La minaccia sta nel desiderio di lanciare vari programmi dannosi precedentemente introdotti sull'host ISPD: programmi segnalibro, virus, "spie di rete", il cui scopo principale è la violazione della riservatezza, integrità, accessibilità delle informazioni e pieno controllo sul funzionamento dell'host. Inoltre, è possibile l'avvio non autorizzato di applicazioni utente per la ricezione non autorizzata dei dati necessari per l'intruso, l'avvio di processi controllati dal programma applicativo, ecc.
Si distinguono tre sottoclassi di queste minacce:
Distribuzione di file contenenti codice eseguibile non autorizzato;
Avvio dell'applicazione remota overflow del buffer del server delle applicazioni;
Avvio remoto dell'applicazione utilizzando le funzionalità di controllo remoto del sistema fornite da segnalibri hardware e software nascosti o utilizzate con mezzi regolari.
Le minacce tipiche della prima di queste sottoclassi si basano sull'attivazione di file distribuiti in caso di accesso accidentale ad esse. Esempi di tali file sono: file contenenti codice eseguibile sotto forma di documenti contenenti codice eseguibile sotto forma di elementi ActiveX, applet Java, script interpretati (ad esempio, testi JavaScript); file contenenti codici di programma eseguibili. E-mail, trasferimento file, servizi di file system di rete possono essere utilizzati per distribuire file.
Quando vengono utilizzate le minacce della seconda sottoclasse, vengono utilizzati gli svantaggi dei programmi che implementano i servizi di rete (in particolare, la mancanza di controllo sull'overflow del buffer). Impostando i registri di sistema, a volte è possibile cambiare il processore dopo un interruzione causato da un overflow del buffer per eseguire il codice contenuto all'esterno del buffer. Un esempio della realizzazione di tale minaccia è l'introduzione del noto "virus Morris".
Nel caso di minacce della terza sottoclasse, l'attaccante utilizza le funzionalità di controllo remoto del sistema fornite da componenti nascosti (ad esempio, programmi Trojan come Back. Orifice, Net Bus) o mezzi regolari di gestione e amministrazione delle reti di computer (Landesk Management Suite, Managewise, Back Orifice, ecc.) P.). Come risultato del loro uso, è possibile ottenere il controllo remoto sulla stazione sulla rete.
è improbabile.
Un elenco generalizzato della probabilità di minacce per diversi tipi di ISDN è presentato nella tabella 12.
Tabella 12
Minacce legate all'introduzione di malware sulla rete
I programmi dannosi introdotti sulla rete includono virus che utilizzano attivamente i protocolli e le capacità delle reti locali e globali per la loro diffusione. Il principio di base di un virus di rete è la capacità di trasferire autonomamente il suo codice su un server o una stazione di lavoro remoti. Allo stesso tempo, i virus di rete "a pieno titolo" hanno la capacità di eseguire il loro codice su un computer remoto o, almeno, "spingere" un utente per avviare un file infetto.
I programmi dannosi che garantiscono l'implementazione di accesso non autorizzato possono essere:
Cracking di password e programmi di cracking;
Programmi che implementano minacce;
Programmi che dimostrano l'uso delle capacità non dichiarate di ISPDn software e hardware-software;
Programmi di generazione di virus informatici;
Programmi che dimostrano vulnerabilità della sicurezza delle informazioni, ecc.
Se i PD elaborati non vengono inviati a scambi pubblici e internazionali nell'istituzione, viene installata la protezione antivirus, quindi la probabilità che la minaccia venga realizzata è è improbabile.
In tutti gli altri casi, è necessario valutare la probabilità che si realizzi una minaccia.
Un elenco generalizzato della probabilità di minacce per diversi tipi di ISDN è presentato nella tabella 13.
Tabella 13
Fattibilità delle minacce
Sulla base dei risultati della valutazione del livello di sicurezza (Y 1) (sezione 7) e della probabilità della minaccia (Y 2) (sezione 9), viene calcolato il coefficiente di realizzabilità della minaccia (Y) e la possibilità di realizzare la minaccia (tabella 4). Il coefficiente di realizzabilità della minaccia Y sarà determinato dal rapporto Y \u003d (Y 1 + Y 2) / 20
La fattibilità delle minacce è determinata sulla base della relazione sui risultati dell'audit interno.
Un elenco generalizzato della valutazione della fattibilità dell'UBPD per i diversi tipi di ISPD è presentato nelle tabelle 14-23.
Tabella 14 - IC autonomo di tipo I
| Tipo di rischi per la sicurezza PD | Possibilità di implementazione | |
| 0,25 | Basso | |
| 0,25 | Basso | |
| 0,25 | Basso | |
| 2.1.1. Furto di PC | 0,25 | Basso |
| 0,25 | Basso | |
| 0,25 | Basso | |
| 0,25 | Basso | |
| 0,25 | Basso | |
| 0,25 | Basso | |
| 0,25 | Basso | |
| 0,35 | media | |
| 0,25 | Basso | |
| 0,25 | Basso | |
| 0,35 | media | |
| 0,25 | Basso | |
| 0,25 | Basso | |
| 0,25 | Basso | |
| 0,25 | Basso | |
| 2.3.6. Disastro | 0,25 | Basso |
| 0,25 | Basso | |
| 0,35 | media | |
| 0,25 | Basso | |
| 0,25 | Basso | |
| 0,25 | Basso | |
| 0,25 | Basso | |
| 0,25 | Basso | |
| 0,25 | Basso | |
| 0,25 | Basso | |
| 0,25 | Basso | |
| 0,25 | Basso | |
| 0,25 | Basso | |
| 0,25 | Basso |
Tabella 15 - IC autonomo tipo II
| Tipo di rischi per la sicurezza PD | Tasso di realizzabilità delle minacce (Y) | Possibilità di implementazione |
| 1. Minacce da fuoriuscita attraverso canali tecnici. | ||
| 1.1. Minacce di dispersione acustica | 0,25 | Basso |
| 1.2. Minacce alla perdita di informazioni sulle specie | 0,25 | Basso |
| 1.3. Minacce di perdita di informazioni attraverso i canali PEMIN | 0,25 | Basso |
| 2. Minacce all'accesso non autorizzato alle informazioni. | ||
| 2.1. Minacce di distruzione, furto dell'hardware ISPD dei supporti di informazione attraverso l'accesso fisico agli elementi ISPD | ||
| 2.1.1. Furto di PC | 0,25 | Basso |
| 2.1.2. Furto di media | 0,25 | Basso |
| 2.1.3. Furto di chiavi e attributi di accesso | 0,25 | Basso |
| 2.1.4. Furto, modifica, distruzione di informazioni | 0,25 | Basso |
| 2.1.5. Guasto dei nodi PC, canali di comunicazione | 0,25 | Basso |
| 2.1.6. Accesso non autorizzato alle informazioni durante la manutenzione (riparazione, distruzione) dei nodi PC | 0,25 | Basso |
| 2.1.7. Arresto non autorizzato delle funzionalità di sicurezza | 0,25 | Basso |
| 2.2. Minacce di furto, modifica non autorizzata o blocco delle informazioni a causa di accesso non autorizzato (accesso non autorizzato) mediante software, hardware e software (incluso software matematico). | ||
| 2.2.1. Azioni di malware (virus) | 0,35 | media |
| 2.2.2. Funzionalità non dichiarate del software di sistema e del software per l'elaborazione dei dati personali | 0,25 | Basso |
| 2.2.3. Installa software non ufficiale | 0,25 | Basso |
| 2.3. Minacce di azioni dell'utente non intenzionali e violazioni della sicurezza di ISPDn e SZPDn nella sua composizione dovute a guasti nel software, nonché da minacce non antropogeniche (guasti alle apparecchiature dovuti a elementi inaffidabili, interruzioni di corrente) e naturali (fulmini, incendi, inondazioni e ecc.) carattere. | ||
| 2.3.1. Perdita di chiavi e attributi di accesso | 0,35 | media |
| 2.3.2. Modifica involontaria (distruzione) delle informazioni da parte dei dipendenti | 0,25 | Basso |
| 2.3.3. Arresto involontario delle funzionalità di sicurezza | 0,25 | Basso |
| 2.3.4. Guasto di hardware e software | 0,25 | Basso |
| 2.3.5. Mancanza di corrente | 0,25 | Basso |
| 2.3.6. Disastro | 0,25 | Basso |
| 2.4. Minacce ad azioni deliberate da parte di violatori interni | ||
| 2.4.1. Accesso alle informazioni, modifica, distruzione di persone non autorizzate a elaborarlo | 0,25 | Basso |
| 2.4.2. Divulgazione, modifica, distruzione di informazioni da parte di dipendenti autorizzati al trattamento | 0,35 | media |
| 2.5 Minacce di accesso non autorizzato attraverso i canali di comunicazione. | ||
| 2.5.1 Minaccia "Analisi del traffico di rete" con l'intercettazione di informazioni trasmesse dall'ISPD e ricevute da reti esterne: | ||
| 2.5.1.1. Intercettazione dall'area controllata | 0,35 | media |
| 2.5.1.2. Intercettazione all'interno della zona controllata da intrusi esterni | 0,25 | Basso |
| 2.5.1.3 Intercettazione all'interno della zona controllata da parte di intrusi interni. | 0,25 | Basso |
| 2.5.2 Minacce di scansione finalizzate all'identificazione del tipo o dei tipi di sistemi operativi utilizzati, indirizzi di rete delle stazioni di lavoro ISPD, topologia di rete, porte e servizi aperti, connessioni aperte, ecc. | 0,25 | Basso |
| 2.5.3 Minacce per identificare le password su una rete | 0,35 | media |
| 2.5.4 Minacce che impongono un percorso di rete falso | 0,25 | Basso |
| 2.5.5 Minacce di spoofing di un oggetto attendibile sulla rete | 0,25 | Basso |
| 2.5.6 Minacce legate all'introduzione di un oggetto falso sia in ISPDn che in reti esterne | 0,25 | Basso |
| 2.5.7 Minacce di negazione del servizio | 0,25 | Basso |
| 2.5.8 Minacce all'avvio remoto dell'applicazione | 0,35 | media |
| 2.5.9 Minacce legate all'introduzione di malware sulla rete | 0,35 | media |
Tabella 16 - CI autonomi di tipo III
| Tipo di rischi per la sicurezza PD | Tasso di realizzabilità delle minacce (Y) | Possibilità di implementazione |
| 1. Minacce da fuoriuscita attraverso canali tecnici. | ||
| 1.1. Minacce di dispersione acustica | 0,25 | Basso |
| 1.2. Minacce alla perdita di informazioni sulle specie | 0,25 | Basso |
| 1.3. Minacce di perdita di informazioni attraverso i canali PEMIN | 0,25 | Basso |
| 2. Minacce all'accesso non autorizzato alle informazioni. | ||
| 2.1. Minacce di distruzione, furto dell'hardware ISPD dei supporti di informazione attraverso l'accesso fisico agli elementi ISPD | ||
| 2.1.1. Furto di PC | 0,25 | Basso |
| 2.1.2. Furto di media | 0,25 | Basso |
| 2.1.3. Furto di chiavi e attributi di accesso | 0,25 | Basso |
| 2.1.4. Furto, modifica, distruzione di informazioni | 0,25 | Basso |
| 2.1.5. Guasto dei nodi PC, canali di comunicazione | 0,25 | Basso |
| 2.1.6. Accesso non autorizzato alle informazioni durante la manutenzione (riparazione, distruzione) dei nodi PC | 0,25 | Basso |
| 2.1.7. Arresto non autorizzato delle funzionalità di sicurezza | 0,25 | Basso |
| 2.2. Minacce di furto, modifica non autorizzata o blocco delle informazioni a causa di accesso non autorizzato (accesso non autorizzato) mediante software, hardware e software (incluso software matematico). | ||
| 2.2.1. Azioni di malware (virus) | 0,35 | media |
| 2.2.2. Funzionalità non dichiarate del software di sistema e del software per l'elaborazione dei dati personali | 0,25 | Basso |
| 2.2.3. Installa software non ufficiale | 0,25 | Basso |
| 2.3. Minacce di azioni dell'utente non intenzionali e violazioni della sicurezza di ISPDn e SZPDn nella sua composizione dovute a guasti nel software, nonché da minacce non antropogeniche (guasti alle apparecchiature dovuti a elementi inaffidabili, interruzioni di corrente) e naturali (fulmini, incendi, inondazioni e ecc.) carattere. | ||
| 2.3.1. Perdita di chiavi e attributi di accesso | 0,35 | media |
| 2.3.2. Modifica involontaria (distruzione) delle informazioni da parte dei dipendenti | 0,25 | Basso |
| 2.3.3. Arresto involontario delle funzionalità di sicurezza | 0,25 | Basso |
| 2.3.4. Guasto di hardware e software | 0,25 | Basso |
| 2.3.5. Mancanza di corrente | 0,25 | Basso |
| 2.3.6. Disastro | 0,25 | Basso |
| 2.4. Minacce ad azioni deliberate da parte di violatori interni | ||
| 2.4.1. Accesso alle informazioni, modifica, distruzione di persone non autorizzate a elaborarlo | 0,25 | Basso |
| 2.4.2. Divulgazione, modifica, distruzione di informazioni da parte di dipendenti autorizzati al trattamento | 0,35 | media |
| 2.5 Minacce di accesso non autorizzato attraverso i canali di comunicazione. | ||
| 2.5.1 Minaccia "Analisi del traffico di rete" con l'intercettazione di informazioni trasmesse dall'ISPD e ricevute da reti esterne: | ||
| 2.5.1.1. Intercettazione dall'area controllata | 0,25 | Basso |
| 2.5.1.2. Intercettazione all'interno della zona controllata da intrusi esterni | 0,25 | Basso |
| 2.5.1.3 Intercettazione all'interno della zona controllata da parte di intrusi interni. | 0,25 | Basso |
| 2.5.2 Minacce di scansione finalizzate all'identificazione del tipo o dei tipi di sistemi operativi utilizzati, indirizzi di rete delle stazioni di lavoro ISPD, topologia di rete, porte e servizi aperti, connessioni aperte, ecc. | 0,25 | Basso |
| 2.5.3 Minacce per identificare le password su una rete | 0,25 | Basso |
| 2.5.4 Minacce che impongono un percorso di rete falso | 0,25 | Basso |
| 2.5.5 Minacce di spoofing di un oggetto attendibile sulla rete | 0,25 | Basso |
| 2.5.6 Minacce legate all'introduzione di un oggetto falso sia in ISPDn che in reti esterne | 0,25 | Basso |
| 2.5.7 Minacce di negazione del servizio | 0,25 | Basso |
| 2.5.8 Minacce all'avvio remoto dell'applicazione | 0,25 | Basso |
| 2.5.9 Minacce legate all'introduzione di malware sulla rete | 0,25 | Basso |
Tabella 17 - Tipo IP IV autonomo
| Tipo di rischi per la sicurezza PD | Tasso di realizzabilità delle minacce (Y) | Possibilità di implementazione |
| 1. Minacce da fuoriuscita attraverso canali tecnici. | ||
| 1.1. Minacce di dispersione acustica | 0,25 | Basso |
| 1.2. Minacce alla perdita di informazioni sulle specie | 0,25 | Basso |
| 1.3. Minacce di perdita di informazioni attraverso i canali PEMIN | 0,25 | Basso |
| 2. Minacce all'accesso non autorizzato alle informazioni. | ||
| 2.1. Minacce di distruzione, furto dell'hardware ISPD dei supporti di informazione attraverso l'accesso fisico agli elementi ISPD | ||
| 2.1.1. Furto di PC | 0,25 | Basso |
| 2.1.2. Furto di media | 0,25 | Basso |
| 2.1.3. Furto di chiavi e attributi di accesso | 0,25 | Basso |
| 2.1.4. Furto, modifica, distruzione di informazioni | 0,25 | Basso |
| 2.1.5. Guasto dei nodi PC, canali di comunicazione | 0,25 | Basso |
| 2.1.6. Accesso non autorizzato alle informazioni durante la manutenzione (riparazione, distruzione) dei nodi PC | 0,25 | Basso |
| 2.1.7. Arresto non autorizzato delle funzionalità di sicurezza | 0,25 | Basso |
| 2.2. Minacce di furto, modifica non autorizzata o blocco delle informazioni a causa di accesso non autorizzato (accesso non autorizzato) mediante software, hardware e software (incluso software matematico). | ||
| 2.2.1. Azioni di malware (virus) | 0,35 | media |
| 2.2.2. Funzionalità non dichiarate del software di sistema e del software per l'elaborazione dei dati personali | 0,25 | Basso |
| 2.2.3. Installa software non ufficiale | 0,25 | Basso |
| 2.3. Minacce di azioni dell'utente non intenzionali e violazioni della sicurezza di ISPDn e SZPDn nella sua composizione dovute a guasti nel software, nonché da minacce non antropogeniche (guasti alle apparecchiature dovuti a elementi inaffidabili, interruzioni di corrente) e naturali (fulmini, incendi, inondazioni e ecc.) carattere. | ||
| 2.3.1. Perdita di chiavi e attributi di accesso | 0,35 | media |
| 2.3.2. Modifica involontaria (distruzione) delle informazioni da parte dei dipendenti | 0,25 | Basso |
| 2.3.3. Arresto involontario delle funzionalità di sicurezza | 0,25 | Basso |
| 2.3.4. Guasto di hardware e software | 0,25 | Basso |
| 2.3.5. Mancanza di corrente | 0,25 | Basso |
| 2.3.6. Disastro | 0,25 | Basso |
| 2.4. Minacce ad azioni deliberate da parte di violatori interni | ||
| 2.4.1. Accesso alle informazioni, modifica, distruzione di persone non autorizzate a elaborarlo | 0,25 | Basso |
| 2.4.2. Divulgazione, modifica, distruzione di informazioni da parte di dipendenti autorizzati al trattamento | 0,35 | media |
| 2.5 Minacce di accesso non autorizzato attraverso i canali di comunicazione. | ||
| 2.5.1 Minaccia "Analisi del traffico di rete" con l'intercettazione di informazioni trasmesse dall'ISPD e ricevute da reti esterne: | ||
| 2.5.1.1. Intercettazione dall'area controllata | 0,35 | media |
| 2.5.1.2. Intercettazione all'interno della zona controllata da intrusi esterni | 0,25 | Basso |
| 2.5.1.3 Intercettazione all'interno della zona controllata da parte di intrusi interni. | 0,25 | Basso |
| 2.5.2 Minacce di scansione finalizzate all'identificazione del tipo o dei tipi di sistemi operativi utilizzati, indirizzi di rete delle stazioni di lavoro ISPD, topologia di rete, porte e servizi aperti, connessioni aperte, ecc. | 0,25 | Basso |
| 2.5.3 Minacce per identificare le password su una rete | 0,35 | media |
| 2.5.4 Minacce che impongono un percorso di rete falso | 0,25 | Basso |
| 2.5.5 Minacce di spoofing di un oggetto attendibile sulla rete | 0,25 | Basso |
| 2.5.6 Minacce legate all'introduzione di un oggetto falso sia in ISPDn che in reti esterne | 0,25 | Basso |
| 2.5.7 Minacce di negazione del servizio | 0,25 | Basso |
| 2.5.8 Minacce all'avvio remoto dell'applicazione | 0,35 | media |
| 2.5.9 Minacce legate all'introduzione di malware sulla rete | 0,35 | media |
Tabella 18 - Tipo di CI autonomo V
| Tipo di rischi per la sicurezza PD | Tasso di realizzabilità delle minacce (Y) | Possibilità di implementazione |
| 1. Minacce da fuoriuscita attraverso canali tecnici. | ||
| 1.1. Minacce di dispersione acustica | 0,25 | Basso |
| 1.2. Minacce alla perdita di informazioni sulle specie | 0,25 | Basso |
| 1.3. Minacce di perdita di informazioni attraverso i canali PEMIN | 0,25 | Basso |
| 2. Minacce all'accesso non autorizzato alle informazioni. | ||
| 2.1. Minacce di distruzione, furto dell'hardware ISPD dei supporti di informazione attraverso l'accesso fisico agli elementi ISPD | ||
| 2.1.1. Furto di PC | 0,25 | Basso |
| 2.1.2. Furto di media | 0,25 | Basso |
| 2.1.3. Furto di chiavi e attributi di accesso | 0,25 | Basso |
| 2.1.4. Furto, modifica, distruzione di informazioni | 0,25 | Basso |
| 2.1.5. Guasto dei nodi PC, canali di comunicazione | 0,25 | Basso |
| 2.1.6. Accesso non autorizzato alle informazioni durante la manutenzione (riparazione, distruzione) dei nodi PC | 0,25 | Basso |
| 2.1.7. Arresto non autorizzato delle funzionalità di sicurezza | 0,25 | Basso |
| 2.2. Minacce di furto, modifica non autorizzata o blocco delle informazioni a causa di accesso non autorizzato (accesso non autorizzato) mediante software, hardware e software (incluso software matematico). | ||
| 2.2.1. Azioni di malware (virus) | 0,35 | media |
| 2.2.2. Funzionalità non dichiarate del software di sistema e del software per l'elaborazione dei dati personali | 0,25 | Basso |
| 2.2.3. Installa software non ufficiale | 0,25 | Basso |
| 2.3. Minacce di azioni dell'utente non intenzionali e violazioni della sicurezza di ISPDn e SZPDn nella sua composizione dovute a guasti nel software, nonché da minacce non antropogeniche (guasti alle apparecchiature dovuti a elementi inaffidabili, interruzioni di corrente) e naturali (fulmini, incendi, inondazioni e ecc.) carattere. | ||
| 2.3.1. Perdita di chiavi e attributi di accesso | 0,35 | media |
| 2.3.2. Modifica involontaria (distruzione) delle informazioni da parte dei dipendenti | 0,25 | Basso |
| 2.3.3. Arresto involontario delle funzionalità di sicurezza | 0,25 | Basso |
| 2.3.4. Guasto di hardware e software | 0,25 | Basso |
| 2.3.5. Mancanza di corrente | 0,25 | Basso |
| 2.3.6. Disastro | 0,25 | Basso |
| 2.4. Minacce ad azioni deliberate da parte di violatori interni | ||
| 2.4.1. Accesso alle informazioni, modifica, distruzione di persone non autorizzate a elaborarlo | 0,25 | Basso |
| 2.4.2. Divulgazione, modifica, distruzione di informazioni da parte di dipendenti autorizzati al trattamento | 0,35 | media |
| 2.5 Minacce di accesso non autorizzato attraverso i canali di comunicazione. | ||
| 2.5.1 Minaccia "Analisi del traffico di rete" con l'intercettazione di informazioni trasmesse dall'ISPD e ricevute da reti esterne: | ||
| 2.5.1.1. Intercettazione dall'area controllata | 0,25 | Basso |
| 2.5.1.2. Intercettazione all'interno della zona controllata da intrusi esterni | 0,25 | Basso |
| 2.5.1.3 Intercettazione all'interno della zona controllata da parte di intrusi interni. | 0,25 | Basso |
| 2.5.2 Minacce di scansione finalizzate all'identificazione del tipo o dei tipi di sistemi operativi utilizzati, indirizzi di rete delle stazioni di lavoro ISPD, topologia di rete, porte e servizi aperti, connessioni aperte, ecc. | 0,25 | Basso |
| 2.5.3 Minacce per identificare le password su una rete | 0,25 | Basso |
| 2.5.4 Minacce che impongono un percorso di rete falso | 0,25 | Basso |
| 2.5.5 Minacce di spoofing di un oggetto attendibile sulla rete | 0,25 | Basso |
| 2.5.6 Minacce legate all'introduzione di un oggetto falso sia in ISPDn che in reti esterne | 0,25 | Basso |
| 2.5.7 Minacce di negazione del servizio | 0,25 | Basso |
| 2.5.8 Minacce all'avvio remoto dell'applicazione | 0,25 | Basso |
| 2.5.9 Minacce legate all'introduzione di malware sulla rete | 0,25 | Basso |
Tabella 19 - CI autonomi di tipo VI
| Tipo di rischi per la sicurezza PD | Tasso di realizzabilità delle minacce (Y) | Possibilità di implementazione |
| 1. Minacce da fuoriuscita attraverso canali tecnici. | ||
| 1.1. Minacce di dispersione acustica | 0,25 | Basso |
| 1.2. Minacce alla perdita di informazioni sulle specie | 0,25 | Basso |
| 1.3. Minacce di perdita di informazioni attraverso i canali PEMIN | 0,25 | Basso |
| 2. Minacce all'accesso non autorizzato alle informazioni. | ||
| 2.1. Minacce di distruzione, furto dell'hardware ISPD dei supporti di informazione attraverso l'accesso fisico agli elementi ISPD | ||
| 2.1.1. Furto di PC | 0,25 | Basso |
| 2.1.2. Furto di media | 0,25 | Basso |
| 2.1.3. Furto di chiavi e attributi di accesso | 0,25 | Basso |
| 2.1.4. Furto, modifica, distruzione di informazioni | 0,25 | Basso |
| 2.1.5. Guasto dei nodi PC, canali di comunicazione | 0,25 | Basso |
| 2.1.6. Accesso non autorizzato alle informazioni durante la manutenzione (riparazione, distruzione) dei nodi PC | 0,25 | Basso |
| 2.1.7. Arresto non autorizzato delle funzionalità di sicurezza | 0,25 | Basso |
| 2.2. Minacce di furto, modifica non autorizzata o blocco delle informazioni a causa di accesso non autorizzato (accesso non autorizzato) mediante software, hardware e software (incluso software matematico). | ||
| 2.2.1. Azioni di malware (virus) | 0,35 | media |
| 2.2.2. Funzionalità non dichiarate del software di sistema e del software per l'elaborazione dei dati personali | 0,25 | Basso |
| 2.2.3. Installa software non ufficiale | 0,25 | Basso |
| 2.3. Minacce di azioni dell'utente non intenzionali e violazioni della sicurezza di ISPDn e SZPDn nella sua composizione dovute a guasti nel software, nonché da minacce non antropogeniche (guasti alle apparecchiature dovuti a elementi inaffidabili, interruzioni di corrente) e naturali (fulmini, incendi, inondazioni e ecc.) carattere. | ||
| 2.3.1. Perdita di chiavi e attributi di accesso | 0,35 | media |
| 2.3.2. Modifica involontaria (distruzione) delle informazioni da parte dei dipendenti | 0,25 | Basso |
| 2.3.3. Arresto involontario delle funzionalità di sicurezza | 0,25 | Basso |
| 2.3.4. Guasto di hardware e software | 0,25 | Basso |
| 2.3.5. Mancanza di corrente | 0,25 | Basso |
| 2.3.6. Disastro | 0,25 | Basso |
| 2.4. Minacce ad azioni deliberate da parte di violatori interni | ||
| 2.4.1. Accesso alle informazioni, modifica, distruzione di persone non autorizzate a elaborarlo | 0,25 | Basso |
| 2.4.2. Divulgazione, modifica, distruzione di informazioni da parte di dipendenti autorizzati al trattamento | 0,35 | media |
| 2.5 Minacce di accesso non autorizzato attraverso i canali di comunicazione. | ||
| 2.5.1 Minaccia "Analisi del traffico di rete" con l'intercettazione di informazioni trasmesse dall'ISPD e ricevute da reti esterne: | ||
| 2.5.1.1. Intercettazione dall'area controllata | 0,35 | media |
| 2.5.1.2. Intercettazione all'interno della zona controllata da intrusi esterni | 0,25 | Basso |
| 2.5.1.3 Intercettazione all'interno della zona controllata da parte di intrusi interni. | 0,25 | Basso |
| 2.5.2 Minacce di scansione finalizzate all'identificazione del tipo o dei tipi di sistemi operativi utilizzati, indirizzi di rete delle stazioni di lavoro ISPD, topologia di rete, porte e servizi aperti, connessioni aperte, ecc. | 0,25 | Basso |
| 2.5.3 Minacce per identificare le password su una rete | 0,35 | media |
| 2.5.4 Minacce che impongono un percorso di rete falso | 0,25 | Basso |
| 2.5.5 Minacce di spoofing di un oggetto attendibile sulla rete | 0,25 | Basso |
| 2.5.6 Minacce legate all'introduzione di un oggetto falso sia in ISPDn che in reti esterne | 0,25 | Basso |
| 2.5.7 Minacce di negazione del servizio | 0,25 | Basso |
| 2.5.8 Minacce all'avvio remoto dell'applicazione | 0,35 | media |
| 2.5.9 Minacce legate all'introduzione di malware sulla rete | 0,35 | media |
Tabella 20 - tipo I LIS
La minaccia sta nel desiderio di lanciare vari programmi dannosi precedentemente introdotti sull'host ISPD: programmi segnalibro, virus, "spie di rete", il cui scopo principale è la violazione della riservatezza, integrità, accessibilità delle informazioni e pieno controllo sul funzionamento dell'host. Inoltre, è possibile l'avvio non autorizzato di applicazioni utente per la ricezione non autorizzata dei dati necessari per l'intruso, l'avvio di processi controllati dal programma applicativo, ecc.
Si distinguono tre sottoclassi di queste minacce:
distribuzione di file contenenti codice eseguibile non autorizzato;
avvio remoto dell'applicazione overflow del buffer dell'applicazione server;
avvio remoto dell'applicazione utilizzando le funzionalità di controllo remoto del sistema fornite da segnalibri hardware e software nascosti o utilizzate con mezzi regolari.
Le minacce tipiche della prima di queste sottoclassi si basano sull'attivazione di file distribuiti in caso di accesso accidentale ad esse. Esempi di tali file sono: file contenenti codice eseguibile sotto forma di documenti contenenti codice eseguibile sotto forma di elementi ActiveX, applet Java, script interpretati (ad esempio, testi JavaScript); file contenenti codici di programma eseguibili. E-mail, trasferimento file, servizi di file system di rete possono essere utilizzati per distribuire file.
Quando vengono utilizzate le minacce della seconda sottoclasse, vengono utilizzati gli svantaggi dei programmi che implementano i servizi di rete (in particolare, la mancanza di controllo sull'overflow del buffer). Impostando i registri di sistema, a volte è possibile cambiare il processore dopo un interruzione causato da un overflow del buffer per eseguire il codice contenuto all'esterno del buffer. Un esempio della realizzazione di tale minaccia è l'introduzione del noto "virus Morris".
Nel caso di minacce della terza sottoclasse, l'attaccante utilizza le funzionalità di controllo remoto del sistema fornite da componenti nascosti (ad esempio, programmi Trojan come Back. Orifice, Net Bus) o mezzi regolari di gestione e amministrazione delle reti di computer (Landesk Management Suite, Managewise, Back Orifice, ecc.) P.). Come risultato del loro uso, è possibile ottenere il controllo remoto sulla stazione sulla rete.
Se i PD elaborati non vengono inviati a scambi pubblici e internazionali nell'istituzione, viene installata la protezione antivirus, quindi la probabilità che la minaccia venga realizzata è è improbabile.
In tutti gli altri casi, è necessario valutare la probabilità che si realizzi una minaccia.
Un elenco generalizzato della probabilità di minacce per diversi tipi di ISDN è presentato nella tabella 12.
Tabella 12
|
Digitare ISPDn |
La probabilità della minaccia |
Coeff. probabilità di implementazione della minaccia |
|
Tipo IP autonomo |
improbabile | |
|
CI di tipo II indipendente | ||
|
IC autonomo tipo III |
improbabile | |
|
IP autonomo tipo IV | ||
|
Vtype IC autonomo |
improbabile | |
|
CI autonomi di tipo VI | ||
|
Tipo di LIS |
improbabile | |
|
LIS IItype | ||
|
Tipo di IP distribuito |
improbabile | |
|
IP di tipo II distribuito |
Programmi dannosi possono essere introdotti (introdotti) sia intenzionalmente che accidentalmente nel software utilizzato in ISPD durante il suo sviluppo, manutenzione, modifica e configurazione. Inoltre, durante il funzionamento di ISDN possono essere introdotti programmi dannosi da supporti di archiviazione esterni o tramite interazione di rete a seguito di accesso non autorizzato o accidentalmente da parte di utenti ISDN.
I moderni programmi malware si basano sullo sfruttamento delle vulnerabilità di vari tipi di software (sistema, generale, applicazione) e varie tecnologie di rete, hanno una vasta gamma di capacità distruttive (dalla ricerca non autorizzata dei parametri ISDN senza interferire con il funzionamento ISDN, alla distruzione di malware e software ISDN) e possono agire in tutti i tipi di software (sistema, applicazione, driver hardware, ecc.).
La presenza di malware nell'ISPD può causare canali nascosti, compresi quelli non tradizionali, di accesso alle informazioni che consentono l'apertura, il bypass o il blocco dei meccanismi di sicurezza previsti nel sistema, tra cui password e protezione crittografica.
I principali tipi di malware sono:
· Segnalibri software;
· Virus del software classico (computer);
· Diffusione del malware sulla rete (worm di rete);
· Altri programmi dannosi progettati per eseguire accessi non autorizzati.
I segnalibri software includono programmi, frammenti di codice e istruzioni che formano funzionalità software non dichiarate. I programmi dannosi possono passare da un tipo a un altro, ad esempio un segnalibro di programma può generare un virus di programma che, a sua volta, una volta in condizioni di rete, può formare un worm di rete o un altro programma dannoso progettato per eseguire accessi non autorizzati.
Una breve descrizione del malware principale è la seguente. I virus di avvio si scrivono nel settore di avvio del disco (settore di avvio), nel settore contenente il caricatore di avvio del sistema (Master Boot Record) o cambiano il puntatore nel settore di avvio attivo. Sono incorporati nella memoria del computer quando si avvia da un disco infetto. In questo caso, il caricatore di sistema legge i contenuti del primo settore del disco da cui viene effettuato il download, inserisce le informazioni di lettura in memoria e trasferisce il controllo ad esse (ovvero al virus). Successivamente, il virus inizia l'esecuzione, che, di regola, riduce la quantità di memoria libera, copia il suo codice nello spazio libero e legge la sua continuazione (se presente) dal disco, intercetta i vettori di interruzione necessari (di solito INT 13H), legge l'originale in memoria settore di avvio e trasferisce il controllo ad esso.
In futuro, un virus di avvio si comporta come un virus di file: intercetta gli accessi del sistema operativo ai dischi e li infetta; a seconda di determinate condizioni, esegue azioni distruttive e provoca effetti sonori o effetti video.
Le principali azioni distruttive eseguite da questi virus sono:
· Distruzione di informazioni nei settori dei floppy disk e dei dischi rigidi;
· Esclusione della possibilità di caricare il sistema operativo (il computer "si blocca");
· Corruzione del codice Bootloader;
· Formattazione di floppy disk o unità logiche del disco rigido;
· Blocco dell'accesso alle porte COM e LPT;
· Sostituzione di caratteri durante la stampa di testi;
Strappi lo schermo;
· Cambia l'etichetta di un disco o dischetto;
· Creazione di cluster pseudo-falliti;
· Creazione di effetti sonori e (o) visivi (ad esempio una caduta
lettere sullo schermo);
· Corruzione dei file di dati;
· Visualizzazione di una varietà di messaggi;
· Disabilitazione dei dispositivi periferici (ad esempio tastiere);
· Cambia la palette dello schermo;
· Riempimento dello schermo con caratteri o immagini estranei;
· Fuori schermo e input di standby dalla tastiera;
· Crittografia dei settori del disco rigido;
· Distruzione selettiva dei caratteri visualizzati sullo schermo durante la digitazione da tastiera;
· Riduzione della quantità di RAM;
· Chiama il contenuto della schermata di stampa;
· Blocco della scrittura su disco;
· Distruzione della tabella delle partizioni (Disk Partition Table), dopo la quale il computer può essere avviato solo da un floppy disk;
· Blocco dell'avvio di file eseguibili;
· Blocco dell'accesso al disco rigido.
|
Figura 3. Classificazione dei virus software e worm di rete
La maggior parte dei virus di avvio si riscrive su floppy disk.
Il metodo di infezione da "sovrascrittura" è il più semplice: il virus scrive il suo codice anziché il codice del file infetto, distruggendo il suo contenuto. Naturalmente, il file smette di funzionare e non viene ripristinato. Tali virus si rilevano molto rapidamente, poiché il sistema operativo e le applicazioni smettono di funzionare abbastanza rapidamente.
La categoria dei compagni include virus che non modificano i file infetti. L'algoritmo di questi virus è che viene creato un doppio file per il file infetto e quando viene avviato il file infetto, questo doppio, cioè il virus, ottiene il controllo. I virus associati più comuni che utilizzano la funzionalità DOS sono i primi a eseguire file con estensione .COM se sono presenti due file con lo stesso nome nella stessa directory ma con estensioni di nome diverse: .COM e.EXE. Tali virus creano file satellitari per file EXE con lo stesso nome ma con l'estensione .COM, ad esempio, il file XCOPY.COM viene creato per il file XCOPY.EXE. Il virus viene scritto nel file COM e non modifica il file EXE in alcun modo. All'avvio di tale file, DOS sarà il primo a rilevare ed eseguire il file COM, ovvero un virus che avvierà quindi il file EXE. Il secondo gruppo è costituito da virus che, se infetti, rinominano il file con un altro nome, lo ricordano (per il successivo avvio del file host) e scrivono il loro codice su disco con il nome del file infetto. Ad esempio, il file XCOPY.EXE viene rinominato in XCOPY.EXD e il virus è scritto con il nome XCOPY.EXE. All'avvio, il controllo riceve un codice virus, che quindi avvia l'XCOPY originale, memorizzato con il nome XCOPY.EXD. Un fatto interessante è che questo metodo sembra funzionare su tutti i sistemi operativi. Il terzo gruppo include i cosiddetti virus "Path-companion". O scrivono il loro codice sotto il nome del file infetto, ma "un livello superiore" di un livello nei percorsi prescritti (DOS, quindi, sarà il primo a rilevare e lanciare il file virus), oppure trasferirà il file della vittima una sottodirectory sopra, ecc.
Potrebbero esserci altri tipi di virus associati che utilizzano altre idee o funzionalità originali di altri sistemi operativi.
I file worm (worm) sono, in un certo senso, un tipo di virus associato, ma non associano in alcun modo la loro presenza a nessun file eseguibile. Quando vengono propagati, copiano semplicemente il loro codice su qualsiasi directory del disco nella speranza che queste nuove copie vengano mai lanciate dall'utente. A volte questi virus danno alle loro copie nomi "speciali" al fine di spingere l'utente ad avviare la propria copia, ad esempio INSTALL.EXE o WINSTART.BAT. Ci sono virus worm che usano trucchi piuttosto insoliti, ad esempio, scrivendo le loro copie negli archivi (ARJ, ZIP e altri). Alcuni virus scrivono il comando per avviare un file infetto in file .bat. I worm di file non devono essere confusi con i worm di rete. I primi usano solo le funzioni dei file di qualsiasi sistema operativo, mentre i secondi usano i protocolli di rete per la loro propagazione.
I virus di collegamento, come i virus associati, non modificano il contenuto fisico dei file, tuttavia, quando viene avviato un file infetto, "forzano" il sistema operativo a eseguire il suo codice. Raggiungono questo obiettivo modificando i campi necessari del file system.
I virus che infettano le librerie del compilatore, i moduli oggetto e il codice sorgente del programma sono piuttosto esotici e praticamente rari. I virus che infettano i file OBJ e LIB scrivono il loro codice nel formato di un modulo oggetto o libreria. Il file infetto, pertanto, non è eseguibile e non è in grado di diffondere ulteriormente il virus nel suo stato attuale. Il corriere del virus "vivente" diventa un file COM o EXE.
Avendo acquisito il controllo, un virus file esegue le seguenti azioni generali:
· Controlla la RAM per la sua copia e infetta
memoria del computer, se non viene trovata una copia del virus (nel caso in cui il virus sia residente), cerca i file non infetti nella directory radice corrente e (o) scansionando l'albero delle directory delle unità logiche e quindi infetta i file rilevati;
· Esegue funzioni aggiuntive (se presenti): distruttive
azioni, effetti grafici o sonori, ecc. (ulteriori funzioni del virus residente possono essere richiamate dopo l'attivazione in base all'ora corrente, alla configurazione del sistema, ai contatori di virus interni o ad altre condizioni, in questo caso, quando attivato, il virus elabora lo stato dell'orologio di sistema, imposta i propri contatori, ecc.);
· Restituisce il controllo al programma principale (se presente).
Va notato che più velocemente si diffonde il virus, più è probabile che si verifichi un'epidemia di questo virus, più lento si diffonde il virus, più difficile è rilevare (se, naturalmente, questo virus è sconosciuto). I virus non residenti sono spesso "lenti": la maggior parte di essi, quando avviati, infetta uno o due o tre file e non ha il tempo di inondare il computer prima dell'avvio del programma antivirus (o quando viene visualizzata una nuova versione dell'antivirus configurato per questo virus). Esistono, naturalmente, virus "veloci" non residenti che, quando vengono avviati, cercano e infettano tutti i file eseguibili, tuttavia, tali virus sono molto evidenti: quando ogni file infetto viene avviato, il computer lavora attivamente con il disco rigido per un periodo di tempo (a volte piuttosto lungo), che smaschera il virus. La velocità di diffusione (infezione) dei virus residenti è generalmente superiore a quella dei virus non residenti: infettano i file quando vi si accede. Di conseguenza, tutti o quasi tutti i file che vengono costantemente utilizzati nel lavoro vengono infettati sul disco. Il tasso di diffusione (infezione) dei virus di file residenti che infettano i file solo quando vengono avviati per l'esecuzione sarà inferiore a quello dei virus che infettano i file e quando si aprono, rinominano, cambiano gli attributi dei file, ecc.
Pertanto, le principali azioni distruttive eseguite dai virus dei file sono associate alla sconfitta dei file (di solito eseguibili o file di dati), all'avvio non autorizzato di vari comandi (inclusi formattazione, distruzione, copia, ecc.), Cambiando la tabella dei vettori di interruzione e ecc. Allo stesso tempo, è possibile eseguire molte azioni distruttive simili a quelle indicate per i virus di avvio.
I macro virus sono programmi in lingue (macro lingue) incorporati in alcuni sistemi di elaborazione dei dati (editor di testo, fogli di calcolo, ecc.). Per la loro riproduzione, tali virus utilizzano le capacità dei linguaggi macro e, con il loro aiuto, si trasferiscono da un file infetto (documento o tabella) ad altri. I virus macro più comuni per il pacchetto dell'applicazione Microsoft Office.
Perché i virus esistano in un sistema specifico (editor), è necessario avere un linguaggio macro incorporato nel sistema con le seguenti funzionalità:
1) associare il programma in macro lingua a un file specifico;
2) copia dei programmi macro da un file all'altro;
3) ottenere il controllo del programma macro senza l'intervento dell'utente (macro automatiche o standard).
Queste condizioni sono soddisfatte dai programmi applicativi Microsoft Word, Excel e Microsoft Access. Contengono linguaggi macro: Word Basic, Visual Basic, Applications Edition. in cui:
1) i programmi macro sono collegati a un file specifico o si trovano all'interno del file;
2) il linguaggio macro consente di copiare file o spostare programmi macro in file di servizio di sistema e file modificabili;
3) quando si lavora con un file in determinate condizioni (apertura, chiusura, ecc.), Vengono chiamati i programmi macro (se presenti), che sono definiti in modo speciale o hanno nomi standard.
Questa funzione dei linguaggi macro è progettata per l'elaborazione automatica dei dati in organizzazioni di grandi dimensioni o in reti globali e consente di organizzare la cosiddetta "gestione automatizzata dei documenti". D'altro canto, le capacità del linguaggio macro di tali sistemi consentono al virus di trasferire il suo codice su altri file e quindi infettarli.
La maggior parte dei virus macro sono attivi non solo al momento dell'apertura (chiusura) del file, ma finché l'editor stesso è attivo. Contengono tutte le loro funzioni sotto forma di macro Word / Excel / Office standard. Tuttavia, ci sono virus che usano i trucchi per nascondere il loro codice e archiviarlo sotto forma di non-macro. Sono noti tre trucchi simili, tutti utilizzano la capacità delle macro per creare, modificare ed eseguire altre macro. In genere, tali virus hanno un piccolo caricatore di virus macro (a volte polimorfico) che chiama l'editor di macro integrato, crea una nuova macro, la popola con il codice principale del virus, la esegue e quindi, di regola, la distrugge (per nascondere le tracce della presenza del virus). Il codice principale di tali virus è presente nella macro del virus stesso sotto forma di stringhe di testo (a volte crittografate) oppure è memorizzato nell'area variabile del documento.
I virus di rete includono virus che utilizzano attivamente i protocolli e le capacità delle reti locali e globali per la loro distribuzione. Il principio di base di un virus di rete è la capacità di trasferire autonomamente il suo codice su un server o una stazione di lavoro remoti. Allo stesso tempo, i virus di rete "a pieno titolo" hanno la capacità di eseguire il loro codice su un computer remoto o, almeno, "spingere" un utente per avviare un file infetto.
I programmi dannosi che garantiscono l'implementazione di accesso non autorizzato possono essere:
· Programmi di cracking e cracking delle password;
· Programmi che implementano minacce;
· Programmi che dimostrano l'uso delle capacità non dichiarate dell'ISPDn software e hardware-software;
· Generatori di virus informatici;
· Programmi che dimostrano vulnerabilità della sicurezza
informazioni, ecc.
A causa della crescente complessità e diversità del software, il numero di programmi dannosi sta crescendo rapidamente. Oggi sono note oltre 120 mila firme di virus informatici. Tuttavia, non tutti rappresentano una vera minaccia. In molti casi, l'eliminazione delle vulnerabilità nel sistema o nel software applicativo ha portato al fatto che numerosi programmi dannosi non sono più in grado di invaderli. Spesso il pericolo principale è il nuovo malware.
Classificazione dei trasgressori
Sulla base della loro appartenenza all'ISPD, tutti i trasgressori sono divisi in due gruppi:
Violatori esterni: soggetti che non hanno il diritto di rimanere nella zona controllata all'interno della quale si trovano le apparecchiature ISPDn;
Violatori interni: soggetti che hanno il diritto di rimanere nella zona controllata all'interno della quale si trovano le apparecchiature ISPDn.
Intruso esterno
Come violatore esterno della sicurezza delle informazioni, consideriamo un trasgressore che non ha accesso diretto ai mezzi tecnici e alle risorse del sistema situato all'interno della zona controllata.
Si presume che un intruso esterno non possa influenzare le informazioni protette attraverso canali di perdite tecniche, poiché la quantità di informazioni memorizzate ed elaborate nell'ISPD non è sufficiente a motivare un violatore esterno a compiere azioni volte a trapelare informazioni attraverso i canali di perdite tecniche.
Si presume che un intruso esterno possa influenzare le informazioni protette solo durante la sua trasmissione attraverso i canali di comunicazione.
Intruso
Le capacità del violatore interno dipendono sostanzialmente dai fattori restrittivi che operano all'interno della zona controllata, di cui il principale è l'implementazione di una serie di misure organizzative e tecniche, tra cui la selezione, il collocamento e l'offerta di alta formazione professionale, l'ammissione delle persone nella zona controllata e il controllo svolgere attività volte a prevenire e reprimere l'accesso non autorizzato.
Il sistema di controllo degli accessi ISPDn ISPDn fornisce una differenziazione dei diritti dell'utente per accedere a informazioni, software, hardware e altre risorse ISPDn in conformità con la politica di sicurezza delle informazioni adottata (regole). I trasgressori interni possono includere (tabella):
Amministratori di sottosistemi specifici o database ISPD (categoria II);
Utenti esterni a un determinato oratore (categoria IV);
Persone con la possibilità di accedere a un sistema di trasmissione dei dati (categoria V);
Personale HCI che ha autorizzato l'accesso a fini ufficiali ai locali in cui si trovano gli elementi ISPD, ma non dispone dei diritti di accesso ad essi (categoria VI);
Assistenti (sicurezza, ingegneria e servizi tecnici, ecc.) (Categoria VII);
Personale autorizzato degli sviluppatori ISPDN, che su base contrattuale ha diritto alla manutenzione e alla modifica dei componenti ISPDn (categoria VIII).
Alle persone delle categorie I e II sono assegnati i compiti di amministrare il software, l'hardware e le banche dati ISPD per l'integrazione e garantire l'interazione dei vari sottosistemi che compongono l'ISPD. Gli amministratori possono potenzialmente implementare minacce IS utilizzando la possibilità di accedere direttamente alle informazioni protette elaborate e archiviate in ISPD, nonché hardware e software ISPD, compresi i mezzi di protezione utilizzati in specifici AS, in conformità con l'autorità amministrativa istituita per loro.
Queste persone conoscono bene gli algoritmi di base, i protocolli, implementati e utilizzati in sottosistemi specifici e ISPD nel suo insieme, nonché i principi e i concetti applicati di sicurezza.
Si suggerisce che potrebbero usare equipaggiamento standard identificare vulnerabilità o implementare minacce IS. Questa apparecchiatura può essere parte di mezzi regolari o può essere facilmente ottenuta (ad esempio, software ottenuto da fonti esterne disponibili al pubblico).
Inoltre, si presume che queste persone potrebbero avere attrezzature specializzate.
A causa del loro ruolo eccezionale nell'ISPD, le categorie di persone delle categorie I e II devono essere soggette a una serie di misure organizzative e di regime speciali per la selezione, l'occupazione, la nomina e il monitoraggio dello svolgimento delle funzioni funzionali.
Si presume che solo i proxy saranno inclusi nelle categorie I e II, e quindi queste persone saranno escluse dall'elenco dei probabili trasgressori.
Si presume che le persone delle categorie III-VIII siano probabilmente autori di reato.
Le opportunità di un intruso interno dipendono in modo significativo
dall'operare all'interno della zona controllata
e misure di protezione organizzativa e tecnica, tra cui l'ammissione delle persone fisiche al PD e il controllo della procedura di lavoro.
I potenziali violatori interni sono suddivisi in otto categorie a seconda del metodo di accesso e dei diritti di accesso al PD.
Questo articolo è dedicato all'analisi delle moderne tecnologie che rappresentano una minaccia per la sicurezza dei computer e le principali tendenze nello sviluppo di malware nel 2006.
Tendenze malware comuni
Nel 2006, l'autore ha scoperto e analizzato 49 697 varietà uniche di malware, di cui 47 907 appartengono alle famiglie principali. Sulla base dei risultati della loro analisi, viene costruito un diagramma che riflette la percentuale di malware per famiglia all'anno (Fig. 1).
Figura. 1. La percentuale di campioni ITW per famiglia
Come puoi vedere dal diagramma, il 37% di tutti i programmi esaminati sono programmi dannosi come Trojan-Downloader. Questa è una tendenza costante che è stata rintracciata dal 2005 ed è associata al fatto che Trojan-Downloader viene utilizzato per installare programmi dannosi, aggiornare le loro versioni e ripristinare se viene rimosso l'antivirus. La maggior parte dei casi indagati di danni informatici causati da malware comporta l'avvio di Trojan-Downloader, a causa dell'uso di un exploit o di metodi di social engineering. I successivi più comuni sono i worm di posta e di rete, i trojan di vari tipi e i programmi di classe Dialer.
Un'analisi statistica della dinamica di rilevamento dei campioni ITW (in the Wild) mostra che gli sviluppatori di malware hanno adottato e stanno attivamente utilizzando nuove tecnologie per combattere gli scanner di firme. La sua metodologia è estremamente semplice e consiste nel fatto che lo sviluppatore crea centinaia di varianti dello stesso programma dannoso in un breve periodo di tempo. I metodi più semplici per ottenere varie opzioni sono i seguenti:
- riconfezionamento da parte di vari packer e cryptor - può essere eseguito periodicamente o al momento della richiesta di un file, un set di packer e i loro parametri possono variare in modo casuale. Gli autori di malware utilizzano spesso packer e cryptor modificati, il che rende difficile verificarli;
- ricompilare il file con modifiche sufficienti a cambiare le firme del file con cui viene rilevato;
- inserendo un file dannoso in un pacchetto di installazione creato utilizzando programmi di installazione come NSIS (Scriptable Installation System). La presenza del codice open source del programma di installazione consente di modificarlo un po ', il che renderà impossibile decomprimere e analizzare automaticamente durante la scansione anti-virus.
Questi metodi sono noti da tempo e possono essere utilizzati in varie combinazioni, il che consente all'autore di malware di creare facilmente centinaia di varianti dello stesso programma senza utilizzare i metodi polimorfici classici. Questo può essere visto nell'esempio di Trojan-Downloader. Win32.Zlob. Considera le statistiche dei suoi risultati negli ultimi 40 giorni (Fig. 2).
Figura. 2. Dinamica del rilevamento di Trojan-Downloader.Win32.Zlob in 40 giorni
Durante questo periodo, l'autore ha scoperto 2198 campioni ITW di Trojan-Downloader.Win32. Zlob, di cui 1213 sono unici. Il grafico mostra due curve: il numero di rilevamenti al giorno e il numero di varietà uniche di file. Dal grafico si può vedere che circa ogni secondo rilevato ITW campione è un file univoco e questa dipendenza viene stabilmente mantenuta per un mese. Se facciamo affidamento sulla classificazione di Kaspersky Lab, i 1213 campioni esaminati appartengono a 169 sottospecie di questo programma dannoso. Tali statistiche sono molto rivelatrici: ci sono molti programmi dannosi per i quali vengono rilevate dozzine di nuove modifiche ogni giorno.
Un'altra tendenza caratteristica può essere tracciata sull'esempio del worm mail Warezov. Per un mese, l'autore ha registrato 5333 campioni ITW, di cui 459 unici. Il grafico della distribuzione delle attività è mostrato in Fig. 3.
Figura. 3. L'attività del worm mail Warezov
Gli ingranaggi sul grafico sono periodi epidemici associati alla comparsa di nuove varietà di worm (in questo caso: Email-Worm.Win32.Warezov.gj, Email-Worm.Win32. Warezov.fb, Email-Worm.Win32.Warezov.hb) . Il grafico mostra che l'epidemia attiva dura in media 2-5 giorni, dopodiché il numero di rilevamenti di Warezov scende al livello di "sfondo" - 10-30 campioni al giorno. L'aspetto di tali esplosioni è comprensibile: un nuovo tipo di worm non viene rilevato dagli antivirus, di conseguenza, il worm infetta una massa di PC e inizia un'epidemia. Si sta sviluppando rapidamente, ma durante il giorno le firme del worm cadono nel database antivirus e l'epidemia sta rapidamente diminuendo.
Separatamente, vale la pena notare la distribuzione attiva dei trojan della categoria Trojan-SPY - spie che rubano i dati personali degli utenti. Tra questi c'è il famoso Goldun, che ruba informazioni sui conti del sistema e-gold. Le ultime versioni di questo Trojan utilizzano attivamente le tecnologie rootkit per mascherare e spionaggio (Fig. 4).
Figura. 4. Programma di attività di Trojan-SPY per l'ultimo mese
Un'analisi delle tecnologie utilizzate dai creatori del malware mostra che nel 2006 non sono state inventate nuove tecnologie rivoluzionarie: gli sviluppatori di malware prendono quantità, non qualità. Tuttavia, sono apparsi numerosi nuovi prodotti che meritano una discussione più dettagliata.
In conclusione, consideriamo un grafico sommario mediato costruito secondo il sistema di monitoraggio automatico dell'attività virale dell'autore (Fig. 5).
Figura. 5. Statistiche del sistema di ricerca automatica del malware negli ultimi 40 giorni
Dal grafico si può vedere che il sistema automatizzato registra una media di circa 400 nuove varietà uniche di malware al giorno.
Tecnologia rootkit
Nel 2006 sono stati osservati lo sviluppo e il miglioramento di vari tipi di rootkit e tecnologie rootkit. Molti programmi dannosi utilizzano queste tecnologie e ci sono diverse direzioni:
- tecnologie rootkit per mascherare, il cui scopo principale è mascherare la presenza di malware e dei suoi componenti su disco e in memoria, nonché mascherare le chiavi nel registro. Per risolvere questo problema, le funzioni API vengono utilizzate più spesso e nei rootkit moderni esistono metodi di intercettazione molto sofisticati, ad esempio l'iniezione di codice in funzioni del kernel non esportate, l'intercettazione dell'intercettazione Int2E, la modifica di SYSENTER. Separatamente, si dovrebbero notare i rootkit DKOM (Direct Kernel Object Manipulation), che stanno diventando sempre più popolari;
- tecnologie rootkit per lo spionaggio: come suggerisce il nome, vengono utilizzate per monitorare il lavoro dell'utente e raccogliere informazioni riservate. L'esempio più tipico è Trojan-Spy.Win32.Goldun, che, secondo il principio del rootkit, intercetta lo scambio di applicazioni con Internet per cercare i dettagli della carta di credito dell'utente nel flusso di informazioni trasmesse.
Diamo un'occhiata più da vicino ai rootkit DKOM. Il principio del loro lavoro si basa sulla modifica delle strutture di sistema che descrivono processi, driver, thread e descrittori. Un tale intervento nelle strutture del sistema, ovviamente, è un'operazione non documentata e molto scorretta, ma il sistema continua a funzionare più o meno stabilmente dopo un tale intervento. La conseguenza pratica di questo intervento è che un attaccante può manipolare le strutture centrali per i propri scopi. Ad esempio, per ciascuno dei processi in esecuzione, nel kernel viene creata una struttura EPROCESS che memorizza molte informazioni sul processo, in particolare l'identificatore (PID) e il nome del processo. Queste strutture formano un elenco doppiamente collegato e vengono utilizzate dalle funzioni API che restituiscono informazioni sui processi in esecuzione. Per mascherare un processo, un rootkit DKOM rimuove semplicemente la sua struttura EPROCESS dall'elenco. L'implementazione di un tale travestimento è estremamente semplice e su Internet sono disponibili decine di implementazioni pronte con testi sorgente. I rootkit più complessi non si limitano a rimuovere la struttura dell'oggetto mascherato dall'elenco: distorcono i dati in esso contenuti. Di conseguenza, anche se un anti-rootkit può trovare un processo o un driver mascherato, riceverà informazioni errate al riguardo. A causa della facilità di implementazione, tali rootkit stanno diventando sempre più popolari e sta diventando sempre più difficile gestirli. Gli studi hanno dimostrato che il modo più efficace per contrastarli è installare un sistema di monitoraggio nel sistema che controlla l'inizio / fine dei processi e il carico / scarico dei driver. Il confronto delle informazioni raccolte da tale monitor con i dati restituiti dal sistema consente di rilevare le modifiche apportate dal rootkit DKOM, comprenderne la natura e rilevare processi e driver mascherati.
Programmi falsi
La direzione dei programmi Hoax continua a svilupparsi attivamente, quindi puoi prevedere con sicurezza la crescita di questa famiglia nel 2007. In una traduzione letterale, Hoax è una bufala; bugie, bufale, falsità. L'idea dei programmi Hoax è di ingannare l'utente, molto spesso con l'obiettivo di realizzare un profitto o rubare informazioni riservate. Di recente c'è stata la tendenza a criminalizzare questo settore: se un anno fa la maggior parte dei programmi Hoax ha compiuto azioni relativamente innocue, simulando un'infezione da virus di un computer o codice SpyWare, allora quelli moderni sono sempre più mirati a rubare password o informazioni riservate. Un esempio di tale programma è mostrato in Fig. 6.
Figura. 6. La finestra del programma Hoax.Win32.Delf
Come segue dalla finestra dell'applicazione e dalla sua descrizione, questo è un generatore di licenze per Kaspersky Anti-Virus. Il programma offre di ottenere una licenza generata per inserire l'indirizzo e-mail e la password per accedere alla casella di posta. Se un utente credulone lo fa e fa clic sul pulsante "Ottieni codice", i dati inseriti da lui verranno trasmessi all'attaccante via e-mail. Nell'ultimo anno sono stati trovati oltre un centinaio di programmi simili: si tratta di una varietà di "cracker", generatori di carte di pagamento per operatori mobili, generatori di numeri di carte di credito, mezzi per "hackerare" cassette postali, ecc. Una caratteristica comune di tali programmi è l'inganno dell'utente, mirato al fatto che ha inserito in modo indipendente alcune informazioni riservate. La seconda caratteristica delle applicazioni Hoax è la loro primitività: contengono molti errori e scorrettezze nel codice del programma. Tali programmi sono spesso creati da scrittori di virus alle prime armi.
La tendenza di sviluppo dei programmi Hoax può essere considerata sull'esempio di Hoax.Win32.Renos (Fig. 7).
Figura. 7. Dinamica del rilevamento di Hoax.Win32.Renos negli ultimi 30 giorni
Il grafico mostra che l'autore scopre almeno una nuova varietà unica di questo programma dannoso al giorno e in appena un mese ci sono 60 nuove varianti uniche che sono incluse in 18 sottospecie secondo la classificazione di Kaspersky Lab.
Programmi trojan per ricatto ed estorsione
Programmi di questa varietà sono apparsi per la prima volta un paio d'anni fa. Il loro obiettivo principale è quello di ricattare direttamente l'utente e estorcere denaro da lui per ripristinare il computer alla capacità di lavoro o decifrare le informazioni codificate dal programma Trojan. Molto spesso, l'autore deve ricevere rapporti e richieste di aiuto dagli utenti interessati dal Trojan.Win32.Krotten Trojan, che ha estorto 25 WMZ per il ripristino del computer. Questo Trojan è estremamente primitivo nel design e tutto il suo lavoro si riduce alla modifica di centinaia di chiavi nel registro (una descrizione dettagliata di una delle sue varianti è disponibile all'indirizzo: http://www.z-oleg.com/secur/virlist/vir1180. php). La particolarità dei programmi Trojan di questa famiglia è che per il trattamento di un computer, la ricerca e la distruzione di un trojan non sono sufficienti: è ancora necessario riparare i danni causati dal sistema. Se i danni al registro causati dal Trojan Krotten sono abbastanza facili da riparare, le informazioni crittografate sono molto più difficili da recuperare. Ad esempio, il creatore del trojan Gpcode che crittografa i dati utente aumenta gradualmente la lunghezza della chiave di crittografia, sfidando quindi le aziende antivirus. Ulteriori informazioni su questo trojan sono disponibili nell'articolo "Blackmailer" all'indirizzo: http://www.viruslist.com/en/analysis?pubid\u003d188790045.
Iniezione del codice del programma come metodo di avvio nascosto
Questa tecnologia è chiaramente visibile nel moderno Trojan-Downloader, tuttavia inizia gradualmente ad essere implementata in altri programmi dannosi. La sua metodologia è relativamente semplice: un programma dannoso è condizionatamente composto da due parti: un "iniettore" e un codice Trojan. Il compito dell '"iniettore" è decomprimere e decrittografare il codice Trojan e introdurlo in un determinato processo di sistema. In questa fase, i programmi dannosi studiati differiscono nella metodologia per l'introduzione del codice Trojan:
- implementazione cambiando il contesto: il principio di tale implementazione prevede la preparazione e la decrittografia del codice Trojan (passaggio 1), l'avvio di qualsiasi processo di sistema e quando il processo viene creato, viene creato in modalità "sospesa" (passaggio 2). Inoltre, l'iniettore immette il codice Trojan nella memoria del processo (inoltre, tale iniezione può essere eseguita sopra il codice della macchina del processo), dopo di che modifica il contesto del thread principale in modo che il Trojan riceva il controllo (passaggio 3). Successivamente, viene avviato il thread principale e viene eseguito il codice Trojan. Questo metodo è interessante in quanto qualsiasi gestore di processi mostrerà l'esecuzione di un programma legittimo (ad esempio svchost.exe), ma al posto di questo, il codice Trojan verrà archiviato ed eseguito in memoria invece del codice macchina del programma legittimo. Questo metodo consente di bypassare i firewall che non dispongono dei mezzi per controllare la modifica della memoria di processo e il contesto dei suoi thread (Fig. 8);
Figura. 8. Attuazione della sostituzione del contesto
- l'introduzione di thread Trojan: questo metodo è ideologicamente simile al precedente, ma invece di sostituire il codice macchina del processo con un Trojan ed eseguirlo nel thread principale, viene creato un thread aggiuntivo in cui viene eseguito il codice Trojan (passaggio 2). Questo metodo viene spesso utilizzato per iniettare il codice Trojan in un processo esistente senza interromperne il funzionamento (Fig. 9).
Figura. 9. Implementazione del metodo di creazione di Trojan Stream
Nuovi metodi di furto WebMoney
Alla fine del 2006, è stato scoperto un nuovo metodo abbastanza originale per rubare denaro nel sistema WebMoney. Si basa sull'introduzione di un piccolo programma Trojan sul computer dell'utente che controlla se la finestra del programma WebMoney è aperta. Se è aperto, gli appunti vengono monitorati. Quando viene rilevato un testo nel buffer che inizia con "Z", "R" o "E", il Trojan considera questo come il numero di portafoglio del destinatario che l'utente ha copiato negli Appunti per l'input nella finestra WebMoney. Questo numero viene rimosso dal buffer e sostituito con il numero "Z", "R" o "E" del portafoglio dell'attaccante. Il metodo è estremamente semplice da implementare e può essere abbastanza efficace, dal momento che i numeri di portafoglio non vengono immessi molto spesso, ma vengono copiati attraverso il buffer e non tutti gli utenti controllano attentamente se il numero di portafoglio è inserito dal buffer. Questo trojan è una chiara dimostrazione dell'ingegnosità degli sviluppatori di programmi Trojan.
Rilevamento di debugger e PC virtuali
Le tecniche per gestire debugger, emulatori e computer virtuali sono note da tempo. Il loro utilizzo rende difficile analizzare un programma dannoso per uno specialista alle prime armi; pertanto, tali tecnologie sono state utilizzate dagli sviluppatori di malware per molto tempo e con successo. Tuttavia, nell'ultimo anno è emersa una nuova tendenza: il malware ha iniziato a provare a determinare il tipo di computer: è vero hardware o emulazione creata da programmi come Virtual PC o VMWare. Tali PC virtuali sono stati usati attivamente e vengono utilizzati dagli amministratori per studiare programmi sospetti. Se c'è un segno di spunta in caso di avvio su un PC virtuale (in alternativa, sotto il debugger), il programma dannoso può semplicemente interrompere il suo lavoro, impedendone lo studio. Inoltre, un tale controllo colpirà sistemi come Norman Sandbox, poiché il loro principio di analisi euristica, in sostanza, è quello di eseguire il programma in studio sull'emulatore e studiarne il funzionamento. Alla fine dell'anno, gli specialisti del SANS Institute Tom Liston e Ed Skoudis hanno pubblicato un rapporto molto interessante che descrive le tecniche per rilevare le macchine virtuali e gestire i metodi di rilevamento. Il documento può essere scaricato dal sito Web SANS: http://handlers.sans.org/tliston/ThwartingVMDetection_Liston_Skoudis.pdf.
Bot di spam e proxy di Troia
Spam bot è un Trojan autonomo progettato per inviare automaticamente spam da un computer infetto. Un proxy Trojan è un programma dannoso con le funzioni di un server proxy; il suo funzionamento sul computer interessato consente a un utente malintenzionato di utilizzarlo come server proxy per inviare spam, eseguire attacchi su altri computer ed eseguire altre azioni illegali. Molti moderni robot spam camuffano attivamente la loro presenza utilizzando le tecnologie rootkit e sono protetti dalla cancellazione. Le statistiche mostrano che al mese vengono rilevate più di 400 varietà ITW di programmi simili, di cui circa 130 nuove, uniche.
Lo spam bot rappresenta una grande minaccia per le reti aziendali, poiché il suo lavoro porta alle seguenti conseguenze:
- elevato consumo di traffico di rete - nella maggior parte delle città della Russia non esistono tariffe illimitate, quindi la presenza di numerosi computer interessati sulla rete può portare a perdite finanziarie tangibili a causa del consumo di traffico;
- molte reti aziendali utilizzano indirizzi IP statici e propri server di posta per accedere a Internet. Di conseguenza, a seguito dell'attività dei bot di spam, questi indirizzi IP rientreranno rapidamente nelle liste nere dei filtri antispam, il che significa che i server di posta su Internet smetteranno di accettare la posta dal server di posta aziendale. È possibile escludere il tuo indirizzo IP dalla lista nera, ma è abbastanza difficile e se ci sono spambots funzionanti nella rete, questa sarà una misura temporanea.
I metodi per contrastare i robot spam e i proxy trojan sono molto semplici: è necessario bloccare la porta 25 per tutti gli utenti e idealmente vietare loro di scambiare direttamente con Internet, sostituendola con il lavoro tramite server proxy. Ad esempio, in Smolenskenergo tutti gli utenti lavorano con Internet solo attraverso un proxy con un sistema di filtri e ogni giorno viene eseguito uno studio di protocollo semiautomatico, che viene eseguito dall'amministratore di sistema in servizio. L'analizzatore da lui utilizzato semplifica il rilevamento di anomalie nel traffico degli utenti e adotta misure tempestive per bloccare attività sospette. Inoltre, i sistemi IDS (Intrusion Detection System) che studiano il traffico di rete dell'utente forniscono risultati eccellenti.
Diffondere malware con cercapersone su Internet
Secondo le statistiche raccolte nel corso dell'anno, i cercapersone su Internet sono sempre più utilizzati per introdurre programmi dannosi nei computer degli utenti. La tecnica di implementazione è un classico social engineering. Da un computer infetto per conto di ICQ del suo proprietario, un programma dannoso invia messaggi chiamando con un pretesto o un altro per aprire il collegamento specificato. Il collegamento porta a un trojan (in genere con un nome semantico come picture.pif o flash_movie.exe) o a un sito le cui pagine contengono exploit. Di particolare nota è il fatto che sono i collegamenti a programmi dannosi distribuiti e non i loro corpi.
Nell'ultimo anno sono state registrate diverse epidemie basate su questo principio. In Russia, le vittime erano principalmente utenti dell'ICQ e molto spesso venivano distribuiti programmi della categoria Trojan-PSW - programmi Trojan che rubavano le password degli utenti. L'autore riceve in media da uno a dieci messaggi al giorno e alla fine dell'anno si è registrato un aumento di tali invii.
La protezione da malware di questo tipo è estremamente semplice: non è necessario aprire tali collegamenti. Tuttavia, le statistiche mostrano che la curiosità degli utenti supera spesso, soprattutto se i messaggi arrivano per conto di una persona nota. Nell'ambiente aziendale, una misura efficace è il divieto di utilizzare i cercapersone su Internet, poiché in termini di sicurezza sono un canale ideale per la perdita di informazioni.
Chiavette USB
Un calo significativo dei prezzi dei flash media (nonché un aumento del volume e della velocità) ha portato a un effetto naturale, un rapido aumento della loro popolarità tra gli utenti. Di conseguenza, gli sviluppatori di malware hanno iniziato a creare programmi che infettano le unità flash. Il principio di funzionamento di tali programmi è estremamente semplice: nella radice del disco vengono creati due file: il file di testo autorun.inf e una copia del programma dannoso. Il file di esecuzione automatica viene utilizzato per eseguire automaticamente un programma dannoso quando un'unità è connessa. Un classico esempio di tale malware è il worm Mail di Rays. È importante notare che una fotocamera digitale, molti telefoni cellulari, lettori MP3 e PDA possono agire da portatori di virus - sono indistinguibili da un disco flash dal punto di vista di un computer (e quindi di un worm). Inoltre, la presenza di malware non influisce sul funzionamento di questi dispositivi.
Una misura di protezione contro tali programmi può essere la disabilitazione dell'autorun, l'uso di monitor antivirus per il rilevamento e la rimozione tempestivi del virus. Prima della minaccia di un afflusso di virus e perdita di informazioni, molte aziende stanno adottando misure più rigorose: bloccano la possibilità di connettere dispositivi USB utilizzando software specializzato o bloccano i driver USB nelle impostazioni di sistema.
Conclusione
Questo articolo ha esaminato le principali direzioni nello sviluppo di malware. La loro analisi ti consente di fare diverse previsioni:
- si può presumere che la direzione del mascheramento da scanner di firme e protezione contro il lancio su computer virtuali ed emulatori si svilupperà attivamente. Pertanto, per combattere tale malware, vengono prima di tutto vari analizzatori euristici, firewall e sistemi di difesa proattiva;
- vi è una chiara criminalizzazione del settore dello sviluppo di malware, la percentuale di robot spam, proxy trojan, trojan per furto di password e dati personali degli utenti è in aumento. A differenza di virus e worm, tali programmi possono causare danni tangibili agli utenti. Lo sviluppo del settore Trojan, che crittografa i dati agli utenti, ci fa riflettere sull'opportunità di backup periodici, che praticamente riduce a zero il danno derivante da tale trojan;
- l'analisi delle infezioni del computer mostra che spesso gli aggressori hackerano i web server per ospitare su di essi programmi dannosi. Un simile hack è molto più pericoloso della cosiddetta deface (che sostituisce la pagina iniziale del sito), poiché i computer dei visitatori del sito possono essere infettati. Si può presumere che questa direzione si svilupperà molto attivamente;
- unità flash, fotocamere digitali, lettori MP3 e PDA stanno diventando una minaccia crescente per la sicurezza perché possono essere virus. Molti utenti sottovalutano il pericolo rappresentato, ad esempio, da una fotocamera digitale - tuttavia, nel 2006, l'autore è stato in grado di studiare almeno 30 incidenti relativi a tali dispositivi;
- un'analisi del dispositivo e dei principi operativi dei programmi dannosi mostra che puoi proteggerti da loro senza un antivirus: semplicemente non saranno in grado di funzionare in un sistema configurato in modo competente. La regola di protezione di base è il lavoro dell'utente con un account limitato, che, in particolare, non dispone dei privilegi per scrivere nelle cartelle di sistema, per gestire servizi e driver e anche per modificare le chiavi del registro di sistema.
Agisce Edizione da 15.02.2008
"MODELLO DI BASE DELLE MINACCE DI SICUREZZA PER I DATI PERSONALI AL LORO TRATTAMENTO NEI SISTEMI DI INFORMAZIONE DEI DATI PERSONALI" (approvato FSTEC del 15.02.2008 della Federazione Russa)
5. Minacce di accesso non autorizzato alle informazioni nel sistema di informazione dei dati personali
Le minacce all'accesso non autorizzato all'ISPD mediante software e hardware e software vengono realizzate durante accessi non autorizzati, inclusi quelli casuali, con conseguente violazione della riservatezza (copia, distribuzione non autorizzata), integrità (distruzione, modifica) e accessibilità (blocco) dei dati personali e include:
minacce di accesso (penetrazione) nell'ambiente operativo del computer utilizzando software standard (strumenti del sistema operativo o applicazioni di uso generale);
Minacce per la creazione di modalità operative anormali di strumenti software (hardware e software) a causa di deliberati cambiamenti nei dati di servizio, ignorando le restrizioni sulla composizione e le caratteristiche delle informazioni elaborate, le distorsioni (modifiche) dei dati stessi previste in condizioni normali, ecc .;
minacce dell'introduzione di programmi dannosi (effetti matematici e programmatici).
La composizione degli elementi per la descrizione delle minacce di accesso non autorizzato alle informazioni in ISDN è mostrata nella Figura 3.
Inoltre, sono possibili minacce combinate, che sono una combinazione di queste minacce. Ad esempio, a causa dell'introduzione di malware, è possibile creare condizioni per l'accesso non autorizzato all'ambiente operativo del computer, anche attraverso la formazione di canali di accesso alle informazioni non tradizionali.
Le minacce di accesso (penetrazione) nell'ambiente operativo ISPD mediante software standard sono suddivise in minacce di accesso diretto e remoto. Le minacce di accesso diretto vengono eseguite tramite software e hardware / software di input / output del computer. Le minacce di accesso remoto sono implementate utilizzando i protocolli di comunicazione di rete.
Queste minacce sono realizzate rispetto a ISDN, sia sulla base di una stazione di lavoro automatizzata non inclusa nella rete di comunicazione pubblica, sia in relazione a tutti gli ISDN, collegati a reti di comunicazione pubbliche e reti di scambio internazionale di informazioni.
Una descrizione delle minacce di accesso (penetrazione) all'ambiente operativo del computer può essere formalmente presentata come segue:
minaccia di manomissione in ISPDn: \u003d<источник угрозы>, <уязвимость ИСПДн>, <способ реализации угрозы>, <объект воздействия (программа, протокол, данные и др.)>, <деструктивное действие>.
Figura 3. Elementi di una descrizione delle minacce all'accesso non autorizzato alle informazioni in ISDN
Le minacce alla creazione di modalità operative anomale degli strumenti software (hardware e software) sono le minacce Denial of Service. Di norma, queste minacce sono considerate in relazione all'ISDN in base a sistemi di informazione locali e distribuiti, indipendentemente dalla connessione dello scambio di informazioni. La loro implementazione è dovuta al fatto che lo sviluppo di sistemi o software applicativi non tiene conto della possibilità di azioni deliberate per un cambiamento mirato:
condizioni di elaborazione dei dati (ad esempio, ignorando le restrizioni sulla lunghezza del pacchetto di messaggi);
Formati di presentazione dei dati (con incoerenza dei formati modificati stabiliti per l'elaborazione secondo i protocolli di interazione di rete);
Software di elaborazione dati.
Come risultato delle minacce Denial of Service, buffer overflow e procedure di elaborazione dei blocchi, procedure di elaborazione "loop" e "blocco" del computer, eliminazione dei pacchetti di messaggi, ecc. Una descrizione di tali minacce può essere formalmente presentata come segue:
minaccia di negazione del servizio: \u003d<источник угрозы>, <уязвимость ИСПДн>, <способ реализации угрозы>, <объект воздействия (носитель ПДн)>, <непосредственный результат реализации угрозы (переполнение буфера, блокирование процедуры обработки, "зацикливание" обработки и т.п.)>.
Le minacce di introduzione di programmi dannosi (effetti matematici e programmatici) sono inappropriate da descrivere con gli stessi dettagli delle minacce di cui sopra. Ciò è dovuto al fatto che, in primo luogo, il numero di malware oggi è già ben oltre centomila. In secondo luogo, quando si organizza la protezione delle informazioni in pratica, di norma, è sufficiente conoscere solo la classe del malware, i metodi e le conseguenze della sua implementazione (infezione). A questo proposito, le minacce di impatto matematico-programmatico (PMV) possono essere formalmente presentate come segue:
minaccia di PMV in ISPDn: \u003d<класс вредоносной программы (с указанием среды обитания)>, <источник угрозы (носитель вредоносной программы)>, <способ инфицирования>, <объект воздействия (загрузочный сектор, файл и т.п.)>, <описание возможных деструктивных действий>, <дополнительная информация об угрозе (резидентность, скорость распространения, полиморфичность и др.)>.
Di seguito è una descrizione generale delle fonti di minacce alla sicurezza delle informazioni, le vulnerabilità che possono essere utilizzate per implementare le minacce all'accesso non autorizzato e una descrizione dei risultati dell'accesso non autorizzato o casuale. Una descrizione dei metodi per implementare le minacce viene fornita quando si descrivono le minacce di accesso (penetrazione) nell'ambiente operativo del computer, le minacce di negazione del servizio e le minacce di PMV.
Le fonti delle minacce NSD nell'ISPD possono essere:
intruso;
vettore di malware;
segnalibro hardware.
Le minacce alla sicurezza della PD associate all'introduzione di segnalibri hardware sono determinate in conformità con i documenti normativi del Servizio di sicurezza federale della Federazione Russa secondo le modalità da essa stabilite.
In base alla disponibilità del diritto di accesso permanente o singolo all'area controllata (CI) dell'ISPD, i trasgressori sono divisi in due tipi:
violatori che non hanno accesso all'ISPD, realizzando minacce da reti esterne di comunicazione pubblica e (o) reti di scambio internazionale di informazioni, - violatori esterni;
i trasgressori che hanno accesso all'ISPD, compresi gli utenti ISPD che implementano minacce direttamente nell'ISPD, sono violatori interni.
I trasgressori esterni possono essere:
servizi di intelligence statale;
Strutture criminali;
concorrenti (organizzazioni concorrenti);
partner senza scrupoli;
entità esterne (individui).
Un intruso esterno ha le seguenti caratteristiche:
effettuare l'accesso non autorizzato ai canali di comunicazione che vanno oltre i locali degli uffici;
effettuare accessi non autorizzati attraverso postazioni di lavoro collegate a reti pubbliche di comunicazione e (o) reti internazionali di scambio di informazioni;
eseguire accessi non autorizzati alle informazioni mediante speciali interventi software tramite virus software, malware, segnalibri algoritmici o software;
Effettuare l'accesso non autorizzato attraverso gli elementi dell'infrastruttura di informazioni ISPDn, che nel corso del loro ciclo di vita (ammodernamento, manutenzione, riparazione, smaltimento) sono al di fuori della zona controllata;
effettuare accessi non autorizzati attraverso sistemi informativi di dipartimenti, organizzazioni e istituzioni che interagiscono quando sono connessi a ISPDn.
Le capacità dell'intruso interno dipendono sostanzialmente dal regime e dalle misure di protezione organizzativa e tecnica in vigore all'interno della zona controllata, tra cui l'ammissione delle persone alla sicurezza privata e il controllo delle procedure di lavoro.
I potenziali violatori interni sono suddivisi in otto categorie a seconda del metodo di accesso e dei diritti di accesso al PD.
La prima categoria comprende le persone con accesso autorizzato all'ISDN, ma che non hanno accesso al PD. Questo tipo di violatori comprende funzionari che garantiscono il normale funzionamento di ISPDn.
avere accesso a frammenti di informazioni contenenti PD e distribuiti attraverso i canali di comunicazione interna dell'ISPD;
Avere frammenti di informazioni sulla topologia di ISPDn (parte di comunicazione della sottorete) e sui protocolli di comunicazione utilizzati e sui loro servizi;
Avere nomi e identificare le password degli utenti registrati;
modificare la configurazione dell'hardware ISPDn, aggiungere segnalibri hardware e software e fornire il recupero delle informazioni utilizzando una connessione diretta all'hardware ISPD.
possiede tutte le capacità delle persone della prima categoria;
Conosce almeno un nome di accesso legale;
Ha tutti gli attributi necessari (ad esempio una password) che forniscono l'accesso a un determinato sottoinsieme di PD;
ha dati riservati a cui ha accesso.
Il suo accesso, autenticazione e diritti di accesso a un determinato sottoinsieme di PD dovrebbe essere regolato dalle corrispondenti regole di controllo degli accessi.
possiede tutte le capacità delle persone della prima e seconda categoria;
Dispone di informazioni sulla topologia ISPDn basata sul sistema di informazione locale e (o) distribuito attraverso il quale viene fornito l'accesso e sulla composizione dell'hardware ISPDn;
ha la capacità di dirigere l'accesso (fisico) a frammenti di hardware ISPD.
Ha informazioni complete sul sistema e sul software applicativo utilizzati nel segmento ISPDn (frammento);
Ha informazioni complete sui mezzi tecnici e sulla configurazione del segmento ISPDn (frammento);
ha accesso agli strumenti di protezione e registrazione delle informazioni, nonché ai singoli elementi utilizzati nel segmento ISPDn (frammento);
ha accesso a tutti i mezzi tecnici del segmento ISPDn (frammento);
dispone dei diritti per configurare e amministrare un determinato sottoinsieme dell'hardware del segmento ISPD (frammento).
Ha tutte le caratteristiche delle persone delle categorie precedenti;
possiede informazioni complete sul sistema e sul software applicativo di ISPDn;
possiede informazioni complete sull'hardware e sulla configurazione di ISPDn;
ha accesso a tutte le strutture di elaborazione delle informazioni tecniche e ai dati ISPD;
ha i diritti per configurare e amministrare l'hardware ISPD.
L'amministratore di sistema esegue la configurazione e la gestione di software (software) e apparecchiature, comprese le apparecchiature responsabili della sicurezza dell'oggetto protetto: strumenti di protezione delle informazioni crittografiche, monitoraggio, registrazione, archiviazione, protezione da accessi non autorizzati.
possiede tutte le capacità delle persone delle categorie precedenti;
possiede informazioni complete su ISPDn;
ha accesso agli strumenti di protezione e registrazione delle informazioni e ad alcuni degli elementi chiave dell'ISPD;
Non ha diritti di accesso per configurare l'hardware di rete, ad eccezione di quelli di controllo (ispezione).
L'amministratore della sicurezza è responsabile del rispetto delle regole di controllo dell'accesso, della generazione di elementi chiave, della modifica delle password. L'amministratore della sicurezza controlla le stesse funzioni di sicurezza della struttura dell'amministratore di sistema.
possiede informazioni su algoritmi e programmi di elaborazione delle informazioni presso ISPDn;
Ha la capacità di introdurre errori, funzionalità non dichiarate, segnalibri software e programmi dannosi nel software ISPD nella fase di sviluppo, implementazione e manutenzione;
può disporre di informazioni sulla topologia ISPD e sui mezzi tecnici per l'elaborazione e la protezione dei PD elaborati in ISPD.
è in grado di creare segnalibri nei mezzi tecnici di ISPDn nella fase di sviluppo, implementazione e manutenzione;
Può contenere qualsiasi informazione sulla topologia ISPD e sui mezzi tecnici per elaborare e proteggere le informazioni in ISPD.
Il gestore di malware può essere un elemento hardware del computer o un contenitore di software. Se un programma dannoso non è associato a nessuna applicazione, viene considerato il suo supporto:
Supporti alienabili, ovvero floppy disk, disco ottico (CD-R, CD-RW), memoria flash, disco rigido alienabile, ecc .;
Supporti di memorizzazione integrati (dischi rigidi, chip RAM, processore, chip della scheda di sistema, chip di dispositivi integrati nell'unità di sistema - adattatori video, schede di rete, schede audio, modem, dispositivi di input / output per unità disco rigido e ottiche, alimentatore, ecc. n. microcircuiti per accesso diretto alla memoria, bus di trasferimento dati, porte di ingresso / uscita);
microcircuiti di dispositivi esterni (monitor, tastiera, stampante, modem, scanner, ecc.).
Se un programma dannoso è associato a qualsiasi programma applicativo, con file con determinate estensioni o altri attributi, con messaggi trasmessi sulla rete, i suoi gestori sono:
pacchetti di messaggi trasmessi su una rete informatica;
file (testo, grafica, eseguibile, ecc.).
5.2. Caratteristiche generali delle vulnerabilità nel sistema di informazione dei dati personaliLa vulnerabilità del sistema di informazione dei dati personali è una lacuna o debolezza nel software di sistema o software applicativo (hardware e software) di un sistema di informazioni automatizzato che può essere utilizzato per implementare un rischio per la sicurezza dei dati personali.
Le cause delle vulnerabilità sono:
errori nella progettazione e nello sviluppo di software (software e hardware) software;
azioni deliberate per introdurre vulnerabilità durante la progettazione e lo sviluppo di software (software e hardware) software;
impostazioni errate del software, modifiche illegali nelle modalità operative di dispositivi e programmi;
Implementazione e utilizzo non autorizzati di programmi non contabilizzati con conseguente spesa irragionevole di risorse (carico della CPU, acquisizione di RAM e memoria su supporti esterni);
l'introduzione di programmi dannosi che creano vulnerabilità nel software e nel firmware;
azioni dell'utente non intenzionali non autorizzate che portano a vulnerabilità;
malfunzionamenti nel funzionamento dell'hardware e del software (causati da guasti all'alimentazione, guasti degli elementi hardware dovuti all'invecchiamento e alla diminuzione dell'affidabilità, influenze esterne dei campi elettromagnetici dei dispositivi tecnici, ecc.).
La classificazione delle principali vulnerabilità dell'ISDN è mostrata nella Figura 4.
Figura 4. Classificazione delle vulnerabilità del software
Di seguito è una descrizione generale dei principali gruppi di vulnerabilità in ISDN, tra cui:
vulnerabilità del software di sistema (compresi i protocolli di comunicazione di rete);
vulnerabilità del software applicativo (inclusi strumenti di sicurezza delle informazioni).
5.2.1. Descrizione generale delle vulnerabilità del software di sistemaLe vulnerabilità nel software di sistema devono essere considerate in relazione all'architettura della costruzione di sistemi informatici.
In questo caso, sono possibili vulnerabilità:
nel firmware, nella ROM, nel firmware;
negli strumenti del sistema operativo progettati per gestire le risorse locali ISPDn (fornire l'esecuzione di funzioni per la gestione di processi, memoria, dispositivi di input / output, interfacce utente, ecc.), driver, utility;
Negli strumenti del sistema operativo progettati per eseguire funzioni ausiliarie - utilità (archiviazione, deframmentazione, ecc.), Programmi di elaborazione del sistema (compilatori, linker, debugger, ecc.), Programmi che forniscono all'utente servizi aggiuntivi (opzioni di interfaccia speciali, calcolatrici, giochi, ecc.), librerie di procedure per vari scopi (librerie di funzioni matematiche, funzioni di input / output, ecc.);
negli strumenti di comunicazione (strumenti di rete) del sistema operativo.
Le vulnerabilità nel firmware e negli strumenti del sistema operativo progettati per gestire risorse locali e funzioni ausiliarie possono essere:
Funzioni, procedure, modifica dei parametri dei quali in un determinato modo consente di utilizzarli per l'accesso non autorizzato senza rilevare tali modifiche da parte del sistema operativo;
frammenti di codice del programma ("buchi", "tratteggi"), introdotti dallo sviluppatore, che consentono di ignorare l'identificazione, l'autenticazione, i controlli di integrità, ecc .;
Gli errori nei programmi (nella dichiarazione di variabili, funzioni e procedure, nei codici di programma), che in determinate condizioni (ad esempio quando si eseguono transizioni logiche) portano a crash, inclusi malfunzionamenti nel funzionamento dei sistemi e dei sistemi di protezione delle informazioni.
Le vulnerabilità nei protocolli di interazione di rete sono associate alle caratteristiche della loro implementazione software e sono causate da restrizioni sulla dimensione del buffer utilizzato, carenze nella procedura di autenticazione, mancanza di controlli per la correttezza delle informazioni di servizio, ecc. Una breve descrizione di queste vulnerabilità rispetto ai protocolli è riportata nella Tabella 2.
Tavolo 2
Vulnerabilità dei singoli protocolli dello stack del protocollo TCP / IP, in base al quale operano le reti pubbliche globali
| Nome protocollo | Livello di stack del protocollo | Nome (caratteristica) della vulnerabilità | Contenuto della violazione della sicurezza delle informazioni |
| FTP (File Transfer Protocol) - protocollo di trasferimento file su una rete | 1. Autenticazione basata su testo semplice (le password vengono inviate non crittografate) 2. Accesso predefinito 3. Due porte aperte | La possibilità di intercettare i dati dell'account (nomi utente registrati, password). Ottenere l'accesso remoto agli host | |
| telnet - protocollo di controllo del terminale remoto | Applicato, rappresentante, sessione | Autenticazione in chiaro (le password vengono inviate non crittografate) | Capacità di intercettare i dati dell'account utente. Ottenere l'accesso remoto agli host |
| UDP - protocollo di trasferimento dati senza connessione | Trasporto | Mancanza di meccanismo per prevenire sovraccarichi del buffer | La capacità di implementare una tempesta UDP. Come risultato dello scambio di pacchetti, si verifica una riduzione significativa delle prestazioni del server |
| ARP - Protocollo per convertire un indirizzo IP in un indirizzo fisico | Rete | Autenticazione in chiaro (le informazioni vengono inviate in forma non crittografata) | Capacità di intercettare il traffico dell'utente da parte di un utente malintenzionato |
| RIP - Routing Information Protocol | Trasporto | Mancanza di autenticazione dei messaggi di controllo del cambio di rotta | Capacità di reindirizzare il traffico attraverso un host attaccante |
| TCP - Protocollo di controllo della trasmissione | Trasporto | Mancanza di un meccanismo per verificare la correttezza delle intestazioni dei pacchetti di servizi di riempimento | Significativa riduzione del tasso di cambio e persino completa rottura delle connessioni TCP arbitrarie |
| DNS - protocollo per stabilire la corrispondenza di nomi mnemonici e indirizzi di rete | Applicato, rappresentante, sessione | Mancanza di mezzi per verificare l'autenticazione dei dati ricevuti dalla fonte | Falsificazione del server DNS |
| IGMP Routing Message Protocol | Rete | Mancanza di autenticazione dei messaggi sulla modifica dei parametri del percorso | Vinci blocchi di sistema 9x / NT / 200 |
| SMTP - Protocollo del servizio di consegna e-mail | Applicato, rappresentante, sessione | La possibilità di falsificare i messaggi di posta elettronica e l'indirizzo del mittente del messaggio | |
| SNMP - Protocollo di gestione del router di rete | Applicato, rappresentante, sessione | Mancanza di supporto per l'autenticazione dell'intestazione del messaggio | Capacità di overflow della larghezza di banda della rete |
Per sistematizzare la descrizione di molte vulnerabilità, viene utilizzato un unico database di vulnerabilità CVE (Common Vulnerabilities and Exposures), al cui sviluppo hanno partecipato specialisti di molte società e organizzazioni ben note, come mitra, ISS, Cisco, BindView, Axent, NFR, L-3, CyberSafe, CERT, Carnegie Mellon University, SANS Institute, ecc. Questo database viene costantemente aggiornato e utilizzato nella formazione di database di numerosi strumenti software per analisi di sicurezza e, soprattutto, scanner di rete.
5.2.2. Caratteristiche generali delle vulnerabilità del software applicativoIl software applicativo include applicazioni generiche e applicazioni speciali.
Applicazioni pubbliche - editor di testi e grafici, programmi multimediali (lettori audio e video, software di ricezione televisiva, ecc.), Sistemi di gestione di database, piattaforme software pubbliche per lo sviluppo di prodotti software (come Delphi, Visual Basic ), mezzi per proteggere le informazioni pubbliche, ecc.
I programmi applicativi speciali sono programmi sviluppati per risolvere specifici problemi applicativi in \u200b\u200bun determinato ISPD (incluso il software di protezione delle informazioni progettato per un ISPD specifico).
Le vulnerabilità del software applicativo possono includere:
funzioni e procedure relative a diversi programmi applicativi e incompatibili tra loro (non funzionanti nello stesso ambiente operativo) a causa di conflitti relativi all'assegnazione delle risorse di sistema;
Funzioni, procedure, la modifica di quali parametri in un certo modo consente loro di essere utilizzati per penetrare nell'ambiente operativo ISPD e chiamare le funzioni standard del sistema operativo, per eseguire accessi non autorizzati senza rilevare tali modifiche dal sistema operativo;
frammenti di codice del programma ("fori", "tratteggi"), introdotti dallo sviluppatore, che consentono di ignorare l'identificazione, l'autenticazione, i controlli di integrità, ecc., forniti nel sistema operativo;
mancanza delle necessarie funzioni di sicurezza (autenticazione, controllo dell'integrità, verifica del formato dei messaggi, blocco di funzioni modificate non autorizzate, ecc.);
Errori nei programmi (nella dichiarazione di variabili, funzioni e procedure, nei codici di programma), che in determinate condizioni (ad esempio quando si eseguono transizioni logiche) portano a guasti, inclusi guasti nel funzionamento di strumenti e sistemi di protezione delle informazioni, e la possibilità di accesso non autorizzato a informazione.
I dati sulla vulnerabilità del software applicativo sviluppato e distribuito commercialmente vengono raccolti, compilati e analizzati nel database CVE.<*>.
<*> È condotto da una società straniera CERT su base commerciale.
5.3. Caratteristiche generali delle minacce di accesso diretto all'ambiente operativo del sistema di informazione dei dati personaliLe minacce di accesso (penetrazione) nell'ambiente operativo del computer e l'accesso non autorizzato ai dati personali sono associate all'accesso:
alle informazioni e ai comandi memorizzati nel sistema di input / output (BIOS) di base ISPDn, con la possibilità di intercettare il controllo del caricamento del sistema operativo e ottenere diritti utente affidabili;
all'ambiente operativo, ovvero all'ambiente operativo del sistema operativo locale di un hardware ISPD separato con la possibilità di eseguire accessi non autorizzati chiamando programmi regolari del sistema operativo o lanciando programmi appositamente progettati che implementano tali azioni;
nell'ambiente operativo dei programmi applicativi (ad esempio, a un sistema di gestione di database locale);
direttamente alle informazioni dell'utente (file, testo, informazioni audio e grafiche, campi e record in database elettronici) e sono causati dalla possibilità di violarne la riservatezza, l'integrità e la disponibilità.
Queste minacce possono essere realizzate in caso di accesso fisico all'ISPD o, almeno, ai mezzi di immissione delle informazioni nell'ISPD. Possono essere combinati in base alle condizioni di attuazione in tre gruppi.
Il primo gruppo include minacce che si verificano durante il caricamento del sistema operativo. Queste minacce alla sicurezza delle informazioni hanno lo scopo di intercettare password o identificatori, modificare il software del sistema di input / output di base (BIOS), intercettare il controllo di avvio con la modifica delle informazioni tecnologiche necessarie per ottenere un accesso non autorizzato all'ambiente operativo ISPD. Molto spesso, tali minacce vengono realizzate utilizzando supporti di archiviazione alienati.
Il secondo gruppo include minacce che si verificano dopo il caricamento dell'ambiente operativo, indipendentemente dall'applicazione lanciata dall'utente. Queste minacce, di norma, hanno come obiettivo l'accesso non autorizzato diretto alle informazioni. Dopo aver ottenuto l'accesso all'ambiente operativo, l'utente malintenzionato può utilizzare entrambe le funzioni standard del sistema operativo o alcune applicazioni pubbliche (ad esempio un sistema di gestione di database) o programmi appositamente creati per eseguire accessi non autorizzati, ad esempio:
programmi per visualizzare e modificare il registro;
Programmi per la ricerca di testi in file di testo tramite parole chiave e copia;
programmi speciali per la visualizzazione e la copia di record in banche dati;
programmi per visualizzare rapidamente file grafici, modificarli o copiarli;
supportare programmi per la riconfigurazione dell'ambiente software (impostazioni ISPD nell'interesse dell'intruso), ecc.
Infine, il terzo gruppo include minacce, la cui implementazione è determinata da quale dei programmi applicativi viene lanciato dall'utente o dal fatto del lancio di uno qualsiasi dei programmi applicativi. La maggior parte di queste minacce sono minacce malware.
5.4. Caratteristiche generali delle minacce alla sicurezza dei dati personali implementate mediante protocolli di internetworkingSe l'ISPD è implementato sulla base di un sistema informativo locale o distribuito, è possibile implementare in esso minacce alla sicurezza delle informazioni attraverso l'uso di protocolli di internetworking. In questo caso, è possibile fornire da NSD a PD o realizzare la minaccia di negazione del servizio. Le minacce sono particolarmente pericolose quando ISPDn è un sistema informativo distribuito collegato a reti pubbliche e (o) reti di scambio internazionale di informazioni. Lo schema di classificazione delle minacce implementato sulla rete è mostrato nella Figura 5. Si basa sui seguenti sette segni primari di classificazione.
1. La natura della minaccia. Su questa base, le minacce possono essere passive e attive. Una minaccia passiva è una minaccia nell'attuazione della quale non vi è alcun impatto diretto sul funzionamento di ISPDn, ma le regole stabilite per limitare l'accesso a PDN o alle risorse di rete potrebbero essere violate. Un esempio di tali minacce è la minaccia "Analisi del traffico di rete", finalizzata all'ascolto dei canali di comunicazione e all'intercettazione delle informazioni trasmesse.
Una minaccia attiva è una minaccia associata all'impatto sulle risorse ISPD, la cui implementazione ha un impatto diretto sul funzionamento del sistema (modifica della configurazione, interruzione del funzionamento, ecc.) E con una violazione delle regole stabilite per limitare l'accesso al PD o alle risorse di rete. Un esempio di tali minacce è la minaccia Denial of Service, implementata come "TCP Request Storm".
2. Lo scopo della minaccia. Su questa base, le minacce possono essere volte a violare la riservatezza, l'integrità e l'accessibilità delle informazioni (compreso l'interruzione del funzionamento di ISPDn o dei suoi elementi).
3. Le condizioni per l'avvio dell'implementazione del processo di realizzazione della minaccia. Su questa base, può verificarsi una minaccia:
su richiesta dell'oggetto per il quale viene implementata la minaccia. In questo caso, il trasgressore si aspetta il trasferimento di una richiesta di un certo tipo, che sarà la condizione per l'inizio dell'accesso non autorizzato;
Figura 5. Schema di classificazione delle minacce mediante protocolli di internetworking
Al verificarsi dell'evento previsto presso la struttura, contro il quale viene realizzata la minaccia. In questo caso, l'intruso monitora costantemente lo stato del sistema operativo ISPD e, quando si verifica un determinato evento in questo sistema, inizia l'accesso non autorizzato;
impatto incondizionato. In questo caso, l'inizio dell'accesso non autorizzato è incondizionato in relazione allo scopo dell'accesso, ovvero la minaccia viene realizzata immediatamente e indipendentemente dallo stato del sistema.
4. La presenza di feedback dall'ISPDn. Secondo questo criterio, il processo di realizzazione della minaccia può avvenire con feedback e senza feedback. La minaccia condotta in presenza di feedback da parte dell'ISPDn è caratterizzata dal fatto che per alcune richieste inviate all'ISPDn, il trasgressore deve ottenere una risposta. Di conseguenza, esiste un feedback tra l'autore del reato e l'ISPD, che consente all'intruso di rispondere adeguatamente a tutti i cambiamenti che si verificano nell'ISPD. A differenza delle minacce che si verificano in presenza di feedback da parte dell'ISPD, quando si implementano minacce senza feedback, non è necessario rispondere a eventuali modifiche che si verificano in ISPD.
5. La posizione dell'autore del reato rispetto a ISPDn. In base a questa funzionalità, la minaccia viene realizzata sia all'interno del segmento che all'interno del segmento. Segmento di rete: un'associazione fisica di host (hardware ISPD o elementi di comunicazione con un indirizzo di rete). Ad esempio, il segmento ISDN forma un set di host collegati al server secondo lo schema "bus comune". Nel caso in cui vi sia una minaccia all'interno del segmento, l'intruso ha accesso fisico agli elementi hardware dell'ISDN. Se esiste una minaccia tra segmenti, l'intruso si trova all'esterno dell'ISPD, realizzando la minaccia da un'altra rete o da un altro segmento dell'ISPD.
6. Il livello del modello di riferimento per l'interazione di sistemi aperti<*> (ISO / OSI) su cui è implementata la minaccia. Secondo questo criterio, una minaccia può essere realizzata a livello fisico, di canale, di rete, di trasporto, di sessione, di rappresentante e di applicazione del modello ISO / OSI.
<*> L'International Organization for Standardization (ISO) ha adottato lo standard ISO 7498, che descrive l'interconnessione di sistemi aperti (OSI).
7. Il rapporto tra il numero di violatori e gli elementi ISPD, rispetto al quale viene realizzata la minaccia. Secondo questo criterio, una minaccia può essere classificata come una classe di minacce realizzate da un intruso rispetto a un hardware ISPD (minaccia uno-a-uno), contemporaneamente rispetto a diversi hardware ISPD (minaccia uno-a-molti) o da più intrusi di computer diversi rispetto a uno o più hardware ISPD (minacce distribuite o combinate).
Sulla base della classificazione, si possono distinguere le sette minacce implementate più frequentemente.
1. Analisi del traffico di rete (Figura 6).
Figura 6. Diagramma dell'attuazione della minaccia "Analisi del traffico di rete"
Questa minaccia è realizzata con l'aiuto di uno speciale programma di analisi dei pacchetti (sniffer), che intercetta tutti i pacchetti trasmessi su un segmento di rete e distingue tra loro quelli in cui sono trasmessi l'ID utente e la password. Durante l'implementazione della minaccia, l'attaccante studia la logica della rete, ovvero cerca di ottenere una corrispondenza inequivocabile tra gli eventi che si verificano nel sistema e i comandi inviati dagli host nel momento in cui si verificano. In futuro, ciò consente all'attaccante di ottenere, ad esempio, diritti privilegiati per agire sul sistema o espandere la sua autorità al suo interno, ad esempio per intercettare il flusso di dati trasmessi scambiati tra i componenti del sistema operativo di rete per estrarre informazioni riservate o di identificazione (ad esempio password statiche gli utenti ad accedere agli host remoti tramite protocolli FTP e TELNET che non forniscono la crittografia), la sua sostituzione, modifica, ecc.
2. Scansione della rete.
L'essenza del processo di implementazione delle minacce è di trasmettere richieste ai servizi di rete host ISPD e analizzare le risposte da esse. L'obiettivo è identificare i protocolli utilizzati, le porte disponibili dei servizi di rete, le leggi per la formazione di identificativi di connessione, la definizione di servizi di rete attivi, la selezione di identificativi utente e password.
3. La minaccia di rivelare una password.
L'obiettivo della minaccia è ottenere un accesso non autorizzato superando la protezione con password. Un utente malintenzionato può implementare una minaccia utilizzando una serie di metodi, come la semplice forza bruta, la forza bruta utilizzando dizionari speciali, l'installazione di un programma dannoso per intercettare una password, la sostituzione di un oggetto di rete attendibile (spoofing IP) e l'acquisizione di pacchetti (sniffing). Fondamentalmente, vengono utilizzati programmi speciali per implementare la minaccia, che tentano di ottenere l'accesso all'host selezionando in sequenza le password. In caso di successo, l'attaccante può creare per se stesso un "pass" per l'accesso futuro, che sarà efficace anche se la password di accesso viene modificata sull'host.
4. Sostituzione di un oggetto di rete attendibile e trasmissione di messaggi per suo conto tramite canali di comunicazione con assegnazione dei suoi diritti di accesso (Figura 7).
Figura 7. Schema dell'implementazione della minaccia "Sostituzione di un oggetto di rete attendibile"
Tale minaccia viene efficacemente implementata in sistemi in cui vengono utilizzati algoritmi instabili per identificare e autenticare host, utenti, ecc. Un oggetto attendibile si riferisce a un oggetto di rete (computer, firewall, router, ecc.) Legalmente connesso al server.
Si possono distinguere due varietà del processo di implementazione di questa minaccia: con e senza una connessione virtuale.
Il processo di implementazione con la creazione di una connessione virtuale consiste nell'assegnare i diritti di un'entità di interazione affidabile, che consente a un utente malintenzionato di condurre una sessione con un oggetto di rete per conto di un'entità fidata. La realizzazione di questo tipo di minaccia richiede il superamento del sistema di identificazione e autenticazione dei messaggi (ad esempio, un attacco di un servizio rsh di un host UNIX).
Il processo di realizzazione di una minaccia senza stabilire una connessione virtuale può avvenire in reti che identificano i messaggi trasmessi solo all'indirizzo di rete del mittente. L'essenza è la trasmissione di messaggi di servizio per conto dei dispositivi di controllo della rete (ad esempio, per conto dei router) sulla modifica dei dati di routing e indirizzo. Va tenuto presente che gli unici identificativi degli abbonati e delle connessioni (via TCP) sono due parametri del numero di sequenza iniziale a 32 bit - ISS (numero di sequenza) e numero di riconoscimento - ACK (numero di conferma). Pertanto, per generare un pacchetto TCP falso, l'utente malintenzionato deve conoscere gli identificatori correnti per questa connessione - ISSa e ISSb, dove:
ISSa - un valore numerico che caratterizza il numero seriale del pacchetto TCP inviato, la connessione TCP stabilita avviata dall'host A;
ISSb è un valore numerico che caratterizza il numero seriale del pacchetto TCP inviato, la connessione TCP stabilita avviata dall'host B.
Il valore di ACK (numero di conferma dello stabilimento di connessione TCP) è definito come il valore del numero ricevuto dal risponditore ISS (numero di sequenza) più l'unità ACKb \u003d ISSa + 1.
Come risultato della minaccia, il trasgressore ottiene i diritti di accesso stabiliti dal suo utente per l'abbonato fidato allo strumento tecnico ISPDn: gli obiettivi della minaccia.
5. Imporre un percorso di rete falso.
Questa minaccia è realizzata in due modi: dall'imposizione all'interno del segmento o tra i segmenti. La possibilità di imporre una falsa route è dovuta alle carenze insite negli algoritmi di routing (in particolare, a causa del problema di identificazione dei dispositivi di controllo della rete), a seguito dei quali è possibile raggiungere, ad esempio, un host o una rete di intrusi, in cui è possibile accedere all'ambiente operativo di uno strumento tecnico come parte dell'ISPD . La minaccia si basa sull'uso non autorizzato dei protocolli di routing (RIP, OSPF, LSP) e della gestione della rete (ICMP, SNMP) per apportare modifiche alle tabelle degli indirizzi di routing. In questo caso, l'intruso deve inviare un messaggio di controllo per conto del dispositivo di controllo della rete (ad esempio il router) (figure 8 e 9).
Figura 8. Schema dell'attuazione dell'attacco "Imposizione falsa via" (intra-segmento) utilizzando il protocollo ICMP con l'obiettivo di interrompere la comunicazione
Figura 9. Diagramma dell'implementazione della minaccia di "Imporre una falsa rotta" (inter-segmento) per intercettare il traffico
6. L'introduzione di un oggetto di rete falso.
Questa minaccia si basa sullo sfruttamento dei difetti degli algoritmi di ricerca remota. Se inizialmente gli oggetti di rete non dispongono di informazioni di indirizzo reciproche, vengono utilizzati vari protocolli di ricerca remota (ad esempio SAP nelle reti Novell NetWare; ARP, DNS, WINS in reti con uno stack di protocollo TCP / IP), che consistono nel trasferimento di speciali richieste e ricevere risposte con le informazioni richieste. Allo stesso tempo, è possibile che un intruso intercetti una query di ricerca e fornisca una risposta falsa ad essa, il cui utilizzo porterà alla modifica richiesta nei dati dell'indirizzo di instradamento. In futuro, l'intero flusso di informazioni associato all'oggetto vittima passerà attraverso l'oggetto della rete falsa (Figure 10 - 13).
Figura 10. Diagramma schematico dell'attuazione dell '"Implementazione di un falso server ARP"
Figura 11. Diagramma schematico dell'implementazione della minaccia "Introduzione di un server DNS falso" intercettando una query DNS
Figura 12. Diagramma dell'implementazione della minaccia di "implementazione di un falso server DNS" da parte di risposte DNS temporanee al computer di rete
Figura 13. Diagramma schematico dell'implementazione della minaccia di "Iniezione di un server DNS falso" in tempesta di risposte DNS al server DNS
7. Denial of service.
Queste minacce si basano sulle carenze del software di rete, le sue vulnerabilità che consentono all'attaccante di creare condizioni quando il sistema operativo non è in grado di elaborare i pacchetti in entrata.
Diverse varietà di tali minacce possono essere distinte:
a) una negazione nascosta del servizio causata dal coinvolgimento di alcune risorse ISPD per l'elaborazione di pacchetti trasmessi da un utente malintenzionato con una diminuzione della larghezza di banda dei canali di comunicazione, delle prestazioni dei dispositivi di rete e della violazione dei requisiti relativi ai tempi di elaborazione delle richieste. Esempi di minacce di questo tipo possono essere: una tempesta diretta di richieste di eco utilizzando il protocollo ICMP (Ping flooding), una tempesta di richieste per stabilire connessioni TCP (SYN-flooding), una tempesta di richieste a un server FTP;
b) una chiara negazione del servizio causata dall'esaurimento delle risorse dell'ISPD durante l'elaborazione dei pacchetti trasmessi da un utente malintenzionato (che occupa l'intera larghezza di banda dei canali di comunicazione, code di richieste di servizio traboccanti), in cui le richieste legali non possono essere trasmesse attraverso la rete a causa dell'inaccessibilità del mezzo di trasmissione o della ricezione Denial of Service a causa di overflow di code di richieste, spazio su disco, ecc. Esempi di minacce di questo tipo sono la tempesta della trasmissione di richieste di eco ICMP (Puffo), la tempesta direzionale (SYN-flooding), la tempesta di messaggi al server di posta (Spam);
c) una chiara negazione del servizio causata da una violazione della connettività logica tra i mezzi tecnici ISPD quando un intruso invia messaggi di controllo per conto di dispositivi di rete che portano a una modifica dei dati di routing e indirizzo (ad esempio, ICMP Redirect Host, DNS-flooding) o informazioni di identificazione e autenticazione;
D) una negazione esplicita del servizio causata da un utente malintenzionato che trasmette pacchetti con attributi non standard (minacce come "Land", "TearDrop", "Bonk", "Nuke", "UDP-bomb") o aventi una lunghezza superiore alla dimensione massima consentita (tipo di minaccia "Ping Death"), che può portare al fallimento dei dispositivi di rete coinvolti nell'elaborazione delle richieste, a condizione che vi siano errori nei programmi che implementano i protocolli di comunicazione di rete.
Il risultato di questa minaccia potrebbe essere l'interruzione del servizio corrispondente per fornire accesso remoto a PDN in ISPDn, il trasferimento da un indirizzo di altrettante richieste di connessione allo strumento tecnico come parte di ISPDn, che può "accogliere" il traffico (diretto "tempesta di richiesta"), che comporta un overflow della coda delle richieste e il fallimento di uno dei servizi di rete o un arresto completo del computer a causa dell'incapacità del sistema di fare qualsiasi cosa diversa dall'elaborazione delle richieste.
8. Avvio dell'applicazione remota.
La minaccia sta nel desiderio di lanciare vari programmi dannosi precedentemente introdotti sull'host ISPD: programmi segnalibro, virus, "spie di rete", il cui scopo principale è la violazione della riservatezza, integrità, accessibilità delle informazioni e pieno controllo sull'host. Inoltre, è possibile l'avvio non autorizzato di applicazioni utente per la ricezione non autorizzata dei dati necessari per l'intruso, l'avvio di processi controllati dal programma applicativo, ecc.
Si distinguono tre sottoclassi di queste minacce:
1) distribuzione di file contenenti codice eseguibile non autorizzato;
2) avvio remoto dell'applicazione overflow del buffer del server delle applicazioni;
3) avvio remoto dell'applicazione utilizzando le funzionalità di controllo remoto del sistema fornite da segnalibri hardware e software nascosti o utilizzando mezzi regolari.
Le minacce tipiche della prima di queste sottoclassi si basano sull'attivazione di file distribuiti in caso di accesso accidentale ad esse. Esempi di tali file sono: file contenenti codice eseguibile sotto forma di macro (documenti Microsoft Word, Excel, ecc.); documenti html contenenti codice eseguibile sotto forma di elementi ActiveX, applet Java, script interpretati (ad esempio testi JavaScript); file contenenti codici di programma eseguibili. E-mail, trasferimento file, servizi di file system di rete possono essere utilizzati per distribuire file.
Quando vengono utilizzate le minacce della seconda sottoclasse, vengono utilizzati gli svantaggi dei programmi che implementano i servizi di rete (in particolare, la mancanza di controllo del buffer overflow). Impostando i registri di sistema, a volte è possibile cambiare il processore dopo un interruzione causato da un overflow del buffer per eseguire il codice contenuto all'esterno del buffer. Un esempio dell'implementazione di tale minaccia è l'introduzione del noto "virus Morris".
Nel caso di minacce della terza sottoclasse, l'attaccante utilizza le funzionalità di controllo remoto del sistema fornite da componenti nascosti (ad esempio, programmi Trojan come Back Orifice, Net Bus) o mezzi regolari di gestione e amministrazione delle reti di computer (Landesk Management Suite, Managewise, Back Orifice, ecc. ) Come risultato del loro uso, è possibile ottenere il controllo remoto sulla stazione sulla rete.
Schematicamente, le fasi principali del lavoro di questi programmi sono le seguenti:
installazione in memoria;
attendere una richiesta dall'host remoto in cui è in esecuzione il programma client e scambiare messaggi di disponibilità con esso;
Trasferire informazioni intercettate al client o dargli il controllo del computer attaccato.
Le possibili conseguenze dell'attuazione di minacce di varie classi sono riportate nella tabella 3.
Tabella 3
Possibili conseguenze dell'attuazione di minacce di varie classi
| N p / p | Tipo di attacco | Possibili conseguenze | |
| 1 | Analisi del traffico di rete | Studio delle caratteristiche del traffico di rete, intercettazione dei dati trasmessi, inclusi identificativi utente e password | |
| 2 | Scansione della rete | Definizione di protocolli, porte disponibili dei servizi di rete, leggi sulla formazione di identificativi di connessione, servizi di rete attivi, identificativi utente e password | |
| 3 | Attacco con password | Esecuzione di qualsiasi azione distruttiva relativa all'ottenimento di accessi non autorizzati | |
| 4 | Sostituzione della rete affidabile | Modifica del percorso dei messaggi, modifiche non autorizzate nei dati dell'indirizzo del percorso. Accesso non autorizzato alle risorse di rete, l'imposizione di informazioni false | |
| 5 | Imporre una falsa rotta | Modifica non autorizzata dei dati dell'indirizzo di rotta, analisi e modifica dei dati trasmessi, imposizione di falsi messaggi | |
| 6 | Implementazione di un oggetto False Network | Intercettazione e visualizzazione del traffico. Accesso non autorizzato alle risorse di rete, l'imposizione di informazioni false | |
| 7 | Negazione del servizio | Esaurimento parziale delle risorse | Diminuzione della larghezza di banda dei canali di comunicazione, prestazioni dei dispositivi di rete. Diminuzione delle prestazioni dell'applicazione server |
| Esaurimento delle risorse | Impossibilità di inviare messaggi a causa della mancanza di accesso al supporto di trasmissione, impossibile stabilire una connessione. Denial of service (email, file, ecc.) | ||
| Violazione della connettività logica tra attributi, dati, oggetti | Impossibilità di trasmettere messaggi a causa della mancanza di dati di indirizzo di percorso corretti. Impossibilità di ricevere servizi a causa di modifiche non autorizzate di identificatori, password, ecc. | ||
| Uso di bug nei programmi | Malfunzionamento del dispositivo di rete | ||
| 8 | Avvio dell'applicazione remota | Inviando file contenenti codice eseguibile distruttivo, infezione da virus | Violazione della riservatezza, integrità, disponibilità delle informazioni |
| Overflow del buffer dell'applicazione server | |||
| Utilizzando le funzionalità di controllo remoto del sistema fornite da segnalibri hardware e software nascosti o utilizzando mezzi regolari | Gestione del sistema nascosta | ||
Il processo di implementazione della minaccia nel caso generale consiste in quattro fasi:
raccolta di informazioni;
intrusione (penetrazione nell'ambiente operativo);
accesso non autorizzato;
liquidazione di tracce di accesso non autorizzato.
Nella fase di raccolta delle informazioni, il trasgressore può essere interessato a varie informazioni su ISPDn, tra cui:
a) la topologia della rete in cui opera il sistema. In questo caso, è possibile esaminare l'area intorno alla rete (ad esempio, l'intruso potrebbe essere interessato agli indirizzi di host fidati ma meno sicuri). I comandi più semplici possono essere utilizzati per determinare la disponibilità dell'host (ad esempio, il comando ping per inviare richieste ICCH ECHO_REQUEST, in attesa di risposte ICMP ECHO_REPLY su di esse). Esistono utility che eseguono la determinazione parallela della disponibilità dell'host (come fping), che possono scansionare una vasta area dello spazio degli indirizzi per la disponibilità dell'host in un breve periodo di tempo. La topologia di rete viene spesso determinata sulla base di un "contatore dei nodi" (distanza tra host). In questo caso, è possibile utilizzare metodi come "modulazioni ttL" e registrazioni di rotte.
Il metodo "modulazione ttL" è implementato dal programma traceroute (per Windows NT - tracert.exe) e consiste nella modulazione del campo ttL dei pacchetti IP. I pacchetti ICMP creati dal comando ping possono essere utilizzati per registrare il percorso.
La raccolta di informazioni può anche basarsi su richieste:
al server DNS sull'elenco degli host registrati (e probabilmente attivi);
a un router basato su RIP su route conosciute (informazioni sulla topologia di rete);
Dispositivi configurati in modo errato che supportano il protocollo SNMP (informazioni sulla topologia di rete).
Se l'ISPD si trova dietro il firewall (ME), è possibile raccogliere informazioni sulla configurazione dell'IO e sulla topologia dell'ISPD per l'IME, incluso l'invio di pacchetti a tutte le porte di tutti gli host previsti sulla rete interna (protetta);
b) il tipo di sistema operativo (SO) in ISPDn. Il metodo più noto per determinare il tipo di sistema operativo host si basa sul fatto che diversi tipi di sistema operativo implementano i requisiti degli standard RFC per lo stack TCP / IP in diversi modi. Ciò consente all'intruso di identificare in remoto il tipo di sistema operativo installato sull'host ISPD inviando richieste appositamente generate e analizzando le risposte ricevute.
Esistono strumenti speciali che implementano questi metodi, in particolare Nmap e QueSO. Si può anche notare un tale metodo per determinare il tipo di sistema operativo come la richiesta più semplice per stabilire una connessione utilizzando il protocollo di accesso remoto telnet (connessione telnet), a seguito del quale il tipo di sistema operativo host può essere determinato dall'aspetto della risposta. La presenza di determinati servizi può anche servire come segno aggiuntivo per determinare il tipo di sistema operativo host;
C) sui servizi che funzionano sugli host. La definizione di servizi in esecuzione su un host si basa sul metodo di rilevamento di "porte aperte", finalizzato alla raccolta di informazioni sulla disponibilità dell'host. Ad esempio, per determinare la disponibilità di una porta UDP, è necessario ricevere una risposta in risposta all'invio di un pacchetto UDP alla porta corrispondente:
se viene restituito un messaggio ICMP PORT UNREACHEBLE, il servizio corrispondente non è disponibile;
se questo messaggio non viene ricevuto, la porta è "aperta".
Variazioni variabili nell'uso di questo metodo sono possibili a seconda del protocollo utilizzato nello stack del protocollo TCP / IP.
Per automatizzare la raccolta di informazioni su ISPDn, sono stati sviluppati numerosi strumenti software. Ad esempio, si può notare quanto segue:
1) Strobe, Portscanner - strumenti ottimizzati per determinare i servizi disponibili sulla base di un rilevamento delle porte TCP;
2) Nmap è uno strumento di scansione per servizi disponibili progettato per Linux, FreeBSD, Open BSD, Solaris, Windows NT. Attualmente è il mezzo più popolare di scansione dei servizi di rete;
3) Queso è uno strumento di alta precisione per determinare il sistema operativo host di rete basato sull'invio di una catena di pacchetti TCP corretti e non corretti, analizzando la risposta e confrontandola con molte risposte note di vari sistemi operativi. Questo strumento è anche uno strumento di scansione popolare oggi;
4) Cheops: uno scanner di topologia di rete consente di ottenere la topologia di rete, inclusa un'immagine del dominio, le aree degli indirizzi IP, ecc. In questo caso, viene determinato il sistema operativo host, nonché eventuali dispositivi di rete (stampanti, router, ecc.);
5) Firewalk: uno scanner che utilizza i metodi del programma traceroute per analizzare la risposta ai pacchetti IP per determinare la configurazione del firewall e creare una topologia di rete.
Nella fase di invasione, viene studiata la presenza di vulnerabilità tipiche nei servizi di sistema o errori nell'amministrazione del sistema. Il risultato positivo dello sfruttamento delle vulnerabilità è in genere il processo mediante il quale l'attaccante ottiene la modalità di esecuzione privilegiata (accesso alla modalità di esecuzione privilegiata del processore dei comandi), registra un utente illegale nel sistema, ottiene un file di password o interrompe l'host attaccato.
Questa fase di sviluppo delle minacce è, di regola, multifase. Le fasi del processo di implementazione della minaccia possono includere, ad esempio:
stabilire una comunicazione con l'host in relazione al quale viene implementata la minaccia;
Individuazione delle vulnerabilità;
l'introduzione di malware nell'interesse dell'empowerment, ecc.
Le minacce implementate durante la fase di intrusione sono divise per i livelli dello stack del protocollo TCP / IP, poiché sono formate a livello di rete, trasporto o applicazione a seconda del meccanismo di invasione utilizzato.
Le minacce tipiche implementate a livello di rete e di trasporto includono:
a) una minaccia volta a sostituire un oggetto fidato;
b) una minaccia volta a creare una falsa rotta nella rete;
C) minacce volte a creare un oggetto falso utilizzando le carenze degli algoritmi di ricerca remota;
D) minacce di negazione del servizio basate sulla deframmentazione IP, sulla formazione di richieste ICMP errate (ad esempio, gli attacchi Ping of Death e Puffo), sulla formazione di richieste TCP errate (attacco terrestre), creando una "tempesta" di pacchetti con richieste di connessione (attacchi SYN Flood), ecc.
Le minacce tipiche implementate a livello di applicazione includono minacce volte al lancio non autorizzato di applicazioni, minacce la cui implementazione è associata all'introduzione di segnalibri software (come un cavallo di Troia), l'identificazione di password per l'accesso a una rete o a un host specifico, ecc.
Se la minaccia non porta al violatore i diritti di accesso più elevati nel sistema, sono possibili tentativi di espandere questi diritti al livello più alto possibile. Per questo, è possibile utilizzare le vulnerabilità non solo dei servizi di rete, ma anche delle vulnerabilità del software di sistema degli host ISPDn.
Nella fase di implementazione dell'accesso non autorizzato, viene eseguita l'implementazione effettiva dell'obiettivo di realizzazione della minaccia:
violazione della riservatezza (copia, distribuzione illegale);
Violazione dell'integrità (distruzione, cambiamento);
violazione di accesso (blocco).
Nello stesso stadio, dopo le azioni indicate, di norma, la cosiddetta "backdoor" si forma sotto forma di uno dei servizi (demoni) che servono una determinata porta ed eseguono i comandi dell'intruso. La porta sul retro è lasciata nel sistema allo scopo di garantire:
la capacità di ottenere l'accesso all'host, anche se l'amministratore elimina la vulnerabilità utilizzata per implementare correttamente la minaccia;
la capacità di accedere all'host nel modo più discreto possibile;
Opportunità per ottenere rapidamente l'accesso all'host (senza ripetere il processo di implementazione della minaccia).
La "porta nera" consente all'attaccante di iniettare un programma dannoso nella rete o in un host specifico, ad esempio uno "sniffer password", un programma che estrae gli ID utente e le password dal traffico di rete quando lavora con protocolli di alto livello (ftp, telnet, rlogin, ecc.) .d.). Gli oggetti dell'introduzione di malware possono essere programmi di autenticazione e identificazione, servizi di rete, kernel del sistema operativo, file system, librerie, ecc.
Infine, nella fase di eliminazione delle tracce della minaccia, viene fatto un tentativo di distruggere le tracce delle azioni del violatore. In questo caso, i record corrispondenti vengono eliminati da tutti i possibili log di controllo, inclusi i record relativi alla raccolta delle informazioni.
5.5. Descrizione generale delle minacce del software e degli impatti matematiciL'esposizione software e matematica è l'impatto del malware. Un programma con conseguenze potenzialmente pericolose o un programma dannoso è chiamato programma indipendente (un insieme di istruzioni) in grado di eseguire qualsiasi sottoinsieme non vuoto delle seguenti funzioni:
Nascondere i segni della loro presenza nell'ambiente del software;
Possedere la capacità di duplicarsi, associarsi ad altri programmi e (o) trasferire i suoi frammenti su altre aree di RAM o memoria esterna;
distruggere (distorcere casualmente) il codice del programma nella RAM;
svolgere funzioni distruttive (copia, distruzione, blocco, ecc.) senza avvio da parte dell'utente (il programma utente nella modalità normale della sua esecuzione);
Salvare informazioni dalla RAM in alcune aree della memoria ad accesso diretto esterno (locale o remoto);
Distorcere arbitrariamente, bloccare e (o) sostituire l'array di informazioni generato a seguito del lavoro dei programmi applicativi o degli array di dati che sono già nella memoria esterna e inviati alla memoria esterna o al canale di comunicazione.
Programmi dannosi possono essere introdotti (introdotti) sia intenzionalmente che accidentalmente nel software utilizzato in ISPD durante il suo sviluppo, manutenzione, modifica e configurazione. Inoltre, durante il funzionamento di ISDN possono essere introdotti programmi dannosi da supporti di archiviazione esterni o tramite interazione di rete a seguito di accesso non autorizzato o accidentalmente da parte di utenti ISDN.
I moderni programmi malware si basano sullo sfruttamento delle vulnerabilità di vari tipi di software (sistema, generale, applicazione) e varie tecnologie di rete, hanno una vasta gamma di capacità distruttive (dalla ricerca non autorizzata dei parametri ISDN senza interferire con il funzionamento ISDN, alla distruzione di malware e software ISDN) e possono agire in tutti i tipi di software (sistema, applicazione, driver hardware, ecc.).
La presenza di malware nell'ISPD può causare canali nascosti, compresi quelli non tradizionali, di accesso alle informazioni che consentono l'apertura, il bypass o il blocco dei meccanismi di sicurezza previsti nel sistema, tra cui password e protezione crittografica.
I principali tipi di malware sono:
segnalibri software;
virus software classici (computer);
diffusione di malware sulla rete (worm di rete);
Altri programmi dannosi progettati per eseguire accessi non autorizzati.
I segnalibri software includono programmi, frammenti di codice e istruzioni che formano funzionalità software non dichiarate. I programmi dannosi possono passare da un tipo a un altro, ad esempio un segnalibro di programma può generare un virus di programma che, a sua volta, una volta in condizioni di rete, può formare un worm di rete o un altro programma dannoso progettato per eseguire accessi non autorizzati.
La classificazione dei virus software e dei worm di rete è mostrata nella Figura 14. Una breve descrizione del malware principale è la seguente. I virus di avvio si scrivono nel settore di avvio del disco (settore di avvio), nel settore contenente il caricatore di avvio del sistema (Master Boot Record) o cambiano il puntatore nel settore di avvio attivo. Sono incorporati nella memoria del computer quando si avvia da un disco infetto. In questo caso, il caricatore di sistema legge i contenuti del primo settore del disco da cui viene effettuato il download, inserisce le informazioni di lettura nella memoria e trasferisce il controllo ad esse (cioè al virus). Successivamente, il virus inizia l'esecuzione, che, di regola, riduce la quantità di memoria libera, copia il suo codice nello spazio libero e legge la sua continuazione (se presente) dal disco, intercetta i vettori di interruzione necessari (di solito INT 13H), legge l'originale in memoria settore di avvio e trasferisce il controllo ad esso.
In futuro, un virus di avvio si comporta come un virus di file: intercetta gli accessi del sistema operativo ai dischi e li infetta; a seconda di determinate condizioni, esegue azioni distruttive e provoca effetti sonori o effetti video.
Le principali azioni distruttive eseguite da questi virus sono:
la distruzione di informazioni nei settori di floppy disk e hard disk;
Un'eccezione alla possibilità di caricare il sistema operativo (il computer si blocca);
corruzione del codice del bootloader;
formattazione di floppy disk o unità logiche del disco rigido;
blocco dell'accesso alle porte COM e LPT;
sostituzione di caratteri durante la stampa di testi;
strappi lo schermo;
cambiare l'etichetta di un disco o dischetto;
creazione di cluster pseudo-falliti;
creazione di effetti sonori e (o) visivi (ad esempio, lettere cadenti sullo schermo);
corruzione dei file di dati;
visualizzare vari messaggi sullo schermo;
Disabilitazione dei dispositivi periferici (come le tastiere);
cambia la tavolozza dello schermo;
Riempimento dello schermo con caratteri o immagini estranei;
fuori schermo e input di standby dalla tastiera;
crittografia del settore del disco rigido;
distruzione selettiva dei caratteri visualizzati sullo schermo durante la digitazione da tastiera;
diminuzione della RAM;
chiamare il contenuto della schermata di stampa;
bloccare la scrittura su disco;
distruzione della tabella delle partizioni (Disk Partition Table), dopo la quale il computer può essere avviato solo da un floppy disk;
bloccare l'avvio di file eseguibili;
Blocco dell'accesso al disco rigido.
Figura 14. Classificazione di virus software e worm di rete
La maggior parte dei virus di avvio si riscrive su floppy disk.
Il metodo di infezione "sovrascrittura" è il più semplice: il virus scrive il suo codice anziché il codice del file infetto, distruggendo il suo contenuto. Naturalmente, il file smette di funzionare e non viene ripristinato. Tali virus si rilevano molto rapidamente, poiché il sistema operativo e le applicazioni smettono di funzionare abbastanza rapidamente.
La categoria dei compagni include virus che non modificano i file infetti. L'algoritmo di questi virus è che viene creato un doppio file per il file infetto e quando viene avviato il file infetto, questo doppio, cioè il virus, ottiene il controllo. I virus associati più comuni che utilizzano la funzionalità DOS sono i primi a eseguire file con estensione .COM se sono presenti due file con lo stesso nome nella stessa directory ma con estensioni di nome diverse: .COM e.EXE. Tali virus creano file satellitari per file EXE con lo stesso nome ma con l'estensione .COM, ad esempio, il file XCOPY.COM viene creato per il file XCOPY.EXE. Il virus viene scritto nel file COM e non modifica il file EXE in alcun modo. All'avvio di tale file, DOS sarà il primo a rilevare ed eseguire il file COM, ovvero un virus che avvierà quindi il file EXE. Il secondo gruppo è costituito da virus che, se infetti, rinominano il file con un altro nome, lo ricordano (per il successivo avvio del file host) e scrivono il loro codice su disco con il nome del file infetto. Ad esempio, il file XCOPY.EXE viene rinominato in XCOPY.EXD e il virus è scritto con il nome XCOPY.EXE. All'avvio, il controllo riceve un codice virus, che quindi avvia l'XCOPY originale, memorizzato con il nome XCOPY.EXD. Un fatto interessante è che questo metodo sembra funzionare su tutti i sistemi operativi. Il terzo gruppo include i cosiddetti virus "Path-companion". O scrivono il loro codice con il nome del file infetto, ma "un livello superiore" di un livello nei percorsi prescritti (DOS, quindi, sarà il primo a rilevare e lanciare il file del virus), oppure trasferirà il file della vittima una sottodirectory sopra, ecc.
Potrebbero esserci altri tipi di virus associati che utilizzano altre idee o funzionalità originali di altri sistemi operativi.
I file worm (worm) sono, in un certo senso, un tipo di virus associato, ma non associano in alcun modo la loro presenza a nessun file eseguibile. Quando vengono propagati, copiano semplicemente il loro codice su qualsiasi directory del disco nella speranza che queste nuove copie vengano mai lanciate dall'utente. A volte questi virus danno alle loro copie nomi "speciali" per chiedere all'utente di avviarne la copia, ad esempio INSTALL.EXE o WINSTART.BAT. Ci sono virus worm che usano trucchi piuttosto insoliti, ad esempio, scrivendo le loro copie negli archivi (ARJ, ZIP e altri). Alcuni virus scrivono il comando per avviare un file infetto in file .bat. I worm di file non devono essere confusi con i worm di rete. I primi usano solo le funzioni dei file di qualsiasi sistema operativo, mentre i secondi usano i protocolli di rete per la loro propagazione.
I virus di collegamento, come i virus associati, non modificano il contenuto fisico dei file, tuttavia, quando viene avviato un file infetto, "costringono" il sistema operativo a eseguire il suo codice. Raggiungono questo obiettivo modificando i campi necessari del file system.
I virus che infettano le librerie del compilatore, i moduli oggetto e il codice sorgente del programma sono piuttosto esotici e praticamente rari. I virus che infettano i file OBJ e LIB scrivono il loro codice nel formato di un modulo oggetto o libreria. Il file infetto, pertanto, non è eseguibile e non è in grado di diffondere ulteriormente il virus nel suo stato attuale. Il corriere del virus "live" diventa un file COM o EXE.
Avendo acquisito il controllo, un virus file esegue le seguenti azioni generali:
Controlla la RAM per la sua copia e infetta la memoria del computer se non viene trovata una copia del virus (nel caso in cui il virus sia residente), cerca i file non infetti nella directory corrente e (o) principale analizzando l'albero delle directory delle unità logiche, quindi infetta i file rilevati ;
svolge funzioni aggiuntive (se presenti): azioni distruttive, effetti grafici o sonori, ecc. (ulteriori funzioni del virus residente possono essere richiamate dopo l'attivazione in base all'ora corrente, alla configurazione del sistema, ai contatori di virus interni o ad altre condizioni, in questo caso, quando attivato, il virus elabora lo stato dell'orologio di sistema, imposta i propri contatori, ecc.);
Va notato che più velocemente si diffonde il virus, più è probabile che si verifichi un'epidemia di questo virus, più lento si diffonde il virus, più difficile è rilevare (se, naturalmente, questo virus è sconosciuto). I virus non residenti sono spesso "lenti": la maggior parte di essi, quando avviati, infetta uno o due o tre file e non ha il tempo di inondare il computer prima dell'avvio del programma antivirus (o quando appare una nuova versione dell'antivirus configurato per questo virus). Esistono, naturalmente, virus "veloci" non residenti che, all'avvio, cercano e infettano tutti i file eseguibili, ma tali virus sono molto evidenti: quando si avvia ciascun file infetto, il computer lavora attivamente con il disco rigido per un periodo di tempo (a volte piuttosto lungo), che smaschera il virus. La velocità di diffusione (infezione) dei virus residenti è generalmente superiore a quella dei virus non residenti: infettano i file quando vi si accede. Di conseguenza, tutti o quasi tutti i file che vengono costantemente utilizzati nel lavoro vengono infettati sul disco. Il tasso di diffusione (infezione) dei virus di file residenti che infettano i file solo quando vengono avviati per l'esecuzione sarà inferiore a quello dei virus che infettano i file e quando si aprono, rinominano, cambiano gli attributi dei file, ecc.
Pertanto, le principali azioni distruttive eseguite dai virus dei file sono associate alla sconfitta dei file (di solito eseguibili o file di dati), all'avvio non autorizzato di vari comandi (inclusi formattazione, distruzione, copia, ecc.), Cambiando la tabella dei vettori di interruzione e ecc. Allo stesso tempo, è possibile eseguire molte azioni distruttive simili a quelle indicate per i virus di avvio.
I macro virus sono programmi in lingue (macro lingue) incorporati in alcuni sistemi di elaborazione dei dati (editor di testo, fogli di calcolo, ecc.). Per la loro riproduzione, tali virus utilizzano le capacità dei linguaggi macro e, con il loro aiuto, si trasferiscono da un file infetto (documento o tabella) ad altri. I virus macro più comuni per il pacchetto dell'applicazione Microsoft Office.
Perché i virus esistano in un sistema specifico (editor), è necessario avere un linguaggio macro incorporato nel sistema con le seguenti funzionalità:
1) associare il programma in macro lingua a un file specifico;
2) copia dei programmi macro da un file all'altro;
3) ottenere il controllo del programma macro senza l'intervento dell'utente (macro automatiche o standard).
Queste condizioni sono soddisfatte dai programmi applicativi Microsoft Word, Excel e Microsoft Access. Contengono linguaggi macro: Word Basic, Visual Basic, Applications Edition. in cui:
1) i programmi macro sono collegati a un file specifico o si trovano all'interno del file;
2) il linguaggio macro consente di copiare file o spostare programmi macro in file di servizio di sistema e file modificabili;
3) quando si lavora con un file in determinate condizioni (apertura, chiusura, ecc.), Vengono chiamati i programmi macro (se presenti), che sono definiti in modo speciale o hanno nomi standard.
Questa funzione dei linguaggi macro è progettata per l'elaborazione automatica dei dati in organizzazioni di grandi dimensioni o in reti globali e consente di organizzare la cosiddetta "gestione automatizzata dei documenti". D'altro canto, le capacità del linguaggio macro di tali sistemi consentono al virus di trasferire il suo codice su altri file e quindi infettarli.
La maggior parte dei virus macro sono attivi non solo al momento dell'apertura (chiusura) del file, ma finché l'editor stesso è attivo. Contengono tutte le loro funzioni sotto forma di macro Word / Excel / Office standard. Tuttavia, ci sono virus che usano i trucchi per nascondere il loro codice e archiviarlo sotto forma di non-macro. Sono noti tre trucchi simili, tutti utilizzano la capacità delle macro per creare, modificare ed eseguire altre macro. In genere, tali virus hanno un piccolo caricatore di virus macro (a volte polimorfico) che chiama l'editor di macro integrato, crea una nuova macro, la popola con il codice principale del virus, la esegue e quindi, di regola, la distrugge (per nascondere le tracce della presenza del virus). Il codice principale di tali virus è presente nella macro del virus stesso sotto forma di stringhe di testo (a volte crittografate) oppure è memorizzato nell'area variabile del documento.
I virus di rete includono virus che utilizzano attivamente i protocolli e le capacità delle reti locali e globali per la loro distribuzione. Il principio di base di un virus di rete è la capacità di trasferire autonomamente il suo codice su un server o una stazione di lavoro remoti. In questo caso, i virus di rete "a pieno titolo" hanno anche la possibilità di eseguire il loro codice su un computer remoto o, almeno, "spingere" un utente per avviare un file infetto.
I programmi dannosi che garantiscono l'implementazione di accesso non autorizzato possono essere:
programmi di cracking e cracking di password;
programmi che implementano minacce;
Programmi che dimostrano l'uso delle capacità non dichiarate di ISPDn software e hardware-software;
generatori di virus informatici;
programmi che dimostrano le vulnerabilità degli strumenti di sicurezza delle informazioni, ecc.
A causa della crescente complessità e diversità del software, il numero di programmi dannosi sta crescendo rapidamente. Oggi sono note oltre 120 mila firme di virus informatici. Tuttavia, non tutti rappresentano una vera minaccia. In molti casi, l'eliminazione delle vulnerabilità nel sistema o nel software applicativo ha portato al fatto che numerosi programmi dannosi non sono più in grado di invaderli. Spesso il pericolo principale è il nuovo malware.
5.6. Caratteristiche generali dei canali di informazione non tradizionaliUn canale di informazione non convenzionale è un canale per la trasmissione di informazioni segrete utilizzando canali di comunicazione tradizionali e trasformazioni speciali di informazioni trasmesse che non sono crittografiche.
Per formare canali non tradizionali, è possibile utilizzare i seguenti metodi:
steganografia computerizzata;
Basato sulla manipolazione di varie caratteristiche ISPD che possono essere ottenute autorizzate (ad esempio, il tempo di elaborazione di varie richieste, la quantità di memoria disponibile o identificatori leggibili di file o processi, ecc.).
I metodi di steganografia computerizzata sono progettati per nascondere il fatto della trasmissione di messaggi incorporando informazioni nascoste in dati apparentemente innocui (file di testo, grafici, audio o video) e includono due gruppi di metodi basati su:
Utilizzo di proprietà speciali di formati di computer per l'archiviazione e la trasmissione di dati;
Sulla ridondanza di informazioni audio, visive o testuali dal punto di vista delle caratteristiche psicofisiologiche della percezione umana.
La classificazione dei metodi di steganografia computerizzata è mostrata nella Figura 15. Le loro caratteristiche comparative sono riportate nella tabella 4.
I metodi di occultamento delle informazioni negli stegocontainer grafici sono attualmente i più sviluppati e utilizzati. Ciò è dovuto alla quantità relativamente grande di informazioni che possono essere collocate in tali contenitori senza una notevole distorsione dell'immagine, la presenza di informazioni a priori sulla dimensione del contenitore, l'esistenza nella maggior parte delle immagini reali di aree di trama che hanno una struttura di rumore e sono ben adatte per incorporare informazioni, metodi elaborati di elaborazione di immagini digitali e digitali formati di presentazione delle immagini. Attualmente, ci sono un certo numero di prodotti software commerciali e gratuiti disponibili per l'utente medio che implementano metodi steganografici ben noti per nascondere le informazioni. In questo caso, vengono utilizzati principalmente contenitori grafici e audio.
Figura 15. Classificazione dei metodi di conversione delle informazioni steganografiche (STI)
Tabella 4
Caratteristiche comparative dei metodi steganografici di conversione delle informazioni
| Metodo steganografico | Breve descrizione del metodo | svantaggi | Benefici |
| Metodi per nascondere le informazioni in contenitori audio | |||
| Basato sulla scrittura del messaggio nei bit meno significativi del segnale originale. Un segnale audio non compresso viene solitamente utilizzato come contenitore. | Trasmissione di messaggi invisibili. Bassa resistenza alla distorsione. Utilizzato solo per determinati formati di file audio. | ||
| Metodo per nascondere la distribuzione dello spettro | Si basa sulla generazione di rumore pseudo-casuale, che è una funzione del messaggio incorporato, e mescola il rumore ricevuto con il contenitore del segnale principale come componente additivo. Codifica dei flussi di informazioni spargendo i dati codificati su uno spettro di frequenza | ||
| Metodo per nascondere l'eco | Si basa sull'utilizzo del segnale audio stesso come segnale simile al rumore, ritardato per vari periodi di tempo a seconda del messaggio introdotto ("eco vertebrale") | Basso utilizzo del contenitore. Costi di calcolo significativi | Stealth dei messaggi relativamente elevato |
| Metodo di occultamento della fase del segnale | Basato sul fatto che l'orecchio umano è insensibile al valore assoluto della fase delle armoniche. Il segnale audio è diviso in una sequenza di segmenti, il messaggio è incorporato modificando la fase del primo segmento | Basso utilizzo del contenitore | Ha un segreto significativamente più alto rispetto ai metodi di occultamento nel NZB |
| Metodi per nascondere le informazioni nei contenitori di testo | |||
| Metodo nascosto di base spaziale | Si basa sull'inserimento di spazi alla fine delle linee, dopo i segni di punteggiatura, tra le parole durante l'allineamento della lunghezza delle linee | I metodi sono sensibili al trasferimento di testo da un formato all'altro. Possibile perdita di messaggio. Bassa furtività | Larghezza di banda abbastanza elevata |
| Il metodo di nascondersi basato sulle caratteristiche sintattiche del testo | Basato sul fatto che le regole di punteggiatura sono ambigue nella punteggiatura | Larghezza di banda molto bassa. Difficoltà di rilevamento dei messaggi | Esiste una potenziale opportunità di scegliere un metodo che richiederebbe procedure molto complesse per l'apertura di un messaggio |
| Metodo di occultamento dei sinonimi | Si basa sull'inserimento di informazioni nel testo alternando le parole di qualsiasi gruppo di sinonimi | Complicato in relazione alla lingua russa in relazione a una vasta gamma di sfumature in diversi sinonimi | Uno dei metodi più promettenti. Ha un messaggio stealth relativamente alto |
| Metodo nascosto di errore | Si basa sul mascherare bit di informazioni per errori naturali, errori di battitura, violazione delle regole per la scrittura di combinazioni di vocali e consonanti, la sostituzione dell'alfabeto cirillico con lettere dello stesso aspetto, ecc. | Bassa larghezza di banda. Rivelato rapidamente mediante analisi statistiche | Molto facile da usare Alta invisibilità nell'analisi umana |
| Metodo di occultamento basato sulla generazione di quasitext | Basato sulla generazione di un contenitore di testo che utilizza un insieme di regole per la costruzione di frasi. Viene utilizzata la crittografia simmetrica. | Bassa larghezza di banda. L'assenza di significato del testo generato | La segretezza è determinata da metodi di crittografia ed è generalmente molto elevata. |
| Metodo nascosto basato sui caratteri | Si basa sull'inserimento di informazioni modificando il tipo di carattere e la dimensione delle lettere, nonché la possibilità di incorporare informazioni in blocchi con identificatori sconosciuti al browser | È facilmente rilevabile quando si trasforma la scala di un documento, con stegoanalisi statistica | Elevato utilizzo del contenitore |
| Metodo nascosto basato sull'uso di codice documento e file | Basato sul posizionamento di informazioni in campi riservati e non utilizzati di lunghezza variabile | Stealth ridotto con formato file noto | Facile da usare |
| Metodo di occultamento basato sul gergo | Basato su un cambiamento nel significato delle parole | Bassa larghezza di banda Strettamente specializzato. Bassa furtività | Facile da usare |
| Metodo di occultamento usando l'interlacciamento della lunghezza della parola | Si basa sulla generazione di testo: un contenitore con la formazione di parole di una certa lunghezza secondo una nota regola di codifica | La complessità di formare un contenitore e un messaggio | Segretezza abbastanza elevata nell'analisi umana |
| Metodo nascosto della prima lettera | Si basa sull'incorporazione del messaggio nelle prime lettere delle parole del testo con la selezione delle parole | La difficoltà di comporre un messaggio. Stealth messaggio basso | Offre maggiore libertà di scelta all'operatore che presenta il messaggio |
| Metodi per nascondere le informazioni in contenitori grafici | |||
| Metodo nascosto nei bit meno significativi | Basato sulla scrittura del messaggio nei bit meno significativi dell'immagine originale. | Trasmissione di messaggi invisibili. Bassa resistenza alla distorsione | Capacità contenitore sufficientemente elevata (fino al 25%) |
| Metodo di occultamento basato sulla modifica del formato di visualizzazione indice | Basato sulla riduzione (sostituzione) della tavolozza dei colori e sull'ordinamento dei colori in pixel con numeri adiacenti | Si applica principalmente alle immagini compresse. Trasmissione di messaggi invisibili | Capacità del contenitore relativamente alta |
| Metodo di occultamento mediante la funzione di autocorrelazione | Basato su una ricerca che utilizza la funzione di autocorrelazione di aree contenenti dati simili | Complessità di calcolo | Resistente alla maggior parte delle trasformazioni di container non lineari |
| Metodo di occultamento che utilizza la modulazione non lineare di un messaggio incorporato | Basato sulla modulazione di un segnale pseudo-casuale con un segnale contenente informazioni nascoste | ||
| Metodo nascosto basato sull'uso della modulazione firmata di un messaggio incorporato | Basato sulla modulazione di un segnale pseudo-casuale con un segnale bipolare contenente informazioni nascoste | Bassa precisione di rilevamento. distorsioni | Messaggio stealth abbastanza alto |
| Metodo di nascondere la trasformazione wavelet | Basato su funzioni di trasformazione wavelet | Complessità di calcolo | Alta furtività |
| Metodo di occultamento mediante trasformazione discreta del coseno | Basato sulle caratteristiche della trasformata del coseno discreto | Calcolo della difficoltà | Alta furtività |
Nei canali di informazione non tradizionali basati sulla manipolazione di varie caratteristiche delle risorse ISPD, alcune risorse condivise vengono utilizzate per la trasmissione dei dati. Allo stesso tempo, nei canali che utilizzano le caratteristiche temporali, viene effettuata una modulazione del tempo impiegato per occupare la risorsa condivisa (ad esempio, modulando il tempo in cui il processore è occupato, le applicazioni possono scambiare dati).
Nei canali di memoria, la risorsa viene utilizzata come buffer intermedio (ad esempio, le applicazioni possono scambiare dati inserendoli nei nomi di file e directory creati). Nei canali dei database e delle conoscenze, vengono utilizzate le dipendenze tra i dati derivanti dai database relazionali e le conoscenze.
Canali di informazione non tradizionali possono essere formati a vari livelli di funzionamento dell'ISPD:
a livello hardware;
a livello di microcodici e driver di dispositivo;
a livello di sistema operativo;
a livello di software applicativo;
a livello di funzionamento dei canali di trasmissione dei dati e delle linee di comunicazione.
Questi canali possono essere utilizzati sia per la trasmissione nascosta di informazioni copiate, sia per la trasmissione nascosta di comandi per eseguire azioni distruttive, avviare applicazioni, ecc.
Per l'implementazione dei canali, di norma, è necessario implementare un software o una scheda hardware e software nel sistema automatizzato che fornisce la formazione di un canale non convenzionale.
Nel sistema può esistere un canale di informazione non convenzionale in modo continuo o essere attivato una sola volta o in determinate condizioni. In questo caso, potrebbe esserci un feedback sull'argomento di accesso non autorizzato.
5.7. Caratteristiche generali di risultati di accesso non autorizzati o casualiLa realizzazione di minacce all'accesso non autorizzato alle informazioni può portare ai seguenti tipi di violazione della sua sicurezza:
violazione della riservatezza (copia, distribuzione illegale);
Violazione dell'integrità (distruzione, cambiamento);
violazione dell'accessibilità (blocco).
La violazione della riservatezza può essere effettuata in caso di perdita di informazioni:
copiandolo su supporti alienati;
trasmetterlo su canali dati;
durante la visualizzazione o la copia durante la riparazione, modifica e smaltimento di software e hardware;
durante la "garbage collection" da parte dell'intruso durante l'operazione di ISPDn.
La violazione dell'integrità delle informazioni viene effettuata a causa dell'impatto (modifica) sui programmi e sui dati dell'utente, nonché delle informazioni tecnologiche (di sistema), tra cui:
driver di firmware, dati e dispositivi del sistema informatico;
programmi, dati e driver di dispositivo che caricano il sistema operativo;
programmi e dati (descrittori, descrittori, strutture, tabelle, ecc.) del sistema operativo;
programmi e dati del software applicativo;
Programmi e dati di software speciali;
Valori intermedi (operativi) di programmi e dati durante la loro elaborazione (lettura / scrittura, ricezione / trasmissione) mediante dispositivi e tecnologie informatiche.
La violazione dell'integrità delle informazioni in ISPDn può anche essere causata dall'introduzione di un programma dannoso software e segnalibri hardware o dall'impatto sul sistema di protezione delle informazioni o sui suoi elementi.
Inoltre, in ISPD è possibile influire sulle informazioni di rete tecnologica, che possono fornire il funzionamento di vari strumenti di gestione della rete di computer:
configurazione di rete;
indirizzi e instradamento della trasmissione dei dati nella rete;
controllo funzionale della rete;
sicurezza delle informazioni online.
La violazione della disponibilità delle informazioni è assicurata dalla formazione (modifica) dei dati di origine, che durante l'elaborazione provoca operazioni improprie, guasti hardware o acquisizione (caricamento) delle risorse informatiche del sistema, necessarie per l'esecuzione dei programmi e il funzionamento dell'apparecchiatura.
Queste azioni possono comportare l'interruzione o il fallimento del funzionamento di quasi tutti i mezzi tecnici di ISPDn:
strutture di elaborazione delle informazioni;
mezzi di input / output di informazioni;
strutture di archiviazione delle informazioni;
Apparecchiature e canali di trasmissione;
strumenti di sicurezza delle informazioni.
