La menace consiste à désirer de lancer divers logiciels malveillants pré-mis en œuvre sur l'hôte: programmes de faveur des bookmarking, virus, "espions de réseau", dont l'objectif principal est une violation de la confidentialité, de l'intégrité, de la disponibilité de l'information et du contrôle total sur les travaux de l'hôte. . En outre, il est possible de lancer non autorisé les programmes d'application des utilisateurs pour obtenir non autorisé l'obtention des données nécessaires auprès du violateur, afin de démarrer les processus gérés par le programme de candidature, etc.
Trois sous-classes de données de la menace sont distinguées:
Distribution de fichiers contenant du code exécutable non autorisé;
Lancement de l'application distante par des tampons d'application débordants;
Lancement de l'application distante à l'aide de fonctionnalités télécommande Le système fourni par des signets de logiciel et de matériel caché ou utilisé par des moyens standard.
Les menaces typiques de la première des sous-classes spécifiées sont basées sur l'activation des fichiers distribués en cas d'accès accidentel. Des exemples de tels fichiers peuvent être les fichiers contenant du code exécutable dans la vue Documents contenant du code exécutable sous la forme d'éléments ActiveX, des applets Java, des scripts interprétés (par exemple, des textes sur JavaScript); Fichiers contenant des codes de programme exécutable. Services de messagerie, transfert de fichiers, système de fichiers réseau peut être utilisé pour distribuer des fichiers.
Dans les menaces de la deuxième sous-classe, les lacunes de programmes mettant en œuvre services de réseau (En particulier, aucun contrôle sur le débordement tampon). Réglage des registres système est parfois possible de changer le processeur après interruption causée par le débordement de la mémoire tampon, à l'exécution de code contenue à l'étranger du tampon. Un exemple de mise en œuvre d'une telle menace peut être l'introduction d'un "virus morris" largement connu.
Dans les menaces de la troisième sous-classe, le violateur utilise la possibilité de gérer à distance le système fourni par les composants cachés (par exemple, le type de programmes de Troie de Troie. Orifice, bus net) ou contrôles réguliers et administration de réseaux informatiques (Landesk Management Suite, Basewise , Dos orifice, etc. P.). À la suite de leur utilisation, il est possible d'obtenir une télécommande sur la station sur le réseau.
est peu probable.
La liste généralisée des probabilités de la mise en œuvre de menaces pour différents types de conduits est présentée dans le tableau 12.
Tableau 12.
Menaces de mise en œuvre du réseau programmes malveillants
Les programmes malveillants mis en œuvre sur le réseau incluent des virus qui utilisent activement des protocoles et des possibilités de réseaux locaux et mondiaux pour leur distribution. Le principe principal du virus du réseau est la possibilité de transférer de manière indépendante votre code sur un serveur ou un poste de travail distant. "Plein" virus de réseau Dans le même temps, ils ont également la capacité de lancer leur code sur ordinateur distant Ou au moins "appuyez sur l'utilisateur pour lancer un fichier infecté.
Les programmes malveillants assurant la mise en œuvre de la NSD peuvent être:
Programmes de sélection et d'ouverture;
Menaces mettant en œuvre des programmes;
Programmes démontrant l'utilisation de fonctionnalités logicielles et matérielles non déclarées et matérielles
Programmes de générateur virus informatiques;
Programmes démontrant des vulnérabilités d'outils de sécurité de l'information et d'autres.
Si l'institution traitée des PDN ne sont pas envoyées sur des réseaux usage commun et échange international, la protection antivirus installée, puis la probabilité de la mise en œuvre de la menace - est peu probable.
Dans tous les autres cas, la probabilité d'une menace devrait être estimée.
La liste généralisée des probabilités de la mise en œuvre de menaces pour différents types de pont est présentée dans le tableau 13.
Tableau 13.
Réalisation des menaces
Selon l'estimation du niveau de sécurité (Y 1) (section 7) et des probabilités de la menace (Y 2) (section 9), le coefficient de la menace (Y) est calculé et la possibilité d'une menace est déterminée (Tableau 4). Le coefficient de réalisation de la menace Y sera déterminé par le ratio Y \u003d (Y 1 + Y 2) / 20
La définition des menaces est déterminée sur la base du rapport sur les résultats de l'audit interne.
La liste généralisée des estimations de la réalisation des UBRDNS pour différents types de densité est présentée dans les tableaux 14-23.
Tableau 14 - Ic autonome I Type
| Type de menace de sécurité PDN | La possibilité de mise en œuvre | |
| 0,25 | Faible | |
| 0,25 | Faible | |
| 0,25 | Faible | |
| 2.1.1. Vol de PEVM. | 0,25 | Faible |
| 0,25 | Faible | |
| 0,25 | Faible | |
| 0,25 | Faible | |
| 0,25 | Faible | |
| 0,25 | Faible | |
| 0,25 | Faible | |
| 0,35 | moyenne | |
| 0,25 | Faible | |
| 0,25 | Faible | |
| 0,35 | moyenne | |
| 0,25 | Faible | |
| 0,25 | Faible | |
| 0,25 | Faible | |
| 0,25 | Faible | |
| 2.3.6. Catastrophe | 0,25 | Faible |
| 0,25 | Faible | |
| 0,35 | moyenne | |
| 0,25 | Faible | |
| 0,25 | Faible | |
| 0,25 | Faible | |
| 0,25 | Faible | |
| 0,25 | Faible | |
| 0,25 | Faible | |
| 0,25 | Faible | |
| 0,25 | Faible | |
| 0,25 | Faible | |
| 0,25 | Faible | |
| 0,25 | Faible |
Tableau 15 - Type de type II autonome II
| Type de menace de sécurité PDN | Coefficient de taux de visage (Y) | La possibilité de mise en œuvre |
| 1. Menaces des fuites sur les canaux techniques. | ||
| 1.1. Menaces de fuites d'informations acoustiques | 0,25 | Faible |
| 1.2. Fuite de la menace des informations de code | 0,25 | Faible |
| 1.3. Menaces de fuites d'informations via des canaux Pemin | 0,25 | Faible |
| 2. Menaces d'accès non autorisé à l'information. | ||
| 2.1. Menaces de détruire, vol de matériel Delica d'informations de média par accès physique aux éléments | ||
| 2.1.1. Vol de PEVM. | 0,25 | Faible |
| 2.1.2. Vol d'informations sur les médias | 0,25 | Faible |
| 2.1.3. Vols clés et attributs d'accès | 0,25 | Faible |
| 2.1.4. Vol, modifications, destruction d'informations | 0,25 | Faible |
| 2.1.5. Conclusion des nœuds PC, canaux de communication | 0,25 | Faible |
| 2.1.6. L'accès non autorisé À l'information sur la maintenance (réparation, détruire) des nœuds de PEVM | 0,25 | Faible |
| 2.1.7. Remèdes invalidants non autorisés | 0,25 | Faible |
| 2.2. Menaces de détournement de fonds, de modification non autorisée ou d'informations de blocage dues à un accès non autorisé (NSD) à l'aide de logiciels et de matériel et logiciel (y compris les logiciels et les influences mathématiques). | ||
| 2.2.1. Malware (virus) | 0,35 | moyenne |
| 2.2.2. Logiciels et logiciels systématiques NEDEventEd pour le traitement des données personnelles | 0,25 | Faible |
| 2.2.3. Installation pour non liée à la performance des tâches officielles | 0,25 | Faible |
| 2.3. Les menaces ne sont pas des actions délibérées des utilisateurs et des troubles de la sécurité du fonctionnement de la CETA et de SPSPDN dans sa composition en raison des défaillances du logiciel, ainsi que des menaces de non-intruddic (échecs d'équipement en raison de la non-fiabilité des éléments, des défaillances de puissance) et Spontané (chocs de foudre, incendies, inondations et etc.). | ||
| 2.3.1. Perte de clés et d'attributs d'accès | 0,35 | moyenne |
| 2.3.2. Modification involontaire (destruction) d'informations par les employés | 0,25 | Faible |
| 2.3.3. Moyens de protection involontaire involontaire | 0,25 | Faible |
| 2.3.4. Ajustement de matériel-logiciel | 0,25 | Faible |
| 2.3.5. Échec du système d'alimentation | 0,25 | Faible |
| 2.3.6. Catastrophe | 0,25 | Faible |
| 2.4. Menaces d'actions intentionnelles des violateurs internes | ||
| 2.4.1. Accès à l'information, modification, destruction de personnes non admises à son traitement | 0,25 | Faible |
| 2.4.2. Divulgation d'informations, modification, destruction des employés admis à son traitement | 0,35 | moyenne |
| 2.5. Des monstres d'accès non autorisé à travers des canaux de communication. | ||
| 2.5.1. La vanité "Analyse du trafic réseau" avec l'interception des informations transmises du code et reçue des réseaux externes d'information: | ||
| 2.5.1.1. Interception des secteurs des secteurs de la zone contrôlée | 0,35 | moyenne |
| 2.5.1.2. Interception dans la zone contrôlée par des violateurs externes | 0,25 | Faible |
| 2.5.1.3. Perechat dans les violateurs internes de la zone contrôlée. | 0,25 | Faible |
| 2.5.2. La vanité de la numérisation visant à identifier le type ou les types de systèmes d'exploitation utilisés, les adresses réseau des postes de travail du CD, la topologie de réseau, les ports ouverts et les services, les connexions ouvertes, etc. | 0,25 | Faible |
| 2.5.3. Trop de détection de mot de passe sur le réseau | 0,35 | moyenne |
| 2.5.4. Harmonies imposant une fausse route réseau | 0,25 | Faible |
| 2.5.5. Trop de la substitution d'un objet de confiance dans le réseau | 0,25 | Faible |
| 2.5.6. Le millésime de la mise en œuvre du faux objet est à la fois dans les réseaux résidents et externes | 0,25 | Faible |
| 2.5.7. Type de gorge "Défaut de maintenir" | 0,25 | Faible |
| 2.5.8. Dommages du lancement de l'application à distance | 0,35 | moyenne |
| 2.5.9. Freaks of Mise en œuvre sur le réseau de programmes malveillants | 0,35 | moyenne |
Tableau 16 - Type autonome III III
| Type de menace de sécurité PDN | Coefficient de taux de visage (Y) | La possibilité de mise en œuvre |
| 1. Menaces des fuites sur les canaux techniques. | ||
| 1.1. Menaces de fuites d'informations acoustiques | 0,25 | Faible |
| 1.2. Fuite de la menace des informations de code | 0,25 | Faible |
| 1.3. Menaces de fuites d'informations via des canaux Pemin | 0,25 | Faible |
| 2. Menaces d'accès non autorisé à l'information. | ||
| 2.1. Menaces de détruire, vol de matériel Delica d'informations de média par accès physique aux éléments | ||
| 2.1.1. Vol de PEVM. | 0,25 | Faible |
| 2.1.2. Vol d'informations sur les médias | 0,25 | Faible |
| 2.1.3. Vols clés et attributs d'accès | 0,25 | Faible |
| 2.1.4. Vol, modifications, destruction d'informations | 0,25 | Faible |
| 2.1.5. Conclusion des nœuds PC, canaux de communication | 0,25 | Faible |
| 2.1.6. Accès non autorisé à l'information pour la maintenance (réparation, détruire) des nœuds de PEVM | 0,25 | Faible |
| 2.1.7. Remèdes invalidants non autorisés | 0,25 | Faible |
| 2.2. Menaces de détournement de fonds, de modification non autorisée ou d'informations de blocage dues à un accès non autorisé (NSD) à l'aide de logiciels et de matériel et de logiciels (y compris des logiciels et des influences mathématiques). | ||
| 2.2.1. Malware (virus) | 0,35 | moyenne |
| 2.2.2. Logiciels et logiciels systématiques NEDEventEd pour le traitement des données personnelles | 0,25 | Faible |
| 2.2.3. Installation pour non liée à la performance des tâches officielles | 0,25 | Faible |
| 2.3. Les menaces ne sont pas des actions délibérées des utilisateurs et des troubles de la sécurité du fonctionnement de la CETA et de SPSPDN dans sa composition en raison des défaillances du logiciel, ainsi que des menaces de non-intruddic (échecs d'équipement en raison de la non-fiabilité des éléments, des défaillances de puissance) et Spontané (chocs de foudre, incendies, inondations et etc.). | ||
| 2.3.1. Perte de clés et d'attributs d'accès | 0,35 | moyenne |
| 2.3.2. Modification involontaire (destruction) d'informations par les employés | 0,25 | Faible |
| 2.3.3. Moyens de protection involontaire involontaire | 0,25 | Faible |
| 2.3.4. Ajustement de matériel-logiciel | 0,25 | Faible |
| 2.3.5. Échec du système d'alimentation | 0,25 | Faible |
| 2.3.6. Catastrophe | 0,25 | Faible |
| 2.4. Menaces d'actions intentionnelles des violateurs internes | ||
| 2.4.1. Accès à l'information, modification, destruction de personnes non admises à son traitement | 0,25 | Faible |
| 2.4.2. Divulgation d'informations, modification, destruction des employés admis à son traitement | 0,35 | moyenne |
| 2.5. Des monstres d'accès non autorisé à travers des canaux de communication. | ||
| 2.5.1. La vanité "Analyse du trafic réseau" avec l'interception des informations transmises du code et reçue des réseaux externes d'information: | ||
| 2.5.1.1. Interception des secteurs des secteurs de la zone contrôlée | 0,25 | Faible |
| 2.5.1.2. Interception dans la zone contrôlée par des violateurs externes | 0,25 | Faible |
| 2.5.1.3. Perechat dans les violateurs internes de la zone contrôlée. | 0,25 | Faible |
| 2.5.2. La vanité de la numérisation visant à identifier le type ou les types de systèmes d'exploitation utilisés, les adresses réseau des postes de travail du CD, la topologie de réseau, les ports ouverts et les services, les connexions ouvertes, etc. | 0,25 | Faible |
| 2.5.3. Trop de détection de mot de passe sur le réseau | 0,25 | Faible |
| 2.5.4. Harmonies imposant une fausse route réseau | 0,25 | Faible |
| 2.5.5. Trop de la substitution d'un objet de confiance dans le réseau | 0,25 | Faible |
| 2.5.6. Le millésime de la mise en œuvre du faux objet est à la fois dans les réseaux résidents et externes | 0,25 | Faible |
| 2.5.7. Type de gorge "Défaut de maintenir" | 0,25 | Faible |
| 2.5.8. Dommages du lancement de l'application à distance | 0,25 | Faible |
| 2.5.9. Freaks of Mise en œuvre sur le réseau de programmes malveillants | 0,25 | Faible |
Tableau 17 - Type IP IV autonome
| Type de menace de sécurité PDN | Coefficient de taux de visage (Y) | La possibilité de mise en œuvre |
| 1. Menaces des fuites sur les canaux techniques. | ||
| 1.1. Menaces de fuites d'informations acoustiques | 0,25 | Faible |
| 1.2. Fuite de la menace des informations de code | 0,25 | Faible |
| 1.3. Menaces de fuites d'informations via des canaux Pemin | 0,25 | Faible |
| 2. Menaces d'accès non autorisé à l'information. | ||
| 2.1. Menaces de détruire, vol de matériel Delica d'informations de média par accès physique aux éléments | ||
| 2.1.1. Vol de PEVM. | 0,25 | Faible |
| 2.1.2. Vol d'informations sur les médias | 0,25 | Faible |
| 2.1.3. Vols clés et attributs d'accès | 0,25 | Faible |
| 2.1.4. Vol, modifications, destruction d'informations | 0,25 | Faible |
| 2.1.5. Conclusion des nœuds PC, canaux de communication | 0,25 | Faible |
| 2.1.6. Accès non autorisé à l'information pour la maintenance (réparation, détruire) des nœuds de PEVM | 0,25 | Faible |
| 2.1.7. Remèdes invalidants non autorisés | 0,25 | Faible |
| 2.2. Menaces de détournement de fonds, de modification non autorisée ou d'informations de blocage dues à un accès non autorisé (NSD) à l'aide de logiciels et de matériel et de logiciels (y compris des logiciels et des influences mathématiques). | ||
| 2.2.1. Malware (virus) | 0,35 | moyenne |
| 2.2.2. Logiciels et logiciels systématiques NEDEventEd pour le traitement des données personnelles | 0,25 | Faible |
| 2.2.3. Installation pour non liée à la performance des tâches officielles | 0,25 | Faible |
| 2.3. Les menaces ne sont pas des actions délibérées des utilisateurs et des troubles de la sécurité du fonctionnement de la CETA et de SPSPDN dans sa composition en raison des défaillances du logiciel, ainsi que des menaces de non-intruddic (échecs d'équipement en raison de la non-fiabilité des éléments, des défaillances de puissance) et Spontané (chocs de foudre, incendies, inondations et etc.). | ||
| 2.3.1. Perte de clés et d'attributs d'accès | 0,35 | moyenne |
| 2.3.2. Modification involontaire (destruction) d'informations par les employés | 0,25 | Faible |
| 2.3.3. Moyens de protection involontaire involontaire | 0,25 | Faible |
| 2.3.4. Ajustement de matériel-logiciel | 0,25 | Faible |
| 2.3.5. Échec du système d'alimentation | 0,25 | Faible |
| 2.3.6. Catastrophe | 0,25 | Faible |
| 2.4. Menaces d'actions intentionnelles des violateurs internes | ||
| 2.4.1. Accès à l'information, modification, destruction de personnes non admises à son traitement | 0,25 | Faible |
| 2.4.2. Divulgation d'informations, modification, destruction des employés admis à son traitement | 0,35 | moyenne |
| 2.5. Des monstres d'accès non autorisé à travers des canaux de communication. | ||
| 2.5.1. La vanité "Analyse du trafic réseau" avec l'interception des informations transmises du code et reçue des réseaux externes d'information: | ||
| 2.5.1.1. Interception des secteurs des secteurs de la zone contrôlée | 0,35 | moyenne |
| 2.5.1.2. Interception dans la zone contrôlée par des violateurs externes | 0,25 | Faible |
| 2.5.1.3. Perechat dans les violateurs internes de la zone contrôlée. | 0,25 | Faible |
| 2.5.2. La vanité de la numérisation visant à identifier le type ou les types de systèmes d'exploitation utilisés, les adresses réseau des postes de travail du CD, la topologie de réseau, les ports ouverts et les services, les connexions ouvertes, etc. | 0,25 | Faible |
| 2.5.3. Trop de détection de mot de passe sur le réseau | 0,35 | moyenne |
| 2.5.4. Harmonies imposant une fausse route réseau | 0,25 | Faible |
| 2.5.5. Trop de la substitution d'un objet de confiance dans le réseau | 0,25 | Faible |
| 2.5.6. Le millésime de la mise en œuvre du faux objet est à la fois dans les réseaux résidents et externes | 0,25 | Faible |
| 2.5.7. Type de gorge "Défaut de maintenir" | 0,25 | Faible |
| 2.5.8. Dommages du lancement de l'application à distance | 0,35 | moyenne |
| 2.5.9. Freaks of Mise en œuvre sur le réseau de programmes malveillants | 0,35 | moyenne |
Tableau 18 - Type de VI autonome V
| Type de menace de sécurité PDN | Coefficient de taux de visage (Y) | La possibilité de mise en œuvre |
| 1. Menaces des fuites sur les canaux techniques. | ||
| 1.1. Menaces de fuites d'informations acoustiques | 0,25 | Faible |
| 1.2. Fuite de la menace des informations de code | 0,25 | Faible |
| 1.3. Menaces de fuites d'informations via des canaux Pemin | 0,25 | Faible |
| 2. Menaces d'accès non autorisé à l'information. | ||
| 2.1. Menaces de détruire, vol de matériel Delica d'informations de média par accès physique aux éléments | ||
| 2.1.1. Vol de PEVM. | 0,25 | Faible |
| 2.1.2. Vol d'informations sur les médias | 0,25 | Faible |
| 2.1.3. Vols clés et attributs d'accès | 0,25 | Faible |
| 2.1.4. Vol, modifications, destruction d'informations | 0,25 | Faible |
| 2.1.5. Conclusion des nœuds PC, canaux de communication | 0,25 | Faible |
| 2.1.6. Accès non autorisé à l'information pour la maintenance (réparation, détruire) des nœuds de PEVM | 0,25 | Faible |
| 2.1.7. Remèdes invalidants non autorisés | 0,25 | Faible |
| 2.2. Menaces de détournement de fonds, de modification non autorisée ou d'informations de blocage dues à un accès non autorisé (NSD) à l'aide de logiciels et de matériel et de logiciels (y compris des logiciels et des influences mathématiques). | ||
| 2.2.1. Malware (virus) | 0,35 | moyenne |
| 2.2.2. Logiciels et logiciels systématiques NEDEventEd pour le traitement des données personnelles | 0,25 | Faible |
| 2.2.3. Installation pour non liée à la performance des tâches officielles | 0,25 | Faible |
| 2.3. Les menaces ne sont pas des actions délibérées des utilisateurs et des troubles de la sécurité du fonctionnement de la CETA et de SPSPDN dans sa composition en raison des défaillances du logiciel, ainsi que des menaces de non-intruddic (échecs d'équipement en raison de la non-fiabilité des éléments, des défaillances de puissance) et Spontané (chocs de foudre, incendies, inondations et etc.). | ||
| 2.3.1. Perte de clés et d'attributs d'accès | 0,35 | moyenne |
| 2.3.2. Modification involontaire (destruction) d'informations par les employés | 0,25 | Faible |
| 2.3.3. Moyens de protection involontaire involontaire | 0,25 | Faible |
| 2.3.4. Ajustement de matériel-logiciel | 0,25 | Faible |
| 2.3.5. Échec du système d'alimentation | 0,25 | Faible |
| 2.3.6. Catastrophe | 0,25 | Faible |
| 2.4. Menaces d'actions intentionnelles des violateurs internes | ||
| 2.4.1. Accès à l'information, modification, destruction de personnes non admises à son traitement | 0,25 | Faible |
| 2.4.2. Divulgation d'informations, modification, destruction des employés admis à son traitement | 0,35 | moyenne |
| 2.5. Des monstres d'accès non autorisé à travers des canaux de communication. | ||
| 2.5.1. La vanité "Analyse du trafic réseau" avec l'interception des informations transmises du code et reçue des réseaux externes d'information: | ||
| 2.5.1.1. Interception des secteurs des secteurs de la zone contrôlée | 0,25 | Faible |
| 2.5.1.2. Interception dans la zone contrôlée par des violateurs externes | 0,25 | Faible |
| 2.5.1.3. Perechat dans les violateurs internes de la zone contrôlée. | 0,25 | Faible |
| 2.5.2. La vanité de la numérisation visant à identifier le type ou les types de systèmes d'exploitation utilisés, les adresses réseau des postes de travail du CD, la topologie de réseau, les ports ouverts et les services, les connexions ouvertes, etc. | 0,25 | Faible |
| 2.5.3. Trop de détection de mot de passe sur le réseau | 0,25 | Faible |
| 2.5.4. Harmonies imposant une fausse route réseau | 0,25 | Faible |
| 2.5.5. Trop de la substitution d'un objet de confiance dans le réseau | 0,25 | Faible |
| 2.5.6. Le millésime de la mise en œuvre du faux objet est à la fois dans les réseaux résidents et externes | 0,25 | Faible |
| 2.5.7. Type de gorge "Défaut de maintenir" | 0,25 | Faible |
| 2.5.8. Dommages du lancement de l'application à distance | 0,25 | Faible |
| 2.5.9. Freaks of Mise en œuvre sur le réseau de programmes malveillants | 0,25 | Faible |
Tableau 19 - Type de VI autonome IC
| Type de menace de sécurité PDN | Coefficient de taux de visage (Y) | La possibilité de mise en œuvre |
| 1. Menaces des fuites sur les canaux techniques. | ||
| 1.1. Menaces de fuites d'informations acoustiques | 0,25 | Faible |
| 1.2. Fuite de la menace des informations de code | 0,25 | Faible |
| 1.3. Menaces de fuites d'informations via des canaux Pemin | 0,25 | Faible |
| 2. Menaces d'accès non autorisé à l'information. | ||
| 2.1. Menaces de détruire, vol de matériel Delica d'informations de média par accès physique aux éléments | ||
| 2.1.1. Vol de PEVM. | 0,25 | Faible |
| 2.1.2. Vol d'informations sur les médias | 0,25 | Faible |
| 2.1.3. Vols clés et attributs d'accès | 0,25 | Faible |
| 2.1.4. Vol, modifications, destruction d'informations | 0,25 | Faible |
| 2.1.5. Conclusion des nœuds PC, canaux de communication | 0,25 | Faible |
| 2.1.6. Accès non autorisé à l'information pour la maintenance (réparation, détruire) des nœuds de PEVM | 0,25 | Faible |
| 2.1.7. Remèdes invalidants non autorisés | 0,25 | Faible |
| 2.2. Menaces de détournement de fonds, de modification non autorisée ou d'informations de blocage dues à un accès non autorisé (NSD) à l'aide de logiciels et de matériel et de logiciels (y compris des logiciels et des influences mathématiques). | ||
| 2.2.1. Malware (virus) | 0,35 | moyenne |
| 2.2.2. Logiciels et logiciels systématiques NEDEventEd pour le traitement des données personnelles | 0,25 | Faible |
| 2.2.3. Installation pour non liée à la performance des tâches officielles | 0,25 | Faible |
| 2.3. Les menaces ne sont pas des actions délibérées des utilisateurs et des troubles de la sécurité du fonctionnement de la CETA et de SPSPDN dans sa composition en raison des défaillances du logiciel, ainsi que des menaces de non-intruddic (échecs d'équipement en raison de la non-fiabilité des éléments, des défaillances de puissance) et Spontané (chocs de foudre, incendies, inondations et etc.). | ||
| 2.3.1. Perte de clés et d'attributs d'accès | 0,35 | moyenne |
| 2.3.2. Modification involontaire (destruction) d'informations par les employés | 0,25 | Faible |
| 2.3.3. Moyens de protection involontaire involontaire | 0,25 | Faible |
| 2.3.4. Ajustement de matériel-logiciel | 0,25 | Faible |
| 2.3.5. Échec du système d'alimentation | 0,25 | Faible |
| 2.3.6. Catastrophe | 0,25 | Faible |
| 2.4. Menaces d'actions intentionnelles des violateurs internes | ||
| 2.4.1. Accès à l'information, modification, destruction de personnes non admises à son traitement | 0,25 | Faible |
| 2.4.2. Divulgation d'informations, modification, destruction des employés admis à son traitement | 0,35 | moyenne |
| 2.5. Des monstres d'accès non autorisé à travers des canaux de communication. | ||
| 2.5.1. La vanité "Analyse du trafic réseau" avec l'interception des informations transmises du code et reçue des réseaux externes d'information: | ||
| 2.5.1.1. Interception des secteurs des secteurs de la zone contrôlée | 0,35 | moyenne |
| 2.5.1.2. Interception dans la zone contrôlée par des violateurs externes | 0,25 | Faible |
| 2.5.1.3. Perechat dans les violateurs internes de la zone contrôlée. | 0,25 | Faible |
| 2.5.2. La vanité de la numérisation visant à identifier le type ou les types de systèmes d'exploitation utilisés, les adresses réseau des postes de travail du CD, la topologie de réseau, les ports ouverts et les services, les connexions ouvertes, etc. | 0,25 | Faible |
| 2.5.3. Trop de détection de mot de passe sur le réseau | 0,35 | moyenne |
| 2.5.4. Harmonies imposant une fausse route réseau | 0,25 | Faible |
| 2.5.5. Trop de la substitution d'un objet de confiance dans le réseau | 0,25 | Faible |
| 2.5.6. Le millésime de la mise en œuvre du faux objet est à la fois dans les réseaux résidents et externes | 0,25 | Faible |
| 2.5.7. Type de gorge "Défaut de maintenir" | 0,25 | Faible |
| 2.5.8. Dommages du lancement de l'application à distance | 0,35 | moyenne |
| 2.5.9. Freaks of Mise en œuvre sur le réseau de programmes malveillants | 0,35 | moyenne |
Tableau 20 - Fox I Type
La menace consiste à désirer de lancer divers logiciels malveillants pré-mis en œuvre sur l'hôte: programmes de faveur des bookmarking, virus, "espions de réseau", dont l'objectif principal est une violation de la confidentialité, de l'intégrité, de la disponibilité de l'information et du contrôle total sur les travaux de l'hôte. . En outre, il est possible de lancer non autorisé les programmes d'application des utilisateurs pour obtenir non autorisé l'obtention des données nécessaires auprès du violateur, afin de démarrer les processus gérés par le programme de candidature, etc.
Trois sous-classes de données de la menace sont distinguées:
distribution de fichiers contenant du code exécutable non autorisé;
lancement de l'application distante par des tampons d'application débordants;
lancement de l'application à distance En utilisant les options de système de contrôle à distance fournie par des signets de logiciels et matériels cachés ou utilisés par des moyens standard.
Les menaces typiques de la première des sous-classes spécifiées sont basées sur l'activation des fichiers distribués en cas d'accès accidentel. Des exemples de tels fichiers peuvent être les fichiers contenant du code exécutable dans la vue Documents contenant du code exécutable sous la forme d'éléments ActiveX, des applets Java, des scripts interprétés (par exemple, des textes sur JavaScript); Fichiers contenant des codes de programme exécutable. Services de messagerie, transfert de fichiers, système de fichiers réseau peut être utilisé pour distribuer des fichiers.
Avec les menaces de la deuxième sous-classe, des lacunes de programmes mettant en œuvre des services de réseau (en particulier, aucun contrôle tampon sur la mémoire tampon) sont utilisés. Réglage des registres système est parfois possible de changer le processeur après interruption causée par le débordement de la mémoire tampon, à l'exécution de code contenue à l'étranger du tampon. Un exemple de mise en œuvre d'une telle menace peut être l'introduction d'un "virus morris" largement connu.
Dans les menaces de la troisième sous-classe, le violateur utilise la possibilité de gérer à distance le système fourni par les composants cachés (par exemple, le type de programmes de Troie de Troie. Orifice, bus net) ou contrôles réguliers et administration de réseaux informatiques (Landesk Management Suite, Basewise , Dos orifice, etc. P.). À la suite de leur utilisation, il est possible d'obtenir une télécommande sur la station sur le réseau.
Si l'institution a traitée les PDN ne sont pas envoyées sur une utilisation générale et des réseaux d'échange internationaux, une protection anti-virus est établie, la probabilité d'une menace est établie - est peu probable.
Dans tous les autres cas, la probabilité d'une menace devrait être estimée.
La liste généralisée des probabilités de la mise en œuvre de menaces pour différents types de conduits est présentée dans le tableau 12.
Tableau 12.
|
Type de cauden |
La probabilité d'une menace |
Coeff. probabilité d'une menace d'un violateur |
|
ITIPA IC autonome |
improbable | |
|
Autonome est iIPA | ||
|
Autonome est iiitip |
improbable | |
|
Autonome est IsTIP | ||
|
IC autonome VTIPA |
improbable | |
|
IC Vitype autonome | ||
|
Renard utyype |
improbable | |
|
Fox ILTIPA | ||
|
ITIPA distribué |
improbable | |
|
Distribué est iTIPA |
Des programmes malveillants peuvent être fabriqués (mis en œuvre) à la fois délibérément et aléatoirement dans le logiciel utilisé dans la conception, dans le processus de développement, de son accompagnement, de modifications et de paramètres. De plus, les logiciels malveillants peuvent être effectués lors du fonctionnement du CDN à partir de supports externes ou par interaction réseau à la suite de NSDS et d'utilisateurs aléatoires de CAD.
Les programmes malveillants modernes sont basés sur l'utilisation de vulnérabilités de divers types de logiciels (systémiques, généraux, appliqués) et diversifiés. technologies de réseauont une large gamme de capacités destructrices (d'une étude non autorisée des paramètres du PDN sans interférence dans le fonctionnement du CD, avant la destruction de PDNS et du logiciel CDN) et peut agir dans tous les types de logiciels (système, appliqué, dans des pilotes matériels, etc.).
La présence de programmes malveillants peut contribuer à la survenue de cachés, y compris des canaux d'accès non traditionnels aux informations qui vous permettent d'ouvrir, de contourner ou de bloquer les mécanismes de protection prévus dans le système, y compris le mot de passe et la protection cryptographique.
Les principaux types de programmes malveillants sont:
· Signets logiciels;
· Virus classiques logiciels (ordinateur);
· Les programmes malveillants se propagent sur le réseau (vers de réseau);
· Autres programmes malveillants destinés à la mise en œuvre du NSD.
Les signets logiciels incluent des programmes, des fragments de code, des instructions formant des fonctionnalités logicielles non déclarées. Les programmes malveillants peuvent passer d'une espèce à une autre, par exemple, une pontage logiciel peut générer un virus de logiciel, qui, à son tour, frapper les conditions de réseau, peut former un ver de réseau ou un autre programme malveillant conçu pour mettre en œuvre une NSD.
une brève description de Les principaux programmes malveillants sont réduits à ceux-ci suivants. Les virus de démarrage se écrivent soit au secteur de la démarrage du disque (secteur de démarrage), soit dans le secteur contenant l'enregistrement de démarrage principal) ou modifiez le pointeur sur le secteur de la démarrage actif. Ils sont introduits dans la mémoire de l'ordinateur lors du chargement d'un disque infecté. Dans ce cas, le chargeur système lit le contenu du premier secteur du disque à partir duquel le téléchargement est effectué, met en lecture des informations dans la mémoire et les transferts à celui-ci (c'est-à-dire le virus). Après cela, les instructions de virus sont démarrées, qui, en règle générale, réduit la quantité de mémoire libre, copie son code à l'endroit libre et lit sa continuation du disque (s'il y a), intercepte le vecteur d'interruption nécessaire (généralement int 13h), lit le secteur de la mémoire de la mémoire d'origine et transmet le contrôle à celui-ci.
À l'avenir, le virus de démarrage se comporte de la même manière que le fichier: intercepte des appels système opérateur Pour les disques et les infecter, en fonction de certaines conditions, les actions destructives font des effets sonores ou des effets vidéo.
Les principales actions destructives effectuées par ces virus sont:
· Destruction d'informations dans des secteurs de la disquette et du disque dur;
· Exclure la possibilité de charger le système d'exploitation (l'ordinateur "gèle");
· Distorsion du code du chargeur;
· Formatage de disquettes ou de disques logiques du disque dur;
· Fermer l'accès aux ports COM et LPT;
· Remplacement des symboles lors de l'impression de textes;
· Écran tremblant;
· Modifier l'étiquette du disque ou de la disquette;
· Créer des grappes pseudo-frees;
· Créer des effets visuels et (ou) (par exemple, goutte
lettres à l'écran);
· Fichiers de données malades;
· Affiche une variété de messages;
· Déconnecter les périphériques (par exemple, clavier);
· Changer la palette d'écran;
· Remplissez l'écran avec des contrers ou des images;
· Remboursement et traduction de l'écran en mode veille du clavier;
· Secteurs de cryptage du disque dur;
· Destruction sélective des caractères affichés à l'écran lorsqu'il est réglé du clavier;
· Réduire la RAM;
· Modification de l'impression de l'écran de l'écran;
· Blocage des enregistrements sur le disque;
· En cas d'interruption d'une table de partition (table de partition de disque), après cela, l'ordinateur peut être téléchargé uniquement à partir de la disquette;
· Blocage du début des fichiers exécutables;
· Blocage d'accès au Winchester.
|
Figure 3. Classification des virus du logiciel et des vers de réseau
Les virus les plus amorçables vous écrivent sur des disques de disquettes.
La méthode d'infection écrasante est la plus simple: le virus enregistre son code au lieu du code du fichier infecté, détruisant son contenu. Naturellement, alors que le fichier cesse de fonctionner et n'est pas restauré. De tels virus se détectent très rapidement, car le système d'exploitation et les applications sont assez rapidement cessés de fonctionner.
La catégorie "compagnon" inclut des virus qui ne changent pas de fichiers contaminés. L'algorithme du travail de ces virus est qu'un fichier double est créé pour le fichier contaminé et lorsque le fichier infecté est démarré, le contrôle reçoit ce jumeau, c'est-à-dire le virus. Les virus de l'entreprise les plus courants utilisant la fonctionnalité DOS pour d'abord exécuter des fichiers avec l'Extension.com, s'il existe deux fichiers avec le même nom dans un répertoire, mais par différents noms du nom - .com i.exe. De tels virus créent des fichiers satellites pour les fichiers EXE, qui ont le même nom, mais avec l'extension.com, par exemple, le fichier XCopy.com est créé pour le fichier xcopy.exe. Le virus est enregistré dans le fichier COM et ne modifie pas le fichier EXE. Lorsque vous démarrez un tel fichier DOS, le premier détectera et exécutera le fichier COM, c'est-à-dire le virus qui démarrera et le fichier EXE. Le second groupe fait des virus qui, lorsqu'ils sont infectés, renomment le fichier dans n'importe quel autre nom, rappelez-vous (pour le lancement ultérieur du fichier hôte) et écrivez son code sur le disque sous le nom du fichier infecté. Par exemple, le fichier xcopy.exe est renommé xcopy.exd et le virus est écrit sous le nom Xcopy.exe. Lors du démarrage, le contrôle reçoit le code de virus, qui commence alors l'original XCopy stocké sous le nom Xcopy.exd. Intéressant est le fait que cette méthode fonctionne, apparemment, dans tous les systèmes d'exploitation. Le troisième groupe comprend les virus dits «path-compagnon». Ils écrivent leur code sous le nom du fichier infecté, mais "au-dessus" d'un niveau dans les chemins proposés (DOS, le premier sera donc de la première fois détecté et lance le fichier de virus) ou tolérer le fichier de sacrifice à un sous-répertoire ci-dessus, etc.
Il est possible d'exister et d'autres types de virus compagnons utilisant d'autres idées originales ou caractéristiques d'autres systèmes d'exploitation.
Les vers de fichiers (vers) sont, dans un sens, un type de virus de l'entreprise, mais ils n'associent en aucun cas leur présence avec un fichier étant exécuté. Dans la reproduction, ils ne copient que leur code dans des catalogues de disque dans l'espoir que ces nouvelles copies seront jamais exécutées par l'utilisateur. Parfois, ces virus donnent leurs copies de noms "spéciaux" pour pousser l'utilisateur à lancer leurs copies - par exemple, install.exe ou winstart.bat. Il existe des virus WORMI qui utilisent des techniques assez inhabituelles, par exemple, enregistrant leurs copies dans les archives (ARJ, ZIP et autres). Certains virus enregistrent le lancement d'un fichier infecté dans les fichiers BAT. Ne confondez pas les virus de fichier Chervi avec des vers de réseau. La première utilisation seulement fonctions de fichier Tout système d'exploitation, le second dans leur reproduction utilise des protocoles de réseau.
Les virus de liaison, tels que les virus compagnons, ne modifient pas le contenu physique des fichiers, mais lorsque le fichier infecté est démarré, le logiciel OS exécute son code. Ces objectifs ont atteint la modification des champs du système de fichiers nécessaires.
Les virus, les bibliothèques d'infectant des compilateurs, des modules d'objet et des textes source des programmes sont assez exotiques et pratiquement non courants. Virus, infectant des fichiers OBJ et LIB, écrivez leur code dans le format du module d'objet ou de la bibliothèque. Le fichier infecté n'est donc pas effectué et n'est pas capable de propager davantage le virus dans son état actuel. Le transporteur du virus "vivant" devient un fichier COM-EXE.
Après avoir reçu le contrôle, le virus de fichier effectue les actions générales suivantes:
· Vérifie la RAM pour sa copie et ses infections
mémoire de l'ordinateur Si une copie du virus n'est pas trouvée (si le virus est un résident), recherche des fichiers non impressionnés dans le répertoire de racine actuel et (ou) en numérisant les répertoires de disque logique, puis infecte les fichiers détectés;
· Effectue des fonctions supplémentaires (le cas échéant): destructrices
actions, graphiques ou effets sonores, etc. (Les fonctions supplémentaires du virus résident peuvent être appelées après un certain temps après activation, en fonction de l'heure actuelle, de la configuration du système, des compteurs de virus internes ou d'autres conditions, dans ce cas, le virus lors de l'activation de l'état de l'horloge système, définit son compteurs, etc.);
· Renvoie la gestion du programme principal (si elle est).
Il convient de noter que le virus plus rapide est étendu, plus l'apparition de l'épidémie de ce virus est susceptible de se propager plus lentement le virus, plus il est difficile de le détecter (si, bien sûr, ce virus est inconnu). Les virus non résidents sont souvent "lents" - la plupart d'entre eux sont infectés par un ou deux ou trois fichiers lors du démarrage et n'ont pas le temps de flotter à l'ordinateur avant de lancer. programme antivirus (ou l'apparence d'une nouvelle version de l'antivirus configuré à ce virus). Il existe, bien sûr, des virus "rapides" non résidieux, qui recherchent et infectent tous les fichiers, mais de tels virus sont très perceptibles: lorsque vous démarrez chaque fichier infecté, l'ordinateur a quelque chose (parfois assez long) le temps fonctionne activement activement. avec le disque dur, qui démasses le virus. La vitesse de distribution (infection) chez les virus résidents est généralement supérieure à celle des non-résidents - elles infectent des dossiers avec des appels à tous. En conséquence, tous les fichiers utilisés constamment en fonctionnement sont infectés sur le disque. La vitesse de distribution (infection) des virus de fichiers résidents infectant des fichiers uniquement lorsqu'ils ont commencé à exécuter, seront inférieurs à ceux des virus infectant des fichiers et lorsqu'ils s'ouvrent, renommé, modifiant les attributs de fichier, etc.
Ainsi, les principales actions destructives effectuées par les virus de fichier sont associées à la défaite des fichiers (plus souvent de fichiers exécutables ou de fichiers de données), lancement non autorisé de différentes commandes (y compris le formatage, la destruction, les commandes de copie, etc.), en modifiant le tableau de la table. Interrompre les vecteurs et le Dr. Dans le même temps, de nombreuses actions destructives similaires à celles indiquées pour les virus de démarrage peuvent être effectuées.
Les macrovirus (virus macro) sont des langues (macro-language) intégrées dans certains systèmes de traitement de données (éditeurs de texte, feuilles de calcul, etc.). Pour sa reproduction, de tels virus utilisent les capacités des langues macro-langues et avec leur aide d'aide à partir d'un fichier infecté (document ou table) à d'autres. Les macrovirus ont été les plus courants pour le forfait d'application Microsoft Office.
Pour l'existence de virus dans système spécifique (Editeur) Il est nécessaire de disposer d'une macro-langue intégrée avec des capacités:
1) les liaisons de programme sur la macro-langue à un fichier spécifique;
2) copier des macroprogrammes d'un fichier à un autre;
3) Obtention de la gestion du programme macro sans intervention de l'utilisateur (macros automatiques ou standard).
Ces conditions satisfont appliquées programmes Microsoft Mot, excellence et Microsoft Access.. Ils contiennent des macromasics: Word Basic, Visual Basic pour les applications. Où:
1) Les macrogrammes sont liés à un fichier spécifique ou sont à l'intérieur du fichier;
2) La macro-language vous permet de copier des fichiers ou de déplacer des macroprogrammes vers des fichiers de service système et des fichiers modifiables;
3) Lorsque vous travaillez avec un fichier sous certaines conditions (ouverture, fermeture, etc.), les cadres macro sont appelés (le cas échéant), qui sont définis de manière particulière ou ont des noms standard.
Cette caractéristique de la macro-language est destinée au traitement automatique des données dans les grandes organisations ou dans des réseaux mondiaux et vous permet d'organiser la "gestion automatisée de documents". D'autre part, les capacités macro-linguistiques de tels systèmes permettent au virus de transférer leur code dans d'autres fichiers et de les infecter ainsi.
La plupart des macrovirus sont actifs non seulement au moment de l'ouverture (fermeture) du fichier, mais aussi longtemps que l'éditeur lui-même est actif. Ils contiennent toutes leurs fonctions sous la forme de macros standard Word / Excel / Office. Il existe cependant des virus qui utilisent des réceptions de cacher leur code et de stocker leur code sous forme de macros non. Il y a trois réceptions de ce type, ils utilisent tous la possibilité de créer, d'éditer et d'exécuter d'autres macros. En règle générale, des virus similaires ont une petite macro (parfois polymorphe) du virus, qui provoque l'éditeur de macro intégré, crée une nouvelle macro, le remplit avec le code de base du virus, effectue, puis, en règle générale, détruit (pour cacher les traces de la présence du virus). Le code principal de tels virus est présent soit dans la macro virale elle-même sous la forme de chaînes de texte (parfois cryptées), soit stockées dans la zone des variables du document.
Le réseau inclut des virus qui utilisent activement des protocoles et des possibilités de réseaux locaux et mondiaux pour leur distribution. Le principe principal du virus du réseau est la possibilité de transférer de manière indépendante votre code sur un serveur ou un poste de travail distant. Les virus de réseau "à part entière" ont également la possibilité d'exécuter leur code sur un ordinateur distant ou du moins "appuyez sur l'utilisateur pour lancer un fichier infecté.
Les programmes malveillants assurant la mise en œuvre de la NSD peuvent être:
· Programmes de sélection et d'ouverture de mots de passe;
· Programmes qui mettent en œuvre des menaces;
· Programmes démontrant l'utilisation de capacités non déclarées de logiciels et de logiciels et de matériel CDM;
· Programmes générateurs de virus informatique;
· Programmes démontrant des vulnérabilités de sécurité
Information, etc.
En raison de la complication et de la diversité croissante des logiciels, le nombre de programmes malveillants augmente rapidement. Aujourd'hui, plus de 120 000 signatures de virus informatiques sont connues. Dans le même temps, tous ne représentent pas une menace réelle. Dans de nombreux cas, l'élimination des vulnérabilités dans le logiciel système ou d'application a entraîné le fait qu'un certain nombre de programmes malveillants ne soient plus en mesure de les mettre en œuvre. Souvent, le danger principal représente de nouveaux programmes malveillants.
Classification des contrevenants
Sur la base de l'appartenance à Dodge, tous les contrevenants sont divisés en deux groupes:
Les violateurs externes - personnes qui n'ont pas le droit de rester sur le territoire de la zone contrôlée, dans lesquelles l'équipement est impatient;
Les violateurs internes - personnes ayant le droit de rester sur le territoire de la zone contrôlée, dans lesquelles l'équipement est imposé.
Violateur externe
En tant que violateur de sécurité externe de sécurité, un violateur est considéré, qui n'a aucun accès direct aux ressources techniques et aux ressources du système dans la zone contrôlée.
Il est supposé que le violateur externe ne peut pas affecter les informations protégées sur les canaux techniques de fuite, car la quantité d'informations stockées et traitées dans les habitants est insuffisante pour la motivation éventuelle du violateur externe pour effectuer des actions visant à fuir des informations sur les fuites canaux.
Il est supposé que l'intrus externe ne peut affecter les informations protégées que lors de son transfert par le biais de canaux de communication.
Violateur interne
Les possibilités de la déficience interne dépendent de manière significative des facteurs restrictifs opérant dans la zone contrôlée, dont le maintien d'un complexe de mesures organisationnelles et techniques, y compris la sélection, l'alignement et la fourniture de personnel de formation élevé, tolérance personnes À l'intérieur de la zone contrôlée et contrôle sur l'ordre de travail visant à prévenir et à supprimer un accès non autorisé.
Les cellules du système de distribution de systèmes d'accès au système permettent une délimitation des droits de l'utilisateur pour accéder aux informations, aux logiciels, au matériel et à d'autres ressources, conformément à la politique de sécurité des informations adoptées (Règles). Aux violateurs internes peuvent se rapporter (tableau):
Administrateurs de sous-systèmes spécifiques ou de bases de données de la catégorie II);
Les utilisateurs qui sont externes par rapport à la CA spécifique (catégorie IV);
Personnes ayant la possibilité d'accéder au système de transmission de données (catégorie V);
ORD employés ayant un accès autorisé aux locaux dans les locaux, dans lequel les éléments sont impatients, mais ne les ayant pas accès (catégorie VI);
Personnel de service (sécurité, ingénierie et ingénierie, etc.) (catégorie VII);
Le personnel autorisé des développeurs du CDN, qui, à titre contractuel, a le droit de maintenir et de modifier les composants de la catégorie (catégorie VIII).
Les visages des catégories I et II sont attribuées à des tâches destinées à l'administration de logiciels et de matériel et de bases de données de la base de données pour l'intégration et d'assurer l'interaction de divers sous-systèmes faisant partie du CDN. Les administrateurs peuvent potentiellement mettre en œuvre les menaces de l'IB à l'aide des possibilités d'accès direct aux informations protégées traitées et stockées dans AMP, ainsi qu'à l'étendue technique et logicielle, y compris les moyens de protection utilisés dans une CA spécifique, conformément à l'autorité administrative. établi pour eux.
Ces personnes connaissent bien les principaux algorithmes, les protocoles mis en œuvre et utilisés dans des sous-systèmes spécifiques et l'insécurité dans son ensemble, ainsi que les principes applicables et les concepts de sécurité.
On suppose qu'ils pourraient utiliser Équipement standard soit pour identifier les vulnérabilités ou pour la réalisation des menaces IB. Cet équipement peut faire partie du personnel et peut être associé à l'option facilement obtenue (par exemple, le logiciel obtenu à partir de sources externes accessibles au public).
En outre, il est supposé que ces personnes pouvaient avoir Équipement spécialisé.
Catégories I et II, compte tenu de leur rôle exceptionnel, un complexe de mesures d'organisation et de régime spéciales devrait être appliquée à leur sélection, à leur emploi, à leur nomination et à la lutte contre la réalisation des tâches fonctionnelles.
Il est supposé que seules les personnes de confiance seront incluses dans le nombre de catégories I et II et, par conséquent, ces personnes sont exclues du nombre de violateurs probables.
On suppose que les visages des catégories III-VIII font référence à des violateurs probables.
Les possibilités de la déficience interne dépendent de manière significative
du régime valide dans la zone contrôlée
et des mesures d'organisation et techniques de protection, y compris l'admission d'individus aux PDN et le contrôle de la procédure de conduite de travaux.
Les violateurs potentiels nationaux sont divisés en huit catégories, en fonction de la méthode d'accès et des autorisations pour accéder aux PDN.
Cet article est consacré à l'analyse technologies modernesreprésentant une menace pour la sécurité d'un ordinateur et des principales tendances du développement de logiciels malveillants en 2006.
Tendances générales dans le développement de programmes malveillants
En 2006, l'auteur a trouvé et analysé 49 697 variétés uniques de programmes malveillants et 47 907 d'entre elles appartiennent aux principales familles. Selon les résultats de leur analyse, un diagramme a été construit reflétant le pourcentage de programmes malveillants sur les familles par an (Fig. 1).
Figure. 1. Le pourcentage d'échantillons ITW par les familles
Comme le montre le diagramme, 37% de tous les programmes étudiés sont des programmes malveillants tels que Trojan-Downloader. Il s'agit d'une tendance constante qui est tracée depuis 2005 et est liée au fait que Trojan-Downloader est utilisé pour définir des logiciels malveillants, met à jour leurs versions et récupération en cas de suppression par antivirus. La plupart des cas étudiés de dommages causés par ordinateur au malware impliquent exactement le lancement du Trojan-Downloader, en raison de l'utilisation d'Exploice ou de méthodes d'ingénierie sociale. Les prévalences suivantes sont des vers postaux et des vers de réseau, des programmes de Troie de différents types et programmes de la classe Dialer.
L'analyse statistique de la dynamique de détection ITW (à l'état sauvage) montre que les développeurs de logiciels malveillants ont été adoptés et utilisent activement de nouvelles technologies pour lutter contre les scanners de signature. La technique est extrêmement simple et réside dans le fait que le développeur crée des centaines d'options pour les mêmes logiciels malveillants pendant une courte période. Les plus méthodes simples Recevoir diverses options sont les suivantes:
- le remballage avec divers emballeurs et cryptins - peut être effectué périodiquement ou au moment de la demande de fichier, l'ensemble des emballeurs et leurs paramètres peuvent varier en aléatoire. Souvent, les auteurs de logiciels malveillants utilisent des emballeurs et des cryptères modifiés, ce qui rend difficile la vérification;
- réciproquement à un fichier avec modifications suffisantes pour modifier les signatures de fichier pour lesquelles il est détecté;
- placer un fichier malveillant sur un package d'installation créé à l'aide des installateurs de type SNS (système d'installation scriptable). Disponibilité ouverte code source L'installateur vous permet de le modifier un peu, ce qui rendra un déballage et une analyse automatiques pendant la vérification antivirus.
Les techniques énumérées sont connues depuis longtemps et peuvent être utilisées dans diverses combinaisons, ce qui permet à l'auteur d'un programme malveillant sans grande difficulté à créer des centaines d'options pour le même programme sans utiliser de techniques polymorphes classiques. Vous pouvez le tracer sur l'exemple de Trojan-Downloader. Win32.zlob. Considérez les statistiques de ses découvertes au cours des 40 derniers jours (Fig. 2).
Figure. 2. Dynamique de la détection Trojan-downloader.win32.zlob dans 40 jours
Au cours de cette période, l'auteur a découvert 2198 échantillons ITW Trojan-Downloader.win32. ZLOB, dont 1213 sont uniques. Le graphique montre deux courbes: le nombre de détection par jour et le nombre de variétés uniques de fichiers. À partir du graphique, on peut voir que sur chaque deuxième échantillon ITW détecté est un fichier unique et cette dépendance est toujours persistée dans un délai d'un mois. Si vous comptez sur la classification de Kaspersky Lab, alors 1213 échantillons appartiennent à 169 diagnosticités de ce programme malveillant. Ces statistiques sont très indicatives: de nombreux programmes malveillants pour lesquels des dizaines de nouvelles modifications sont détectées quotidiennement.
Une autre tendance caractéristique peut être tracée sur l'exemple de Warzov Postal Worm. Pour le mois, l'auteur a enregistré 5333 échantillons ITW, dont 459 sont uniques. Le graphique de la distribution d'activité est illustré à la Fig. 3.
Figure. 3. Activité de vers Postal Warezov
Les dents sur la carte sont des périodes d'épidémies associées à l'apparition de nouvelles variétés de ver (dans ce cas: courriel-worm.win32.warezov.gj, e-mail-worm.win32. Warezov.fb, e-mail-worm.win32.warezov .hb). Du graphique, on peut constater que l'épidémie active dure en moyenne 2 à 5 jours, après quoi le nombre de détection de Warezov tombe sur le niveau "fond" - 10-30 échantillons par jour. L'apparition de ces rafales est très expliquée - une nouvelle variété de ver n'est pas détectée par antivirus, par conséquent, le ver est frappant la masse PC et l'épidémie commence. Cependant, il se développe rapidement pendant la journée de la signature, le ver tombe dans la base des antivirus et l'épidémie va rapidement au déclin.
Séparément, il convient de noter la distribution active des programmes de Troie Trojan-Spy-Spy, portant des données d'utilisateur personnelles. Parmi eux sont mis en évidence par le célèbre Goldun, qui stérente des informations sur les enregistrements de comptabilité E-Gold. Les dernières variétés de ce programme de Trojan sont activement utilisées par les technologies Rootkit pour masquage et espionnage (Fig. 4).
Figure. 4. Calendrier d'activité de Trojan-Spy pour le mois dernier
L'analyse des technologies utilisées par les créateurs de programmes malveillants montre qu'en 2006, aucune nouvelle technologie révolutionnaire n'a été inventée - les développeurs malveillants sont pris par la quantité et non de qualité. Néanmoins, plusieurs nouveaux produits sont apparus, qui méritent une discussion plus détaillée.
En conclusion, envisagez un calendrier moyen consolidé, construit conformément à la surveillance automatique de l'activité virale de l'auteur (Fig. 5).
Figure. 5. Statistiques du système recherche automatique programmes malveillants pour les 40 derniers jours
Sur le graphique, on peut voir qu'un système automatique par jour est enregistré en moyenne environ 400 nouvelles variétés de logiciels malveillants.
Technologie Rootkit
En 2006, le développement et l'amélioration de divers types de rootkits et de technologies rootkit ont été observés. Ces technologies appliquent de nombreux programmes malveillants et plusieurs de leurs directions:
- technologies rootkit pour déguisement, dont le but principal est de masquer la présence d'un programme malveillant et de ses composants sur le disque et en mémoire, ainsi que des clés de masquage dans le registre. Pour résoudre ce problème, l'interception des fonctions de l'API est la plus souvent utilisée et dans les rarottites modernes, il existe des techniques d'interception très sophistiquées, telles que l'introduction du code dans des fonctions de noyau non exportables, interceptant l'interruption de l'INT2E, la modification de Sysenter. Séparément, il convient de noter que dkom-rootkite (manipulation de l'objet de noyau direct), qui devient de plus en plus populaire;
- rukkit Technologies pour l'espionnage - comme suit du nom, ils sont utilisés pour suivre le travail de l'utilisateur et collecter des informations confidentielles. L'exemple le plus caractéristique est Trojan-Spy.win32.Goldun, qui par le principe Rootkit intercepte l'échange d'applications avec Internet à rechercher dans le flux informations transmises conditions requises cartes de crédit Utilisateur.
Considérez plus en détail Dkom-Rootkits. Le principe de leur travail repose sur des modifications des structures système décrivant les processus, les pilotes, les flux et les descripteurs. De telles interférences dans les structures système, naturellement, constituent une opération sans papiers et très incorrectes, mais le système après cette intervention continue de travailler plus ou moins. La conséquence pratique d'une telle intervention est que l'attaquant apparaît la possibilité de manipuler les structures du noyau à ses propres fins. Par exemple, pour chacun des processus en cours d'exécution dans le noyau, la structure EPROCESS, qui stocke beaucoup d'informations sur le processus, en particulier son identifiant (PID) et le nom du processus. Ces structures forment une liste à deux liaisons et sont utilisées par les fonctions d'API qui renvoient des informations sur processus en cours d'exécution. Pour dissimuler le processus DKOM-ROOTTETITE, il suffit de supprimer sa structure de commerce électronique de la liste. La mise en œuvre d'un tel déguisement est extrêmement simple et des dizaines d'implémentations finies avec des textes source peuvent être trouvées sur Internet. Les rootkits plus complexes ne sont pas limités à la suppression de la structure de l'objet masqué de la liste - ils déforment les données contenues. En conséquence, même si Anti-Court peut trouver un processus ou un conducteur déguisé, il recevra des informations incorrectes sur lui. En raison de la simplicité de la mise en œuvre, ces rootkits deviennent de plus en plus populaires et devient plus difficile de les combattre. Des études ont montré que le plus méthode efficace La contre-étape est d'installer dans le système de surveillance, à la suite du début / de l'achèvement des processus et des pilotes de chargement / déchargement. La comparaison avec les informations recueillies par un tel moniteur avec des données renvoyées par le système vous permet de détecter des modifications produites par DKOM-ROOTTETITE, de comprendre leur caractère et de détecter des processus et des pilotes déguisés.
Programme de canular
La direction des programmes de huax continue de se développer activement. Vous pouvez donc prédire de manière conforme la croissance de cette famille en 2007. Dans la traduction littérale du canular - c'est un canular; Mensonges, canular, pas vrai. L'idée des programmes de hux est une déception de l'utilisateur, le plus souvent afin d'obtenir des bénéfices ou une enlèvement d'informations confidentielles. Récemment, il y a eu une tendance à la criminalisation de cette industrie: si il y a un an, la plupart des programmes de hux sont des actions relativement inoffensives, simulant une infection par ordinateur avec des virus ou un code de logiciel espion, puis les modernes visent de plus en plus à l'abduction de mots de passe ou d'informations confidentielles. Un exemple d'un tel programme est illustré à la Fig. 6
Figure. 6. Fenêtre de programme Hoax.win32.flose
Comme suit la fenêtre du programme et ses descriptions, il s'agit d'un générateur de licences pour Kaspersky Anti-Virus. Le programme propose d'obtenir une licence générée pour entrer votre adresse e-mail et votre mot de passe pour accéder à la boîte aux lettres. Si l'utilisateur crédule le fait et appuyez sur la touche "CIRTR", les données saisies par eux seront transférées par un email par courrier électronique. Plus d'une centaine de programmes de ce type ont été découverts au cours de la dernière année: il s'agit d'une variété de "Clek", de générateurs de cartes de paiement d'opérateurs cellulaires, de générateurs de numéros de carte de crédit, de moyens de messagerie "piratage", etc. La caractéristique globale de ces programmes est une déception d'un utilisateur visant au fait qu'il a introduit de manière indépendante certaines information confidentielle. La deuxième caractéristique des applications Hoax est leur primitivité: elles contiennent de nombreuses erreurs et une incorrectivité dans le code du programme. Des programmes similaires créent souvent des virus novices.
La tendance du développement des programmes de canular peut être considérée à l'aide de l'exemple hux.win32.renos (Fig. 7).
Figure. 7. Dynamique de la détection Hoax.win32.renos depuis 30 jours
Du graphique, on peut voir que l'auteur le jour est révélé au moins une nouvelle variété unique de ce logiciel malveillant et, en seulement un mois, il y a 60 nouvelles options uniques incluses dans 18 sous-divises sur la classification du laboratoire de Kaspersky. .
Programmes de Troie pour le chantage et l'extorsion
Les programmes de cette variété sont apparus pour la première fois il y a quelques années. Leur objectif principal est un utilisateur de chantage direct et extorquant de l'argent pour la restauration des performances de l'ordinateur ou des informations déchiffs codées par le programme Troie. Le plus souvent, l'auteur doit recevoir des rapports et des demandes d'aide d'utilisateurs affectés par Trojan.win32.Krotten, extorqué 25 WMZ pour restaurer les performances informatiques. Ce programme de Trojan est extrêmement primitif sur l'appareil et tout son travail diminue les modifications de centaines de clés dans le registre (avec description détaillée L'une de ses variétés peut être trouvée à l'adresse suivante: http://www.z-oleg.com/secur/virlist/vir1180.php). La particularité des programmes de Troie de cette famille est qu'il n'ya pas assez de recherche et de destruction de Troie pour traiter un ordinateur - il est nécessaire de restaurer les dommages causés par le système. Si le Trojan Kroten est créé par les dommages au registre est assez facile, les informations cryptées sont beaucoup plus compliquées. Par exemple, le créateur des données de cryptage de l'utilisateur du programme Trojan GPCode augmente progressivement la durée de la clé de cryptage, jetant ainsi l'appel aux entreprises antivirus. Vous pouvez en savoir plus sur ce Trojan dans l'article "Blackmail" à l'adresse suivante: http://www.viruslist.com/enalysis?pubid\u003d188790045.
Injecter le code du programme sous forme de méthode de démarrage cachée
Cette technologie est très bien tracée dans le Trojan-téléchargeur moderne, mais il commence progressivement à être introduit dans d'autres programmes malveillants. La technique de celle-ci est relativement simple: le programme malveillant est composé de deux parties - l'injecteur et le code de Troie. La tâche de "l'injecteur" est de décompresser et de déchiffrer le code de Troie et son introduction dans une sorte de processus système. À ce stade, les programmes malveillants étudiés diffèrent dans la méthode de mise en œuvre du code de Troie:
- l'introduction en remplaçant le contexte - le principe de cette mise en œuvre implique la préparation et le décodage du code de Troie (étape 1), le lancement de tout processus système, et lors de la création d'un processus, il est créé dans le mode "Sommeil" (suspendu). (étape 2). Ensuite, l'injecteur introduit le code de Troie dans la mémoire de processus (et une telle introduction peut être faite sur le code de machine du processus), après quoi elle modifie le contexte du flux principal de telle sorte que la direction reçoit la Code de Troie (étape 3). Après cela, le flux principal est lancé et le code de Troie est effectué. Cette méthode est intéressante car tout gestionnaire de processus montrera l'exécution d'un programme légitime (par exemple, Svchost.exe), tout en même temps, le code de Troie sera effectué au lieu du code de machine du programme légitime. Cette méthode vous permet de contourner des pare-feu qui ne disposent pas des moyens de contrôler la modification de la mémoire de mémoire et du contexte de ses flux (Fig. 8);
Figure. 8. Mise en œuvre de la substitution de contexte
- l'introduction de chevaux de Troie - Cette méthode est idéologiquement similaire au précédente, mais au lieu de remplacer le code moteur du processus de Troie et son exécution dans le fil principal, un flux supplémentaire est effectué dans lequel le code de Troie est effectué (étape 2). . Cette méthode est souvent utilisée pour injecter le code de Troie dans un processus existant sans perturber son fonctionnement (Fig. 9).
Figure. 9. Mise en œuvre par la méthode de création d'un flux de chevaux de Troie
Nouvelles méthodes électriques de Whebmoney
À la fin de 2006, une nouvelle méthode plutôt originale de vol d'argent dans le système WebMoney a été trouvée. Il est basé sur l'introduction d'un petit programme de Troie sur l'ordinateur, qui suit si la fenêtre du programme WebMoney est ouverte. S'il est ouvert, le tampon d'échange est surveillé. Lorsque le texte se trouve dans le tampon commençant par "Z", "R" ou "E", le programme Trojan estime qu'il s'agit du numéro de portefeuille destinataire, que l'utilisateur copié dans le presse-papiers pour entrer dans la fenêtre WebMoney. Ce numéro est supprimé du tampon et est remplacé par le numéro "Z", "R" ou "E" du portefeuille de l'attaquant. La méthode est extrêmement facile à mettre en œuvre et peut être assez efficace, car le nombre de portefeuilles est vraiment le plus souvent entré, mais ils sont copiés via un tampon et tous les utilisateurs vérifient soigneusement si le numéro de portefeuille est inséré dans le tampon. Ce Troyan est une démonstration visuelle de l'ingéniosité des développeurs de programmes de Troie.
Détection du débogueur et du PC virtuel
Les méthodes de lutte contre le débogueur, les émulateurs et les ordinateurs virtuels sont connues depuis longtemps. Leur utilisation rend difficile l'analyse d'un programme malveillant pour un spécialiste novice. De telles technologies sont donc de longues et suffisamment appliquées avec succès aux développeurs de malware. Toutefois, au cours de la dernière année, il y a eu une nouvelle tendance: les programmes malveillants ont commencé à essayer de définir le type d'ordinateur - réel est le fer ou l'émulation créée par virtuel PC ou VMware. Les PC virtuels similaires ont été très activement utilisés et appliqués par les administrateurs pour explorer des programmes suspects. S'il y a une inspection en cas de fonctionnement sur un PC virtuel (en option - sous le débogueur), un programme malveillant peut simplement être d'une urgence pour terminer ses travaux, ce qui empêchera son étude. De plus, une telle inspection frappera sur les systèmes Norman Sandbox, car leur principe d'analyse heuristique est essentiellement pour commencer le programme étudié sur l'émulateur et l'étude de ses travaux. À la fin de l'année, Sans Institute Sans Tom Liston (Tom Liston) et Ed Skudis (Ed Skoudis) ont publié un rapport très intéressant avec la description de la technique de la découverte de machines virtuelles et de la lutte contre les méthodes de détection. Le document peut être téléchargé à partir du site SANS http://handlers.sans.org/tliston/thwartingvmdetection_liston_skoudis.pdf.
Bots de spam et proxies de Troie
Spam Bot est un programme de Troie autonome conçu pour envoyer automatiquement le spam de l'ordinateur affecté. Le proxy de Trojan est un programme malveillant avec une fonction de serveur proxy, son fonctionnement sur l'ordinateur affecté permet à un attaquant de l'utiliser comme serveur proxy pour envoyer du spam, tenant des attaques sur d'autres ordinateurs et effectuer d'autres actions illicites. De nombreux robots de spam modernes masquent activement leur présence par les technologies rootkit et sont protégées de l'enlèvement. Les statistiques montrent que plus de 400 variétés ITW de tels programmes sont détectées par mois, dont environ 130 sont nouvelles, uniques.
Spam Bot est une grande menace pour les réseaux d'entreprise, car ses travaux conduisent aux conséquences suivantes:
- grande consommation de trafic réseau - dans la plupart des villes russes ne sont pas encore disponibles tarifs illimitésPar conséquent, la présence dans le réseau de plusieurs ordinateurs affectés peut entraîner des pertes financières tangibles en raison des dépenses de la circulation;
- beaucoup réseaux d'entreprise Pour accéder à Internet, les adresses IP statiques et vos propres serveurs de messagerie sont utilisés. Par conséquent, à la suite des activités des robots de spam, ces adresses IP tomberont rapidement dans des listes noires des filtres Antispam, ce qui signifie que les serveurs de messagerie sur Internet cesseront de recevoir du courrier à partir du serveur de messagerie corporate de la société. Vous pouvez exclure votre adresse IP d'une liste noire, mais c'est assez difficile, et s'il y a une mesure temporaire dans le réseau de robots de spam de travail.
Les méthodes de lutte contre les bottes de spam et les procurations de Troie sont très simples: vous devez bloquer le port 25 pour tous les utilisateurs, et idéalement, il est généralement interdit pour leur échange direct avec Internet, le remplaçant par des serveurs proxy. Par exemple, à Smolenskenergo, tous les utilisateurs travaillent avec Internet uniquement via un proxy avec un système de filtrage et une étude semi-automatique des protocoles est effectuée quotidiennement, qui est effectuée par l'administrateur système. L'analyseur qui leur permettait de détecter facilement des anomalies dans le trafic utilisateur et de prendre des mesures pour bloquer l'activité suspecte de manière opportune. En outre, excellents résultats Système IDS (système de détection d'intrusion), étudier le trafic utilisateur du réseau.
Distribution de programmes malveillants avec des téléavertisseurs Internet
Pour les statistiques recueillies au cours de l'année, les téléavertisseurs Internet sont de plus en plus utilisés pour mettre en œuvre des logiciels malveillants sur les ordinateurs des utilisateurs. La technique de mise en œuvre est l'ingénierie sociale classique. D'un ordinateur infecté, au nom de l'ICQ de son propriétaire, le programme malveillant envoie des messages appelant un prétexte particulier pour ouvrir le lien spécifié. Le lien mène au programme de Troie (généralement avec le type de nom sémantique image.pif ou flash_movie.exe) ou sur le site dont les pages contiennent Exploice. Il convient de noter que le fait que les liens vers des programmes malveillants sont appliqués et non leur corps.
Au cours de la dernière année, plusieurs épidémies basées sur ce principe ont été enregistrées. En Russie, les utilisateurs ICQ ont été principalement affectés et diffusent ainsi le programme de catégorie Trojan-PSW aux programmes de Troie de Trojan, mot de passe de mots de passe des mots de passe des utilisateurs. L'auteur en moyenne reçoit de un à dix messages par jour et d'ici la fin de l'année, il existe une activation de ces bulletins d'information.
Protection contre la protection malveillante ce type Extrêmement simple - ne devrait pas ouvrir des liens similaires. Toutefois, les statistiques montrent que la curiosité des utilisateurs l'emporte souvent, il y a plus de messages sur une personne bien connue. Dans un environnement d'entreprise, une mesure efficace est une interdiction de l'utilisation de téléavertisseurs Internet, car en termes de sécurité, ils constituent le canal de fuite de canal idéal.
Porte-flash USB
Une chute importante des prix des transporteurs flash (ainsi que la croissance de leur volume et de leur vitesse) a conduit à un effet naturel - une croissance rapide de leur popularité parmi les utilisateurs. En conséquence, les développeurs malveillants ont commencé à créer des programmes infectant des lecteurs flash. Le principe de fonctionnement de ces programmes est extrêmement simple: deux fichiers sont créés à la racine du disque - le fichier texte Autorun.inf et une copie d'un programme malveillant. Le fichier Autorun est utilisé pour autoriser un programme malveillant lorsque le disque est connecté. Un exemple classique d'un tel programme malveillant est le ver des rayons Mail. Il est important de noter qu'un appareil photo numérique peut agir en tant que porteur du virus, beaucoup téléphones portables, Lecteurs MP3 et PDAS - Ils, du point de vue de l'ordinateur (et du ver, sont indiscernables du disque flash. Dans ce cas, la présence d'un programme malveillant n'affecte pas le fonctionnement de ces dispositifs.
Une mesure de protection contre ces programmes peut être une fermeture de l'Autorun, l'utilisation de moniteurs antivirus pour une détection et une élimination rapides du virus. Avant la menace d'infractions de virus et de fuites d'informations, de nombreuses entreprises passent à des mesures plus strictes - empêchent la possibilité de connecter des périphériques USB à l'aide d'un logiciel spécialisé ou de bloquer des pilotes USB dans les paramètres système.
Conclusion
Cet article a couvert les principales orientations pour le développement de programmes malveillants. Leur analyse vous permet de faire plusieurs prévisions:
- on peut supposer que la direction de la campagne des scanners de signature et la protection contre les ordinateurs virtuels se développera activement sur des ordinateurs et des émulateurs virtuels. Par conséquent, diverses analyseurs heuristiques, pare-feu et systèmes de protection proactifs apparaissent pour lutter contre de tels programmes malveillants;
- il existe une criminalisation claire de la branche des logiciels malveillants en développement, de la proportion de bots spams, de proxy de Troie, de programmes de Troie pour vol de mots de passe et de données utilisateur personnelles augmente. Contrairement aux virus et aux vers, ces programmes peuvent s'appliquer aux utilisateurs ayant des dommages matériels tangibles. Le développement de l'industrie des programmes de Trojan engagés dans des données cryptées aux utilisateurs fait penser à la faisabilité de périodiques copie de la réservequi conduit réellement à zéro dommage d'un tel cheval de Troie;
- l'analyse des cas d'infection des ordinateurs montre que souvent les attaquants sont effectués par piratage de serveurs Web pour accueillir des programmes malveillants. Un tel piratage est beaucoup plus dangereux que le soi-disant DEFEISA (remplaçant le site de la page du site), car les visiteurs du site peuvent être infectés par des ordinateurs. On peut supposer que cette direction se développera très activement;
- les disques flash, les appareils photo numériques, les acteurs MP3 deviennent de plus en plus menacés pour la sécurité, car ils peuvent agir en tant que transporteurs de virus. Beaucoup d'utilisateurs sous-estiment le danger sortant, disent, d'un appareil photo numérique, mais l'auteur de 2006 a été en mesure d'explorer au moins 30 incidents associés à des appareils similaires;
- une analyse de l'appareil et des principes de malware montre qu'il est possible de protéger contre eux sans antivirus - ils ne pourront tout simplement pas fonctionner dans un système configuré avec compétence. La règle de protection principale est le travail de l'utilisateur sous un compte limité, qui, en particulier, n'a aucun privilège d'entrée dans dossiers de système, sur la gestion des services et des conducteurs, ainsi que sur la modification clés du système Enregistrement.
Acte Éditorial 15.02.2008
"Modèle de base des menaces à la sécurité des données à caractère personnel lors du traitement des systèmes d'information de données personnelles" (UTV. 15.02.2008 FSTec RF)
5. Menaces d'accès non autorisé à l'information dans le système d'information des données à caractère personnel
Les menaces du NSD dans des résidents avec l'utilisation de logiciels et de logiciels et de matériel sont mises en œuvre dans la mise en œuvre non autorisée, y compris aléatoire, l'accès, à la suite de laquelle la violation de la confidentialité (copie, une distribution non autorisée), l'intégrité (destruction, le changement) et Disponibilité (blocage) des PDN et comprennent:
menaces d'accès (pénétration) dans l'environnement d'exploitation informatique à l'aide de logiciels standard (outils système d'exploitation ou programmes appliqués d'application générale);
Menaces de créer des modes anormaux de fonds logiciels (logiciels et matériels) en raison de modifications délibérées des données de service, ignorez les limitations prévues dans les conditions du personnel de la composition et des caractéristiques des informations traitées, de la distorsion (modifications) des données elles-mêmes, etc.;
menaces pour mettre en œuvre des programmes malveillants (logiciels et impact mathématiques).
La composition des éléments de la description des menaces de la NSD aux informations de la mort est illustrée à la figure 3.
De plus, des menaces combinées sont possibles, qui constituent une combinaison de ces menaces. Par exemple, en raison de la mise en œuvre de programmes malveillants, des conditions peuvent être créées pour la NSD dans l'environnement d'exploitation de l'ordinateur, y compris en formant des canaux d'informations d'accès non traditionnels.
Les menaces d'accès (pénétration) dans l'environnement d'exploitation par l'utilisation de logiciels standard sont divisées en menaces à un accès direct et à distance. Les menaces d'accès direct sont effectuées à l'aide de logiciels et de logiciels et de matériel de l'entrée / sortie de l'ordinateur. Les menaces d'accès à distance sont implémentées à l'aide de protocoles d'interaction réseau.
Ces menaces sont mises en œuvre par rapport à la base de données sur la base du lieu de travail automatisé, non inclus dans le réseau de communication public et par rapport à toute la dignité qui a une connexion aux réseaux de communication publics et aux réseaux d'échange international d'informations.
Description des menaces d'accès (pénétration) dans l'environnement d'exploitation de l'ordinateur peut être représenté comme suit:
la menace de la NSD dans DOT: \u003d<источник угрозы>, <уязвимость ИСПДн>, <способ реализации угрозы>, <объект воздействия (программа, протокол, данные и др.)>, <деструктивное действие>.
Figure 3. Éléments de la description des menaces de la NSD aux informations du CDN
Les menaces pour créer le mode d'opération d'urgence de fonds logiciels (logiciels et matériels) sont la menace de «refus de maintenir». En règle générale, ces menaces sont considérées par rapport à la base de données basée sur des systèmes d'information locaux et distribués, quel que soit l'échange d'informations. Leur mise en œuvre est due au fait que lors du développement de logiciels système ou d'application, il n'est pas pris en compte la possibilité d'actions délibérées sur un changement ciblé:
conditions de traitement des données (par exemple, ignorer les restrictions sur la longueur du paquet de message);
Formats de représentation de données (avec non-conformité des formats modifiés installés pour traiter dans les protocoles d'interaction réseau);
Logiciel de traitement de données.
À la suite de la mise en œuvre du "refus de maintenance", des menaces, des débordements de la mémoire tampon et de la bloquage des procédures de traitement, des procédures de traitement "en boucle" et une "illumination" d'un ordinateur, jetant des packages de messages, etc. La description de ces menaces peut officiellement être représenté comme suit:
la menace de "refus de maintenir": \u003d<источник угрозы>, <уязвимость ИСПДн>, <способ реализации угрозы>, <объект воздействия (носитель ПДн)>, <непосредственный результат реализации угрозы (переполнение буфера, блокирование процедуры обработки, "зацикливание" обработки и т.п.)>.
Menaces à l'introduction de programmes malveillants (logiciels et impact mathématiques) Il n'est pas pratique de décrire avec les mêmes détails que les menaces ci-dessus. Cela est dû au fait que, tout d'abord, le nombre de programmes malveillants aujourd'hui est déjà considérablement supérieur à cent mille. Deuxièmement, lors de l'organisation de la protection des informations dans la pratique, en règle générale, il suffit de connaître la classe de programmes, méthodes et conséquences malveillantes de sa mise en œuvre (infection). À cet égard, la menace de logiciels et d'impact mathématiques (PMW) peut être formellement représentée comme suit:
la menace du PMW à DOT: \u003d<класс вредоносной программы (с указанием среды обитания)>, <источник угрозы (носитель вредоносной программы)>, <способ инфицирования>, <объект воздействия (загрузочный сектор, файл и т.п.)>, <описание возможных деструктивных действий>, <дополнительная информация об угрозе (резидентность, скорость распространения, полиморфичность и др.)>.
Vous trouverez ci-dessous les caractéristiques générales des sources de menaces de sécurité de l'information, des vulnérabilités pouvant être utilisées dans la mise en œuvre des menaces NSD et la caractéristique des résultats d'un accès non autorisé ou accidentel. La caractéristique des méthodes de mise en œuvre de menaces est donnée lors de la description des menaces d'accès (pénétration) dans l'environnement d'exploitation de l'ordinateur, des menaces pour refuser la maintenance et les menaces du PMW.
Les sources de menaces de la NSD dans Dodge peuvent être:
violateur;
transporteur de logiciels malveillants;
onglet matériel.
Les menaces de sécurité PDN associées à la mise en œuvre de marques de signets sont déterminées conformément aux documents de réglementation du service de sécurité fédéral Fédération Russe De la manière prescrite.
Selon la présence de droits d'accès permanents ou ponctuels à la zone contrôlée (KZ), les intrus sont divisés en deux types:
les contrevenants qui n'ont pas accès aux logements qui mettent en œuvre des menaces des réseaux de communication publique externes et (ou) des réseaux d'échange d'informations internationales sont des intrus externes;
les contrevenants qui ont accès à Dodge, y compris les utilisateurs de points, mettant en œuvre des menaces directement dans les intrus internes.
Les contrevenants externes peuvent être:
services de reconnaissance des États;
Structures criminelles;
concurrents (organisations concurrentes);
partenaires déloyaux;
sujets externes (individus).
L'intrus externe a les caractéristiques suivantes:
exercer un accès non autorisé à des canaux de communication, laissant en dehors des locaux de service;
effectuer un accès non autorisé via des emplois automatisés connectés aux réseaux de communication publics et (ou) réseaux d'échange international d'informations;
effectuer un accès non autorisé à des informations à l'aide d'impacts spéciaux logiciels via des virus logiciels, des logiciels malveillants, des signets algorithmiques ou logiciels;
Effectuer un accès non autorisé à travers les éléments de l'infrastructure d'information du CADN, qui dans le processus de leur cycle de la vie (Modernisation, entretien, réparation, recyclage) s'avère être en dehors de la zone contrôlée;
impact Accès non autorisé dans les systèmes d'information des départements d'interaction, des organisations et des institutions lorsqu'ils sont connectés au CD.
Les possibilités de la déficience interne dépendent de manière significative du régime et des mesures techniques et techniques à opérer dans la zone contrôlée, y compris l'admission d'individus aux PDN et contrôler la procédure de conduite de travaux.
Les violateurs potentiels nationaux sont divisés en huit catégories, en fonction de la méthode d'accès et des autorisations pour accéder aux PDN.
La première catégorie comprend des personnes ayant un accès autorisé à Dodge, mais n'ayant pas accès aux PDNS. Ce type de violateurs comprend des fonctionnaires qui assurent un fonctionnement impudent normal.
avoir accès à des fragments d'informations contenant des PDN et s'étendant à travers les canaux de communication internes du MDP;
Fragments d'informations sur la topologie de la CDN (partie de communication du sous-réseau) et les protocoles de communication utilisés et leurs services utilisés;
Nom de lieu et identifier les mots de passe des utilisateurs enregistrés;
modifiez la configuration des outils techniques CDN, pour créer des signets logiciels et matériels et fournir des informations à l'aide de la connexion directe aux moyens techniques du CD.
possède toutes les possibilités des personnes de la première catégorie;
Connaît au moins un nom d'accès légal;
A tous les attributs nécessaires (par exemple, mot de passe), fournissant un accès à un certain sous-ensemble PD;
il a des données confidentielles auxquelles accès.
Ses droits d'accès, d'authentification et d'accès à un certain sous-ensemble de PDNS devraient être régis par l'accès pertinent à la suppression de l'accès.
a toutes les possibilités de personnes des première et deuxième catégories;
Contient des informations sur la topologie de la base de données sur la base d'un système d'information local et (ou) distribué à travers lequel l'accès est effectué et la composition des moyens techniques de CDN;
il a la capacité d'accéder directement (physique) aux fragments de moyens techniques CDN.
Il contient des informations complètes sur le logiciel système et d'application utilisé dans le segment (fragment) du MDP;
Il contient des informations complètes sur les moyens techniques et la configuration du segment (fragment) du CDN;
a accès aux moyens de protéger les informations et la journalisation, ainsi que des éléments individuels utilisés dans le secteur (fragment) CDN;
il a accès à tous les segments techniques (fragment) des TEC;
il a les droits de la configuration et de la configuration administrative d'un certain sous-ensemble des moyens techniques du segment (fragment) du CDN.
A toutes les possibilités de personnes de catégories précédentes;
contient des informations complètes sur le système et le logiciel source appliqué;
contient des informations complètes sur les moyens techniques et les configurations.
a accès à tous les moyens techniques de traitement des informations et des données impudent;
il a les droits de la configuration et du réglage administratif des moyens techniques.
L'administrateur système effectue la configuration et la gestion de logiciels (logiciels) et d'équipements, y compris l'équipement responsable de la sécurité de l'objet protégé: des moyens de protection de l'information cryptographique, de suivi, d'enregistrement, d'archivage, de protection contre la NSD.
a toutes les possibilités de personnes de catégories précédentes;
contient des informations complètes sur Dodge;
a accès à la sécurité de l'information et à la journalisation et à une partie éléments clé Pris;
Il n'a pas accès à la configuration des moyens techniques du réseau, à l'exception du contrôle (inspection).
L'administrateur de sécurité est responsable du respect des règles de séparation de l'accès, pour générer des éléments clés, des mots de passe de transfert. L'administrateur de sécurité effectue un audit des mêmes moyens de protection d'objet en tant qu'administrateur système.
contient des informations sur les programmes d'algorithmes et de transformation de l'information pour Dodge;
A les possibilités de faire des erreurs, des capacités non déclarées, des signets logiciels, des logiciels malveillants dans le Software CDN au stade de son développement, de son introduction et de la maintenance;
il peut avoir des fragments d'informations sur la topologie du DNT et des moyens techniques de traitement et de protection des PDS transformés en CAD.
a les possibilités de faire des signets à des moyens techniques du PHDN au stade de leur développement, de leur mise en œuvre et de leur maintenance;
Il peut avoir des fragments d'informations sur la topologie de la dignité et les moyens techniques de traitement et de protection des informations dans le logement.
Le transporteur d'un programme malveillant peut être un élément matériel informatique ou un conteneur de logiciel. Si le programme malveillant n'est associé à aucun programme de candidature, alors que son transporteur est pris en compte:
Média aliénable, c'est-à-dire une disquette, disque optique (CD-R, CD-RW), mémoire flash, Winchester aliéné, etc.;
Média intégré (Winchesters, Microcircuits de RAM, Processeur, Microcircets tableau système, microcircuits des appareils intégrés à unité système, - adaptateur vidéo, carte réseau, carte son, modem, périphériques d'entrée / sortie de disques magnétiques rigides et optiques, d'alimentation, etc., microcircuits d'accès direct, bus de données, ports d'E / S);
circuits de périphériques externes (moniteur, clavier, imprimante, modem, scanner, etc.).
Si le programme malveillant est associé à tout programme d'application, avec des fichiers comportant des extensions spécifiques ou d'autres attributs, avec des messages transmis sur le réseau, alors ses transporteurs sont les suivants:
paquets transmis par des messages réseau informatiques;
fichiers (texte, graphique, exécutable, etc.).
5.2. Les caractéristiques globales de la vulnérabilité du système d'information de données personnellesLa vulnérabilité du système d'information des données à caractère personnel est une déficience ou faiblesse Dans le logiciel Systeme ou Application (logiciel et matériel) fournissant un système d'information automatisé pouvant être utilisé pour mettre en œuvre la menace de sécurité pour les données personnelles.
Les causes de la survenue de vulnérabilités sont:
erreurs dans la conception et le développement de la sécurité logicielle (logiciels et matériel);
actions intentionnelles pour faire des vulnérabilités lors de la conception et du développement de la sécurité logicielle (logiciels et matériels);
paramètres logiciels incorrects, modification illégale des appareils et modes de programme;
Mise en œuvre et utilisation non autorisées de programmes non enregistrés avec des dépenses de ressources déraisonnables ultérieures (processeur de chargement, Capture RAM et mémoire sur les supports externes);
l'introduction de logiciels malveillants, créant des vulnérabilités dans des logiciels et des logiciels et du matériel;
actions involontaires non autorisées des utilisateurs menant à des vulnérabilités;
Échecs dans les travaux de matériel et de logiciels (causés par des défaillances de puissance, une défaillance des éléments matériels à la suite du vieillissement et de la fiabilité, des influences extérieures des champs électromagnétiques dispositifs techniques et etc.).
La classification des principales vulnérabilités est décalée sur la figure 4.
Figure 4. Classification des vulnérabilités du logiciel
Vous trouverez ci-dessous les caractéristiques générales des principaux groupes de vulnérabilités du CDN, notamment:
vulnérabilités logicielles systématiques (y compris les protocoles d'interaction réseau);
vulnérabilités du logiciel appliqué (y compris des outils de sécurité de l'information).
5.2.1. Caractéristiques générales des vulnérabilités du logiciel systèmeLes vulnérabilités du logiciel système doivent être envisagées en référence à l'architecture de la construction de systèmes informatiques.
Dans le même temps, des vulnérabilités sont possibles:
dans le micrologiciel, dans le micrologiciel ROM, PPZA;
dans les moyens du système d'exploitation destiné à gérer les ressources locales du CDM (fournissant des fonctions de contrôle des performances, une mémoire, des périphériques d'entrée / sortie, une interface utilisateur, etc.), des pilotes, des utilitaires;
Dans les moyens de système d'exploitation destiné à la mise en œuvre des fonctions auxiliaires - Utilitaires (archivage, défragmentation, etc.), programmes de traitement du système (compilateurs, liaisons, débogueur, etc.), programmes de fourniture de services supplémentaires à l'utilisateur (options d'interface spéciales , des calculatrices, des jeux, etc.), des bibliothèques de procédures diverses (bibliothèques de fonctions mathématiques, des fonctions d'E / S, etc.);
dans les moyens d'interaction de communication (moyen de réseau) du système d'exploitation.
Les vulnérabilités du micrologiciel et dans les moyens de système d'exploitation destiné à gérer les ressources locales et les fonctions auxiliaires peuvent être:
Fonctions, procédures, modification des paramètres dont il leur permet de les utiliser pour un accès non autorisé sans détecter ces modifications apportées au système d'exploitation;
fragments de code de programme ("trous", "trappes"), introduit par le développeur, permettant de contourner les procédures d'identification, l'authentification, les contrôles d'intégrité, etc.
Erreurs dans les programmes (dans la déclaration de variables, fonctions et procédures, dans les codes de programme), qui dans certaines conditions (par exemple, lors de la réalisation de transitions logiques) entraînant des défaillances, y compris les défaillances du fonctionnement des fonds et des systèmes de protection de l'information.
Les vulnérabilités d'interaction réseau sont associées aux caractéristiques de leur mise en œuvre du logiciel et sont dues à des restrictions de la taille de la mémoire tampon utilisée, les inconvénients de la procédure d'authentification, l'absence de vérifications de l'exactitude des informations de service, etc. La brève description De ces vulnérabilités par rapport aux protocoles sont présentés dans le tableau 2.
Tableau 2
Vulnérabilités des protocoles de protocoles TCP / IP distincts Stacks sur la base desquels les réseaux partagés globaux fonctionnent.
| Protocole de nom | Protocoles de niveau de pile | Nom (caractéristique) vulnérabilité | Contenu des violations de la sécurité de l'information |
| FTP (protocole de transfert de fichiers) - Protocole de transfert de fichier sur le réseau | 1. Ouvrez l'authentification de la base de données texte (les mots de passe sont envoyés dans Non crypté) 2. Accès par défaut 3. La présence de deux ports ouverts | La possibilité d'intercepter des données de compte (noms d'utilisateur enregistrés, mots de passe). Obtenir l'accès à l'hôte distant | |
| telnet - Protocole de gestion des terminaux à distance | Appliqué, représentatif, session | Authentification Ouvrir le texte de la base de données (les mots de passe sont envoyés sans cryptage) | La possibilité d'intercepter les données du compte d'utilisateur. Obtenir l'accès à l'hôte distant |
| UDP - Protocole de transmission de données sans connexion | Transport | Pas de mécanisme de surcharge tampon | La possibilité de mettre en œuvre la tempête UDP. À la suite de l'échange de paquets, il existe une réduction significative des performances du serveur. |
| ARP - Protocole de transformation de l'adresse IP en adresse physique | Réseau | Authentification Ouvrir la base de données texte (les informations sont envoyées sous forme non cryptée) | La capacité d'intercepter le trafic utilisateur par un attaquant |
| RIP - Protocole d'informations de routage | Transport | Aucune authentification des messages de contrôle sur la modification de la route | Capacité à rediriger le trafic à travers l'hôte de l'attaquant |
| TCP - Protocole de gestion de transfert | Transport | Aucun mécanisme de vérification de l'exactitude des packages de service de remplissage | Une réduction significative du taux de change et même un écart complet de connexions arbitraires sur le protocole TCP |
| DNS - Protocole pour établir la conformité des noms mnémoniques et des adresses de réseau | Appliqué, représentatif, session | Manque d'outils d'authentification à partir de données source | Falsification de la réponse du serveur DNS |
| IGMP - Protocole de messages de routage | Réseau | Aucun message d'authentification sur le changement de paramètres de route | Gagnez des systèmes 9x / NT / 200 |
| SMTP - Protocole de service de messagerie de messagerie | Appliqué, représentatif, session | La capacité de faux courriels, ainsi que les adresses de l'expéditeur d'adresse | |
| SNMP - Protocole de gestion des itinéraires de routeur | Appliqué, représentatif, session | Manque de messagerie d'authentification de support | Possibilité de déborder la bande passante du réseau |
Pour systématiser une description d'un ensemble de vulnérabilités, une seule base de données de vulnérabilités de CVE (vulnérabilités communes et expositions) sont utilisées, dans l'élaboration de laquelle des spécialistes de nombreuses entreprises et organisations bien connues, telles que Miiter, ISS, Cisco, Bindview, Axent , NFR, L-3, Cybersafe, Cert, Carnegie Mellon University, Sans Institute, etc. Cette base de données est constamment mise à jour et utilisée dans la formation de bases de données de nombreux logiciels d'analyse de sécurité et, surtout, des scanners de réseau.
5.2.2. Caractéristiques générales de la vulnérabilité du logiciel appliquéLe logiciel d'application comprend programmes d'application Utilisation générale et programmes appliqués spéciaux.
Programmes appliqués publics appliqués - texte et éditeur graphique, Programmes multimédias (lecteurs audio et vidéo, logiciel de réception de programmes de télévision, etc.), Systèmes de gestion de base de données, plates-formes logicielles générales pour logiciels de développement logiciel ( tapez Delphi., Visual Basic), Outils de protection de l'information publique, etc.
Les programmes d'application spéciaux sont des programmes développés dans l'intérêt de la résolution de tâches appliquées spécifiques dans ce CD (y compris le logiciel de protection des informations développé pour une CDN spécifique).
Les vulnérabilités du logiciel d'application peuvent être:
fonctions et procédures relatives à différents programmes d'applications et incompatibles entre elles (ne fonctionnant pas dans un environnement d'exploitation) en raison de conflits associés à la distribution des ressources système;
Fonctions, procédures, changement d'une certaine manière qui vous permet de les utiliser pour pénétrer sur le mercredi opérationnel et appeler les fonctions standard du système d'exploitation, effectuant un accès non autorisé sans détecter ces modifications apportées au système d'exploitation;
fragments de code de programme ("trous", "trappes"), entrés par le développeur, permettant de contourner les procédures d'identification, l'authentification, les contrôles d'intégrité, etc. prévues dans le système d'exploitation;
manque d'outils de sécurité nécessaires (authentification, vérification de l'intégrité, vérification des formats de message, bloquant les fonctions modifiées non autorisées, etc.);
Erreurs dans les programmes (dans la déclaration de variables, fonctions et procédures, dans les codes de programme), qui dans certaines conditions (par exemple, lors de la réalisation de transitions logiques) conduisent à des échecs, y compris les échecs du fonctionnement des fonds et des systèmes de protection de l'information, à accès non autorisé aux informations d'accès.
Les données sur les vulnérabilités développées et distribuées sur un logiciel d'application à base commerciale sont collectées, résumées et analysées dans la base de données CVE<*>.
<*> Menée par une société étrangère certifiée sur une base commerciale.
5.3. La caractéristique générale des menaces d'accès direct à l'environnement d'exploitation du système d'information de données personnellesLes menaces d'accès (pénétration) dans l'environnement d'exploitation de l'ordinateur et l'accès non autorisé au PDN sont associés à l'accès:
à l'information et aux commandes stockées dans le système de base du système d'E / S (BIOS), avec la possibilité d'intercepter le chargement du système d'exploitation et de recevoir les droits de l'utilisateur approuvé;
dans l'environnement d'exploitation, c'est-à-dire sur le fonctionnement du système d'exploitation local d'un moyen technique distinct, la mesure est la possibilité d'effectuer un accès non autorisé en appelant la dotation en personnel du système d'exploitation ou le lancement de programmes spécialement développés qui mettent en œuvre de telles actions. ;
sur le fonctionnement des programmes d'application (par exemple, au système de gestion de la base de données local);
directement aux informations de l'utilisateur (aux fichiers, informations textuelles, audio et graphiques, champs et entrées dans des bases de données électroniques) et sont dues à la possibilité de violer sa confidentialité, son intégrité et sa accessibilité.
Ces menaces peuvent être mises en œuvre en cas d'obtention d'un accès physique à l'entretien ou au moins, au moyen de saisir les informations du CD. Ils peuvent être combinés sous les termes de mise en œuvre en trois groupes.
Le premier groupe comprend des menaces mises en œuvre lors du démarrage du système d'exploitation. Ces menaces de sécurité des informations visent à intercepter des mots de passe ou des identifiants, en modifiant le logiciel Système de l'entrée / sortie logiciel (BIOS), interceptant le contrôle de la charge avec une modification des informations technologiques nécessaires pour obtenir un NSD dans un environnement d'exploitation. Le plus souvent, ces menaces sont mises en œuvre à l'aide de supports aliénés.
Le deuxième groupe - les menaces mises en œuvre après avoir chargé l'environnement d'exploitation, quel que soit le programme d'application démarré. Ces menaces visent généralement à effectuer un accès directement non autorisé à l'information. Lors de la réception de l'accès à l'environnement d'exploitation, le délinquant peut tirer parti de fonctions standard Système d'exploitation ou tout programme appliqué public (par exemple, systèmes de gestion de la base de données) et des programmes spécialement créés, tels que l'accès non autorisé, par exemple:
visualisation et modification du programme de programme;
Programmes de recherche de texte dans les fichiers texte par mots-clés et copie;
programmes d'observation spéciaux et copie des entrées dans des bases de données;
programmes d'observation rapide fichiers graphiques, éditer ou les copier;
les programmes permettant de soutenir les capacités de la reconfiguration de l'environnement logiciel (paramètres conservés dans l'intérêt de l'intrus), etc.
Enfin, le troisième groupe comprend des menaces, dont la mise en œuvre est déterminée par lesquelles des programmes d'application est lancé par l'utilisateur ou le lancement de l'un des programmes de candidature. La plupart de ces menaces sont les menaces pour l'introduction de programmes malveillants.
5.4. Les caractéristiques globales des menaces pour la sécurité des données à caractère personnel mis en œuvre à l'aide des protocoles d'interaction InternetSi la base de données est mise en œuvre sur la base d'un système d'information local ou distribué, il peut être mis en œuvre dans les menaces de sécurité pour l'utilisation de protocoles d'interconnexion. Il peut être fourni par le NSD aux PDN ou la menace de refus de maintenir. Les menaces sont particulièrement dangereuses lorsque la mort est un système d'information distribué connecté aux réseaux d'utilisation générale et (ou) réseaux d'échange international d'informations. Le schéma de classification des menaces mises en œuvre sur le réseau est illustré à la figure 5. Il est basé sur sept signes principaux suivants de la classification.
1. La nature de la menace. Sur cette base, la menace peut être passive et active. La menace passive est une menace, avec la mise en œuvre de laquelle il n'a pas d'impact direct sur l'exploitation du CDN, mais les règles établies de la séparation de l'accès aux PDN ou aux ressources du réseau peuvent être violées. Un exemple de telles menaces est la menace d'une "analyse du trafic réseau", visant à écouter des canaux de communication et à intercepter les informations transmises.
La menace active est une menace associée à l'impact sur les ressources du CDN, avec la mise en œuvre de laquelle elle s'avère être un impact direct sur le fonctionnement du système (modification de la configuration, de la déficience des performances, etc.), etc. avec une violation des règles établies pour distinguer l'accès aux PDN ou aux ressources du réseau. Un exemple de telles menaces est la menace de «refus de maintenance», mise en œuvre comme une «tempête de requête TCP».
2. Le but de la réalisation de la menace. Sur cette base, la menace peut viser à violer la confidentialité, l'intégrité et la disponibilité des informations (y compris la violation de la performance de la CAD ou de ses éléments).
3. La condition a commencé à mettre en œuvre le processus de réalisation de la menace. Sur cette base, la menace peut être mise en œuvre:
sur demande d'un objet relatif à laquelle la menace est mise en œuvre. Dans ce cas, le violateur s'attend à la transmission d'un certain type de demande, qui sera la condition du début de l'accès non autorisé;
Figure 5. Schéma de classification des menaces utilisant des protocoles d'interaction inter-piste
À la survenue de l'événement attendu de l'installation, par rapport à la mise en œuvre de la menace. Dans ce cas, le violateur effectue une surveillance permanente de l'état du système d'exploitation Cadov et lorsqu'un certain événement se produit dans ce système, un accès non autorisé commence à commencer;
impact inconditionnel. Dans ce cas, le début de la mise en œuvre d'un accès non autorisé est inconditionnellement par rapport à l'objectif d'accès, c'est-à-dire que la menace est mise en œuvre immédiatement et non pertinente pour le statut du système.
4. Disponibilité rétroaction Avec désireuse. Sur cette base, le processus de mise en œuvre de la menace peut être en retour et sans retour d'information. La menace effectuée en présence de commentaires de la FCT est caractérisée par le fait que certaines demandes transférées à l'entretien au violateur sont nécessaires pour recevoir une réponse. Par conséquent, il y a un retour entre le violateur et l'esquive, ce qui permet au violateur de répondre de manière adéquate à tous les changements survenus dans le CDN. Contrairement aux menaces mises en œuvre en présence de commentaires du CD, dans la mise en œuvre de menaces sans retour d'information, il n'est pas nécessaire de répondre à des modifications survenant dans la PM.
5. L'emplacement de l'intrus est relativement teint. Conformément à ce signe, la menace est mise en œuvre à la fois en joie et à l'internetitivité. Le segment de réseau est une association physique d'hôtes (moyens techniques d'esquive ou d'éléments de communication ayant une adresse réseau). Par exemple, le segment du DOT forme un ensemble d'hôtes connectés au serveur en fonction du schéma "Total Bus". Dans le cas où une menace intra-fertile a lieu, le violateur a un accès physique aux éléments matériels de la CAD. Si une menace intersectionnelle a lieu, l'intrus est situé en dehors de l'habitude, mettant en œuvre une menace d'un autre réseau ou d'un autre segment de CAD.
6. niveau modèle de référence Interaction des systèmes ouverts<*> (ISO / OSI), sur lequel la menace est mise en œuvre. Sur cette base, la menace peut être mise en œuvre sur le niveau physique, canal, réseau, transport, session, représentatif et d'application du modèle ISO / OSI.
<*> L'Organisation internationale de normalisation (ISO) a adopté la norme ISO 7498 décrivant l'interaction des systèmes ouverts (OSI).
7. Le ratio du nombre de violateurs et des éléments de la dignité relative à la mise en œuvre de la menace. Sous cette caractéristique de la menace peut être attribuée à la catégorie de menaces mises en œuvre par un violateur à l'égard d'un moyen technique de PPDN (la menace de "un à un")), immédiatement relative à plusieurs moyens techniques de CAD (la menace de " un à plusieurs ") ou plusieurs contrevenants de différents ordinateurs par rapport à un ou plusieurs moyens techniques de THADNA (menaces distribuées ou combinées).
Compte tenu de la classification, les sept les plus souvent mis en œuvre à présent menaces peuvent être distingués.
1. Analyse du trafic réseau (Figure 6).
Figure 6. Schéma de la menace "Analyse du trafic réseau"
Cette menace est mise en œuvre à l'aide d'un programme d'analyseur de packages spécial (Sniffer), interceptant tous les paquets transmis via le segment de réseau et ceux dans lesquels l'identifiant de l'utilisateur et son mot de passe sont transmis. Lors de la mise en œuvre de la menace, la violatrice étudie la logique de l'opération de réseau - elle cherche à obtenir une conformité sans ambiguïté des événements survenant dans le système et des commandes envoyées avec des hôtes au moment de ces événements. À l'avenir, cela permet à un attaquant basé sur la tâche des commandes pertinentes d'obtenir, par exemple, des droits privilégiés d'actions dans le système ou d'élargir ses pouvoirs, intercepter le flux de données transmises qui communiquent les composants du réseau fonctionnant. système, pour extraire des informations confidentielles ou d'identification (par exemple, les utilisateurs de mots de passe statiques pour accéder aux hôtes distants à l'aide de protocoles FTP et Telnet qui ne fournissent pas de cryptage), sa substitution, sa modification, etc.
2. Réseau de numérisation.
L'essence du processus de mise en œuvre de la menace est de transférer des demandes aux services réseau des clés des hôtes et d'analyser les réponses d'eux. L'objectif est d'identifier les protocoles utilisés aux ports de services de réseau, les lois de la formation d'identificateurs de connexion, la définition des services réseau actifs, la sélection d'identifiants et des mots de passe utilisateur.
3. Menace pour la détection du mot de passe.
L'objectif de la mise en œuvre de la menace est d'obtenir une NSD en surmontant la protection par mot de passe. L'attaquant peut avoir une menace avec un certain nombre de méthodes, telles qu'une simple buste, une force brute utilisant des dictionnaires spéciaux, l'installation d'un programme malveillant pour intercepter le mot de passe, la substitution d'un objet de réseau de confiance (spoofing IP) et interception de paquets (renifler) . Principalement pour la mise en œuvre de la menace utilisée programmes spéciauxqui tentent d'accéder à l'hôte par une sélection constante de mots de passe. En cas de succès, l'attaquant peut créer un «passage» pour lui-même pour un accès futur, qui agira, même si vous devez modifier le mot de passe d'accès sur l'hôte.
4. Substitution d'un objet de réseau de confiance et transmettant des messages sur les canaux de communication de son nom avec la cession de ses droits d'accès (Figure 7).
Figure 7. Schéma de la menace de "substitution d'un objet de réseau de confiance"
Une telle menace est effectivement mise en œuvre dans les systèmes où des algorithmes instables pour l'identification et l'authentification des hôtes, des utilisateurs, etc. s'appliquent. Sous l'objet de confiance, on comprend l'objet réseau (ordinateur, pare-feu, routeur, etc.), légalement connecté au serveur.
Deux variétés du processus de mise en œuvre de la menace spécifiée peuvent être isolées: avec l'établissement et sans l'établissement d'une connexion virtuelle.
Le processus de mise en œuvre avec la mise en place d'un composé virtuel consiste à attribuer les droits d'une entité d'interaction fiable, ce qui permet au violateur de mener une session avec l'objet du réseau pour le compte de l'entité fiduciaire. La mise en œuvre de la menace de ce type nécessite de surmonter le système d'identification et d'authentification (par exemple, une attaque UNIX-Host RSH-Host).
Le processus de mise en œuvre de la menace sans établir une connexion virtuelle peut survenir dans des réseaux qui identifient les messages transmis uniquement via l'adresse réseau de l'expéditeur. L'entité est le transfert de messages de service pour le compte des dispositifs de contrôle de réseau (par exemple, pour le compte de routeurs) sur la modification des données de route. Il convient de garder à l'esprit que les seuls identifiants et connexions d'abonnés (via TCP) sont deux paramètres 32 bits Numéro de séquence initiale - ISS (numéro de séquence) et numéro d'accusé de réception - ACK (numéro de confirmation). Par conséquent, pour former un faux paquet TCP à la violation, vous devez connaître les identifiants actuels de cette connexion - ISSA et ISSB, où:
Issa - une valeur numérique caractérisant le numéro de séquence du numéro de paquet TCP installé par la connexion TCP initiée par l'hôte A;
ISSB - une valeur numérique caractérisant le numéro de séquence du numéro de paquet TCP installé par la connexion TCP initiée par l'hôte B.
Valeur ACK (numéros de confirmation de confirmation de la connexion TCP) est définie comme la valeur du numéro reçu du répondant ISS (numéro de séquence) plus ACKB \u003d ISSA + 1 unité.
En raison de la mise en œuvre de la menace, le violateur reçoit les droits d'accès établis par son utilisateur à un abonné de confiance aux moyens techniques de la densité des menaces.
5. Imposer une fausse route réseau.
Cette menace est mise en œuvre par l'une de deux manières: une imposition intra-fertile ou interségente. La capacité d'imposer une fausse route est due aux inconvénients inhérents aux algorithmes de routage (en particulier, en raison du problème de l'identification des dispositifs de contrôle du réseau), à la suite desquels il est possible d'obtenir, par exemple, à l'hôte ou à Le réseau d'un attaquant, où vous pouvez entrer dans l'environnement d'exploitation des moyens techniques dans l'environnement d'exploitation CDN. La mise en œuvre de la menace est basée sur l'utilisation non autorisée de protocoles de routage (RIP, OSPF, LSP) et la gestion du réseau (ICMP, SNMP) pour apporter des modifications aux tables de route. Dans le même temps, le violateur doit être envoyé pour le compte du dispositif de contrôle du réseau (par exemple, un routeur). Message de commande (figures 8 et 9).
Figure 8. Mise en œuvre du régime de l'attaque "Reliure du faux itinéraire" (intra-segment) à l'aide du protocole ICMP afin de violer la communication
Figure 9. Schéma de la mise en œuvre de la menace "imposant un faux itinéraire" (entération) afin d'intercepter le trafic
6. Mise en œuvre d'un faux objet réseau.
Cette menace est basée sur l'utilisation de carences d'algorithmes de recherche à distance. Si des objets réseau ne disposent initialement pas d'informations sur l'autre, divers protocoles de recherche à distance sont utilisés (par exemple, SAP dans les réseaux. Novell NetWare.; ARP, DNS, gagne dans des réseaux avec une pile de protocoles TCP / IP), qui sont transmis sur un réseau de demandes spéciales et qui leur reçoivent des réponses avec la recherche d'informations. Dans ce cas, il est possible d'intercepter le violateur de la requête de recherche et d'y émettre une fausse réponse, dont l'utilisation conduira à la modification souhaitée des données d'adresse de route. À l'avenir, l'ensemble des flux d'informations associés à l'objet-victime passera via le faux objet réseau (chiffres 10 à 13).
Figure 10. Schéma de la mise en œuvre de la menace "Mise en œuvre d'un faux serveur ARP"
Figure 11. Schéma de mise en œuvre "Mise en œuvre d'un faux serveur DNS" en interceptant une demande DNS
Figure 12. Schéma de mise en œuvre "Mise en œuvre d'un faux serveur DNS" par la tempête de réponse DNS sur un réseau
Figure 13. Mise en œuvre du régime de la menace "Mise en œuvre d'un faux serveur DNS" par la tempête de réponse DNS sur le serveur DNS
7. Refus de maintenir.
Ces menaces sont basées sur des lacunes de logiciels de réseau, ses vulnérabilités permettant au violateur de créer des conditions lorsque le système d'exploitation n'est pas en mesure de traiter des packages entrants.
Plusieurs variétés de telles menaces peuvent être isolées:
a) Le refus caché de maintenir, provoqué par l'implication d'une partie des ressources du traitement par paquets transmis par l'attaquant avec une diminution de la bande passante des canaux de communication, des dispositifs de réseau, violant les exigences relatives à la demande de demandes. Des exemples de mise en œuvre des menaces de ce type peuvent être: dirigé par les demandes d'écho par ICMP (inondation de ping), une tempête pour définir les connexions TCP (syn-inondation), une requête de tempête sur le serveur FTP;
b) un refus explicite de maintenir, causé par l'épuisement des ressources contournées lors du traitement des paquets transmis par l'attaquant (occupant l'ensemble de la bande passante de la bande passante, les files d'attente de la requête de service), dans laquelle les demandes légales ne peuvent être transférées via le réseau en raison de l'indisponibilité de Le support de transmission ou n'abandonnez pas de maintenir en raison de la requête de requête, de l'espace disque de mémoire, etc. Des exemples de menaces de ce type peuvent servir de tempête de demandes de diffusion ICMP-ECHO (SMULF), dirigée par une tempête (syn-inondation), une tempête de messages au serveur de messagerie (SPAM);
c) un refus explicite de maintenir, provoqué par une violation de la liaison logique entre les moyens techniques du CTADV, lors du transfert du violateur des messages de contrôle pour le compte de périphériques réseau, ce qui permet de changer de données d'adresse de route (par exemple, l'hôte de redirection ICMP , Inondations DNS) ou informations d'identification et d'authentification;
D) un refus explicite de la maintenance causée par la transmission par l'attaquant des paquets avec des attributs non standard (menaces du type "Terre", "Teardrop", "Bonk", "Nuke", "Bombe UDP") ou Une longueur supérieure à la taille maximale autorisée (type menace «Ping Death»), ce qui peut entraîner une collection de périphériques réseau impliqués dans le traitement de la requête, sous réserve des erreurs dans les programmes qui mettent en œuvre les protocoles d'échange réseau.
Le résultat de la mise en œuvre de cette menace peut être une violation du service pertinent pour la fourniture d'un accès à distance aux PDNS à la PD, la transmission d'une adresse d'un tel nombre de demandes aux moyens techniques de la composition du CDN, dont le maximum peut "accueillir" trafic (dirigé la "tempête de requête") qu'elle entraîne le débordement de la file d'attente de la requête et la défaillance de l'un des services réseau ou une fermeture complète de l'ordinateur en raison de l'incapacité du système à s'engager dans une autre, Sauf pour le traitement de la requête.
8. Lancement de la demande à distance.
La menace réside dans le désir de lancer divers logiciels malveillants pré-mis en œuvre sur l'hôte: programmes de favoris de signet, virus, "espions de réseau", dont le but principal est une violation de la confidentialité, de l'intégrité, de la disponibilité de l'information et du contrôle total sur les travaux de la hôte. En outre, il est possible de lancer non autorisé les programmes d'application des utilisateurs pour obtenir non autorisé l'obtention des données nécessaires auprès du violateur, afin de démarrer les processus gérés par le programme de candidature, etc.
Trois sous-classes de données de la menace sont distinguées:
1) la distribution de fichiers contenant du code exécutable non autorisé;
2) lancement à distance de l'application par tampon de serveur d'applications débordantes;
3) Lancement de l'application à distance à l'aide de la télécommande du système fourni par des signets de logiciels et matériels cachés ou utilisé par des moyens standard.
Les menaces typiques de la première des sous-classes spécifiées sont basées sur l'activation des fichiers distribués en cas d'accès accidentel. Des exemples de tels fichiers peuvent servir: fichiers contenant du code exécutable sous la forme d'un macrocomand ( documents Microsoft Mot, excel, etc.); Documents HTML contenant du code exécutable en tant qu'éléments ActiveX, des applets Java interprétés par des scripts (par exemple, des textes JavaScript); Fichiers contenant des codes de programme exécutable. Services de messagerie, transfert de fichiers, système de fichiers réseau peut être utilisé pour distribuer des fichiers.
Dans les menaces de la deuxième sous-classe, les inconvénients des programmes mettant en œuvre des services de réseau (en particulier, aucun contrôle de dépassement de contrôle) sont utilisés. Réglage des registres système est parfois possible de changer le processeur après interruption causée par le débordement de la mémoire tampon, à l'exécution de code contenue à l'étranger du tampon. Un exemple de mise en œuvre d'une telle menace peut être l'introduction d'un "virus morris" largement connu.
Dans les menaces de la troisième sous-classe, le délinquant utilise la possibilité de gérer à distance le système fourni par les composants cachés (par exemple, "Troyan" Programmes de type arrière orifice, bus net) ou contrôles réguliers et administration de réseaux informatiques (Suite Landesk Management Suite , Basez le dos orifice, etc.). À la suite de leur utilisation, il est possible d'obtenir une télécommande sur la station sur le réseau.
Schématiquement, les principales étapes du travail de ces programmes ressemblent à ceci:
installation en mémoire;
en attente d'une requête d'hôte distante sur laquelle le programme client est en cours d'exécution et l'échange de messages de préparation avec elle;
Transfert d'informations interceptées au client ou lui fournir un contrôle sur l'ordinateur attaqué.
Les conséquences possibles de la mise en œuvre de menaces de différentes classes sont présentées dans le tableau 3.
Tableau 3.
Conséquences possibles de la mise en œuvre de menaces de diverses classes
| N p / n | Type d'attaque | Conséquences possibles | |
| 1 | Analyse du trafic réseau | Enquête sur les fonctions de trafic réseau, interception de données transmises, y compris identifiants d'utilisateur et mots de passe | |
| 2 | Réseau de numérisation | Définition des protocoles disponibles pour les ports de services de réseau, les lois de la formation d'identifiants de connexions, de services réseau actifs, d'identificateurs et de mots de passe utilisateur | |
| 3 | Attaque "mot de passe" | Effectuer une action destructive associée à l'obtention d'un accès non autorisé | |
| 4 | Substitution d'un objet de réseau de confiance | Changer le passage des messages, changement non autorisé dans les données de route. Accès non autorisé aux ressources du réseau, imposant de fausses informations | |
| 5 | Imposer une fausse route | Modification non autorisée dans les données de route, l'analyse et la modification des données transmises, imposant des faux messages | |
| 6 | Mise en œuvre d'un faux objet réseau | Interception et voir le trafic. Accès non autorisé aux ressources du réseau, imposant de fausses informations | |
| 7 | Défaut de service | Épuisement partiel des ressources | Réduire la bande passante des canaux de communication, des dispositifs de réseautage. Performance d'applications de serveur réduite |
| Épuisement complet des ressources | L'incapacité à transmettre des messages dus au manque d'accès au support de transmission, refus d'établir une connexion. Refus de fournir un service (courrier électronique, fichier, etc.) | ||
| Violation de la connectivité logique entre les attributs, les données, les objets | Incapacité de la transmission, des messages dues au manque de données de route correctes. L'impossibilité d'obtenir des services en raison de la modification non autorisée des identifiants, des mots de passe, etc. | ||
| Utilisation d'erreurs dans les programmes | Violation des périphériques réseau | ||
| 8 | Lancement à distance des applications | En envoyant des fichiers contenant du code exécutable destructeur, infection virale | Violation de la confidentialité, de l'intégrité, de la disponibilité de l'information |
| En débordant le tampon d'application serveur | |||
| En utilisant les capacités de contrôle à distance du système fournies par des signets de logiciels et matériels cachés ou utilisé par la norme | Système de gestion caché | ||
Le processus de mise en œuvre de la menace dans le cas général consiste en quatre étapes:
collecte d'informations;
invasion (pénétration dans l'environnement d'exploitation);
exercer un accès non autorisé;
Éliminer les traces d'accès non autorisé.
Au stade de la collecte d'informations, les violateurs peuvent être intéressés par diverses informations sur la densité, notamment:
a) Sur la topologie du réseau, dans laquelle le système fonctionne. Cela peut explorer la zone autour du réseau (par exemple, l'intrus peut être intéressé par les adresses des hôtes de confiance, mais moins protégés). Pour déterminer l'accessibilité de l'hôte, les commandes les plus simples peuvent être utilisées (par exemple, la commande ping à envoyer des requêtes ECHO_REQUEST ICMP avec les attentes des réponses ECHO_REPLY ICMP. Il existe des utilitaires qui effectuent la définition parallèle de la disponibilité des hôtes (telle que FPP), qui sont capables de numériser la grande surface de l'espace d'adresses pour la disponibilité des hôtes en peu de temps. La topologie du réseau est souvent définie sur la base du "Knot Meter" (distance entre les hôtes). Dans ce cas, des méthodes telles que «modulation TTL» et enregistrement de route peuvent être appliquées.
La méthode de modulation TTL est implémentée par TRACEROUTE (pour Windows NT - TRACERT.EXE) et pour moduler le champ TTL Packet IP. Les paquets ICMP créés par la commande Ping peuvent être utilisés pour enregistrer l'itinéraire.
La collecte d'informations peut également être basée sur des requêtes:
au serveur DNS sur la liste des hôtes enregistrés (et probablement actifs);
au routeur de protocole RIP sur des itinéraires connus (informations sur la topologie du réseau);
Dispositifs configurés sans fiûtures prenant en charge SNMP (informations de topologie de réseau).
Si les Keenns sont derrière le pare-feu (moi), il est possible de collecter des informations sur la configuration du moi et de la topologie du CDS pour moi, y compris en envoyant des paquets à tous les ports de tous les hôtes présumés de l'interne (protégé). réseau;
b) sur le type de système d'exploitation (OS) dans le rayon. La méthode la plus célèbre de détermination du type OS hôte est basée sur le fait que différents types de systèmes d'exploitation sont de différentes manières impliquent les exigences de normes RFC à la pile TCP / IP. Cela permet au violateur d'identifier à distance le type d'OS installé sur l'hôte par pointillé en envoyant des demandes spécialement formées et en analysant les réponses reçues.
Il existe des moyens spéciaux qui mettent en œuvre ces méthodes, en particulier, NMAP et Queso. Vous pouvez également noter cette méthode de détermination du type d'exploitation, comme la demande la plus simple d'établir une connexion via le protocole d'accès à distance (connexions Telnet), à la suite de laquelle " apparence"Répondre Vous pouvez déterminer le type d'OS hôte. La présence de certains services peut également servir de fonctionnalité supplémentaire pour déterminer le type de système d'exploitation hôte;
C) À propos des services opérant sur des hôtes. La définition des services exécutés sur l'hôte est basée sur la méthode d'identification des "ports ouverts" visant à collecter des informations sur l'accessibilité de l'hôte. Par exemple, pour déterminer la disponibilité du port UDP, vous devez recevoir une réponse en réponse à la prémisse du package UDP au port correspondant:
si le port ICMP n'est pas atteint en réponse, le service correspondant n'est pas disponible;
si ce message n'est pas arrivé, le port "ouvert".
Des variations extrêmement diverses de l'utilisation de cette méthode sont possibles en fonction du protocole utilisé dans la pile de protocoles TCP / IP.
De nombreux logiciels ont été développés pour automatiser la collecte d'informations sur la densité. Par exemple, on peut noter les suivants:
1) Strobe, PortScanner - des moyens optimisés d'identification des services disponibles sur la base de l'enquête sur les ports TCP;
2) NMAP - outil de numérisation pour les services disponibles destinés à Linux, FreeBSD, Open BSD, Solaris, Windows NT. Est l'outil actuel le plus populaire pour analyser les services réseau;
3) Queso est un outil de haute précision permettant de déterminer le système d'exploitation hôte réseau sur la base de la parcelle du circuit des paquets TCP corrects et incorrects, de l'analyse de réponse et de la comparaison avec une multitude de réponses connues de divers systèmes d'exploitation. Cet agent est également populaire de dater la numérisation à ce jour;
4) Cheops - Le scanner de topologie de réseau vous permet d'obtenir une topologie de réseau, y compris une image de domaine, des adresses IP, etc. Il est déterminé par l'OS hôte, ainsi que des appareils réseau possibles (imprimantes, routeurs, etc.);
5) Firewalk est un scanner utilisant des méthodes de programme Traceroute dans l'intérêt de l'analyse de réponse aux paquets IP afin de déterminer la configuration du pare-feu et de construire la topologie du réseau.
Au stade de l'invasion, la présence de vulnérabilités typiques dans les services système ou les erreurs dans l'administration du système est étudiée. Un résultat réussi de l'utilisation des vulnérabilités est généralement obtenu par le processus d'un mode d'exécution privilégié (accès au mode d'exécution du processeur de commandes privilégié), entrant dans le compte de l'enregistrement de comptabilité d'un utilisateur illégal, recevant un fichier de mot de passe ou une perturbation de l'opération. de l'hôte attaqué.
Ce stade du développement de la menace est généralement multiphasé. Les phases du processus de mise en œuvre de la menace peuvent inclure, par exemple:
la mise en place d'une connexion avec l'hôte, par rapport à laquelle la menace est réalisée;
Identification de la vulnérabilité;
l'introduction d'un programme malveillant dans l'intérêt d'élargir les droits et autres.
Les menaces mises en œuvre à l'étape finale sont divisées en niveaux de pile de protocole TCP / IP, car ils sont formés sur un réseau, un transport ou un niveau appliqué en fonction du mécanisme d'invasion utilisé.
Type des menaces mises en œuvre sur les niveaux de réseau et de transport sont telles que:
a) la menace visant à la substitution d'un objet de confiance;
b) la menace visant à créer une fausse route dans le réseau;
C) menaces visant à créer un faux objet en utilisant des lacunes d'algorithmes de recherche à distance;
D) menaces du "refus de maintenance", sur la base de la défragmentation IP, sur la formation de demandes ICMP incorrectes (par exemple, l'attaque "ping de la mort" et "smurf"), sur la formation de demandes de TCP incorrectes (attaque terrestre ), Sur la création d'un forfait "tempête" avec les demandes de connexion (attaques de synthèse synchronisées), etc.
Les menaces typiques mises en œuvre au niveau de la demande comprennent des menaces destinées au lancement non autorisé des applications, des menaces, dont la mise en œuvre est associée à la mise en œuvre de signets logiciels (tels que Trojan Horse »), avec l'identification des mots de passe d'accès au réseau ou de un hôte spécifique, etc.
Si la réalisation de la menace n'a pas rapporté le violateur des droits d'accès les plus élevés dans le système, des tentatives visant à élargir ces droits au plus haut niveau possible sont possibles. Pour cela, des vulnérabilités des services réseau non seulement peuvent être utilisées, mais également la vulnérabilité des logiciels système.
Au stade de la mise en œuvre d'un accès non autorisé, la réalisation du but de mettre en œuvre une menace est effectuée:
violation de la confidentialité (copie, distribution illégale);
Violation de l'intégrité (destruction, changement);
violation de la disponibilité (blocage).
À la même scène, après ces actions, en règle générale, la soi-disant "entrée noire" est formée sous la forme d'un des services (démons) servant un port et exécutant les commandes d'intrusion. "Noir Login" est laissé dans le système dans l'intérêt de la garantie:
opportunités d'accéder à l'hôte, même si l'administrateur élimine la vulnérabilité utilisée pour mettre en œuvre avec succès la menace;
opportunités d'accéder à l'hôte aussi bas que possible;
Opportunités d'accéder rapidement à l'hôte (sans répéter le processus de réalisation de la menace).
"L'entrée noire" permet au violateur de mettre en œuvre un programme malveillant à un réseau ou à un certain hôte, par exemple, un "analyseur de mot de passe" (mot de passe Sniffer) est un programme qui attribue des identificateurs d'utilisateur et des mots de passe du trafic réseau lorsqu'il travaillait de haut niveau élevé. Protocoles (FTP, Telnet, Rlogin et T .d.). Les objets de mise en œuvre de logiciels malveillants peuvent être des programmes d'authentification et d'identification, de services réseau, de noyau de système d'exploitation, de système de fichiers, de bibliothèques, etc.
Enfin, au stade de l'élimination des traces de la menace, une tentative est faite pour détruire des traces des actions du violateur. Dans le même temps, les entrées appropriées sont supprimées de tous les journaux d'audit possibles, y compris des enregistrements sur le fait de la collecte d'informations.
5.5 Caractéristiques générales des menaces de logiciels et d'impacts mathématiquesL'impact mathématique logiciel est un impact avec l'aide de programmes malveillants. Le programme avec des conséquences potentiellement dangereuses ou un programme malveillant s'appelle un programme indépendant (ensemble d'instructions), qui est capable d'effectuer tout sous-ensemble non vide des fonctions suivantes:
Masquer les signes de leur présence dans l'environnement logiciel de l'ordinateur;
Avoir la capacité d'auto-affillation, d'une association de soi avec d'autres programmes et de transférer ses fragments vers d'autres domaines de la mémoire opérationnelle ou externe;
détruire (déformer une manière arbitraire) Code de programme dans la RAM;
exécuter sans initier à l'utilisateur (programme utilisateur en mode régulier de son exécution) Fonctions destructrices (copie, destruction, blocage, etc.);
Enregistrez des fragments d'informations de RAM dans certaines zones d'accès direct externe (local ou distant);
Pour déformer une manière arbitraire, bloquer et (ou) remplacer la mémoire externe ou sur le canal de communication, une gamme d'informations formées à la suite de l'application des programmes d'application ou déjà dans la mémoire externe des tableaux de données.
Des programmes malveillants peuvent être fabriqués (mis en œuvre) à la fois délibérément et aléatoirement dans le logiciel utilisé dans la conception, dans le processus de développement, de son accompagnement, de modifications et de paramètres. De plus, les logiciels malveillants peuvent être effectués lors du fonctionnement du CDN à partir de supports externes ou par interaction réseau à la suite de NSDS et d'utilisateurs aléatoires de CAD.
Les programmes malveillants modernes reposent sur l'utilisation de vulnérabilités de divers types de logiciels (systémiques, généraux, appliqués) et diverses technologies de réseau, possèdent une large gamme de capacités destructrices (d'une étude non autorisée des paramètres du PDN sans interférence dans le fonctionnement de CDN, avant la destruction de PDNS et de logiciels CDN) et peut agir dans tous les types de logiciels (système, appliqué, conducteur matériel, etc.).
La présence de programmes malveillants peut contribuer à la survenue de cachés, y compris des canaux d'accès non traditionnels aux informations qui vous permettent d'ouvrir, de contourner ou de bloquer les mécanismes de protection prévus dans le système, y compris le mot de passe et la protection cryptographique.
Les principaux types de programmes malveillants sont:
signets logiciels;
virus classiques logiciels (ordinateur);
programmes malveillants se propageant sur le réseau (vers de réseau);
D'autres programmes malveillants destinés à la mise en œuvre du NSD.
Les signets logiciels incluent des programmes, des fragments de code, des instructions formant des fonctionnalités logicielles non déclarées. Les programmes malveillants peuvent passer d'une espèce à une autre, par exemple, une pontage logiciel peut générer un virus de logiciel, qui, à son tour, frapper les conditions de réseau, peut former un ver de réseau ou un autre programme malveillant conçu pour mettre en œuvre une NSD.
La classification des virus logiciels et des vers de réseau sont présentés à la figure 14. Une brève description des principaux programmes malveillants est réduite aux éléments suivants. Les virus de démarrage se écrivent soit au secteur de la démarrage du disque (secteur de démarrage), soit dans le secteur contenant l'enregistrement de démarrage principal) ou modifiez le pointeur sur le secteur de la démarrage actif. Ils sont introduits dans la mémoire de l'ordinateur lors du chargement d'un disque infecté. Dans ce cas, le chargeur système lit le contenu du premier secteur du disque à partir duquel le téléchargement est effectué, met en lecture des informations dans la mémoire et les transferts à celui-ci (c'est-à-dire le virus). Après cela, les instructions de virus sont démarrées, qui, en règle générale, réduit la quantité de mémoire libre, copie son code à l'endroit libre et lit sa continuation du disque (s'il y a), intercepte le vecteur d'interruption nécessaire (généralement int 13h), lit le secteur de la mémoire de la mémoire d'origine et transmet le contrôle à celui-ci.
À l'avenir, le virus de démarrage se comporte de la même manière que le fichier: intercepte l'accès du système d'exploitation aux disques et les infecte, en fonction de certaines conditions qu'il contient des actions destructrices, entraîne des effets sonores ou des effets vidéo.
Les principales actions destructives effectuées par ces virus sont:
la destruction des informations dans les secteurs de la disquette et du disque dur;
Élimination des capacités du système d'exploitation (l'ordinateur "bloque");
distorsion du code du chargeur;
mise en forme de disquette ou de disques logiques du disque dur;
fermer l'accès aux ports COM et LPT;
remplacer les symboles lors de l'impression de textes;
écran contrariant;
changer l'étiquette du disque ou une disquette;
créer des grappes pseudo-frees;
créer des effets visuels de son et (ou) (par exemple, déposer des lettres à l'écran);
endommager les fichiers de données;
affichage d'une variété de messages;
Déconnecter les périphériques périphériques (par exemple, clavier);
changer la palette d'écran;
Remplir l'écran avec des outsiders ou des images;
remboursement d'écran et mode d'entrée de traduction du clavier;
cryptage des secteurs de Winchester;
destruction sélective des caractères affichés à l'écran lorsqu'il est réglé du clavier;
réduction de la RAM;
appeler l'impression d'écran;
blocage des enregistrements sur le disque;
table de table de partition de disque, après cela, l'ordinateur ne peut être téléchargé que sur une disquette;
bloquer le début des fichiers exécutables;
Blocage d'accès au Winchester.
Figure 14. Classification des virus du logiciel et des vers de réseau
Les virus les plus amorçables vous écrivent sur des disques de disquettes.
La méthode d'infection «écrasante» est la plus simple: le virus enregistre son code au lieu du code du fichier infecté, détruisant son contenu. Naturellement, alors que le fichier cesse de fonctionner et n'est pas restauré. De tels virus se détectent très rapidement, car le système d'exploitation et les applications sont assez rapidement cessés de fonctionner.
La catégorie "compagnon" inclut des virus qui ne modifient pas les fichiers infectés. L'algorithme du travail de ces virus est qu'un fichier double est créé pour le fichier contaminé et lorsque le fichier infecté est démarré, le contrôle reçoit ce jumeau, c'est-à-dire le virus. Les virus de l'entreprise les plus courants utilisant la fonctionnalité DOS pour d'abord exécuter des fichiers avec l'Extension.com, s'il existe deux fichiers avec le même nom dans un répertoire, mais par différents noms du nom - .com i.exe. De tels virus créent des fichiers satellites pour les fichiers EXE, qui ont le même nom, mais avec l'extension.com, par exemple, le fichier XCopy.com est créé pour le fichier xcopy.exe. Le virus est enregistré dans le fichier COM et ne modifie pas le fichier EXE. Lorsque vous démarrez un tel fichier DOS, le premier détectera et exécutera le fichier COM, c'est-à-dire le virus qui démarrera et le fichier EXE. Le second groupe fait des virus qui, lorsqu'ils sont infectés, renomment le fichier dans n'importe quel autre nom, rappelez-vous (pour le lancement ultérieur du fichier hôte) et écrivez son code sur le disque sous le nom du fichier infecté. Par exemple, le fichier xcopy.exe est renommé xcopy.exd et le virus est écrit sous le nom Xcopy.exe. Lors du démarrage, le contrôle reçoit le code de virus, qui commence alors l'original XCopy stocké sous le nom Xcopy.exd. Intéressant est le fait que cette méthode fonctionne, apparemment, dans tous les systèmes d'exploitation. Le troisième groupe comprend les virus dits «path-compagnon». Ils écrivent leur code sous le nom du fichier infecté, mais "au-dessus" d'un niveau dans les chemins prescrits (DOS, de sorte que le premier sera d'abord détecté et lance le fichier de virus) ou tolérer le fichier de sacrifice à un sous-répertoire ci-dessus. , etc.
Il est possible d'exister et d'autres types de virus compagnons utilisant d'autres idées originales ou caractéristiques d'autres systèmes d'exploitation.
Les vers de fichiers (vers) sont, dans un sens, un type de virus de l'entreprise, mais ils n'associent en aucun cas leur présence avec un fichier étant exécuté. Dans la reproduction, ils ne copient que leur code dans des catalogues de disque dans l'espoir que ces nouvelles copies seront jamais exécutées par l'utilisateur. Parfois, ces virus donnent leurs copies de noms «spéciaux» pour pousser l'utilisateur à démarrer leur copie - par exemple, install.exe ou winstart.bat. Il existe des virus WORMI qui utilisent des techniques assez inhabituelles, par exemple, enregistrant leurs copies dans les archives (ARJ, ZIP et autres). Certains virus enregistrent le lancement d'un fichier infecté dans les fichiers BAT. Ne confondez pas les virus de fichier Chervi avec des vers de réseau. Le premier n'utilise que les fonctions de fichier de tout système d'exploitation, la seconde dans leur reproduction utilise des protocoles réseau.
Les virus de liaison, tels que les virus de compagnon, ne modifient pas le contenu physique des fichiers, cependant, lorsque le fichier infecté est démarré, le système d'exploitation "Cause" exécute votre code. Ces objectifs ont atteint la modification des champs du système de fichiers nécessaires.
Les virus, les bibliothèques d'infectant des compilateurs, des modules d'objet et des textes source des programmes sont assez exotiques et pratiquement non courants. Virus, infectant des fichiers OBJ et LIB, écrivez leur code dans le format du module d'objet ou de la bibliothèque. Le fichier infecté n'est donc pas effectué et n'est pas capable de propager davantage le virus dans son état actuel. Le transporteur du virus "Live" devient un fichier COM- ou un fichier EXE.
Après avoir reçu le contrôle, le virus de fichier effectue les actions générales suivantes:
Vérifie la RAM pour la présence de votre copie et infecte la mémoire de l'ordinateur si une copie du virus n'est pas trouvée (si le virus est un résident), à la recherche de fichiers non sélectionnés dans le répertoire actuel et (ou) racine en numérisant un disque logique. arborescence de répertoire, puis infecte des fichiers détectés;
effectue des fonctions supplémentaires (le cas échéant): actions destructives, effets graphiques ou sonores, etc. (Les fonctions supplémentaires du virus résident peuvent être appelées après un certain temps après activation, en fonction de l'heure actuelle, de la configuration du système, des compteurs de virus internes ou d'autres conditions, dans ce cas, le virus lors de l'activation de l'état de l'horloge système, définit son compteurs, etc.);
Il convient de noter que le virus plus rapide est étendu, plus l'apparition de l'épidémie de ce virus est susceptible de se propager plus lentement le virus, plus il est difficile de le détecter (si, bien sûr, ce virus est inconnu). Les virus non-résidents sont souvent "lents" - la plupart d'entre eux lors de leur démarrage infectant un ou deux trois fichiers et n'ont pas le temps de flotter à l'ordinateur avant d'exécuter le programme antivirus (ou l'apparition d'une nouvelle version de l'antivirus configuré pour ce virus). Il existe bien sûr des virus "rapides" non résidieux qui recherchent et infectent tous les fichiers exécutables. Toutefois, de tels virus sont très perceptibles: lorsque vous démarrez chaque fichier infecté, l'ordinateur a du temps (parfois assez long) est activement activement. Travailler avec le disque dur, qui démasses le virus. La vitesse de distribution (infection) chez les virus résidents est généralement supérieure à celle des non-résidents - elles infectent des dossiers avec des appels à tous. En conséquence, tous les fichiers utilisés constamment en fonctionnement sont infectés sur le disque. La vitesse de distribution (infection) des virus de fichiers résidents infectant des fichiers uniquement lorsqu'ils ont commencé à exécuter, seront inférieurs à ceux des virus infectant des fichiers et lorsqu'ils s'ouvrent, renommé, modifiant les attributs de fichier, etc.
Ainsi, les principales actions destructives effectuées par les virus de fichier sont associées à la défaite des fichiers (plus souvent de fichiers exécutables ou de fichiers de données), lancement non autorisé de différentes commandes (y compris le formatage, la destruction, les commandes de copie, etc.), en modifiant le tableau de la table. Interrompre les vecteurs et le Dr. Dans le même temps, de nombreuses actions destructives similaires à celles indiquées pour les virus de démarrage peuvent être effectuées.
Les macrovirus (virus macro) sont des langues (macro-language) intégrées dans certains systèmes de traitement de données (éditeurs de texte, feuilles de calcul, etc.). Pour sa reproduction, de tels virus utilisent les capacités des langues macro-langues et avec leur aide d'aide à partir d'un fichier infecté (document ou table) à d'autres. Les macrovirus ont été les plus courants pour le forfait d'application Microsoft Office.
Pour l'existence de virus dans un système spécifique (éditeur), il est nécessaire de créer une macro-language intégrée avec des capacités:
1) les liaisons de programme sur la macro-langue à un fichier spécifique;
2) copier des macroprogrammes d'un fichier à un autre;
3) Obtention de la gestion du programme macro sans intervention de l'utilisateur (macros automatiques ou standard).
Ces conditions satisfont aux programmes d'application Microsoft Word., Excel et Microsoft Access. Ils contiennent des macromasics: Word Basic, Visual Basic pour les applications. Où:
1) Les macrogrammes sont liés à un fichier spécifique ou sont à l'intérieur du fichier;
2) La macro-language vous permet de copier des fichiers ou de déplacer des macroprogrammes vers des fichiers de service système et des fichiers modifiables;
3) Lorsque vous travaillez avec un fichier sous certaines conditions (ouverture, fermeture, etc.), les cadres macro sont appelés (le cas échéant), qui sont définis de manière particulière ou ont des noms standard.
Cette fonctionnalité macro-linguistique est destinée au traitement automatique des données dans les grandes organisations ou dans des réseaux globaux et vous permet d'organiser la "gestion automatisée de documents". D'autre part, les capacités macro-linguistiques de tels systèmes permettent au virus de transférer leur code dans d'autres fichiers et de les infecter ainsi.
La plupart des macrovirus sont actifs non seulement au moment de l'ouverture (fermeture) du fichier, mais aussi longtemps que l'éditeur lui-même est actif. Ils contiennent toutes leurs fonctions sous la forme de macros standard Word / Excel / Office. Il existe cependant des virus qui utilisent des réceptions de cacher leur code et de stocker leur code sous forme de macros non. Il y a trois réceptions de ce type, ils utilisent tous la possibilité de créer, d'éditer et d'exécuter d'autres macros. En règle générale, des virus similaires ont une petite macro (parfois polymorphe) du virus, qui provoque l'éditeur de macro intégré, crée une nouvelle macro, le remplit avec le code de base du virus, effectue, puis, en règle générale, détruit (pour cacher les traces de la présence du virus). Le code principal de tels virus est présent soit dans la macro virale elle-même sous la forme de chaînes de texte (parfois cryptées), soit stockées dans la zone des variables du document.
Le réseau inclut des virus qui utilisent activement des protocoles et des possibilités de réseaux locaux et mondiaux pour leur distribution. Le principe principal du virus du réseau est la possibilité de transférer de manière indépendante votre code sur un serveur ou un poste de travail distant. Les virus de réseau "à part entière" ont également la possibilité de fonctionner sur l'exécution de leur code sur un ordinateur distant ou au moins "appuyez sur" l'utilisateur au lancement du fichier infecté.
Les programmes malveillants assurant la mise en œuvre de la NSD peuvent être:
programmes de sélection et d'ouverture;
menaces mettant en œuvre des programmes;
Programmes démontrant l'utilisation de fonctionnalités logicielles et matérielles non déclarées et matérielles
programmes de générateur de virus informatique;
programmes démontrant des vulnérabilités d'outils de sécurité de l'information et d'autres.
En raison de la complication et de la diversité croissante des logiciels, le nombre de programmes malveillants augmente rapidement. Aujourd'hui, plus de 120 000 signatures de virus informatiques sont connues. Dans le même temps, tous ne représentent pas une menace réelle. Dans de nombreux cas, l'élimination des vulnérabilités dans le logiciel système ou d'application a entraîné le fait qu'un certain nombre de programmes malveillants ne soient plus en mesure de les mettre en œuvre. Souvent, le danger principal représente de nouveaux programmes malveillants.
5.6. Caractéristiques générales des canaux d'information non traditionnelsLa chaîne d'information non traditionnelle est un canal d'informations sécurisateur utilisant des canaux de communication traditionnels et des transformations spéciales d'informations transmises non liées à Cryptographique.
Les méthodes peuvent être utilisées pour former des canaux non conventionnels:
stéganographie informatique;
Sur la base de la manipulation de diverses caractéristiques du MDM, qui peuvent être obtenues sanctionnées (par exemple, du temps de traitement de différentes requêtes, des volumes répondre mémoire ou accessible pour lire des identificateurs de fichiers ou de processus, etc.).
Les méthodes de la stéganographie informatique sont conçues pour cacher le fait de transférer le message en incorporant les informations cachées dans des données inoffensives externes (texte, fichiers graphiques, audio ou vidéo) et comprennent deux groupes de méthodes basés:
Sur l'utilisation de propriétés spéciales des formats d'ordinateur pour le stockage et le transfert de données;
À la redondance des informations audio, visuelles ou textuelles de la position des caractéristiques psycho-physiologiques de la perception humaine.
La classification des méthodes de séparatrice informatique est illustrée à la figure 15. Leur caractéristique comparative est indiquée dans le tableau 4.
Le plus grand développement et application trouvent actuellement des méthodes de dissimulation d'informations sur les starcontationnaires graphiques. Cela est dû à une quantité relativement importante d'informations pouvant être logées dans de tels conteneurs sans distorsion d'image notable, la présence d'informations prioriales sur la taille du conteneur, l'existence dans la plupart des images réelles des zones de texture ayant une structure de bruit et bien -appropriés d'intégrer des informations, les méthodes de développement de formats de présentation d'images d'image numériques et de méthodes numériques. Actuellement, il existe un certain nombre de produits logiciels commerciaux et gratuits à la disposition de l'utilisateur habituel qui met en œuvre les méthodes de seganographiques bien connues de dissimulation d'informations. Dans le même temps, les confineurs graphiques et audio sont principalement utilisés.
Figure 15. Classification des méthodes de transformation de l'information stéganographique (SP)
Tableau 4.
Caractéristiques comparatives des méthodes de conversion d'informations Séganographiques
| Méthode stéganographique | Brève méthode caractéristique | désavantages | Avantages |
| Méthodes de dissimulation d'informations dans des confineurs audio | |||
| Basé sur l'enregistrement du message aux plus petits bits significatifs du signal source. En tant que conteneur utilisé, en règle générale, un signal audio non compressé | Transfert de message de secrétaire faible. Faible résistance à la distorsion. Utilisé uniquement pour certains formats de fichier audio. | ||
| La méthode de dissimulation basée sur la distribution du spectre | Basé sur la génération de bruit pseudo-aléatoire, qui correspond à la fonction du message introduit et mélangez le bruit résultant au récipient de signalisation principal en tant que composant additif. Codage des flux d'informations en diffusant des données de spectre de données codées | ||
| Méthode de calfaction basée sur l'utilisation d'un signal d'écho | Sur la base de l'utilisation du signal audio lui-même, détenue pour différentes périodes de temps, en fonction du message mis en œuvre ("Centre-ville en échec") | Faible coefficient d'utilisation du conteneur. Coûts de calcul importants | Messages furtivement élevés |
| Méthode de calfaction dans la phase du signal | Basé sur le fait de l'insensibilité de l'oreille humaine à la valeur absolue de la phase harmonique. Le signal audio est divisé en séquence séquence, le message est intégré en modifiant la phase du premier segment | Petit coefficient d'utilisation du conteneur | Il a une grande secrétibilité beaucoup plus élevée que la dissimulation de méthodes dans NBB |
| Méthodes de dissimulation d'informations dans des conteneurs de texte | |||
| Méthode de dissimulation basée sonique | Basé sur des espaces d'insépération à la fin des lignes, après les signes de ponctuation, entre les mots lors de l'alignement de la longueur des cordes | Les méthodes sont sensibles au transfert de texte d'un format à un autre. Perte possible de communication. Secrecy bas | Assez gros bande passante |
| Méthode de calfaction basée sur des caractéristiques syntaxiques du texte | Il repose sur le fait que les règles de ponctuation permettent des ambiguïtés lors de l'alignement des marques de ponctuation | Très faible bande passante. Complétude de la détection du message | Il existe une opportunité potentielle de choisir cette méthode à laquelle des procédures très complexes seront nécessaires pour divulguer le message. |
| Méthode de dissimulation basée sur synonyme | Basé sur l'insertion d'informations dans du texte en utilisant une alternance de mots à partir de n'importe quel groupe de synonyme | Compliqué en relation avec la langue russe en raison de la grande variété de nuances dans différents synonymes | Une des méthodes les plus prometteuses. A un post postal relativement élevé |
| Méthode de calfaction basée sur l'utilisation des erreurs | Il est basé sur le masquage des bits d'information sous des erreurs naturelles, des fautes de frappe, des violations des règles de rédaction de combinaisons de voyelles et de consonnes, remplaçant le cyrillique à la même apparition de lettres latines, etc. | Bas débit. Rapidement révélé avec une analyse statistique | Extrêmement facile à utiliser. Secrétaire élevé lors de l'analyse de l'homme |
| Méthode basée sur la génération calcidique | Sur la base de la génération d'un conteneur de texte utilisant un ensemble de propositions pour les règles. La cryptographie symétrique est utilisée | Bas débit. Matière maturité du texte créé | Le secret est déterminé par des méthodes de cryptage et, en règle générale, assez élevée |
| La méthode de dissimulation basée sur l'utilisation de la police | Basé sur l'insertion d'informations en raison des modifications du type de police et de la taille de la lettre, ainsi que sur la possibilité d'intégrer des informations dans des blocs avec des identifiants inconnus pour les identificateurs de navigateur | Facilement détecté lorsque l'échelle du document est convertie, avec Stewardy statistique | Coefficient d'utilisation élevé du conteneur |
| Méthode de calfaction basée sur l'utilisation du code de document et du fichier | Basé sur la publication des informations dans des champs réservés et inutilisés de longueur variable | Secrétaire bas avec un format de fichier connu | Facile à utiliser |
| Méthode de calfaction basée sur l'utilisation du jargon | Basé sur des mots changeants | Bas débit. Nerco spécialisé. Secrecy bas | Facile à utiliser |
| Méthode de calfaction basée sur l'utilisation de l'alternance de mots | Basé sur la génération de text-conteneur avec la formation de mots d'une certaine longueur selon la règle de codage connue | La complexité de la formation du conteneur et le message | Secrétaire suffisamment élevé lors de l'analyse de l'homme |
| Méthode de calfaction basée sur l'utilisation des premières lettres | Basé sur l'introduction du message dans les premières lettres des mots du texte avec la sélection des mots | La complexité de la compilation du message. Message de secrétaire bas | Donne une plus grande liberté de choisir un opérateur inventant un message |
| Méthodes de dissimulation d'informations dans des conteneurs graphiques | |||
| La méthode de dissimulation dans les plus petits bits significatifs | Basé sur la publication de messages aux plus petits bits significatifs de l'image d'origine | Transfert de message de secrétaire faible. Faible résistance de la distorsion | Capacité de conteneur suffisamment élevée (jusqu'à 25%) |
| Méthode de calfaction basée sur la modification du format de soumission d'index | Basé sur la palette de couleurs de réduction (remplacement) et de la commande de couleurs en pixels avec des nombres adjacents | Il est principalement utilisé avec des images comprimées. Poste de transmission à faible puissance | Capacité de conteneur réparatrice élevée |
| Méthode de calfaction basée sur l'utilisation de la fonction d'autocorrélation | Basé sur la recherche à l'aide de la fonction d'autocorrélation des zones contenant des données similaires | Complexe d'achèvement | Résistance à la plupart des transformations de conteneurs non linéaires |
| Méthode de calfaction basée sur l'utilisation de la modulation non linéaire d'un message incorporé | Basé sur la modulation du signal pseudo-aléatoire vers le signal contenant les informations cachées | ||
| Méthode de calfaction basée sur l'utilisation de la modulation emblématique du message incorporé | Basé sur la modulation du signal pseudo-aléatoire par un signal bipolaire contenant les informations cachées | Faible précision de détection. Distorsion | Message de secrétaire suffisamment élevé |
| Méthode de dissimulation basée sur la conversion en ondelettes | Basé sur les particularités des transformations d'ondelettes | Complexe d'achèvement | Grande sécrétion |
| Méthode de calfaction basée sur l'utilisation de la transformation de cosinus discrète | Basé sur les caractéristiques de la transformation de cosinus discrète | Calcul complet | Grande sécrétion |
Dans des canaux d'information non conventionnels basés sur la manipulation de diverses caractéristiques des ressources du CDN, sont utilisés pour transmettre certaines ressources partagées. Dans le même temps, dans les canaux utilisant des caractéristiques de temps, la modulation du temps d'emploi d'une ressource partagée (par exemple, la modulation du temps d'emploi du processeur, les applications peuvent échanger des données).
Dans les canaux de mémoire, la ressource est utilisée comme tampon intermédiaire (par exemple, les applications peuvent échanger des données en les plaçant dans les noms des fichiers et des répertoires créés). Dans les canaux de bases de données et de connaissances, utilisez des dépendances entre données survenant dans des bases de données et des connaissances relationnelles.
Les canaux d'information non traditionnels peuvent être formés à différents niveaux de veille:
au niveau matériel;
au niveau des microcodes et des pilotes de périphériques;
au niveau du système d'exploitation;
au niveau du logiciel d'application;
au niveau du fonctionnement des canaux de transmission de données et des lignes de communication.
Ces canaux peuvent être utilisés à la fois pour la transmission cachée des informations copiées et des commandes secrètes pour l'exécution d'actions destructrices, de lancer des applications, etc.
Pour mettre en œuvre les canaux, en règle générale, il est nécessaire de mettre en place un logiciel ou un logiciel et un signet matériel dans un système automatisé garantissant la formation d'un canal non traditionnel.
Le canal d'information non conventionnel peut exister dans le système en permanence ou activé ou activé des conditions spécifiées. Dans ce cas, l'existence de commentaires avec le sujet du NSD est possible.
5.7. Caractéristiques générales des résultats d'un accès non autorisé ou accidentelLa mise en œuvre des menaces de NSDS à l'information peut conduire aux types suivants de sa violation de la sécurité:
violation de la confidentialité (copie, distribution illégale);
Intégrité altérée (destruction, changement);
violation de la disponibilité (blocage).
Le trouble de la vie privée peut être mis en œuvre en cas de fuite d'informations:
la copier sur des médias aliénés;
transmission de celui-ci par des canaux de données;
lors de la visualisation ou de la copie pendant la réparation, la modification et l'élimination du logiciel et du matériel;
avec l'assemblage des ordures »par la violasse lors du fonctionnement du CDN.
La violation de l'intégrité des informations est effectuée grâce à l'impact (modification) sur les programmes et les données utilisateur, ainsi que des informations technologiques (système), notamment:
firmware, données et pilotes des périphériques du système informatique;
les programmes, les données et les pilotes fournissant des démarrages du système d'exploitation;
programmes et données (descripteurs, descripteurs, structures, tables, etc.) du système d'exploitation;
programmes et données de logiciels d'application;
Programmes et données de logiciels spéciaux;
Valeurs intermédiaires (opérationnelles) des programmes et des données dans le processus de traitement (lecture / écriture, réception / transmission) par des moyens et des dispositifs d'équipement informatique.
La violation de l'intégrité des informations dans le CPF peut également être causée par l'introduction d'un programme de programme et de matériel malveillant ou d'impact sur le système de sécurité de l'information ou ses éléments.
De plus, il est possible d'effectuer des informations sur les réseaux technologiques, ce qui peut assurer le fonctionnement de divers moyens de contrôler le réseau informatique:
configuration du réseau;
adresses et transfert de données d'itinéraire sur le réseau;
contrôle du réseau fonctionnel;
sécurité des informations sur le réseau.
La violation de la disponibilité des informations est fournie en formant (modification) des données source, que lorsque le traitement provoque une opération incorrecte, des défaillances d'équipement ou de la capture (chargement) des ressources informatiques système nécessaires pour effectuer des programmes et des équipements.
Ces actions peuvent conduire à une violation ou à une défaillance du fonctionnement de presque tous les moyens techniques CADN:
traitement d'informations;
informations d'E / S d'information;
média de stockage d'informations;
Canaux d'équipement et de transmission;
outils de sécurité de l'information.
