تهدیدات راه اندازی برنامه از راه دور. تهدیدات برای پیاده سازی در شبکه برنامه های مخرب

تهدید این است که تمایل به راه اندازی تروجان های مختلف پیش از اجرای در میزبان: برنامه های نشانه گذاری، ویروس ها، "جاسوسی شبکه"، هدف اصلی آن نقض محرمانه بودن، یکپارچگی، دسترسی اطلاعات و کنترل کامل بر کار میزبان است . علاوه بر این، امکان راه اندازی غیر مجاز برنامه های کاربردی کاربر برای غیر مجاز به دست آوردن اطلاعات لازم از نقض کننده، برای شروع فرایندهای مدیریت شده توسط برنامه کاربردی، و غیره امکان پذیر نیست.

سه منبع تهدید داده ها متمایز هستند:

توزیع فایل های حاوی کد اجرایی غیر مجاز؛

راه اندازی برنامه از راه دور با استفاده از overlowing بافرهای کاربردی؛

راه اندازی برنامه از راه دور با استفاده از ویژگی های کنترل از راه دور سیستم ارائه شده توسط نرم افزار مخفی و بوک مارک های سخت افزاری و یا استفاده شده توسط ابزار استاندارد.

تهدیدات معمول اول از زیر کلاس های مشخص شده بر اساس فعال سازی فایل های توزیع شده در صورت دسترسی تصادفی به آنها است. نمونه هایی از چنین فایل هایی می تواند باشد: فایل های حاوی کد اجرایی در اسناد مشاهده شامل کد اجرایی در قالب عناصر اکتیو ایکس، اپلت های جاوا، اسکریپت های تفسیر شده (به عنوان مثال، متون در جاوا اسکریپت)؛ فایل های حاوی کدهای برنامه اجرایی. خدمات ایمیل، انتقال فایل، سیستم فایل شبکه را می توان برای توزیع فایل ها استفاده کرد.

در تهدیدات زیر کلاس دوم، کمبودهای برنامه های پیاده سازی خدمات شبکه (به طور خاص، هیچ کنترل سرریز بافر وجود ندارد). تنظیم ثبت سیستم ها گاهی اوقات ممکن است پردازنده را پس از وقفه ناشی از سرریز بافر، به اجرای کد موجود در خارج از بافر تغییر دهید. یک نمونه از پیاده سازی چنین تهدیدی می تواند معرفی "ویروس موریس" به طور گسترده ای شناخته شود.

در تهدیدات زیر کلاس سوم، متخلفور از راه دور از راه دور مدیریت سیستم ارائه شده توسط اجزای پنهان استفاده می کند (به عنوان مثال، برنامه های تروجان را تایپ کنید. Orifice، اتوبوس خالص) یا کنترل های منظم و مدیریت شبکه های کامپیوتری (صندوق مدیریت Landesk، ManageSwise ، پشت سوراخ، و غیره P.). به عنوان یک نتیجه از استفاده از آنها، امکان دستیابی به کنترل از راه دور بر ایستگاه در شبکه وجود دارد.

بعید است.

فهرست عمومی احتمالات پیاده سازی تهدیدها برای انواع مختلف کانال ها در جدول 12 ارائه شده است.

جدول 12

تهدیدات پیاده سازی شبکه برنامه های مخرب

برنامه های مخرب که بر روی شبکه اجرا می شوند شامل ویروس هایی هستند که به طور فعال از پروتکل ها و امکانات شبکه های محلی و جهانی برای توزیع آنها استفاده می کنند. اصل اصلی ویروس شبکه، توانایی انتقال کد شما به یک سرور یا ایستگاه کاری از راه دور است. "پر شده" ویروس های شبکه در عین حال، آنها همچنین توانایی راه اندازی کد خود را دارند کامپیوتر از راه دور یا حداقل "کاربر را فشار دهید تا یک فایل آلوده را راه اندازی کند.

برنامه های مخرب که اطمینان از اجرای NSD ممکن است عبارتند از:

انتخاب و باز کردن برنامه ها؛

تهدیدات برنامه های اجرایی؛

برنامه ها نشان دهنده استفاده از نرم افزار و قابلیت های سخت افزاری و سخت افزاری غیرقانونی است

برنامه های ژنراتور ویروس های کامپیوتری;

برنامه های نشان دهنده آسیب پذیری های ابزارهای امنیتی اطلاعات و دیگران است.

اگر موسسه پردازش PDN ها بیش از شبکه ها ارسال نشود استفاده مشترک و تبادل بین المللی، حفاظت از آنتی ویروس نصب شده، پس از آن احتمال اجرای تهدید - بعید است.

در تمام موارد دیگر، احتمال تهدید باید تخمین زده شود.

فهرست عمومی احتمالات اجرای تهدیدات برای انواع مختلف عرشه در جدول 13 ارائه شده است.

جدول 13

واقعیت تهدیدهای

با توجه به برآورد سطح امنیت (Y 1) (بخش 7) و احتمال تهدید (Y 2) (بخش 9)، ضریب تهدید (Y) محاسبه می شود و احتمال تهدید تعیین می شود (جدول 4). ضریب تحولات تهدید Y توسط نسبت Y \u003d (y 1 + y 2) / 20 تعیین می شود

تعریف تهدیدها بر اساس گزارش نتایج حسابرسی داخلی تعیین می شود.

فهرست تعمیم یافته برآوردهای واقعی سازی UBRDN ها برای انواع مختلف تراکم در جداول 14-23 ارائه شده است.

جدول 14 - IC خودمختار خودم

نوع تهدیدات ایمنی PDN		امکان پیاده سازی

	0,25	کم
	0,25	کم
	0,25	کم


2.1.1 سرقت پیموم	0,25	کم
	0,25	کم
	0,25	کم
	0,25	کم
	0,25	کم
	0,25	کم
	0,25	کم

	0,35	میانگین
	0,25	کم
	0,25	کم

	0,35	میانگین
	0,25	کم
	0,25	کم
	0,25	کم
	0,25	کم
2.3.6. فاجعه	0,25	کم

	0,25	کم
	0,35	میانگین


	0,25	کم
	0,25	کم
	0,25	کم
	0,25	کم
	0,25	کم
	0,25	کم
	0,25	کم
	0,25	کم
	0,25	کم
	0,25	کم
	0,25	کم

جدول 15 - نوع خودمختار II نوع II

نوع تهدیدات ایمنی PDN	ضریب نرخ چهره (Y)	امکان پیاده سازی
1. تهدیدات از نشت در کانال های فنی.
1.1. تهدیدات نشت اطلاعات آکوستیک	0,25	کم
1.2 نشت تهدید اطلاعات کد	0,25	کم
1.3. تهدیدات نشت اطلاعات از طریق کانال های پمین	0,25	کم
2. تهدیدات دسترسی غیر مجاز به اطلاعات.
2.1. تهدید از بین بردن، سرقت سخت افزار DELICA اطلاعات رسانه ای توسط دسترسی فیزیکی به عناصر
2.1.1 سرقت پیموم	0,25	کم
2.1.2 سرقت اطلاعات رسانه ای	0,25	کم
2.1.3. کلید سرقت و ویژگی های دسترسی	0,25	کم
2.1.4 سرقت، اصلاحات، تخریب اطلاعات	0,25	کم
2.1.5. نتیجه گیری از گره های PC، کانال های ارتباطی	0,25	کم
2.1.6. دسترسی غیرمجاز به اطلاعات در مورد تعمیر و نگهداری (تعمیر، از بین بردن) گره های PEVM	0,25	کم
2.1.7. داروهای غیر مجاز غیر مجاز	0,25	کم
2.2. تهدید اختلاس، اصلاح غیر مجاز یا مسدود کردن اطلاعات به دلیل دسترسی غیر مجاز (NSD) با استفاده از نرم افزار و سخت افزار و نرم افزار (از جمله نرم افزار و تأثیرات ریاضی).
2.2.1 بدافزار (ویروس ها)	0,35	میانگین
2.2.2 نرم افزار و نرم افزار سیستماتیک Nedevented برای پردازش داده های شخصی	0,25	کم
2.2.3. نصب و راه اندازی برای عملکرد وظایف رسمی	0,25	کم
2.3. تهدیدات اقدامات عمدی کاربران و اختلالات امنیتی عملکرد CETA و SPSPDN در ترکیب آن به دلیل شکست های نرم افزاری، و همچنین تهدیدات غیر اینترودیدیک (شکست های تجهیزات به علت عدم اطمینان عناصر، شکست های قدرت) و شخصیت خود به خودی (رعد و برق، آتش سوزی، سیل و غیره) شخصیت.
2.3.1 از دست دادن کلیدها و ویژگی های دسترسی	0,35	میانگین
2.3.2 اصلاح ناخواسته (تخریب) اطلاعات توسط کارکنان	0,25	کم
2.3.3. ابزار غیر فعال کردن غیر قابل اجتناب از حفاظت	0,25	کم
2.3.4 اتصالات سخت افزار	0,25	کم
2.3.5. شکست سیستم منبع تغذیه	0,25	کم
2.3.6. فاجعه	0,25	کم
2.4 تهدیدات اقدامات عمدی از متخلفان داخلی
2.4.1 دسترسی به اطلاعات، اصلاح، تخریب افراد به پردازش آن پذیرفته نشده است	0,25	کم
2.4.2 افشای اطلاعات، اصلاح، تخریب توسط کارکنان پذیرفته شده به پردازش آن	0,35	میانگین
2.5. Freaks دسترسی غیر مجاز از طریق کانال های ارتباطی.
2.5.1. غرور "تجزیه و تحلیل ترافیک شبکه" با رهگیری از اطلاعات منتقل شده از کد و دریافت از شبکه های خارجی اطلاعات:
2.5.1.1. رهگیری برای فهرست مجدد از منطقه کنترل شده	0,35	میانگین
2.5.1.2. رهگیری در ناحیه کنترل شده توسط متخلفان خارجی	0,25	کم
2.5.1.3 Perechavat در منطقه کنترل شده توسط متخلفان داخلی.	0,25	کم
2.5.2 غرور اسکن با هدف شناسایی نوع یا نوع سیستم عامل های مورد استفاده، آدرس های شبکه ایستگاه های کاری سی دی، توپولوژی شبکه، پورت ها و خدمات باز، اتصالات باز و غیره	0,25	کم
2.5.3. گشت و گذار از تشخیص رمز عبور بر روی شبکه	0,35	میانگین
2.5.4 هارمونی ها یک مسیر شبکه دروغین را اعمال می کنند	0,25	کم
2.5.5. جریان جایگزینی یک شیء مورد اعتماد در شبکه	0,25	کم
2.5.6. پرنعمت پیاده سازی شیء کاذب هر دو در شبکه های ساکن و خارجی است	0,25	کم
2.5.7 نوع گلو "عدم حفظ"	0,25	کم
2.5.8. آسیب از راه اندازی برنامه از راه دور	0,35	میانگین
2.5.9. Freaks از پیاده سازی در شبکه برنامه های مخرب	0,35	میانگین

جدول 16 - نوع خودمختار III III

نوع تهدیدات ایمنی PDN	ضریب نرخ چهره (Y)	امکان پیاده سازی
1. تهدیدات از نشت در کانال های فنی.
1.1. تهدیدات نشت اطلاعات آکوستیک	0,25	کم
1.2 نشت تهدید اطلاعات کد	0,25	کم
1.3. تهدیدات نشت اطلاعات از طریق کانال های پمین	0,25	کم
2. تهدیدات دسترسی غیر مجاز به اطلاعات.
2.1. تهدید از بین بردن، سرقت سخت افزار DELICA اطلاعات رسانه ای توسط دسترسی فیزیکی به عناصر
2.1.1 سرقت پیموم	0,25	کم
2.1.2 سرقت اطلاعات رسانه ای	0,25	کم
2.1.3. کلید سرقت و ویژگی های دسترسی	0,25	کم
2.1.4 سرقت، اصلاحات، تخریب اطلاعات	0,25	کم
2.1.5. نتیجه گیری از گره های PC، کانال های ارتباطی	0,25	کم
2.1.6 دسترسی غیر مجاز به اطلاعات برای تعمیر و نگهداری (تعمیر، نابودی) گره های PEVM	0,25	کم
2.1.7. داروهای غیر مجاز غیر مجاز	0,25	کم
2.2. تهدیدات اختلاس، اصلاح غیر مجاز یا مسدود کردن اطلاعات به دلیل دسترسی غیر مجاز (NSD) با استفاده از نرم افزار و سخت افزار و نرم افزار (از جمله نرم افزار و تأثیرات ریاضی).
2.2.1 بدافزار (ویروس ها)	0,35	میانگین
2.2.2 نرم افزار و نرم افزار سیستماتیک Nedevented برای پردازش داده های شخصی	0,25	کم
2.2.3. نصب و راه اندازی برای عملکرد وظایف رسمی	0,25	کم
2.3. تهدیدات اقدامات عمدی کاربران و اختلالات امنیتی عملکرد CETA و SPSPDN در ترکیب آن به دلیل شکست های نرم افزاری، و همچنین تهدیدات غیر اینترودیدیک (شکست های تجهیزات به علت عدم اطمینان عناصر، شکست های قدرت) و شخصیت خود به خودی (رعد و برق، آتش سوزی، سیل و غیره) شخصیت.
2.3.1 از دست دادن کلیدها و ویژگی های دسترسی	0,35	میانگین
2.3.2 اصلاح ناخواسته (تخریب) اطلاعات توسط کارکنان	0,25	کم
2.3.3. ابزار غیر فعال کردن غیر قابل اجتناب از حفاظت	0,25	کم
2.3.4 اتصالات سخت افزار	0,25	کم
2.3.5. شکست سیستم منبع تغذیه	0,25	کم
2.3.6. فاجعه	0,25	کم
2.4 تهدیدات اقدامات عمدی از متخلفان داخلی
2.4.1 دسترسی به اطلاعات، اصلاح، تخریب افراد به پردازش آن پذیرفته نشده است	0,25	کم
2.4.2 افشای اطلاعات، اصلاح، تخریب توسط کارکنان پذیرفته شده به پردازش آن	0,35	میانگین
2.5. Freaks دسترسی غیر مجاز از طریق کانال های ارتباطی.
2.5.1. غرور "تجزیه و تحلیل ترافیک شبکه" با رهگیری از اطلاعات منتقل شده از کد و دریافت از شبکه های خارجی اطلاعات:
2.5.1.1. رهگیری برای فهرست مجدد از منطقه کنترل شده	0,25	کم
2.5.1.2. رهگیری در ناحیه کنترل شده توسط متخلفان خارجی	0,25	کم
2.5.1.3 Perechavat در منطقه کنترل شده توسط متخلفان داخلی.	0,25	کم
2.5.2 غرور اسکن با هدف شناسایی نوع یا نوع سیستم عامل های مورد استفاده، آدرس های شبکه ایستگاه های کاری سی دی، توپولوژی شبکه، پورت ها و خدمات باز، اتصالات باز و غیره	0,25	کم
2.5.3. گشت و گذار از تشخیص رمز عبور بر روی شبکه	0,25	کم
2.5.4 هارمونی ها یک مسیر شبکه دروغین را اعمال می کنند	0,25	کم
2.5.5. جریان جایگزینی یک شیء مورد اعتماد در شبکه	0,25	کم
2.5.6. پرنعمت پیاده سازی شیء کاذب هر دو در شبکه های ساکن و خارجی است	0,25	کم
2.5.7 نوع گلو "عدم حفظ"	0,25	کم
2.5.8. آسیب از راه اندازی برنامه از راه دور	0,25	کم
2.5.9. Freaks از پیاده سازی در شبکه برنامه های مخرب	0,25	کم

جدول 17 - نوع IV مستقل IV

نوع تهدیدات ایمنی PDN	ضریب نرخ چهره (Y)	امکان پیاده سازی
1. تهدیدات از نشت در کانال های فنی.
1.1. تهدیدات نشت اطلاعات آکوستیک	0,25	کم
1.2 نشت تهدید اطلاعات کد	0,25	کم
1.3. تهدیدات نشت اطلاعات از طریق کانال های پمین	0,25	کم
2. تهدیدات دسترسی غیر مجاز به اطلاعات.
2.1. تهدید از بین بردن، سرقت سخت افزار DELICA اطلاعات رسانه ای توسط دسترسی فیزیکی به عناصر
2.1.1 سرقت پیموم	0,25	کم
2.1.2 سرقت اطلاعات رسانه ای	0,25	کم
2.1.3. کلید سرقت و ویژگی های دسترسی	0,25	کم
2.1.4 سرقت، اصلاحات، تخریب اطلاعات	0,25	کم
2.1.5. نتیجه گیری از گره های PC، کانال های ارتباطی	0,25	کم
2.1.6 دسترسی غیر مجاز به اطلاعات برای تعمیر و نگهداری (تعمیر، نابودی) گره های PEVM	0,25	کم
2.1.7. داروهای غیر مجاز غیر مجاز	0,25	کم
2.2. تهدیدات اختلاس، اصلاح غیر مجاز یا مسدود کردن اطلاعات به دلیل دسترسی غیر مجاز (NSD) با استفاده از نرم افزار و سخت افزار و نرم افزار (از جمله نرم افزار و تأثیرات ریاضی).
2.2.1 بدافزار (ویروس ها)	0,35	میانگین
2.2.2 نرم افزار و نرم افزار سیستماتیک Nedevented برای پردازش داده های شخصی	0,25	کم
2.2.3. نصب و راه اندازی برای عملکرد وظایف رسمی	0,25	کم
2.3. تهدیدات اقدامات عمدی کاربران و اختلالات امنیتی عملکرد CETA و SPSPDN در ترکیب آن به دلیل شکست های نرم افزاری، و همچنین تهدیدات غیر اینترودیدیک (شکست های تجهیزات به علت عدم اطمینان عناصر، شکست های قدرت) و شخصیت خود به خودی (رعد و برق، آتش سوزی، سیل و غیره) شخصیت.
2.3.1 از دست دادن کلیدها و ویژگی های دسترسی	0,35	میانگین
2.3.2 اصلاح ناخواسته (تخریب) اطلاعات توسط کارکنان	0,25	کم
2.3.3. ابزار غیر فعال کردن غیر قابل اجتناب از حفاظت	0,25	کم
2.3.4 اتصالات سخت افزار	0,25	کم
2.3.5. شکست سیستم منبع تغذیه	0,25	کم
2.3.6. فاجعه	0,25	کم
2.4 تهدیدات اقدامات عمدی از متخلفان داخلی
2.4.1 دسترسی به اطلاعات، اصلاح، تخریب افراد به پردازش آن پذیرفته نشده است	0,25	کم
2.4.2 افشای اطلاعات، اصلاح، تخریب توسط کارکنان پذیرفته شده به پردازش آن	0,35	میانگین
2.5. Freaks دسترسی غیر مجاز از طریق کانال های ارتباطی.
2.5.1. غرور "تجزیه و تحلیل ترافیک شبکه" با رهگیری از اطلاعات منتقل شده از کد و دریافت از شبکه های خارجی اطلاعات:
2.5.1.1. رهگیری برای فهرست مجدد از منطقه کنترل شده	0,35	میانگین
2.5.1.2. رهگیری در ناحیه کنترل شده توسط متخلفان خارجی	0,25	کم
2.5.1.3 Perechavat در منطقه کنترل شده توسط متخلفان داخلی.	0,25	کم
2.5.2 غرور اسکن با هدف شناسایی نوع یا نوع سیستم عامل های مورد استفاده، آدرس های شبکه ایستگاه های کاری سی دی، توپولوژی شبکه، پورت ها و خدمات باز، اتصالات باز و غیره	0,25	کم
2.5.3. گشت و گذار از تشخیص رمز عبور بر روی شبکه	0,35	میانگین
2.5.4 هارمونی ها یک مسیر شبکه دروغین را اعمال می کنند	0,25	کم
2.5.5. جریان جایگزینی یک شیء مورد اعتماد در شبکه	0,25	کم
2.5.6. پرنعمت پیاده سازی شیء کاذب هر دو در شبکه های ساکن و خارجی است	0,25	کم
2.5.7 نوع گلو "عدم حفظ"	0,25	کم
2.5.8. آسیب از راه اندازی برنامه از راه دور	0,35	میانگین
2.5.9. Freaks از پیاده سازی در شبکه برنامه های مخرب	0,35	میانگین

جدول 18 - نوع IC مستقل مستقل

نوع تهدیدات ایمنی PDN	ضریب نرخ چهره (Y)	امکان پیاده سازی
1. تهدیدات از نشت در کانال های فنی.
1.1. تهدیدات نشت اطلاعات آکوستیک	0,25	کم
1.2 نشت تهدید اطلاعات کد	0,25	کم
1.3. تهدیدات نشت اطلاعات از طریق کانال های پمین	0,25	کم
2. تهدیدات دسترسی غیر مجاز به اطلاعات.
2.1. تهدید از بین بردن، سرقت سخت افزار DELICA اطلاعات رسانه ای توسط دسترسی فیزیکی به عناصر
2.1.1 سرقت پیموم	0,25	کم
2.1.2 سرقت اطلاعات رسانه ای	0,25	کم
2.1.3. کلید سرقت و ویژگی های دسترسی	0,25	کم
2.1.4 سرقت، اصلاحات، تخریب اطلاعات	0,25	کم
2.1.5. نتیجه گیری از گره های PC، کانال های ارتباطی	0,25	کم
2.1.6 دسترسی غیر مجاز به اطلاعات برای تعمیر و نگهداری (تعمیر، نابودی) گره های PEVM	0,25	کم
2.1.7. داروهای غیر مجاز غیر مجاز	0,25	کم
2.2. تهدیدات اختلاس، اصلاح غیر مجاز یا مسدود کردن اطلاعات به دلیل دسترسی غیر مجاز (NSD) با استفاده از نرم افزار و سخت افزار و نرم افزار (از جمله نرم افزار و تأثیرات ریاضی).
2.2.1 بدافزار (ویروس ها)	0,35	میانگین
2.2.2 نرم افزار و نرم افزار سیستماتیک Nedevented برای پردازش داده های شخصی	0,25	کم
2.2.3. نصب و راه اندازی برای عملکرد وظایف رسمی	0,25	کم
2.3. تهدیدات اقدامات عمدی کاربران و اختلالات امنیتی عملکرد CETA و SPSPDN در ترکیب آن به دلیل شکست های نرم افزاری، و همچنین تهدیدات غیر اینترودیدیک (شکست های تجهیزات به علت عدم اطمینان عناصر، شکست های قدرت) و شخصیت خود به خودی (رعد و برق، آتش سوزی، سیل و غیره) شخصیت.
2.3.1 از دست دادن کلیدها و ویژگی های دسترسی	0,35	میانگین
2.3.2 اصلاح ناخواسته (تخریب) اطلاعات توسط کارکنان	0,25	کم
2.3.3. ابزار غیر فعال کردن غیر قابل اجتناب از حفاظت	0,25	کم
2.3.4 اتصالات سخت افزار	0,25	کم
2.3.5. شکست سیستم منبع تغذیه	0,25	کم
2.3.6. فاجعه	0,25	کم
2.4 تهدیدات اقدامات عمدی از متخلفان داخلی
2.4.1 دسترسی به اطلاعات، اصلاح، تخریب افراد به پردازش آن پذیرفته نشده است	0,25	کم
2.4.2 افشای اطلاعات، اصلاح، تخریب توسط کارکنان پذیرفته شده به پردازش آن	0,35	میانگین
2.5. Freaks دسترسی غیر مجاز از طریق کانال های ارتباطی.
2.5.1. غرور "تجزیه و تحلیل ترافیک شبکه" با رهگیری از اطلاعات منتقل شده از کد و دریافت از شبکه های خارجی اطلاعات:
2.5.1.1. رهگیری برای فهرست مجدد از منطقه کنترل شده	0,25	کم
2.5.1.2. رهگیری در ناحیه کنترل شده توسط متخلفان خارجی	0,25	کم
2.5.1.3 Perechavat در منطقه کنترل شده توسط متخلفان داخلی.	0,25	کم
2.5.2 غرور اسکن با هدف شناسایی نوع یا نوع سیستم عامل های مورد استفاده، آدرس های شبکه ایستگاه های کاری سی دی، توپولوژی شبکه، پورت ها و خدمات باز، اتصالات باز و غیره	0,25	کم
2.5.3. گشت و گذار از تشخیص رمز عبور بر روی شبکه	0,25	کم
2.5.4 هارمونی ها یک مسیر شبکه دروغین را اعمال می کنند	0,25	کم
2.5.5. جریان جایگزینی یک شیء مورد اعتماد در شبکه	0,25	کم
2.5.6. پرنعمت پیاده سازی شیء کاذب هر دو در شبکه های ساکن و خارجی است	0,25	کم
2.5.7 نوع گلو "عدم حفظ"	0,25	کم
2.5.8. آسیب از راه اندازی برنامه از راه دور	0,25	کم
2.5.9. Freaks از پیاده سازی در شبکه برنامه های مخرب	0,25	کم

جدول 19 - نوع IC VI خودمختار

نوع تهدیدات ایمنی PDN	ضریب نرخ چهره (Y)	امکان پیاده سازی
1. تهدیدات از نشت در کانال های فنی.
1.1. تهدیدات نشت اطلاعات آکوستیک	0,25	کم
1.2 نشت تهدید اطلاعات کد	0,25	کم
1.3. تهدیدات نشت اطلاعات از طریق کانال های پمین	0,25	کم
2. تهدیدات دسترسی غیر مجاز به اطلاعات.
2.1. تهدید از بین بردن، سرقت سخت افزار DELICA اطلاعات رسانه ای توسط دسترسی فیزیکی به عناصر
2.1.1 سرقت پیموم	0,25	کم
2.1.2 سرقت اطلاعات رسانه ای	0,25	کم
2.1.3. کلید سرقت و ویژگی های دسترسی	0,25	کم
2.1.4 سرقت، اصلاحات، تخریب اطلاعات	0,25	کم
2.1.5. نتیجه گیری از گره های PC، کانال های ارتباطی	0,25	کم
2.1.6 دسترسی غیر مجاز به اطلاعات برای تعمیر و نگهداری (تعمیر، نابودی) گره های PEVM	0,25	کم
2.1.7. داروهای غیر مجاز غیر مجاز	0,25	کم
2.2. تهدیدات اختلاس، اصلاح غیر مجاز یا مسدود کردن اطلاعات به دلیل دسترسی غیر مجاز (NSD) با استفاده از نرم افزار و سخت افزار و نرم افزار (از جمله نرم افزار و تأثیرات ریاضی).
2.2.1 بدافزار (ویروس ها)	0,35	میانگین
2.2.2 نرم افزار و نرم افزار سیستماتیک Nedevented برای پردازش داده های شخصی	0,25	کم
2.2.3. نصب و راه اندازی برای عملکرد وظایف رسمی	0,25	کم
2.3. تهدیدات اقدامات عمدی کاربران و اختلالات امنیتی عملکرد CETA و SPSPDN در ترکیب آن به دلیل شکست های نرم افزاری، و همچنین تهدیدات غیر اینترودیدیک (شکست های تجهیزات به علت عدم اطمینان عناصر، شکست های قدرت) و شخصیت خود به خودی (رعد و برق، آتش سوزی، سیل و غیره) شخصیت.
2.3.1 از دست دادن کلیدها و ویژگی های دسترسی	0,35	میانگین
2.3.2 اصلاح ناخواسته (تخریب) اطلاعات توسط کارکنان	0,25	کم
2.3.3. ابزار غیر فعال کردن غیر قابل اجتناب از حفاظت	0,25	کم
2.3.4 اتصالات سخت افزار	0,25	کم
2.3.5. شکست سیستم منبع تغذیه	0,25	کم
2.3.6. فاجعه	0,25	کم
2.4 تهدیدات اقدامات عمدی از متخلفان داخلی
2.4.1 دسترسی به اطلاعات، اصلاح، تخریب افراد به پردازش آن پذیرفته نشده است	0,25	کم
2.4.2 افشای اطلاعات، اصلاح، تخریب توسط کارکنان پذیرفته شده به پردازش آن	0,35	میانگین
2.5. Freaks دسترسی غیر مجاز از طریق کانال های ارتباطی.
2.5.1. غرور "تجزیه و تحلیل ترافیک شبکه" با رهگیری از اطلاعات منتقل شده از کد و دریافت از شبکه های خارجی اطلاعات:
2.5.1.1. رهگیری برای فهرست مجدد از منطقه کنترل شده	0,35	میانگین
2.5.1.2. رهگیری در ناحیه کنترل شده توسط متخلفان خارجی	0,25	کم
2.5.1.3 Perechavat در منطقه کنترل شده توسط متخلفان داخلی.	0,25	کم
2.5.2 غرور اسکن با هدف شناسایی نوع یا نوع سیستم عامل های مورد استفاده، آدرس های شبکه ایستگاه های کاری سی دی، توپولوژی شبکه، پورت ها و خدمات باز، اتصالات باز و غیره	0,25	کم
2.5.3. گشت و گذار از تشخیص رمز عبور بر روی شبکه	0,35	میانگین
2.5.4 هارمونی ها یک مسیر شبکه دروغین را اعمال می کنند	0,25	کم
2.5.5. جریان جایگزینی یک شیء مورد اعتماد در شبکه	0,25	کم
2.5.6. پرنعمت پیاده سازی شیء کاذب هر دو در شبکه های ساکن و خارجی است	0,25	کم
2.5.7 نوع گلو "عدم حفظ"	0,25	کم
2.5.8. آسیب از راه اندازی برنامه از راه دور	0,35	میانگین
2.5.9. Freaks از پیاده سازی در شبکه برنامه های مخرب	0,35	میانگین

جدول 20 - روباه من تایپ می کنم

سه منبع تهدید داده ها متمایز هستند:

توزیع فایل های حاوی کد اجرایی غیر مجاز؛

راه اندازی برنامه از راه دور با استفاده از overlowing بافرهای کاربردی؛

راه اندازی برنامه از راه دور با استفاده از گزینه های سیستم کنترل از راه دور ارائه شده توسط نرم افزار پنهان و بوک مارک های سخت افزاری و یا استفاده شده توسط ابزار استاندارد راه اندازی شده است.

با تهدیدات زیر کلاس دوم، کمبودهای برنامه های پیاده سازی خدمات شبکه (به طور خاص، کنترل بیش از سرریز بافر) استفاده می شود. تنظیم ثبت سیستم ها گاهی اوقات ممکن است پردازنده را پس از وقفه ناشی از سرریز بافر، به اجرای کد موجود در خارج از بافر تغییر دهید. یک نمونه از پیاده سازی چنین تهدیدی می تواند معرفی "ویروس موریس" به طور گسترده ای شناخته شود.

اگر نهاد PDN ها پردازش شده، بیش از استفاده عمومی و شبکه های تبادل بین المللی ارسال نمی شود، حفاظت از ضد ویروس ایجاد شده است، احتمال تهدید ایجاد شده است - بعید است.

در تمام موارد دیگر، احتمال تهدید باید تخمین زده شود.

فهرست عمومی احتمالات پیاده سازی تهدیدها برای انواع مختلف کانال ها در جدول 12 ارائه شده است.

جدول 12

نوع cauden	احتمال تهدید	ضفعه احتمال تهدید یک نقض کننده
IC ITIPA خودمختار	بعید
خودمختار Iitipa است
خودمختار IIEIP است	بعید
خودمختار است
مستقل IC VTIPA	بعید
مستقل IC Vitype
فاکس Utyype	بعید
روباه ایلتپا
توزیع ITIPA	بعید
توزیع شده ITIPA است

تاثیر نرم افزار-ریاضی تاثیر می گذارد با کمک برنامه های مخرب. این برنامه با عواقب بالقوه خطرناک یا برنامه مخرب، برخی از برنامه های مستقل (مجموعه ای از دستورالعمل ها) نامیده می شود، که قادر به انجام هر زیرمجموعه غیر خالی از توابع زیر است: · پنهان کردن نشانه های حضور آن در نرم افزاررایانه ها؛ · توانایی خودپرداخت، انجمن خود را از طریق برنامه های کارکنان و (یا) انتقال قطعات خود را به سایر نقاط حافظه عملیاتی یا خارجی؛ · نابود کردن (تحریف شیوه دلخواه) کد برنامه های حافظه تدارکات؛ · انجام بدون شروع از کاربر (برنامه سفارشی در حالت منظم اجرای اعدام) توابع مخرب (کپی، تخریب، مسدود کردن، و غیره)؛ · صرفه جویی در قطعات اطلاعات از RAM در پلورهای حافظه خارجی از دسترسی مناسب (محلی یا رها شده)؛ · تحریف یک شیوه دلخواه، بلوک و (یا) بدون تغییر به حافظه بیرونی و یا در کانال ارتباطی، مجموعه ای از اطلاعات به عنوان یک نتیجه از برنامه های کاربردی، و یا در حال حاضر در حافظه خارجی آرایه داده ها قرار گرفته است.

برنامه های مخرب را می توان به طور عمدی و به طور تصادفی در نرم افزار مورد استفاده در طراحی، در روند توسعه، همراه، تغییرات و تنظیمات آن ساخته شده است. علاوه بر این، بدافزار را می توان در طول عملیات CDN از رسانه های خارجی یا با تعامل شبکه هر دو به عنوان یک نتیجه از NSD ها و توسط کاربران تصادفی CAD ساخته شده است.

برنامه های مخرب مدرن مبتنی بر استفاده از آسیب پذیری های مختلف نرم افزار (سیستمیک، عمومی، کاربردی) و متنوع هستند فن آوری های شبکه، طیف گسترده ای از قابلیت های مخرب (از یک مطالعه غیر مجاز از پارامترهای PDN بدون دخالت در عملکرد CD، قبل از تخریب PDN ها و نرم افزار CDN) و می تواند در تمام انواع نرم افزار (سیستم، اعمال شده، در رانندگان سخت افزاری، و غیره).

حضور برنامه های مخرب ممکن است به وقوع پنهان، از جمله کانال های دسترسی غیر سنتی به اطلاعاتی کمک کند که به شما امکان باز کردن، دور زدن یا مسدود کردن مکانیسم های حفاظتی ارائه شده در سیستم، از جمله رمز عبور و حفاظت رمزنگاری کمک می کند.

انواع اصلی برنامه های مخرب عبارتند از:

· بوک مارک های نرم افزار؛

· ویروس های نرم افزار کلاسیک (کامپیوتر)؛

· برنامه های مخرب که از طریق شبکه پخش می شوند (کرم های شبکه)؛

· برنامه های مخرب دیگر در نظر گرفته شده برای اجرای NSD.

بوک مارک های نرم افزاری شامل برنامه ها، قطعات کد، دستورالعمل هایی هستند که قابلیت های نرم افزاری غیر رسمی را تشکیل می دهند. به عنوان مثال، برنامه های مخرب می توانند از یک گونه به دیگری حرکت کنند، به عنوان مثال، یک لایه بندی نرم افزاری می تواند یک ویروس نرم افزاری تولید کند که به نوبه خود به شرایط شبکه متصل می شود، می تواند یک کرم شبکه یا برنامه های مخرب دیگر طراحی شده برای اجرای NSD را تشکیل دهد.

شرح مختصری از برنامه های مخرب اصلی به موارد زیر کاهش می یابد. ویروس های بوت شدن خود را به بخش بوت دیسک (بخش بوت) یا در بخش حاوی رکورد اصلی بوت) بنویسید یا اشاره گر را به بخش بوت فعال تغییر دهید. آنها هنگام بارگیری از یک دیسک آلوده به حافظه کامپیوتر معرفی می شوند. در این مورد، سیستم عامل Loader محتویات بخش اول دیسک را می خواند که از آن دانلود شده است، اطلاعات خواندن را به حافظه و انتقال به آن (I.E.، ویروس) کنترل می کند. پس از آن، دستورالعمل های ویروس آغاز می شود، که به عنوان یک قاعده، مقدار حافظه آزاد را کاهش می دهد، کد آن را به محل خالی کپی می کند و ادامه آن را از دیسک می خواند (اگر وجود داشته باشد)، بردار وقفه لازم را (معمولا int 13h)، بخش اصلی بوت حافظه را می خواند و کنترل آن را انتقال می دهد.

در آینده، ویروس بوت رفتار مشابهی را به عنوان فایل انجام می دهد: تجربیات را متوقف می کند سیستم عامل به دیسک ها و آلوده کردن آنها، بسته به برخی از شرایط، اقدامات مخرب باعث جلوه های صوتی یا اثرات ویدئویی می شود.

اقدامات اصلی مخرب انجام شده توسط این ویروس ها عبارتند از:

· تخریب اطلاعات در بخش فلاپی دیسک و هارد دیسک؛

· امکان بارگیری سیستم عامل را حذف کنید (کامپیوتر "فریزر")؛

· اعوجاج کد لودر؛

· قالب بندی دیسک یا دیسک های منطقی هارد دیسک؛

· بسته شدن دسترسی به پورت COM و LPT؛

· جایگزینی نمادها هنگام چاپ متون؛

· چرخش صفحه نمایش؛

· برچسب دیسک یا فلاپی دیسک را تغییر دهید؛

· ایجاد خوشه های شبه آزاد؛

· ایجاد صدا و (یا) جلوه های بصری (به عنوان مثال، قطره
حروف روی صفحه نمایش)؛

· فایل های داده بیمار؛

· پیام های مختلف را نمایش می دهد؛

· جدا کردن دستگاه های محیطی (به عنوان مثال، صفحه کلید)؛

· پالت صفحه را تغییر دهید

· صفحه را با پیشین یا تصاویر پر کنید

· بازپرداخت صفحه نمایش و ترجمه در حالت آماده به کار از صفحه کلید؛

· بخش های رمزنگاری هارد دیسک؛

· تخریب انتخابی شخصیت های نمایش داده شده بر روی صفحه نمایش هنگامی که از صفحه کلید تنظیم شده است؛

· کاهش RAM؛

· تغییر چاپ صفحه نمایش صفحه؛

· مسدود کردن سوابق بر روی دیسک؛

· جدا کردن جدول پارتیشن (جدول پارتیشن دیسک)، پس از آن، کامپیوتر را می توان تنها از فلاپی دیسک دانلود کرد؛

· مسدود کردن شروع فایل های اجرایی؛

· مسدود کردن دسترسی به وینچستر.

مافوق

شکل 3. طبقه بندی ویروس های نرم افزاری و کرم های شبکه

بیشترین ویروس های قابل بوت شدن خود را بر روی دیسک های فلاپی بازنویسی می کنند.

روش عفونت رونویسی ساده ترین است: ویروس کد خود را به جای کد فایل آلوده ثبت می کند، محتوای آن را از بین می برد. به طور طبیعی، در حالی که فایل متوقف می شود و بازسازی نشده است. چنین ویروس ها بسیار سریع خود را تشخیص می دهند، زیرا سیستم عامل و برنامه های کاربردی بسیار سریع کار را متوقف می کند.

رده "همراه" شامل ویروس هایی است که فایل های آلوده را تغییر نمی دهند. الگوریتم کار این ویروس ها این است که یک فایل دوگانه برای فایل آلوده ایجاد شده است، و هنگامی که فایل آلوده آغاز می شود، کنترل این دوقلو را دریافت می کند، یعنی ویروس. رایج ترین ویروس های شرکت CompanyOn با استفاده از ویژگی DOS برای اولین بار فایل ها را با Extension.com اجرا کنید، اگر دو فایل با همان نام در یک دایرکتوری وجود داشته باشد، اما با نام های مختلف نام - .com i.exe. چنین ویروس ها فایل های ماهواره ای را برای فایل های EXE ایجاد می کنند که دارای همان نام هستند، اما با Extension.com، فایل xcopy.com برای فایل xcopy.exe ایجاد می شود. این ویروس در فایل COM ثبت شده است و فایل EXE را تغییر نمی دهد. هنگامی که شما چنین فایل DOS را شروع می کنید، اولین فایل COM را شناسایی و اجرا می کند، یعنی ویروس که پس از آن شروع خواهد شد و فایل EXE. گروه دوم باعث می شود ویروس هایی که هنگام آلوده شدن، فایل را به هر نام دیگری تغییر نام دهند، آن را به یاد داشته باشید (برای راه اندازی بعدی فایل میزبان) و کد خود را به دیسک تحت نام فایل آلوده بنویسید. به عنوان مثال، فایل xcopy.exe به xcopy.exd تغییر نام داده شده است، و ویروس تحت نام xcopy.exe نوشته شده است. هنگام شروع، کنترل کد ویروس را دریافت می کند، که سپس XCopy اصلی ذخیره شده زیر نام xcopy.exd را آغاز می کند. جالب این واقعیت است که این روش، ظاهرا در تمام سیستم عامل ها کار می کند. گروه سوم شامل ویروس های به اصطلاح "Path-Companion" است. آنها یا کد خود را تحت نام فایل آلوده بنویسید، اما "بالا" یک سطح در مسیرهای پیشنهادی (DOS، بنابراین برای اولین بار اولین بار شناسایی و راه اندازی فایل ویروس)، و یا تحمل فایل فداکاری به یک زیر شاخه بالا، و غیره.

ممکن است وجود داشته باشد و سایر انواع ویروس های همراه با استفاده از سایر ایده های اصلی یا ویژگی های دیگر سیستم عامل ها وجود داشته باشد.

کرم های فایل (کرم ها)، به یک معنا، یک نوع از ویروس های Companyon هستند، اما به هیچ وجه حضور خود را با هر گونه فایل اعدام نمی کنند. در تولید مثل، آنها تنها کد خود را به هر کاتالوگ دیسک کپی می کنند، امیدوار است که این نسخه های جدید هرگز توسط کاربر اجرا شود. گاهی اوقات این ویروس ها نسخه های "ویژه" خود را برای فشار دادن کاربر برای راه اندازی نسخه های خود می دهند - به عنوان مثال، install.exe یا winstart.bat. به عنوان مثال، ویروس های Wormi وجود دارد که از تکنیک های نسبتا غیر معمول استفاده می کنند، به عنوان مثال، ضبط نسخه های خود را در آرشیو ها (ARJ، ZIP و دیگران) ضبط می کنند. برخی از ویروس ها راه اندازی یک فایل آلوده را در فایل های خفاش ثبت می کنند. ویروس های Chervi فایل را با کرم های شبکه اشتباه نگیرید. اولین استفاده تنها توابع فایل هر سیستم عامل، دوم در تولید مثل آنها از پروتکل های شبکه استفاده می کند.

پیوند ویروس ها، مانند همراه با همراهان، محتوای فیزیکی فایل ها را تغییر ندهید، اما زمانی که فایل آلوده آغاز می شود، نرم افزار OS کد خود را اجرا می کند. این اهداف آنها به اصلاح فیلدهای سیستم لازم نیاز می رسند.

ویروس ها، آلوده کردن کتابخانه های کامپایلر، ماژول های شیء و متون منبع برنامه ها کاملا عجیب و غریب و عملا معمول نیستند. ویروس ها، آلوده کردن فایل های OBJ- و LIB، کد خود را در آنها در قالب ماژول Object یا کتابخانه بنویسید. بنابراین فایل آلوده انجام نمی شود و قادر به گسترش بیشتر ویروس در حالت فعلی خود نیست. حامل ویروس "زندگی" یک فایل com- یا exe می شود.

پس از دریافت کنترل، ویروس فایل اقدامات عمومی زیر را انجام می دهد:

· RAM را برای کپی و آلوده چک کنید

حافظه کامپیوتر اگر یک نسخه از ویروس یافت نشد (اگر ویروس یک ساکن باشد)، برای فایل های غیر مجاز در دایرکتوری فعلی و (یا) ریشه با اسکن دایرکتوری های دیسک منطقی جستجو می کند و سپس فایل های شناسایی شده را آلوده می کند؛

· انجام موارد اضافی (اگر هر) توابع: مخرب

اقدامات، جلوه های گرافیکی یا صدا، و غیره (توابع اضافی از ویروس Resident را می توان پس از یک زمان پس از فعال شدن، بسته به زمان فعلی، پیکربندی سیستم، شمارنده های ویروس داخلی و یا سایر شرایط، نامیده می شود، در این مورد ویروس زمانی که فعال سازی فرآیندهای وضعیت ساعت سیستم، آن را تنظیم می کند شمارنده ها، و غیره)؛

· بازگشت مدیریت برنامه اصلی (اگر آن است).

لازم به ذکر است که سریعتر ویروس گسترش یافته است، احتمال بیشتری رخ می دهد که وقوع اپیدمی این ویروس، کندتر از ویروس گسترش یافته است، سخت تر برای تشخیص آن (اگر، البته، این ویروس ناشناخته است). ویروس های غیر ساکن اغلب "آهسته" هستند - اکثر آنها با یک یا دو یا سه فایل آلوده به هنگام شروع و زمان برای شناور شدن کامپیوتر قبل از راه اندازی. برنامه ضد ویروس (یا ظاهر یک نسخه جدید از آنتی ویروس پیکربندی شده به این ویروس) البته، البته، ویروس های غیر ساکن "سریع" وجود دارد که به دنبال آن هستند و همه فایلها را آلوده می کنند، اما این ویروس ها بسیار قابل توجه هستند: هنگامی که شما هر فایل آلوده را شروع می کنید، کامپیوتر دارای برخی از (گاهی اوقات به اندازه کافی طولانی) زمان فعالانه کار می کند با هارد دیسک، که ویروس را از بین می برد. سرعت توزیع (عفونت) در ویروس های ساکن معمولا بالاتر از غیر ساکن است - آنها فایل ها را با هر گونه تجدید نظر به آنها آلوده می کنند. به عنوان یک نتیجه، تمام فایل هایی که به طور مداوم در عمل استفاده می شود، بر روی دیسک آلوده می شوند. سرعت توزیع (عفونت) ویروس های پرونده ساکن فایل های آلوده به فایل ها تنها زمانی که آنها شروع به اجرای، کمتر از ویروس های آلوده به فایل ها و زمانی که آنها باز، تغییر نام، تغییر ویژگی های فایل، و غیره

بنابراین، اقدامات اصلی مخرب انجام شده توسط ویروس های فایل همراه با شکست فایل ها (اغلب اجرایی یا فایل های داده های داده شده)، راه اندازی غیر مجاز از دستورات مختلف (از جمله قالب بندی، تخریب، دستورات کپی، و غیره)، تغییر جدول از بردارهای وقفه و دکتر در همان زمان، بسیاری از اقدامات مخرب مشابه آنچه که برای ویروس های بوت نشان داده شده است می تواند انجام شود.

Macroviruses (ویروس های ماکرو) زبان ها هستند (ماکرو زبان) تعبیه شده در برخی از سیستم های پردازش داده (ویراستاران متن، صفحات گسترده، و غیره). برای تولید مثل آن، چنین ویروس ها از قابلیت های زبان های ماکرو استفاده می کنند و با کمک آنها از یک فایل آلوده (سند یا جدول) به دیگران انتقال می دهند. Macroviruses برای بسته نرم افزاری مایکروسافت آفیس رایج بود.

برای وجود ویروس ها در سیستم خاص (ویرایشگر) لازم است یک زبان ماکرو داخلی با قابلیت های موجود داشته باشیم:

1) پیوند برنامه در زبان ماکرو به یک فایل خاص؛

2) کپی ماکروپروگرام از یک فایل به دیگری؛

3) به دست آوردن مدیریت برنامه ماکرو بدون مداخله کاربر (ماکروهای اتوماتیک یا استاندارد).

این شرایط مورد استفاده قرار می گیرد برنامه های مایکروسافت کلمه، اکسل و دسترسی مایکروسافت.. آنها حاوی ماکوماز هستند: کلمه اساسی، ویژوال بیسیک برای برنامه های کاربردی. که در آن:

1) ماکروگرام ها به یک فایل خاص وابسته هستند یا در داخل فایل قرار دارند؛

2) ماکرو زبان اجازه می دهد تا شما را به کپی فایل ها و یا حرکت ماکروپروگرام به فایل های خدمات سیستم و فایل های قابل ویرایش؛

3) هنگام کار با یک فایل تحت شرایط خاص (باز کردن، بسته شدن، و غیره)، فریم های ماکرو (اگر هر کدام) نامیده می شوند، که به صورت خاص تعریف شده اند یا نام های استاندارد دارند.

این ویژگی از زبان ماکرو برای پردازش داده های خودکار در سازمان های بزرگ یا در شبکه های جهانی طراحی شده است و به شما اجازه می دهد تا به اصطلاح "مدیریت سند خودکار" سازماندهی کنید. از سوی دیگر، قابلیت های ماکرو زبان این سیستم ها به ویروس اجازه انتقال کد خود را به فایل های دیگر و در نتیجه آنها را آلوده می کند.

اکثر ماکروویروس ها نه تنها در زمان باز کردن (بسته شدن) فایل فعال هستند، اما تا زمانی که ویرایشگر خود فعال باشد. آنها شامل تمام توابع خود را در قالب استاندارد Word / Excel / Office Macros هستند. با این حال، ویروس هایی که از پذیرش کد خود استفاده می کنند و کد خود را به صورت ماکرو ندارند، وجود دارد. سه چنین پذیرایی وجود دارد، همه آنها از توانایی ایجاد، ویرایش و اجرای دیگر ماکروها استفاده می کنند. به عنوان یک قاعده، ویروس های مشابه دارای کلان کوچک (گاهی چند مورفیک) ویروس هستند که باعث ایجاد ویرایشگر ماکرو داخلی می شود، ماکرو جدید را ایجاد می کند، آن را با کد پایه ویروس پر می کند، انجام می شود و سپس به عنوان یک قانون، از بین می رود (برای پنهان کردن آثار حضور ویروس). کد اصلی این ویروس ها یا در ماکرو ویروس خود را در قالب رشته های متن (گاهی اوقات رمزگذاری شده) وجود دارد یا در منطقه متغیرهای سند ذخیره می شود.

شبکه شامل ویروس هایی است که به طور فعال از پروتکل ها و امکانات شبکه های محلی و جهانی برای توزیع آنها استفاده می کنند. اصل اصلی ویروس شبکه، توانایی انتقال کد شما به یک سرور یا ایستگاه کاری از راه دور است. ویروس های شبکه "کامل" نیز توانایی اجرای کد خود را بر روی یک کامپیوتر از راه دور یا حداقل "کاربر را فشار دهید تا فایل آلوده را راه اندازی کند.

برنامه های مخرب که اطمینان از اجرای NSD ممکن است عبارتند از:

· برنامه های انتخاب و باز کردن رمزهای عبور؛

· برنامه هایی که تهدیدهای را اجرا می کنند

· برنامه ها نشان دادن استفاده از قابلیت های غیر اعلام شده نرم افزار و نرم افزار و سخت افزار CDM؛

· برنامه های ژنراتور ویروس کامپیوتر؛

· برنامه های نشان دادن آسیب پذیری های امنیتی
اطلاعات، و غیره

با توجه به عوارض و افزایش تنوع نرم افزار، تعداد برنامه های مخرب به سرعت در حال افزایش است. امروزه بیش از 120 هزار امضا از ویروس های کامپیوتری شناخته شده است. در عین حال، همه آنها یک تهدید واقعی را نشان نمی دهند. در بسیاری از موارد، حذف آسیب پذیری ها در سیستم های سیستم یا نرم افزار منجر به این واقعیت شد که تعدادی از برنامه های مخرب دیگر قادر به اجرای آنها نیستند. اغلب خطر اصلی نشان دهنده برنامه های مخرب جدید است.

طبقه بندی متخلفان

بر اساس تعلق به دوج، همه متخلفان به دو گروه تقسیم می شوند:

متخلفان خارجی - افرادی که حق ندارند در قلمرو منطقه کنترل شده باقی بمانند، که در آن تجهیزات بی صبرانه است؛

نقض کنندگان داخلی - افرادی که حق دارند در قلمرو منطقه کنترل شده باقی بمانند، که در آن تجهیزات اعمال می شود.

نقض کننده خارجی

به عنوان یک نقض کننده امنیت اطلاعات خارجی، یک نقض کننده در نظر گرفته شده است، که دسترسی مستقیم به منابع فنی و منابع سیستم را در ناحیه کنترل شده ندارد.

فرض بر این است که متخلفان خارجی نمی توانند بر اطلاعات محافظت شده در کانال های فنی نشت تأثیر بگذارند، زیرا میزان اطلاعات ذخیره شده و پردازش شده به ساکنان برای انگیزه احتمالی نقض کننده خارجی برای انجام اقدامات با هدف نشت اطلاعات در مورد نشت اطلاعات کافی نیست کانال ها

فرض بر این است که مزاحم خارجی می تواند اطلاعات محافظت شده را تنها در طی انتقال آن از طریق کانال های ارتباطی تحت تاثیر قرار دهد.

نقض کننده داخلی

امکان اختلالات داخلی به طور قابل توجهی وابسته به عوامل محدود کننده ای است که در ناحیه کنترل شده عمل می کنند، که حفظ مجموعه ای از اقدامات سازمانی و فنی، از جمله انتخاب، همبستگی و ارائه پرسنل آموزش عالی، تحمل اشخاص حقیقی در داخل منطقه کنترل شده و کنترل بر نظم کار با هدف جلوگیری و سرکوب دسترسی غیر مجاز.

سلولهای سیستم توزیع توزیع سیستم دسترسی، تعریف حقوق کاربر را برای دسترسی به اطلاعات، نرم افزار، سخت افزار و سایر منابع، مطابق با سیاست های امنیتی اطلاعات پذیرفته شده (قوانین) فراهم می کند. به نقض کنندگان داخلی ممکن است مرتبط باشد (جدول):

مدیران زیرسیستم های خاص یا پایگاه های داده ای از رده II)؛

کاربران خارجی نسبت به AC خاص (رده IV)؛

افراد با توانایی دسترسی به سیستم انتقال داده (رده V)؛

کارمندان ORT با دسترسی مجاز به محل در محل، که در آن عناصر بی صبرانه هستند، اما دسترسی به آنها (رده VI)؛

پرسنل خدمات (امنیت، مهندسی و کارگران مهندسی، و غیره) (رده VII)؛

پرسنل مجاز از توسعه دهندگان CDN، که، بر اساس قرارداد، حق حفظ و اصلاح اجزای رده (رده VIII) را دارد.

چهره های دسته های I و II وظایف برای مدیریت نرم افزار و سخت افزار و پایگاه های پایگاه داده پایگاه داده برای ادغام و اطمینان از تعامل زیر سیستم های مختلف که بخشی از CDN هستند، تعیین می کنند. مدیران می توانند به طور بالقوه تهدیدات IB را با استفاده از امکانات دسترسی مستقیم به اطلاعات محافظت شده پردازش شده و ذخیره شده در AMP، و همچنین به میزان فنی و نرم افزاری، از جمله ابزار حفاظت مورد استفاده در AC خاص، مطابق با اقتدار اداری، پیاده سازی کنند برای آنها تاسیس شد

این افراد به خوبی با الگوریتم های اصلی، پروتکل های پیاده سازی شده و استفاده شده در زیر سیستم های خاص و ناامنی به عنوان یک کل، و همچنین اصول و مفاهیم قابل اجرا از امنیت، آشنا هستند.

فرض بر این است که آنها می توانند استفاده کنند تجهیزات استاندارد یا برای شناسایی آسیب پذیری ها یا برای تحقق تهدیدات IB. این تجهیزات می تواند هر دو بخش از کارکنان باشد و ممکن است به راحتی به دست آمده (به عنوان مثال، نرم افزار به دست آمده از منابع خارجی قابل دسترسی به دست آمده) مربوط باشد.

علاوه بر این، فرض بر این است که این افراد می توانند داشته باشند تجهیزات تخصصی.

افراد دسته بندی های I و II با توجه به نقش استثنایی آنها، مجموعه ای از اقدامات خاص سازمانی و رژیم باید به انتخاب، اشتغال، انتصاب و کنترل آنها بر اجرای وظایف عملکردی اعمال شود.

فرض بر این است که تنها افراد مورد اعتماد در تعداد دسته های I و II شامل خواهند شد و بنابراین این افراد از تعداد متخلفان احتمالی محروم می شوند.

فرض بر این است که چهره دسته های III-VIII به متخلفان احتمالی اشاره دارد.

امکانات اختلال داخلی به طور قابل توجهی وابسته است
از رژیم معتبر در منطقه کنترل شده
و اقدامات سازمانی و فنی حفاظت، از جمله پذیرش افراد به PDN ها و کنترل روش انجام کار.

متخلفان بالقوه بالقوه به هشت دسته تقسیم می شوند، بسته به روش دسترسی و مجوز دسترسی به PDN ها.

این مقاله به تجزیه و تحلیل اختصاص داده شده است فن آوری های مدرننشان دهنده تهدید به امنیت یک کامپیوتر و روند اصلی توسعه نرم افزارهای مخرب در سال 2006 است.

روند کلی توسعه برنامه های مخرب

در سال 2006، نویسنده 49،697 نوع منحصر به فرد از برنامه های مخرب را تجزیه و تحلیل کرد و 47،907 نفر از آنها متعلق به خانواده های اصلی بود. با توجه به نتایج تجزیه و تحلیل آنها، یک نمودار، منعکس کننده درصد برنامه های مخرب در خانواده در سال بود (شکل 1).

شکل. 1. درصد نمونه های ITW توسط خانواده ها

همانطور که می توان از نمودار دیده می شود، 37٪ از تمام برنامه های مورد مطالعه برنامه های مخرب مانند Trojan-Downloader هستند. این یک روند پایدار است که از سال 2005 ردیابی شده است و مربوط به این واقعیت است که Trojan-Downloader برای تنظیم نرم افزارهای مخرب، به روز رسانی نسخه ها و بازیابی آنها در صورت حذف آنتی ویروس است. اکثر موارد مورد بررسی آسیب های کامپیوتری به نرم افزارهای مخرب، به دلیل استفاده از بهره برداری یا روش های مهندسی اجتماعی، دقیقا راه اندازی تروجان دانلود را به خود اختصاص می دهد. شیوع های زیر عبارتند از: کرم های پستی و شبکه، برنامه های تروجان از انواع مختلف و برنامه های کلاس شماره گیر است.

تجزیه و تحلیل آماری از پویایی تشخیص ITW (در نمونه های وحشی) نشان می دهد که توسعه دهندگان نرم افزارهای مخرب اتخاذ شده اند و به طور فعال از تکنولوژی جدید برای مبارزه با اسکنرهای امضا استفاده می کنند. این تکنیک بسیار ساده است و در این واقعیت است که توسعه دهنده صدها گزینه برای یک نرم افزارهای مخرب را برای یک دوره کوتاه مدت ایجاد می کند. اکثر روش های ساده دریافت گزینه های مختلف به شرح زیر است:

بسته بندی شده با بسته بندی های مختلف و cryptines - می تواند به صورت دوره ای یا در زمان درخواست پرونده انجام شود، مجموعه ای از بسته بندی ها و پارامترهای آنها می تواند به صورت تصادفی متفاوت باشد. اغلب نویسندگان نرم افزارهای مخرب از Packers و Crypher های اصلاح شده استفاده می کنند، که برای بررسی آن دشوار است؛
rEPOPROCATION یک فایل با تغییرات کافی برای تغییر امضا های فایل که برای آن تشخیص داده می شود؛
قرار دادن یک فایل مخرب به یک بسته نصب شده ایجاد شده با استفاده از نصب کننده های NSIS (سیستم نصب کتاب مقدس). در دسترس بودن باز کد منبع نصب کننده به شما امکان می دهد کمی آن را تغییر دهید، که در طول بررسی ضد ویروس، باز کردن و تجزیه و تحلیل اتوماتیک را ایجاد می کند.

تکنیک های ذکر شده مدت ها شناخته شده اند و می توانند در ترکیب های مختلف مورد استفاده قرار گیرند، که اجازه می دهد تا نویسنده یک برنامه مخرب بدون مشکل برای ایجاد صدها گزینه برای برنامه مشابه بدون استفاده از تکنیک های پلیمورفیک کلاسیک. شما می توانید آن را در مثال Trojan-Downloader ردیابی کنید. win32.zlob. آمار کشف آن را در 40 روز گذشته در نظر بگیرید (شکل 2).

شکل. 2. دینامیک تشخیص trojan-downloader.win32.zlob در 40 روز

در طول این دوره، نویسنده 2198 نمونه ITW را کشف کرد trojan-downloader.win32. Zlob، که 1213 آنها منحصر به فرد هستند. نمودار نشان می دهد دو منحنی: تعداد تشخیص در روز و تعداد انواع منحصر به فرد فایل ها. از گراف، می توان دید که در مورد هر دوم نمونه ITW شناسایی یک فایل منحصر به فرد است، و این وابستگی به طور مداوم در عرض یک ماه ادامه دارد. اگر شما بر طبقه بندی آزمایشگاه کسپرسکی تکیه کنید، 1213 نمونه به 169 تشخیصی از این برنامه مخرب متعلق به آن است. چنین آماری بسیار نشان می دهد: بسیاری از برنامه های مخرب وجود دارد که ده ها تن از تغییرات جدید روزانه شناسایی می شوند.

یکی دیگر از روند مشخصه می تواند در مثال کرم پستی Warezov ردیابی شود. برای ماه، نویسنده 5333 نمونه ITW را ثبت کرد، که 459 آنها منحصر به فرد هستند. نمودار توزیع فعالیت در شکل نشان داده شده است. 3

شکل. 3. Warezov فعالیت کرم پستی

دندان ها در نمودار دوره های اپیدمی هستند که با ظهور انواع کرم های جدید مرتبط هستند (در این مورد: ایمیل-worm.win32.warezov.gj، ایمیل-worm.win32. warezov.fb، ایمیل-worm.win32.warezov .hb). از گراف، می توان دید که اپیدمی فعال به طور متوسط \u200b\u200bبه طور متوسط \u200b\u200b2-5 روز طول می کشد، پس از آن تعداد تشخیص Warezov به سطح "پس زمینه" کاهش می یابد - 10-30 نمونه در روز. ظهور چنین انفجارها کاملا توضیح داده شده است - یک نوع جدید از کرم توسط آنتی ویروس شناسایی نشده است، در نتیجه، کرم به توده PC قابل توجه است و اپیدمی شروع می شود. با این حال، در طول روز امضا، این کرم به سرعت در حال توسعه است، کرم به پایه آنتی ویروس ها می افتد و اپیدمی به سرعت به کاهش می رسد.

به طور جداگانه، باید توزیع فعال برنامه های تروجان تروجان تروجان جاسوسی، حمل اطلاعات کاربر شخصی را ذکر کرد. در میان آنها توسط Goldun مشهور برجسته شده است، که اطلاعات مربوط به سوابق حسابداری E-Gold را ارائه می دهد. آخرین گونه های این برنامه تروجان به طور فعال توسط فن آوری های Rootkit برای پوشش و جاسوسی استفاده می شود (شکل 4).

شکل. 4. برنامه فعالیت تروجان جاسوسی برای ماه گذشته

تجزیه و تحلیل فن آوری های مورد استفاده توسط سازندگان برنامه های مخرب نشان می دهد که در سال 2006 هیچ فن آوری های جدید انقلابی اختراع نشده است - توسعه دهندگان نرم افزار توسط کمیت مصرف می شود، نه کیفیت. با این وجود، چندین محصول جدید ظاهر شد، که مستلزم بحث دقیق تر است.

در نتیجه، یک برنامه به طور متوسط \u200b\u200bتلفیقی را در نظر بگیرید، با توجه به نظارت خودکار خودکار از فعالیت ویروسی ساخته شده است (شکل 5).

شکل. 5. آمار سیستم جستجوی خودکار برنامه های مخرب برای 40 روز گذشته

از گراف، می توان دید که یک سیستم خودکار در روز به طور متوسط \u200b\u200bحدود 400 نوع جدید منحصر به فرد از نرم افزارهای مخرب ثبت شده است.

فناوری Rootkit

در سال 2006، توسعه و بهبود انواع مختلف روت کیت ها و فن آوری های روت کیت مشاهده شد. این فن آوری ها بسیاری از برنامه های مخرب را اعمال می کنند و چندین جهت آنها وجود دارد:

فن آوری های Rootkit برای مخفی کردن، هدف اصلی این است که حضور یک برنامه مخرب و اجزای آن بر روی دیسک و حافظه، و همچنین کلیدهای پنهان در رجیستری را مسدود کنید. برای حل این مشکل، رهگیری از توابع API اغلب استفاده می شود، و در rootitites مدرن، تکنیک های تعاملی بسیار پیچیده ای وجود دارد، مانند معرفی کد به توابع کرنل قابل دسترسی، متوقف کردن وقفه INT2E، اصلاح Sysenter. به طور جداگانه، باید توسط DKOM-Rootkite (دستکاری شیء مستقیم هسته)، که به طور فزاینده ای محبوب می شود، ذکر شود.
فن آوری های Rukkit برای جاسوسی - به شرح زیر از نام، آنها برای ردیابی کار کاربر مورد استفاده قرار می گیرند و اطلاعات محرمانه را جمع آوری می کنند. بیشترین مثال مشخصه Trojan-spy.Win32.Goldun، که توسط اصل Rootkit مبادله برنامه های کاربردی را با اینترنت برای جستجو در جریان می گیرد اطلاعات منتقل شده الزامات کارت های اعتباری کاربر.

جزئیات بیشتر DKOM-Rootkits را در نظر بگیرید. اصل کار آنها بر مبنای تغییرات ساختارهای سیستم توصیف فرایندها، رانندگان، جریان ها و توصیفگرها است. چنین تداخل در ساختارهای سیستم، به طور طبیعی، یک عملیات غیرقانونی و بسیار نادرست است، اما سیستم پس از این مداخله همچنان بیشتر یا کمتر کار می کند. نتیجه عملی چنین مداخله این است که مهاجم به نظر می رسد امکان دستکاری ساختارهای هسته برای اهداف خود است. به عنوان مثال، برای هر یک از فرآیندهای در حال اجرا در هسته، ساختار EPROCESS، که اطلاعات زیادی در مورد فرآیند ذخیره می کند، به ویژه شناسه آن (PID) و نام فرآیند. این ساختارها یک لیست دو لینک را تشکیل می دهند و توسط توابع API استفاده می شود که اطلاعات مربوط به آن را باز می گرداند فرآیندهای در حال اجرا. برای مخفی کردن فرآیند DKOM-Roottite، به اندازه کافی برای حذف ساختار EPROCESS خود از لیست کافی است. پیاده سازی چنین پوشیدنی بسیار ساده است و ده ها تن از پیاده سازی های به پایان رسید با متون منبع می تواند در اینترنت پیدا شود. روت کیت های پیچیده تر به حذف ساختار شیء ماسک از لیست محدود نمی شوند - آنها اطلاعات موجود در آن را تحریف می کنند. در نتیجه، حتی اگر ضد دادگاه می تواند یک فرآیند یا راننده مخفی را پیدا کند، اطلاعات نادرست در مورد او دریافت خواهد کرد. با توجه به سادگی پیاده سازی، چنین روتایی ها به طور فزاینده ای محبوب می شوند و برای مبارزه با آنها دشوارتر می شود. مطالعات نشان داده اند که بیشترین روش موثر مبارزه با آنها این است که در سیستم مانیتور نصب شود، پس از شروع / تکمیل فرآیندها و رانندگان بارگیری / تخلیه. در مقایسه با اطلاعات جمع آوری شده توسط چنین مانیتور با داده های بازگشتی توسط سیستم به شما امکان می دهد تا تغییرات تولید شده توسط DKOM-Roottite را شناسایی کنید، شخصیت خود را درک کنید و فرآیندهای مخفی و رانندگان را شناسایی کنید.

برنامه Hoax

جهت برنامه های Hoax همچنان به طور فعال توسعه می یابد، بنابراین شما می توانید با اطمینان رشد این خانواده را در سال 2007 پیش بینی کنید. در ترجمه ادبی Hoax - این یک دروغ است؛ دروغ، دروغگو، درست نیست. ایده برنامه های Hoax فریب کاربر است، اغلب به منظور به دست آوردن سود یا ربودن اطلاعات محرمانه. به تازگی، یک روند جنایی از این صنعت صورت گرفته است: اگر یک سال پیش اکثر برنامه های Hoax اقدامات نسبتا بی ضرر را انجام داد، شبیه سازی عفونت کامپیوتری با ویروس ها یا کد های جاسوسی، و سپس مدرن به طور فزاینده ای با هدف ربودن رمزهای عبور یا اطلاعات محرمانه به طور فزاینده ای هدف قرار می گیرد. یک مثال از چنین برنامه ای در شکل نشان داده شده است. 6

شکل. 6. پنجره برنامه Hoax.win32.delf

به شرح زیر از پنجره برنامه و توصیف آن، این یک ژنراتور مجوز برای ضد ویروس کسپرسکی است. این برنامه برای کسب مجوز تولید شده برای ورود به آدرس ایمیل و رمز عبور خود برای دسترسی به صندوق پستی ارائه می دهد. اگر کاربر Gullible این کار را انجام دهد و دکمه "CirtR" را فشار دهید، داده های وارد شده توسط آنها توسط یک مهاجم توسط ایمیل منتقل می شود. بیش از صد چنین برنامه هایی در طول سال گذشته کشف شده است: اینها انواع "Crek"، ژنراتورهای کارت های پرداخت اپراتورهای سلولی، ژنراتورهای شماره کارت اعتباری، ابزار "هک کردن" صندوق های پستی و غیره هستند. ویژگی کلی چنین برنامه هایی، فریب یک کاربر با هدف این واقعیت است که او به طور مستقل برخی از آنها را معرفی کرد اطلاعات محرمانه. دومین ویژگی مشخصه برنامه های Hoax، ابتدایی بودن آنهاست: آنها شامل بسیاری از خطاها و نادرست در کد برنامه هستند. برنامه های مشابه اغلب ویروس های تازه کار را ایجاد می کنند.

روند توسعه برنامه های Hoax می تواند با استفاده از مثال hoax.win32.renos (شکل 7) در نظر گرفته شود.

شکل. 7. دینامیک تشخیص Hoax.win32.renos برای 30 روز گذشته

از گراف، دیده می شود که نویسنده در روز حداقل یک نوع جدید منحصر به فرد از این نرم افزارهای مخرب را نشان می دهد، و در یک ماه 60 گزینه جدید منحصر به فرد وجود دارد که در 18 زیرمجموعه در طبقه بندی آزمایشگاه کسپرسکی گنجانده شده است .

برنامه های تروجان برای تهدید و اخاذی

برنامه های این گونه ها برای اولین بار چند سال پیش ظاهر شدند. هدف اصلی آنها یک کاربر مستقیم مستقیم است و پول را برای بازسازی عملکرد کامپیوتر یا رمزگشایی اطلاعات رمزگذاری شده توسط برنامه تروجان رمزگذاری می کند. اغلب، نویسنده باید گزارش ها و درخواست ها را برای کمک به کاربران تحت تاثیر trojan.win32.krotten دریافت کند، 25 WMZ را برای بازگرداندن عملکرد کامپیوتر تحریک کرد. این برنامه تروجان بسیار ابتدایی بر روی دستگاه است، و کل کار آن به اصلاح صدها کلید در رجیستری (با توصیف همراه با جزئیات یکی از ارقام آن را می توان در: http://www.z-olog.com/secur/virlist/vir1180.php یافت می شود. ویژگی های برنامه های تروجان این خانواده این است که جستجوی کافی و تخریب تروجان برای درمان یک کامپیوتر وجود ندارد - لازم است که آسیب های ناشی از آنها توسط سیستم بازگردانده شود. اگر Trojan Krotten که توسط آسیب رجیستری ایجاد شده است بسیار آسان است، پس اطلاعات رمزگذاری شده بسیار پیچیده تر است. به عنوان مثال، خالق داده های رمزگذاری کاربر کاربر از برنامه تروجان GPCode به تدریج طول کلید رمزگذاری را افزایش می دهد، در نتیجه پرتاب تماس به شرکت های آنتی ویروس. شما می توانید در مورد این تروجان در مقاله "Blackmail" در: http://www.viruslist.com/enalysis؟pubid\u003d188790045 بیشتر بخوانید.

تزریق کد برنامه به عنوان یک روش شروع پنهان

این تکنولوژی در تروجان های مدرن توسعه یافته است، اما به تدریج شروع به معرفی در سایر برنامه های مخرب آغاز می شود. تکنیک آن نسبتا ساده است: برنامه مخرب به طور معمول شامل دو بخش - "انژکتور" و کد تروجان است. وظیفه "انژکتور" این است که کد تروجان را بازپرداخت و رمزگشایی کنید و معرفی آن را به یک نوع فرآیند سیستم تبدیل کنید. در این مرحله، برنامه های مخرب مورد مطالعه در روش اجرای کد تروجان متفاوت است:

مقدمه ای با جایگزینی زمینه - اصل این پیاده سازی شامل آماده سازی و رمزگشایی کد تروجان (مرحله 1)، راه اندازی هر فرآیند سیستم و هنگام ایجاد یک فرآیند، در حالت "خواب" (حالت تعلیق) ایجاد می شود (گام 2). بعد، انژکتور کد تروجان را به حافظه فرآیند معرفی می کند (و چنین مقدمه ای را می توان در بالای کد دستگاه پردازش انجام داد)، پس از آن زمینه جریان اصلی را به گونه ای تغییر می دهد که مدیریت آن را دریافت می کند کد تروجان (مرحله 3). پس از آن، جریان اصلی راه اندازی می شود و کد تروجان انجام می شود. این روش جالب است زیرا هر مدیر فرایندها اجرای یک برنامه مشروع را نشان می دهد (می گویند، svchost.exe)، اما در عین حال کد تروجان به جای کد دستگاه برنامه مشروع انجام می شود. این روش به شما اجازه می دهد تا فایروال ها را دور بزنید که ابزار کنترل اصلاح حافظه حافظه و زمینه جریانهای آن را ندارند (شکل 8)؛

شکل. 8. پیاده سازی جایگزینی زمینه

معرفی تروجان ها - این روش از لحاظ ایدئولوژیک شبیه به قبلی است، اما به جای جایگزینی کد موتور فرایند تروجان و اجرای آن در موضوع اصلی، جریان اضافی ساخته شده است که در آن کد تروجان انجام می شود (مرحله 2) . این روش اغلب برای تزریق کد تروجان به یک فرایند موجود بدون مزاحمت عملیات آن استفاده می شود (شکل 9).

شکل. 9. پیاده سازی با روش ایجاد جریان تروجان

روش های جدید Whebmoney جدید

در پایان سال 2006، یک روش جدید و اصلی سرقت پول در سیستم WebMoney یافت شد. این بر اساس معرفی یک برنامه کوچک تروجان بر روی کامپیوتر است، که آهنگ های برنامه WebMoney را باز می کند. اگر باز باشد، بافر مبادله نظارت می شود. هنگامی که متن در بافر با شروع با "Z"، "R" یا "E" یافت می شود، برنامه تروجان معتقد است که این شماره کیف پول دریافت کننده است که کاربر به کلیپ بورد کپی شده است تا وارد پنجره WebMoney شود. این شماره از بافر حذف شده است و جایگزین شماره "Z"، "R" یا "E" کیف پول مهاجم است. این روش بسیار آسان است و می تواند بسیار موثر باشد، زیرا تعداد کیف پول واقعا اغلب وارد شده است، اما آنها از طریق یک بافر کپی می شوند و نه همه کاربران به دقت بررسی می کنند که آیا شماره کیف پول از بافر وارد شده است. این تروان یک تظاهرات بصری از ابتدایی توسعه دهندگان توسعه دهندگان برنامه های تروجان است.

تشخیص اشکال زدایی و کامپیوتر مجازی

روش های مبارزه با اشکال زدایی، شبیه ساز و رایانه های مجازی به مدت طولانی شناخته شده است. استفاده از آنها، تجزیه و تحلیل یک برنامه مخرب برای یک متخصص تازه کار دشوار است، بنابراین چنین فن آوری ها طولانی و به اندازه کافی با موفقیت به توسعه دهندگان نرم افزارهای مخرب اعمال می شود. با این حال، در طول سال گذشته، روند جدیدی وجود داشته است: برنامه های مخرب شروع به تلاش برای تعریف نوع کامپیوتر کردند - واقعی آهن یا شبیه سازی شده توسط کامپیوتر مجازی یا VMware است. رایانه های مجازی مشابه به طور کامل به طور فعال توسط مدیران مورد استفاده قرار گرفتند تا برنامه های مشکوک را بررسی کنند. اگر یک بازرسی در صورت اجرا بر روی یک کامپیوتر مجازی (به عنوان یک گزینه - تحت Debugger) وجود دارد، یک برنامه مخرب می تواند به سادگی به راحتی برای تکمیل کار خود، که از مطالعه آن جلوگیری می کند، اضطراری می کند. علاوه بر این، چنین بازرسی بر سیستم های Sandbox Norman اعتصاب خواهد کرد، زیرا اصل آن تجزیه و تحلیل اکتشافی، اساسا، شروع برنامه ای است که بر روی شبیه ساز و مطالعه کار آن مورد مطالعه قرار می گیرد. در پایان سال، Sans موسسه Sans Sans Tom Listonon (Tom Skudis) و Ed Skudis (Ed Skoudis) یک گزارش بسیار جالب با توصیف تکنیک کشف ماشین های مجازی و مبارزه با روش های تشخیص منتشر کرد. سند را می توان از سایت SANS http://handlers.sans.org/tliston/thwartingvmdetection_liston_skoudis.pdf دانلود کرد.

ربات های اسپم و پروکسی های تروجان

ربات اسپم یک برنامه تروجان مستقل است که به طور خودکار هرزنامه را از کامپیوتر آسیب دیده ارسال می کند. پروکسی تروجان یک برنامه مخرب با یک توابع سرور پروکسی است، عملیات آن در کامپیوتر آسیب دیده به مهاجم اجازه می دهد تا از آن به عنوان یک پروکسی سرور برای ارسال هرزنامه استفاده کند، حملات به رایانه های دیگر را انجام دهد و سایر اقدامات غیرقانونی را انجام دهد. بسیاری از ربات های هرزنامه های مدرن به طور فعال حضور خود را با تکنولوژی های rootkit پنهان می کنند و از حذف محافظت می شوند. آمارها نشان می دهند که بیش از 400 نوع ITW از چنین برنامه هایی در هر ماه شناسایی می شوند، که حدود 130 مورد جدید، منحصر به فرد است.

ربات اسپم یک تهدید بزرگ برای شبکه های شرکتی است، زیرا کار آن منجر به پیامدهای زیر می شود:

مصرف بزرگ ترافیک شبکه - در اکثر شهرهای روسی هنوز در دسترس نیستند تعرفه های نامحدودبنابراین، حضور در شبکه های مختلفی از کامپیوترهای آسیب دیده می تواند به دلیل هزینه های ترافیک، منجر به زیان های مالی ملموس شود؛
زیاد شبکه های شرکت برای دسترسی به اینترنت، آدرس های IP استاتیک و سرورهای پست الکترونیکی خود استفاده می شود. در نتیجه، به عنوان یک نتیجه از فعالیت های ربات های هرزنامه، این آدرس های IP به سرعت به لیست سیاه فیلترهای Antispam می افتد، به این معنی که سرورهای پست الکترونیکی در اینترنت از دریافت ایمیل از سرور سرور شرکت شرکت جلوگیری می کند. شما می توانید آدرس IP خود را از یک لیست سیاه حذف کنید، اما بسیار دشوار است و اگر یک اندازه موقت در شبکه ربات های هرزنامه کار وجود داشته باشد.

روشهای مقابله با ربات های هرزنامه و پروکسی های تروجان بسیار ساده هستند: شما باید پورت 25 را برای همه کاربران مسدود کنید و به طور ایده آل، به طور کلی برای آنها مبادله مستقیم با اینترنت، جایگزین آن با کار از طریق سرورهای پروکسی ممنوع است. به عنوان مثال، در Smolenskenergo، همه کاربران تنها با استفاده از یک پروکسی با یک سیستم فیلتر کار می کنند و یک مطالعه نیمه اتوماتیک پروتکل ها روزانه انجام می شود که توسط مدیر سیستم انجام می شود. آنالایزر مورد استفاده برای آنها آسان است برای تشخیص ناهنجاری ها در ترافیک کاربر و اقدامات لازم برای جلوگیری از فعالیت مشکوک به موقع. علاوه بر این، نتایج عالی سیستم IDS (سیستم تشخیص نفوذ)، مطالعه ترافیک کاربر شبکه.

توزیع برنامه های مخرب با پیکرهای اینترنتی

برای آمار جمع آوری شده در طول سال، پیکرهای اینترنتی به طور فزاینده ای برای اجرای نرم افزارهای مخرب بر روی رایانه های کاربران استفاده می شود. تکنیک پیاده سازی مهندسی اجتماعی کلاسیک است. از یک کامپیوتر آلوده، از طرف ICQ صاحب آن، برنامه مخرب، پیام هایی را برای به دست آوردن یک بهانه خاص ارسال می کند. این لینک به برنامه تروجان منجر می شود (معمولا با نام Semantic Type Picture.PIF یا Flash_Movie.exe) یا به سایت که صفحات آن شامل بهره برداری هستند. لازم به ذکر است که این واقعیت که پیوندهای برنامه های مخرب اعمال می شود، و نه بدن آنها.

در طول سال گذشته، اپیدمی های متعددی بر اساس این اصل ثبت شد. در روسیه، کاربران ICQ بیشتر تحت تأثیر قرار گرفتند و در نتیجه برنامه رده Trojan-PSW را به برنامه های تروجان، رمزهای عبور کاربر رمز عبور گسترش دادند. نویسنده به طور متوسط \u200b\u200bاز یک تا ده پیام در روز دریافت می کند و تا پایان سال، فعال سازی چنین خبرنامه ها وجود دارد.

حفاظت از مخرب حفاظت این نوع بسیار ساده - نباید لینک های مشابه را باز کنید. با این حال، آمار نشان می دهد که کنجکاوی کاربران اغلب بیش از حد، بیشتر اگر پیام ها به نمایندگی از یک فرد شناخته شده می آیند. در یک محیط سازمانی، یک معیار موثر ممنوعیت استفاده از پیکرهای اینترنتی است، زیرا از لحاظ امنیت، آنها کانال نشت کانال کامل هستند.

حامل های فلش USB

کاهش قابل توجهی در قیمت ها برای حامل های فلش (و همچنین رشد حجم و سرعت آنها) منجر به یک اثر طبیعی شد - رشد سریع محبوبیت آنها در میان کاربران. بر این اساس، توسعه دهندگان بدافزار شروع به ایجاد برنامه های آلوده به فلش درایو. اصل عملیات این برنامه ها بسیار ساده است: دو فایل در ریشه دیسک ایجاد می شوند - فایل متنی autorun.inf و یک کپی از یک برنامه مخرب. هنگامی که دیسک متصل می شود، فایل autorun برای یک برنامه مخرب Autorun استفاده می شود. یک مثال کلاسیک از چنین برنامه مخرب کرم ایمیل اشعه ای است. مهم است که توجه داشته باشید که یک دوربین دیجیتال می تواند به عنوان یک حامل ویروس، بسیاری از آنها عمل کند تلفن های همراه، پخش کننده های MP3 و PDA ها - آنها، از نقطه نظر کامپیوتر (و کرم، از دیسک فلش غیر قابل تشخیص نیستند. در این مورد، حضور یک برنامه مخرب بر عملکرد این دستگاه ها تاثیر نمی گذارد.

اندازه گیری حفاظت در برابر چنین برنامه هایی می تواند خاموش شدن Autorun، استفاده از مانیتورهای ضد ویروس برای تشخیص به موقع و حذف ویروس باشد. قبل از تهدید تخلفات ویروس ها و نشت اطلاعات، بسیاری از شرکت ها به اقدامات شدیدتر می روند - توانایی اتصال دستگاه های USB را با استفاده از نرم افزار تخصصی یا مسدود کردن درایور های USB در تنظیمات سیستم مسدود می کنند.

نتیجه

این مقاله مسیرهای اصلی توسعه برنامه های مخرب را پوشش داد. تجزیه و تحلیل آنها به شما اجازه می دهد تا چندین پیش بینی کنید:

می توان فرض کرد که جهت مبارزات انتخاباتی از اسکنرهای امضا و حفاظت از اجرای بر روی کامپیوترهای مجازی به طور فعال در کامپیوترهای مجازی و شبیه ساز ها به طور فعال توسعه خواهد یافت. در نتیجه، تجزیه و تحلیل های مختلف اکتشافی، فایروال ها و سیستم های حفاظت پیشگیرانه برای مبارزه با چنین برنامه های مخرب می آیند؛
جنایات واضح شاخه ای از توسعه نرم افزارهای مخرب وجود دارد، نسبت ربات های هرزنامه، پروکسی تروجان، برنامه های تروجان برای سرقت گذرواژهها و داده های کاربر شخصی در حال افزایش است. بر خلاف ویروس ها و کرم ها، چنین برنامه هایی می توانند به کاربران با آسیب مواد ملموس اعمال شوند. توسعه صنعت برنامه های تروجان درگیر در داده های رمزگذاری شده به کاربران، تفکر در مورد امکان سنجی دوره ای است کپی ذخیرهکه در واقع از چنین تروجان به صفر آسیب می رساند؛
تجزیه و تحلیل موارد عفونت کامپیوترها نشان می دهد که اغلب مهاجمان با هک کردن سرورهای وب به منظور برنامه های مخرب بر روی آنها انجام می شود. چنین هک بسیار خطرناک تر از به اصطلاح defeisa (جایگزین سایت صفحه سایت) است، زیرا بازدیدکنندگان سایت می توانند با رایانه ها آلوده شوند. می توان فرض کرد که این جهت کاملا فعالانه توسعه خواهد یافت؛
دیسک های فلش، دوربین های دیجیتال، پخش کننده های MP3 و PDA ها به طور فزاینده ای برای ایمنی تهدید می شوند، زیرا می توانند به عنوان حامل های ویروس ها عمل کنند. بسیاری از کاربران، از یک دوربین دیجیتال، از یک دوربین دیجیتال، از یک دوربین دیجیتال دست کم می گیرند، اما نویسنده برای سال 2006 قادر به کشف حداقل 30 حادثه مرتبط با دستگاه های مشابه بود؛
تجزیه و تحلیل دستگاه و اصول نرم افزارهای مخرب نشان می دهد که ممکن است در برابر آنها بدون آنتی ویروس محافظت شود - آنها به سادگی قادر به کار در یک سیستم پیکربندی صالح نیستند. قانون حفاظت اصلی کار کاربر تحت یک حساب محدود است که به طور خاص، هیچ امتیازی برای ورود به آن ندارد پوشه های سیستم، در مدیریت خدمات و رانندگان، و همچنین اصلاح کلیدهای سیستم ثبت.

عمل کردن سرمقاله 15.02.2008

"مدل پایه تهدیدات به امنیت اطلاعات شخصی هنگام پردازش در سیستم های اطلاعاتی اطلاعات شخصی" (UTV. 15.02.2008 FSTEC RF)

5. تهدیدات دسترسی غیر مجاز به اطلاعات در سیستم اطلاعاتی اطلاعات شخصی

تهدیدات NSD به ساکنان با استفاده از نرم افزار و نرم افزار و سخت افزار در اجرای غیر مجاز، از جمله تصادفی، دسترسی به دست می آید، به عنوان یک نتیجه از نقض محرمانه (کپی، توزیع غیر مجاز)، یکپارچگی (تخریب، تغییر) و در دسترس بودن (مسدود کردن) PDN ها، و شامل موارد زیر است:

دسترسی به تهدیدات (نفوذ) به محیط عملیاتی کامپیوتر با استفاده از نرم افزار استاندارد (ابزار سیستم عامل یا برنامه های کاربردی برنامه عمومی)؛

تهدیدات برای ایجاد حالت های غیرطبیعی نرم افزار (نرم افزار و سخت افزار) به دلیل تغییرات عمدی در داده های خدمات، نادیده گرفتن محدودیت های ارائه شده در شرایط کارکنان برای ترکیب و ویژگی های پردازش اطلاعات، اعوجاج (اصلاحات) داده های خود را نادیده می گیرند و غیره.؛

تهدیدات برای اجرای برنامه های مخرب (نرم افزار و تاثیر ریاضی).

ترکیب عناصر شرح تهدیدات NSD به اطلاعات در مرگ در شکل 3 نشان داده شده است.

علاوه بر این، تهدیدات ترکیبی ممکن است، که ترکیبی از این تهدیدات است. به عنوان مثال، به دلیل اجرای برنامه های مخرب، شرایط ممکن است برای NSD به محیط عملیاتی کامپیوتر، از جمله تشکیل کانال های اطلاعاتی غیر سنتی ایجاد شود.

تهدیدات دسترسی (نفوذ) در محیط عملیاتی با استفاده از نرم افزار استاندارد به تهدیدات دسترسی مستقیم و از راه دور تقسیم می شود. تهدیدات دسترسی مستقیم با استفاده از نرم افزار و نرم افزار و سخت افزار ورودی / خروجی کامپیوتر انجام می شود. تهدیدات دسترسی از راه دور با استفاده از پروتکل های تعامل شبکه اجرا می شود.

این تهدیدات نسبت به پایگاه داده بر اساس محل کار خودکار اجرا می شود، نه در شبکه ارتباطات عمومی و در رابطه با تمام شرافتی که ارتباط با شبکه های ارتباطی عمومی و شبکه های تبادل اطلاعات بین المللی دارد، اجرا نمی شود.

شرح تهدیدات برای دسترسی (نفوذ) به محیط عملیاتی کامپیوتر به صورت رسمی می تواند به شرح زیر باشد:

تهدید NSD در نقطه: \u003d<источник угрозы>, <уязвимость ИСПДн>, <способ реализации угрозы>, <объект воздействия (программа, протокол, данные и др.)>, <деструктивное действие>.

شکل 3. عناصر توصیف تهدیدات NSD به اطلاعات در CDN

تهدیدات برای ایجاد حالت اضطراری عملکرد نرم افزار (نرم افزار و سخت افزار) بودجه تهدید "امتناع از حفظ" است. به عنوان یک قاعده، این تهدیدات در رابطه با پایگاه داده بر اساس سیستم های اطلاعات محلی و توزیع شده، صرف نظر از مبادله اطلاعات، در نظر گرفته می شود. پیاده سازی آنها به دلیل این واقعیت است که هنگام توسعه سیستم یا نرم افزار کاربردی، امکان اقدامات عمدی را بر روی یک تغییر هدف قرار نمی دهد:

شرایط پردازش داده ها (به عنوان مثال، محدودیت ها را در طول بسته پیام نادیده گرفت)؛

فرمت های نمایندگی داده ها (با عدم انطباق فرمت های اصلاح شده نصب شده برای پردازش تحت پروتکل های تعامل شبکه)؛

نرم افزار پردازش داده ها.

در نتیجه پیاده سازی تهدیدات "امتناع از تعمیر و نگهداری"، سرریز های بافر و مسدود کردن روش های پردازش، روش های پردازش "حلقه" و "روشنگری" یک رایانه، از بین بردن بسته های پیام، و غیره. توصیف چنین تهدیدهای می تواند به صورت رسمی باشد نمایندگی به شرح زیر است:

تهدید "امتناع از حفظ": \u003d<источник угрозы>, <уязвимость ИСПДн>, <способ реализации угрозы>, <объект воздействия (носитель ПДн)>, <непосредственный результат реализации угрозы (переполнение буфера, блокирование процедуры обработки, "зацикливание" обработки и т.п.)>.

تهدید به معرفی برنامه های مخرب (نرم افزار و تاثیر ریاضی) غیر عملی است که با همان جزئیات به عنوان تهدیدات فوق توضیح داده شود. این به خاطر این واقعیت است که، اول از همه، تعداد برنامه های مخرب امروز به طور قابل توجهی بالاتر از صد هزار است. ثانیا، زمانی که سازماندهی حفاظت از اطلاعات در عمل، به عنوان یک قاعده، به اندازه کافی فقط به دانستن کلاس برنامه های مخرب، روش ها و پیامدهای آن از پیاده سازی آن (عفونت) کافی است. در این راستا، تهدید نرم افزار و تاثیر ریاضی (PMW) می تواند به صورت رسمی به شرح زیر باشد:

تهدید PMW در نقطه: \u003d<класс вредоносной программы (с указанием среды обитания)>, <источник угрозы (носитель вредоносной программы)>, <способ инфицирования>, <объект воздействия (загрузочный сектор, файл и т.п.)>, <описание возможных деструктивных действий>, <дополнительная информация об угрозе (резидентность, скорость распространения, полиморфичность и др.)>.

در زیر ویژگی های کلی منابع تهدیدات امنیتی اطلاعات، آسیب پذیری هایی است که می تواند در اجرای تهدیدات NSD و مشخصه نتایج دسترسی غیر مجاز یا تصادفی استفاده شود. مشخصه روش های اجرای تهدیدات در هنگام توصیف تهدیدات برای دسترسی (نفوذ) به محیط عملیاتی کامپیوتر، تهدید به رد تعمیر و نگهداری PMW داده می شود.

منابع تهدید NSD در دوج می توانند عبارتند از:

نقض کننده؛

حامل نرم افزارهای مخرب؛

تب سخت افزار

تهدیدات ایمنی PDN مرتبط با اجرای بوک مارک های سخت افزاری مطابق با اسناد قانونی خدمات امنیتی فدرال تعیین می شود فدراسیون روسیه به نحوی تجویز شده.

با توجه به حضور حقوق دائمی یا یک بار دسترسی به منطقه کنترل شده (KZ)، مزاحمان به دو نوع تقسیم می شوند:

متخلفانی که دسترسی به خانه هایی ندارند که تهدیدهای شبکه های ارتباطی عمومی خارجی را اجرا می کنند و (OR) شبکه های تبادل اطلاعات بین المللی، مهاجمان خارجی هستند؛

متخلفانی که دسترسی به گول زدن دارند، از جمله کاربران نقطه، تهدیدهای را به طور مستقیم به مزاحمان داخلی اعمال می کنند.

متخلفان خارجی می توانند عبارتند از:

خدمات شناسایی دولت ها؛

ساختارهای جنایی؛

رقبا (سازمان های رقابتی)؛

همکاران ناعادلانه؛

افراد خارجی (افراد).

مزاحم خارجی دارای ویژگی های زیر است:

ورزش دسترسی غیر مجاز به کانال های ارتباطی، خارج از محل خدمات؛

دسترسی غیر مجاز را از طریق مشاغل خودکار متصل به شبکه های ارتباطی عمومی و (یا) شبکه های تبادل اطلاعات بین المللی انجام دهید؛

دسترسی غیر مجاز به اطلاعات را با استفاده از اثرات نرم افزاری ویژه از طریق ویروس های نرم افزاری، نرم افزارهای مخرب، الگوریتم یا بوک مارک های نرم افزاری انجام دهید.

دسترسی غیر مجاز را از طریق عناصر زیرساخت اطلاعات CADN انجام دهید که در روند آنها چرخه زندگی (مدرنیزاسیون، تعمیر و نگهداری، تعمیر، بازیافت، بازیافت) خارج از منطقه کنترل شده؛

تأثیر دسترسی غیر مجاز از طریق سیستم های اطلاعاتی بخش های تعامل، سازمان ها و موسسات زمانی که آنها به CD متصل هستند.

امکانات اختلال داخلی به طور قابل توجهی وابسته به رژیم و اقدامات فنی و فنی است که باید در داخل منطقه کنترل شده عمل کنند، از جمله پذیرش افراد به PDN ها و کنترل روش انجام کار.

متخلفان بالقوه بالقوه به هشت دسته تقسیم می شوند، بسته به روش دسترسی و مجوز دسترسی به PDN ها.

اولین رده شامل افرادی با دسترسی مجاز به گول زدن، اما دسترسی به PDN ها نیست. این نوع نقض کنندگان شامل مقامات است که عملکرد طبیعی ناخوشایند را تضمین می کنند.

دسترسی به قطعات اطلاعاتی حاوی PDN ها را داشته باشید و از طریق کانال های ارتباطی داخلی CDM گسترش دهید؛

قطعات اطلاعاتی در مورد توپولوژی CDN (بخش ارتباط زیر شبکه) و پروتکل های ارتباطی مورد استفاده و خدمات آنها مورد استفاده قرار می گیرند؛

نام محل و شناسایی رمزهای عبور کاربران ثبت نام شده؛

پیکربندی ابزار فنی CDN را تغییر دهید تا بوک مارک های نرم افزاری و سخت افزاری را تهیه کنید و اطلاعات را با استفاده از اتصال مستقیم به ابزار فنی CD ارائه دهید.

دارای تمام امکانات افراد اول رده اول است؛

حداقل یک نام دسترسی قانونی را می داند؛

دارای ویژگی های لازم (به عنوان مثال، رمز عبور)، دسترسی به یک زیر مجموعه خاص PD را فراهم می کند؛

این اطلاعات محرمانه ای دارد که دسترسی دارد.

دسترسی آن، احراز هویت و دسترسی به حقوق دسترسی به یک زیر مجموعه خاص PDN ها باید توسط دسترسی مربوط به حذف دسترسی اداره شود.

همه امکانات مربوط به اشخاص اول و دوم را دارد؛

اطلاعاتی در مورد توپولوژی پایگاه داده بر اساس یک سیستم اطلاعاتی محلی و (یا) توزیع شده است که از طریق آن دسترسی به آن انجام می شود و ترکیب ابزار فنی CDN؛

این توانایی به طور مستقیم (فیزیکی) دسترسی به قطعات فنی فنی CDN دارد.

این اطلاعات کامل در مورد سیستم و نرم افزار کاربردی مورد استفاده در بخش (قطعه) CDM است.

این اطلاعات کامل در مورد ابزار فنی و پیکربندی بخش (قطعه) CDN است.

دسترسی به وسیله حفاظت از اطلاعات و ورود به سیستم، و همچنین عناصر فردی مورد استفاده در بخش (قطعه) CDN.

این دسترسی به تمام بخش های فنی (قطعه) CETS است؛

او دارای حقوق پیکربندی و پیکربندی اداری یک زیر مجموعه خاص از ابزار فنی بخش (قطعه) CDN است.

همه امکانات مربوط به افراد از دسته های قبلی دارد؛

اطلاعات کامل در مورد سیستم و نرم افزار منبع کاربردی دارد؛

اطلاعات کامل در مورد وسایل فنی و پیکربندی دارد.

دسترسی به تمام ابزار فنی پردازش اطلاعات و داده های ناخوشایند دارد؛

او دارای حقوق پیکربندی و تنظیم اداری ابزار فنی است.

مدیر سیستم پیکربندی و مدیریت نرم افزار (نرم افزار) و تجهیزات را انجام می دهد، از جمله تجهیزات مسئول ایمنی جسم محافظت شده: ابزار حفاظت از اطلاعات رمزنگاری، نظارت، ثبت نام، بایگانی، حفاظت در برابر NSD.

همه امکانات مربوط به افراد از دسته های قبلی دارد؛

اطلاعات کامل در مورد Dodge؛

دسترسی به امنیت اطلاعات و ورود به سیستم و بخش است عناصر کلیدی گرفتار؛

این دسترسی به پیکربندی ابزار فنی شبکه را ندارد، به استثنای کنترل (بازرسی).

مدیر امنیتی مسئول انطباق با قوانین جدایی دسترسی، برای تولید عناصر کلیدی، انتقال گذرواژهها است. مدیر امنیت حسابرسی از همان حفاظت از هدف را به عنوان یک مدیر سیستم انجام می دهد.

اطلاعات مربوط به الگوریتم ها و برنامه های پردازش اطلاعات برای Dodge؛

امکان ایجاد اشتباهات، قابلیت های غیرقانونی، بوک مارک های نرم افزاری، نرم افزارهای مخرب در نرم افزار CDN در مرحله توسعه، معرفی و نگهداری آن را دارد.

این می تواند هر قطعه ای از اطلاعات مربوط به توپولوژی DNT و ابزار فنی پردازش و حفاظت از PDS پردازش شده را به CAD داشته باشد.

دارای امکانات ساخت بوک مارک ها به معنی فنی Phdn در مرحله توسعه، پیاده سازی و نگهداری آنها؛

این می تواند هر قطعه ای از اطلاعات مربوط به توپولوژی شأن و ابزار فنی پردازش و حفاظت از اطلاعات را در خانه داشته باشد.

حامل یک برنامه مخرب می تواند یک عنصر سخت افزاری رایانه یا یک ظرف نرم افزاری باشد. اگر برنامه مخرب با هیچ برنامه کاربردی مرتبط نباشد، پس به عنوان حامل آن در نظر گرفته شده است:

رسانه های بیگانه، I.E. دیسکت، دیسک نوری (CD-R، CD-RW)، حافظه فلش، وینچستر بیگانه و غیره؛

داخلی داخلی (وینچسترها، میکروسیرک های RAM، پردازنده، microcircuits هیئت مدیره، microcircuits دستگاه های جاسازی شده در واحد سیستم، - آداپتور ویدئو، هیئت مدیره شبکه, کارت صدا، مودم، دستگاه های ورودی / خروجی از دیسک های سفت و محکم و نوری مغناطیسی، منبع تغذیه، و غیره، دسترسی مستقیم به Microcircuits، اتوبوس داده، پورت های I / O)؛

مدارهای دستگاه های خارجی (مانیتور، صفحه کلید، چاپگر، مودم، اسکنر، و غیره).

اگر برنامه مخرب با هر برنامه کاربردی مرتبط باشد، با فایل هایی که دارای پسوندهای خاص یا ویژگی های دیگر هستند، پیام های ارسال شده در شبکه، سپس حامل های آن عبارتند از:

بسته های ارسال شده توسط پیام های شبکه کامپیوتری؛

فایل ها (متن، گرافیک، اجرایی، و غیره).

5.2. ویژگی های کلی آسیب پذیری سیستم اطلاعاتی شخصی

آسیب پذیری سیستم اطلاعاتی اطلاعات شخصی کمبود است ضعف در سیستم یا نرم افزار کاربردی (نرم افزار و سخت افزار) ارائه یک سیستم اطلاعاتی خودکار که می تواند برای اجرای تهدید امنیتی به اطلاعات شخصی استفاده شود.

علل وقوع آسیب پذیری ها عبارتند از:

خطاها در طراحی و توسعه نرم افزار (نرم افزار و سخت افزار) امنیت؛

اقدامات عمدی برای ایجاد آسیب پذیری در طول طراحی و توسعه نرم افزار (نرم افزار و سخت افزار) امنیت؛

تنظیمات نرم افزار نادرست، تغییر غیرقانونی در دستگاه ها و حالت های برنامه؛

پیاده سازی غیر مجاز و استفاده از برنامه های غیرقانونی با هزینه های منابع غیر منطقی بعدی (پردازنده بارگیری، ضبط RAM و حافظه در رسانه های خارجی)؛

معرفی نرم افزارهای مخرب، ایجاد آسیب پذیری ها در نرم افزار و نرم افزار و سخت افزار؛

اقدامات غیر مجاز غیر مجاز کاربران منجر به آسیب پذیری؛

شکست در کار سخت افزار و نرم افزار (ناشی از شکست های قدرت، شکست عناصر سخت افزاری به عنوان یک نتیجه از پیری و کاهش قابلیت اطمینان، تأثیرات خارجی میدان های الکترومغناطیسی دستگاه های فنی و غیره.).

طبقه بندی آسیب پذیری های اصلی در شکل 4 تغییر می کند.

شکل 4. طبقه بندی آسیب پذیری های نرم افزاری

در زیر ویژگی کلی گروه های اصلی آسیب پذیری های CDN، از جمله:

آسیب پذیری های نرم افزاری سیستماتیک (از جمله پروتکل های تعامل شبکه)؛

آسیب پذیری نرم افزار کاربردی (از جمله ابزارهای امنیتی اطلاعات).

5.2.1. ویژگی های عمومی آسیب پذیری های نرم افزاری سیستم

آسیب پذیری های نرم افزاری سیستم باید با اشاره به معماری ساخت سیستم های محاسباتی در نظر گرفته شود.

در عین حال، آسیب پذیری ممکن است:

در سیستم عامل، در ROM Firmware، PPZA؛

در ابزار سیستم عامل در نظر گرفته شده برای مدیریت منابع محلی CDM (ارائه توابع کنترل عملکرد، حافظه، دستگاه های ورودی / خروجی، رابط کاربر، و غیره)، رانندگان، آب و برق؛

در استفاده از سیستم عامل در نظر گرفته شده برای اجرای توابع کمکی - Utilities (بایگانی، defragmentation، و غیره)، برنامه های پردازش سیستم (کامپایلرها، لینک ها، اشکال زدایی، و غیره)، برنامه های ارائه خدمات اضافی به کاربر (گزینه های رابط های ویژه ، ماشین حساب ها، بازی ها، و غیره)، کتابخانه های روش های مختلف (کتابخانه های توابع ریاضی، توابع I / O و غیره)؛

در ابزار تعامل ارتباطی (به معنای شبکه) سیستم عامل.

آسیب پذیری ها در سیستم عامل و به معنای سیستم عامل در نظر گرفته شده برای مدیریت منابع محلی و توابع کمکی ممکن است عبارتند از:

توابع، رویه ها، تغییر پارامترهای آن به صورت خاصی به آنها اجازه می دهد تا از آنها برای دسترسی غیر مجاز استفاده کنند بدون شناسایی چنین تغییراتی در سیستم عامل؛

قطعاتی از کد برنامه ("سوراخ"، "دریچه")، معرفی شده توسط توسعه دهنده، اجازه می دهد دور زدن روش های شناسایی، احراز هویت، چک های یکپارچه، و غیره.

اشتباهات در برنامه ها (در اعلام متغیرها، توابع و رویه ها، در کدهای برنامه)، که تحت شرایط خاص (به عنوان مثال، هنگام انجام انتقال منطقی) منجر به شکست، از جمله شکست عملکرد بودجه و سیستم های حفاظت اطلاعات.

آسیب پذیری های تعامل شبکه با ویژگی های پیاده سازی نرم افزار خود مرتبط هستند و به دلیل محدودیت های اندازه بافر مورد استفاده، معایب روش احراز هویت، عدم بررسی برای صحت اطلاعات خدمات و غیره توصیف مختصر است از این آسیب پذیری ها در رابطه با پروتکل ها در جدول 2 نشان داده شده است.

جدول 2

آسیب پذیری های جداگانه پروتکل های جداگانه TCP / IP پروتکل های پشته بر اساس شبکه های مشترک جهانی کار می کنند.

نام پروتکل	پروتکل های سطح پشته	نام (ویژگی) آسیب پذیری	محتوای نقض امنیت اطلاعات
FTP (پروتکل انتقال فایل) - پروتکل انتقال فایل بر روی شبکه		1. تأیید اعتبار پایگاه داده متن باز (کلمه عبور در رمزگذاری نشده ارسال می شود) 2. دسترسی به پیش فرض 3. حضور دو پورت باز	توانایی انتقال اطلاعات حساب (نام کاربری ثبت شده، کلمه عبور). گرفتن دسترسی میزبان از راه دور
tELNET - پروتکل مدیریت ترمینال از راه دور	کاربردی، نماینده، جلسه	تأیید اعتبار پایگاه داده متن باز (رمز عبور در رمزگذاری نشده ارسال می شود)	توانایی دستگیری داده های حساب کاربری کاربر. گرفتن دسترسی میزبان از راه دور
UDP - پروتکل انتقال داده بدون اتصال	حمل کردن	هیچ مکانیسم بیش از حد بافر	امکان اجرای طوفان UDP. به عنوان یک نتیجه از مبادله بسته ها، کاهش قابل توجهی در عملکرد سرور وجود دارد
ARP - پروتکل انتقال آدرس IP در آدرس فیزیکی	شبکه	تأیید اعتبار پایگاه داده متن باز (اطلاعات در فرم رمزگذاری نشده ارسال می شود)	توانایی انتقال ترافیک کاربر توسط مهاجم
RIP - پروتکل اطلاعات مسیریابی	حمل کردن	هیچ احراز هویت پیام های کنترل در مورد تغییر مسیر	توانایی هدایت ترافیک از طریق میزبان مهاجم
TCP - پروتکل مدیریت انتقال	حمل کردن	بدون مکانیسم برای بررسی صحت بسته های خدمات پر کردن	کاهش قابل توجهی در نرخ ارز و حتی شکاف کامل اتصالات دلخواه در پروتکل TCP
DNS - پروتکل برای ایجاد انطباق نام های Mnemonic و آدرس های شبکه	کاربردی، نماینده، جلسه	ابزارهای احراز هویت از داده های منبع وجود ندارد	falsification از پاسخ سرور DNS
IGMP - پروتکل پیام مسیریابی	شبکه	هیچ پیام احراز هویت در تغییر پارامترهای مسیر	WIN 9X / NT / 200 سیستم
SMTP - پروتکل خدمات پیام پیام ایمیل	کاربردی، نماینده، جلسه		توانایی ایمیل های جعلی، و همچنین آدرس فرستنده آدرس
SNMP - پروتکل مدیریت مسیر روتر	کاربردی، نماینده، جلسه	کمبود پیام های تأیید هویت پشتیبانی	توانایی پهنای باند شبکه بیش از حد

برای توصیف یک توصیف مجموعه ای از آسیب پذیری، یک پایگاه داده آسیب پذیری CVE (آسیب پذیری های مشترک و مواجهه های معمول) در توسعه متخصصان بسیاری از شرکت ها و سازمان های شناخته شده مانند میتر، ISS، سیسکو، BindView، Axent استفاده می شود ، NFR، L-3، Cybersafe، Cert، دانشگاه کارنگی ملون، موسسه SANS و غیره این پایگاه داده به طور مداوم به روز شده و در شکل گیری پایگاه های داده های متعدد تجزیه و تحلیل امنیتی و بالاتر از همه، اسکنر شبکه استفاده می شود.

5.2.2. ویژگی های کلی آسیب پذیری نرم افزار کاربردی

نرم افزار کاربردی شامل برنامه های کاربردی استفاده عمومی و برنامه های کاربردی خاص.

برنامه های کاربردی کاربردی عمومی - متن و ویرایشگر گرافیک، برنامه های رسانه ای (پخش کننده های صوتی و تصویری، نرم افزار پذیرش برنامه تلویزیونی، و غیره)، سیستم های مدیریت پایگاه داده، سیستم عامل های نرم افزاری عمومی برای نرم افزار توسعه نرم افزار ( نوع دلفی را تایپ کنید، ویژوال بیسیک)، ابزار حفاظت از اطلاعات عمومی، و غیره

برنامه های کاربردی ویژه برنامه هایی هستند که در منافع حل وظایف خاص کاربردی در این CD (از جمله نرم افزار حفاظت از اطلاعات توسعه یافته برای یک CDN خاص) توسعه یافته است.

آسیب پذیری نرم افزار کاربردی می تواند باشد:

توابع و رویه های مربوط به برنامه های کاربردی مختلف و ناسازگار در میان خود (نه در یک محیط عملیاتی) به دلیل درگیری های مرتبط با توزیع منابع سیستم؛

توابع، رویه ها، تغییر در یک روش خاص که به شما اجازه می دهد تا از آنها برای نفوذ به چهارشنبه عملیاتی استفاده کنید و از عملکرد های استاندارد سیستم عامل استفاده کنید، بدون شناسایی چنین تغییراتی در سیستم عامل، دسترسی غیر مجاز را انجام دهید.

قطعاتی از کد برنامه ("سوراخ"، "دریچه ها")، وارد شده توسط توسعه دهنده، اجازه می دهد دور زدن روش های شناسایی، احراز هویت، چک های یکپارچه، و غیره ارائه شده در سیستم عامل؛

عدم استفاده از ابزارهای امنیتی لازم (احراز هویت، بررسی یکپارچگی، تأیید فرمت های پیام، مسدود کردن توابع اصلاح نشده غیر مجاز، و غیره)؛

خطاهای در برنامه ها (در اعلام متغیرها، توابع و روش ها، در کدهای برنامه)، که تحت شرایط خاص (به عنوان مثال، هنگام انجام انتقال منطقی) منجر به شکست، از جمله شکست های عملکرد وجوه سیستم های حفاظت از اطلاعات، به دسترسی غیر مجاز به دسترسی به اطلاعات.

داده های مربوط به آسیب پذیری های توسعه یافته و توزیع شده در نرم افزار کاربردی مبتنی بر تجاری جمع آوری شده، خلاصه شده و در پایگاه داده CVE تجزیه و تحلیل می شود<*>.

<*> توسط یک شرکت خارجی CERT به صورت تجاری انجام شده است.

5.3. ویژگی کلی تهدیدات مستقیم دسترسی مستقیم به محیط عملیاتی سیستم اطلاعاتی شخصی

تهدیدات دسترسی (نفوذ) در محیط عملیاتی کامپیوتر و دسترسی غیر مجاز به PDN همراه با دسترسی است:

به اطلاعات و دستورات ذخیره شده در سیستم اولیه I / O (BIOS) ساکن، با امکان رسیدگی به بارگیری سیستم عامل و دریافت حقوق کاربر مورد اعتماد؛

در محیط عملیاتی، یعنی، بر عملکرد سیستم عامل محلی یک ابزار فنی جداگانه، میزان امکان دسترسی غیر مجاز را با فراخوانی کارکنان سیستم عامل یا راه اندازی برنامه های ویژه توسعه یافته که چنین اقداماتی را اجرا می کنند، امکان پذیر است ؛

در عملکرد برنامه های کاربردی (به عنوان مثال، به سیستم مدیریت پایگاه داده محلی)؛

به طور مستقیم به اطلاعات کاربر (به فایل ها، اطلاعات متنی، صوتی و گرافیک، زمینه ها و مطالب در پایگاه های داده های الکترونیکی) و به دلیل امکان نقض محرمانه بودن، یکپارچگی و دسترسی آن، به دلیل امکان نقض محرمانه بودن، یکپارچگی و دسترسی آن است.

این تهدید ها را می توان در مورد به دست آوردن دسترسی فیزیکی به ساکنان یا حداقل به وسیله ورود به اطلاعات در CD اجرا کرد. آنها را می توان تحت شرایط پیاده سازی به سه گروه ترکیب کرد.

گروه اول شامل تهدیدات اجرا شده در بوته سیستم عامل است. این تهدیدات امنیتی اطلاعات با هدف شناسایی رمزهای عبور یا شناسه ها، اصلاح سیستم ورودی / خروجی نرم افزار (BIOS)، کنترل کنترل بار با تغییر در اطلاعات تکنولوژیکی لازم برای به دست آوردن NSD به یک محیط عملیاتی، هدایت می شود. اغلب چنین تهدیدها با استفاده از رسانه های بیگانه اجرا می شود.

گروه دوم - تهدیدات پس از بارگیری محیط عملیاتی بدون در نظر گرفتن برنامه کاربردی آغاز می شود. این تهدیدات معمولا با هدف دسترسی مستقیم به اطلاعات غیر مجاز به اطلاعات می پردازد. هنگام دریافت دسترسی به محیط عملیاتی، مجرم می تواند از آن استفاده کند توابع استاندارد سیستم عامل یا هر برنامه کاربردی عمومی (به عنوان مثال، سیستم های مدیریت پایگاه داده) و برنامه های خاص ایجاد شده مانند دسترسی غیر مجاز، به عنوان مثال:

مشاهده برنامه و اصلاح رجیستری؛

برنامه های جستجوی متن در فایل های متنی توسط کلمات کلیدی و کپی کردن؛

برنامه های مشاهده ویژه و کپی های کپی در پایگاه های داده؛

برنامه های مشاهده سریع فایل های گرافیکی، ویرایش یا کپی کردن آنها؛

برنامه های پشتیبانی از قابلیت های بازسازی محیط نرم افزار (تنظیمات نگهداری شده در منافع مزاحم) و غیره

در نهایت، گروه سوم شامل تهدیدات، پیاده سازی آن تعیین می شود که توسط کدام برنامه های کاربردی توسط کاربر تعیین می شود یا واقعیت راه اندازی هر یک از برنامه های کاربردی است. اکثر این تهدیدات تهدیدی برای معرفی برنامه های مخرب است.

5.4. ویژگی های کلی تهدید به امنیت اطلاعات شخصی با استفاده از پروتکل های تعامل اینترنت

اگر پایگاه داده بر اساس یک سیستم اطلاعات محلی یا توزیع شده اجرا شود، می توان آن را در تهدیدات ایمنی به استفاده از پروتکل های اتصال متصل کرد. این ممکن است توسط NSD به PDN ها یا تهدید امتناع از حفظ ارائه شود. تهدیدات به ویژه هنگامی که در حال مرگ یک سیستم اطلاعات توزیع شده متصل به شبکه های استفاده عمومی و (یا) شبکه های تبادل اطلاعات بین المللی است، خطرناک است. طرح طبقه بندی تهدیدها که در سراسر شبکه اجرا شده است، در شکل 5 نشان داده شده است. این بر اساس هفت نشانه اصلی زیر طبقه بندی است.

1. ماهیت تهدید. بر این اساس، تهدید می تواند منفعل و فعال باشد. تهدید منفعل تهدیدی است، و پیاده سازی آن تاثیر مستقیمی بر عملکرد CDN ندارد، اما قوانین جداسازی دسترسی به PDN ها یا منابع شبکه را می توان نقض کرد. یک نمونه از چنین تهدیدها تهدید "تجزیه و تحلیل ترافیک شبکه" است، با هدف گوش دادن به کانال های ارتباطی و اطلاعات انتقال داده شده است.

تهدید فعال تهدیدی است که با تأثیرات بر منابع CDN همراه است، با اجرای آن، تاثیر مستقیمی بر عملکرد سیستم (تغییر در پیکربندی، اختلال عملکرد و غیره)، و با نقض قوانین ایجاد شده برای تشخیص دسترسی به PDN ها یا منابع شبکه. یک نمونه از چنین تهدیدها تهدید "امتناع از نگهداری" است که به عنوان "طوفان پرس و جو TCP" اجرا می شود.

2. هدف از تحقق تهدید. بر این اساس، تهدید می تواند با هدف نقض محرمانه بودن، یکپارچگی و دسترسی به اطلاعات (از جمله نقض عملکرد CAD یا عناصر آن)، هدف قرار گیرد.

3. وضعیت شروع به اجرای روند تحقق تهدید کرد. بر این اساس، تهدید می تواند اجرا شود:

بر اساس درخواست یک جسم نسبت به آن تهدید اجرا می شود. در این مورد، متخلفان انتظار می رود انتقال یک نوع خاص از درخواست، که شرط شروع دسترسی غیر مجاز خواهد بود؛

شکل 5. طرح طبقه بندی تهدیدات با استفاده از پروتکل های متقابل بین تیراندازی

در وقوع رویداد مورد انتظار در تسهیلات، نسبت به آن تهدیدی اجرا می شود. در این مورد، نقض کننده نظارت دائمی از وضعیت سیستم عامل Cadov را انجام می دهد و زمانی که یک رویداد خاص در این سیستم اتفاق می افتد، دسترسی غیر مجاز آغاز می شود؛

تاثیر بی قید و شرط. در این مورد، آغاز پیاده سازی دسترسی غیر مجاز، بدون قید و شرط نسبت به هدف دسترسی است، یعنی تهدید بلافاصله و بی اهمیت به وضعیت سیستم اجرا می شود.

4. دسترسی بازخورد با مشتاق بر این اساس، روند اجرای تهدید می تواند با بازخورد و بدون بازخورد باشد. تهدید انجام شده در حضور بازخورد از CTF با این واقعیت مشخص می شود که برخی از درخواست های منتقل شده به ساکنین به نقض کننده مورد نیاز است تا پاسخی دریافت کنند. در نتیجه، بازخورد بین نقض کننده و گول زدن وجود دارد که اجازه می دهد تا نقض کننده به طور کامل به تمام تغییرات موجود در CDN پاسخ دهد. در مقایسه با تهدیدات اجرا شده در حضور بازخورد از CD، در اجرای تهدیدات بدون بازخورد، لازم نیست پاسخ به هر گونه تغییری در PM.

5. محل مزاحم نسبتا رنگ شده است. مطابق با این علامت، تهدید هر دو در گوهر و integnetivity اجرا می شود. بخش شبکه یک ارتباط فیزیکی میزبان (ابزار فنی دوج یا عناصر ارتباطی با آدرس شبکه) است. به عنوان مثال، بخش نقطه ای، مجموعه ای از میزبان های متصل به سرور را با توجه به طرح "کل اتوبوس" تشکیل می دهد. در مورد زمانی که یک تهدید درونی بارور می شود، نقض کننده دسترسی فیزیکی به عناصر سخت افزاری CAD دارد. اگر یک تهدید تقاطع رخ دهد، مزاحم در خارج از ساکن قرار دارد، تهدیدی از یک شبکه دیگر یا بخش دیگری از CAD را اجرا می کند.

6. سطح مدل مرجع تعامل سیستم های باز<*> (ISO / OSI)، که در آن تهدید اجرا می شود. بر این اساس، تهدید را می توان بر روی فیزیکی، کانال، شبکه، حمل و نقل، جلسه، نماینده و سطح برنامه مدل ISO / OSI اجرا کرد.

<*> سازمان استاندارد بین المللی (ISO) استاندارد ISO 7498 را توصیف کرد که تعامل سیستم های باز (OSI) را توصیف می کند.

7. نسبت تعداد متخلفان و عناصر شأن و منزلت نسبت به آن تهدیدی اجرا می شود. تحت این ویژگی تهدید می تواند به کلاس تهدیداتی که توسط یک نقض کننده توسط یک روش فنی PhDN (تهدید "یک تا یک") اجرا شود، نسبت به چندین ابزار فنی CAD (تهدید " یکی به بسیاری از ") یا چندین متخلف از رایانه های مختلف نسبت به یک یا چند مورد فنی، چادا (تهدیدهای توزیع شده یا ترکیبی).

با توجه به طبقه بندی، هفت اغلب در حال حاضر در تهدیدهای کنونی اجرا می شود.

1. تجزیه و تحلیل ترافیک شبکه (شکل 6).

شکل 6. طرح تهدید "تجزیه و تحلیل ترافیک شبکه"

این تهدید با استفاده از یک برنامه تجزیه و تحلیل بسته ویژه (Sniffer) اجرا می شود، تمام بسته های ارسال شده از طریق بخش شبکه را متوقف می کند و کسانی که شناسه کاربر و رمز عبور آن ارسال می شوند. در طی اجرای تهدید، متخلفان منطق عملیات شبکه را بررسی می کنند - یعنی، به دنبال دستیابی به یک انطباق یکپارچه از وقایع رخ داده در سیستم، و دستورات ارسال شده با میزبان در زمان این رویدادها است. در آینده، این اجازه می دهد تا یک مهاجم بر اساس وظیفه دستورات مربوطه برای به دست آوردن، به عنوان مثال، حقوق ممتاز به اقدامات در سیستم و یا گسترش قدرت خود را در آن، جریان داده های انتقال داده شده است که ارتباطات اجزای عملیات شبکه را منتقل می کند سیستم، برای استخراج اطلاعات محرمانه یا شناسایی (به عنوان مثال، کاربران استاتیک کاربران برای دسترسی به میزبان های از راه دور با استفاده از پروتکل های FTP و Telnet که برای رمزگذاری ارائه نمی شوند)، جایگزینی آن، اصلاحات و غیره

2. شبکه اسکن

ماهیت فرایند اجرای تهدید این است که انتقال درخواست ها به خدمات شبکه های کلید های میزبان و تجزیه و تحلیل پاسخ ها از آنها. هدف این است که شناسایی پروتکل های مورد استفاده در دسترس برای پورت خدمات شبکه، قوانین تشکیل شناسه های اتصال، تعریف خدمات شبکه فعال، انتخاب شناسه ها و کلمه عبور کاربر.

3. تهدید به تشخیص رمز عبور.

هدف از اجرای تهدید، بدست آوردن NSD با غلبه بر حفاظت از رمز عبور است. مهاجم می تواند تهدیدی با تعدادی از روش ها، مانند یک نیروی ساده، نیروی بی رحم با استفاده از لغت نامه های ویژه، نصب یک برنامه مخرب برای از بین بردن رمز عبور، جایگزینی یک شیء شبکه مورد اعتماد (IP spoofing) و تعویض بسته (sniffing) . عمدتا برای اجرای تهدید استفاده شده است برنامه های ویژهچه کسی در حال تلاش برای دسترسی به میزبان به وسیله انتخاب سازگار از کلمه عبور است. اگر موفقیت آمیز باشد، مهاجم می تواند یک "پاس" برای خود را برای دسترسی به آینده ایجاد کند، که حتی اگر شما باید رمز عبور دسترسی را در میزبان تغییر دهید.

4. جایگزینی یک شیء شبکه قابل اعتماد و انتقال پیام ها از طرف کانال های ارتباطی از طرف آن با تخصیص حقوق دسترسی آن (شکل 7).

شکل 7. طرح تهدید "جایگزینی یک شیء شبکه مورد اعتماد"

چنین تهدیدی به طور موثر در سیستم هایی که الگوریتم های ناپایدار برای شناسایی و تأیید هویت میزبان ها، کاربران و غیره اعمال می شود، اجرا می شود. تحت شی مورد اعتماد به عنوان شیء شبکه (کامپیوتر، فایروال، روتر، و غیره) درک می شود، به طور قانونی به سرور متصل می شود.

دو نوع فرآیند اجرای تهدید مشخص می تواند جدا شود: با استقرار و بدون ایجاد یک اتصال مجازی.

فرآیند پیاده سازی با ایجاد یک ترکیب مجازی، تعیین حقوق یک نهاد قابل اعتماد تعامل است که اجازه می دهد تا متخلفان بتوانند جلسه ای را با هدف شبکه از طرف نهاد مورد اعتماد انجام دهند. پیاده سازی تهدید این نوع نیاز به غلبه بر سیستم شناسایی و احراز هویت (به عنوان مثال، حمله میزبان میزبان یونیکس) دارد.

فرآیند اجرای تهدید بدون ایجاد یک اتصال مجازی ممکن است در شبکه هایی که پیام های منتقل شده را فقط از طریق آدرس شبکه فرستنده شناسایی می کنند، رخ دهد. این نهاد انتقال پیام های خدماتی از طرف دستگاه های کنترل شبکه (به عنوان مثال، از طرف روترها) در تغییر داده های مسیر است. باید به یاد داشته باشید که تنها شناسه ها و اتصالات مشترک (از طریق TCP) دو پارامتر 32 بیتی شماره توالی اولیه اولیه - ISS (شماره توالی) و شماره تایید - ACK (شماره تأیید) است. در نتیجه، برای تشکیل یک بسته TCP نادرست به نقض، شما باید شناسایی شناسه های فعلی برای این اتصال - ISSA و ISSB، جایی که:

ISSA - برخی از مقدار عددی مشخص کردن تعداد توالی بسته TCP شماره ارسال شده توسط اتصال TCP آغاز شده توسط میزبان A؛

ISSB - برخی از مقدار عددی مشخصه شماره توالی بسته TCP ارسال شده توسط اتصال TCP آغاز شده توسط میزبان B.

مقدار ACK (شماره تایید تایید اتصال TCP) به عنوان مقدار شماره دریافت شده از ISS پاسخ دهنده (شماره توالی) به همراه ACKB \u003d ISSA + 1 تعریف شده است.

به عنوان یک نتیجه از اجرای تهدید، نقض کننده حقوق دسترسی ایجاد شده توسط کاربر خود را برای یک مشترک معتبر به ابزار فنی تراکم تهدیدات دریافت می کند.

5. اعمال یک مسیر شبکه کاذب.

این تهدید توسط یکی از دو روش اجرا می شود: با اعمال درونی بارور یا تقلید. توانایی تحمیل یک مسیر نادرست به دلیل معایب ناشی از الگوریتم های مسیریابی است (به ویژه، به دلیل مشکل شناسایی دستگاه های کنترل شبکه)، به عنوان مثال ممکن است، به عنوان مثال، به میزبان یا در شبکه مهاجم، جایی که شما می توانید محیط عملیاتی ابزار فنی را در محیط عملیاتی CDN وارد کنید. پیاده سازی تهدید بر مبنای استفاده غیر مجاز از پروتکل های مسیریابی (RIP، OSSPF، LSP) و مدیریت شبکه (ICMP، SNMP) برای ایجاد تغییرات در جداول مسیر است. در عین حال، نقض کننده باید به نمایندگی از دستگاه کنترل شبکه (به عنوان مثال، یک روتر) پیام کنترل (شکل 8 و 9) ارسال شود.

شکل 8. طرح اجرای حمله "اتصال مسیر نادرست" (داخل بخش) با استفاده از پروتکل ICMP به منظور نقض ارتباطات

شکل 9. طرح اجرای تهدید "اعمال یک مسیر نادرست" (پیوستن) به منظور جلوگیری از ترافیک

6. پیاده سازی یک شیء شبکه کاذب.

این تهدید بر اساس استفاده از کمبودهای الگوریتم های جستجو از راه دور است. اگر اشیاء شبکه در ابتدا اطلاعات آدرس در مورد یکدیگر ندارند، پروتکل های جستجوی مختلف از راه دور استفاده می شود (به عنوان مثال، SAP در شبکه ها novell netware؛ ARP، DNS، برنده در شبکه های با پروتکل TCP / IP پشته)، که در یک شبکه از درخواست های خاص منتقل می شود و دریافت پاسخ به آنها را با جستجو برای اطلاعات. در این مورد، می توان از نقض کننده پرس و جو جستجو و صدور پاسخ نادرست به آن عبور کرد، استفاده از آن منجر به تغییر مطلوب در داده های آدرس مسیر می شود. در آینده، کل جریان اطلاعات مربوط به قربانی شیء از طریق شیء شبکه کاذب عبور می کند (شکل 10 تا 13).

شکل 10. طرح اجرای تهدید "اجرای یک سرور ARP نادرست"

شکل 11. طرح پیاده سازی "پیاده سازی یک سرور DNS دروغین" را با دستگیری یک درخواست DNS

شکل 12. طرح پیاده سازی "پیاده سازی یک سرور DNS دروغین" توسط طوفان پاسخ DNS در یک شبکه

شکل 13. طرح اجرای تهدید "پیاده سازی یک سرور DNS دروغین" توسط طوفان DNS پاسخ به سرور DNS

7. امتناع از حفظ

این تهدیدات بر اساس کمبودهای نرم افزار شبکه، آسیب پذیری های آن است که اجازه می دهد که متخلفان اجازه ایجاد شرایط زمانی که سیستم عامل قادر به پردازش بسته های دریافتی نیست.

انواع مختلفی از چنین تهدیدی ها می توانند جدا شوند:

الف) امتناع پنهان برای حفظ، ناشی از دخالت بخشی از منابع پردازش بسته منتقل شده توسط مهاجم با کاهش پهنای باند کانال های ارتباطی، دستگاه های شبکه، نقض الزامات درخواست درخواست درخواست. نمونه هایی از اجرای تهدیدات این نوع می تواند باشد: توسط درخواست های ECHO توسط ICMP (سیل سیل)، طوفان برای تنظیم اتصالات TCP (Syn-flooding)، یک پرس و جو طوفان به سرور FTP؛

ب) امتناع صریح برای حفظ، ناشی از خستگی منابع، هنگام پردازش بسته های منتقل شده توسط مهاجم (اشغال کل پهنای باند پهنای باند، صف های پرس و جو خدمات)، که در آن درخواست های حقوقی را نمی توان از طریق شبکه به دلیل عدم دسترسی به شبکه منتقل کرد رسانه انتقال یا عدم حفظ به دلیل درخواست صف های پرس و جو، فضای دیسک حافظه و غیره نمونه هایی از تهدیدات این نوع می تواند به عنوان یک طوفان از درخواست های ICMP-Echo پخش (SMURF)، که توسط طوفان (Syn-flooding)، طوفان پیام ها به سرور ایمیل (هرزنامه) هدایت می شود، خدمت می کند.

ج) امتناع صریح برای حفظ، ناشی از نقض وابستگی منطقی بین ابزارهای فنی CTADV، هنگام انتقال نقض کننده پیام های کنترل از طرف دستگاه های شبکه، منجر به تغییر داده های آدرس مسیر (به عنوان مثال، ICMP Redirect Host ، DNS-Flooding) یا اطلاعات شناسایی و احراز هویت؛

د) امتناع صریح از نگهداری ناشی از انتقال توسط مهاجم بسته ها با ویژگی های غیر استاندارد (تهدید به "نوع زمین"، "Teardrop"، "Bonk"، "Nuke"، "UDP-Bomb") یا داشتن طول بیش از حداکثر اندازه مجاز (نوع تهدید "Ping Death")، که می تواند به مجموعه ای از دستگاه های شبکه درگیر در پردازش پرس و جو منجر شود، با توجه به اشتباهات در برنامه هایی که پروتکل های تبادل شبکه را اجرا می کنند.

نتیجه اجرای این تهدید می تواند نقض خدمات مربوطه برای ارائه دسترسی از راه دور به PDNS به PD، انتقال از یک آدرس از چنین تعداد درخواست ها به ابزار فنی در ترکیب CDN، که حداکثر می تواند ترافیک (کارگردانی "Storm Storm" را اداره کند) که شامل سرریز صف پرس و جو و شکست یکی از خدمات شبکه یا توقف کامل کامپیوتر به دلیل عدم توانایی سیستم برای تعامل در هر دیگر، به جز پردازش پرس و جو.

8. راه اندازی برنامه از راه دور

تهدید در تمایل به راه اندازی نرم افزارهای مخرب مختلف پیش اجرا شده در میزبان است: برنامه های نشانه گذاری، ویروس ها، "جاسوسی شبکه"، هدف اصلی آن نقض محرمانه بودن، یکپارچگی، دسترسی به اطلاعات و کنترل کامل بر روی کار است میزبان علاوه بر این، امکان راه اندازی غیر مجاز برنامه های کاربردی کاربر برای غیر مجاز به دست آوردن اطلاعات لازم از نقض کننده، برای شروع فرایندهای مدیریت شده توسط برنامه کاربردی، و غیره امکان پذیر نیست.

سه منبع تهدید داده ها متمایز هستند:

1) توزیع فایل های حاوی کد اجرایی غیر مجاز؛

2) راه اندازی از راه دور از برنامه توسط overlowing بافر برنامه کاربردی-سرور؛

3) راه اندازی از راه دور راه اندازی با استفاده از کنترل از راه دور سیستم ارائه شده توسط نرم افزار پنهان و بوک مارک های سخت افزاری و یا استفاده شده توسط ابزار استاندارد.

تهدیدات معمول اول از زیر کلاس های مشخص شده بر اساس فعال سازی فایل های توزیع شده در صورت دسترسی تصادفی به آنها است. نمونه هایی از این فایل ها می توانند خدمت کنند: فایل های حاوی کد اجرایی به شکل یک ماکروکامند ( اسناد مایکروسافت کلمه، اکسل، و غیره)؛ اسناد HTML حاوی کد اجرایی به عنوان عناصر ActiveX، اپلت های جاوا تفسیر شده توسط اسکریپت ها (به عنوان مثال، متون جاوا اسکریپت)؛ فایل های حاوی کدهای برنامه اجرایی. خدمات ایمیل، انتقال فایل، سیستم فایل شبکه را می توان برای توزیع فایل ها استفاده کرد.

در تهدیدات زیر کلاس دوم، معایب برنامه های اجرای خدمات شبکه (به طور خاص، بدون کنترل کنترل سرریز کنترل) استفاده می شود. تنظیم ثبت سیستم ها گاهی اوقات ممکن است پردازنده را پس از وقفه ناشی از سرریز بافر، به اجرای کد موجود در خارج از بافر تغییر دهید. یک نمونه از پیاده سازی چنین تهدیدی می تواند معرفی "ویروس موریس" به طور گسترده ای شناخته شود.

در تهدیدات سومین زیر کلاس، مجرم توانایی از راه دور مدیریت سیستم ارائه شده توسط اجزای پنهان (به عنوان مثال، "Troyan" برنامه های خروجی نوع عقب، اتوبوس خالص) یا کنترل های منظم و مدیریت شبکه های کامپیوتری را استفاده می کند (Suite Management Landesk ، مدیریت، عقب عقب، و غیره). به عنوان یک نتیجه از استفاده از آنها، امکان دستیابی به کنترل از راه دور بر ایستگاه در شبکه وجود دارد.

به طور خلاصه، مراحل اصلی کار این برنامه ها به نظر می رسد:

نصب در حافظه؛

در انتظار یک پرس و جو میزبان از راه دور که برنامه مشتری در حال اجرا است، و تبادل پیام های آمادگی با آن؛

انتقال اطلاعات متوقف شده به مشتری یا ارائه او با کنترل بر روی کامپیوتر مورد حمله.

پیامدهای احتمالی از اجرای تهدیدات کلاس های مختلف در جدول 3 نشان داده شده است.

جدول 3

پیامدهای احتمالی اجرای تهدیدهای کلاس های مختلف

n p / n	نوع حمله		پیامدهای احتمالی
1	تجزیه و تحلیل ترافیک شبکه		بررسی ویژگی های ترافیک شبکه، رهگیری از داده های منتقل شده، از جمله شناسه های کاربر و رمزهای عبور
2	شبکه اسکن		تعریف پروتکل های موجود برای پورت خدمات شبکه، قوانین تشکیل شناسه اتصالات، خدمات شبکه فعال، شناسه ها و کلمه عبور کاربر
3	"رمز عبور" حمله		انجام هر گونه اقدام مخرب مرتبط با به دست آوردن دسترسی غیر مجاز
4	جایگزینی یک شیء قابل اعتماد		تغییر گذر از پیام ها، تغییر غیر مجاز در داده های مسیر. دسترسی غیر مجاز به منابع شبکه، تحمیل اطلاعات نادرست
5	تحمیل مسیر نادرست		تغییر غیر مجاز در داده های مسیر، تجزیه و تحلیل و اصلاح داده های منتقل شده، اعمال پیام های نادرست
6	پیاده سازی یک شیء دروغین		رهگیری و مشاهده ترافیک دسترسی غیر مجاز به منابع شبکه، تحمیل اطلاعات نادرست
7	عدم خدمات	خستگی جزئی از منابع	کاهش پهنای باند کانال های ارتباطی، دستگاه های شبکه. کاهش عملکرد برنامه سرور
		خستگی کامل از منابع	ناتوانی در انتقال پیام ها به دلیل عدم دسترسی به رسانه انتقال، امتناع از برقراری ارتباط. امتناع از ارائه خدمات (ایمیل، فایل، و غیره)
		نقض ارتباط منطقی بین صفات، داده ها، اشیاء	عدم انتقال انتقال، پیام ها به دلیل عدم وجود داده های مسیر صحیح. عدم امکان اخذ خدمات به دلیل اصلاح غیر مجاز شناسه ها، رمزهای عبور و غیره
		استفاده از اشتباهات در برنامه ها	نقض دستگاه های شبکه
8	راه اندازی از راه دور برنامه های کاربردی	با ارسال فایل های حاوی کد اجرایی مخرب، عفونت ویروسی	نقض محرمانه بودن، یکپارچگی، دسترسی به اطلاعات
		با پر کردن بافر برنامه سرور
		با استفاده از قابلیت های کنترل از راه دور سیستم ارائه شده توسط نرم افزار پنهان و بوک مارک های سخت افزاری یا استفاده شده توسط استاندارد	سیستم مدیریت پنهان

فرایند اجرای تهدید در مورد کلی شامل چهار مرحله است:

مجموعه اطلاعات؛

تهاجم (نفوذ به محیط عملیاتی)؛

استفاده از دسترسی غیر مجاز؛

از بین بردن آثار دسترسی غیر مجاز.

در مرحله جمع آوری اطلاعات، متخلفان ممکن است علاقه مند به اطلاعات متنوع در مورد چگالی، از جمله:

الف) در توپولوژی شبکه، که در آن سیستم کار می کند. این ممکن است منطقه را در اطراف شبکه بررسی کند (به عنوان مثال، مزاحم ممکن است علاقه مند به آدرس های میزبان مورد اعتماد، اما کمتر محافظت شده باشد). برای تعیین قابلیت دسترسی میزبان، ساده ترین دستورات می تواند مورد استفاده قرار گیرد (به عنوان مثال، دستور Ping برای ارسال echo_request ICMP پرس و جو با انتظارات از پاسخ های echo_Reply ICMP. خدماتی وجود دارد که تعریف موازی از دسترس بودن میزبان ها (مانند FPing) را انجام می دهند، که قادر به اسکن منطقه بزرگ فضای آدرس برای دسترسی میزبان در یک دوره کوتاه مدت هستند. توپولوژی شبکه اغلب بر اساس "Meter Meter" (فاصله بین میزبان) تعریف شده است. در این مورد، روش هایی مانند "مدولاسیون TTL" و ضبط مسیر را می توان اعمال کرد.

روش مدولاسیون TTL توسط Traceroute (برای ویندوز NT - tracert.exe) اجرا می شود و این است که فیلد TTL بسته IP را تعدیل کند. بسته های ICMP ایجاد شده توسط فرمان پینگ می توانند برای ضبط مسیر استفاده شوند.

مجموعه اطلاعات نیز می تواند بر اساس پرس و جو باشد:

به سرور DNS در مورد لیست میزبان ثبت شده (و احتمالا فعال)؛

به روتر پروتکل RIP در مسیرهای شناخته شده (اطلاعات در مورد توپولوژی شبکه)؛

دستگاه های پیکربندی نشده پیکربندی پشتیبانی SNMP (اطلاعات توپولوژی شبکه).

اگر کینن ها پشت فایروال (من) هستند، ممکن است اطلاعات مربوط به پیکربندی من و در مورد توپولوژی سی دی ها را برای من جمع آوری، از جمله ارسال بسته به تمام بنادر تمام میزبان های ادعایی داخلی (محافظت شده) شبکه؛

ب) در نوع سیستم عامل (OS) در ساکنین. معروف ترین روش تعیین نوع سیستم عامل میزبان بر اساس این واقعیت است که انواع مختلف سیستم عامل به روش های مختلفی به منظور اجرای استانداردهای RFC به پشته TCP / IP می پردازند. این اجازه می دهد تا نقض کننده از راه دور شناسایی نوع سیستم عامل نصب شده بر روی میزبان با ارسال درخواست های خاص تشکیل شده و تجزیه و تحلیل پاسخ های دریافت شده.

ابزار خاصی وجود دارد که این روش ها را به طور خاص اجرا می کند، به ویژه NMAP و Queso. شما همچنین می توانید این روش تعیین نوع سیستم عامل را به عنوان ساده ترین درخواست برای برقراری ارتباط از طریق پروتکل دسترسی از راه دور (اتصالات Telnet)، به عنوان نتیجه آن توسط " ظاهر"پاسخ شما می توانید نوع سیستم عامل میزبان را تعیین کنید. حضور خدمات خاص همچنین می تواند به عنوان یک ویژگی اضافی برای تعیین نوع سیستم عامل میزبان خدمت کند؛

ج) درباره خدمات عملیاتی میزبان. تعریف خدمات اجرا شده بر روی میزبان بر اساس روش شناسایی "پورت های باز" با هدف جمع آوری اطلاعات در مورد دسترسی به میزبان است. به عنوان مثال، برای تعیین در دسترس بودن پورت UDP، شما باید پاسخی را در پاسخ به فرضیه بسته UDP به بندر مربوطه دریافت کنید:

اگر ICMP Port Unerearble در پاسخ دریافت شود، سرویس مربوطه در دسترس نیست؛

اگر این پیام وارد نشده باشد، پورت "باز شده".

تغییرات بسیار متنوع استفاده از این روش بسته به پروتکل مورد استفاده در پشته پروتکل TCP / IP امکان پذیر است.

بسیاری از نرم افزارها برای خودکار سازی مجموعه اطلاعات در مورد تراکم توسعه یافته است. به عنوان مثال، موارد زیر را می توان ذکر کرد:

1) Strobe، PortsCanner - بهینه سازی بهینه سازی خدمات موجود بر اساس نظرسنجی پورت TCP؛

2) NMAP - ابزار اسکن برای خدمات موجود برای لینوکس، FreeBSD، باز BSD، Solaris، ویندوز NT. محبوب ترین ابزار فعلی برای اسکن خدمات شبکه است؛

3) Queso یک ابزار دقیق با دقت بالا برای تعیین سیستم میزبان شبکه بر اساس بسته مدار بسته های TCP درست و نادرست، تجزیه و تحلیل پاسخ و مقایسه آن با بسیاری از پاسخ های شناخته شده از سیستم عامل های مختلف است. این عامل نیز محبوب است تا تاریخ اسکن تا به امروز؛

4) Cheops - اسکنر توپولوژی شبکه اجازه می دهد تا شما را به گرفتن توپولوژی شبکه، از جمله یک تصویر دامنه، آدرس IP، و غیره. این توسط سیستم عامل میزبان، و همچنین دستگاه های شبکه ممکن (پرینتر، روتر، و غیره) تعیین می شود؛

5) Fireewalk یک اسکنر با استفاده از روش های برنامه Traceroute در منافع تجزیه و تحلیل پاسخ به بسته های IP برای تعیین پیکربندی فایروال و ساخت توپولوژی شبکه است.

در مرحله تهاجم، حضور آسیب پذیری های معمول در خدمات سیستم یا خطاهای سیستم در اداره سیستم مورد بررسی قرار گرفته است. یک نتیجه موفق از استفاده از آسیب پذیری ها معمولا توسط فرایند یک حالت اعدام ممتاز (دسترسی به حالت اجرای فرماندهی فرماندهی Privileged) به دست می آید، وارد حساب کاربری حسابداری یک کاربر غیرقانونی، دریافت فایل رمز عبور یا اختلال عملیات از میزبان حمله شده.

این مرحله از توسعه تهدید معمولا چند فاز است. فازهای فرآیند اجرای تهدید ممکن است شامل موارد زیر باشد:

ایجاد ارتباط با میزبان، نسبی که تهدید به آن می شود؛

شناسایی آسیب پذیری؛

معرفی یک برنامه مخرب در منافع گسترش حقوق و دیگران.

تهدیدات اجرا شده در مرحله نهایی به سطوح پشته پروتکل TCP / IP تقسیم می شوند، زیرا آنها بر روی شبکه، حمل و نقل یا سطح کاربردی بسته به مکانیزم تهاجم مورد استفاده تشکیل می شوند.

نوع تهدیدات در سطح شبکه و انتقال شامل موارد زیر است:

الف) تهدید به منظور جایگزینی یک شیء مورد اعتماد؛

ب) تهدید با هدف ایجاد یک مسیر نادرست در شبکه؛

الف) تهدیدات با هدف ایجاد یک شیء نادرست با استفاده از کمبودهای الگوریتم های جستجو از راه دور؛

د) تهدید "امتناع از نگهداری"، بر اساس IP Defragmentation، بر اساس درخواست های ICMP نادرست (به عنوان مثال، حمله "پینگ مرگ" و "Smurf")، در شکل گیری درخواست های TCP نادرست (حمله زمین )، در ایجاد بسته های "طوفان" با درخواست های اتصال (حملات سیل SYN) و غیره

تهدیدات معمولی که در سطح برنامه اجرا شده اند عبارتند از تهدیدات با هدف راه اندازی غیر مجاز برنامه های کاربردی، تهدیدات، اجرای آن با اجرای بوک مارک های نرم افزاری (مانند اسب تروجان ")، با شناسایی گذرواژه های دسترسی به شبکه یا به یک میزبان خاص و غیره

اگر تحقق این تهدید، متخلفان بالاترین حقوق دسترسی را در این سیستم نیاورد، تلاش کرد تا این حقوق را به بالاترین سطح ممکن گسترش دهد. برای این، آسیب پذیری های نه تنها خدمات شبکه را می توان مورد استفاده قرار داد، بلکه آسیب پذیری میزبان نرم افزار سیستم است.

در مرحله اجرای دسترسی غیر مجاز، دستیابی به هدف اجرای یک تهدید انجام می شود:

نقض محرمانه (کپی کردن، توزیع غیرقانونی)؛

نقض یکپارچگی (تخریب، تغییر)؛

نقض در دسترس بودن (مسدود کردن).

در همان مرحله، پس از این اقدامات، به عنوان یک قانون، به اصطلاح "ورودی سیاه" به شکل یکی از خدمات (شیاطین) در خدمت برخی از پورت و اجرای دستورات مزاحم تشکیل شده است. "ورود سیاه" در سیستم به منافع وثیقه در سیستم قرار دارد:

فرصت هایی برای دسترسی به میزبان، حتی اگر سرپرست آسیب پذیری را از بین ببرد که به طور موفقیت آمیز تهدیدی را اجرا می کند؛

فرصت ها برای دسترسی به میزبان به همان اندازه که ممکن است؛

فرصت ها برای دسترسی به میزبان به سرعت (بدون تکرار روند تحقق تهدید).

به عنوان مثال، "ورودی سیاه" اجازه می دهد تا متخلفان برای پیاده سازی یک برنامه مخرب به یک شبکه یا یک میزبان خاص، به عنوان مثال، یک "تجزیه و تحلیل رمز عبور" (رمز عبور Sniffer) یک برنامه است که شناسایی شناسه های کاربر و رمزهای عبور از ترافیک شبکه را در هنگام کار در سطح بالا اختصاص می دهد پروتکل ها (FTP، Telnet، Rlogin و T .D.). اشیاء پیاده سازی بدافزار ممکن است احراز هویت و برنامه های شناسایی، خدمات شبکه، هسته سیستم عامل، سیستم فایل، کتابخانه ها و غیره باشند.

در نهایت، در مرحله از بین بردن آثار تهدید، تلاش برای از بین بردن آثار از اعمال نقض کننده ساخته شده است. در عین حال، نوشته های مناسب از همه سیاهههای مربوط به حسابرسی ممکن، از جمله سوابق مربوط به واقعیت جمع آوری اطلاعات حذف می شوند.

5.5. ویژگی های کلی تهدیدات نرم افزار و تاثیرات ریاضی

تاثیر نرم افزار-ریاضی تاثیر می گذارد با کمک برنامه های مخرب. این برنامه با عواقب بالقوه خطرناکی یا برنامه مخرب، برخی از برنامه های مستقل (مجموعه ای از دستورالعمل ها) نامیده می شود، که قادر به انجام هر زیرمجموعه غیر خالی از توابع زیر است:

نشانه های حضور خود را در محیط نرم افزار کامپیوتر مخفی کنید؛

توانایی خودپنداره، انجمن خود را با سایر برنامه ها و (یا) انتقال قطعات آن به سایر زمینه های حافظه عملیاتی یا خارجی داشته باشید؛

نابود کردن (تحریف یک روش دلخواه) کد برنامه در RAM؛

اجرای بدون شروع از کاربر (برنامه کاربر در حالت منظم اجرای آن) توابع مخرب (کپی، تخریب، مسدود کردن، و غیره)؛

ذخیره قطعات اطلاعات از RAM در برخی از مناطق دسترسی مستقیم خارجی (محلی یا از راه دور)؛

برای تحریف یک روش دلخواه، بلوک و (یا) برای جایگزینی حافظه خارجی یا کانال ارتباطی، مجموعه ای از اطلاعات شکل گرفته به عنوان یک نتیجه از برنامه های کاربردی برنامه های کاربردی، و یا در حال حاضر در حافظه خارجی از آرایه های داده است.

برنامه های مخرب مدرن مبتنی بر استفاده از آسیب پذیری های مختلف نرم افزار (سیستماتیک، عمومی، کاربردی) و فن آوری های مختلف شبکه هستند، دارای طیف گسترده ای از قابلیت های مخرب (از مطالعه غیر مجاز پارامترهای PDN بدون دخالت در عملکرد CDN، قبل از تخریب PDN ها و نرم افزار CDN) و ممکن است در تمام انواع نرم افزار (سیستم، اعمال شده، در رانندگان سخت افزاری، و غیره) عمل کند.

انواع اصلی برنامه های مخرب عبارتند از:

بوک مارک های نرم افزار؛

ویروس های کلاسیک (کامپیوتر)؛

برنامه های مخرب که از طریق شبکه پخش می شوند (کرم های شبکه)؛

سایر برنامه های مخرب در نظر گرفته شده برای اجرای NSD.

طبقه بندی ویروس های نرم افزاری و کرم های شبکه در شکل 14 ارائه شده است. شرح مختصری از برنامه های مخرب اصلی به موارد زیر کاهش می یابد. ویروس های بوت شدن خود را به بخش بوت دیسک (بخش بوت) یا در بخش حاوی رکورد اصلی بوت) بنویسید یا اشاره گر را به بخش بوت فعال تغییر دهید. آنها هنگام بارگیری از یک دیسک آلوده به حافظه کامپیوتر معرفی می شوند. در این مورد، سیستم عامل Loader محتویات بخش اول دیسک را می خواند که از آن دانلود شده است، اطلاعات خواندن را به حافظه و انتقال به آن (I.E.، ویروس) کنترل می کند. پس از آن، دستورالعمل های ویروس آغاز می شود، که به عنوان یک قاعده، مقدار حافظه آزاد را کاهش می دهد، کد آن را به محل خالی کپی می کند و ادامه آن را از دیسک می خواند (اگر وجود داشته باشد)، بردار وقفه لازم را (معمولا int 13h)، بخش اصلی بوت حافظه را می خواند و کنترل آن را انتقال می دهد.

در آینده، ویروس بوت به همان شیوه رفتار می کند: دسترسی سیستم عامل را به دیسک ها متصل می کند و آنها را آلوده می کند، بسته به شرایط برخی از شرایطی که اقدامات مخرب را ایجاد می کند، باعث جلوه های صوتی یا جلوه های ویدئویی می شود.

اقدامات اصلی مخرب انجام شده توسط این ویروس ها عبارتند از:

تخریب اطلاعات در بخش فلاپی و هارد دیسک؛

از بین بردن قابلیت های سیستم عامل (کامپیوتر "آویزان")؛

اعوجاج کد لودر؛

قالب بندی دیسک یا دیسک های منطقی هارد دیسک؛

بسته شدن دسترسی به پورت COM و LPT؛

جایگزینی نمادها هنگام چاپ متون؛

صفحه نمایش twitching؛

تغییر برچسب دیسک یا فلاپی دیسک؛

ایجاد خوشه های شبه آزاد؛

ایجاد صدا و (یا) جلوه های بصری (به عنوان مثال، قطره در حروف روی صفحه نمایش)؛

فایل های داده آسیب؛

نمایش پیام های مختلف؛

جدا کردن دستگاه های محیطی (به عنوان مثال، صفحه کلید)؛

تغییر پالت صفحه نمایش؛

پر کردن صفحه نمایش با بیگانگان یا تصاویر؛

بازپرداخت صفحه نمایش و حالت ورودی ترجمه از صفحه کلید؛

رمزگذاری بخش های وینچستر؛

تخریب انتخابی شخصیت های نمایش داده شده بر روی صفحه نمایش زمانی که از صفحه کلید تنظیم شده است؛

کاهش RAM؛

تماس با چاپ صفحه؛

مسدود کردن سوابق بر روی دیسک؛

جدول جدول پارتیشن دیسک، پس از آن، کامپیوتر تنها می تواند از یک فلاپی دیسک دانلود شود؛

مسدود کردن شروع فایل های اجرایی؛

مسدود کردن دسترسی به وینچستر.

شکل 14. طبقه بندی ویروس های نرم افزاری و کرم های شبکه

بیشترین ویروس های قابل بوت شدن خود را بر روی دیسک های فلاپی بازنویسی می کنند.

روش عفونت "بازنویسی" ساده ترین است: ویروس کد خود را به جای کد فایل آلوده ثبت می کند، محتوای آن را از بین می برد. به طور طبیعی، در حالی که فایل متوقف می شود و بازسازی نشده است. چنین ویروس ها بسیار سریع خود را تشخیص می دهند، زیرا سیستم عامل و برنامه های کاربردی بسیار سریع کار را متوقف می کند.

رده "همراه" شامل ویروس هایی است که فایل های آلوده را تغییر نمی دهند. الگوریتم کار این ویروس ها این است که یک فایل دوگانه برای فایل آلوده ایجاد شده است، و هنگامی که فایل آلوده آغاز می شود، کنترل این دوقلو را دریافت می کند، یعنی ویروس. رایج ترین ویروس های شرکت CompanyOn با استفاده از ویژگی DOS برای اولین بار فایل ها را با Extension.com اجرا کنید، اگر دو فایل با همان نام در یک دایرکتوری وجود داشته باشد، اما با نام های مختلف نام - .com i.exe. چنین ویروس ها فایل های ماهواره ای را برای فایل های EXE ایجاد می کنند که دارای همان نام هستند، اما با Extension.com، فایل xcopy.com برای فایل xcopy.exe ایجاد می شود. این ویروس در فایل COM ثبت شده است و فایل EXE را تغییر نمی دهد. هنگامی که شما چنین فایل DOS را شروع می کنید، اولین فایل COM را شناسایی و اجرا می کند، یعنی ویروس که پس از آن شروع خواهد شد و فایل EXE. گروه دوم باعث می شود ویروس هایی که هنگام آلوده شدن، فایل را به هر نام دیگری تغییر نام دهند، آن را به یاد داشته باشید (برای راه اندازی بعدی فایل میزبان) و کد خود را به دیسک تحت نام فایل آلوده بنویسید. به عنوان مثال، فایل xcopy.exe به xcopy.exd تغییر نام داده شده است، و ویروس تحت نام xcopy.exe نوشته شده است. هنگام شروع، کنترل کد ویروس را دریافت می کند، که سپس XCopy اصلی ذخیره شده زیر نام xcopy.exd را آغاز می کند. جالب این واقعیت است که این روش، ظاهرا در تمام سیستم عامل ها کار می کند. گروه سوم شامل ویروس های به اصطلاح "Path-Companion" است. آنها یا کد خود را تحت نام فایل آلوده قرار می دهند، اما "بالا" یک سطح در مسیرهای تجویز شده (DOS، بنابراین اولین بار اولین بار شناسایی و راه اندازی فایل ویروس)، و یا تحمل فایل قربانی به یک زیر شاخه بالا را تحمل می کند ، و غیره.

کرم های فایل (کرم ها)، به یک معنا، یک نوع از ویروس های Companyon هستند، اما به هیچ وجه حضور خود را با هر گونه فایل اعدام نمی کنند. در تولید مثل، آنها تنها کد خود را به هر کاتالوگ دیسک کپی می کنند، امیدوار است که این نسخه های جدید هرگز توسط کاربر اجرا شود. گاهی اوقات این ویروس ها کپی های خود را از نام های "ویژه" می دهند تا کاربر را فشار دهید تا کپی خود را شروع کنند - به عنوان مثال، install.exe یا winstart.bat. به عنوان مثال، ویروس های Wormi وجود دارد که از تکنیک های نسبتا غیر معمول استفاده می کنند، به عنوان مثال، ضبط نسخه های خود را در آرشیو ها (ARJ، ZIP و دیگران) ضبط می کنند. برخی از ویروس ها راه اندازی یک فایل آلوده را در فایل های خفاش ثبت می کنند. ویروس های Chervi فایل را با کرم های شبکه اشتباه نگیرید. اولین بار تنها از توابع فایل هر سیستم عامل استفاده می شود، دوم در بازتولید آنها از پروتکل های شبکه استفاده می کند.

پیوند ویروس ها، مانند ویروس های همراه، محتوای فیزیکی فایل ها را تغییر ندهید، با این حال، هنگامی که فایل آلوده آغاز می شود، سیستم عامل "علت" کد شما را اجرا می کند. این اهداف آنها به اصلاح فیلدهای سیستم لازم نیاز می رسند.

پس از دریافت کنترل، ویروس فایل اقدامات عمومی زیر را انجام می دهد:

RAM را برای حضور کپی خود چک می کند و حافظه کامپیوتر را آلوده می کند اگر یک نسخه از ویروس یافت نشد (اگر ویروس ساکن باشد)، به دنبال فایل های غیرقابل دسترسی در دایرکتوری ROOT فعلی و (یا) با اسکن یک دیسک منطقی درخت دایرکتوری، و سپس فایل های شناسایی شده را آلوده می کند؛

عملکردهای اضافی (در صورت وجود) را انجام می دهد: اقدامات مخرب، جلوه های گرافیکی یا صدا، و غیره (توابع اضافی از ویروس Resident را می توان پس از یک زمان پس از فعال شدن، بسته به زمان فعلی، پیکربندی سیستم، شمارنده های ویروس داخلی و یا سایر شرایط، نامیده می شود، در این مورد ویروس زمانی که فعال سازی فرآیندهای وضعیت ساعت سیستم، آن را تنظیم می کند شمارنده ها، و غیره)؛

لازم به ذکر است که سریعتر ویروس گسترش یافته است، احتمال بیشتری رخ می دهد که وقوع اپیدمی این ویروس، کندتر از ویروس گسترش یافته است، سخت تر برای تشخیص آن (اگر، البته، این ویروس ناشناخته است). ویروس های غیر ساکن اغلب "آهسته" هستند - اکثر آنها هنگام شروع آن یک یا دو فایل را آلوده می کنند و قبل از اجرای برنامه آنتی ویروس (یا ظاهر یک نسخه جدید از آنتی ویروس پیکربندی شده، کامپیوتر را شناور نمی کند این ویروس). البته، البته، ویروس های غیر ساکن "سریع" وجود دارد که به دنبال و آلوده کردن تمام فایل های اجرایی هستند، با این حال، چنین ویروس ها بسیار قابل توجه هستند: هنگامی که شما هر فایل آلوده را شروع می کنید، کامپیوتر دارای زمان (گاهی اوقات به اندازه کافی طولانی) به طور فعال است کار با هارد دیسک، که ویروس را از بین می برد. سرعت توزیع (عفونت) در ویروس های ساکن معمولا بالاتر از غیر ساکن است - آنها فایل ها را با هر گونه تجدید نظر به آنها آلوده می کنند. به عنوان یک نتیجه، تمام فایل هایی که به طور مداوم در عمل استفاده می شود، بر روی دیسک آلوده می شوند. سرعت توزیع (عفونت) ویروس های پرونده ساکن فایل های آلوده به فایل ها تنها زمانی که آنها شروع به اجرای، کمتر از ویروس های آلوده به فایل ها و زمانی که آنها باز، تغییر نام، تغییر ویژگی های فایل، و غیره

برای وجود ویروس ها در یک سیستم خاص (ویرایشگر)، لازم است که یک زبان ماکرو داخلی ساخته شده را با قابلیت های ایجاد کنید:

1) پیوند برنامه در زبان ماکرو به یک فایل خاص؛

2) کپی ماکروپروگرام از یک فایل به دیگری؛

3) به دست آوردن مدیریت برنامه ماکرو بدون مداخله کاربر (ماکروهای اتوماتیک یا استاندارد).

این شرایط برنامه های کاربردی را برآورده می کند مایکروسافت ورد، اکسل و مایکروسافت دسترسی. آنها حاوی ماکوماز هستند: کلمه اساسی، ویژوال بیسیک برای برنامه های کاربردی. که در آن:

1) ماکروگرام ها به یک فایل خاص وابسته هستند یا در داخل فایل قرار دارند؛

این ویژگی ماکرو زبان برای پردازش داده های اتوماتیک در سازمان های بزرگ یا در شبکه های جهانی طراحی شده است و به شما اجازه می دهد تا به اصطلاح "مدیریت سند خودکار" سازماندهی کنید. از سوی دیگر، قابلیت های ماکرو زبان این سیستم ها به ویروس اجازه انتقال کد خود را به فایل های دیگر و در نتیجه آنها را آلوده می کند.

شبکه شامل ویروس هایی است که به طور فعال از پروتکل ها و امکانات شبکه های محلی و جهانی برای توزیع آنها استفاده می کنند. اصل اصلی ویروس شبکه، توانایی انتقال کد شما به یک سرور یا ایستگاه کاری از راه دور است. ویروس های "کامل" شبکه "همچنین توانایی اجرای اجرای کد خود را بر روی یک کامپیوتر از راه دور یا حداقل" فشار دادن "کاربر به راه اندازی فایل آلوده را اجرا می کنند.

برنامه های مخرب که اطمینان از اجرای NSD ممکن است عبارتند از:

انتخاب و باز کردن برنامه ها؛

تهدیدات برنامه های اجرایی؛

برنامه ها نشان دهنده استفاده از نرم افزار و قابلیت های سخت افزاری و سخت افزاری غیرقانونی است

برنامه های ژنراتور ویروس کامپیوتر؛

برنامه های نشان دهنده آسیب پذیری های ابزارهای امنیتی اطلاعات و دیگران است.

5.6. ویژگی های کلی کانال های اطلاعاتی غیر سنتی

کانال اطلاعات غیر سنتی یک کانال امنيت اطلاعات با استفاده از کانال های ارتباطی سنتی و تحولات ویژه اطلاعات منتقل شده است که مربوط به رمزنگاری نیستند.

روش ها را می توان برای تشکیل کانال های غیر متعارف استفاده کرد:

کامپیوتر steganography؛

بر اساس دستکاری ویژگی های مختلف CDM، که می تواند تحریم شود (به عنوان مثال، زمان پردازش پرسشهای مختلف، حجم پاسخ به حافظه یا قابل دسترسی برای خواندن شناسه های فایل ها یا فرایندها، و غیره).

روش های استیگانوگرافی کامپیوتری برای مخفی کردن واقعیت انتقال پیام با تعبیه اطلاعات پنهان در داده های بی ضرر بی نظیر (متن، گرافیک، صوتی یا فایل های ویدئویی) طراحی شده اند و شامل دو گروه از روش های مبتنی بر:

با استفاده از خواص ویژه فرمت های کامپیوتری برای ذخیره سازی و انتقال داده ها؛

در افزونگی اطلاعات صوتی، تصویری یا متنی از موقعیت ویژگی های روانشناختی فیزیولوژیکی ادراک انسان.

طبقه بندی روش های Seganography کامپیوتر در شکل 15 نشان داده شده است. مشخصه مقایسهای آنها در جدول 4 نشان داده شده است.

بزرگترین توسعه و برنامه در حال حاضر روش های پنهان کردن اطلاعات را در stegrotainers گرافیک پیدا می کند. این به دلیل مقدار نسبتا زیادی از اطلاعات است که می تواند در چنین ظروف بدون اعوجاج تصویر قابل توجه، حضور یک اطلاعات پیشین در مورد اندازه ظرف، وجود در اکثر تصاویر واقعی از مناطق بافتی دارای ساختار نویز و خوب است نامناسب برای جاسازی اطلاعات، روش های در حال توسعه پردازش تصویر دیجیتال و روش های دیجیتال ارائه تصویر. در حال حاضر، تعدادی از محصولات نرم افزاری تجاری و رایگان موجود برای کاربر معمولی وجود دارد که روش های شناخته شده Seganographic را از پنهان کردن اطلاعات استفاده می کنند. در عین حال، کاندیدان گرافیک و صوتی عمدتا مورد استفاده قرار می گیرند.

شکل 15. طبقه بندی روش های تبدیل اطلاعات استگانگرافی (SP)

جدول 4

ویژگی های مقایسه ای از روش های تبدیل اطلاعات سازماندهی اطلاعات

روش Steganographic	روش مشخصه کوتاه	معایب	فواید
روش های پنهان کردن اطلاعات در محرمانهای صوتی
	بر اساس ضبط پیام به کوچکترین بیت های قابل توجه سیگنال منبع. به عنوان یک ظرف استفاده می شود، به عنوان یک قاعده، یک سیگنال صوتی غیر فشرده	انتقال پیام اسرارآمیز کم. مقاومت کم تحریف فقط برای فرمت های فایل صوتی خاص استفاده می شود.
روش پنهان سازی بر اساس توزیع طیف	بر اساس نسل سر و صدا شبه تصادفی، که عملکرد پیام معرفی شده است، و صدای حاصل را به مخزن سیگنالینگ اصلی به عنوان یک جزء افزودنی مخلوط کنید. جریان های اطلاعاتی کدگذاری شده توسط داده های طیف داده های پراکنده
روش Calfaction بر اساس استفاده از سیگنال اکو	بر اساس استفاده از سیگنال صوتی خود، بازداشت شده برای دوره های مختلف زمان بسته به پیام اجرا شده ("مرکز شهر")	ضریب استفاده از کانتینر کم. هزینه های محاسباتی قابل توجه	پیامهای خفیف پیشین
روش Calfaction در فاز سیگنال	بر اساس واقعیت عدم حساسیت گوش انسان به ارزش مطلق فاز هارمونیک. سیگنال صوتی به ترتیب توالی تقسیم می شود، پیام با تغییر فاز اول بخش تعبیه شده است	ضریب استفاده از ظرف کوچک	این تظاهرات بسیار بالایی نسبت به روش های پنهان در NBB دارد
روش های پنهان کردن اطلاعات در ظروف متن
روش پنهانی Sonic مبتنی بر	بر اساس فضا در انتهای خطوط، پس از نشانه های نقطه گذاری، بین کلمات در هنگام هماهنگ کردن طول رشته ها	روش ها به انتقال متن از یک فرمت به دیگری حساس هستند. از دست دادن ارتباطات ممکن است. محرمانه کم	به اندازه کافی بزرگ پهنای باند
روش Calfaction بر اساس ویژگی های نحوی متن	این بر اساس این واقعیت است که قوانین نشانه گذاری اجازه می دهد برای ابهامات در هنگام هماهنگ کردن علائم نقطه گذاری	پهنای باند بسیار کم. تکمیل تشخیص پیام	یک فرصت بالقوه برای انتخاب این روش وجود دارد که در آن روش های بسیار پیچیده ای برای افشای پیام مورد نیاز است.
روش پنهانی مترادف مبتنی بر	بر اساس قرار دادن اطلاعات به متن با استفاده از متناوب کلمات از هر گروه مترادف	با توجه به انواع مختلف سایه ها در مترادف های مختلف، در ارتباط با زبان روسی پیچیده شده است	یکی از روش های امیدوار کننده ترین. پست نسبتا بالا پست دارد
روش Calfaction بر اساس استفاده از خطا	این بر اساس ماسک از بیت های اطلاعاتی تحت خطاهای طبیعی، اشتباهات، نقض قوانین برای نوشتن ترکیبات واکه ها و هماهنگ ها، جایگزینی سیریلیک به مشابه در ظاهر نامه های لاتین و غیره است.	پهنای باند کم. به سرعت با تجزیه و تحلیل آماری نشان داد	بسیار آسان برای استفاده. هنگام تجزیه و تحلیل مرد، محرمانه است
روش مبتنی بر تولید کلستکتک	بر اساس نسل یک ظرف متن با استفاده از مجموعه ای از پیشنهادات برای قوانین. رمزنگاری متقارن استفاده می شود	پهنای باند کم. بی نظمی از متن ایجاد شده	محرمانه با روش های رمزنگاری تعیین می شود و به عنوان یک قانون کاملا بالا است
روش پنهان بر اساس استفاده از ویژگی های فونت	بر اساس اطلاعات وارد شده به دلیل تغییرات در نوع فونت و اندازه نامه، و همچنین امکان تعبیه اطلاعات در بلوک های ناشناخته برای شناسه های مرورگر	هنگامی که مقیاس سند تبدیل می شود، به راحتی تشخیص داده می شود، با stewardy آماری	ضریب بالا استفاده از ظرف
روش Calfaction بر اساس استفاده از کد سند و فایل	بر اساس ارسال اطلاعات در زمینه های رزرو شده و استفاده نشده از طول متغیر	محرمانه کم با فرمت فایل شناخته شده	آسان برای استفاده
روش Calfaction بر اساس استفاده از اصطلاحات	بر اساس تغییر کلمات	پهنای باند کم. Nerco تخصصی محرمانه کم	آسان برای استفاده
روش Calfaction بر اساس استفاده از متناوب کلمات	بر اساس نسل متن - ظرف با تشکیل کلمات یک طول مشخص با توجه به قانون برنامه نویسی شناخته شده	پیچیدگی تشکیل ظرف و پیام	هنگام تجزیه و تحلیل مرد، محرمانه است
روش Calfaction بر اساس استفاده از نامه های اول	بر اساس معرفی پیام در حروف اول از کلمات متن با انتخاب کلمات	پیچیدگی تدوین پیام. پیام کم محرمانه	آزادی بیشتری را برای انتخاب یک اپراتور اختراع یک پیام می دهد
روش های پنهان کردن اطلاعات در ظروف گرافیک
روش پنهان شدن در کوچکترین بیت های مهم	بر اساس ارسال پیام به کوچکترین بیت های قابل توجه تصویر اصلی	انتقال پیام اسرارآمیز کم. مقاومت کم تحریف	ظرفیت کانتینر به اندازه کافی بالا (تا 25٪)
روش Calfaction بر اساس اصلاح فرمت ارسال شاخص	بر اساس کاهش (جایگزینی) پالت رنگ و مرتب سازی رنگ در پیکسل با تعداد مجاور	این به طور عمده به تصاویر فشرده استفاده می شود. پست کم قدرت انتقال	ظرفیت کانتینر بازدارنده بالا
روش Calfaction بر اساس استفاده از عملکرد خودکار سازمانی	بر اساس جستجو با استفاده از عملکرد خودکار همبستگی مناطق حاوی داده های مشابه	مجتمع تکمیل	مقاومت به بیشتر تحولات ظروف غیر خطی
روش Calfaction بر اساس استفاده از مدولاسیون غیر خطی یک پیام جاسازی شده	بر اساس مدولاسیون سیگنال شبه تصادفی به سیگنال حاوی اطلاعات پنهان
روش Calfaction بر اساس استفاده از مدولاسیون نمادین پیام جاسازی شده	بر اساس مدولاسیون سیگنال شبه تصادفی توسط یک سیگنال دو قطبی حاوی اطلاعات پنهان	دقت تشخیص کم. تحریفات	پیام اسرارآمیز به اندازه کافی بالا
روش پنهان سازی مبتنی بر موجک	بر اساس ویژگی های تحولات موجک	مجتمع تکمیل	ترشح
روش Calfaction بر اساس استفاده از تحول گسسته کوزین	بر اساس ویژگی های تبدیل کوزین گسسته	محاسبه کامل	ترشح

در کانال های اطلاعاتی غیر متعارف بر اساس دستکاری ویژگی های مختلف منابع CDN، برای انتقال برخی از منابع به اشتراک گذاشته شده استفاده می شود. در عین حال، در کانال ها با استفاده از ویژگی های زمان، مدولاسیون زمان اشتغال یک منبع مشترک (به عنوان مثال، مدولاسیون زمان اشتغال پردازنده، برنامه های کاربردی می توانند داده ها را مبادله کنند).

در کانال های حافظه، منبع به عنوان یک بافر متوسط \u200b\u200bاستفاده می شود (به عنوان مثال، برنامه های کاربردی می توانند داده ها را با قرار دادن آنها در نام فایل ها و دایرکتوری های ایجاد شده). در کانال های پایگاه های داده و دانش، از وابستگی بین داده های ناشی از پایگاه داده های ارتباطی و دانش استفاده کنید.

کانال های اطلاعاتی غیر سنتی را می توان در سطوح مختلف بیکار تشکیل داد:

در سطح سخت افزاری؛

در سطح میکروکودیدها و رانندگان دستگاه؛

در سطح سیستم عامل؛

در سطح نرم افزار کاربردی؛

در سطح عملکرد کانال های انتقال داده ها و خطوط ارتباطی.

این کانال ها را می توان برای انتقال پنهان اطلاعات کپی شده و دستورات مخفی برای اجرای اقدامات مخرب، راه اندازی برنامه های کاربردی و غیره استفاده کرد.

برای پیاده سازی کانال ها به عنوان یک قانون، لازم است که یک نرم افزار یا نرم افزار و سخت افزار را در یک سیستم خودکار اجرا کنید که باعث ایجاد یک کانال غیر سنتی می شود.

کانال اطلاعات غیر متعارف می تواند در سیستم به طور مداوم یا یک بار یا در شرایط مشخص شده فعال شود. در این مورد، وجود بازخورد با موضوع NSD امکان پذیر است.

5.7. ویژگی های کلی نتایج دسترسی غیر مجاز یا تصادفی

پیاده سازی تهدیدات NSD ها به اطلاعات می تواند به انواع زیر از نقض امنیتی خود منجر شود:

نقض محرمانه (کپی کردن، توزیع غیرقانونی)؛

ضعف یکپارچگی (تخریب، تغییر)؛

نقض در دسترس بودن (مسدود کردن).

اختلال حریم خصوصی را می توان در صورت نشت اطلاعات اجرا کرد:

کپی کردن آن به رسانه های بیگانه؛

انتقال آن از طریق کانال های داده؛

هنگام مشاهده یا کپی آن در طول تعمیر، اصلاح و دفع نرم افزار و سخت افزار؛

با "مونتاژ زباله" توسط ویروسی در طول عملیات CDN.

نقض یکپارچگی اطلاعات از طریق تاثیر (اصلاح) بر روی برنامه ها و داده های کاربر، و همچنین اطلاعات تکنولوژیکی (سیستم)، از جمله:

سیستم عامل، داده ها و رانندگان دستگاه های سیستم محاسبات؛

برنامه ها، اطلاعات و دستگاه های رانندگان که سیستم عامل سیستم عامل را ارائه می دهند؛

برنامه ها و داده ها (توصیفگرها، توصیفگرها، سازه ها، جداول، و غیره) از سیستم عامل؛

برنامه ها و اطلاعات نرم افزار نرم افزار؛

برنامه های ویژه نرم افزار و داده ها؛

مقادیر متوسط \u200b\u200b(عملیاتی) برنامه ها و داده ها در فرآیند پردازش (خواندن / نوشتن، دریافت / انتقال) با استفاده از ابزار و دستگاه های محاسبات.

نقض یکپارچگی اطلاعات به CPF همچنین ممکن است ناشی از معرفی یک برنامه مخرب و برنامه سخت افزاری یا تاثیر بر سیستم امنیتی اطلاعات یا عناصر آن باشد.

علاوه بر این، ممکن است بر اطلاعات شبکه های تکنولوژیکی تأثیر بگذارد، که می تواند عملکرد ابزار مختلف کنترل شبکه محاسبات را تضمین کند:

تنظیمات شبکه؛

آدرس ها و انتقال اطلاعات مسیر در شبکه؛

کنترل شبکه عملکردی؛

امنیت اطلاعات در شبکه.

نقض موجود بودن اطلاعات توسط شکل گیری (اصلاح) داده های منبع ارائه می شود، که هنگام پردازش باعث عملیات نادرست، خرابی های تجهیزات یا ضبط (بارگیری) از منابع محاسباتی سیستم که برای انجام برنامه ها و عملیات تجهیزات مورد نیاز است.

این اقدامات می تواند منجر به نقض یا شکست عملکرد تقریبا هر وسیله فنی CADN شود:

پردازش اطلاعات؛

اطلاعات I / O اطلاعات؛

رسانه ذخیره سازی اطلاعات؛

تجهیزات و کانال های انتقال؛

ابزارهای امنیتی اطلاعات.

تهدیدات راه اندازی برنامه از راه دور. تهدیدات برای پیاده سازی در شبکه برنامه های مخرب

روند کلی توسعه برنامه های مخرب

فناوری Rootkit

برنامه Hoax

برنامه های تروجان برای تهدید و اخاذی

تزریق کد برنامه به عنوان یک روش شروع پنهان

روش های جدید Whebmoney جدید

تشخیص اشکال زدایی و کامپیوتر مجازی

ربات های اسپم و پروکسی های تروجان

توزیع برنامه های مخرب با پیکرهای اینترنتی

حامل های فلش USB

نتیجه

همچنین بخوانید

تعیین بار حل و فصل ضریب اتصال شبکه برق شهری ترکیبی از بارهای حداکثر

شبکه های ثانویه شبکه های مخابراتی شبکه های ثانویه

نصب و راه اندازی سیستم عامل رسمی در سیستم عامل Galaxy S6 سامسونگ Nokia C6 00

زنگ.