این تهدید در تمایل به اجرای برنامه های مخرب مختلفی است که قبلاً بر روی میزبان ISPD معرفی شده اند: برنامه های نشانه گذاری ، ویروس ها ، "جاسوسان شبکه" که هدف اصلی آن نقض محرمانه بودن ، یکپارچگی ، دسترسی به اطلاعات و کنترل کامل بر عملکرد میزبان است. علاوه بر این ، می توان با راه اندازی غیرمجاز برنامه های کاربر برای دریافت غیر مجاز داده های لازم برای مزاحم ، شروع فرآیندهای کنترل شده توسط برنامه برنامه و غیره را آغاز کرد.
سه طبقه زیر از این تهدیدات متمایز می شوند:
توزیع پرونده های حاوی کد اجرایی غیر مجاز؛
راه اندازی برنامه از راه دور با سرریز بافر سرور برنامه؛
راه اندازی از راه دور برنامه با استفاده از قابلیت های کنترل از راه دور سیستم ارائه شده توسط نرم افزار پنهان و بوک مارک های سخت افزار ، یا به صورت منظم مورد استفاده قرار می گیرد.
تهدیدهای معمولی اولین این زیرمجموعه ها بر اساس فعال شدن پرونده های توزیع شده در صورت دسترسی تصادفی به آنها است. نمونه هایی از این قبیل پرونده ها عبارتند از: پرونده هایی که کد اجرایی را در قالب اسناد حاوی کد اجرایی در قالب عناصر ActiveX ، اپلت های جاوا ، اسکریپت های تفسیری (به عنوان مثال متون JavaScript) دارند. فایل های حاوی کد برنامه های اجرایی از طریق پست الکترونیکی ، انتقال فایل ، خدمات سیستم فایل شبکه می توان برای توزیع فایلها استفاده کرد.
هنگامی که از تهدیدهای زیر طبقه دوم استفاده می شود ، از معایب برنامه هایی که خدمات شبکه را پیاده سازی می کنند (بخصوص ، عدم کنترل سرریز بافر) استفاده می شود. با تنظیم رجیستری های سیستم ، گاهی اوقات می توان پردازنده را پس از قطع وقوع ناشی از سرریز بافر برای اجرای کد موجود در خارج از بافر ، تغییر داد. نمونه ای از تحقق چنین تهدیدی معرفی معروف "ویروس موریس" است.
در صورت تهدیدهای زیر کلاس سوم ، مهاجم از قابلیت کنترل از راه دور سیستم ارائه شده توسط اجزای مخفی استفاده می کند (به عنوان مثال برنامه های Trojan مانند Back. Orifice ، Net Bus) ، یا وسیله ای منظم برای مدیریت و مدیریت شبکه های رایانه ای (Landesk Management Suite ، Managementwise ، Back Orifice و غیره) پ.). در نتیجه استفاده از آنها می توان به کنترل از راه دور روی ایستگاه روی شبکه دست یافت.
بعید نیست.
لیستی کلی از احتمال تهدید برای انواع مختلف ISDN در جدول 12 ارائه شده است.
جدول 12
تهدیدهای معرفی بدافزار از طریق شبکه
برنامه های مخرب معرفی شده از طریق شبکه شامل ویروس هایی هستند که بطور فعال از پروتکل ها و قابلیت های شبکه های محلی و جهانی برای گسترش آنها استفاده می کنند. اصل اساسی ویروس شبکه توانایی انتقال مستقل کد آن به سرور از راه دور یا ایستگاه کاری است. در عین حال ، ویروس های شبکه کامل "توانایی اجرای کد خود را بر روی رایانه از راه دور یا حداقل" فشار "برای راه اندازی یک فایل آلوده را دارند.
برنامه های مخرب که اجرای دسترسی غیرمجاز را تضمین می کنند عبارتند از:
برنامه های ترک و رمز عبور رمز عبور؛
برنامه هایی که تهدیدها را پیاده سازی می کنند.
برنامه هایی که نشان دهنده استفاده از قابلیت های اعلام نشده نرم افزار و نرم افزار سخت افزاری ISPDn است.
برنامه های تولید ویروس رایانه؛
برنامه هایی که آسیب پذیری های امنیت اطلاعات و غیره را نشان می دهند.
اگر PD های فرآوری شده به مراکز عمومی و بین المللی در موسسه ارسال نشود ، آنتی ویروس نصب شده باشد ، احتمالاً احتمال تهدید تحقق یافته است. بعید نیست.
در همه موارد دیگر ، احتمال تهدید باید ارزیابی شود.
لیستی کلی از احتمال تهدیدات برای انواع مختلف ISDN در جدول 13 ارائه شده است.
جدول 13
امکان پذیری تهدیدات
بر اساس نتایج ارزیابی سطح امنیت (Y 1) (بخش 7) و احتمال تهدید (Y 2) (بخش 9) ضریب تحقق خطر (Y) محاسبه شده و احتمال تحقق تهدید (جدول 4) ارائه می شود. ضریب تحقق خطرپذیری Y با نسبت Y \u003d (Y 1 + Y 2) / 20 تعیین می شود
امکان سنجی تهدیدات بر اساس گزارش نتایج ممیزی داخلی تعیین می شود.
لیستی کلی از ارزیابی امکان سنجی UBPD برای انواع مختلف ISPD در جداول 14-23 ارائه شده است.
جدول 14 - مستقل IC نوع I
| نوع خطرات امنیتی PD را تهدید می کند | امکان اجرای | |
| 0,25 | کم | |
| 0,25 | کم | |
| 0,25 | کم | |
| 2.1.1. سرقت کامپیوتر | 0,25 | کم |
| 0,25 | کم | |
| 0,25 | کم | |
| 0,25 | کم | |
| 0,25 | کم | |
| 0,25 | کم | |
| 0,25 | کم | |
| 0,35 | میانگین | |
| 0,25 | کم | |
| 0,25 | کم | |
| 0,35 | میانگین | |
| 0,25 | کم | |
| 0,25 | کم | |
| 0,25 | کم | |
| 0,25 | کم | |
| 2.3.6. فاجعه | 0,25 | کم |
| 0,25 | کم | |
| 0,35 | میانگین | |
| 0,25 | کم | |
| 0,25 | کم | |
| 0,25 | کم | |
| 0,25 | کم | |
| 0,25 | کم | |
| 0,25 | کم | |
| 0,25 | کم | |
| 0,25 | کم | |
| 0,25 | کم | |
| 0,25 | کم | |
| 0,25 | کم |
جدول 15 - IC مستقل IC نوع II
| نوع خطرات امنیتی PD را تهدید می کند | خطر تحقق خطرپذیری (Y) | امکان اجرای |
| 1. خطر نشت از طریق کانال های فنی. | ||
| 1.1. تهدیدات نشت صوتی | 0,25 | کم |
| 1.2 تهدید درز اطلاعات اطلاعات گونه ها | 0,25 | کم |
| 1.3 تهدیدات نشت اطلاعات از طریق کانال های PEMIN | 0,25 | کم |
| 2. تهدیدهای دسترسی غیرمجاز به اطلاعات. | ||
| 2.1. تهدیدات تخریب ، سرقت سخت افزار ISPD از حاملان اطلاعات با دسترسی فیزیکی به عناصر ISPD | ||
| 2.1.1. سرقت کامپیوتر | 0,25 | کم |
| 2.1.2. سرقت رسانه ای | 0,25 | کم |
| 2.1.3. سرقت کلیدها و ویژگیهای دسترسی | 0,25 | کم |
| 2.1.4. سرقت ، اصلاح ، تخریب اطلاعات | 0,25 | کم |
| 2.1.5. خرابی گره های PC ، کانال های ارتباطی | 0,25 | کم |
| 2.1.6. دسترسی غیرمجاز به اطلاعات در حین نگهداری (تعمیر ، تخریب) گره های PC | 0,25 | کم |
| 2.1.7. خاموش کردن غیرمجاز از ویژگی های امنیتی | 0,25 | کم |
| 2.2. تهدیدات سرقت ، اصلاح غیرمجاز یا مسدود کردن اطلاعات به دلیل دسترسی غیرمجاز (دسترسی غیرمجاز) با استفاده از نرم افزار ، سخت افزار و نرم افزار (از جمله نرم افزار ریاضی). | ||
| 2.2.1. اقدامات بدافزار (ویروس) | 0,35 | میانگین |
| 2.2.2. ویژگی های اعلام نشده نرم افزار سیستم و نرم افزار برای پردازش داده های شخصی | 0,25 | کم |
| 2.2.3 نرم افزار غیر رسمی نصب کنید | 0,25 | کم |
| 2.3 تهدیدات مربوط به اقدامات عمدی کاربر و نقض امنیتی ISPDn و SZPDn در ترکیب آن به دلیل خرابی در نرم افزار و همچنین تهدیدات غیر انسان شناختی (خرابی تجهیزات به دلیل عناصر غیرقابل اطمینان ، خرابی برق) و طبیعی (اعتصاب رعد و برق ، آتش سوزی ، سیل و ...) و غیره) شخصیت. | ||
| 2.3.1. از دست دادن کلیدها و ویژگیهای دسترسی | 0,35 | میانگین |
| 2.3.2. اصلاح غیر عمدی (تخریب) اطلاعات توسط کارمندان | 0,25 | کم |
| 2.3.3. خاموش کردن غیر عمد از ویژگی های امنیتی | 0,25 | کم |
| 2.3.4. عدم موفقیت سخت افزار و نرم افزار | 0,25 | کم |
| 2.3.5. قطع برق | 0,25 | کم |
| 2.3.6. فاجعه | 0,25 | کم |
| 2.4 تهدید برای اقدامات عمدی توسط متجاوزین داخلی | ||
| 2.4.1. دسترسی به اطلاعات ، اصلاحات ، تخریب افرادی که اجازه پردازش آن را ندارند | 0,25 | کم |
| 2.4.2. افشای اطلاعات ، اصلاح ، تخریب توسط کارمندان مجاز برای پردازش آن | 0,35 | میانگین |
| 2.5- تهدیدهای دسترسی غیرمجاز از طریق کانالهای ارتباطی. | ||
| 2.5.1 تهدید "تحلیل ترافیک شبکه" با رهگیری اطلاعات منتقل شده از ISPD و دریافت شده از شبکه های خارجی: | ||
| 2.5.1.1. رهگیری از منطقه کنترل شده | 0,35 | میانگین |
| 2.5.1.2. رهگیری در منطقه کنترل شده توسط متجاوزان خارجی | 0,25 | کم |
| 2.5.1.3 رهگیری در منطقه کنترل شده توسط متجاوزین داخلی. | 0,25 | کم |
| 2.5.2 تهدیدهای اسکن با هدف شناسایی نوع یا انواع سیستم عاملهای مورد استفاده ، آدرسهای شبکه ایستگاههای کاری ISPD ، توپولوژی شبکه ، درگاهها و خدمات باز ، اتصالات باز و غیره. | 0,25 | کم |
| 2.5.3 تهدیدها برای شناسایی گذرواژه\u200cها از طریق شبکه | 0,35 | میانگین |
| 2.5.4 تهدیدهای مربوط به ایجاد یک مسیر شبکه کاذب | 0,25 | کم |
| 2.5.5 تهدیدات کلاهبرداری از یک شی مورد اعتماد در شبکه | 0,25 | کم |
| 2.5.6 تهدیدهای معرفی یک شیء دروغین چه در ISPDn و چه در شبکه های خارجی | 0,25 | کم |
| 2.5.7 - انکار تهدیدات خدمات | 0,25 | کم |
| 2.5.8 تهدید برای راه اندازی برنامه از راه دور | 0,35 | میانگین |
| 2.5.9 تهدیدهای معرفی بدافزار از طریق شبکه | 0,35 | میانگین |
جدول 16 - مستقل IC نوع III
| نوع خطرات امنیتی PD را تهدید می کند | خطر تحقق خطرپذیری (Y) | امکان اجرای |
| 1. خطر نشت از طریق کانال های فنی. | ||
| 1.1. تهدیدات نشت صوتی | 0,25 | کم |
| 1.2 تهدید درز اطلاعات اطلاعات گونه ها | 0,25 | کم |
| 1.3 تهدیدات نشت اطلاعات از طریق کانال های PEMIN | 0,25 | کم |
| 2. تهدیدهای دسترسی غیرمجاز به اطلاعات. | ||
| 2.1. تهدیدات تخریب ، سرقت سخت افزار ISPD از حاملان اطلاعات با دسترسی فیزیکی به عناصر ISPD | ||
| 2.1.1. سرقت کامپیوتر | 0,25 | کم |
| 2.1.2. سرقت رسانه ای | 0,25 | کم |
| 2.1.3. سرقت کلیدها و ویژگیهای دسترسی | 0,25 | کم |
| 2.1.4. سرقت ، اصلاح ، تخریب اطلاعات | 0,25 | کم |
| 2.1.5. خرابی گره های PC ، کانال های ارتباطی | 0,25 | کم |
| 2.1.6. دسترسی غیرمجاز به اطلاعات در حین نگهداری (تعمیر ، تخریب) گره های PC | 0,25 | کم |
| 2.1.7. خاموش کردن غیرمجاز از ویژگی های امنیتی | 0,25 | کم |
| 2.2. تهدیدات سرقت ، اصلاح غیرمجاز یا مسدود کردن اطلاعات به دلیل دسترسی غیرمجاز (دسترسی غیرمجاز) با استفاده از نرم افزار ، سخت افزار و نرم افزار (از جمله نرم افزار ریاضی). | ||
| 2.2.1. اقدامات بدافزار (ویروس) | 0,35 | میانگین |
| 2.2.2. ویژگی های اعلام نشده نرم افزار سیستم و نرم افزار برای پردازش داده های شخصی | 0,25 | کم |
| 2.2.3 نرم افزار غیر رسمی نصب کنید | 0,25 | کم |
| 2.3 تهدیدات مربوط به اقدامات عمدی کاربر و نقض امنیتی ISPDn و SZPDn در ترکیب آن به دلیل خرابی در نرم افزار و همچنین تهدیدات غیر انسان شناختی (خرابی تجهیزات به دلیل عناصر غیرقابل اطمینان ، خرابی برق) و طبیعی (اعتصاب رعد و برق ، آتش سوزی ، سیل و ...) و غیره) شخصیت. | ||
| 2.3.1. از دست دادن کلیدها و ویژگیهای دسترسی | 0,35 | میانگین |
| 2.3.2. اصلاح غیر عمدی (تخریب) اطلاعات توسط کارمندان | 0,25 | کم |
| 2.3.3. خاموش کردن غیر عمد از ویژگی های امنیتی | 0,25 | کم |
| 2.3.4. عدم موفقیت سخت افزار و نرم افزار | 0,25 | کم |
| 2.3.5. قطع برق | 0,25 | کم |
| 2.3.6. فاجعه | 0,25 | کم |
| 2.4 تهدید برای اقدامات عمدی توسط متجاوزین داخلی | ||
| 2.4.1. دسترسی به اطلاعات ، اصلاحات ، تخریب افرادی که اجازه پردازش آن را ندارند | 0,25 | کم |
| 2.4.2. افشای اطلاعات ، اصلاح ، تخریب توسط کارمندان مجاز برای پردازش آن | 0,35 | میانگین |
| 2.5- تهدیدهای دسترسی غیرمجاز از طریق کانالهای ارتباطی. | ||
| 2.5.1 تهدید "تحلیل ترافیک شبکه" با رهگیری اطلاعات منتقل شده از ISPD و دریافت شده از شبکه های خارجی: | ||
| 2.5.1.1. رهگیری از منطقه کنترل شده | 0,25 | کم |
| 2.5.1.2. رهگیری در منطقه کنترل شده توسط متجاوزان خارجی | 0,25 | کم |
| 2.5.1.3 رهگیری در منطقه کنترل شده توسط متجاوزین داخلی. | 0,25 | کم |
| 2.5.2 تهدیدهای اسکن با هدف شناسایی نوع یا انواع سیستم عاملهای مورد استفاده ، آدرسهای شبکه ایستگاههای کاری ISPD ، توپولوژی شبکه ، درگاهها و خدمات باز ، اتصالات باز و غیره. | 0,25 | کم |
| 2.5.3 تهدیدها برای شناسایی گذرواژه\u200cها از طریق شبکه | 0,25 | کم |
| 2.5.4 تهدیدهای مربوط به ایجاد یک مسیر شبکه کاذب | 0,25 | کم |
| 2.5.5 تهدیدات کلاهبرداری از یک شی مورد اعتماد در شبکه | 0,25 | کم |
| 2.5.6 تهدیدهای معرفی یک شیء دروغین چه در ISPDn و چه در شبکه های خارجی | 0,25 | کم |
| 2.5.7 - انکار تهدیدات خدمات | 0,25 | کم |
| 2.5.8 تهدید برای راه اندازی برنامه از راه دور | 0,25 | کم |
| 2.5.9 تهدیدهای معرفی بدافزار از طریق شبکه | 0,25 | کم |
جدول 17 - نوع IP IV مستقل
| نوع خطرات امنیتی PD را تهدید می کند | خطر تحقق خطرپذیری (Y) | امکان اجرای |
| 1. خطر نشت از طریق کانال های فنی. | ||
| 1.1. تهدیدات نشت صوتی | 0,25 | کم |
| 1.2 تهدید درز اطلاعات اطلاعات گونه ها | 0,25 | کم |
| 1.3 تهدیدات نشت اطلاعات از طریق کانال های PEMIN | 0,25 | کم |
| 2. تهدیدهای دسترسی غیرمجاز به اطلاعات. | ||
| 2.1. تهدیدات تخریب ، سرقت سخت افزار ISPD از حاملان اطلاعات با دسترسی فیزیکی به عناصر ISPD | ||
| 2.1.1. سرقت کامپیوتر | 0,25 | کم |
| 2.1.2. سرقت رسانه ای | 0,25 | کم |
| 2.1.3. سرقت کلیدها و ویژگیهای دسترسی | 0,25 | کم |
| 2.1.4. سرقت ، اصلاح ، تخریب اطلاعات | 0,25 | کم |
| 2.1.5. خرابی گره های PC ، کانال های ارتباطی | 0,25 | کم |
| 2.1.6. دسترسی غیرمجاز به اطلاعات در حین نگهداری (تعمیر ، تخریب) گره های PC | 0,25 | کم |
| 2.1.7. خاموش کردن غیرمجاز از ویژگی های امنیتی | 0,25 | کم |
| 2.2. تهدیدات سرقت ، اصلاح غیرمجاز یا مسدود کردن اطلاعات به دلیل دسترسی غیرمجاز (دسترسی غیرمجاز) با استفاده از نرم افزار ، سخت افزار و نرم افزار (از جمله نرم افزار ریاضی). | ||
| 2.2.1. اقدامات بدافزار (ویروس) | 0,35 | میانگین |
| 2.2.2. ویژگی های اعلام نشده نرم افزار سیستم و نرم افزار برای پردازش داده های شخصی | 0,25 | کم |
| 2.2.3 نرم افزار غیر رسمی نصب کنید | 0,25 | کم |
| 2.3 تهدیدات مربوط به اقدامات عمدی کاربر و نقض امنیتی ISPDn و SZPDn در ترکیب آن به دلیل خرابی در نرم افزار و همچنین تهدیدات غیر انسان شناختی (خرابی تجهیزات به دلیل عناصر غیرقابل اطمینان ، خرابی برق) و طبیعی (اعتصاب رعد و برق ، آتش سوزی ، سیل و ...) و غیره) شخصیت. | ||
| 2.3.1. از دست دادن کلیدها و ویژگیهای دسترسی | 0,35 | میانگین |
| 2.3.2. اصلاح غیر عمدی (تخریب) اطلاعات توسط کارمندان | 0,25 | کم |
| 2.3.3. خاموش کردن غیر عمد از ویژگی های امنیتی | 0,25 | کم |
| 2.3.4. عدم موفقیت سخت افزار و نرم افزار | 0,25 | کم |
| 2.3.5. قطع برق | 0,25 | کم |
| 2.3.6. فاجعه | 0,25 | کم |
| 2.4 تهدید برای اقدامات عمدی توسط متجاوزین داخلی | ||
| 2.4.1. دسترسی به اطلاعات ، اصلاحات ، تخریب افرادی که اجازه پردازش آن را ندارند | 0,25 | کم |
| 2.4.2. افشای اطلاعات ، اصلاح ، تخریب توسط کارمندان مجاز برای پردازش آن | 0,35 | میانگین |
| 2.5- تهدیدهای دسترسی غیرمجاز از طریق کانالهای ارتباطی. | ||
| 2.5.1 تهدید "تحلیل ترافیک شبکه" با رهگیری اطلاعات منتقل شده از ISPD و دریافت شده از شبکه های خارجی: | ||
| 2.5.1.1. رهگیری از منطقه کنترل شده | 0,35 | میانگین |
| 2.5.1.2. رهگیری در منطقه کنترل شده توسط متجاوزان خارجی | 0,25 | کم |
| 2.5.1.3 رهگیری در منطقه کنترل شده توسط متجاوزین داخلی. | 0,25 | کم |
| 2.5.2 تهدیدهای اسکن با هدف شناسایی نوع یا انواع سیستم عاملهای مورد استفاده ، آدرسهای شبکه ایستگاههای کاری ISPD ، توپولوژی شبکه ، درگاهها و خدمات باز ، اتصالات باز و غیره. | 0,25 | کم |
| 2.5.3 تهدیدها برای شناسایی گذرواژه\u200cها از طریق شبکه | 0,35 | میانگین |
| 2.5.4 تهدیدهای مربوط به ایجاد یک مسیر شبکه کاذب | 0,25 | کم |
| 2.5.5 تهدیدات کلاهبرداری از یک شی مورد اعتماد در شبکه | 0,25 | کم |
| 2.5.6 تهدیدهای معرفی یک شیء دروغین چه در ISPDn و چه در شبکه های خارجی | 0,25 | کم |
| 2.5.7 - انکار تهدیدات خدمات | 0,25 | کم |
| 2.5.8 تهدید برای راه اندازی برنامه از راه دور | 0,35 | میانگین |
| 2.5.9 تهدیدهای معرفی بدافزار از طریق شبکه | 0,35 | میانگین |
جدول 18 - IC مستقل IC نوع V
| نوع خطرات امنیتی PD را تهدید می کند | خطر تحقق خطرپذیری (Y) | امکان اجرای |
| 1. خطر نشت از طریق کانال های فنی. | ||
| 1.1. تهدیدات نشت صوتی | 0,25 | کم |
| 1.2 تهدید درز اطلاعات اطلاعات گونه ها | 0,25 | کم |
| 1.3 تهدیدات نشت اطلاعات از طریق کانال های PEMIN | 0,25 | کم |
| 2. تهدیدهای دسترسی غیرمجاز به اطلاعات. | ||
| 2.1. تهدیدات تخریب ، سرقت سخت افزار ISPD از حاملان اطلاعات با دسترسی فیزیکی به عناصر ISPD | ||
| 2.1.1. سرقت کامپیوتر | 0,25 | کم |
| 2.1.2. سرقت رسانه ای | 0,25 | کم |
| 2.1.3. سرقت کلیدها و ویژگیهای دسترسی | 0,25 | کم |
| 2.1.4. سرقت ، اصلاح ، تخریب اطلاعات | 0,25 | کم |
| 2.1.5. خرابی گره های PC ، کانال های ارتباطی | 0,25 | کم |
| 2.1.6. دسترسی غیرمجاز به اطلاعات در حین نگهداری (تعمیر ، تخریب) گره های PC | 0,25 | کم |
| 2.1.7. خاموش کردن غیرمجاز از ویژگی های امنیتی | 0,25 | کم |
| 2.2. تهدیدات سرقت ، اصلاح غیرمجاز یا مسدود کردن اطلاعات به دلیل دسترسی غیرمجاز (دسترسی غیرمجاز) با استفاده از نرم افزار ، سخت افزار و نرم افزار (از جمله نرم افزار ریاضی). | ||
| 2.2.1. اقدامات بدافزار (ویروس) | 0,35 | میانگین |
| 2.2.2. ویژگی های اعلام نشده نرم افزار سیستم و نرم افزار برای پردازش داده های شخصی | 0,25 | کم |
| 2.2.3 نرم افزار غیر رسمی نصب کنید | 0,25 | کم |
| 2.3 تهدیدات مربوط به اقدامات عمدی کاربر و نقض امنیتی ISPDn و SZPDn در ترکیب آن به دلیل خرابی در نرم افزار و همچنین تهدیدات غیر انسان شناختی (خرابی تجهیزات به دلیل عناصر غیرقابل اطمینان ، خرابی برق) و طبیعی (اعتصاب رعد و برق ، آتش سوزی ، سیل و ...) و غیره) شخصیت. | ||
| 2.3.1. از دست دادن کلیدها و ویژگیهای دسترسی | 0,35 | میانگین |
| 2.3.2. اصلاح غیر عمدی (تخریب) اطلاعات توسط کارمندان | 0,25 | کم |
| 2.3.3. خاموش کردن غیر عمد از ویژگی های امنیتی | 0,25 | کم |
| 2.3.4. عدم موفقیت سخت افزار و نرم افزار | 0,25 | کم |
| 2.3.5. قطع برق | 0,25 | کم |
| 2.3.6. فاجعه | 0,25 | کم |
| 2.4 تهدید برای اقدامات عمدی توسط متجاوزین داخلی | ||
| 2.4.1. دسترسی به اطلاعات ، اصلاحات ، تخریب افرادی که اجازه پردازش آن را ندارند | 0,25 | کم |
| 2.4.2. افشای اطلاعات ، اصلاح ، تخریب توسط کارمندان مجاز برای پردازش آن | 0,35 | میانگین |
| 2.5- تهدیدهای دسترسی غیرمجاز از طریق کانالهای ارتباطی. | ||
| 2.5.1 تهدید "تحلیل ترافیک شبکه" با رهگیری اطلاعات منتقل شده از ISPD و دریافت شده از شبکه های خارجی: | ||
| 2.5.1.1. رهگیری از منطقه کنترل شده | 0,25 | کم |
| 2.5.1.2. رهگیری در منطقه کنترل شده توسط متجاوزان خارجی | 0,25 | کم |
| 2.5.1.3 رهگیری در منطقه کنترل شده توسط متجاوزین داخلی. | 0,25 | کم |
| 2.5.2 تهدیدهای اسکن با هدف شناسایی نوع یا انواع سیستم عاملهای مورد استفاده ، آدرسهای شبکه ایستگاههای کاری ISPD ، توپولوژی شبکه ، درگاهها و خدمات باز ، اتصالات باز و غیره. | 0,25 | کم |
| 2.5.3 تهدیدها برای شناسایی گذرواژه\u200cها از طریق شبکه | 0,25 | کم |
| 2.5.4 تهدیدهای مربوط به ایجاد یک مسیر شبکه کاذب | 0,25 | کم |
| 2.5.5 تهدیدات کلاهبرداری از یک شی مورد اعتماد در شبکه | 0,25 | کم |
| 2.5.6 تهدیدهای معرفی یک شیء دروغین چه در ISPDn و چه در شبکه های خارجی | 0,25 | کم |
| 2.5.7 - انکار تهدیدات خدمات | 0,25 | کم |
| 2.5.8 تهدید برای راه اندازی برنامه از راه دور | 0,25 | کم |
| 2.5.9 تهدیدهای معرفی بدافزار از طریق شبکه | 0,25 | کم |
جدول 19 - آی سی مستقل از نوع VI
| نوع خطرات امنیتی PD را تهدید می کند | خطر تحقق خطرپذیری (Y) | امکان اجرای |
| 1. خطر نشت از طریق کانال های فنی. | ||
| 1.1. تهدیدات نشت صوتی | 0,25 | کم |
| 1.2 تهدید درز اطلاعات اطلاعات گونه ها | 0,25 | کم |
| 1.3 تهدیدات نشت اطلاعات از طریق کانال های PEMIN | 0,25 | کم |
| 2. تهدیدهای دسترسی غیرمجاز به اطلاعات. | ||
| 2.1. تهدیدات تخریب ، سرقت سخت افزار ISPD از حاملان اطلاعات با دسترسی فیزیکی به عناصر ISPD | ||
| 2.1.1. سرقت کامپیوتر | 0,25 | کم |
| 2.1.2. سرقت رسانه ای | 0,25 | کم |
| 2.1.3. سرقت کلیدها و ویژگیهای دسترسی | 0,25 | کم |
| 2.1.4. سرقت ، اصلاح ، تخریب اطلاعات | 0,25 | کم |
| 2.1.5. خرابی گره های PC ، کانال های ارتباطی | 0,25 | کم |
| 2.1.6. دسترسی غیرمجاز به اطلاعات در حین نگهداری (تعمیر ، تخریب) گره های PC | 0,25 | کم |
| 2.1.7. خاموش کردن غیرمجاز از ویژگی های امنیتی | 0,25 | کم |
| 2.2. تهدیدات سرقت ، اصلاح غیرمجاز یا مسدود کردن اطلاعات به دلیل دسترسی غیرمجاز (دسترسی غیرمجاز) با استفاده از نرم افزار ، سخت افزار و نرم افزار (از جمله نرم افزار ریاضی). | ||
| 2.2.1. اقدامات بدافزار (ویروس) | 0,35 | میانگین |
| 2.2.2. ویژگی های اعلام نشده نرم افزار سیستم و نرم افزار برای پردازش داده های شخصی | 0,25 | کم |
| 2.2.3 نرم افزار غیر رسمی نصب کنید | 0,25 | کم |
| 2.3 تهدیدات مربوط به اقدامات عمدی کاربر و نقض امنیتی ISPDn و SZPDn در ترکیب آن به دلیل خرابی در نرم افزار و همچنین تهدیدات غیر انسان شناختی (خرابی تجهیزات به دلیل عناصر غیرقابل اطمینان ، خرابی برق) و طبیعی (اعتصاب رعد و برق ، آتش سوزی ، سیل و ...) و غیره) شخصیت. | ||
| 2.3.1. از دست دادن کلیدها و ویژگیهای دسترسی | 0,35 | میانگین |
| 2.3.2. اصلاح غیر عمدی (تخریب) اطلاعات توسط کارمندان | 0,25 | کم |
| 2.3.3. خاموش کردن غیر عمد از ویژگی های امنیتی | 0,25 | کم |
| 2.3.4. عدم موفقیت سخت افزار و نرم افزار | 0,25 | کم |
| 2.3.5. قطع برق | 0,25 | کم |
| 2.3.6. فاجعه | 0,25 | کم |
| 2.4 تهدید برای اقدامات عمدی توسط متجاوزین داخلی | ||
| 2.4.1. دسترسی به اطلاعات ، اصلاحات ، تخریب افرادی که اجازه پردازش آن را ندارند | 0,25 | کم |
| 2.4.2. افشای اطلاعات ، اصلاح ، تخریب توسط کارمندان مجاز برای پردازش آن | 0,35 | میانگین |
| 2.5- تهدیدهای دسترسی غیرمجاز از طریق کانالهای ارتباطی. | ||
| 2.5.1 تهدید "تحلیل ترافیک شبکه" با رهگیری اطلاعات منتقل شده از ISPD و دریافت شده از شبکه های خارجی: | ||
| 2.5.1.1. رهگیری از منطقه کنترل شده | 0,35 | میانگین |
| 2.5.1.2. رهگیری در منطقه کنترل شده توسط متجاوزان خارجی | 0,25 | کم |
| 2.5.1.3 رهگیری در منطقه کنترل شده توسط متجاوزین داخلی. | 0,25 | کم |
| 2.5.2 تهدیدهای اسکن با هدف شناسایی نوع یا انواع سیستم عاملهای مورد استفاده ، آدرسهای شبکه ایستگاههای کاری ISPD ، توپولوژی شبکه ، درگاهها و خدمات باز ، اتصالات باز و غیره. | 0,25 | کم |
| 2.5.3 تهدیدها برای شناسایی گذرواژه\u200cها از طریق شبکه | 0,35 | میانگین |
| 2.5.4 تهدیدهای مربوط به ایجاد یک مسیر شبکه کاذب | 0,25 | کم |
| 2.5.5 تهدیدات کلاهبرداری از یک شی مورد اعتماد در شبکه | 0,25 | کم |
| 2.5.6 تهدیدهای معرفی یک شیء دروغین چه در ISPDn و چه در شبکه های خارجی | 0,25 | کم |
| 2.5.7 - انکار تهدیدات خدمات | 0,25 | کم |
| 2.5.8 تهدید برای راه اندازی برنامه از راه دور | 0,35 | میانگین |
| 2.5.9 تهدیدهای معرفی بدافزار از طریق شبکه | 0,35 | میانگین |
جدول 20 - نوع I LIS
این تهدید در تمایل به اجرای برنامه های مخرب مختلفی است که قبلاً بر روی میزبان ISPD معرفی شده اند: برنامه های نشانه گذاری ، ویروس ها ، "جاسوسان شبکه" که هدف اصلی آن نقض محرمانه بودن ، یکپارچگی ، دسترسی به اطلاعات و کنترل کامل بر عملکرد میزبان است. علاوه بر این ، می توان با راه اندازی غیرمجاز برنامه های کاربر برای دریافت غیر مجاز داده های لازم برای مزاحم ، شروع فرآیندهای کنترل شده توسط برنامه برنامه و غیره را آغاز کرد.
سه طبقه زیر از این تهدیدات متمایز می شوند:
توزیع پرونده های حاوی کد اجرایی غیر مجاز؛
راه اندازی برنامه از راه دور با سرریز بافر برنامه سرور؛
راه اندازی از راه دور برنامه با استفاده از قابلیت های کنترل از راه دور سیستم ارائه شده توسط نرم افزار پنهان و بوک مارک های سخت افزار ، یا به صورت منظم مورد استفاده قرار می گیرد.
تهدیدهای معمولی اولین این زیرمجموعه ها بر اساس فعال شدن پرونده های توزیع شده در صورت دسترسی تصادفی به آنها است. نمونه هایی از این قبیل پرونده ها عبارتند از: پرونده هایی که کد اجرایی را در قالب اسناد حاوی کد اجرایی در قالب عناصر ActiveX ، اپلت های جاوا ، اسکریپت های تفسیری (به عنوان مثال متون JavaScript) دارند. فایل های حاوی کد برنامه های اجرایی از طریق پست الکترونیکی ، انتقال فایل ، خدمات سیستم فایل شبکه می توان برای توزیع فایلها استفاده کرد.
هنگامی که از تهدیدهای زیر طبقه دوم استفاده می شود ، از معایب برنامه هایی که خدمات شبکه را پیاده سازی می کنند (بخصوص ، عدم کنترل سرریز بافر) استفاده می شود. با تنظیم رجیستری های سیستم ، گاهی اوقات می توان پردازنده را پس از قطع وقوع ناشی از سرریز بافر برای اجرای کد موجود در خارج از بافر ، تغییر داد. نمونه ای از تحقق چنین تهدیدی معرفی معروف "ویروس موریس" است.
در صورت تهدیدهای زیر کلاس سوم ، مهاجم از قابلیت کنترل از راه دور سیستم ارائه شده توسط اجزای مخفی استفاده می کند (به عنوان مثال برنامه های Trojan مانند Back. Orifice ، Net Bus) یا وسیله ای منظم برای مدیریت و مدیریت شبکه های رایانه ای (Landesk Management Suite ، Managementwise ، Back Orifice و غیره) پ.). در نتیجه استفاده از آنها می توان به کنترل از راه دور روی ایستگاه روی شبکه دست یافت.
اگر PD های فرآوری شده به مراکز عمومی و بین المللی در موسسه ارسال نشود ، آنتی ویروس نصب شده باشد ، احتمالاً احتمال تهدید تحقق یافته است. بعید نیست.
در همه موارد دیگر ، احتمال تحقق تهدید ارزیابی می شود.
لیستی کلی از احتمال تهدید برای انواع مختلف ISDN در جدول 12 ارائه شده است.
جدول 12
|
ISPDn را تایپ کنید |
احتمال تهدید |
ضریب احتمال اجرای تهدید |
|
نوع IP مستقل |
بعید | |
|
مستقل IC نوع II | ||
|
مستقل IC نوع III |
بعید | |
|
خودكار IP نوع IV | ||
|
مستقل IC Vtype |
بعید | |
|
آی سی مستقل از نوع VI | ||
|
نوع LIS |
بعید | |
|
LIS IItype | ||
|
توزیع نوع IP |
بعید | |
|
توزیع IP II |
برنامه های مخرب می توانند به صورت عمدی و تصادفی به نرم افزاری که در ISPD در طول توسعه ، نگهداری ، اصلاح و پیکربندی آن استفاده می شود ، معرفی شوند. علاوه بر این ، برنامه های مخرب می توانند در حین کار ISDN از رسانه های ذخیره سازی خارجی یا از طریق تعامل شبکه در نتیجه دسترسی غیرمجاز یا به طور تصادفی توسط کاربران ISDN معرفی شوند.
برنامه های بدافزارهای مدرن مبتنی بر سوءاستفاده از آسیب پذیری های انواع نرم افزارها (سیستم ، عمومی ، کاربرد) و فن آوری های مختلف شبکه ، دارای طیف گسترده ای از قابلیت های مخرب (از تحقیقات غیرمجاز پارامترهای ISPD بدون دخالت در عملکرد ISPD ، تا از بین بردن نرم افزار PDN و ISPD) می باشند و می توانند در انواع نرم افزار (سیستم ، برنامه ، در درایور سخت افزار و غیره) عمل کنید.
وجود بدافزار در ISPD ممکن است باعث پنهان شدن کانالها ، از جمله غیر سنتی ، دسترسی به اطلاعاتی شود که امکان باز کردن ، دور زدن یا مسدود کردن مکانیسمهای امنیتی پیش بینی شده در سیستم ، از جمله رمز عبور و محافظت از رمزنگاری را می دهد.
انواع اصلی بدافزارها عبارتند از:
· نشانک های نرم افزار؛
· ویروس های نرم افزاری کلاسیک (رایانه ای).
· پخش بدافزار از طریق شبکه (کرمهای شبکه)
· سایر برنامه های مخرب که برای دستیابی به دسترسی غیرمجاز طراحی شده اند.
نشانک های نرم افزار شامل برنامه ها ، قطعات کد و دستورالعمل هایی هستند که ویژگی های نرم افزار اعلام نشده را تشکیل می دهند. برنامه های مخرب می توانند از یک نوع به نوع دیگر تغییر کنند ، به عنوان مثال ، یک نشانک برنامه می تواند ویروس برنامه ایجاد کند ، که به نوبه خود ، یک بار در شرایط شبکه ، می تواند کرم شبکه یا برنامه مخرب دیگری را ایجاد کند که برای انجام دسترسی غیرمجاز طراحی شده است.
شرح مختصری از بدافزار اصلی به شرح زیر است. ویروس های بوت خود را یا به بخش بوت دیسک (بخش بوت) یا بخش حاوی سیستم بارگیر سیستم (Master Boot Record) می نویسند ، یا نشانگر را به بخش boot فعال تغییر می دهند. آنها هنگام بوت شدن از دیسک آلوده در حافظه کامپیوتر تعبیه شده اند. در این حالت ، لودر سیستم مطالب بخش اول دیسک را که بارگیری از آن ساخته شده است ، می خواند ، اطلاعات خوانده شده را در حافظه قرار می دهد و کنترل آن را به آن منتقل می کند (یعنی ویروس). پس از آن ، ویروس شروع به اجرا می کند ، که ، به طور معمول ، باعث کاهش مقدار حافظه آزاد می شود ، کدهای آن را در فضای آزاد کپی کرده و ادامه آن (در صورت وجود) از دیسک را می خواند ، بردارهای قطع کننده لازم (معمولاً INT 13H) را خوانده ، اصل را در حافظه می خواند. بخش بوت و کنترل را به آن منتقل می کند.
در آینده ، ویروس boot به همان شیوه ای مانند ویروس فایل رفتار می کند: تماس های سیستم عامل را به دیسک ها منتقل می کند و آنها را آلوده می کند ، بسته به برخی شرایط انجام اقدامات مخرب ، باعث ایجاد جلوه های صوتی یا جلوه های ویدیویی می شود.
عمده ترین اقدامات مخرب انجام شده توسط این ویروس ها عبارتند از:
· تخریب اطلاعات در بخش های فلاپی دیسک ها و دیسک های سخت؛
· عدم امکان بارگذاری سیستم عامل (رایانه "یخ می زند")
· فساد کد بوت لودر
· قالب بندی دیسک های فلاپی یا درایوهای منطقی هارد دیسک.
· مسدود کردن دسترسی به درگاه های COM و LPT.
· جایگزینی کاراکترها هنگام چاپ متن.
تکان دادن صفحه نمایش؛
· برچسب دیسک یا دیسک را تغییر دهید.
· ایجاد خوشه های شبه شکست خورده.
· ایجاد جلوه های صوتی و (یا) تصویری (به عنوان مثال ، سقوط)
حروف روی صفحه نمایش)؛
· فساد پرونده های داده؛
· نمایش انواع پیام ها؛
· غیرفعال کردن دستگاه های جانبی (به عنوان مثال ، صفحه کلید)
· تغییر پالت صفحه نمایش.
· پر کردن صفحه نمایش با کاراکترهای خارجی یا تصاویر.
· خاموش کردن صفحه نمایش و ورودی آماده به کار از صفحه کلید.
رمزگذاری بخش هارد دیسک.
· تخریب انتخابی کاراکترهایی که هنگام تایپ از صفحه کلید روی صفحه نمایش داده می شوند.
· کاهش مقدار رم.
· تماس با محتوای صفحه چاپ
· مسدود کردن نوشتن بر روی دیسک.
· از بین بردن جدول پارتیشن (جدول پارتیشن دیسک) ، پس از آن کامپیوتر فقط از یک فلاپی قابل بوت شدن است.
· مسدود کردن راه اندازی پرونده های اجرایی.
مسدود کردن دسترسی به هارد دیسک.
|
شکل 3. طبقه بندی ویروس های نرم افزاری و کرم های شبکه
اکثر ویروس های بوت خود را بر روی دیسک های فلاپی بازنویسی می کنند.
روش عفونت "رونویسی" ساده ترین است: ویروس کد خود را به جای کد پرونده آلوده می نویسد و محتویات آن را از بین می برد. به طور طبیعی ، پرونده کار را متوقف می کند و بازیابی نمی شود. این ویروس ها خیلی سریع خود را تشخیص می دهند ، زیرا سیستم عامل و برنامه های کاربردی خیلی سریع متوقف می شوند.
رده همراهان شامل ویروس هایی است که پرونده های آلوده را اصلاح نمی کنند. الگوریتم این ویروس ها این است که یک پرونده مضاعف برای پرونده آلوده ایجاد می شود و با راه اندازی پرونده آلوده ، این دوتایی ، یعنی ویروس کنترل می شود. رایج ترین ویروس های همراه که از ویژگی DOS استفاده می کنند اولین کسانی هستند که اگر دو پرونده با نام مشابه در همان فهرست وجود داشته باشند اما با پسوندهای نام متفاوت - .COM و.EXE اولین فایلهایی را با پسوند .COM اجرا می کنند. چنین ویروس ها برای ماهواره هایی برای پرونده های EXE ایجاد می کنند که دارای همان نام هستند اما با پسوند .COM ، به عنوان مثال ، پرونده XCOPY.COM برای پرونده XCOPY.EXE ایجاد می شود. ویروس به پرونده COM نوشته شده است و به هیچ وجه پرونده EXE را تغییر نمی دهد. با راه اندازی چنین پرونده ای ، DOS اولین کسی خواهد بود که پرونده COM را کشف و اجرا می کند ، یعنی ویروسی که پس از آن پرونده EXE را راه اندازی می کند. گروه دوم شامل ویروس هایی است که در هنگام آلوده شدن ، فایل را به نام دیگری تغییر نام می دهند ، آن را به یاد بیاورید (برای راه اندازی بعدی پرونده میزبان) ، و کد آنها را بر روی دیسک بنام پرونده آلوده بنویسید. به عنوان مثال ، پرونده XCOPY.EXE به XCOPY.EXD تغییر نام داده می شود و ویروس تحت نام XCOPY.EXE نوشته شده است. در هنگام راه اندازی ، کنترل کد ویروس را دریافت می کند ، که سپس XCOPY اصلی را که با نام XCOPY.EXD ذخیره شده است ، راه اندازی می کند. واقعیت جالب این است که به نظر می رسد این روش بر روی تمام سیستم عامل ها کار می کند. گروه سوم شامل ویروس های به اصطلاح "مسیر همراه" است. آنها یا کد خود را با نام پرونده آلوده می نویسند ، اما یک سطح بالاتر در مسیرهای تعیین شده (DOS ، بنابراین اولین کسی خواهد بود که پرونده ویروس را شناسایی و راه اندازی می کند) ، یا پرونده قربانی را به عنوان یک زیر مجموعه فوق در بالا و غیره انتقال می دهد.
ممکن است انواع دیگری از ویروسهای همراه وجود داشته باشد که از ایده های اصلی یا سایر ویژگی های سیستم عامل های دیگر استفاده می کنند.
کرم های پرونده (کرم) به یک معنا نوعی ویروس همراه هستند ، اما به هیچ وجه حضور آنها را با هیچ پرونده اجرایی مرتبط نمی کنند. هنگام انتشار ، آنها فقط به امید اینکه این نسخه های جدید توسط کاربر راه اندازی شود ، کدهای خود را در هر دایرکتوری دیسک کپی می کنند. بعضی اوقات این ویروس ها به منظور فشار آوردن کاربر برای شروع کپی - به عنوان مثال ، INSTALL.EXE یا WINSTART.BAT ، نام های "ویژه" خود را به آنها می دهند. ویروس های کرم وجود دارد که از ترفندهای نسبتاً غیرمعمول استفاده می کنند ، برای مثال ، نوشتن نسخه های خود را به بایگانی (ARJ ، ZIP و سایر موارد). برخی از ویروس ها دستور راه اندازی یک فایل آلوده را در پرونده های .bat می نویسند. کرمهای پرونده نباید با کرمهای شبکه اشتباه گرفته شوند. اولی فقط از توابع پرونده هر سیستم عامل استفاده می کند ، در حالی که دومی برای انتشار خود از پروتکل های شبکه استفاده می کنند.
ویروس های پیوند ، مانند ویروس های همراه ، محتوای فیزیکی پرونده ها را تغییر نمی دهند ، با این حال ، هنگامی که یک پرونده آلوده راه اندازی می شود ، آنها سیستم عامل را مجبور به اجرای کد آن می کنند. آنها با اصلاح زمینه های لازم سیستم فایل ، به این هدف می رسند.
ویروس هایی که به کتابخانه های کامپایلر ، ماژول های اشیاء و کد منبع برنامه آلوده می شوند ، کاملاً عجیب و غریب و عملاً غیر معمول هستند. ویروس های آلوده به فایل های OBJ و LIB کدهای خود را در قالب یک ماژول شی یا کتابخانه می نویسند. بنابراین ، پرونده آلوده قابل اجرا نیست و قادر به گسترش بیشتر ویروس در وضعیت فعلی خود نیست. حامل ویروس "زنده" به پرونده COM یا EXE تبدیل می شود.
پس از به دست آوردن کنترل ، یک ویروس پرونده اقدامات کلی زیر را انجام می دهد:
· رم را برای نسخه آن بررسی کرده و آلوده می کند
حافظه رایانه ، در صورت یافتن نسخه ای از ویروس (در صورت وجود ویروس ساکن) ، با اسکن درخت فهرست درایوهای منطقی ، پرونده های ضد عفونی شده را در فهرست اصلی و (یا) ریشه جستجو می کنید ، و سپس پرونده های شناسایی شده را آلوده می کنید.
· عملکردهای اضافی (در صورت وجود) را انجام می دهد: مخرب
اقدامات ، جلوه های گرافیکی یا صدا و غیره (عملکردهای اضافی ویروس ساکن بسته به زمان فعلی ، پیکربندی سیستم ، پیشخوان های داخلی ویروس یا سایر شرایط ، می تواند مدتی پس از فعال سازی فراخوانی شود ، در این حالت ، هنگام فعال سازی ، ویروس وضعیت ساعت سیستم را پردازش می کند ، شمارنده های خاص خود را تنظیم می کند و غیره.)؛
· کنترل را به برنامه اصلی (در صورت وجود) برمی گرداند.
لازم به ذکر است هرچه ویروس سریعتر شیوع پیدا کند ، احتمال بروز همه گیر این ویروس بیشتر می شود ، ویروس کندتر کندتر می شود ، تشخیص آن دشوارتر خواهد بود (اگر البته این ویروس ناشناخته باشد). ویروس های غیر مقیم اغلب "کند" هستند - بیشتر آنها هنگام راه اندازی ، یک یا دو یا سه پرونده را آلوده می کنند و زمان سیل شدن کامپیوتر را قبل از شروع برنامه آنتی ویروس ندارند (یا هنگامی که نسخه جدیدی از آنتی ویروس پیکربندی شده برای این ویروس ظاهر می شود). البته ویروس های "سریع" غیر مقیم وجود دارد که در هنگام راه اندازی ، به جستجوی و آلوده کردن کلیه پرونده های اجرایی می پردازند ، با این حال چنین ویروس ها بسیار قابل توجه هستند: وقتی که هر پرونده آلوده راه اندازی شد ، رایانه بطور فعال با برخی از (گاهی اوقات بسیار طولانی) با هارد دیسک کار می کند ، که این ویروس را برطرف می کند. سرعت انتشار (عفونت) ویروس های مقیم معمولاً بیشتر از ویروس های غیر مقیم است - در هنگام دسترسی پرونده ها را آلوده می کنند. در نتیجه ، تمام یا تقریباً تمام پرونده هایی که دائماً در کار استفاده می شوند ، بر روی دیسک آلوده می شوند. میزان انتشار (عفونت) ویروس های پرونده رزیدنت که فقط هنگام راه اندازی مجدد پرونده ها به پرونده ها آلوده می شوند ، از ویروس هایی که به فایل ها آلوده می شوند کمتر است و در هنگام باز کردن ، تغییر نام ، تغییر صفات پرونده و غیره.
بنابراین ، عمده ترین اقدامات تخریبی که توسط ویروس های پرونده انجام می شود ، با شکست دادن پرونده ها (معمولاً پرونده های اجرایی یا داده ها) ، راه اندازی غیرمجاز دستورات مختلف (از جمله قالب بندی ، تخریب ، کپی و غیره) ، تغییر جدول بردارهای قطع و ... همراه است. در همان زمان ، بسیاری از اقدامات مخرب مشابه اقدامات نشان داده شده برای ویروس های بوت انجام می شود.
ویروس های کلان برنامه هایی به زبان ها (زبان های کلان) هستند که در برخی از سیستم های پردازش داده ها (ویرایشگر متن ، صفحه گسترده و غیره) تعبیه شده اند. برای تولید مثل آنها ، این ویروس ها از قابلیت های زبان های کلان استفاده می کنند و به کمک آنها ، خود را از یک پرونده آلوده (سند یا جدول) به دیگران منتقل می کنند. رایج ترین ویروس های ماکرو برای بسته برنامه Microsoft Office.
برای وجود ویروس ها در یک سیستم خاص (ویرایشگر) ، لازم است یک زبان کلان با ویژگی های زیر در سیستم ایجاد شود:
1) اتصال برنامه به زبان کلان به یک پرونده خاص.
2) کپی کردن برنامه های کلان از یک پرونده به پرونده دیگر؛
3) به دست آوردن کنترل برنامه کلان بدون دخالت کاربر (ماکروهای اتوماتیک یا استاندارد).
این شرایط توسط برنامه های کاربردی Microsoft Word ، Excel و Microsoft Access تأمین می شود. آنها حاوی زبانهای کلان هستند: Word Basic ، ویژوال بیسیک برای برنامه های کاربردی. که در آن:
1) برنامه های کلان به یک پرونده خاص گره خورده و یا درون پرونده هستند.
2) زبان کلان به شما امکان کپی کردن فایل ها یا انتقال برنامه های کلان به پرونده های سرویس سیستم و فایلهای قابل ویرایش را می دهد.
3) هنگام کار با یک پرونده تحت شرایط خاص (افتتاح ، بسته شدن و غیره) به برنامه های کلان (در صورت وجود) گفته می شود که به روش خاصی تعریف شده اند یا دارای اسامی استاندارد هستند.
این ویژگی از زبان های کلان برای پردازش خودکار داده ها در سازمان های بزرگ یا در شبکه های جهانی طراحی شده است و به شما امکان می دهد به اصطلاح "مدیریت اسناد خودکار" را سازماندهی کنید. از طرف دیگر ، قابلیت های کلان زبان اینگونه سیستم ها به ویروس امکان انتقال کد خود را به پرونده های دیگر و در نتیجه آنها را آلوده می کند.
اکثر ویروس های کلان نه تنها در زمان باز شدن (بسته شدن) پرونده ، بلکه تا زمانی که خود ویرایشگر فعال باشد ، فعال هستند. آنها شامل تمام عملکردهای خود به صورت ماکروهای استاندارد Word / Excel / Office هستند. با این وجود ویروس هایی وجود دارند که از ترفندهایی برای مخفی کردن کد خود و ذخیره کد آنها به صورت غیر ماکرو استفاده می کنند. سه ترفند مشابه شناخته شده است ، همه آنها از توانایی ماکرو در ایجاد ، ویرایش و اجرای سایر ماکروها استفاده می کنند. به طور معمول ، این ویروس ها دارای یک لودر کوچک ماکرو (گاهی پلی مورفیک) ماکرو ویروس هستند که ویرایشگر ماکرو داخلی را می نامند ، یک ماکرو جدید ایجاد می کنند ، آن را با کد ویروس اصلی جمع می کنند ، آن را اجرا می کنند و سپس ، به طور معمول ، آن را از بین می برد (برای پنهان کردن اثری از وجود ویروس). کد اصلی این ویروس ها یا در خود ماکرو ویروس به صورت رشته های متن (گاهی رمزگذاری شده) موجود است ، یا در ناحیه متغیر سند ذخیره می شود.
ویروس های شبکه شامل ویروس هایی هستند که بطور فعال از پروتکل ها و قابلیت های شبکه های محلی و جهانی برای توزیع آنها استفاده می کنند. اصل اساسی ویروس شبکه توانایی انتقال مستقل کد آن به سرور از راه دور یا ایستگاه کاری است. در عین حال ، ویروس های شبکه کامل "توانایی اجرای کد خود را بر روی رایانه از راه دور یا حداقل" فشار "برای راه اندازی یک فایل آلوده را دارند.
برنامه های مخرب که اجرای دسترسی غیرمجاز را تضمین می کنند عبارتند از:
· برنامه های ترک و رمز عبور رمز عبور؛
· برنامه هایی که تهدیدها را پیاده سازی می کنند.
· برنامه هایی که نشان دهنده استفاده از قابلیت های اعلام نشده نرم افزار و نرم افزار سخت افزاری ISPDn است.
· ژنراتورهای ویروس رایانه ای.
· برنامه هایی که آسیب پذیری های امنیتی را نشان می دهد
اطلاعات و غیره
به دلیل افزایش پیچیدگی و تنوع نرم افزار ، تعداد برنامه های مخرب به سرعت در حال رشد است. امروزه بیش از 120 هزار امضای ویروس رایانه ای شناخته شده است. با این حال ، همه آنها یک تهدید واقعی نیستند. در بسیاری از موارد ، از بین بردن آسیب پذیری ها در سیستم یا نرم افزار کاربردی باعث شده است که تعدادی از برنامه های مخرب دیگر قادر به نفوذ به آنها نباشند. اغلب خطر اصلی بدافزارهای جدید است.
طبقه بندی متخلفین
براساس عضویت آنها در ISPD ، همه متخلفین به دو گروه تقسیم می شوند:
متخلفین خارجی - افرادی که حق ندارند در منطقه کنترل شده ای که تجهیزات ISPDn در آن قرار دارد بمانند.
متخلفین داخلی - اشخاصی که حق دارند در منطقه کنترل شده ای که تجهیزات ISPDn در آن قرار دارد بمانند.
متجاوز خارجی
ما به عنوان یک متخلف امنیتی امنیت اطلاعات ، متخلف را در نظر می گیریم که دسترسی مستقیم به وسایل و منابع فنی سیستم واقع در منطقه کنترل شده ندارد.
فرض بر این است که یک متجاوز خارجی نمی تواند از طریق کانال های نشت فنی ، اطلاعات محافظت شده را تحت تأثیر قرار دهد ، زیرا مقدار اطلاعات ذخیره شده و پردازش شده در ISPD برای ایجاد انگیزه احتمالی یک متخلف خارجی برای انجام اقدامات با هدف نشت اطلاعات از طریق کانال های نشت فنی کافی نیست.
فرض بر این است که یک متجاوز خارجی فقط می تواند در حین انتقال از طریق کانال های ارتباطی بر اطلاعات محافظت شده تأثیر بگذارد.
متجاوز
قابلیت های متخلف داخلی اساساً به عوامل محدود کننده ای که در منطقه کنترل شده فعالیت می کنند ، بستگی دارد که اصلی ترین آنها اجرای طیف وسیعی از اقدامات سازمانی و فنی از جمله انتخاب ، قرارگیری و ارائه آموزش های حرفه ای بالا ، ورود افراد به مناطق کنترل شده و کنترل نظم است. انجام کارهایی با هدف جلوگیری و سرکوب دسترسی غیرمجاز.
سیستم کنترل دسترسی ISPDn سیستم کنترل دسترسی ISPDn از تمایز حقوق کاربران برای دسترسی به اطلاعات ، نرم افزارها ، سخت افزارها و سایر منابع ISPDn مطابق با سیاست امنیتی مصوب (قوانین) استفاده می کند. نقض کنندگان داخلی ممکن است شامل (جدول) باشند:
سرپرستان زیر سیستم های خاص یا پایگاه های داده ISPD (دسته دوم).
کاربرانی که خارج از یک بلندگو خاص هستند (دسته IV).
افرادی که توانایی دسترسی به سیستم انتقال داده را دارند (دسته V).
کارمندان HCI که دسترسی به اهداف رسمی را به محلی که عناصر ISPD در آن واقع شده اند ، اجازه داده اند ، اما حق دسترسی به آنها را ندارند (دسته VI).
شرکت کنندگان (خدمات امنیتی ، مهندسی و فنی و غیره) (دسته VII)؛
پرسنل مجاز توسعه دهندگان ISPDN ، که به صورت قراردادی دارای حق نگهداری و اصلاح مؤلفه های ISPDn (دسته VIII) هستند.
به افراد رده های I و II وظایف اجرای نرم افزار و سخت افزار و پایگاه داده های ISPD برای یکپارچه سازی و اطمینان از تعامل زیر سیستم های مختلفی که ISPD را تشکیل می دهند ، اختصاص داده شده است. سرپرستان می توانند با استفاده از توانایی دسترسی مستقیم به اطلاعات محافظت شده پردازش شده و ذخیره شده در ISPD ، و همچنین سخت افزار و نرم افزار ISPD ، از جمله وسایل حفاظت مورد استفاده در AS های خاص ، مطابق با مرجع اداری ایجاد شده برای آنها ، تهدیدهای IS را به طور بالقوه عملی کنند.
این افراد به خوبی با الگوریتم های اساسی ، پروتکل ها ، پیاده سازی و استفاده در زیر سیستم های خاص و ISPD به عنوان یک کل ، و همچنین با اصول کاربردی و مفاهیم امنیتی آشنا هستند.
پیشنهاد می شود که آنها بتوانند از آنها استفاده کنند تجهیزات استاندارد یا برای شناسایی آسیب پذیری یا اجرای تهدیدات IS. این تجهیزات می تواند بخشی از وسایل معمولی باشد یا به راحتی می توان آن را بدست آورد (برای مثال ، نرم افزاری که از منابع خارجی در دسترس عموم است).
علاوه بر این ، فرض بر این است که این افراد می توانند داشته باشند تجهیزات تخصصی.
با توجه به نقش استثنایی آنها در ISPD ، دسته بندی اشخاص دسته های I و II باید برای انتخاب ، اشتغال ، قرار ملاقات و نظارت بر انجام وظایف عملکردی ، مشمول مجموعه اقدامات ویژه سازمانی و رژیم شوند.
فرض بر این است که فقط وکلا در دسته های اول و دوم گنجانده می شوند و بنابراین این افراد از لیست افراد متخلف احتمالی خارج می شوند.
فرض بر این است که اشخاص دسته III-VIII احتمالاً مجرم هستند.
فرصت های یک متجاوز داخلی به میزان قابل توجهی بستگی دارد
از فعالیت در منطقه کنترل شده
اقدامات حفاظتی سازمانی و فنی ، از جمله پذیرش افراد به PD و کنترل رویه کار.
نقض کنندگان بالقوه داخلی بسته به روش دسترسی و حق دسترسی به PD به هشت دسته تقسیم می شوند.
این مقاله به تجزیه و تحلیل فن آوری های مدرن که تهدیدی برای امنیت رایانه است و روند اصلی توسعه بدافزارها در سال 2006 اختصاص یافته است.
روندهای مخرب معمولی
در سال 2006 ، نویسنده 49 697 انواع بدافزار منحصر به فرد را کشف و تجزیه و تحلیل کرد که 47907 آن متعلق به خانواده های اصلی است. بر اساس نتایج حاصل از تجزیه و تحلیل آنها ، یک نمودار ساخته شده است که درصد بدافزارها را توسط خانواده در هر سال منعکس می کند (شکل 1).
شکل. 1. درصد نمونه ITW توسط خانواده
همانطور که از نمودار می بینید ، 37٪ از کل برنامه های مورد بررسی بدافزارهایی مانند Trojan-Downloader هستند. این روند پایداری است که از سال 2005 ردیابی شده است و با این واقعیت همراه است که Trojan-Downloader برای نصب برنامه های مخرب ، به روزرسانی نسخه های آنها و در صورت حذف آنتی ویروس مورد استفاده قرار می گیرد. بیشتر موارد مورد بررسی در مورد آسیب رایانه توسط بدافزارها مستلزم راه اندازی Trojan-Downloader است که دلیل آن استفاده از روش های بهره برداری یا مهندسی اجتماعی است. رایج ترین کرم ها از طریق پست و شبکه ، انواع مختلف Trojan و برنامه های کلاس Dialer هستند.
تجزیه و تحلیل آماری از پویایی تشخیص نمونه ITW (در Wild) نشان می دهد که توسعه دهندگان بدافزارها برای مقابله با اسکنرهای امضاء از فناوری جدید استفاده کرده و استفاده کرده اند. روش شناسی آن بسیار ساده است و شامل این واقعیت است که توسعه دهنده صدها نوع از همان بدافزار را در مدت زمان کوتاهی ایجاد می کند. ساده ترین روش ها برای به دست آوردن گزینه های مختلف به شرح زیر است:
- بسته بندی مجدد توسط بسترها و کریپتورهای مختلف - می تواند به صورت دوره ای یا در زمان درخواست پرونده انجام شود ، مجموعه ای از بسته ها و پارامترهای آنها می توانند بطور تصادفی متفاوت باشند. نویسندگان بدافزار غالباً از بسترهای اصلاح شده و کریپتورهای اصلاح شده استفاده می کنند ، که بررسی آنها دشوار است.
- جبران مجدد پرونده با تغییرات کافی برای تغییر امضاهای پرونده که توسط آن شناسایی می شود.
- قرار دادن یک فایل مخرب در یک بسته نصب که با استفاده از نصب کننده هایی مانند NSIS (Scriptable Installation System) ایجاد شده است. وجود کد منبع باز نصاب به شما امکان می دهد تا کمی آن را اصلاح کنید ، این امر باعث می شود که بسته بندی و تجزیه و تحلیل خودکار در حین اسکن ضد ویروس غیرممکن شود.
این روش ها از دیرباز شناخته شده بوده اند و می توانند در ترکیب های مختلفی مورد استفاده قرار گیرند ، که به نویسنده بدافزار امکان می دهد بدون استفاده از روش های کلاسیک چند شکل ، به راحتی صدها نوع از همان برنامه را ایجاد کند. این را می توان در مثال Trojan-Downloader مشاهده کرد. Win32.Zlob. آمار یافته های وی را در طول 40 روز گذشته در نظر بگیرید (شکل 2).
شکل. 2. دینامیک تشخیص Trojan-Downloader.Win32.Zlob در مدت 40 روز
در این دوره ، نویسنده 2198 نمونه ITW از Trojan-Downloader.Win32 را کشف کرد. Zlob ، که از آن 1213 منحصر به فرد است. نمودار دو منحنی را نشان می دهد: تعداد تشخیص در روز و تعداد انواع منحصر به فرد پرونده ها. از نمودار می توان دریافت که تقریباً در هر نمونه ITW شناسایی شده یک پرونده منحصر به فرد است و این وابستگی بطور پایدار برای یک ماه حفظ می شود. اگر به طبقه بندی آزمایشگاه کسپرسکی تکیه کنیم ، 1213 نمونه بررسی شده متعلق به 169 گونه از این برنامه مخرب است. چنین آماری بسیار آشکار است: برنامه های مخرب بسیاری وجود دارد که روزانه ده ها تغییر جدید کشف می شود.
روند مشخصه دیگر را می توان در نمونه کرم نامه Warezov مشاهده کرد. به مدت یک ماه ، نویسنده 5333 نمونه ITW را ضبط کرد که 459 نمونه از آن بی نظیر است. نمودار توزیع فعالیت در شکل نشان داده شده است. 3
شکل. 3. فعالیت کرم نامه Warezov
مگس های موجود در نمودار دوره های اپیدمی است که با ظهور انواع جدیدی از کرم همراه است (در این مورد: Email-Worm.Win32.Warezov.gj ، Email-Worm.Win32. Warezov.fb ، Email-Worm.Win32.Warezov.hb) . نمودار نشان می دهد که بیماری همه گیر فعال به طور متوسط \u200b\u200b2-5 روز طول می کشد ، و پس از آن تعداد تشخیص های Warezov به سطح "پس زمینه" کاهش می یابد - 10-30 نمونه در روز. ظاهر چنین ترکیدگی ها قابل درک است - نوع جدیدی از کرم توسط آنتی ویروس ها تشخیص داده نمی شود ، در نتیجه ، این کرم توده ای از رایانه های شخصی را آلوده می کند و همه گیری آغاز می شود. این بیماری به سرعت در حال پیشرفت است ، اما در طول روز امضاهای کرم در پایگاه داده ضد ویروس قرار می گیرند و بیماری همه گیر به سرعت در حال کاهش است.
به طور جداگانه ، شایان ذکر است که توزیع فعال Trojan-Trojan از نوع Trojan - SPY - جاسوسانی که اطلاعات شخصی کاربران را سرقت می کنند ، قابل ذکر است. در میان آنها گلدون معروف است که اطلاعات مربوط به حساب های سیستم الکترونیکی طلا را سرقت می کند. آخرین نسخه های این Trojan به طور فعال از فناوری rootkit برای مبدل و جاسوسی استفاده می کنند (شکل 4).
شکل. 4- برنامه فعالیت Trojan-SPY برای ماه گذشته
تجزیه و تحلیل فن آوری های مورد استفاده سازندگان بدافزار نشان می دهد که در سال 2006 هیچ فناوری جدید انقلابی اختراع نشده است - توسعه دهندگان بدافزار از نظر کمیت و نه کیفیت استفاده می کنند. با این وجود چندین محصول جدید ظاهر شده اند که سزاوار بحث مفصل تری هستند.
در پایان ، ما یک نمودار متوسط \u200b\u200bمتوسط \u200b\u200bخلاصه را که مطابق با داده های سیستم نویسنده برای نظارت خودکار فعالیت ویروسی ساخته شده است ، در نظر می گیریم (شکل 5).
شکل. 5- آمار سیستم جستجوی بدافزار خودکار برای 40 روز گذشته
از نمودار می توان دریافت که سیستم اتوماتیک بطور متوسط \u200b\u200bروزانه حدود 400 نوع جدید منحصر به فرد از بدافزار را ثبت می کند.
فناوری Rootkit
در سال 2006 ، توسعه و بهسازی انواع ریشه و فن آوری های rootkit مشاهده شد. این فن آوری ها توسط بسیاری از برنامه های مخرب مورد استفاده قرار می گیرند ، و چندین جهت وجود دارد:
- فن آوری های rootkit برای مبدل کردن ، که هدف اصلی از آن نقاب وجود بدافزارها و اجزای آن بر روی دیسک و حافظه و همچنین کلیدهای ماسک در رجیستری است. برای حل این مشکل اغلب از توابع API استفاده می شود و در روت کیت های مدرن روش های بسیار پیچیده ای از رهگیری یافت می شود ، به عنوان مثال تزریق کد به توابع هسته غیر صادراتی ، رهگیری وقفه Int2E ، اصلاح SYSENTER. به طور جداگانه ، باید به rootkits DKOM (دستکاری مستقیم اشیاء هسته) اشاره کرد ، که به طور فزاینده ای محبوب می شوند.
- فن آوری های rootkit برای جاسوسی - همانطور که از نام آن پیداست ، از آنها برای نظارت بر کار کاربر و جمع آوری اطلاعات محرمانه استفاده می شود. نمونه بارز ترین آن Trojan-Spy.Win32.Goldun است که طبق اصل rootkit ، مبادله برنامه ها را با اینترنت متوقف می کند تا در جریان اطلاعات انتقال یافته ، اطلاعات کارت اعتباری کاربر را جستجو کند.
بیایید نگاهی دقیق تر به rootkits DKOM بیندازیم. اصل کار آنها براساس اصلاح ساختارهای سیستم است که فرآیندها ، درایورها ، موضوعات و توصیف کننده ها را توصیف می کند. چنین مداخله ای در ساختارهای سیستم ، قطعاً عملیاتی بدون مدرک و بسیار نادرست است ، اما سیستم بعد از چنین مداخله ای ، کم و بیش پایدار به کار خود ادامه می دهد. نتیجه عملی این مداخله این است که یک مهاجم می تواند ساختارهای اصلی را برای اهداف شخصی خود دستکاری کند. به عنوان مثال ، برای هر یک از فرایندهای در حال اجرا ، یک ساختار EPROCESS در هسته ایجاد می شود که اطلاعات زیادی در مورد فرآیند ، به ویژه شناسه آن (PID) و نام فرایند را ذخیره می کند. این ساختارها یک لیست مضاعف با هم ایجاد می کنند و توسط توابع API استفاده می شوند که اطلاعات مربوط به فرآیندهای در حال اجرا را برمی گردانند. برای پوشاندن یک فرآیند ، rootkit DKOM به راحتی ساختار EPROCESS خود را از لیست حذف می کند. اجرای چنین مبدل بسیار ساده است و ده ها پیاده سازی آماده با متون منبع را می توان در اینترنت یافت. ریشه های پیچیده تر محدود به حذف ساختار جسم ماسک شده از لیست نیستند - آنها داده های موجود در آن را تحریف می کنند. در نتیجه ، حتی اگر یک ضد ریشه بتواند یک فرایند پیموده شده یا راننده را پیدا کند ، اطلاعات نادرستی در مورد آن دریافت می کند. به دلیل سهولت در اجرا ، این گونه روتک ها به طور فزاینده ای رایج می شوند و برخورد با آنها دشوارتر می شود. مطالعات نشان داده اند که موثرترین راه مقابله با آنها ، نصب مانیتور در سیستم است که مانیتور شروع / پایان فرآیندها و بارگیری / بارگیری درایورها است. مقایسه اطلاعات جمع آوری شده توسط چنین مانیتور با داده هایی که توسط سیستم بازگردانده شده است ، به شما امکان می دهد تغییرات ایجاد شده توسط rootkit DKOM را تشخیص داده ، ماهیت آنها را بشناسید و فرآیندها و درایورهای نقاب دار را تشخیص دهید.
برنامه های Hoax
جهت برنامه های Hoax به رشد فعال خود ادامه می دهد ، بنابراین با اطمینان می توانید رشد این خانواده را در سال 2007 پیش بینی کنید. در یک ترجمه تحت اللفظی ، Hoax یک فریب است. دروغ ، کلاهبرداری ، نادرستی. ایده برنامه های Hoax این است که اغلب کاربر را با هدف کسب سود یا سرقت اطلاعات محرمانه فریب کاربر را فریب دهد. اخیراً ، تمایل به جرم و جنایت در این صنعت وجود داشته است: اگر یک سال پیش اکثر برنامه های Hoax اقدامات نسبتاً بی ضرر را انجام دهند ، شبیه سازی ویروس ویروس رایانه یا SpyWare-code را انجام دهند ، پس از آن روشهای مدرن به طور فزاینده ای در جهت سرقت رمزهای عبور یا اطلاعات محرمانه هستند. نمونه ای از چنین برنامه ای در شکل نشان داده شده است. 6
شکل. 6. پنجره برنامه Hoax.Win32.Delf
به شرح زیر از پنجره برنامه و توضیحات آن ، این مجوز تولیدکننده آنتی ویروس کسپرسکی است. این برنامه برای به دست آوردن مجوز تولید شده برای وارد کردن آدرس ایمیل و رمز عبور خود برای دسترسی به صندوق پستی ارائه می دهد. اگر یک کاربر ساده لوح این کار را انجام دهد و بر روی دکمه "دریافت رمز" کلیک کند ، داده های وارد شده توسط وی از طریق پست الکترونیکی به مهاجم منتقل می شود. طی یک سال گذشته بیش از صد برنامه مشابه یافت شده است: اینها انواع "کراکر" ، تولیدکننده کارتهای پرداخت برای اپراتورهای تلفن همراه ، ژنراتورهای شماره کارتهای اعتباری ، وسایل "هک شدن" صندوقهای پستی و غیره است. ویژگی مشترک اینگونه برنامه ها ، فریب کاربر است ، با این هدف که وی مستقل وارد برخی اطلاعات محرمانه شود. دومین ویژگی بارز برنامه های Hoax ، ابتکاری بودن آنهاست: آنها حاوی تعداد زیادی خطا و نادرست در کد برنامه هستند. چنین برنامه هایی اغلب توسط نویسندگان ویروس تازه کار ایجاد می شود.
روند توسعه برنامه های Hoax را می توان در مثال Hoax.Win32.Renos در نظر گرفت (شکل 7).
شکل. 7. دینامیک تشخیص Hoax.Win32.Renos در 30 روز گذشته
از نمودار می توان دریافت که نویسنده روزانه حداقل یک تنوع جدید و منحصر به فرد از این برنامه مخرب را کشف می کند و تنها در یک ماه 60 نوع منحصر به فرد جدید با توجه به طبقه بندی آزمایشگاه کسپرسکی در 18 زیرگونه موجود است.
برنامه های Trojan برای باج گیری و اخاذی
برنامه هایی از این تنوع ابتدا برای چند سال پیش ظاهر شد. هدف اصلی آنها این است که به طور مستقیم کاربر را باج خواهی کرده و از وی بدلیل بازیابی رایانه در ظرفیت کاری یا رمزگشایی اطلاعات رمزگذاری شده توسط برنامه Trojan ، از وی پول اخراج کنید. در اکثر اوقات ، نویسنده مجبور است گزارشات و درخواست های دریافتی از کاربران آسیب دیده توسط Trojan.Win32.Krotten Trojan را دریافت کند ، که برای بازیابی کامپیوتر 25 WMZ را اخاذی کرده است. این Trojan در طراحی بسیار ابتدایی است و کلیه کارهای آن برای اصلاح صدها کلید در رجیستری کاهش می یابد (توضیحات مفصل یکی از انواع آن را می توان در این آدرس مشاهده کرد: http://www.z-oleg.com/secur/virlist/vir1180). php) ویژگی ویژه برنامه های Trojan این خانواده این است که برای درمان رایانه ، جستجوی و نابودی یک تروجان کافی نیست - هنوز هم می توان آسیب های ناشی از آن را توسط سیستم تعمیر کرد. اگر آسیب رجیستری ناشی از Krotten Trojan برای تعمیر بسیار آسان باشد ، پس بازیابی اطلاعات رمزگذاری شده بسیار سخت تر است. به عنوان مثال ، خالق داده های رمزگذاری شده Gpcode Trojan به تدریج طول کلید رمزگذاری را افزایش می دهد و بدین ترتیب شرکت های آنتی ویروس را به چالش می کشد. اطلاعات بیشتر در مورد این تروجان را می توان در مقاله "Blackmailer" در: http://www.viruslist.com/fa/analysis؟pubid\u003d188790045 یافت.
تزریق کد برنامه به عنوان یک روش راه اندازی پنهان
این فناوری به وضوح در Trojan-Downloader مدرن مشاهده می شود ، اما به تدریج در سایر برنامه های مخرب شروع به اجرا می کند. روش شناسی آن نسبتاً ساده است: یک برنامه مخرب مشروط از دو بخش - یک "انژکتور" و یک کد Trojan تشکیل شده است. وظیفه "انژکتور" باز کردن و رمزگشایی کد Trojan و معرفی آن در یک سیستم خاص است. در این مرحله ، برنامه های مخرب مورد مطالعه در روش معرفی کد Trojan متفاوت هستند:
- اجرای با تغییر متن - اصل چنین عملی شامل تهیه و رمزگشایی کد Trojan (مرحله 1) ، راه اندازی هر فرآیند سیستمی است و با ایجاد فرآیند ، در حالت "معلق" ایجاد می شود (مرحله 2). علاوه بر این ، انژکتور کد Trojan را به حافظه پردازش تزریق می کند (علاوه بر این ، چنین تزریقی می تواند در بالای کد دستگاه پردازش انجام شود) ، پس از آن ، متن اصلی موضوع را تغییر می دهد تا Trojan کنترل را دریافت کند (مرحله 3). پس از آن ، موضوع اصلی راه اندازی می شود و کد Trojan اجرا می شود. این روش از آنجا جالب است که هر مدیر فرایند اجرای یک برنامه مشروع (مثلاً svchost.exe) را نشان می دهد ، اما به جای این ، کد Trojan به جای کد دستگاه برنامه مشروع ، در حافظه ذخیره و اجرا می شود. این روش به شما امکان می دهد تا از فایروال هایی که وسیله ای برای کنترل اصلاح حافظه پردازش و متن موضوعات آن ندارید ، دور بزنید (شکل 8).
شکل. 8- اجرای جایگزینی متن
- معرفی جریان های Trojan - این روش از نظر ایدئولوژیکی شبیه به روش قبلی است ، اما به جای اینکه کدهای دستگاه پردازش را با یک Trojan جایگزین کنید و آن را در موضوع اصلی اجرا کنید ، یک نخ اضافی ایجاد می شود که در آن کد Trojan اجرا می شود (مرحله 2). این روش اغلب برای تزریق کد Trojan به یک فرآیند موجود بدون ایجاد اختلال در عملکرد آن استفاده می شود (شکل 9).
شکل. 9. اجرای روش ایجاد Trojan Stream
روش های جدید سرقت WebMoney
در پایان سال 2006 ، روشی جدید و کاملاً اصلی برای سرقت پول در سیستم وب مانی کشف شد. این مبتنی بر معرفی یک برنامه کوچک Trojan در رایانه کاربر است که نظارت بر باز بودن پنجره WebMoney را دارد. در صورت باز بودن ، کلیپ بورد کنترل می شود. اگر متنی که با "Z" ، "R" یا "E" شروع می شود در بافر مشاهده شود ، Trojan این را شماره کیف پول گیرنده می داند که کاربر برای ورودی در پنجره WebMoney از کلیپ بورد کپی کرده است. این عدد از بافر برداشته شده و با عدد "Z" ، "R" یا "E" کیف پول مهاجم جایگزین می شود. این روش برای اجرای بسیار ساده است و می تواند بسیار مؤثر باشد ، زیرا در واقع اغلب شماره های کیف پول وارد نمی شوند ، اما از طریق بافر کپی می شوند و همه کاربران با دقت بررسی نمی کنند که آیا شماره کیف پول از بافر درج شده است یا خیر. این تروجان نمایش روشنی از نبوغ برنامه نویسان برنامه های Trojan است.
تشخیص اشکال زدایی و رایانه های شخصی مجازی
مدتهاست که تکنیک های مقابله با اشکال زدایی ، شبیه ساز و رایانه های مجازی شناخته شده است. استفاده از آنها تجزیه و تحلیل یک برنامه مخرب برای یک متخصص تازه کار را دشوار می کند ؛ بنابراین ، چنین فناوری هایی به مدت طولانی و نسبتاً موفق توسط سازندگان بدافزار استفاده شده اند. با این حال ، طی یک سال گذشته ، روند جدیدی پدید آمده است: بدافزارها سعی در تعیین نوع رایانه کردند - آیا این سخت افزار واقعی یا تقلید است که توسط برنامه هایی مانند Virtual PC یا VMWare ایجاد شده است. چنین رایانه های شخصی مجازی کاملاً مورد استفاده قرار گرفته اند و توسط مديران برای مطالعه برنامه های مشکوک مورد استفاده قرار می گیرند. اگر در مورد راه\u200cاندازی رایانه شخصی مجازی (در عوض ، تحت دیباگر) یک چک وجود داشته باشد ، برنامه مخرب به سادگی می تواند کار خود را خراب کند ، که از مطالعه آن جلوگیری می کند. علاوه بر این ، چنین چکی به سیستم هایی مانند نورمن ماسه باکس برخورد خواهد کرد ، زیرا اصل آنها در تحلیل اکتشافی ، در اصل اجرای برنامه مورد نظر در مورد شبیه ساز و مطالعه عملکرد آن است. در پایان سال ، کارشناسان مؤسسه SANS ، تام لیستون و اد اسودیس گزارش بسیار جالبی را منتشر کردند که در آن تکنیک های تشخیص ماشین های مجازی و برخورد با روش های تشخیص را توصیف می کردند. این سند را می توان از وب سایت SANS - http://handlers.sans.org/tliston/ThwartingVMDetection_Liston_Skoudis.pdf بارگیری کرد.
Spam رباتها و پروکسی Trojan
Spam bot یک Trojan مستقل است که به منظور ارسال خودکار اسپم از یک کامپیوتر آلوده طراحی شده است. یک پروکسی Trojan یک برنامه مخرب با عملکردهای سرور پروکسی است ؛ عملکرد آن بر روی رایانه آسیب دیده به مهاجمان اجازه می دهد تا از آن به عنوان یک پروکسی سرور برای ارسال اسپم ، انجام حملات به رایانه های دیگر و انجام کارهای غیرقانونی دیگر استفاده کنند. بسیاری از ربات های اسپم مدرن حضور خود را با استفاده از فناوری های rootkit استتار می کنند و از حذف محافظت می شوند. آمارها نشان می دهد که بیش از 400 نوع ITW در برنامه های مشابه در هر ماه یافت می شود ، که حدود 130 مورد جدید و بی نظیر هستند.
Spam bot تهدید بزرگی برای شبکه های شرکت ها ایجاد می کند ، زیرا کار آن به تبعات زیر می انجامد:
- مصرف بالای ترافیک شبکه - در اکثر شهرهای روسیه تعرفه نامحدودی وجود ندارد ، بنابراین وجود چندین کامپیوتر آسیب دیده در شبکه می تواند به دلیل مصرف ترافیک منجر به خسارات مالی ملموس شود.
- بسیاری از شبکه های شرکتی برای دسترسی به اینترنت از آدرس های IP ثابت و سرورهای ایمیل خود استفاده می کنند. در نتیجه ، در نتیجه فعالیت ربات های هرزنامه ، این آدرس های IP به سرعت در لیست سیاه فیلترهای ضد هرزنامه قرار می گیرند ، به این معنی که سرورهای پست الکترونیکی در اینترنت ، پذیرش نامه از طریق سرور نامه الکترونیکی شرکت را متوقف می کنند. می توان آدرس IP خود را از لیست سیاه خارج کرد ، اما بسیار دشوار است ، و در صورت وجود هرزنامه های کار در شبکه ، این یک اقدام موقت خواهد بود.
روش های مقابله با ربات های اسپم و پراکسی های Trojan بسیار ساده هستند: شما باید پورت 25 را برای همه کاربران مسدود کنید ، و در حالت ایده آل ، به طور کلی آنها را از تبادل مستقیم با اینترنت منع کنید و جایگزین آن را با کار از طریق سرورهای پروکسی. به عنوان مثال ، در Smolenskenergo ، همه کاربران فقط از طریق پروکسی با سیستم فیلتر با اینترنت کار می کنند و روزانه یک مطالعه پروتکل نیمه اتوماتیک انجام می شود ، که توسط سرپرست سیستم به صورت وظیفه انجام می شود. آنالایزر مورد استفاده وی ، تشخیص ناهنجاری ها در ترافیک کاربر را آسان کرده و اقدامات به موقع را برای جلوگیری از فعالیت مشکوک انجام می دهد. علاوه بر این ، سیستم های IDS (سیستم تشخیص نفوذ) که به بررسی ترافیک شبکه کاربر می پردازند ، نتایج بسیار خوبی را ارائه می دهند.
پخش بدافزار با پیجرهای اینترنتی
طبق آماری که در طول سال جمع آوری شده است ، از پیجرهای اینترنتی بطور فزاینده ای برای معرفی برنامه های مخرب به رایانه های کاربران استفاده می شود. تکنیک اجرای یک مهندسی کلاسیک اجتماعی است. از یک رایانه آلوده به نمایندگی از ICQ صاحب آن ، یک برنامه مخرب برای باز کردن پیوند مشخص شده ، پیام هایی را ارسال می کند که به یک بهانه یا دیگری تماس می گیرند. پیوند به یک تروجان (معمولاً با نام معنایی مانند تصویر.pif یا flash_movie.exe) یا به سایتی منتهی می شود که صفحات آن دارای سوء استفاده است. نکته خاص این واقعیت است که پیوند با برنامه های مخرب توزیع شده است و نه بدن آنها.
طی یک سال گذشته براساس این اصل چندین اپیدمی ثبت شده است. در روسیه ، قربانیان بیشتر کاربران ICQ بودند و بیشتر اوقات برنامه های دسته بندی Trojan-PSW توزیع می شدند - برنامه های Trojan برای سرقت رمزهای عبور کاربر. نویسنده به طور متوسط \u200b\u200bیک تا ده پیام در روز دریافت می کند و تا پایان سال افزایش چنین نامه هایی وجود دارد.
محافظت در برابر تروجان از این نوع بسیار ساده است - شما نباید چنین لینک هایی را باز کنید. با این حال ، آمار نشان می دهد که کنجکاوی کاربران بیشتر از این فراتر می رود ، بیشتر اگر پیام ها به نمایندگی از یک شخص شناخته شده باشد. در محیط شرکتی یک اقدام مؤثر ممنوعیت استفاده از پیجرهای اینترنتی است ، زیرا از نظر امنیتی آنها کانال ایده آل برای نشت اطلاعات هستند.
درایوهای فلش USB
کاهش قابل توجه قیمت در رسانه های فلش (و همچنین افزایش حجم و سرعت آنها) منجر به یک اثر طبیعی - افزایش سریع محبوبیت آنها در بین کاربران شد. بر این اساس ، توسعه دهندگان بدافزار شروع به ایجاد برنامه هایی کردند که درایو فلش را آلوده می کنند. اصل عملکرد چنین برنامه هایی بسیار ساده است: دو پرونده در ریشه دیسک ایجاد می شوند - فایل متنی autorun.inf و یک نسخه از برنامه مخرب. در هنگام اتصال یک درایو ، از فایل autorun برای اقتباس یک برنامه مخرب استفاده می شود. نمونه بارز چنین بدافزارها کرم نامه Rays است. توجه به این نکته مهم است که یک دوربین دیجیتال ، بسیاری از تلفن های همراه ، پخش کننده های MP3 و PDA می توانند به عنوان حامل ویروس عمل کنند - از نظر یک کامپیوتر (و بنابراین کرم) از یک فلش دیسک قابل تشخیص نیستند. علاوه بر این ، وجود بدافزارها تاثیری در عملکرد این دستگاه ها ندارد.
اندازه گیری محافظت در برابر چنین برنامه هایی می تواند ناتوان کننده قدرت ، استفاده از مانیتورهای ضد ویروس برای تشخیص به موقع و حذف ویروس باشد. پیش از تهدید هجوم ویروس ها و نشت اطلاعات ، بسیاری از شرکت ها اقدامات سختگیرانه تری انجام می دهند - آنها امکان اتصال دستگاه های USB را با استفاده از نرم افزارهای تخصصی و یا مسدود کردن درایور USB در تنظیمات سیستم مسدود می کنند.
نتیجه
در این مقاله جهت های اصلی در ایجاد بدافزار مورد بررسی قرار گرفته است. تجزیه و تحلیل آنها به شما امکان می دهد پیش بینی های متعددی انجام دهید:
- می توان فرض کرد که جهت نقاب زدن از اسکنرهای امضا و محافظت در برابر راه اندازی روی رایانه های مجازی و شبیه سازها بطور فعال توسعه خواهد یافت. بنابراین ، برای مقابله با چنین برنامه های مخرب ، آنالایزرهای مختلف اکتشافی ، فایروال ها و سیستم های دفاعی فعال در وهله اول قرار دارند
- جنایات روشنی در صنعت توسعه بدافزار وجود دارد ، سهم رباتهای اسپم ، پروکسی Trojan ، Trojan برای سرقت رمزهای عبور و داده های شخصی کاربران در حال رشد است. برخلاف ویروس ها و کرم ها ، چنین برنامه هایی می توانند آسیب قابل ملاحظه ای به کاربران وارد کنند. توسعه صنعت Trojan ، که داده ها را در اختیار کاربران قرار می دهد ، باعث می شود که ما درباره توصیه های پشتیبان دوره ای فکر کنیم ، که در واقع صدمه های چنین تروانی را به صفر می رساند.
- تجزیه و تحلیل عفونت های رایانه ای نشان می دهد که اغلب مهاجمان سرورهای وب را برای هک کردن برنامه های مخرب روی آنها هک می کنند. چنین هک بسیار خطرناک تر از به اصطلاح deface (جایگزین کردن صفحه شروع سایت) است ، زیرا کامپیوترهای بازدید کنندگان سایت می توانند آلوده شوند. می توان فرض کرد که این مسیر بسیار فعالانه پیشرفت خواهد کرد.
- درایوهای فلش ، دوربین های دیجیتال ، پخش کننده های MP3 و PDA ها به دلیل اینکه می توانند ویروس شوند ، به یک تهدید روزافزون برای امنیت تبدیل شده اند. بسیاری از کاربران خطرات ناشی از دوربین دیجیتال را دست کم می گیرند - با این حال ، در سال 2006 ، نویسنده قادر به مطالعه حداقل 30 مورد مربوط به چنین دستگاه هایی بود.
- تجزیه و تحلیل دستگاه و اصول عملکرد برنامه های مخرب نشان می دهد که می توانید بدون داشتن آنتی ویروس در برابر آنها محافظت کنید - آنها به سادگی نمی توانند در یک سیستم کاملاً تنظیم شده کار کنند. قانون اصلی حفاظت ، کار کاربر تحت یک حساب کاربری محدود است ، که به ویژه ، این حق را برای نوشتن در پوشه های سیستم ، مدیریت خدمات و درایورها و همچنین اصلاح کلیدهای رجیستری سیستم ندارد.
بازیگری است نسخه از 15.02.2008
"مدل اصلی تهدیدات اطلاعات مربوط به اطلاعات شخصی در پردازش آنها در سیستم های اطلاعات اطلاعات شخصی" (مصوب 15.02.2008 FSTEC از فدراسیون روسیه)
5- تهدیدهای دسترسی غیرمجاز به اطلاعات در سیستم اطلاعات اطلاعات شخصی
تهدیدهای دسترسی غیر مجاز به ISDN با استفاده از نرم افزار و سخت افزار و نرم افزار در طی دسترسی غیرمجاز ، از جمله تصادفی ، و در نتیجه نقض محرمانه بودن (کپی کردن ، توزیع غیرمجاز) ، یکپارچگی (تخریب ، تغییر) و دسترسی (مسدود کردن) اطلاعات شخصی ، محقق می شود. و شامل موارد زیر است:
تهدیدهای دسترسی (نفوذ) به محیط عملی رایانه با استفاده از نرم افزار استاندارد (ابزار سیستم عامل یا برنامه های کاربردی عمومی)
تهدید برای ایجاد حالت های غیرعادی عامل نرم افزار (سخت افزار و نرم افزار) به دلیل تغییرات آگاهانه در داده های خدمات ، نادیده گرفتن محدودیت ها در ترکیب و ویژگی های اطلاعات پردازش شده ، تحریفات (اصلاحات) خود داده های ارائه شده در شرایط عادی و غیره.
تهدیدهای مربوط به معرفی برنامه های مخرب (اثرات ریاضی و برنامه ای).
ترکیب عناصر برای توصیف تهدیدات دسترسی غیر مجاز به اطلاعات در ISDN در شکل 3 نشان داده شده است.
علاوه بر این ، تهدیدات ترکیبی امکان پذیر است که ترکیبی از این تهدیدات است. به عنوان مثال ، با توجه به معرفی بدافزارها ، می توان شرایطی را برای دسترسی غیرمجاز به محیط عملی رایانه ، از جمله از طریق ایجاد کانال های دسترسی به اطلاعات غیر سنتی ایجاد کرد.
تهدیدهای دسترسی (نفوذ) به محیط عملیاتی ISPD با استفاده از نرم افزار استاندارد به تهدیدهای دسترسی مستقیم و از راه دور تقسیم می شود. تهدیدهای دسترسی مستقیم با استفاده از نرم افزار و ورود / خروجی سخت افزار / نرم افزار رایانه انجام می شود. تهدیدهای دسترسی از راه دور با استفاده از پروتکل های ارتباطی شبکه پیاده سازی می شود.
این تهدیدات با توجه به ISDN ، چه براساس ایستگاه کاری خودکار انجام می شود که در شبکه ارتباطات عمومی درج نشده است ، و هم در رابطه با کلیه ISDN ، که به شبکه های ارتباطی عمومی و شبکه های تبادل اطلاعات بین المللی متصل هستند.
شرح تهدیدهای دسترسی (نفوذ) به محیط عملی رایانه می تواند بطور رسمی به شرح زیر ارائه شود:
تهدید دستکاری در ISPDn: \u003d<источник угрозы>, <уязвимость ИСПДн>, <способ реализации угрозы>, <объект воздействия (программа, протокол, данные и др.)>, <деструктивное действие>.
شکل 3. عناصر توصیف تهدیدات مربوط به دسترسی غیرمجاز به ISDN
تهدیدهای ایجاد حالتهای غیرعادی عامل نرم افزار (سخت افزار و نرم افزار) ابزارهای انکار تهدیدات خدمات است. به عنوان یک قاعده ، این تهدیدها بدون توجه به ارتباط مبادله اطلاعات ، در رابطه با ISDN بر اساس سیستم های اطلاعاتی محلی و توزیع شده در نظر گرفته می شوند. اجرای آنها به این دلیل است که توسعه نرم افزار سیستم یا نرم افزار امکان اقدامات عمدی را برای تغییر هدفمند در نظر نمی گیرد:
شرایط پردازش داده ها (به عنوان مثال ، نادیده گرفتن محدودیت طول بسته پیام).
قالبهای ارائه داده (با ناسازگاری قالبهای اصلاح شده ایجاد شده برای پردازش مطابق پروتکلهای تعامل شبکه).
نرم افزار پردازش داده ها.
در نتیجه تهدیدات انکار سرویس ، بافرها سرریز می شوند و مراحل پردازش مسدود می شود ، مراحل پردازش حلقه می شود و کامپیوتر آویزان می شود ، بسته های پیام حذف می شوند و سایر موارد. توضیحی از این گونه تهدیدات می تواند بصورت رسمی به شرح زیر باشد:
انکار تهدید خدمات: \u003d<источник угрозы>, <уязвимость ИСПДн>, <способ реализации угрозы>, <объект воздействия (носитель ПДн)>, <непосредственный результат реализации угрозы (переполнение буфера, блокирование процедуры обработки, "зацикливание" обработки и т.п.)>.
تهدیدات معرفی برنامه های مخرب (اثرات ریاضی و برنامه ای) برای توصیف با همان جزئیات تهدیدهای فوق نامناسب است. این در شرایطی است که اولاً ، تعداد برنامه های مخرب امروزه به طور قابل توجهی از صد هزار نفر فراتر رفته است. ثانیا ، در هنگام سازماندهی حمایت از اطلاعات در عمل ، به عنوان یک قاعده ، فقط شناختن کلاس برنامه مخرب ، روش ها و پیامدهای اجرای آن (عفونت) کافی است. در این راستا ، تهدیدات مربوط به تأثیر برنامه ریاضی (PMV) بطور رسمی می تواند به شرح زیر ارائه شود:
تهدید PMV در ISPDn: \u003d<класс вредоносной программы (с указанием среды обитания)>, <источник угрозы (носитель вредоносной программы)>, <способ инфицирования>, <объект воздействия (загрузочный сектор, файл и т.п.)>, <описание возможных деструктивных действий>, <дополнительная информация об угрозе (резидентность, скорость распространения, полиморфичность и др.)>.
در زیر توضیحات کلی در مورد منابع تهدیدات امنیت اطلاعات ، آسیب پذیری هایی که می توان برای اجرای تهدیدات برای دسترسی غیرمجاز به کار برد ، و شرح نتایج دسترسی غیرمجاز یا تصادفی است. توضیحات روشهای اجرای تهدیدها در هنگام توصیف تهدیدهای دسترسی (نفوذ) به محیط عملی رایانه ، تهدیدهای مربوط به انکار سرویس و تهدیدهای PMV ارائه شده است.
منابع تهدید دسترسی غیرمجاز در ISDN می تواند:
متجاوز؛
حامل مخرب؛
نشانک سخت افزار.
تهدیدات امنیتی برای PD همراه با معرفی بوکمارک های سخت افزاری مطابق با اسناد نظارتی سرویس امنیتی فدرال روسیه با روشی که توسط آن تعیین شده است ، تعیین می شوند.
با توجه به در دسترس بودن حق دسترسی دائم یا یک بار دسترسی به منطقه کنترل شده (CI) ISPD ، متخلفین به دو نوع تقسیم می شوند:
متخلفینی که به ISPD دسترسی ندارند ، تهدیدهای شبکه های ارتباطی عمومی خارجی و (یا) شبکه های تبادل اطلاعات بین المللی ، - نقض کننده های خارجی.
نقض کنندگان دسترسی به ISPD ، از جمله کاربران ISPD که تهدیدهای مستقیمی را در ISPD اعمال می کنند ، نقض کننده داخلی هستند.
نقض کنندگان خارجی ممکن است:
خدمات اطلاعاتی دولت؛
ساختارهای جنایی؛
رقبا (سازمان های رقیب)؛
شرکای بی پروا؛
اشخاص خارجی (اشخاص).
یک متجاوز خارجی دارای ویژگی های زیر است:
دسترسی غیرمجاز به کانالهای ارتباطی که فراتر از محل های اداری هستند.
دسترسی غیرمجاز از طریق ایستگاه های کاری متصل به شبکه های ارتباطی عمومی و (یا) شبکه های بین المللی تبادل اطلاعات.
دسترسی غیرمجاز به اطلاعات را با استفاده از مداخلات ویژه نرم افزاری از طریق ویروس های نرم افزاری ، نرم افزارهای مخرب ، الگوریتمی یا بوک مارک های نرم افزاری ، انجام دهید.
دسترسی غیرمجاز را از طریق عناصر زیرساخت اطلاعاتی ISPDn ، که در طی چرخه زندگی خود (نوسازی ، نگهداری ، تعمیر ، دفع) خارج از محدوده کنترل شده هستند ، انجام دهید.
دسترسی غیرمجاز از طریق سیستمهای اطلاعاتی بخشها ، سازمانها و موسسات متقابل هنگام اتصال به ISPDn.
قابلیت های متجاوز داخلی به میزان قابل توجهی بستگی به رژیم و اقدامات سازمانی و فنی محافظت شده در منطقه کنترل شده از جمله پذیرش افراد به امنیت خصوصی و کنترل رویه کار دارد.
نقض کنندگان بالقوه داخلی بسته به روش دسترسی و حق دسترسی به PD به هشت دسته تقسیم می شوند.
دسته اول شامل افراد دارای دسترسی مجاز به ISDN است ، اما دسترسی به PD ندارد. این نوع متخلفان شامل مقاماتی می شود که عملکرد طبیعی ISPDn را تضمین می کنند.
دسترسی به بخش هایی از اطلاعات حاوی PD و توزیع از طریق کانال های ارتباطی داخلی ISPD.
داشتن بخش هایی از اطلاعات در مورد توپولوژی ISPDN (قسمت ارتباطی زیر شبکه) و پروتکل های ارتباطی مورد استفاده و خدمات آنها.
نام و نام کاربری رمز عبور کاربران ثبت نام شده را داشته باشید.
پیکربندی سخت افزار ISPDn را تغییر داده ، بوکمارک های سخت افزاری و نرم افزاری را به آن اضافه کنید و بازیابی اطلاعات را با استفاده از اتصال مستقیم به سخت افزار ISPD فراهم کنید.
دارای تمام توانایی های افراد دسته اول است.
حداقل یک نام دسترسی قانونی را می شناسد.
این کلیه ویژگی های لازم (به عنوان مثال رمز عبور) را دارد که دسترسی به زیر مجموعه خاصی از PD را فراهم می کند.
دارای اطلاعات محرمانه است که به آنها دسترسی دارد.
دسترسی ، احراز هویت و حق دسترسی آن به زیر مجموعه خاصی از PD ها باید توسط قوانین مربوط به کنترل دسترسی کنترل شود.
دارای تمام توانایی های افراد دسته های اول و دوم است.
اطلاعاتی در مورد توپولوژی ISPDn مبتنی بر سیستم اطلاعات محلی و (یا) توزیع شده که از طریق آن امکان دسترسی فراهم می شود ، و همچنین درمورد سخت افزار ISPDn.
توانایی دسترسی مستقیم (بدنی) به قطعات سخت افزار ISPD را دارد.
اطلاعات کاملی در مورد سیستم و نرم افزار کاربردی مورد استفاده در بخش ISPDn (قطعه) دارد.
اطلاعات کاملی در مورد ابزار فنی و پیکربندی بخش ISPDn (قطعه) دارد.
دسترسی به ابزارهای محافظت از اطلاعات و ورود به سیستم و همچنین عناصر جداگانه مورد استفاده در بخش ISPDn (قطعه).
دسترسی به تمام ابزارهای فنی بخش ISPDn (قطعه).
حق دارد پیکربندی خاصی را از سخت افزار بخش ISPD (قطعه) پیکربندی و مدیریت کند.
این دارای تمام ویژگی های افراد از دسته های قبلی است.
دارای اطلاعات کاملی در مورد سیستم و نرم افزارهای کاربردی ISPDn.
دارای اطلاعات کاملی در مورد سخت افزار و پیکربندی ISPDn.
دسترسی به کلیه امکانات پردازش اطلاعات فنی و داده های ISPD.
حق پیکربندی و اجرای سخت افزار ISPD را دارد.
سرپرست سیستم پیکربندی و مدیریت نرم افزار (نرم افزار) و تجهیزات را انجام می دهد ، از جمله تجهیزات مسئولیت امنیت جسم محافظت شده: حفاظت از اطلاعات رمزنگاری ، نظارت ، ثبت ، بایگانی ، محافظت در برابر دسترسی غیرمجاز.
دارای تمام توانایی های افراد از دسته های قبلی است.
دارای اطلاعات کامل در مورد ISPDn؛
دسترسی به ابزارهای محافظت از اطلاعات و ورود به سیستم و برخی از عناصر اصلی ISPD.
این حق دسترسی به پیکربندی سخت افزار شبکه ، به استثنای موارد کنترل (بازرسی) ندارد.
مدیر امنیتی مسئولیت پیروی از قوانین کنترل دسترسی ، تولید عناصر کلیدی ، تغییر رمزهای عبور را بر عهده دارد. سرپرست امنیتی همان ویژگی های امنیتی تسهیلات را به عنوان مدیر سیستم ممیزی می کند.
دارای اطلاعات در مورد الگوریتم ها و برنامه های پردازش اطلاعات در ISPDn.
این قابلیت دارد که در مرحله توسعه ، پیاده سازی و نگهداری از آن ، خطاها ، ویژگی های اعلام نشده ، نشانک های نرم افزار و برنامه های مخرب را به نرم افزار ISPD وارد کند.
ممکن است اطلاعاتی در مورد توپولوژی ISPD و ابزارهای فنی برای پردازش و محافظت از PD که در ISPD پردازش می شوند ، داشته باشد.
توانایی ایجاد نشانک در وسایل فنی ISPDn در مرحله توسعه ، پیاده سازی و نگهداری آنها را دارد.
این می تواند اطلاعات مختلفی در مورد توپولوژی ISPD و ابزارهای فنی پردازش و محافظت از اطلاعات در ISPD داشته باشد.
حامل بدافزار ممکن است یک عنصر سخت افزار رایانه یا یک ظرف نرم افزاری باشد. اگر یک برنامه مخرب با هیچ برنامه کاربردی همراه نیست ، پس از آن رسانه در نظر گرفته می شود:
رسانه های بیگانه ، یعنی یک دیسک ، یک دیسک نوری (CD-R ، CD-RW) ، فلش مموری ، یک هارد دیسک غیر مجاز و غیره.
ساخته شده در فضای ذخیره سازی (هارد دیسک ها ، تراشه های رم ، پردازنده ، تراشه های بورد سیستم ، تراشه دستگاه های داخلی داخل واحد سیستم - آداپتورهای ویدئویی ، کارت شبکه ، کارت صدا ، مودم ، دستگاه های ورودی / خروجی دیسک های مغناطیسی سخت و نوری ، منبع تغذیه و غیره. n. ، ریزگردها برای دسترسی مستقیم به حافظه ، اتوبوسهای انتقال داده ، پورتهای ورودی / خروجی).
ریز مدارهای دستگاه های خارجی (مانیتور ، صفحه کلید ، چاپگر ، مودم ، اسکنر ، و غیره).
اگر یک برنامه مخرب با هر برنامه ای همراه باشد ، با پرونده هایی که دارای پسوندهای خاصی یا ویژگی های دیگر هستند ، با پیام هایی که از طریق شبکه منتقل می شوند ، حامل های آن عبارتند از:
بسته های پیام منتقل شده از طریق شبکه رایانه ای.
پرونده ها (متن ، گرافیک ، اجرایی و غیره).
5.2 ویژگی های عمومی آسیب پذیری در سیستم اطلاعات اطلاعات شخصیآسیب پذیری سیستم اطلاعات اطلاعات شخصی ، کمبود یا ضعف در سیستم یا نرم افزار کاربردی (سخت افزار و نرم افزار) یک سیستم اطلاعاتی خودکار است که می تواند برای اجرای تهدید برای امنیت داده های شخصی استفاده شود.
دلایل آسیب پذیری عبارتند از:
خطاها در طراحی و توسعه نرم افزار (سخت افزار و نرم افزار)؛
اقدامات آگاهانه جهت معرفی آسیب پذیری ها در هنگام طراحی و توسعه نرم افزارهای نرم افزاری (نرم افزاری و سخت افزاری).
تنظیمات نادرست نرم افزار ، تغییرات غیرقانونی در حالت های عملکرد دستگاه ها و برنامه ها.
اجرای غیرمجاز و استفاده غیرقابل حساب برای برنامه هایی که متعاقباً از منابع غیر منطقی منابع استفاده می کنند (بار پردازنده ، ضبط رم و حافظه در رسانه های خارجی).
معرفی برنامه های مخرب که باعث ایجاد آسیب پذیری در نرم افزار و سیستم عامل می شوند.
اقدامات کاربر غیر عمدی غیر مجاز که منجر به آسیب پذیری می شود.
نقص در عملکرد سخت افزار و نرم افزار (ناشی از خرابی در منبع تغذیه ، خرابی عناصر سخت افزاری به دلیل پیری و کاهش قابلیت اطمینان ، تأثیرات خارجی میدانهای الکترومغناطیسی دستگاههای فنی و غیره).
طبقه بندی آسیب پذیری های اصلی ISDN در شکل 4 نشان داده شده است.
شکل 4. طبقه بندی آسیب پذیری های نرم افزار
در زیر توضیحات کلی از گروههای اصلی آسیب پذیری در ISDN ، از جمله:
آسیب پذیری های نرم افزار سیستم (از جمله پروتکل های ارتباطی شبکه)
آسیب پذیری های نرم افزار کاربردی (از جمله ابزارهای امنیتی اطلاعات).
5.2.1. ویژگی های کلی آسیب پذیری های نرم افزار سیستمآسیب پذیری ها در نرم افزار سیستم در رابطه با معماری سیستم های محاسباتی ساختمان باید در نظر گرفته شود.
در این حالت ، آسیب پذیری ها امکان پذیر هستند:
در سیستم عامل ، در ROM ، سیستم عامل؛
در ابزارهای سیستم عامل طراحی شده برای مدیریت منابع محلی ISPDn (ارائه اجرای توابع برای مدیریت فرایندها ، حافظه ، دستگاه های ورودی / خروجی ، رابط های کاربر ، و غیره) ، درایورها ، برنامه های کاربردی.
در ابزارهای سیستم عامل که برای انجام توابع کمکی طراحی شده اند - برنامه های کاربردی (بایگانی ، حذف و غیره) ، برنامه های پردازش سیستم (کامپایلرها ، پیوند دهنده ها ، دیباگرها و غیره) ، برنامه هایی که خدمات اضافی را برای کاربر ارائه می دهند (گزینه های رابط ویژه ، ماشین حساب ها ، بازی ها ، و غیره) ، کتابخانه مراحل با اهداف مختلف (کتابخانه توابع ریاضی ، توابع ورودی / خروجی ، و غیره).
در ابزارهای ارتباطی (ابزارهای شبکه) سیستم عامل.
آسیب پذیری در سیستم عامل و ابزارهای سیستم عامل که برای مدیریت منابع محلی و عملکردهای کمکی طراحی شده اند:
عملکردها ، رویه ها ، تغییر پارامترهای به طریقی خاص به شما امکان می دهد بدون شناسایی چنین تغییراتی توسط سیستم عامل ، از آنها برای دسترسی غیرمجاز استفاده کنید.
قطعات کد برنامه ("سوراخ ها" ، "دریچه ها") که توسط توسعه دهنده وارد شده است ، اجازه می دهد تا از شناسایی ، تأیید هویت ، بررسی یکپارچگی ، و غیره دور بزنید.
خطاها در برنامه ها (در اعلام متغیرها ، کارکردها و رویه ها ، در کدهای برنامه) که تحت شرایط خاصی (به عنوان مثال هنگام انجام انتقال منطقی) منجر به خرابی می شوند ، از جمله نقص در عملکرد ابزارها و سیستمهای محافظت از اطلاعات.
آسیب پذیری در پروتکل های تعامل شبکه با ویژگی های اجرای نرم افزار آنها همراه است و به دلیل محدودیت در اندازه بافر استفاده شده ، نقص در روش احراز هویت ، عدم بررسی صحت اطلاعات خدمات و غیره ایجاد می شود. شرح مختصری از این آسیب پذیری ها با توجه به پروتکل ها در جدول 2 آورده شده است.
جدول 2
آسیب پذیری پروتکل های فردی پشته پروتکل TCP / IP ، که براساس آن شبکه های عمومی جهانی فعالیت می کنند
| نام پروتکل | سطح پشته پروتکل | نام (مشخصه) آسیب پذیری | محتوای نقض امنیت اطلاعات |
| FTP (پروتکل انتقال پرونده) - پروتکل انتقال پرونده از طریق شبکه | 1. احراز هویت بر اساس متن ساده (گذرواژه\u200cها به صورت رمز نشده ارسال می شوند) 2. دسترسی پیش فرض 3. دو پورت باز | امکان رهگیری داده های حساب (نام کاربری ثبت شده ، کلمه عبور). دستیابی به دسترسی از راه دور به هاست | |
| پروتکل مدیریت ترمینال از راه دور | جلسه ، نماینده ، جلسه | پاک کردن تأیید اعتبار متن (گذرواژه\u200cها بدون رمزگذاری ارسال می شوند) | امکان رهگیری داده های حساب کاربر. دستیابی به دسترسی از راه دور به هاست |
| UDP - پروتکل انتقال داده بدون اتصال | حمل و نقل | عدم وجود مکانیسم برای جلوگیری از اضافه بار بافر | توانایی اجرای طوفان UDP. در نتیجه تبادل بسته ، کاهش قابل توجهی در عملکرد سرور رخ می دهد |
| ARP - پروتکل برای تبدیل آدرس IP به آدرس فیزیکی | شبکه | پاک کردن تأیید اعتبار متن (اطلاعات به صورت رمزگذاری نشده ارسال می شوند) | امکان رهگیری ترافیک کاربر توسط یک مهاجم |
| RIP - پروتکل اطلاعات مسیریابی | حمل و نقل | عدم تأیید اعتبار پیام های کنترل تغییر مسیر | امکان تغییر مسیر ترافیک از طریق میزبان مهاجم |
| TCP - پروتکل کنترل انتقال | حمل و نقل | عدم وجود مکانیسم برای بررسی صحت پر کردن هدرهای بسته خدمات | کاهش قابل توجه نرخ ارز و حتی خرابی کامل اتصالات TCP دلخواه |
| DNS - پروتکل برای تطبیق نام های mnemonic و آدرس های شبکه | جلسه ، نماینده ، جلسه | کمبود وسیله برای تأیید صحت داده های دریافت شده از منبع | جعل سرور DNS |
| پروتکل پیام مسیریابی IGMP | شبکه | عدم تأیید اعتبار در مورد تغییر پارامترهای مسیر | یخ سیستم 9x / NT / 200 را یخ بزنید |
| SMTP - پروتکل خدمات تحویل ایمیل | جلسه ، نماینده ، جلسه | امکان جعل پیام های ایمیل و همچنین آدرس فرستنده پیام | |
| SNMP - پروتکل مدیریت روتر شبکه | جلسه ، نماینده ، جلسه | عدم پشتیبانی از تأیید هویت عنوان پیام | امکان سرریز پهنای باند شبکه |
برای سیستم سازی توصیف بسیاری از آسیب پذیری ها ، از یک بانک اطلاعاتی واحد آسیب پذیری CVE (آسیب پذیری های مشترک و قرار گرفتن در معرض) استفاده می شود که توسعه آن با حضور متخصصان بسیاری از شرکتها و سازمانهای شناخته شده مانند میت ، ISS ، سیسکو ، BindView ، Axent ، NFR ، L-3 ، CyberSafe و CERT ، دانشگاه کارنگی ملون ، موسسه SANS و غیره. این بانک اطلاعاتی به طور مداوم در شکل گیری پایگاه های داده از ابزارهای نرم افزاری متعددی برای تجزیه و تحلیل امنیتی و مهمتر از همه اسکنر شبکه به روز می شود و مورد استفاده قرار می گیرد.
5.2.2. ویژگی های کلی آسیب پذیری های نرم افزار کاربردینرم افزار برنامه شامل برنامه های کاربردی عمومی و برنامه های ویژه است.
برنامه های عمومی - ویرایشگر متن و گرافیک ، برنامه های رسانه ای (پخش کننده های صوتی و تصویری ، نرم افزار دریافت تلویزیون ، و غیره) ، سیستم های مدیریت بانک اطلاعاتی ، سیستم عامل های عمومی نرم افزار برای توسعه محصولات نرم افزاری (مانند دلفی ، ویژوال بیسیک ) ، ابزارهای محافظت از اطلاعات عمومی و غیره
برنامه های کاربردی ویژه برنامه هایی هستند که به منظور حل مشکلات برنامه های خاص در ISPD مشخص (از جمله نرم افزار حفاظت از اطلاعات طراحی شده برای ISPD خاص) تهیه شده اند.
آسیب پذیری های نرم افزار کاربردی می تواند شامل موارد زیر باشد:
عملکردها و رویه های مربوط به برنامه های مختلف کاربردی و ناسازگار با یکدیگر (عدم کارکرد در یک محیط عملیاتی یکسان) به دلیل درگیری های مربوط به تخصیص منابع سیستم.
توابع ، رویه ها ، تغییر پارامترها به طریقی خاص ، به آنها اجازه می دهد تا از آنها برای نفوذ در محیط عملیاتی ISPD و استناد به عملکردهای استاندارد سیستم عامل ، برای دستیابی به دسترسی غیرمجاز بدون شناسایی چنین تغییراتی توسط سیستم عامل استفاده کنند.
قطعات کد برنامه ("سوراخ ها" ، "دریچه ها") که توسط توسعه دهنده معرفی شده است ، اجازه می دهد تا از شناسایی ، تأیید هویت ، بررسی های یکپارچگی و غیره عبور کند و در سیستم عامل ارائه شود.
عدم وجود ویژگی های امنیتی لازم (تأیید هویت ، بررسی صداقت ، تأیید قالب قالب پیام ، مسدود کردن توابع اصلاح شده غیرمجاز و غیره)؛
خطاها در برنامه ها (در اعلام متغیرها ، کارکردها و رویه ها ، در کدهای برنامه) ، که در شرایط خاصی (به عنوان مثال هنگام انجام انتقال منطقی) منجر به خرابی می شوند ، از جمله خرابی ها در عملکرد ابزارها و سیستمهای محافظت از اطلاعات ، و امکان دسترسی غیرمجاز به اطلاعات
داده های آسیب پذیری برای نرم افزار کاربردی توسعه یافته و توزیع شده تجاری ، در پایگاه داده CVE جمع آوری ، گردآوری و تجزیه و تحلیل می شود.<*>.
<*> این کار توسط یک شرکت خارجی CERT به صورت تجاری انجام می شود.
5.3 مشخصات عمومی تهدیدهای دسترسی مستقیم به محیط عملیاتی سیستم اطلاعات داده شخصیتهدیدهای دسترسی (نفوذ) به محیط عملی رایانه و دسترسی غیرمجاز به داده های شخصی با دسترسی همراه است:
اطلاعات و دستورات ذخیره شده در سیستم ورودی / خروجی پایه ISPD (BIOS) ، با امکان رهگیری کنترل بارگیری سیستم عامل و به دست آوردن حقوق کاربر قابل اعتماد؛
به محیط عملیاتی ، یعنی محیط عملیاتی سیستم عامل محلی سخت افزار ISPD جداگانه با امکان انجام دسترسی غیرمجاز از طریق فراخوانی برنامه های منظم سیستم عامل یا راه اندازی برنامه های ویژه طراحی شده برای اجرای چنین اقداماتی.
به محیط عملیاتی برنامه های کاربردی (به عنوان مثال ، برای یک سیستم مدیریت پایگاه داده محلی).
مستقیماً به اطلاعات کاربر (پرونده ها ، متن ، اطلاعات صوتی و گرافیکی ، فیلدها و سوابق موجود در پایگاه داده های الکترونیکی) و به دلیل احتمال نقض محرمانه بودن ، صداقت و در دسترس بودن آن ایجاد می شود.
این تهدیدات می تواند در صورت دسترسی فیزیکی به ISPD یا حداقل به معنی ورود اطلاعات به ISPD تحقق یابد. آنها می توانند با توجه به شرایط اجرا در سه گروه ترکیب شوند.
گروه اول شامل تهدیداتی است که هنگام بارگیری سیستم عامل رخ می دهد. این تهدیدات امنیت اطلاعات با هدف رهگیری رمزهای عبور یا شناسه ها ، اصلاح نرم افزار سیستم ورودی / خروجی اصلی (BIOS) ، رهگیری کنترل بوت با تغییر اطلاعات فن آوری لازم برای دستیابی به دسترسی غیرمجاز به محیط عملیاتی ISPD انجام می شود. بیشتر اوقات ، چنین تهدیدهایی با استفاده از رسانه های ذخیره شده بیگانه تحقق می یابد.
گروه دوم شامل تهدیداتی است که پس از بارگیری محیط عملیاتی رخ می دهد ، صرف نظر از این که برنامه توسط کاربر راه اندازی شده است. این تهدیدات ، به طور معمول ، با هدف دسترسی مستقیم غیر مجاز به اطلاعات انجام می شود. پس از دستیابی به محیط عملیاتی ، متجاوز می تواند از هر دو عملکرد استاندارد سیستم عامل یا برخی برنامه های عمومی (به عنوان مثال ، سیستم مدیریت بانک اطلاعاتی) یا برنامه های ویژه ایجاد شده برای دسترسی غیرمجاز استفاده کند ، به عنوان مثال:
برنامه هایی برای مشاهده و اصلاح رجیستری؛
برنامه هایی برای جستجوی متون در پرونده های متنی توسط کلمات کلیدی و کپی کردن.
برنامه های ویژه برای مشاهده و کپی کردن سوابق در پایگاه های داده؛
برنامه هایی برای مشاهده سریع فایل های گرافیکی ، ویرایش یا کپی کردن آنها.
برنامه های پشتیبانی برای تنظیم مجدد محیط نرم افزار (تنظیمات ISPD به نفع متجاوز) و غیره
سرانجام ، گروه سوم شامل تهدیداتی است که اجرای آن مشخص می شود که کدام یک از برنامه های برنامه توسط کاربر راه اندازی شده یا واقعیت راه اندازی هر یک از برنامه های برنامه را دارد. بیشتر این تهدیدات تهدیدهای بدافزار هستند.
5.4 مشخصات عمومی تهدیدات امنیت داده های شخصی که با استفاده از پروتکل های کار با اینترنت اجرا می شوداگر ISPD بر اساس یک سیستم اطلاعاتی محلی یا توزیع شده اجرا شود ، می توان تهدیدات امنیت اطلاعات از طریق استفاده از پروتکل های کار با اینترنت را در آن پیاده سازی کرد. در این حالت می توان NSD تا PD را تهیه کرد یا تهدید به انکار سرویس تحقق می یابد. تهدیدات به ویژه خطرناک است که ISPDn یک سیستم اطلاعاتی توزیع شده است که به شبکه های عمومی و (یا) شبکه های تبادل اطلاعات بین المللی متصل است. طرح طبقه بندی تهدیدات اجرا شده از طریق شبکه در شکل 5 نشان داده شده است. این بر اساس هفت نشانگر اصلی طبقه بندی زیر است.
1. ماهیت تهدید. بر این اساس تهدیدها می توانند منفعل و فعال باشند. یک تهدید غیرفعال تهدیدی است که در آن هیچ تأثیر مستقیمی بر عملکرد ISPDn وجود ندارد ، اما قوانین تعیین شده برای محدود کردن دسترسی به PDN یا منابع شبکه ممکن است نقض شود. نمونه ای از چنین تهدیداتی تهدید "تحلیل ترافیک شبکه" است که هدف آن گوش دادن به کانال های ارتباطی و رهگیری اطلاعات منتقل شده است.
یک تهدید فعال یک تهدید همراه با تأثیرگذاری بر منابع ISPD است که اجرای آن تأثیر مستقیمی بر عملکرد سیستم (تغییرات پیکربندی ، اختلال در عملکرد و غیره) و با نقض قوانین تعیین شده برای محدود کردن دسترسی به داده های شخصی یا منابع شبکه دارد. نمونه ای از چنین تهدیدهایی تهدید خدمات انکار است که بعنوان طوفان درخواست TCP انجام می شود.
2. هدف از تهدید. بر این اساس تهدیدات می تواند به نقض محرمانه بودن ، یکپارچگی و دسترسی به اطلاعات (از جمله مختل کردن عملکرد ISPDn یا عناصر آن) باشد.
3. شرط شروع اجرای فرایند تحقق تهدید. بر این اساس ممکن است یک تهدید رخ دهد:
در صورت درخواست شیء مربوط به تهدید در حال اجرا. در این حالت ، متخلف انتظار انتقال درخواست از نوع خاصی را دارد که شرط شروع دسترسی غیرمجاز خواهد بود؛
شکل 5. طرح طبقه بندی تهدید با استفاده از پروتکل های کار با اینترنت
پس از وقوع رویداد مورد انتظار در تأسیسات ، که علیه آن تهدید تحقق می یابد. در این حالت ، متجاوز به طور مداوم وضعیت سیستم عامل ISPD را کنترل می کند و وقتی اتفاق خاصی در این سیستم رخ می دهد ، دسترسی غیرمجاز را آغاز می کند.
تأثیر بی قید و شرط در این حالت ، آغاز دسترسی غیرمجاز در رابطه با هدف دستیابی بی قید و شرط است ، یعنی تهدید بلافاصله و بدون در نظر گرفتن وضعیت سیستم تحقق می یابد.
4- وجود بازخورد از ISPDn. طبق این معیار ، روند تحقق تهدید می تواند با بازخورد و بدون بازخورد باشد. تهدیدی که در صورت وجود بازخورد از ISPDn انجام می شود ، با این واقعیت مشخص می شود که برای برخی درخواست های ارائه شده به ISPDn ، متخلف باید پاسخی را دریافت کند. در نتیجه ، بین متخلف و ISPD بازخوردی وجود دارد ، که به شخص متجاوز اجازه می دهد تا به درستی به تمام تغییراتی که در ISPD رخ می دهد پاسخ دهد. بر خلاف تهدیداتی که هنگام بازخورد ISPD رخ می دهد ، هنگام اجرای تهدیدات بدون بازخورد ، نیازی به پاسخگویی به هرگونه تغییر در ISPD نیست.
5- محل قرار گیری مجرم نسبت به ISPDn. مطابق با این ویژگی ، تهدید هم درون بخشی و هم بین بخشی انجام می شود. بخش شبکه - یک ارتباط فیزیکی میزبان (سخت افزار ISPD یا عناصر ارتباطی که دارای آدرس شبکه هستند). به عنوان مثال ، بخش ISDN مجموعه ای از هاستهای متصل به سرور را با استفاده از طرح "Bus shared" تشکیل می دهد. در موردی که تهدید داخل قطعه ای وجود داشته باشد ، متجاوز دسترسی فیزیکی به عناصر سخت افزاری ISDN دارد. اگر یک تهدید بین بخشی وجود داشته باشد ، آنگاه مهاجم در خارج از ISPD قرار دارد و این تهدید را از یک شبکه دیگر یا از بخش دیگری از ISPD متوجه می کند.
6. سطح مدل مرجع برای تعامل سیستم های باز<*> (ISO / OSI) که تهدید بر روی آن اعمال می شود. مطابق این معیار ، تهدید در سطح فیزیکی ، کانال ، شبکه ، حمل و نقل ، جلسه ، نماینده و کاربرد مدل ISO / OSI قابل تحقق است.
<*> سازمان بین المللی استاندارد سازی (ISO) استاندارد ISO 7498 را اتخاذ کرده است که توصیف اتصال سیستم باز (OSI) است.
7. نسبت تعداد متخلفین و عناصر ISPD ، در مورد اینکه تهدید تحقق یافته است. طبق این معیار ، یک تهدید را می توان به عنوان طبقه تهدیدات تحقق یافته توسط یک متجاوز با توجه به یک سخت افزار ISPD (تهدید یک به یک) ، همزمان با توجه به چندین سخت افزار ISPD (تهدید یک به یک) یا توسط چندین متجاوز از رایانه های مختلف در رابطه با یک طبقه بندی کرد. یا چندین سخت افزار ISPD (تهدیدهای توزیع شده یا همراه).
بر اساس طبقه بندی ، می توان هفت تهدید که اغلب اجرا می شود ، تفکیک کرد.
1. تحلیل ترافیک شبکه (شکل 6).
شکل 6. نمودار اجرای تهدید "تحلیل ترافیک شبکه"
این تهدید با کمک یک برنامه آنالایزر بسته ویژه (sniffer) تحقق می یابد ، که تمام بسته های منتقل شده بر روی یک بخش شبکه را رهگیری می کند و بین آنها مواردی را که در آن شناسه کاربر و رمز عبور منتقل می شود ، متمایز می کند. در حین اجرای تهدید ، متجاوز منطق شبکه را مطالعه می کند - یعنی تلاش می کند مکاتبات نامشخصی را بین وقایع رخ داده در سیستم و دستورات ارسال شده توسط میزبان در زمان وقوع این اتفاقات بدست آورد. در آینده ، این به مهاجم اجازه می دهد تا به عنوان مثال ، حقوق ممتازی را برای فعالیت در سیستم بدست آورد یا اختیارات خود را در آن گسترش دهد ، به عنوان مثال ، جریان داده های منتقل شده رد و بدل شده بین مؤلفه های سیستم عامل شبکه را برای استخراج اطلاعات محرمانه یا شناسایی (به عنوان مثال رمزهای استاتیک کاربران برای دسترسی به هاست از راه دور از طریق پروتکل های FTP و TELNET که رمزنگاری را ارائه نمی دهند) ، جایگزینی آن ، اصلاح و غیره.
2. اسکن شبکه.
ماهیت فرایند اجرای تهدید ، ارسال درخواست به خدمات شبکه میزبان ISPD و تجزیه و تحلیل پاسخ های آنهاست. هدف این است که پروتکل های به کار رفته ، پورت های موجود در سرویس های شبکه ، قوانین تشکیل شناسه اتصال ، تعریف سرویس های شبکه فعال ، انتخاب شناسه های کاربر و رمزهای عبور شناسایی شوند.
۳- تهدید آشکار کردن رمز عبور.
هدف از تهدید دستیابی به دسترسی غیرمجاز با غلبه بر محافظت از رمز عبور است. یک مهاجم می تواند با استفاده از روشهای مختلفی مانند نیروی brute ساده ، نیروی بی رحمانه با استفاده از دیکشنریهای ویژه ، نصب بدافزار برای رهگیری رمز عبور ، جایگزینی یک شیء مورد اعتماد شبکه (IP-spoofing) و ضبط بسته (sniffing) یک تهدید را عملی کند. اصولا برای اجرای این تهدید از برنامه های ویژه ای استفاده می شود که سعی می کنند با انتخاب متوالی رمزهای عبور ، به میزبان دسترسی پیدا کنید. در صورت موفقیت ، مهاجم می تواند برای خود "پاس" را برای دسترسی بعدی ایجاد کند ، که حتی اگر رمز ورود در میزبان تغییر کرده باشد معتبر خواهد بود.
4- تعویض یک مورد مورد اعتماد شبکه و انتقال پیام از طرف آن از طریق کانال های ارتباطی با اختصاص حقوق دسترسی به آن (شکل 7).
شکل 7. طرح اجرای تهدید "جایگزینی یک موضوع شبکه قابل اعتماد"
چنین تهدیدی به طور مؤثر در سیستمهایی که الگوریتم های ناپایدار برای شناسایی و تأیید اعتبار میزبان ، کاربران و غیره استفاده می شود ، اجرا می شود. یک مورد قابل اعتماد به یک موضوع شبکه (رایانه ، فایروال ، روتر و غیره) که به طور قانونی به سرور متصل است اشاره دارد.
دو نوع از روند اجرای این تهدید را می توان تشخیص داد: با و بدون ارتباط مجازی.
فرایند اجرای با ایجاد یک ارتباط مجازی شامل اختصاص حقوق یک نهاد تعامل معتمد است که به یک مهاجم اجازه می دهد تا به نمایندگی از یک نهاد مورد اعتماد یک جلسه را با یک موضوع شبکه انجام دهد. تحقق این نوع تهدید نیاز به غلبه بر سیستم شناسایی و تأیید اعتبار پیام دارد (به عنوان مثال ، حمله به سرویس اول میزبان یونیکس).
روند اجرای یک تهدید بدون ایجاد ارتباط مجازی می تواند در شبکه هایی اتفاق بیفتد که پیام های منتقل شده را فقط در آدرس شبکه فرستنده شناسایی می کنند. اصل انتقال پیام های خدماتی به نمایندگی از دستگاه های کنترل شبکه (به عنوان مثال ، از طرف روترها) در مورد تغییر داده های مسیریابی و آدرس است. باید در نظر داشته باشید که تنها شناسه مشترکان و اتصالات (از طریق TCP) دو پارامتر شماره توالی اولیه 32 بیتی - ISS (شماره دنباله) و شماره شناسنامه - ACK (شماره تأیید) است. بنابراین ، برای تولید یک بسته TCP کاذب ، مهاجم باید شناسه های فعلی را برای این اتصال - ISSa و ISSb بداند ، جایی که:
ISSa - مقداری عددی که شماره سریال بسته TCP ارسال شده را مشخص می کند ، اتصال TCP ایجاد شده توسط میزبان A آغاز می شود.
ISSb یک مقدار عددی است که شماره سریال بسته TCP فرستاده شده را مشخص می کند ، اتصال TCP ایجاد شده توسط میزبان B آغاز می شود.
مقدار ACK (شماره تأیید اتصال اتصال TCP) به عنوان عدد دریافت شده از ISS پاسخ دهنده (شماره دنباله) به علاوه واحد ACKb \u003d ISSa + 1 تعریف شده است.
در نتیجه تهدید ، متخلف حقوق دسترسی تعیین شده توسط کاربر خود برای مشترکین مورد اعتماد ابزار فنی ISPDn - اهداف تهدید - را بدست می آورد.
5- تحمیل مسیر شبکه کاذب.
این تهدید از دو طریق تحقق می یابد: با تحمیل درون بخشی یا تحمیل بین بخشی. امکان تحمیل مسیر نادرست به دلیل کاستی هایی که در الگوریتم های مسیریابی وجود دارد (به ویژه به دلیل مشکل در شناسایی دستگاه های کنترل شبکه) ایجاد می شود ، در نتیجه می توانید به عنوان مثال به یک هاست یا یک شبکه متجاوز دسترسی پیدا کنید ، جایی که می توانید به عنوان بخشی از ISDN وارد محیط عملیاتی یک ابزار فنی شوید. . این تهدید بر اساس استفاده غیرمجاز از پروتکل های مسیریابی (RIP ، OSPF ، LSP) و مدیریت شبکه (ICMP ، SNMP) برای ایجاد تغییر در جداول آدرس مسیریابی است. در این حالت ، متجاوز باید از طریق دستگاه کنترل شبکه (به عنوان مثال روتر) یک پیام کنترلی ارسال کند (شکل 8 و 9).
شکل 8. طرح اجرای حمله غلط مسیر تحمیل (داخل قطعه) با استفاده از پروتکل ICMP با هدف مختل در برقراری ارتباط
شکل 9. نمودار اجرای خطر "تحمیل مسیر غلط" (بین بخشی) به منظور رهگیری ترافیک
6. معرفی یک موضوع شبکه دروغین.
این تهدید بر اساس سوء استفاده از نقص الگوریتم های جستجوی راه دور است. اگر در ابتدا اشیاء شبکه اطلاعاتی در مورد یکدیگر ندارند ، از پروتکل های جستجوی مختلف از راه دور استفاده می شود (به عنوان مثال ، SAP در شبکه های Novell NetWare ؛ ARP ، DNS ، WINS در شبکه هایی با پشته پروتکل TCP / IP) که شامل انتقال ویژه می باشد. با اطلاعات لازم درخواست و دریافت پاسخ به آنها. در عین حال ، ممکن است برای یک متجاوز بتواند یک جستجوی جستجو را رهگیری کند و یک جواب نادرست برای آن صادر کند ، استفاده از آنها منجر به تغییر مورد نیاز در داده های آدرس مسیر خواهد شد. در آینده ، کل جریان اطلاعات مرتبط با موضوع قربانی از طریق شیء شبکه کاذب عبور می کند (شکل 10 - 13).
شکل 10. نمودار شماتیک اجرای "اجرای سرور ARP کاذب"
شکل 11. نمودار شماتیک اجرای تهدید "تزریق سرور DNS" با رهگیری پرس و جو DNS
شکل 12. نمودار اجرای خطر "اجرای سرور DNS کاذب" توسط پاسخ های DNS طوفان به رایانه شبکه
شکل 13. نمودار شماتیک از اجرای "تزریق سرور DNS کاذب" توسط طوفان پاسخ های DNS به سرور DNS
7. انکار خدمات.
این تهدیدات مبتنی بر کاستی های نرم افزار شبکه ، آسیب پذیری های آن است که به مهاجمان امکان می دهد شرایطی ایجاد کند که سیستم عامل قادر به پردازش بسته های ورودی نیست.
انواع مختلفی از چنین تهدیدات را می توان تشخیص داد:
الف) انکار سرویس پنهان ناشی از درگیر شدن برخی از منابع ISPD برای پردازش بسته های منتقل شده توسط مهاجم با کاهش توان کانال های ارتباطی ، عملکرد دستگاه های شبکه و نقض الزامات زمان پردازش درخواست ها. نمونه هایی از تهدیدات از این قبیل می توانند عبارتند از: طوفان مستقیم درخواستهای echo با استفاده از پروتکل ICMP (طغیان پینگ) ، طوفان درخواستهای ایجاد اتصالات TCP (SYN-سیل) ، طوفان درخواست به سرور FTP.
ب) انکار واضح خدمات ناشی از فرسودگی منابع ISPD هنگام پردازش بسته های منتقل شده توسط مهاجمان (اشغال کل پهنای باند کانال های ارتباطی ، صف های سرریز درخواست های خدمات) ، که در آن نمی توان درخواست های حقوقی را از طریق شبکه به دلیل غیرقابل دسترسی بودن رسانه انتقال یا از طریق شبکه انتقال داد. انکار سرویس به دلیل سرریز صف درخواست ها ، فضای دیسک و غیره نمونه هایی از تهدیدهای این نوع عبارتند از: طوفان درخواست های مربوط به پخش مداوم ICMP (Smurf) ، طوفان جهت دار (SYN- سیل) ، طوفان پیام ها به سرور پست الکترونیکی (Spam).
ج) انکار واضح خدمات ناشی از نقض اتصال منطقی بین ابزارهای فنی ISPD در هنگامي که متجاوز پیامهای کنترل را به نمایندگی از دستگاههای شبکه ارسال می کند که منجر به تغییر در داده های مسیریابی و آدرس (به عنوان مثال ، ICMP Redirect Host ، DNS-سیل) یا اطلاعات شناسایی و تأیید اعتبار می شود.
د) انکار صریح خدمات ناشی از مهاجمی که بسته هایی را با خصوصیات غیر استاندارد (تهدیداتی مانند "Land" ، "TearDrop" ، "Bonk" ، "Nuke" ، "UDP-bomb") ارسال می کند و یا دارای طول بیش از حداکثر اندازه مجاز (تهدید نوع) "مرگ پینگ") ، که می تواند به خرابی دستگاه های شبکه درگیر در پردازش درخواست منجر شود ، مشروط بر اینکه در برنامه هایی که پروتکل های ارتباطی شبکه را اجرا می کنند ، خطایی رخ دهد.
نتیجه این تهدید ممکن است اختلال در سرویس مربوطه برای تأمین دسترسی از راه دور به PDN در ISPDn باشد ، ارسال از یک آدرس به همان تعداد درخواست برای اتصال به ابزار فنی به عنوان بخشی از ISPDn ، که می تواند ترافیک را "جای دهد" (کارگردانی "درخواست طوفان") ، که مستلزم سرریز صف درخواست و خرابی یکی از سرویس های شبکه یا قطع کامل رایانه به دلیل عدم توانایی سیستم در انجام کاری غیر از پردازش درخواستها است.
8. راه اندازی برنامه از راه دور.
این تهدید در تمایل به اجرای برنامه های مخرب مختلفی است که قبلاً در میزبان ISPD معرفی شده است: برنامه های نشانه گذاری ، ویروس ها ، "جاسوسان شبکه" که هدف اصلی آن نقض محرمانه بودن ، یکپارچگی ، دسترسی به اطلاعات و کنترل کامل بر میزبان است. علاوه بر این ، می توان با راه اندازی غیرمجاز برنامه های کاربر برای دریافت غیر مجاز داده های لازم برای متجاوز ، شروع فرایندهای کنترل شده توسط برنامه برنامه و غیره را آغاز کرد.
سه طبقه زیر از این تهدیدات متمایز می شوند:
1) توزیع پرونده های حاوی کد اجرایی غیر مجاز؛
2) راه اندازی برنامه از راه دور با سرریز بافر سرور برنامه؛
3) راه اندازی از راه دور برنامه با استفاده از قابلیت های کنترل از راه دور سیستم ارائه شده توسط نرم افزارهای مخفی و بوک مارک های سخت افزار یا با استفاده از وسایل منظم.
تهدیدهای معمولی اولین این زیرمجموعه ها بر اساس فعال شدن پرونده های توزیع شده در صورت دسترسی تصادفی به آنها است. نمونه هایی از این قبیل پرونده ها عبارتند از: پرونده هایی که دارای کد اجرایی به شکل ماکرو هستند (مایکروسافت ورد ، اسناد اکسل و غیره). اسناد html حاوی کد اجرایی در قالب عناصر ActiveX ، اپلت های جاوا ، اسکریپت های تفسیر شده (به عنوان مثال متون جاوا اسکریپت)؛ فایل های حاوی کد برنامه های اجرایی از طریق پست الکترونیکی ، انتقال فایل ، خدمات سیستم فایل شبکه می توان برای توزیع فایلها استفاده کرد.
هنگامی که از تهدیدهای زیر طبقه دوم استفاده می شود ، از معایب برنامه هایی که خدمات شبکه را پیاده سازی می کنند (به ویژه ، عدم کنترل سرریز بافر) استفاده می شود. با تنظیم رجیسترهای سیستم ، گاهی اوقات می توان پردازنده را پس از قطع وقوع ناشی از سرریز بافر به اجرای کدهای موجود در خارج از بافر تبدیل کرد. نمونه ای از اجرای چنین تهدیدی معرفی معروف "ویروس موریس" است.
در صورت تهدیدهای زیر کلاس سوم ، متجاوز از قابلیت کنترل از راه دور سیستم ارائه شده توسط اجزای پنهان (به عنوان مثال ، برنامه های Trojan مانند Back Orifice ، Net Bus) یا وسایل منظم برای مدیریت و مدیریت شبکه های رایانه ای (Landesk Management Suite ، Managementwise ، Back Orifice و غیره) استفاده می کند. ) در نتیجه استفاده از آنها می توان به کنترل از راه دور روی ایستگاه روی شبکه دست یافت.
بصورت شماتیک ، مراحل اصلی کار این برنامه ها به شرح زیر است:
نصب در حافظه؛
منتظر درخواست یک میزبان از راه دور که برنامه مشتری در آن اجرا می شود ، و پیام های آمادگی را با آن مبادله می کنید.
انتقال اطلاعات رهگیری شده به مشتری یا کنترل او از طریق رایانه حمله شده.
پیامدهای احتمالی ناشی از اجرای تهدیدات طبقات مختلف در جدول 3 آورده شده است.
جدول 3
پیامدهای احتمالی اجرای تهدیدهای اقشار مختلف
| N p / p | نوع حمله | عواقب احتمالی | |
| 1 | تحلیل ترافیک شبکه | بررسی ویژگی های ترافیک شبکه ، رهگیری داده های منتقل شده از جمله شناسه کاربر و کلمه عبور | |
| 2 | اسکن شبکه | تعریف پروتکل ها ، درگاه های موجود در سرویس های شبکه ، قوانین تشکیل شناسه اتصال ، خدمات شبکه فعال ، شناسه های کاربر و رمزهای عبور | |
| 3 | حمله رمز عبور | انجام هرگونه اقدامات مخرب مربوط به دستیابی به دسترسی غیرمجاز | |
| 4 | جایگزینی شبکه قابل اعتماد | تغییر مسیر پیام ها ، تغییرات غیرمجاز در داده های آدرس مسیر. دسترسی غیرمجاز به منابع شبکه ، تحمیل اطلاعات نادرست | |
| 5 | تحمیل یک مسیر کاذب | تغییر غیرمجاز داده های آدرس مسیر ، تجزیه و تحلیل و انتقال داده های منتقل شده ، تحمیل پیام های دروغین | |
| 6 | اجرای یک شیء شبکه کاذب | رهگیری و مشاهده ترافیک. دسترسی غیرمجاز به منابع شبکه ، تحمیل اطلاعات نادرست | |
| 7 | خود داری از خدمات | فرسودگی جزئی منابع | پهنای باند کانالهای ارتباطی ، عملکرد دستگاههای شبکه. عملکرد برنامه سرور کاهش یافته است |
| فرسودگی منابع | عدم امکان ارسال پیام به دلیل عدم دسترسی به محیط انتقال ، عدم برقراری اتصال. انکار سرویس (ایمیل ، پرونده و غیره) | ||
| نقض اتصال منطقی بین صفات ، داده ها ، اشیاء | عدم امکان انتقال پیام به دلیل عدم وجود داده های صحیح آدرس مسیر. عدم امکان دریافت خدمات به دلیل اصلاح غیرمجاز شناسه ها ، رمزهای عبور و غیره. | ||
| استفاده از اشکالات در برنامه ها | نقص دستگاه شبکه | ||
| 8 | راه اندازی برنامه از راه دور | با ارسال پرونده های حاوی کد اجرایی مخرب ، عفونت ویروس | نقض محرمانه بودن ، صداقت ، در دسترس بودن اطلاعات |
| با سرریز بافر برنامه سرور | |||
| با استفاده از قابلیت های کنترل از راه دور سیستم ارائه شده توسط نرم افزار پنهان و نشانک های سخت افزاری یا با استفاده از وسایل منظم | مدیریت سیستم پنهان | ||
روند اجرای تهدید در حالت کلی شامل چهار مرحله است:
جمع آوری اطلاعات؛
نفوذ (نفوذ به محیط عملیاتی)؛
دسترسی غیرمجاز؛
انحلال آثار دسترسی غیرمجاز.
در مرحله جمع آوری اطلاعات ، متخلف ممکن است به اطلاعات مختلفی در مورد ISPDn علاقه مند باشد ، از جمله:
الف) توپولوژی شبکه ای که سیستم در آن کار می کند. در این حالت می توان منطقه اطراف شبکه را مورد بررسی قرار داد (برای مثال ، ممکن است متجاوز به آدرس میزبان قابل اعتماد اما کمتر ایمن علاقه داشته باشد). از ساده ترین دستورات می توان برای تعیین در دسترس بودن میزبان استفاده کرد (برای مثال ، دستور پینگ برای ارسال درخواست های ICMP ECHO_REQUEST منتظر پاسخ های ICMP ECHO_REPLY روی آنها). سرویس هایی وجود دارد که تعیین موازی در دسترس بودن میزبان را انجام می دهند (مانند fping) ، که می تواند در یک بازه زمانی کوتاه ، مساحت زیادی از فضای آدرس را برای دسترسی به میزبان اسکن کند. توپولوژی شبکه اغلب بر اساس "پیشخوان گره" (فاصله بین میزبان) تعیین می شود. در این حالت ممکن است از روش هایی مانند "مدولاسیون ttL" و ضبط مسیر استفاده شود.
روش "مدولاسیون ttL" توسط برنامه traceroute (برای ویندوز NT - tracert.exe) پیاده سازی شده است و شامل تعدیل زمینه ttL بسته های IP است. بسته های ICMP ایجاد شده توسط دستور پینگ می توانند برای ضبط مسیر استفاده شوند.
جمع آوری اطلاعات همچنین ممکن است براساس درخواست ها باشد:
در مورد لیست میزبان های ثبت شده (و احتمالاً فعال) به سرور DNS.
به یک روتر مبتنی بر RIP در مورد مسیرهای شناخته شده (اطلاعات توپولوژی شبکه)؛
دستگاههای نادرست پیکربندی شده که از پروتکل SNMP پشتیبانی می کنند (اطلاعات توپولوژی شبکه).
اگر ISPD در پشت دیوار آتش (ME) قرار داشته باشد ، می توان اطلاعات مربوط به پیکربندی ME و توپولوژی ISPD را برای ME جمع آوری کرد ، از جمله با ارسال بسته هایی به کلیه درگاه های تمام میزبان های در نظر گرفته شده در شبکه داخلی (محافظت شده).
b) نوع سیستم عامل (OS) در ISPDn. شناخته شده ترین روش برای تعیین نوع سیستم عامل میزبان بر اساس این واقعیت است که انواع مختلف سیستم عامل الزامات استانداردهای RFC را برای پشته TCP / IP به روش های مختلفی پیاده سازی می کند. این امر به مهاجمان این امکان را می دهد تا با ارسال درخواست های ویژه تولید شده و تجزیه و تحلیل پاسخ های دریافتی ، نوع سیستم عامل نصب شده روی میزبان ISPD را از راه دور شناسایی کند.
ابزارهای ویژه ای وجود دارند که این روش ها را پیاده سازی می کنند ، به ویژه ، Nmap و QueSO. همچنین می توان چنین روشی را برای تعیین نوع سیستم عامل به عنوان ساده ترین درخواست برای برقراری اتصال با استفاده از پروتکل دسترسی از راه دور telnet (اتصال telnet) یادداشت کرد ، در نتیجه ، می توان با استفاده از "ظاهر" پاسخ ، نوع سیستم عامل میزبان را تعیین کرد. حضور برخی خدمات خاص می تواند به عنوان علامت دیگری برای تعیین نوع سیستم عامل میزبان باشد.
ج) در مورد خدماتی که در میزبان ها کار می کنند. تعریف خدمات در حال اجرا بر روی هاست مبتنی بر روش تشخیص "درگاه های باز" است ، با هدف جمع آوری اطلاعات در مورد در دسترس بودن میزبان. به عنوان مثال ، برای تعیین درگاه UDP ، باید پاسخی را برای ارسال بسته UDP به درگاه مربوطه دریافت کنید:
اگر یک پیام ICMP PORT UNREACHEBLE برگردانده شود ، سرویس مربوطه در دسترس نیست.
اگر این پیام دریافت نشود ، درگاه "باز" \u200b\u200bاست.
تغییرات متغیر در استفاده از این روش بسته به پروتکل مورد استفاده در پشته پروتکل TCP / IP امکان پذیر است.
برای خودکارسازی مجموعه اطلاعات در مورد ISPDn ، ابزارهای نرم افزاری زیادی ایجاد شده است. به عنوان نمونه می توان به موارد زیر اشاره کرد:
1) Strobe ، Portscanner - ابزارهای بهینه سازی شده برای تعیین خدمات موجود بر اساس بررسی پورت های TCP.
2) Nmap ابزاری برای اسکن کردن خدمات در دسترس برای لینوکس ، FreeBSD ، Open BSD ، Solaris ، Windows NT است. این در حال حاضر محبوب ترین وسیله برای اسکن خدمات شبکه است.
3) Asko ابزاری با دقت بالا برای تعیین سیستم عامل میزبان شبکه بر اساس ارسال زنجیره ای از بسته های صحیح و نادرست TCP ، تجزیه و تحلیل پاسخ و مقایسه آن با بسیاری از پاسخ های شناخته شده سیستم عامل های مختلف است. این ابزار امروزه نیز یک ابزار محبوب اسکن است.
4) Cheops - یک اسکنر توپولوژی شبکه به شما امکان می دهد توپولوژی شبکه ، از جمله تصویر یک دامنه ، مناطق آدرس IP و غیره را بدست آورید. در این حالت ، سیستم عامل میزبان و همچنین دستگاههای ممکن شبکه (چاپگر ، روتر و غیره) تعیین می شود.
5) Firewalk - یک اسکنر که به منظور تحلیل پاسخ به بسته های IP برای تعیین پیکربندی فایروال و ساخت توپولوژی شبکه از روش های برنامه ردیاب استفاده می کند.
در مرحله تهاجم ، وجود آسیب پذیری های معمولی در خدمات سیستم یا خطاها در اجرای سیستم مورد بررسی قرار می گیرد. نتیجه موفقیت آمیز از آسیب پذیری ها معمولاً فرایندی است که توسط آن متجاوز یک حالت اجرای ممتاز (دسترسی به حالت اجرای ممتاز پردازنده فرمان) را بدست می آورد ، کاربر غیرقانونی را وارد سیستم می کند ، یک فایل رمز عبور را بدست می آورد یا میزبان مورد حمله را مختل می کند.
این مرحله از تهدید ، به طور معمول ، چند مرحله است. مراحل اجرای تهدید ممکن است شامل ، به عنوان مثال باشد:
برقراری ارتباط با میزبان در رابطه با اینکه تهدید اجرا می شود.
شناسایی آسیب پذیری.
معرفی بدافزارها به نفع توانمند سازی و غیره
تهدیدهایی که در مرحله نفوذ متوجه می شوند با سطح پشته پروتکل TCP / IP تقسیم می شوند ، زیرا بسته به مکانیسم حمله مورد استفاده ، در سطح شبکه ، حمل و نقل یا برنامه کاربردی تشکیل می شوند.
تهدیدهای معمولی که در سطح شبکه و سطح حمل و نقل اجرا می شود عبارتند از:
الف) تهدید با هدف جایگزینی یک اشیای قابل اعتماد؛
ب) تهدید با هدف ایجاد مسیر نادرست در شبکه؛
ج) تهدیدات با هدف ایجاد یک شیء کاذب با استفاده از کاستی های الگوریتم های جستجوی راه دور
د) انکار تهدیدات خدمات مبتنی بر Defragmentation IP ، شکل گیری درخواست های نادرست ICMP (به عنوان مثال حملات پینگ مرگ و اسمورف) ، بر روی تشکیل درخواست های نادرست TCP (حمله زمینی) ، ایجاد "طوفان" بسته ها با درخواست اتصال (حملات سیل SYN) و غیره
تهدیدهای معمولی که در سطح برنامه اعمال می شود شامل تهدیداتی است که با هدف راه اندازی غیرمجاز برنامه ها ، تهدیدهایی که اجرای آنها با معرفی نشانک های نرم افزاری (مانند اسب Trojan) همراه است ، شناسایی رمزهای عبور برای دسترسی به شبکه یا میزبان خاص و غیره همراه است.
در صورت تهدید برای متخلف بالاترین حق دسترسی در سیستم را ندارد ، تلاش برای گسترش این حقوق به بالاترین حد ممکن امکان پذیر است. به همین منظور ، از آسیب پذیری نه تنها خدمات شبکه ، بلکه از آسیب پذیری های نرم افزار سیستم میزبان های ISPDn نیز می توان استفاده کرد.
در مرحله اجرای دسترسی غیرمجاز ، هدف واقعی تهدید محقق می شود:
نقض محرمانه بودن (کپی کردن ، توزیع غیرقانونی)؛
نقض صداقت (تخریب ، تغییر)؛
نقض دسترسی (مسدود کردن).
در همان مرحله ، پس از این اقدامات ، به طور معمول ، یک "درب پشت" به شکل یکی از خدمات (مأمورین) در خدمت یک بندر خاص و اجرای دستورات مزاحم ایجاد می شود. درب پشت به منظور اطمینان از اینكه در سیستم باقی مانده است:
امکان دستیابی به میزبان ، حتی اگر مدیر آسیب پذیری مورد استفاده برای اجرای موفقیت آمیز این تهدید را از بین ببرد.
توانایی دسترسی به میزبان تا حد امکان با احتیاط؛
فرصت هایی برای دسترسی سریع به میزبان (بدون تکرار روند اجرای تهدید).
"ورودی سیاه" به مهاجم اجازه می دهد تا یک برنامه مخرب را به شبکه یا به هاست خاص تزریق کند ، به عنوان مثال "رمز عبور رمز عبور" - برنامه ای که شناسه ها و رمزهای عبور کاربر را از ترافیک شبکه استخراج می کند در هنگام کار با پروتکل های سطح بالا (ftp ، telnet ، rlogin و غیره) .d.) از اهداف معرفی بدافزار می توان به برنامه های تأیید هویت و شناسایی ، خدمات شبکه ، هسته سیستم عامل ، فایل سیستم ، کتابخانه ها و غیره اشاره کرد.
سرانجام ، در مرحله از بین بردن آثار تهدید ، تلاش می شود اثری از اقدامات متخلف را از بین ببرد. در این حالت ، سوابق مربوطه از تمام پرونده های حسابرسی احتمالی ، از جمله سوابق مربوط به جمع آوری اطلاعات حذف می شوند.
5.5 توضیحات کلی تهدیدات نرم افزار و تأثیرات ریاضیقرار گرفتن در معرض نرم افزار و ریاضی قرار گرفتن در معرض نرم افزارهای مخرب است. برنامه ای با پیامدهای بالقوه خطرناک یا یک برنامه مخرب به یک برنامه مستقل خاص (مجموعه دستورالعمل) گفته می شود که قادر به انجام هرگونه زیر مجموعه غیرمتعارف از توابع زیر است:
علائم حضور آنها در محیط نرم افزار رایانه را پنهان کنید.
توانایی تکثیر خود ، پیوند دادن خود با سایر برنامه ها و (یا) انتقال قطعات آن به مناطق دیگر RAM یا حافظه خارجی.
کد برنامه را در RAM خراب کنید (به طور تصادفی تحریف کنید).
عملکردهای مخرب (کپی کردن ، تخریب ، مسدود کردن و غیره) را بدون شروع توسط کاربر انجام دهید (برنامه کاربر در حالت عادی اجرای آن)
در برخی از مناطق حافظه دسترسی مستقیم خارجی (محلی یا از راه دور) بخشی از اطلاعات را از RAM ذخیره کنید.
به طور خودسرانه اعوجاج ، بلوک و (یا) آرایه اطلاعاتی را که در نتیجه عملکرد برنامه های برنامه یا آرایه های داده ایجاد شده است ، جایگزین کنید و یا به حافظه خارجی یا کانال ارتباطی منتقل شوید.
برنامه های مخرب می توانند به صورت عمدی و تصادفی به نرم افزاری که در ISPD در طول توسعه ، نگهداری ، اصلاح و پیکربندی آن استفاده می شود ، معرفی شوند. علاوه بر این ، برنامه های مخرب می توانند در حین کار ISDN از رسانه های ذخیره سازی خارجی یا از طریق تعامل شبکه در نتیجه دسترسی غیرمجاز یا به طور تصادفی توسط کاربران ISDN معرفی شوند.
برنامه های بدافزارهای مدرن مبتنی بر سوءاستفاده از آسیب پذیری های انواع نرم افزارها (سیستم ، عمومی ، کاربرد) و فن آوری های مختلف شبکه ، دارای طیف گسترده ای از قابلیت های مخرب (از تحقیقات غیرمجاز پارامترهای ISPD بدون دخالت در عملکرد ISPD ، تا از بین بردن نرم افزار PDN و ISPD) می باشند و می توانند در انواع نرم افزار (سیستم ، برنامه ، در درایور سخت افزار و غیره) عمل کنید.
وجود بدافزار در ISPD ممکن است باعث پنهان شدن کانالها ، از جمله غیر سنتی ، دسترسی به اطلاعاتی شود که امکان باز کردن ، دور زدن یا مسدود کردن مکانیسمهای امنیتی پیش بینی شده در سیستم ، از جمله رمز عبور و محافظت از رمزنگاری را می دهد.
انواع اصلی بدافزارها عبارتند از:
نشانک های نرم افزار؛
ویروس های نرم افزاری کلاسیک (رایانه ای)؛
گسترش بدافزار از طریق شبکه (کرمهای شبکه)؛
سایر برنامه های مخرب که برای انجام دسترسی غیرمجاز طراحی شده اند.
نشانک های نرم افزار شامل برنامه ها ، قطعات کد و دستورالعمل هایی هستند که ویژگی های نرم افزار اعلام نشده را تشکیل می دهند. برنامه های مخرب می توانند از یک نوع به نوع دیگر تغییر کنند ، به عنوان مثال ، یک نشانک برنامه می تواند ویروس برنامه ایجاد کند ، که به نوبه خود ، یک بار در شرایط شبکه ، می تواند کرم شبکه یا برنامه مخرب دیگری را ایجاد کند که برای انجام دسترسی غیرمجاز طراحی شده است.
طبقه بندی ویروس های نرم افزاری و کرم های شبکه در شکل 14 نشان داده شده است. شرح مختصری از بدافزار اصلی به شرح زیر است. ویروس های بوت خود را یا به بخش بوت دیسک (بخش بوت) یا بخش حاوی سیستم بارگیر سیستم (Master Boot Record) می نویسند ، یا نشانگر را به بخش فعال بوت تغییر می دهند. آنها هنگام بوت شدن از دیسک آلوده در حافظه کامپیوتر تعبیه شده اند. در این حالت ، لودر سیستم مطالب بخش اول دیسک را که بارگیری از آن ساخته شده است ، می خواند ، اطلاعات خوانده شده را در حافظه قرار می دهد و کنترل آن را به آن منتقل می کند (یعنی ویروس). پس از آن ، ویروس شروع به اجرا می کند ، که به طور معمول ، باعث کاهش میزان حافظه آزاد می شود ، کد آن را به فضای آزاد کپی می کند و ادامه آن (در صورت وجود) از دیسک را می خواند ، بردارهای قطع کننده لازم (معمولاً INT 13H) را خوانده ، اصل را در حافظه می خواند. بخش بوت و کنترل را به آن منتقل می کند.
در آینده ، ویروس boot به همان شیوه ای مانند ویروس فایل رفتار می کند: تماس های سیستم عامل را به دیسک ها منتقل می کند و آنها را آلوده می کند ، بسته به برخی شرایط انجام اقدامات مخرب ، باعث ایجاد جلوه های صوتی یا جلوه های ویدیویی می شود.
عمده ترین اقدامات مخرب انجام شده توسط این ویروس ها عبارتند از:
تخریب اطلاعات در بخش های فلاپی دیسک ها و دیسک های سخت؛
یک استثناء در مورد امکان بارگیری سیستم عامل (کامپیوتر منجمد می شود).
فساد کد bootloader؛
قالب بندی دیسک های فلاپی یا درایوهای منطقی هارد دیسک.
مسدود کردن دسترسی به درگاه های COM و LPT.
جایگزینی کاراکترها هنگام چاپ متن.
تکان دادن صفحه نمایش؛
برچسب دیسک یا دیسک را تغییر دهید.
ایجاد خوشه های شبه شکست خورده.
ایجاد جلوه های صوتی و (یا) تصویری (به عنوان مثال ، افتادن حروف روی صفحه نمایش).
فساد پرونده های داده؛
نمایش پیام های مختلف بر روی صفحه نمایش.
غیرفعال کردن دستگاه های جانبی (مانند صفحه کلید)؛
تغییر پالت صفحه نمایش.
پر کردن صفحه نمایش با کاراکترها یا تصاویر غیرمجاز؛
صفحه نمایش خاموش و ورودی آماده به کار از صفحه کلید.
رمزگذاری بخش هارد دیسک.
تخریب انتخابی شخصیت هایی که هنگام تایپ از صفحه کلید روی صفحه نمایش داده می شوند.
کاهش در RAM؛
با محتوای صفحه چاپ تماس بگیرید؛
نوشتن بر روی دیسک را مسدود کنید.
از بین بردن جدول پارتیشن (جدول پارتیشن دیسک) ، پس از آن کامپیوتر فقط می تواند از یک فلاپی دیسک بوت شود.
مسدود کردن راه اندازی پرونده های اجرایی؛
مسدود کردن دسترسی به هارد دیسک.
شکل 14. طبقه بندی ویروس های نرم افزاری و کرم های شبکه
اکثر ویروس های بوت خود را بر روی دیسک های فلاپی بازنویسی می کنند.
روش عفونت "رونویسی" ساده ترین است: ویروس به جای کد پرونده آلوده ، کد خود را می نویسد و محتویات آن را از بین می برد. به طور طبیعی ، پرونده کار را متوقف می کند و بازیابی نمی شود. این ویروس ها خیلی سریع خود را تشخیص می دهند ، زیرا سیستم عامل و برنامه های کاربردی خیلی سریع متوقف می شوند.
رده همراهان شامل ویروس هایی است که پرونده های آلوده را اصلاح نمی کنند. الگوریتم این ویروس ها این است که یک پرونده مضاعف برای پرونده آلوده ایجاد می شود و با راه اندازی پرونده آلوده ، این دوتایی ، یعنی ویروس کنترل می شود. رایج ترین ویروس های همراه که از ویژگی DOS استفاده می کنند اولین کسی هستند که اگر دو پرونده با نام مشابه در همان فهرست وجود داشته باشد اما با پسوندهای نام متفاوت - .COM و.EXE فایلهایی را با پسوند .COM اجرا می کنند. چنین ویروس ها برای ماهواره هایی برای پرونده های EXE ایجاد می کنند که دارای همان نام هستند اما با پسوند .COM ، به عنوان مثال ، پرونده XCOPY.COM برای پرونده XCOPY.EXE ایجاد می شود. ویروس به پرونده COM نوشته شده است و به هیچ وجه پرونده EXE را تغییر نمی دهد. با راه اندازی چنین پرونده ای ، DOS اولین کسی خواهد بود که پرونده COM را کشف و اجرا می کند ، یعنی ویروسی که پس از آن پرونده EXE را راه اندازی می کند. گروه دوم شامل ویروس هایی است که در هنگام عفونت ، فایل را به نام دیگری تغییر نام می دهند ، آن را به خاطر می آورند (برای راه اندازی بعدی پرونده میزبان) ، و کد آنها را بر روی دیسک بنام پرونده آلوده بنویسید. به عنوان مثال ، پرونده XCOPY.EXE به XCOPY.EXD تغییر نام داده می شود و ویروس تحت نام XCOPY.EXE نوشته شده است. در هنگام راه اندازی ، کنترل کد ویروس را دریافت می کند ، که سپس XCOPY اصلی را که با نام XCOPY.EXD ذخیره شده است ، راه اندازی می کند. یک واقعیت جالب این است که به نظر می رسد این روش روی تمام سیستم عامل ها کار می کند. گروه سوم شامل ویروس های به اصطلاح "مسیر همراه" است. آنها یا کد خود را با نام پرونده آلوده می نویسند ، اما یک سطح "بالاتر" در مسیرهای تجویز شده (DOS ، به این ترتیب اولین کسی خواهد بود که پرونده ویروس را شناسایی و راه اندازی می کند) ، یا پرونده قربانی را یکی از زیرمجموعه های فوق و غیره انتقال می دهد.
ممکن است انواع دیگری از ویروسهای همراه وجود داشته باشد که از ایده های اصلی یا سایر ویژگی های سیستم عامل های دیگر استفاده می کنند.
کرم های پرونده (کرم) به یک معنا نوعی ویروس همراه هستند ، اما به هیچ وجه حضور آنها را با هیچ پرونده اجرایی مرتبط نمی کنند. هنگام انتشار ، آنها به امید اینکه این نسخه های جدید توسط کاربر راه اندازی شود ، فقط کدهای خود را در هر دایرکتوری دیسک کپی می کنند. بعضی اوقات این ویروسها نسخه های خود را به نام های "ویژه" می دهند تا کاربر را وادار کند نسخه خود را شروع کند - به عنوان مثال INSTALL.EXE یا WINSTART.BAT. ویروس های کرم وجود دارد که از ترفندهای نسبتاً غیرمعمول استفاده می کنند ، برای مثال ، نوشتن نسخه های خود را به بایگانی (ARJ ، ZIP و سایر موارد). برخی از ویروس ها دستور راه اندازی یک فایل آلوده در پرونده های .bat را می نویسند. کرمهای پرونده نباید با کرمهای شبکه اشتباه گرفته شوند. اولی فقط از توابع پرونده هر سیستم عامل استفاده می کند ، در حالی که دومی برای انتشار خود از پروتکل های شبکه استفاده می کنند.
ویروس های پیوند ، مانند ویروس های همراه ، محتوای فیزیکی پرونده ها را تغییر نمی دهند ، با این حال ، هنگامی که یک پرونده آلوده راه اندازی می شود ، آنها سیستم عامل را مجبور به اجرای کد آن می کنند. آنها با اصلاح زمینه های لازم سیستم پرونده ، به این هدف می رسند.
ویروس هایی که به کتابخانه های کامپایلر ، ماژول های اشیاء و کد منبع برنامه آلوده می شوند ، کاملاً عجیب و غریب و عملاً غیر معمول هستند. ویروس های آلوده به فایل های OBJ و LIB کد خود را در قالب یک ماژول شی یا کتابخانه می نویسند. بنابراین پرونده آلوده قابل اجرا نیست و قادر به گسترش بیشتر ویروس در وضعیت فعلی خود نیست. حامل ویروس "زنده" به پرونده COM یا EXE تبدیل می شود.
پس از به دست آوردن کنترل ، یک ویروس پرونده اقدامات کلی زیر را انجام می دهد:
در صورت عدم یافتن نسخه ای از ویروس ، حافظه رایانه را بررسی می کند و حافظه رایانه را آلوده می کند (در صورت ویروس ساکن نیست) ، با اسکن درخت فهرست دایرکتوری های منطقی ، پرونده های ضد عفونی شده را در فهرست موجود یا ریشه جستجو می کند ، و سپس پرونده های شناسایی شده را آلوده می کند. ؛
عملکردهای اضافی (در صورت وجود) را انجام می دهد: اقدامات مخرب ، جلوه های گرافیکی یا صدا و غیره. (عملکردهای اضافی ویروس ساکن بسته به زمان فعلی ، پیکربندی سیستم ، پیشخوان داخلی ویروس یا سایر شرایط ، می تواند برخی از زمانها را فراخوانی کند ، در این حالت ، هنگام فعال سازی ، ویروس وضعیت ساعت سیستم را پردازش می کند ، شمارنده های خاص خود را تنظیم می کند و غیره.)؛
لازم به ذکر است هرچه ویروس سریعتر شیوع پیدا کند ، احتمال بروز همه گیر این ویروس بیشتر می شود ، ویروس کندتر کندتر می شود ، تشخیص آن دشوارتر خواهد بود (اگر البته این ویروس ناشناخته باشد). ویروس های غیر مقیم اغلب "کند" هستند - بیشتر آنها هنگام راه اندازی ، یک یا دو یا سه پرونده را آلوده می کنند و زمان سیل کردن کامپیوتر را قبل از شروع برنامه آنتی ویروس ندارند (یا هنگامی که نسخه جدیدی از آنتی ویروس تنظیم شده برای این ویروس ظاهر می شود). البته ویروس های "سریع" غیر مقیم وجود دارد که پس از راه اندازی ، کلیه پرونده های اجرایی را جستجو و آلوده می کنند ، اما چنین ویروس ها بسیار قابل توجه هستند: با شروع هر پرونده آلوده ، رایانه به طور فعال با برخی از (گاهی اوقات بسیار طولانی) با هارد دیسک کار می کند ، که این ویروس را از بین می برد. سرعت انتشار (عفونت) ویروس های مقیم معمولاً بیشتر از ویروس های غیر مقیم است - در هنگام دسترسی پرونده ها را آلوده می کنند. در نتیجه ، تمام یا تقریباً تمام پرونده هایی که دائماً در کار استفاده می شوند ، بر روی دیسک آلوده می شوند. میزان انتشار (عفونت) ویروس های پرونده رزیدنت که فقط هنگام راه اندازی مجدد پرونده ها به پرونده ها آلوده می شوند ، از ویروس هایی که به فایل ها آلوده می شوند کمتر است و در هنگام باز کردن ، تغییر نام ، تغییر صفات پرونده و غیره.
بنابراین ، عمده ترین اقدامات تخریبی که توسط ویروس های پرونده انجام می شود ، با شکست دادن پرونده ها (معمولاً پرونده های اجرایی یا داده ها) ، راه اندازی غیرمجاز دستورات مختلف (از جمله قالب بندی ، تخریب ، کپی و غیره) ، تغییر جدول بردارهای قطع و ... همراه است. در همان زمان ، بسیاری از اقدامات مخرب مشابه اقدامات نشان داده شده برای ویروس های بوت انجام می شود.
ویروس های کلان برنامه هایی به زبان ها (زبان های کلان) هستند که در برخی از سیستم های پردازش داده ها (ویرایشگر متن ، صفحه گسترده و غیره) تعبیه شده اند. برای تولید مثل آنها ، این ویروس ها از قابلیت های زبان های کلان استفاده می کنند و به کمک آنها ، خود را از یک پرونده آلوده (سند یا جدول) به دیگران منتقل می کنند. رایج ترین ویروس های ماکرو برای بسته برنامه Microsoft Office.
برای وجود ویروس ها در یک سیستم خاص (ویرایشگر) ، لازم است یک زبان کلان با ویژگی های زیر در سیستم ایجاد شود:
1) اتصال برنامه به زبان کلان به یک پرونده خاص.
2) کپی کردن برنامه های کلان از یک پرونده به پرونده دیگر؛
3) به دست آوردن کنترل برنامه کلان بدون دخالت کاربر (ماکروهای اتوماتیک یا استاندارد).
این شرایط توسط برنامه های کاربردی Microsoft Word ، Excel و Microsoft Access تأمین می شود. آنها حاوی زبانهای کلان هستند: Word Basic ، ویژوال بیسیک برای برنامه های کاربردی. که در آن:
1) برنامه های کلان به یک پرونده خاص گره خورده و یا درون پرونده هستند.
2) زبان کلان به شما امکان کپی کردن فایل ها یا انتقال برنامه های کلان به پرونده های سرویس سیستم و فایلهای قابل ویرایش را می دهد.
3) هنگام کار با یک پرونده تحت شرایط خاص (افتتاح ، بسته شدن و غیره) به برنامه های کلان (در صورت وجود) گفته می شود که به روش خاصی تعریف شده اند یا دارای اسامی استاندارد هستند.
این ویژگی از زبان های کلان برای پردازش خودکار داده ها در سازمان های بزرگ یا در شبکه های جهانی در نظر گرفته شده است و به شما امکان می دهد به اصطلاح "مدیریت اسناد خودکار" را سازماندهی کنید. از طرف دیگر ، قابلیت های کلان زبان اینگونه سیستم ها به ویروس امکان انتقال کد خود را به پرونده های دیگر و در نتیجه آنها را آلوده می کند.
اکثر ویروس های کلان نه تنها در زمان باز شدن (بسته شدن) پرونده ، بلکه تا زمانی که خود ویرایشگر فعال باشد ، فعال هستند. آنها شامل تمام عملکردهای خود به صورت ماکروهای استاندارد Word / Excel / Office هستند. با این وجود ویروس هایی وجود دارند که از ترفندهایی برای مخفی کردن کد خود و ذخیره کد آنها به صورت غیر ماکرو استفاده می کنند. سه ترفند مشابه شناخته شده است ، همه آنها از توانایی ماکرو در ایجاد ، ویرایش و اجرای سایر ماکروها استفاده می کنند. به طور معمول ، این ویروس ها دارای یک لودر کوچک ماکرو (گاهی پلی مورفیک) ماکرو ویروس هستند که ویرایشگر ماکرو داخلی را می نامند ، یک ماکرو جدید ایجاد می کنند ، آن را با کد ویروس اصلی جمع می کنند ، آن را اجرا می کنند و سپس ، به طور معمول ، آن را از بین می برند (برای پنهان کردن اثری از وجود ویروس). کد اصلی چنین ویروس ها یا در خود ماکرو ویروس به صورت رشته های متن (گاهی رمزگذاری شده) موجود است ، یا در ناحیه متغیر سند ذخیره می شود.
ویروس های شبکه شامل ویروس هایی هستند که بطور فعال از پروتکل ها و قابلیت های شبکه های محلی و جهانی برای توزیع آنها استفاده می کنند. اصل اساسی ویروس شبکه توانایی انتقال مستقل کد آن به سرور از راه دور یا ایستگاه کاری است. در این حالت ، ویروس های شبکه تمام عیار این قابلیت را دارند که کدهای خود را روی یک رایانه از راه دور اجرا کنند یا حداقل ، "فشار" را به یک کاربر برای راه اندازی یک پرونده آلوده وارد کنند.
برنامه های مخرب که اجرای دسترسی غیرمجاز را تضمین می کنند عبارتند از:
برنامه های ترک و رمز عبور رمز عبور؛
برنامه هایی که تهدیدها را پیاده سازی می کند.
برنامه هایی که نشان دهنده استفاده از قابلیت های اعلام نشده نرم افزار و نرم افزار سخت افزاری ISPDn است.
ژنراتورهای ویروس رایانه ای؛
برنامه هایی که آسیب پذیری های ابزارهای امنیتی اطلاعات و غیره را نشان می دهد.
به دلیل افزایش پیچیدگی و تنوع نرم افزار ، تعداد برنامه های مخرب به سرعت در حال رشد است. امروزه بیش از 120 هزار امضای ویروس رایانه ای شناخته شده است. با این حال ، همه آنها یک تهدید واقعی نیستند. در بسیاری از موارد ، از بین بردن آسیب پذیری ها در سیستم یا نرم افزار کاربردی باعث شده است که تعدادی از برنامه های مخرب دیگر قادر به نفوذ به آنها نباشند. اغلب خطر اصلی بدافزارهای جدید است.
5.6 ویژگی های کلی کانال های اطلاعاتی غیر سنتییک کانال اطلاعاتی غیر متعارف ، کانال انتقال اطلاعات پنهانی با استفاده از کانالهای ارتباطی سنتی و تبدیل ویژه اطلاعات منتقل شده که رمزنگاری نیستند.
برای تشکیل کانالهای غیر سنتی می توان از روشهای زیر استفاده کرد:
استگانوگرافی رایانه؛
بر اساس دستکاری ویژگی های مختلف ISPD که می توان مجاز به دست آورد (به عنوان مثال ، زمان پردازش درخواستهای مختلف ، میزان حافظه در دسترس یا پرونده قابل خواندن یا شناسه های پردازش و غیره)
روش استگانوگرافی رایانه ای برای مخفی کردن واقعیت انتقال پیام با جاسازی اطلاعات پنهان در داده های به ظاهر بی ضرر (فایل های متنی ، گرافیکی ، صوتی یا تصویری) طراحی شده و شامل دو گروه از روش های مبتنی بر:
استفاده از خصوصیات ویژه فرمت های رایانه ای برای ذخیره و انتقال داده ها.
در مورد افزونگی اطلاعات صوتی ، تصویری یا متنی از منظر ویژگیهای روحی و روانی ادراک انسان.
طبقه بندی روش های استگانوگرافی رایانه در شکل 15 نشان داده شده است. ویژگی های مقایسه آنها در جدول 4 آورده شده است.
روشهای مخفی سازی اطلاعات در stecocontainers گرافیکی در حال حاضر بیشترین استفاده و کاربردی است. این امر به دلیل وجود مقدار نسبتاً زیادی از اطلاعات است که بدون ایجاد تحریف قابل توجه در تصویر ، وجود اطلاعات پیشینی در مورد اندازه ظروف ، وجود اطلاعات اولیه ممکن است در وجود تصاویر واقعی از مناطق بافتی که دارای ساختار نویز هستند و به خوبی برای جاسازی اطلاعات ، روشهای پیشرفته پردازش تصویر دیجیتال و دیجیتالی مناسب هستند. قالب های ارائه تصویر در حال حاضر ، تعدادی از نرم افزارهای تجاری و تجاری رایگان و در دسترس کاربر معمولی قرار دارند که روشهای معروف شناخته شده پنهان کاری پنهان کردن اطلاعات را پیاده سازی می کنند. در این حالت عمدتا از ظروف گرافیکی و صوتی استفاده می شود.
شکل 15. طبقه بندی روشهای تبدیل اطلاعات پله ای (STI)
جدول 4
ویژگی های تطبیقی \u200b\u200bروشهای استگانوگرافی تبدیل اطلاعات
| روش استگانوگرافی | شرح مختصر روش | معایب | فواید |
| روشهای پنهان کردن اطلاعات در ظروف صوتی | |||
| بر اساس نوشتن پیام به حداقل بیت های قابل توجهی از سیگنال اصلی. یک سیگنال صوتی بدون فشرده معمولاً به عنوان یک ظرف استفاده می شود. | انتقال پیام مخفی کم. مقاومت در برابر اعوجاج کم. فقط برای قالب های صوتی خاص استفاده می شود. | ||
| روش پنهان سازی طیف | این مبتنی بر تولید نویز شبه تصادفی است که تابعی از پیام تعبیه شده است و مخلوط کردن سر و صدای دریافت شده با ظرف اصلی سیگنال به عنوان یک مؤلفه افزودنی. رمزگذاری جریان اطلاعات با پراکندگی داده های رمزگذاری شده بر روی طیف فرکانس | ||
| روش پنهان اکو | این مبتنی بر استفاده از سیگنال صوتی خود به عنوان سیگنال شبیه سر و صدا است که بسته به پیام معرفی شده با تأخیر در دوره های مختلف بستگی دارد ("اکو مهره") | استفاده کم از ظروف. هزینه محاسبات قابل توجه | نسبتاً زیاد مخفیکاری پیام |
| روش پنهان کردن فاز سیگنال | براساس این واقعیت که گوش انسان نسبت به ارزش مطلق فاز هارمونیک ها بی حساس است. سیگنال صوتی به دنباله ای از بخش ها تقسیم می شود ، پیام با تغییر فاز بخش اول تعبیه شده است | استفاده کم از ظروف | نسبت به روشهای پنهان کاری در NZB از اسرار قابل توجهی بالاتر است |
| روشهای مخفی کردن اطلاعات در ظروف متن | |||
| روش مخفی سازی مبتنی بر فضا | این است که در قرار دادن فاصله در انتهای خطوط ، پس از علائم نگارشی ، بین کلمات هنگام تراز کردن طول خطوط | روشها برای انتقال متن از یک قالب به قالب دیگر حساس هستند. از دست دادن پیام ممکن است. کم خفا | پهنای باند کافی است |
| روش مخفی کردن بر اساس ویژگی های نحوی متن | بر اساس این واقعیت که قوانین نگارشی در نگارشی مبهم هستند | پهنای باند بسیار کم است. مشکل تشخیص پیام | فرصتی بالقوه برای انتخاب روشی وجود دارد که به روشی بسیار پیچیده برای افشای پیام نیاز دارد |
| روش مخفف مترادف | این مبتنی بر درج اطلاعات در متن با متناوب کلمات از هر گروه مترادف است | پیچیده در رابطه با زبان روسی در ارتباط با طیف گسترده ای از سایه ها در مترادف های مختلف | یکی از امیدوار کننده ترین روش ها این یک پیام خفا نسبتاً بالا است |
| روش مخفی سازی مبتنی بر خطا | این است که در مبنای بیت های اطلاعاتی برای خطاهای طبیعی ، غلط املاک ، نقض قوانین برای نوشتن ترکیب واکه ها و صامت ها ، جایگزین کردن الفبای سیریلیک با حروف همان ظاهر و غیره. | پهنای باند کم. به سرعت با تجزیه و تحلیل آماری فاش شد | بسیار آسان برای استفاده مخفیکاری بالا در تجزیه و تحلیل انسان |
| روش مخفی سازی بر اساس تولید quasitext | بر اساس تولید ظرف متن با استفاده از مجموعه قوانین برای ساخت جملات. رمزنگاری متقارن استفاده می شود. | پهنای باند کم. بی معنی بودن متن تولید شده است | رازداری با روش های رمزگذاری تعیین می شود و معمولاً بسیار زیاد است. |
| روش مخفی سازی مبتنی بر قلم | این درج درج اطلاعات با تغییر نوع فونت و اندازه حروف و همچنین امکان جاسازی اطلاعات در بلوک هایی با شناسه های ناشناخته برای مرورگر است. | با تبدیل استگوآنالیز آماری هنگام تبدیل مقیاس یک سند به راحتی قابل تشخیص است | استفاده از ظروف بالا |
| روش مخفی سازی بر اساس استفاده از سند و کد پرونده | بر اساس قرار دادن اطلاعات در زمینه های رزرو شده و بلااستفاده از طول متغیر | مخفیکاری کم با فرمت پرونده شناخته شده | آسان برای استفاده |
| روش پنهانکاری مبتنی بر ژارگون | بر اساس تغییر در معنی کلمات | پهنای باند کم باریک تخصصی. کم خفا | آسان برای استفاده |
| روش پنهانکاری با استفاده از کلمه ترکیبی طول کلمه | این مبتنی بر تولید متن است - ظرفی با تشکیل کلمات با طول معین مطابق قانون کدگذاری مشهور | پیچیدگی تشکیل یک ظرف و پیام | پنهان کاری کافی در تجزیه و تحلیل انسان |
| روش مخفی کردن حرف اول | این امر بر اساس تعبیه پیام در حروف اول کلمات متن با انتخاب کلمات است | مشکل در تهیه پیام. مخفیکاری پیام کم است | آزادی انتخاب بیشتری به اپراتوری که پیام را ارائه می دهد ، می دهد |
| روشهای پنهان کردن اطلاعات در ظروف گرافیکی | |||
| پنهان کردن روش در بیت های قابل توجه حداقل | بر اساس نوشتن پیام به حداقل قابل توجه ترین بیت های تصویر اصلی. | انتقال پیام مخفی کم. مقاومت در برابر اعوجاج کم | ظرفیت کانتینر کافی بالا (حداکثر 25٪) |
| روش پنهان سازی بر اساس اصلاح قالب نمای صفحه | براساس کاهش (تعویض) پالت رنگ و ترتیب رنگ در پیکسل ها با شماره های مجاور | عموماً برای تصاویر فشرده شده کاربرد دارد. انتقال پیام مخفی کم | ظرفیت کانتینر نسبتاً بالایی دارد |
| روش پنهانکاری با استفاده از عملکرد همبستگی | براساس جستجو با استفاده از تابع خود همبستگی مناطق حاوی داده های مشابه | پیچیدگی محاسبه | در برابر بیشتر تحولات کانتینر غیر خطی مقاوم است |
| روش پنهانکاری با استفاده از مدولاسیون غیرخطی یک پیام تعبیه شده | بر اساس مدولاسیون یک سیگنال شبه تصادفی با سیگنال حاوی اطلاعات پنهان | ||
| روش پنهان سازی بر اساس استفاده از مدولاسیون امضا شده از پیام تعبیه شده | بر اساس مدولاسیون یک سیگنال شبه تصادفی با سیگنال دو قطبی حاوی اطلاعات پنهان | دقت کم تشخیص تحریفات | پیام خفا به اندازه کافی بالا |
| روش مخفی سازی تبدیل موجک | بر اساس ویژگی های تبدیل موجک | پیچیدگی محاسبه | مخفیکاری بالا |
| روش پنهانکاری با استفاده از ترانسفورم کینین گسسته | بر اساس ویژگی های تبدیل گسسته گسسته | محاسبه مشکل | مخفیکاری بالا |
در کانالهای اطلاعاتی غیر سنتی مبتنی بر دستکاری خصوصیات مختلف منابع ISPD ، از برخی منابع مشترک برای انتقال داده استفاده می شود. در همین زمان ، در کانال هایی که از ویژگی های زمان استفاده می کنند ، مدولاسیون از زمان لازم برای اشغال منابع اشتراکی انجام می شود (به عنوان مثال ، با تعدیل مدت زمان مشغول پردازنده ، برنامه ها می توانند داده ها را تبادل کنند).
در کانال های حافظه ، از این منبع به عنوان یک بافر متوسط \u200b\u200bاستفاده می شود (برای مثال ، برنامه ها می توانند داده ها را با قرار دادن آنها در نام پرونده ها و دایرکتوری های ایجاد شده مبادله کنند). در کانال های پایگاه داده و دانش ، از وابستگی بین داده های ناشی از پایگاه داده های رابطه و دانش استفاده می شود.
کانال های اطلاعاتی غیر سنتی می توانند در سطوح مختلف عملکرد ISPD شکل بگیرند:
در سطح سخت افزار؛
در سطح میکرو کد و درایور دستگاه؛
در سطح سیستم عامل؛
در سطح نرم افزار کاربردی؛
در سطح عملکرد کانال های انتقال داده و خطوط ارتباطی.
این کانالها می توانند هم برای انتقال پنهان اطلاعات کپی شده و هم برای انتقال پنهان دستورات برای انجام اقدامات مخرب ، راه اندازی برنامه ها و غیره استفاده شوند.
برای اجرای کانال ها ، به عنوان یک قاعده ، لازم است یک تب نرم افزار یا سخت افزار - نرم افزار را وارد سیستم خودکار کنید که شکل گیری کانال غیر متعارف را فراهم می کند.
یک کانال اطلاعات غیر متعارف ممکن است به طور مداوم در سیستم وجود داشته باشد یا یکبار یا تحت شرایط مشخص شده فعال شود. در این حالت ، ممکن است بازخوردی با موضوع دسترسی غیر مجاز صورت گیرد.
5.7 مشخصات عمومی نتایج دستیابی غیرمجاز یا تصادفیتحقق تهدیدات برای دسترسی غیرمجاز به اطلاعات می تواند منجر به انواع زیر نقض امنیت آن شود:
نقض محرمانه بودن (کپی کردن ، توزیع غیرقانونی)؛
نقض صداقت (تخریب ، تغییر)؛
نقض دسترسی (مسدود کردن).
نقض محرمانه بودن در صورت نشت اطلاعات ممکن است انجام شود:
کپی کردن آن در رسانه های بیگانه؛
انتقال آن از طریق کانالهای داده؛
هنگام مشاهده یا کپی کردن آن هنگام تعمیر ، اصلاح و دفع نرم افزار و سخت افزار؛
در طول "جمع آوری زباله" توسط متجاوز در طول عملیات ISPDn.
نقض یکپارچگی اطلاعات به دلیل تأثیر (اصلاح) بر روی برنامه ها و داده های کاربر و همچنین اطلاعات فن آوری (سیستم) از جمله:
سیستم عامل ، داده ها و درایور دستگاه سیستم محاسبات؛
برنامه ها ، داده ها و درایور دستگاه هایی که سیستم عامل را بارگیری می کنند.
برنامه ها و داده ها (توصیف کننده ها ، توصیف کننده ها ، ساختارها ، جداول و غیره) سیستم عامل؛
برنامه ها و داده های نرم افزار برنامه؛
برنامه ها و داده های نرم افزار ویژه؛
مقادیر متوسط \u200b\u200b(عملیاتی) برنامه ها و داده ها در طی پردازش آنها (خواندن / نوشتن ، دریافت / انتقال) به وسیله و دستگاه های فن آوری رایانه.
نقض یکپارچگی اطلاعات در ISPDn همچنین می تواند با معرفی یک نرم افزار برنامه مخرب و بوکمارک های سخت افزاری یا تأثیر آن بر سیستم حفاظت از اطلاعات یا عناصر آن ایجاد شود.
علاوه بر این ، در ISPD می توان اطلاعات شبکه فن آوری را تحت تأثیر قرار داد ، که می تواند عملکرد ابزارهای مختلف مدیریت شبکه رایانه ای را فراهم کند:
تنظیمات شبکه
آدرس و مسیریابی انتقال داده ها در شبکه؛
کنترل عملکرد شبکه؛
امنیت اطلاعات بصورت آنلاین.
نقض در دسترس بودن اطلاعات با شکل گیری (اصلاح) داده های منبع تأمین می شود ، که در هنگام پردازش باعث عملکرد نادرست ، خرابی سخت افزار یا ضبط (بارگیری) منابع محاسباتی سیستم می شود که برای اجرای برنامه ها و بهره برداری از تجهیزات ضروری هستند.
این اقدامات ممکن است منجر به اختلال یا عدم عملکرد تقریبا هر وسیله فنی ISPDn شود:
امکانات پردازش اطلاعات؛
وسیله ورودی / خروجی اطلاعات؛
امکانات ذخیره سازی اطلاعات؛
تجهیزات و کانالهای انتقال.
ابزارهای امنیتی اطلاعات
