La menace réside dans la volonté de lancer divers programmes malveillants préinstallés sur l'hôte ISPD: programmes de signets, virus, "spywares réseau", dont le but principal est de violer la confidentialité, l'intégrité, la disponibilité des informations et le contrôle total sur le fonctionnement de l'hôte. De plus, le lancement non autorisé de programmes d'application utilisateur est possible pour la réception non autorisée de données nécessaires à un intrus, pour le lancement de processus contrôlés par l'application, etc.
Il existe trois sous-classes de ces menaces:
Distribution de fichiers contenant du code exécutable non autorisé;
Lancement d'applications à distance par débordement de tampon des applications serveur;
Lancement à distance de l'application en utilisant les capacités télécommande système fourni par des onglets logiciels et matériels cachés, ou utilisé par des moyens standard.
Les menaces typiques de la première de ces sous-classes sont basées sur l'activation de fichiers redistribuables lors d'un accès accidentel à ceux-ci. Des exemples de tels fichiers sont: les fichiers contenant du code exécutable sous la forme de documents contenant du code exécutable sous la forme de contrôles ActiveX, d'applets Java, de scripts interprétés (par exemple, des textes JavaScript); fichiers contenant des codes de programme exécutables. Les services de messagerie électronique, de transfert de fichiers et de système de fichiers réseau peuvent être utilisés pour distribuer des fichiers.
Lorsque des menaces de la deuxième sous-classe sont utilisées, les lacunes des programmes qui mettent en œuvre services réseau (en particulier, manque de contrôle de débordement de tampon). En ajustant les registres système, il est parfois possible de commuter le processeur après une interruption provoquée par un débordement de tampon pour exécuter du code contenu en dehors de la limite de la mémoire tampon. Un exemple d'une telle menace est l'introduction du célèbre "virus Morris".
En cas de menaces de la troisième sous-classe, l'intrus utilise les capacités de contrôle du système à distance fournies par des composants cachés (par exemple, les «chevaux de Troie» tels que Back. Orifice, Net Bus), ou des outils standard pour gérer et administrer les réseaux informatiques (Landesk Management Suite, Managewise, Back Orifice, etc.) P.). Du fait de leur utilisation, il est possible de réaliser un contrôle à distance de la station dans le réseau.
est peu probable.
Une liste généralisée de la probabilité de mise en œuvre des menaces pour différents types d'ISPD est présentée dans le tableau 12.
Tableau 12
Menaces d'injection de logiciels malveillants sur le réseau
Les programmes malveillants injectés sur un réseau incluent des virus qui utilisent activement les protocoles et les capacités des réseaux locaux et mondiaux pour leur distribution. Le principe de base d'un virus de réseau est la capacité de transférer indépendamment son code vers un serveur ou un poste de travail distant. "Haut grade" virus de réseau en même temps, ils ont également la possibilité d'exécuter leur code sur un ordinateur distant ou, au moins, de «pousser» l'utilisateur à lancer un fichier infecté.
Les programmes malveillants qui assurent la mise en œuvre du NSD peuvent être:
Programmes de devinettes et de craquage de mots de passe;
Programmes qui mettent en œuvre les menaces;
Programmes qui démontrent l'utilisation de capacités non déclarées des logiciels et logiciels et matériels ISPDn;
Générateurs de virus informatiques;
Programmes qui démontrent les vulnérabilités des outils de sécurité de l'information, etc.
Si dans l'établissement le PD traité n'est pas envoyé sur les réseaux publics et l'échange international, une protection antivirus est installée, alors la probabilité de réalisation de la menace est est peu probable.
Dans tous les autres cas, la probabilité que la menace se concrétise doit être évaluée.
Une liste généralisée de la probabilité de mise en œuvre des menaces pour différents types de RNIS est présentée dans le Tableau 13.
Tableau 13
Faisabilité des menaces
Sur la base des résultats de l'évaluation du niveau de sécurité (Y 1) (section 7) et de la probabilité de la menace (Y 2) (section 9), le facteur de faisabilité de la menace (Y) est calculé et la possibilité que la menace se concrétise (tableau 4). Le facteur de faisabilité de la menace Y sera déterminé par le rapport Y \u003d (Y 1 + Y 2) / 20
La détermination de la faisabilité des menaces se fait sur la base du rapport sur les résultats de l'audit interne.
Une liste généralisée de l'évaluation de la faisabilité de l'UBPD pour différents types d'ISPD est présentée dans les tableaux 14-23.
Tableau 14 - CI autonome de type I
| Type de menaces pour la sécurité des données personnelles | Possibilité de mise en œuvre | |
| 0,25 | faible | |
| 0,25 | faible | |
| 0,25 | faible | |
| 2.1.1. Vol d'un PC | 0,25 | faible |
| 0,25 | faible | |
| 0,25 | faible | |
| 0,25 | faible | |
| 0,25 | faible | |
| 0,25 | faible | |
| 0,25 | faible | |
| 0,35 | moyenne | |
| 0,25 | faible | |
| 0,25 | faible | |
| 0,35 | moyenne | |
| 0,25 | faible | |
| 0,25 | faible | |
| 0,25 | faible | |
| 0,25 | faible | |
| 2.3.6. Catastrophe | 0,25 | faible |
| 0,25 | faible | |
| 0,35 | moyenne | |
| 0,25 | faible | |
| 0,25 | faible | |
| 0,25 | faible | |
| 0,25 | faible | |
| 0,25 | faible | |
| 0,25 | faible | |
| 0,25 | faible | |
| 0,25 | faible | |
| 0,25 | faible | |
| 0,25 | faible | |
| 0,25 | faible |
Tableau 15 - CI autonome de type II
| Type de menaces pour la sécurité des données personnelles | Facteur de faisabilité de la menace (Y) | Possibilité de mise en œuvre |
| 1. Menaces de fuite par les canaux techniques. | ||
| 1.1. Menaces de fuite d'informations acoustiques | 0,25 | faible |
| 1.2. Menaces de fuite d'informations sur les espèces | 0,25 | faible |
| 1.3. Menaces de fuite d'informations via les canaux PEMIN | 0,25 | faible |
| 2. Menaces d'accès non autorisé à l'information. | ||
| 2.1. Menaces de destruction, vol de matériel ISPD de supports d'information par accès physique aux éléments ISPD | ||
| 2.1.1. Vol d'un PC | 0,25 | faible |
| 2.1.2. Vol de médias | 0,25 | faible |
| 2.1.3. Voler des clés et des attributs d'accès | 0,25 | faible |
| 2.1.4. Vol, modification, destruction d'informations | 0,25 | faible |
| 2.1.5. Désactivation des nœuds PC, des canaux de communication | 0,25 | faible |
| 2.1.6. Accès non autorisé aux informations lors de la maintenance (réparation, destruction) des unités PC | 0,25 | faible |
| 2.1.7. Déconnexion non autorisée des équipements de protection | 0,25 | faible |
| 2.2. Menaces de vol, de modification non autorisée ou de blocage d'informations en raison d'un accès non autorisé (NSD) avec l'utilisation de logiciels et de matériel et de logiciels (y compris les logiciels et les influences mathématiques). | ||
| 2.2.1. Actions de programmes malveillants (virus) | 0,35 | moyenne |
| 2.2.2. Capacités non déclarées des logiciels système et des logiciels pour le traitement des données personnelles | 0,25 | faible |
| 2.2.3. Installation de logiciels non liés à l'exercice de fonctions officielles | 0,25 | faible |
| 2.3. Menaces d'actions non intentionnelles des utilisateurs et violations de la sécurité du fonctionnement de l'ISPD et du SZPDn dans sa composition dues à des pannes logicielles, ainsi que des menaces non anthropiques (pannes matérielles dues à un manque de fiabilité des éléments, pannes de courant) et naturelles (foudre, incendies, inondations, etc. etc.) caractère. | ||
| 2.3.1. Perte de clés et d'attributs d'accès | 0,35 | moyenne |
| 2.3.2. Modification (destruction) non intentionnelle d'informations par les employés | 0,25 | faible |
| 2.3.3. Arrêt accidentel des équipements de protection | 0,25 | faible |
| 2.3.4. Panne du matériel et des logiciels | 0,25 | faible |
| 2.3.5. Panne d'alimentation | 0,25 | faible |
| 2.3.6. Catastrophe | 0,25 | faible |
| 2.4. Menaces délibérées d'initiés | ||
| 2.4.1. Accès à l'information, modification, destruction des personnes non admises à son traitement | 0,25 | faible |
| 2.4.2. Divulgation, modification, destruction d'informations par les employés admis à son traitement | 0,35 | moyenne |
| 2.5 Menaces d'accès non autorisé par les canaux de communication. | ||
| 2.5.1. Menace "Analyse du trafic réseau" avec interception des informations transmises par ISPD et reçues de réseaux externes: | ||
| 2.5.1.1. Interception en dehors de la zone contrôlée | 0,35 | moyenne |
| 2.5.1.2. Interception dans la zone contrôlée par des intrus extérieurs | 0,25 | faible |
| 2.5.1.3 Interception dans la zone contrôlée par des initiés. | 0,25 | faible |
| 2.5.2 Analyse des menaces visant à identifier le ou les types de systèmes d'exploitation utilisés, les adresses réseau des postes de travail RNIS, la topologie du réseau, les ports et services ouverts, les connexions ouvertes, etc. | 0,25 | faible |
| 2.5.3 Menaces révélant les mots de passe réseau | 0,35 | moyenne |
| 2.5.4 Menaces d'une fausse route réseau | 0,25 | faible |
| 2.5.5 Menaces d'usurpation d'objets de confiance sur le réseau | 0,25 | faible |
| 2.5.6. Menaces d'introduction d'un faux objet à la fois dans l'ISPD et dans les réseaux externes | 0,25 | faible |
| 2.5.7. Menaces de déni de service | 0,25 | faible |
| 2.5.8 Menaces de lancement d'applications à distance | 0,35 | moyenne |
| 2.5.9 Menaces de programmes malveillants sur le réseau | 0,35 | moyenne |
Tableau 16 - CI autonome de type III
| Type de menaces pour la sécurité des données personnelles | Facteur de faisabilité de la menace (Y) | Possibilité de mise en œuvre |
| 1. Menaces de fuite par les canaux techniques. | ||
| 1.1. Menaces de fuite d'informations acoustiques | 0,25 | faible |
| 1.2. Menaces de fuite d'informations sur les espèces | 0,25 | faible |
| 1.3. Menaces de fuite d'informations via les canaux PEMIN | 0,25 | faible |
| 2. Menaces d'accès non autorisé à l'information. | ||
| 2.1. Menaces de destruction, vol de matériel ISPD de supports d'information par accès physique aux éléments ISPD | ||
| 2.1.1. Vol d'un PC | 0,25 | faible |
| 2.1.2. Vol de médias | 0,25 | faible |
| 2.1.3. Voler des clés et des attributs d'accès | 0,25 | faible |
| 2.1.4. Vol, modification, destruction d'informations | 0,25 | faible |
| 2.1.5. Désactivation des nœuds PC, des canaux de communication | 0,25 | faible |
| 2.1.6. Accès non autorisé aux informations lors de la maintenance (réparation, destruction) des unités PC | 0,25 | faible |
| 2.1.7. Déconnexion non autorisée des équipements de protection | 0,25 | faible |
| 2.2. Menaces de vol, de modification non autorisée ou de blocage d'informations en raison d'un accès non autorisé (NSD) avec l'utilisation de logiciels et de matériel et de logiciels (y compris les logiciels et les influences mathématiques). | ||
| 2.2.1. Actions de programmes malveillants (virus) | 0,35 | moyenne |
| 2.2.2. Capacités non déclarées des logiciels système et des logiciels pour le traitement des données personnelles | 0,25 | faible |
| 2.2.3. Installation de logiciels non liés à l'exercice de fonctions officielles | 0,25 | faible |
| 2.3. Menaces d'actions non intentionnelles des utilisateurs et violations de la sécurité du fonctionnement de l'ISPD et du SZPDn dans sa composition dues à des pannes logicielles, ainsi que des menaces non anthropiques (pannes matérielles dues à un manque de fiabilité des éléments, pannes de courant) et naturelles (foudre, incendies, inondations, etc. etc.) caractère. | ||
| 2.3.1. Perte de clés et d'attributs d'accès | 0,35 | moyenne |
| 2.3.2. Modification (destruction) non intentionnelle d'informations par les employés | 0,25 | faible |
| 2.3.3. Arrêt accidentel des équipements de protection | 0,25 | faible |
| 2.3.4. Panne du matériel et des logiciels | 0,25 | faible |
| 2.3.5. Panne d'alimentation | 0,25 | faible |
| 2.3.6. Catastrophe | 0,25 | faible |
| 2.4. Menaces délibérées d'initiés | ||
| 2.4.1. Accès à l'information, modification, destruction des personnes non admises à son traitement | 0,25 | faible |
| 2.4.2. Divulgation, modification, destruction d'informations par les employés admis à son traitement | 0,35 | moyenne |
| 2.5 Menaces d'accès non autorisé par les canaux de communication. | ||
| 2.5.1. Menace "Analyse du trafic réseau" avec interception des informations transmises par ISPD et reçues de réseaux externes: | ||
| 2.5.1.1. Interception en dehors de la zone contrôlée | 0,25 | faible |
| 2.5.1.2. Interception dans la zone contrôlée par des intrus extérieurs | 0,25 | faible |
| 2.5.1.3 Interception dans la zone contrôlée par des initiés. | 0,25 | faible |
| 2.5.2 Analyse des menaces visant à identifier le ou les types de systèmes d'exploitation utilisés, les adresses réseau des postes de travail RNIS, la topologie du réseau, les ports et services ouverts, les connexions ouvertes, etc. | 0,25 | faible |
| 2.5.3 Menaces révélant les mots de passe réseau | 0,25 | faible |
| 2.5.4 Menaces d'une fausse route réseau | 0,25 | faible |
| 2.5.5 Menaces d'usurpation d'objets de confiance sur le réseau | 0,25 | faible |
| 2.5.6. Menaces d'introduction d'un faux objet à la fois dans l'ISPD et dans les réseaux externes | 0,25 | faible |
| 2.5.7. Menaces de déni de service | 0,25 | faible |
| 2.5.8 Menaces de lancement d'applications à distance | 0,25 | faible |
| 2.5.9 Menaces de programmes malveillants sur le réseau | 0,25 | faible |
Tableau 17 - CI autonome de type IV
| Type de menaces pour la sécurité des données personnelles | Facteur de faisabilité de la menace (Y) | Possibilité de mise en œuvre |
| 1. Menaces de fuite par les canaux techniques. | ||
| 1.1. Menaces de fuite d'informations acoustiques | 0,25 | faible |
| 1.2. Menaces de fuite d'informations sur les espèces | 0,25 | faible |
| 1.3. Menaces de fuite d'informations via les canaux PEMIN | 0,25 | faible |
| 2. Menaces d'accès non autorisé à l'information. | ||
| 2.1. Menaces de destruction, vol de matériel ISPD de supports d'information par accès physique aux éléments ISPD | ||
| 2.1.1. Vol d'un PC | 0,25 | faible |
| 2.1.2. Vol de médias | 0,25 | faible |
| 2.1.3. Voler des clés et des attributs d'accès | 0,25 | faible |
| 2.1.4. Vol, modification, destruction d'informations | 0,25 | faible |
| 2.1.5. Désactivation des nœuds PC, des canaux de communication | 0,25 | faible |
| 2.1.6. Accès non autorisé aux informations lors de la maintenance (réparation, destruction) des unités PC | 0,25 | faible |
| 2.1.7. Déconnexion non autorisée des équipements de protection | 0,25 | faible |
| 2.2. Menaces de vol, de modification non autorisée ou de blocage d'informations en raison d'un accès non autorisé (NSD) avec l'utilisation de logiciels et de matériel et de logiciels (y compris les logiciels et les influences mathématiques). | ||
| 2.2.1. Actions de programmes malveillants (virus) | 0,35 | moyenne |
| 2.2.2. Capacités non déclarées des logiciels système et des logiciels pour le traitement des données personnelles | 0,25 | faible |
| 2.2.3. Installation de logiciels non liés à l'exercice de fonctions officielles | 0,25 | faible |
| 2.3. Menaces d'actions non intentionnelles des utilisateurs et violations de la sécurité du fonctionnement de l'ISPD et du SZPDn dans sa composition dues à des pannes logicielles, ainsi que des menaces non anthropiques (pannes matérielles dues à un manque de fiabilité des éléments, pannes de courant) et naturelles (foudre, incendies, inondations, etc. etc.) caractère. | ||
| 2.3.1. Perte de clés et d'attributs d'accès | 0,35 | moyenne |
| 2.3.2. Modification (destruction) non intentionnelle d'informations par les employés | 0,25 | faible |
| 2.3.3. Arrêt accidentel des équipements de protection | 0,25 | faible |
| 2.3.4. Panne du matériel et des logiciels | 0,25 | faible |
| 2.3.5. Panne d'alimentation | 0,25 | faible |
| 2.3.6. Catastrophe | 0,25 | faible |
| 2.4. Menaces délibérées d'initiés | ||
| 2.4.1. Accès à l'information, modification, destruction des personnes non admises à son traitement | 0,25 | faible |
| 2.4.2. Divulgation, modification, destruction d'informations par les employés admis à son traitement | 0,35 | moyenne |
| 2.5 Menaces d'accès non autorisé par les canaux de communication. | ||
| 2.5.1. Menace "Analyse du trafic réseau" avec interception des informations transmises par ISPD et reçues de réseaux externes: | ||
| 2.5.1.1. Interception en dehors de la zone contrôlée | 0,35 | moyenne |
| 2.5.1.2. Interception dans la zone contrôlée par des intrus extérieurs | 0,25 | faible |
| 2.5.1.3 Interception dans la zone contrôlée par des initiés. | 0,25 | faible |
| 2.5.2 Analyse des menaces visant à identifier le ou les types de systèmes d'exploitation utilisés, les adresses réseau des postes de travail RNIS, la topologie du réseau, les ports et services ouverts, les connexions ouvertes, etc. | 0,25 | faible |
| 2.5.3 Menaces révélant les mots de passe réseau | 0,35 | moyenne |
| 2.5.4 Menaces d'une fausse route réseau | 0,25 | faible |
| 2.5.5 Menaces d'usurpation d'objets de confiance sur le réseau | 0,25 | faible |
| 2.5.6. Menaces d'introduction d'un faux objet à la fois dans l'ISPD et dans les réseaux externes | 0,25 | faible |
| 2.5.7. Menaces de déni de service | 0,25 | faible |
| 2.5.8 Menaces de lancement d'applications à distance | 0,35 | moyenne |
| 2.5.9 Menaces de programmes malveillants sur le réseau | 0,35 | moyenne |
Tableau 18 - CI de type V autonome
| Type de menaces pour la sécurité des données personnelles | Facteur de faisabilité de la menace (Y) | Possibilité de mise en œuvre |
| 1. Menaces de fuite par les canaux techniques. | ||
| 1.1. Menaces de fuite d'informations acoustiques | 0,25 | faible |
| 1.2. Menaces de fuite d'informations sur les espèces | 0,25 | faible |
| 1.3. Menaces de fuite d'informations via les canaux PEMIN | 0,25 | faible |
| 2. Menaces d'accès non autorisé à l'information. | ||
| 2.1. Menaces de destruction, vol de matériel ISPD de supports d'information par accès physique aux éléments ISPD | ||
| 2.1.1. Vol d'un PC | 0,25 | faible |
| 2.1.2. Vol de médias | 0,25 | faible |
| 2.1.3. Voler des clés et des attributs d'accès | 0,25 | faible |
| 2.1.4. Vol, modification, destruction d'informations | 0,25 | faible |
| 2.1.5. Désactivation des nœuds PC, des canaux de communication | 0,25 | faible |
| 2.1.6. Accès non autorisé aux informations lors de la maintenance (réparation, destruction) des unités PC | 0,25 | faible |
| 2.1.7. Déconnexion non autorisée des équipements de protection | 0,25 | faible |
| 2.2. Menaces de vol, de modification non autorisée ou de blocage d'informations en raison d'un accès non autorisé (NSD) avec l'utilisation de logiciels et de matériel et de logiciels (y compris les logiciels et les influences mathématiques). | ||
| 2.2.1. Actions de programmes malveillants (virus) | 0,35 | moyenne |
| 2.2.2. Capacités non déclarées des logiciels système et des logiciels pour le traitement des données personnelles | 0,25 | faible |
| 2.2.3. Installation de logiciels non liés à l'exercice de fonctions officielles | 0,25 | faible |
| 2.3. Menaces d'actions non intentionnelles des utilisateurs et violations de la sécurité du fonctionnement de l'ISPD et du SZPDn dans sa composition dues à des pannes logicielles, ainsi que des menaces non anthropiques (pannes matérielles dues à un manque de fiabilité des éléments, pannes de courant) et naturelles (foudre, incendies, inondations, etc. etc.) caractère. | ||
| 2.3.1. Perte de clés et d'attributs d'accès | 0,35 | moyenne |
| 2.3.2. Modification (destruction) non intentionnelle d'informations par les employés | 0,25 | faible |
| 2.3.3. Arrêt accidentel des équipements de protection | 0,25 | faible |
| 2.3.4. Panne du matériel et des logiciels | 0,25 | faible |
| 2.3.5. Panne d'alimentation | 0,25 | faible |
| 2.3.6. Catastrophe | 0,25 | faible |
| 2.4. Menaces délibérées d'initiés | ||
| 2.4.1. Accès à l'information, modification, destruction des personnes non admises à son traitement | 0,25 | faible |
| 2.4.2. Divulgation, modification, destruction d'informations par les employés admis à son traitement | 0,35 | moyenne |
| 2.5 Menaces d'accès non autorisé par les canaux de communication. | ||
| 2.5.1. Menace "Analyse du trafic réseau" avec interception des informations transmises par ISPD et reçues de réseaux externes: | ||
| 2.5.1.1. Interception en dehors de la zone contrôlée | 0,25 | faible |
| 2.5.1.2. Interception dans la zone contrôlée par des intrus extérieurs | 0,25 | faible |
| 2.5.1.3 Interception dans la zone contrôlée par des initiés. | 0,25 | faible |
| 2.5.2 Analyse des menaces visant à identifier le ou les types de systèmes d'exploitation utilisés, les adresses réseau des postes de travail RNIS, la topologie du réseau, les ports et services ouverts, les connexions ouvertes, etc. | 0,25 | faible |
| 2.5.3 Menaces révélant les mots de passe réseau | 0,25 | faible |
| 2.5.4 Menaces d'une fausse route réseau | 0,25 | faible |
| 2.5.5 Menaces d'usurpation d'objets de confiance sur le réseau | 0,25 | faible |
| 2.5.6. Menaces d'introduction d'un faux objet à la fois dans l'ISPD et dans les réseaux externes | 0,25 | faible |
| 2.5.7. Menaces de déni de service | 0,25 | faible |
| 2.5.8 Menaces de lancement d'applications à distance | 0,25 | faible |
| 2.5.9 Menaces de programmes malveillants sur le réseau | 0,25 | faible |
Tableau 19 - CI de type VI autonome
| Type de menaces pour la sécurité des données personnelles | Facteur de faisabilité de la menace (Y) | Possibilité de mise en œuvre |
| 1. Menaces de fuite par les canaux techniques. | ||
| 1.1. Menaces de fuite d'informations acoustiques | 0,25 | faible |
| 1.2. Menaces de fuite d'informations sur les espèces | 0,25 | faible |
| 1.3. Menaces de fuite d'informations via les canaux PEMIN | 0,25 | faible |
| 2. Menaces d'accès non autorisé à l'information. | ||
| 2.1. Menaces de destruction, vol de matériel ISPD de supports d'information par accès physique aux éléments ISPD | ||
| 2.1.1. Vol d'un PC | 0,25 | faible |
| 2.1.2. Vol de médias | 0,25 | faible |
| 2.1.3. Voler des clés et des attributs d'accès | 0,25 | faible |
| 2.1.4. Vol, modification, destruction d'informations | 0,25 | faible |
| 2.1.5. Désactivation des nœuds PC, des canaux de communication | 0,25 | faible |
| 2.1.6. Accès non autorisé aux informations lors de la maintenance (réparation, destruction) des unités PC | 0,25 | faible |
| 2.1.7. Déconnexion non autorisée des équipements de protection | 0,25 | faible |
| 2.2. Menaces de vol, de modification non autorisée ou de blocage d'informations en raison d'un accès non autorisé (NSD) avec l'utilisation de logiciels et de matériel et de logiciels (y compris les logiciels et les influences mathématiques). | ||
| 2.2.1. Actions de programmes malveillants (virus) | 0,35 | moyenne |
| 2.2.2. Capacités non déclarées des logiciels système et des logiciels pour le traitement des données personnelles | 0,25 | faible |
| 2.2.3. Installation de logiciels non liés à l'exercice de fonctions officielles | 0,25 | faible |
| 2.3. Menaces d'actions non intentionnelles des utilisateurs et violations de la sécurité du fonctionnement de l'ISPD et du SZPDn dans sa composition dues à des pannes logicielles, ainsi que des menaces non anthropiques (pannes matérielles dues à un manque de fiabilité des éléments, pannes de courant) et naturelles (foudre, incendies, inondations, etc. etc.) caractère. | ||
| 2.3.1. Perte de clés et d'attributs d'accès | 0,35 | moyenne |
| 2.3.2. Modification (destruction) non intentionnelle d'informations par les employés | 0,25 | faible |
| 2.3.3. Arrêt accidentel des équipements de protection | 0,25 | faible |
| 2.3.4. Panne du matériel et des logiciels | 0,25 | faible |
| 2.3.5. Panne d'alimentation | 0,25 | faible |
| 2.3.6. Catastrophe | 0,25 | faible |
| 2.4. Menaces délibérées d'initiés | ||
| 2.4.1. Accès à l'information, modification, destruction des personnes non admises à son traitement | 0,25 | faible |
| 2.4.2. Divulgation, modification, destruction d'informations par les employés admis à son traitement | 0,35 | moyenne |
| 2.5 Menaces d'accès non autorisé par les canaux de communication. | ||
| 2.5.1. Menace "Analyse du trafic réseau" avec interception des informations transmises par ISPD et reçues de réseaux externes: | ||
| 2.5.1.1. Interception en dehors de la zone contrôlée | 0,35 | moyenne |
| 2.5.1.2. Interception dans la zone contrôlée par des intrus extérieurs | 0,25 | faible |
| 2.5.1.3 Interception dans la zone contrôlée par des initiés. | 0,25 | faible |
| 2.5.2 Analyse des menaces visant à identifier le ou les types de systèmes d'exploitation utilisés, les adresses réseau des postes de travail RNIS, la topologie du réseau, les ports et services ouverts, les connexions ouvertes, etc. | 0,25 | faible |
| 2.5.3 Menaces révélant les mots de passe réseau | 0,35 | moyenne |
| 2.5.4 Menaces d'une fausse route réseau | 0,25 | faible |
| 2.5.5 Menaces d'usurpation d'objets de confiance sur le réseau | 0,25 | faible |
| 2.5.6. Menaces d'introduction d'un faux objet à la fois dans l'ISPD et dans les réseaux externes | 0,25 | faible |
| 2.5.7. Menaces de déni de service | 0,25 | faible |
| 2.5.8 Menaces de lancement d'applications à distance | 0,35 | moyenne |
| 2.5.9 Menaces de programmes malveillants sur le réseau | 0,35 | moyenne |
Tableau 20 - LIS type I
La menace réside dans la volonté de lancer divers programmes malveillants préinstallés sur l'hôte ISPD: programmes de signets, virus, "spywares réseau", dont le but principal est de violer la confidentialité, l'intégrité, la disponibilité des informations et le contrôle total sur le fonctionnement de l'hôte. De plus, il est possible de lancer non autorisé des programmes d'application utilisateur pour obtenir sans autorisation les données nécessaires à l'intrus, de lancer des processus contrôlés par le programme d'application, etc.
Il existe trois sous-classes de ces menaces:
distribution de fichiers contenant du code exécutable non autorisé;
lancement d'applications à distance par débordement de tampon des applications serveur;
lancement à distance de l'application en utilisant les capacités de contrôle à distance du système, fournies par des onglets logiciels et matériels cachés, ou utilisées par des moyens standards.
Les menaces typiques de la première de ces sous-classes sont basées sur l'activation de fichiers redistribuables lors d'un accès accidentel. Des exemples de tels fichiers sont: les fichiers contenant du code exécutable sous la forme de documents contenant du code exécutable sous la forme de contrôles ActiveX, d'applets Java, de scripts interprétés (par exemple, des textes JavaScript); fichiers contenant des codes de programme exécutables. Les services de messagerie électronique, de transfert de fichiers et de système de fichiers réseau peuvent être utilisés pour distribuer des fichiers.
Les menaces de la deuxième sous-classe exploitent les lacunes des programmes qui implémentent des services réseau (en particulier, le manque de contrôle sur les débordements de tampon). En ajustant les registres système, il est parfois possible de commuter le processeur après une interruption provoquée par un débordement de tampon pour exécuter le code contenu en dehors de la limite de tampon. Un exemple d'une telle menace est l'introduction du célèbre virus Morris.
En cas de menaces de la troisième sous-classe, l'intrus utilise les capacités de contrôle du système à distance fournies par des composants cachés (par exemple, des chevaux de Troie tels que Back. Orifice, Net Bus), ou par des moyens standard de gestion et d'administration de réseaux informatiques (Landesk Management Suite, Managewise, Back Orifice, etc.). P.). Du fait de leur utilisation, il est possible de réaliser un contrôle à distance de la station dans le réseau.
Si dans l'établissement le PD traité n'est pas envoyé sur les réseaux publics et l'échange international, une protection antivirus est installée, alors la probabilité de mise en œuvre de la menace est est peu probable.
Dans tous les autres cas, la probabilité que la menace se concrétise doit être évaluée.
Une liste généralisée de la probabilité de mise en œuvre des menaces pour différents types de RNIS est présentée dans le tableau 12.
Tableau 12
|
Type de RNIS |
Probabilité de menace |
Coeff. la probabilité que la menace soit mise en œuvre |
|
Circuit intégré autonome de type I |
improbable | |
|
CI autonome de type II | ||
|
CI autonome de type III |
improbable | |
|
CI autonome de type IV | ||
|
IC autonome de type V |
improbable | |
|
IC de type VI autonome | ||
|
LIS type I |
improbable | |
|
LIS type II | ||
|
SI distribué de type I |
improbable | |
|
IC distribué de type II |
Des programmes malveillants peuvent être introduits (introduits) à la fois intentionnellement et accidentellement dans le logiciel utilisé dans l'ISPD pendant son développement, sa maintenance, sa modification et sa personnalisation. En outre, des programmes malveillants peuvent être introduits pendant le fonctionnement de l'ISPD à partir de supports de stockage externes ou via une interaction réseau à la suite du NSD ou accidentellement par les utilisateurs de l'ISPD.
Les programmes malveillants modernes sont basés sur l'utilisation de vulnérabilités de divers types de logiciels (système, général, application) et de diverses technologies de réseau, ont un large éventail de capacités destructrices (de l'investigation non autorisée des paramètres ISPD sans interférer avec le fonctionnement de l'ISPD, à la destruction des logiciels PD et ISPD) et peuvent fonctionnent sur tous types de logiciels (système, application, pilotes matériels, etc.).
La présence de programmes malveillants dans l'ISPD peut contribuer à l'émergence de canaux d'accès cachés, y compris non conventionnels, à l'information, permettant d'ouvrir, de contourner ou de bloquer les mécanismes de protection fournis dans le système, y compris la protection par mot de passe et cryptographique.
Les principaux types de logiciels malveillants sont:
· Signets logiciels;
· Virus classiques de logiciels (informatiques);
· Programmes malveillants qui se propagent sur le réseau (vers de réseau);
· Autres programmes malveillants conçus pour effectuer des actions non autorisées.
Les signets logiciels incluent des programmes, des fragments de code, des instructions qui forment des capacités logicielles non déclarées. Les programmes malveillants peuvent passer d'un type à un autre, par exemple, un signet logiciel peut générer un virus logiciel qui, à son tour, lorsqu'il entre dans les conditions du réseau, peut former un ver réseau ou un autre programme malveillant conçu pour mener des attaques non autorisées.
une brève description de le principal malware se résume à ce qui suit. Les virus d'amorçage s'inscrivent eux-mêmes soit dans le secteur d'amorçage du disque (secteur d'amorçage), soit dans le secteur contenant le chargeur d'amorçage du disque dur (Master Boot Record), ou modifient le pointeur vers le secteur d'amorçage actif. Ils sont intégrés dans la mémoire de l'ordinateur lors du démarrage à partir d'un disque infecté. Dans ce cas, le chargeur de démarrage lit le contenu du premier secteur du disque à partir duquel le démarrage est effectué, met les informations de lecture en mémoire et lui transfère le contrôle (c'est-à-dire au virus). Après cela, les instructions du virus commencent à être exécutées, ce qui, en règle générale, réduit la quantité de mémoire libre, copie son code dans l'espace libéré et lit sa suite à partir du disque (le cas échéant), intercepte les vecteurs d'interruption nécessaires (généralement INT 13H), lit l'original secteur de démarrage et lui transfère le contrôle.
De plus, le virus de démarrage se comporte de la même manière qu'un virus de fichier: il intercepte les requêtes système opérateur pour les disques et les infecter, selon certaines conditions, il effectue des actions destructrices, provoque des effets sonores ou des effets vidéo.
Les principales actions destructrices effectuées par ces virus sont:
· Destruction des informations dans les secteurs de disquettes et disques durs;
· Exclusion de la possibilité de charger le système d'exploitation (l'ordinateur "se bloque");
· Corruption du code du chargeur de démarrage;
· Formatage des disquettes ou des lecteurs logiques du disque dur;
· Blocage de l'accès aux ports COM et LPT;
· Remplacement des caractères lors de l'impression de textes;
· Secousses de l'écran;
· Changement de l'étiquette d'un disque ou d'une disquette;
· Création de clusters de pseudo-échecs;
Créer des effets sonores et / ou visuels (par exemple, tomber
lettres à l'écran);
· Dommages aux fichiers de données;
· Affichage de divers messages sur l'écran;
· Déconnexion des périphériques (par exemple, claviers);
· Changer la palette d'écran;
· Remplir l'écran de caractères ou d'images superflus;
· Éteindre l'écran et passer en mode veille pour la saisie au clavier;
· Cryptage des secteurs du disque dur;
· Destruction sélective des caractères affichés à l'écran lors de la saisie à partir du clavier;
· Diminution de la quantité de RAM;
· Appelez pour imprimer le contenu de l'écran;
· Blocage de l'écriture sur le disque;
· Destruction de la table de partition (Disk Partition Table), après quoi l'ordinateur ne peut être démarré qu'à partir d'une disquette;
· Blocage du lancement des fichiers exécutables;
· Blocage de l'accès au disque dur.
|
Figure 3. Classification des virus logiciels et des vers de réseau
La plupart des virus de démarrage s’écrasent sur les disquettes.
La méthode d'infection par écrasement est la plus simple: le virus écrit son propre code au lieu du code du fichier infecté, détruisant son contenu. Naturellement, le fichier cesse de fonctionner et n'est pas restauré. Ces virus se détectent très rapidement, car le système d'exploitation et les applications cessent de fonctionner assez rapidement.
La catégorie "compagnon" comprend les virus qui ne modifient pas les fichiers infectés. L'algorithme de fonctionnement de ces virus est qu'un double fichier est créé pour le fichier infecté, et lorsque le fichier infecté est lancé, ce double, c'est-à-dire le virus, prend le contrôle. Les virus compagnons les plus courants qui utilisent la fonction DOS sont les premiers à exécuter des fichiers avec l'extension .COM s'il y a deux fichiers dans le même répertoire avec le même nom mais avec des extensions de nom différentes - .COM et .EXE. Ces virus créent des fichiers compagnons pour les fichiers EXE qui ont le même nom mais une extension .COM, par exemple, un fichier XCOPY.COM est créé pour un fichier XCOPY.EXE. Le virus s’écrit dans un fichier COM et ne modifie en aucune façon le fichier EXE. Lorsqu'un tel fichier est lancé, DOS sera le premier à détecter et exécuter le fichier COM, c'est-à-dire le virus, qui lancera ensuite le fichier EXE. Le deuxième groupe est constitué de virus qui, lorsqu'ils sont infectés, renomment un fichier sous un autre nom, s'en souviennent (pour le lancement ultérieur du fichier hôte) et écrivent leur code sur le disque sous le nom du fichier infecté. Par exemple, le fichier XCOPY.EXE est renommé en XCOPY.EXD et le virus est écrit sous le nom XCOPY.EXE. Au démarrage, le contrôle reçoit le code du virus, qui exécute ensuite le XCOPY d'origine stocké sous le nom XCOPY.EXD. Un fait intéressant est que cette méthode semble fonctionner sur tous les systèmes d'exploitation. Le troisième groupe comprend les virus dits «compagnons de chemin». Soit ils écrivent leur code sous le nom du fichier infecté, mais un niveau «supérieur» dans les chemins en cours d'écriture (DOS, donc, sera le premier à détecter et exécuter le fichier de virus), soit déplacent le fichier victime d'un sous-répertoire plus haut, etc.
Il peut y avoir d'autres types de virus compagnons qui utilisent différentes idées originales ou fonctionnalités d'autres systèmes d'exploitation.
Les vers de fichiers sont, en un sens, une sorte de virus compagnon, mais ils n'associent en aucun cas leur présence à un fichier exécutable. Lors de la réplication, ils copient simplement leur code dans certains répertoires du disque dans l'espoir que ces nouvelles copies seront un jour lancées par l'utilisateur. Parfois, ces virus donnent à leurs copies des noms «spéciaux» pour inciter l'utilisateur à lancer leur copie - par exemple, INSTALL.EXE ou WINSTART.BAT. Il existe des virus de vers qui utilisent des techniques assez inhabituelles, par exemple l'écriture de leurs copies dans des archives (ARJ, ZIP et autres). Certains virus écrivent la commande pour lancer un fichier infecté dans des fichiers BAT. Les vers de fichiers ne doivent pas être confondus avec les vers de réseau. L'ancien n'utilise que fonctions de fichier tout système d'exploitation, tandis que ces derniers utilisent des protocoles réseau lors de la réplication.
Les virus de lien, comme les virus compagnons, ne modifient pas le contenu physique des fichiers, mais lorsqu'un fichier infecté est lancé, ils «forcent» le système d'exploitation à exécuter son code. Ils atteignent cet objectif en modifiant les champs nécessaires du système de fichiers.
Les virus qui infectent les bibliothèques de compilateurs, les modules objets et les codes sources des programmes sont assez exotiques et pratiquement rares. Les virus infectant les fichiers OBJ et LIB y écrivent leur code au format d'un module objet ou d'une bibliothèque. Le fichier infecté n'est donc pas exécutable et n'est pas capable de propager davantage le virus dans son état actuel. Le porteur d'un virus «vivant» est un fichier COM ou EXE.
Après avoir pris le contrôle, le virus de fichier effectue les actions générales suivantes:
Vérifie la RAM pour sa copie et infecte
la mémoire de l'ordinateur, si aucune copie du virus n'est trouvée (au cas où le virus est résident), recherche les fichiers non infectés dans le répertoire courant et / ou racine en analysant l'arborescence des répertoires des lecteurs logiques, puis infecte les fichiers détectés;
Exécute des fonctions supplémentaires (le cas échéant): destructives
actions, graphiques ou effets sonores, etc. (des fonctions supplémentaires du virus résident peuvent être appelées quelque temps après l'activation, en fonction de l'heure actuelle, de la configuration du système, des compteurs de virus internes ou d'autres conditions, dans ce cas, lorsqu'il est activé, le virus traite l'état de l'horloge système, définit ses compteurs, etc.);
· Renvoie le contrôle au programme principal (le cas échéant).
Il convient de noter que plus le virus se propage rapidement, plus une épidémie de ce virus est susceptible de se produire, plus le virus se propage lentement, plus il est difficile de le détecter (si, bien sûr, ce virus est inconnu). Les virus non résidents en mémoire sont souvent «lents» - la plupart d'entre eux, lorsqu'ils sont lancés, infectent un ou deux ou trois fichiers et n'ont pas le temps d'inonder l'ordinateur avant le lancement du programme antivirus (ou l'apparition d'une nouvelle version de l'antivirus configuré pour ce virus). Il existe, bien sûr, des virus «rapides» non résidents en mémoire qui recherchent et infectent tous les fichiers exécutables lorsqu'ils sont lancés, mais ces virus sont très visibles: lorsque chaque fichier infecté est lancé, l'ordinateur travaille activement avec le disque dur pendant un certain temps (parfois assez long), ce qui démasque le virus. La vitesse de propagation (infection) des virus résidents est généralement plus élevée que celle des virus non-résidents - ils infectent les fichiers à chaque fois qu’ils y accèdent. En conséquence, tous ou presque tous les fichiers qui sont constamment utilisés au travail sont infectés sur le disque. Le taux de propagation (infection) des virus de fichiers résidents qui infectent les fichiers uniquement lorsqu'ils sont lancés pour exécution sera inférieur à celui des virus qui infectent les fichiers lorsqu'ils sont ouverts, renommés, modifiés les attributs de fichier, etc.
Ainsi, les principales actions destructrices effectuées par les virus de fichiers sont associées à la défaite de fichiers (généralement exécutables ou fichiers de données), au lancement non autorisé de diverses commandes (notamment le formatage, la suppression, la copie, etc.), à la modification de la table des vecteurs d'interruption Cependant, de nombreuses actions destructrices similaires à celles indiquées pour les virus de démarrage peuvent être effectuées.
Les virus macro sont des programmes en langages (macro langages) embarqués dans certains systèmes de traitement de données (systèmes de traitement de texte, tableurs, etc.). Pour leur reproduction, ces virus utilisent les capacités des macro-langages et, avec leur aide, se transfèrent d'un fichier infecté (document ou tableau) à d'autres. Les plus répandus sont les virus de macro pour le package d'application Microsoft Office.
Pour que les virus existent dans un système spécifique (éditeur), il est nécessaire de disposer d'un langage macro intégré avec les capacités suivantes:
1) lier un programme dans un langage macro à un fichier spécifique;
2) copier des programmes macro d'un fichier à un autre;
3) obtenir le contrôle du programme macro sans intervention de l'utilisateur (macros automatiques ou standard).
Ces conditions sont satisfaites par l'application programmes Microsoft Word, Excel et Microsoft Access... Ils contiennent des langages de macro: Word Basic, Visual Basic pour Applications. Où:
1) Les programmes de macros sont liés à un fichier spécifique ou situés dans un fichier;
2) le langage macro vous permet de copier des fichiers ou de déplacer des programmes macro vers des fichiers de service système et des fichiers modifiables;
3) lorsque vous travaillez avec un fichier, sous certaines conditions (ouverture, fermeture, etc.), des programmes de macro (le cas échéant) sont appelés qui sont définis de manière spéciale ou ont des noms standard.
Cette fonctionnalité des macro langages est destinée au traitement automatique des données dans les grandes organisations ou dans les réseaux mondiaux et permet d'organiser ce que l'on appelle le «flux automatisé de documents». D'autre part, les capacités des macro langages de tels systèmes permettent au virus de transférer son code vers d'autres fichiers et ainsi de les infecter.
La plupart des virus de macro sont actifs non seulement au moment de l'ouverture (de la fermeture) d'un fichier, mais aussi longtemps que l'éditeur lui-même est actif. Ils contiennent toutes leurs fonctions sous forme de macros Word / Excel / Office standard. Il existe cependant des virus qui utilisent des techniques pour masquer leur code et stocker leur code sous forme de non-macros. Trois de ces techniques sont connues, toutes utilisent la capacité des macros pour créer, éditer et exécuter d'autres macros. En règle générale, ces virus ont un petit chargeur de macros de virus (parfois polymorphes), qui appelle l'éditeur de macros intégré, crée une nouvelle macro, la remplit avec le code principal du virus, l'exécute puis, en règle générale, la détruit (pour masquer les traces de la présence du virus). Le code principal de ces virus est présent soit dans la macro de virus elle-même sous la forme de chaînes de texte (parfois cryptées), soit stocké dans la zone variable du document.
Les virus de réseau incluent les virus qui utilisent activement les protocoles et les capacités des réseaux locaux et mondiaux pour leur distribution. Le principe de base d'un virus de réseau est la capacité de transférer indépendamment son code vers un serveur ou un poste de travail distant. Dans le même temps, les virus de réseau «à part entière» ont également la capacité d'exécuter leur code sur un ordinateur distant ou, au moins, de «pousser» l'utilisateur à lancer un fichier infecté.
Les programmes malveillants qui assurent la mise en œuvre du NSD peuvent être:
· Programmes pour deviner et casser les mots de passe;
· Programmes qui mettent en œuvre les menaces;
· Programmes qui démontrent l'utilisation de capacités non déclarées des logiciels et logiciels et matériels ISPDn;
· Programmes générateurs de virus informatiques;
Programmes qui démontrent les vulnérabilités de sécurité
informations, etc.
Avec la complexité et la variété croissantes des logiciels, le nombre de logiciels malveillants augmente rapidement. Plus de 120 000 signatures de virus informatiques sont aujourd'hui connues. Dans le même temps, tous ne constituent pas une menace réelle. Dans de nombreux cas, l'élimination des vulnérabilités dans les logiciels système ou d'application a conduit au fait qu'un certain nombre de programmes malveillants ne sont plus en mesure de les infiltrer. Les nouveaux logiciels malveillants constituent souvent la principale menace.
Classification des délinquants
Tous les contrevenants sont divisés en deux groupes en fonction de leur affiliation à l'ISPD:
Délinquants externes - personnes qui n'ont pas le droit de rester sur le territoire de la zone contrôlée, dans laquelle se trouve l'équipement ISPD;
Les délinquants internes sont des personnes qui ont le droit de rester sur le territoire de la zone contrôlée, dans laquelle se trouve le matériel ISPD.
Intrus externe
Un délinquant qui n'a pas d'accès direct aux moyens techniques et aux ressources du système situé dans la zone contrôlée est considéré comme un intrus externe à la sécurité de l'information.
On suppose qu'un intrus externe ne peut pas influencer les informations protégées par des canaux de fuite technique, car la quantité d'informations stockées et traitées dans le RNIS est insuffisante pour motiver un intrus externe à prendre des mesures visant la fuite d'informations par des canaux de fuite technique.
On suppose qu'un intrus extérieur ne peut influencer les informations protégées que lors de leur transmission via les canaux de communication.
Intrus d'initié
Les capacités d'un contrevenant interne dépendent essentiellement des facteurs restrictifs opérant dans la zone contrôlée, dont le principal est la mise en œuvre d'un ensemble de mesures organisationnelles et techniques, y compris la sélection, le placement et la fourniture d'une formation professionnelle élevée du personnel, l'admission d'individus à l'intérieur de la zone contrôlée et le contrôle de l'ordre. réalisation de travaux visant à empêcher et à supprimer les accès non autorisés.
Le système de différenciation d'accès ISPD ISPD permet de différencier les droits des utilisateurs pour accéder aux informations, logiciels, matériels et autres ressources de l'ISPD conformément à la politique de sécurité de l'information adoptée (règles). Les délinquants internes peuvent inclure (tableau):
Administrateurs de sous-systèmes ou bases de données spécifiques d'ISPD (catégorie II);
Utilisateurs extérieurs à une UA particulière (catégorie IV);
Personnes ayant la capacité d'accéder au système de transmission de données (catégorie V);
Les employés des établissements de santé qui ont autorisé l'accès à des fins officielles aux locaux dans lesquels se trouvent les éléments du PDIS, mais n'ont pas le droit d'y accéder (catégorie VI);
Personnel de service (sécurité, employés des services d'ingénierie et techniques, etc.) (catégorie VII);
Le personnel autorisé des développeurs ISPD, qui, sur une base contractuelle, a le droit de maintenir et de modifier les composants de l'ISPD (catégorie VIII).
Les personnes des catégories I et II sont chargées d'administrer les logiciels et le matériel et les bases de données ISPD pour l'intégration et l'interaction de divers sous-systèmes qui font partie de l'ISPD. Les administrateurs peuvent potentiellement mettre en œuvre des menaces SI en utilisant la possibilité d'accéder directement aux informations protégées traitées et stockées dans l'ISPD, ainsi qu'au matériel et aux logiciels de l'ISPD, y compris les moyens de protection utilisés dans des AS spécifiques, conformément aux pouvoirs administratifs établis pour eux.
Ces personnes connaissent bien les algorithmes de base, les protocoles mis en œuvre et utilisés dans des sous-systèmes spécifiques et l'ISPD en général, ainsi que les principes et concepts de sécurité appliqués.
Il est suggéré qu'ils pourraient utiliser équipement standard soit pour identifier les vulnérabilités, soit pour mettre en œuvre les menaces du SI. Cet équipement peut faire partie d'outils standard ou peut être facilement obtenu (par exemple, un logiciel obtenu à partir de sources externes accessibles au public).
De plus, on suppose que ces personnes pourraient avoir équipement spécialisé.
Les personnes des catégories I et II, en raison de leur rôle exclusif au sein de l'ISPD, devraient être soumises à un ensemble de mesures organisationnelles et de régime spéciales pour leur sélection, leur recrutement, leur nomination à un poste et le contrôle de l'exécution des tâches fonctionnelles.
On suppose que seules les procurations seront incluses dans le nombre de personnes des catégories I et II, et par conséquent, ces personnes sont exclues du nombre de contrevenants probables.
Les personnes des catégories III à VIII sont présumées être des délinquants.
Les capacités de l'initié dépendent largement de
de fonctionner dans la zone contrôlée
et des mesures de protection organisationnelles et techniques, y compris l'admission des personnes aux données personnelles et le contrôle de l'ordre de travail.
Les contrevenants potentiels internes sont divisés en huit catégories en fonction de la méthode d'accès et de l'autorisation d'accéder à la DP.
Cet article est consacré à l'analyse technologies modernesqui constituent une menace pour la sécurité informatique et les principales tendances du développement des logiciels malveillants en 2006.
Tendances générales du développement de logiciels malveillants
En 2006, l'auteur a découvert et analysé 49 697 variétés uniques de programmes malveillants, dont 47 907 appartiennent aux principales familles. Sur la base des résultats de leur analyse, un diagramme a été construit qui reflète la composition en pourcentage des programmes malveillants par familles pour l'année (Fig. 1).
Figure: 1. Composition en pourcentage des échantillons ITW par familles
Comme vous pouvez le voir sur le diagramme, 37% de tous les programmes étudiés sont des logiciels malveillants tels que Trojan-Downloader. Il s'agit d'une tendance constante qui a été tracée depuis 2005 et est associée au fait que les Trojan-Downloaders sont utilisés pour installer des programmes malveillants, mettre à jour leurs versions et les restaurer s'ils sont supprimés par un logiciel antivirus. La plupart des cas étudiés de dommages informatiques par des logiciels malveillants impliquent le lancement de Trojan-Downloader, en raison de l'utilisation d'un exploit ou de méthodes d'ingénierie sociale. Les autres plus courants sont les vers de messagerie et de réseau, les chevaux de Troie de différents types et les programmes de la classe Dialer.
L'analyse statistique de la dynamique de détection des échantillons ITW (in the Wild) montre que les développeurs de logiciels malveillants ont adopté et utilisent activement une nouvelle technologie pour lutter contre les scanners de signatures. Sa technique est extrêmement simple et consiste dans le fait que le développeur crée des centaines de variantes du même programme malveillant dans un court laps de temps. Plus méthodes simples obtenir différentes options sont les suivantes:
- le reconditionnement par divers packers et crypteurs - peut être effectué périodiquement ou au moment de la demande de fichier, l'ensemble des packers et leurs paramètres peuvent varier de manière aléatoire. Souvent, les auteurs de logiciels malveillants utilisent des packers et des crypteurs modifiés, ce qui complique leur vérification;
- recompilation du fichier avec l'introduction de modifications suffisantes pour changer les signatures du fichier, par lesquelles il est détecté;
- placer un fichier malveillant dans un package d'installation créé à l'aide de programmes d'installation tels que NSIS (Scriptable Installation System). La présence du code open source de l'installateur vous permet de le modifier légèrement, ce qui rendra impossible le déballage et l'analyse automatiques lors de l'analyse antivirus.
Ces techniques sont connues depuis longtemps et peuvent être utilisées dans diverses combinaisons, ce qui permet à l'auteur d'un programme malveillant de créer facilement des centaines de variantes d'un même programme sans utiliser les techniques polymorphes classiques. Cela peut être retracé par l'exemple de Trojan-Downloader. Win32.Zlob. Considérez les statistiques de ses détections au cours des 40 derniers jours (Fig. 2).
Figure: 2. Dynamique de détection de Trojan-Downloader.Win32.Zlob sur 40 jours
Au cours de cette période, l'auteur a détecté 2 198 échantillons ITW de Trojan-Downloader.Win32. Zlob, dont 1213 sont uniques. Le graphique montre deux courbes: le nombre de détections par jour et le nombre de types de fichiers uniques. On peut voir sur le graphique qu'environ chaque seconde échantillon ITW détecté est un fichier unique, et cette dépendance est stable pendant un mois. Sur la base de la classification de Kaspersky Lab, les 1213 échantillons examinés appartiennent à 169 sous-types de ce programme malveillant. Ces statistiques sont très indicatives: il existe de nombreux programmes malveillants pour lesquels des dizaines de nouvelles modifications sont détectées chaque jour.
Une autre tendance caractéristique peut être attribuée à l'exemple du ver de messagerie Warezov. Au cours du mois, l'auteur a enregistré 5333 échantillons ITW, dont 459 sont uniques. Le graphique de distribution d'activité est illustré à la Fig. 3.
Figure: 3. Activité du ver de messagerie Warezov
Les stries sur le graphique représentent des périodes d'épidémies associées à l'émergence de nouvelles variétés de vers (dans ce cas: Email-Worm.Win32.Warezov.gj, Email-Worm.Win32. Warezov.fb, Email-Worm.Win32.Warezov.hb) ... Le graphique montre qu'une épidémie active dure en moyenne 2 à 5 jours, après quoi le nombre de détections de Warezov tombe au niveau «de fond» - 10 à 30 échantillons par jour. L'apparition de telles épidémies est compréhensible - un nouveau type de ver n'est pas détecté par les logiciels antivirus, en conséquence, le ver infecte beaucoup de PC et une épidémie commence. Il se développe rapidement, mais en l'espace d'un jour, les signatures du ver entrent dans les bases de données antivirus et l'épidémie diminue rapidement.
Il faut également noter la propagation active des chevaux de Troie Trojan-SPY - des logiciels espions qui volent les données personnelles des utilisateurs. Parmi eux, le célèbre Goldun, qui vole des informations sur les comptes du système e-gold. Les dernières versions de ce cheval de Troie utilisent activement les technologies de rootkit pour le déguisement et l'espionnage (Figure 4).
Figure: 4. Graphique de l'activité de Trojan-SPY pour le mois dernier
Une analyse des technologies utilisées par les créateurs de malwares montre qu'aucune nouvelle technologie révolutionnaire n'a été inventée en 2006 - les développeurs de malwares utilisent la quantité et non la qualité. Néanmoins, il existe plusieurs nouveaux produits qui méritent une discussion plus détaillée.
En conclusion, considérons le graphe résumé en moyenne basé sur les données du système de l'auteur pour la surveillance automatique de l'activité virale (Fig. 5).
Figure: 5. Statistiques du système de recherche automatique de logiciels malveillants pour les 40 derniers jours
Il ressort du graphique que le système automatique enregistre, en moyenne, environ 400 nouveaux types uniques de logiciels malveillants par jour.
Technologies de rootkit
L'année 2006 a vu le développement et l'amélioration de divers types de rootkits et de technologies de rootkit. Ces technologies sont utilisées par de nombreux programmes malveillants, et il existe plusieurs directions:
- technologies de masquage de rootkit, dont l'objectif principal est de masquer la présence d'un programme malveillant et de ses composants sur le disque et en mémoire, ainsi que de masquer les clés dans le registre. Pour résoudre ce problème, les fonctions API sont interceptées le plus souvent, et dans les rootkits modernes, il existe des techniques d'interception très sophistiquées, par exemple, injecter du code dans des fonctions du noyau non exportées, intercepter une interruption Int2E et modifier SYSENTER. Les rootkits DKOM (Direct Kernel Object Manipulation), qui gagnent en popularité, doivent être notés séparément;
- technologies de rootkit pour l'espionnage - comme leur nom l'indique, elles sont utilisées pour suivre le travail de l'utilisateur et collecter des informations confidentielles. L'exemple le plus typique est Trojan-Spy.Win32.Goldun, qui, selon le principe du rootkit, intercepte l'échange d'applications avec Internet pour rechercher dans le flux informations transmises les détails de la carte de crédit de l'utilisateur.
Examinons de plus près les rootkits DKOM. Leur principe de fonctionnement est basé sur la modification des structures système qui décrivent les processus, les pilotes, les threads et les descripteurs. Une telle intervention dans les structures du système, bien sûr, est une opération non documentée et très incorrecte, mais le système après une telle intervention continue à fonctionner de manière plus ou moins stable. La conséquence pratique de cette intervention est que l'attaquant a la possibilité de manipuler les structures du noyau à ses propres fins. Par exemple, pour chacun des processus en cours, une structure EPROCESS est créée dans le noyau, qui stocke beaucoup d'informations sur le processus, en particulier son identifiant (PID) et le nom du processus. Ces structures forment une liste doublement liée et sont utilisées par les fonctions API qui renvoient des informations sur processus en cours... Pour masquer le processus, un rootkit DKOM doit simplement supprimer sa structure EPROCESS de la liste. La mise en œuvre d'un tel masquage est extrêmement simple et vous pouvez trouver des dizaines d'implémentations toutes faites avec des codes sources sur Internet. Les rootkits plus complexes ne se limitent pas à supprimer la structure de l'objet masqué de la liste - ils déforment les données qu'il contient. En conséquence, même si l'anti-rootkit peut trouver un processus ou un pilote masqué, il recevra des informations incorrectes à ce sujet. En raison de la facilité de mise en œuvre, ces rootkits gagnent en popularité et il devient de plus en plus difficile de les combattre. Des études ont montré que la méthode la plus efficace pour les contrer consiste à installer un moniteur dans le système qui surveille le début / la fin des processus et le chargement / déchargement des pilotes. La comparaison des informations collectées par un tel moniteur avec les données renvoyées par le système permet de détecter les modifications apportées par le rootkit DKOM, de comprendre leur nature et de détecter les processus et pilotes masqués.
Programmes de canular
La direction des programmes Hoax continue de se développer activement, nous pouvons donc prédire avec confiance la croissance de cette famille en 2007. Traduit littéralement, Hoax est une tromperie; mensonges, canular, pas vrai. L'idée derrière les programmes Hoax est de tromper l'utilisateur, le plus souvent dans le but de faire du profit ou de voler des informations confidentielles. Récemment, il y a eu une tendance à criminaliser cette industrie: s'il y a un an, la plupart des programmes Hoax exécutaient des actions relativement inoffensives, imitant une infection informatique par des virus ou du code SpyWare, alors les plus modernes visent de plus en plus à voler des mots de passe ou des informations confidentielles. Un exemple d'un tel programme est illustré à la Fig. 6.
Figure: 6. Fenêtre du programme Hoax.Win32.Delf
Comme il ressort de la fenêtre du programme et de sa description, il s'agit d'un générateur de licence pour Kaspersky Anti-Virus. Le programme vous invite à entrer votre adresse e-mail et votre mot de passe pour accéder à votre boîte aux lettres et recevoir la licence générée. Si un utilisateur crédule fait cela et clique sur le bouton "Recevoir le cryptage", les données qu'il saisit seront transmises à l'attaquant par e-mail. Au cours de l'année écoulée, plus d'une centaine de programmes de ce type ont été découverts: il s'agit de diverses «fissures», générateurs de cartes de paiement d'opérateurs cellulaires, générateurs de numéros de cartes bancaires, moyens de «piratage» des boîtes aux lettres, etc. Une caractéristique commune de ces programmes est de tromper l'utilisateur, dans le but de lui faire entrer information confidentielle... La deuxième caractéristique des applications Hoax est leur primitivité: elles contiennent beaucoup d'erreurs et d'erreurs dans le code du programme. Ces programmes sont souvent créés par des auteurs de virus novices.
La tendance dans le développement des programmes Hoax peut être vue sur l'exemple de Hoax.Win32.Renos (Fig. 7).
Figure: 7. Dynamique de la détection Hoax.Win32.Renos au cours des 30 derniers jours
On peut voir sur le graphique que l'auteur détecte au moins une nouvelle variante unique de ce programme malveillant par jour, et en seulement un mois, 60 nouvelles variantes uniques sont observées, incluses dans 18 sous-variétés selon la classification de Kaspersky Lab.
Trojans pour chantage et extorsion
Les programmes de ce type sont apparus pour la première fois il y a quelques années. Leur objectif principal est de faire directement chanter l'utilisateur et de lui extorquer de l'argent pour restaurer les performances de l'ordinateur ou décrypter des informations encodées par un cheval de Troie. Le plus souvent, l'auteur doit recevoir des rapports et des demandes d'aide de la part d'utilisateurs affectés par le cheval de Troie Trojan.Win32.Krotten, qui a extorqué 25 WMZ pour restaurer les performances de l'ordinateur. Ce cheval de Troie est extrêmement primitif dans sa conception, et tout son travail se résume à la modification de centaines de clés dans le registre (avec description détaillée l'une de ses variétés peut être trouvée à: http://www.z-oleg.com/secur/virlist/vir1180.php). La particularité de cette famille de chevaux de Troie est que la recherche et la destruction du cheval de Troie ne suffisent pas pour guérir un ordinateur - il est encore nécessaire de réparer les dommages qu'il a infligés au système. Alors que la corruption de registre créée par le cheval de Troie Krotten est relativement facile à réparer, les informations cryptées sont beaucoup plus difficiles à récupérer. Par exemple, le créateur du cheval de Troie Gpcode qui crypte les données des utilisateurs augmente progressivement la longueur de la clé de cryptage, défiant ainsi les sociétés antivirus. Vous trouverez plus d'informations sur ce cheval de Troie dans l'article "Blackmailer" à l'adresse suivante: http://www.viruslist.com/en/analysis?pubid\u003d188790045.
Injection de code comme méthode de lancement furtif
Cette technologie est plus clairement visible dans les Trojan-Downloaders modernes; cependant, elle commence progressivement à être introduite dans d'autres programmes malveillants. Sa technique est relativement simple: un programme malveillant se compose classiquement de deux parties - un "injecteur" et un code cheval de Troie. La tâche de l '«injecteur» est de décompresser et décrypter le code cheval de Troie et de l'injecter dans un processus système. À ce stade, les programmes malveillants étudiés diffèrent par la méthode d'injection de code cheval de Troie:
- mise en œuvre en changeant le contexte - le principe d'une telle implémentation implique la préparation et le décryptage du code cheval de Troie (étape 1), le lancement de tout processus système, et lorsqu'un processus est créé, il est créé en mode «dormant» (suspendu) (étape 2). Ensuite, l'injecteur injecte le code Trojan dans la mémoire du processus (de plus, une telle injection peut être effectuée sur le code machine du processus), puis modifie le contexte du thread principal pour que le code Trojan reçoive le contrôle (étape 3). Après cela, le thread principal est lancé et le code cheval de Troie est exécuté. Cette méthode est intéressante en ce que tout gestionnaire de processus montrera l'exécution d'un programme légitime (par exemple, svchost.exe), mais au lieu du code machine du programme légitime, le code cheval de Troie sera stocké et exécuté en mémoire. Cette méthode permet de contourner les pare-feu qui n'ont pas les moyens de contrôler la modification de la mémoire de processus et le contexte de ses flux (Fig. 8);
Figure: 8. Injection par échange de contexte
- injection de threads de chevaux de Troie - cette méthode est idéologiquement similaire à la précédente, mais au lieu de remplacer le code machine du processus par un cheval de Troie et de l'exécuter dans le thread principal, un thread supplémentaire est créé dans lequel le code du cheval de Troie est exécuté (étape 2). Cette méthode est souvent utilisée pour injecter du code cheval de Troie dans un processus existant sans perturber son fonctionnement (Figure 9).
Figure: 9. Injection en créant un flux de chevaux de Troie
Nouvelles méthodes de vol WebMoney
Fin 2006, une nouvelle méthode assez originale de vol d'argent dans le système WebMoney a été découverte. Il est basé sur l'injection d'un petit programme cheval de Troie sur l'ordinateur d'un utilisateur qui surveille si une fenêtre de programme WebMoney est ouverte. S'il est ouvert, le presse-papiers est surveillé. S'il détecte du texte commençant par «Z», «R» ou «E» dans la mémoire tampon, le cheval de Troie considère qu'il s'agit du numéro de portefeuille du destinataire, que l'utilisateur a copié dans le presse-papiers pour être saisi dans la fenêtre WebMoney. Ce numéro est retiré du tampon et remplacé par le numéro «Z», «R» ou «E» du portefeuille de l'attaquant. La méthode est extrêmement simple à mettre en œuvre et peut être assez efficace, car les numéros de portefeuille ne sont le plus souvent pas saisis, mais copiés via la mémoire tampon, et tous les utilisateurs ne vérifient pas soigneusement si le numéro de portefeuille a été inséré à partir du tampon. Ce cheval de Troie est une démonstration claire de l'ingéniosité des développeurs de programmes de chevaux de Troie.
Détection du débogueur et du PC virtuel
Les techniques de gestion des débogueurs, des émulateurs et des ordinateurs virtuels sont connues depuis longtemps. Leur utilisation rend difficile pour un spécialiste novice d'analyser un programme malveillant; par conséquent, ces technologies sont utilisées depuis longtemps avec succès par les développeurs de logiciels malveillants. Cependant, au cours de l'année écoulée, une nouvelle tendance est apparue: des programmes malveillants ont commencé à essayer de déterminer le type d'ordinateur - qu'il s'agisse de matériel réel ou d'une émulation créée par des programmes tels que Virtual PC ou VMWare. Ces ordinateurs virtuels ont été très activement utilisés par les administrateurs pour étudier les programmes suspects. S'il y a un contrôle s'il est lancé sur un PC virtuel (en option - sous un débogueur), le programme malveillant peut simplement interrompre anormalement son travail, ce qui empêchera son étude. De plus, une telle vérification portera un coup dur sur des systèmes comme Norman Sandbox, puisque leur principe d'analyse heuristique consiste essentiellement à exécuter le programme à l'étude sur un émulateur et à examiner son travail. En fin d'année, les spécialistes SANS Tom Liston et Ed Skoudis ont publié un rapport très intéressant décrivant les techniques de détection des machines virtuelles et de lutte contre les méthodes de détection. Le document peut être téléchargé à partir du site Web du SANS - http://handlers.sans.org/tliston/ThwartingVMDetection_Liston_Skoudis.pdf.
Spambots et proxy chevaux de Troie
Un spam bot est un cheval de Troie autonome conçu pour envoyer automatiquement du spam à partir d'un ordinateur infecté. Un proxy cheval de Troie est un programme malveillant ayant les fonctions d'un serveur proxy, son fonctionnement sur un ordinateur affecté permet à un attaquant de l'utiliser comme serveur proxy pour envoyer du spam, mener des attaques sur d'autres ordinateurs et commettre d'autres actions illégales. De nombreux spambots modernes masquent activement leur présence à l'aide de technologies de rootkit et se protègent contre la suppression. Les statistiques montrent que plus de 400 variétés ITW de tels programmes sont découvertes par mois, dont environ 130 sont nouvelles et uniques.
Un robot de spam constitue une grande menace pour les réseaux d'entreprise, car son fonctionnement entraîne les conséquences suivantes:
- consommation élevée de trafic réseau - dans la plupart des villes de Russie, il n'y a pas de tarifs illimités, par conséquent, la présence de plusieurs ordinateurs affectés sur le réseau peut entraîner des pertes financières importantes en raison de la consommation de trafic;
- de nombreux réseaux d'entreprise utilisent des adresses IP statiques et leurs propres serveurs de messagerie pour accéder à Internet. Par conséquent, du fait de l'activité des spambots, ces adresses IP tomberont rapidement dans les listes noires des filtres anti-spam, ce qui signifie que les serveurs de messagerie sur Internet cesseront d'accepter le courrier du serveur de messagerie d'entreprise de l'entreprise. Il est possible d'exclure votre adresse IP de la liste noire, mais c'est assez difficile, et s'il y a des spambots sur le réseau, ce sera une mesure temporaire.
Les méthodes de lutte contre les robots spammeurs et les chevaux de Troie sont très simples: vous devez bloquer le port 25 pour tous les utilisateurs et, idéalement, leur interdire complètement de communiquer directement avec Internet, en le remplaçant par un travail via des serveurs proxy. Par exemple, dans Smolenskenergo, tous les utilisateurs ne travaillent avec Internet que via un proxy avec un système de filtrage, et une étude semi-automatique des protocoles est effectuée chaque jour, qui est effectuée par l'administrateur du système de service. L'analyseur utilisé par lui vous permet de détecter facilement les anomalies dans le trafic des utilisateurs et de prendre des mesures en temps opportun pour bloquer les activités suspectes. Outre, excellents résultats fournir des systèmes IDS (Intrusion Detection System), qui étudient le trafic réseau des utilisateurs.
Distribution de logiciels malveillants à l'aide de messageries instantanées
Selon les statistiques recueillies au cours de l'année, les messageries instantanées sont de plus en plus utilisées pour injecter des malwares sur les ordinateurs des utilisateurs. La méthodologie de mise en œuvre est l'ingénierie sociale classique. À partir de l'ordinateur infecté, au nom de l'ICQ de son propriétaire, le programme malveillant envoie des messages demandant d'ouvrir le lien spécifié sous un prétexte ou un autre. Le lien mène à un cheval de Troie (généralement avec un nom significatif comme picture.pif ou flash_movie.exe) ou à un site Web dont les pages contiennent des exploits. Il convient de noter en particulier que ce sont les liens vers les logiciels malveillants qui sont distribués, et non leur corps.
Au cours de l'année écoulée, plusieurs épidémies ont été enregistrées sur la base de ce principe. En Russie, les victimes étaient principalement des utilisateurs ICQ, et c'était ainsi que les programmes Trojan-PSW étaient le plus souvent distribués - des chevaux de Troie qui volaient les mots de passe des utilisateurs. En moyenne, l'auteur reçoit de un à dix messages par jour et, à la fin de l'année, ces mailings deviennent de plus en plus actifs.
Protection contre les logiciels malveillants de ce type extrêmement simple - vous ne devez pas ouvrir de tels liens. Cependant, les statistiques montrent que la curiosité des utilisateurs l'emporte souvent, d'autant plus si les messages proviennent d'une personne qu'ils connaissent bien. Dans un environnement d'entreprise, l'interdiction d'utiliser les messageries instantanées est une mesure efficace, car, en termes de sécurité, elles constituent un canal idéal pour les fuites d'informations.
Clés USB
Une baisse significative des prix des supports flash (ainsi qu'une augmentation de leur volume et de leur vitesse) a conduit à un effet naturel - une croissance rapide de leur popularité auprès des utilisateurs. En conséquence, les développeurs de logiciels malveillants ont commencé à créer des programmes qui infectent les lecteurs flash. Le principe de fonctionnement de ces programmes est extrêmement simple: deux fichiers sont créés à la racine du disque - un fichier texte autorun.inf et une copie d'un programme malveillant. Le fichier d'exécution automatique est utilisé pour exécuter automatiquement le logiciel malveillant lorsque le lecteur est connecté. L'exemple classique d'un tel programme malveillant est le ver de messagerie Rays. Il est important de noter qu'un appareil photo numérique, de nombreux téléphones portables, lecteurs MP3 et PDA peuvent agir comme un vecteur de virus - du point de vue d'un ordinateur (et, par conséquent, d'un ver), ils sont indiscernables d'un disque flash. Cependant, la présence d'un programme malveillant n'affecte en rien le fonctionnement de ces appareils.
Une mesure de protection contre de tels programmes peut être la désactivation de l'exécution automatique, en utilisant des moniteurs antivirus pour une détection et une suppression rapides d'un virus. Face à la menace d'un afflux de virus et de fuites d'informations, de nombreuses entreprises prennent des mesures plus strictes - elles bloquent la possibilité de connecter des périphériques USB à l'aide de logiciels spécialisés ou bloquent les pilotes USB dans les paramètres du système.
Conclusion
Cet article a passé en revue les principales directions du développement des logiciels malveillants. Leur analyse nous permet de faire plusieurs prédictions:
- on peut supposer que la direction du masquage des scanners de signature et de la protection contre le lancement sur les ordinateurs virtuels et les émulateurs sera activement développée. Par conséquent, divers analyseurs heuristiques, pare-feu et systèmes de protection proactifs viennent en tête pour lutter contre ces programmes malveillants;
- l'industrie du développement de logiciels malveillants est clairement criminalisée et la part des spambots, des chevaux de Troie et des chevaux de Troie pour voler les mots de passe et les données personnelles des utilisateurs augmente. Contrairement aux virus et aux vers, ces programmes peuvent causer des dommages matériels importants aux utilisateurs. Le développement de l'industrie des chevaux de Troie qui chiffrent les données aux utilisateurs fait réfléchir à l'opportunité de copie de réservece qui annule pratiquement les dommages causés par un tel cheval de Troie;
- l'analyse des cas d'infection informatique montre que les cybercriminels piratent souvent les serveurs Web pour y placer des programmes malveillants. Un tel piratage est beaucoup plus dangereux que la soi-disant déface (substitution de la page d'accueil du site), car les ordinateurs des visiteurs du site peuvent être infectés. On peut supposer que cette direction se développera très activement;
- les lecteurs flash, les appareils photo numériques, les lecteurs MP3 et les PDA deviennent une menace croissante pour la sécurité car ils peuvent transporter des virus. De nombreux utilisateurs sous-estiment le danger posé par, par exemple, un appareil photo numérique - cependant, l'auteur a étudié au moins 30 incidents en 2006 liés à de tels appareils;
- l'analyse de l'appareil et des principes de fonctionnement des logiciels malveillants montre que vous pouvez vous en protéger sans antivirus - ils ne peuvent tout simplement pas fonctionner dans un système correctement configuré. La principale règle de protection est le travail de l'utilisateur sous un compte limité, qui, en particulier, ne dispose pas de privilèges d'écriture dossiers système, pour gérer les services et les chauffeurs, ainsi que pour modifier clés système enregistrement.
Travaux Édition de 15.02.2008
"MODÈLE DE BASE DE MENACES À LA SÉCURITÉ DES DONNÉES PERSONNELLES LORS DE LEUR TRAITEMENT DANS LES SYSTÈMES D'INFORMATION DES DONNÉES PERSONNELLES" (approuvé le 15.02.2008 par le FSTEC RF)
5. Menaces d'accès non autorisé aux informations dans le système d'information sur les données personnelles
Les menaces d'accès non autorisé dans l'ISPD avec l'utilisation de logiciels et de logiciels et de matériel sont mises en œuvre lorsqu'un accès non autorisé, y compris accidentel, est effectué, ce qui entraîne une violation de la confidentialité (copie, distribution non autorisée), de l'intégrité (destruction, modification) et de la disponibilité (blocage) de la DP, et inclure:
menaces d'accès (pénétration) dans l'environnement d'exploitation d'un ordinateur à l'aide d'un logiciel standard (outils du système d'exploitation ou programmes d'application généraux);
Les menaces de création de modes de fonctionnement anormaux des logiciels (matériels et logiciels) sont dues à des changements délibérés des données de service, ignorant les restrictions sur la composition et les caractéristiques des informations traitées prévues dans des conditions standard, la distorsion (modification) des données elles-mêmes, etc.
menaces d'introduction de programmes malveillants (logiciels et impact mathématique).
La composition des éléments pour décrire les menaces pesant sur les informations contenues dans l'ISPD est illustrée à la figure 3.
En outre, des menaces combinées sont possibles, qui sont une combinaison de ces menaces. Par exemple, grâce à l'introduction de programmes malveillants, les conditions peuvent être créées pour un accès non autorisé à l'environnement d'exploitation d'un ordinateur, y compris par la création de canaux d'accès à l'information non traditionnels.
Les menaces d'accès (pénétration) dans l'environnement d'exploitation de l'ISPD à l'aide d'un logiciel standard sont divisées en menaces d'accès direct et à distance. Les menaces d'accès direct sont exécutées à l'aide d'entrées / sorties logicielles et matérielles d'un ordinateur. Les menaces d'accès à distance sont implémentées à l'aide de protocoles réseau.
Ces menaces sont réalisées vis-à-vis de l'ISPD à la fois sur la base d'un poste de travail automatisé non inclus dans les réseaux de communication publics, et en relation avec tous les ISPD qui ont une connexion aux réseaux de communication publics et aux réseaux internationaux d'échange d'informations.
La description des menaces d'accès (pénétration) dans l'environnement d'exploitation d'un ordinateur peut être formellement présentée comme suit:
menace NSD dans ISPDn: \u003d<источник угрозы>, <уязвимость ИСПДн>, <способ реализации угрозы>, <объект воздействия (программа, протокол, данные и др.)>, <деструктивное действие>.
Figure 3. Éléments de la description des menaces pesant sur l'information dans le RNIS
Les menaces de création de modes de fonctionnement anormaux des moyens logiciels (micrologiciels) sont des menaces de «déni de service». En règle générale, ces menaces sont considérées par rapport à l'ISPD sur la base de systèmes d'information locaux et distribués, quel que soit le lien d'échange d'informations. Leur mise en œuvre est due au fait que le développement d'un système ou d'un logiciel d'application ne prend pas en compte la possibilité d'actions délibérées de modifier délibérément:
les conditions de traitement des données (par exemple, ignorer les restrictions sur la longueur d'un paquet de messages);
Formats de présentation des données (avec incohérence des formats modifiés établis pour le traitement via les protocoles de communication réseau);
Logiciel de traitement de données.
En raison de la mise en œuvre des menaces de déni de service, le débordement des tampons et les procédures de traitement sont bloqués, les procédures de traitement en boucle et l'ordinateur se bloque, les paquets de messages sont abandonnés, etc. La description de ces menaces peut être formellement présentée comme suit:
menace de déni de service: \u003d<источник угрозы>, <уязвимость ИСПДн>, <способ реализации угрозы>, <объект воздействия (носитель ПДн)>, <непосредственный результат реализации угрозы (переполнение буфера, блокирование процедуры обработки, "зацикливание" обработки и т.п.)>.
Il est inapproprié de décrire les menaces d'introduction de programmes malveillants (impact programmatique et mathématique) avec les mêmes détails que les menaces ci-dessus. Cela est dû au fait que, d'une part, le nombre de programmes malveillants dépasse aujourd'hui déjà largement cent mille. Deuxièmement, lors de l'organisation de la protection des informations dans la pratique, en règle générale, il suffit de connaître la classe du programme malveillant, les méthodes et les conséquences de sa mise en œuvre (infection). À cet égard, les menaces d'impact logiciel-mathématique (PMA) peuvent être formellement présentées comme suit:
menace PMV dans ISPDn: \u003d<класс вредоносной программы (с указанием среды обитания)>, <источник угрозы (носитель вредоносной программы)>, <способ инфицирования>, <объект воздействия (загрузочный сектор, файл и т.п.)>, <описание возможных деструктивных действий>, <дополнительная информация об угрозе (резидентность, скорость распространения, полиморфичность и др.)>.
Vous trouverez ci-dessous une description générale des sources des menaces de sécurité de l'information, des vulnérabilités qui peuvent être utilisées dans la mise en œuvre des menaces d'accès non autorisé et des caractéristiques des résultats d'un accès non autorisé ou accidentel. Les caractéristiques des méthodes de mise en œuvre des menaces sont données lors de la description des menaces d'accès (pénétration) dans l'environnement d'exploitation d'un ordinateur, des menaces de déni de service et des menaces de PMA.
Les sources des menaces NSD dans ISPD peuvent être:
intrus;
le transporteur du programme malveillant;
signet matériel.
Les menaces de sécurité des données personnelles associées à la mise en œuvre des onglets matériels sont déterminées conformément aux règlements du Service fédéral de sécurité Fédération Russe dans l'ordre établi par elle.
En ayant le droit d'accès permanent ou unique à la zone contrôlée (KZ) de l'ISPD, les contrevenants sont divisés en deux types:
contrevenants qui n'ont pas accès à l'ISPD, réalisant des menaces provenant de réseaux de communication publics externes et (ou) de réseaux internationaux d'échange d'informations - contrevenants externes;
les contrevenants qui ont accès à l'ISPD, y compris les utilisateurs de l'ISPD, qui mettent en œuvre les menaces directement dans l'ISPD, sont des contrevenants internes.
Les délinquants externes peuvent être:
services de renseignement des États;
Structures criminelles;
concurrents (organisations concurrentes);
partenaires peu scrupuleux;
acteurs externes (individus).
Un intrus externe a les capacités suivantes:
effectuer un accès non autorisé aux canaux de communication qui vont au-delà des locaux du bureau;
pour effectuer un accès non autorisé via des postes de travail connectés à des réseaux publics de communication et (ou) des réseaux d'échange international d'informations;
pour effectuer un accès non autorisé aux informations à l'aide d'actions logicielles spéciales via des virus logiciels, des logiciels malveillants, des signets algorithmiques ou logiciels;
Effectuer un accès non autorisé à travers les éléments de l'infrastructure d'information ISPDN, qui au cours de leur cycle de la vie (modernisation, entretien, réparation, élimination) sont en dehors de la zone contrôlée;
effectuer un accès non autorisé via les systèmes d'information des départements, organisations et institutions en interaction lorsqu'ils sont connectés à l'ISPD.
Les capacités d'un contrevenant interne dépendent essentiellement du régime et des mesures de protection organisationnelles et techniques en vigueur dans la zone contrôlée, y compris de l'admission des individus aux données personnelles et du contrôle de la procédure de travail.
Les contrevenants potentiels internes sont divisés en huit catégories en fonction de la méthode d'accès et de l'autorisation d'accéder à la DP.
La première catégorie comprend les personnes qui ont un accès autorisé au PDIS, mais qui n'ont pas accès au PD. Ce type de contrevenant comprend les fonctionnaires qui assurent le fonctionnement normal de l'ISPD.
avoir accès à des fragments d'informations contenant de la MP et se propageant par les canaux de communication internes de l'ISPD;
Avoir des fragments d'informations sur la topologie de l'ISPDn (partie communication du sous-réseau) et sur les protocoles de communication utilisés et leurs services;
Éliminer les noms et identifier les mots de passe des utilisateurs enregistrés;
modifier la configuration des moyens techniques d'ISPD, y ajouter des onglets logiciels et matériels et fournir une recherche d'informations en utilisant une connexion directe aux moyens techniques d'ISPD.
a toutes les capacités des personnes de la première catégorie;
Connaît au moins un nom d'accès légal;
Possède tous les attributs nécessaires (par exemple, un mot de passe) qui permettent d'accéder à un certain sous-ensemble de PD;
dispose de données confidentielles auxquelles il a accès.
Ses droits d'accès, d'authentification et d'accès à un certain sous-ensemble de PD devraient être réglementés par les règles de contrôle d'accès appropriées.
possède toutes les capacités des personnes des première et deuxième catégories;
Dispose d'informations sur la topologie de l'ISPD sur la base d'un système d'information local et (ou) distribué à travers lequel l'accès est effectué, et sur la composition des moyens techniques de l'ISPD;
a la possibilité d'un accès direct (physique) à des fragments de moyens techniques d'ISPD.
Possède des informations complètes sur le système et les logiciels d'application utilisés dans le segment (fragment) RNIS;
Possède des informations complètes sur les moyens techniques et la configuration du segment ISPD (fragment);
a accès à des outils de sécurité de l'information et de journalisation, ainsi qu'à des éléments individuels utilisés dans le segment ISPD (fragment);
a accès à tous les moyens techniques du segment ISPD (fragment);
a le droit de configurer et d'administrer un certain sous-ensemble des moyens techniques du segment ISPD (fragment).
Possède toutes les capacités des personnes des catégories précédentes;
dispose d'informations complètes sur le système et le logiciel d'application ISPD;
dispose d'informations complètes sur les moyens techniques et la configuration du RNIS;
a accès à tous les moyens techniques de traitement de l'information et aux données ISPD;
possède les droits de configuration et d'administration des moyens techniques d'ISPD.
L'administrateur système effectue la configuration et la gestion des logiciels (logiciels) et des équipements, y compris les équipements chargés de la sécurité de l'objet protégé: moyens de protection des informations cryptographiques, surveillance, enregistrement, archivage, protection contre les altérations.
a toutes les capacités des personnes des catégories précédentes;
a des informations complètes sur le RNIS;
a accès à des outils de sécurité et de journalisation de l'information et à éléments clé ISPDN;
N'a pas accès à la configuration des moyens techniques du réseau, à l'exception du contrôle (inspection).
L'administrateur de la sécurité est responsable du respect des règles de contrôle d'accès, de la génération des éléments clés, du changement des mots de passe. L'administrateur de la sécurité audite les mêmes protections d'objets que l'administrateur système.
possède des informations sur les algorithmes et les programmes de traitement de l'information sur ISPD;
Il a la capacité d'introduire des erreurs, des fonctionnalités non déclarées, des bogues logiciels, des programmes malveillants dans un logiciel ISPD au stade de son développement, de sa mise en œuvre et de sa maintenance;
peut avoir toutes les informations sur la topologie de l'ISPD et les moyens techniques de traitement et de protection des DP traités dans l'ISPD.
a la capacité d'ajouter des signets aux moyens techniques de l'ISPD au stade de leur développement, mise en œuvre et maintenance;
Il peut contenir toutes les informations sur la topologie de l'ISPD et les moyens techniques de traitement et de protection des informations dans l'ISPD.
Le support du programme malveillant peut être un élément matériel d'un ordinateur ou un conteneur de logiciels. Si un programme malveillant n'est associé à aucun programme d'application, les éléments suivants sont considérés comme son vecteur:
Support aliénable, c'est-à-dire disquette, disque optique (CD-R, CD-RW), mémoire flash, disque dur aliéné, etc.
Support de stockage intégré (disques durs, puces de mémoire, processeur, puces de carte mère, puces de périphérique intégrées dans unité système, - adaptateur vidéo, carte réseau, carte son, modem, dispositifs d'entrée / sortie pour disques durs et optiques magnétiques, alimentation électrique, etc., puces d'accès direct à la mémoire, bus de transfert de données, ports d'entrée / sortie);
microcircuits d'appareils externes (moniteur, clavier, imprimante, modem, scanner, etc.).
Si un programme malveillant est associé à un programme d'application, avec des fichiers avec certaines extensions ou d'autres attributs, avec des messages transmis sur le réseau, ses porteurs sont:
paquets de messages transmis sur un réseau informatique;
fichiers (texte, graphique, exécutable, etc.).
5.2. Caractéristiques générales des vulnérabilités du système d'information sur les données personnellesVulnérabilité du système d'information sur les données personnelles - absence ou la faiblesse dans le système ou le logiciel d'application (logiciel et matériel) du système d'information automatisé, qui peut être utilisé pour mettre en œuvre des menaces à la sécurité des données personnelles.
Les raisons de l'émergence de vulnérabilités sont:
erreurs dans la conception et le développement de logiciels (matériel et logiciel);
des actions délibérées pour introduire des vulnérabilités lors de la conception et du développement de logiciels (logiciels et matériels);
paramètres logiciels incorrects, modification illégale des modes de fonctionnement des appareils et des programmes;
Introduction et utilisation non autorisées de programmes non comptabilisés avec un gaspillage déraisonnable de ressources (charge du processeur, capture de RAM et de mémoire sur des supports externes);
l'introduction de programmes malveillants qui créent des vulnérabilités dans les logiciels, les logiciels et le matériel;
actions non intentionnelles non autorisées des utilisateurs conduisant à des vulnérabilités;
pannes matérielles et logicielles (causées par des pannes de courant, des pannes d'éléments matériels en raison du vieillissement et d'une fiabilité réduite, des influences externes des champs électromagnétiques dispositifs techniques et etc.).
La classification des principales vulnérabilités du RNIS est illustrée à la figure 4.
Figure 4. Classification des vulnérabilités logicielles
Vous trouverez ci-dessous une description générale des principaux groupes de vulnérabilités RNIS, notamment:
les vulnérabilités des logiciels système (y compris les protocoles de communication réseau);
vulnérabilités des logiciels d'application (y compris les outils de protection des informations).
5.2.1. Caractéristiques générales des vulnérabilités des logiciels systèmeLes vulnérabilités des logiciels système doivent être prises en compte par rapport à l'architecture des systèmes informatiques de construction.
Dans ce cas, des vulnérabilités sont possibles:
en microprogrammes, en firmware ROM, EPROM;
dans les outils du système d'exploitation conçus pour gérer les ressources locales de l'ISPDn (assurant l'exécution des fonctions de gestion des processus, de la mémoire, des périphériques d'entrée / sortie, de l'interface utilisateur, etc.), des pilotes, des utilitaires;
Dans les outils du système d'exploitation conçus pour exécuter des fonctions auxiliaires - utilitaires (archivage, défragmentation, etc.), programmes de traitement du système (compilateurs, linkers, débogueurs, etc.), programmes pour fournir à l'utilisateur des services supplémentaires (options d'interface spéciales, calculatrices, jeux, etc.), bibliothèques de procédures à des fins diverses (bibliothèques de fonctions mathématiques, fonctions d'entrée / sortie, etc.);
dans les moyens d'interaction de communication (moyens de réseau) du système d'exploitation.
Les vulnérabilités des microprogrammes et des outils du système d'exploitation conçus pour gérer les ressources locales et les fonctions auxiliaires peuvent inclure:
Fonctions, procédures, dont la modification des paramètres permet d'une certaine manière de les utiliser pour un accès non autorisé sans détection de tels changements par le système d'exploitation;
des fragments de code programme ("trous", "hachures") introduits par le développeur, permettant de contourner les procédures d'identification, d'authentification, de contrôle d'intégrité, etc.;
Erreurs dans les programmes (dans la déclaration des variables, des fonctions et des procédures, dans les codes de programme), qui dans certaines conditions (par exemple, lors de l'exécution de transitions logiques) entraînent des pannes, y compris des dysfonctionnements des outils et des systèmes de protection de l'information.
Les vulnérabilités des protocoles réseau sont associées aux particularités de leur implémentation logicielle et sont causées par des restrictions sur la taille du tampon appliqué, des déficiences dans la procédure d'authentification, le manque de contrôles de validation pour les informations de service, etc. Une brève description de ces vulnérabilités appliquées aux protocoles est donnée dans le tableau 2.
Tableau 2
Vulnérabilités des protocoles individuels de la pile de protocoles TCP / IP, sur la base desquels fonctionnent les réseaux publics mondiaux
| Nom du protocole | Couche de pile de protocole | Nom (caractéristique) de la vulnérabilité | Contenu de la violation de la sécurité des informations |
| FTP (File Transfer Protocol) - protocole de transfert de fichiers réseau | 1. Authentification basée sur le texte en clair (les mots de passe sont envoyés non chiffrés) 2. Accès par défaut 3. Avoir deux ports ouverts | La possibilité d'intercepter les données de compte (noms des utilisateurs enregistrés, mots de passe). Obtenir un accès à distance aux hôtes | |
| telnet - protocole de contrôle de terminal à distance | Appliqué, représentatif, session | Authentification en texte clair (les mots de passe sont envoyés non chiffrés) | La possibilité d'intercepter les données du compte utilisateur. Obtenir un accès à distance aux hôtes |
| UDP - protocole de transfert de données sans connexion | Transport | Absence de mécanisme pour éviter les surcharges de tampon | Capacité à mettre en œuvre la tempête UDP. En raison de l'échange de paquets, il y a une diminution significative des performances du serveur |
| ARP est le protocole de conversion d'une adresse IP en adresse physique | Réseau | Authentification basée sur le texte en clair (les informations sont envoyées non chiffrées) | Possibilité d'intercepter le trafic utilisateur par un attaquant |
| RIP - Protocole d'informations de routage | Transport | Manque d'authentification des messages de contrôle de routage | Possibilité de rediriger le trafic via l'hôte de l'attaquant |
| TCP - protocole de contrôle de transmission | Transport | Absence de mécanisme pour vérifier l'exactitude du remplissage des en-têtes de service du paquet | Une baisse significative du taux de change et même une panne complète des connexions arbitraires via le protocole TCP |
| DNS - un protocole pour mapper les noms mnémoniques et les adresses réseau | Appliqué, représentatif, session | Manque de moyens de vérification de l'authentification des données reçues de la source | Falsification de la réponse du serveur DNS |
| IGMP - Protocole de transfert de message de routage | Réseau | Manque d'authentification des messages sur les modifications des paramètres d'itinéraire | Systèmes de suspension Win 9x / NT / 200 |
| SMTP - un protocole pour fournir un service pour la livraison de messages par e-mail | Appliqué, représentatif, session | Possibilité d'usurper les e-mails ainsi que l'adresse de l'expéditeur du message | |
| SNMP - protocole de gestion des routeurs dans les réseaux | Appliqué, représentatif, session | Manque de prise en charge de l'authentification des en-têtes de message | Possibilité de débordement de la bande passante du réseau |
Pour systématiser la description de nombreuses vulnérabilités, une base de données de vulnérabilité unifiée CVE (Common Vulnerabilities and Exposures) est utilisée, au développement de laquelle des spécialistes de nombreuses entreprises et organisations bien connues, telles que mitre, ISS, Cisco, BindView, Axent, NFR, L-3, CyberSafe, ont participé. CERT, Université Carnegie Mellon, Institut SANS, etc. Cette base de données est constamment mise à jour et est utilisée dans la constitution de bases de données de nombreux logiciels d'analyse de sécurité et, surtout, de scanners de réseau.
5.2.2. Caractéristiques générales des vulnérabilités des logiciels d'applicationLes logiciels d'application comprennent les programmes d'application publics et les programmes d'application spéciaux.
Applications publiques - éditeurs de textes et graphiques, programmes multimédias (lecteurs audio et vidéo, logiciels de réception TV, etc.), systèmes de gestion de bases de données, plates-formes logicielles publiques pour le développement de logiciels (comme Delphi, Visual Basic ), moyens de protection des informations publiques, etc.
Les programmes d'application spéciaux sont des programmes qui sont développés dans l'intérêt de résoudre des problèmes appliqués spécifiques dans un ISPD donné (y compris un logiciel de sécurité de l'information développé pour un ISPD spécifique).
Les vulnérabilités des logiciels d'application peuvent être:
les fonctions et procédures liées à différents programmes d'application et incompatibles entre elles (ne fonctionnant pas dans le même environnement d'exploitation) en raison de conflits liés à la répartition des ressources du système;
Fonctions, procédures, dont la modification des paramètres permet d'une certaine manière de les utiliser pour pénétrer dans l'environnement d'exploitation ISPD et appeler les fonctions standard du système d'exploitation, effectuer un accès non autorisé sans détecter de telles modifications par le système d'exploitation;
des fragments de code programme ("trous", "hachures"), introduits par le développeur, permettant de contourner les procédures d'identification, d'authentification, de contrôle d'intégrité, etc., prévues dans le système d'exploitation;
absence de moyens de protection nécessaires (authentification, contrôle d'intégrité, vérification des formats des messages, blocage des fonctions modifiées non autorisées, etc.);
Erreurs dans les programmes (dans la déclaration des variables, des fonctions et des procédures, dans les codes de programme), qui dans certaines conditions (par exemple, lors de l'exécution de transitions logiques) entraînent des pannes, y compris des dysfonctionnements des outils et des systèmes de protection de l'information, à la possibilité d'un accès non autorisé à information.
Les données de vulnérabilité des applications commerciales développées et distribuées sont collectées, résumées et analysées dans la base de données CVE<*>.
<*> Réalisé par une société étrangère CERT sur une base commerciale.
5.3. Caractéristiques générales des menaces d'accès direct à l'environnement d'exploitation du système d'information sur les données personnellesLes menaces d'accès (pénétration) dans l'environnement d'exploitation d'un ordinateur et l'accès non autorisé aux données personnelles sont associés à l'accès:
aux informations et commandes stockées dans le RNIS du système d'entrée / sortie de base (BIOS), avec la possibilité d'intercepter le contrôle de démarrage du système d'exploitation et d'obtenir les droits d'un utilisateur de confiance;
dans l'environnement d'exploitation, c'est-à-dire dans l'environnement d'exploitation du système d'exploitation local d'un moyen technique distinct d'ISPD avec la capacité d'effectuer un accès non autorisé en appelant les programmes du système d'exploitation standard ou en lançant des programmes spécialement développés qui mettent en œuvre de telles actions;
dans l'environnement d'exploitation des programmes d'application (par exemple, dans un système de gestion de base de données local);
directement aux informations de l'utilisateur (aux fichiers, textes, informations audio et graphiques, champs et enregistrements dans les bases de données électroniques) et en raison de la possibilité de violer sa confidentialité, son intégrité et sa disponibilité.
Ces menaces peuvent se concrétiser dans le cas de l'obtention d'un accès physique à l'ISPD ou, au moins, aux moyens de saisir des informations dans l'ISPD. Ils peuvent être regroupés en trois groupes selon les modalités de mise en œuvre.
Le premier groupe comprend les menaces qui sont implémentées lors du démarrage du système d'exploitation. Ces menaces à la sécurité de l'information visent à intercepter les mots de passe ou les identifiants, à modifier le logiciel du système d'entrée / sortie de base (BIOS), à intercepter le contrôle de démarrage en modifiant les informations technologiques nécessaires pour recevoir le NSD dans l'environnement d'exploitation ISPD. Le plus souvent, ces menaces sont mises en œuvre à l'aide de médias aliénés.
Le deuxième groupe comprend les menaces qui sont implémentées après le chargement de l'environnement d'exploitation, quel que soit le programme d'application lancé par l'utilisateur. Ces menaces visent généralement à effectuer directement un accès non autorisé aux informations. Lors de l'accès à l'environnement d'exploitation, un intrus peut utiliser à la fois les fonctions standard du système d'exploitation ou tout programme d'application public (par exemple, un système de gestion de base de données) et des programmes spécialement conçus pour effectuer un accès non autorisé, par exemple:
programmes de visualisation et de modification du registre;
Rechercher dans les programmes des textes dans des fichiers texte par mots-clés et par copie;
programmes spéciaux pour visualiser et copier des enregistrements dans des bases de données;
visionneuses rapides fichiers graphiques, les éditer ou les copier;
programmes pour prendre en charge les capacités de reconfiguration de l'environnement logiciel (paramètres ISPD dans l'intérêt du délinquant), etc.
Enfin, le troisième groupe comprend les menaces dont la mise en œuvre est déterminée par lequel des programmes d'application est lancé par l'utilisateur, ou par le fait que l'un quelconque des programmes d'application est lancé. La plupart de ces menaces sont des menaces d'injection de logiciels malveillants.
5.4. Caractéristiques générales des menaces à la sécurité des données personnelles, mises en œuvre à l'aide de protocoles d'interconnexionSi le RNIS est implémenté sur la base d'un système d'information local ou distribué, les menaces à la sécurité de l'information peuvent y être implémentées en utilisant des protocoles d'interconnexion. Dans ce cas, une falsification des données personnelles peut être fournie ou une menace de déni de service peut être réalisée. Les menaces sont particulièrement dangereuses lorsque le RNIS est un système d'information distribué connecté à des réseaux publics et (ou) des réseaux d'échange international d'informations. Le schéma de classification des menaces implémentées sur le réseau est illustré à la figure 5. Il est basé sur les sept principales caractéristiques de classification suivantes.
1. La nature de la menace. Sur cette base, les menaces peuvent être passives et actives. Une menace passive est une menace qui n'affecte pas directement le fonctionnement de l'ISPD, mais les règles établies pour différencier l'accès aux ressources PD ou réseau peuvent être violées. Un exemple de telles menaces est la menace d'analyse du trafic réseau, qui vise à écouter les canaux de communication et à intercepter les informations transmises.
Une menace active est une menace associée à un impact sur les ressources ISPD, dont la mise en œuvre affecte directement le fonctionnement du système (changement de configuration, dysfonctionnement, etc.), et en violation des règles établies pour différencier l'accès aux ressources PD ou réseau. Un exemple d'une telle menace est la menace de déni de service, qui est implémentée comme une tempête de requêtes TCP.
2. Le but de la mise en œuvre de la menace. Sur cette base, les menaces peuvent viser à violer la confidentialité, l'intégrité et la disponibilité des informations (y compris perturber les performances de l'ISPD ou de ses éléments).
3. La condition pour démarrer la mise en œuvre du processus de mise en œuvre des menaces. Sur cette base, une menace peut être réalisée:
à la demande d'un objet contre lequel la menace est mise en œuvre. Dans ce cas, l'intrus attend la transmission d'une requête d'un certain type, qui sera la condition du début d'un accès non autorisé;
Figure 5. Schéma de classification des menaces à l'aide de protocoles d'interréseau
À la survenance de l'événement attendu dans l'installation, par rapport auquel la menace est mise en œuvre. Dans ce cas, l'intrus surveille en permanence l'état du système d'exploitation ISPD et, lorsqu'un certain événement se produit dans ce système, commence un accès non autorisé;
impact inconditionnel. Dans ce cas, le début d'un accès non autorisé est inconditionnel par rapport à la cible d'accès, c'est-à-dire que la menace est réalisée immédiatement et quel que soit l'état du système.
4. Disponibilité retour d'information avec ISPDN. Sur cette base, le processus de mise en œuvre d'une menace peut se faire avec ou sans rétroaction. Une menace réalisée en présence de feedback de l'ISPD est caractérisée par le fait que le contrevenant a besoin de recevoir une réponse à certaines demandes adressées à l'ISPD. Par conséquent, il y a une rétroaction entre le contrevenant et l'ISPD, qui permet au contrevenant de répondre adéquatement à toutes les modifications de l'ISPD. Contrairement aux menaces mises en œuvre en présence de retour d'informations de l'ISPD, lors de la mise en œuvre de menaces sans retour d'informations, il n'est pas nécessaire de répondre aux modifications apportées à l'ISPD.
5. La localisation du contrevenant par rapport au RNIS. Conformément à cette caractéristique, la menace est implémentée à la fois intra-segment et inter-segment. Le segment de réseau est une association physique d'hôtes (moyens techniques ISPD ou éléments de communication avec une adresse réseau). Par exemple, le segment ISPDN forme un ensemble d'hôtes connectés au serveur selon le schéma "bus commun". Dans le cas où il y a une menace intra-segment, l'intrus a un accès physique aux éléments matériels de l'ISPD. S'il existe une menace inter-segments, l'intrus se trouve à l'extérieur de l'ISPD, réalisant une menace provenant d'un autre réseau ou d'un autre segment de l'ISPD.
6. Niveau modèle de référence interaction des systèmes ouverts<*> (ISO / OSI) sur lequel la menace est implémentée. Sur cette base, une menace peut être mise en œuvre au niveau physique, du canal, du réseau, du transport, de la session, du représentant et de l'application du modèle ISO / OSI.
<*> L'Organisation internationale de normalisation (ISO) a adopté la norme ISO 7498, qui décrit l'interconnexion des systèmes ouverts (OSI).
7. Le rapport entre le nombre de contrevenants et les éléments du RNIS par rapport auxquels la menace est mise en œuvre. Selon ce critère, une menace peut être classée comme une classe de menaces implémentées par un intrus par rapport à un moyen technique d'ISPD (menace "one-to-one"), à la fois contre plusieurs moyens techniques d'ISPD (menace "one-to-many") ou par plusieurs intrus provenant d'ordinateurs différents par rapport à un ou plusieurs moyens techniques d'ISPD (menaces distribuées ou combinées).
Compte tenu de la classification effectuée, on distingue sept menaces les plus fréquemment mises en œuvre.
1. Analyse du trafic réseau (Figure 6).
Figure 6. Schéma de réalisation de la menace «Analyse du trafic réseau»
Cette menace est mise en œuvre à l'aide d'un analyseur de paquets spécial (sniffer) qui intercepte tous les paquets transmis sur le segment de réseau, et distingue parmi eux ceux dans lesquels l'ID utilisateur et son mot de passe sont transmis. Au cours de la mise en œuvre de la menace, l'intrus étudie la logique du fonctionnement du réseau - c'est-à-dire qu'il cherche à obtenir une correspondance sans ambiguïté entre les événements se produisant dans le système et les commandes envoyées par les hôtes au moment où ces événements apparaissent. Dans le futur, cela permet à un attaquant, en se basant sur la spécification des commandes appropriées, d'obtenir, par exemple, des droits privilégiés sur des actions dans le système ou d'étendre ses pouvoirs dans celui-ci, d'intercepter le flux de données transmises échangées entre les composants du système d'exploitation du réseau afin d'extraire des informations confidentielles ou d'identification (par exemple, des mots de passe statiques utilisateurs pour accéder aux hôtes distants via les protocoles FTP et TELNET qui ne fournissent pas de cryptage), sa substitution, ses modifications, etc.
2. Analyse du réseau.
L'essence du processus de mise en œuvre des menaces est de transmettre les demandes aux services réseau des hôtes RNIS et d'analyser les réponses de ceux-ci. Le but est d'identifier les protocoles utilisés, les ports disponibles des services réseau, les lois pour la formation des identifiants de connexion, la définition des services réseau actifs, la sélection des identifiants utilisateurs et des mots de passe.
3. Menace de révéler le mot de passe.
Le but de la mise en œuvre de la menace est d'obtenir un NSD en surmontant la protection par mot de passe. Un attaquant peut implémenter une menace à l'aide de diverses méthodes, telles que les attaques par force brute, les attaques par force brute utilisant des dictionnaires spéciaux, l'installation de logiciels malveillants pour intercepter un mot de passe, l'usurpation d'un objet réseau de confiance (usurpation d'adresse IP) et le reniflage de paquets. Principalement pour la mise en œuvre de la menace sont utilisés programmes spéciauxqui essaient d'accéder à l'hôte par des attaques séquentielles par force brute. En cas de succès, l'attaquant peut se créer un "pass" pour un accès futur, qui sera valide même si le mot de passe d'accès est changé sur l'hôte.
4. Substitution d'un objet réseau de confiance et transmission via des canaux de communication de messages en son nom avec attribution de ses droits d'accès (Figure 7).
Figure 7. Schéma d'implémentation de la menace «Usurpation d'un objet réseau de confiance»
Une telle menace est efficacement mise en œuvre dans les systèmes où des algorithmes instables d'identification et d'authentification des hôtes, des utilisateurs, etc. sont utilisés. Un objet de confiance est un objet réseau (ordinateur, pare-feu, routeur, etc.) qui est légalement connecté au serveur.
Deux types de processus de mise en œuvre de cette menace peuvent être distingués: avec l'établissement et sans l'établissement d'une connexion virtuelle.
Le processus de mise en œuvre avec l'établissement d'une connexion virtuelle consiste à attribuer les droits d'un sujet d'interaction de confiance, ce qui permet à un attaquant de mener une session avec un objet réseau pour le compte d'un sujet de confiance. La mise en œuvre de ce type de menace nécessite de surmonter le système d'identification et d'authentification des messages (par exemple, une attaque sur le service rsh d'un hôte UNIX).
Le processus de mise en œuvre d'une menace sans établir de connexion virtuelle peut avoir lieu dans des réseaux qui identifient les messages transmis uniquement par l'adresse réseau de l'expéditeur. L'essence réside dans la transmission de messages de service au nom de dispositifs de contrôle de réseau (par exemple, au nom de routeurs) concernant la modification des données d'adresse de routage. Il convient de garder à l'esprit que les seuls identifiants des abonnés et des connexions (via TCP) sont deux paramètres 32 bits Numéro de séquence initial - ISS (numéro de séquence) et Numéro d'accusé de réception - ACK (numéro d'accusé de réception). Par conséquent, afin de générer un faux paquet TCP, l'intrus a besoin de connaître les identificateurs actuels pour cette connexion - ISSa et ISSb, où:
ISSa - une valeur numérique caractérisant le numéro de séquence du paquet TCP envoyé, établi par la connexion TCP, initiée par l'hôte A;
ISSb - une valeur numérique caractérisant le numéro de séquence du paquet TCP envoyé, établi par la connexion TCP, initiée par l'hôte B.
La valeur ACK (numéro d'accusé de réception de connexion TCP) est définie comme la valeur du numéro reçu du répondeur ISS (numéro de séquence) plus un ACKb \u003d ISSa + 1.
À la suite de la mise en œuvre de la menace, l'intrus obtient les droits d'accès définis par son utilisateur pour l'abonné de confiance aux moyens techniques du RNIS - le but des menaces.
5. Imposer une fausse route réseau.
Cette menace est mise en œuvre de deux manières: par imposition intra-segment ou intersegment. La possibilité d'imposer une fausse route est due aux inconvénients inhérents aux algorithmes de routage (en particulier, en raison du problème d'identification des dispositifs de contrôle du réseau), à la suite desquels vous pouvez obtenir, par exemple, sur un hôte ou un réseau d'intrus, où vous pouvez entrer dans l'environnement d'exploitation d'un dispositif technique dans le cadre d'un RNIS ... La mise en œuvre des menaces repose sur l'utilisation non autorisée de protocoles de routage (RIP, OSPF, LSP) et de gestion de réseau (ICMP, SNMP) pour modifier les tables de routage. Dans ce cas, l'attaquant doit envoyer un message de contrôle au nom du dispositif de contrôle du réseau (par exemple, un routeur) (figures 8 et 9).
Figure 8. Schéma de mise en œuvre de l'attaque False Route Enforcement (intra-segment) utilisant le protocole ICMP pour interrompre la communication
Figure 9. Schéma de mise en œuvre de la menace «Imposition d'un faux itinéraire» (intersegment) afin d'intercepter le trafic
6. Injection d'un faux objet réseau.
Cette menace est basée sur l'exploitation des failles des algorithmes de recherche à distance. Dans le cas où les objets réseau n'ont initialement pas d'informations d'adresse les uns sur les autres, divers protocoles de recherche à distance sont utilisés (par exemple, SAP dans les réseaux Novell NetWare; ARP, DNS, WINS dans les réseaux avec une pile de protocoles TCP / IP), consistant en la transmission de demandes et recevoir des réponses avec les informations requises. En même temps, il est possible pour un intrus d'intercepter une demande de recherche et d'y émettre une fausse réponse, dont l'utilisation conduira au changement requis des données d'adresse de routage. À l'avenir, tout le flux d'informations associé à l'objet victime passera par le faux objet de réseau (figures 10 à 13).
Figure 10. Schéma d'implémentation de la menace "Injection d'un faux serveur ARP"
Figure 11. Schéma d'implémentation de la menace «Injection d'un faux serveur DNS» par interception d'une requête DNS
Figure 12. Schéma de mise en œuvre de la menace «fausse injection de serveur DNS» par l'assaut des réponses DNS à un ordinateur du réseau
Figure 13. Schéma de la mise en œuvre de la menace «Injection d'un faux serveur DNS» par l'assaut des réponses DNS à un serveur DNS
7. Déni de service.
Ces menaces sont basées sur des failles du logiciel réseau, ses vulnérabilités, qui permettent à un attaquant de créer des conditions lorsque le système d'exploitation est incapable de traiter les paquets entrants.
Plusieurs types de telles menaces peuvent être distingués:
a) déni de service latent provoqué par l'implication d'une partie des ressources ISPD pour le traitement des paquets transmis par l'attaquant avec diminution de la bande passante des canaux de communication, des performances des équipements du réseau, violation des exigences de temps de traitement des requêtes. Des exemples de telles menaces sont: une tempête dirigée de demandes d'écho ICMP (Ping flooding), une tempête de demandes d'établissement de connexions TCP (SYN-flooding), une tempête de requêtes vers un serveur FTP;
b) un déni de service explicite provoqué par l'épuisement des ressources ISPD lors du traitement de paquets transmis par un attaquant (occupation de la totalité de la bande passante des canaux de communication, débordement des files d'attente de demandes de service), dans lequel les demandes légales ne peuvent pas être transmises à travers le réseau en raison de l'indisponibilité du support de transmission ou de réception déni de service en raison du débordement des files d'attente de demandes, de l'espace disque mémoire, etc. Des exemples de ce type de menace sont les demandes d'écho de diffusion ICMP (Schtroumpf), la tempête dirigée (SYN-flooding), la tempête de messages du serveur de messagerie (Spam);
c) un déni de service explicite causé par une violation de la connectivité logique entre les moyens techniques de l'ISPD lorsque l'intrus envoie des messages de contrôle pour le compte de périphériques réseau, entraînant un changement des données d'adresse de routage (par exemple, ICMP Redirect Host, DNS-flooding) ou des informations d'identification et d'authentification;
D) un déni de service explicite causé par un attaquant envoyant des paquets avec des attributs non standard (menaces comme "Land", "TearDrop", "Bonk", "Nuke", "UDP-bomb") ou ayant une longueur dépassant la taille maximale autorisée (menace comme "Ping Death"), qui peut entraîner une défaillance des périphériques réseau impliqués dans le traitement des demandes, à condition qu'il y ait des erreurs dans les programmes qui implémentent les protocoles de communication réseau.
Le résultat de la mise en œuvre de cette menace peut être un dysfonctionnement du service correspondant pour fournir un accès à distance à PD dans ISPD, transmission à partir d'une adresse d'un tel nombre de demandes de connexion à un appareil technique dans le cadre de l'ISPD, dont le maximum peut "accueillir" le trafic (dirigé "tempête de demandes") qui entraîne un débordement de la file d'attente des requêtes et le refus de l'un des services du réseau ou un arrêt complet de l'ordinateur en raison de l'incapacité du système à faire autre chose que le traitement des requêtes.
8. Lancement d'applications à distance.
La menace consiste en la volonté de lancer divers programmes malveillants préinstallés sur l'hôte ISPD: programmes de signets, virus, "spywares réseau", dont le but principal est de violer la confidentialité, l'intégrité, la disponibilité des informations et le contrôle total du fonctionnement de l'hôte. De plus, le lancement non autorisé de programmes d'application utilisateur est possible pour la réception non autorisée de données nécessaires à un intrus, pour le lancement de processus contrôlés par l'application, etc.
Il existe trois sous-classes de ces menaces:
1) distribution de fichiers contenant du code exécutable non autorisé;
2) lancement d'applications à distance par débordement de tampon des applications serveur;
3) lancement à distance de l'application en utilisant les capacités de contrôle à distance du système, fournies par des onglets logiciels et matériels cachés ou utilisées par des moyens standard.
Les menaces typiques de la première de ces sous-classes sont basées sur l'activation de fichiers redistribuables lors d'un accès accidentel. Des exemples de tels fichiers sont: les fichiers contenant du code exécutable sous forme de macros ( documents Microsoft Word, Excel, etc.); des documents html contenant du code exécutable sous forme de contrôles ActiveX, d'applets Java, de scripts interprétés (par exemple, des textes JavaScript); fichiers contenant des codes de programme exécutables. Les services de messagerie électronique, de transfert de fichiers et de système de fichiers réseau peuvent être utilisés pour distribuer des fichiers.
Les menaces de la deuxième sous-classe exploitent les lacunes des programmes qui implémentent des services réseau (en particulier, l'absence de contrôle de dépassement de mémoire tampon). En ajustant les registres système, il est parfois possible de commuter le processeur après une interruption provoquée par un débordement de tampon pour exécuter du code contenu en dehors de la limite de la mémoire tampon. Un exemple de la réalisation d'une telle menace est l'introduction du fameux «virus Morris».
En cas de menaces de la troisième sous-classe, l'intrus utilise les capacités de contrôle du système à distance fournies par des composants cachés (par exemple, des «chevaux de Troie» tels que Back Orifice, Net Bus) ou des outils standard de gestion et d'administration des réseaux informatiques (Landesk Management Suite, Managewise, Back Orifice, etc.) ). Du fait de leur utilisation, il est possible de réaliser un contrôle à distance de la station dans le réseau.
Schématiquement, les principales étapes du travail de ces programmes sont les suivantes:
installation en mémoire;
attendre une demande d'un hôte distant exécutant le programme client et échanger des messages de disponibilité avec lui;
Transfert des informations interceptées au client ou lui donnant le contrôle de l'ordinateur attaqué.
Les conséquences possibles de la mise en œuvre de menaces de différentes classes sont présentées dans le tableau 3.
Tableau 3
Conséquences possibles de la mise en œuvre de menaces de différentes classes
| N p / p | Type d'attaque | Conséquences possibles | |
| 1 | Analyse du trafic réseau | Enquête sur les caractéristiques du trafic réseau, interception des données transmises, y compris les identifiants d'utilisateurs et les mots de passe | |
| 2 | Analyse du réseau | Détermination des protocoles, des ports disponibles des services réseau, des lois de formation des identifiants de connexion, des services réseau actifs, des identifiants d'utilisateur et des mots de passe | |
| 3 | Attaque de mot de passe | Effectuer toute action destructrice associée à l'obtention d'un accès non autorisé | |
| 4 | Usurpation d'un objet réseau approuvé | Modification de l'itinéraire des messages passant, changement non autorisé de routage et des données d'adresse. Accès non autorisé aux ressources du réseau, imposant de fausses informations | |
| 5 | Imposer un faux itinéraire | Changement non autorisé des données de routage et d'adresse, analyse et modification des données transmises, imposition de faux messages | |
| 6 | Fausse injection d'objets réseau | Interception et visualisation du trafic. Accès non autorisé aux ressources du réseau, imposant de fausses informations | |
| 7 | Déni de service | Épuisement partiel des ressources | Réduire la bande passante des canaux de communication, les performances des périphériques réseau. Diminution des performances des applications serveur |
| Épuisement complet des ressources | Impossibilité de transférer des messages en raison d'un manque d'accès au support de transmission, refus d'établir une connexion. Refus de fournir un service (email, fichier, etc.) | ||
| Violation de la connectivité logique entre attributs, données, objets | Incapacité de transmettre des messages en raison du manque de données d'acheminement et d'adresse correctes. Impossibilité de recevoir des services en raison d'une modification non autorisée d'identifiants, de mots de passe, etc. | ||
| Utilisation de bogues dans les programmes | Perturbation des périphériques réseau | ||
| 8 | Lancement d'application à distance | En envoyant des fichiers contenant du code exécutable destructeur, une infection virale | Violation de la confidentialité, de l'intégrité, de la disponibilité des informations |
| En débordant le tampon de l'application serveur | |||
| En utilisant les capacités de contrôle du système à distance fournies par des onglets logiciels et matériels cachés ou utilisées par des moyens standard | Contrôle du système caché | ||
Le processus de mise en œuvre des menaces comprend généralement quatre étapes:
recueillir des informations;
intrusion (pénétration dans l'environnement d'exploitation);
mise en œuvre d'accès non autorisé;
élimination des traces d'accès non autorisé.
Au stade de la collecte d'informations, le contrevenant peut être intéressé par diverses informations sur l'ISPD, notamment:
a) sur la topologie du réseau dans lequel le système fonctionne. Dans ce cas, la zone autour du réseau peut être étudiée (par exemple, l'attaquant peut être intéressé par les adresses d'hôtes de confiance, mais moins sécurisés). Les commandes les plus simples peuvent être utilisées pour déterminer la disponibilité d'un hôte (par exemple, la commande ping pour envoyer des requêtes ICMP ECHO_REQUEST, en attendant les réponses ICMP ECHO_REPLY sur celles-ci). Il existe des utilitaires qui effectuent une détection parallèle de l'accessibilité de l'hôte (comme fping) qui sont capables d'analyser une grande zone de l'espace d'adressage pour l'accessibilité de l'hôte dans un court laps de temps. La topologie d'un réseau est souvent déterminée en fonction d'un «nombre de nœuds» (distance entre les hôtes). Cela peut inclure des techniques telles que la "modulation TTL" et l'enregistrement d'itinéraire.
La méthode "modulation ttL" est implémentée par le programme traceroute (pour Windows NT - tracert.exe) et consiste à moduler le champ ttL des paquets IP. Les paquets ICMP générés par la commande ping peuvent être utilisés pour enregistrer l'itinéraire.
La collecte d'informations peut également être basée sur des demandes:
au serveur DNS sur la liste des hôtes enregistrés (et probablement actifs);
routes connues vers un routeur RIP (informations de topologie du réseau)
Aux périphériques mal configurés qui prennent en charge SNMP (informations de topologie du réseau).
Si le RNIS est derrière un pare-feu (FW), il est possible de collecter des informations sur la configuration du FW et sur la topologie du ISPD derrière le FW, y compris en envoyant des paquets à tous les ports de tous les hôtes supposés du réseau interne (protégé);
b) sur le type de système d'exploitation (OS) dans le RNIS. Le moyen le plus connu de déterminer le type de système d'exploitation d'un hôte est basé sur le fait que différents types de système d'exploitation implémentent les exigences RFC pour la pile TCP / IP de différentes manières. Cela permet à l'intrus d'identifier à distance le type de système d'exploitation installé sur l'hôte ISPD en envoyant des requêtes spécialement conçues et en analysant les réponses reçues.
Il existe des outils spéciaux qui implémentent ces méthodes, en particulier Nmap et QueSO. Il est également possible de noter une telle méthode pour déterminer le type d'OS comme la demande la plus simple d'établir une connexion via le protocole d'accès à distance telnet (connexion telnet), à la suite de quoi le type d'OS hôte peut être déterminé par «l'apparence» de la réponse. La présence de certains services peut également servir d'indicateur supplémentaire pour déterminer le type de système d'exploitation hôte;
C) sur les services fonctionnant sur les hôtes. La définition des services exécutés sur un hôte est basée sur la méthode des «ports ouverts» pour recueillir des informations sur la disponibilité d'un hôte. Par exemple, pour déterminer la disponibilité d'un port UDP, vous devez recevoir une réponse en réponse à l'envoi d'un paquet UDP au port correspondant:
si un message ICMP PORT UNREACHEBLE est reçu en réponse, alors le service correspondant n'est pas disponible;
si ce message n'est pas reçu, alors le port est "ouvert".
Il existe des variations très différentes dans l'utilisation de cette méthode, selon le protocole utilisé dans la pile de protocoles TCP / IP.
De nombreux outils logiciels ont été développés pour automatiser la collecte d'informations sur l'ISPD. À titre d'exemple, on peut noter ce qui suit:
1) Strobe, Portscanner - moyen optimisé pour déterminer les services disponibles en fonction de l'interrogation des ports TCP;
2) Nmap est un outil d'analyse de service conçu pour Linux, FreeBSD, Open BSD, Solaris, Windows NT. Actuellement, l'outil d'analyse de service réseau le plus populaire;
3) Queso est un moyen très précis de déterminer le système d'exploitation d'un hôte sur la base de l'envoi d'une chaîne de paquets TCP corrects et incorrects, en analysant la réponse et en la comparant avec de nombreuses réponses connues de divers systèmes d'exploitation. Cet outil est également un outil d'analyse populaire aujourd'hui;
4) Cheops - un scanner de topologie de réseau vous permet d'obtenir une topologie de réseau, y compris une image du domaine, la zone d'adresse IP, etc. Cela détermine le système d'exploitation hôte, ainsi que les éventuels périphériques réseau (imprimantes, routeurs, etc.);
5) Firewalk - un analyseur qui utilise des méthodes de traceroute pour analyser la réponse aux paquets IP afin de déterminer la configuration du pare-feu et de construire la topologie du réseau.
Au stade de l'invasion, la présence de vulnérabilités typiques dans les services système ou d'erreurs d'administration système est étudiée. Une exploitation réussie des vulnérabilités conduit généralement le processus incriminé à obtenir un mode d'exécution privilégié (accès au mode d'exécution du shell privilégié), à entrer un compte d'utilisateur illégal dans le système, à obtenir un fichier de mot de passe ou à perturber l'hôte attaqué.
Cette étape de développement de la menace est généralement multiphase. Les phases du processus de mise en œuvre des menaces peuvent inclure, par exemple:
établir une connexion avec l'hôte contre lequel la menace est mise en œuvre;
Identification des vulnérabilités;
l'introduction de malwares au profit de l'autonomisation, etc.
Les menaces implémentées pendant la phase d'intrusion sont classées par niveaux de pile de protocoles TCP / IP, puisqu'elles sont générées au niveau du réseau, du transport ou de la couche application, en fonction du mécanisme d'intrusion utilisé.
Les menaces typiques implémentées au niveau du réseau et des couches de transport comprennent:
a) une menace visant à remplacer un objet de confiance;
b) une menace visant à créer une fausse route dans le réseau;
C) les menaces visant à créer un faux objet en utilisant les lacunes des algorithmes de recherche à distance;
D) Menaces de "déni de service" basées sur la défragmentation IP, sur la formation de requêtes ICMP incorrectes (par exemple, les attaques "Ping of Death" et "Smurf"), sur la formation de requêtes TCP incorrectes (attaque "Land"), créer une "tempête" de paquets avec des demandes de connexion (attaques "SYN Flood"), etc.
Les menaces typiques implémentées au niveau de l'application incluent les menaces visant le lancement non autorisé d'applications, les menaces dont la mise en œuvre est associée à l'introduction de bogues logiciels (comme un cheval de Troie), à \u200b\u200bl'identification de mots de passe pour accéder à un réseau ou à un hôte spécifique, etc.
Si la mise en œuvre de la menace n'a pas conféré au contrevenant les droits d'accès les plus élevés du système, des tentatives peuvent être faites pour étendre ces droits au niveau maximum possible. Pour cela, des vulnérabilités non seulement des services réseau, mais également des vulnérabilités du logiciel système des hôtes ISPdn peuvent être utilisées.
Au stade de la mise en œuvre de l'accès non autorisé, l'objectif de mise en œuvre de la menace est effectivement atteint:
violation de la confidentialité (copie, distribution illégale);
Violation d'intégrité (destruction, changement);
violation d'accessibilité (blocage).
Au même stade, après ces actions, en règle générale, une soi-disant «porte dérobée» est formée sous la forme d'un des services (démons) desservant un certain port et exécutant les commandes du violateur. La «porte dérobée» est laissée dans le système dans l’intérêt d’assurer:
la possibilité d'accéder à l'hôte, même si l'administrateur élimine la vulnérabilité utilisée pour mettre en œuvre avec succès la menace;
la possibilité d'accéder à l'hôte aussi discrètement que possible;
Possibilité d'accéder rapidement à l'hôte (sans répéter le processus de mise en œuvre des menaces).
Une porte dérobée permet à un attaquant d'injecter un malware dans un réseau ou un hôte spécifique, par exemple, un renifleur de mot de passe, un programme qui extrait les identifiants utilisateur et les mots de passe du trafic réseau lorsque des protocoles de haut niveau (ftp, telnet, rlogin, etc.) etc.). Les objets de l'injection de logiciels malveillants peuvent être des programmes d'authentification et d'identification, des services réseau, un noyau de système d'exploitation, un système de fichiers, des bibliothèques, etc.
Enfin, au stade de l'élimination des traces de réalisation de la menace, une tentative est faite pour détruire les traces des actes du délinquant. Cela supprime les enregistrements correspondants de tous les journaux d'audit possibles, y compris les enregistrements du fait que des informations ont été collectées.
5.5. Caractéristiques générales des menaces de logiciels et influences mathématiquesLa programmation et l'impact mathématique est l'impact avec l'aide de programmes malveillants. Un programme aux conséquences potentiellement dangereuses ou un programme malveillant est un programme autonome (ensemble d'instructions) capable d'exécuter n'importe quel sous-ensemble non vide des fonctions suivantes:
Masquer les signes de votre présence dans l'environnement logiciel informatique;
Avoir la capacité de s'auto-dupliquer, de s'associer à d'autres programmes et (ou) de transférer vos fragments vers d'autres zones de RAM ou de mémoire externe;
détruire (déformer de manière arbitraire) le code du programme en RAM;
exécuter des fonctions destructives (copie, destruction, blocage, etc.) sans initiation par l'utilisateur (programme utilisateur dans le mode normal de son exécution);
Enregistrer des fragments d'informations de la RAM dans certaines zones de la mémoire externe à accès direct (locale ou distante);
Déformer, bloquer et (ou) remplacer arbitrairement un tableau d'informations envoyées à la mémoire externe ou à un canal de communication résultant du fonctionnement de programmes d'application ou de tableaux de données déjà dans la mémoire externe.
Des programmes malveillants peuvent être introduits (introduits) à la fois intentionnellement et accidentellement dans le logiciel utilisé dans l'ISPD pendant son développement, sa maintenance, sa modification et sa personnalisation. En outre, des programmes malveillants peuvent être introduits pendant le fonctionnement de l'ISPD à partir de supports de stockage externes ou via une interaction réseau à la suite du NSD ou accidentellement par les utilisateurs de l'ISPD.
Les programmes malveillants modernes sont basés sur l'utilisation de vulnérabilités de divers types de logiciels (système, général, application) et de diverses technologies de réseau, ont un large éventail de capacités destructrices (de l'investigation non autorisée des paramètres ISPD sans interférer avec le fonctionnement de l'ISPD, à la destruction des logiciels PD et ISPD) et peuvent fonctionnent sur tous types de logiciels (système, application, pilotes matériels, etc.).
La présence de programmes malveillants dans l'ISPD peut contribuer à l'émergence de canaux d'accès cachés, y compris non conventionnels, à l'information, permettant d'ouvrir, de contourner ou de bloquer les mécanismes de protection fournis dans le système, y compris la protection par mot de passe et cryptographique.
Les principaux types de logiciels malveillants sont:
signets logiciels;
virus de logiciels classiques (informatiques);
programmes malveillants qui se propagent sur le réseau (vers de réseau);
Autres programmes malveillants conçus pour mener des attaques non autorisées.
Les signets logiciels incluent des programmes, des fragments de code, des instructions qui forment des capacités logicielles non déclarées. Les programmes malveillants peuvent passer d'un type à un autre, par exemple, un signet logiciel peut générer un virus logiciel qui, à son tour, lorsqu'il entre dans les conditions du réseau, peut former un ver réseau ou un autre programme malveillant conçu pour mener des attaques non autorisées.
La classification des virus logiciels et des vers de réseau est illustrée à la figure 14. Une brève description des principaux programmes malveillants est la suivante. Les virus d'amorçage s'inscrivent soit dans le secteur d'amorçage du disque (secteur d'amorçage), soit dans le secteur contenant le chargeur d'amorçage du disque dur (Master Boot Record), ou modifient le pointeur vers le secteur d'amorçage actif. Ils sont intégrés dans la mémoire de l'ordinateur lors du démarrage à partir d'un disque infecté. Dans ce cas, le chargeur de démarrage lit le contenu du premier secteur du disque à partir duquel le démarrage est effectué, met les informations de lecture en mémoire et lui transfère le contrôle (c'est-à-dire au virus). Après cela, les instructions du virus commencent à être exécutées, ce qui, en règle générale, réduit la quantité de mémoire libre, copie son code dans l'espace libéré et lit sa suite à partir du disque (le cas échéant), intercepte les vecteurs d'interruption nécessaires (généralement INT 13H), lit l'original secteur de démarrage et lui transfère le contrôle.
À l'avenir, le virus de démarrage se comporte de la même manière qu'un virus de fichier: il intercepte l'accès du système d'exploitation aux disques et les infecte, selon certaines conditions, il effectue des actions destructrices, provoque des effets sonores ou des effets vidéo.
Les principales actions destructrices effectuées par ces virus sont:
destruction d'informations dans les secteurs des disquettes et des disques durs;
Exclusion de la possibilité de charger le système d'exploitation (l'ordinateur "se bloque");
corruption du code du chargeur de démarrage;
formater les disquettes ou les lecteurs logiques du disque dur;
fermeture de l'accès aux ports COM et LPT;
remplacement des caractères lors de l'impression de textes;
secousses de l'écran;
changer l'étiquette d'un disque ou d'une disquette;
création de clusters pseudo-crash;
création d'effets sonores et (ou) visuels (par exemple, des lettres tombant sur l'écran);
corruption de fichiers de données;
afficher divers messages à l'écran;
Déconnexion des périphériques (tels que les claviers);
changer la palette d'écran;
Remplir l'écran avec des personnages ou des images superflus;
éteindre l'écran et le mettre en mode veille pour la saisie au clavier;
cryptage des secteurs du disque dur;
destruction sélective des caractères affichés à l'écran lors de la saisie à partir du clavier;
diminution de la quantité de RAM;
appel pour imprimer le contenu de l'écran;
bloquer l'écriture sur le disque;
destruction de la table de partition (Disk Partition Table), après quoi l'ordinateur ne peut être démarré qu'à partir d'une disquette;
bloquer le lancement des fichiers exécutables;
Bloquer l'accès au disque dur.
Figure 14. Classification des virus logiciels et des vers de réseau
La plupart des virus de démarrage s’écrasent sur les disquettes.
La méthode d'infection par «écrasement» est la plus simple: le virus écrit son propre code au lieu du code du fichier infecté, détruisant son contenu. Naturellement, le fichier cesse de fonctionner et n'est pas restauré. Ces virus se détectent très rapidement, car le système d'exploitation et les applications cessent de fonctionner assez rapidement.
La catégorie "compagnon" comprend les virus qui ne modifient pas les fichiers infectés. L'algorithme de fonctionnement de ces virus est qu'un double fichier est créé pour le fichier infecté, et lorsque le fichier infecté est lancé, c'est ce double, c'est-à-dire le virus, qui prend le contrôle. Les virus compagnons les plus courants qui utilisent la fonction DOS pour être les premiers à exécuter des fichiers avec l'extension .COM s'il y a deux fichiers dans le même répertoire avec le même nom mais des extensions de nom différentes - .COM et .EXE. Ces virus créent des fichiers satellites pour les fichiers EXE qui ont le même nom mais avec une extension .COM, par exemple, un fichier XCOPY.COM est créé pour un fichier XCOPY.EXE. Le virus s’écrit dans un fichier COM et ne modifie en aucune façon le fichier EXE. Lorsqu'un tel fichier est lancé, DOS sera le premier à détecter et à exécuter le fichier COM, c'est-à-dire le virus, qui lancera également le fichier EXE. Le deuxième groupe est constitué de virus qui, lors de l'infection, renomme un fichier sous un autre nom, s'en souvient (pour le lancement ultérieur du fichier hôte) et écrivent leur code sur le disque sous le nom du fichier infecté. Par exemple, le fichier XCOPY.EXE est renommé XCOPY.EXD et le virus est écrit sous le nom XCOPY.EXE. Au démarrage, le contrôle reçoit le code du virus, qui exécute ensuite le XCOPY d'origine stocké sous le nom XCOPY.EXD. Un fait intéressant est que cette méthode semble fonctionner sur tous les systèmes d'exploitation. Le troisième groupe comprend les virus dits «compagnons de chemin». Soit ils écrivent leur code sous le nom du fichier infecté, mais d'un niveau «supérieur» dans les chemins en cours d'écriture (ainsi, DOS sera le premier à détecter et lancer le fichier de virus), soit déplacent le fichier victime d'un sous-répertoire plus haut, etc.
Il peut y avoir d'autres types de virus compagnons qui utilisent différentes idées originales ou fonctionnalités d'autres systèmes d'exploitation.
Les vers de fichiers sont, en un sens, un type de virus compagnon, mais ils n'associent en aucun cas leur présence à un fichier exécutable. Lors de la réplication, ils copient simplement leur code dans certains répertoires du disque dans l'espoir que ces nouvelles copies seront un jour lancées par l'utilisateur. Parfois, ces virus donnent à leurs copies des noms «spéciaux» pour inciter l'utilisateur à exécuter leur copie - par exemple, INSTALL.EXE ou WINSTART.BAT. Il existe des virus de vers qui utilisent des techniques assez inhabituelles, par exemple l'écriture de leurs copies dans des archives (ARJ, ZIP et autres). Certains virus écrivent la commande pour lancer un fichier infecté dans des fichiers BAT. Les vers de fichiers ne doivent pas être confondus avec les vers de réseau. Les premiers utilisent uniquement les fonctions de fichiers d'un système d'exploitation, tandis que les seconds utilisent des protocoles réseau lors de la propagation.
Les virus de lien, comme les virus compagnons, ne modifient pas le contenu physique des fichiers, mais lorsqu'un fichier infecté est lancé, ils «forcent» le système d'exploitation à exécuter son code. Ils atteignent cet objectif en modifiant les champs nécessaires du système de fichiers.
Les virus qui infectent les bibliothèques de compilateurs, les modules objets et les codes sources des programmes sont assez exotiques et pratiquement rares. Les virus infectant les fichiers OBJ et LIB y écrivent leur code au format d'un module objet ou d'une bibliothèque. Le fichier infecté n'est donc pas exécutable et n'est pas capable de propager davantage le virus dans son état actuel. Un fichier COM ou EXE devient le porteur d'un virus «vivant».
Après avoir pris le contrôle, le virus de fichier effectue les actions générales suivantes:
Vérifie la RAM pour sa copie et infecte la mémoire de l'ordinateur si aucune copie du virus n'est trouvée (si le virus est résident), recherche les fichiers non infectés dans le répertoire racine actuel et (ou) en analysant l'arborescence des répertoires des lecteurs logiques, puis infecte les fichiers détectés ;
exécute des fonctions supplémentaires (le cas échéant): actions destructrices, effets graphiques ou sonores, etc. (des fonctions supplémentaires du virus résident peuvent être appelées quelque temps après l'activation, en fonction de l'heure actuelle, de la configuration du système, des compteurs de virus internes ou d'autres conditions, dans ce cas, lorsqu'il est activé, le virus traite l'état de l'horloge système, définit ses compteurs, etc.);
Il convient de noter que plus le virus se propage rapidement, plus une épidémie de ce virus est susceptible de se produire, plus le virus se propage lentement, plus il est difficile de le détecter (si, bien sûr, ce virus est inconnu). Les virus non résidents en mémoire sont souvent «lents» - la plupart d'entre eux, lorsqu'ils sont lancés, infectent un ou deux ou trois fichiers et n'ont pas le temps d'inonder l'ordinateur tant que le programme antivirus n'est pas lancé (ou qu'une nouvelle version de l'antivirus est disponible, adaptée à un virus donné). Il existe, bien sûr, des virus «rapides» non résidents en mémoire qui recherchent et infectent tous les fichiers exécutables lorsqu'ils sont lancés, mais ces virus sont très visibles: lorsque chaque fichier infecté est lancé, l'ordinateur travaille activement avec le disque dur pendant un certain temps (parfois assez long), ce qui démasque le virus. La vitesse de propagation (infection) des virus résidents est généralement plus élevée que celle des virus non résidents - ils infectent les fichiers à chaque fois qu’ils sont consultés. En conséquence, tous ou presque tous les fichiers qui sont constamment utilisés au travail sont infectés sur le disque. Le taux de propagation (infection) des virus de fichiers résidents qui infectent les fichiers uniquement lorsqu'ils sont lancés pour exécution sera inférieur à celui des virus qui infectent les fichiers lorsqu'ils sont ouverts, renommés, modifiés les attributs de fichier, etc.
Ainsi, les principales actions destructrices effectuées par les virus de fichiers sont associées à la défaite de fichiers (généralement exécutables ou fichiers de données), au lancement non autorisé de diverses commandes (notamment le formatage, la suppression, la copie, etc.), à la modification de la table des vecteurs d'interruption Cependant, de nombreuses actions destructrices similaires à celles indiquées pour les virus de démarrage peuvent être effectuées.
Les virus macro sont des programmes en langages (macro langages) embarqués dans certains systèmes de traitement de données (systèmes de traitement de texte, tableurs, etc.). Pour leur reproduction, ces virus utilisent les capacités des macro-langages et, avec leur aide, se transfèrent d'un fichier infecté (document ou tableau) à d'autres. Les plus répandus sont les virus de macro pour le package d'application Microsoft Office.
Pour que les virus existent dans un système spécifique (éditeur), il est nécessaire de disposer d'un langage macro intégré avec les capacités suivantes:
1) lier un programme dans un langage macro à un fichier spécifique;
2) copier des programmes macro d'un fichier à un autre;
3) obtenir le contrôle du programme macro sans intervention de l'utilisateur (macros automatiques ou standard).
Ces conditions sont remplies par les applications Microsoft Word, Excel et Microsoft Access. Ils contiennent des langages de macro: Word Basic, Visual Basic pour Applications. Où:
1) Les programmes de macros sont liés à un fichier spécifique ou situés dans un fichier;
2) le langage macro vous permet de copier des fichiers ou de déplacer des programmes macro vers des fichiers de service système et des fichiers modifiables;
3) lorsque vous travaillez avec un fichier, sous certaines conditions (ouverture, fermeture, etc.), des programmes de macro (le cas échéant) sont appelés qui sont définis de manière spéciale ou ont des noms standard.
Cette fonctionnalité des macro langages est destinée au traitement automatique des données dans les grandes organisations ou dans les réseaux mondiaux et permet d'organiser ce que l'on appelle le «flux automatisé de documents». D'autre part, les capacités des macro langages de tels systèmes permettent au virus de transférer son code vers d'autres fichiers et ainsi de les infecter.
La plupart des virus de macro sont actifs non seulement au moment de l'ouverture (de la fermeture) d'un fichier, mais aussi longtemps que l'éditeur lui-même est actif. Ils contiennent toutes leurs fonctions sous forme de macros Word / Excel / Office standard. Il existe cependant des virus qui utilisent des techniques pour masquer leur code et stocker leur code sous forme de non-macros. Trois de ces techniques sont connues, toutes utilisent la capacité des macros pour créer, éditer et exécuter d'autres macros. En règle générale, ces virus ont un petit chargeur de macros de virus (parfois polymorphes) qui appelle l'éditeur de macros intégré, crée une nouvelle macro, la remplit avec le code principal du virus, l'exécute, puis, en règle générale, le détruit (pour masquer les traces de la présence du virus). Le code principal de ces virus est présent soit dans la macro de virus elle-même sous la forme de chaînes de texte (parfois cryptées), soit stocké dans la zone variable du document.
Les virus de réseau incluent les virus qui utilisent activement les protocoles et les capacités des réseaux locaux et mondiaux pour leur distribution. Le principe de base d'un virus de réseau est la capacité de transférer indépendamment son code vers un serveur ou un poste de travail distant. Les virus de réseau «à part entière» ont également la capacité d'exécuter leur code sur un ordinateur distant ou, au moins, de «pousser» l'utilisateur à lancer un fichier infecté.
Les programmes malveillants qui assurent la mise en œuvre du NSD peuvent être:
programmes de devinettes et de craquage de mots de passe;
programmes qui mettent en œuvre des menaces;
Programmes qui démontrent l'utilisation de capacités non déclarées des logiciels et logiciels et matériels ISPDn;
générateurs de virus informatiques;
programmes qui démontrent les vulnérabilités des outils de sécurité de l'information, etc.
Avec la complexité et la variété croissantes des logiciels, le nombre de logiciels malveillants augmente rapidement. Plus de 120 000 signatures de virus informatiques sont aujourd'hui connues. Dans le même temps, tous ne constituent pas une menace réelle. Dans de nombreux cas, l'élimination des vulnérabilités dans les logiciels système ou d'application a conduit au fait qu'un certain nombre de programmes malveillants ne sont plus en mesure de les infiltrer. Les nouveaux logiciels malveillants constituent souvent la principale menace.
5.6. Caractéristiques générales des canaux d'information non traditionnelsUn canal d'information non conventionnel est un canal pour la transmission d'informations secrètes utilisant des canaux de communication traditionnels et des transformations spéciales des informations transmises qui ne sont pas cryptographiques.
Les méthodes suivantes peuvent être utilisées pour former des canaux non traditionnels:
stéganographie informatique;
Sur la base de la manipulation de diverses caractéristiques de l'ISPD qui peuvent être obtenues autorisées (par exemple, le temps de traitement des différentes requêtes, la quantité de mémoire disponible ou des identifiants de fichier ou de processus lisibles, etc.).
Les méthodes de stéganographie informatique sont conçues pour masquer le fait de la transmission de messages en incorporant des informations cachées dans des données apparemment inoffensives (fichiers texte, graphiques, audio ou vidéo) et comprennent deux groupes de méthodes basées sur:
Sur l'utilisation des propriétés spéciales des formats informatiques pour le stockage et la transmission de données;
Sur la redondance des informations audio, visuelles ou textuelles du point de vue des caractéristiques psychophysiologiques de la perception humaine.
La classification des méthodes de stéganographie par ordinateur est présentée dans la figure 15. Leurs caractéristiques comparatives sont présentées dans le tableau 4.
Les méthodes de masquage d'informations dans les stegocontainers graphiques sont actuellement les plus développées et appliquées. Cela est dû à la quantité relativement importante d'informations qui peuvent être placées dans de tels conteneurs sans distorsion notable de l'image, à la présence d'informations a priori sur la taille du conteneur, à l'existence dans la plupart des images réelles de régions de texture avec une structure de bruit et bien adaptées à l'incorporation d'informations, aux méthodes sophistiquées de traitement d'image numérique et numérique formats de présentation d'image. Actuellement, il existe un certain nombre de produits logiciels à la fois commerciaux et libres disponibles pour l'utilisateur général, mettant en œuvre des méthodes bien connues de masquage d'informations stéganographiques. Dans ce cas, les conteneurs graphiques et audio sont principalement utilisés.
Figure 15. Classification des méthodes de transformation de l'information stéganographique (STI)
Tableau 4
Caractéristiques comparatives des méthodes de transformation de l'information stéganographique
| Méthode stéganographique | Brève description de la méthode | désavantages | Avantages |
| Méthodes pour cacher des informations dans des conteneurs audio | |||
| Basé sur l'enregistrement d'un message dans les bits les moins significatifs du signal d'origine. En règle générale, un signal audio non compressé est utilisé comme conteneur. | Faible secret de la transmission des messages. Faible résistance à la distorsion. Utilisé uniquement pour certains formats de fichiers audio | ||
| Méthode de masquage basée sur la distribution du spectre | Il est basé sur la génération de bruit pseudo-aléatoire, qui est une fonction du message intégré, et sur le mélange du bruit reçu dans le conteneur de signal principal en tant que composant additif. Codage de flux d'informations en diffusant des données codées sur un spectre de fréquences | ||
| Méthode de dissimulation basée sur l'écho | Basé sur l'utilisation du signal audio lui-même comme signal de type bruit, retardé pendant diverses périodes en fonction du message intégré ("écho d'appel") | Faible taux d'utilisation des conteneurs. Coûts de calcul importants | Secret relativement élevé du message |
| Se cacher dans la phase du signal | Basé sur le fait que l'oreille humaine est insensible à la valeur absolue de la phase harmonique. Le signal audio est divisé en une séquence de segments, le message est intégré en modifiant la phase du premier segment | Faible taux d'utilisation des conteneurs | Beaucoup plus furtif que les méthodes de dissimulation NZB |
| Méthodes de masquage des informations dans des conteneurs de texte | |||
| Méthode de masquage basée sur les espaces | Basé sur l'insertion d'espaces à la fin des lignes, après les signes de ponctuation, entre les mots lors de l'alignement de la longueur des lignes | Les méthodes sont sensibles à l'habillage de texte d'un format à un autre. Le message peut être perdu. Faible furtivité | Assez gros débit |
| Méthode de masquage basée sur les caractéristiques syntaxiques du texte | Sur la base du fait que les règles de ponctuation permettent une ambiguïté dans le placement des signes de ponctuation | Bande passante très faible. Complexité de la détection des messages | Il est potentiellement possible de trouver une méthode qui exigerait des procédures très complexes pour développer le message. |
| Méthode de masquage basée sur des synonymes | Basé sur l'insertion d'informations dans le texte en utilisant des mots alternés de n'importe quel groupe de synonymes | Difficile par rapport à la langue russe en raison de la grande variété de nuances dans différents synonymes | Une des méthodes les plus prometteuses. A un secret de message relativement élevé |
| Méthode de masquage basée sur l'utilisation d'erreurs | Il est basé sur le déguisement de bits d'information pour les erreurs naturelles, les fautes de frappe, les violations des règles d'écriture des combinaisons de voyelles et de consonnes, le remplacement de l'alphabet cyrillique par des lettres latines d'apparence similaire, etc. | Bas débit. Révélé rapidement dans l'analyse statistique | Utilisation très simple. Secret élevé lorsqu'il est analysé par des humains |
| Méthode de masquage basée sur la génération de quasi-texte | Basé sur la génération d'un conteneur de texte à l'aide d'un ensemble de règles de construction de phrases. La cryptographie symétrique est utilisée | Bas débit. L'absence de sens du texte créé | La furtivité est déterminée par des méthodes de cryptage et est généralement assez élevée |
| Méthode de masquage basée sur l'utilisation des fonctionnalités de police | Basé sur l'insertion d'informations en modifiant le type de police et la taille des lettres, ainsi que la possibilité d'incorporer des informations dans des blocs avec des identifiants inconnus du navigateur | Facilement détecté lors de la transformation de l'échelle du document, lors de l'analyse statistique stego | Taux d'utilisation élevé des conteneurs |
| Méthode de masquage basée sur l'utilisation du document et du code de fichier | Basé sur le placement d'informations dans des champs de longueur variable réservés et inutilisés | Faible furtivité avec un format de fichier connu | Facile à utiliser |
| Méthode de dissimulation basée sur le jargon | Basé sur le changement de la signification des mots | Bas débit. Très spécialisé. Faible furtivité | Facile à utiliser |
| Méthode de masquage basée sur l'utilisation de longueurs de mot alternées | Basé sur la génération d'un texte - un conteneur avec la formation de mots d'une certaine longueur selon la règle de codage bien connue | Complexité de la formation des conteneurs et des messages | Un secret suffisamment élevé lorsqu'il est analysé par des humains |
| Méthode de masquage basée sur l'utilisation des premières lettres | Basé sur l'intégration d'un message dans les premières lettres des mots d'un texte avec sélection de mots | La complexité de la rédaction du message. Faible confidentialité des messages | Donne plus de liberté de choix à l'opérateur qui crée le message |
| Méthodes pour cacher des informations dans des conteneurs graphiques | |||
| Méthode de masquage des bits les moins significatifs | Basé sur l'écriture du message sur les bits les moins significatifs de l'image d'origine | Faible secret de la transmission des messages. Faible résistance à la distorsion | Capacité de conteneur suffisamment élevée (jusqu'à 25%) |
| Méthode de masquage basée sur la modification du format d'index | Basé sur la réduction (remplacement) de la palette de couleurs et l'ordre des couleurs en pixels avec des nombres adjacents | S'applique principalement aux images compressées. Faible secret de la transmission des messages | Capacité de conteneur relativement élevée |
| Méthode de masquage basée sur l'utilisation de la fonction d'autocorrélation | Basé sur une recherche utilisant une fonction d'autocorrélation pour les zones contenant des données similaires | Complexité des calculs | Résistant à la plupart des transformations de conteneurs non linéaires |
| Méthode de dissimulation basée sur l'utilisation de la modulation non linéaire du message embarqué | Basé sur la modulation d'un signal pseudo-aléatoire avec un signal contenant des informations cachées | ||
| Méthode de masquage basée sur l'utilisation de la modulation de caractères du message intégré | Basé sur la modulation d'un signal pseudo-aléatoire avec un signal bipolaire contenant des informations cachées | Faible précision de détection. Distorsion | Secret assez élevé du message |
| Méthode de masquage basée sur la transformation en ondelettes | Basé sur les caractéristiques des transformées en ondelettes | Complexité des calculs | Haute furtivité |
| Méthode de dissimulation de transformation en cosinus discret | Basé sur les caractéristiques de la transformée en cosinus discrète | Calcul de complexité | Haute furtivité |
Dans les canaux d'information non traditionnels basés sur la manipulation de diverses caractéristiques des ressources ISPD, certaines ressources partagées sont utilisées pour la transmission de données. Dans ce cas, dans les canaux utilisant des caractéristiques temporelles, la modulation est effectuée en fonction du temps d'occupation de la ressource partagée (par exemple, en modulant le temps d'occupation du processeur, les applications peuvent échanger des données).
Dans les canaux mémoire, la ressource est utilisée comme tampon intermédiaire (par exemple, les applications peuvent échanger des données en les plaçant dans les noms des fichiers et répertoires créés). La base de données et les canaux de connaissances utilisent des dépendances entre les données issues des bases de données relationnelles et les connaissances.
Des canaux d'information non traditionnels peuvent être formés à différents niveaux de fonctionnement de l'ISPD:
au niveau matériel;
au niveau du microcode et du pilote de périphérique;
au niveau du système d'exploitation;
au niveau des logiciels d'application;
au niveau du fonctionnement des canaux de transmission de données et des lignes de communication.
Ces canaux peuvent être utilisés à la fois pour la transmission secrète d'informations copiées et pour la transmission secrète de commandes pour effectuer des actions destructrices, lancer des applications, etc.
Pour la mise en œuvre des canaux, en règle générale, il est nécessaire d'introduire un onglet logiciel ou logiciel et matériel dans un système automatisé, ce qui garantit la formation d'un canal non conventionnel.
Un canal d'information non conventionnel peut exister dans le système en continu ou être activé une fois ou selon des conditions spécifiées. Dans ce cas, l'existence d'un retour d'expérience avec le sujet du NSD est possible.
5.7. Caractéristiques générales des résultats d'un accès non autorisé ou accidentelLa réalisation de menaces par accès non autorisé aux informations peut conduire aux types suivants de violation de sa sécurité:
violation de la confidentialité (copie, distribution illégale);
Violation d'intégrité (destruction, changement);
violation d'accessibilité (blocage).
La violation de la confidentialité peut être effectuée en cas de fuite d'informations:
le copier sur des médias aliénés;
la transmettre via des canaux de transmission de données;
lors de la visualisation ou de la copie dans le cadre de la réparation, de la modification et de l'élimination des logiciels et du matériel;
en cas de "garbage collection" par un intrus pendant le fonctionnement de l'ISPD.
La violation de l'intégrité des informations est effectuée en raison de l'impact (modification) sur les programmes et les données des utilisateurs, ainsi que sur les informations technologiques (système), notamment:
microprogrammes, données et pilotes de périphériques du système informatique;
programmes, données et pilotes de périphériques qui chargent le système d'exploitation;
programmes et données (descripteurs, descripteurs, structures, tableaux, etc.) du système d'exploitation;
programmes et données de logiciels d'application;
Programmes logiciels et données spéciaux;
Valeurs intermédiaires (opérationnelles) des programmes et des données pendant leur traitement (lecture / écriture, réception / transmission) au moyen et dispositifs de la technologie informatique.
La violation de l'intégrité des informations dans le RNIS peut également être causée par l'introduction d'un programme malveillant d'un signet matériel et logiciel dans celui-ci ou par un impact sur le système de protection de l'information ou ses éléments.
De plus, dans l'ISPD, il est possible d'influencer les informations technologiques du réseau, qui peuvent assurer le fonctionnement de divers moyens de gestion d'un réseau informatique:
configuration du réseau;
adresses et routage de transmission de données dans le réseau;
contrôle fonctionnel du réseau;
la sécurité des informations sur le réseau.
La violation de la disponibilité des informations est assurée par la formation (modification) des données initiales, qui, lors du traitement, provoquent des dysfonctionnements, des pannes matérielles ou la saisie (chargement) des ressources informatiques du système, nécessaires à l'exécution des programmes et au fonctionnement de l'équipement.
Ces actions peuvent entraîner la perturbation ou l'échec du fonctionnement de presque tous les moyens techniques d'ISPD:
installations de traitement de l'information;
des moyens d'entrée / sortie d'informations;
installations de stockage d'informations;
Équipement et canaux de transmission;
moyens de protection de l’information.
