Zagrożenie polega na chęci uruchomienia różnych wcześniej wprowadzonych szkodliwych programów na hoście ISPD: programów zakładek, wirusów, „szpiegów sieciowych”, których głównym celem jest naruszenie poufności, integralności, dostępności informacji i pełnej kontroli nad hostem. Ponadto możliwe jest nieuprawnione uruchomienie aplikacji użytkownika w celu nieautoryzowanego odbioru danych niezbędnych intruzowi, uruchomienia procesów kontrolowanych przez program aplikacji itp.
Wyróżnia się trzy podklasy tych zagrożeń:
Dystrybucja plików zawierających nieautoryzowany kod wykonywalny;
Zdalne uruchamianie aplikacji poprzez przepełnienie bufora serwera aplikacji;
Zdalne uruchomienie aplikacji przy użyciu funkcji zdalnego sterowania systemem zapewnianych przez ukryte zakładki oprogramowania i sprzętu lub regularnie używanych.
Typowe zagrożenia pierwszej z tych podklas opierają się na aktywacji plików rozproszonych w przypadku przypadkowego dostępu do nich. Przykładami takich plików są: pliki zawierające kod wykonywalny w postaci dokumentów zawierających kod wykonywalny w postaci elementów ActiveX, aplety Java, interpretowane skrypty (na przykład teksty JavaScript); pliki zawierające kody programów wykonywalnych. Do rozpowszechniania plików można używać poczty elektronicznej, przesyłania plików i usług sieciowych systemów plików.
Gdy wykorzystywane są zagrożenia drugiej podklasy, wykorzystywane są wady programów wdrażających usługi sieciowe (w szczególności brak kontroli nad przepełnieniem bufora). Dostosowując rejestry systemowe, czasami możliwe jest przełączenie procesora po przerwie spowodowanej przepełnieniem bufora w celu wykonania kodu zawartego poza buforem. Przykładem wdrożenia takiego zagrożenia jest wprowadzenie znanego „wirusa Morrisa”.
W przypadku zagrożeń trzeciej podklasy atakujący wykorzystuje możliwości zdalnego sterowania systemu zapewniane przez ukryte komponenty (na przykład programy trojańskie, takie jak Back. Orifice, Net Bus), lub zwykłe środki do zarządzania i administrowania sieciami komputerowymi (Landesk Management Suite, Managewise, Back Orifice itp.) P.). W wyniku ich zastosowania możliwe jest uzyskanie zdalnej kontroli nad stacją w sieci.
mało prawdopodobnym jest.
Uogólnioną listę prawdopodobieństwa zagrożeń dla różnych typów ISDN przedstawiono w tabeli 12.
Tabela 12
Zagrożenia związane z wprowadzaniem złośliwego oprogramowania przez sieć
Szkodliwe oprogramowanie wprowadzane przez sieć obejmuje wirusy, które aktywnie wykorzystują do rozprzestrzeniania się protokoły i możliwości sieci lokalnych i globalnych. Podstawową zasadą wirusa sieciowego jest zdolność do niezależnego przesyłania kodu na zdalny serwer lub stację roboczą. W tym przypadku „pełnoprawne” wirusy sieciowe mogą również uruchamiać swój kod na komputerze zdalnym lub przynajmniej „wypychać” użytkownika do uruchomienia zainfekowanego pliku.
Złośliwymi programami, które zapewniają wdrożenie nieautoryzowanego dostępu, mogą być:
Łamanie haseł i programy do łamania;
Programy wdrażające zagrożenia;
Programy demonstrujące wykorzystanie niezadeklarowanych możliwości oprogramowania i oprogramowania sprzętowego ISPDn;
Programy generujące wirusy komputerowe;
Programy wykazujące luki w zabezpieczeniach informacji itp.
Jeśli przetworzone PD nie są wysyłane do publicznych i międzynarodowych giełd w instytucji, zainstalowana jest ochrona antywirusowa, wówczas prawdopodobieństwo realizacji zagrożenia wynosi mało prawdopodobnym jest.
We wszystkich innych przypadkach należy ocenić prawdopodobieństwo zagrożenia.
Uogólnioną listę prawdopodobieństwa zagrożeń dla różnych typów ISDN przedstawiono w tabeli 13.
Tabela 13
Wykonalność zagrożeń
Na podstawie wyników oceny poziomu ochrony (Y 1) (sekcja 7) i prawdopodobieństwa zagrożenia (Y 2) (sekcja 9) oblicza się współczynnik wykonalności zagrożenia (Y) i realizuje się możliwość zagrożenia (tabela 4). Współczynnik realizacji zagrożenia Y zostanie określony przez stosunek Y \u003d (Y 1 + Y 2) / 20
Wykonalność zagrożeń określa się na podstawie Raportu z wyników audytu wewnętrznego.
Uogólnioną listę ocen wykonalności UBDP dla różnych rodzajów ISPD przedstawiono w tabelach 14-23.
Tabela 14 - Autonomiczny układ scalony typu I
| Rodzaj zagrożeń bezpieczeństwa PD | Możliwość realizacji | |
| 0,25 | Niska | |
| 0,25 | Niska | |
| 0,25 | Niska | |
| 2.1.1 Kradzież komputera | 0,25 | Niska |
| 0,25 | Niska | |
| 0,25 | Niska | |
| 0,25 | Niska | |
| 0,25 | Niska | |
| 0,25 | Niska | |
| 0,25 | Niska | |
| 0,35 | średni | |
| 0,25 | Niska | |
| 0,25 | Niska | |
| 0,35 | średni | |
| 0,25 | Niska | |
| 0,25 | Niska | |
| 0,25 | Niska | |
| 0,25 | Niska | |
| 2.3.6 Nieszczęście | 0,25 | Niska |
| 0,25 | Niska | |
| 0,35 | średni | |
| 0,25 | Niska | |
| 0,25 | Niska | |
| 0,25 | Niska | |
| 0,25 | Niska | |
| 0,25 | Niska | |
| 0,25 | Niska | |
| 0,25 | Niska | |
| 0,25 | Niska | |
| 0,25 | Niska | |
| 0,25 | Niska | |
| 0,25 | Niska |
Tabela 15 - Autonomiczny układ scalony typu II
| Rodzaj zagrożeń bezpieczeństwa PD | Wskaźnik wykonalności zagrożenia (Y) | Możliwość realizacji |
| 1. Zagrożenia wynikające z wycieku przez kanały techniczne. | ||
| 1.1 Zagrożenia związane z wyciekami akustycznymi | 0,25 | Niska |
| 1.2 Zagrożenia wyciekiem informacji o gatunkach | 0,25 | Niska |
| 1.3 Zagrożenia wyciekiem informacji przez kanały PEMIN | 0,25 | Niska |
| 2. Zagrożenia dla nieautoryzowanego dostępu do informacji. | ||
| 2.1 Zagrożenie zniszczeniem, kradzieżą sprzętu ISPD nośników informacji poprzez fizyczny dostęp do elementów ISPD | ||
| 2.1.1 Kradzież komputera | 0,25 | Niska |
| 2.1.2 Kradzież mediów | 0,25 | Niska |
| 2.1.3 Kradzież kluczy i atrybutów dostępu | 0,25 | Niska |
| 2.1.4 Kradzież, modyfikacja, zniszczenie informacji | 0,25 | Niska |
| 2.1.5 Awaria węzłów PC, kanałów komunikacji | 0,25 | Niska |
| 2.1.6 Nieautoryzowany dostęp do informacji podczas konserwacji (naprawy, zniszczenia) węzłów komputera | 0,25 | Niska |
| 2.1.7 Nieautoryzowane zamknięcie funkcji bezpieczeństwa | 0,25 | Niska |
| 2.2 Zagrożenia kradzieżą, nieautoryzowaną modyfikacją lub blokowaniem informacji z powodu nieuprawnionego dostępu (nieuprawnionego dostępu) przy użyciu oprogramowania, sprzętu i oprogramowania (w tym oprogramowania matematycznego). | ||
| 2.2.1 Działania złośliwego oprogramowania (wirusów) | 0,35 | średni |
| 2.2.2 Niezadeklarowane funkcje oprogramowania systemowego i oprogramowania do przetwarzania danych osobowych | 0,25 | Niska |
| 2.2.3 Zainstaluj nieoficjalne oprogramowanie | 0,25 | Niska |
| 2.3 Zagrożenia związane z niezamierzonymi działaniami użytkownika i naruszeniami bezpieczeństwa ISPDn i SZPDn w jego składzie z powodu awarii oprogramowania, a także z zagrożeń innych niż antropogeniczne (awarie sprzętu z powodu niewiarygodnych elementów, awarie zasilania) i naturalne (uderzenia pioruna, pożary, powodzie i itp.). | ||
| 2.3.1 Utrata kluczy i atrybutów dostępu | 0,35 | średni |
| 2.3.2 Niezamierzona modyfikacja (zniszczenie) informacji przez pracowników | 0,25 | Niska |
| 2.3.3 Niezamierzone zamknięcie funkcji bezpieczeństwa | 0,25 | Niska |
| 2.3.4 Awaria sprzętu i oprogramowania | 0,25 | Niska |
| 2.3.5 Brak energii | 0,25 | Niska |
| 2.3.6 Nieszczęście | 0,25 | Niska |
| 2.4 Zagrożenia dla umyślnych działań wewnętrznych sprawców | ||
| 2.4.1 Dostęp do informacji, modyfikacja, niszczenie osób nieuprawnionych do przetwarzania | 0,25 | Niska |
| 2.4.2 Ujawnianie, modyfikacja, niszczenie informacji przez pracowników upoważnionych do ich przetwarzania | 0,35 | średni |
| 2.5.Zagrożenia związane z nieautoryzowanym dostępem za pośrednictwem kanałów komunikacji. | ||
| 2.5.1 Zagrożenie „Analiza ruchu sieciowego” z przechwyceniem informacji przesyłanych z ISPDn i otrzymywanych z sieci zewnętrznych: | ||
| 2.5.1.1. Przechwytywanie z kontrolowanego obszaru | 0,35 | średni |
| 2.5.1.2. Przechwytywanie w strefie kontrolowanej przez zewnętrznych intruzów | 0,25 | Niska |
| 2.5.1.3 Przechwytywanie w strefie kontrolowanej przez intruzów wewnętrznych. | 0,25 | Niska |
| 2.5.2 Skanowanie zagrożeń mających na celu identyfikację rodzaju lub typów używanych systemów operacyjnych, adresów sieciowych stacji roboczych ISPD, topologii sieci, otwartych portów i usług, otwartych połączeń itp. | 0,25 | Niska |
| 2.5.3 Zagrożenia w wykrywaniu haseł w sieci | 0,35 | średni |
| 2.5.4 Zagrożenia związane z fałszywą trasą sieciową | 0,25 | Niska |
| 2.5.5 Zagrożenia związane z fałszowaniem zaufanego obiektu w sieci | 0,25 | Niska |
| 2.5.6 Zagrożenia związane z wprowadzeniem fałszywego obiektu zarówno w ISPDn, jak i w sieciach zewnętrznych | 0,25 | Niska |
| 2.5.7 Zagrożenia związane z odmową usługi | 0,25 | Niska |
| 2.5.8 Zagrożenia dla zdalnego uruchamiania aplikacji | 0,35 | średni |
| 2.5.9 Zagrożenia związane z wprowadzaniem złośliwego oprogramowania przez sieć | 0,35 | średni |
Tabela 16 - Autonomiczny układ scalony typu III
| Rodzaj zagrożeń bezpieczeństwa PD | Wskaźnik wykonalności zagrożenia (Y) | Możliwość realizacji |
| 1. Zagrożenia wynikające z wycieku przez kanały techniczne. | ||
| 1.1 Zagrożenia związane z wyciekami akustycznymi | 0,25 | Niska |
| 1.2 Zagrożenia wyciekiem informacji o gatunkach | 0,25 | Niska |
| 1.3 Zagrożenia wyciekiem informacji przez kanały PEMIN | 0,25 | Niska |
| 2. Zagrożenia dla nieautoryzowanego dostępu do informacji. | ||
| 2.1 Zagrożenie zniszczeniem, kradzieżą sprzętu ISPD nośników informacji poprzez fizyczny dostęp do elementów ISPD | ||
| 2.1.1 Kradzież komputera | 0,25 | Niska |
| 2.1.2 Kradzież mediów | 0,25 | Niska |
| 2.1.3 Kradzież kluczy i atrybutów dostępu | 0,25 | Niska |
| 2.1.4 Kradzież, modyfikacja, zniszczenie informacji | 0,25 | Niska |
| 2.1.5 Awaria węzłów PC, kanałów komunikacji | 0,25 | Niska |
| 2.1.6 Nieautoryzowany dostęp do informacji podczas konserwacji (naprawy, zniszczenia) węzłów komputera | 0,25 | Niska |
| 2.1.7 Nieautoryzowane zamknięcie funkcji bezpieczeństwa | 0,25 | Niska |
| 2.2 Zagrożenia kradzieżą, nieautoryzowaną modyfikacją lub blokowaniem informacji z powodu nieuprawnionego dostępu (nieuprawnionego dostępu) przy użyciu oprogramowania, sprzętu i oprogramowania (w tym oprogramowania matematycznego). | ||
| 2.2.1 Działania złośliwego oprogramowania (wirusów) | 0,35 | średni |
| 2.2.2 Niezadeklarowane funkcje oprogramowania systemowego i oprogramowania do przetwarzania danych osobowych | 0,25 | Niska |
| 2.2.3 Zainstaluj nieoficjalne oprogramowanie | 0,25 | Niska |
| 2.3 Zagrożenia związane z niezamierzonymi działaniami użytkownika i naruszeniami bezpieczeństwa ISPDn i SZPDn w jego składzie z powodu awarii oprogramowania, a także z zagrożeń innych niż antropogeniczne (awarie sprzętu z powodu niewiarygodnych elementów, awarie zasilania) i naturalne (uderzenia pioruna, pożary, powodzie i itp.). | ||
| 2.3.1 Utrata kluczy i atrybutów dostępu | 0,35 | średni |
| 2.3.2 Niezamierzona modyfikacja (zniszczenie) informacji przez pracowników | 0,25 | Niska |
| 2.3.3 Niezamierzone zamknięcie funkcji bezpieczeństwa | 0,25 | Niska |
| 2.3.4 Awaria sprzętu i oprogramowania | 0,25 | Niska |
| 2.3.5 Brak energii | 0,25 | Niska |
| 2.3.6 Nieszczęście | 0,25 | Niska |
| 2.4 Zagrożenia dla umyślnych działań wewnętrznych sprawców | ||
| 2.4.1 Dostęp do informacji, modyfikacja, niszczenie osób nieuprawnionych do przetwarzania | 0,25 | Niska |
| 2.4.2 Ujawnianie, modyfikacja, niszczenie informacji przez pracowników upoważnionych do ich przetwarzania | 0,35 | średni |
| 2.5.Zagrożenia związane z nieautoryzowanym dostępem za pośrednictwem kanałów komunikacji. | ||
| 2.5.1 Zagrożenie „Analiza ruchu sieciowego” z przechwyceniem informacji przesyłanych z ISPDn i otrzymywanych z sieci zewnętrznych: | ||
| 2.5.1.1. Przechwytywanie z kontrolowanego obszaru | 0,25 | Niska |
| 2.5.1.2. Przechwytywanie w strefie kontrolowanej przez zewnętrznych intruzów | 0,25 | Niska |
| 2.5.1.3 Przechwytywanie w strefie kontrolowanej przez intruzów wewnętrznych. | 0,25 | Niska |
| 2.5.2 Skanowanie zagrożeń mających na celu identyfikację rodzaju lub typów używanych systemów operacyjnych, adresów sieciowych stacji roboczych ISPD, topologii sieci, otwartych portów i usług, otwartych połączeń itp. | 0,25 | Niska |
| 2.5.3 Zagrożenia w wykrywaniu haseł w sieci | 0,25 | Niska |
| 2.5.4 Zagrożenia związane z fałszywą trasą sieciową | 0,25 | Niska |
| 2.5.5 Zagrożenia związane z fałszowaniem zaufanego obiektu w sieci | 0,25 | Niska |
| 2.5.6 Zagrożenia związane z wprowadzeniem fałszywego obiektu zarówno w ISPDn, jak i w sieciach zewnętrznych | 0,25 | Niska |
| 2.5.7 Zagrożenia związane z odmową usługi | 0,25 | Niska |
| 2.5.8 Zagrożenia dla zdalnego uruchamiania aplikacji | 0,25 | Niska |
| 2.5.9 Zagrożenia związane z wprowadzaniem złośliwego oprogramowania przez sieć | 0,25 | Niska |
Tabela 17 - Autonomiczny typ IP IV
| Rodzaj zagrożeń bezpieczeństwa PD | Wskaźnik wykonalności zagrożenia (Y) | Możliwość realizacji |
| 1. Zagrożenia wynikające z wycieku przez kanały techniczne. | ||
| 1.1 Zagrożenia związane z wyciekami akustycznymi | 0,25 | Niska |
| 1.2 Zagrożenia wyciekiem informacji o gatunkach | 0,25 | Niska |
| 1.3 Zagrożenia wyciekiem informacji przez kanały PEMIN | 0,25 | Niska |
| 2. Zagrożenia dla nieautoryzowanego dostępu do informacji. | ||
| 2.1 Zagrożenie zniszczeniem, kradzieżą sprzętu ISPD nośników informacji poprzez fizyczny dostęp do elementów ISPD | ||
| 2.1.1 Kradzież komputera | 0,25 | Niska |
| 2.1.2 Kradzież mediów | 0,25 | Niska |
| 2.1.3 Kradzież kluczy i atrybutów dostępu | 0,25 | Niska |
| 2.1.4 Kradzież, modyfikacja, zniszczenie informacji | 0,25 | Niska |
| 2.1.5 Awaria węzłów PC, kanałów komunikacji | 0,25 | Niska |
| 2.1.6 Nieautoryzowany dostęp do informacji podczas konserwacji (naprawy, zniszczenia) węzłów komputera | 0,25 | Niska |
| 2.1.7 Nieautoryzowane zamknięcie funkcji bezpieczeństwa | 0,25 | Niska |
| 2.2 Zagrożenia kradzieżą, nieautoryzowaną modyfikacją lub blokowaniem informacji z powodu nieuprawnionego dostępu (nieuprawnionego dostępu) przy użyciu oprogramowania, sprzętu i oprogramowania (w tym oprogramowania matematycznego). | ||
| 2.2.1 Działania złośliwego oprogramowania (wirusów) | 0,35 | średni |
| 2.2.2 Niezadeklarowane funkcje oprogramowania systemowego i oprogramowania do przetwarzania danych osobowych | 0,25 | Niska |
| 2.2.3 Zainstaluj nieoficjalne oprogramowanie | 0,25 | Niska |
| 2.3 Zagrożenia związane z niezamierzonymi działaniami użytkownika i naruszeniami bezpieczeństwa ISPDn i SZPDn w jego składzie z powodu awarii oprogramowania, a także z zagrożeń innych niż antropogeniczne (awarie sprzętu z powodu niewiarygodnych elementów, awarie zasilania) i naturalne (uderzenia pioruna, pożary, powodzie i itp.). | ||
| 2.3.1 Utrata kluczy i atrybutów dostępu | 0,35 | średni |
| 2.3.2 Niezamierzona modyfikacja (zniszczenie) informacji przez pracowników | 0,25 | Niska |
| 2.3.3 Niezamierzone zamknięcie funkcji bezpieczeństwa | 0,25 | Niska |
| 2.3.4 Awaria sprzętu i oprogramowania | 0,25 | Niska |
| 2.3.5 Brak energii | 0,25 | Niska |
| 2.3.6 Nieszczęście | 0,25 | Niska |
| 2.4 Zagrożenia dla umyślnych działań wewnętrznych sprawców | ||
| 2.4.1 Dostęp do informacji, modyfikacja, niszczenie osób nieuprawnionych do przetwarzania | 0,25 | Niska |
| 2.4.2 Ujawnianie, modyfikacja, niszczenie informacji przez pracowników upoważnionych do ich przetwarzania | 0,35 | średni |
| 2.5.Zagrożenia związane z nieautoryzowanym dostępem za pośrednictwem kanałów komunikacji. | ||
| 2.5.1 Zagrożenie „Analiza ruchu sieciowego” z przechwyceniem informacji przesyłanych z ISPDn i otrzymywanych z sieci zewnętrznych: | ||
| 2.5.1.1. Przechwytywanie z kontrolowanego obszaru | 0,35 | średni |
| 2.5.1.2. Przechwytywanie w strefie kontrolowanej przez zewnętrznych intruzów | 0,25 | Niska |
| 2.5.1.3 Przechwytywanie w strefie kontrolowanej przez intruzów wewnętrznych. | 0,25 | Niska |
| 2.5.2 Skanowanie zagrożeń mających na celu identyfikację rodzaju lub typów używanych systemów operacyjnych, adresów sieciowych stacji roboczych ISPD, topologii sieci, otwartych portów i usług, otwartych połączeń itp. | 0,25 | Niska |
| 2.5.3 Zagrożenia w wykrywaniu haseł w sieci | 0,35 | średni |
| 2.5.4 Zagrożenia związane z fałszywą trasą sieciową | 0,25 | Niska |
| 2.5.5 Zagrożenia związane z fałszowaniem zaufanego obiektu w sieci | 0,25 | Niska |
| 2.5.6 Zagrożenia związane z wprowadzeniem fałszywego obiektu zarówno w ISPDn, jak i w sieciach zewnętrznych | 0,25 | Niska |
| 2.5.7 Zagrożenia związane z odmową usługi | 0,25 | Niska |
| 2.5.8 Zagrożenia dla zdalnego uruchamiania aplikacji | 0,35 | średni |
| 2.5.9 Zagrożenia związane z wprowadzaniem złośliwego oprogramowania przez sieć | 0,35 | średni |
Tabela 18 - Autonomiczny układ scalony typu V.
| Rodzaj zagrożeń bezpieczeństwa PD | Wskaźnik wykonalności zagrożenia (Y) | Możliwość realizacji |
| 1. Zagrożenia wynikające z wycieku przez kanały techniczne. | ||
| 1.1 Zagrożenia związane z wyciekami akustycznymi | 0,25 | Niska |
| 1.2 Zagrożenia wyciekiem informacji o gatunkach | 0,25 | Niska |
| 1.3 Zagrożenia wyciekiem informacji przez kanały PEMIN | 0,25 | Niska |
| 2. Zagrożenia dla nieautoryzowanego dostępu do informacji. | ||
| 2.1 Zagrożenie zniszczeniem, kradzieżą sprzętu ISPD nośników informacji poprzez fizyczny dostęp do elementów ISPD | ||
| 2.1.1 Kradzież komputera | 0,25 | Niska |
| 2.1.2 Kradzież mediów | 0,25 | Niska |
| 2.1.3 Kradzież kluczy i atrybutów dostępu | 0,25 | Niska |
| 2.1.4 Kradzież, modyfikacja, zniszczenie informacji | 0,25 | Niska |
| 2.1.5 Awaria węzłów PC, kanałów komunikacji | 0,25 | Niska |
| 2.1.6 Nieautoryzowany dostęp do informacji podczas konserwacji (naprawy, zniszczenia) węzłów komputera | 0,25 | Niska |
| 2.1.7 Nieautoryzowane zamknięcie funkcji bezpieczeństwa | 0,25 | Niska |
| 2.2 Zagrożenia kradzieżą, nieautoryzowaną modyfikacją lub blokowaniem informacji z powodu nieuprawnionego dostępu (nieuprawnionego dostępu) przy użyciu oprogramowania, sprzętu i oprogramowania (w tym oprogramowania matematycznego). | ||
| 2.2.1 Działania złośliwego oprogramowania (wirusów) | 0,35 | średni |
| 2.2.2 Niezadeklarowane funkcje oprogramowania systemowego i oprogramowania do przetwarzania danych osobowych | 0,25 | Niska |
| 2.2.3 Zainstaluj nieoficjalne oprogramowanie | 0,25 | Niska |
| 2.3 Zagrożenia związane z niezamierzonymi działaniami użytkownika i naruszeniami bezpieczeństwa ISPDn i SZPDn w jego składzie z powodu awarii oprogramowania, a także z zagrożeń innych niż antropogeniczne (awarie sprzętu z powodu niewiarygodnych elementów, awarie zasilania) i naturalne (uderzenia pioruna, pożary, powodzie i itp.). | ||
| 2.3.1 Utrata kluczy i atrybutów dostępu | 0,35 | średni |
| 2.3.2 Niezamierzona modyfikacja (zniszczenie) informacji przez pracowników | 0,25 | Niska |
| 2.3.3 Niezamierzone zamknięcie funkcji bezpieczeństwa | 0,25 | Niska |
| 2.3.4 Awaria sprzętu i oprogramowania | 0,25 | Niska |
| 2.3.5 Brak energii | 0,25 | Niska |
| 2.3.6 Nieszczęście | 0,25 | Niska |
| 2.4 Zagrożenia dla umyślnych działań wewnętrznych sprawców | ||
| 2.4.1 Dostęp do informacji, modyfikacja, niszczenie osób nieuprawnionych do przetwarzania | 0,25 | Niska |
| 2.4.2 Ujawnianie, modyfikacja, niszczenie informacji przez pracowników upoważnionych do ich przetwarzania | 0,35 | średni |
| 2.5.Zagrożenia związane z nieautoryzowanym dostępem za pośrednictwem kanałów komunikacji. | ||
| 2.5.1 Zagrożenie „Analiza ruchu sieciowego” z przechwyceniem informacji przesyłanych z ISPDn i otrzymywanych z sieci zewnętrznych: | ||
| 2.5.1.1. Przechwytywanie z kontrolowanego obszaru | 0,25 | Niska |
| 2.5.1.2. Przechwytywanie w strefie kontrolowanej przez zewnętrznych intruzów | 0,25 | Niska |
| 2.5.1.3 Przechwytywanie w strefie kontrolowanej przez intruzów wewnętrznych. | 0,25 | Niska |
| 2.5.2 Skanowanie zagrożeń mających na celu identyfikację rodzaju lub typów używanych systemów operacyjnych, adresów sieciowych stacji roboczych ISPD, topologii sieci, otwartych portów i usług, otwartych połączeń itp. | 0,25 | Niska |
| 2.5.3 Zagrożenia w wykrywaniu haseł w sieci | 0,25 | Niska |
| 2.5.4 Zagrożenia związane z fałszywą trasą sieciową | 0,25 | Niska |
| 2.5.5 Zagrożenia związane z fałszowaniem zaufanego obiektu w sieci | 0,25 | Niska |
| 2.5.6 Zagrożenia związane z wprowadzeniem fałszywego obiektu zarówno w ISPDn, jak i w sieciach zewnętrznych | 0,25 | Niska |
| 2.5.7 Zagrożenia związane z odmową usługi | 0,25 | Niska |
| 2.5.8 Zagrożenia dla zdalnego uruchamiania aplikacji | 0,25 | Niska |
| 2.5.9 Zagrożenia związane z wprowadzaniem złośliwego oprogramowania przez sieć | 0,25 | Niska |
Tabela 19 - Autonomiczny układ scalony typu VI
| Rodzaj zagrożeń bezpieczeństwa PD | Wskaźnik wykonalności zagrożenia (Y) | Możliwość realizacji |
| 1. Zagrożenia wynikające z wycieku przez kanały techniczne. | ||
| 1.1 Zagrożenia związane z wyciekami akustycznymi | 0,25 | Niska |
| 1.2 Zagrożenia wyciekiem informacji o gatunkach | 0,25 | Niska |
| 1.3 Zagrożenia wyciekiem informacji przez kanały PEMIN | 0,25 | Niska |
| 2. Zagrożenia dla nieautoryzowanego dostępu do informacji. | ||
| 2.1 Zagrożenie zniszczeniem, kradzieżą sprzętu ISPD nośników informacji poprzez fizyczny dostęp do elementów ISPD | ||
| 2.1.1 Kradzież komputera | 0,25 | Niska |
| 2.1.2 Kradzież mediów | 0,25 | Niska |
| 2.1.3 Kradzież kluczy i atrybutów dostępu | 0,25 | Niska |
| 2.1.4 Kradzież, modyfikacja, zniszczenie informacji | 0,25 | Niska |
| 2.1.5 Awaria węzłów PC, kanałów komunikacji | 0,25 | Niska |
| 2.1.6 Nieautoryzowany dostęp do informacji podczas konserwacji (naprawy, zniszczenia) węzłów komputera | 0,25 | Niska |
| 2.1.7 Nieautoryzowane zamknięcie funkcji bezpieczeństwa | 0,25 | Niska |
| 2.2 Zagrożenia kradzieżą, nieautoryzowaną modyfikacją lub blokowaniem informacji z powodu nieuprawnionego dostępu (nieuprawnionego dostępu) przy użyciu oprogramowania, sprzętu i oprogramowania (w tym oprogramowania matematycznego). | ||
| 2.2.1 Działania złośliwego oprogramowania (wirusów) | 0,35 | średni |
| 2.2.2 Niezadeklarowane funkcje oprogramowania systemowego i oprogramowania do przetwarzania danych osobowych | 0,25 | Niska |
| 2.2.3 Zainstaluj nieoficjalne oprogramowanie | 0,25 | Niska |
| 2.3 Zagrożenia związane z niezamierzonymi działaniami użytkownika i naruszeniami bezpieczeństwa ISPDn i SZPDn w jego składzie z powodu awarii oprogramowania, a także z zagrożeń innych niż antropogeniczne (awarie sprzętu z powodu niewiarygodnych elementów, awarie zasilania) i naturalne (uderzenia pioruna, pożary, powodzie i itp.). | ||
| 2.3.1 Utrata kluczy i atrybutów dostępu | 0,35 | średni |
| 2.3.2 Niezamierzona modyfikacja (zniszczenie) informacji przez pracowników | 0,25 | Niska |
| 2.3.3 Niezamierzone zamknięcie funkcji bezpieczeństwa | 0,25 | Niska |
| 2.3.4 Awaria sprzętu i oprogramowania | 0,25 | Niska |
| 2.3.5 Brak energii | 0,25 | Niska |
| 2.3.6 Nieszczęście | 0,25 | Niska |
| 2.4 Zagrożenia dla umyślnych działań wewnętrznych sprawców | ||
| 2.4.1 Dostęp do informacji, modyfikacja, niszczenie osób nieuprawnionych do przetwarzania | 0,25 | Niska |
| 2.4.2 Ujawnianie, modyfikacja, niszczenie informacji przez pracowników upoważnionych do ich przetwarzania | 0,35 | średni |
| 2.5.Zagrożenia związane z nieautoryzowanym dostępem za pośrednictwem kanałów komunikacji. | ||
| 2.5.1 Zagrożenie „Analiza ruchu sieciowego” z przechwyceniem informacji przesyłanych z ISPDn i otrzymywanych z sieci zewnętrznych: | ||
| 2.5.1.1. Przechwytywanie z kontrolowanego obszaru | 0,35 | średni |
| 2.5.1.2. Przechwytywanie w strefie kontrolowanej przez zewnętrznych intruzów | 0,25 | Niska |
| 2.5.1.3 Przechwytywanie w strefie kontrolowanej przez intruzów wewnętrznych. | 0,25 | Niska |
| 2.5.2 Skanowanie zagrożeń mających na celu identyfikację rodzaju lub typów używanych systemów operacyjnych, adresów sieciowych stacji roboczych ISPD, topologii sieci, otwartych portów i usług, otwartych połączeń itp. | 0,25 | Niska |
| 2.5.3 Zagrożenia w wykrywaniu haseł w sieci | 0,35 | średni |
| 2.5.4 Zagrożenia związane z fałszywą trasą sieciową | 0,25 | Niska |
| 2.5.5 Zagrożenia związane z fałszowaniem zaufanego obiektu w sieci | 0,25 | Niska |
| 2.5.6 Zagrożenia związane z wprowadzeniem fałszywego obiektu zarówno w ISPDn, jak i w sieciach zewnętrznych | 0,25 | Niska |
| 2.5.7 Zagrożenia związane z odmową usługi | 0,25 | Niska |
| 2.5.8 Zagrożenia dla zdalnego uruchamiania aplikacji | 0,35 | średni |
| 2.5.9 Zagrożenia związane z wprowadzaniem złośliwego oprogramowania przez sieć | 0,35 | średni |
Tabela 20 - LIS typu I.
Zagrożenie polega na chęci uruchomienia różnych wcześniej wprowadzonych szkodliwych programów na hoście ISPD: programów zakładek, wirusów, „szpiegów sieciowych”, których głównym celem jest naruszenie poufności, integralności, dostępności informacji i pełnej kontroli nad hostem. Ponadto możliwe jest nieuprawnione uruchomienie aplikacji użytkownika w celu nieautoryzowanego odbioru danych niezbędnych intruzowi, uruchomienia procesów kontrolowanych przez program aplikacji itp.
Wyróżnia się trzy podklasy tych zagrożeń:
dystrybucja plików zawierających nieautoryzowany kod wykonywalny;
zdalne uruchamianie aplikacji przez przepełnienie bufora aplikacji serwera;
zdalne uruchomienie aplikacji przy użyciu funkcji zdalnego sterowania systemem zapewnianych przez ukryte zakładki oprogramowania i sprzętu lub używanych regularnie.
Typowe zagrożenia pierwszej z tych podklas opierają się na aktywacji plików rozproszonych w przypadku przypadkowego dostępu do nich. Przykładami takich plików są: pliki zawierające kod wykonywalny w postaci dokumentów zawierających kod wykonywalny w postaci elementów ActiveX, aplety Java, interpretowane skrypty (na przykład teksty JavaScript); pliki zawierające kody programów wykonywalnych. Do rozpowszechniania plików można używać poczty elektronicznej, przesyłania plików i usług sieciowych systemów plików.
Gdy wykorzystywane są zagrożenia drugiej podklasy, wykorzystywane są wady programów wdrażających usługi sieciowe (w szczególności brak kontroli nad przepełnieniem bufora). Konfigurując rejestry systemowe, czasami możliwe jest przełączenie procesora po przerwie spowodowanej przepełnieniem bufora w celu wykonania kodu zawartego poza buforem. Przykładem wdrożenia takiego zagrożenia jest wprowadzenie znanego „wirusa Morrisa”.
W przypadku zagrożeń trzeciej podklasy atakujący wykorzystuje możliwości zdalnego sterowania systemu zapewniane przez ukryte komponenty (na przykład programy trojańskie, takie jak Back. Orifice, Net Bus), lub zwykłe środki do zarządzania i administrowania sieciami komputerowymi (Landesk Management Suite, Managewise, Back Orifice itp.) P.). W wyniku ich zastosowania możliwe jest uzyskanie zdalnej kontroli nad stacją w sieci.
Jeśli przetworzone PD nie są wysyłane do publicznych i międzynarodowych giełd w instytucji, zainstalowana jest ochrona antywirusowa, wówczas prawdopodobieństwo realizacji zagrożenia wynosi mało prawdopodobnym jest.
We wszystkich innych przypadkach należy ocenić prawdopodobieństwo zagrożenia.
Uogólnioną listę prawdopodobieństwa zagrożeń dla różnych typów ISDN przedstawiono w tabeli 12.
Tabela 12
|
Wpisz ISPDn |
Prawdopodobieństwo zagrożenia |
Coeff. prawdopodobieństwa realizacji zagrożenia |
|
Autonomiczny typ układu scalonego |
mało prawdopodobne | |
|
Autonomiczny układ scalony typu II | ||
|
Autonomiczny układ scalony typu III |
mało prawdopodobne | |
|
Niezależne IP typu IV | ||
|
Autonomiczny typ układu scalonego |
mało prawdopodobne | |
|
Autonomiczny układ scalony typu VI | ||
|
Typ LIS |
mało prawdopodobne | |
|
Typ LIS II | ||
|
Rozproszony typ IP |
mało prawdopodobne | |
|
Rozproszony adres IP typu II |
Szkodliwe programy mogą być wprowadzane (wprowadzane) zarówno celowo, jak i przypadkowo do oprogramowania używanego w ISPD podczas jego opracowywania, konserwacji, modyfikacji i konfiguracji. Ponadto złośliwe programy mogą być wprowadzane podczas działania ISPD z zewnętrznego nośnika pamięci lub przez interakcję sieciową w wyniku nieautoryzowanego dostępu lub przypadkowo przez użytkowników ISPD.
Nowoczesne szkodliwe programy opierają się na wykorzystaniu luk w zabezpieczeniach różnego rodzaju oprogramowania (systemowego, ogólnego, aplikacji) i różnych technologii sieciowych, mają szeroki zakres destrukcyjnych możliwości (od nieuprawnionego badania parametrów ISPD bez ingerowania w funkcjonowanie ISPD, po niszczenie PDN i oprogramowania ISPD) i mogą działać we wszystkich typach oprogramowania (system, aplikacja, sterowniki sprzętowe itp.).
Obecność złośliwych programów w ISPD może prowadzić do pojawienia się ukrytych, w tym nietradycyjnych, kanałów dostępu do informacji, które umożliwiają otwieranie, omijanie lub blokowanie mechanizmów bezpieczeństwa przewidzianych w systemie, w tym ochronę hasłem i kryptografią.
Główne typy złośliwego oprogramowania to:
· Zakładki do oprogramowania;
· Klasyczne wirusy oprogramowania (komputerowe);
· Malware rozprzestrzeniający się w sieci (robaki sieciowe);
· Inne złośliwe programy zaprojektowane w celu przeprowadzania nieautoryzowanego dostępu.
Zakładki oprogramowania obejmują programy, fragmenty kodu i instrukcje, które tworzą niezadeklarowane funkcje oprogramowania. Szkodliwe programy mogą przełączać się z jednego rodzaju na inny, na przykład zakładka programu może generować wirusa programowego, który z kolei w warunkach sieciowych może tworzyć robaka sieciowego lub inny złośliwy program zaprojektowany do przeprowadzania nieautoryzowanego dostępu.
Krótki opis głównego złośliwego oprogramowania jest następujący. Wirusy startowe zapisują się albo w sektorze rozruchowym dysku (sektorze rozruchowym), albo w sektorze zawierającym systemowy program ładujący dysku twardego (Master Boot Record), lub zmieniają wskaźnik na aktywny sektor rozruchowy. Są one osadzone w pamięci komputera podczas uruchamiania z zainfekowanego dysku. W takim przypadku moduł ładujący odczytuje zawartość pierwszego sektora dysku, z którego jest pobierane, umieszcza odczytane informacje w pamięci i przekazuje kontrolę nad nim (tj. Wirusowi). Następnie wirus rozpoczyna wykonywanie, co z reguły zmniejsza ilość wolnej pamięci, kopiuje swój kod do wolnego miejsca i odczytuje jego kontynuację (jeśli istnieje) z dysku, przechwytuje niezbędne wektory przerwań (zwykle INT 13H), odczytuje oryginał do pamięci sektor rozruchowy i przekazuje do niego kontrolę.
W przyszłości wirus rozruchowy zachowuje się tak samo jak wirus plikowy: przechwytuje wywołania systemu operacyjnego na dyski i infekuje je, w zależności od pewnych warunków, wykonuje destrukcyjne działania, powoduje efekty dźwiękowe lub wideo.
Główne niszczycielskie działania wykonywane przez te wirusy to:
· Niszczenie informacji w sektorach dyskietek i dysków twardych;
· Wykluczenie możliwości załadowania systemu operacyjnego (komputer „zawiesza się”);
· Uszkodzenie kodu programu ładującego;
· Formatowanie dyskietek lub dysków logicznych dysku twardego;
· Blokowanie dostępu do portów COM i LPT;
· Zastępowanie znaków podczas drukowania tekstów;
Szarpanie ekranu;
· Zmień etykietę dysku lub dyskietki;
· Tworzenie pseudo nieudanych klastrów;
· Tworzenie efektów dźwiękowych i (lub) wizualnych (na przykład upadek)
litery na ekranie);
· Uszkodzenie plików danych;
· Wyświetlanie różnych wiadomości;
· Wyłączanie urządzeń peryferyjnych (na przykład klawiatury);
· Zmień paletę ekranu;
· Wypełnianie ekranu obcymi postaciami lub obrazami;
· Wyłączanie ekranu i wprowadzania z klawiatury w trybie gotowości;
Szyfrowanie sektorów Winchester
· Selektywne niszczenie znaków wyświetlanych na ekranie podczas pisania z klawiatury;
· Zmniejszenie ilości pamięci RAM;
· Zawartość ekranu drukowania połączeń;
· Blokuj zapisywanie na dysk;
· Zniszczenie tablicy partycji (Disk Partition Table), po której komputer można uruchomić tylko z dyskietki;
· Blokowanie uruchamiania plików wykonywalnych;
· Blokowanie dostępu do dysku twardego.
|
Rysunek 3. Klasyfikacja wirusów programowych i robaków sieciowych
Większość wirusów rozruchowych przepisuje się na dyskietkach.
Metoda infekcji „nadpisywaniem” jest najprostsza: wirus zapisuje kod zamiast kodu zainfekowanego pliku, niszcząc jego zawartość. Oczywiście plik przestaje działać i nie jest przywracany. Wirusy takie wykrywają się bardzo szybko, ponieważ system operacyjny i aplikacje przestają działać dość szybko.
Kategoria Companion obejmuje wirusy, które nie modyfikują zainfekowanych plików. Algorytm działania tych wirusów polega na tym, że dla zainfekowanego pliku tworzony jest podwójny plik, a po uruchomieniu zainfekowanego pliku, ten podwójny, czyli wirus, przejmuje kontrolę. Najpopularniejsze wirusy towarzyszące, które używają funkcji DOS, jako pierwsze wykonują pliki z rozszerzeniem .COM, jeśli w tym samym katalogu są dwa pliki o tej samej nazwie, ale z różnymi rozszerzeniami nazw - .COM i.EXE. Takie wirusy tworzą pliki satelitarne dla plików EXE o tej samej nazwie, ale z rozszerzeniem .COM, na przykład plik XCOPY.COM jest tworzony dla pliku XCOPY.EXE. Wirus jest zapisywany w pliku COM i nie modyfikuje w żaden sposób pliku EXE. Po uruchomieniu takiego pliku DOS jako pierwszy wykryje i uruchomi plik COM, czyli wirus, który następnie uruchomi plik EXE. Druga grupa składa się z wirusów, które podczas infekcji zmieniają nazwę pliku na inną nazwę, zapamiętują go (w celu późniejszego uruchomienia pliku hosta) i zapisują swój kod na dysku pod nazwą zainfekowanego pliku. Na przykład nazwa pliku XCOPY.EXE została zmieniona na XCOPY.EXD, a wirus został zapisany pod nazwą XCOPY.EXE. Podczas uruchamiania formant otrzymuje kod wirusa, który następnie uruchamia oryginalny XCOPY, przechowywany pod nazwą XCOPY.EXD. Ciekawym faktem jest to, że ta metoda wydaje się działać na wszystkich systemach operacyjnych. Trzecia grupa obejmuje tak zwane wirusy „towarzyszące ścieżce”. Piszą kod pod nazwą zainfekowanego pliku, ale „wyżej” o jeden poziom w wyznaczonych ścieżkach (DOS, a zatem jako pierwszy wykryje i uruchomi plik wirusa), lub przenoszą plik ofiary o jeden podkatalog powyżej itp.
Mogą istnieć inne typy wirusów towarzyszących, które wykorzystują inne oryginalne pomysły lub funkcje innych systemów operacyjnych.
Robaki plikowe są w pewnym sensie rodzajem wirusa towarzyszącego, ale w żaden sposób nie łączą ich obecności z żadnym plikiem wykonywalnym. Po propagacji po prostu kopiują swój kod do dowolnych katalogów dysku w nadziei, że nowe kopie zostaną kiedykolwiek uruchomione przez użytkownika. Czasami wirusy nadają swoim kopiom „specjalne” nazwy, aby zachęcić użytkownika do rozpoczęcia kopiowania - na przykład INSTALL.EXE lub WINSTART.BAT. Istnieją wirusy robakowe, które używają raczej nietypowych sztuczek, na przykład zapisując swoje kopie w archiwach (ARJ, ZIP i inne). Niektóre wirusy piszą polecenie uruchomienia zainfekowanego pliku w plikach .bat. Robaków plikowych nie należy mylić z robakami sieciowymi. Pierwsze z nich używają tylko funkcji plików dowolnego systemu operacyjnego, a drugie używają protokołów sieciowych do ich propagacji.
Wirusy łączące, podobnie jak wirusy towarzyszące, nie zmieniają fizycznej zawartości plików, jednak po uruchomieniu zainfekowanego pliku „zmuszają” system operacyjny do wykonania jego kodu. Osiągają ten cel, modyfikując niezbędne pola systemu plików.
Wirusy infekujące biblioteki kompilatorów, moduły obiektowe i kod źródłowy programu są dość egzotyczne i praktycznie rzadkie. Wirusy infekujące pliki OBJ i LIB zapisują w nich swój kod w formacie modułu obiektowego lub biblioteki. Tak więc zainfekowany plik nie jest wykonywalny i nie jest w stanie dalej rozprzestrzeniać wirusa w jego obecnym stanie. Nosicielem „żywego” wirusa staje się plik COM lub EXE.
Po przejęciu kontroli wirus plików wykonuje następujące ogólne działania:
· Sprawdza pamięć RAM pod kątem kopii i infekuje
pamięć komputera, jeśli kopia wirusa nie zostanie znaleziona (w przypadku, gdy wirus jest rezydentem), wyszukuje niezainfekowane pliki w bieżącym i (lub) katalogu głównym, skanując drzewo katalogów dysków logicznych, a następnie infekuje wykryte pliki;
· Wykonuje dodatkowe (jeśli występują) funkcje: destrukcyjne
akcje, efekty graficzne lub dźwiękowe itp. (dodatkowe funkcje rezydentnego wirusa można wywołać jakiś czas po aktywacji w zależności od aktualnego czasu, konfiguracji systemu, wewnętrznych liczników wirusów lub innych warunków, w tym przypadku po aktywacji wirus przetwarza stan zegara systemowego, ustawia własne liczniki itp.);
· Zwraca sterowanie do programu głównego (jeśli istnieje).
Należy zauważyć, że im szybciej wirus się rozprzestrzenia, tym bardziej prawdopodobne jest wystąpienie epidemii tego wirusa, im wolniej się rozprzestrzenia, tym trudniej jest go wykryć (jeśli, oczywiście, wirus ten jest nieznany). Wirusy niebędące rezydentami są często „wolne” - większość z nich po uruchomieniu infekuje jeden lub dwa lub trzy pliki i nie ma czasu zalać komputera przed uruchomieniem programu antywirusowego (lub gdy pojawi się nowa wersja programu antywirusowego skonfigurowanego dla tego wirusa). Istnieją oczywiście „szybkie” wirusy, które nie są rezydentami, które po uruchomieniu wyszukują i infekują wszystkie pliki wykonywalne, ale takie wirusy są bardzo zauważalne: po uruchomieniu każdego zainfekowanego pliku komputer pracuje z dyskiem twardym przez pewien czas (czasem dość długi), co demaskuje wirusa. Szybkość rozprzestrzeniania się (infekcji) wirusów rezydentnych jest zwykle wyższa niż w przypadku wirusów nierezydentnych - infekują one pliki podczas uzyskiwania do nich dostępu. W rezultacie wszystkie lub prawie wszystkie pliki, które są stale używane w pracy, są zainfekowane na dysku. Szybkość rozprzestrzeniania się (infekcji) wirusów plików rezydentnych, które infekują pliki tylko wtedy, gdy zostaną uruchomione w celu wykonania, będzie niższa niż prędkość wirusów infekujących pliki i podczas ich otwierania, zmiany nazwy, zmiany atrybutów pliku itp.
Zatem główne destrukcyjne działania wykonywane przez wirusy plikowe są związane z porażką plików (zwykle plikami wykonywalnymi lub danymi), nieuprawnionym uruchomieniem różnych poleceń (w tym formatowaniem, zniszczeniem, kopiowaniem itp.), Zmianą tabeli wektorów przerwań i itp. Jednocześnie można wykonać wiele destrukcyjnych działań podobnych do wskazanych dla wirusów rozruchowych.
Makrowirusy (makrowirusy) to programy w językach (makrojęzyki) wbudowane w niektóre systemy przetwarzania danych (edytory tekstu, arkusze kalkulacyjne itp.). Do ich reprodukcji takie wirusy wykorzystują możliwości języków makr i przy ich pomocy przenoszą się z jednego zainfekowanego pliku (dokumentu lub tabeli) do innych. Najczęstsze wirusy makr w pakiecie aplikacji Microsoft Office.
Aby wirusy istniały w określonym systemie (edytorze), konieczne jest wbudowanie w system języka makr o następujących możliwościach:
1) powiązanie programu w języku makr z określonym plikiem;
2) kopiowanie programów makr z jednego pliku do drugiego;
3) uzyskanie kontroli nad programem makr bez interwencji użytkownika (makra automatyczne lub standardowe).
Warunki te spełniają aplikacje Microsoft Word, Excel i Microsoft Access. Zawierają języki makr: Word Basic, Visual Basic for Applications. W którym:
1) makroprogramy są powiązane z określonym plikiem lub znajdują się w nim;
2) język makr umożliwia kopiowanie plików lub przenoszenie programów makr do plików usług systemowych i plików edytowalnych;
3) podczas pracy z plikiem w określonych warunkach (otwieranie, zamykanie itp.) Wywoływane są programy makr (jeśli istnieją), które są zdefiniowane w specjalny sposób lub mają standardowe nazwy.
Ta funkcja języków makr została zaprojektowana do automatycznego przetwarzania danych w dużych organizacjach lub w sieciach globalnych i pozwala zorganizować tak zwane „automatyczne zarządzanie dokumentami”. Z drugiej strony, funkcje makrojęzykowe takich systemów pozwalają wirusowi przenieść swój kod do innych plików i tym samym je zainfekować.
Większość wirusów makr jest aktywnych nie tylko w momencie otwierania (zamykania) pliku, ale tak długo, jak sam edytor jest aktywny. Zawierają wszystkie swoje funkcje w postaci standardowych makr Word / Excel / Office. Istnieją jednak wirusy, które wykorzystują sztuczki, aby ukryć swój kod i przechowywać go w formie innych niż makra. Znane są trzy podobne sztuczki, wszystkie wykorzystują zdolność makr do tworzenia, edytowania i wykonywania innych makr. Zazwyczaj takie wirusy mają mały (czasem polimorficzny) program do pobierania wirusów makr, który wywołuje wbudowany edytor makr, tworzy nowe makro, wypełnia go głównym kodem wirusa, wykonuje go, a następnie z reguły niszczy (aby ukryć ślady obecności wirusa). Główny kod takich wirusów jest albo obecny w samym makrze wirusów w postaci ciągów tekstowych (czasami szyfrowanych), albo jest przechowywany w zmiennym obszarze dokumentu.
Wirusy sieciowe obejmują wirusy, które aktywnie wykorzystują do dystrybucji swoje protokoły i możliwości sieci lokalnych i globalnych. Podstawową zasadą wirusa sieciowego jest zdolność do niezależnego przesyłania kodu na zdalny serwer lub stację roboczą. W tym przypadku „pełnoprawne” wirusy sieciowe mogą również uruchamiać swój kod na komputerze zdalnym lub przynajmniej „wypychać” użytkownika do uruchomienia zainfekowanego pliku.
Złośliwymi programami, które zapewniają wdrożenie nieautoryzowanego dostępu, mogą być:
· Łamanie haseł i programy do łamania;
· Programy wdrażające zagrożenia;
· Programy demonstrujące wykorzystanie niezadeklarowanych możliwości oprogramowania i oprogramowania sprzętowego ISPDn;
· Generatory wirusów komputerowych;
· Programy wykazujące luki w zabezpieczeniach
informacje itp.
Ze względu na rosnącą złożoność i różnorodność oprogramowania liczba złośliwych programów szybko rośnie. Obecnie znanych jest ponad 120 tysięcy sygnatur wirusów komputerowych. Jednak nie wszystkie z nich stanowią realne zagrożenie. W wielu przypadkach eliminacja luk w oprogramowaniu systemowym lub aplikacyjnym doprowadziła do tego, że wiele złośliwych programów nie jest już w stanie ich przeniknąć. Często głównym zagrożeniem jest nowe złośliwe oprogramowanie.
Klasyfikacja osób naruszających prawo
W zależności od ich członkostwa w ISPD wszyscy naruszający są podzieleni na dwie grupy:
Naruszyciele zewnętrzni - osoby, które nie mają prawa przebywać w strefie kontrolowanej, w której znajduje się sprzęt ISPDn;
Wewnętrzni naruszający - osoby, które mają prawo pozostać w strefie kontrolowanej, w której znajduje się sprzęt ISPDn.
Zewnętrzny intruz
Za zewnętrznego naruszającego bezpieczeństwo informacji uważamy naruszającego, który nie ma bezpośredniego dostępu do środków technicznych i zasobów systemu zlokalizowanego w strefie kontrolowanej.
Zakłada się, że intruz zewnętrzny nie może wpływać na chronioną informację poprzez techniczne kanały wycieku, ponieważ ilość informacji przechowywanych i przetwarzanych w ISPD jest niewystarczająca, aby ewentualnie zmotywować zewnętrznego naruszającego do podjęcia działań w celu ujawnienia informacji przez techniczne kanały wycieku.
Zakłada się, że intruz zewnętrzny może wpływać na chronioną informację tylko podczas jej przesyłania kanałami komunikacyjnymi.
Intruz
Możliwości wewnętrznego intruza zasadniczo zależą od czynników ograniczających działających w strefie kontrolowanej, z których najważniejszą jest wdrożenie szeregu środków organizacyjnych i technicznych, w tym wybór, umiejscowienie i zapewnienie wysokiego poziomu szkolenia zawodowego, dopuszczenia osób do strefy kontrolowanej i kontroli porządku prowadzenie prac mających na celu zapobieganie nieuprawnionemu dostępowi i tłumienie go.
System kontroli dostępu ISPDn ISPDn zapewnia zróżnicowanie praw użytkowników do dostępu do informacji, oprogramowania, sprzętu i innych zasobów ISPDn zgodnie z przyjętą polityką bezpieczeństwa informacji (przepisami). Wewnętrzni naruszający mogą obejmować (tabela):
Administratorzy określonych podsystemów lub baz danych ISPD (kategoria II);
Użytkownicy spoza określonego mówcy (kategoria IV);
Osoby posiadające zdolność dostępu do systemu transmisji danych (kategoria V);
Pracownicy HCI, którzy autoryzowali dostęp do celów urzędowych do pomieszczeń, w których znajdują się elementy ISPD, ale nie mają do nich praw dostępu (kategoria VI);
Uczestnicy (ochrona, usługi inżynieryjne i techniczne itp.) (Kategoria VII);
Upoważniony personel programistów ISPDn, który na podstawie umowy ma prawo do konserwacji i modyfikacji komponentów ISPDn (kategoria VIII).
Osobom kategorii I i II przydzielono zadania związane z administrowaniem oprogramowaniem i sprzętem oraz bazami danych ISPD w celu integracji i zapewnienia interakcji różnych podsystemów tworzących ISPD. Administratorzy mogą potencjalnie wdrażać zagrożenia IS, korzystając z możliwości bezpośredniego dostępu do chronionych informacji przetwarzanych i przechowywanych w ISPD, a także sprzętu i oprogramowania ISPD, w tym środków ochrony stosowanych w określonych systemach zewnętrznych, zgodnie z ustanowionymi dla nich władzami administracyjnymi.
Osoby te są dobrze zaznajomione z podstawowymi algorytmami, protokołami, wdrożonymi i stosowanymi w określonych podsystemach i ISPD jako całości, a także z zastosowanymi zasadami i koncepcjami bezpieczeństwa.
Sugeruje się, aby mogli skorzystać standardowe wyposażenie albo w celu zidentyfikowania luk w zabezpieczeniach, albo w celu wdrożenia zagrożeń IS. Sprzęt ten może być częścią zwykłych środków lub może być łatwo uzyskany (na przykład oprogramowanie uzyskane z publicznie dostępnych źródeł zewnętrznych).
Ponadto zakłada się, że osoby te mogłyby mieć specjalistyczny sprzęt.
Ze względu na ich wyjątkową rolę w ISPD kategorie osób kategorii I i II powinny podlegać zestawowi specjalnych środków organizacyjnych i reżimowych dotyczących ich wyboru, zatrudnienia, mianowania i monitorowania wykonywania obowiązków funkcjonalnych.
Zakłada się, że tylko pełnomocnicy zostaną uwzględnieni w kategoriach I i II, a zatem osoby te zostaną wykluczone z listy prawdopodobnych osób naruszających prawo.
Zakłada się, że osoby kategorii III – VIII są prawdopodobnie sprawcami naruszenia.
Możliwości wewnętrznego intruza zależą znacząco
od działania w strefie kontrolowanej
oraz organizacyjne i techniczne środki ochrony, w tym dopuszczanie osób do PD i kontrolę procedury pracy.
Wewnętrzni potencjalni sprawcy naruszenia są podzieleni na osiem kategorii w zależności od metody dostępu i praw dostępu do PD.
Artykuł poświęcony jest analizie nowoczesnych technologii, które stanowią zagrożenie dla bezpieczeństwa komputera, oraz głównym trendom w rozwoju szkodliwego oprogramowania w 2006 roku.
Typowe trendy złośliwego oprogramowania
W 2006 r. Autor odkrył i przeanalizował 49 697 unikalnych odmian złośliwego oprogramowania, z których 47 907 należy do głównych rodzin. Na podstawie wyników ich analizy powstaje schemat, który odzwierciedla procent szkodliwego oprogramowania według rodziny rocznie (ryc. 1).
Figa. 1. Procent próbek ITW według rodziny
Jak widać na schemacie, 37% wszystkich badanych programów to złośliwe oprogramowanie, takie jak Trojan-Downloader. Jest to stały trend, który jest śledzony od 2005 roku i jest związany z faktem, że Trojan-Downloader służy do instalowania złośliwych programów, aktualizowania ich wersji i przywracania, jeśli program antywirusowy zostanie usunięty. Większość zbadanych przypadków uszkodzenia komputera przez złośliwe oprogramowanie wiąże się z uruchomieniem programu Trojan-Downloader z powodu użycia exploita lub metod inżynierii społecznej. Kolejne najczęstsze to robaki pocztowe i sieciowe, trojany różnego typu oraz programy klasy Dialer.
Analiza statystyczna dynamiki wykrywania próbek ITW (na wolności) pokazuje, że twórcy szkodliwego oprogramowania przyjęli i aktywnie wykorzystują nową technologię do zwalczania skanerów podpisów. Jego technika jest niezwykle prosta i polega na tym, że programista tworzy w krótkim czasie setki wariantów tego samego szkodliwego programu. Najprostsze metody uzyskania różnych opcji są następujące:
- przepakowywanie przez różne programy pakujące i szyfrujące - może być przeprowadzane okresowo lub w momencie żądania pliku, zestaw programów pakujących i ich parametry mogą się zmieniać losowo. Autorzy szkodliwego oprogramowania często używają zmodyfikowanych programów pakujących i szyfrujących, co utrudnia ich weryfikację;
- rekompilacja pliku z modyfikacjami wystarczającymi do zmiany sygnatur pliku, przez które jest wykrywany;
- umieszczenie złośliwego pliku w pakiecie instalacyjnym utworzonym za pomocą instalatorów takich jak NSIS (Scriptable Installation System). Obecność otwartego kodu źródłowego instalatora pozwala go nieco zmodyfikować, co uniemożliwi automatyczne rozpakowanie i analizę podczas skanowania antywirusowego.
Powyższe metody są od dawna znane i można je stosować w różnych kombinacjach, co pozwala autorowi szkodliwego oprogramowania na łatwe tworzenie setek wariantów tego samego programu bez użycia klasycznych metod polimorficznych. Można to zobaczyć na przykładzie Trojana-Downloadera. Win32.Zlob. Rozważ statystyki jego ustaleń z ostatnich 40 dni (ryc. 2).
Figa. 2. Dynamika wykrywania Trojan-Downloader.Win32.Zlob w 40 dni
W tym okresie autor odkrył 2198 próbek ITW programu Trojan-Downloader.Win32. Zlob, z których 1213 jest wyjątkowych. Wykres pokazuje dwie krzywe: liczbę wykrywalności dziennie i liczbę unikatowych odmian plików. Z wykresu widać, że około co druga wykrywana próbka ITW jest unikalnym plikiem, a ta zależność jest stabilnie utrzymywana przez miesiąc. Jeśli polegamy na klasyfikacji Kaspersky Lab, wówczas zbadane 1213 próbek należy do 169 podgatunków tego złośliwego programu. Takie statystyki są bardzo odkrywcze: istnieje wiele złośliwych programów, w których codziennie wykrywa się dziesiątki nowych modyfikacji.
Kolejny charakterystyczny trend można zaobserwować na przykładzie robaka pocztowego Warezov. Przez miesiąc autor zarejestrował 5333 próbki ITW, z czego 459 jest unikatowych. Wykres rozkładu aktywności pokazano na ryc. 3)
Figa. 3. Aktywność robaka pocztowego Warezov
Trybiki na wykresie to okresy epidemiczne związane z pojawieniem się nowych odmian robaka (w tym przypadku: Email-Worm.Win32.Warezov.gj, Email-Worm.Win32. Warezov.fb, Email-Worm.Win32.Warezov.hb) . Wykres pokazuje, że aktywna epidemia trwa średnio 2-5 dni, po czym liczba wykrytych przypadków Warezova spada do poziomu „tła” - 10-30 próbek dziennie. Pojawienie się takich wybuchów jest zrozumiałe - nowy rodzaj robaka nie jest wykrywany przez programy antywirusowe, w wyniku czego robak infekuje wiele komputerów i rozpoczyna się epidemia. Rozwija się szybko, ale w ciągu dnia sygnatury robaka wpadają do antywirusowej bazy danych, a epidemia szybko spada.
Osobno warto zwrócić uwagę na aktywną dystrybucję trojanów kategorii Trojan-SPY - szpiegów kradnących dane osobowe użytkowników. Wśród nich wyróżnia się słynny Goldun, który kradnie informacje o rachunkach systemu e-gold. Najnowsze wersje tego trojana aktywnie wykorzystują technologię rootkit do ukrywania się i szpiegostwa (ryc. 4).
Figa. 4. Wykres aktywności Trojan-SPY dla ostatniego miesiąca
Analiza technologii wykorzystywanych przez twórców szkodliwego oprogramowania pokazuje, że w 2006 roku nie wynaleziono żadnych rewolucyjnych nowych technologii - twórcy szkodliwego oprogramowania przyjmują ilość, a nie jakość. Niemniej jednak pojawiło się kilka nowych produktów, które zasługują na bardziej szczegółową dyskusję.
Podsumowując, rozważamy podsumowanie uśrednionego wykresu skonstruowanego zgodnie z autorskim systemem automatycznego monitorowania aktywności wirusowej (ryc. 5).
Figa. 5. Statystyki automatycznego systemu wyszukiwania złośliwego oprogramowania z ostatnich 40 dni
Z wykresu widać, że zautomatyzowany system rejestruje średnio około 400 nowych unikalnych odmian złośliwego oprogramowania dziennie.
Technologia rootkitów
W 2006 r. Zaobserwowano rozwój i ulepszanie różnych rodzajów rootkitów i technologii rootkitów. Z tych technologii korzysta wiele złośliwych programów i istnieje kilka kierunków:
- technologie maskowania rootkitów, których głównym celem jest maskowanie obecności złośliwego oprogramowania i jego składników na dysku iw pamięci, a także maskowanie kluczy w rejestrze. Aby rozwiązać ten problem, najczęściej używane są funkcje API, aw nowoczesnych rootkitach znajdują się bardzo wyrafinowane metody przechwytywania, na przykład wstrzykiwanie kodu do nieeksportowanych funkcji jądra, przechwytywanie przerwań Int2E, modyfikacja SYSENTER. Osobno należy zauważyć rootkity DKOM (Direct Kernel Object Manipulation), które stają się coraz bardziej popularne;
- technologie rootkit do szpiegostwa - jak sama nazwa wskazuje, służą do monitorowania pracy użytkownika i gromadzenia poufnych informacji. Najbardziej typowym przykładem jest Trojan-Spy.Win32.Goldun, który zgodnie z zasadą rootkit przechwytuje wymianę aplikacji z Internetem w celu wyszukiwania danych karty kredytowej użytkownika w strumieniu przesyłanych informacji.
Przyjrzyjmy się bliżej rootkitom DKOM. Zasada ich pracy opiera się na modyfikacji struktur systemowych opisujących procesy, sterowniki, wątki i deskryptory. Taka interwencja w struktury systemu jest oczywiście nieudokumentowaną i bardzo niepoprawną operacją, ale system nadal działa mniej lub bardziej stabilnie po takiej interwencji. Praktyczną konsekwencją tej interwencji jest to, że atakujący może manipulować strukturami podstawowymi dla własnych celów. Na przykład dla każdego z uruchomionych procesów w jądrze tworzona jest struktura EPROCESS, która przechowuje wiele informacji o procesie, w szczególności jego identyfikator (PID) i nazwę procesu. Struktury te tworzą podwójnie połączoną listę i są używane przez funkcje API zwracające informacje o uruchomionych procesach. Aby zamaskować proces, rootkit DKOM po prostu usuwa swoją strukturę EPROCESS z listy. Implementacja takiego przebrania jest niezwykle prosta, a dziesiątki gotowych implementacji z tekstami źródłowymi można znaleźć w Internecie. Bardziej złożone rootkity nie ograniczają się do usuwania struktury zamaskowanego obiektu z listy - zniekształcają zawarte w nim dane. W rezultacie, nawet jeśli program anty-rootkit może znaleźć ukryty proces lub sterownik, otrzyma nieprawidłowe informacje na jego temat. Ze względu na łatwość implementacji takie rootkity stają się coraz bardziej popularne i coraz trudniej sobie z nimi radzić. Badania wykazały, że najskuteczniejszym sposobem na ich przeciwdziałanie jest zainstalowanie w systemie monitora, który monitoruje początek / koniec procesów oraz ładowanie / rozładowywanie sterowników. Porównanie informacji zebranych przez taki monitor z danymi zwracanymi przez system pozwala wykryć modyfikacje dokonane przez rootkita DKOM, zrozumieć ich naturę oraz wykryć zamaskowane procesy i sterowniki.
Programy mistyfikacyjne
Kierunek programów Hoax wciąż się aktywnie rozwija, dzięki czemu możesz z pewnością przewidzieć rozwój tej rodziny w 2007 roku. W dosłownym tłumaczeniu mistyfikacja jest mistyfikacją; kłamstwa, mistyfikacje, nieprawdy. Ideą programów Hoax jest oszukiwanie użytkownika, najczęściej w celu osiągnięcia zysku lub kradzieży poufnych informacji. Ostatnio pojawiła się tendencja do kryminalizacji tej branży: jeśli rok temu większość programów Hoaxa wykonała stosunkowo nieszkodliwe działania, symulując infekcję wirusową komputera lub kodu SpyWare, współczesne mają coraz bardziej na celu kradzież haseł lub poufnych informacji. Przykład takiego programu pokazano na ryc. 6.
Figa. 6. Okno programu Hoax.Win32.Delf
Jak wynika z okna aplikacji i jej opisu, jest to generator licencji dla programu Kaspersky Anti-Virus. Program oferuje uzyskanie wygenerowanej licencji na wprowadzenie adresu e-mail i hasła w celu uzyskania dostępu do skrzynki pocztowej. Jeśli naiwny użytkownik to zrobi i kliknie przycisk „Pobierz szyfr”, wówczas wprowadzone przez niego dane zostaną przesłane osobie atakującej pocztą e-mail. W ciągu ostatniego roku znaleziono ponad sto podobnych programów: są to różne „crackery”, generatory kart płatniczych dla operatorów komórkowych, generatory numerów kart kredytowych, sposoby „hakowania” skrzynek pocztowych itp. Wspólną cechą takich programów jest oszustwo użytkownika, którego celem jest to, że samodzielnie wprowadził poufne informacje. Drugą charakterystyczną cechą aplikacji Hoax jest ich prymitywność: zawierają wiele błędów i niepoprawności w kodzie programu. Takie programy są często tworzone przez początkujących twórców wirusów.
Trend rozwoju programów Hoaxa można rozważyć na przykładzie Hoax.Win32.Renos (ryc. 7).
Figa. 7. Dynamika wykrywania Hoax.Win32.Renos w ciągu ostatnich 30 dni
Z wykresu widać, że autor odkrywa co najmniej jedną nową unikalną odmianę tego złośliwego programu dziennie, a już za miesiąc istnieje 60 nowych unikalnych wariantów zawartych w 18 podgatunkach zgodnie z klasyfikacją Kaspersky Lab.
Programy trojańskie służące do szantażu i wymuszeń
Programy tej odmiany pojawiły się po raz pierwszy kilka lat temu. Ich głównym celem jest bezpośrednie szantażowanie użytkownika i wyłudzanie od niego pieniędzy za przywrócenie komputera do pracy lub odszyfrowanie informacji zakodowanych przez trojana. Najczęściej autor musi otrzymywać raporty i prośby o pomoc od użytkowników dotkniętych trojanem Trojan.Win32.Krotten, który wyłudził 25 WMZ w celu przywrócenia komputera. Trojan ten jest niezwykle prymitywny, a cała jego praca sprowadza się do modyfikacji setek kluczy w rejestrze (szczegółowy opis jednego z jego wariantów można znaleźć na stronie: http://www.z-oleg.com/secur/virlist/vir1180. php). Osobliwością trojanów z tej rodziny jest to, że do leczenia komputera wyszukiwanie i niszczenie trojana nie wystarczy - nadal konieczne jest naprawienie szkód wyrządzonych mu przez system. Jeśli uszkodzenie rejestru spowodowane przez trojana Krotten jest dość łatwe do naprawienia, zaszyfrowane informacje są znacznie trudniejsze do odzyskania. Na przykład twórca trojana Gpcode szyfrującego dane użytkownika stopniowo zwiększa długość klucza szyfrowania, co stanowi wyzwanie dla firm antywirusowych. Więcej informacji na temat tego trojana można znaleźć w artykule „Szantażysta” pod adresem: http://www.viruslist.com/en/analysis?pubid\u003d188790045.
Wstrzykiwanie kodu programu jako ukrytej metody uruchamiania
Technologia ta jest najwyraźniej widoczna we współczesnym trojanie downloaderze, jednak stopniowo zaczyna być wdrażana w innych złośliwych programach. Jego metodologia jest stosunkowo prosta: złośliwy program warunkowo składa się z dwóch części - „aplikatora” i kodu trojana. Zadaniem „aplikatora” jest rozpakowanie i odszyfrowanie kodu trojana i wprowadzenie go do określonego procesu systemowego. Na tym etapie badane szkodliwe programy różnią się metodologią wprowadzania kodu trojana:
- implementacja poprzez zmianę kontekstu - zasada takiej implementacji polega na przygotowaniu i odszyfrowaniu kodu trojana (krok 1), uruchomieniu dowolnego procesu systemowego, a po utworzeniu proces jest tworzony w trybie „zawieszonym” (krok 2). Następnie wtryskiwacz wstrzykuje kod trojana do pamięci procesu (ponadto takie wstrzyknięcie można wykonać na wierzchu kodu procesu maszynowego), po czym modyfikuje kontekst głównego wątku, aby trojan przejął kontrolę (krok 3). Następnie uruchamiany jest główny wątek i wykonywany jest kod trojana. Ta metoda jest interesująca, ponieważ dowolny menedżer procesów pokaże wykonanie legalnego programu (powiedzmy svchost.exe), ale zamiast tego kod trojana będzie przechowywany i wykonywany w pamięci zamiast kodu maszynowego legalnego programu. Ta metoda pozwala ominąć zapory ogniowe, które nie mają środków do kontrolowania modyfikacji pamięci procesu i kontekstu jej wątków (ryc. 8);
Figa. 8. Implementacja podstawienia kontekstu
- wprowadzenie wątków trojana - ta metoda jest ideologicznie podobna do poprzedniej, ale zamiast zastąpić kod maszynowy procesu trojanem i wykonać go w głównym wątku, tworzony jest dodatkowy wątek, w którym wykonywany jest kod trojana (krok 2). Ta metoda jest często stosowana do wstrzykiwania kodu trojana do istniejącego procesu bez zakłócania jego działania (ryc. 9).
Figa. 9. Wdrożenie metody tworzenia Trojan Stream
Nowe metody kradzieży WebMoney
Pod koniec 2006 roku odkryto nową, dość oryginalną metodę kradzieży pieniędzy w systemie WebMoney. Opiera się on na wprowadzeniu małego programu trojańskiego na komputerze użytkownika, który monitoruje, czy okno WebMoney jest otwarte. Jeśli jest otwarty, schowek jest monitorowany. Po wykryciu tekstu w buforze, który zaczyna się od „Z”, „R” lub „E”, trojan uważa to za numer portfela odbiorcy, który użytkownik skopiował do schowka w celu wprowadzenia go w oknie WebMoney. Liczba ta jest usuwana z bufora i zastępowana liczbą „Z”, „R” lub „E” portfela atakującego. Ta metoda jest niezwykle prosta do wdrożenia i może być dość skuteczna, ponieważ numery portfeli tak naprawdę najczęściej nie są wprowadzane, ale są kopiowane przez bufor i nie wszyscy użytkownicy dokładnie sprawdzają, czy numer portfela jest wstawiany z bufora. Trojan ten jest wyraźną demonstracją pomysłowości twórców programów trojańskich.
Wykrywanie debuggerów i wirtualnych komputerów
Od dawna znane są techniki radzenia sobie z debuggerami, emulatorami i komputerami wirtualnymi. Ich użycie utrudnia analizę złośliwego programu dla początkującego specjalisty, dlatego takie technologie są od dawna i dość skutecznie wykorzystywane przez twórców szkodliwego oprogramowania. Jednak w ciągu ostatniego roku pojawił się nowy trend: złośliwe oprogramowanie zaczęło próbować określić rodzaj komputera - czy jest to prawdziwy sprzęt lub emulacja stworzona przez programy takie jak Virtual PC lub VMWare. Takie wirtualne komputery były dość aktywnie wykorzystywane przez administratorów do badania podejrzanych programów. Jeśli jest sprawdzane w przypadku uruchamiania na wirtualnym komputerze (alternatywnie pod debuggerem), złośliwy program może po prostu zawiesić pracę, co uniemożliwi jego badanie. Ponadto taka kontrola uderzy w systemy takie jak Norman Sandbox, ponieważ ich zasadą analizy heurystycznej jest w istocie uruchomienie badanego programu na emulatorze i zbadanie jego działania. Pod koniec roku specjaliści SANS Institute Tom Liston i Ed Skoudis opublikowali bardzo interesujący raport opisujący techniki wykrywania maszyn wirtualnych i radzenia sobie z metodami wykrywania. Dokument można pobrać ze strony internetowej SANS - http://handlers.sans.org/tliston/ThwartingVMDetection_Liston_Skoudis.pdf.
Spam boty i proxy trojanów
Spam bot to autonomiczny trojan zaprojektowany do automatycznego wysyłania spamu z zainfekowanego komputera. Trojan proxy to złośliwy program z funkcjami serwera proxy; jego działanie na zainfekowanym komputerze pozwala napastnikowi wykorzystać go jako serwer proxy do wysyłania spamu, przeprowadzania ataków na inne komputery i wykonywania innych nielegalnych działań. Wiele współczesnych botów spamujących aktywnie ukrywa swoją obecność za pomocą technologii rootkit i jest chronionych przed usunięciem. Statystyki pokazują, że miesięcznie znajduje się ponad 400 odmian podobnych programów ITW, z czego około 130 jest nowych, unikalnych.
Spam bot stanowi duże zagrożenie dla sieci korporacyjnych, ponieważ jego praca prowadzi do następujących konsekwencji:
- wysokie zużycie ruchu w sieci - w większości miast w Rosji nie ma nieograniczonych taryf, więc obecność kilku dotkniętych nią komputerów w sieci może prowadzić do wymiernych strat finansowych z powodu zużycia ruchu;
- wiele sieci korporacyjnych korzysta ze statycznych adresów IP i własnych serwerów pocztowych w celu uzyskania dostępu do Internetu. W rezultacie, w wyniku działania botów spamowych, te adresy IP szybko wpadną na czarne listy filtrów antyspamowych, co oznacza, że \u200b\u200bserwery pocztowe w Internecie przestaną przyjmować pocztę od firmowego serwera pocztowego. Możliwe jest wykluczenie twojego adresu IP z czarnej listy, ale jest to dość trudne, a jeśli w sieci działają spamboty, będzie to środek tymczasowy.
Metody przeciwdziałania botom spamowym i proxy trojana są bardzo proste: musisz zablokować port 25 dla wszystkich użytkowników, a najlepiej, ogólnie rzecz biorąc, zabronić im bezpośredniej wymiany z Internetem, zastępując go pracą za pośrednictwem serwerów proxy. Na przykład w Smolenskenergo wszyscy użytkownicy pracują z Internetem tylko za pośrednictwem serwera proxy z systemem filtrów, a codziennie wykonuje się półautomatyczne badanie protokołu, które wykonuje dyżurny administrator systemu. Używany przez niego analizator ułatwia wykrywanie anomalii w ruchu użytkowników i podejmowanie w odpowiednim czasie działań w celu zablokowania podejrzanej aktywności. Ponadto systemy IDS (Intrusion Detection System), które badają ruch sieciowy użytkownika, dają doskonałe wyniki.
Rozpowszechnianie złośliwego oprogramowania za pomocą pagerów internetowych
Według statystyk zebranych w ciągu roku, pagery internetowe są coraz częściej wykorzystywane do wprowadzania złośliwego oprogramowania na komputery użytkowników. Technika wdrażania jest klasyczną inżynierią społeczną. Z zainfekowanego komputera w imieniu ICQ jego właściciela złośliwy program wysyła wiadomości wywoływane pod jednym lub innym pretekstem w celu otwarcia określonego łącza. Link prowadzi do trojana (zwykle o nazwie semantycznej, takiej jak picture.pif lub flash_movie.exe) lub do strony, której strony zawierają exploity. Na szczególną uwagę zasługuje fakt, że dystrybuowane są linki do złośliwych programów, a nie ich organów.
W ciągu ostatniego roku odnotowano kilka epidemii opartych na tej zasadzie. W Rosji ofiarami byli głównie użytkownicy ICQ, w ten sposób dystrybuowano większość programów kategorii Trojan-PSW - trojany kradnące hasła użytkowników. Autor otrzymuje średnio od jednej do dziesięciu wiadomości dziennie, a do końca roku liczba takich wysyłek wzrosła.
Ochrona przed złośliwym oprogramowaniem tego typu jest niezwykle prosta - nie należy otwierać takich łączy. Jednak statystyki pokazują, że ciekawość użytkowników często przeważa, tym bardziej, jeśli wiadomości przychodzą w imieniu dobrze im znanej osoby. W środowisku korporacyjnym skutecznym środkiem jest zakaz korzystania z pagerów internetowych, ponieważ pod względem bezpieczeństwa stanowią one idealny kanał do wycieku informacji.
Pamięci flash USB
Znaczący spadek cen Flash Media (a także wzrost ich objętości i prędkości) doprowadził do naturalnego efektu - szybkiego wzrostu popularności wśród użytkowników. W związku z tym twórcy szkodliwego oprogramowania zaczęli tworzyć programy infekujące dyski flash. Zasada działania takich programów jest niezwykle prosta: w katalogu głównym dysku tworzone są dwa pliki - plik tekstowy autorun.inf i kopia złośliwego programu. Plik autorun służy do automatycznego uruchamiania złośliwego programu po podłączeniu dysku. Klasycznym przykładem takiego złośliwego oprogramowania jest robak pocztowy Rays. Należy zauważyć, że aparat cyfrowy, wiele telefonów komórkowych, odtwarzaczy MP3 i urządzeń PDA może działać jako nosiciel wirusów - nie można ich odróżnić od dysku flash z punktu widzenia komputera (a zatem robaka). Ponadto obecność złośliwego oprogramowania nie wpływa na działanie tych urządzeń.
Środkiem ochrony przed takimi programami może być wyłączenie autorun, użycie monitorów antywirusowych do szybkiego wykrywania i usuwania wirusa. W obliczu zagrożenia wirusami i wyciekiem informacji wiele firm podejmuje bardziej rygorystyczne środki - blokują możliwość podłączenia urządzeń USB za pomocą specjalistycznego oprogramowania lub blokują sterowniki USB w ustawieniach systemu.
Wniosek
W tym artykule zbadano główne obszary rozwoju złośliwego oprogramowania. Ich analiza pozwala na wykonanie kilku prognoz:
- można założyć, że kierunek maskowania przed skanerami podpisów i ochrona przed uruchomieniem na komputerach wirtualnych i emulatorach będą się aktywnie rozwijać. Dlatego w celu zwalczania takich złośliwych programów najważniejsze są różne analizatory heurystyczne, zapory ogniowe i proaktywne systemy obrony;
- wyraźnie widać kryminalizację branży opracowywania szkodliwego oprogramowania; rośnie odsetek botów spamowych, serwerów proxy trojanów i trojanów służących do kradzieży haseł i danych osobowych użytkowników. W przeciwieństwie do wirusów i robaków programy takie mogą powodować znaczne szkody materialne dla użytkowników. Rozwój branży trojanów, która szyfruje dane dla użytkowników, powoduje, że myślimy o celowości okresowych kopii zapasowych, która faktycznie zmniejsza do zera szkody spowodowane przez tego trojana;
- analiza infekcji komputerowych pokazuje, że cyberprzestępcy często włamują się na serwery sieciowe, aby hostować na nich złośliwe oprogramowanie. Taki hack jest o wiele bardziej niebezpieczny niż tak zwany deface (zastępujący stronę początkową strony), ponieważ komputery osób odwiedzających witrynę mogą zostać zainfekowane. Można założyć, że kierunek ten będzie rozwijał się bardzo aktywnie;
- pamięci flash, aparaty cyfrowe, odtwarzacze MP3 i urządzenia PDA stają się coraz większym zagrożeniem dla bezpieczeństwa, ponieważ mogą być wirusami. Wielu użytkowników nie docenia zagrożenia, jakie stanowi, powiedzmy, aparat cyfrowy - jednak w 2006 r. Autor był w stanie zbadać co najmniej 30 incydentów związanych z takimi urządzeniami;
- analiza urządzenia i zasad działania szkodliwych programów pokazuje, że możesz się przed nimi zabezpieczyć bez programu antywirusowego - po prostu nie będą one mogły działać w odpowiednio skonfigurowanym systemie. Podstawową zasadą ochrony jest praca użytkownika na ograniczonym koncie, który w szczególności nie ma uprawnień do pisania w folderach systemowych, zarządzania usługami i sterownikami, a także modyfikowania kluczy rejestru systemowego.
Działa Wydanie od 15.02.2008
„PODSTAWOWY WZÓR ZAGROŻEŃ BEZPIECZEŃSTWA DANYCH OSOBOWYCH W ICH PRZETWARZANIU W SYSTEMACH INFORMACYJNYCH DANYCH OSOBOWYCH” (zatwierdzony 15.02.2008 FSTEC Federacji Rosyjskiej)
5. Zagrożenia związane z nieautoryzowanym dostępem do informacji w systemie informacji o danych osobowych
Zagrożenia dla nieuprawnionego dostępu do ISPD przy użyciu oprogramowania oraz sprzętu i oprogramowania są realizowane podczas nieautoryzowanego, w tym losowego, dostępu skutkującego naruszeniem poufności (kopiowanie, nieautoryzowana dystrybucja), integralności (zniszczenie, modyfikacja) i dostępności (blokowanie) danych osobowych, i obejmują:
zagrożenia dostępu (penetracji) do środowiska operacyjnego komputera przy użyciu standardowego oprogramowania (narzędzia systemu operacyjnego lub aplikacje ogólnego przeznaczenia);
Zagrożenia związane z tworzeniem nienormalnych trybów pracy narzędzi programowych (sprzętowych i programowych) ze względu na celowe zmiany danych usługowych, ignorowanie ograniczeń dotyczących składu i cech przetwarzanych informacji, zniekształceń (modyfikacji) samych danych, przewidzianych w normalnych warunkach itp.;
zagrożenia związane ze złośliwym oprogramowaniem (oprogramowanie i efekty matematyczne).
Skład elementów opisujących zagrożenia związane z nieautoryzowanym dostępem do informacji w sieci ISDN pokazano na rysunku 3.
Ponadto możliwe są połączone zagrożenia, które są kombinacją tych zagrożeń. Na przykład dzięki wprowadzeniu złośliwego oprogramowania można stworzyć warunki dla nieuprawnionego dostępu do środowiska operacyjnego komputera, w tym poprzez tworzenie nietradycyjnych kanałów dostępu do informacji.
Zagrożenia dostępu (penetracja) do środowiska operacyjnego ISPD przy użyciu standardowego oprogramowania są podzielone na zagrożenia bezpośredniego i zdalnego dostępu. Zagrożenia związane z bezpośrednim dostępem są realizowane za pomocą oprogramowania i sprzętu / oprogramowania / wejścia / wyjścia komputerowego. Zagrożenia związane z dostępem zdalnym są wdrażane przy użyciu protokołów komunikacji sieciowej.
Zagrożenia te są realizowane w odniesieniu do ISDN, zarówno na podstawie zautomatyzowanej stacji roboczej, która nie jest zawarta w publicznej sieci komunikacyjnej, jak i w odniesieniu do wszystkich ISDN, podłączonej do publicznych sieci komunikacyjnych i międzynarodowych sieci wymiany informacji.
Opis zagrożeń dostępu (penetracji) do środowiska operacyjnego komputera można formalnie przedstawić w następujący sposób:
zagrożenie manipulacją w ISPDn: \u003d<источник угрозы>, <уязвимость ИСПДн>, <способ реализации угрозы>, <объект воздействия (программа, протокол, данные и др.)>, <деструктивное действие>.
Rysunek 3. Elementy opisujące zagrożenia dla nieautoryzowanego dostępu do informacji w ISDN
Zagrożenia związane z tworzeniem nietypowych trybów pracy narzędzi programowych (sprzętowych i programowych) to zagrożenia typu Denial of Service. Z reguły zagrożenia te są rozpatrywane w odniesieniu do ISDN w oparciu o lokalne i rozproszone systemy informacyjne, niezależnie od połączenia wymiany informacji. Ich wdrożenie wynika z faktu, że rozwój oprogramowania systemowego lub aplikacyjnego nie uwzględnia możliwości celowych działań w celu ukierunkowanej zmiany:
warunki przetwarzania danych (na przykład ignorowanie ograniczeń dotyczących długości pakietu wiadomości);
Formaty prezentacji danych (z niespójnością zmodyfikowanych formatów ustalonych do przetwarzania przez protokoły interakcji sieciowych);
Oprogramowanie do przetwarzania danych.
W wyniku zagrożeń typu Denial of Service, procedur przepełnienia buforów i procedur blokowania, procedur przetwarzania w „pętli” i „zamrażania” komputera, upuszczania pakietów komunikatów itp. Opis takich zagrożeń można formalnie przedstawić w następujący sposób:
zagrożenie odmową usługi: \u003d<источник угрозы>, <уязвимость ИСПДн>, <способ реализации угрозы>, <объект воздействия (носитель ПДн)>, <непосредственный результат реализации угрозы (переполнение буфера, блокирование процедуры обработки, "зацикливание" обработки и т.п.)>.
Zagrożenia związane z wprowadzaniem szkodliwych programów (efekty matematyczne i programowe) są niewłaściwe do opisania z takimi samymi szczegółami jak powyższe zagrożenia. Wynika to z faktu, że po pierwsze, liczba złośliwych programów dzisiaj wynosi już ponad sto tysięcy. Po drugie, organizując ochronę informacji w praktyce, z reguły wystarczy znać klasę złośliwego programu, metody i konsekwencje jego wdrożenia (infekcji). W związku z tym zagrożenia związane z wpływem programu na matematykę (PMV) można formalnie przedstawić w następujący sposób:
zagrożenie PMV w ISPDn: \u003d<класс вредоносной программы (с указанием среды обитания)>, <источник угрозы (носитель вредоносной программы)>, <способ инфицирования>, <объект воздействия (загрузочный сектор, файл и т.п.)>, <описание возможных деструктивных действий>, <дополнительная информация об угрозе (резидентность, скорость распространения, полиморфичность и др.)>.
Poniżej znajduje się ogólny opis źródeł zagrożeń bezpieczeństwa informacji, podatności, które mogą być wykorzystane do wdrożenia zagrożeń dla nieautoryzowanego dostępu oraz opis wyników nieautoryzowanego lub losowego dostępu. Opis metod wdrażania zagrożeń podano przy opisywaniu zagrożeń dostępu (penetracji) do środowiska operacyjnego komputera, zagrożeń związanych z odmową usługi oraz zagrożeń PMV.
Źródłami zagrożeń NSD w ISPD mogą być:
intruz;
nośnik szkodliwego oprogramowania;
zakładka sprzętowa.
Zagrożenia bezpieczeństwa PD związane z wprowadzeniem zakładek do sprzętu są określane zgodnie z dokumentami regulacyjnymi Federalnej Służby Bezpieczeństwa Federacji Rosyjskiej w sposób przez nią ustalony.
Zgodnie z dostępnością prawa stałego lub jednorazowego dostępu do kontrolowanego obszaru (CI) ISPD, osoby naruszające prawo dzielą się na dwa typy:
osoby naruszające prawo, które nie mają dostępu do ISPD, realizujące zagrożenia ze strony zewnętrznych publicznych sieci komunikacyjnych i (lub) sieci międzynarodowej wymiany informacji, - osoby naruszające zasady zewnętrzne;
osoby naruszające prawo mające dostęp do ISPD, w tym użytkownicy ISPD, którzy wdrażają zagrożenia bezpośrednio w ISPD, są naruszającymi wewnętrznie.
Zewnętrznymi osobami naruszającymi prawo mogą być:
państwowe służby wywiadowcze;
Struktury przestępcze;
konkurenci (organizacje konkurujące);
pozbawieni skrupułów partnerzy;
podmioty zewnętrzne (osoby fizyczne).
Zewnętrzny intruz ma następujące funkcje:
w celu przeprowadzenia nieautoryzowanego dostępu do kanałów komunikacji, które wykraczają poza pomieszczenia biurowe;
do wykonywania nieuprawnionego dostępu przez stacje robocze podłączone do publicznych sieci komunikacyjnych i (lub) międzynarodowych sieci wymiany informacji;
przeprowadzać nieautoryzowany dostęp do informacji przy użyciu specjalnych interwencji oprogramowania poprzez wirusy oprogramowania, złośliwe oprogramowanie, algorytmy lub zakładki oprogramowania;
Dokonać nieuprawnionego dostępu za pośrednictwem elementów infrastruktury informacyjnej ISPDn, które w trakcie swojego cyklu życia (modernizacja, konserwacja, naprawa, unieszkodliwianie) znajdują się poza strefą kontrolowaną;
do wykonywania nieuprawnionego dostępu za pośrednictwem systemów informatycznych współdziałających działów, organizacji i instytucji, gdy są one połączone z ISPDn.
Możliwości wewnętrznego intruza zasadniczo zależą od operacyjnych i organizacyjnych i technicznych środków ochronnych działających w strefie kontrolowanej, w tym przyjmowania osób do PD i kontroli procedury pracy.
Wewnętrzni potencjalni sprawcy naruszenia są podzieleni na osiem kategorii w zależności od metody dostępu i praw dostępu do PD.
Pierwsza kategoria obejmuje osoby z uprawnionym dostępem do ISDN, ale nie mające dostępu do PD. Ten rodzaj naruszającego obejmuje urzędników, którzy zapewniają normalne funkcjonowanie ISPDn.
mieć dostęp do fragmentów informacji zawierających PD i dystrybuowanych przez wewnętrzne kanały komunikacyjne ISPD;
Aby mieć fragmenty informacji na temat topologii ISPD (część komunikacyjna podsieci) oraz używanych protokołów komunikacyjnych i ich usług;
Mieć nazwy i identyfikować hasła zarejestrowanych użytkowników;
zmieniać konfigurację sprzętu ISPDn, dodawać do niego zakładki sprzętu i oprogramowania oraz zapewniać wyszukiwanie informacji za pomocą bezpośredniego połączenia ze sprzętem ISPD.
posiada wszystkie możliwości osób z pierwszej kategorii;
Zna co najmniej jedną legalną nazwę dostępu;
Ma wszystkie niezbędne atrybuty (na przykład hasło), które zapewniają dostęp do określonego podzbioru PD;
ma poufne dane, do których ma dostęp.
Jego dostęp, uwierzytelnianie i prawa dostępu do określonego podzbioru PD powinny podlegać odpowiednim zasadom kontroli dostępu.
posiada wszystkie możliwości osób z pierwszej i drugiej kategorii;
Ma informacje o topologii ISPDn w oparciu o lokalny i (lub) rozproszony system informacyjny, za pośrednictwem którego zapewniony jest dostęp, oraz o składzie sprzętu ISPDn;
ma możliwość bezpośredniego (fizycznego) dostępu do fragmentów środków technicznych ISPDn.
Posiada pełne informacje o systemie i oprogramowaniu aplikacyjnym wykorzystywanym w segmencie ISPDn (fragment);
Posiada pełne informacje o sprzęcie i konfiguracji segmentu ISPDn (fragment);
ma dostęp do narzędzi do ochrony informacji i logowania, a także do poszczególnych elementów wykorzystywanych w segmencie ISPDn (fragment);
ma dostęp do wszystkich środków technicznych segmentu ISPDn (fragment);
ma uprawnienia do konfigurowania i administrowania określonym podzbiorem sprzętu segmentu ISPD (fragment).
Ma wszystkie cechy osób z poprzednich kategorii;
posiada pełne informacje o systemie i oprogramowaniu aplikacyjnym ISPDn;
posiada pełne informacje o sprzęcie i konfiguracji ISPDn;
ma dostęp do wszystkich urządzeń do przetwarzania informacji technicznych i danych ISPD;
ma uprawnienia do konfigurowania i administrowania sprzętem ISPD.
Administrator systemu dokonuje konfiguracji i zarządzania oprogramowaniem (oprogramowaniem) i sprzętem, w tym sprzętem odpowiedzialnym za bezpieczeństwo chronionego obiektu: środki ochrony informacji kryptograficznej, monitorowanie, rejestracja, archiwizacja, ochrona przed nieautoryzowanym dostępem.
posiada wszystkie możliwości osób z poprzednich kategorii;
posiada pełną informację o ISPDn;
ma dostęp do narzędzi do ochrony informacji i rejestrowania oraz do niektórych kluczowych elementów ISPD;
Nie ma uprawnień dostępu do konfiguracji sprzętu sieciowego, z wyjątkiem kontroli (inspekcji).
Administrator bezpieczeństwa odpowiada za przestrzeganie reguł kontroli dostępu, generowanie kluczowych elementów, zmianę haseł. Administrator bezpieczeństwa sprawdza te same funkcje bezpieczeństwa w obiekcie, co administrator systemu.
posiada informacje o algorytmach i programach przetwarzających informacje w ISPDn;
Ma możliwość wprowadzania błędów, niezadeklarowanych funkcji, zakładek oprogramowania, złośliwego oprogramowania do oprogramowania ISPD na etapie jego opracowywania, wdrażania i konserwacji;
może mieć dowolne informacje na temat topologii ISPD i technicznych środków przetwarzania i ochrony PD przetwarzanych w ISPD.
ma możliwość tworzenia zakładek w środkach technicznych ISPD na etapie ich opracowywania, wdrażania i utrzymywania;
Może zawierać dowolne informacje na temat topologii ISPD oraz technicznych środków przetwarzania i ochrony informacji w ISPD.
Nośnikiem złośliwego oprogramowania może być element sprzętu komputerowego lub kontener oprogramowania. Jeśli złośliwy program nie jest powiązany z żadną aplikacją, wówczas za jego medium uważa się:
Zgodne nośniki, tj. Dyskietka, dysk optyczny (CD-R, CD-RW), pamięć flash, dostępny dysk twardy itp.;
Wbudowane nośniki danych (dyski twarde, układy RAM, procesor, układy na płycie systemowej, układy scalone urządzeń wbudowanych w jednostkę systemową - karty wideo, karty sieciowe, karty dźwiękowe, modemy, urządzenia wejścia / wyjścia dla magnetycznych napędów dysków twardych i optycznych, zasilacz itp. n., mikroukłady do bezpośredniego dostępu do pamięci, magistrale przesyłania danych, porty wejścia / wyjścia);
mikroukłady urządzeń zewnętrznych (monitor, klawiatura, drukarka, modem, skaner itp.).
Jeśli złośliwy program jest powiązany z dowolną aplikacją, z plikami o określonych rozszerzeniach lub innych atrybutach, z wiadomościami przesyłanymi przez sieć, wówczas jej nośnikami są:
pakiety wiadomości przesyłane przez sieć komputerową;
pliki (tekstowe, graficzne, wykonywalne itp.).
5.2 Ogólna charakterystyka słabych punktów w systemie informacji o danych osobowychWrażliwość systemu informacji o danych osobowych to niedobór lub słabość oprogramowania systemowego lub aplikacyjnego (sprzętu i oprogramowania) zautomatyzowanego systemu informatycznego, którego można użyć do wdrożenia zagrożenia dla bezpieczeństwa danych osobowych.
Przyczyny podatności to:
błędy w projektowaniu i rozwoju oprogramowania (sprzęt i oprogramowanie);
celowe działania mające na celu wprowadzenie luk w zabezpieczeniach podczas projektowania i opracowywania oprogramowania (sprzętu i oprogramowania);
nieprawidłowe ustawienia oprogramowania, niezgodne z prawem zmiany trybów pracy urządzeń i programów;
Nieautoryzowane wdrożenie i użycie programów nieobjętych rachunkiem z późniejszymi nieuzasadnionymi wydatkami zasobów (obciążenie procesora, przechwytywanie pamięci RAM i pamięci na nośnikach zewnętrznych);
wprowadzenie szkodliwych programów, które tworzą luki w zabezpieczeniach oprogramowania i oprogramowania układowego;
nieautoryzowane niezamierzone działania użytkownika prowadzące do podatności;
awarie w działaniu sprzętu i oprogramowania (spowodowane awarią zasilania, awarią elementów sprzętu w wyniku starzenia się i zmniejszonej niezawodności, wpływami zewnętrznymi pól elektromagnetycznych urządzeń technicznych itp.).
Klasyfikację głównych podatności ISDN pokazano na rycinie 4.
Rysunek 4. Klasyfikacja luk w zabezpieczeniach oprogramowania
Poniżej znajduje się ogólny opis głównych grup luk ISDN, w tym:
słabości oprogramowania systemowego (w tym sieciowe protokoły komunikacyjne);
podatności oprogramowania (w tym narzędzia bezpieczeństwa informacji).
5.2.1 Ogólna charakterystyka luk w oprogramowaniu systemowymLuki w oprogramowaniu systemowym należy uwzględnić w odniesieniu do architektury systemów obliczeniowych budynku.
W takim przypadku możliwe luki w zabezpieczeniach:
w oprogramowaniu układowym, w pamięci ROM, w oprogramowaniu układowym;
w narzędziach systemu operacyjnego zaprojektowanych do zarządzania zasobami lokalnymi ISPDn (zapewniającymi wykonywanie funkcji do zarządzania procesami, pamięcią, urządzeniami wejścia / wyjścia, interfejsami użytkownika itp.), sterownikami, narzędziami;
W systemie operacyjnym narzędzia przeznaczone do wykonywania funkcji pomocniczych - narzędzia (archiwizacja, defragmentacja itp.), Programy do przetwarzania systemu (kompilatory, konsolidatory, debuggery itp.), Programy zapewniające użytkownikowi dodatkowe usługi (specjalne opcje interfejsu, kalkulatory, gry itp.), biblioteki procedur do różnych celów (biblioteki funkcji matematycznych, funkcje wejścia / wyjścia itp.);
w narzędziach komunikacyjnych (narzędzia sieciowe) systemu operacyjnego.
Luki w oprogramowaniu układowym i narzędziach systemu operacyjnego przeznaczonych do zarządzania zasobami lokalnymi i funkcjami pomocniczymi mogą być:
Funkcje, procedury, których zmiana w określony sposób pozwala na wykorzystanie ich do nieautoryzowanego dostępu bez wykrycia takich zmian przez system operacyjny;
fragmenty kodu programu („dziury”, „kreskowania”), wprowadzone przez programistę, umożliwiające obejście identyfikacji, uwierzytelnienia, kontroli integralności itp.;
Błędy w programach (w deklaracji zmiennych, funkcji i procedur, w kodach programów), które pod pewnymi warunkami (na przykład podczas wykonywania logicznych przejść) prowadzą do awarii, w tym do nieprawidłowego działania systemów i systemów ochrony informacji.
Luki w protokołach interakcji sieciowych są związane z funkcjami ich implementacji oprogramowania i są spowodowane ograniczeniami wielkości używanego bufora, procedurami uwierzytelniania, brakiem sprawdzania poprawności informacji o usługach itp. Krótki opis tych luk w odniesieniu do protokołów znajduje się w tabeli 2.
Tabela 2
Luki w zabezpieczeniach poszczególnych protokołów stosu protokołów TCP / IP, na podstawie których działają globalne sieci publiczne
| Nazwa protokołu | Poziom stosu protokołu | Nazwa (charakterystyka) podatności | Treści naruszające bezpieczeństwo informacji |
| FTP (File Transfer Protocol) - protokół przesyłania plików przez sieć | 1. Uwierzytelnianie na podstawie zwykłego tekstu (hasła są wysyłane niezaszyfrowane) 2. Dostęp domyślny 3. Dwa otwarte porty | Możliwość przechwytywania danych konta (zarejestrowane nazwy użytkowników, hasła). Uzyskiwanie zdalnego dostępu do hostów | |
| telnet - protokół zdalnego zarządzania terminalami | Stosowany, przedstawiciel, sesja | Autentyczne uwierzytelnianie tekstu (hasła są wysyłane niezaszyfrowane) | Możliwość przechwytywania danych konta użytkownika. Uzyskiwanie zdalnego dostępu do hostów |
| UDP - bezpołączeniowy protokół przesyłania danych | Transport | Brak mechanizmu zapobiegającego przeciążeniu bufora | Możliwość wdrożenia burzy UDP. W wyniku wymiany pakietów następuje znaczny spadek wydajności serwera |
| ARP - protokół do konwersji adresu IP na adres fizyczny | Sieć | Autentyczne uwierzytelnianie tekstu (informacje są wysyłane w formie niezaszyfrowanej) | Możliwość przechwytywania ruchu użytkownika przez osobę atakującą |
| RIP - protokół informacji o routingu | Transport | Brak uwierzytelnienia komunikatów sterujących zmianą trasy | Możliwość przekierowania ruchu przez host atakującego |
| TCP - protokół kontroli transmisji | Transport | Brak mechanizmu sprawdzania poprawności wypełniania nagłówków pakietów serwisowych | Znaczący spadek kursu wymiany, a nawet całkowite zerwanie dowolnych połączeń TCP |
| DNS - protokół dopasowywania nazw mnemonicznych i adresów sieciowych | Stosowany, przedstawiciel, sesja | Brak środków do weryfikacji uwierzytelnienia otrzymanych danych ze źródła | Fałszowanie serwera DNS |
| Protokół komunikatu routingu IGMP | Sieć | Brak uwierzytelnienia wiadomości o zmianie parametrów trasy | System Windows 9x / NT / 200 zawiesza się |
| SMTP - protokół usługi dostarczania wiadomości e-mail | Stosowany, przedstawiciel, sesja | Możliwość fałszywych wiadomości e-mail, a także adres nadawcy wiadomości | |
| SNMP - protokół zarządzania routerem sieciowym | Stosowany, przedstawiciel, sesja | Brak obsługi uwierzytelniania nagłówka wiadomości | Możliwość przepełnienia przepustowości sieci |
W celu usystematyzowania opisu wielu luk wykorzystywana jest jedna baza danych luk CVE (Common Vulnerabilities and Exposures), w której rozwoju uczestniczyli specjaliści z wielu znanych firm i organizacji, takich jak mitra, ISS, Cisco, BindView, Axent, NFR, L-3, CyberSafe, CERT, Carnegie Mellon University, SANS Institute itp. Ta baza danych jest stale aktualizowana i wykorzystywana do tworzenia baz danych wielu narzędzi programowych do analizy bezpieczeństwa, a przede wszystkim skanerów sieciowych.
5.2.2 Ogólna charakterystyka luk w oprogramowaniu aplikacyjnymOprogramowanie aplikacyjne obejmuje aplikacje ogólnego zastosowania i aplikacje specjalne.
Aplikacje publiczne - edytory tekstu i grafiki, programy multimedialne (odtwarzacze audio i wideo, oprogramowanie do odbioru telewizji itp.), Systemy zarządzania bazami danych, publiczne platformy oprogramowania do opracowywania produktów programowych (takich jak Delphi, Visual Basic ), środki ochrony informacji publicznej itp.
Specjalne programy aplikacyjne to programy opracowane w celu rozwiązania określonych problemów aplikacyjnych w danym ISPD (w tym oprogramowanie do ochrony informacji zaprojektowane dla konkretnego ISPD).
Luki w zabezpieczeniach aplikacji mogą obejmować:
funkcje i procedury związane z różnymi programami aplikacyjnymi i niekompatybilne ze sobą (niedziałające w tym samym środowisku operacyjnym) z powodu konfliktów związanych z alokacją zasobów systemowych;
Funkcje, procedury, których zmiana w określony sposób pozwala na ich penetrację środowiska operacyjnego ISPD i wywołanie standardowych funkcji systemu operacyjnego, w celu wykonania nieautoryzowanego dostępu bez wykrycia takich zmian przez system operacyjny;
fragmenty kodu programu („dziury”, „kreskowania”) wprowadzone przez programistę, umożliwiające obejście identyfikacji, uwierzytelnienia, kontroli integralności itp., dostarczone w systemie operacyjnym;
brak niezbędnych funkcji bezpieczeństwa (uwierzytelnianie, sprawdzanie integralności, weryfikacja formatu wiadomości, blokowanie nieautoryzowanych zmodyfikowanych funkcji itp.);
Błędy w programach (w deklaracji zmiennych, funkcji i procedur, w kodach programów), które pod pewnymi warunkami (na przykład podczas wykonywania logicznych przejść) prowadzą do awarii, w tym do awarii narzędzi i systemów ochrony informacji, do możliwości nieautoryzowanego dostępu do Informacja.
Dane podatności na oprogramowanie opracowane i rozpowszechniane komercyjnie są gromadzone, kompilowane i analizowane w bazie danych CVE.<*>.
<*> Prowadzony jest przez zagraniczną firmę CERT na zasadach komercyjnych.
5.3 Ogólna charakterystyka zagrożeń bezpośredniego dostępu do środowiska operacyjnego systemu informacji o danych osobowychZagrożenia związane z dostępem (przenikaniem) do środowiska operacyjnego komputera i nieuprawnionym dostępem do danych osobowych są związane z dostępem:
do informacji i poleceń przechowywanych w podstawowym systemie wejścia / wyjścia ISPD (BIOS), z możliwością przechwycenia kontroli ładowania systemu operacyjnego i uzyskiwania zaufanych praw użytkownika;
do środowiska operacyjnego, to znaczy do środowiska operacyjnego lokalnego systemu operacyjnego oddzielnego sprzętu ISPD z możliwością wykonywania nieautoryzowanego dostępu przez wywoływanie zwykłych programów systemu operacyjnego lub uruchamianie specjalnie zaprojektowanych programów, które realizują takie działania;
w środowisku funkcjonowania programów aplikacyjnych (na przykład do lokalnego systemu zarządzania bazami danych);
bezpośrednio do informacji użytkownika (pliki, tekst, informacje dźwiękowe i graficzne, pola i zapisy w elektronicznych bazach danych) i są spowodowane możliwością naruszenia ich poufności, integralności i dostępności.
Zagrożenia te można zrealizować w przypadku fizycznego dostępu do ISPD lub przynajmniej do sposobu wprowadzania informacji do ISPD. Można je łączyć zgodnie z warunkami wdrożenia w trzy grupy.
Pierwsza grupa obejmuje zagrożenia występujące podczas ładowania systemu operacyjnego. Te zagrożenia bezpieczeństwa informacji mają na celu przechwycenie haseł lub identyfikatorów, modyfikację oprogramowania podstawowego systemu wejścia / wyjścia (BIOS), przechwycenie kontroli rozruchu ze zmianą niezbędnych informacji technologicznych w celu uzyskania nieautoryzowanego dostępu do środowiska operacyjnego ISPD. Najczęściej takie zagrożenia są realizowane przy użyciu wyobcowanych nośników pamięci.
Druga grupa obejmuje zagrożenia występujące po załadowaniu środowiska operacyjnego, niezależnie od tego, jaką aplikację uruchamia użytkownik. Zagrożenia te z reguły mają na celu bezpośredni nieautoryzowany dostęp do informacji. Po uzyskaniu dostępu do środowiska operacyjnego atakujący może korzystać zarówno ze standardowych funkcji systemu operacyjnego, jak i niektórych aplikacji publicznych (na przykład systemu zarządzania bazą danych) lub ze specjalnie utworzonych programów do wykonywania nieautoryzowanego dostępu, na przykład:
programy do przeglądania i modyfikowania rejestru;
Programy do wyszukiwania tekstów w plikach tekstowych według słów kluczowych i kopiowania;
specjalne programy do przeglądania i kopiowania zapisów w bazach danych;
programy do szybkiego przeglądania plików graficznych, edycji lub kopiowania;
programy pomocnicze do rekonfiguracji środowiska oprogramowania (ustawienia ISPD w interesie intruza) itp.
Wreszcie trzecia grupa obejmuje zagrożenia, których wdrożenie zależy od tego, który program aplikacyjny jest uruchamiany przez użytkownika lub przez fakt uruchomienia dowolnego z programów aplikacyjnych. Większość tych zagrożeń to złośliwe oprogramowanie.
5.4 Ogólna charakterystyka zagrożeń bezpieczeństwa danych osobowych realizowanych przy użyciu protokołów współpracy z InternetemJeżeli ISPDn jest wdrażany w oparciu o lokalny lub rozproszony system informacyjny, wówczas zagrożenia bezpieczeństwa informacji mogą być w nim zaimplementowane za pomocą protokołów pracy w sieci. W takim przypadku można podać NSD do PD lub zrealizować zagrożenie odmową usługi. Zagrożenia są szczególnie niebezpieczne, gdy ISPDn jest rozproszonym systemem informacyjnym podłączonym do sieci publicznych i (lub) międzynarodowych sieci wymiany informacji. Schemat klasyfikacji zagrożeń zaimplementowanych w sieci pokazano na rysunku 5. Jest oparty na następujących siedmiu podstawowych znakach klasyfikacji.
1. Charakter zagrożenia. Na tej podstawie zagrożenia mogą być pasywne i aktywne. Zagrożenie pasywne jest zagrożeniem, którego wdrożenie nie ma bezpośredniego wpływu na działanie ISPDn, ale ustanowione zasady ograniczania dostępu do PDN lub zasobów sieciowych mogą zostać naruszone. Przykładem takich zagrożeń jest zagrożenie „Analiza ruchu sieciowego” mające na celu słuchanie kanałów komunikacji i przechwytywanie przesyłanych informacji.
Aktywne zagrożenie to zagrożenie związane z wpływem na zasoby ISPD, którego wdrożenie ma bezpośredni wpływ na działanie systemu (zmiany konfiguracji, zakłócenia działania itp.) Oraz z naruszeniem ustalonych zasad ograniczania dostępu do danych osobowych lub zasobów sieciowych. Przykładem takich zagrożeń jest zagrożenie typu Denial of Service, zaimplementowane jako Storm Request Storm.
2. Cel zagrożenia. Na tej podstawie zagrożenia mogą mieć na celu naruszenie poufności, integralności i dostępności informacji (w tym zakłócenie działania ISPDn lub jego elementów).
3. Warunek rozpoczęcia realizacji procesu realizacji zagrożenia. Na tej podstawie może wystąpić zagrożenie:
na żądanie obiektu, którego dotyczy zagrożenie. W takim przypadku naruszający oczekuje przesłania żądania określonego typu, co będzie warunkiem rozpoczęcia nieautoryzowanego dostępu;
Rysunek 5. Schemat klasyfikacji zagrożeń z wykorzystaniem protokołów pracy w Internecie
Po wystąpieniu oczekiwanego zdarzenia w obiekcie, przed którym realizowane jest zagrożenie. W takim przypadku intruz stale monitoruje stan systemu operacyjnego ISPD, a gdy pewne zdarzenie wystąpi w tym systemie, rozpoczyna nieautoryzowany dostęp;
bezwarunkowy wpływ. W takim przypadku początek nieautoryzowanego dostępu jest bezwarunkowy w stosunku do celu dostępu, to znaczy zagrożenie jest realizowane natychmiast i niezależnie od stanu systemu.
4. Obecność informacji zwrotnych od ISPDn. Zgodnie z tym kryterium proces realizacji zagrożenia może odbywać się za pomocą informacji zwrotnej i bez informacji zwrotnej. Zagrożenie przeprowadzone w obecności informacji zwrotnej od ISPDn charakteryzuje się tym, że w przypadku niektórych żądań przesłanych do ISPDn sprawca naruszenia musi uzyskać odpowiedź. Dlatego między intruzem a ISPD występuje sprzężenie zwrotne, które pozwala intruzowi odpowiednio zareagować na wszystkie zmiany zachodzące w ISPD. W przeciwieństwie do zagrożeń, które występują, gdy istnieje sprzężenie zwrotne z ISPD, przy realizacji zagrożeń bez sprzężenia zwrotnego nie jest konieczne reagowanie na wszelkie zmiany, które występują w ISPD.
5. Lokalizacja sprawcy w stosunku do ISPDn. Zgodnie z tą funkcją zagrożenie jest realizowane zarówno między segmentami, jak i między segmentami. Segment sieci - fizyczne powiązanie hostów (sprzęt ISPD lub elementy komunikacyjne z adresem sieciowym). Na przykład segment ISDN tworzy zestaw hostów połączonych z serwerem za pomocą schematu „szyny współdzielonej”. W przypadku zagrożenia wewnątrz segmentu intruz ma fizyczny dostęp do elementów sprzętowych ISDN. Jeśli istnieje zagrożenie między segmentami, intruz znajduje się poza ISPD, realizując zagrożenie z innej sieci lub z innego segmentu ISPD.
6. Poziom modelu referencyjnego dla interakcji systemów otwartych<*> (ISO / OSI), w których zagrożenie jest zaimplementowane. Zgodnie z tym kryterium zagrożenie można zrealizować na poziomie fizycznym, kanałowym, sieciowym, transportowym, sesyjnym, reprezentatywnym i aplikacyjnym modelu ISO / OSI.
<*> Międzynarodowa Organizacja Normalizacyjna (ISO) przyjęła normę ISO 7498, która opisuje otwarte połączenie systemowe (OSI).
7. Stosunek liczby osób naruszających i elementów ISPD, w odniesieniu do których zagrożenie jest realizowane. Zgodnie z tym kryterium zagrożenie można sklasyfikować jako klasę zagrożeń zaimplementowanych przez jednego intruza w odniesieniu do jednego sprzętu ISPD (zagrożenie jeden do jednego), jednocześnie w odniesieniu do kilku urządzeń ISPD (zagrożenie jeden do wielu) lub kilku intruzów z różnych komputerów w odniesieniu do jednego lub kilka urządzeń ISPD (zagrożenia rozproszone lub połączone).
Na podstawie klasyfikacji można wyróżnić siedem najczęściej realizowanych zagrożeń.
1. Analiza ruchu sieciowego (rysunek 6).
Rysunek 6. Schemat implementacji zagrożenia „Analiza ruchu sieciowego”
Zagrożenie to jest realizowane za pomocą specjalnego programu analizującego pakiety (sniffer), który przechwytuje wszystkie pakiety przesyłane przez segment sieci i identyfikuje między nimi te, w których przesyłany jest identyfikator użytkownika i hasło. Podczas implementacji zagrożenia atakujący analizuje logikę sieci - to znaczy dąży do uzyskania jednoznacznej zgodności między zdarzeniami występującymi w systemie a poleceniami wysyłanymi przez hosty w momencie ich wystąpienia. W przyszłości pozwala to osobie atakującej uzyskać na przykład uprzywilejowane prawa do działania w systemie lub rozszerzyć w nim swoje uprawnienia, na przykład, aby przechwycić strumień przesyłanych danych wymienianych między komponentami sieciowego systemu operacyjnego w celu wyodrębnienia poufnych lub identyfikacyjnych informacji (na przykład hasła statyczne użytkownicy mają dostęp do zdalnych hostów za pośrednictwem protokołów FTP i TELNET, które nie zapewniają szyfrowania), jego zastępowania, modyfikacji itp.
2. Skanowanie sieci.
Istotą procesu realizacji zagrożenia jest przesyłanie żądań do usług sieciowych hosta ISPD i analizowanie odpowiedzi od nich. Celem jest identyfikacja używanych protokołów, dostępnych portów usług sieciowych, praw tworzenia identyfikatorów połączeń, definicji aktywnych usług sieciowych, wyboru identyfikatorów użytkowników i haseł.
3. Groźba ujawnienia hasła.
Celem tego zagrożenia jest uzyskanie nieautoryzowanego dostępu przez przełamanie ochrony hasłem. Osoba atakująca może zaimplementować zagrożenie za pomocą różnych metod, takich jak prosta brutalna siła, brutalna siła za pomocą specjalnych słowników, instalowanie złośliwego oprogramowania w celu przechwycenia hasła, fałszowanie zaufanego obiektu sieciowego (fałszowanie adresów IP) i przechwytywanie pakietów (wąchanie). Zasadniczo do implementacji zagrożenia wykorzystywane są specjalne programy, które próbują uzyskać dostęp do hosta poprzez sekwencyjne wybieranie haseł. Jeśli się powiedzie, atakujący może utworzyć dla siebie „przepustkę” do przyszłego dostępu, która będzie ważna, nawet jeśli hasło dostępu zostanie zmienione na hoście.
4. Zastąpienie zaufanego obiektu sieciowego i transmisja wiadomości w jego imieniu za pośrednictwem kanałów komunikacyjnych wraz z przypisaniem jego praw dostępu (rysunek 7).
Rysunek 7. Schemat wdrażania zagrożenia „Podstawienie zaufanego obiektu sieciowego”
Takie zagrożenie jest skutecznie wdrażane w systemach, w których niestabilne algorytmy są używane do identyfikacji i uwierzytelniania hostów, użytkowników itp. Zaufany obiekt odnosi się do obiektu sieciowego (komputer, zapora ogniowa, router itp.) Legalnie podłączonego do serwera.
Można wyróżnić dwie odmiany procesu wdrażania tego zagrożenia: z połączeniem wirtualnym i bez niego.
Proces implementacji z ustanowieniem połączenia wirtualnego polega na przypisaniu uprawnień zaufanej jednostki interakcji, która umożliwia osobie atakującej przeprowadzenie sesji z obiektem sieciowym w imieniu zaufanej jednostki. Realizacja tego rodzaju zagrożenia wymaga przezwyciężenia systemu identyfikacji i uwierzytelniania wiadomości (na przykład ataku usługi rsh hosta UNIX).
Proces wdrażania zagrożenia bez nawiązywania połączenia wirtualnego może odbywać się w sieciach, które identyfikują przesyłane wiadomości tylko pod adresem sieciowym nadawcy. Istotą jest przesyłanie komunikatów serwisowych w imieniu urządzeń sterujących siecią (na przykład w imieniu routerów) na temat zmiany danych routingu i adresu. Należy pamiętać, że jedynymi identyfikatorami subskrybentów i połączeń (za pośrednictwem TCP) są dwa 32-bitowe parametry numeru początkowej sekwencji - ISS (numer kolejny) i numeru potwierdzenia - ACK (numer potwierdzenia). Dlatego, aby wygenerować fałszywy pakiet TCP, osoba atakująca musi znać aktualne identyfikatory tego połączenia - ISSa i ISSb, gdzie:
ISSa to wartość liczbowa charakteryzująca numer sekwencyjny wysłanego pakietu TCP, ustanowione połączenie TCP inicjowane przez host A;
ISSb to wartość liczbowa charakteryzująca numer kolejny wysłanego pakietu TCP, ustanowione połączenie TCP inicjowane przez host B.
Wartość ACK (numer potwierdzenia nawiązania połączenia TCP) jest zdefiniowana jako wartość liczby otrzymanej od respondenta ISS (numer kolejny) plus jednostka ACKb \u003d ISSa + 1.
W wyniku wdrożenia zagrożenia intruz uzyskuje prawa dostępu ustanowione przez jego użytkownika dla zaufanego subskrybenta narzędzia technicznego ISPDn - celów zagrożenia.
5. Nałożenie fałszywej trasy sieciowej.
Zagrożenie to jest realizowane na dwa sposoby: poprzez nałożenie w obrębie segmentu lub między segmentami. Możliwość narzucenia fałszywej trasy wynika z niedociągnięć nieodłącznie związanych z algorytmami routingu (w szczególności z powodu problemu z identyfikacją urządzeń kontrolujących sieć), w wyniku czego można na przykład dostać się do sieci hosta lub intruza, gdzie można wejść do środowiska operacyjnego narzędzia technicznego w ramach ISPD . Zagrożenie polega na nieautoryzowanym użyciu protokołów routingu (RIP, OSPF, LSP) i zarządzania siecią (ICMP, SNMP) w celu wprowadzenia zmian w tablicach adresów tras. W takim przypadku intruz musi wysłać komunikat kontrolny w imieniu sieciowego urządzenia kontrolnego (na przykład routera) (ryc. 8 i 9).
Ryc. 8. Schemat realizacji ataku „narzucenie fałszywej trasy” (wewnątrz segmentu) z wykorzystaniem protokołu ICMP w celu zakłócenia komunikacji
Rysunek 9. Schemat realizacji zagrożenia „narzuceniem fałszywej trasy” (między segmentami) w celu przechwycenia ruchu
6. Wprowadzenie fałszywego obiektu sieciowego.
Zagrożenie to polega na wykorzystaniu niedociągnięć algorytmów zdalnego wyszukiwania. Jeśli obiekty sieciowe początkowo nie mają informacji o sobie, stosuje się różne protokoły zdalnego wyszukiwania (na przykład SAP w sieciach Novell NetWare; ARP, DNS, WINS w sieciach ze stosem protokołów TCP / IP), które polegają na przesyłaniu specjalnych wnioski i otrzymywanie odpowiedzi na nie wraz z wymaganymi informacjami. Jednocześnie intruz może przechwycić zapytanie i wydać na niego fałszywą odpowiedź, której użycie doprowadzi do wymaganej zmiany danych adresu trasy. Następnie cały przepływ informacji związanych z obiektem ofiary przejdzie przez fałszywy obiekt sieciowy (ryc. 10–13).
Rysunek 10. Schemat realizacji „Implementacji fałszywego serwera ARP”
Rysunek 11. Schemat realizacji zagrożenia „fałszywym wstrzyknięciem serwera DNS” poprzez przechwycenie zapytania DNS
Rysunek 12. Schemat implementacji zagrożenia „implementacją fałszywego serwera DNS” przez burzowe odpowiedzi DNS na komputer w sieci
Rysunek 13. Schemat realizacji zagrożenia „fałszywym wstrzyknięciem serwera DNS” przez burzę odpowiedzi DNS na serwer DNS
7. Odmowa usługi.
Zagrożenia te oparte są na wadach oprogramowania sieciowego, jego lukach, które pozwalają atakującemu stworzyć warunki, gdy system operacyjny nie jest w stanie przetworzyć przychodzących pakietów.
Można wyróżnić kilka odmian takich zagrożeń:
a) ukryta odmowa usługi spowodowana zaangażowaniem niektórych zasobów ISPD do przetwarzania pakietów przesyłanych przez osobę atakującą ze zmniejszeniem przepustowości kanałów komunikacyjnych, wydajnością urządzeń sieciowych i naruszeniem wymagań dotyczących czasu przetwarzania żądań. Przykładami tego rodzaju zagrożeń mogą być: ukierunkowana burza żądań echa z wykorzystaniem protokołu ICMP (zalewanie Ping), burza żądań nawiązywania połączeń TCP (zalewanie SYN), burza żądań do serwera FTP;
b) wyraźne odrzucenie usługi spowodowane wyczerpaniem zasobów ISPD podczas przetwarzania pakietów przesyłanych przez osobę atakującą (zajmujących całą szerokość pasma kanałów komunikacyjnych, przepełnione kolejki żądań usług), w których żądania prawne nie mogą być przesyłane przez sieć z powodu niedostępności medium transmisyjnego lub odbioru odmowa usługi z powodu przepełnienia kolejek żądań, miejsca na dysku itp. Przykłady zagrożeń tego typu to burza wysyłanych żądań echa ICMP (Smurf), burza kierunkowa (zalewanie SYN), burza wiadomości do serwera pocztowego (spam);
c) wyraźna odmowa usługi spowodowana naruszeniem logicznej łączności między środkami technicznymi ISPD, gdy intruz wysyła komunikaty kontrolne w imieniu urządzeń sieciowych, które prowadzą do zmiany danych routingu i adresu (na przykład hosta przekierowania ICMP, zalania DNS) lub informacji identyfikacyjnych i uwierzytelniających;
D) wyraźna odmowa usługi spowodowana przez atakującego przesyłającego pakiety o niestandardowych atrybutach (zagrożenia takie jak „Land”, „TearDrop”, „Bonk”, „Nuke”, „UDP-bomb”) lub mających długość przekraczającą maksymalny rozmiar (zagrożenie typu „Ping Death”), co może prowadzić do awarii urządzeń sieciowych biorących udział w przetwarzaniu żądań, pod warunkiem, że w programach wdrażających sieciowe protokoły komunikacyjne występują błędy.
Skutkiem tego zagrożenia może być zakłócenie odpowiedniej usługi zapewniającej zdalny dostęp do PDN w ISPDn, wysyłając z jednego adresu tyle samo żądań połączenia z narzędziem technicznym jako część ISPDn, które mogą „pomieścić” ruch (ukierunkowana „burza żądań”), która pociąga za sobą przepełnienie kolejki żądań i awarię jednej z usług sieciowych lub całkowite zatrzymanie komputera z powodu niezdolności systemu do wykonania czynności innej niż przetwarzanie żądań.
8. Zdalne uruchamianie aplikacji.
Zagrożenie polega na chęci uruchomienia różnych wcześniej wprowadzonych szkodliwych programów na hoście ISPD: programów zakładek, wirusów, „szpiegów sieciowych”, których głównym celem jest naruszenie poufności, integralności, dostępności informacji i pełnej kontroli nad hostem. Ponadto możliwe jest nieuprawnione uruchomienie aplikacji użytkownika w celu nieautoryzowanego odbioru danych niezbędnych intruzowi, uruchomienia procesów kontrolowanych przez program aplikacji itp.
Wyróżnia się trzy podklasy tych zagrożeń:
1) dystrybucja plików zawierających nieautoryzowany kod wykonywalny;
2) zdalne uruchomienie aplikacji przez przepełnienie bufora serwera aplikacji;
3) zdalne uruchomienie aplikacji przy użyciu funkcji zdalnego sterowania systemem zapewnianych przez ukryte zakładki oprogramowania i sprzętu lub przy użyciu zwykłych środków.
Typowe zagrożenia pierwszej z tych podklas opierają się na aktywacji plików rozproszonych w przypadku przypadkowego dostępu do nich. Przykładami takich plików są: pliki zawierające kod wykonywalny w postaci makr (Microsoft Word, dokumenty Excel itp.); dokumenty HTML zawierające kod wykonywalny w postaci elementów ActiveX, apletów Java, interpretowanych skryptów (na przykład teksty JavaScript); pliki zawierające kody programów wykonywalnych. Do rozpowszechniania plików można używać poczty elektronicznej, przesyłania plików i usług sieciowych systemów plików.
Gdy wykorzystywane są zagrożenia drugiej podklasy, wykorzystywane są wady programów wdrażających usługi sieciowe (w szczególności brak kontroli przepełnienia bufora). Konfigurując rejestry systemowe, czasami możliwe jest przełączenie procesora po przerwie spowodowanej przepełnieniem bufora w celu wykonania kodu zawartego poza buforem. Przykładem wdrożenia takiego zagrożenia jest wprowadzenie znanego „wirusa Morrisa”.
W przypadku zagrożeń trzeciej podklasy intruz wykorzystuje możliwości zdalnego sterowania systemu zapewniane przez ukryte komponenty (na przykład programy trojańskie, takie jak Back Orifice, Net Bus) lub zwykłe narzędzia do zarządzania i administracji siecią komputerową (Landesk Management Suite, Managewise, Back Orifice itp. ) W wyniku ich zastosowania możliwe jest uzyskanie zdalnej kontroli nad stacją w sieci.
Schematycznie główne etapy pracy tych programów są następujące:
instalacja w pamięci;
oczekiwanie na żądanie od zdalnego hosta, na którym działa program kliencki, i wymiana z nim komunikatów o gotowości;
Przeniesienie przechwyconych informacji do klienta lub przekazanie mu kontroli nad zaatakowanym komputerem.
Możliwe konsekwencje wdrożenia zagrożeń różnych klas podano w tabeli 3.
Tabela 3
Możliwe konsekwencje wdrażania zagrożeń różnych klas
| N p / p | Rodzaj ataku | Możliwe konsekwencje | |
| 1 | Analiza ruchu sieciowego | Badanie cech ruchu sieciowego, przechwytywanie przesyłanych danych, w tym identyfikatorów użytkowników i haseł | |
| 2 | Skanowanie sieci | Definicja protokołów, dostępnych portów usług sieciowych, praw tworzenia identyfikatorów połączeń, aktywnych usług sieciowych, identyfikatorów użytkowników i haseł | |
| 3 | Atak hasłem | Wykonywanie wszelkich destrukcyjnych działań związanych z uzyskaniem nieautoryzowanego dostępu | |
| 4 | Trusted Network Substitution | Zmiana trasy wiadomości, nieautoryzowane zmiany danych adresu trasy. Nieautoryzowany dostęp do zasobów sieciowych, nałożenie fałszywych informacji | |
| 5 | Nakładanie fałszywej trasy | Nieautoryzowana zmiana danych adresu trasy, analiza i modyfikacja przesyłanych danych, narzucanie fałszywych komunikatów | |
| 6 | Implementowanie fałszywego obiektu sieciowego | Przechwytywanie i przeglądanie ruchu. Nieautoryzowany dostęp do zasobów sieciowych, nałożenie fałszywych informacji | |
| 7 | Odmowa usługi | Częściowe wyczerpanie zasobów | Zmniejszenie przepustowości kanałów komunikacyjnych, wydajności urządzeń sieciowych. Zmniejszona wydajność aplikacji serwera |
| Pełne wyczerpanie zasobów | Brak możliwości wysłania wiadomości z powodu braku dostępu do medium transmisyjnego, brak nawiązania połączenia. Odmowa usługi (e-mail, plik itp.) | ||
| Naruszenie logicznej łączności między atrybutami, danymi, obiektami | Niemożność przesłania wiadomości z powodu braku poprawnych danych adresu trasy. Brak możliwości korzystania z usług z powodu nieautoryzowanej modyfikacji identyfikatorów, haseł itp. | ||
| Używanie błędów w programach | Awaria urządzenia sieciowego | ||
| 8 | Zdalne uruchomienie aplikacji | Wysyłając pliki zawierające destrukcyjny kod wykonywalny, infekcja wirusowa | Naruszenie poufności, integralności, dostępności informacji |
| Przepełnienie buforu aplikacji serwera | |||
| Korzystając z funkcji zdalnego sterowania systemem zapewnianych przez ukryte zakładki oprogramowania i sprzętu lub używając zwykłych środków | Ukryte zarządzanie systemem | ||
Proces wdrażania zagrożenia w ogólnym przypadku składa się z czterech etapów:
kolekcja informacji;
wtargnięcie (penetracja środowiska operacyjnego);
nieautoryzowany dostęp;
likwidacja śladów nieuprawnionego dostępu.
Na etapie gromadzenia informacji intruz może być zainteresowany różnymi informacjami o ISPDn, w tym:
a) topologia sieci, w której działa system. W takim przypadku można zbadać obszar wokół sieci (na przykład intruz może być zainteresowany adresami zaufanych, ale mniej bezpiecznych hostów). Za pomocą najprostszych poleceń można określić dostępność hosta (na przykład polecenie ping do wysyłania na nich żądań ICMP ECHO_REQUEST oczekujących na odpowiedzi ICMP ECHO_REPLY). Istnieją narzędzia, które wykonują równoległe określanie dostępności hosta (takie jak fping), które mogą skanować duży obszar przestrzeni adresowej pod kątem dostępności hosta w krótkim czasie. Topologia sieci jest często określana na podstawie „licznika węzłów” (odległość między hostami). W takim przypadku można zastosować metody takie jak „modulacje ttL” i rekordy trasy.
Metoda „modulacji ttL” jest implementowana przez program traceroute (dla Windows NT - tracert.exe) i polega na modulowaniu pola ttL pakietów IP. Pakiety ICMP utworzone za pomocą polecenia ping można wykorzystać do zarejestrowania trasy.
Gromadzenie informacji może również opierać się na wnioskach:
do serwera DNS o liście zarejestrowanych (i prawdopodobnie aktywnych) hostów;
do routera opartego na RIP o znanych trasach (informacje o topologii sieci);
Niepoprawnie skonfigurowane urządzenia obsługujące protokół SNMP (informacje o topologii sieci).
Jeśli ISPD znajduje się za zaporą ogniową (ME), możliwe jest zbieranie informacji o konfiguracji ME i topologii ISPD za ME, w tym poprzez wysyłanie pakietów do wszystkich portów wszystkich zamierzonych hostów w wewnętrznej (chronionej) sieci;
b) rodzaj systemu operacyjnego (OS) w ISPDn. Najbardziej znana metoda określania typu systemu operacyjnego hosta polega na tym, że różne typy systemu operacyjnego różnie wdrażają wymagania standardów RFC dla stosu TCP / IP. Dzięki temu atakujący może zdalnie zidentyfikować typ systemu operacyjnego zainstalowanego na hoście ISPD, wysyłając specjalnie wygenerowane żądania i analizując otrzymane odpowiedzi.
Istnieją specjalne narzędzia, które implementują te metody, w szczególności Nmap i QueSO. Można również zauważyć, że taki sposób określania rodzaju systemu operacyjnego jest najprostszym żądaniem ustanowienia połączenia przy użyciu protokołu zdalnego dostępu Telnet (połączenie telnet), w wyniku którego rodzaj systemu operacyjnego hosta można określić na podstawie „wyglądu” odpowiedzi. Obecność niektórych usług może również służyć jako dodatkowy znak do określenia rodzaju systemu operacyjnego hosta;
C) o usługach działających na hostach. Definicja usług działających na hoście opiera się na metodzie wykrywania „otwartych portów”, której celem jest zebranie informacji o dostępności hosta. Na przykład, aby określić dostępność portu UDP, musisz otrzymać odpowiedź w odpowiedzi na wysłanie pakietu UDP do odpowiedniego portu:
jeśli zostanie zwrócony komunikat ICMP PORT UNREACHEBLE, odpowiednia usługa nie jest dostępna;
jeśli ten komunikat nie zostanie odebrany, oznacza to, że port jest „otwarty”.
Możliwe są różne warianty stosowania tej metody w zależności od protokołu stosowanego w stosie protokołów TCP / IP.
Aby zautomatyzować zbieranie informacji o ISPDn opracowano wiele narzędzi programowych. Jako przykład można zauważyć:
1) Strobe, Portscanner - zoptymalizowane narzędzia do określania dostępnych usług na podstawie badania portów TCP;
2) Nmap to narzędzie skanujące dostępne usługi przeznaczone dla systemów Linux, FreeBSD, Open BSD, Solaris, Windows NT. Jest to obecnie najpopularniejszy sposób skanowania usług sieciowych;
3) Queso to bardzo precyzyjny sposób określania systemu operacyjnego hosta w sieci w oparciu o wysyłanie łańcucha poprawnych i niepoprawnych pakietów TCP, analizowanie odpowiedzi i porównywanie jej z wieloma znanymi odpowiedziami różnych systemów operacyjnych. To narzędzie jest dziś również popularnym narzędziem skanującym;
4) Cheops - skaner topologii sieci pozwala uzyskać topologię sieci, w tym obraz domeny, obszarów adresów IP itp. W takim przypadku określa się system operacyjny hosta, a także możliwe urządzenia sieciowe (drukarki, routery itp.);
5) Firewalk - skaner, który wykorzystuje metody programu traceroute w celu analizy odpowiedzi na pakiety IP w celu ustalenia konfiguracji zapory ogniowej i zbudowania topologii sieci.
Na etapie inwazji bada się obecność typowych luk w usługach systemowych lub błędy w administrowaniu systemem. Skutkiem wykorzystania luk w zabezpieczeniach jest zazwyczaj proces, w którym intruz uzyskuje uprzywilejowany tryb wykonywania (dostęp do uprzywilejowanego trybu wykonywania procesora poleceń), loguje nielegalnego użytkownika do systemu, uzyskuje plik haseł lub zakłóca atakowanego hosta.
Ten etap rozwoju zagrożenia jest z reguły wielofazowy. Fazy \u200b\u200bprocesu wdrażania zagrożenia mogą obejmować na przykład:
nawiązanie komunikacji z hostem, w odniesieniu do którego zagrożenie jest realizowane;
Identyfikacja słabych punktów;
wprowadzenie złośliwego oprogramowania w celu wzmocnienia pozycji itp.
Zagrożenia zaimplementowane na etapie wtargnięcia są podzielone przez poziomy stosu protokołu TCP / IP, ponieważ powstają na poziomie sieci, transportu lub aplikacji w zależności od zastosowanego mechanizmu inwazji.
Typowe zagrożenia wdrażane na poziomie sieci i transportu obejmują:
a) zagrożenie mające na celu zastąpienie zaufanego obiektu;
b) zagrożenie mające na celu utworzenie fałszywej trasy w sieci;
C) zagrożenia mające na celu utworzenie fałszywego obiektu przy użyciu wad algorytmów zdalnego wyszukiwania;
D) zagrożenia związane z odmową usługi w oparciu o defragmentację IP, tworzenie nieprawidłowych żądań ICMP (na przykład ataki Ping of Death i Smurf) oraz tworzenie nieprawidłowych żądań TCP (atak lądowy), na temat tworzenia „burzy” pakietów z żądaniami połączenia (ataki SYN Flood) itp.
Typowe zagrożenia wdrażane na poziomie aplikacji obejmują zagrożenia mające na celu nieautoryzowane uruchomienie aplikacji, zagrożenia, których wdrożenie wiąże się z wprowadzeniem zakładek oprogramowania (takich jak koń trojański), identyfikacji haseł dostępu do sieci lub określonego hosta itp.
Jeśli zagrożenie nie spowoduje naruszenia najwyższych uprawnień dostępu w systemie, możliwe są próby rozszerzenia tych praw na najwyższy możliwy poziom. W tym celu można wykorzystać luki nie tylko usług sieciowych, ale także słabości oprogramowania systemowego hostów ISPDn.
Na etapie realizacji nieautoryzowanego dostępu realizowana jest rzeczywista realizacja celu realizacji zagrożenia:
naruszenie poufności (kopiowanie, nielegalna dystrybucja);
Naruszenie integralności (zniszczenie, zmiana);
naruszenie dostępu (blokowanie).
Na tym samym etapie, po tych działaniach, z reguły formuje się tak zwane „tylne drzwi” w postaci jednej z usług (demonów) obsługujących określony port i wykonujących polecenia intruza. Tylne drzwi są pozostawione w systemie w celu zapewnienia:
możliwość uzyskania dostępu do hosta, nawet jeśli administrator wyeliminuje podatność wykorzystaną do pomyślnego wdrożenia zagrożenia;
możliwość uzyskania dostępu do hosta tak dyskretnie, jak to możliwe;
Możliwości szybkiego uzyskania dostępu do hosta (bez powtarzania procesu wdrażania zagrożenia).
„Czarne wejście” pozwala atakującemu na wstrzyknięcie złośliwego programu do sieci lub do określonego hosta, na przykład „sniffer haseł” - program, który wyodrębnia identyfikatory użytkowników i hasła z ruchu sieciowego podczas pracy z protokołami wysokiego poziomu (ftp, telnet, rlogin itp.) .re.). Obiektami wprowadzania złośliwego oprogramowania mogą być programy uwierzytelniające i identyfikujące, usługi sieciowe, jądro systemu operacyjnego, system plików, biblioteki itp.
Wreszcie na etapie eliminowania śladów zagrożenia podejmuje się próbę zniszczenia śladów działań sprawcy naruszenia. W takim przypadku odpowiednie rekordy są usuwane ze wszystkich możliwych dzienników audytu, w tym zapisów o fakcie gromadzenia informacji.
5.5 Ogólna charakterystyka zagrożeń programowo-matematycznychNarażenie oprogramowania i matematyki to narażenie na szkodliwe oprogramowanie. Program o potencjalnie niebezpiecznych konsekwencjach lub złośliwy program nazywany jest pewnym programem niezależnym (zestaw instrukcji), który jest w stanie wykonać dowolny niepusty podzbiór następujących funkcji:
Ukryj oznaki ich obecności w środowisku oprogramowania komputerowego;
Posiadają zdolność do samodzielnego duplikowania, kojarzenia się z innymi programami i (lub) przesyłania swoich fragmentów do innych obszarów pamięci RAM lub pamięci zewnętrznej;
zniszczyć (losowo zniekształcić) kod programu w pamięci RAM;
wykonywać funkcje niszczące (kopiowanie, niszczenie, blokowanie itp.) bez inicjacji przez użytkownika (program użytkownika w normalnym trybie wykonywania);
Zapisz informacje z pamięci RAM w niektórych obszarach zewnętrznej pamięci bezpośredniego dostępu (lokalnej lub zdalnej);
Dowolnie zniekształcaj, blokuj i (lub) zastępuj tablicę informacyjną wygenerowaną w pamięci zewnętrznej lub w kanale komunikacyjnym, który został utworzony w wyniku działania aplikacji lub tablic danych już znajdujących się w pamięci zewnętrznej.
Szkodliwe programy mogą być wprowadzane (wprowadzane) zarówno celowo, jak i przypadkowo do oprogramowania używanego w ISPD podczas jego opracowywania, konserwacji, modyfikacji i konfiguracji. Ponadto złośliwe programy mogą być wprowadzane podczas działania ISPD z zewnętrznego nośnika pamięci lub przez interakcję sieciową w wyniku nieautoryzowanego dostępu lub przypadkowo przez użytkowników ISPD.
Nowoczesne szkodliwe programy opierają się na wykorzystaniu luk w zabezpieczeniach różnego rodzaju oprogramowania (systemowego, ogólnego, aplikacji) i różnych technologii sieciowych, mają szeroki zakres destrukcyjnych możliwości (od nieuprawnionego badania parametrów ISPD bez ingerowania w funkcjonowanie ISPD, po niszczenie PDN i oprogramowania ISPD) i mogą działać we wszystkich typach oprogramowania (system, aplikacja, sterowniki sprzętowe itp.).
Obecność złośliwych programów w ISPD może prowadzić do pojawienia się ukrytych, w tym nietradycyjnych, kanałów dostępu do informacji, które umożliwiają otwieranie, omijanie lub blokowanie mechanizmów bezpieczeństwa przewidzianych w systemie, w tym ochronę hasłem i kryptografią.
Główne typy złośliwego oprogramowania to:
zakładki do oprogramowania;
klasyczne wirusy oprogramowania (komputerowe);
złośliwe oprogramowanie rozprzestrzeniające się w sieci (robaki sieciowe);
Inne złośliwe programy zaprojektowane do przeprowadzania nieautoryzowanego dostępu.
Zakładki oprogramowania obejmują programy, fragmenty kodu i instrukcje, które tworzą niezadeklarowane funkcje oprogramowania. Szkodliwe programy mogą przełączać się z jednego rodzaju na inny, na przykład zakładka programu może generować wirusa programowego, który z kolei w warunkach sieciowych może tworzyć robaka sieciowego lub inny złośliwy program zaprojektowany do przeprowadzania nieautoryzowanego dostępu.
Klasyfikację wirusów programowych i robaków sieciowych pokazano na rysunku 14. Krótki opis głównego złośliwego oprogramowania jest następujący. Wirusy startowe zapisują się albo w sektorze rozruchowym dysku (sektorze rozruchowym), albo w sektorze zawierającym systemowy moduł ładujący (główny rekord rozruchowy), lub zmieniają wskaźnik na aktywny sektor rozruchowy. Są one osadzone w pamięci komputera podczas uruchamiania z zainfekowanego dysku. W takim przypadku moduł ładujący odczytuje zawartość pierwszego sektora dysku, z którego jest pobierane, umieszcza odczytane informacje w pamięci i przekazuje kontrolę nad nim (tj. Wirusowi). Następnie wirus rozpoczyna wykonywanie, co z reguły zmniejsza ilość wolnej pamięci, kopiuje swój kod do wolnego miejsca i odczytuje jego kontynuację (jeśli istnieje) z dysku, przechwytuje niezbędne wektory przerwań (zwykle INT 13H), odczytuje oryginał do pamięci sektor rozruchowy i przekazuje do niego kontrolę.
W przyszłości wirus rozruchowy zachowuje się tak samo jak wirus plikowy: przechwytuje wywołania systemu operacyjnego na dyski i infekuje je, w zależności od pewnych warunków, wykonuje destrukcyjne działania, powoduje efekty dźwiękowe lub wideo.
Główne niszczycielskie działania wykonywane przez te wirusy to:
niszczenie informacji w sektorach dyskietek i dysków twardych;
Wyjątek od możliwości załadowania systemu operacyjnego (komputer zawiesza się);
uszkodzenie kodu bootloadera;
formatowanie dyskietek lub dysków logicznych dysku twardego;
blokowanie dostępu do portów COM i LPT;
zamiana znaków podczas drukowania tekstów;
szarpanie ekranu;
zmień etykietę dysku lub dyskietki;
tworzenie klastrów pseudo nieudanych;
tworzenie efektów dźwiękowych i (lub) wizualnych (na przykład spadające litery na ekranie);
uszkodzenie plików danych;
wyświetlać różne komunikaty;
Wyłączanie urządzeń peryferyjnych (takich jak klawiatury);
zmień paletę ekranu;
Wypełnianie ekranu obcymi postaciami lub obrazami;
wejście poza ekran i czuwanie z klawiatury;
szyfrowanie sektora dysku twardego;
selektywne niszczenie znaków wyświetlanych na ekranie podczas pisania z klawiatury;
spadek pamięci RAM;
zawartość ekranu drukowania połączeń;
blokuj zapis na dysk;
zniszczenie tablicy partycji (Disk Partition Table), po której komputer można uruchomić tylko z dyskietki;
blokowanie uruchamiania plików wykonywalnych;
Blokowanie dostępu do dysku twardego.
Rysunek 14. Klasyfikacja wirusów programowych i robaków sieciowych
Większość wirusów rozruchowych przepisuje się na dyskietkach.
Metoda infekcji „nadpisująca” jest najprostsza: wirus zapisuje kod zamiast kodu zainfekowanego pliku, niszcząc jego zawartość. Oczywiście plik przestaje działać i nie jest przywracany. Wirusy takie wykrywają się bardzo szybko, ponieważ system operacyjny i aplikacje przestają działać dość szybko.
Kategoria Companion obejmuje wirusy, które nie modyfikują zainfekowanych plików. Algorytm tych wirusów polega na tym, że dla zainfekowanego pliku tworzony jest podwójny plik, a po uruchomieniu zainfekowanego pliku, ten podwójny, czyli wirus, przejmuje kontrolę. Najpopularniejsze wirusy towarzyszące, które używają funkcji DOS, jako pierwsze wykonują pliki z rozszerzeniem .COM, jeśli w tym samym katalogu są dwa pliki o tej samej nazwie, ale z różnymi rozszerzeniami nazw - .COM i.EXE. Takie wirusy tworzą pliki satelitarne dla plików EXE o tej samej nazwie, ale z rozszerzeniem .COM, na przykład plik XCOPY.COM jest tworzony dla pliku XCOPY.EXE. Wirus jest zapisywany w pliku COM i nie modyfikuje w żaden sposób pliku EXE. Po uruchomieniu takiego pliku DOS jako pierwszy wykryje i uruchomi plik COM, czyli wirus, który następnie uruchomi plik .exe. Druga grupa składa się z wirusów, które po zainfekowaniu zmieniają nazwę pliku na inną nazwę, przechowują go (w celu późniejszego uruchomienia pliku hosta) i zapisują swój kod na dysku pod nazwą zainfekowanego pliku. Na przykład nazwa pliku XCOPY.EXE została zmieniona na XCOPY.EXD, a wirus został zapisany pod nazwą XCOPY.EXE. Podczas uruchamiania formant otrzymuje kod wirusa, który następnie uruchamia oryginalny XCOPY, przechowywany pod nazwą XCOPY.EXD. Ciekawym faktem jest to, że ta metoda wydaje się działać na wszystkich systemach operacyjnych. Trzecia grupa obejmuje tak zwane wirusy „towarzyszące ścieżce”. Piszą kod pod nazwą zainfekowanego pliku, ale „wyżej” o jeden poziom w zalecanych ścieżkach (DOS, a zatem jako pierwszy wykryje i uruchomi plik wirusa), lub przenoszą plik ofiary o jeden podkatalog powyżej itp.
Mogą istnieć inne typy wirusów towarzyszących, które wykorzystują inne oryginalne pomysły lub funkcje innych systemów operacyjnych.
Robaki plikowe są w pewnym sensie rodzajem wirusa towarzyszącego, ale w żaden sposób nie łączą ich obecności z żadnym plikiem wykonywalnym. Po propagacji po prostu kopiują swój kod do dowolnych katalogów dysku w nadziei, że nowe kopie zostaną kiedykolwiek uruchomione przez użytkownika. Czasami wirusy nadają swoim kopiom „specjalne” nazwy, aby zachęcić użytkownika do rozpoczęcia kopiowania - na przykład INSTALL.EXE lub WINSTART.BAT. Istnieją wirusy robakowe, które używają raczej nietypowych sztuczek, na przykład zapisując swoje kopie w archiwach (ARJ, ZIP i inne). Niektóre wirusy piszą polecenie uruchomienia zainfekowanego pliku w plikach .bat. Robaków plikowych nie należy mylić z robakami sieciowymi. Pierwsze z nich używają tylko funkcji plików dowolnego systemu operacyjnego, a drugie używają protokołów sieciowych do ich propagacji.
Wirusy łączące, podobnie jak wirusy towarzyszące, nie zmieniają fizycznej zawartości plików, jednak po uruchomieniu zainfekowanego pliku „zmuszają” system operacyjny do wykonania jego kodu. Osiągają ten cel, modyfikując niezbędne pola systemu plików.
Wirusy infekujące biblioteki kompilatorów, moduły obiektowe i kod źródłowy programu są dość egzotyczne i praktycznie rzadkie. Wirusy infekujące pliki OBJ i LIB zapisują w nich swój kod w formacie modułu obiektowego lub biblioteki. Tak więc zainfekowany plik nie jest wykonywalny i nie jest w stanie dalej rozprzestrzeniać wirusa w jego obecnym stanie. Nośnikiem „żywego” wirusa jest plik COM lub EXE.
Po przejęciu kontroli wirus plików wykonuje następujące ogólne działania:
Sprawdza pamięć RAM pod kątem swojej kopii i infekuje pamięć komputera, jeśli nie zostanie znaleziona kopia wirusa (w przypadku, gdy wirus jest rezydentem), wyszukuje niezainfekowane pliki w bieżącym i / lub katalogu głównym poprzez skanowanie drzewa katalogów dysków logicznych, a następnie infekuje wykryte pliki ;
wykonuje dodatkowe (jeśli występują) funkcje: niszczące działania, efekty graficzne lub dźwiękowe itp. (dodatkowe funkcje rezydentnego wirusa można wywołać jakiś czas po aktywacji w zależności od aktualnego czasu, konfiguracji systemu, wewnętrznych liczników wirusów lub innych warunków, w tym przypadku po aktywacji wirus przetwarza stan zegara systemowego, ustawia własne liczniki itp.);
Należy zauważyć, że im szybciej wirus się rozprzestrzenia, tym bardziej prawdopodobne jest wystąpienie epidemii tego wirusa, im wolniej się rozprzestrzenia, tym trudniej jest go wykryć (jeśli, oczywiście, wirus ten jest nieznany). Wirusy niebędące rezydentami są często „wolne” - większość z nich po uruchomieniu infekuje jeden lub dwa lub trzy pliki i nie ma czasu zalać komputera przed uruchomieniem programu antywirusowego (lub gdy pojawi się nowa wersja programu antywirusowego skonfigurowanego dla tego wirusa). Istnieją oczywiście „szybkie” nierezydenty, które skanują i infekują wszystkie pliki wykonywalne podczas uruchamiania, ale takie wirusy są bardzo zauważalne: po uruchomieniu każdego zainfekowanego pliku komputer aktywnie (przez dość długi czas) pracuje z dyskiem twardym, który demaskuje wirusa. Szybkość rozprzestrzeniania się (infekcji) wirusów rezydentnych jest zwykle wyższa niż w przypadku wirusów nierezydentnych - infekują one pliki podczas uzyskiwania do nich dostępu. W rezultacie wszystkie lub prawie wszystkie pliki, które są stale używane w pracy, są zainfekowane na dysku. Szybkość rozprzestrzeniania się (infekcji) wirusów plików rezydentnych, które infekują pliki tylko wtedy, gdy zostaną uruchomione w celu wykonania, będzie niższa niż prędkość wirusów infekujących pliki i podczas ich otwierania, zmiany nazwy, zmiany atrybutów pliku itp.
Zatem główne destrukcyjne działania wykonywane przez wirusy plikowe są związane z porażką plików (zwykle plikami wykonywalnymi lub danymi), nieuprawnionym uruchomieniem różnych poleceń (w tym formatowaniem, zniszczeniem, kopiowaniem itp.), Zmianą tabeli wektorów przerwań i itp. Jednocześnie można wykonać wiele destrukcyjnych działań podobnych do wskazanych dla wirusów rozruchowych.
Makrowirusy (makrowirusy) to programy w językach (makrojęzyki) wbudowane w niektóre systemy przetwarzania danych (edytory tekstu, arkusze kalkulacyjne itp.). Do ich reprodukcji takie wirusy wykorzystują możliwości języków makr i przy ich pomocy przenoszą się z jednego zainfekowanego pliku (dokumentu lub tabeli) do innych. Najczęstsze wirusy makr w pakiecie aplikacji Microsoft Office.
Aby wirusy istniały w określonym systemie (edytorze), konieczne jest wbudowanie w system języka makr o następujących możliwościach:
1) powiązanie programu w języku makr z określonym plikiem;
2) kopiowanie programów makr z jednego pliku do drugiego;
3) uzyskanie kontroli nad programem makr bez interwencji użytkownika (makra automatyczne lub standardowe).
Warunki te spełniają aplikacje Microsoft Word, Excel i Microsoft Access. Zawierają języki makr: Word Basic, Visual Basic for Applications. W którym:
1) makroprogramy są powiązane z określonym plikiem lub znajdują się w nim;
2) język makr umożliwia kopiowanie plików lub przenoszenie programów makr do plików usług systemowych i plików edytowalnych;
3) podczas pracy z plikiem w określonych warunkach (otwieranie, zamykanie itp.) Wywoływane są programy makr (jeśli istnieją), które są zdefiniowane w specjalny sposób lub mają standardowe nazwy.
Ta funkcja języków makr została zaprojektowana do automatycznego przetwarzania danych w dużych organizacjach lub w sieciach globalnych i pozwala zorganizować tak zwane „automatyczne zarządzanie dokumentami”. Z drugiej strony, funkcje makrojęzykowe takich systemów pozwalają wirusowi przenieść swój kod do innych plików i tym samym je zainfekować.
Większość wirusów makr jest aktywnych nie tylko w momencie otwierania (zamykania) pliku, ale tak długo, jak sam edytor jest aktywny. Zawierają wszystkie swoje funkcje w postaci standardowych makr Word / Excel / Office. Istnieją jednak wirusy, które wykorzystują sztuczki, aby ukryć swój kod i przechowywać go w formie innych niż makra. Znane są trzy podobne sztuczki, wszystkie wykorzystują zdolność makr do tworzenia, edytowania i wykonywania innych makr. Zazwyczaj takie wirusy mają mały (czasem polimorficzny) program do pobierania wirusów makr, który wywołuje wbudowany edytor makr, tworzy nowe makro, wypełnia go głównym kodem wirusa, wykonuje go, a następnie z reguły niszczy (aby ukryć ślady obecności wirusa). Główny kod takich wirusów jest albo obecny w samym makrze wirusa w postaci ciągów tekstowych (czasami szyfrowanych), albo jest przechowywany w zmiennym obszarze dokumentu.
Wirusy sieciowe obejmują wirusy, które aktywnie wykorzystują do dystrybucji swoje protokoły i możliwości sieci lokalnych i globalnych. Podstawową zasadą wirusa sieciowego jest zdolność do niezależnego przesyłania kodu na zdalny serwer lub stację roboczą. Jednocześnie „pełnoprawne” wirusy sieciowe mogą uruchamiać swój kod na komputerze zdalnym lub przynajmniej „wypychać” użytkownika do uruchomienia zainfekowanego pliku.
Złośliwymi programami, które zapewniają wdrożenie nieautoryzowanego dostępu, mogą być:
programy do łamania haseł i crackowania;
programy wdrażające zagrożenia;
Programy demonstrujące wykorzystanie niezadeklarowanych możliwości oprogramowania i oprogramowania sprzętowego ISPDn;
generatory wirusów komputerowych;
programy wykazujące luki w zabezpieczeniach informacji itp.
Ze względu na rosnącą złożoność i różnorodność oprogramowania liczba złośliwych programów szybko rośnie. Obecnie znanych jest ponad 120 tysięcy sygnatur wirusów komputerowych. Jednak nie wszystkie z nich stanowią realne zagrożenie. W wielu przypadkach eliminacja luk w oprogramowaniu systemowym lub aplikacyjnym doprowadziła do tego, że wiele złośliwych programów nie jest już w stanie ich przeniknąć. Często głównym zagrożeniem jest nowe złośliwe oprogramowanie.
5.6 Ogólna charakterystyka nietradycyjnych kanałów informacyjnychNiekonwencjonalny kanał informacyjny to kanał do tajnej transmisji informacji z wykorzystaniem tradycyjnych kanałów komunikacyjnych i specjalnych przekształceń przesyłanych informacji, które nie są związane z kryptografią.
Aby utworzyć nietradycyjne kanały, można zastosować następujące metody:
steganografia komputerowa;
Na podstawie manipulacji różnymi właściwościami ISPD, które można uzyskać autoryzacji (na przykład czas przetwarzania różnych żądań, ilość dostępnej pamięci lub czytelne identyfikatory plików lub procesów itp.).
Metody steganografii komputerowej mają na celu ukrycie faktu przesłania wiadomości poprzez osadzenie ukrytych informacji w pozornie nieszkodliwych danych (plikach tekstowych, graficznych, audio lub wideo) i obejmują dwie grupy metod oparte na:
Wykorzystanie specjalnych właściwości formatów komputerowych do przechowywania i przesyłania danych;
O nadmiarowości informacji audio, wizualnych lub tekstowych z punktu widzenia psychofizjologicznych cech ludzkiej percepcji.
Klasyfikację metod steganografii komputerowej pokazano na rycinie 15. Ich cechy porównawcze podano w tabeli 4.
Metody ukrywania informacji w graficznych pojemnikach są obecnie najbardziej rozwinięte i stosowane. Wynika to ze stosunkowo dużej ilości informacji, które można umieścić w takich pojemnikach bez zauważalnego zniekształcenia obrazu, obecności a priori informacji o wielkości pojemnika, istnienia na większości rzeczywistych obrazów obszarów tekstury, które mają strukturę szumu i dobrze nadają się do osadzania informacji, opracowanych metod cyfrowego przetwarzania obrazu i cyfrowego formaty prezentacji obrazu. Obecnie dla przeciętnego użytkownika dostępnych jest wiele produktów komercyjnych i darmowego oprogramowania, które wykorzystują znane steganograficzne metody ukrywania informacji. W tym przypadku wykorzystywane są głównie kontenery graficzne i audio.
Ryc. 15. Klasyfikacja metod konwersji informacji steganograficznych (STI)
Tabela 4
Charakterystyka porównawcza steganograficznych metod konwersji informacji
| Metoda steganograficzna | Krótki opis metody | niedogodności | Korzyści |
| Metody ukrywania informacji w pojemnikach audio | |||
| Na podstawie zapisu wiadomości do najmniej znaczących bitów oryginalnego sygnału. Nieskompresowany sygnał audio jest zwykle używany jako kontener. | Transmisja wiadomości o niskiej niewykrywalności. Niska odporność na zniekształcenia. Używany tylko w przypadku niektórych formatów plików audio. | ||
| Metoda maskowania rozkładu widma | Opiera się na generowaniu szumu pseudolosowego, który jest funkcją osadzonej wiadomości, i mieszaniu odbieranego szumu z głównym pojemnikiem sygnału jako składnikiem addytywnym. Kodowanie strumieni informacji poprzez rozpraszanie zakodowanych danych w widmie częstotliwości | ||
| Metoda ukrywania echa | Opiera się na wykorzystaniu samego sygnału audio jako sygnału podobnego do szumu, opóźnionego o różne okresy czasu w zależności od wprowadzanego komunikatu („echo kręgowe”) | Niskie wykorzystanie pojemnika. Znaczące koszty obliczeniowe | Relatywnie wysoka niewykrywalność wiadomości |
| Metoda maskowania fazy sygnału | Na podstawie faktu, że ucho ludzkie jest niewrażliwe na bezwzględną wartość fazy harmonicznych. Sygnał audio jest podzielony na sekwencję segmentów, komunikat jest osadzany przez modyfikację fazy pierwszego segmentu | Niskie wykorzystanie pojemnika | Ma znacznie wyższą tajemnicę niż metody ukrywania w NZB |
| Metody ukrywania informacji w kontenerach tekstowych | |||
| Metoda ukrywania oparta na przestrzeni | Polega na wstawianiu spacji na końcu linii, po znakach interpunkcyjnych, między słowami podczas wyrównywania długości linii | Metody są wrażliwe na przenoszenie tekstu z jednego formatu do drugiego. Możliwa utrata wiadomości. Niski poziom ukrycia | Wystarczająca przepustowość |
| Metoda ukrywania oparta na cechach składniowych tekstu | Oparte na fakcie, że reguły interpunkcyjne są niejednoznaczne | Bardzo niska przepustowość. Trudność w wykrywaniu wiadomości | Istnieje potencjalna możliwość wyboru metody, która wymagałaby bardzo skomplikowanych procedur otwierania wiadomości |
| Synonimy Metoda ukrywania | Opiera się na wstawianiu informacji do tekstu przez naprzemienne wyrazy z dowolnej grupy synonimów | Skomplikowane w odniesieniu do języka rosyjskiego w związku z szeroką gamą odcieni w różnych synonimach | Jedna z najbardziej obiecujących metod. Ma relatywnie wysoki komunikat ukrycia |
| Metoda ukrywania oparta na błędach | Opiera się na ukrywaniu bitów informacyjnych pod kątem błędów naturalnych, literówek, łamania zasad pisania kombinacji samogłosek i spółgłosek, zastępowania cyrylicy podobnymi literami łacińskimi itp. | Niska przepustowość. Szybko ujawniony przez analizę statystyczną | Bardzo łatwy w użyciu. Wysoka skradłość w analizach ludzkich |
| Metoda ukrywania oparta na generowaniu quasitext | Oparty na generowaniu kontenera tekstowego przy użyciu zestawu reguł do konstruowania zdań. Używana jest kryptografia symetryczna. | Niska przepustowość. Bezsensowność generowanego tekstu | Tajemnica jest ustalana metodami szyfrowania i zwykle jest bardzo wysoka. |
| Metoda ukrywania oparta na czcionkach | Opiera się na wstawianiu informacji przez zmianę typu czcionki i rozmiaru liter, a także na możliwości osadzania informacji w blokach o nieznanych przeglądarce identyfikatorach | Jest łatwo wykrywalny podczas konwersji skali dokumentu za pomocą statystycznej analizy stego | Wysokie wykorzystanie pojemnika |
| Metoda ukrywania oparta na wykorzystaniu kodu dokumentu i pliku | Na podstawie umieszczenia informacji w zarezerwowanych i nieużywanych polach o zmiennej długości | Low stealth ze znanym formatem pliku | Łatwy w użyciu |
| Metoda ukrywania oparta na żargonie | Na podstawie zmiany znaczenia słów | Niska przepustowość Wąsko wyspecjalizowane. Niski poziom ukrycia | Łatwy w użyciu |
| Metoda ukrywania za pomocą przeplatania długości słowa | Opiera się na generowaniu tekstu - pojemnika z formowaniem słów o określonej długości zgodnie ze znaną zasadą kodowania | Złożoność tworzenia kontenera i wiadomości | Wystarczająco wysoka tajemnica w analizach ludzkich |
| Metoda ukrywania pierwszej litery | Opiera się na osadzeniu wiadomości w pierwszych literach tekstu z zaznaczeniem słów | Trudność w napisaniu wiadomości. Niski poziom ukrycia wiadomości | Daje większą swobodę wyboru operatorowi, który wymyśli komunikat |
| Metody ukrywania informacji w kontenerach graficznych | |||
| Metoda ukrywania w najmniej znaczących bitach | Na podstawie napisania wiadomości do najmniej znaczących fragmentów oryginalnego obrazu. | Transmisja wiadomości o niskiej niewykrywalności. Niska odporność na zniekształcenia | Wystarczająco wysoka pojemność pojemnika (do 25%) |
| Metoda ukrywania oparta na modyfikacji formatu widoku indeksu | Na podstawie zmniejszenia (zastąpienia) palety kolorów i rozmieszczenia kolorów w pikselach z sąsiednimi liczbami | Dotyczy głównie skompresowanych obrazów. Transmisja wiadomości o niskim ukryciu | Stosunkowo duża pojemność pojemnika |
| Metoda maskowania za pomocą funkcji autokorelacji | Na podstawie wyszukiwania za pomocą funkcji autokorelacji obszarów zawierających podobne dane | Złożoność obliczeń | Odporny na większość nieliniowych transformacji kontenerów |
| Metoda ukrywania oparta na wykorzystaniu nieliniowej modulacji osadzonej wiadomości | Oparty na modulacji pseudolosowego sygnału z sygnałem zawierającym ukrytą informację | ||
| Metoda ukrywania oparta na wykorzystaniu podpisanej modulacji osadzonej wiadomości | Na podstawie modulacji sygnału pseudolosowego za pomocą sygnału bipolarnego zawierającego ukrytą informację | Niska dokładność wykrywania. Zniekształcenia | Wystarczająco wysoki ukryty komunikat |
| Metoda ukrywania transformaty falkowej | Na podstawie funkcji transformacji falkowej | Złożoność obliczeń | High stealth |
| Metoda maskowania z wykorzystaniem dyskretnej transformacji kosinusowej | Oparty na cechach dyskretnej transformacji cosinusowej | Obliczanie trudności | High stealth |
W nietradycyjnych kanałach informacyjnych opartych na manipulowaniu różnymi cechami zasobów ISPD niektóre zasoby współdzielone są wykorzystywane do transmisji danych. Jednocześnie w kanałach wykorzystujących charakterystykę czasową przeprowadzana jest modulacja czasu zajmowanego przez współdzielony zasób (na przykład poprzez modulowanie czasu zajętego przez procesor, aplikacje mogą wymieniać dane).
W kanałach pamięci zasób służy jako bufor pośredni (na przykład aplikacje mogą wymieniać dane, umieszczając je w nazwach tworzonych plików i katalogów). W kanałach baz danych i wiedzy wykorzystywane są zależności między danymi powstającymi w relacyjnych bazach danych a wiedzą.
Nietradycyjne kanały informacyjne można tworzyć na różnych poziomach funkcjonowania ISPD:
na poziomie sprzętowym;
na poziomie mikrokodów i sterowników urządzeń;
na poziomie systemu operacyjnego;
na poziomie oprogramowania aplikacyjnego;
na poziomie funkcjonowania kanałów transmisji danych i linii komunikacyjnych.
Kanały te mogą być wykorzystywane zarówno do ukrytej transmisji skopiowanych informacji, jak i do ukrytej transmisji poleceń w celu wykonywania niszczycielskich działań, uruchamiania aplikacji itp.
W celu realizacji kanałów z reguły konieczne jest wprowadzenie oprogramowania lub karty sprzętowo-programowej do zautomatyzowanego systemu, która zapewnia utworzenie niekonwencjonalnego kanału.
Niekonwencjonalny kanał informacyjny może istnieć w systemie w sposób ciągły lub być aktywowany jednorazowo lub w określonych warunkach. W takim przypadku może pojawić się informacja zwrotna na temat nieautoryzowanego dostępu.
5.7 Ogólna charakterystyka wyników nieautoryzowanego lub losowego dostępuRealizacja zagrożeń dla nieautoryzowanego dostępu do informacji może prowadzić do następujących rodzajów naruszeń jej bezpieczeństwa:
naruszenie poufności (kopiowanie, nielegalna dystrybucja);
Naruszenie integralności (zniszczenie, zmiana);
naruszenie dostępności (blokowanie).
Naruszenie poufności może nastąpić w przypadku wycieku informacji:
kopiowanie do wyobcowanych mediów;
przesyłanie go kanałami danych;
podczas przeglądania lub kopiowania podczas naprawy, modyfikacji i usuwania oprogramowania i sprzętu;
podczas „odśmiecania” przez intruza podczas działania ISPDn.
Naruszenie integralności informacji następuje z powodu wpływu (modyfikacji) na programy i dane użytkownika, a także informacji technologicznych (systemowych), w tym:
mikroprogramy, dane i sterowniki urządzeń systemu komputerowego;
programy, dane i sterowniki urządzeń do ładowania systemu operacyjnego;
programy i dane (deskryptory, deskryptory, struktury, tabele itp.) systemu operacyjnego;
programy i dane;
Programy i dane specjalnego oprogramowania;
Wartości pośrednie (operacyjne) programów i danych podczas ich przetwarzania (odczyt / zapis, odbiór / transmisja) za pomocą środków i urządzeń technologii komputerowej.
Naruszenie integralności informacji w ISPDn może być również spowodowane wprowadzeniem złośliwego oprogramowania i zakładek sprzętowych lub wpływem na system ochrony informacji lub jego elementy.
Ponadto w ISPD można wpływać na informacje o sieci technologicznej, które mogą zapewnić funkcjonowanie różnych narzędzi zarządzania siecią komputerową:
konfiguracja sieci
adresy i routing transmisji danych w sieci;
funkcjonalna kontrola sieci;
bezpieczeństwo informacji w Internecie.
Naruszenie dostępności informacji jest zapewnione przez tworzenie (modyfikację) danych źródłowych, które podczas przetwarzania powoduje nieprawidłowe funkcjonowanie, awarie sprzętu lub przechwytywanie (ładowanie) zasobów obliczeniowych systemu, które są niezbędne do wykonania programów i działania sprzętu.
Działania te mogą prowadzić do zakłócenia lub awarii działania prawie wszystkich technicznych środków ISPDn:
narzędzia do przetwarzania informacji;
środki wprowadzania / wyprowadzania informacji;
urządzenia do przechowywania informacji;
Sprzęt i kanały transmisji;
narzędzia bezpieczeństwa informacji.
