La minaccia è di desiderare di lanciare vari malware pre-implementati sull'host: programmi di bookmarking, virus, "spie di rete", lo scopo principale di cui è una violazione della riservatezza, integrità, disponibilità delle informazioni e controllo completo sul lavoro dell'host . Inoltre, è possibile il lancio non autorizzato dei programmi di applicazione utente per l'ottenimento non autorizzato dei dati necessari dal violatore, per avviare i processi gestiti dal programma applicativo, ecc.
Si distinguono tre sottoclasse dati della minaccia:
Distribuzione di file contenenti codice eseguibile non autorizzato;
Avvio di applicazioni remote mediante traboccare i buffer dell'applicazione;
Avvio dell'applicazione remota utilizzando le funzioni telecomando Il sistema fornito da software nascosti e segnalibri hardware o utilizzati da mezzi standard.
Le minacce tipiche della prima delle sottoclassi specificate si basano sull'attivazione dei file distribuiti in caso di accesso accidentale a loro. Esempi di tali file possono essere: file contenenti codice eseguibile nei documenti di visualizzazione contenenti codice eseguibile sotto forma di elementi ActiveX, applet Java, script interpretati (ad esempio, i testi su JavaScript); File contenenti codici di programma eseguibili. Servizi e-mail, trasferimento file, file system di rete può essere utilizzato per distribuire i file.
Nelle minacce della seconda sottoclasse, le carenze di attuazione dei programmi servizi di rete (In particolare, nessun controllo su un trabocco del buffer). Impostazione dei registri di sistema a volte è possibile cambiare il processore dopo l'interruzione causata da un overflow del buffer, all'esecuzione del codice contenuta all'estero del buffer. Un esempio dell'attuazione di tale minaccia può essere l'introduzione di un "virus Morris" ampiamente conosciuto.
Nelle minacce della terza sottoclasse, il violatore utilizza la capacità di gestire in remoto il sistema fornito da componenti nascosti (ad esempio, i programmi di Trojan Tybro. Orefizio, net bus) o controlli regolari e amministrazione di reti informatiche (Landesk Management Suite, Managewise , Orrifoglio posteriore, ecc. P.). Come risultato del loro uso, è possibile ottenere il controllo remoto sulla stazione sulla rete.
è improbabile.
L'elenco generalizzato delle probabilità dell'attuazione delle minacce per diversi tipi di condotti è presentato nella Tabella 12.
Tabella 12.
Minacce di implementazione della rete programmi dannosi
I programmi dannosi implementati sulla rete includono virus che stanno utilizzando attivamente protocolli e possibilità di reti locali e globali per la loro distribuzione. Il principio principale del virus della rete è la possibilità di trasferire in modo indipendente il tuo codice a un server remoto o una workstation. "Pieno" virus di rete Allo stesso tempo, hanno anche la possibilità di lanciare il loro codice computer remoto O almeno "spingere l'utente per avviare un file infetto.
Programmi dannosi che assicurano l'attuazione dell'NSD:
Programmi di selezione e apertura;
Minacce programmi di esecuzione;
Programmi che dimostrano l'uso di software non dichiarati e funzionalità hardware e hardware
Programmi del generatore. virus informatici;
Programmi che dimostrano vulnerabilità degli strumenti di sicurezza delle informazioni e altri.
Se l'istituzione elaborata PDN non non vengono inviate su reti uso comune e scambio internazionale, protezione antivirus installata, quindi la probabilità di attuazione della minaccia - è improbabile.
In tutti gli altri casi, dovrebbe essere stimata la probabilità di una minaccia.
L'elenco generalizzato delle probabilità dell'attuazione delle minacce per diversi tipi di ponte è presentato nella Tabella 13.
Tabella 13.
Realizzabilità delle minacce
Secondo la stima del livello di sicurezza (Y 1) (sezione 7) e le probabilità della minaccia (Y 2) (sezione 9), il coefficiente della minaccia (Y) è calcolato e viene determinata la possibilità di una minaccia (Tabella 4). Il coefficiente di realizzabilità della minaccia Y sarà determinato dal rapporto y \u003d (y 1 + y 2) / 20
La definizione delle minacce è determinata sulla base della relazione sui risultati dell'audit interno.
L'elenco generalizzato delle stime della Realizzabilità degli UBRDNS per diversi tipi di densità è presentato nelle tabelle 14-23.
Tabella 14 - IC autonomo I tipo
| Tipo di minacce di sicurezza PDN | La possibilità di attuazione | |
| 0,25 | Basso | |
| 0,25 | Basso | |
| 0,25 | Basso | |
| 2.1.1. Theft of pevm. | 0,25 | Basso |
| 0,25 | Basso | |
| 0,25 | Basso | |
| 0,25 | Basso | |
| 0,25 | Basso | |
| 0,25 | Basso | |
| 0,25 | Basso | |
| 0,35 | media | |
| 0,25 | Basso | |
| 0,25 | Basso | |
| 0,35 | media | |
| 0,25 | Basso | |
| 0,25 | Basso | |
| 0,25 | Basso | |
| 0,25 | Basso | |
| 2.3.6. Disastro | 0,25 | Basso |
| 0,25 | Basso | |
| 0,35 | media | |
| 0,25 | Basso | |
| 0,25 | Basso | |
| 0,25 | Basso | |
| 0,25 | Basso | |
| 0,25 | Basso | |
| 0,25 | Basso | |
| 0,25 | Basso | |
| 0,25 | Basso | |
| 0,25 | Basso | |
| 0,25 | Basso | |
| 0,25 | Basso |
Tabella 15 - Tipo Autonomo II Type II
| Tipo di minacce di sicurezza PDN | Coefficiente di frequenza del volto (Y) | La possibilità di attuazione |
| 1. Minacce da perdite sui canali tecnici. | ||
| 1.1. Minacce di perdita di informazioni acustiche | 0,25 | Basso |
| 1.2. Perdita di minaccia delle informazioni sul codice | 0,25 | Basso |
| 1.3. Minacce di perdite di informazioni tramite canali di Pemin | 0,25 | Basso |
| 2. Minacce di accesso non autorizzato alle informazioni. | ||
| 2.1. Minacce di distruzione, furto dell'hardware Delica delle informazioni sui media mediante accesso fisico agli elementi | ||
| 2.1.1. Theft of pevm. | 0,25 | Basso |
| 2.1.2. Furto delle informazioni sui media | 0,25 | Basso |
| 2.1.3. Attributi tasti e attributi di accesso | 0,25 | Basso |
| 2.1.4. Furto, modifiche, distruzione delle informazioni | 0,25 | Basso |
| 2.1.5. Conclusione dei nodi del PC, dei canali di comunicazione | 0,25 | Basso |
| 2.1.6. Accesso non autorizzato Per informazioni sulla manutenzione (riparazione, distruggere) nodi pevm | 0,25 | Basso |
| 2.1.7. Rimedi disabilitati non autorizzati | 0,25 | Basso |
| 2.2. Minacce di appropriazione indebita, modifica non autorizzata o informazioni di blocco a causa di accesso non autorizzato (NSD) utilizzando software e hardware e software (compreso il software e le influenze matematiche). | ||
| 2.2.1. Malware (virus) | 0,35 | media |
| 2.2.2. Software e software sistematico Nedeventato per l'elaborazione dei dati personali | 0,25 | Basso |
| 2.2.3. Installazione per non relativi alle prestazioni dei dazi ufficiali | 0,25 | Basso |
| 2.3. Le minacce non sono deliberate azioni di utenti e disturbi della sicurezza del funzionamento del CETA e SPSPSPDN nella sua composizione dovuti ai guasti del software, nonché le minacce di non intromissione (fallimenti delle apparecchiature dovute all'irribilità degli elementi, dei guasti di potenza) e Personaggio spontaneo (shock fulmini, incendi, inondazioni ed ecc.) Carattere. | ||
| 2.3.1. Perdita di chiavi e attributi di accesso | 0,35 | media |
| 2.3.2. Modifica involontaria (distruzione) di informazioni da parte dei dipendenti | 0,25 | Basso |
| 2.3.3. Mezzi di protezione disabilitanti involontari | 0,25 | Basso |
| 2.3.4. Montaggio software hardware | 0,25 | Basso |
| 2.3.5. Fallimento del sistema di alimentazione | 0,25 | Basso |
| 2.3.6. Disastro | 0,25 | Basso |
| 2.4. Minacce di azioni intenzionali dei violatori interni | ||
| 2.4.1. Accesso alle informazioni, modifica, distruzione di persone non ammesse alla sua lavorazione | 0,25 | Basso |
| 2.4.2. Divulgazione di informazioni, modifica, distruzione dei dipendenti ammessi alla sua lavorazione | 0,35 | media |
| 2.5. Freaks di accesso non autorizzato tramite canali di comunicazione. | ||
| 2.5.1. La vanità "Analisi del traffico di rete" con l'intercettazione delle informazioni trasmesse dal codice e ricevuto dalle reti esterne di informazioni: | ||
| 2.5.1.1. Intercezione per i Ridister dalla zona controllata | 0,35 | media |
| 2.5.1.2. Intercezione all'interno della zona controllata da violatori esterni | 0,25 | Basso |
| 2.5.1.3. Perechavat all'interno dei violatori interni della zona controllata. | 0,25 | Basso |
| 2.5.2. La vanità della scansione finalizzata a identificare il tipo o i tipi di sistemi operativi utilizzati, gli indirizzi di rete delle workstation del CD, della topologia di rete, delle porte e dei servizi aperti, delle connessioni aperte, ecc. | 0,25 | Basso |
| 2.5.3. Throes of Password Detection Over the Network | 0,35 | media |
| 2.5.4. Armonie che impongono un falso percorso di rete | 0,25 | Basso |
| 2.5.5. Throes della sostituzione di un oggetto fidato nella rete | 0,25 | Basso |
| 2.5.6. L'annata dell'attuazione del falso oggetto è sia in dimora che in reti esterne | 0,25 | Basso |
| 2.5.7. Tipo di gola "Mancato manutenzione" | 0,25 | Basso |
| 2.5.8. Danni del lancio delle applicazioni remote | 0,35 | media |
| 2.5.9. Freaks di implementazione sulla rete di programmi dannosi | 0,35 | media |
Tabella 16 - Tipo autonomo III III
| Tipo di minacce di sicurezza PDN | Coefficiente di frequenza del volto (Y) | La possibilità di attuazione |
| 1. Minacce da perdite sui canali tecnici. | ||
| 1.1. Minacce di perdita di informazioni acustiche | 0,25 | Basso |
| 1.2. Perdita di minaccia delle informazioni sul codice | 0,25 | Basso |
| 1.3. Minacce di perdite di informazioni tramite canali di Pemin | 0,25 | Basso |
| 2. Minacce di accesso non autorizzato alle informazioni. | ||
| 2.1. Minacce di distruzione, furto dell'hardware Delica delle informazioni sui media mediante accesso fisico agli elementi | ||
| 2.1.1. Theft of pevm. | 0,25 | Basso |
| 2.1.2. Furto delle informazioni sui media | 0,25 | Basso |
| 2.1.3. Attributi tasti e attributi di accesso | 0,25 | Basso |
| 2.1.4. Furto, modifiche, distruzione delle informazioni | 0,25 | Basso |
| 2.1.5. Conclusione dei nodi del PC, dei canali di comunicazione | 0,25 | Basso |
| 2.1.6. Accesso non autorizzato alle informazioni per la manutenzione (riparazione, distruzione) Nodi PEVM | 0,25 | Basso |
| 2.1.7. Rimedi disabilitati non autorizzati | 0,25 | Basso |
| 2.2. Minacce di appropriazione indebita, modifica non autorizzata o informazioni di blocco a causa dell'accesso non autorizzato (NSD) utilizzando software e hardware e software (compresi software e influenze matematiche). | ||
| 2.2.1. Malware (virus) | 0,35 | media |
| 2.2.2. Software e software sistematico Nedeventato per l'elaborazione dei dati personali | 0,25 | Basso |
| 2.2.3. Installazione per non relativi alle prestazioni dei dazi ufficiali | 0,25 | Basso |
| 2.3. Le minacce non sono deliberate azioni di utenti e disturbi della sicurezza del funzionamento del CETA e SPSPSPDN nella sua composizione dovuti ai guasti del software, nonché le minacce di non intromissione (fallimenti delle apparecchiature dovute all'irribilità degli elementi, dei guasti di potenza) e Personaggio spontaneo (shock fulmini, incendi, inondazioni ed ecc.) Carattere. | ||
| 2.3.1. Perdita di chiavi e attributi di accesso | 0,35 | media |
| 2.3.2. Modifica involontaria (distruzione) di informazioni da parte dei dipendenti | 0,25 | Basso |
| 2.3.3. Mezzi di protezione disabilitanti involontari | 0,25 | Basso |
| 2.3.4. Montaggio software hardware | 0,25 | Basso |
| 2.3.5. Fallimento del sistema di alimentazione | 0,25 | Basso |
| 2.3.6. Disastro | 0,25 | Basso |
| 2.4. Minacce di azioni intenzionali dei violatori interni | ||
| 2.4.1. Accesso alle informazioni, modifica, distruzione di persone non ammesse alla sua lavorazione | 0,25 | Basso |
| 2.4.2. Divulgazione di informazioni, modifica, distruzione dei dipendenti ammessi alla sua lavorazione | 0,35 | media |
| 2.5. Freaks di accesso non autorizzato tramite canali di comunicazione. | ||
| 2.5.1. La vanità "Analisi del traffico di rete" con l'intercettazione delle informazioni trasmesse dal codice e ricevuto dalle reti esterne di informazioni: | ||
| 2.5.1.1. Intercezione per i Ridister dalla zona controllata | 0,25 | Basso |
| 2.5.1.2. Intercezione all'interno della zona controllata da violatori esterni | 0,25 | Basso |
| 2.5.1.3. Perechavat all'interno dei violatori interni della zona controllata. | 0,25 | Basso |
| 2.5.2. La vanità della scansione finalizzata a identificare il tipo o i tipi di sistemi operativi utilizzati, gli indirizzi di rete delle workstation del CD, della topologia di rete, delle porte e dei servizi aperti, delle connessioni aperte, ecc. | 0,25 | Basso |
| 2.5.3. Throes of Password Detection Over the Network | 0,25 | Basso |
| 2.5.4. Armonie che impongono un falso percorso di rete | 0,25 | Basso |
| 2.5.5. Throes della sostituzione di un oggetto fidato nella rete | 0,25 | Basso |
| 2.5.6. L'annata dell'attuazione del falso oggetto è sia in dimora che in reti esterne | 0,25 | Basso |
| 2.5.7. Tipo di gola "Mancato manutenzione" | 0,25 | Basso |
| 2.5.8. Danni del lancio delle applicazioni remote | 0,25 | Basso |
| 2.5.9. Freaks di implementazione sulla rete di programmi dannosi | 0,25 | Basso |
Tabella 17 - Tipo Autonomo II IV
| Tipo di minacce di sicurezza PDN | Coefficiente di frequenza del volto (Y) | La possibilità di attuazione |
| 1. Minacce da perdite sui canali tecnici. | ||
| 1.1. Minacce di perdita di informazioni acustiche | 0,25 | Basso |
| 1.2. Perdita di minaccia delle informazioni sul codice | 0,25 | Basso |
| 1.3. Minacce di perdite di informazioni tramite canali di Pemin | 0,25 | Basso |
| 2. Minacce di accesso non autorizzato alle informazioni. | ||
| 2.1. Minacce di distruzione, furto dell'hardware Delica delle informazioni sui media mediante accesso fisico agli elementi | ||
| 2.1.1. Theft of pevm. | 0,25 | Basso |
| 2.1.2. Furto delle informazioni sui media | 0,25 | Basso |
| 2.1.3. Attributi tasti e attributi di accesso | 0,25 | Basso |
| 2.1.4. Furto, modifiche, distruzione delle informazioni | 0,25 | Basso |
| 2.1.5. Conclusione dei nodi del PC, dei canali di comunicazione | 0,25 | Basso |
| 2.1.6. Accesso non autorizzato alle informazioni per la manutenzione (riparazione, distruzione) Nodi PEVM | 0,25 | Basso |
| 2.1.7. Rimedi disabilitati non autorizzati | 0,25 | Basso |
| 2.2. Minacce di appropriazione indebita, modifica non autorizzata o informazioni di blocco a causa dell'accesso non autorizzato (NSD) utilizzando software e hardware e software (compresi software e influenze matematiche). | ||
| 2.2.1. Malware (virus) | 0,35 | media |
| 2.2.2. Software e software sistematico Nedeventato per l'elaborazione dei dati personali | 0,25 | Basso |
| 2.2.3. Installazione per non relativi alle prestazioni dei dazi ufficiali | 0,25 | Basso |
| 2.3. Le minacce non sono deliberate azioni di utenti e disturbi della sicurezza del funzionamento del CETA e SPSPSPDN nella sua composizione dovuti ai guasti del software, nonché le minacce di non intromissione (fallimenti delle apparecchiature dovute all'irribilità degli elementi, dei guasti di potenza) e Personaggio spontaneo (shock fulmini, incendi, inondazioni ed ecc.) Carattere. | ||
| 2.3.1. Perdita di chiavi e attributi di accesso | 0,35 | media |
| 2.3.2. Modifica involontaria (distruzione) di informazioni da parte dei dipendenti | 0,25 | Basso |
| 2.3.3. Mezzi di protezione disabilitanti involontari | 0,25 | Basso |
| 2.3.4. Montaggio software hardware | 0,25 | Basso |
| 2.3.5. Fallimento del sistema di alimentazione | 0,25 | Basso |
| 2.3.6. Disastro | 0,25 | Basso |
| 2.4. Minacce di azioni intenzionali dei violatori interni | ||
| 2.4.1. Accesso alle informazioni, modifica, distruzione di persone non ammesse alla sua lavorazione | 0,25 | Basso |
| 2.4.2. Divulgazione di informazioni, modifica, distruzione dei dipendenti ammessi alla sua lavorazione | 0,35 | media |
| 2.5. Freaks di accesso non autorizzato tramite canali di comunicazione. | ||
| 2.5.1. La vanità "Analisi del traffico di rete" con l'intercettazione delle informazioni trasmesse dal codice e ricevuto dalle reti esterne di informazioni: | ||
| 2.5.1.1. Intercezione per i Ridister dalla zona controllata | 0,35 | media |
| 2.5.1.2. Intercezione all'interno della zona controllata da violatori esterni | 0,25 | Basso |
| 2.5.1.3. Perechavat all'interno dei violatori interni della zona controllata. | 0,25 | Basso |
| 2.5.2. La vanità della scansione finalizzata a identificare il tipo o i tipi di sistemi operativi utilizzati, gli indirizzi di rete delle workstation del CD, della topologia di rete, delle porte e dei servizi aperti, delle connessioni aperte, ecc. | 0,25 | Basso |
| 2.5.3. Throes of Password Detection Over the Network | 0,35 | media |
| 2.5.4. Armonie che impongono un falso percorso di rete | 0,25 | Basso |
| 2.5.5. Throes della sostituzione di un oggetto fidato nella rete | 0,25 | Basso |
| 2.5.6. L'annata dell'attuazione del falso oggetto è sia in dimora che in reti esterne | 0,25 | Basso |
| 2.5.7. Tipo di gola "Mancato manutenzione" | 0,25 | Basso |
| 2.5.8. Danni del lancio delle applicazioni remote | 0,35 | media |
| 2.5.9. Freaks di implementazione sulla rete di programmi dannosi | 0,35 | media |
Tabella 18 - Tipo Autonomo DE IC V
| Tipo di minacce di sicurezza PDN | Coefficiente di frequenza del volto (Y) | La possibilità di attuazione |
| 1. Minacce da perdite sui canali tecnici. | ||
| 1.1. Minacce di perdita di informazioni acustiche | 0,25 | Basso |
| 1.2. Perdita di minaccia delle informazioni sul codice | 0,25 | Basso |
| 1.3. Minacce di perdite di informazioni tramite canali di Pemin | 0,25 | Basso |
| 2. Minacce di accesso non autorizzato alle informazioni. | ||
| 2.1. Minacce di distruzione, furto dell'hardware Delica delle informazioni sui media mediante accesso fisico agli elementi | ||
| 2.1.1. Theft of pevm. | 0,25 | Basso |
| 2.1.2. Furto delle informazioni sui media | 0,25 | Basso |
| 2.1.3. Attributi tasti e attributi di accesso | 0,25 | Basso |
| 2.1.4. Furto, modifiche, distruzione delle informazioni | 0,25 | Basso |
| 2.1.5. Conclusione dei nodi del PC, dei canali di comunicazione | 0,25 | Basso |
| 2.1.6. Accesso non autorizzato alle informazioni per la manutenzione (riparazione, distruzione) Nodi PEVM | 0,25 | Basso |
| 2.1.7. Rimedi disabilitati non autorizzati | 0,25 | Basso |
| 2.2. Minacce di appropriazione indebita, modifica non autorizzata o informazioni di blocco a causa dell'accesso non autorizzato (NSD) utilizzando software e hardware e software (compresi software e influenze matematiche). | ||
| 2.2.1. Malware (virus) | 0,35 | media |
| 2.2.2. Software e software sistematico Nedeventato per l'elaborazione dei dati personali | 0,25 | Basso |
| 2.2.3. Installazione per non relativi alle prestazioni dei dazi ufficiali | 0,25 | Basso |
| 2.3. Le minacce non sono deliberate azioni di utenti e disturbi della sicurezza del funzionamento del CETA e SPSPSPDN nella sua composizione dovuti ai guasti del software, nonché le minacce di non intromissione (fallimenti delle apparecchiature dovute all'irribilità degli elementi, dei guasti di potenza) e Personaggio spontaneo (shock fulmini, incendi, inondazioni ed ecc.) Carattere. | ||
| 2.3.1. Perdita di chiavi e attributi di accesso | 0,35 | media |
| 2.3.2. Modifica involontaria (distruzione) di informazioni da parte dei dipendenti | 0,25 | Basso |
| 2.3.3. Mezzi di protezione disabilitanti involontari | 0,25 | Basso |
| 2.3.4. Montaggio software hardware | 0,25 | Basso |
| 2.3.5. Fallimento del sistema di alimentazione | 0,25 | Basso |
| 2.3.6. Disastro | 0,25 | Basso |
| 2.4. Minacce di azioni intenzionali dei violatori interni | ||
| 2.4.1. Accesso alle informazioni, modifica, distruzione di persone non ammesse alla sua lavorazione | 0,25 | Basso |
| 2.4.2. Divulgazione di informazioni, modifica, distruzione dei dipendenti ammessi alla sua lavorazione | 0,35 | media |
| 2.5. Freaks di accesso non autorizzato tramite canali di comunicazione. | ||
| 2.5.1. La vanità "Analisi del traffico di rete" con l'intercettazione delle informazioni trasmesse dal codice e ricevuto dalle reti esterne di informazioni: | ||
| 2.5.1.1. Intercezione per i Ridister dalla zona controllata | 0,25 | Basso |
| 2.5.1.2. Intercezione all'interno della zona controllata da violatori esterni | 0,25 | Basso |
| 2.5.1.3. Perechavat all'interno dei violatori interni della zona controllata. | 0,25 | Basso |
| 2.5.2. La vanità della scansione finalizzata a identificare il tipo o i tipi di sistemi operativi utilizzati, gli indirizzi di rete delle workstation del CD, della topologia di rete, delle porte e dei servizi aperti, delle connessioni aperte, ecc. | 0,25 | Basso |
| 2.5.3. Throes of Password Detection Over the Network | 0,25 | Basso |
| 2.5.4. Armonie che impongono un falso percorso di rete | 0,25 | Basso |
| 2.5.5. Throes della sostituzione di un oggetto fidato nella rete | 0,25 | Basso |
| 2.5.6. L'annata dell'attuazione del falso oggetto è sia in dimora che in reti esterne | 0,25 | Basso |
| 2.5.7. Tipo di gola "Mancato manutenzione" | 0,25 | Basso |
| 2.5.8. Danni del lancio delle applicazioni remote | 0,25 | Basso |
| 2.5.9. Freaks di implementazione sulla rete di programmi dannosi | 0,25 | Basso |
Tabella 19 - Tipo Autonoma IC VI
| Tipo di minacce di sicurezza PDN | Coefficiente di frequenza del volto (Y) | La possibilità di attuazione |
| 1. Minacce da perdite sui canali tecnici. | ||
| 1.1. Minacce di perdita di informazioni acustiche | 0,25 | Basso |
| 1.2. Perdita di minaccia delle informazioni sul codice | 0,25 | Basso |
| 1.3. Minacce di perdite di informazioni tramite canali di Pemin | 0,25 | Basso |
| 2. Minacce di accesso non autorizzato alle informazioni. | ||
| 2.1. Minacce di distruzione, furto dell'hardware Delica delle informazioni sui media mediante accesso fisico agli elementi | ||
| 2.1.1. Theft of pevm. | 0,25 | Basso |
| 2.1.2. Furto delle informazioni sui media | 0,25 | Basso |
| 2.1.3. Attributi tasti e attributi di accesso | 0,25 | Basso |
| 2.1.4. Furto, modifiche, distruzione delle informazioni | 0,25 | Basso |
| 2.1.5. Conclusione dei nodi del PC, dei canali di comunicazione | 0,25 | Basso |
| 2.1.6. Accesso non autorizzato alle informazioni per la manutenzione (riparazione, distruzione) Nodi PEVM | 0,25 | Basso |
| 2.1.7. Rimedi disabilitati non autorizzati | 0,25 | Basso |
| 2.2. Minacce di appropriazione indebita, modifica non autorizzata o informazioni di blocco a causa dell'accesso non autorizzato (NSD) utilizzando software e hardware e software (compresi software e influenze matematiche). | ||
| 2.2.1. Malware (virus) | 0,35 | media |
| 2.2.2. Software e software sistematico Nedeventato per l'elaborazione dei dati personali | 0,25 | Basso |
| 2.2.3. Installazione per non relativi alle prestazioni dei dazi ufficiali | 0,25 | Basso |
| 2.3. Le minacce non sono deliberate azioni di utenti e disturbi della sicurezza del funzionamento del CETA e SPSPSPDN nella sua composizione dovuti ai guasti del software, nonché le minacce di non intromissione (fallimenti delle apparecchiature dovute all'irribilità degli elementi, dei guasti di potenza) e Personaggio spontaneo (shock fulmini, incendi, inondazioni ed ecc.) Carattere. | ||
| 2.3.1. Perdita di chiavi e attributi di accesso | 0,35 | media |
| 2.3.2. Modifica involontaria (distruzione) di informazioni da parte dei dipendenti | 0,25 | Basso |
| 2.3.3. Mezzi di protezione disabilitanti involontari | 0,25 | Basso |
| 2.3.4. Montaggio software hardware | 0,25 | Basso |
| 2.3.5. Fallimento del sistema di alimentazione | 0,25 | Basso |
| 2.3.6. Disastro | 0,25 | Basso |
| 2.4. Minacce di azioni intenzionali dei violatori interni | ||
| 2.4.1. Accesso alle informazioni, modifica, distruzione di persone non ammesse alla sua lavorazione | 0,25 | Basso |
| 2.4.2. Divulgazione di informazioni, modifica, distruzione dei dipendenti ammessi alla sua lavorazione | 0,35 | media |
| 2.5. Freaks di accesso non autorizzato tramite canali di comunicazione. | ||
| 2.5.1. La vanità "Analisi del traffico di rete" con l'intercettazione delle informazioni trasmesse dal codice e ricevuto dalle reti esterne di informazioni: | ||
| 2.5.1.1. Intercezione per i Ridister dalla zona controllata | 0,35 | media |
| 2.5.1.2. Intercezione all'interno della zona controllata da violatori esterni | 0,25 | Basso |
| 2.5.1.3. Perechavat all'interno dei violatori interni della zona controllata. | 0,25 | Basso |
| 2.5.2. La vanità della scansione finalizzata a identificare il tipo o i tipi di sistemi operativi utilizzati, gli indirizzi di rete delle workstation del CD, della topologia di rete, delle porte e dei servizi aperti, delle connessioni aperte, ecc. | 0,25 | Basso |
| 2.5.3. Throes of Password Detection Over the Network | 0,35 | media |
| 2.5.4. Armonie che impongono un falso percorso di rete | 0,25 | Basso |
| 2.5.5. Throes della sostituzione di un oggetto fidato nella rete | 0,25 | Basso |
| 2.5.6. L'annata dell'attuazione del falso oggetto è sia in dimora che in reti esterne | 0,25 | Basso |
| 2.5.7. Tipo di gola "Mancato manutenzione" | 0,25 | Basso |
| 2.5.8. Danni del lancio delle applicazioni remote | 0,35 | media |
| 2.5.9. Freaks di implementazione sulla rete di programmi dannosi | 0,35 | media |
Tabella 20 - Fox I Digitare
La minaccia è di desiderare di lanciare vari malware pre-implementati sull'host: programmi di bookmarking, virus, "spie di rete", lo scopo principale di cui è una violazione della riservatezza, integrità, disponibilità delle informazioni e controllo completo sul lavoro dell'host . Inoltre, è possibile il lancio non autorizzato dei programmi di applicazione utente per l'ottenimento non autorizzato dei dati necessari dal violatore, per avviare i processi gestiti dal programma applicativo, ecc.
Si distinguono tre sottoclasse dati della minaccia:
distribuzione di file contenenti codice eseguibile non autorizzato;
avvio di applicazioni remote mediante traboccare i buffer dell'applicazione;
avvio dell'applicazione remota utilizzando le opzioni per il sistema di controllo remoto fornito da software nascosti e segnalibri hardware o utilizzati da mezzi standard.
Le minacce tipiche della prima delle sottoclassi specificate si basano sull'attivazione dei file distribuiti in caso di accesso accidentale a loro. Esempi di tali file possono essere: file contenenti codice eseguibile nei documenti di visualizzazione contenenti codice eseguibile sotto forma di elementi ActiveX, applet Java, script interpretati (ad esempio, i testi su JavaScript); File contenenti codici di programma eseguibili. Servizi e-mail, trasferimento file, file system di rete può essere utilizzato per distribuire i file.
Con le minacce della seconda sottoclasse, sono utilizzate le carenze dei programmi di implementazione dei programmi (in particolare, non viene utilizzato alcun controllo su overflow del buffer). Impostazione dei registri di sistema a volte è possibile cambiare il processore dopo l'interruzione causata da un overflow del buffer, all'esecuzione del codice contenuta all'estero del buffer. Un esempio dell'attuazione di tale minaccia può essere l'introduzione di un "virus Morris" ampiamente conosciuto.
Nelle minacce della terza sottoclasse, il violatore utilizza la capacità di gestire in remoto il sistema fornito da componenti nascosti (ad esempio, i programmi di Trojan Tybro. Orefizio, net bus) o controlli regolari e amministrazione di reti informatiche (Landesk Management Suite, Managewise , Orrifoglio posteriore, ecc. P.). Come risultato del loro uso, è possibile ottenere il controllo remoto sulla stazione sulla rete.
Se l'istituzione ha elaborato i PDN non vengono inviati su uso generale e reti di scambio internazionali, viene stabilita la protezione anti-virus, viene stabilita la probabilità di una minaccia - è improbabile.
In tutti gli altri casi, dovrebbe essere stimata la probabilità di una minaccia.
L'elenco generalizzato delle probabilità dell'attuazione delle minacce per diversi tipi di condotti è presentato nella Tabella 12.
Tabella 12.
|
Tipo di cauden. |
La probabilità di una minaccia |
Coeff. probabilità di una minaccia di un violatore |
|
IC autonomo ITIpa. |
improbabile | |
|
Autonomo è Iitipa. | ||
|
Autonomole è IIITIP. |
improbabile | |
|
Autonomole è ISTIP. | ||
|
IC autonomo Vtipa. |
improbabile | |
|
Autonoma IC VITYPE. | ||
|
Fox Utipo. |
improbabile | |
|
Fox ITITIPA. | ||
|
Itipa distribuito |
improbabile | |
|
Distribuito è ITIIPA. |
I programmi dannosi possono essere effettuati (implementati) sia deliberatamente che in modo casuale nel software utilizzato nella progettazione, nel processo di sviluppo, accompagnamento, modifiche e impostazioni. Inoltre, il malware può essere effettuato durante il funzionamento del CDN dal supporto esterno o dall'interazione di rete sia come risultato di NSD che da utenti casuali di CAD.
I moderni programmi maliziosi si basano sull'uso delle vulnerabilità di vari tipi di software (sistemico, generale, applicato) e diverso tecnologie di rete, avere una vasta gamma di funzionalità distruttive (da uno studio non autorizzato dei parametri del PDN senza interferenze nel funzionamento del CD, prima della distruzione dei PDN e del software CDN) e può agire in tutti i tipi di software (sistema, applicato, nei driver hardware, ecc.).
La presenza di programmi dannosi può contribuire al verificarsi di canali di accesso non tradizionali, inclusi i canali di accesso non tradizionali alle informazioni che consentono di aprire, bypassare o bloccare i meccanismi di protezione previsti nel sistema, inclusa la password e la protezione crittografica.
I principali tipi di programmi dannosi sono:
· Segnalibri software;
· Virus del software classico (computer);
· Programmi dannosi che si propagano sulla rete (worm di rete);
· Altri programmi dannosi destinati all'implementazione del NSD.
I segnalibri del software includono programmi, frammenti di codice, istruzioni che formano funzionalità software non dichiarate. I programmi dannosi possono passare da una specie a un altro, ad esempio, una posa del software può generare un virus software, che, a sua volta, colpire le condizioni di rete, può formare un worm di rete o un altro programma dannoso progettato per implementare un NSD.
una breve descrizione di I principali programmi dannosi sono ridotti a quanto segue. I virus di avvio si scrivono nel settore di avvio del disco (Settore di avvio) o nel settore contenente il record di avvio master) o modificare il puntatore nel settore dell'avvio attivo. Vengono introdotti nella memoria del computer durante il caricamento da un disco infetto. In questo caso, il caricatore di sistema legge il contenuto del primo settore del disco da cui viene effettuato il download, mette a leggere le informazioni in memoria e trasferimenti ad esso (I.e., il virus) Controllo. Successivamente, le istruzioni del virus sono avviate, che, di regola, riducono la quantità di memoria libera, copia il suo codice sul luogo libero e legge la sua continuazione dal disco (se c'è), intercetta il vettore di interruzione necessario (in genere int 13h), legge il settore di avvio della memoria originale e trasmette il controllo ad esso.
In futuro, il virus dell'auto si comporta allo stesso modo del file: intercetta ricorsi sistema operativo Per i dischi e infettarli, a seconda delle condizioni, le azioni distruttive fanno effetti sonori o effetti video.
Le principali azioni distruttive eseguite da questi virus sono:
· Distruzione di informazioni nei settori del floppy disk e del disco rigido;
· Escludere la possibilità di caricare il sistema operativo (il computer "si blocca");
· Distorsione del codice caricatore;
· Formattazione di dischetti o dischi logici del disco rigido;
· Chiudere l'accesso ai porti COM e LPT;
· Sostituzione dei simboli durante la stampa di testi;
· Twitching dello schermo;
· Modificare l'etichetta del disco o del disco floppy;
· Creare cluster pseudo-free;
· Creazione di effetti visivi audio e (o) (ad esempio, caduta
lettere sullo schermo);
· File di dati malati;
· Visualizza una varietà di messaggi;
· Scollegare i dispositivi periferici (ad esempio, tastiera);
· Modificare la tavolozza dello schermo;
· Riempire lo schermo con gli outster o le immagini;
· Rimborso dello schermo e traduzione nella modalità inattiva dalla tastiera;
· Settori di crittografia del disco rigido;
· Distruzione selettiva dei caratteri visualizzati sullo schermo se impostati dalla tastiera;
· Ridurre la RAM;
· Modifica della stampa dello schermo dello schermo;
· Bloccare i record sul disco;
· Discontailing di una tabella di partizione (tabella della partizione del disco), dopodiché, il computer può essere scaricato solo dal disco floppy;
· Bloccare l'inizio dei file eseguibili;
· Bloccare l'accesso al Winchester.
|
Figura 3. Classificazione dei virus del software e dei vermi di rete
La maggior parte dei virus avviabili sovrascrivono se stessi su floppy disk.
La sovrascrittura del metodo di infezione è il più semplice: il virus registra il suo codice anziché il codice del file infetto, distruggendo il suo contenuto. Naturalmente, mentre il file smette di funzionare e non è ripristinato. Tali virus rilevano molto rapidamente, poiché il sistema operativo e le applicazioni sono abbastanza rapidamente smesso di funzionare.
La categoria "Companion" include virus che non cambiano i file contaminati. L'algoritmo del lavoro di questi virus è che viene creato un doppio file per il file contaminato e quando viene avviato il file infetto, il controllo riceve questo gemello, cioè il virus. I virus aziendali più comuni che utilizzano la funzione DOS per primi file eseguiti con estensione con l'estensione.com, se ci sono due file con lo stesso nome in una directory, ma con vari nomi del nome - .com I.exe. Tali virus creano file satellitari per i file EXE, che hanno lo stesso nome, ma con Extension.com, ad esempio, il file xcopy.com viene creato per il file xcopy.exe. Il virus è registrato nel file COM e non modifica il file EXE. Quando si avvia tale file DOS, il primo rileva ed esegue il file COM, cioè il virus che avvierà e il file EXE. Il secondo gruppo rende virus che, quando infetti, rinomina il file in qualsiasi altro nome, ricordalo (per il successivo avvio del file host) e scrivi il codice sul disco sotto il nome del file infetto. Ad esempio, il file xcopy.exe viene rinominato in xcopy.exd e il virus è scritto sotto il nome xcopy.exe. Quando si avvia, il controllo riceve il codice Virus, che quindi avvia la XCopy originale memorizzata sotto il nome XCopy.exd. Interessante è il fatto che questo metodo funziona, apparentemente, in tutti i sistemi operativi. Il terzo gruppo include i cosiddetti virus "Path-Companion". Ori scrivono il loro codice sotto il nome del file infetto, ma "sopra" un livello nei percorsi proposti (DOS, quindi il primo sarà rilevato e avvia il file virus) o tollera il file sacrificio a una sottodirectory sopra, eccetera.
È possibile esistere e altri tipi di virus compagni utilizzando altre idee o caratteristiche originali di altri sistemi operativi.
I vermi dei file (worm) sono, in un certo senso, un tipo di virus aziendali, ma in nessun modo non associano la loro presenza con qualsiasi file da eseguire. Nella riproduzione, copiano solo il loro codice in tutti i cataloghi del disco nella speranza che queste nuove copie funzionino da parte dell'utente. A volte questi virus forniscono le loro copie dei nomi "speciali" per spingere l'utente per avviare le loro copie - ad esempio install.exe o winstart.bat. Ci sono virus wormi che utilizzano tecniche abbastanza insolite, ad esempio, registrando le loro copie negli archivi (ARJ, Zip e altri). Alcuni virus registrano il lancio di un file infetto in file BAT. Non confondere i virus dei file di Chervi con i vermi di rete. Solo il primo utilizzo funzioni dei file Qualsiasi sistema operativo, il secondo nella loro riproduzione utilizza i protocolli di rete.
I virus del collegamento, come i virus compagni, non modificano il contenuto fisico dei file, ma quando viene avviato il file infetto, il software OS esegue il suo codice. Questi obiettivi raggiungono la modifica dei campi del file system necessari.
Virus, infezione delle librerie di compilatori, moduli oggetti e testi di origine dei programmi sono abbastanza esotici e praticamente non comuni. Virus, infettando file obj- e lib, scrivono il loro codice in loro nel formato del modulo oggetto o della libreria. Il file infetto non viene quindi eseguito e non è in grado di diffondere ulteriormente il virus nel suo stato corrente. Il corriere del virus "vivente" diventa un file Com- o Exe.
Dopo aver ricevuto il controllo, il virus del file esegue le seguenti azioni generali:
· Controlla la RAM per la sua copia e infetti
memoria del computer Se non viene trovata una copia del virus (se il virus è un residente), cerca i file non confermati nella directory corrente e (o) root eseguendo la scansione delle directory del disco logico, quindi infetta i file rilevati;
· Esegue funzioni aggiuntive (se esistenti): distruttivo
azioni, effetti grafici o sonori, ecc. (Le funzioni aggiuntive del virus residente possono essere chiamate dopo un po 'di tempo dopo l'attivazione, a seconda dell'ora corrente, la configurazione del sistema, i contatori del virus interno o altre condizioni, in questo caso il virus quando si attiva elabora lo stato dell'orologio di sistema, imposta il suo contatori, ecc.);
· Restituisce la gestione del programma principale (se è).
Si dovrebbe notare che il virus più veloce è diffuso, più è probabile che il verificarsi dell'epidemia di questo virus, più lento sia il virus, il più difficile da rilevare (se, ovviamente, questo virus è sconosciuto). I virus non residenti sono spesso "lenti" - la maggior parte di essi è infettata da uno o due o tre file all'avvio e non ha il tempo di galleggiare il computer prima del lancio. programma antivirus (o l'aspetto di una nuova versione dell'Antivirus configurato a questo virus). Ci sono, naturalmente, virus "veloci" non residenti, che stanno cercando e infettando tutti i file, ma tali virus sono molto evidenti: quando si avvia ogni file infetto, il computer ha alcuni (a volte abbastanza a lungo) il tempo funziona attivamente con il disco rigido, che demagiglia il virus. La velocità della distribuzione (infezione) ai virus residenti è solitamente superiore a non residente - infettano i file con qualsiasi appello a loro. Di conseguenza, tutti i file che vengono costantemente utilizzati in funzione sono infetti sul disco. La velocità di distribuzione (infezione) dei virus dei file residenti che infettano i file infetti solo quando hanno iniziato ad essere eseguito, sarà inferiore a quello dei virus che infettano i file e quando si aprono, rinominati, modificando gli attributi del file, ecc.
Pertanto, le principali azioni distruttive eseguite dai virus dei file sono associate alla sconfitta dei file (più spesso eseguibili o file di dati), lancio non autorizzato di vari comandi (compresa la formattazione, la distruzione, i comandi di copia, ecc.), Modifica della tabella di Interrompere i vettori e il DR. Allo stesso tempo, possono essere eseguite molte azioni distruttive simili a quelle indicate per i virus dell'avvio.
I macrovirus (virus macro) sono lingue (macro-lingua) incorporati in alcuni sistemi di elaborazione dati (editor di testo, fogli di calcolo, ecc.). Per la sua riproduzione, tali virus utilizzano le funzionalità delle macro-lingue e con il loro aiuto si trasferiscono da un file infetto (documento o tabella) ad altri. I macrovirus erano più comuni per il pacchetto di applicazioni Microsoft Office.
Per l'esistenza di virus in sistema specifico (Editor) È necessario avere un macro-linguaggio incorporato con funzionalità:
1) Binding del programma sulla macro-lingua a un file specifico;
2) copiare macroprogrammi da un file all'altro;
3) Ottenere la gestione del programma macro senza intervento dell'utente (macro automatici o standard).
Queste condizioni soddisfano applicate programmi Microsoft Parola, Excel e Accesso Microsoft.. Contengono macromatiche: parola di base, Visual Basic per applicazioni. In cui:
1) I macrogrammi sono legati a un file specifico o sono all'interno del file;
2) La lingua macro consente di copiare file o spostare macroprogrammi su file di servizio di sistema e file modificabili;
3) Quando si lavora con un file in determinate condizioni (apertura, chiusura, ecc.), Sono chiamati macro fotogrammi (se presenti), che sono definiti in modo speciale o hanno nomi standard.
Questa funzione della macro-lingua è destinata al trattamento automatico dei dati in organizzazioni di grandi dimensioni o nelle reti globali e consente di organizzare la cosiddetta "gestione automatizzata dei documenti". D'altra parte, le capacità macro-linguistiche di tali sistemi consentono al virus di trasferire il loro codice ad altri file e infettali così.
La maggior parte dei macrovirus sono attivi non solo al momento dell'apertura (chiusura) del file, ma fino a quando l'editor stesso è attivo. Contengono tutte le loro funzioni sotto forma di word standard / Excel / Macro di Office. Ci sono, tuttavia, i virus che utilizzano ricevimenti di nascondere il loro codice e memorizzare il loro codice sotto forma di non macro. Ci sono tre tali ricevimenti, tutti usano la possibilità di creare, modificare ed eseguire altre macro. Di norma, virus simili hanno un piccolo macro (a volte polimorfico) del virus, che causa l'editor macro incorporato, crea una nuova macro, lo riempie con il codice di base del virus, esegue e quindi, di regola, distrugge (per nascondere le tracce della presenza del virus). Il codice principale di tali virus è presente nella macro virus stessa sotto forma di stringhe di testo (a volte crittografate) o memorizzate nell'area delle variabili del documento.
La rete include virus che stanno utilizzando attivamente protocolli e possibilità di reti locali e globali per la loro distribuzione. Il principio principale del virus della rete è la possibilità di trasferire in modo indipendente il tuo codice a un server remoto o una workstation. I virus della rete "Full-Fleedged" hanno anche la possibilità di eseguire il codice su un computer remoto o almeno "Premere l'utente per avviare un file infetto.
Programmi dannosi che assicurano l'attuazione dell'NSD:
· Programmi di selezione e apertura delle password;
· Programmi che implementano minacce;
· Programmi che dimostrano l'uso di funzionalità non dichiarate di software e software di software e cdm hardware;
· Programmi del generatore di virus del computer;
· Programmi che dimostrano vulnerabilità della sicurezza
informazioni, ecc.
A causa della complicazione e della crescente diversità del software, il numero di programmi dannosi è in rapido aumento. Oggi sono note più di 120 mila firme di virus informatici. Allo stesso tempo, non tutti rappresentano una vera minaccia. In molti casi, l'eliminazione delle vulnerabilità nel sistema di sistema o applicazione ha portato al fatto che un numero di programmi dannosi non è più in grado di implementare in essi. Spesso il pericolo principale rappresenta nuovi programmi dannosi.
Classificazione dei violatori
Sulla base dell'appartenenza a Dodge, tutti i violatori sono suddivisi in due gruppi:
Violatori esterni - individui che non hanno il diritto di rimanere sul territorio della zona controllata, entro il quale l'attrezzatura è impaziente;
Violatori interni - individui che hanno il diritto di rimanere sul territorio della zona controllata, entro il quale è imposto l'attrezzatura.
Violatore esterno
Come violatore di sicurezza delle informazioni esterne, è considerato un violatore, che non ha accesso diretto alle risorse tecniche e alle risorse del sistema all'interno della zona controllata.
Si presume che il violatore esterno non possa influire sulle informazioni protette sui canali tecnici di perdita, poiché la quantità di informazioni memorizzate ed elaborate nelle abitazioni è insufficiente per la possibile motivazione del violatore esterno per svolgere azioni volte a perdite di informazioni sulla perdita Canali.
Si presume che l'intruso esterno possa influire sulle informazioni protette solo durante il trasferimento tramite i canali di comunicazione.
Violator interno.
Le possibilità della svalutazione interna sono in modo significativo dipendente dai fattori restrittivi che operano all'interno della zona controllata, di cui il mantenimento di un complesso di misure organizzative e tecniche, compresa la selezione, l'allineamento e la fornitura di un alto personale di formazione, tolleranza individui All'interno della zona controllata e controllo sull'ordine del lavoro mirato a prevenire e sopprimere l'accesso non autorizzato.
Accedi alle cellule di distribuzione della distribuzione della distribuzione del sistema forniscono la delimitazione dei diritti dell'utente per accedere a informazioni, software, hardware e altre risorse, in conformità con la politica di sicurezza delle informazioni adottate (regole). Ai violatori interni possono riferirsi (tabella):
Amministratori di sottosistemi o database specifici della categoria II);
Utenti che sono esterni relativi alla specifica AC (categoria IV);
Persone con la possibilità di accedere al sistema di trasmissione dei dati (categoria V);
Ord dipendenti con accesso autorizzato ai locali nei locali, in cui gli elementi sono impazienti, ma non avendo accesso a loro (categoria VI);
Personale di servizio (sicurezza, ingegneria e lavoratori ingegneristici, ecc.) (Categoria VII);
Personale autorizzato degli sviluppatori del CDN, che, su base contrattuale, ha il diritto di mantenere e modificare i componenti della categoria (categoria VIII).
I volti delle categorie I e II sono assegnati compiti per la somministrazione di software e hardware e database del database per l'integrazione e garantire l'interazione di vari sottosistemi che fanno parte del CDN. Gli amministratori possono potenzialmente implementare le minacce di IB utilizzando le possibilità di accesso diretto alle informazioni protette elaborate e archiviate in amplificatore, nonché alla misura tecnica e software, compresi i mezzi di protezione utilizzati in specifici AC, in conformità con l'autorità amministrativa stabilito per loro.
Queste persone hanno familiarità con gli algoritmi principali, i protocolli implementati e utilizzati in specifici sottosistemi e l'insicurezza nel suo complesso, nonché con i principi e i concetti applicabili della sicurezza.
Si presume che potessero usare equipaggiamento standard o per identificare le vulnerabilità o per la realizzazione delle minacce IB. Questa apparecchiatura può essere sia parte del personale, e può riguardare il software facilmente ottenuto (ad esempio il software ottenuto da fonti esterne accessibili al pubblico).
Inoltre, si presume che queste persone potessero avere attrezzature specializzate.
Categorie di persone I e II, in considerazione del loro ruolo eccezionale, è opportuno applicare un complesso di misure speciali organizzative e regime alla loro selezione, occupazione, appuntamento e controllo dell'adempimento dei doveri funzionali.
Si presume che solo le persone fidate siano incluse nel numero di categorie I e II e pertanto, queste persone sono escluse dal numero di probabili violatori.
Si presume che i volti delle categorie III-VIII si riferiscano a probabili violatori.
Le possibilità della menomazione interna sono in modo significativo dipendente
dal regime valido all'interno della zona controllata
e misure organizzative e tecniche di protezione, compresa l'ammissione di individui a PDN e controllo della procedura per la conduzione del lavoro.
I potenziali violatori domestici sono suddivisi in otto categorie, a seconda del metodo di accesso e delle autorizzazioni per accedere ai PDN.
Questo articolo è dedicato all'analisi tecnologie moderneRappresentare una minaccia per la sicurezza di un computer e le tendenze principali nello sviluppo del malware nel 2006.
Tendenze generali nello sviluppo di programmi dannosi
Nel 2006, l'autore ha trovato e ha analizzato 49.697 varietà uniche di programmi dannosi e 47.907 appartengono alle famiglie principali. Secondo i risultati della loro analisi, un diagramma è stato costruito riflettendo la percentuale di programmi dannosi sulle famiglie all'anno (Fig. 1).
Fico. 1. La percentuale di campioni ITW da parte delle famiglie
Come si può vedere dal diagramma, il 37% di tutti i programmi studiati sono programmi dannosi come Trojan-Downloader. Questa è una tendenza costante che viene tracciata dal 2005 ed è collegata al fatto che Trojan-Downloader viene utilizzato per impostare malware, aggiorna le loro versioni e il recupero in caso di rimozione da parte dell'Antivirus. La maggior parte dei casi investigati di danni al computer al malware comporta esattamente il lancio del Trojan-Downloader, a causa dell'uso di exploit o metodi di ingegneria sociale. Le seguenti prevenienti sono vermi postali e di rete, programmi di Trojan di vari tipi e programmi della classe Dialer.
L'analisi statistica delle dinamiche di rilevamento ITW (in natura) i campioni mostra che gli sviluppatori di malware sono stati adottati e utilizzano attivamente la nuova tecnologia per combattere gli scanner di firma. La tecnica è estremamente semplice e sta nel fatto che lo sviluppatore crea centinaia di opzioni per lo stesso malware per un breve periodo di tempo. Maggior parte metodi semplici La ricezione di varie opzioni è la seguente:
- riacking con vari pacchetti e crittini - possono essere eseguiti periodicamente o al momento della richiesta di file, il set di packer e i loro parametri possono variare a caso. Spesso gli autori del malware usano imballatori e crypri modificati, che rende difficile controllare;
- reciproco un file con modifiche sufficienti per modificare le firme dei file per le quali è rilevata;
- posizionando un file dannoso in un pacchetto di installazione creato utilizzando gli installatori di tipo NSIS (sistema di installazione scriptable). Disponibilità aperta codice sorgente L'installatore consente di modificarlo un po ', il che apporterà un disimballaggio automatico e l'analisi durante il controllo anti-virus.
Le tecniche quotate sono state a lungo conosciute e possono essere utilizzate in varie combinazioni, che consente all'autore di un programma dannoso senza molte difficoltà di creare centinaia di opzioni per lo stesso programma senza l'uso di tecniche polimorfiche classiche. Puoi rintracciarlo sull'esempio di Trojan-Downloader. Win32.zlob. Considera le statistiche dei suoi scopri negli ultimi 40 giorni (figura 2).
Fico. 2. Dinamica del rilevamento Trojan-downloader.win32.zlob in 40 giorni
Durante questo periodo, l'autore ha scoperto 2198 campioni ITW Trojan-downloader.win32. Zlob, di cui 1213 sono unici. Il grafico mostra due curve: il numero di rilevamento al giorno e il numero di varietà uniche di file. Dal grafico, si può vedere che circa ogni secondo campione ITW rilevato è un file univoco e questa dipendenza è costantemente persisteva entro un mese. Se ti affidi alla classificazione di Kaspersky Lab, quindi ha considerato 1213 campioni appartengono a 169 diagnostiche di questo programma dannoso. Tali statistiche sono molto indicative: ci sono molti programmi dannosi per i quali dozzine di nuove modifiche vengono rilevate quotidianamente.
Un'altra tendenza caratteristica può essere rintracciata nell'esempio del verme postale di Warezov. Per il mese, l'autore ha registrato 5333 campioni ITW, di cui 459 sono unici. Il grafico della distribuzione delle attività è mostrato in FIG. 3.
Fico. 3. Attività del verme postale di Warezov
I denti sul grafico sono periodi di epidemie associati alla comparsa di nuove varietà di vermi (in questo caso: email-worm.win32.warezov.gj, email-worm.win32. Warezov.fb, email-worm.win32.warezov .hb). Dal grafico, si può vedere che l'epidemia attiva dura in media 2-5 giorni, dopo di che il numero di rilevamento warezov scende al livello "di sfondo" - 10-30 campioni al giorno. L'aspetto di tali raffiche è del tutto spiegato - una nuova varietà di verme non viene rilevata da antivirus, di conseguenza, il worm sta colpendo la massa del PC e inizia l'epidemia. Si sta sviluppando rapidamente, tuttavia, durante il giorno della firma, il worm cade nella base degli antivirus e dell'epidemia fa rapidamente il declino.
Separatamente, va notato la distribuzione attiva dei programmi Trojan di Trojan-Spy-Spy, con i dati personali dell'utente. Tra questi sono evidenziati dal famoso Goldun, che sterili informazioni sui record contabili di E-Gold. Le ultime varietà di questo programma Trojan sono utilizzate attivamente dalle tecnologie Rootkit per mascheratura e spionaggio (figura 4).
Fico. 4. Programma di attività di Trojan-Spy per l'ultimo mese
L'analisi delle tecnologie utilizzate dai creatori di programmi dannosi mostra che nel 2006 non sono state inventate nuove tecnologie rivoluzionarie - gli sviluppatori di malware sono presi per quantità, non di qualità. Tuttavia, sono apparsi diversi nuovi prodotti, che meritano una discussione più dettagliata.
In conclusione, prendere in considerazione un programma medio consolidato, costruito secondo il monitoraggio automatico dell'autore dell'attività virale (Fig. 5).
Fico. 5. Statistiche del sistema ricerca automatica programmi dannosi per gli ultimi 40 giorni
Dal grafico, si può vedere che un sistema automatico al giorno è registrato in media circa 400 nuove varietà uniche di malware.
Tecnologia Rootkit.
Nel 2006 è stato osservato lo sviluppo e il miglioramento di vari tipi di rootkit e tecnologie rootkit. Queste tecnologie applicano molti programmi dannosi e ci sono molte delle loro direzioni:
- rootkit Technologies per il travestimento, il cui scopo principale è quello di mascherare la presenza di un programma dannoso e dei suoi componenti sul disco e in memoria, nonché i tasti di mascheramento nel registro. Per risolvere questo problema, l'intercettazione delle funzioni API è più utilizzata, e nei moderni roottiti ci sono tecniche di intercettazione molto sofisticate, come l'introduzione del codice in funzioni di kernel impressibili, intercettando l'interruzione INT2E, la modifica del Sysenter. Separatamente, va notato da Dkom-Rootkite (Direct Kernel Object Manipulation), che stanno diventando sempre più popolari;
- rukkit Technologies for Espionage - Come segue dal nome, vengono utilizzate per rintracciare il lavoro dell'utente e raccogliere informazioni riservate. L'esempio più caratteristico è Trojan-Spy.Win32.Goldun, che dal principio rootkit intercetta lo scambio di applicazioni con Internet per la ricerca del flusso informazioni trasmesse requisiti carte di credito Utente.
Considera più dettagliatamente dkom-rootkit. Il principio del loro lavoro si basa su modifiche di strutture di sistema che descrivono processi, conducenti, flussi e descrittori. Tale interferenza nelle strutture di sistema, naturalmente, è un'operazione non corretta e molto errata, ma il sistema dopo tale intervento continua a funzionare più o meno. La conseguenza pratica di un tale intervento è che l'attaccante appare la possibilità di manipolare le strutture del kernel per i propri scopi. Ad esempio, per ciascuno dei processi in esecuzione nel kernel, la struttura dell'epocess, che memorizza molte informazioni sul processo, in particolare il suo identificatore (PID) e il nome del processo. Queste strutture formano un elenco a due collegamenti e vengono utilizzati dalle funzioni API che restituiscono informazioni su processi in esecuzione. Per mascherare il processo di Dkom-Roottite, è sufficiente eliminare la sua struttura EPROCESS dalla lista. L'implementazione di un tale travestimento è estremamente semplice, e dozzine di implementazioni finite con testi di origine possono essere trovate su Internet. I rootkit più complessi non sono limitati alla rimozione della struttura dell'oggetto mascherato dall'elenco - distorcono i dati contenuti in esso. Di conseguenza, anche se l'antigioco può trovare un processo o un autista mascherato, riceverà informazioni errate su di lui. A causa della semplicità di attuazione, tali rootkit stanno diventando sempre più popolari, e diventa più difficile combatterli. Gli studi hanno dimostrato che il più metodo efficace Contrazioni per loro è installare nel sistema del monitor, seguendo l'avvio / completamento dei processi e dei driver di caricamento / scarico. Il confronto con le informazioni raccolte da tale monitor con i dati restituiti dal sistema consente di rilevare le modifiche prodotte da Dkom-Roottite, comprendere il loro carattere e rilevare processi e driver dissuasi.
Programma Hoax
La direzione dei programmi di Hoax continua a svilupparsi attivamente, quindi puoi prevedere con sicurezza la crescita di questa famiglia nel 2007. Nella traduzione letterale di Hoax - questa è una bufala; Bugie, hoax, non è vero. L'idea dei programmi Hoax è un inganno dell'utente, più spesso al fine di ottenere profitti o abduzione di informazioni riservate. Recentemente, c'è stata una tendenza della criminalizzazione di questo settore: se un anno fa la maggior parte dei programmi di Hoax ha reso azioni relativamente innocua, simulando un'infezione da computer con virus o codice spyware, quindi moderno sono sempre più destinati a abduzione di password o informazioni riservate. Un esempio di tale programma è mostrato in FIG. 6.
Fico. 6. Hoax.win32.Delfind Finestra del programma
Come segue dalla finestra del programma e dalle sue descrizioni, questo è un generatore di licenza per Kaspersky Anti-Virus. Il programma offre di ottenere una licenza generata per inserire il tuo indirizzo e-mail e password per accedere alla cassetta postale. Se l'utente ingenuo è questo e premere il pulsante "cirtritr", i dati inseriti da loro saranno trasferiti da un utente malintenzionato via e-mail. Più di cento tali programmi sono stati scoperti nell'ultimo anno: queste sono una varietà di "CREK", generatori di carte di pagamento degli operatori cellulari, generatori di numeri di carta di credito, mezzi di cassette postali "hacking", ecc. La caratteristica generale di tali programmi è un inganno di un utente rivolto al fatto che ha introdotto in modo indipendente alcuni informazioni confidenziali. La seconda caratteristica caratteristica delle applicazioni di Hoax è la loro primitività: contengono molti errori e inesorabilità nel codice del programma. I programmi simili spesso creano virus principianti.
La tendenza dello sviluppo dei programmi di bufala può essere considerata utilizzando l'esempio Hoax.win32.renos (Fig. 7).
Fico. 7. Dinamica del rilevamento Hoax.win32.renos per gli ultimi 30 giorni
Dal grafico, si può vedere che l'autore del giorno è rivelato almeno una nuova varietà unica di questo malware, e in un mese ci sono 60 nuove opzioni uniche incluse in 18 suddividi sulla classificazione del laboratorio Kaspersky .
Programmi di Trojan per ricatto ed estorsione
I programmi di questa varietà sono apparsi per la prima volta un paio di anni fa. Il loro obiettivo principale è un utente diretto del ricatto e denaro per il ripristino delle prestazioni del computer o delle informazioni decifrazioni codificate dal programma Trojan. Più spesso, l'autore deve ricevere rapporti e richieste di aiuto da parte degli utenti interessati da Trojan.win32.krotten, estort 25 WMZ per il ripristino delle prestazioni del computer. Questo programma Trojan è estremamente primitivo sul dispositivo, e il suo intero lavoro si riduce alle modifiche di centinaia di chiavi nel registro (con descrizione dettagliata Una delle sue varietà può essere trovata all'indirizzo: http://www.z-oleg.com/secur/virlist/vir1180.php). La peculiarità dei programmi Trojan di questa famiglia è che non c'è abbastanza ricerca e distruzione di Trojan per trattare un computer - è necessario ripristinare il danno causato da loro dal sistema. Se il Trojan Krotens creato dal danno del registro è abbastanza facile, quindi le informazioni crittografate sono molto più complicate. Ad esempio, il creatore dei dati di crittografia dell'utente del programma Trojan GPCode aumenta gradualmente la lunghezza della chiave di crittografia, lanciando così la chiamata alle società antivirus. Puoi leggere di più su questo Trojan nell'articolo "Blackmail" all'indirizzo: http://www.viruslist.com/enalysis?pubid\u003d188790045.
Iniezione del codice del programma come metodo di avvio nascosto
Questa tecnologia è più luminosa tracciata nel moderno Trojan-Downloader, ma gradualmente inizia ad essere introdotta in altri programmi dannosi. La tecnica di esso è relativamente semplice: il programma dannoso è convenzionalmente costituito da due parti - l'iniettore "e il codice Trojan. Il compito del "iniettore" è disfare e decifrare il codice Trojan e la sua introduzione in una sorta di processo di sistema. In questa fase, i programmi malintenzionati studiati differiscono nel metodo di implementazione del codice Trojan:
- l'introduzione sostituendo il contesto - il principio di tale implementazione comporta la preparazione e la decodifica del codice Trojan (passaggio 1), il lancio di qualsiasi processo di sistema e quando si crea un processo, viene creato in modalità "Sleep" (sospesa) (passo 2). Successivamente, l'iniettore introduce il codice Trojan nella memoria del processo (e tale introduzione può essere effettuata in cima al codice della macchina del processo), dopo di che modifica il contesto del flusso principale in modo tale che la direzione riceve il Codice Trojan (passaggio 3). Successivamente, viene lanciato il flusso principale e viene eseguito il codice Trojan. Questo metodo è interessante perché qualsiasi responsabile dei processi mostrerà l'esecuzione di un programma legittimo (diciamo, svchost.exe), ma allo stesso tempo verrà eseguito il codice Trojan invece del codice della macchina del programma legittimo. Questo metodo consente di bypassare i firewall che non hanno i mezzi per controllare la modifica della memoria di memoria e il contesto dei suoi flussi (figura 8);
Fico. 8. Implementazione della sostituzione del contesto
- l'introduzione di Trojan - Questo metodo è ideologicamente simile a quello precedente, ma invece di sostituire il codice motore del processo Trojan e la sua esecuzione nel thread principale, viene effettuato un flusso aggiuntivo in cui viene eseguito il codice Trojan (passaggio 2) . Questo metodo è spesso utilizzato per iniettare il codice Trojan in un processo esistente senza disturbare il suo funzionamento (Fig. 9).
Fico. 9. Implementazione del metodo per creare un flusso di Trojan
Nuovi metodi di potenza whebmoney
Alla fine del 2006, è stato trovato un nuovo metodo di furto di risoluzione di denaro nel sistema WebMoney. Si basa sull'introduzione di un piccolo programma Trojan sul computer, che traccia se la finestra del programma WebMoney è aperta. Se è aperto, il buffer di Exchange è monitorato. Quando il testo si trova nel buffer a partire da "Z", "R" o "E", il programma Trojan crede che questo sia il numero del portafoglio destinatario, che l'utente ha copiato negli Appunti per accedere alla finestra WebMoney. Questo numero viene rimosso dal buffer ed è sostituito dal numero "Z", "R" o "E" del portafoglio dell'attaccante. Il metodo è estremamente facile da implementare e può essere abbastanza efficace, dal momento che il numero di portafogli è davvero inserito, ma vengono copiati attraverso un buffer e non tutti gli utenti controllano con attenzione se il numero del portafoglio inserito dal buffer. Questo Troyan è una dimostrazione visiva dell'ingegnuità degli sviluppatori dei programmi di Troia.
Rilevazione del debugger e del PC virtuale
I metodi di combattere il debugger, gli emulatori e i computer virtuali sono noti per molto tempo. Il loro uso rende difficile analizzare un programma dannoso per uno specialista dei principianti, quindi tali tecnologie sono lunghe e sufficientemente applicare con successo agli sviluppatori di malware. Tuttavia, nell'ultimo anno, c'è stata una nuova tendenza: i programmi dannosi hanno iniziato a provare a definire il tipo di computer - il vero è il ferro o l'emulazione creato da PC o VMware virtuale. I PC virtuali simili sono stati utilizzati abbastanza attivamente e applicati dagli amministratori per esplorare programmi sospetti. Se c'è un'ispezione in caso di esecuzione su un PC virtuale (come opzione - sotto il debugger), un programma dannoso può semplicemente un'emergenza per completare il suo lavoro, il che impedirà il suo studio. Inoltre, tale ispezione colpirà i sistemi di sandbox normani, dal momento che il loro principio dell'analisi euristica, in sostanza, è quello di avviare il programma studiato sull'emulatore e lo studio del suo lavoro. Alla fine dell'anno, Sans Institute Sans Tom Liston (Tom Liston) ed Ed Skudis (Ed Skoudis) ha pubblicato un rapporto molto interessante con la descrizione della tecnica della scoperta delle macchine virtuali e della lotta contro i metodi di rilevamento. Il documento può essere scaricato dal sito Sans http://handlers.sans.org/tliston/thwartingvmdetection_Liston_skoudis.pdf.
Bots spam e proxy di Trojan
Spam Bot è un programma Trojan autonomo progettato per inviare automaticamente lo spam dal computer interessato. Il proxy Trojan è un programma dannoso con funzioni server proxy, la sua operazione sul computer interessata consente a un utente malintenzionato di utilizzarlo come server proxy per l'invio di spam, tenendo attacchi su altri computer ed eseguire altre azioni illecite. Molti moderni bot spam mascherano attivamente la loro presenza dalle tecnologie Rootkit e sono protette dalla rimozione. Le statistiche mostrano che più di 400 varietà ITW di tali programmi sono rilevate al mese, di cui circa 130 sono nuove, uniche.
Spam Bot è una grande minaccia per le reti aziendali, dal momento che il suo lavoro porta alle seguenti conseguenze:
- grande consumo di traffico di rete - nella maggior parte delle città russe non è ancora disponibile tariffe illimitatePertanto, la presenza nella rete di diversi computer interessati può portare a perdite finanziarie tangibili dovute alla spesa del traffico;
- molti reti aziendali Per accedere a Internet, vengono utilizzati indirizzi IP statici e i propri server di posta. Di conseguenza, a seguito delle attività dei bot spam, questi indirizzi IP cadranno rapidamente in elenchi neri di filtri antispam, il che significa che i server di posta su Internet interromperanno la ricezione della posta dal server aziendale aziendale della società. Puoi escludere il tuo indirizzo IP da una lista nera, ma è abbastanza difficile, e se c'è una misura temporanea nella rete di bot di spam di lavoro.
I metodi di contrazione dei bot spam e dei proxy di Trojan sono molto semplici: è necessario bloccare la porta 25 per tutti gli utenti, e idealmente, è generalmente vietato per loro scambio diretto con Internet, sostituendolo con il lavoro tramite i server proxy. Ad esempio, in Smolenskenergo, tutti gli utenti funzionano con Internet solo tramite un proxy con un sistema di filtro e uno studio semi-automatico dei protocolli viene eseguito quotidiano, che viene eseguito dall'amministratore di sistema. L'analizzatore utilizzato per loro rende facile rilevare anomalie nel traffico utente e adottare misure per bloccare attività sospette in modo tempestivo. Inoltre, risultati eccellenti Sistema IDS (sistema di rilevamento delle intrusioni), studiando il traffico utente di rete.
Distribuzione di programmi dannosi con cercapersone Internet
Per le statistiche raccolte durante l'anno, i pageri di Internet sono sempre più utilizzati per implementare il malware sui computer degli utenti. La tecnica dell'attuazione è l'ingegneria sociale classica. Da un computer infetto, per conto della ICQ del suo proprietario, il programma dannoso invia messaggi che richiedono un particolare pretesto per aprire il collegamento specificato. Il collegamento porta al programma Trojan (di solito con il tipo di nome semantico immagine.PIF o flash_movie.exe) o al sito le cui pagine contengono exploit. Va notato che il fatto che i collegamenti a programmi dannosi siano applicati, e non i loro corpi.
Nell'ultimo anno sono state registrate diverse epidemie basate su questo principio. In Russia, gli utenti ICQ sono stati per lo più interessati, e quindi diffondono il programma di categoria Trojan-PSW per i programmi di Trojan, la password delle password degli utenti. L'autore in media riceve da uno a dieci messaggi al giorno, e entro la fine dell'anno c'è un'attivazione di tali newsletter.
Protezione della protezione dannosa questo tipo Estremamente semplice - non dovrebbe aprire collegamenti simili. Tuttavia, le statistiche mostrano che la curiosità degli utenti spesso supera, ci sono più se i messaggi vengono per conto di una persona nota. In un ambiente aziendale, una misura efficace è un divieto sull'uso dei cercapersone di Internet, perché in termini di sicurezza, sono il canale di perdita di canale perfetto.
Portatori flash USB.
Un calo significativo dei prezzi per i vettori flash (nonché la crescita del loro volume e velocità) ha portato ad un effetto naturale - una rapida crescita della loro popolarità tra gli utenti. Di conseguenza, gli sviluppatori di malware hanno iniziato a creare programmi che infettano le unità flash. Il principio di funzionamento di tali programmi è estremamente semplice: due file vengono creati nella radice del disco: il file di testo autorun.inf e una copia di un programma dannoso. Il file AUTORUN viene utilizzato per AUTORUN un programma dannoso quando il disco è collegato. Un classico esempio di programma così dannoso è il verme dei raggi. È importante notare che una fotocamera digitale può fungere da corriere del virus, molti telefono cellulare, Lettori MP3 e PDA - Loro, dal punto di vista del computer (e del worm, sono indistinguibili dal disco flash. In questo caso, la presenza di un programma dannoso non influisce sul funzionamento di questi dispositivi.
Una misura di protezione contro tali programmi può essere una chiusura di Autorun, l'uso di monitor anti-virus per il rilevamento tempestivo e la rimozione del virus. Prima della minaccia di infrazioni di virus e perdite di informazioni, molte aziende vanno a misure più rigorose: blocca la possibilità di collegare i dispositivi USB utilizzando un software specializzato o bloccando i driver USB nelle impostazioni del sistema.
Conclusione
Questo articolo ha riguardato le direzioni principali per lo sviluppo di programmi dannosi. La loro analisi ti consente di fare diverse previsioni:
- si può presumere che la direzione della campagna dagli scanner di firma e la protezione da correre sui computer virtuali si sviluppino attivamente su computer virtuali e emulatori. Di conseguenza, si verificano vari analizzatori euristici, firewall e sistemi di protezione proattiva per combattere tali programmi dannosi;
- esiste una chiara criminalizzazione del ramo di sviluppo di malware, la proporzione dei bot spam, il proxy di Trojan, i programmi di Trojan per il furto di password e dati dell'utente personale stanno crescendo. A differenza dei virus e dei vermi, tali programmi possono essere applicati agli utenti con danni materiali tangibili. Lo sviluppo del settore dei programmi Trojan impegnati in dati crittografati agli utenti rendono il pensiero della fattibilità del periodico copia di riservache guida effettivamente a zero danni da un tale trojan;
- l'analisi dei casi di infezione dei computer mostra che spesso gli attaccanti vengono eseguiti da hackerando i server Web per ospitare programmi dannosi su di essi. Tale hacking è molto più pericoloso del cosiddetto Defeisa (sostituendo il sito della pagina del sito), dal momento che i visitatori del sito possono essere infetti da computer. Si può presumere che questa direzione si svilupperà abbastanza attivamente;
- i dischi flash, le fotocamere digitali, i lettori MP3 e PDA stanno diventando sempre più minaccia per la sicurezza, perché possono agire come vettori di virus. Molti utenti sottovalutano il pericolo in uscita, dicono, da una fotocamera digitale, - tuttavia, l'autore per il 2006 è stato in grado di esplorare almeno 30 incidenti associati a dispositivi simili;
- un'analisi del dispositivo e dei principi del malware mostra che è possibile proteggere contro di loro senza antivirus - semplicemente non saranno in grado di funzionare in un sistema configurato con competenza. La regola principale della protezione è il lavoro dell'utente in un conto limitato, che, in particolare, non ha privilegi per l'ingresso in cartelle di sistema, sulla gestione dei servizi e dei conducenti, nonché sulla modifica tasti di sistema Registro.
atto Editoriale 15.02.2008
"Modello di base delle minacce alla sicurezza dei dati personali durante l'elaborazione nei sistemi di informazione dei dati personali" (UTV 15.02.2008 FSTEC RF)
5. Minacce di accesso non autorizzato alle informazioni nel sistema informativo dei dati personali
Le minacce del NSD in dimore con l'uso di software e software e hardware sono implementate nell'attuazione di non autorizzato, incluso casuale, ad accesso, come risultato della violazione della riservatezza (copia, distribuzione non autorizzata), integrità (distruzione, cambiamento) e Disponibilità (blocco) di PDNS e includere:
minacce di accesso (penetrazione) nell'ambiente operativo del computer utilizzando il software standard (strumenti di sistema operativi o programmi applicati di applicazione generale);
Minacce per creare fondi anormali di software di software (software e hardware) a causa di modifiche deliberate nei dati del servizio, ignorare le limitazioni previste nelle condizioni del personale per la composizione e le caratteristiche delle informazioni elaborate, la distorsione (modifiche) dei dati stessi, eccetera.;
minacce per implementare programmi dannosi (software e impatto matematico).
La composizione degli elementi della descrizione delle minacce del NSD alle informazioni nella morte è mostrata nella figura 3.
Inoltre, sono possibili minacce combinate, che sono una combinazione di queste minacce. Ad esempio, a causa dell'attuazione dei programmi dannosi, le condizioni possono essere create per il NSD nell'ambiente operativo del computer, anche formando canali di informazioni di accesso non tradizionali.
Minacce di accesso (penetrazione) nell'ambiente operativo mediante l'uso del software standard sono suddivise in minacce a accesso diretto e remoto. Le minacce di accesso diretto vengono eseguite utilizzando software e software e hardware dell'ingresso / uscita del computer. Le minacce di accesso remoto sono implementate utilizzando i protocolli di interazione di rete.
Queste minacce vengono implementate relative al database sulla base del luogo di lavoro automatizzato, non incluse nella rete di comunicazione pubblica e in relazione a tutta la dignità che ha una connessione a reti di comunicazione pubblica e reti di scambio di informazioni internazionali.
La descrizione delle minacce per accedere (penetrazione) nell'ambiente operativo del computer formalmente può essere rappresentata come segue:
la minaccia del NSD in punti: \u003d<источник угрозы>, <уязвимость ИСПДн>, <способ реализации угрозы>, <объект воздействия (программа, протокол, данные и др.)>, <деструктивное действие>.
Figura 3. Elementi della descrizione delle minacce del NSD alle informazioni nel CDN
Le minacce per creare modalità di emergenza del funzionamento del software (software e hardware) i fondi sono la minaccia del "rifiuto di mantenere". Di norma, queste minacce sono considerate in relazione al database in base ai sistemi di informazione locali e distribuiti, indipendentemente dallo scambio di informazioni. La loro attuazione è dovuta al fatto che durante lo sviluppo del sistema o del software di applicazione, non è presi in considerazione la possibilità di azioni deliberate su una modifica mirata:
condizioni di elaborazione dei dati (ad esempio, ignorare le restrizioni sulla lunghezza del pacchetto dei messaggi);
Formati di rappresentazione dei dati (con la non conformità dei formati modificati installati per l'elaborazione in Protocolli di interazione di rete);
Software di elaborazione dati.
A seguito dell'attuazione della "rifiuto delle minacce di manutenzione", dei buffer trabocca e bloccando le procedure di elaborazione, le procedure di elaborazione "looping" e una "illuminazione" di un computer, scartando i pacchetti di messaggi, ecc. La descrizione di tali minacce può essere formalmente essere formalmente essere rappresentato come segue:
la minaccia del "rifiuto di mantenere": \u003d<источник угрозы>, <уязвимость ИСПДн>, <способ реализации угрозы>, <объект воздействия (носитель ПДн)>, <непосредственный результат реализации угрозы (переполнение буфера, блокирование процедуры обработки, "зацикливание" обработки и т.п.)>.
Minacce per l'introduzione di programmi dannosi (software e impatto matematico) è poco pratico descrivere con lo stesso dettaglio delle minacce sopra indicate. Ciò è dovuto al fatto che, prima di tutto, il numero di programmi dannosi oggi è già significativamente superiore a centomila. In secondo luogo, quando si organizzano la protezione delle informazioni in pratica, di regola, è sufficiente conoscere la classe di programma maligno, metodi e conseguenze dalla sua attuazione (infezione). A questo proposito, la minaccia del software e dell'impatto matematico (PMW) può essere formalmente rappresentato come segue:
la minaccia del PMW in punti: \u003d<класс вредоносной программы (с указанием среды обитания)>, <источник угрозы (носитель вредоносной программы)>, <способ инфицирования>, <объект воздействия (загрузочный сектор, файл и т.п.)>, <описание возможных деструктивных действий>, <дополнительная информация об угрозе (резидентность, скорость распространения, полиморфичность и др.)>.
Di seguito sono riportate le caratteristiche complessive delle fonti delle minacce alla sicurezza delle informazioni, le vulnerabilità che possono essere utilizzate nell'attuazione delle minacce NSD e della caratteristica dei risultati di accesso non autorizzato o accidentale. La caratteristica dei metodi di attuazione delle minacce viene fornita quando si descrive le minacce per accedere (penetrazione) nell'ambiente operativo del computer, minacce per rifiutare la manutenzione e le minacce del PMW.
Le fonti di minacce del NSD in Dodge possono essere:
violatore;
carrier of malware;
scheda hardware.
Le minacce di sicurezza PDN associate all'attuazione dei segnalibri hardware sono determinati in conformità con i documenti normativi del servizio di sicurezza federale Federazione Russa Nel modo prescritto.
Secondo la presenza di diritti di accesso permanenti o una tantum per la zona controllata (KZ), gli intrusi sono suddivisi in due tipi:
i violatori che non hanno accesso alle abitazioni che implementano minacce da reti di comunicazione pubblica esterne e (o) reti di scambio di informazioni internazionali sono intrusi esterni;
vialatori che hanno accesso a Dodge, compresi gli utenti di DOT, implementando le minacce direttamente negli intrusi interni.
I violatori esterni possono essere:
servizi di ricognizione di stati;
Strutture criminali;
concorrenti (organizzazioni concorrenti);
partner sleali;
soggetti esterni (individui).
L'intruso esterno ha le seguenti caratteristiche:
esercitare l'accesso non autorizzato ai canali di comunicazione, lasciando al di fuori dei locali di servizio;
effettuare l'accesso non autorizzato tramite lavori automatizzati collegati a reti di comunicazione pubblica e (o) reti di scambio di informazioni internazionali;
effettuare l'accesso non autorizzato alle informazioni utilizzando effetti speciali software attraverso virus software, malware, algoritmici o segnalibri software;
Effettuare l'accesso non autorizzato attraverso gli elementi dell'infrastruttura informativa del Cadn, che nel processo del loro ciclo vitale (modernizzazione, manutenzione, riparazione, riciclaggio) risultano essere al di fuori della zona controllata;
impatto Accesso non autorizzato attraverso sistemi informativi di reparti, organizzazioni e istituzioni interagenti quando sono collegati al CD.
Le possibilità della svalutazione interna dipendono in modo significativo il regime e le misure tecniche e tecniche da operare all'interno della zona controllata, compresa l'ammissione di individui a PDN e controllare la procedura per la conduzione del lavoro.
I potenziali violatori domestici sono suddivisi in otto categorie, a seconda del metodo di accesso e delle autorizzazioni per accedere ai PDN.
La prima categoria comprende persone con accesso autorizzato a Dodge, ma non avere accesso a PDNS. Questo tipo di violatori include funzionari che garantiscono un normale funzionamento impudente.
avere accesso a frammenti di informazioni contenenti PDN e estendendo attraverso i canali di comunicazione interna del CDM;
Frammenti di informazioni sulla topologia del CDN (parte della comunicazione della sottorete) e dei protocolli di comunicazione utilizzati e dei loro servizi utilizzati;
Posiziona i nomi e per identificare le password degli utenti registrati;
modificare la configurazione degli strumenti tecnici CDN, per effettuare segnalibri software e hardware e fornire informazioni utilizzando la connessione diretta con i mezzi tecnici di CD.
possiede tutte le possibilità delle persone della prima categoria;
Conosce almeno un nome di accesso legale;
Ha tutti gli attributi necessari (ad esempio, password), fornendo accesso a un determinato sottoinsieme PD;
ha dati riservati a quale accesso.
Il suo accesso, autenticazione e diritti di accesso a un determinato sottoinsieme di PDN devono essere regolati dal pertinente accesso alla soppressione dell'accesso.
ha tutte le possibilità delle persone della prima e della seconda categoria;
Ha informazioni sulla topologia del database sulla base di un sistema informativo locale e (o) distribuito attraverso il quale viene effettuato l'accesso e la composizione dei mezzi tecnici di CDN;
ha la possibilità di accedere direttamente (fisico) ai frammenti dei mezzi tecnici CDN.
Ha informazioni complete sul sistema e sul software applicativo utilizzato nel segmento (frammento) del CDM;
Ha informazioni complete sui mezzi tecnici e sulla configurazione del segmento (frammento) del CDN;
ha accesso ai mezzi per proteggere le informazioni e la registrazione, nonché ai singoli elementi utilizzati nel CDN del segmento (frammento);
ha accesso a tutti i segmenti tecnici (frammento) dei ceti;
ha i diritti di configurazione e configurazione amministrativa di un determinato sottoinsieme dei mezzi tecnici del segmento (frammento) del CDN.
Ha tutte le possibilità di persone delle categorie precedenti;
ha informazioni complete sul sistema e sul software di origine applicato;
ha informazioni complete su mezzi tecnici e configurazioni.
ha accesso a tutti i mezzi tecnici di elaborazione di informazioni e dati imputudenti;
ha i diritti di configurazione e sintonizzazione amministrativa dei mezzi tecnici.
L'amministratore di sistema esegue la configurazione e la gestione del software (software) e delle apparecchiature, comprese le apparecchiature responsabili della sicurezza dell'oggetto protetto: Mezzi di protezione delle informazioni crittografiche, monitoraggio, registrazione, archiviazione, protezione contro la NSD.
ha tutte le possibilità di persone delle categorie precedenti;
ha informazioni complete su Dodge;
ha accesso alla sicurezza e alla registrazione e alla parte elementi chiave Catturato;
Non ha accesso alla configurazione dei mezzi tecnici della rete, ad eccezione del controllo (ispezione).
L'amministratore di sicurezza è responsabile del rispetto delle regole per la separazione dell'accesso, per generare elementi chiave, trasferire password. L'amministratore di sicurezza esegue un audit degli stessi mezzi di protezione degli oggetti come amministratore di sistema.
ha informazioni su algoritmi e programmi di elaborazione delle informazioni per Dodge;
Ha le possibilità di effettuare errori, funzionalità non dichiarate, segnalibri software, malware nel software CDN nella fase del suo sviluppo, introduzione e manutenzione;
può avere eventuali frammenti di informazioni sulla topologia del DNT e dei mezzi tecnici di elaborazione e protezione del PDS elaborati nel CAD.
ha le possibilità di effettuare segnalibri per i dettagli tecnici di PHDN nella fase del loro sviluppo, attuazione e manutenzione;
Può avere frammenti di informazioni sulla topologia della dignità e dei mezzi tecnici di elaborazione e protezione delle informazioni nell'abitazione.
Il corriere di un programma dannoso può essere un elemento hardware del computer o un contenitore software. Se il programma dannoso non è associato a nessun programma applicativo, allora come è considerato il suo corriere:
Media alienabili, I.e. Dischetto, disco ottico (CD-R, CD-RW), memoria flash, Winchester alienato, ecc.;
Mezzi integrati (Winchesters, Microcircuiti RAM, processore, microcircuiti sistema di bordo, microcircuiti di dispositivi incorporati in unità di sistema, - adattatore video, scheda di rete, scheda audio, modem, dispositivi di ingresso / uscita di dischi rigidi magnetici e dischi ottici, alimentazione, ecc., Microcircuiti ad accesso diretto, bus dati, porte I / O);
circuiti di dispositivi esterni (monitor, tastiera, stampante, modem, scanner, ecc.).
Se il programma dannoso è associato a qualsiasi programma applicativo, con file che hanno estensioni specifiche o altri attributi, con i messaggi trasmessi sulla rete, i suoi vettori sono:
pacchetti trasmessi da messaggi di rete del computer;
file (testo, grafico, eseguibile, ecc.).
5.2. Le caratteristiche complessive della vulnerabilità del sistema informativo dei dati personaliLa vulnerabilità del sistema informativo dei dati personali è una carenza o debolezza Nel software o software applicativo (software e hardware) fornendo un sistema informativo automatizzato che può essere utilizzato per implementare la minaccia per la sicurezza dei dati personali.
Le cause del verificarsi delle vulnerabilità sono:
errori nella progettazione e sviluppo del software (software e hardware) sicurezza;
azioni intenzionali per effettuare vulnerabilità durante la progettazione e lo sviluppo del software (software e hardware) sicurezza;
impostazioni software errate, modifiche illecite nei dispositivi e modalità di programma;
Implementazione non autorizzata e utilizzo dei programmi non registrati con la successiva spesa di risorse irragionevoli (processore di caricamento, ram di acquisizione e memoria su supporti esterni);
l'introduzione del malware, creando vulnerabilità in software e software e hardware;
azioni non autorizzate involontarie degli utenti che portano a vulnerabilità;
fallimenti nel lavoro di hardware e software (causato da guasti di potenza, fallimento degli elementi hardware come risultato dell'invecchiamento e di ridurre l'affidabilità, influenze esterne dei campi elettromagnetici dispositivi tecnici e così via.).
La classificazione delle principali vulnerabilità è spostata nella figura 4.
Figura 4. Classificazione delle vulnerabilità del software
Di seguito sono riportate le caratteristiche complessive dei principali gruppi di vulnerabilità del CDN, incluso:
vulnerabilità del software sistematico (compresi i protocolli di interazione di rete);
vulnerabilità del software applicato (compresi gli strumenti di sicurezza delle informazioni).
5.2.1. Caratteristiche generali delle vulnerabilità del software di sistemaLe vulnerabilità del software di sistema devono essere considerate con riferimento all'architettura della costruzione di sistemi informatici.
Allo stesso tempo, sono possibili le vulnerabilità:
nel firmware, nella ROM del firmware, PPZA;
nel mezzo del sistema operativo inteso a gestire le risorse locali del CDM (fornire funzioni di controllo delle prestazioni, memoria, dispositivi di ingresso / output, interfaccia utente, ecc.), Driver, Utilities;
Nel mezzo del sistema operativo destinato all'attuazione delle funzioni ausiliarie - Utilità (archiviazione, deframmentazione, ecc.), Programmi di elaborazione del sistema (compilatori, linker, debugger, ecc.), Programmi di accantonamento per servizi aggiuntivi all'utente (Opzioni di interfaccia speciale , calcolatrici, giochi, ecc.), Biblioteche di varie procedure di scopo (Biblioteche delle funzioni matematiche, funzioni I / O, ecc.);
nel mezzo di interazione comunicativa (mezzi di rete) del sistema operativo.
Le vulnerabilità nel firmware e nel mezzo del sistema operativo destinate alla gestione delle risorse locali e delle funzioni ausiliarie possono essere:
Funzioni, procedure, modifiche dei parametri di cui in un certo modo, consente loro di usarli per l'accesso non autorizzato senza rilevare tali modifiche al sistema operativo;
frammenti del codice del programma ("fori", "boccali"), introdotti dallo sviluppatore, consentendo di bypassare le procedure di identificazione, l'autenticazione, i controlli di integrità, ecc.;
Gli errori nei programmi (nella dichiarazione di variabili, funzioni e procedure, nei codici programmi), che in determinate condizioni (ad esempio, quando si eseguono le transizioni logiche) portano a guasti, inclusi i guasti del funzionamento dei fondi e dei sistemi di protezione delle informazioni.
Le vulnerabilità dell'interazione di rete sono associate alle funzionalità della loro implementazione del software e sono dovute a restrizioni sulla dimensione del buffer utilizzato, gli svantaggi della procedura di autenticazione, la mancanza di controlli per la correttezza delle informazioni di servizio, ecc. La breve descrizione Di queste vulnerabilità in relazione ai protocolli è mostrata nella Tabella 2.
Tavolo 2
Le vulnerabilità dei protocolli separati dei protocolli TCP / IP rappresentano i protocolli sulla base delle quali le reti condivise globali stanno funzionando.
| Nome Protocollo. | Protocolli di livello stack. | Nome (caratteristica) Vulnerabilità | Contenuto delle violazioni della sicurezza delle informazioni |
| FTP (protocollo di trasferimento file) - Protocollo di trasferimento file sulla rete | 1. Aprire l'autenticazione del database del testo (le password vengono inviate in Unencrypted) 2. Accesso predefinito 3. La presenza di due porte aperte | La capacità di intercettare i dati dell'account (nomi utente registrati, password). Ottenere l'accesso host remoto | |
| tELNET - Protocollo di gestione del terminale remoto | Applicato, rappresentante, sessione | Aprire l'autenticazione del database del testo (le password vengono inviate in non criptate) | La possibilità di intercettare i dati dell'account utente. Ottenere l'accesso host remoto |
| UDP - Protocollo di trasmissione dei dati senza collegamento | Trasporto | Nessun meccanismo di sovraccarico del buffer | La possibilità di attuare la tempesta UDP. Come risultato dello scambio di pacchetti, vi è una significativa riduzione delle prestazioni del server |
| ARP - Protocollo di trasformazione dell'indirizzo IP in indirizzo fisico | Rete | Aprire l'autenticazione del database del testo (le informazioni vengono inviate in forma non criptata) | La capacità di intercettare il traffico utente da un utente malintenzionato |
| RIP - Protocollo delle informazioni di routing | Trasporto | Nessuna autenticazione dei messaggi di controllo sulla modifica del percorso | Capacità di reindirizzare il traffico attraverso l'ospite dell'attaccante |
| TCP - Protocollo di gestione del trasferimento | Trasporto | Nessun meccanismo per controllare la correttezza dei pacchetti di servizio di riempimento | Una significativa riduzione del tasso di cambio e persino di una gap completa di collegamenti arbitrari sul protocollo TCP |
| DNS - Protocollo per stabilire la conformità dei nomi mnemonici e degli indirizzi di rete | Applicato, rappresentante, sessione | Mancanza di strumenti di autenticazione dai dati di origine | Falificazione della risposta del server DNS |
| IGMP - Protocollo del messaggio di routing | Rete | Nessun messaggio di autenticazione sui parametri di percorso di modifica | Win 9x / NT / 200 sistemi |
| SMTP - Protocollo di assistenza dei messaggi di posta elettronica | Applicato, rappresentante, sessione | La capacità di falsi e-mail, nonché gli indirizzi del mittente degli indirizzi | |
| SNMP - Protocollo Gestione Router Route | Applicato, rappresentante, sessione | Mancanza di messaggistica di autenticazione di supporto | Capacità di traboccare la larghezza di banda della rete |
Per sistemare una descrizione di una serie di vulnerabilità, vengono utilizzati un database di vulnerabilità di singoli CVE (vulnerabilità ed esposizioni comuni), nello sviluppo di quali specialisti di molte famose società e organizzazioni, come Mitra, ISS, Cisco, BindView, Axent , NFR, L-3, Cybersafe, Cert, Carnegie Mellon University, Sans Institute, ecc. Questo database è costantemente aggiornato e utilizzato nella formazione di database di numerosi software di analisi della sicurezza e, soprattutto, scanner di rete.
5.2.2. Caratteristiche generali della vulnerabilità del software applicatoIl software applicativo include. programmi applicativi Uso generale e programmi applicati speciali.
Programmi applicati applicati - Testo e editor grafico, programmi multimediali (lettori audio e video, software di ricezione del programma televisivo, ecc.), Sistemi di gestione del database, piattaforme software generali per il software di sviluppo software ( digita Delphi., Visual Basic), strumenti di protezione delle informazioni pubbliche, ecc.
I programmi applicativi speciali sono programmi sviluppati nell'interesse della risoluzione di compiti applicati specifici in questo CD (incluso il software di protezione delle informazioni sviluppato per un CDN specifico).
Le vulnerabilità del software applicativo possono essere:
funzioni e procedure relative a diversi programmi applicativi e incompatibili tra loro (non funzionando in un unico ambiente operativo) a causa di conflitti associati alla distribuzione delle risorse di sistema;
Funzioni, procedure, modifiche in un certo modo dei quali consente di utilizzarle per penetrare nel mercoledì operativo e chiamare le funzioni standard del sistema operativo, eseguendo l'accesso non autorizzato senza rilevare tali modifiche al sistema operativo;
frammenti di codice del programma ("fori", "boccafili"), inseriti dallo sviluppatore, consentendo di bypassare le procedure di identificazione, l'autenticazione, i controlli di integrità, ecc. Forniti nel sistema operativo;
mancanza di strumenti di sicurezza necessari (autenticazione, controllo dell'integrità, verifica dei formati di messaggi, bloccando le funzioni modificate non autorizzate, ecc.);
Errori nei programmi (nella Dichiarazione di variabili, funzioni e procedure, nei codici programmi), che in determinate condizioni (ad esempio, quando si eseguono le transizioni logiche) portano a guasti, inclusi i guasti del funzionamento dei fondi e dei sistemi di protezione delle informazioni, a Accesso non autorizzato alle informazioni di accesso.
I dati sulle vulnerabilità sviluppati e distribuiti su un software applicativo basato su commerciali vengono raccolti, riepilogati e analizzati nel database CVE<*>.
<*> Condotto da una società straniera certificata su base commerciale.
5.3. La caratteristica generale delle minacce di accesso diretto all'ambiente operativo del sistema informativo dei dati personaliLe minacce di accesso (penetrazione) nell'ambiente operativo del computer e l'accesso non autorizzato al PDN sono associate all'accesso:
per informazioni e comandi memorizzati nel sistema I / O di base (BIOS), con la possibilità di intercettare il caricamento del sistema operativo e ricevere i diritti dell'utente affidabile;
nell'ambiente operativo, cioè, sul funzionamento del sistema operativo locale di un mezzo tecnico separato, l'estensione è la possibilità di eseguire l'accesso non autorizzato chiamando il personale del sistema operativo o il lancio di programmi appositamente sviluppati che implementano tali azioni ;
sul funzionamento dei programmi applicativi (ad esempio, al sistema di gestione del database locale);
direttamente alle informazioni dell'utente (su file, informazioni testuali, audio e grafica, campi e voci nei database elettronici) e sono dovuti alla possibilità di violare la sua riservatezza, integrità e accessibilità.
Queste minacce possono essere implementate nel caso di ottenere l'accesso fisico all'abitazione o, almeno, ai mezzi per inserire le informazioni nel CD. Possono essere combinati sotto i termini di implementazione in tre gruppi.
Il primo gruppo include minacce implementate durante l'avvio del sistema operativo. Queste minacce alla sicurezza delle informazioni mirano a intercettare password o identificatori, modificando il software del software di ingresso / uscita del software (BIOS), intercettando il controllo del carico con una modifica delle informazioni tecnologiche necessarie per ottenere un NSD in un ambiente operativo. Molto spesso, tali minacce sono implementate utilizzando supporti alienati.
Il secondo gruppo: le minacce implementate dopo aver caricato l'ambiente operativo indipendentemente dal programma applicativo avviato. Queste minacce sono solitamente finalizzate ad eseguire l'accesso direttamente non autorizzato alle informazioni. Quando si riceve l'accesso all'ambiente operativo, il reato può sfruttare funzioni standard Sistema operativo o qualsiasi programma applicato pubblico (ad esempio, sistemi di gestione del database) e programmi creati appositamente, come l'accesso non autorizzato, ad esempio:
visualizzazione del programma e modifica del registro;
Programmi di ricerca del testo in file di testo per parole chiave e copia;
visualizzazione speciale Programmi e voci di copia in database;
programmi di visualizzazione rapida file grafici, modifica o copiarli;
programmi per supportare le capacità della riconfigurazione dell'ambiente del software (le impostazioni tenute nell'interesse dell'intruso), ecc.
Infine, il terzo gruppo include minacce, l'attuazione dei quali è determinata dal quale dei programmi applicativi è avviata dall'utente o il fatto del lancio di uno qualsiasi dei programmi applicativi. La maggior parte di queste minacce sono le minacce per l'introduzione di programmi dannosi.
5.4. Le caratteristiche complessive delle minacce alla sicurezza dei dati personali implementate utilizzando i protocolli di interazione InternetSe il database è implementato sulla base di un sistema informativo locale o distribuito, può essere implementato nelle minacce di sicurezza all'uso dei protocolli di interconnessione. Può essere fornito dal NSD ai PDN o dalla minaccia del rifiuto di mantenere. Le minacce sono particolarmente pericolose durante la morire è un sistema informativo distribuito connesso a reti di utilizzo generale e (o) reti di scambio di informazioni internazionali. Lo schema di classificazione delle minacce implementato sulla rete è mostrato in figura 5. Si basa su sette i seguenti segni primari di classificazione.
1. La natura della minaccia. Su questa base, la minaccia può essere passiva e attiva. La minaccia passiva è una minaccia, con l'attuazione di cui non ha un impatto diretto sul funzionamento del CDN, ma le regole stabilite di separazione dell'accesso a PDN o risorse di rete possono essere violate. Un esempio di tali minacce è la minaccia della "analisi del traffico di rete", finalizzata ad ascoltare i canali di comunicazione e intercettare le informazioni trasmesse.
La minaccia attiva è una minaccia associata all'impatto sulle risorse del CDN, con l'implementazione di cui risulta essere un impatto diretto sul funzionamento del sistema (modifica della configurazione, del valore di performance, ecc.), E con una violazione delle regole stabilite per distinguere l'accesso a PDN o risorse di rete. Un esempio di tali minacce è la minaccia del "rifiuto della manutenzione", implementato come "tempesta di query TCP".
2. Lo scopo della realizzazione della minaccia. Su questa base, la minaccia può essere finalizzata a violare la riservatezza, l'integrità e la disponibilità delle informazioni (compresa la violazione delle prestazioni del CAD o dei suoi elementi).
3. La condizione ha iniziato a implementare il processo di realizzazione della minaccia. Su questa base, la minaccia può essere implementata:
su richiesta da un oggetto relativo a cui è implementata la minaccia. In questo caso, il violatore si aspetta la trasmissione di un certo tipo di richiesta, che sarà la condizione per l'inizio dell'accesso non autorizzato;
Figura 5. Schema di classificazione delle minacce utilizzando i protocolli di interazione traccia
Al verificarsi dell'evento previsto presso la struttura, relativa a cui è implementata la minaccia. In questo caso, il violatore esegue un monitoraggio permanente dello stato del sistema operativo Cadov e quando un determinato evento avviene in questo sistema, l'accesso non autorizzato è all'inizio;
impatto incondizionato In questo caso, l'inizio dell'attuazione dell'accesso non autorizzato è relativo incondizionatamente all'obiettivo di accesso, cioè, la minaccia è implementata immediatamente e irrilevante allo stato del sistema.
4. Disponibilità risposta Con acuto. Su questa base, il processo di attuazione della minaccia può essere con feedback e senza feedback. La minaccia effettuata in presenza di feedback dal CTF è caratterizzata dal fatto che sono necessarie alcune richieste trasferite alla dimora al violatore per ricevere una risposta. Di conseguenza, c'è un feedback tra il violatore e il Dodge, che consente al violatore di rispondere adeguatamente a tutti i cambiamenti che si verificano nel CDN. In contrasto con le minacce implementate in presenza di feedback dal CD, nell'attuazione di minacce senza feedback, non è necessario rispondere a nessuna modifica che si verifica nel PM.
5. La posizione dell'intruso è relativamente tinta. Conformemente a questo segno, la minaccia è implementata sia in gemma che in integenetività. Segmento di rete è un'associazione fisica degli host (mezzi tecnici di schivato o elementi di comunicazione con un indirizzo di rete). Ad esempio, il segmento del DOT costituisce un set di host collegato al server in base allo schema "Total Bus". Nel caso in cui si svolge una minaccia intra-fertile, il violatore ha accesso fisico agli elementi hardware del CAD. Se si svolge una minaccia intersezionale, l'intruso si trova al di fuori della dimora, implementando una minaccia da un'altra rete o da un altro segmento di CAD.
6. Livello modello di riferimento Interazione dei sistemi aperti<*> (ISO / OSI), su cui è implementata la minaccia. Su questa base, la minaccia può essere implementata sul livello fisico, del canale, della rete, del trasporto, della sessione, del rappresentante e dell'applicazione del modello ISO / OSI.
<*> L'Organizzazione internazionale di normalizzazione (ISO) ha adottato lo standard ISO 7498 che descrive l'interazione dei sistemi aperti (OSI).
7. Il rapporto tra il numero di violatori e gli elementi della dignità relativa a cui è implementata la minaccia. Ai sensi di questa caratteristica della minaccia può essere attribuito alla classe di minacce implementate da un violatore rispetto a un mezzo tecnico di PHDN (la minaccia di "uno a uno"), immediatamente relativo a diversi mezzi tecnici di CAD (la minaccia di " Uno a molti ") o diversi violatori da diversi computer relativi a uno o più mezzi tecnici di Chadna (minacce distribuite o combinate).
Tenendo conto della classificazione, i sette più spesso implementati alle minacce attuali possono essere distinti.
1. Analisi del traffico di rete (figura 6).
Figura 6. Schema della minaccia "Analisi del traffico di rete"
Questa minaccia è implementata utilizzando un programma speciale analizzatore di pacchetti (Sniffer), intercettando tutti i pacchetti trasmessi tramite il segmento di rete e quelli in cui vengono trasmessi l'identificatore dell'utente e la sua password. Durante l'attuazione della minaccia, il violatore studia la logica dell'operazione di rete - cioè, cerca di ottenere una conformità non ambigua degli eventi che si verificano nel sistema e comandi inviati con gli host al momento di questi eventi. In futuro, ciò consente a un utente malintenzionato basato sul compito dei comandi per ottenere, ad esempio, i diritti privilegiati alle azioni nel sistema o espandere i suoi poteri, intercettare il flusso di dati trasmessi che comunicano i componenti del funzionamento della rete Sistema, per estrarre informazioni riservate o di identificazione (ad esempio, le password statiche degli utenti per accedere agli host remoti utilizzando i protocolli FTP e Telnet che non prevedono la crittografia), la sua sostituzione, le modifiche, ecc.
2. Rete di scansione.
L'essenza del processo di attuazione della minaccia è trasferire richieste ai servizi di rete dei tasti host e analizzare le risposte da loro. L'obiettivo è identificare i protocolli usati disponibili per le porte dei servizi di rete, le leggi per la formazione di identificatori di connessione, la definizione di servizi di rete attivi, selezione degli identificatori e password dell'utente.
3. Minaccia per il rilevamento della password.
Lo scopo dell'attuazione della minaccia è ottenere un NSD superando la protezione della password. L'attaccante può avere una minaccia con una serie di metodi, come un semplice busto, Brute Force utilizzando dizionari speciali, installando un programma dannoso per intercettare la password, la sostituzione di un oggetto di rete fidato (spoofing IP) e intercettazione di pacchetti (sniffing) . Principalmente per l'attuazione della minaccia utilizzata programmi specialichi sta tentando di accedere all'host da una selezione coerente di password. In caso di successo, l'attaccante può creare un "pass" per se stesso per l'accesso futuro, che agirà, anche se è necessario modificare la password di accesso sull'host.
4. Sostituzione di un oggetto di rete affidabile e trasmettendo messaggi sui canali di comunicazione per suo conto con l'assegnazione dei suoi diritti di accesso (figura 7).
Figura 7. Schema della minaccia della "sostituzione di un oggetto di rete fidato"
Tale minaccia è effettivamente implementata nei sistemi in cui si applicano algoritmi instabili per l'identificazione e l'autenticazione degli host, gli utenti, ecc. Sotto l'oggetto attendibile è inteso come oggetto di rete (computer, firewall, router, ecc.), Legalmente collegato al server.
Due varietà del processo di attuazione della minaccia specificata possono essere isolate: con lo stabilimento e senza la creazione di una connessione virtuale.
Il processo di implementazione con l'istituzione di un composto virtuale è quello di assegnare i diritti di un'entità fidata dell'interazione, che consente al violatore di condurre una sessione con l'oggetto della rete per conto dell'entità attendibile. L'implementazione della minaccia di questo tipo richiede il superamento del sistema di identificazione e autenticazione (ad esempio, un attacco host RSH host UNIX).
Il processo di attuazione della minaccia senza stabilire una connessione virtuale può verificarsi in reti che identificano i messaggi trasmessi solo attraverso l'indirizzo di rete del mittente. L'entità è il trasferimento dei messaggi di servizio per conto dei dispositivi di controllo della rete (ad esempio, per conto dei router) sul cambiamento dei dati del percorso. Va tenuto presente che gli unici identificatori e connessioni del sottoscrittore (via TCP) sono due parametri a 32 bit Numero di sequenza iniziale - ISS (numero di sequenza) e numero di riconoscimento - ACK (numero di conferma). Di conseguenza, per formare un falso pacchetto TCP al violato è necessario conoscere gli attuali identificatori per questa connessione - ISSA e ISSB, dove:
ISSA - Qualche valore numerico che caratterizza il numero di sequenza del pacchetto TCP ha inviato il numero installato dalla connessione TCP avviata dall'host A;
ISSB - Qualche valore numerico che caratterizza il numero di sequenza del numero di pacchetto TCP inviato installato dalla connessione TCP avviata dall'Host B.
Valore ACK (i numeri di conferma della conferma della connessione TCP) sono definiti come il valore del numero ricevuto dal rispondente ISS (numero di sequenza) più ACKB \u003d ISSA + 1 unità.
A seguito dell'attuazione della minaccia, il violatore riceve i diritti di accesso stabiliti dal proprio utente per un abbonato affidabile ai mezzi tecnici della densità delle minacce.
5. Imporre una rotta di rete falsa.
Questa minaccia è implementata da uno dei due modi: da imposizione intra-fertile o intersezione. La capacità di imporre un percorso falso è dovuto agli svantaggi inerenti agli algoritmi di routing (in particolare, a causa del problema di identificare i dispositivi di controllo della rete), come risultato della quale è possibile ottenere, ad esempio, all'host o in La rete di un utente malintenzionato, in cui è possibile inserire l'ambiente operativo dei mezzi tecnici nell'ambiente operativo CDN. L'implementazione della minaccia si basa su un uso non autorizzato dei protocolli di routing (RIP, OSPF, LSP) e gestione della rete (ICMP, SNMP) per apportare modifiche alle tabelle dei route. Allo stesso tempo, il violatore deve essere inviato per conto del dispositivo di controllo del dispositivo di controllo della rete (ad esempio un router) (figure 8 e 9).
Figura 8. Schema implementazione del "Binding del percorso falso" (INTRA-SEGMENT) utilizzando il protocollo ICMP per violare la comunicazione
Figura 9. Schema dell'attuazione della minaccia "Imponente un falso percorso" (integmentazione) per intercettare il traffico
6. Implementazione di un falso oggetto di rete.
Questa minaccia si basa sull'uso di carenze di algoritmi di ricerca remota. Se gli oggetti di rete inizialmente non hanno informazioni sull'indirizzo l'uno sull'altro, vengono utilizzati vari protocolli di ricerca remoti (ad esempio, SAP in reti Novell NetWare.; ARP, DNS, vince in reti con pila di protocollo TCP / IP), che vengono trasmessi su una rete di richieste speciali e ricevendo le risposte con loro la ricerca di informazioni. In questo caso, è possibile intercettare il violatore della query di ricerca e rilasciare una risposta falsa ad essa, l'uso di cui porterà alla modifica desiderata nei dati dell'indirizzo percorso. In futuro, l'intero flusso di informazioni associato alla vittima dell'oggetto passerà attraverso il falso oggetto di rete (figure 10 - 13).
Figura 10. Schema dell'attuazione della minaccia "Attuazione di un server ARP falso"
Figura 11. Schema di implementazione "Implementazione di un server DNS falso" intercettando una richiesta DNS
Figura 12. Schema di implementazione "Implementazione di un falso server DNS" dalla tempesta di risposta DNS su una rete
Figura 13. Schema implementazione della minaccia "Implementazione di un falso server DNS" da parte della tempesta di risposta DNS al server DNS
7. Rifiuto di mantenere.
Queste minacce si basano su carenze di software di rete, le sue vulnerabilità che consentono al violatore di creare condizioni quando il sistema operativo non è in grado di elaborare i pacchetti in entrata.
Diverse varietà di tali minacce possono essere isolate:
a) Il rifiuto nascosto di mantenere, causato dal coinvolgimento di parte delle risorse del trattamento del pacchetto trasmesso dall'attaccante con una diminuzione della larghezza di banda dei canali di comunicazione, dei dispositivi di rete, violando i requisiti per richiedere richieste di richieste. Esempi di implementazione di minacce di questo tipo possono essere: Diretto dalle richieste di eco da parte di ICMP (inondazione Ping), una tempesta per impostare le connessioni TCP (Syn-Flooding), una query di tempesta al server FTP;
b) un rifiuto esplicito da mantenere, causato dall'esaurimento delle risorse bypassato durante l'elaborazione dei pacchetti trasmessi dall'attaccante (occupando l'intera larghezza di banda della larghezza di banda, le code della query di servizio), in cui le richieste giuridiche non possono essere trasferite attraverso la rete a causa della disabilibilità Il mezzo di trasmissione o ottenere la mancata manutenzione a causa delle code di query di richiesta, dello spazio su disco di memoria, ecc. Esempi di minacce di questo tipo possono servire come tempesta di trasmissione richieste ICMP-ECHO (SMURF), diretta da una tempesta (Syn-Flooding), una tempesta di messaggi al server di posta (spam);
c) un rifiuto esplicito di mantenere, causato da una violazione della connessione logica tra i mezzi tecnici del CTADV, quando si trasferisce il violatore dei messaggi di controllo per conto dei dispositivi di rete, con conseguente modifica dei dati dell'indirizzo percorso (ad esempio, host reindirizzamento ICMP , Inondazioni DNS) o identificazione e informazioni di autenticazione;
D) un rifiuto esplicito della manutenzione causata dalla trasmissione da parte dell'attaccante dei pacchetti con attributi non standard (minacce del tipo di "terra", "lacrima", "Bonk", "Nuke", "udp-bombe") o avendo Una lunghezza superiore alla dimensione massima consentita (minaccia di tipo "ping morte"), che può portare a una raccolta di dispositivi di rete coinvolti nell'elaborazione della query, soggetti ad errori in programmi che implementano i protocolli di Exchange di rete.
Il risultato dell'attuazione di questa minaccia può essere una violazione del servizio pertinente per la fornitura di accesso remoto a PDN a PD, trasmissione da un indirizzo di tale numero di richieste ai mezzi tecnici nella composizione del CDN, che massimo può "ospitare" il traffico del traffico (diretto "Diretto" Query Storm ") che comporta il troppopieno della coda di query e il fallimento di uno dei servizi di rete o di un arresto completo del computer a causa dell'inservabilità del sistema di impegnarsi in qualsiasi altro, Tranne per l'elaborazione della query.
8. Lancio remoto dell'applicazione.
La minaccia sta nel desiderio di lanciare vari malware pre-implementati sull'host: programmi di bookmarking, virus, "spie di rete", lo scopo principale è una violazione della riservatezza, integrità, disponibilità delle informazioni e controllo completo sul lavoro del lavoro del lavoro del ospite. Inoltre, è possibile il lancio non autorizzato dei programmi di applicazione utente per l'ottenimento non autorizzato dei dati necessari dal violatore, per avviare i processi gestiti dal programma applicativo, ecc.
Si distinguono tre sottoclasse dati della minaccia:
1) distribuzione di file contenenti codice eseguibile non autorizzato;
2) Avvio remoto dell'applicazione mediante traboccare il buffer dell'applicazione-server;
3) Avvio dell'applicazione remota utilizzando il controllo remoto del sistema fornito da software nascosti e segnalibri hardware o utilizzati da mezzi standard.
Le minacce tipiche della prima delle sottoclassi specificate si basano sull'attivazione dei file distribuiti in caso di accesso accidentale a loro. Esempi di tali file possono servire: file contenenti codice eseguibile sotto forma di un macrocomando ( documenti Microsoft Parola, Excel, ecc.); Documenti HTML contenenti codice eseguibile come elementi ActiveX, applet Java interpretate da script (ad esempio, testi JavaScript); File contenenti codici di programma eseguibili. Servizi e-mail, trasferimento file, file system di rete può essere utilizzato per distribuire i file.
Nelle minacce della seconda sottoclasse, gli svantaggi dei programmi che implementano i servizi di rete (in particolare, non vengono utilizzati alcun controllo di controllo del sovraccarico di controllo). Impostazione dei registri di sistema a volte è possibile cambiare il processore dopo l'interruzione causata da un overflow del buffer, all'esecuzione del codice contenuta all'estero del buffer. Un esempio dell'attuazione di tale minaccia può essere l'introduzione di un "virus Morris" ampiamente conosciuto.
Nelle minacce della terza sottoclasse, l'autorender utilizza la capacità di gestire in remoto il sistema fornito da componenti nascosti (ad esempio, programmi "Troyan" di orifizio di tipo di tipo, net bus) o controlli regolari e amministrazione di reti informatiche (Landesk Management Suite , Managewise, back orifizio, ecc.). Come risultato del loro uso, è possibile ottenere il controllo remoto sulla stazione sulla rete.
Schematicamente, le principali fasi del lavoro di questi programmi sembrano questo:
installazione in memoria;
in attesa di una query host remota su cui è in esecuzione il programma client e lo scambio di messaggi di prontezza con esso;
Trasferimento di informazioni intercettate al cliente o fornirgli il controllo sul computer attaccato.
Le possibili conseguenze dall'attuazione delle minacce di varie classi sono mostrate nella Tabella 3.
Tabella 3.
Possibili conseguenze dell'attuazione delle minacce di varie classi
| N p / n | Tipo di attacco | Possibili conseguenze | |
| 1 | Analisi del traffico di rete | Indagine sulle caratteristiche del traffico di rete, intercettazione dei dati trasmessi, inclusi i identificatori utente e le password | |
| 2 | Rete di scansione | Definizione di protocolli disponibili per le porte dei servizi di rete, le leggi di formazione di identificatori di connessioni, servizi di rete attivi, identificativi e password utente | |
| 3 | "Password" Attack | Eseguire qualsiasi azione distruttiva associata all'ottenimento dell'accesso non autorizzato | |
| 4 | Sostituzione di un oggetto di rete fidato | Modifica del passaggio dei messaggi, modifica non autorizzata nei dati del percorso. Accesso non autorizzato alle risorse di rete, imponendo informazioni false | |
| 5 | Imporre un percorso falso | Modifica non autorizzata nei dati del percorso, dell'analisi e della modifica dei dati trasmessi, imponendo messaggi falsi | |
| 6 | Implementazione di un falso oggetto di rete | Intercezione e vista Traffico. Accesso non autorizzato alle risorse di rete, imponendo informazioni false | |
| 7 | Mancato servizio | Esaurimento parziale delle risorse | Riducendo la larghezza di banda dei canali di comunicazione, i dispositivi di rete. Prestazioni ridotte dell'applicazione del server |
| Esaurimento completo delle risorse | L'incapacità di trasmettere messaggi a causa della mancanza di accesso al mezzo di trasmissione, il rifiuto di stabilire una connessione. Rifiuto di fornire un servizio (e-mail, file, ecc.) | ||
| Violazione della connessione logica tra attributi, dati, oggetti | L'incapacità della trasmissione, i messaggi dovuti alla mancanza di dati corretti del percorso. L'impossibilità di ottenere servizi a causa di modifiche non autorizzate di identificatori, password, ecc. | ||
| Uso di errori nei programmi | Violazione dei dispositivi di rete | ||
| 8 | Avvio remoto delle applicazioni | Inviando file contenenti codice eseguibile distruttivo, infezione virale | Violazione della riservatezza, integrità, disponibilità delle informazioni |
| Traboccando il buffer dell'applicazione del server | |||
| Utilizzando le funzionalità del telecomando del sistema fornito da software nascosti e segnalibri hardware o utilizzati da Standard | Sistema di gestione nascosto | ||
Il processo di attuazione della minaccia nel caso generale è costituito da quattro fasi:
raccolta delle informazioni;
invasione (penetrazione nell'ambiente operativo);
esercitare l'accesso non autorizzato;
eliminando le tracce di accesso non autorizzato.
Nella fase di raccolta delle informazioni, i violatori possono essere interessati a diverse informazioni sulla densità, tra cui:
a) Sulla topologia della rete, in cui il sistema funziona. Questo può esplorare l'area intorno alla rete (ad esempio, l'intruso può essere interessato agli indirizzi degli host attendibili, ma meno protetti). Per determinare l'accessibilità dell'host, è possibile utilizzare i comandi più semplici (ad esempio, il comando PING per inviare query ICMP echo_request con le aspettative delle risposte Echo_Reply ICMP. Esistono utilità che svolgono la definizione parallela della disponibilità di host (come Fing), che sono in grado di scansionare l'ampia area dello spazio indirizzo per la disponibilità di host in un breve periodo di tempo. La topologia di rete è spesso definita sulla base del "Knot Meter" (distanza tra gli host). In questo caso, è possibile applicare metodi come "modulazione TTL" e la registrazione del percorso.
Il metodo di modulazione TTL è implementato da Traceroute (per Windows NT - Tracert.exe) ed è modulare il campo TTL Packet IP. I pacchetti ICMP creati dal comando ping possono essere utilizzati per registrare il percorso.
La raccolta delle informazioni può anche essere basata su query:
al server DNS sull'elenco degli host registrati (e, probabilmente attivi);
al router del protocollo RIP su rotte noti (informazioni sulla topologia della rete);
Dispositivi configurati in modo non impigente che supportano SNMP (informazioni sulla topologia di rete).
Se i Keenns sono dietro il firewall (io), è possibile raccogliere informazioni sulla configurazione di me e sulla topologia dei CD per me, anche inviando pacchetti a tutti i porti di tutti i presunti host del interno (protetto) Rete;
b) sul tipo di sistema operativo (sistema operativo) nella dimora. Il metodo più famoso per determinare il tipo di sistema operativo host è basato sul fatto che diversi tipi di sistema operativi sono in modi diversi implementare i requisiti di standard RFC alla pila TCP / IP. Ciò consente al violatore di identificare in remoto il tipo di OS installato sull'host da tratteggiato inviando richieste appositamente formate e analizzando le risposte ricevute.
Ci sono mezzi speciali che implementano questi metodi, in particolare, Nmap e Queso. È inoltre possibile notare questo metodo per determinare il tipo di OS, come richiesta più semplice per stabilire una connessione tramite il protocollo di accesso remoto (connessioni Telnet), come risultato di cui " aspetto"Risposta È possibile determinare il tipo di sistema operativo host. La presenza di determinati servizi può anche fungere da funzionalità aggiuntiva per determinare il tipo di sistema operativo host;
C) sui servizi che operano sugli host. La definizione dei servizi eseguiti sull'host si basa sul metodo di identificazione delle "porte aperte" volte a raccogliere informazioni sull'accessibilità dell'host. Ad esempio, per determinare la disponibilità della porta UDP, è necessario ricevere una risposta in risposta alla premessa del pacchetto UDP alla porta corrispondente:
se la porta ICMP non è stata ricevuta in risposta, il servizio corrispondente non è disponibile;
se questo messaggio non è arrivato, la porta "aperta".
Variazioni estremamente diverse dell'uso di questo metodo sono possibili in base al protocollo utilizzato nella pila di protocollo TCP / IP.
Molti software sono stati sviluppati per automatizzare la raccolta di informazioni sulla densità. Ad esempio, si può notare quanto segue:
1) Strobe, Portscanner - Mezzi ottimizzati per identificare i servizi disponibili in base al sondaggio della porta TCP;
2) NMAP - Strumento di scansione per i servizi disponibili destinati a Linux, FreeBSD, Apri BSD, Solaris, Windows NT. È lo strumento corrente più popolare per la scansione dei servizi di rete;
3) Queso è uno strumento di alta precisione per determinare il sistema operativo host di rete in base al pacco del circuito dei pacchetti TCP corretti e errati, l'analisi della risposta e il confronto di esso con una moltitudine di risposte noti di vario sistema operativo. Questo agente è anche popolare fino ad oggi la scansione fino ad oggi;
4) Cheops - Lo scanner di topologia di rete consente di ottenere una topologia di rete, inclusi un quadro di dominio, indirizzi IP, ecc. È determinato dal sistema operativo host, oltre a possibili dispositivi di rete (stampanti, router, ecc.);
5) Il firewalk è uno scanner utilizzando i metodi del programma Traceroute nell'interesse dell'analisi della risposta ai pacchetti IP per determinare la configurazione del firewall e costruire la topologia di rete.
Alla fase di invasione, la presenza di vulnerabilità tipiche nei servizi di sistema o negli errori nell'amministrazione del sistema è investigata. Un risultato riuscito dell'uso delle vulnerabilità è solitamente ottenuto dal processo di una modalità di esecuzione privilegiata (accesso alla modalità di esecuzione del processore di comando privilegiato), inserendo l'account del record contabile di un utente illegale, ricevendo il file password o l'interruzione dell'operazione dell'ospite attaccato.
Questa fase dello sviluppo della minaccia è solitamente multifase. Le fasi del processo di attuazione della minaccia possono includere, ad esempio:
l'istituzione di una connessione con l'ospite, relativa a cui è realizzata la minaccia;
Identificazione della vulnerabilità;
l'introduzione di un programma dannoso nell'interesse dei diritti di espansione e degli altri.
Le minacce implementate nello stadio di fine sono suddivise nei livelli di pila di protocollo TCP / IP, poiché sono formati su una rete, un trasporto o un livello applicato a seconda del meccanismo di invasione utilizzato.
Tipo Le minacce implementate sui livelli di rete e di trasporto includono come:
a) la minaccia rivolta alla sostituzione di un oggetto fidato;
b) la minaccia volta a creare un percorso falso nella rete;
C) minacce finalizzate alla creazione di un oggetto falso utilizzando carenze di algoritmi di ricerca remota;
D) minacce del "rifiuto della manutenzione", sulla base della deframmentazione IP, sulla formazione di richieste ICMP errate (ad esempio, l'attacco "Ping of Death" e "SMURF"), sulla formazione di richieste TCP errate (attacco terrestre ), Sulla creazione di un pacchetto di "tempesta" con le richieste di connessione (attacchi di syn flood), ecc.
Le minacce tipiche attuate a livello di applicazione includono minacce volte a lancio non autorizzato di applicazioni, minacce, l'implementazione dei quali è associata all'attuazione dei segnalibri software (come il cavallo di Troia "), con l'identificazione delle password di accesso alla rete oa un host specifico, ecc.
Se la realizzazione della minaccia non ha portato il violatore dei più alti diritti di accesso nel sistema, sono possibili tentativi di espandere questi diritti al livello più alto possibile. Per questo, è possibile utilizzare le vulnerabilità di non solo i servizi di rete, ma anche la vulnerabilità degli host del software di sistema.
Nella fase di attuazione dell'accesso non autorizzato, viene effettuato il conseguimento dello scopo di attuare una minaccia:
violazione della riservatezza (copia, distribuzione illegale);
Violazione dell'integrità (distruzione, cambiamento);
violazione della disponibilità (blocco).
Nella stessa fase, dopo queste azioni, di regola, il cosiddetto "input nero" è formato sotto forma di uno dei servizi (demoni) che serve qualche porta e eseguendo i comandi intrusi. "Black Login" è lasciato nel sistema nell'interesse della garanzia:
opportunità di accedere all'host, anche se l'amministratore elimina la vulnerabilità utilizzata per implementare con successo la minaccia;
opportunità di accedere all'host il più basso possibile;
Opportunità di accedere rapidamente all'host (senza ripetere il processo di realizzazione della minaccia).
L'ingresso "nero" consente al violatore di implementare un programma dannoso a una rete o un determinato host, ad esempio, un "Analyzer password" (Password Sniffer) è un programma che assegna identificatori utente e password dal traffico di rete quando si lavora ad alto livello Protocolli (ftp, telnet, rlogin e t .d.). Gli oggetti di implementazione del malware possono essere programmi di autenticazione e identificazione, servizi di rete, anima del sistema operativo, file system, librerie, ecc.
Infine, nella fase di eliminazione delle tracce della minaccia, è fatto un tentativo di distruggere le tracce delle azioni del violatore. Allo stesso tempo, le voci appropriate vengono eliminate da tutti i possibili registri di audit, compresi i record sul fatto della raccolta delle informazioni.
5.5. Caratteristiche generali delle minacce di software e impatti matematiciIl software-impatto matematico è un impatto con l'aiuto di programmi dannosi. Il programma con conseguenze potenzialmente pericolose o un programma dannoso è chiamato un programma indipendente (set di istruzioni), che è in grado di eseguire qualsiasi sottoinsieme non vuoto delle seguenti funzioni:
Nascondere i segni della loro presenza nell'ambiente del software del computer;
Avere la capacità di affiliazione di sé, associazione di se stessi con altri programmi e (o) trasferire i suoi frammenti ad altre aree di memoria operativa o esterna;
distruggere (distorcere un modo arbitrario) del codice del programma in RAM;
eseguire senza avviare dall'utente (programma utente nella modalità regolare delle sue funzioni distruttive (copia, distruzione, blocco, ecc.);
Risparmia frammenti di informazioni da RAM in alcune aree di accesso diretto esterno (locale o remoto);
Per distorcere un modo arbitrario, blocco e (o) per sostituire la memoria esterna o il canale di comunicazione, una matrice di informazioni formata come risultato dell'applicazione dei programmi applicativi o già in memoria esterna degli array di dati.
I programmi dannosi possono essere effettuati (implementati) sia deliberatamente che in modo casuale nel software utilizzato nella progettazione, nel processo di sviluppo, accompagnamento, modifiche e impostazioni. Inoltre, il malware può essere effettuato durante il funzionamento del CDN dal supporto esterno o dall'interazione di rete sia come risultato di NSD che da utenti casuali di CAD.
I moderni programmi maliziosi si basano sull'uso delle vulnerabilità di vari tipi di software (sistemico, generale, applicato) e varie tecnologie di rete, possiedono una vasta gamma di funzionalità distruttive (da uno studio non autorizzato dei parametri del PDN senza interferenze nel funzionamento di CDN, prima della distruzione di PDN e software CDN) e può agire in tutti i tipi di software (sistema, applicato, nei driver hardware, ecc.).
La presenza di programmi dannosi può contribuire al verificarsi di canali di accesso non tradizionali, inclusi i canali di accesso non tradizionali alle informazioni che consentono di aprire, bypassare o bloccare i meccanismi di protezione previsti nel sistema, inclusa la password e la protezione crittografica.
I principali tipi di programmi dannosi sono:
segnalibri software;
virus del software classico (computer);
programmi dannosi che si propagano sulla rete (worm di rete);
Altri programmi dannosi destinati all'implementazione del NSD.
I segnalibri del software includono programmi, frammenti di codice, istruzioni che formano funzionalità software non dichiarate. I programmi dannosi possono passare da una specie a un altro, ad esempio, una posa del software può generare un virus software, che, a sua volta, colpire le condizioni di rete, può formare un worm di rete o un altro programma dannoso progettato per implementare un NSD.
La classificazione dei virus del software e dei vermi di rete sono presentati nella figura 14. Una breve descrizione dei principali programmi dannosi è ridotto a quanto segue. I virus di avvio si scrivono nel settore di avvio del disco (Settore di avvio) o nel settore contenente il record di avvio master) o modificare il puntatore nel settore dell'avvio attivo. Vengono introdotti nella memoria del computer durante il caricamento da un disco infetto. In questo caso, il caricatore di sistema legge il contenuto del primo settore del disco da cui viene effettuato il download, mette a leggere le informazioni in memoria e trasferimenti ad esso (I.e., il virus) Controllo. Successivamente, le istruzioni del virus sono avviate, che, di regola, riducono la quantità di memoria libera, copia il suo codice sul luogo libero e legge la sua continuazione dal disco (se c'è), intercetta il vettore di interruzione necessario (in genere int 13h), legge il settore di avvio della memoria originale e trasmette il controllo ad esso.
In futuro, il virus di avvio si comporta allo stesso modo del file: intercetta l'accesso del sistema operativo ai dischi e infettarli, a seconda delle condizioni distruttive, provoca effetti sonori o effetti video.
Le principali azioni distruttive eseguite da questi virus sono:
la distruzione delle informazioni nei settori del floppy e del disco rigido;
Eliminazione delle capacità del sistema operativo (il computer "si blocca");
distorsione del codice caricatore;
formattazione di dischetti o dischi logici del disco rigido;
chiusura dell'accesso ai porti COM e LPT;
sostituzione dei simboli durante la stampa di testi;
schermo di contrazione;
modifica dell'etichetta del disco o del disco floppy;
creando cluster pseudo-free;
creazione di effetti visivi suoni e (o) (ad esempio, rilasciare lettere sullo schermo);
danno file di dati;
visualizzazione di una varietà di messaggi;
Disconnessione dei dispositivi periferici (ad esempio, tastiera);
modifica della tavolozza dello schermo;
Riempiendo lo schermo con gli estranei o immagini;
schermo rimborso e modalità di input di traduzione dalla tastiera;
crittografia dei settori Winchester;
distruzione selettiva dei caratteri visualizzati sullo schermo se impostato dalla tastiera;
riduzione della RAM;
chiamare la serigrafia;
bloccare i record sul disco;
tabella della tabella della partizione del disco, dopo che il computer può essere scaricato solo da un floppy disk;
bloccare l'inizio dei file eseguibili;
Blocco accesso al Winchester.
Figura 14. Classificazione dei virus del software e dei vermi di rete
La maggior parte dei virus avviabili sovrascrivono se stessi su floppy disk.
Il metodo di infezione "sovrascrittura" è il più semplice: il virus registra il suo codice anziché il codice del file infetto, distruggendo i suoi contenuti. Naturalmente, mentre il file smette di funzionare e non è ripristinato. Tali virus rilevano molto rapidamente, poiché il sistema operativo e le applicazioni sono abbastanza rapidamente smesso di funzionare.
La categoria "Companion" include virus che non cambiano i file infetti. L'algoritmo del lavoro di questi virus è che viene creato un doppio file per il file contaminato e quando viene avviato il file infetto, il controllo riceve questo gemello, cioè il virus. I virus aziendali più comuni che utilizzano la funzione DOS per primi file eseguiti con estensione con l'estensione.com, se ci sono due file con lo stesso nome in una directory, ma con vari nomi del nome - .com I.exe. Tali virus creano file satellitari per i file EXE, che hanno lo stesso nome, ma con Extension.com, ad esempio, il file xcopy.com viene creato per il file xcopy.exe. Il virus è registrato nel file COM e non modifica il file EXE. Quando si avvia tale file DOS, il primo rileva ed esegue il file COM, cioè il virus che avvierà e il file EXE. Il secondo gruppo rende virus che, quando infetti, rinomina il file in qualsiasi altro nome, ricordalo (per il successivo avvio del file host) e scrivi il codice sul disco sotto il nome del file infetto. Ad esempio, il file xcopy.exe viene rinominato in xcopy.exd e il virus è scritto sotto il nome xcopy.exe. Quando si avvia, il controllo riceve il codice Virus, che quindi avvia la XCopy originale memorizzata sotto il nome XCopy.exd. Interessante è il fatto che questo metodo funziona, apparentemente, in tutti i sistemi operativi. Il terzo gruppo include i cosiddetti virus "Path-Companion". Ognano il loro codice sotto il nome del file infetto, ma "sopra" un livello nei percorsi prescritti (DOS, quindi il primo sarà rilevato e avvia il file virus) o tollera il file sacrificio a una sottodirectory sopra , eccetera.
È possibile esistere e altri tipi di virus compagni utilizzando altre idee o caratteristiche originali di altri sistemi operativi.
I vermi dei file (worm) sono, in un certo senso, un tipo di virus aziendali, ma in nessun modo non associano la loro presenza con qualsiasi file da eseguire. Nella riproduzione, copiano solo il loro codice in tutti i cataloghi del disco nella speranza che queste nuove copie funzionino da parte dell'utente. A volte questi virus forniscono le loro copie dei nomi "speciali" per spingere l'utente per avviare la propria copia, ad esempio install.exe o winstart.bat. Ci sono virus wormi che utilizzano tecniche abbastanza insolite, ad esempio, registrando le loro copie negli archivi (ARJ, Zip e altri). Alcuni virus registrano il lancio di un file infetto in file BAT. Non confondere i virus dei file di Chervi con i vermi di rete. Il primo utilizzo solo le funzioni del file di qualsiasi sistema operativo, il secondo nella loro riproduzione utilizza i protocolli di rete.
I virus del collegamento, come i virus del compagno, non modificano il contenuto fisico dei file, tuttavia, quando viene avviato il file infetto, il sistema operativo "Causa" esegue il codice. Questi obiettivi raggiungono la modifica dei campi del file system necessari.
Virus, infezione delle librerie di compilatori, moduli oggetti e testi di origine dei programmi sono abbastanza esotici e praticamente non comuni. Virus, infettando file obj- e lib, scrivono il loro codice in loro nel formato del modulo oggetto o della libreria. Il file infetto non viene quindi eseguito e non è in grado di diffondere ulteriormente il virus nel suo stato corrente. Il corriere del virus "live" diventa un file exe o un exe.
Dopo aver ricevuto il controllo, il virus del file esegue le seguenti azioni generali:
Controlla la RAM per la presenza della tua copia e infetta la memoria del computer se non viene trovata una copia del virus (se il virus è un residente), alla ricerca di file non rilasciati nella directory corrente e (o) scannerizzando un disco logico albero di directory, quindi infetta i file rilevati;
esegue funzioni aggiuntive (se presenti): azioni distruttive, effetti grafici o sonori, ecc. (Le funzioni aggiuntive del virus residente possono essere chiamate dopo un po 'di tempo dopo l'attivazione, a seconda dell'ora corrente, la configurazione del sistema, i contatori del virus interno o altre condizioni, in questo caso il virus quando si attiva elabora lo stato dell'orologio di sistema, imposta il suo contatori, ecc.);
Si dovrebbe notare che il virus più veloce è diffuso, più è probabile che il verificarsi dell'epidemia di questo virus, più lento sia il virus, il più difficile da rilevare (se, ovviamente, questo virus è sconosciuto). I virus non residenti sono spesso "lenti" - la maggior parte di loro quando si inizia infetta uno o due tre file e non ha il tempo di galleggiare il computer prima di eseguire il programma antivirus (o l'aspetto di una nuova versione dell'antivirus configurato questo virus). Ci sono, ovviamente, virus "veloci" non residenti che stanno cercando e infettando tutti i file eseguibili, tuttavia, tali virus sono molto evidenti: quando si avvia ogni file infetto, il computer ha un po 'di tempo (a volte lungo) è attivamente Lavorando con il disco rigido, che demagiglia il virus. La velocità della distribuzione (infezione) ai virus residenti è solitamente superiore a non residente - infettano i file con qualsiasi appello a loro. Di conseguenza, tutti i file che vengono costantemente utilizzati in funzione sono infetti sul disco. La velocità di distribuzione (infezione) dei virus dei file residenti che infettano i file infetti solo quando hanno iniziato ad essere eseguito, sarà inferiore a quello dei virus che infettano i file e quando si aprono, rinominati, modificando gli attributi del file, ecc.
Pertanto, le principali azioni distruttive eseguite dai virus dei file sono associate alla sconfitta dei file (più spesso eseguibili o file di dati), lancio non autorizzato di vari comandi (compresa la formattazione, la distruzione, i comandi di copia, ecc.), Modifica della tabella di Interrompere i vettori e il DR. Allo stesso tempo, possono essere eseguite molte azioni distruttive simili a quelle indicate per i virus dell'avvio.
I macrovirus (virus macro) sono lingue (macro-lingua) incorporati in alcuni sistemi di elaborazione dati (editor di testo, fogli di calcolo, ecc.). Per la sua riproduzione, tali virus utilizzano le funzionalità delle macro-lingue e con il loro aiuto si trasferiscono da un file infetto (documento o tabella) ad altri. I macrovirus erano più comuni per il pacchetto di applicazioni Microsoft Office.
Per l'esistenza di virus in un sistema specifico (editor), è necessario costruire un macro-linguaggio incorporato con funzionalità:
1) Binding del programma sulla macro-lingua a un file specifico;
2) copiare macroprogrammi da un file all'altro;
3) Ottenere la gestione del programma macro senza intervento dell'utente (macro automatici o standard).
Queste condizioni soddisfano programmi applicativi Microsoft Word., Excel e Microsoft Access. Contengono macromatiche: parola di base, Visual Basic per applicazioni. In cui:
1) I macrogrammi sono legati a un file specifico o sono all'interno del file;
2) La lingua macro consente di copiare file o spostare macroprogrammi su file di servizio di sistema e file modificabili;
3) Quando si lavora con un file in determinate condizioni (apertura, chiusura, ecc.), Sono chiamati macro fotogrammi (se presenti), che sono definiti in modo speciale o hanno nomi standard.
Questa funzione di macro-lingua è destinata al trattamento automatico dei dati in organizzazioni di grandi dimensioni o nelle reti globali e consente di organizzare la cosiddetta "gestione automatizzata dei documenti". D'altra parte, le capacità macro-linguistiche di tali sistemi consentono al virus di trasferire il loro codice ad altri file e infettali così.
La maggior parte dei macrovirus sono attivi non solo al momento dell'apertura (chiusura) del file, ma fino a quando l'editor stesso è attivo. Contengono tutte le loro funzioni sotto forma di word standard / Excel / Macro di Office. Ci sono, tuttavia, i virus che utilizzano ricevimenti di nascondere il loro codice e memorizzare il loro codice sotto forma di non macro. Ci sono tre tali ricevimenti, tutti usano la possibilità di creare, modificare ed eseguire altre macro. Di norma, virus simili hanno un piccolo macro (a volte polimorfico) del virus, che causa l'editor macro incorporato, crea una nuova macro, lo riempie con il codice di base del virus, esegue e quindi, di regola, distrugge (per nascondere le tracce della presenza del virus). Il codice principale di tali virus è presente nella macro virus stessa sotto forma di stringhe di testo (a volte crittografate) o memorizzate nell'area delle variabili del documento.
La rete include virus che stanno utilizzando attivamente protocolli e possibilità di reti locali e globali per la loro distribuzione. Il principio principale del virus della rete è la possibilità di trasferire in modo indipendente il tuo codice a un server remoto o una workstation. I virus della rete "Full-Fleedged" hanno anche la possibilità di eseguire l'esecuzione del loro codice su un computer remoto o almeno "spingere" l'utente al lancio del file infetto.
Programmi dannosi che assicurano l'attuazione dell'NSD:
programmi di selezione e apertura;
minacce programmi di esecuzione;
Programmi che dimostrano l'uso di software non dichiarati e funzionalità hardware e hardware
programmi del generatore di virus del computer;
programmi che dimostrano vulnerabilità degli strumenti di sicurezza delle informazioni e altri.
A causa della complicazione e della crescente diversità del software, il numero di programmi dannosi è in rapido aumento. Oggi sono note più di 120 mila firme di virus informatici. Allo stesso tempo, non tutti rappresentano una vera minaccia. In molti casi, l'eliminazione delle vulnerabilità nel sistema di sistema o applicazione ha portato al fatto che un numero di programmi dannosi non è più in grado di implementare in essi. Spesso il pericolo principale rappresenta nuovi programmi dannosi.
5.6. Caratteristiche generali dei canali di informazione non tradizionaliIl canale informativo non tradizionale è un canale di fissaggio di informazioni utilizzando canali di comunicazione tradizionali e trasformazioni speciali di informazioni trasmesse che non sono collegate a crittografiche.
I metodi possono essere utilizzati per formare canali non convenzionali:
steganografia del computer;
Sulla base della manipolazione di varie caratteristiche del CDM, che può essere ottenuto sanzionato (ad esempio, tempo di elaborazione di varie domande, volumi risposta della memoria o accessibile per leggere identificatori di file o processi, ecc.).
I metodi di steganografia del computer sono progettati per nascondere il fatto di trasferire il messaggio incorporando le informazioni nascoste in dati innanzitudini innocui (testo, grafica, audio o file video) e includono due gruppi di metodi basati:
Utilizzando le proprietà speciali dei formati per computer per lo stoccaggio e il trasferimento dei dati;
Alla ridondanza di informazioni audio, visive o testuali dalla posizione delle caratteristiche psico-fisiologiche della percezione umana.
La classificazione dei metodi di seganografia informatica è mostrata nella figura 15. La loro caratteristica comparativa è mostrata nella Tabella 4.
Il più grande sviluppo e applicazione attualmente trovano metodi per nascondere le informazioni in grafici Stegroontainer. Ciò è dovuto a una quantità relativamente grande di informazioni che possono essere ospitate in tali contenitori senza distorsioni di immagine evidente, la presenza di un'informazione a priori sulla dimensione del contenitore, l'esistenza nella maggior parte delle immagini reali delle aree strutturali aventi una struttura del rumore e bene -Appropriato per incorporare informazioni, i metodi di sviluppo dei formati di elaborazione delle immagini digitali e dei metodi digitali formati di presentazione dell'immagine. Attualmente, ci sono un certo numero di prodotti software commerciali e gratuiti disponibili per il solito utente che implementa i ben noti metodi seganografici di nascondere le informazioni. Allo stesso tempo, i confine grafici e audio sono prevalentemente utilizzati.
Figura 15. Classificazione dei metodi della trasformazione delle informazioni steganografiche (SP)
Tabella 4.
Caratteristiche comparative dei metodi di conversione delle informazioni seganografiche
| Metodo Steganografico | Breve metodo caratteristico | Svantaggi | Benefici |
| Metodi di nascondere le informazioni nei confine audio | |||
| Basato sulla registrazione del messaggio ai più piccoli bit significativi del segnale sorgente. Come un contenitore utilizzato, come regola, un segnale audio non compresso | Basso trasferimento dei messaggi segreto. Resistenza a bassa distorsione. Utilizzato solo per determinati formati di file audio. | ||
| Il metodo di occultamento basato sulla distribuzione dello spettro | Sulla base della generazione di rumore pseudo-casuale, che è la funzione del messaggio introdotto e mescolare il rumore risultante al contenitore di segnalazione principale come componente additivo. Streaming delle informazioni di codifica spargendo i dati di spettro dei dati codificati | ||
| Metodo di calfazione in base all'uso di un segnale eco | Basato sull'uso del segnale audio stesso, detenuto per diversi periodi di tempo a seconda del messaggio implementato ("Downtown Ech") | Basso contenitore uso coefficiente. Significativi costi computazionali | Messaggi Stealth reparativamente alti |
| Metodo di calfazione nella fase del segnale | In base al fatto dell'insensibilità dell'orecchio umano al valore assoluto della fase armonica. Il segnale audio è diviso in sequenza di sequenza, il messaggio è incorporato modificando la fase del primo segmento | Coefficiente di uso del piccolo contenitore | Ha una secrezione molto più alta che nascondendo i metodi in NBB |
| Metodi di nascondere le informazioni nei contenitori di testo | |||
| Metodo di occultamento basato su Sonic | Basato su spazi inseriti alla fine delle linee, dopo segni di punteggiatura, tra le parole quando si allinea la lunghezza delle stringhe | I metodi sono sensibili al trasferimento del testo da un formato all'altro. Possibile perdita di comunicazione. Basso segretezza | Grande abbastanza larghezza di banda |
| Metodo di calfazione basato sulle caratteristiche sintattiche del testo | Si basa sul fatto che le regole di punteggiatura consentono ambiguità quando allineamento dei segni di punteggiatura | Larghezza di banda molto bassa. Completezza del rilevamento del messaggio | C'è una potenziale opportunità per scegliere questo metodo in cui saranno necessarie procedure altamente complesse per rivelare il messaggio. |
| Metodo di occultamento basato sui sinonimi | Basato sull'inserimento di informazioni nel testo utilizzando l'alternanza di parole da qualsiasi gruppo sinonimo | Complicato in relazione alla lingua russa grazie alla grande varietà di sfumature in diversi sinonimi | Uno dei metodi più promettenti. Ha un post post relativamente alto |
| Metodo di calfaction in base all'uso dell'errore | Si basa sul mascheramento dei bit di informazione in base a errori naturali, errori di errori, violazioni delle regole per scrivere combinazioni di vocali e consonanti, sostituendo il cirillico a simile nella comparsa di lettere latine, ecc. | Bassa larghezza di banda. Rivelato rapidamente con analisi statistica | Estremamente facile da usare. Alta segretezza quando analizza l'uomo |
| Metodo basato sulla generazione calcitectica | Sulla base della generazione di un contenitore di testo che utilizza una serie di proposte per le regole. La crittografia simmetrica è usata | Bassa larghezza di banda. Matturalness del testo creato | Il segreto è determinato dai metodi di crittografia e, di regola, piuttosto alto |
| Il metodo di occultamento basato sull'uso delle funzioni del carattere | Basato sull'inserimento delle informazioni dovute a modifiche del tipo di carattere e delle dimensioni della lettera, nonché sulla possibilità di incorporare informazioni in blocchi con identificatori sconosciuti per il browser | Rilevato facilmente quando la scala del documento viene convertita, con guida statistica | Alto coefficiente di utilizzo del contenitore |
| Metodo di calfaction in base all'utilizzo del codice documento e file | Basato sulla pubblicazione di informazioni nei campi riservati e non utilizzati di lunghezza variabile | Basso segretezza con un formato di file noto | Facile da usare |
| Metodo di calfaction in base all'uso del gergo | Basato su parole mutevoli | Bassa larghezza di banda. Nerco specializzato. Basso segretezza | Facile da usare |
| Metodo di calcolo basato sull'uso di alternanza di parole | Basato sulla generazione di testo - contenitore con la formazione di parole di una certa lunghezza secondo la regola di codifica nota | La complessità della formazione del contenitore e del messaggio | Segreto sufficientemente alto durante l'analisi dell'uomo |
| Metodo di calfaction in base all'uso delle prime lettere | Basato sull'introduzione del messaggio nelle prime lettere delle parole del testo con la selezione delle parole | La complessità della compilazione del messaggio. Messaggio a basso segretezza | Dà una maggiore libertà di scegliere un operatore inventando un messaggio |
| Metodi di nascondere le informazioni nei contenitori grafici | |||
| Il metodo di occultamento nei più piccoli bit significativi | Basato sulla pubblicazione di messaggi ai più piccoli bit significativi dell'immagine originale | Basso trasferimento dei messaggi segreto. Bassa resistenza alla distorsione | Capacità di container sufficientemente elevata (fino al 25%) |
| Metodo di caldazione in base alla modifica del formato di invio dell'indice | Basato sulla riduzione (sostituzione) tavolozza dei colori e ordinando i colori in pixel con numeri adiacenti | È usato principalmente per immagini compresse. Post di trasmissione a bassa potenza | Capacità di contenitore in riparazione elevata |
| Metodo di calcolo basato sull'uso della funzione di autocorrelazione | Basato sulla ricerca utilizzando la funzione di autocorrelazione delle aree contenenti dati simili | Complesso complesso. | Resistenza alla maggior parte delle trasformazioni del contenitore non lineare |
| Metodo di calcolo basato sull'uso della modulazione non lineare di un messaggio embedded | Basato sulla modulazione del segnale pseudo-casuale al segnale contenente le informazioni nascoste | ||
| Metodo di calcolo basato sull'uso della modulazione iconica del messaggio embedded | Basato sulla modulazione del segnale pseudo-casuale da parte di un segnale bipolare contenente le informazioni nascoste | Precisione di rilevamento bassa. Distorsioni | Messaggio di segreto sufficientemente alto |
| Metodo di occultamento basato su wavelet-conversione | Sulla base delle peculiarità delle trasformazioni wavelet | Complesso complesso. | Alta secrezione |
| Metodo di calfazione basato sull'uso della trasformazione del coseno discreto | Sulla base delle caratteristiche della trasformazione discreta del coseno | Calcolo della completezza | Alta secrezione |
Nei canali di informazione non convenzionali in base alla manipolazione di varie caratteristiche delle risorse del CDN, vengono utilizzate per trasmettere alcune risorse condivise. Allo stesso tempo, nei canali utilizzando le caratteristiche del tempo, la modulazione del tempo di occupazione di una risorsa condivisa (ad esempio, il tempo di modulazione del processore del processore, le applicazioni possono scambiare dati).
Nei canali di memoria, la risorsa viene utilizzata come buffer intermedio (ad esempio, le applicazioni possono scambiare dati posizionandoli nei nomi dei file e delle directory creati). Nei canali di banche dati e conoscenze, utilizzare dipendenze tra i dati derivanti da database e conoscenze relazionali.
I canali di informazione non tradizionali possono essere formati a vari livelli di inattività:
a livello dell'hardware;
a livello di microcodi e driver del dispositivo;
a livello del sistema operativo;
a livello di software applicativo;
a livello di funzionamento dei canali di trasmissione dei dati e delle linee di comunicazione.
Questi canali possono essere utilizzati sia per la trasmissione nascosta di informazioni copiate e comandi segreti per l'esecuzione di azioni distruttive, applicazioni di avvio, ecc.
Per implementare i canali, di regola, è necessario implementare un software o un software e un bookmark hardware in un sistema automatico che garantisce la formazione di un canale non tradizionale.
Il canale di informazione non convenzionale può esistere nel sistema ininterrottamente o attivato una tantum o in condizioni specificate. In questo caso, l'esistenza del feedback con il soggetto del NSD è possibile.
5.7. Caratteristiche generali dei risultati di accesso non autorizzato o accidentaleL'attuazione delle minacce di NSD alle informazioni può portare ai seguenti tipi di violazione della sicurezza:
violazione della riservatezza (copia, distribuzione illegale);
Integrità compromessa (distruzione, cambiamento);
violazione della disponibilità (blocco).
Il disturbo della privacy può essere implementato in caso di perdita di informazioni:
copiandolo su supporti alienati;
trasmissione di esso attraverso i canali di dati;
durante la visualizzazione o la copiatura durante la riparazione, la modifica e lo smaltimento del software e dell'hardware;
con il "gruppo spazzatura" dal violatore durante il funzionamento del CDN.
La violazione dell'integrità delle informazioni viene eseguita attraverso l'impatto (modifica) sui programmi e sui dati dell'utente, nonché le informazioni tecnologiche (sistema), tra cui:
firmware, dati e driver dei dispositivi del sistema di elaborazione;
programmi, dispositivi di dati e driver che forniscono un avvio del sistema operativo;
programmi e dati (descrittori, descrittori, strutture, tabelle, ecc.) del sistema operativo;
programmi e dati del software applicativo;
Programmi e dati software speciali;
Valori intermedi (operativi) di programmi e dati nel processo di elaborazione (lettura / scrittura, ricezione / trasmissione) tramite dispositivi e dispositivi di apparecchiature di calcolo.
La violazione dell'integrità delle informazioni in CPF può anche essere causata dall'introduzione di un programma dannoso e del programma hardware o dell'impatto sul sistema di sicurezza delle informazioni o sui suoi elementi.
Inoltre, è possibile effettuare le informazioni sulla rete tecnologica, che possono garantire il funzionamento di vari mezzi per controllare la rete di elaborazione:
configurazione di rete;
indirizzi e trasferimento dei dati del percorso sulla rete;
controllo della rete funzionale;
sicurezza delle informazioni sulla rete.
La violazione della disponibilità delle informazioni è fornita formando (modifica) dei dati di origine, che durante l'elaborazione causa funzionamento errato, guasti alle apparecchiature o acquisizione (caricamento) delle risorse di elaborazione del sistema necessarie per eseguire programmi e funzionamento delle apparecchiature.
Queste azioni possono portare a violazione o fallimento del funzionamento di quasi tutti i mezzi tecnici CADN:
elaborazione delle informazioni;
informazioni I / O informazioni;
mezzi di memorizzazione delle informazioni;
Attrezzature e canali di trasmissione;
strumenti di sicurezza delle informazioni.
