Die Bedrohung liegt in dem Wunsch, verschiedene vorinstallierte Schadprogramme auf dem ISPD-Host zu starten: Lesezeichenprogramme, Viren, "Netzwerk-Spyware", deren Hauptzweck darin besteht, die Vertraulichkeit, Integrität, Verfügbarkeit von Informationen und die vollständige Kontrolle über den Betrieb des Hosts zu verletzen. Darüber hinaus ist der unbefugte Start von Benutzeranwendungsprogrammen möglich, um unbefugt die für den Eindringling erforderlichen Daten abzurufen, die vom Anwendungsprogramm gesteuerten Prozesse zu starten usw.
Es gibt drei Unterklassen dieser Bedrohungen:
Verteilung von Dateien mit nicht autorisiertem ausführbarem Code;
Remote-Anwendungsstart durch Pufferüberlauf von Serveranwendungen;
Remote-Start der Anwendung mithilfe der Funktionen fernbedienung System, das von versteckten Software- und Hardware-Registerkarten bereitgestellt oder mit Standardmitteln verwendet wird.
Typische Bedrohungen der ersten dieser Unterklassen basieren auf der Aktivierung weiterverteilbarer Dateien bei versehentlichem Zugriff auf diese. Beispiele für solche Dateien sind: Dateien, die ausführbaren Code in Form von Dokumenten enthalten, die ausführbaren Code in Form von ActiveX-Steuerelementen, Java-Applets, interpretierten Skripten (z. B. JavaScript-Texten) enthalten; Dateien mit ausführbaren Programmcodes. E-Mail, Dateiübertragung und Netzwerk-Dateisystemdienste können zum Verteilen von Dateien verwendet werden.
Wenn Bedrohungen der zweiten Unterklasse verwendet werden, sind die Mängel der Programme, die implementiert werden netzwerkdienste (insbesondere fehlende Pufferüberlaufkontrolle). Durch Anpassen der Systemregister ist es manchmal möglich, den Prozessor nach einem durch einen Pufferüberlauf verursachten Interrupt umzuschalten, um Code auszuführen, der außerhalb der Puffergrenze enthalten ist. Ein Beispiel für eine solche Bedrohung ist die Einführung des bekannten "Morris-Virus".
Bei Bedrohungen der dritten Unterklasse nutzt der Eindringling die Funktionen der Remote-Systemsteuerung, die von versteckten Komponenten (z. B. "Trojanern" wie Back. Orifice, Net Bus) oder Standardtools für die Verwaltung und Verwaltung von Computernetzwerken (Landesk Management Suite, Managewise, Back Orifice usw.) bereitgestellt werden. P.). Aufgrund ihrer Verwendung ist es möglich, eine Fernsteuerung über die Station im Netzwerk zu erreichen.
ist unwahrscheinlich.
Eine allgemeine Liste der Wahrscheinlichkeit der Implementierung von Bedrohungen für verschiedene Arten von ISPDN ist in Tabelle 12 dargestellt.
Tabelle 12
Bedrohung durch Malware-Injektion über das Netzwerk
Über das Netzwerk injizierte schädliche Programme umfassen Viren, die die Protokolle und Funktionen lokaler und globaler Netzwerke aktiv nutzen, um sich zu verbreiten. Das Grundprinzip eines Netzwerkvirus ist die Fähigkeit, seinen Code unabhängig auf einen Remote-Server oder eine Workstation zu übertragen. "Hochgradige" netzwerkviren Gleichzeitig haben sie auch die Möglichkeit, ihren Code auf einem Remotecomputer auszuführen oder den Benutzer zumindest zum Starten einer infizierten Datei zu "drängen".
Schädliche Programme, die die Implementierung der NSD sicherstellen, können sein:
Programme zum Erraten und Knacken von Passwörtern;
Programme, die Bedrohungen implementieren;
Programme, die die Verwendung nicht angemeldeter Funktionen von Software und Software- und Hardware-ISPDn demonstrieren;
Computervirus-Generatoren;
Programme, die Schwachstellen von Informationssicherheitstools usw. aufzeigen.
Wenn in der Institution die verarbeitete PD nicht über öffentliche Netzwerke und internationalen Austausch gesendet wird, ist ein Virenschutz installiert, und die Wahrscheinlichkeit, dass die Bedrohung implementiert wird, ist hoch ist unwahrscheinlich.
In allen anderen Fällen muss die Wahrscheinlichkeit der Realisierung der Bedrohung bewertet werden.
Eine allgemeine Liste der Wahrscheinlichkeit der Implementierung von Bedrohungen für verschiedene Arten von ISPDN ist in Tabelle 13 dargestellt.
Tabelle 13
Durchführbarkeit von Bedrohungen
Basierend auf den Ergebnissen der Bewertung des Sicherheitsniveaus (Y 1) (Abschnitt 7) und der Wahrscheinlichkeit der Bedrohung (Y 2) (Abschnitt 9) wird der Durchführbarkeitsfaktor für die Bedrohung (Y) berechnet und die Möglichkeit der Realisierung der Bedrohung bestimmt (Tabelle 4). Der Bedrohungsdurchführbarkeitsfaktor Y wird durch das Verhältnis Y \u003d (Y 1 + Y 2) / 20 bestimmt
Die Feststellung der Durchführbarkeit von Bedrohungen erfolgt auf der Grundlage des Berichts über die Ergebnisse der internen Revision.
Eine allgemeine Liste zur Bewertung der Durchführbarkeit von UBPD für verschiedene Arten von ISPD ist in den Tabellen 14-23 dargestellt
Tabelle 14 - Standalone-IC vom Typ I.
| Art der Sicherheitsbedrohungen für personenbezogene Daten | Implementierungsmöglichkeit | |
| 0,25 | niedrig | |
| 0,25 | niedrig | |
| 0,25 | niedrig | |
| 2.1.1. Diebstahl eines PCs | 0,25 | niedrig |
| 0,25 | niedrig | |
| 0,25 | niedrig | |
| 0,25 | niedrig | |
| 0,25 | niedrig | |
| 0,25 | niedrig | |
| 0,25 | niedrig | |
| 0,35 | durchschnittlich | |
| 0,25 | niedrig | |
| 0,25 | niedrig | |
| 0,35 | durchschnittlich | |
| 0,25 | niedrig | |
| 0,25 | niedrig | |
| 0,25 | niedrig | |
| 0,25 | niedrig | |
| 2.3.6. Katastrophe | 0,25 | niedrig |
| 0,25 | niedrig | |
| 0,35 | durchschnittlich | |
| 0,25 | niedrig | |
| 0,25 | niedrig | |
| 0,25 | niedrig | |
| 0,25 | niedrig | |
| 0,25 | niedrig | |
| 0,25 | niedrig | |
| 0,25 | niedrig | |
| 0,25 | niedrig | |
| 0,25 | niedrig | |
| 0,25 | niedrig | |
| 0,25 | niedrig |
Tabelle 15 - Standalone-IC vom Typ II
| Art der Sicherheitsbedrohungen für personenbezogene Daten | Machbarkeitsfaktor für Bedrohungen (Y) | Implementierungsmöglichkeit |
| 1. Bedrohung durch Leckage durch technische Kanäle. | ||
| 1.1. Bedrohung durch akustische Informationslecks | 0,25 | niedrig |
| 1.2. Bedrohung durch Arteninformationslecks | 0,25 | niedrig |
| 1.3. Bedrohung durch Informationslecks über PEMIN-Kanäle | 0,25 | niedrig |
| 2. Bedrohung durch unbefugten Zugriff auf Informationen. | ||
| 2.1. Zerstörungsgefahr, Diebstahl von ISPD-Hardware von Informationsträgern durch physischen Zugriff auf ISPD-Elemente | ||
| 2.1.1. Diebstahl eines PCs | 0,25 | niedrig |
| 2.1.2. Diebstahl von Medien | 0,25 | niedrig |
| 2.1.3. Schlüssel und Zugriffsattribute stehlen | 0,25 | niedrig |
| 2.1.4. Diebstahl, Änderung, Zerstörung von Informationen | 0,25 | niedrig |
| 2.1.5. Deaktivierung von PC-Knoten, Kommunikationskanälen | 0,25 | niedrig |
| 2.1.6. Unerlaubter Zugriff auf Informationen während der Wartung (Reparatur, Zerstörung) von PC-Einheiten | 0,25 | niedrig |
| 2.1.7. Nicht autorisiertes Trennen der Schutzausrüstung | 0,25 | niedrig |
| 2.2. Diebstahlgefahr, unbefugte Änderung oder Sperrung von Informationen durch unbefugten Zugriff (NSD) unter Verwendung von Software und Hardware und Software (einschließlich Software und mathematischen Einflüssen). | ||
| 2.2.1. Aktionen von Schadprogrammen (Viren) | 0,35 | durchschnittlich |
| 2.2.2. Nicht angemeldete Funktionen von Systemsoftware und Software zur Verarbeitung personenbezogener Daten | 0,25 | niedrig |
| 2.2.3. Installation von Software, die nicht mit der Erfüllung offizieller Aufgaben zusammenhängt | 0,25 | niedrig |
| 2.3. Bedrohung durch unbeabsichtigte Handlungen von Benutzern und Verstöße gegen die Funktionssicherheit von ISPD und SZPDn in ihrer Zusammensetzung aufgrund von Softwarefehlern sowie durch Bedrohungen durch nicht anthropogene (Hardwarefehler aufgrund unzuverlässiger Elemente, Stromausfälle) und natürliche (Blitzeinschläge, Brände, Überschwemmungen usw.). etc.) Charakter. | ||
| 2.3.1. Verlust von Schlüsseln und Zugriffsattributen | 0,35 | durchschnittlich |
| 2.3.2. Unbeabsichtigte Änderung (Zerstörung) von Informationen durch Mitarbeiter | 0,25 | niedrig |
| 2.3.3. Versehentliches Abschalten der Schutzausrüstung | 0,25 | niedrig |
| 2.3.4. Ausfall von Hardware und Software | 0,25 | niedrig |
| 2.3.5. Stromversorgungsfehler | 0,25 | niedrig |
| 2.3.6. Katastrophe | 0,25 | niedrig |
| 2.4. Insider absichtliche Bedrohungen | ||
| 2.4.1. Zugang zu Informationen, Änderung, Zerstörung von Personen, die nicht zu ihrer Verarbeitung zugelassen sind | 0,25 | niedrig |
| 2.4.2. Offenlegung, Änderung, Zerstörung von Informationen durch Mitarbeiter, die zur Verarbeitung zugelassen sind | 0,35 | durchschnittlich |
| 2.5 Bedrohung durch unbefugten Zugriff über Kommunikationskanäle. | ||
| 2.5.1. Bedrohung "Analyse des Netzwerkverkehrs" mit Abfangen von Informationen, die von ISPD gesendet und von externen Netzwerken empfangen wurden: | ||
| 2.5.1.1. Abfangen außerhalb des kontrollierten Bereichs | 0,35 | durchschnittlich |
| 2.5.1.2. Abfangen innerhalb des kontrollierten Bereichs durch externe Eindringlinge | 0,25 | niedrig |
| 2.5.1.3 Abfangen innerhalb des kontrollierten Bereichs durch Insider. | 0,25 | niedrig |
| 2.5.2 Scannen von Bedrohungen zur Identifizierung des Typs oder der Typen der verwendeten Betriebssysteme, Netzwerkadressen von ISPD-Workstations, Netzwerktopologie, offenen Ports und Diensten, offenen Verbindungen usw. | 0,25 | niedrig |
| 2.5.3 Bedrohungen durch Netzwerkkennwörter anzeigen | 0,35 | durchschnittlich |
| 2.5.4 Bedrohungen durch falsche Netzwerkrouten | 0,25 | niedrig |
| 2.5.5 Bedrohungen durch Spoofing vertrauenswürdiger Objekte im Netzwerk | 0,25 | niedrig |
| 2.5.6 Drohungen, ein falsches Objekt sowohl in die ISPD als auch in externe Netzwerke einzuführen | 0,25 | niedrig |
| 2.5.7 Denial-of-Service-Bedrohungen | 0,25 | niedrig |
| 2.5.8 Bedrohungen beim Starten von Remoteanwendungen | 0,35 | durchschnittlich |
| 2.5.9 Bedrohungen durch Schadprogramme über das Netzwerk | 0,35 | durchschnittlich |
Tabelle 16 - Standalone-IC Typ III
| Art der Sicherheitsbedrohungen für personenbezogene Daten | Machbarkeitsfaktor für Bedrohungen (Y) | Implementierungsmöglichkeit |
| 1. Bedrohung durch Leckage durch technische Kanäle. | ||
| 1.1. Bedrohung durch akustische Informationslecks | 0,25 | niedrig |
| 1.2. Bedrohung durch Arteninformationslecks | 0,25 | niedrig |
| 1.3. Bedrohung durch Informationslecks über PEMIN-Kanäle | 0,25 | niedrig |
| 2. Bedrohung durch unbefugten Zugriff auf Informationen. | ||
| 2.1. Zerstörungsgefahr, Diebstahl von ISPD-Hardware von Informationsträgern durch physischen Zugriff auf ISPD-Elemente | ||
| 2.1.1. Diebstahl eines PCs | 0,25 | niedrig |
| 2.1.2. Diebstahl von Medien | 0,25 | niedrig |
| 2.1.3. Schlüssel und Zugriffsattribute stehlen | 0,25 | niedrig |
| 2.1.4. Diebstahl, Änderung, Zerstörung von Informationen | 0,25 | niedrig |
| 2.1.5. Deaktivierung von PC-Knoten, Kommunikationskanälen | 0,25 | niedrig |
| 2.1.6. Unerlaubter Zugriff auf Informationen während der Wartung (Reparatur, Zerstörung) von PC-Einheiten | 0,25 | niedrig |
| 2.1.7. Nicht autorisiertes Trennen der Schutzausrüstung | 0,25 | niedrig |
| 2.2. Diebstahlgefahr, unbefugte Änderung oder Sperrung von Informationen durch unbefugten Zugriff (NSD) unter Verwendung von Software und Hardware und Software (einschließlich Software und mathematischen Einflüssen). | ||
| 2.2.1. Aktionen von Schadprogrammen (Viren) | 0,35 | durchschnittlich |
| 2.2.2. Nicht angemeldete Funktionen von Systemsoftware und Software zur Verarbeitung personenbezogener Daten | 0,25 | niedrig |
| 2.2.3. Installation von Software, die nicht mit der Erfüllung offizieller Aufgaben zusammenhängt | 0,25 | niedrig |
| 2.3. Bedrohung durch unbeabsichtigte Handlungen von Benutzern und Verstöße gegen die Funktionssicherheit von ISPD und SZPDn in ihrer Zusammensetzung aufgrund von Softwarefehlern sowie durch Bedrohungen durch nicht anthropogene (Hardwarefehler aufgrund unzuverlässiger Elemente, Stromausfälle) und natürliche (Blitzeinschläge, Brände, Überschwemmungen usw.). etc.) Charakter. | ||
| 2.3.1. Verlust von Schlüsseln und Zugriffsattributen | 0,35 | durchschnittlich |
| 2.3.2. Unbeabsichtigte Änderung (Zerstörung) von Informationen durch Mitarbeiter | 0,25 | niedrig |
| 2.3.3. Versehentliches Abschalten der Schutzausrüstung | 0,25 | niedrig |
| 2.3.4. Ausfall von Hardware und Software | 0,25 | niedrig |
| 2.3.5. Stromversorgungsfehler | 0,25 | niedrig |
| 2.3.6. Katastrophe | 0,25 | niedrig |
| 2.4. Insider absichtliche Bedrohungen | ||
| 2.4.1. Zugang zu Informationen, Änderung, Zerstörung von Personen, die nicht zu ihrer Verarbeitung zugelassen sind | 0,25 | niedrig |
| 2.4.2. Offenlegung, Änderung, Zerstörung von Informationen durch Mitarbeiter, die zur Verarbeitung zugelassen sind | 0,35 | durchschnittlich |
| 2.5 Bedrohung durch unbefugten Zugriff über Kommunikationskanäle. | ||
| 2.5.1. Bedrohung "Analyse des Netzwerkverkehrs" mit Abfangen von Informationen, die von ISPD gesendet und von externen Netzwerken empfangen wurden: | ||
| 2.5.1.1. Abfangen außerhalb des kontrollierten Bereichs | 0,25 | niedrig |
| 2.5.1.2. Abfangen innerhalb des kontrollierten Bereichs durch externe Eindringlinge | 0,25 | niedrig |
| 2.5.1.3 Abfangen innerhalb des kontrollierten Bereichs durch Insider. | 0,25 | niedrig |
| 2.5.2 Scannen von Bedrohungen zur Identifizierung des Typs oder der Typen der verwendeten Betriebssysteme, Netzwerkadressen von ISPD-Workstations, Netzwerktopologie, offenen Ports und Diensten, offenen Verbindungen usw. | 0,25 | niedrig |
| 2.5.3 Bedrohungen durch Netzwerkkennwörter anzeigen | 0,25 | niedrig |
| 2.5.4 Bedrohungen durch falsche Netzwerkrouten | 0,25 | niedrig |
| 2.5.5 Bedrohungen durch Spoofing vertrauenswürdiger Objekte im Netzwerk | 0,25 | niedrig |
| 2.5.6 Drohungen, ein falsches Objekt sowohl in die ISPD als auch in externe Netzwerke einzuführen | 0,25 | niedrig |
| 2.5.7 Denial-of-Service-Bedrohungen | 0,25 | niedrig |
| 2.5.8 Bedrohungen beim Starten von Remoteanwendungen | 0,25 | niedrig |
| 2.5.9 Bedrohungen durch Schadprogramme über das Netzwerk | 0,25 | niedrig |
Tabelle 17 - Standalone-IC Typ IV
| Art der Sicherheitsbedrohungen für personenbezogene Daten | Machbarkeitsfaktor für Bedrohungen (Y) | Implementierungsmöglichkeit |
| 1. Bedrohung durch Leckage durch technische Kanäle. | ||
| 1.1. Bedrohung durch akustische Informationslecks | 0,25 | niedrig |
| 1.2. Bedrohung durch Arteninformationslecks | 0,25 | niedrig |
| 1.3. Bedrohung durch Informationslecks über PEMIN-Kanäle | 0,25 | niedrig |
| 2. Bedrohung durch unbefugten Zugriff auf Informationen. | ||
| 2.1. Zerstörungsgefahr, Diebstahl von ISPD-Hardware von Informationsträgern durch physischen Zugriff auf ISPD-Elemente | ||
| 2.1.1. Diebstahl eines PCs | 0,25 | niedrig |
| 2.1.2. Diebstahl von Medien | 0,25 | niedrig |
| 2.1.3. Schlüssel und Zugriffsattribute stehlen | 0,25 | niedrig |
| 2.1.4. Diebstahl, Änderung, Zerstörung von Informationen | 0,25 | niedrig |
| 2.1.5. Deaktivierung von PC-Knoten, Kommunikationskanälen | 0,25 | niedrig |
| 2.1.6. Unerlaubter Zugriff auf Informationen während der Wartung (Reparatur, Zerstörung) von PC-Einheiten | 0,25 | niedrig |
| 2.1.7. Nicht autorisiertes Trennen der Schutzausrüstung | 0,25 | niedrig |
| 2.2. Diebstahlgefahr, unbefugte Änderung oder Sperrung von Informationen durch unbefugten Zugriff (NSD) unter Verwendung von Software und Hardware und Software (einschließlich Software und mathematischen Einflüssen). | ||
| 2.2.1. Aktionen von Schadprogrammen (Viren) | 0,35 | durchschnittlich |
| 2.2.2. Nicht angemeldete Funktionen von Systemsoftware und Software zur Verarbeitung personenbezogener Daten | 0,25 | niedrig |
| 2.2.3. Installation von Software, die nicht mit der Erfüllung offizieller Aufgaben zusammenhängt | 0,25 | niedrig |
| 2.3. Bedrohung durch unbeabsichtigte Handlungen von Benutzern und Verstöße gegen die Funktionssicherheit von ISPD und SZPDn in ihrer Zusammensetzung aufgrund von Softwarefehlern sowie durch Bedrohungen durch nicht anthropogene (Hardwarefehler aufgrund unzuverlässiger Elemente, Stromausfälle) und natürliche (Blitzeinschläge, Brände, Überschwemmungen usw.). etc.) Charakter. | ||
| 2.3.1. Verlust von Schlüsseln und Zugriffsattributen | 0,35 | durchschnittlich |
| 2.3.2. Unbeabsichtigte Änderung (Zerstörung) von Informationen durch Mitarbeiter | 0,25 | niedrig |
| 2.3.3. Versehentliches Abschalten der Schutzausrüstung | 0,25 | niedrig |
| 2.3.4. Ausfall von Hardware und Software | 0,25 | niedrig |
| 2.3.5. Stromversorgungsfehler | 0,25 | niedrig |
| 2.3.6. Katastrophe | 0,25 | niedrig |
| 2.4. Insider absichtliche Bedrohungen | ||
| 2.4.1. Zugang zu Informationen, Änderung, Zerstörung von Personen, die nicht zu ihrer Verarbeitung zugelassen sind | 0,25 | niedrig |
| 2.4.2. Offenlegung, Änderung, Zerstörung von Informationen durch Mitarbeiter, die zur Verarbeitung zugelassen sind | 0,35 | durchschnittlich |
| 2.5 Bedrohung durch unbefugten Zugriff über Kommunikationskanäle. | ||
| 2.5.1. Bedrohung "Analyse des Netzwerkverkehrs" mit Abfangen von Informationen, die von ISPD gesendet und von externen Netzwerken empfangen wurden: | ||
| 2.5.1.1. Abfangen außerhalb des kontrollierten Bereichs | 0,35 | durchschnittlich |
| 2.5.1.2. Abfangen innerhalb des kontrollierten Bereichs durch externe Eindringlinge | 0,25 | niedrig |
| 2.5.1.3 Abfangen innerhalb des kontrollierten Bereichs durch Insider. | 0,25 | niedrig |
| 2.5.2 Scannen von Bedrohungen zur Identifizierung des Typs oder der Typen der verwendeten Betriebssysteme, Netzwerkadressen von ISPD-Workstations, Netzwerktopologie, offenen Ports und Diensten, offenen Verbindungen usw. | 0,25 | niedrig |
| 2.5.3 Bedrohungen durch Netzwerkkennwörter anzeigen | 0,35 | durchschnittlich |
| 2.5.4 Bedrohungen durch falsche Netzwerkrouten | 0,25 | niedrig |
| 2.5.5 Bedrohungen durch Spoofing vertrauenswürdiger Objekte im Netzwerk | 0,25 | niedrig |
| 2.5.6 Drohungen, ein falsches Objekt sowohl in die ISPD als auch in externe Netzwerke einzuführen | 0,25 | niedrig |
| 2.5.7 Denial-of-Service-Bedrohungen | 0,25 | niedrig |
| 2.5.8 Bedrohungen beim Starten von Remoteanwendungen | 0,35 | durchschnittlich |
| 2.5.9 Bedrohungen durch Schadprogramme über das Netzwerk | 0,35 | durchschnittlich |
Tabelle 18 - Standalone-IC vom Typ V.
| Art der Sicherheitsbedrohungen für personenbezogene Daten | Machbarkeitsfaktor für Bedrohungen (Y) | Implementierungsmöglichkeit |
| 1. Bedrohung durch Leckage durch technische Kanäle. | ||
| 1.1. Bedrohung durch akustische Informationslecks | 0,25 | niedrig |
| 1.2. Bedrohung durch Arteninformationslecks | 0,25 | niedrig |
| 1.3. Bedrohung durch Informationslecks über PEMIN-Kanäle | 0,25 | niedrig |
| 2. Bedrohung durch unbefugten Zugriff auf Informationen. | ||
| 2.1. Zerstörungsgefahr, Diebstahl von ISPD-Hardware von Informationsträgern durch physischen Zugriff auf ISPD-Elemente | ||
| 2.1.1. Diebstahl eines PCs | 0,25 | niedrig |
| 2.1.2. Diebstahl von Medien | 0,25 | niedrig |
| 2.1.3. Schlüssel und Zugriffsattribute stehlen | 0,25 | niedrig |
| 2.1.4. Diebstahl, Änderung, Zerstörung von Informationen | 0,25 | niedrig |
| 2.1.5. Deaktivierung von PC-Knoten, Kommunikationskanälen | 0,25 | niedrig |
| 2.1.6. Unerlaubter Zugriff auf Informationen während der Wartung (Reparatur, Zerstörung) von PC-Einheiten | 0,25 | niedrig |
| 2.1.7. Nicht autorisiertes Trennen der Schutzausrüstung | 0,25 | niedrig |
| 2.2. Diebstahlgefahr, unbefugte Änderung oder Sperrung von Informationen durch unbefugten Zugriff (NSD) unter Verwendung von Software und Hardware und Software (einschließlich Software und mathematischen Einflüssen). | ||
| 2.2.1. Aktionen von Schadprogrammen (Viren) | 0,35 | durchschnittlich |
| 2.2.2. Nicht angemeldete Funktionen von Systemsoftware und Software zur Verarbeitung personenbezogener Daten | 0,25 | niedrig |
| 2.2.3. Installation von Software, die nicht mit der Erfüllung offizieller Aufgaben zusammenhängt | 0,25 | niedrig |
| 2.3. Bedrohung durch unbeabsichtigte Handlungen von Benutzern und Verstöße gegen die Funktionssicherheit von ISPD und SZPDn in ihrer Zusammensetzung aufgrund von Softwarefehlern sowie durch Bedrohungen durch nicht anthropogene (Hardwarefehler aufgrund unzuverlässiger Elemente, Stromausfälle) und natürliche (Blitzeinschläge, Brände, Überschwemmungen usw.). etc.) Charakter. | ||
| 2.3.1. Verlust von Schlüsseln und Zugriffsattributen | 0,35 | durchschnittlich |
| 2.3.2. Unbeabsichtigte Änderung (Zerstörung) von Informationen durch Mitarbeiter | 0,25 | niedrig |
| 2.3.3. Versehentliches Abschalten der Schutzausrüstung | 0,25 | niedrig |
| 2.3.4. Ausfall von Hardware und Software | 0,25 | niedrig |
| 2.3.5. Stromversorgungsfehler | 0,25 | niedrig |
| 2.3.6. Katastrophe | 0,25 | niedrig |
| 2.4. Insider absichtliche Bedrohungen | ||
| 2.4.1. Zugang zu Informationen, Änderung, Zerstörung von Personen, die nicht zu ihrer Verarbeitung zugelassen sind | 0,25 | niedrig |
| 2.4.2. Offenlegung, Änderung, Zerstörung von Informationen durch Mitarbeiter, die zur Verarbeitung zugelassen sind | 0,35 | durchschnittlich |
| 2.5 Bedrohung durch unbefugten Zugriff über Kommunikationskanäle. | ||
| 2.5.1. Bedrohung "Analyse des Netzwerkverkehrs" mit Abfangen von Informationen, die von ISPD gesendet und von externen Netzwerken empfangen wurden: | ||
| 2.5.1.1. Abfangen außerhalb des kontrollierten Bereichs | 0,25 | niedrig |
| 2.5.1.2. Abfangen innerhalb des kontrollierten Bereichs durch externe Eindringlinge | 0,25 | niedrig |
| 2.5.1.3 Abfangen innerhalb des kontrollierten Bereichs durch Insider. | 0,25 | niedrig |
| 2.5.2 Scannen von Bedrohungen zur Identifizierung des Typs oder der Typen der verwendeten Betriebssysteme, Netzwerkadressen von ISPD-Workstations, Netzwerktopologie, offenen Ports und Diensten, offenen Verbindungen usw. | 0,25 | niedrig |
| 2.5.3 Bedrohungen durch Netzwerkkennwörter anzeigen | 0,25 | niedrig |
| 2.5.4 Bedrohungen durch falsche Netzwerkrouten | 0,25 | niedrig |
| 2.5.5 Bedrohungen durch Spoofing vertrauenswürdiger Objekte im Netzwerk | 0,25 | niedrig |
| 2.5.6 Drohungen, ein falsches Objekt sowohl in die ISPD als auch in externe Netzwerke einzuführen | 0,25 | niedrig |
| 2.5.7 Denial-of-Service-Bedrohungen | 0,25 | niedrig |
| 2.5.8 Bedrohungen beim Starten von Remoteanwendungen | 0,25 | niedrig |
| 2.5.9 Bedrohungen durch Schadprogramme über das Netzwerk | 0,25 | niedrig |
Tabelle 19 - Standalone-IC vom Typ VI
| Art der Sicherheitsbedrohungen für personenbezogene Daten | Machbarkeitsfaktor für Bedrohungen (Y) | Implementierungsmöglichkeit |
| 1. Bedrohung durch Leckage durch technische Kanäle. | ||
| 1.1. Bedrohung durch akustische Informationslecks | 0,25 | niedrig |
| 1.2. Bedrohung durch Arteninformationslecks | 0,25 | niedrig |
| 1.3. Bedrohung durch Informationslecks über PEMIN-Kanäle | 0,25 | niedrig |
| 2. Bedrohung durch unbefugten Zugriff auf Informationen. | ||
| 2.1. Zerstörungsgefahr, Diebstahl von ISPD-Hardware von Informationsträgern durch physischen Zugriff auf ISPD-Elemente | ||
| 2.1.1. Diebstahl eines PCs | 0,25 | niedrig |
| 2.1.2. Diebstahl von Medien | 0,25 | niedrig |
| 2.1.3. Schlüssel und Zugriffsattribute stehlen | 0,25 | niedrig |
| 2.1.4. Diebstahl, Änderung, Zerstörung von Informationen | 0,25 | niedrig |
| 2.1.5. Deaktivierung von PC-Knoten, Kommunikationskanälen | 0,25 | niedrig |
| 2.1.6. Unerlaubter Zugriff auf Informationen während der Wartung (Reparatur, Zerstörung) von PC-Einheiten | 0,25 | niedrig |
| 2.1.7. Nicht autorisiertes Trennen der Schutzausrüstung | 0,25 | niedrig |
| 2.2. Diebstahlgefahr, unbefugte Änderung oder Sperrung von Informationen durch unbefugten Zugriff (NSD) unter Verwendung von Software und Hardware und Software (einschließlich Software und mathematischen Einflüssen). | ||
| 2.2.1. Aktionen von Schadprogrammen (Viren) | 0,35 | durchschnittlich |
| 2.2.2. Nicht angemeldete Funktionen von Systemsoftware und Software zur Verarbeitung personenbezogener Daten | 0,25 | niedrig |
| 2.2.3. Installation von Software, die nicht mit der Erfüllung offizieller Aufgaben zusammenhängt | 0,25 | niedrig |
| 2.3. Bedrohung durch unbeabsichtigte Handlungen von Benutzern und Verstöße gegen die Funktionssicherheit von ISPD und SZPDn in ihrer Zusammensetzung aufgrund von Softwarefehlern sowie durch Bedrohungen durch nicht anthropogene (Hardwarefehler aufgrund unzuverlässiger Elemente, Stromausfälle) und natürliche (Blitzeinschläge, Brände, Überschwemmungen usw.). etc.) Charakter. | ||
| 2.3.1. Verlust von Schlüsseln und Zugriffsattributen | 0,35 | durchschnittlich |
| 2.3.2. Unbeabsichtigte Änderung (Zerstörung) von Informationen durch Mitarbeiter | 0,25 | niedrig |
| 2.3.3. Versehentliches Abschalten der Schutzausrüstung | 0,25 | niedrig |
| 2.3.4. Ausfall von Hardware und Software | 0,25 | niedrig |
| 2.3.5. Stromversorgungsfehler | 0,25 | niedrig |
| 2.3.6. Katastrophe | 0,25 | niedrig |
| 2.4. Insider absichtliche Bedrohungen | ||
| 2.4.1. Zugang zu Informationen, Änderung, Zerstörung von Personen, die nicht zu ihrer Verarbeitung zugelassen sind | 0,25 | niedrig |
| 2.4.2. Offenlegung, Änderung, Zerstörung von Informationen durch Mitarbeiter, die zur Verarbeitung zugelassen sind | 0,35 | durchschnittlich |
| 2.5 Bedrohung durch unbefugten Zugriff über Kommunikationskanäle. | ||
| 2.5.1. Bedrohung "Analyse des Netzwerkverkehrs" mit Abfangen von Informationen, die von ISPD gesendet und von externen Netzwerken empfangen wurden: | ||
| 2.5.1.1. Abfangen außerhalb des kontrollierten Bereichs | 0,35 | durchschnittlich |
| 2.5.1.2. Abfangen innerhalb des kontrollierten Bereichs durch externe Eindringlinge | 0,25 | niedrig |
| 2.5.1.3 Abfangen innerhalb des kontrollierten Bereichs durch Insider. | 0,25 | niedrig |
| 2.5.2 Scannen von Bedrohungen zur Identifizierung des Typs oder der Typen der verwendeten Betriebssysteme, Netzwerkadressen von ISPD-Workstations, Netzwerktopologie, offenen Ports und Diensten, offenen Verbindungen usw. | 0,25 | niedrig |
| 2.5.3 Bedrohungen durch Netzwerkkennwörter anzeigen | 0,35 | durchschnittlich |
| 2.5.4 Bedrohungen durch falsche Netzwerkrouten | 0,25 | niedrig |
| 2.5.5 Bedrohungen durch Spoofing vertrauenswürdiger Objekte im Netzwerk | 0,25 | niedrig |
| 2.5.6 Drohungen, ein falsches Objekt sowohl in die ISPD als auch in externe Netzwerke einzuführen | 0,25 | niedrig |
| 2.5.7 Denial-of-Service-Bedrohungen | 0,25 | niedrig |
| 2.5.8 Bedrohungen beim Starten von Remoteanwendungen | 0,35 | durchschnittlich |
| 2.5.9 Bedrohungen durch Schadprogramme über das Netzwerk | 0,35 | durchschnittlich |
Tabelle 20 - LIS Typ I.
Die Bedrohung liegt in dem Wunsch, verschiedene vorinstallierte Schadprogramme auf dem ISPD-Host zu starten: Lesezeichenprogramme, Viren, "Netzwerk-Spyware", deren Hauptzweck darin besteht, die Vertraulichkeit, Integrität, Verfügbarkeit von Informationen und die vollständige Kontrolle über den Betrieb des Hosts zu verletzen. Darüber hinaus ist der unbefugte Start von Benutzeranwendungsprogrammen möglich, um unbefugt die für den Eindringling erforderlichen Daten abzurufen, die vom Anwendungsprogramm gesteuerten Prozesse zu starten usw.
Es gibt drei Unterklassen dieser Bedrohungen:
verteilung von Dateien, die nicht autorisierten ausführbaren Code enthalten;
fernstart einer Anwendung durch Überlaufen des Puffers von Serveranwendungen;
fernstart der Anwendung mithilfe der Funktionen zur Fernsteuerung des Systems, die über versteckte Software- und Hardware-Registerkarten bereitgestellt oder mit Standardmitteln verwendet werden.
Typische Bedrohungen der ersten dieser Unterklassen basieren auf der Aktivierung weiterverteilbarer Dateien bei versehentlichem Zugriff auf diese. Beispiele für solche Dateien sind: Dateien, die ausführbaren Code in Form von Dokumenten enthalten, die ausführbaren Code in Form von ActiveX-Steuerelementen, Java-Applets, interpretierten Skripten (z. B. JavaScript-Texten) enthalten; Dateien mit ausführbaren Programmcodes. E-Mail, Dateiübertragung und Netzwerk-Dateisystemdienste können zum Verteilen von Dateien verwendet werden.
Bedrohungen der zweiten Unterklasse nutzen die Mängel von Programmen aus, die Netzwerkdienste implementieren (insbesondere die mangelnde Kontrolle über Pufferüberläufe). Durch Anpassen der Systemregister ist es manchmal möglich, den Prozessor nach einem durch einen Pufferüberlauf verursachten Interrupt umzuschalten, um den außerhalb der Puffergrenze enthaltenen Code auszuführen. Ein Beispiel für eine solche Bedrohung ist die Einführung des bekannten "Morris-Virus".
Bei Bedrohungen der dritten Unterklasse nutzt der Eindringling die Funktionen der Remote-Systemsteuerung, die von versteckten Komponenten (z. B. "Trojanern" wie Back. Orifice, Net Bus) oder Standardtools für die Verwaltung und Verwaltung von Computernetzwerken (Landesk Management Suite, Managewise, Back Orifice usw.) bereitgestellt werden. P.). Aufgrund ihrer Verwendung ist es möglich, eine Fernsteuerung über die Station im Netzwerk zu erreichen.
Wenn in der Institution die verarbeitete PD nicht über öffentliche Netzwerke und internationalen Austausch gesendet wird, ist ein Virenschutz installiert, und die Wahrscheinlichkeit, dass die Bedrohung erkannt wird, ist hoch ist unwahrscheinlich.
In allen anderen Fällen muss die Wahrscheinlichkeit der Realisierung der Bedrohung bewertet werden.
Eine allgemeine Liste der Wahrscheinlichkeit der Implementierung von Bedrohungen für verschiedene Arten von ISPDN ist in Tabelle 12 dargestellt.
Tabelle 12
|
ISPDN-Typ |
Bedrohungswahrscheinlichkeit |
Koeff. die Wahrscheinlichkeit, dass die Bedrohung umgesetzt wird |
|
Autonomer IC Typ I. |
unwahrscheinlich | |
|
Autonomer IC Typ II | ||
|
Autonomer IC Typ III |
unwahrscheinlich | |
|
Autonomer IC Typ IV | ||
|
Autonomer IC Typ V. |
unwahrscheinlich | |
|
Autonomer Typ VI IC | ||
|
LIS Typ I. |
unwahrscheinlich | |
|
LIS Typ II | ||
|
Verteilter IS Typ I. |
unwahrscheinlich | |
|
Verteilter IC Typ II |
Schädliche Programme können sowohl absichtlich als auch versehentlich in die in der ISPD verwendete Software während ihrer Entwicklung, Wartung, Änderung und Anpassung eingeführt (eingeführt) werden. Darüber hinaus können schädliche Programme während des Betriebs der ISPD von externen Speichermedien oder durch Netzwerkinteraktion infolge der NSD oder versehentlich von ISPD-Benutzern eingeführt werden.
Moderne Schadprogramme basieren auf der Verwendung von Schwachstellen verschiedener Arten von Software (System, Allgemein, Anwendung) und verschiedener Netzwerktechnologien und verfügen über eine breite Palette destruktiver Fähigkeiten (von der unbefugten Untersuchung von ISPD-Parametern ohne Beeinträchtigung des ISPD-Betriebs bis zur Zerstörung von PD- und ISPDN-Software) und können arbeiten in allen Arten von Software (System, Anwendung, Hardwaretreiber usw.).
Das Vorhandensein von Schadprogrammen in der ISPD kann dazu beitragen, dass verborgene, einschließlich unkonventioneller Zugangskanäle zu Informationen entstehen, die das Öffnen, Umgehen oder Blockieren der im System bereitgestellten Sicherheitsmechanismen, einschließlich Kennwort- und Kryptografieschutz, ermöglichen.
Die Haupttypen von Malware sind:
· Software-Lesezeichen;
· Klassische Software (Computer) -Viren;
· Schädliche Programme, die sich über das Netzwerk ausbreiten (Netzwerkwürmer);
· Andere Schadprogramme, die zur Ausführung nicht autorisierter Aktionen entwickelt wurden.
Zu den Software-Lesezeichen gehören Programme, Codefragmente und Anweisungen, die nicht deklarierte Softwarefunktionen bilden. Schädliche Programme können von einem Typ zu einem anderen wechseln. Beispielsweise kann ein Software-Lesezeichen einen Software-Virus erzeugen, der wiederum, wenn er in die Netzwerkbedingungen gerät, einen Netzwerkwurm oder ein anderes bösartiges Programm bilden kann, das für die Ausführung nicht autorisierter Angriffe ausgelegt ist.
eine kurze Beschreibung von Die Haupt-Malware ist auf Folgendes zurückzuführen. Boot-Viren schreiben sich entweder in den Boot-Sektor der Festplatte (Boot-Sektor) oder in den Sektor, der den Bootloader der Festplatte enthält (Master Boot Record), oder ändern den Zeiger auf den aktiven Boot-Sektor. Sie werden beim Booten von einer infizierten Festplatte in den Arbeitsspeicher des Computers eingebettet. In diesem Fall liest der Bootloader den Inhalt des ersten Sektors der Platte, von der aus der Boot ausgeführt wird, legt die gelesenen Informationen in den Speicher und überträgt die Kontrolle an ihn (d. H. An den Virus). Danach werden die Anweisungen des Virus ausgeführt, was in der Regel die Menge an freiem Speicher verringert, seinen Code in den freigegebenen Speicherplatz kopiert und seine Fortsetzung von der Festplatte liest (falls vorhanden), die erforderlichen Interruptvektoren abfängt (normalerweise INT 13H) und das Original liest Bootsektor und überträgt die Kontrolle darauf.
Außerdem verhält sich der Startvirus wie ein Dateivirus: Er fängt Anforderungen ab betriebssystem Um Discs zu infizieren und zu infizieren, führt es abhängig von bestimmten Bedingungen zerstörerische Aktionen aus, verursacht Soundeffekte oder Videoeffekte.
Die wichtigsten zerstörerischen Aktionen dieser Viren sind:
· Zerstörung von Informationen in Sektoren von Disketten und Festplatten;
· Ausschluss der Möglichkeit des Ladens des Betriebssystems (der Computer "friert ein");
· Beschädigung des Bootloader-Codes;
· Formatieren von Disketten oder logischen Laufwerken der Festplatte;
· Schließen des Zugriffs auf COM- und LPT-Ports;
· Ersetzen von Zeichen beim Drucken von Texten;
· Zucken des Bildschirms;
· Ändern der Beschriftung einer Diskette oder Diskette;
· Erstellung von Pseudo-Failure-Clustern;
Erstellen von Ton- und / oder visuellen Effekten (z. B. Fallen)
Buchstaben auf dem Bildschirm);
· Beschädigung von Datendateien;
· Anzeige verschiedener Meldungen auf dem Bildschirm;
· Abschalten von Peripheriegeräten (z. B. Tastaturen);
· Ändern der Bildschirmpalette;
· Füllen des Bildschirms mit fremden Zeichen oder Bildern;
· Löschen des Bildschirms und Umschalten in den Standby-Modus für die Eingabe über die Tastatur;
· Verschlüsselung von Sektoren der Festplatte;
· Selektive Zerstörung von Zeichen, die beim Tippen über die Tastatur auf dem Bildschirm angezeigt werden;
· Verringerung der RAM-Größe;
· Rufen Sie an, um den Inhalt des Bildschirms zu drucken.
· Blockieren des Schreibens auf die Festplatte;
· Zerstörung der Partitionstabelle (Disk Partition Table), danach kann der Computer nur noch von einer Diskette gebootet werden;
· Blockieren des Starts ausführbarer Dateien;
· Blockieren des Zugriffs auf die Festplatte.
|
Abbildung 3. Klassifizierung von Softwareviren und Netzwerkwürmern
Die meisten Boot-Viren überschreiben sich selbst auf Disketten.
Die Methode zum Überschreiben von Infektionen ist die einfachste: Der Virus schreibt seinen eigenen Code anstelle des Codes der infizierten Datei und zerstört so deren Inhalt. Natürlich funktioniert die Datei nicht mehr und wird nicht wiederhergestellt. Solche Viren erkennen sich sehr schnell, da das Betriebssystem und die Anwendungen nicht mehr schnell funktionieren.
Die Kategorie "Begleiter" umfasst Viren, die infizierte Dateien nicht ändern. Der Betriebsalgorithmus dieser Viren besteht darin, dass eine Zwillingsdatei für die infizierte Datei erstellt wird. Wenn die infizierte Datei gestartet wird, erhält dieser Zwilling, dh der Virus, die Kontrolle. Die häufigsten Begleitviren, die die DOS-Funktion verwenden, sind die ersten, die Dateien mit der Erweiterung .COM ausführen, wenn sich zwei Dateien im selben Verzeichnis mit demselben Namen, aber unterschiedlichen Namenserweiterungen befinden - .COM und .EXE. Diese Viren erstellen Begleitdateien für EXE-Dateien mit demselben Namen, aber einer .COM-Erweiterung. Beispielsweise wird eine XCOPY.COM-Datei für eine XCOPY.EXE-Datei erstellt. Der Virus schreibt sich selbst in eine COM-Datei und ändert die EXE-Datei in keiner Weise. Wenn eine solche Datei gestartet wird, erkennt und führt DOS als erstes die COM-Datei, dh den Virus, aus, der dann auch die EXE-Datei startet. Die zweite Gruppe besteht aus Viren, die beim Infizieren eine Datei in einen anderen Namen umbenennen, sich daran erinnern (für den anschließenden Start der Hostdatei) und ihren Code unter dem Namen der infizierten Datei auf die Festplatte schreiben. Beispielsweise wird die Datei XCOPY.EXE in XCOPY.EXD umbenannt und der Virus unter dem Namen XCOPY.EXE geschrieben. Beim Start erhält das Steuerelement den Virencode, der dann die ursprüngliche XCOPY ausführt, die unter dem Namen XCOPY.EXD gespeichert ist. Eine interessante Tatsache ist, dass diese Methode auf allen Betriebssystemen zu funktionieren scheint. Die dritte Gruppe umfasst die sogenannten "Path-Companion" -Viren. Sie schreiben entweder ihren Code unter dem Namen der infizierten Datei, aber eine Ebene "höher" in den zu schreibenden Pfaden (DOS erkennt somit als erster die Virendatei und führt sie aus) oder verschieben die Opferdatei um ein Unterverzeichnis höher usw.
Möglicherweise gibt es andere Arten von Begleitviren, die andere ursprüngliche Ideen oder Funktionen anderer Betriebssysteme verwenden.
Dateiwürmer sind in gewisser Weise eine Art Begleitvirus, verbinden ihre Anwesenheit jedoch in keiner Weise mit einer ausführbaren Datei. Beim Replizieren kopieren sie einfach ihren Code in einige Festplattenverzeichnisse in der Hoffnung, dass diese neuen Kopien jemals vom Benutzer gestartet werden. Manchmal geben diese Viren ihren Kopien „spezielle“ Namen, um den Benutzer zum Starten ihrer Kopie zu bewegen - zum Beispiel INSTALL.EXE oder WINSTART.BAT. Es gibt Wurmviren, die eher ungewöhnliche Techniken verwenden, z. B. das Schreiben ihrer Kopien in Archive (ARJ, ZIP und andere). Einige Viren schreiben den Befehl zum Starten einer infizierten Datei in BAT-Dateien. Dateiwurmviren sollten nicht mit Netzwerkwürmern verwechselt werden. Nur die erstere Verwendung dateifunktionen jedes Betriebssystem, während letztere beim Replizieren Netzwerkprotokolle verwenden.
Link-Viren ändern wie Companion-Viren nicht den physischen Inhalt von Dateien, aber wenn eine infizierte Datei gestartet wird, "zwingen" sie das Betriebssystem, ihren Code auszuführen. Sie erreichen dieses Ziel, indem sie die erforderlichen Felder des Dateisystems ändern.
Viren, die Compiler-Bibliotheken, Objektmodule und Programmquellcodes infizieren, sind ziemlich exotisch und praktisch ungewöhnlich. Viren, die OBJ- und LIB-Dateien infizieren, schreiben ihren Code im Format eines Objektmoduls oder einer Bibliothek. Die infizierte Datei ist daher nicht ausführbar und kann den Virus in seinem aktuellen Zustand nicht weiter verbreiten. Der Träger eines "lebenden" Virus ist eine COM- oder EXE-Datei.
Nachdem der Dateivirus die Kontrolle erlangt hat, führt er die folgenden allgemeinen Aktionen aus:
Überprüft den RAM auf seine Kopie und infiziert
wenn im Computerspeicher keine Virenkopie gefunden wird (falls der Virus resident ist), sucht er im aktuellen und / oder Stammverzeichnis nach nicht infizierten Dateien, indem er den Verzeichnisbaum der logischen Laufwerke durchsucht und anschließend die erkannten Dateien infiziert.
Führt zusätzliche (falls vorhanden) Funktionen aus: destruktiv
aktionen, Grafiken oder Soundeffekte usw. (Zusätzliche Funktionen des residenten Virus können einige Zeit nach der Aktivierung aufgerufen werden, abhängig von der aktuellen Zeit, der Systemkonfiguration, den internen Virenzählern oder anderen Bedingungen. In diesem Fall verarbeitet der Virus bei Aktivierung den Status der Systemuhr, stellt seine Zähler ein usw.);
· Gibt die Steuerung an das Hauptprogramm zurück (falls vorhanden).
Es ist zu beachten, dass je schneller sich das Virus ausbreitet, desto wahrscheinlicher eine Epidemie dieses Virus auftritt, je langsamer sich das Virus ausbreitet, desto schwieriger ist es, es zu erkennen (wenn dieses Virus natürlich unbekannt ist). Nicht speicherresidente Viren sind häufig "langsam" - die meisten von ihnen infizieren beim Start eine oder zwei oder drei Dateien und haben keine Zeit, den Computer zu überfluten, bis das Antivirenprogramm gestartet wird (oder eine neue Version des für einen bestimmten Virus konfigurierten Antivirenprogramms angezeigt wird). Es gibt natürlich nicht speicherresidente "schnelle" Viren, die beim Start nach allen ausführbaren Dateien suchen und diese infizieren. Solche Viren sind jedoch sehr auffällig: Wenn jede infizierte Datei gestartet wird, arbeitet der Computer einige (manchmal ziemlich lange) aktiv mit der Festplatte, wodurch der Virus entlarvt wird. Die Ausbreitungsgeschwindigkeit (Infektion) residenter Viren ist normalerweise höher als die von nicht residenten Viren - sie infizieren Dateien, wenn auf sie zugegriffen wird. Infolgedessen sind alle oder fast alle Dateien, die ständig in der Arbeit verwendet werden, auf der Festplatte infiziert. Die Ausbreitungsrate (Infektionsrate) von residenten Dateiviren, die Dateien nur infizieren, wenn sie zur Ausführung gestartet werden, ist niedriger als die von Viren, die Dateien infizieren, wenn sie geöffnet, umbenannt, Dateiattribute geändert usw. werden.
Daher sind die wichtigsten zerstörerischen Aktionen, die von Dateiviren ausgeführt werden, mit Schäden an Dateien (normalerweise ausführbaren Dateien oder Datendateien), dem unbefugten Starten verschiedener Befehle (einschließlich Formatieren, Löschen, Kopieren usw.), dem Ändern der Interruptvektortabelle und verbunden andere. Gleichzeitig können viele zerstörerische Aktionen ausgeführt werden, ähnlich denen, die für Boot-Viren angegeben sind.
Makroviren sind Programme in Sprachen (Makrosprachen), die in einige Datenverarbeitungssysteme (Textverarbeitungssysteme, Tabellenkalkulationen usw.) eingebettet sind. Solche Viren nutzen für ihre Reproduktion die Fähigkeiten von Makrosprachen und übertragen sich mit ihrer Hilfe von einer infizierten Datei (Dokument oder Tabelle) auf andere. Am weitesten verbreitet sind Makroviren für das Microsoft Office-Anwendungspaket.
Damit Viren in einem bestimmten System (Editor) vorhanden sind, ist eine integrierte Makrosprache mit den folgenden Funktionen erforderlich:
1) Binden eines Programms in einer Makrosprache an eine bestimmte Datei;
2) Kopieren von Makroprogrammen von einer Datei in eine andere;
3) Erhalten der Kontrolle über das Makroprogramm ohne Benutzereingriff (automatische oder Standardmakros).
Diese Bedingungen werden durch Anwendung erfüllt microsoft-Programme Word, Excel und Microsoft Access... Sie enthalten Makrosprachen: Word Basic, Visual Basic für Applikationen. Dabei:
1) Makroprogramme sind an eine bestimmte Datei gebunden oder befinden sich in einer Datei.
2) Mit der Makrosprache können Sie Dateien kopieren oder Makroprogramme in Systemdienstdateien und bearbeitbare Dateien verschieben.
3) Beim Arbeiten mit einer Datei werden unter bestimmten Bedingungen (Öffnen, Schließen usw.) Makroprogramme (falls vorhanden) aufgerufen, die auf besondere Weise definiert sind oder Standardnamen haben.
Diese Funktion von Makrosprachen ist für die automatische Datenverarbeitung in großen Organisationen oder in globalen Netzwerken vorgesehen und ermöglicht die Organisation des sogenannten "automatisierten Dokumentenflusses". Andererseits ermöglichen die Funktionen der Makrosprachen solcher Systeme dem Virus, seinen Code auf andere Dateien zu übertragen und diese so zu infizieren.
Die meisten Makroviren sind nicht nur zum Zeitpunkt des Öffnens (Schließens) einer Datei aktiv, sondern solange der Editor selbst aktiv ist. Sie enthalten alle ihre Funktionen als Standard-Word / Excel / Office-Makros. Es gibt jedoch Viren, die Techniken verwenden, um ihren Code zu verbergen und ihren Code als Nicht-Makros zu speichern. Es sind drei solcher Techniken bekannt, die alle die Fähigkeit von Makros verwenden, andere Makros zu erstellen, zu bearbeiten und auszuführen. In der Regel verfügen solche Viren über einen kleinen (manchmal polymorphen) Virenmakro-Loader, der den integrierten Makro-Editor aufruft, ein neues Makro erstellt, es mit dem Hauptvirus-Code füllt, ausführt und in der Regel zerstört (um die Spuren der Viruspräsenz zu verbergen). Der Hauptcode solcher Viren ist entweder im Virenmakro selbst in Form von Textzeichenfolgen (manchmal verschlüsselt) vorhanden oder wird im variablen Bereich des Dokuments gespeichert.
Netzwerkviren umfassen Viren, die die Protokolle und Funktionen lokaler und globaler Netzwerke aktiv für ihre Verbreitung nutzen. Das Grundprinzip eines Netzwerkvirus ist die Fähigkeit, seinen Code unabhängig auf einen Remote-Server oder eine Workstation zu übertragen. Gleichzeitig können "vollwertige" Netzwerkviren ihren Code auf einem Remotecomputer ausführen oder zumindest den Benutzer zum Starten einer infizierten Datei "drängen".
Schädliche Programme, die die Implementierung der NSD sicherstellen, können sein:
· Programme zum Erraten und Brechen von Passwörtern;
· Programme, die Bedrohungen implementieren;
· Programme, die die Verwendung nicht angemeldeter Funktionen von Software und Software- und Hardware-ISPDn demonstrieren;
· Programmgeneratoren von Computerviren;
Programme, die Sicherheitslücken aufzeigen
Informationen usw.
Mit der zunehmenden Komplexität und Vielfalt der Software wächst die Anzahl der Malware rasant. Mehr als 120.000 Signaturen von Computerviren sind heute bekannt. Gleichzeitig stellen nicht alle eine echte Bedrohung dar. In vielen Fällen hat die Beseitigung von Schwachstellen in System- oder Anwendungssoftware dazu geführt, dass eine Reihe von Schadprogrammen diese nicht mehr infiltrieren können. Neue Malware ist häufig die Hauptbedrohung.
Einstufung von Straftätern
Alle Verstöße werden aufgrund ihrer Zugehörigkeit zur ISPD in zwei Gruppen eingeteilt:
Externe Straftäter - Personen, die nicht das Recht haben, sich auf dem Gebiet des kontrollierten Gebiets aufzuhalten, in dem sich die ISPD-Ausrüstung befindet;
Interne Straftäter sind Personen, die das Recht haben, sich auf dem Gebiet des kontrollierten Gebiets aufzuhalten, in dem sich die ISPD-Ausrüstung befindet.
Externer Eindringling
Als Eindringling der externen Informationssicherheit wird ein Eindringling betrachtet, der keinen direkten Zugriff auf die technischen Mittel und Ressourcen des Systems innerhalb des kontrollierten Bereichs hat.
Es wird angenommen, dass ein externer Eindringling die geschützten Informationen nicht durch technische Leckagekanäle beeinflussen kann, da die im ISPDN gespeicherte und verarbeitete Informationsmenge nicht ausreicht, um einen externen Eindringling zu motivieren, Maßnahmen zu ergreifen, die auf Informationslecks durch technische Leckagekanäle abzielen.
Es wird angenommen, dass ein externer Eindringling die geschützten Informationen nur während ihrer Übertragung über Kommunikationskanäle beeinflussen kann.
Insider-Eindringling
Die Fähigkeiten eines internen Verstoßes hängen im Wesentlichen von den einschränkenden Faktoren ab, die innerhalb der kontrollierten Zone wirken. Die wichtigste davon ist die Umsetzung einer Reihe von organisatorischen und technischen Maßnahmen, einschließlich der Auswahl, Vermittlung und Bereitstellung einer hochqualifizierten Ausbildung des Personals, der Zulassung von Personen innerhalb der kontrollierten Zone und der Kontrolle über die Ordnung Durchführung von Arbeiten zur Verhinderung und Unterdrückung von unbefugtem Zugriff.
Das System der Differenzierung des Zugriffs ISPD ISPD bietet eine Differenzierung der Benutzerrechte für den Zugriff auf Informationen, Software, Hardware und andere Ressourcen von ISPD gemäß den verabschiedeten Richtlinien (Regeln) zur Informationssicherheit. Interne Straftäter können sein: (Tabelle):
Administratoren bestimmter Subsysteme oder Datenbanken von ISPD (Kategorie II);
Benutzer, die sich außerhalb einer bestimmten AU befinden (Kategorie IV);
Personen mit Zugang zum Datenübertragungssystem (Kategorie V);
Mitarbeiter von Gesundheitseinrichtungen, die zu geschäftlichen Zwecken autorisierten Zugang zu den Räumlichkeiten haben, in denen sich die Elemente des PDIS befinden, aber nicht das Recht haben, auf sie zuzugreifen (Kategorie VI);
Servicepersonal (Sicherheit, Mitarbeiter des Ingenieurwesens und des technischen Dienstes usw.) (Kategorie VII);
Das autorisierte Personal der ISPD-Entwickler, das vertraglich berechtigt ist, die Komponenten der ISPD (Kategorie VIII) zu warten und zu modifizieren.
Personen der Kategorien I und II werden mit der Verwaltung von Software und Hardware sowie ISPD-Datenbanken für die Integration und Interaktion verschiedener Subsysteme, aus denen ISPD besteht, beauftragt. Administratoren können potenziell IS-Bedrohungen implementieren, indem sie direkt auf die in der ISPD verarbeiteten und gespeicherten geschützten Informationen sowie auf die Hardware und Software der ISPD zugreifen, einschließlich der in bestimmten AS verwendeten Schutzmittel, gemäß den für sie festgelegten Verwaltungsbefugnissen.
Diese Personen sind mit den grundlegenden Algorithmen, Protokollen, die in bestimmten Subsystemen und ISPD im Allgemeinen implementiert und verwendet werden, sowie mit den angewandten Sicherheitsprinzipien und -konzepten gut vertraut.
Es wird vorgeschlagen, dass sie verwenden könnten standard Ausrüstung entweder um Schwachstellen zu identifizieren oder um IS-Bedrohungen zu implementieren. Dieses Gerät kann entweder Teil eines Standardgeräts sein oder leicht erhältlich sein (z. B. Software aus öffentlich zugänglichen externen Quellen).
Darüber hinaus wird angenommen, dass diese Personen haben könnten spezialausrüstung.
Personen der Kategorien I und II sollten aufgrund ihrer ausschließlichen Rolle in der ISPD einer Reihe besonderer Organisations- und Regimemaßnahmen für ihre Auswahl, Einstellung, Ernennung und Kontrolle über die Erfüllung funktionaler Aufgaben unterliegen.
Es wird davon ausgegangen, dass nur Stimmrechtsvertreter in die Anzahl der Personen der Kategorien I und II einbezogen werden, weshalb diese Personen von der Anzahl der wahrscheinlichen Verstöße ausgeschlossen sind.
Es wird angenommen, dass Personen der Kategorien III-VIII wahrscheinlich Straftäter sind.
Die Fähigkeiten des Insiders hängen wesentlich davon ab
vom Betrieb innerhalb der kontrollierten Zone
sowie organisatorische und technische Schutzmaßnahmen, einschließlich der Zulassung von Personen zu personenbezogenen Daten und der Kontrolle des Arbeitsablaufs.
Interne potenzielle Verstöße werden in Abhängigkeit von der Zugriffsmethode und der Berechtigung zum Zugriff auf PD in acht Kategorien unterteilt.
Dieser Artikel ist der Analyse gewidmet moderne TechnologienDies stellt eine Bedrohung für die Computersicherheit und die wichtigsten Trends bei der Entwicklung von Malware im Jahr 2006 dar.
Allgemeine Trends bei der Entwicklung von Malware
Im Jahr 2006 entdeckte und analysierte der Autor 49.697 verschiedene Arten von Schadprogrammen, von denen 47.907 zu den Hauptfamilien gehören. Basierend auf den Ergebnissen ihrer Analyse wurde ein Diagramm erstellt, das die prozentuale Zusammensetzung von Schadprogrammen durch Familien für das Jahr widerspiegelt (Abb. 1).
Zahl: 1. Prozentuale Zusammensetzung der ITW-Proben nach Familien
Wie aus dem Diagramm ersichtlich, sind 37% aller untersuchten Programme Malware wie Trojan-Downloader. Dies ist ein stetiger Trend, der seit 2005 verfolgt wird und mit der Tatsache zusammenhängt, dass Trojaner-Downloader verwendet werden, um Schadprogramme zu installieren, ihre Versionen zu aktualisieren und sie wiederherzustellen, wenn sie von Antivirensoftware entfernt werden. Die meisten der untersuchten Fälle von Computerschäden durch Malware beinhalten den Start von Trojan-Downloader aufgrund der Verwendung eines Exploits oder von Methoden des Social Engineering. Am zweithäufigsten sind Mail- und Netzwerkwürmer, Trojaner verschiedener Typen und Programme der Dialer-Klasse.
Die statistische Analyse der Dynamik der Erkennung von ITW-Beispielen (in the Wild) zeigt, dass Malware-Entwickler eine neue Technologie zur Bekämpfung von Signaturscannern eingeführt haben und diese aktiv einsetzen. Die Technik ist äußerst einfach und besteht darin, dass der Entwickler innerhalb kurzer Zeit Hunderte von Varianten desselben Schadprogramms erstellt. Die meisten einfache Methoden Es gibt folgende Möglichkeiten:
- umpacken durch verschiedene Packer und Kryptoren - kann periodisch oder zum Zeitpunkt der Dateianforderung durchgeführt werden, wobei der Satz von Packern und ihre Parameter zufällig variieren können. Malware-Autoren verwenden häufig modifizierte Packer und Kryptoren, was ihre Überprüfung erschwert.
- neukompilierung der Datei mit Einführung von Änderungen, die ausreichen, um die Signaturen der Datei zu ändern, anhand derer sie erkannt wird;
- platzieren einer schädlichen Datei in einem Installationspaket, das mit Installationsprogrammen wie NSIS (Scriptable Installation System) erstellt wurde. Das Vorhandensein eines Open Source-Installationscodes ermöglicht es Ihnen, ihn ein wenig zu ändern, wodurch es unmöglich wird, ihn während eines Antivirenscans automatisch zu entpacken und zu analysieren.
Diese Techniken sind seit langem bekannt und können in verschiedenen Kombinationen verwendet werden, wodurch der Autor eines Schadprogramms problemlos Hunderte von Varianten desselben Programms erstellen kann, ohne klassische polymorphe Techniken zu verwenden. Dies lässt sich am Beispiel des Trojan-Downloaders nachvollziehen. Win32.Zlob. Betrachten Sie die Statistik der Erkennungen in den letzten 40 Tagen (Abb. 2).
Zahl: 2. Dynamik der Trojan-Downloader.Win32.Zlob-Erkennung über 40 Tage
In diesem Zeitraum entdeckte der Autor 2.198 ITW-Beispiele von Trojan-Downloader.Win32. Zlob, von denen 1213 einzigartig sind. Die Grafik zeigt zwei Kurven: die Anzahl der Erkennungen pro Tag und die Anzahl der eindeutigen Dateitypen. Aus der Grafik ist ersichtlich, dass ungefähr jede Sekunde der erkannten ITW-Probe eine eindeutige Datei ist und diese Abhängigkeit einen Monat lang stabil ist. Basierend auf der Klassifizierung von Kaspersky Lab gehören die 1213 untersuchten Proben zu 169 Subtypen dieses Schadprogramms. Diese Statistiken sind sehr aussagekräftig: Es gibt viele Schadprogramme, für die täglich Dutzende neuer Änderungen erkannt werden.
Ein weiterer charakteristischer Trend lässt sich auf das Beispiel des Warezov-E-Mail-Wurms zurückführen. Im Laufe des Monats zeichnete der Autor 5333 ITW-Proben auf, von denen 459 einzigartig sind. Das Aktivitätsverteilungsdiagramm ist in Abb. 2 dargestellt. 3.
Zahl: 3. Aktivität des Warezov-Postwurms
Die Zacken in der Tabelle stellen Perioden von Epidemien dar, die mit der Entstehung neuer Sorten des Wurms verbunden sind (in diesem Fall: Email-Worm.Win32.Warezov.gj, Email-Worm.Win32. Warezov.fb, Email-Worm.Win32.Warezov.hb). ... Die Grafik zeigt, dass eine aktive Epidemie durchschnittlich 2 bis 5 Tage andauert. Danach sinkt die Anzahl der Warezov-Erkennungen auf das "Hintergrund" -Niveau - 10 bis 30 Proben pro Tag. Das Auftreten solcher Ausbrüche ist verständlich - ein neuer Wurmtyp wird von Antivirensoftware nicht erkannt. Infolgedessen infiziert der Wurm viele PCs und es kommt zu einer Epidemie. Es entwickelt sich schnell, aber innerhalb eines Tages gelangen die Signaturen des Wurms in die Antiviren-Datenbanken und die Epidemie nimmt rapide ab.
Wir sollten auch die aktive Verbreitung von Trojaner-SPY-Trojanern beachten - Spyware, die persönliche Daten von Benutzern stiehlt. Unter ihnen ist der berühmte Goldun, der Informationen über die Konten des E-Gold-Systems stiehlt. Die neuesten Varianten dieses Trojaners verwenden aktiv Rootkit-Technologien zur Verkleidung und Spionage (Abb. 4).
Zahl: 4. Diagramm der Trojaner-SPY-Aktivität für den letzten Monat
Die Analyse der von Malware-Entwicklern verwendeten Technologien zeigt, dass 2006 keine revolutionären neuen Technologien erfunden wurden - Malware-Entwickler verwenden eher Quantität als Qualität. Dennoch gibt es einige neue Produkte, die eine ausführlichere Diskussion verdienen.
Lassen Sie uns abschließend das zusammenfassende gemittelte Diagramm betrachten, das auf den Daten des Systems des Autors zur automatischen Überwachung der Virusaktivität basiert (Abb. 5).
Zahl: 5. Statistiken des automatischen Malware-Suchsystems der letzten 40 Tage
Aus der Grafik ist ersichtlich, dass das automatische System durchschnittlich etwa 400 neue eindeutige Arten von Malware pro Tag registriert.
Rootkit-Technologien
2006 wurden verschiedene Arten von Rootkits und Rootkit-Technologien entwickelt und verbessert. Viele Schadprogramme verwenden diese Technologien, und es gibt verschiedene Richtungen:
- rootkit-Technologien zum Maskieren, deren Hauptzweck darin besteht, das Vorhandensein eines Schadprogramms und seiner Komponenten auf der Festplatte und im Speicher zu maskieren sowie Schlüssel in der Registrierung zu maskieren. Um dieses Problem zu lösen, wird am häufigsten das Abfangen von API-Funktionen verwendet. In modernen Rootkits gibt es sehr ausgefeilte Abfangtechniken, z. B. das Einfügen von Code in nicht exportierte Kernelfunktionen, das Abfangen eines Int2E-Interrupts und das Ändern von SYSENTER. DKOM-Rootkits (Direct Kernel Object Manipulation), die immer beliebter werden, sollten separat vermerkt werden.
- rootkit-Technologien für Spionage - wie der Name schon sagt, werden sie verwendet, um die Arbeit des Benutzers zu verfolgen und vertrauliche Informationen zu sammeln. Das typischste Beispiel ist Trojan-Spy.Win32.Goldun, das nach dem Rootkit-Prinzip den Austausch von Anwendungen mit dem Internet abfängt, um im Stream zu suchen übertragene Informationen die Kreditkartendaten des Benutzers.
Schauen wir uns die DKOM-Rootkits genauer an. Ihr Funktionsprinzip basiert auf der Modifikation von Systemstrukturen, die Prozesse, Treiber, Threads und Deskriptoren beschreiben. Ein solcher Eingriff in Systemstrukturen ist natürlich ein undokumentierter und sehr falscher Vorgang, aber das System arbeitet nach einem solchen Eingriff mehr oder weniger stabil weiter. Die praktische Konsequenz dieser Intervention ist, dass der Angreifer die Möglichkeit hat, die Strukturen des Kernels für seine eigenen Zwecke zu manipulieren. Beispielsweise wird für jeden der laufenden Prozesse eine EPROCESS-Struktur im Kernel erstellt, die viele Informationen über den Prozess speichert, insbesondere seine Kennung (PID) und den Prozessnamen. Diese Strukturen bilden eine doppelt verknüpfte Liste und werden von API-Funktionen verwendet, die Informationen über zurückgeben laufende Prozesse... Um den Prozess zu maskieren, muss ein DKOM-Rootkit lediglich seine EPROCESS-Struktur aus der Liste entfernen. Die Implementierung einer solchen Maskierung ist äußerst einfach, und im Internet finden Sie Dutzende vorgefertigter Implementierungen mit Quellcodes. Komplexere Rootkits beschränken sich nicht nur darauf, die Struktur des getarnten Objekts aus der Liste zu entfernen, sondern verzerren die darin enthaltenen Daten. Selbst wenn das Anti-Rootkit den maskierten Prozess oder Treiber findet, erhält es daher falsche Informationen darüber. Aufgrund der einfachen Implementierung werden solche Rootkits immer beliebter und es wird immer schwieriger, sie zu bekämpfen. Studien haben gezeigt, dass die effektivste Methode, dem entgegenzuwirken, darin besteht, einen Monitor im System zu installieren, der den Beginn / das Ende von Prozessen und das Laden / Entladen von Treibern überwacht. Der Vergleich der von einem solchen Monitor gesammelten Informationen mit den vom System zurückgegebenen Daten ermöglicht das Erkennen von Änderungen, die vom DKOM-Rootkit vorgenommen wurden, das Verstehen ihrer Natur und das Erkennen maskierter Prozesse und Treiber.
Scherzprogramme
Die Richtung der Hoax-Programme entwickelt sich weiterhin aktiv, sodass wir das Wachstum dieser Familie im Jahr 2007 zuversichtlich vorhersagen können. Wörtlich übersetzt ist Hoax Täuschung; Lügen, Scherz, nicht wahr. Die Idee hinter Hoax-Programmen ist es, den Benutzer zu täuschen, meistens mit dem Ziel, Gewinn zu machen oder vertrauliche Informationen zu stehlen. In letzter Zeit gab es eine Tendenz, diese Branche zu kriminalisieren: Wenn vor einem Jahr die meisten Hoax-Programme relativ harmlose Aktionen ausführten und eine Computerinfektion mit Viren oder SpyWare simulierten, zielen moderne Programme zunehmend darauf ab, Passwörter oder vertrauliche Informationen zu stehlen. Ein Beispiel für ein solches Programm ist in Abb. 1 dargestellt. 6.
Zahl: 6. Fenster des Programms Hoax.Win32.Delf
Wie aus dem Programmfenster und seiner Beschreibung hervorgeht, handelt es sich um einen Lizenzgenerator für Kaspersky Anti-Virus. Das Programm fordert Sie auf, Ihre E-Mail-Adresse und Ihr Kennwort einzugeben, um auf Ihre Mailbox zuzugreifen und die generierte Lizenz zu erhalten. Wenn ein leichtgläubiger Benutzer dies tut und auf die Schaltfläche "Verschlüsselung empfangen" klickt, werden die von ihm eingegebenen Daten per E-Mail an den Angreifer übertragen. Im vergangenen Jahr wurden mehr als hundert solcher Programme entdeckt: Dies sind verschiedene "Risse", Generatoren von Zahlungskarten von Mobilfunkbetreibern, Generatoren von Kreditkartennummern, Mittel zum "Hacken" von Postfächern usw. Ein gemeinsames Merkmal solcher Programme besteht darin, den Benutzer zu täuschen, um sicherzustellen, dass er einige unabhängig eingibt vertrauliche Informationen... Das zweite charakteristische Merkmal von Hoax-Anwendungen ist ihre Primitivität: Sie enthalten viele Fehler und Fehler im Programmcode. Solche Programme werden häufig von unerfahrenen Virenschreibern erstellt.
Der Trend bei der Entwicklung von Hoax-Programmen ist am Beispiel von Hoax.Win32.Renos zu sehen (Abb. 7).
Zahl: 7. Dynamik der Hoax.Win32.Renos-Erkennung in den letzten 30 Tagen
Aus der Grafik ist ersichtlich, dass der Autor mindestens eine neue eindeutige Variante dieses Schadprogramms pro Tag erkennt. In nur einem Monat werden 60 neue eindeutige Varianten beobachtet, die gemäß der Klassifizierung von Kaspersky Lab in 18 Untersorten enthalten sind.
Trojaner für Erpressung und Erpressung
Programme dieser Art erschienen erstmals vor einigen Jahren. Ihr Hauptziel ist es, den Benutzer direkt zu erpressen und Geld von ihm zu erpressen, um die Leistung des Computers wiederherzustellen oder von einem Trojaner-Programm verschlüsselte Informationen zu entschlüsseln. In den meisten Fällen muss der Autor Berichte und Hilfeanfragen von Benutzern erhalten, die unter dem Trojaner Trojan.Win32.Krotten gelitten haben, der 25 WMZ zur Wiederherstellung des Computers erpresst hat. Dieses Trojanische Pferd ist äußerst primitiv im Design und seine ganze Arbeit besteht darin, Hunderte von Schlüsseln in der Registrierung zu ändern (mit detaillierte Beschreibung Eine seiner Sorten finden Sie unter: http://www.z-oleg.com/secur/virlist/vir1180.php). Die Besonderheit dieser Trojanerfamilie besteht darin, dass das Suchen und Zerstören des Trojaners nicht ausreicht, um einen Computer zu heilen. Es ist dennoch erforderlich, den dem System zugefügten Schaden zu reparieren. Während der durch den Krotten-Trojaner verursachte Registrierungsschaden relativ einfach zu reparieren ist, ist es viel schwieriger, verschlüsselte Informationen wiederherzustellen. Beispielsweise erhöht der Ersteller des Gpcode-Trojaners, der Benutzerdaten verschlüsselt, schrittweise die Länge des Verschlüsselungsschlüssels und fordert damit Antiviren-Unternehmen heraus. Weitere Details zu diesem Trojaner finden Sie im Artikel "Blackmailer" unter folgender Adresse: http://www.viruslist.com/en/analysis?pubid\u003d188790045.
Code-Injection als Stealth-Startmethode
Diese Technologie ist in modernen Trojaner-Downloadern am deutlichsten zu erkennen, wird jedoch allmählich in andere Schadprogramme eingeführt. Die Technik ist relativ einfach: Ein Schadprogramm besteht herkömmlicherweise aus zwei Teilen - einem "Injektor" und einem Trojaner-Code. Die Aufgabe des "Injektors" besteht darin, den Trojaner-Code zu entpacken, zu entschlüsseln und in einen Systemprozess einzufügen. Zu diesem Zeitpunkt unterscheiden sich die untersuchten Schadprogramme in der Methode zur Injektion von Trojaner-Code:
- implementierung durch Ändern des Kontexts - Das Prinzip einer solchen Implementierung besteht darin, den Trojaner-Code vorzubereiten und zu entschlüsseln (Schritt 1), einen beliebigen Systemprozess zu starten, und wenn ein Prozess erstellt wird, wird er in einem "Schlaf" -Modus (angehalten) erstellt (Schritt 2). Als nächstes injiziert der Injektor den Trojaner-Code in den Prozessspeicher (außerdem kann eine solche Injektion über den Maschinencode des Prozesses ausgeführt werden) und ändert dann den Kontext des Hauptthreads, so dass der Trojaner-Code die Kontrolle erhält (Schritt 3). Danach wird der Hauptthread gestartet und der Trojaner-Code ausgeführt. Diese Methode ist insofern interessant, als jeder Prozessmanager die Ausführung eines legitimen Programms (z. B. svchost.exe) anzeigt. Anstelle des Maschinencodes des legitimen Programms wird der Trojaner-Code jedoch gespeichert und im Speicher ausgeführt. Mit dieser Methode können Sie Firewalls umgehen, die nicht über die Mittel verfügen, um die Änderung des Prozessspeichers und den Kontext seiner Abläufe zu steuern (Abb. 8).
Zahl: 8. Injektion durch Kontextwechsel
- einfügen von Trojaner-Threads - Diese Methode ähnelt ideologisch der vorherigen, aber anstatt den Maschinencode des Prozesses durch einen Trojaner zu ersetzen und im Hauptthread auszuführen, wird ein zusätzlicher Thread erstellt, in dem der Trojaner-Code ausgeführt wird (Schritt 2). Diese Methode wird häufig verwendet, um Trojaner-Code in einen vorhandenen Prozess einzufügen, ohne dessen Betrieb zu stören (Abbildung 9).
Zahl: 9. Injektion durch Erstellen eines Trojaner-Streams
Neue Methoden des Diebstahls WebMoney
Ende 2006 wurde eine neue, ziemlich originelle Methode zum Stehlen von Geld im WebMoney-System entdeckt. Es basiert auf dem Injizieren eines kleinen Trojaner-Programms auf den Computer eines Benutzers, das überwacht, ob ein WebMoney-Programmfenster geöffnet ist. Wenn es geöffnet ist, wird die Zwischenablage überwacht. Wenn Text erkannt wird, der mit "Z", "R" oder "E" im Puffer beginnt, geht der Trojaner davon aus, dass dies die Brieftaschennummer des Empfängers ist, die der Benutzer zur Eingabe in das WebMoney-Fenster in die Zwischenablage kopiert hat. Diese Nummer wird aus dem Puffer entfernt und durch die Nummer "Z", "R" oder "E" der Brieftasche des Angreifers ersetzt. Die Methode ist äußerst einfach zu implementieren und kann sehr effektiv sein, da die Brieftaschennummern meistens nicht eingegeben, sondern durch den Puffer kopiert werden und nicht alle Benutzer sorgfältig prüfen, ob die Brieftaschennummer aus dem Puffer eingefügt wurde. Dieser Trojaner ist ein klarer Beweis für den Einfallsreichtum der Trojaner-Programmentwickler.
Debugger- und Virtual PC-Erkennung
Techniken für den Umgang mit Debuggern, Emulatoren und virtuellen Computern sind seit langem bekannt. Ihre Verwendung erschwert es einem unerfahrenen Spezialisten, ein Schadprogramm zu analysieren. Daher werden solche Technologien von Malware-Entwicklern seit langer Zeit recht erfolgreich eingesetzt. Im vergangenen Jahr hat sich jedoch ein neuer Trend herauskristallisiert: Schadprogramme versuchten, den Computertyp zu bestimmen - ob es sich um echte Hardware oder Emulation handelt, die von Programmen wie Virtual PC oder VMWare erstellt wurde. Solche virtuellen PCs wurden von Administratoren sehr aktiv verwendet, um verdächtige Programme zu untersuchen. Wenn eine Überprüfung durchgeführt wird und es auf einem virtuellen PC gestartet wird (optional unter einem Debugger), kann das Schadprogramm seine Arbeit einfach abnormal beenden, wodurch das Studium verhindert wird. Darüber hinaus wird eine solche Überprüfung Systemen wie Norman Sandbox einen Schlag versetzen, da ihr Prinzip der heuristischen Analyse im Wesentlichen darin besteht, das untersuchte Programm auf dem Emulator auszuführen und seine Arbeit zu untersuchen. Ende des Jahres veröffentlichten die SANS-Spezialisten Tom Liston und Ed Skoudis einen sehr interessanten Bericht, in dem Techniken zur Erkennung virtueller Maschinen und zur Bekämpfung von Erkennungsmethoden beschrieben wurden. Das Dokument kann von der SANS-Website heruntergeladen werden - http://handlers.sans.org/tliston/ThwartingVMDetection_Liston_Skoudis.pdf.
Spambots und Trojaner-Proxies
Ein Spam-Bot ist ein eigenständiges Trojanisches Pferd, das automatisch Spam von einem infizierten Computer sendet. Ein Trojaner-Proxy ist ein Schadprogramm mit den Funktionen eines Proxyservers. Durch seine Funktion auf einem betroffenen Computer kann ein Angreifer ihn als Proxyserver verwenden, um Spam zu senden, Angriffe auf andere Computer auszuführen und andere illegale Aktionen auszuführen. Viele moderne Spambots maskieren ihre Präsenz aktiv mithilfe von Rootkit-Technologien und schützen sich vor dem Löschen. Statistiken zeigen, dass pro Monat mehr als 400 ITW-Sorten solcher Programme entdeckt werden, von denen etwa 130 neu und einzigartig sind.
Ein Spam-Bot stellt eine große Bedrohung für Unternehmensnetzwerke dar, da sein Betrieb zu folgenden Konsequenzen führt:
- hoher Verbrauch des Netzwerkverkehrs - In den meisten Städten Russlands gibt es noch keine unbegrenzten Tarife. Daher kann das Vorhandensein mehrerer betroffener Computer im Netzwerk zu erheblichen finanziellen Verlusten aufgrund des Verkehrsverbrauchs führen.
- viele Unternehmensnetzwerke verwenden statische IP-Adressen und eigene Mailserver, um auf das Internet zuzugreifen. Infolgedessen fallen diese IP-Adressen aufgrund der Aktivität von Spambots schnell in die schwarzen Listen der Anti-Spam-Filter, was bedeutet, dass Mailserver im Internet keine E-Mails mehr vom Firmenmail-Server des Unternehmens annehmen. Es ist möglich, Ihre IP-Adresse von der Blacklist auszuschließen, aber es ist ziemlich schwierig. Wenn sich Spambots im Netzwerk befinden, ist dies eine vorübergehende Maßnahme.
Die Methoden zur Bekämpfung von Spam-Bots und Trojaner-Proxys sind sehr einfach: Sie müssen Port 25 für alle Benutzer blockieren und sie im Idealfall vollständig daran hindern, direkt mit dem Internet zu kommunizieren, und ihn durch Arbeit über Proxyserver ersetzen. In Smolenskenergo arbeiten beispielsweise alle Benutzer nur über einen Proxy mit einem Filtersystem mit dem Internet, und es wird täglich eine halbautomatische Untersuchung der Protokolle durchgeführt, die vom diensthabenden Administrator-Systemingenieur durchgeführt wird. Mit dem von ihm verwendeten Analysegerät können Sie leicht Anomalien im Benutzerverkehr erkennen und rechtzeitig Maßnahmen ergreifen, um verdächtige Aktivitäten zu blockieren. Außerdem, hervorragende Ergebnisse Bereitstellung von IDS-Systemen (Intrusion Detection System), die den Netzwerkverkehr von Benutzern untersuchen.
Verbreitung von Malware mit Instant Messenger
Laut Statistiken, die im Laufe des Jahres erhoben wurden, werden Instant Messenger zunehmend verwendet, um Malware auf die Computer der Benutzer zu übertragen. Die Implementierungsmethode ist klassisches Social Engineering. Von einem infizierten Computer aus sendet das Schadprogramm im Auftrag des ICQ seines Besitzers Nachrichten, in denen es aufgefordert wird, den angegebenen Link unter dem einen oder anderen Vorwand zu öffnen. Der Link führt zu einem Trojanischen Pferd (normalerweise mit einem aussagekräftigen Namen wie picture.pif oder flash_movie.exe) oder zu einer Website, deren Seiten Exploits enthalten. Besonders hervorzuheben ist die Tatsache, dass die Links zu Malware verteilt werden, nicht deren Körper.
Im vergangenen Jahr wurden nach diesem Prinzip mehrere Epidemien registriert. In Russland waren die Opfer hauptsächlich ICQ-Benutzer, und auf diese Weise wurden am häufigsten Trojaner-PSW-Programme verbreitet - Trojaner, die Benutzerkennwörter stehlen. Der Autor erhält durchschnittlich ein bis zehn Nachrichten pro Tag, und bis Ende des Jahres werden solche Mailings aktiver.
Malware Schutz dieses Typs extrem einfach - Sie sollten solche Links nicht öffnen. Statistiken zeigen jedoch, dass die Neugier der Benutzer häufig überwiegt, insbesondere wenn Nachrichten von einer ihnen bekannten Person stammen. In einem Unternehmensumfeld besteht eine wirksame Maßnahme darin, die Verwendung von Internet-Pagern zu verbieten, da diese aus Sicherheitsgründen der ideale Kanal für Informationslecks sind.
USB-Sticks
Ein deutlicher Preisverfall bei Flash-Medien (sowie eine Erhöhung von Volumen und Geschwindigkeit) führte zu einem natürlichen Effekt - einem raschen Anstieg ihrer Beliebtheit bei den Nutzern. Dementsprechend begannen Malware-Entwickler, Programme zu erstellen, die Flash-Laufwerke infizieren. Das Funktionsprinzip solcher Programme ist äußerst einfach: Zwei Dateien werden im Stammverzeichnis der Festplatte erstellt - eine Textdatei autorun.inf und eine Kopie eines Schadprogramms. Die Autorun-Datei wird verwendet, um die Malware automatisch auszuführen, wenn das Laufwerk angeschlossen ist. Das klassische Beispiel für ein solches Schadprogramm ist der E-Mail-Wurm von Rays. Es ist wichtig zu beachten, dass eine Digitalkamera, viele Mobiltelefone, MP3-Player und PDAs als Virenträger fungieren können - aus Sicht eines Computers (und dementsprechend eines Wurms) sind sie nicht von einer Flash-Disk zu unterscheiden. Das Vorhandensein eines Schadprogramms hat jedoch keinerlei Auswirkungen auf den Betrieb dieser Geräte.
Ein Schutzmaß gegen solche Programme kann das Deaktivieren der automatischen Ausführung sein, indem Antiviren-Monitore zur rechtzeitigen Erkennung und Entfernung eines Virus verwendet werden. Angesichts der Bedrohung durch Viren und Informationslecks ergreifen viele Unternehmen strengere Maßnahmen - sie blockieren die Möglichkeit, USB-Geräte mit spezieller Software anzuschließen, oder blockieren USB-Treiber in den Systemeinstellungen.
Fazit
In diesem Artikel wurden die Hauptrichtungen der Entwicklung von Schadprogrammen berücksichtigt. Ihre Analyse ermöglicht es uns, mehrere Vorhersagen zu treffen:
- es ist davon auszugehen, dass die Richtung der Maskierung von Signaturscannern und der Schutz vor dem Start auf virtuellen Computern und Emulatoren aktiv entwickelt werden. Infolgedessen setzen sich verschiedene heuristische Analysegeräte, Firewalls und proaktive Schutzsysteme durch, um solche Schadprogramme zu bekämpfen.
- es gibt eine eindeutige Kriminalisierung der Malware-Entwicklungsbranche und einen wachsenden Anteil von Spambots, Trojanern und Trojanern, die Passwörter und persönliche Daten von Benutzern stehlen sollen. Im Gegensatz zu Viren und Würmern können solche Programme den Benutzern erheblichen materiellen Schaden zufügen. Die Entwicklung der Trojaner-Industrie, die Daten für Benutzer verschlüsselt, lässt einen über die Zweckmäßigkeit von periodischen Überlegungen nachdenken kopie reservierenwas den durch einen solchen Trojaner verursachten Schaden praktisch negiert;
- die Analyse von Computerinfektionsfällen zeigt, dass Cyberkriminelle häufig Webserver hacken, um schädliche Programme darauf zu platzieren. Ein solches Hacken ist viel gefährlicher als das sogenannte Deface (Ersetzen der Startseite der Site), da die Computer der Site-Besucher infiziert werden können. Es ist davon auszugehen, dass sich diese Richtung sehr aktiv entwickeln wird;
- flash-Laufwerke, Digitalkameras, MP3-Player und PDAs werden zu einer zunehmenden Sicherheitsbedrohung, da sie Viren übertragen können. Viele Benutzer unterschätzen die Gefahr, die beispielsweise von einer Digitalkamera ausgeht, aber der Autor untersuchte 2006 mindestens 30 Vorfälle im Zusammenhang mit solchen Geräten.
- die Analyse des Geräts und der Prinzipien des Malware-Betriebs zeigt, dass Sie sich ohne Antivirus vor ihnen schützen können - sie können in einem ordnungsgemäß konfigurierten System einfach nicht funktionieren. Die Hauptschutzregel ist die Arbeit des Benutzers unter einem eingeschränkten Konto, das insbesondere keine Schreibrechte besitzt systemordner, um Dienste und Treiber zu verwalten sowie zu ändern systemschlüssel Registrierung.
Aktiv Ausgabe von 15.02.2008
"GRUNDLEGENDES MODELL VON GEFAHREN FÜR DIE SICHERHEIT PERSÖNLICHER DATEN WÄHREND IHRER VERARBEITUNG IN INFORMATIONSSYSTEMEN PERSÖNLICHER DATEN" (genehmigt am 15.02.2008 von FSTEC RF)
5. Bedrohung durch unbefugten Zugriff auf Informationen im Informationssystem für personenbezogene Daten
Bedrohungen für den nicht autorisierten Zugriff in ISPD durch die Verwendung von Software und Software und Hardware werden implementiert, wenn nicht autorisierter, einschließlich versehentlicher Zugriff ausgeführt wird, wodurch die Vertraulichkeit (Kopieren, nicht autorisierte Verteilung), Integrität (Zerstörung, Änderung) und Verfügbarkeit (Blockierung) von PD verletzt werden. und umfassen:
bedrohungen des Zugriffs (Eindringens) in die Betriebsumgebung eines Computers unter Verwendung von Standardsoftware (Betriebssystemtools oder allgemeine Anwendungsprogramme);
Die Gefahr, abnormale Betriebsmodi von Software (Software und Hardware) zu erzeugen, bedeutet, dass absichtliche Änderungen der Servicedaten vorgenommen werden, die Einschränkungen der Zusammensetzung und Eigenschaften der verarbeiteten Informationen, die unter Standardbedingungen vorgesehen sind, ignoriert werden, Verzerrungen (Änderungen) der Daten selbst usw.;
bedrohungen durch die Einführung von Schadprogrammen (Software und mathematische Auswirkungen).
Die Zusammensetzung der Elemente zur Beschreibung der Bedrohungen für die Informationen in der ISPD ist in Abbildung 3 dargestellt.
Darüber hinaus sind kombinierte Bedrohungen möglich, die eine Kombination dieser Bedrohungen darstellen. Beispielsweise können durch die Einführung von Schadprogrammen Bedingungen für den unbefugten Zugriff auf die Betriebsumgebung eines Computers geschaffen werden, unter anderem durch die Bildung nicht traditioneller Informationszugriffskanäle.
Bedrohungen beim Zugriff (Eindringen) in die Betriebsumgebung von ISPD mithilfe von Standardsoftware werden in Bedrohungen für direkten und Remotezugriff unterteilt. Direktzugriffsbedrohungen werden mithilfe der software- und hardwarebasierten Eingabe / Ausgabe eines Computers ausgeführt. RAS-Bedrohungen werden mithilfe von Netzwerkprotokollen implementiert.
Diese Bedrohungen werden in Bezug auf ISPD sowohl auf der Grundlage einer automatisierten Workstation realisiert, die nicht in öffentlichen Kommunikationsnetzen enthalten ist, als auch in Bezug auf alle ISPD, die eine Verbindung zu öffentlichen Kommunikationsnetzen und internationalen Informationsaustauschnetzen haben.
Die Beschreibung der Bedrohungen des Zugriffs (Eindringens) in die Betriebsumgebung eines Computers kann formal wie folgt dargestellt werden:
bedrohung durch NSD in ISPDN: \u003d<источник угрозы>, <уязвимость ИСПДн>, <способ реализации угрозы>, <объект воздействия (программа, протокол, данные и др.)>, <деструктивное действие>.
Abbildung 3. Elemente der Beschreibung von Bedrohungen für Informationen in ISPDN
Bedrohungen durch die Erstellung abnormaler Betriebsmodi von Software (Firmware) sind Bedrohungen durch "Denial of Service". In der Regel werden diese Bedrohungen in Bezug auf ISPD auf der Grundlage lokaler und verteilter Informationssysteme betrachtet, unabhängig von der Verbindung des Informationsaustauschs. Ihre Implementierung beruht auf der Tatsache, dass bei der Entwicklung von System- oder Anwendungssoftware die Möglichkeit absichtlicher Maßnahmen zur gezielten Änderung nicht berücksichtigt wird:
datenverarbeitungsbedingungen (z. B. Ignorieren von Einschränkungen für die Länge eines Nachrichtenpakets);
Datenpräsentationsformate (mit Inkonsistenz der modifizierten Formate, die für die Verarbeitung über Netzwerkkommunikationsprotokolle festgelegt wurden);
Datenverarbeitungssoftware.
Infolge der Implementierung von Denial-of-Service-Bedrohungen werden Pufferüberlauf- und Verarbeitungsverfahren blockiert, Verarbeitungsverfahren werden wiederholt und der Computer friert ein, Nachrichtenpakete werden verworfen usw. Die Beschreibung solcher Bedrohungen kann formal wie folgt dargestellt werden:
denial-of-Service-Bedrohung: \u003d<источник угрозы>, <уязвимость ИСПДн>, <способ реализации угрозы>, <объект воздействия (носитель ПДн)>, <непосредственный результат реализации угрозы (переполнение буфера, блокирование процедуры обработки, "зацикливание" обработки и т.п.)>.
Es ist unangemessen, Bedrohungen durch die Einführung von Schadprogrammen (programmatische und mathematische Auswirkungen) mit denselben Details wie die oben genannten Bedrohungen zu beschreiben. Dies liegt daran, dass erstens die Zahl der Schadprogramme bereits heute deutlich über hunderttausend liegt. Zweitens reicht es bei der Organisation des Informationsschutzes in der Praxis in der Regel aus, nur die Klasse des Schadprogramms, die Methoden und Folgen seiner Implementierung (Infektion) zu kennen. In dieser Hinsicht können die Bedrohungen durch softwaremathematische Auswirkungen (PMA) formal wie folgt dargestellt werden:
pMV-Bedrohung in ISPDn: \u003d<класс вредоносной программы (с указанием среды обитания)>, <источник угрозы (носитель вредоносной программы)>, <способ инфицирования>, <объект воздействия (загрузочный сектор, файл и т.п.)>, <описание возможных деструктивных действий>, <дополнительная информация об угрозе (резидентность, скорость распространения, полиморфичность и др.)>.
Im Folgenden finden Sie eine allgemeine Beschreibung der Bedrohungsquellen für die Informationssicherheit, der Sicherheitslücken, die bei der Implementierung von Bedrohungen durch nicht autorisierten Zugriff verwendet werden können, und der Merkmale der Ergebnisse eines nicht autorisierten oder versehentlichen Zugriffs. Die Merkmale der Methoden zur Implementierung von Bedrohungen werden angegeben, wenn Bedrohungen des Zugriffs (Eindringens) in die Betriebsumgebung eines Computers, Bedrohungen durch Denial-of-Service und Bedrohungen durch PMA beschrieben werden.
Die Ursachen für NSD-Bedrohungen bei ISPD können sein:
eindringling;
der Träger des Schadprogramms;
hardware-Lesezeichen.
Sicherheitsbedrohungen für personenbezogene Daten im Zusammenhang mit der Implementierung von Hardware-Registerkarten werden gemäß den Bestimmungen des Federal Security Service ermittelt Russische Föderation in der von ihm festgelegten Reihenfolge.
Durch das Recht auf dauerhaften oder einmaligen Zugang zum kontrollierten Bereich (KZ) der ISPD werden Verstöße in zwei Arten unterteilt:
verstöße, die keinen Zugang zu ISPD haben, Bedrohungen durch externe öffentliche Kommunikationsnetze und (oder) internationale Informationsaustauschnetze erkennen - externe Verstöße;
zuwiderhandlungen, die Zugriff auf die ISPD haben, einschließlich der Benutzer der ISPD, die Bedrohungen direkt in der ISPD implementieren, sind interne Zuwiderhandlungen.
Externe Straftäter können sein:
geheimdienste von Staaten;
Kriminelle Strukturen;
wettbewerber (konkurrierende Organisationen);
skrupellose Partner;
externe Akteure (Einzelpersonen).
Ein externer Eindringling verfügt über die folgenden Funktionen:
unbefugten Zugriff auf Kommunikationskanäle durchführen, die über die Büroräume hinausgehen;
unbefugten Zugriff über Arbeitsstationen durchzuführen, die mit öffentlichen Kommunikationsnetzen und (oder) Netzen des internationalen Informationsaustauschs verbunden sind;
unbefugten Zugriff auf Informationen mithilfe spezieller Softwareaktionen über Softwareviren, Malware, Algorithmen oder Software-Lesezeichen durchzuführen;
Führen Sie unbefugten Zugriff über die Elemente der Informationsinfrastruktur ISPDN durch, die im Laufe ihrer lebenszyklus (Modernisierung, Wartung, Reparatur, Entsorgung) liegen außerhalb des kontrollierten Bereichs;
unbefugten Zugriff über die Informationssysteme interagierender Abteilungen, Organisationen und Institutionen durchführen, wenn diese mit dem ISPD verbunden sind.
Die Fähigkeiten eines internen Verstoßes hängen im Wesentlichen von der Regelung sowie den in der Kontrollzone geltenden organisatorischen und technischen Schutzmaßnahmen ab, einschließlich der Zulassung von Personen zu personenbezogenen Daten und der Kontrolle des Arbeitsablaufs.
Interne potenzielle Verstöße werden in Abhängigkeit von der Zugriffsmethode und der Berechtigung zum Zugriff auf PD in acht Kategorien unterteilt.
Die erste Kategorie umfasst Personen, die autorisierten Zugriff auf das PDIS haben, aber keinen Zugriff auf PD haben. Zu dieser Art von Verstößen gehören Beamte, die das normale Funktionieren der ISPD sicherstellen.
zugang zu Informationsfragmenten haben, die PD enthalten und sich über die internen Kommunikationskanäle ISPD verbreiten;
Fragmente von Informationen über die Topologie des ISPDn (Kommunikationsteil des Subnetzwerks) und über die verwendeten Kommunikationsprotokolle und deren Dienste haben;
Entsorgen Sie Namen und führen Sie die Identifizierung von Passwörtern registrierter Benutzer durch.
Ändern Sie die Konfiguration der technischen Mittel für ISPD, fügen Sie Registerkarten für Software und Hardware hinzu und stellen Sie den Informationsabruf über eine direkte Verbindung zu den technischen Mitteln für ISPD bereit.
hat alle Fähigkeiten von Personen der ersten Kategorie;
Kennt mindestens einen legalen Zugriffsnamen;
Verfügt über alle erforderlichen Attribute (z. B. ein Kennwort), die den Zugriff auf eine bestimmte Teilmenge von PD ermöglichen.
hat vertrauliche Daten, auf die es Zugriff hat.
Der Zugriff, die Authentifizierung und die Zugriffsrechte auf eine bestimmte Teilmenge von PD sollten durch die entsprechenden Zugriffssteuerungsregeln geregelt werden.
hat alle Fähigkeiten von Personen der ersten und zweiten Kategorie;
Hat Informationen über die Topologie von ISPD basierend auf einem lokalen und (oder) verteilten Informationssystem, über das der Zugriff erfolgt, und über die Zusammensetzung der technischen Mittel von ISPD;
hat die Möglichkeit des direkten (physischen) Zugriffs auf Fragmente technischer Mittel der ISPD.
Verfügt über vollständige Informationen über das System und die Anwendungssoftware, die im Segment (Fragment) ISPDN verwendet werden;
Verfügt über vollständige Informationen über die technischen Mittel und die Konfiguration des ISPD-Segments (Fragment);
hat Zugriff auf Informationssicherheits- und Protokollierungswerkzeuge sowie auf einzelne Elemente, die im ISPD-Segment (Fragment) verwendet werden;
hat Zugang zu allen technischen Mitteln des ISPD-Segments (Fragment);
hat die Rechte, eine bestimmte Teilmenge der technischen Mittel des ISPD-Segments (Fragment) zu konfigurieren und zu verwalten.
Hat alle Fähigkeiten von Personen der vorherigen Kategorien;
verfügt über vollständige Informationen zum System und zur Anwendungssoftware ISPD;
hat vollständige Informationen über die technischen Mittel und die Konfiguration des ISPDN;
hat Zugang zu allen technischen Mitteln der Informationsverarbeitung und ISPD-Daten;
besitzt die Rechte zur Konfiguration und Verwaltung der technischen Mittel von ISPD.
Der Systemadministrator führt die Konfiguration und Verwaltung von Software (Software) und Geräten durch, einschließlich Geräten, die für die Sicherheit des geschützten Objekts verantwortlich sind: Mittel zum Schutz kryptografischer Informationen, Überwachung, Registrierung, Archivierung, Schutz vor Manipulationen.
hat alle Fähigkeiten von Personen der vorherigen Kategorien;
hat vollständige Informationen über das ISPDN;
hat Zugriff auf Informationssicherheits- und Protokollierungswerkzeuge und auf Teil schlüsselelemente ISPDN;
Hat keinen Zugriff auf die Konfiguration der technischen Mittel des Netzwerks, mit Ausnahme der Kontrolle (Inspektion).
Der Sicherheitsadministrator ist dafür verantwortlich, die Regeln der Zugriffskontrolle einzuhalten, Schlüsselelemente zu generieren und Kennwörter zu ändern. Der Sicherheitsadministrator überwacht den gleichen Objektschutz wie der Systemadministrator.
hat Informationen über Algorithmen und Programme zur Informationsverarbeitung auf ISPD;
Es kann Fehler, nicht deklarierte Funktionen, Softwarefehler und schädliche Programme in die Phase der Entwicklung, Implementierung und Wartung von ISPD-Software einbringen.
kann alle Informationen über die Topologie der ISPD und technische Mittel zur Verarbeitung und zum Schutz der in der ISPD verarbeiteten PD enthalten.
hat die Fähigkeit, Lesezeichen zu den technischen Mitteln von ISPD in der Phase ihrer Entwicklung, Implementierung und Wartung hinzuzufügen;
Es kann alle Informationen über die ISPD-Topologie und technische Mittel zum Verarbeiten und Schützen von Informationen in der ISPD enthalten.
Der Träger des Schadprogramms kann ein Hardwareelement eines Computers oder ein Software-Container sein. Wenn ein Schadprogramm keinem Anwendungsprogramm zugeordnet ist, wird Folgendes als Träger betrachtet:
Alienable Media, dh eine Diskette, eine optische Disc (CD-R, CD-RW), ein Flash-Speicher, eine entfremdete Festplatte usw.;
Eingebaute Speichermedien (Festplatten, Speicherchips, Prozessor, Motherboard-Chips, eingebettete Gerätechips) systemeinheit, - Videoadapter, Netzwerkkarte, soundkarte, Modem, Eingabe- / Ausgabegeräte für magnetische Festplatten und optische Platten, Stromversorgung usw., direkte Speicherzugriffschips, Datenübertragungsbusse, Eingabe- / Ausgabeports);
mikroschaltungen externer Geräte (Monitor, Tastatur, Drucker, Modem, Scanner usw.).
Wenn ein Schadprogramm einem Anwendungsprogramm zugeordnet ist, mit Dateien mit bestimmten Erweiterungen oder anderen Attributen und mit Nachrichten, die über das Netzwerk übertragen werden, sind seine Träger:
über ein Computernetzwerk übertragene Nachrichtenpakete;
dateien (Text, Grafik, ausführbare Datei usw.).
5.2. Allgemeine Merkmale der Schwachstellen des Informationssystems für personenbezogene DatenSicherheitslücke des Informationssystems für personenbezogene Daten - Mangel oder die Schwäche in der System- oder Anwendungssoftware (Software und Hardware) des automatisierten Informationssystems, mit der Bedrohungen für die Sicherheit personenbezogener Daten implementiert werden können.
Die Gründe für das Auftreten von Sicherheitslücken sind:
fehler beim Entwurf und der Entwicklung von Software (Hardware und Software);
absichtliche Maßnahmen zur Einführung von Schwachstellen beim Entwurf und der Entwicklung von Software (Hardware und Software);
falsche Softwareeinstellungen, illegale Änderung der Betriebsmodi von Geräten und Programmen;
Unerlaubte Einführung und Verwendung von nicht erfassten Programmen mit anschließender unangemessener Verschwendung von Ressourcen (Prozessorlast, Erfassung von RAM und Speicher auf externen Medien);
die Einführung von Schadprogrammen, die Schwachstellen in Software sowie Software und Hardware verursachen;
unbefugte unbeabsichtigte Handlungen von Benutzern, die zu Sicherheitslücken führen;
fehlfunktionen von Hardware und Software (verursacht durch Stromausfälle, Ausfall von Hardwareelementen infolge Alterung und verminderter Zuverlässigkeit, äußere Einflüsse elektromagnetischer Felder technische Geräte usw.).
Die Klassifizierung der wichtigsten ISPDN-Schwachstellen ist in Abbildung 4 dargestellt.
Abbildung 4. Klassifizierung von Software-Schwachstellen
Im Folgenden finden Sie eine allgemeine Beschreibung der Hauptgruppen von ISPDN-Schwachstellen, einschließlich:
schwachstellen in Systemsoftware (einschließlich Netzwerkkommunikationsprotokollen);
schwachstellen von Anwendungssoftware (einschließlich Tools zum Schutz von Informationen).
5.2.1. Allgemeine Merkmale von Schwachstellen in SystemsoftwareSicherheitslücken in Systemsoftware sollten in Bezug auf die Architektur von Gebäudecomputersystemen berücksichtigt werden.
In diesem Fall sind Schwachstellen möglich:
in Mikroprogrammen, im Firmware-ROM, EPROM;
in den Betriebssystem-Tools, die zur Verwaltung der lokalen Ressourcen des ISPDn (Bereitstellung der Leistung von Funktionen zum Verwalten von Prozessen, Speicher, Eingabe- / Ausgabegeräten, Benutzeroberfläche usw.) entwickelt wurden, Treiber, Dienstprogramme;
In den Betriebssystem-Tools, die zur Ausführung von Zusatzfunktionen entwickelt wurden - Dienstprogramme (Archivierung, Defragmentierung usw.), Systemverarbeitungsprogramme (Compiler, Linker, Debugger usw.), Programme zur Bereitstellung zusätzlicher Dienste für den Benutzer (spezielle Schnittstellenoptionen, Taschenrechner, Spiele usw.), Bibliotheken von Prozeduren für verschiedene Zwecke (Bibliotheken mathematischer Funktionen, Eingabe- / Ausgabefunktionen usw.);
in den Kommunikationsmitteln Interaktion (Netzwerkmittel) des Betriebssystems.
Zu den Sicherheitslücken in Firmware- und Betriebssystemtools, die zum Verwalten lokaler Ressourcen und Zusatzfunktionen entwickelt wurden, gehören:
Funktionen, Prozeduren, deren Parameter auf bestimmte Weise geändert werden können, damit sie für den unbefugten Zugriff verwendet werden können, ohne dass das Betriebssystem solche Änderungen feststellt;
vom Entwickler eingeführte Fragmente des Programmcodes ("Löcher", "Schraffuren"), die es ermöglichen, die Verfahren der Identifizierung, Authentifizierung, Integritätsprüfung usw. zu umgehen;
Fehler in Programmen (in der Deklaration von Variablen, Funktionen und Prozeduren, in Programmcodes), die unter bestimmten Bedingungen (z. B. bei logischen Übergängen) zu Fehlern führen, einschließlich Fehlfunktionen von Informationsschutzwerkzeugen und -systemen.
Sicherheitslücken von Netzwerkprotokollen hängen mit den Besonderheiten ihrer Softwareimplementierung zusammen und werden durch Einschränkungen der Größe des angewendeten Puffers, Mängel im Authentifizierungsverfahren, fehlende Validierungsprüfungen für Dienstinformationen usw. verursacht. Eine kurze Beschreibung dieser Sicherheitslücken in Bezug auf Protokolle finden Sie in Tabelle 2.
Tabelle 2
Sicherheitslücken einzelner Protokolle des TCP / IP-Protokollstapels, auf deren Grundlage globale öffentliche Netzwerke betrieben werden
| Protokollname | Protokollstapelschicht | Name (Merkmal) der Sicherheitsanfälligkeit | Inhalt der Verletzung der Informationssicherheit |
| FTP (File Transfer Protocol) - Netzwerk-Dateiübertragungsprotokoll | 1. Authentifizierung basierend auf Klartext (Passwörter werden unverschlüsselt gesendet) 2. Standardzugriff 3. Zwei offene Ports | Die Fähigkeit, Kontodaten abzufangen (Namen registrierter Benutzer, Passwörter). Fernzugriff auf Hosts | |
| telnet - Fernsteuerungsprotokoll | Angewandt, repräsentativ, Sitzung | Nur-Text-Authentifizierung (Passwörter werden unverschlüsselt gesendet) | Die Fähigkeit, Benutzerkontodaten abzufangen. Fernzugriff auf Hosts |
| UDP - verbindungsloses Datenübertragungsprotokoll | Transport | Fehlender Mechanismus zur Verhinderung von Pufferüberladungen | Fähigkeit, UDP-Sturm zu implementieren. Durch den Austausch von Paketen nimmt die Serverleistung erheblich ab |
| ARP ist das Protokoll zum Konvertieren einer IP-Adresse in eine physische Adresse | Netzwerk | Nur-Text-basierte Authentifizierung (Informationen werden unverschlüsselt gesendet) | Fähigkeit, Benutzerverkehr durch einen Angreifer abzufangen |
| RIP - Routing Information Protocol | Transport | Fehlende Authentifizierung von Routing-Kontrollnachrichten | Möglichkeit, den Datenverkehr über den Host des Angreifers umzuleiten |
| TCP - Übertragungssteuerungsprotokoll | Transport | Fehlen eines Mechanismus zum Überprüfen der Richtigkeit des Ausfüllens der Service-Header des Pakets | Eine signifikante Senkung des Wechselkurses und sogar ein vollständiger Ausfall beliebiger Verbindungen über das TCP-Protokoll |
| DNS - ein Protokoll zum Herstellen der Korrespondenz zwischen Mnemonennamen und Netzwerkadressen | Angewandt, repräsentativ, Sitzung | Fehlende Mittel zur Überprüfung der Authentifizierung der von der Quelle empfangenen Daten | Fälschung der DNS-Serverantwort |
| IGMP - Routing Message Transfer Protocol | Netzwerk | Fehlende Authentifizierung von Nachrichten zum Ändern von Routenparametern | Hängende Systeme Gewinnen Sie 9x / NT / 200 |
| SMTP - ein Protokoll zur Bereitstellung eines Dienstes für die Zustellung von Nachrichten per E-Mail | Angewandt, repräsentativ, Sitzung | Möglichkeit, E-Mail-Nachrichten sowie die Adresse des Absenders der Nachricht zu fälschen | |
| SNMP - Protokoll zur Verwaltung von Routern in Netzwerken | Angewandt, repräsentativ, Sitzung | Fehlende Unterstützung für die Authentifizierung von Nachrichtenkopfzeilen | Möglichkeit eines Überlaufens der Netzwerkbandbreite |
Um die Beschreibung vieler Schwachstellen zu systematisieren, wird eine einheitliche CVE-Datenbank (Common Vulnerabilities and Exposures) verwendet, an deren Entwicklung Spezialisten aus vielen bekannten Unternehmen und Organisationen wie Mitre, ISS, Cisco, BindView, Axent, NFR, L-3 und CyberSafe beteiligt waren. CERT, Carnegie Mellon University, SANS Institute usw. Diese Datenbank wird ständig aktualisiert und zur Bildung von Datenbanken zahlreicher Sicherheitsanalysesoftware und vor allem von Netzwerkscannern verwendet.
5.2.2. Allgemeine Merkmale von Sicherheitslücken in AnwendungssoftwareAnwendungssoftware umfasst öffentliche Anwendungsprogramme und spezielle Anwendungsprogramme.
Öffentliche Anwendungen - Text- und Grafikeditoren, Medienprogramme (Audio- und Videoplayer, TV-Empfangssoftware usw.), Datenbankverwaltungssysteme, öffentliche Softwareplattformen für die Softwareentwicklung (wie Delphi, Visual Basic) ), Mittel zum Schutz öffentlicher Informationen usw.
Spezielle Anwendungsprogramme sind Programme, die im Interesse der Lösung spezifischer angewandter Probleme in einer bestimmten ISPD entwickelt wurden (einschließlich Informationssicherheitssoftware, die für eine bestimmte ISPD entwickelt wurde).
Sicherheitslücken in Anwendungssoftware können sein:
funktionen und Verfahren in Bezug auf verschiedene Anwendungsprogramme, die aufgrund von Konflikten im Zusammenhang mit der Verteilung von Systemressourcen nicht miteinander kompatibel sind (nicht in derselben Betriebsumgebung funktionieren);
Funktionen, Prozeduren, deren Änderung in gewisser Weise die Durchdringung der ISPD-Betriebsumgebung und das Aufrufen der Standardfunktionen des Betriebssystems ermöglicht, führen einen unbefugten Zugriff durch, ohne solche Änderungen durch das Betriebssystem zu erkennen.
vom Entwickler eingeführte Fragmente des Programmcodes ("Löcher", "Schraffuren"), die es ermöglichen, die im Betriebssystem bereitgestellten Verfahren zur Identifizierung, Authentifizierung, Integritätsprüfung usw. zu umgehen;
mangel an erforderlichen Schutzmitteln (Authentifizierung, Integritätsprüfung, Überprüfung der Nachrichtenformate, Blockierung nicht autorisierter geänderter Funktionen usw.);
Fehler in Programmen (in der Deklaration von Variablen, Funktionen und Prozeduren, in Programmcodes), die unter bestimmten Bedingungen (z. B. bei logischen Übergängen) zu Fehlern führen, einschließlich Fehlfunktionen von Informationsschutzwerkzeugen und -systemen, zu der Möglichkeit eines unbefugten Zugriffs auf Information.
Schwachstellendaten für kommerzielle Anwendungen, die entwickelt und verteilt wurden, werden in der CVE-Datenbank gesammelt, zusammengefasst und analysiert<*>.
<*> Von einer ausländischen Firma CERT auf kommerzieller Basis durchgeführt.
5.3. Allgemeine Merkmale von Bedrohungen des direkten Zugriffs auf die Betriebsumgebung des Informationssystems für personenbezogene DatenBedrohungen des Zugriffs (Eindringen) in die Betriebsumgebung eines Computers und des unbefugten Zugriffs auf personenbezogene Daten sind mit dem Zugriff verbunden:
informationen und Befehle, die im ISPDN des Basis-Eingabe- / Ausgabesystems (BIOS) gespeichert sind, mit der Fähigkeit, die Ladekontrolle des Betriebssystems abzufangen und die Rechte eines vertrauenswürdigen Benutzers zu erhalten;
in die Betriebsumgebung, dh in die Betriebsumgebung des lokalen Betriebssystems eines separaten technischen ISPD-Mittels mit der Fähigkeit, unbefugten Zugriff durch Aufrufen der Standardbetriebssystemprogramme oder Starten speziell entwickelter Programme, die solche Aktionen implementieren, durchzuführen;
in die Betriebsumgebung von Anwendungsprogrammen (z. B. in ein lokales Datenbankverwaltungssystem);
direkt zu Benutzerinformationen (zu Dateien, Text-, Audio- und Grafikinformationen, Feldern und Aufzeichnungen in elektronischen Datenbanken) und aufgrund der Möglichkeit, die Vertraulichkeit, Integrität und Verfügbarkeit zu verletzen.
Diese Bedrohungen können im Falle des physischen Zugriffs auf die ISPD oder zumindest auf die Mittel zur Eingabe von Informationen in die ISPD realisiert werden. Sie können gemäß den Implementierungsbedingungen in drei Gruppen zusammengefasst werden.
Die erste Gruppe umfasst Bedrohungen, die beim Booten des Betriebssystems implementiert werden. Diese Bedrohungen für die Informationssicherheit zielen darauf ab, Kennwörter oder Kennungen abzufangen, die Software des BIOS (Basic Input / Output System) zu ändern, die Startsteuerung abzufangen und die erforderlichen technologischen Informationen zu ändern, um die NSD in die ISPD-Betriebsumgebung zu empfangen. Meistens werden solche Bedrohungen mithilfe entfremdeter Medien implementiert.
Die zweite Gruppe umfasst Bedrohungen, die nach dem Laden der Betriebsumgebung implementiert werden, unabhängig davon, welches Anwendungsprogramm vom Benutzer gestartet wird. Diese Bedrohungen zielen normalerweise darauf ab, einen unbefugten Zugriff auf Informationen direkt durchzuführen. Wenn ein Eindringling Zugriff auf die Betriebsumgebung erhält, kann er sowohl Standardfunktionen des Betriebssystems oder eines beliebigen öffentlichen Anwendungsprogramms (z. B. ein Datenbankverwaltungssystem) als auch Programme verwenden, die speziell für den unbefugten Zugriff entwickelt wurden, z.
programme zum Anzeigen und Ändern der Registrierung;
Durchsuchen Sie Programme nach Texten in Textdateien anhand von Schlüsselwörtern und Kopieren.
spezielle Programme zum Anzeigen und Kopieren von Datensätzen in Datenbanken;
schnelle Zuschauer grafikdateien, bearbeiten oder kopieren;
programme zur Unterstützung der Rekonfigurationsfunktionen der Softwareumgebung (ISPD-Einstellungen im Interesse des Täters) usw.
Schließlich umfasst die dritte Gruppe Bedrohungen, deren Implementierung davon abhängt, welches der Anwendungsprogramme vom Benutzer gestartet wird, oder von der Tatsache, dass eines der Anwendungsprogramme gestartet wird. Die meisten dieser Bedrohungen sind Bedrohungen durch Malware-Injektion.
5.4. Allgemeine Merkmale von Bedrohungen für die Sicherheit personenbezogener Daten, die mithilfe von Verbindungsprotokollen implementiert werdenWenn ISPDN auf der Basis eines lokalen oder verteilten Informationssystems implementiert wird, können Bedrohungen der Informationssicherheit mithilfe von Verbindungsprotokollen implementiert werden. In diesem Fall kann eine Manipulation personenbezogener Daten bereitgestellt oder eine Bedrohung durch Denial-of-Service realisiert werden. Bedrohungen sind besonders gefährlich, wenn ISPDN ein verteiltes Informationssystem ist, das mit öffentlichen Netzwerken und (oder) Netzwerken des internationalen Informationsaustauschs verbunden ist. Das Klassifizierungsschema der über das Netzwerk implementierten Bedrohungen ist in Abbildung 5 dargestellt. Es basiert auf den folgenden sieben primären Klassifizierungsmerkmalen.
1. Die Art der Bedrohung. Auf dieser Basis können Bedrohungen passiv und aktiv sein. Eine passive Bedrohung ist eine Bedrohung, die sich nicht direkt auf den Betrieb der ISPD auswirkt. Es kann jedoch zu Verstößen gegen die festgelegten Regeln zur Unterscheidung des Zugriffs auf PD- oder Netzwerkressourcen kommen. Ein Beispiel für solche Bedrohungen ist die Bedrohung durch die Netzwerkverkehrsanalyse, die darauf abzielt, Kommunikationskanäle zu belauschen und übertragene Informationen abzufangen.
Eine aktive Bedrohung ist eine Bedrohung, die mit Auswirkungen auf die ISPD-Ressourcen verbunden ist, deren Implementierung sich direkt auf den Betrieb des Systems auswirkt (Konfigurationsänderung, Fehlfunktion usw.) und gegen die festgelegten Regeln zur Unterscheidung des Zugriffs auf PD- oder Netzwerkressourcen verstößt. Ein Beispiel für eine solche Bedrohung ist die Denial-of-Service-Bedrohung, die als TCP-Anforderungssturm implementiert wird.
2. Der Zweck der Bedrohungsimplementierung. Auf dieser Grundlage können Bedrohungen darauf abzielen, die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen zu verletzen (einschließlich der Verletzung der ISPD oder ihrer Elemente).
3. Die Voraussetzung für den Beginn der Implementierung des Bedrohungsimplementierungsprozesses. Auf dieser Basis kann eine Bedrohung erkannt werden:
auf Anfrage eines Objekts, in Bezug auf das die Bedrohung implementiert wird. In diesem Fall erwartet der Eindringling die Übermittlung einer Anforderung eines bestimmten Typs, die die Voraussetzung für den Beginn eines nicht autorisierten Zugriffs ist.
Abbildung 5. Klassifizierungsschema von Bedrohungen mithilfe von Internetworking-Protokollen
Beim Auftreten des erwarteten Ereignisses in der Einrichtung, in Bezug auf die die Bedrohung implementiert wird. In diesem Fall überwacht der Eindringling ständig den Status des ISPD-Betriebssystems und beginnt, wenn ein bestimmtes Ereignis in diesem System auftritt, mit dem unbefugten Zugriff.
bedingungslose Auswirkungen. In diesem Fall ist der Beginn eines nicht autorisierten Zugriffs in Bezug auf das Zugriffsziel unbedingt erforderlich, dh die Bedrohung wird sofort und unabhängig vom Status des Systems erkannt.
4. Verfügbarkeit feedback mit ISPDN. Auf dieser Basis kann der Prozess der Implementierung einer Bedrohung mit oder ohne Feedback erfolgen. Die Bedrohung, die bei Rückmeldungen der ISPD ausgeht, ist dadurch gekennzeichnet, dass der Übertreter eine Antwort auf einige an die ISPD gesendete Anfragen erhalten muss. Folglich gibt es eine Rückmeldung zwischen dem Übertreter und der ISPD, die es dem Täter ermöglicht, angemessen auf alle Änderungen in der ISPD zu reagieren. Im Gegensatz zu Bedrohungen, die bei Vorhandensein von Feedback von der ISPD implementiert wurden, ist es bei der Implementierung von Bedrohungen ohne Feedback nicht erforderlich, auf Änderungen in der ISPD zu reagieren.
5. Der Standort des Täters in Bezug auf ISPDN. In Übereinstimmung mit dieser Funktion wird die Bedrohung sowohl innerhalb eines Segments als auch zwischen Segmenten erkannt. Das Netzwerksegment ist eine physische Zuordnung von Hosts (technische ISPD-Mittel oder Kommunikationselemente mit einer Netzwerkadresse). Beispielsweise bildet das ISPDN-Segment eine Sammlung von Hosts, die gemäß dem "Common Bus" -Schema mit dem Server verbunden sind. In dem Fall, dass eine Bedrohung innerhalb eines Segments besteht, hat der Eindringling physischen Zugriff auf die Hardwareelemente der ISPD. Wenn eine Bedrohung zwischen den Segmenten vorliegt, befindet sich der Eindringling außerhalb der ISPD und erkennt eine Bedrohung durch ein anderes Netzwerk oder ein anderes Segment der ISPD.
6. Level referenzmodell offene Systeminteraktion<*> (ISO / OSI), auf dem die Bedrohung implementiert ist. Auf dieser Basis kann eine Bedrohung auf physischer, Kanal-, Netzwerk-, Transport-, Sitzungs-, Repräsentanten- und Anwendungsebene des ISO / OSI-Modells implementiert werden.
<*> Die Internationale Organisation für Normung (ISO) hat die Norm ISO 7498 übernommen, die Open Systems Interconnection (OSI) beschreibt.
7. Das Verhältnis der Anzahl der Verstöße und Elemente des ISPDN, in Bezug auf die die Bedrohung erkannt wird. Nach diesem Kriterium kann eine Bedrohung in die Klasse von Bedrohungen eingeteilt werden, die von einem Eindringling in Bezug auf ein technisches Mittel der ISPD (Bedrohung "Eins-zu-Eins"), gleichzeitig in Bezug auf mehrere technische Mittel der ISPD (Bedrohung "Eins-zu-Viele") oder von mehreren Eindringlingen von verschiedenen Computern in Bezug auf eines implementiert werden oder verschiedene technische Mittel der ISPD (verteilte oder kombinierte Bedrohungen).
Unter Berücksichtigung der durchgeführten Klassifizierung können sieben der am häufigsten implementierten Bedrohungen unterschieden werden.
1. Analyse des Netzwerkverkehrs (Abbildung 6).
Abbildung 6. Schema der Realisierung der Bedrohung "Analyse des Netzwerkverkehrs"
Diese Bedrohung wird mithilfe eines speziellen Paketanalysators (Sniffer) implementiert, der alle über das Netzwerksegment übertragenen Pakete abfängt und zwischen denen unterscheidet, in denen die Benutzer-ID und sein Kennwort übertragen werden. Im Verlauf der Implementierung der Bedrohung untersucht der Eindringling die Logik des Netzwerkbetriebs - das heißt, er versucht, eine eindeutige Entsprechung zwischen den im System auftretenden Ereignissen und den von den Hosts zum Zeitpunkt des Auftretens dieser Ereignisse gesendeten Befehlen zu erhalten. Auf diese Weise kann ein Angreifer in Zukunft auf der Grundlage der Angabe der entsprechenden Befehle beispielsweise privilegierte Rechte an Aktionen im System erhalten oder seine Befugnisse erweitern, den Fluss der zwischen Komponenten des Netzwerkbetriebssystems ausgetauschten übertragenen Daten abfangen, vertrauliche oder Identifikationsinformationen (z. B. statische Kennwörter) extrahieren Benutzer können über FTP- und TELNET-Protokolle, die keine Verschlüsselung bieten, auf Remote-Hosts zugreifen, deren Ersetzung, Änderungen usw.
2. Scannen des Netzwerks.
Der Kern des Bedbesteht darin, Anforderungen an Netzwerkdienste von ISPDN-Hosts zu übertragen und die Antworten von diesen zu analysieren. Ziel ist es, die verwendeten Protokolle, die verfügbaren Ports von Netzwerkdiensten, die Gesetze zur Bildung von Verbindungskennungen, die Definition aktiver Netzwerkdienste, die Auswahl von Benutzerkennungen und Kennwörtern zu identifizieren.
3. Drohen Sie, das Passwort preiszugeben.
Der Zweck der Implementierung der Bedrohung besteht darin, eine NSD zu erhalten, indem der Kennwortschutz überwunden wird. Ein Angreifer kann eine Bedrohung mithilfe verschiedener Methoden implementieren, z. B. Brute-Force-Angriff, Brute-Force-Angriff mit speziellen Wörterbüchern, Installation von Malware zum Abfangen eines Kennworts, Spoofing eines vertrauenswürdigen Netzwerkobjekts (IP-Spoofing) und Paket-Sniffing. Hauptsächlich für die Umsetzung der Bedrohung werden verwendet spezielle Programmedie versuchen, durch sequentielles Erraten von Passwörtern Zugriff auf den Host zu erhalten. Bei Erfolg kann der Angreifer für sich selbst einen "Pass" für den zukünftigen Zugriff erstellen, der auch dann gültig ist, wenn das Zugriffskennwort auf dem Host geändert wird.
4. Ersetzen eines vertrauenswürdigen Netzwerkobjekts und Übertragung von Nachrichten über Kommunikationskanäle in seinem Namen durch Zuweisung seiner Zugriffsrechte (Abbildung 7).
Abbildung 7. Schema der Implementierung der Bedrohung "Spoofing eines vertrauenswürdigen Netzwerkobjekts"
Eine solche Bedrohung wird effektiv in Systemen implementiert, in denen instabile Algorithmen zum Identifizieren und Authentifizieren von Hosts, Benutzern usw. verwendet werden. Ein vertrauenswürdiges Objekt ist ein Netzwerkobjekt (Computer, Firewall, Router usw.), das legal mit dem Server verbunden ist.
Es können zwei Arten des Prozesses zur Implementierung dieser Bedrohung unterschieden werden: mit dem Aufbau und ohne den Aufbau einer virtuellen Verbindung.
Der Implementierungsprozess beim Aufbau einer virtuellen Verbindung besteht darin, die Rechte eines vertrauenswürdigen Interaktionsobjekts zuzuweisen, wodurch der Angreifer eine Sitzung mit dem Netzwerkobjekt im Namen des vertrauenswürdigen Subjekts durchführen kann. Die Implementierung dieser Art von Bedrohung erfordert die Überwindung des Nachrichtenidentifizierungs- und -authentifizierungssystems (z. B. ein Angriff auf den rsh-Dienst eines UNIX-Hosts).
Das Implementieren einer Bedrohung ohne Herstellen einer virtuellen Verbindung kann in Netzwerken stattfinden, die übertragene Nachrichten nur anhand der Netzwerkadresse des Absenders identifizieren. Das Wesentliche liegt in der Übertragung von Dienstnachrichten im Namen von Netzwerksteuergeräten (z. B. im Namen von Routern) über die Änderung der Routing-Adressdaten. Es ist zu beachten, dass die einzigen Kennungen von Teilnehmern und Verbindungen (über TCP) zwei 32-Bit-Parameter sind: Anfangssequenznummer - ISS (Sequenznummer) und Bestätigungsnummer - ACK (Bestätigungsnummer). Um ein falsches TCP-Paket zu generieren, muss der Eindringling daher die aktuellen Kennungen für diese Verbindung kennen - ISSa und ISSb, wobei:
ISSa - ein numerischer Wert, der die Sequenznummer des gesendeten TCP-Pakets kennzeichnet, das durch die von Host A initiierte TCP-Verbindung hergestellt wurde;
ISSb - ein numerischer Wert, der die Sequenznummer des gesendeten TCP-Pakets kennzeichnet, das durch die von Host B initiierte TCP-Verbindung hergestellt wurde.
Der ACK-Wert (TCP-Verbindungsbestätigungsnummer) ist definiert als der Wert der vom ISS-Responder empfangenen Nummer (Sequenznummer) plus einem ACKb \u003d ISSa + 1.
Durch die Implementierung der Bedrohung erhält der Eindringling die von seinem Benutzer festgelegten Zugriffsrechte für den vertrauenswürdigen Teilnehmer auf die technischen Mittel von ISPDN - das Ziel von Bedrohungen.
5. Auferlegen einer falschen Netzwerkroute.
Diese Bedrohung wird auf zwei Arten implementiert: durch Auferlegung innerhalb eines Segments oder zwischen Segmenten. Die Möglichkeit, eine falsche Route aufzuerlegen, ist auf die inhärenten Nachteile von Routing-Algorithmen zurückzuführen (insbesondere auf das Problem der Identifizierung von Netzwerksteuerungsgeräten), wodurch Sie beispielsweise auf einem Host oder einem Eindringlingsnetzwerk zugreifen können, wo Sie als Teil eines ISDN in die Betriebsumgebung eines technischen Geräts eintreten können ... Die Implementierung von Bedrohungen beruht auf der unbefugten Verwendung von Routing-Protokollen (RIP, OSPF, LSP) und Netzwerkmanagement (ICMP, SNMP) zum Ändern von Routing-Tabellen. In diesem Fall muss der Angreifer im Namen des Netzwerksteuergeräts (z. B. eines Routers) eine Kontrollnachricht senden (Abbildungen 8 und 9).
Abbildung 8. Diagramm der Implementierung des Intra-Segment-Angriffs (False Route Enforcement) unter Verwendung des ICMP-Protokolls zur Unterbrechung der Kommunikation
Abbildung 9. Schema der Implementierung der Bedrohung "Auferlegung einer falschen Route" (Intersegment), um den Verkehr abzufangen
6. Injektion eines falschen Netzwerkobjekts.
Diese Bedrohung basiert auf der Ausnutzung von Fehlern in Fernsuchalgorithmen. Für den Fall, dass Netzwerkobjekte anfänglich keine Adressinformationen über einander haben, werden verschiedene Remote-Suchprotokolle verwendet (z. B. SAP in Novell NetWare-Netzwerken; ARP, DNS, WINS in Netzwerken mit einem TCP / IP-Protokollstapel), die in der Übertragung von Spezialobjekten bestehen Anfragen und Antworten auf diese mit den erforderlichen Informationen. Gleichzeitig ist es einem Eindringling möglich, eine Suchanforderung abzufangen und eine falsche Antwort darauf zu geben, deren Verwendung zu der erforderlichen Änderung der Routing-Adressdaten führt. In Zukunft wird der gesamte Informationsfluss, der dem Opferobjekt zugeordnet ist, durch das falsche Netzwerkobjekt geleitet (Abbildungen 10 - 13).
Abbildung 10. Schema der Implementierung der Bedrohung "Injektion eines falschen ARP-Servers"
Abbildung 11. Schema der Implementierung der Bedrohung "Injektion eines falschen DNS-Servers" durch Abfangen einer DNS-Anforderung
Abbildung 12. Schema der Implementierung der Bedrohung "Falsche DNS-Serverinjektion" durch Stürmen von DNS-Antworten auf einen Netzwerkcomputer
Abbildung 13. Diagramm der Implementierung der Bedrohung "Injektion eines falschen DNS-Servers" durch Stürmen von DNS-Antworten auf einen DNS-Server
7. Denial of Service.
Diese Bedrohungen basieren auf Fehlern in der Netzwerksoftware und ihren Schwachstellen, die es einem Angreifer ermöglichen, Bedingungen zu schaffen, unter denen das Betriebssystem eingehende Pakete nicht verarbeiten kann.
Es können verschiedene Arten solcher Bedrohungen unterschieden werden:
a) latenter Denial-of-Service, der durch die Beteiligung eines Teils der ISPD-Ressourcen für die Verarbeitung von vom Angreifer übertragenen Paketen mit einer Verringerung der Bandbreite der Kommunikationskanäle, der Leistung von Netzwerkgeräten und einer Verletzung der Anforderungen für die Verarbeitung von Anforderungen verursacht wird. Beispiele für solche Bedrohungen sind: ein gerichteter Sturm von ICMP-Echoanforderungen (Ping-Flooding), ein Sturm von Anforderungen zum Herstellen von TCP-Verbindungen (SYN-Flooding), ein Sturm von Anforderungen an einen FTP-Server;
b) eine explizite Dienstverweigerung, die durch die Erschöpfung von ISPD-Ressourcen bei der Verarbeitung von von einem Angreifer übertragenen Paketen verursacht wird (Belegung der gesamten Bandbreite von Kommunikationskanälen, Überlauf von Dienstanforderungswarteschlangen), bei denen rechtliche Anforderungen aufgrund der Unzugänglichkeit des Übertragungsmediums oder des Empfangs nicht über das Netzwerk gesendet werden können Denial-of-Service aufgrund überfüllter Anforderungswarteschlangen, Speicherplatz usw. Beispiele für diese Art von Bedrohung sind ICMP-Broadcast-Echo-Anforderungen (Schlumpf), gerichteter Sturm (SYN-Flooding), Mail-Server-Nachrichtensturm (Spam);
c) eine explizite Dienstverweigerung, die durch eine Verletzung der logischen Konnektivität zwischen den technischen Mitteln des ISPD verursacht wird, wenn der Verstoß Kontrollnachrichten im Namen der Netzwerkgeräte sendet, was zu einer Änderung der Routing-Adressdaten (z. B. ICMP Redirect Host, DNS-Flooding) oder Identifikations- und Authentifizierungsinformationen führt;
D) eine explizite Dienstverweigerung, die durch die Übertragung von Paketen mit nicht standardmäßigen Attributen (Bedrohungen wie "Land", "TearDrop", "Bonk", "Nuke", "UDP-Bombe") oder durch eine Länge verursacht wird, die die maximal zulässige Größe überschreitet (Bedrohung wie "Ping Death"), was zu einem Ausfall von Netzwerkgeräten führen kann, die an der Verarbeitung von Anforderungen beteiligt sind, vorausgesetzt, es gibt Fehler in Programmen, die Netzwerkaustauschprotokolle implementieren.
Das Ergebnis der Implementierung dieser Bedrohung kann eine Fehlfunktion des entsprechenden Dienstes für die Bereitstellung des Fernzugriffs auf PD in ISPD sein, die Übertragung einer solchen Anzahl von Anforderungen von einer Adresse, um eine Verbindung zu einem technischen Gerät als Teil von ISPD herzustellen, die maximal Datenverkehr "aufnehmen" kann (gerichteter "Sturm von Anforderungen") Dies führt zu einem Überlauf der Anforderungswarteschlange und dem Ausfall eines der Netzwerkdienste oder zu einem vollständigen Stopp des Computers, da das System nicht in der Lage ist, andere Aufgaben als die Verarbeitung von Anforderungen auszuführen.
8. Fernstart von Anwendungen.
Die Bedrohung besteht in dem Versuch, verschiedene zuvor eingebettete Schadprogramme auf dem ISPD-Host zu starten: Lesezeichenprogramme, Viren, "Netzwerk-Spyware", deren Hauptzweck darin besteht, die Vertraulichkeit, Integrität, Verfügbarkeit von Informationen und die vollständige Kontrolle über den Betrieb des Hosts zu verletzen. Darüber hinaus ist das unbefugte Starten von Benutzeranwendungsprogrammen für den unbefugten Empfang von Daten möglich, die für einen Eindringling erforderlich sind, zum Starten von anwendungsgesteuerten Prozessen usw.
Es gibt drei Unterklassen dieser Bedrohungen:
1) Verteilung von Dateien, die nicht autorisierten ausführbaren Code enthalten;
2) Starten einer Anwendung aus der Ferne durch Überlaufen des Puffers von Serveranwendungen;
3) Fernstart der Anwendung unter Verwendung der Fernsteuerungsfunktionen des Systems, die durch versteckte Software- und Hardware-Registerkarten bereitgestellt oder mit Standardmitteln verwendet werden.
Typische Bedrohungen der ersten dieser Unterklassen basieren auf der Aktivierung weiterverteilbarer Dateien, wenn versehentlich auf sie zugegriffen wird. Beispiele für solche Dateien sind: Dateien, die ausführbaren Code in Form von Makros enthalten ( microsoft-Dokumente Word, Excel usw.); HTML-Dokumente, die ausführbaren Code in Form von ActiveX-Steuerelementen, Java-Applets und interpretierten Skripten (z. B. JavaScript-Texte) enthalten; Dateien mit ausführbaren Programmcodes. E-Mail, Dateiübertragung und Netzwerk-Dateisystemdienste können zum Verteilen von Dateien verwendet werden.
Bedrohungen der zweiten Unterklasse nutzen die Mängel von Programmen aus, die Netzwerkdienste implementieren (insbesondere das Fehlen einer Pufferüberlaufkontrolle). Durch Anpassen der Systemregister ist es manchmal möglich, den Prozessor nach einem durch einen Pufferüberlauf verursachten Interrupt umzuschalten, um den außerhalb der Puffergrenze enthaltenen Code auszuführen. Ein Beispiel für die Realisierung einer solchen Bedrohung ist die Einführung des bekannten "Morris-Virus".
Bei Bedrohungen der dritten Unterklasse nutzt der Eindringling die Funktionen der Remote-Systemsteuerung, die von versteckten Komponenten (z. B. "Trojanern" wie Back Orifice, Net Bus) oder Standardtools für die Verwaltung und Verwaltung von Computernetzwerken (Landesk Management Suite, Managewise, Back Orifice usw.) bereitgestellt werden. ). Aufgrund ihrer Verwendung ist es möglich, eine Fernsteuerung über die Station im Netzwerk zu erreichen.
Schematisch sind die Hauptphasen der Arbeit dieser Programme wie folgt:
installation im Speicher;
warten auf eine Anfrage von einem Remote-Host, auf dem das Client-Programm ausgeführt wird, und Austauschen von Bereitschaftsnachrichten mit diesem;
Übermittlung abgefangener Informationen an den Client oder Kontrolle über den angegriffenen Computer.
Mögliche Konsequenzen aus der Implementierung von Bedrohungen verschiedener Klassen sind in Tabelle 3 aufgeführt.
Tisch 3
Mögliche Folgen der Implementierung von Bedrohungen verschiedener Klassen
| N p / p | Angriffstyp | Mögliche Konsequenzen | |
| 1 | Analyse des Netzwerkverkehrs | Untersuchung der Merkmale des Netzwerkverkehrs, Abfangen übertragener Daten, einschließlich Benutzer-IDs und Kennwörter | |
| 2 | Netzwerkscan | Bestimmung von Protokollen, verfügbaren Ports von Netzwerkdiensten, Gesetzen zur Bildung von Verbindungskennungen, aktiven Netzwerkdiensten, Benutzerkennungen und Passwörtern | |
| 3 | Passwortangriff | Durchführen destruktiver Aktionen im Zusammenhang mit dem Erhalt von nicht autorisiertem Zugriff | |
| 4 | Spoofing eines vertrauenswürdigen Netzwerkobjekts | Änderungen in der Route von Nachrichten, nicht autorisierte Änderungen in Routing und Adressdaten. Nicht autorisierter Zugriff auf Netzwerkressourcen, der falsche Informationen auferlegt | |
| 5 | Eine falsche Route auferlegen | Nicht autorisierte Änderung von Routing- und Adressdaten, Analyse und Änderung übertragener Daten, Auferlegung falscher Nachrichten | |
| 6 | Falsche Netzwerkobjektinjektion | Abfangen und Betrachten des Verkehrs. Nicht autorisierter Zugriff auf Netzwerkressourcen, der falsche Informationen auferlegt | |
| 7 | Denial of Service | Teilweise Erschöpfung der Ressourcen | Reduzierung der Bandbreite von Kommunikationskanälen, der Leistung von Netzwerkgeräten. Verminderte Leistung von Serveranwendungen |
| Volle Erschöpfung der Ressourcen | Unfähigkeit, Nachrichten zu übertragen, weil kein Zugriff auf das Übertragungsmedium besteht, Weigerung, eine Verbindung herzustellen. Verweigerung der Bereitstellung eines Dienstes (E-Mail, Datei usw.) | ||
| Verletzung der logischen Konnektivität zwischen Attributen, Daten, Objekten | Unfähigkeit, Nachrichten zu übertragen, da keine korrekten Routing- und Adressdaten vorhanden sind. Unfähigkeit, Dienste zu empfangen, aufgrund nicht autorisierter Änderungen von Kennungen, Passwörtern usw. | ||
| Verwenden von Fehlern in Programmen | Störung von Netzwerkgeräten | ||
| 8 | Remote-Anwendungsstart | Durch das Senden von Dateien mit destruktivem ausführbarem Code wird eine Virusinfektion ausgelöst | Verletzung der Vertraulichkeit, Integrität, Verfügbarkeit von Informationen |
| Durch Überlaufen des Serveranwendungspuffers | |||
| Durch Nutzung der Funktionen der Remote-Systemverwaltung, die durch versteckte Software- und Hardware-Registerkarten bereitgestellt oder mit Standardmitteln verwendet werden | Versteckte Systemsteuerung | ||
Der Bbesteht im Allgemeinen aus vier Phasen:
informationen sammeln;
eindringen (Eindringen in die Betriebsumgebung);
implementierung eines nicht autorisierten Zugriffs;
beseitigung von Spuren unbefugten Zugriffs.
In der Phase des Sammelns von Informationen kann der Verstoß an verschiedenen Informationen über die ISPD interessiert sein, darunter:
a) über die Topologie des Netzwerks, in dem das System arbeitet. Gleichzeitig kann der Bereich um das Netzwerk untersucht werden (z. B. kann der Angreifer an den Adressen vertrauenswürdiger, aber weniger geschützter Hosts interessiert sein). Um die Verfügbarkeit eines Hosts zu bestimmen, können die einfachsten Befehle verwendet werden (z. B. der Ping-Befehl zum Senden von ICMP ECHO_REQUEST-Anforderungen, die auf ICMP ECHO_REPLY-Antworten warten). Es gibt Dienstprogramme, die eine parallele Erkennung der Erreichbarkeit des Hosts durchführen (z. B. fping) und in der Lage sind, einen großen Bereich des Adressraums in kurzer Zeit auf Erreichbarkeit des Hosts zu scannen. Die Topologie eines Netzwerks wird häufig anhand einer "Knotenanzahl" (Entfernung zwischen Hosts) bestimmt. Dies kann Techniken wie "TTL-Modulation" und Routenaufzeichnung umfassen.
Die Methode "ttL-Modulation" wird vom Programm traceroute (für Windows NT - tracert.exe) implementiert und besteht darin, das ttL-Feld von IP-Paketen zu modulieren. Die vom Befehl ping generierten ICMP-Pakete können zum Schreiben der Route verwendet werden.
Die Sammlung von Informationen kann auch auf Anfragen basieren:
an den DNS-Server über die Liste der registrierten (und wahrscheinlich aktiven) Hosts;
bekannte Routen zu einem RIP-Router (Informationen zur Netzwerktopologie)
Zu falsch konfigurierten Geräten, die SNMP (Network Topology Information) unterstützen.
Befindet sich der ISPDN hinter einer Firewall (FW), können Informationen zur Konfiguration der FW und zur Topologie der ISPD hinter der FW gesammelt werden, unter anderem durch Senden von Paketen an alle Ports aller vermeintlichen Hosts des internen (geschützten) Netzwerks.
b) über den Typ des Betriebssystems (OS) in ISPDN. Die bekannteste Methode zum Bestimmen des Betriebssystemtyps eines Hosts basiert auf der Tatsache, dass verschiedene Betriebssystemtypen die RFC-Anforderungen für den TCP / IP-Stack auf unterschiedliche Weise implementieren. Auf diese Weise kann der Angreifer den auf dem ISPD-Host installierten Betriebssystemtyp aus der Ferne identifizieren, indem er speziell gestaltete Anforderungen sendet und die empfangenen Antworten analysiert.
Es gibt spezielle Tools, die diese Methoden implementieren, insbesondere Nmap und QueSO. Es ist auch möglich, ein solches Verfahren zum Bestimmen des Betriebssystemtyps als die einfachste Anforderung zum Herstellen einer Verbindung über das Fernzugriffsprotokoll Telnet (Telnet-Verbindung) zu bezeichnen, wodurch der Typ des Host-Betriebssystems durch das "Erscheinungsbild" der Antwort bestimmt werden kann. Das Vorhandensein bestimmter Dienste kann auch als zusätzlicher Indikator zur Bestimmung des Typs des Host-Betriebssystems dienen.
C) über die auf den Hosts funktionierenden Dienste. Die Definition von Diensten, die auf einem Host ausgeführt werden, basiert auf der Methode "Open Ports", um Informationen über die Verfügbarkeit eines Hosts zu sammeln. Um beispielsweise die Verfügbarkeit eines UDP-Ports zu ermitteln, müssen Sie eine Antwort als Antwort auf das Senden eines UDP-Pakets an den entsprechenden Port erhalten:
wenn als Antwort eine ICMP PORT UNREACHEBLE-Nachricht empfangen wird, ist der entsprechende Dienst nicht verfügbar.
wenn diese Nachricht nicht empfangen wird, ist der Port "offen".
Abhängig vom im TCP / IP-Protokollstapel verwendeten Protokoll gibt es sehr unterschiedliche Unterschiede bei der Verwendung dieser Methode.
Es wurden viele Softwaretools entwickelt, um die Erfassung von Informationen über ISPD zu automatisieren. Als Beispiel kann Folgendes festgestellt werden:
1) Strobe, Portscanner - optimierte Mittel zur Ermittlung verfügbarer Dienste basierend auf der Abfrage von TCP-Ports;
2) Nmap ist ein Service-Scan-Tool für Linux, FreeBSD, Open BSD, Solaris und Windows NT. Derzeit das beliebteste Tool zum Scannen von Netzwerkdiensten.
3) Queso ist ein hochgenaues Mittel zum Bestimmen des Betriebssystems eines Hosts auf der Grundlage des Sendens einer Kette korrekter und falscher TCP-Pakete, Analysieren der Antwort und Vergleichen mit vielen bekannten Antworten verschiedener Betriebssysteme. Dieses Tool ist auch heute ein beliebtes Scan-Tool.
4) Cheops - Mit einem Netzwerktopologie-Scanner können Sie eine Netzwerktopologie abrufen, einschließlich eines Bildes der Domäne, des IP-Adressbereichs usw. Dies bestimmt das Host-Betriebssystem sowie mögliche Netzwerkgeräte (Drucker, Router usw.).
5) Firewalk - Ein Scanner, der mithilfe von Traceroute-Methoden die Antwort auf IP-Pakete analysiert, um die Firewall-Konfiguration zu ermitteln und die Netzwerktopologie zu erstellen.
In der Invasionsphase wird das Vorhandensein typischer Schwachstellen in Systemdiensten oder Fehler in der Systemadministration untersucht. Die erfolgreiche Ausnutzung von Sicherheitslücken führt normalerweise dazu, dass der fehlerhafte Prozess den privilegierten Ausführungsmodus (Zugriff auf den privilegierten Shell-Ausführungsmodus) erhält, ein unzulässiges Benutzerkonto in das System eingibt, eine Kennwortdatei erhält oder den angegriffenen Host stört.
Diese Phase der Bedrohungsentwicklung ist normalerweise mehrphasig. Die Phasen des Bedkönnen beispielsweise Folgendes umfassen:
herstellen einer Verbindung mit dem Host, gegen den die Bedrohung implementiert wird;
Identifizierung von Schwachstellen;
die Einführung eines Schadprogramms im Interesse der Ermächtigung usw.
Während der Intrusion-Phase implementierte Bedrohungen werden nach den Stapelstufen des TCP / IP-Protokolls kategorisiert, da sie je nach verwendetem Intrusion-Mechanismus auf Netzwerk-, Transport- oder Anwendungsebene generiert werden.
Typische Bedrohungen, die auf Netzwerk- und Transportebene implementiert werden, sind:
a) eine Bedrohung, die darauf abzielt, ein vertrauenswürdiges Objekt zu ersetzen;
b) eine Bedrohung, die darauf abzielt, eine falsche Route im Netzwerk zu erstellen;
C) Bedrohungen, die darauf abzielen, ein falsches Objekt unter Verwendung der Mängel von Fernsuchalgorithmen zu erstellen;
D) "Denial-of-Service" -Drohungen aufgrund von IP-Defragmentierung, aufgrund der Bildung falscher ICMP-Anforderungen (z. B. "Ping of Death" - und "Smurf" -Angriffe), aufgrund der Bildung falscher TCP-Anforderungen ("Land" -Angriff), Erstellen eines "Sturms" von Paketen mit Verbindungsanforderungen ("SYN Flood" -Angriffe) usw.
Typische Bedrohungen, die auf Anwendungsebene implementiert werden, umfassen Bedrohungen, die auf das unbefugte Starten von Anwendungen abzielen, Bedrohungen, deren Implementierung mit der Einführung von Softwarefehlern (z. B. einem "Trojanischen Pferd"), der Identifizierung von Kennwörtern für den Zugriff auf ein Netzwerk oder einen bestimmten Host usw. verbunden ist.
Wenn die Implementierung der Bedrohung dem Übertreter nicht die höchsten Zugriffsrechte im System eingebracht hat, kann versucht werden, diese Rechte auf das maximal mögliche Maß zu erweitern. Hierzu können nicht nur Schwachstellen von Netzwerkdiensten, sondern auch Schwachstellen der Systemsoftware von ISPdn-Hosts ausgenutzt werden.
In der Phase der Implementierung eines nicht autorisierten Zugriffs wird das Ziel der Implementierung der Bedrohung tatsächlich erreicht:
verletzung der Vertraulichkeit (Kopieren, illegale Verbreitung);
Integritätsverletzung (Zerstörung, Veränderung);
barrierefreiheitsverletzung (Blockierung).
Gleichzeitig wird nach diesen Aktionen in der Regel eine sogenannte "Hintertür" in Form eines der Dienste (Dämonen) gebildet, die einen bestimmten Port bedienen und die Befehle des Verletzers ausführen. Die "Hintertür" bleibt im System, um Folgendes zu gewährleisten:
die Möglichkeit, Zugriff auf den Host zu erhalten, selbst wenn der Administrator die Sicherheitsanfälligkeit beseitigt, die zur erfolgreichen Implementierung der Bedrohung verwendet wurde;
die Fähigkeit, so heimlich wie möglich Zugang zum Host zu erhalten;
Schneller Zugriff auf den Host (ohne Wiederholung des Bedrohungsimplementierungsprozesses).
Ein schwarzer Eingang ermöglicht es einem Angreifer, Malware in ein Netzwerk oder einen bestimmten Host einzuschleusen, z. B. einen Kennwort-Sniffer, ein Programm, das Benutzer-IDs und Kennwörter aus dem Netzwerkverkehr extrahiert, wenn Protokolle auf hoher Ebene (FTP, Telnet, Rlogin usw.) verwendet werden. etc.). Die Objekte der Malware-Injektion können Authentifizierungs- und Identifikationsprogramme, Netzwerkdienste, Betriebssystemkern, Dateisystem, Bibliotheken usw. sein.
Schließlich wird in der Phase der Beseitigung der Spuren der Bedrohungsrealisierung versucht, die Spuren der Handlungen des Täters zu zerstören. Dadurch werden die entsprechenden Datensätze aus allen möglichen Überwachungsprotokollen entfernt, einschließlich der Aufzeichnungen darüber, dass Informationen gesammelt wurden.
5.5. Allgemeine Merkmale von Bedrohungen durch Software und mathematische EinflüsseSoftware-mathematischer Einfluss ist der Einfluss mit Hilfe von Schadprogrammen. Ein Programm mit potenziell gefährlichen Folgen oder ein Schadprogramm ist ein eigenständiges Programm (Befehlssatz), das eine nicht leere Teilmenge der folgenden Funktionen ausführen kann:
Verstecken Sie Anzeichen Ihrer Präsenz in der Computer-Software-Umgebung.
Sie können sich selbst duplizieren, sich mit anderen Programmen verbinden und (oder) Ihre Fragmente in andere Bereiche des Arbeitsspeichers oder des externen Speichers übertragen.
programmcode im RAM zerstören (auf willkürliche Weise verzerren);
destruktive Funktionen (Kopieren, Zerstören, Blockieren usw.) ohne Initiierung durch den Benutzer ausführen (Benutzerprogramm im normalen Ausführungsmodus);
Speichern Sie Informationsfragmente aus dem RAM in einigen Bereichen des externen Speichers für den direkten Zugriff (lokal oder remote).
Beliebig verzerren, blockieren und (oder) ersetzen Sie ein Array von Informationen, die an einen externen Speicher oder einen Kommunikationskanal ausgegeben werden, der als Ergebnis des Betriebs von Anwendungsprogrammen oder Datenarrays, die sich bereits im externen Speicher befinden, gebildet wird.
Schädliche Programme können sowohl absichtlich als auch versehentlich in die in der ISPD verwendete Software während ihrer Entwicklung, Wartung, Änderung und Anpassung eingeführt (eingeführt) werden. Darüber hinaus können schädliche Programme während des Betriebs der ISPD von externen Speichermedien oder durch Netzwerkinteraktion infolge der NSD oder versehentlich von ISPD-Benutzern eingeführt werden.
Moderne Schadprogramme basieren auf der Verwendung von Schwachstellen verschiedener Arten von Software (System, Allgemein, Anwendung) und verschiedener Netzwerktechnologien und verfügen über eine breite Palette destruktiver Fähigkeiten (von der unbefugten Untersuchung von ISPD-Parametern ohne Beeinträchtigung des ISPD-Betriebs bis zur Zerstörung von PD- und ISPDN-Software) und können arbeiten in allen Arten von Software (System, Anwendung, Hardwaretreiber usw.).
Das Vorhandensein von Schadprogrammen in der ISPD kann dazu beitragen, dass verborgene, einschließlich unkonventioneller Zugangskanäle zu Informationen entstehen, die das Öffnen, Umgehen oder Blockieren der im System bereitgestellten Sicherheitsmechanismen, einschließlich Kennwort- und Kryptografieschutz, ermöglichen.
Die Haupttypen von Malware sind:
software-Lesezeichen;
klassische Software (Computer) -Viren;
schadprogramme, die sich über das Netzwerk verbreiten (Netzwerkwürmer);
Andere Schadprogramme, die zur Durchführung nicht autorisierter Angriffe entwickelt wurden.
Zu den Software-Lesezeichen gehören Programme, Codefragmente und Anweisungen, die nicht deklarierte Softwarefunktionen bilden. Schädliche Programme können von einem Typ zu einem anderen wechseln. Beispielsweise kann ein Software-Lesezeichen einen Software-Virus erzeugen, der wiederum, wenn er in die Netzwerkbedingungen gerät, einen Netzwerkwurm oder ein anderes bösartiges Programm bilden kann, das für die Ausführung nicht autorisierter Angriffe ausgelegt ist.
Die Klassifizierung von Softwareviren und Netzwerkwürmern ist in Abbildung 14 dargestellt. Eine kurze Beschreibung der wichtigsten Schadprogramme lautet wie folgt. Boot-Viren schreiben sich entweder in den Boot-Sektor der Festplatte (Boot-Sektor) oder in den Sektor, der den Bootloader der Festplatte enthält (Master Boot Record), oder ändern den Zeiger auf den aktiven Boot-Sektor. Sie werden beim Booten von einer infizierten Festplatte in den Arbeitsspeicher des Computers eingebettet. In diesem Fall liest der Bootloader den Inhalt des ersten Sektors der Platte, von der aus der Boot ausgeführt wird, legt die gelesenen Informationen in den Speicher und überträgt die Kontrolle an ihn (d. H. An den Virus). Danach werden die Anweisungen des Virus ausgeführt, was in der Regel die Menge an freiem Speicher verringert, seinen Code in den freigegebenen Speicherplatz kopiert und seine Fortsetzung (falls vorhanden) von der Festplatte liest, die erforderlichen Interruptvektoren abfängt (normalerweise INT 13H) und das Original liest Bootsektor und überträgt die Kontrolle darauf.
In Zukunft verhält sich der Boot-Virus wie ein Dateivirus: Er fängt die Aufrufe des Betriebssystems an Festplatten ab und infiziert sie. Abhängig von bestimmten Bedingungen führt er destruktive Aktionen aus, verursacht Soundeffekte oder Videoeffekte.
Die wichtigsten zerstörerischen Aktionen dieser Viren sind:
zerstörung von Informationen in den Bereichen Disketten und Festplatten;
Ausschluss der Möglichkeit des Ladens des Betriebssystems (der Computer "friert ein");
beschädigung des Bootloader-Codes;
formatieren von Disketten oder logischen Laufwerken der Festplatte;
blockieren des Zugriffs auf COM- und LPT-Ports;
ersetzen von Zeichen beim Drucken von Texten;
zucken des Bildschirms;
Ändern der Bezeichnung einer Diskette oder Diskette;
erstellung von Pseudo-Crash-Clustern;
erzeugung von Ton- und (oder) visuellen Effekten (z. B. Buchstaben, die auf den Bildschirm fallen);
beschädigung von Datendateien;
anzeigen verschiedener Meldungen auf dem Bildschirm;
Trennen von Peripheriegeräten (z. B. Tastaturen);
Ändern der Bildschirmpalette;
Füllen des Bildschirms mit fremden Zeichen oder Bildern;
ausschalten des Bildschirms und Versetzen in den Standby-Modus für Tastatureingaben;
verschlüsselung von Festplattensektoren;
selektive Zerstörung von Zeichen, die beim Tippen über die Tastatur auf dem Bildschirm angezeigt werden;
verringerung der RAM-Größe;
aufruf zum Drucken von Bildschirminhalten;
blockieren des Schreibens auf die Festplatte;
zerstörung der Partitionstabelle (Disk Partition Table), wonach der Computer nur noch von einer Diskette gebootet werden kann;
blockieren des Starts ausführbarer Dateien;
Blockieren des Zugriffs auf die Festplatte.
Abbildung 14. Klassifizierung von Softwareviren und Netzwerkwürmern
Die meisten Boot-Viren überschreiben sich selbst auf Disketten.
Die "Überschreiben" -Infektionsmethode ist die einfachste: Der Virus schreibt seinen eigenen Code anstelle des Codes der infizierten Datei und zerstört so deren Inhalt. Natürlich funktioniert die Datei nicht mehr und wird nicht wiederhergestellt. Solche Viren erkennen sich sehr schnell, da das Betriebssystem und die Anwendungen nicht mehr schnell funktionieren.
Die Kategorie "Begleiter" umfasst Viren, die infizierte Dateien nicht ändern. Der Betriebsalgorithmus dieser Viren besteht darin, dass eine doppelte Datei für die infizierte Datei erstellt wird. Wenn die infizierte Datei gestartet wird, erhält diese doppelte Datei, dh der Virus, die Kontrolle. Die häufigsten Begleitviren, die die DOS-Funktion verwenden, sind die ersten, die Dateien mit der Erweiterung .COM ausführen, wenn sich zwei Dateien im selben Verzeichnis mit demselben Namen, aber unterschiedlichen Namenserweiterungen befinden - .COM und .EXE. Diese Viren erstellen Begleitdateien für EXE-Dateien mit demselben Namen, aber einer .COM-Erweiterung. Beispielsweise wird eine XCOPY.COM-Datei für eine XCOPY.EXE-Datei erstellt. Der Virus schreibt sich selbst in eine COM-Datei und ändert die EXE-Datei in keiner Weise. Wenn eine solche Datei gestartet wird, erkennt und führt DOS als erstes die COM-Datei, dh den Virus, aus, der dann auch die EXE-Datei startet. Die zweite Gruppe besteht aus Viren, die beim Infizieren eine Datei in einen anderen Namen umbenennen, sich daran erinnern (für den anschließenden Start der Hostdatei) und ihren Code unter dem Namen der infizierten Datei auf die Festplatte schreiben. Beispielsweise wird die Datei XCOPY.EXE in XCOPY.EXD umbenannt und der Virus unter dem Namen XCOPY.EXE geschrieben. Beim Start erhält das Steuerelement den Virencode, der dann das ursprüngliche XCOPY ausführt, das unter dem Namen XCOPY.EXD gespeichert ist. Eine interessante Tatsache ist, dass diese Methode auf allen Betriebssystemen zu funktionieren scheint. Die dritte Gruppe umfasst die sogenannten "Path-Companion" -Viren. Sie schreiben entweder ihren Code unter dem Namen der infizierten Datei, aber "höher" um eine Ebene in den zu schreibenden Pfaden (daher erkennt DOS als erster die Virendatei und startet sie) oder verschieben die Opferdatei um ein Unterverzeichnis höher usw.
Möglicherweise gibt es andere Arten von Begleitviren, die andere ursprüngliche Ideen oder Funktionen anderer Betriebssysteme verwenden.
Dateiwürmer sind in gewisser Weise eine Art Begleitvirus, aber sie verbinden ihre Anwesenheit in keiner Weise mit einer ausführbaren Datei. Beim Replizieren kopieren sie einfach ihren Code in einige Festplattenverzeichnisse in der Hoffnung, dass diese neuen Kopien jemals vom Benutzer gestartet werden. Manchmal geben diese Viren ihren Kopien "spezielle" Namen, um den Benutzer zum Starten ihrer Kopie zu bewegen - zum Beispiel INSTALL.EXE oder WINSTART.BAT. Es gibt Wurmviren, die eher ungewöhnliche Tricks anwenden, z. B. das Schreiben ihrer Kopien in Archive (ARJ, ZIP und andere). Einige Viren schreiben den Befehl zum Starten einer infizierten Datei in BAT-Dateien. Dateiwurmviren sollten nicht mit Netzwerkwürmern verwechselt werden. Die ersteren verwenden nur die Dateifunktionen eines Betriebssystems, während die letzteren bei der Weitergabe Netzwerkprotokolle verwenden.
Link-Viren ändern wie Companion-Viren nicht den physischen Inhalt von Dateien, aber wenn eine infizierte Datei gestartet wird, "zwingen" sie das Betriebssystem, ihren Code auszuführen. Sie erreichen dieses Ziel, indem sie die erforderlichen Felder des Dateisystems ändern.
Viren, die Compiler-Bibliotheken, Objektmodule und Programmquellcodes infizieren, sind ziemlich exotisch und praktisch ungewöhnlich. Viren, die OBJ- und LIB-Dateien infizieren, schreiben ihren Code im Format eines Objektmoduls oder einer Bibliothek. Die infizierte Datei ist daher nicht ausführbar und kann den Virus in seinem aktuellen Zustand nicht weiter verbreiten. Eine COM- oder EXE-Datei wird zum Träger eines "lebenden" Virus.
Nachdem der Dateivirus die Kontrolle erlangt hat, führt er die folgenden allgemeinen Aktionen aus:
Überprüft den RAM auf seine Kopie und infiziert den Computerspeicher, wenn keine Virenkopie gefunden wird (falls der Virus resident ist), sucht nach nicht infizierten Dateien im aktuellen und (oder) Stammverzeichnis, indem der Verzeichnisbaum der logischen Laufwerke gescannt wird, und infiziert dann die erkannten Dateien ;;
führt zusätzliche (falls vorhanden) Funktionen aus: zerstörerische Aktionen, Grafik- oder Soundeffekte usw. (Zusätzliche Funktionen des residenten Virus können einige Zeit nach der Aktivierung aufgerufen werden, abhängig von der aktuellen Zeit, der Systemkonfiguration, den internen Virenzählern oder anderen Bedingungen. In diesem Fall verarbeitet der Virus bei Aktivierung den Status der Systemuhr, stellt seine Zähler ein usw.);
Es ist zu beachten, dass je schneller sich das Virus ausbreitet, desto wahrscheinlicher eine Epidemie dieses Virus auftritt, je langsamer sich das Virus ausbreitet, desto schwieriger ist es, es zu erkennen (wenn dieses Virus natürlich unbekannt ist). Nicht speicherresidente Viren sind häufig "langsam" - die meisten von ihnen infizieren beim Start eine oder zwei oder drei Dateien und haben keine Zeit, den Computer zu überfluten, bis das Antivirenprogramm gestartet wird (oder eine neue Version des für einen bestimmten Virus konfigurierten Antivirenprogramms angezeigt wird). Es gibt natürlich nicht speicherresidente "schnelle" Viren, die beim Start nach allen ausführbaren Dateien suchen und diese infizieren. Solche Viren sind jedoch sehr auffällig: Wenn jede infizierte Datei gestartet wird, arbeitet der Computer einige (manchmal ziemlich lange) aktiv mit der Festplatte, wodurch der Virus entlarvt wird. Die Ausbreitungsgeschwindigkeit (Infektionsgeschwindigkeit) von residenten Viren ist normalerweise höher als die von nicht residenten Viren - sie infizieren Dateien, wenn auf sie zugegriffen wird. Infolgedessen sind alle oder fast alle Dateien, die ständig in der Arbeit verwendet werden, auf der Festplatte infiziert. Die Ausbreitungsrate (Infektionsrate) von residenten Dateiviren, die Dateien nur infizieren, wenn sie zur Ausführung gestartet werden, ist niedriger als die von Viren, die Dateien infizieren, wenn sie geöffnet, umbenannt, Dateiattribute geändert usw. werden.
Daher sind die wichtigsten zerstörerischen Aktionen, die von Dateiviren ausgeführt werden, mit Schäden an Dateien (normalerweise ausführbaren Dateien oder Datendateien), dem unbefugten Starten verschiedener Befehle (einschließlich Formatieren, Löschen, Kopieren usw.), dem Ändern der Interruptvektortabelle und verbunden andere. Gleichzeitig können viele zerstörerische Aktionen ausgeführt werden, ähnlich denen, die für Boot-Viren angegeben sind.
Makroviren sind Programme in Sprachen (Makrosprachen), die in einige Datenverarbeitungssysteme (Textverarbeitungssysteme, Tabellenkalkulationen usw.) eingebettet sind. Solche Viren nutzen für ihre Reproduktion die Fähigkeiten von Makrosprachen und übertragen sich mit ihrer Hilfe von einer infizierten Datei (Dokument oder Tabelle) auf andere. Am weitesten verbreitet sind Makroviren für das Microsoft Office-Anwendungspaket.
Damit Viren in einem bestimmten System (Editor) vorhanden sind, ist eine integrierte Makrosprache mit den folgenden Funktionen erforderlich:
1) Binden eines Programms in einer Makrosprache an eine bestimmte Datei;
2) Kopieren von Makroprogrammen von einer Datei in eine andere;
3) Erhalten der Kontrolle über das Makroprogramm ohne Benutzereingriff (automatische oder Standardmakros).
Diese Bedingungen werden von Microsoft Word-, Excel- und Microsoft Access-Anwendungen erfüllt. Sie enthalten Makrosprachen: Word Basic, Visual Basic für Applikationen. Dabei:
1) Makroprogramme sind an eine bestimmte Datei gebunden oder befinden sich in einer Datei.
2) Mit der Makrosprache können Sie Dateien kopieren oder Makroprogramme in Systemdienstdateien und bearbeitbare Dateien verschieben.
3) Beim Arbeiten mit einer Datei werden unter bestimmten Bedingungen (Öffnen, Schließen usw.) Makroprogramme (falls vorhanden) aufgerufen, die auf besondere Weise definiert sind oder Standardnamen haben.
Diese Funktion von Makrosprachen ist für die automatische Datenverarbeitung in großen Organisationen oder in globalen Netzwerken vorgesehen und ermöglicht die Organisation des sogenannten "automatisierten Dokumentenflusses". Andererseits ermöglichen die Funktionen der Makrosprachen solcher Systeme dem Virus, seinen Code auf andere Dateien zu übertragen und diese so zu infizieren.
Die meisten Makroviren sind nicht nur zum Zeitpunkt des Öffnens (Schließens) einer Datei aktiv, sondern solange der Editor selbst aktiv ist. Sie enthalten alle ihre Funktionen als Standard-Word / Excel / Office-Makros. Es gibt jedoch Viren, die Techniken verwenden, um ihren Code zu verbergen und ihren Code als Nicht-Makros zu speichern. Es sind drei solcher Techniken bekannt, die alle die Fähigkeit von Makros verwenden, andere Makros zu erstellen, zu bearbeiten und auszuführen. In der Regel verfügen solche Viren über einen kleinen (manchmal polymorphen) Virenmakro-Loader, der den integrierten Makro-Editor aufruft, ein neues Makro erstellt, es mit dem Hauptvirus-Code füllt, ausführt und dann in der Regel zerstört (um die Spuren der Viruspräsenz zu verbergen). Der Hauptcode solcher Viren ist entweder im Virenmakro selbst in Form von Textzeichenfolgen (manchmal verschlüsselt) vorhanden oder wird im variablen Bereich des Dokuments gespeichert.
Netzwerkviren umfassen Viren, die die Protokolle und Funktionen lokaler und globaler Netzwerke aktiv für ihre Verbreitung nutzen. Das Grundprinzip eines Netzwerkvirus ist die Fähigkeit, seinen Code unabhängig auf einen Remote-Server oder eine Workstation zu übertragen. "Vollwertige" Netzwerkviren können ihren Code auch auf einem Remotecomputer ausführen oder zumindest den Benutzer zum Starten einer infizierten Datei "drängen".
Schädliche Programme, die die Implementierung der NSD sicherstellen, können sein:
programme zum Erraten und Knacken von Passwörtern;
programme, die Bedrohungen implementieren;
Programme, die die Verwendung nicht angemeldeter Funktionen von Software und Software- und Hardware-ISPDn demonstrieren;
computervirengeneratoren;
programme, die Schwachstellen von Informationssicherheitstools usw. aufzeigen.
Mit der zunehmenden Komplexität und Vielfalt der Software wächst die Anzahl der Malware rasant. Mehr als 120.000 Signaturen von Computerviren sind heute bekannt. Gleichzeitig stellen nicht alle eine echte Bedrohung dar. In vielen Fällen hat die Beseitigung von Schwachstellen in System- oder Anwendungssoftware dazu geführt, dass eine Reihe von Schadprogrammen diese nicht mehr infiltrieren können. Neue Malware ist häufig die Hauptbedrohung.
5.6. Allgemeine Merkmale nicht traditioneller InformationskanäleEin unkonventioneller Informationskanal ist ein Kanal zur verdeckten Informationsübertragung unter Verwendung herkömmlicher Kommunikationskanäle und spezieller Transformationen der übertragenen Informationen, die nicht kryptografisch sind.
Die folgenden Methoden können verwendet werden, um nicht traditionelle Kanäle zu bilden:
computer-Steganographie;
Basierend auf der Manipulation verschiedener Merkmale der ISPD, die autorisiert erhalten werden können (z. B. die Verarbeitungszeit verschiedener Anforderungen, die Menge des verfügbaren Speichers oder lesbare Kennungen von Dateien oder Prozessen usw.).
Computer-Steganografiemethoden dienen dazu, die Tatsache der Nachrichtenübertragung zu verbergen, indem verborgene Informationen in scheinbar harmlose Daten (Text-, Grafik-, Audio- oder Videodateien) eingebettet werden. Sie umfassen zwei Methodengruppen, die auf folgenden Kriterien basieren:
Über die Verwendung spezieller Eigenschaften von Computerformaten zum Speichern und Übertragen von Daten;
Über die Redundanz von Audio-, Video- oder Textinformationen unter dem Gesichtspunkt psychophysiologischer Merkmale der menschlichen Wahrnehmung.
Die Klassifizierung der Computer-Steganographie-Methoden ist in Abbildung 15 dargestellt. Ihre Vergleichseigenschaften sind in Tabelle 4 dargestellt.
Methoden zum Ausblenden von Informationen in grafischen Stegocontainern werden derzeit am weitesten entwickelt und angewendet. Dies ist auf die relativ große Menge an Informationen zurückzuführen, die in solchen Behältern ohne merkliche Bildverzerrung platziert werden können, das Vorhandensein von A-priori-Informationen über die Größe des Behälters, das Vorhandensein von Texturbereichen mit einer Rauschstruktur in den meisten realen Bildern, die sich gut zum Einbetten von Informationen eignen, die Raffinesse der digitalen Bildverarbeitung und der digitalen Bildpräsentationsformate. Derzeit stehen dem allgemeinen Benutzer eine Reihe von kommerziellen und freien Softwareprodukten zur Verfügung, die bekannte Methoden zum Ausblenden steganografischer Informationen implementieren. In diesem Fall werden hauptsächlich Grafik- und Audiocontainer verwendet.
Abbildung 15. Klassifizierung von Methoden der steganografischen Informationstransformation (STI)
Tabelle 4
Vergleichende Eigenschaften steganographischer Informationstransformationsmethoden
| Steganographische Methode | Kurze Beschreibung der Methode | Nachteile | Leistungen |
| Methoden zum Ausblenden von Informationen in Audiocontainern | |||
| Basierend auf der Aufzeichnung einer Nachricht in den niedrigstwertigen Bits des ursprünglichen Signals. In der Regel wird ein unkomprimiertes Audiosignal als Container verwendet. | Geringe Geheimhaltung der Nachrichtenübertragung. Geringer Widerstand gegen Verzerrung. Wird nur für bestimmte Audiodateiformate verwendet | ||
| Versteckmethode basierend auf der Spektrumverteilung | Es basiert auf der Erzeugung von Pseudozufallsrauschen, das eine Funktion der eingebetteten Nachricht ist, und der Hinzufügung des empfangenen Rauschens zum Hauptsignalcontainer als additive Komponente. Codieren von Informationsströmen durch Streuen codierter Daten über ein Frequenzspektrum | ||
| Echobasierte Verdeckungsmethode | Basierend auf der Verwendung des Audiosignals selbst als rauschähnliches Signal, verzögert um verschiedene Zeiträume, abhängig von der eingebetteten Nachricht ("Wählecho") | Niedrige Containernutzungsrate. Erhebliche Rechenkosten | Relativ hohe Nachrichtengeheimnis |
| Versteckt sich in der Signalphase | Basierend auf der Tatsache, dass das menschliche Ohr unempfindlich gegenüber dem absoluten Wert der harmonischen Phase ist. Das Audiosignal wird in eine Folge von Segmenten aufgeteilt, die Nachricht wird durch Ändern der Phase des ersten Segments eingebettet | Niedrige Containernutzungsrate | Deutlich verstohlener als die NZB-Verdeckungsmethoden |
| Methoden zum Ausblenden von Informationen in Textcontainern | |||
| Ausblendungsmethode basierend auf Leerzeichen | Basierend auf dem Einfügen von Leerzeichen am Zeilenende nach Satzzeichen zwischen Wörtern beim Ausrichten der Zeilenlänge | Methoden reagieren empfindlich auf das Umbrechen von Text von einem Format in ein anderes. Die Nachricht kann verloren gehen. Geringe Heimlichkeit | Groß genug durchsatz |
| Ausblendungsmethode basierend auf den syntaktischen Merkmalen des Textes | Basierend auf der Tatsache, dass Interpunktionsregeln Mehrdeutigkeiten bei der Platzierung von Interpunktionszeichen zulassen | Sehr geringe Bandbreite. Komplexität der Nachrichtenerkennung | Es ist möglicherweise möglich, eine Methode zu finden, die sehr komplexe Verfahren zum Erweitern der Nachricht erfordert. |
| Versteckmethode basierend auf Synonymen | Basierend auf dem Einfügen von Informationen in den Text unter Verwendung abwechselnder Wörter aus einer beliebigen Gruppe von Synonymen | Schwierig in Bezug auf die russische Sprache aufgrund der großen Vielfalt an Schattierungen in verschiedenen Synonymen | Eine der vielversprechendsten Methoden. Hat eine relativ hohe Nachrichtengeheimnis |
| Versteckmethode basierend auf der Verwendung von Fehlern | Es basiert auf der Verschleierung von Informationsbits für natürliche Fehler, Tippfehler, Verstöße gegen die Regeln für das Schreiben von Kombinationen von Vokalen und Konsonanten, das Ersetzen des kyrillischen Alphabets durch lateinische Buchstaben mit ähnlichem Aussehen usw. | Niedrige Bandbreite. Öffnet sich schnell in statistischen Analysen | Sehr einfach zu bedienen. Hohe Geheimhaltung bei der Analyse durch Menschen |
| Versteckmethode basierend auf Quasi-Text-Generierung | Basierend auf der Generierung eines Textcontainers unter Verwendung einer Reihe von Satzbildungsregeln. Symmetrische Kryptographie wird verwendet | Niedrige Bandbreite. Die Bedeutungslosigkeit des erstellten Textes | Stealth wird durch Verschlüsselungsmethoden bestimmt und ist normalerweise ziemlich hoch |
| Ausblendungsmethode basierend auf der Verwendung von Schriftfunktionen | Basierend auf dem Einfügen von Informationen durch Ändern des Schrifttyps und der Schriftgröße sowie der Möglichkeit, Informationen in Blöcke mit dem Browser unbekannten Bezeichnern einzubetten | Leicht zu erkennen bei der Transformation des Maßstabs des Dokuments während der statistischen Stegoanalyse | Hohe Containernutzungsrate |
| Ausblendungsmethode basierend auf der Verwendung von Dokument- und Dateicode | Basierend auf der Platzierung von Informationen in reservierten und nicht verwendeten Feldern mit variabler Länge | Geringe Tarnung mit bekanntem Dateiformat | Einfach zu verwenden |
| Jargon-basierte Verdeckungsmethode | Basierend auf dem Ändern der Bedeutung von Wörtern | Niedrige Bandbreite. Eng spezialisiert. Geringe Heimlichkeit | Einfach zu verwenden |
| Versteckmethode basierend auf der Verwendung alternierender Wortlängen | Basierend auf der Erzeugung eines Textes - ein Container mit der Bildung von Wörtern einer bestimmten Länge gemäß der bekannten Codierungsregel | Komplexität der Container- und Nachrichtenbildung | Ausreichend hohe Geheimhaltung bei der Analyse durch Menschen |
| Versteckmethode basierend auf der Verwendung der ersten Buchstaben | Basierend auf dem Einbetten einer Nachricht in die ersten Buchstaben von Wörtern in einen Text mit Wortauswahl | Die Komplexität beim Verfassen der Nachricht. Geringe Nachrichtengeheimnis | Ermöglicht dem Bediener, der die Nachricht erstellt, mehr Wahlfreiheit |
| Methoden zum Ausblenden von Informationen in Grafikcontainern | |||
| Methode zum Verstecken von am wenigsten signifikanten Bits | Basierend auf dem Schreiben der Nachricht in die niedrigstwertigen Bits des Originalbilds | Geringe Geheimhaltung der Nachrichtenübertragung. Geringer Widerstand gegen Verzerrung | Ausreichend hohe Containerkapazität (bis zu 25%) |
| Ausblendmethode basierend auf Änderung des Indexformats der Darstellung | Basierend auf der Reduzierung (Ersetzung) der Farbpalette und der Reihenfolge der Farben in Pixeln mit benachbarten Zahlen | Gilt hauptsächlich für komprimierte Bilder. Geringe Geheimhaltung der Nachrichtenübertragung | Relativ hohe Containerkapazität |
| Versteckmethode basierend auf der Verwendung der Autokorrelationsfunktion | Basierend auf einer Suche mit einer Autokorrelationsfunktion nach Bereichen mit ähnlichen Daten | Komplexität der Berechnungen | Beständig gegen die meisten nichtlinearen Containertransformationen |
| Verdeckungsmethode basierend auf der Verwendung einer nichtlinearen Modulation der eingebetteten Nachricht | Basierend auf der Modulation eines Pseudozufalls-Signals mit einem Signal, das versteckte Informationen enthält | ||
| Ausblendungsmethode basierend auf der Verwendung der Zeichenmodulation der eingebetteten Nachricht | Basierend auf der Modulation eines Pseudozufalls-Signals mit einem bipolaren Signal, das verborgene Informationen enthält | Geringe Erkennungsgenauigkeit. Verzerrung | Hoch genug Geheimhaltung der Nachricht |
| Versteckmethode basierend auf Wavelet-Transformation | Basierend auf den Merkmalen von Wavelet-Transformationen | Komplexität der Berechnungen | Hohe Heimlichkeit |
| Methode zum Ausblenden der diskreten Kosinustransformation | Basierend auf den Merkmalen der diskreten Cosinustransformation | Komplexitätsberechnung | Hohe Heimlichkeit |
In nicht traditionellen Informationskanälen, die auf der Manipulation verschiedener Merkmale der ISPD-Ressourcen basieren, werden einige gemeinsam genutzte Ressourcen für die Datenübertragung verwendet. In diesem Fall wird in Kanälen mit zeitlichen Merkmalen die Modulation gemäß der Zeit ausgeführt, zu der die gemeinsam genutzte Ressource ausgelastet ist (z. B. können Anwendungen durch Modulieren der Prozessorbelegungszeit Daten austauschen).
In Speicherkanälen wird die Ressource als Zwischenpuffer verwendet (z. B. können Anwendungen Daten austauschen, indem sie sie in die Namen der erstellten Dateien und Verzeichnisse einfügen). Datenbank- und Wissenskanäle verwenden Abhängigkeiten zwischen Daten, die in relationalen Datenbanken entstehen, und Wissen.
Nicht traditionelle Informationskanäle können auf verschiedenen Ebenen der ISPD-Funktionsweise gebildet werden:
auf Hardwareebene;
auf Mikrocode- und Gerätetreiberebene;
auf Betriebssystemebene;
auf der Ebene der Anwendungssoftware;
auf der Ebene der Funktionsweise von Datenübertragungskanälen und Kommunikationsleitungen.
Diese Kanäle können sowohl zur verdeckten Übertragung kopierter Informationen als auch zur verdeckten Übertragung von Befehlen verwendet werden, um zerstörerische Aktionen auszuführen, Anwendungen zu starten usw.
Für die Implementierung von Kanälen ist es in der Regel erforderlich, eine Registerkarte Software oder Software und Hardware in ein automatisiertes System einzuführen, um die Bildung eines unkonventionellen Kanals sicherzustellen.
Ein unkonventioneller Informationskanal kann kontinuierlich im System vorhanden sein oder einmal oder unter bestimmten Bedingungen aktiviert werden. In diesem Fall ist das Vorhandensein einer Rückmeldung zum Thema der NSD möglich.
5.7. Allgemeine Merkmale der Ergebnisse eines unbefugten oder versehentlichen ZugriffsDas Erkennen von Bedrohungen durch unbefugten Zugriff auf Informationen kann zu folgenden Arten von Sicherheitsverletzungen führen:
verletzung der Vertraulichkeit (Kopieren, illegale Verbreitung);
Integritätsverletzung (Zerstörung, Veränderung);
barrierefreiheitsverletzung (Blockierung).
Ein Verstoß gegen die Vertraulichkeit kann im Falle eines Informationslecks erfolgen:
kopieren in entfremdete Medien;
Übertragen über Datenübertragungskanäle;
beim Anzeigen oder Kopieren während der Reparatur, Änderung und Entsorgung von Software und Hardware;
im Falle einer "Müllabfuhr" durch einen Eindringling während des Betriebs der ISPD.
Verstöße gegen die Integrität von Informationen werden aufgrund der Auswirkungen (Änderungen) auf die Programme und Benutzerdaten sowie technologischer (System-) Informationen begangen, einschließlich:
mikroprogramme, Daten- und Gerätetreiber des Computersystems;
programme, Daten und Gerätetreiber, die das Betriebssystem laden;
programme und Daten (Deskriptoren, Deskriptoren, Strukturen, Tabellen usw.) des Betriebssystems;
anwendungssoftwareprogramme und Daten;
Spezielle Softwareprogramme und Daten;
Zwischenwerte (Betriebswerte) von Programmen und Daten während ihrer Verarbeitung (Lesen / Schreiben, Empfangen / Senden) mittels und Geräten der Computertechnologie.
Eine Verletzung der Integrität von Informationen in ISPDN kann auch durch die Einführung eines Schadprogramms eines Hardware- und Software-Lesezeichens oder durch Auswirkungen auf das Informationsschutzsystem oder seine Elemente verursacht werden.
Darüber hinaus ist es im ISPD möglich, die technologischen Netzwerkinformationen zu beeinflussen, wodurch das Funktionieren verschiedener Mittel zur Verwaltung eines Computernetzwerks sichergestellt werden kann:
netzwerkkonfiguration;
adressen und Routing der Datenübertragung im Netzwerk;
funktionskontrolle des Netzwerks;
sicherheit von Informationen im Netzwerk.
Eine Verletzung der Verfügbarkeit von Informationen wird durch die Bildung (Änderung) der Anfangsdaten verursacht, die während der Verarbeitung Fehlfunktionen, Hardwarefehler oder die Beschlagnahme (Laden) der Rechenressourcen des Systems verursachen, die für die Ausführung von Programmen und den Betrieb der Geräte erforderlich sind.
Diese Maßnahmen können dazu führen, dass fast alle technischen Mittel der ISPD gestört oder nicht mehr funktionieren:
informationsverarbeitungsanlagen;
informationseingabe- / Ausgabemittel;
informationsspeicher;
Ausrüstung und Übertragungskanäle;
mittel zum Informationsschutz.
