних форматів аудіофайлів | ||
| Метод приховування на основі розподілу за спектром | Заснований на генерації псевдовипадкового шуму, що є функцією повідомлення, що впроваджується, і підмішуванні отриманого шуму до основного сигналу-контейнеру в якості адитивної складової. Кодування потоків інформації шляхом розсіювання кодованих даних за спектром частот | ||
| Метод приховування на основі використання луна-сигналу | Заснований на використанні в якості шумоподібного сигналу самого аудіосигналу, затриманого на різні періоди часу в залежності від повідомлення, що впроваджується ("дозвоночного луна") | Низький коефіцієнт використання контейнера. Значні обчислювальні витрати | Порівняно висока скритність повідомлення |
| Метод приховування у фазі сигналу | Заснований на факті нечутливості вуха людини до абсолютного значення фази гармонік. Аудіосигнал розбивається на послідовність сегментів, вбудовується повідомлення шляхом модифікації фази першого сегмента | Мінімальний коефіцієнт використання контейнера | Має значно більш високу скритність, ніж методи приховування в НЗБ |
| Методи приховування інформації у текстових контейнерах | |||
| Метод приховування на основі прогалин | Заснований на вставці прогалин в кінці рядків, після розділових знаків, між словами при вирівнюванні довжини рядків | Методи чутливі до перенесення тексту з одного формату до іншого. Можлива втрата повідомлення. Невисока скритність | Достатньо велика пропускна здатність |
| Метод приховування на основі синтаксичних особливостей тексту | Заснований на тому, що правила пунктуації допускають неоднозначності при розміщенні розділових знаків. | Дуже низька пропускна спроможність. Складність детектування повідомлення | Існує потенційна можливість підібрати такий метод, при якому будуть потрібні дуже складні процедури для розкриття повідомлення |
| Метод приховування на основі синонімів | Заснований на вставці інформації в текст за допомогою чергування слів з групи синонімів | Складний стосовно російської мови у зв'язку з великою різноманітністю відтінків у різних синонімах | Один із найперспективніших методів. Має порівняно високу скритність повідомлення |
| Метод приховування на основі використання помилок | Заснований на маскування інформаційних бітів під природні помилки, друкарські помилки, порушення правил написання поєднань голосних і приголосних, заміні кирилиці на аналогічні на вигляд латинські літери та ін. | Невисока пропускна спроможність. Швидко розкривається під час статистичного аналізу | Дуже простий у застосуванні. Висока скритність при аналізі людиною |
| Метод приховування на основі генерації квазітексту | Заснований на генерації текстового контейнера з використанням набору правил побудови речень. Використовується симетрична криптографія | Невисока пропускна спроможність. Безглуздість створеного тексту | Прихованість визначається методами шифрування і, як правило, дуже висока |
| Метод приховування на основі використання особливостей шрифту | Заснований на вставці інформації за рахунок зміни типу шрифту та розміру букв, а також на можливості вбудовування інформації в блоки з невідомими для браузера ідентифікаторами | Легко виявляється під час перетворення масштабу документа, при статистичному стегоаналізі | Високий коефіцієнт використання контейнера |
| Метод приховування на основі використання коду документа та файлу | Заснований на розміщенні інформації в зарезервованих і полях змінної довжини, що не використовуються. | Низька скритність за відомого формату файлу | Простий у застосуванні |
| Метод приховування на основі використання жаргону | Заснований на зміні значень слів | Низька пропускна спроможність. Вузько спеціалізований. Низька скритність | Простий у застосуванні |
| Метод приховування на основі використання чергування довжини слів | Заснований на генерації тексту - контейнера з формуванням слів певної довжини за відомим правилом кодування | Складність формування контейнера та повідомлення | Досить висока скритність при аналізі людиною |
| Метод приховування на основі використання перших літер | Заснований на впровадженні повідомлення у перші літери слів тексту з підбором слів | Складність складання повідомлення. Низька скритність повідомлення | Дає більшу свободу вибору оператору, який вигадує повідомлення |
| Методи приховування інформації у графічних контейнерах | |||
| Метод приховування у найменших значущих бітах | Заснований на записі повідомлення найменші значні біти вихідного зображення | Невисока скритність передачі. Низька стійкість до спотворень | Достатньо висока ємність контейнера (до 25%) |
| Метод приховування на основі модифікації індексного формату подання | Заснований на редукції (заміні) колірної палітри та впорядкування кольорів у пікселях із сусідніми номерами | Застосовується переважно до стислим зображенням. Невисока скритність передачі повідомлення | Порівняно висока ємність контейнера |
| Метод приховування на основі використання автокореляційної функції | Заснований на пошуку із застосуванням автокореляційної функції областей, що містять подібні дані | Складність розрахунків | Стійкість до більшості нелінійних перетворень контейнера |
| Метод приховування на основі використання нелінійної модуляції вбудовуваного повідомлення | Заснований на модуляції псевдовипадкового сигналу сигналом, що містить інформацію, що приховується | ||
| Метод приховування на основі використання знакової модуляції вбудованого повідомлення | Заснований на модуляції псевдовипадкового сигналу біполярним сигналом, що містить інформацію, що приховується | Низька точність визначення. Спотворення | Досить висока скритність повідомлення |
| Метод приховування на основі вейвлет-перетворення | Заснований на особливостях вейвлет-перетворень | Складність розрахунків | Висока скритність |
| Метод приховування на основі використання дискретного косинусного перетворення | Заснований на особливостях дискретного косинусного перетворення | Складність розрахунок | Висока скритність |
У нетрадиційних інформаційних каналах, заснованих на маніпуляції різних характеристик ресурсів ИСПДн, використовуються передачі даних деякі ресурси. При цьому в каналах, що використовують тимчасові характеристики, здійснюється модуляція за часом зайнятості ресурсу (наприклад, модулюючи час зайнятості процесора, програми можуть обмінюватися даними).
У каналах пам'яті ресурс використовується як проміжний буфер (наприклад, програми можуть обмінюватися даними шляхом поміщення їх в імена створюваних файлів та директорій). У каналах баз даних та знань використовують залежності між даними, що виникають у реляційних базах даних та знань.
Нетрадиційні інформаційні канали можуть бути сформовані на різних рівнях функціонування ІСПДН:
на апаратному рівні;
на рівні мікрокодів та драйверів пристроїв;
лише на рівні операційної системи;
на рівні прикладного програмного забезпечення;
лише на рівні функціонування каналів передачі і ліній зв'язку.
Ці канали можуть використовуватися як прихованої передачі скопійованої інформації, так прихованої передачі команд виконання деструктивних дій, запуску додатків тощо.
Для реалізації каналів зазвичай необхідно впровадити в автоматизовану систему програмну або програмно-апаратну закладку, що забезпечує формування нетрадиційного каналу.
Нетрадиційний інформаційний канал може існувати в системі безперервно або активізуватися одноразово або за заданими умовами. У цьому можливе існування зворотний зв'язок із суб'єктом НСД.
5.7. Загальна характеристика результатів несанкціонованого чи випадкового доступуРеалізація загроз НСД до інформації може призводити до таких видів порушення її безпеки:
порушення конфіденційності (копіювання, неправомірне поширення);
Порушення цілісності (знищення, зміна);
порушення доступності (блокування).
Порушення конфіденційності може бути здійснене у разі витоку інформації:
копіювання її на відчужувані носії інформації;
передачі її каналами передачі;
під час перегляду або копіювання її під час ремонту, модифікації та утилізації програмно-апаратних засобів;
при "складання сміття" порушником у процесі експлуатації ІСПДн.
Порушення цілісності інформації здійснюється за рахунок впливу (модифікації) на програми та дані користувача, а також технологічну (системну) інформацію, що включає:
мікропрограми, дані та драйвера пристроїв обчислювальної системи;
програми, дані та драйвера пристроїв, що забезпечують завантаження операційної системи;
програми та дані (дескриптори, описувачі, структури, таблиці тощо) операційної системи;
програми та дані прикладного програмного забезпечення;
Програми та дані спеціального програмного забезпечення;
Проміжні (оперативні) значення програм та даних у процесі їх обробки (читання/запису, прийому/передачі) засобами та пристроями обчислювальної техніки.
Порушення цілісності інформації в ІСПД може бути викликано впровадженням у неї шкідливої програми програмно-апаратної закладки або впливом на систему захисту інформації або її елементи.
Крім цього, в ІСПДн можлива дія на технологічну мережеву інформацію, яка може забезпечувати функціонування різних засобів управління обчислювальною мережею:
конфігурацією мережі;
адресами та маршрутизацією передачі даних у мережі;
функціональним контролем мережі;
безпекою інформації у мережі.
Порушення доступності інформації забезпечується шляхом формування (модифікації) вихідних даних, які при обробці викликають неправильне функціонування, відмови апаратури або захоплення (завантаження) обчислювальних ресурсів системи, які необхідні для виконання програм та роботи апаратури.
Зазначені дії можуть призвести до порушення або відмови функціонування практично будь-яких технічних засобів ІСПДН:
засобів обробки інформації;
засобів введення/виведення інформації;
засобів зберігання інформації;
Апаратури та каналів передачі;
засобів захисту.