Zagrożeniem jest pragnienie uruchomienia różnych wstępnie zaimplementowanego złośliwego oprogramowania na hoście: zakładki zakładek, wirusy, "Sieci szpiegowskie", którego głównym celem jest naruszenie poufności, integralności, dostępności informacji i pełnej kontroli nad pracą gospodarza . Ponadto możliwe jest nieautoryzowane uruchomienie programów aplikacji użytkownika dla nieautoryzowanych uzyskiwania niezbędnych danych od wiązania, aby rozpocząć procesy zarządzane przez program aplikacji itp.
Wyróżnia się trzy podklasę danych zagrożenia:
Dystrybucja plików zawierających nieautoryzowany kodeks wykonywalny;
Uruchomienie zdalnego aplikacji przez przepełnione bufory aplikacji;
Uruchomienie aplikacji zdalnej za pomocą funkcji pilot System dostarczany przez Ukryte oprogramowanie i zakładki sprzętowe lub używane przez standardowe środki.
Typowe zagrożenia pierwszego z określonych podklasach opierają się na aktywowaniu rozproszonych plików w przypadku przypadkowego dostępu do nich. Przykłady takich plików mogą być: pliki zawierające kod wykonywalny w dokumentach widoku zawierający kod wykonywalny w postaci elementów ActiveX, apletów Java, interpretowanych skryptów (na przykład tekstów na JavaScript); Pliki zawierające kody wykonywalnych programów. Usługi e-mail, przesyłanie plików, system plików sieciowych może być używany do dystrybucji plików.
W zagrożeniu drugiej podklasy, niedociągnięcia programów wdrażających usługi sieciowe. (W szczególności brak kontroli nad przepełnieniem buforowym). Ustawianie rejestrów systemowych jest czasami możliwe, aby przełączyć procesor po przerwaniu spowodowanym przepełnieniem bufora, do wykonania kodu zawartego za granicą bufora. Przykładem wdrożenia takiego zagrożenia może być wprowadzenie szeroko znanego "wirusa Morrisa".
W zagrożeniu trzeciej podklasu, Violator wykorzystuje zdolność do zdalnego zarządzania systemem dostarczonym przez ukryte elementy (na przykład programy Trojan Type z powrotem. Oryfikacja, autobus netto) lub regularne kontrole i administrowanie sieciami komputerowymi (Landesk Management Suite, Managers , Otwór tylny itd. P.). W wyniku ich użycia możliwe jest uzyskanie pilota na stacji w sieci.
mało prawdopodobnym jest.
Uogólniona lista prawdopodobieństwa wdrażania zagrożeń dla różnych rodzajów kanałów przedstawiono w tabeli 12.
Tabela 12.
Zagrożenia wdrażania sieci złośliwe programy
Złośliwe programy wdrożone w sieci obejmują wirusy, które aktywnie wykorzystują protokoły i możliwości lokalnych i globalnych sieci dla ich dystrybucji. Główną zasadą wirusa sieci jest możliwość niezależnego przesyłania kodu do zdalnego serwera lub stacji roboczej. "Pełny" wirusy sieciowe. Jednocześnie mają również możliwość uruchomienia swojego kodu komputer zdalny Lub przynajmniej "naciśnij Użytkownik, aby uruchomić zainfekowany plik.
Złośliwe programy, które zapewniają wdrażanie NSD mogą być:
Programy wyboru i otwarcia;
Zagrożenia programy wykonawcze;
Programy demonstrujące możliwości korzystania z niekoncepcyjnego oprogramowania i sprzętu i sprzętu
Programy generatora wirusy komputerowe;
Programy wykazujące luki narzędzi bezpieczeństwa informacji i innych.
Jeśli instytucja przetworzona PDN nie zostaną wysłane przez sieci wspólne użycie oraz wymiana międzynarodowa, zainstalowana ochrona antywirusowa, a następnie prawdopodobieństwo wdrażania zagrożenia - mało prawdopodobnym jest.
We wszystkich innych przypadkach należy oszacować prawdopodobieństwo zagrożenia.
Uogólniona lista prawdopodobieństwa wdrażania zagrożeń dla różnych typów pokładu przedstawiono w tabeli 13.
Tabela 13.
Realizacja zagrożeń
Zgodnie z oszacowaniem poziomu bezpieczeństwa (Y 1) (sekcja 7) i prawdopodobieństwa zagrożenia (Y2) (sekcja 9), współczynnik zagrożenia (y) oblicza się i określa się możliwość zagrożenia (Tabela 4). Współczynnik realizacji zagrożenia Y zostanie określony przez stosunek Y \u003d (Y 1 + Y2) / 20
Definicja zagrożeń jest ustalana na podstawie sprawozdania na temat wyników kontroli wewnętrznej.
Uogólniona lista szacunków realizacji UBRDNS dla różnych rodzajów gęstości jest prezentowana w tabelach 14-23.
Tabela 14 - Typ autonomiczny IC
| Rodzaj zagrożeń bezpieczeństwa PDN | Możliwość wdrożenia | |
| 0,25 | Niska | |
| 0,25 | Niska | |
| 0,25 | Niska | |
| 2.1.1. Kradzież PEVM. | 0,25 | Niska |
| 0,25 | Niska | |
| 0,25 | Niska | |
| 0,25 | Niska | |
| 0,25 | Niska | |
| 0,25 | Niska | |
| 0,25 | Niska | |
| 0,35 | średni | |
| 0,25 | Niska | |
| 0,25 | Niska | |
| 0,35 | średni | |
| 0,25 | Niska | |
| 0,25 | Niska | |
| 0,25 | Niska | |
| 0,25 | Niska | |
| 2.3.6. Katastrofa | 0,25 | Niska |
| 0,25 | Niska | |
| 0,35 | średni | |
| 0,25 | Niska | |
| 0,25 | Niska | |
| 0,25 | Niska | |
| 0,25 | Niska | |
| 0,25 | Niska | |
| 0,25 | Niska | |
| 0,25 | Niska | |
| 0,25 | Niska | |
| 0,25 | Niska | |
| 0,25 | Niska | |
| 0,25 | Niska |
Tabela 15 - typ autonomiczny II typ II
| Rodzaj zagrożeń bezpieczeństwa PDN | Współczynnik szybkości twarzy (y) | Możliwość wdrożenia |
| 1. Zagrożenia z wycieku na kanałach technicznych. | ||
| 1.1. Groźby wycieku informacji akustycznych | 0,25 | Niska |
| 1.2. Wyciek zagrożenia Informacje o kodzie | 0,25 | Niska |
| 1.3. Zagrożenia wycieku informacji przez kanały pemin | 0,25 | Niska |
| 2. Zagrożenia nieautoryzowanego dostępu do informacji. | ||
| 2.1. Groźby niszczenia, kradzież sprzętu DELICA INFORMACJI MEDIA MIAŁAJĄCEGO Dostęp do elementów | ||
| 2.1.1. Kradzież PEVM. | 0,25 | Niska |
| 2.1.2. Kradzież informacji o mediach | 0,25 | Niska |
| 2.1.3. Kluczowe atrybuty kradzieży i dostępu | 0,25 | Niska |
| 2.1.4. Kradzież, modyfikacje, zniszczenie informacji | 0,25 | Niska |
| 2.1.5. Wniosek węzłów PC, kanały komunikacyjne | 0,25 | Niska |
| 2.1.6. Nieautoryzowany dostęp Informacje o konserwacji (naprawy, niszczenie) węzłów PEVM | 0,25 | Niska |
| 2.1.7. Nieautoryzowane środki zaradcze | 0,25 | Niska |
| 2.2. Zagrożenia defraudacji, nieautoryzowanej modyfikacji lub blokowania informacji z powodu nieautoryzowanego dostępu (NSD) za pomocą oprogramowania i sprzętu oraz oprogramowanie (w tym oprogramowanie i wpływy matematyczne). | ||
| 2.2.1. Złośliwe oprogramowanie (wirusy) | 0,35 | średni |
| 2.2.2. NedEvented Systematyczne oprogramowanie i oprogramowanie do przetwarzania danych osobowych | 0,25 | Niska |
| 2.2.3. Instalacja nie związana z wykonaniem obowiązków służbowych | 0,25 | Niska |
| 2.3. Zagrożenia nie są celowymi działaniami użytkowników i zaburzeń bezpieczeństwa funkcjonowania CETA i SPSPDN w swojej kompozycji ze względu na awarie oprogramowania, a także zagrożenia nie-intruskdic (awarie sprzętu ze względu na niewiarygodność elementów, awarii zasilania) i Spontaniczne (wstrząsy piorunochronowe, pożary, powodzie itp.) Charakter. | ||
| 2.3.1. Utrata kluczy i atrybutów dostępu | 0,35 | średni |
| 2.3.2. Niezamierzona modyfikacja (zniszczenie) informacji przez pracowników | 0,25 | Niska |
| 2.3.3. Niezamierzone wyłączanie środków ochrony | 0,25 | Niska |
| 2.3.4. Dopasowanie oprogramowania sprzętowego | 0,25 | Niska |
| 2.3.5. Niepowodzenie systemu zasilania | 0,25 | Niska |
| 2.3.6. Katastrofa | 0,25 | Niska |
| 2.4. Zagrożenia celowych działań szkodników wewnętrznych | ||
| 2.4.1. Dostęp do informacji, modyfikacji, zniszczenie osób nie przyjętych do jego przetwarzania | 0,25 | Niska |
| 2.4.2. Ujawnienie informacji, modyfikacji, zniszczenia przez pracowników przyjętych do jego przetwarzania | 0,35 | średni |
| 2.5. Freaks o nieautoryzowanym dostępie dzięki kanałom komunikacyjnym. | ||
| 2.5.1. Analiza ruchu informacyjnego "Vanity" z przechwytywaniem informacji przesyłanych z kodu i odebrane z zewnętrznych sieci informacji: | ||
| 2.5.1.1. Przechwytywanie redestrów ze strefy kontrolowanej | 0,35 | średni |
| 2.5.1.2. Przechwytywanie w strefie kontrolowanej przez osłonników zewnętrznych | 0,25 | Niska |
| 2.5.1.3. Perechavat w strefach kontrolowanych Wewnętrzni gwałciciele. | 0,25 | Niska |
| 2.5.2. Pragnienie skanowania mające na celu identyfikację typu lub typów używanych systemów operacyjnych, adresy sieciowe stacji roboczych płyty CD, topologii sieci, otwartych portów i usług, otwartych połączeń itp. | 0,25 | Niska |
| 2.5.3. Throoty wykrywania hasła przez sieć | 0,35 | średni |
| 2.5.4. Harmonie narzucające fałszywą trasę sieciową | 0,25 | Niska |
| 2.5.5. Throoty zastępowania zaufanego obiektu w sieci | 0,25 | Niska |
| 2.5.6. Vintage realizacji fałszywego obiektu jest zarówno w sieciach mieszkalnych, jak i zewnętrznych | 0,25 | Niska |
| 2.5.7. Typ gardła "Niepowodzenie utrzymania" | 0,25 | Niska |
| 2.5.8. Harms premiery zdalnego zastosowania | 0,35 | średni |
| 2.5.9. Freaks realizacji w sieci szkodliwych programów | 0,35 | średni |
Tabela 16 - typ autonomiczny III III
| Rodzaj zagrożeń bezpieczeństwa PDN | Współczynnik szybkości twarzy (y) | Możliwość wdrożenia |
| 1. Zagrożenia z wycieku na kanałach technicznych. | ||
| 1.1. Groźby wycieku informacji akustycznych | 0,25 | Niska |
| 1.2. Wyciek zagrożenia Informacje o kodzie | 0,25 | Niska |
| 1.3. Zagrożenia wycieku informacji przez kanały pemin | 0,25 | Niska |
| 2. Zagrożenia nieautoryzowanego dostępu do informacji. | ||
| 2.1. Groźby niszczenia, kradzież sprzętu DELICA INFORMACJI MEDIA MIAŁAJĄCEGO Dostęp do elementów | ||
| 2.1.1. Kradzież PEVM. | 0,25 | Niska |
| 2.1.2. Kradzież informacji o mediach | 0,25 | Niska |
| 2.1.3. Kluczowe atrybuty kradzieży i dostępu | 0,25 | Niska |
| 2.1.4. Kradzież, modyfikacje, zniszczenie informacji | 0,25 | Niska |
| 2.1.5. Wniosek węzłów PC, kanały komunikacyjne | 0,25 | Niska |
| 2.1.6. Nieautoryzowany dostęp do informacji do konserwacji (naprawy, niszczenia) węzłów PEVM | 0,25 | Niska |
| 2.1.7. Nieautoryzowane środki zaradcze | 0,25 | Niska |
| 2.2. Zagrożenia defraudacji, nieautoryzowanej modyfikacji lub informacji blokujących z powodu nieautoryzowanego dostępu (NSD) przy użyciu oprogramowania i sprzętu i oprogramowania (w tym oprogramowania i wpływów matematycznych). | ||
| 2.2.1. Złośliwe oprogramowanie (wirusy) | 0,35 | średni |
| 2.2.2. NedEvented Systematyczne oprogramowanie i oprogramowanie do przetwarzania danych osobowych | 0,25 | Niska |
| 2.2.3. Instalacja nie związana z wykonaniem obowiązków służbowych | 0,25 | Niska |
| 2.3. Zagrożenia nie są celowymi działaniami użytkowników i zaburzeń bezpieczeństwa funkcjonowania CETA i SPSPDN w swojej kompozycji ze względu na awarie oprogramowania, a także zagrożenia nie-intruskdic (awarie sprzętu ze względu na niewiarygodność elementów, awarii zasilania) i Spontaniczne (wstrząsy piorunochronowe, pożary, powodzie itp.) Charakter. | ||
| 2.3.1. Utrata kluczy i atrybutów dostępu | 0,35 | średni |
| 2.3.2. Niezamierzona modyfikacja (zniszczenie) informacji przez pracowników | 0,25 | Niska |
| 2.3.3. Niezamierzone wyłączanie środków ochrony | 0,25 | Niska |
| 2.3.4. Dopasowanie oprogramowania sprzętowego | 0,25 | Niska |
| 2.3.5. Niepowodzenie systemu zasilania | 0,25 | Niska |
| 2.3.6. Katastrofa | 0,25 | Niska |
| 2.4. Zagrożenia celowych działań szkodników wewnętrznych | ||
| 2.4.1. Dostęp do informacji, modyfikacji, zniszczenie osób nie przyjętych do jego przetwarzania | 0,25 | Niska |
| 2.4.2. Ujawnienie informacji, modyfikacji, zniszczenia przez pracowników przyjętych do jego przetwarzania | 0,35 | średni |
| 2.5. Freaks o nieautoryzowanym dostępie dzięki kanałom komunikacyjnym. | ||
| 2.5.1. Analiza ruchu informacyjnego "Vanity" z przechwytywaniem informacji przesyłanych z kodu i odebrane z zewnętrznych sieci informacji: | ||
| 2.5.1.1. Przechwytywanie redestrów ze strefy kontrolowanej | 0,25 | Niska |
| 2.5.1.2. Przechwytywanie w strefie kontrolowanej przez osłonników zewnętrznych | 0,25 | Niska |
| 2.5.1.3. Perechavat w strefach kontrolowanych Wewnętrzni gwałciciele. | 0,25 | Niska |
| 2.5.2. Pragnienie skanowania mające na celu identyfikację typu lub typów używanych systemów operacyjnych, adresy sieciowe stacji roboczych płyty CD, topologii sieci, otwartych portów i usług, otwartych połączeń itp. | 0,25 | Niska |
| 2.5.3. Throoty wykrywania hasła przez sieć | 0,25 | Niska |
| 2.5.4. Harmonie narzucające fałszywą trasę sieciową | 0,25 | Niska |
| 2.5.5. Throoty zastępowania zaufanego obiektu w sieci | 0,25 | Niska |
| 2.5.6. Vintage realizacji fałszywego obiektu jest zarówno w sieciach mieszkalnych, jak i zewnętrznych | 0,25 | Niska |
| 2.5.7. Typ gardła "Niepowodzenie utrzymania" | 0,25 | Niska |
| 2.5.8. Harms premiery zdalnego zastosowania | 0,25 | Niska |
| 2.5.9. Freaks realizacji w sieci szkodliwych programów | 0,25 | Niska |
Tabela 17 - typ autonomiczny II IV
| Rodzaj zagrożeń bezpieczeństwa PDN | Współczynnik szybkości twarzy (y) | Możliwość wdrożenia |
| 1. Zagrożenia z wycieku na kanałach technicznych. | ||
| 1.1. Groźby wycieku informacji akustycznych | 0,25 | Niska |
| 1.2. Wyciek zagrożenia Informacje o kodzie | 0,25 | Niska |
| 1.3. Zagrożenia wycieku informacji przez kanały pemin | 0,25 | Niska |
| 2. Zagrożenia nieautoryzowanego dostępu do informacji. | ||
| 2.1. Groźby niszczenia, kradzież sprzętu DELICA INFORMACJI MEDIA MIAŁAJĄCEGO Dostęp do elementów | ||
| 2.1.1. Kradzież PEVM. | 0,25 | Niska |
| 2.1.2. Kradzież informacji o mediach | 0,25 | Niska |
| 2.1.3. Kluczowe atrybuty kradzieży i dostępu | 0,25 | Niska |
| 2.1.4. Kradzież, modyfikacje, zniszczenie informacji | 0,25 | Niska |
| 2.1.5. Wniosek węzłów PC, kanały komunikacyjne | 0,25 | Niska |
| 2.1.6. Nieautoryzowany dostęp do informacji do konserwacji (naprawy, niszczenia) węzłów PEVM | 0,25 | Niska |
| 2.1.7. Nieautoryzowane środki zaradcze | 0,25 | Niska |
| 2.2. Zagrożenia defraudacji, nieautoryzowanej modyfikacji lub informacji blokujących z powodu nieautoryzowanego dostępu (NSD) przy użyciu oprogramowania i sprzętu i oprogramowania (w tym oprogramowania i wpływów matematycznych). | ||
| 2.2.1. Złośliwe oprogramowanie (wirusy) | 0,35 | średni |
| 2.2.2. NedEvented Systematyczne oprogramowanie i oprogramowanie do przetwarzania danych osobowych | 0,25 | Niska |
| 2.2.3. Instalacja nie związana z wykonaniem obowiązków służbowych | 0,25 | Niska |
| 2.3. Zagrożenia nie są celowymi działaniami użytkowników i zaburzeń bezpieczeństwa funkcjonowania CETA i SPSPDN w swojej kompozycji ze względu na awarie oprogramowania, a także zagrożenia nie-intruskdic (awarie sprzętu ze względu na niewiarygodność elementów, awarii zasilania) i Spontaniczne (wstrząsy piorunochronowe, pożary, powodzie itp.) Charakter. | ||
| 2.3.1. Utrata kluczy i atrybutów dostępu | 0,35 | średni |
| 2.3.2. Niezamierzona modyfikacja (zniszczenie) informacji przez pracowników | 0,25 | Niska |
| 2.3.3. Niezamierzone wyłączanie środków ochrony | 0,25 | Niska |
| 2.3.4. Dopasowanie oprogramowania sprzętowego | 0,25 | Niska |
| 2.3.5. Niepowodzenie systemu zasilania | 0,25 | Niska |
| 2.3.6. Katastrofa | 0,25 | Niska |
| 2.4. Zagrożenia celowych działań szkodników wewnętrznych | ||
| 2.4.1. Dostęp do informacji, modyfikacji, zniszczenie osób nie przyjętych do jego przetwarzania | 0,25 | Niska |
| 2.4.2. Ujawnienie informacji, modyfikacji, zniszczenia przez pracowników przyjętych do jego przetwarzania | 0,35 | średni |
| 2.5. Freaks o nieautoryzowanym dostępie dzięki kanałom komunikacyjnym. | ||
| 2.5.1. Analiza ruchu informacyjnego "Vanity" z przechwytywaniem informacji przesyłanych z kodu i odebrane z zewnętrznych sieci informacji: | ||
| 2.5.1.1. Przechwytywanie redestrów ze strefy kontrolowanej | 0,35 | średni |
| 2.5.1.2. Przechwytywanie w strefie kontrolowanej przez osłonników zewnętrznych | 0,25 | Niska |
| 2.5.1.3. Perechavat w strefach kontrolowanych Wewnętrzni gwałciciele. | 0,25 | Niska |
| 2.5.2. Pragnienie skanowania mające na celu identyfikację typu lub typów używanych systemów operacyjnych, adresy sieciowe stacji roboczych płyty CD, topologii sieci, otwartych portów i usług, otwartych połączeń itp. | 0,25 | Niska |
| 2.5.3. Throoty wykrywania hasła przez sieć | 0,35 | średni |
| 2.5.4. Harmonie narzucające fałszywą trasę sieciową | 0,25 | Niska |
| 2.5.5. Throoty zastępowania zaufanego obiektu w sieci | 0,25 | Niska |
| 2.5.6. Vintage realizacji fałszywego obiektu jest zarówno w sieciach mieszkalnych, jak i zewnętrznych | 0,25 | Niska |
| 2.5.7. Typ gardła "Niepowodzenie utrzymania" | 0,25 | Niska |
| 2.5.8. Harms premiery zdalnego zastosowania | 0,35 | średni |
| 2.5.9. Freaks realizacji w sieci szkodliwych programów | 0,35 | średni |
Tabela 18 - Autonomiczny typ IC V
| Rodzaj zagrożeń bezpieczeństwa PDN | Współczynnik szybkości twarzy (y) | Możliwość wdrożenia |
| 1. Zagrożenia z wycieku na kanałach technicznych. | ||
| 1.1. Groźby wycieku informacji akustycznych | 0,25 | Niska |
| 1.2. Wyciek zagrożenia Informacje o kodzie | 0,25 | Niska |
| 1.3. Zagrożenia wycieku informacji przez kanały pemin | 0,25 | Niska |
| 2. Zagrożenia nieautoryzowanego dostępu do informacji. | ||
| 2.1. Groźby niszczenia, kradzież sprzętu DELICA INFORMACJI MEDIA MIAŁAJĄCEGO Dostęp do elementów | ||
| 2.1.1. Kradzież PEVM. | 0,25 | Niska |
| 2.1.2. Kradzież informacji o mediach | 0,25 | Niska |
| 2.1.3. Kluczowe atrybuty kradzieży i dostępu | 0,25 | Niska |
| 2.1.4. Kradzież, modyfikacje, zniszczenie informacji | 0,25 | Niska |
| 2.1.5. Wniosek węzłów PC, kanały komunikacyjne | 0,25 | Niska |
| 2.1.6. Nieautoryzowany dostęp do informacji do konserwacji (naprawy, niszczenia) węzłów PEVM | 0,25 | Niska |
| 2.1.7. Nieautoryzowane środki zaradcze | 0,25 | Niska |
| 2.2. Zagrożenia defraudacji, nieautoryzowanej modyfikacji lub informacji blokujących z powodu nieautoryzowanego dostępu (NSD) przy użyciu oprogramowania i sprzętu i oprogramowania (w tym oprogramowania i wpływów matematycznych). | ||
| 2.2.1. Złośliwe oprogramowanie (wirusy) | 0,35 | średni |
| 2.2.2. NedEvented Systematyczne oprogramowanie i oprogramowanie do przetwarzania danych osobowych | 0,25 | Niska |
| 2.2.3. Instalacja nie związana z wykonaniem obowiązków służbowych | 0,25 | Niska |
| 2.3. Zagrożenia nie są celowymi działaniami użytkowników i zaburzeń bezpieczeństwa funkcjonowania CETA i SPSPDN w swojej kompozycji ze względu na awarie oprogramowania, a także zagrożenia nie-intruskdic (awarie sprzętu ze względu na niewiarygodność elementów, awarii zasilania) i Spontaniczne (wstrząsy piorunochronowe, pożary, powodzie itp.) Charakter. | ||
| 2.3.1. Utrata kluczy i atrybutów dostępu | 0,35 | średni |
| 2.3.2. Niezamierzona modyfikacja (zniszczenie) informacji przez pracowników | 0,25 | Niska |
| 2.3.3. Niezamierzone wyłączanie środków ochrony | 0,25 | Niska |
| 2.3.4. Dopasowanie oprogramowania sprzętowego | 0,25 | Niska |
| 2.3.5. Niepowodzenie systemu zasilania | 0,25 | Niska |
| 2.3.6. Katastrofa | 0,25 | Niska |
| 2.4. Zagrożenia celowych działań szkodników wewnętrznych | ||
| 2.4.1. Dostęp do informacji, modyfikacji, zniszczenie osób nie przyjętych do jego przetwarzania | 0,25 | Niska |
| 2.4.2. Ujawnienie informacji, modyfikacji, zniszczenia przez pracowników przyjętych do jego przetwarzania | 0,35 | średni |
| 2.5. Freaks o nieautoryzowanym dostępie dzięki kanałom komunikacyjnym. | ||
| 2.5.1. Analiza ruchu informacyjnego "Vanity" z przechwytywaniem informacji przesyłanych z kodu i odebrane z zewnętrznych sieci informacji: | ||
| 2.5.1.1. Przechwytywanie redestrów ze strefy kontrolowanej | 0,25 | Niska |
| 2.5.1.2. Przechwytywanie w strefie kontrolowanej przez osłonników zewnętrznych | 0,25 | Niska |
| 2.5.1.3. Perechavat w strefach kontrolowanych Wewnętrzni gwałciciele. | 0,25 | Niska |
| 2.5.2. Pragnienie skanowania mające na celu identyfikację typu lub typów używanych systemów operacyjnych, adresy sieciowe stacji roboczych płyty CD, topologii sieci, otwartych portów i usług, otwartych połączeń itp. | 0,25 | Niska |
| 2.5.3. Throoty wykrywania hasła przez sieć | 0,25 | Niska |
| 2.5.4. Harmonie narzucające fałszywą trasę sieciową | 0,25 | Niska |
| 2.5.5. Throoty zastępowania zaufanego obiektu w sieci | 0,25 | Niska |
| 2.5.6. Vintage realizacji fałszywego obiektu jest zarówno w sieciach mieszkalnych, jak i zewnętrznych | 0,25 | Niska |
| 2.5.7. Typ gardła "Niepowodzenie utrzymania" | 0,25 | Niska |
| 2.5.8. Harms premiery zdalnego zastosowania | 0,25 | Niska |
| 2.5.9. Freaks realizacji w sieci szkodliwych programów | 0,25 | Niska |
Tabela 19 - Autonomiczny typ IC VI
| Rodzaj zagrożeń bezpieczeństwa PDN | Współczynnik szybkości twarzy (y) | Możliwość wdrożenia |
| 1. Zagrożenia z wycieku na kanałach technicznych. | ||
| 1.1. Groźby wycieku informacji akustycznych | 0,25 | Niska |
| 1.2. Wyciek zagrożenia Informacje o kodzie | 0,25 | Niska |
| 1.3. Zagrożenia wycieku informacji przez kanały pemin | 0,25 | Niska |
| 2. Zagrożenia nieautoryzowanego dostępu do informacji. | ||
| 2.1. Groźby niszczenia, kradzież sprzętu DELICA INFORMACJI MEDIA MIAŁAJĄCEGO Dostęp do elementów | ||
| 2.1.1. Kradzież PEVM. | 0,25 | Niska |
| 2.1.2. Kradzież informacji o mediach | 0,25 | Niska |
| 2.1.3. Kluczowe atrybuty kradzieży i dostępu | 0,25 | Niska |
| 2.1.4. Kradzież, modyfikacje, zniszczenie informacji | 0,25 | Niska |
| 2.1.5. Wniosek węzłów PC, kanały komunikacyjne | 0,25 | Niska |
| 2.1.6. Nieautoryzowany dostęp do informacji do konserwacji (naprawy, niszczenia) węzłów PEVM | 0,25 | Niska |
| 2.1.7. Nieautoryzowane środki zaradcze | 0,25 | Niska |
| 2.2. Zagrożenia defraudacji, nieautoryzowanej modyfikacji lub informacji blokujących z powodu nieautoryzowanego dostępu (NSD) przy użyciu oprogramowania i sprzętu i oprogramowania (w tym oprogramowania i wpływów matematycznych). | ||
| 2.2.1. Złośliwe oprogramowanie (wirusy) | 0,35 | średni |
| 2.2.2. NedEvented Systematyczne oprogramowanie i oprogramowanie do przetwarzania danych osobowych | 0,25 | Niska |
| 2.2.3. Instalacja nie związana z wykonaniem obowiązków służbowych | 0,25 | Niska |
| 2.3. Zagrożenia nie są celowymi działaniami użytkowników i zaburzeń bezpieczeństwa funkcjonowania CETA i SPSPDN w swojej kompozycji ze względu na awarie oprogramowania, a także zagrożenia nie-intruskdic (awarie sprzętu ze względu na niewiarygodność elementów, awarii zasilania) i Spontaniczne (wstrząsy piorunochronowe, pożary, powodzie itp.) Charakter. | ||
| 2.3.1. Utrata kluczy i atrybutów dostępu | 0,35 | średni |
| 2.3.2. Niezamierzona modyfikacja (zniszczenie) informacji przez pracowników | 0,25 | Niska |
| 2.3.3. Niezamierzone wyłączanie środków ochrony | 0,25 | Niska |
| 2.3.4. Dopasowanie oprogramowania sprzętowego | 0,25 | Niska |
| 2.3.5. Niepowodzenie systemu zasilania | 0,25 | Niska |
| 2.3.6. Katastrofa | 0,25 | Niska |
| 2.4. Zagrożenia celowych działań szkodników wewnętrznych | ||
| 2.4.1. Dostęp do informacji, modyfikacji, zniszczenie osób nie przyjętych do jego przetwarzania | 0,25 | Niska |
| 2.4.2. Ujawnienie informacji, modyfikacji, zniszczenia przez pracowników przyjętych do jego przetwarzania | 0,35 | średni |
| 2.5. Freaks o nieautoryzowanym dostępie dzięki kanałom komunikacyjnym. | ||
| 2.5.1. Analiza ruchu informacyjnego "Vanity" z przechwytywaniem informacji przesyłanych z kodu i odebrane z zewnętrznych sieci informacji: | ||
| 2.5.1.1. Przechwytywanie redestrów ze strefy kontrolowanej | 0,35 | średni |
| 2.5.1.2. Przechwytywanie w strefie kontrolowanej przez osłonników zewnętrznych | 0,25 | Niska |
| 2.5.1.3. Perechavat w strefach kontrolowanych Wewnętrzni gwałciciele. | 0,25 | Niska |
| 2.5.2. Pragnienie skanowania mające na celu identyfikację typu lub typów używanych systemów operacyjnych, adresy sieciowe stacji roboczych płyty CD, topologii sieci, otwartych portów i usług, otwartych połączeń itp. | 0,25 | Niska |
| 2.5.3. Throoty wykrywania hasła przez sieć | 0,35 | średni |
| 2.5.4. Harmonie narzucające fałszywą trasę sieciową | 0,25 | Niska |
| 2.5.5. Throoty zastępowania zaufanego obiektu w sieci | 0,25 | Niska |
| 2.5.6. Vintage realizacji fałszywego obiektu jest zarówno w sieciach mieszkalnych, jak i zewnętrznych | 0,25 | Niska |
| 2.5.7. Typ gardła "Niepowodzenie utrzymania" | 0,25 | Niska |
| 2.5.8. Harms premiery zdalnego zastosowania | 0,35 | średni |
| 2.5.9. Freaks realizacji w sieci szkodliwych programów | 0,35 | średni |
Tabela 20 - Typ Fox I
Zagrożeniem jest pragnienie uruchomienia różnych wstępnie zaimplementowanego złośliwego oprogramowania na hoście: zakładki zakładek, wirusy, "Sieci szpiegowskie", którego głównym celem jest naruszenie poufności, integralności, dostępności informacji i pełnej kontroli nad pracą gospodarza . Ponadto możliwe jest nieautoryzowane uruchomienie programów aplikacji użytkownika dla nieautoryzowanych uzyskiwania niezbędnych danych od wiązania, aby rozpocząć procesy zarządzane przez program aplikacji itp.
Wyróżnia się trzy podklasę danych zagrożenia:
dystrybucja plików zawierających nieautoryzowany kodeks wykonywalny;
uruchomienie zdalnego aplikacji przez przepełnione bufory aplikacji;
uruchomienie aplikacji zdalnej przy użyciu opcji do systemu zdalnego sterowania dostarczane przez Ukryte oprogramowanie i zakładki sprzętowe lub używane przez standardowe środki.
Typowe zagrożenia pierwszego z określonych podklasach opierają się na aktywowaniu rozproszonych plików w przypadku przypadkowego dostępu do nich. Przykłady takich plików mogą być: pliki zawierające kod wykonywalny w dokumentach widoku zawierający kod wykonywalny w postaci elementów ActiveX, apletów Java, interpretowanych skryptów (na przykład tekstów na JavaScript); Pliki zawierające kody wykonywalnych programów. Usługi e-mail, przesyłanie plików, system plików sieciowych może być używany do dystrybucji plików.
Wraz z zagrożeniami drugiej podklasy, niedociągnięcia programów wdrażających usługi sieciowe (w szczególności, nie stosuje się żadnych kontroli nad przepełnieniem buforowym). Ustawianie rejestrów systemowych jest czasami możliwe, aby przełączyć procesor po przerwaniu spowodowanym przepełnieniem bufora, do wykonania kodu zawartego za granicą bufora. Przykładem wdrożenia takiego zagrożenia może być wprowadzenie szeroko znanego "wirusa Morrisa".
W zagrożeniu trzeciej podklasu, Violator wykorzystuje zdolność do zdalnego zarządzania systemem dostarczonym przez ukryte elementy (na przykład programy Trojan Type z powrotem. Oryfikacja, autobus netto) lub regularne kontrole i administrowanie sieciami komputerowymi (Landesk Management Suite, Managers , Otwór tylny itd. P.). W wyniku ich użycia możliwe jest uzyskanie pilota na stacji w sieci.
Jeżeli instytucja przetworzyła PDN, nie zostaną przesłane w stosunku do ogólnego użytku, a międzynarodowe sieci wymiany, ustalono ochronę antywirusową, ustalono prawdopodobieństwo zagrożenia - mało prawdopodobnym jest.
We wszystkich innych przypadkach należy oszacować prawdopodobieństwo zagrożenia.
Uogólniona lista prawdopodobieństwa wdrażania zagrożeń dla różnych rodzajów kanałów przedstawiono w tabeli 12.
Tabela 12.
|
Rodzaj Cauden. |
Prawdopodobieństwo zagrożenia |
Coff. prawdopodobieństwo zagrożenia odpornikiem |
|
Autonomiczny ICIPA. |
mało prawdopodobny | |
|
Autonomiczny jest IITIPA. | ||
|
Autonomiczny jest IIITIP. |
mało prawdopodobny | |
|
Autonomiczny jest Istip. | ||
|
Autonomiczny IC VTIPA. |
mało prawdopodobny | |
|
Autonomous IC Vitype. | ||
|
Fox Utype. |
mało prawdopodobny | |
|
Fox Ilipa. | ||
|
Rozproszona ITIPA. |
mało prawdopodobny | |
|
Dystrybuowany jest ITIPA. |
Złośliwe programy można wykonać (wdrożone) zarówno celowo, jak i losowo w oprogramowaniu stosowanym w projekcie, w procesie jego rozwoju, akompaniamentu, modyfikacji i ustawień. Ponadto, złośliwe oprogramowanie można wykonać podczas pracy CDN z mediów zewnętrznych lub interakcji sieciowych zarówno w wyniku NSD, jak i losowych użytkowników CAD.
Nowoczesne szkodliwe programy opierają się na wykorzystaniu luki różnego rodzaju oprogramowania (systemowego, ogólnego, stosowanego) i zróżnicowane technologie sieciowe., mają szeroki zakres możliwości destrukcyjnych (z nieautoryzowanego badania parametrów PDN bez ingerencji w funkcjonowanie płyty CD przed zniszczeniem PDN i oprogramowania CDN) i może działać we wszystkich typach oprogramowania (system, stosowane, w sterownikach sprzętowych itp.).
Obecność szkodliwych programów może przyczynić się do wystąpienia ukrytych, w tym nietradycyjnych kanałów dostępu do informacji, które umożliwiają otwarcie, obejście lub blokowanie mechanizmów ochronnych przewidzianych w systemie, w tym hasłem i ochronę kryptograficznej.
Główne typy szkodliwych programów to:
· Zakładki oprogramowania;
· Klasyczne wirusy oprogramowania (komputerowe);
· Złośliwe programy propagujące nad siecią (robaki sieciowe);
· Inne szkodliwe programy przeznaczone do wdrożenia NSD.
Zakładki oprogramowania obejmują programy, fragmenty kodu, instrukcje, które tworzą nieznajdoły się możliwości oprogramowania. Złośliwe programy mogą poruszać się z jednego gatunku do innego, na przykład, układanie oprogramowania może wygenerować wirus oprogramowania, który z kolei, uderzając w warunki sieciowe, może utworzyć robak sieciowy lub inny złośliwy program zaprojektowany do wdrożenia NSD.
krótki opis Główne szkodliwe programy są zredukowane do następujących. Uruchamianie wirusów zapisuje się do sektora rozruchowego dysku (sektor rozruchowy) lub w sektorze zawierającym rekord startowy Master) lub zmień wskaźnik do aktywnego sektora rozruchowego. Są wprowadzane do pamięci komputera podczas ładowania z zainfekowanego dysku. W tym przypadku, ładowarka systemowa odczytuje zawartość pierwszego sektora dysku, z którego wykonany jest pobieranie, umieszcza czytanie informacji w pamięci i przenosi do niego (I.e., wirus). Następnie rozpoczęto instrukcje wirusów, które z reguły zmniejsza ilość wolnej pamięci, kopiuje swój kod do opuszczenia miejsca i odczytuje jego kontynuację z dysku (jeśli istnieje), przechwytuje niezbędny wektor przerwań (zwykle int 13h), odczytuje oryginalny sektor rozruchu pamięci i przesyła kontrolę do niego.
W przyszłości wirus rozruchowy zachowuje się tak samo jak plik: przechwytywa odwołania system operacyjny Dyseksy i infekuje je, w zależności od niektórych warunków, destrukcyjne działania powodują efekty dźwiękowe lub efekty wideo.
Główne destrukcyjne działania wykonywane przez te wirusy to:
· Zniszczenie informacji w sektorach dyskietki i dysku twardego;
· Wyklucz możliwość ładowania systemu operacyjnego (komputer "zawiesza");
· Zakłócenie kodu ładującego;
· Formatowanie dyskietek lub dysków logicznych dysku twardego;
· Zamknięcie dostępu do portów COM i LPT;
· Wymiana symboli podczas drukowania tekstów;
· Screen drganie;
· Zmień etykietę dysku lub dyskietki;
· Tworzenie klastrów bez pseudo;
· Tworzenie dźwięku i (lub) efektów wizualnych (na przykład kropla
litery na ekranie);
· Pliki chorej danych;
· Wyświetla różne wiadomości;
· Odłącz urządzenia peryferyjne (na przykład klawiatura);
· Zmień paletę ekranową;
· Wypełnij ekran za pomocą wyjeźarów lub obrazów;
· Spłata ekranu i translacja w trybie bezczynności z klawiatury;
· Sektory szyfrowania dysku twardego;
· Selektywne zniszczenie znaków wyświetlanych na ekranie po ustawieniu z klawiatury;
· Redukcja pamięci RAM;
· Zmiana drukowania ekranu ekranu;
· Blokowanie rekordów na dysku;
· Odrzucenie tabeli partycji (tabela partycji dysku), po tym, że komputer można pobrać tylko z dyskietki;
· Blokowanie rozpoczęcia plików wykonywalnych;
· Blokowanie dostępu do Winchester.
|
Rysunek 3. Klasyfikacja wirusów oprogramowania i robaków sieciowych
Najbardziej rozruchowe wirusy zastępują się na dyskietkach.
Nadpisanie metody zakażenia jest najbardziej proste: wirus zapisuje swój kod zamiast kodu zainfekowanego pliku, niszcząc jego zawartość. Oczywiście, gdy plik przestaje działać i nie jest przywrócony. Takie wirusy bardzo szybko wykrywają się, ponieważ system operacyjny i aplikacje są dość szybko przestały działać.
Kategoria "Companion" obejmuje wirusy, które nie zmieniają zanieczyszczonych plików. Algorytm pracy tych wirusów jest to, że podwójny plik jest tworzony dla skażonego pliku, a gdy zainfekowany plik jest uruchamiany, kontrola otrzymuje ten bliźniaczy, czyli wirusa. Najczęstsze wirusy Companyon przy użyciu funkcji DOS, aby najpierw wykonać pliki za pomocą Extension.com, jeśli są dwa pliki o tej samej nazwie w jednym katalogu, ale przez różne nazwy nazwy - .com I.exe. Takie wirusy tworzą pliki satelitarne dla plików EXE, które mają tę samą nazwę, ale z Extension.com, na przykład plik XCOPY.com jest tworzony dla pliku xcopy.exe. Wirus jest nagrany w pliku COM i nie zmienia pliku EXE. Po uruchomieniu takiego pliku DOS, pierwszy wykryje i wykonuje plik COM, który jest, że wirus, który uruchomi się i plik EXE. Druga grupa powoduje, że wirusy, które są zakażone, zmień nazwę pliku do dowolnej innej nazwy, pamiętaj o tym (dla kolejnego uruchomienia pliku hosta) i napisz swój kod na dysku pod nazwą zainfekowanego pliku. Na przykład plik xcopy.exe jest przemianowany na XCOPY.EXD, a wirus jest napisany pod nazwą xcopy.exe. Podczas uruchamiania, kontrola odbiera kod wirusa, który następnie rozpoczyna oryginalny XCopy przechowywany pod nazwą xcopy.exd. Ciekawe jest fakt, że ta metoda działa, najwyraźniej we wszystkich systemach operacyjnych. Trzecia grupa obejmuje tak zwaną wirusy "Path-Companion". Albo napiszą swój kod pod nazwą zainfekowanego pliku, ale "powyżej" jeden poziom w proponowanych ścieżkach (DOS, więc pierwsza zostanie pierwsza wykryta i uruchomi plik wirusa) lub toleruje plik ofiarny na jeden podkatalog powyżej, itp.
Możliwe jest istnieć i inne rodzaje wirusów towarzyszących przy użyciu innych oryginalnych pomysłów lub funkcji innych systemów operacyjnych.
Robaki plików (Worms) są w pewnym sensie, rodzaj wirusów firmy, ale w żaden sposób nie łączą ich obecności z jakimkolwiek wykonanym plikiem. W reprodukcji kopią tylko swój kod do dowolnych katalogów dysku w nadziei, że te nowe kopie będą działać przez użytkownika. Czasami wirusy te dają swoje kopie "specjalnych" nazw, aby popchnąć użytkownika, aby uruchomić swoje kopie - na przykład install.exe lub Winstart.bat. Istnieją wirusy robaki, które wykorzystują dość nietypowe techniki, na przykład, nagrając swoje kopie w archiwach (AJ, ZIP i inne). Niektóre wirusy zapisują uruchomienie zainfekowanego pliku w plikach BAT. Nie należy mylić wirusów plików Chervi z robakami sieciowymi. Tylko pierwsze użycie funkcje plików. Każdy system operacyjny, drugi w ich reprodukcji wykorzystuje protokoły sieciowe.
Link wirusy, podobnie jak wirusy towarzyszące, nie zmieniają fizycznej zawartości plików, ale po uruchomieniu zainfekowanego pliku oprogramowanie OS wykonuje kod. Te cele docierają do modyfikacji niezbędnych pól systemów plików.
Wirusy, infekujące biblioteki kompilatorów, modułów obiektów i tekstów źródłowych programów są dość egzotyczne i praktycznie nie są powszechne. Wirusy, zainfekowanie plików OBJ i Lib, napisz swój kod w formacie modułu obiektu lub biblioteki. Zakażony plik nie jest zatem wykonywany i nie jest w stanie dalej rozprzestrzeniać wirusa w swoim aktualnym stanie. Przewoźnik wirusa "Żywy" staje się plikiem COM-EXE.
Po otrzymaniu kontroli wirus plików wykonuje następujące działania ogólne:
· Sprawdza pamięć RAM dla jego kopii i infekcji
pamięć komputerowa Jeśli nie znaleziono kopii wirusa (jeśli wirus jest rezydentem), wyszukuje nieprawidłowe pliki w bieżącym i (lub) katalogu głównym, skanując katalogi Logical Disk, a następnie infekuje wykryte pliki;
· Wykonuje dodatkowe (jeśli istnieją) funkcje: destrukcyjny
działania, efekty graficzne lub dźwiękowe itp. (Dodatkowe funkcje wirusa rezydenta można wywołać po chwili po aktywacji, w zależności od bieżącego czasu, konfiguracji systemu, wewnętrznych liczników wirusów lub innych warunków, w tym przypadku wirusa podczas aktywacji procesów zegara systemu, ustawia jego liczniki itp.);
· Zwraca zarządzanie głównym programem (jeśli jest).
Należy zauważyć, że szybszy wirus jest rozprzestrzeniany, im bardziej prawdopodobne jest wystąpienie epidemii tego wirusa, wolniej jest rozprzestrzenia się wirusa, trudniej jest je wykryć (jeśli oczywiście ten wirus jest nieznany). Wirusy nierezyderyczne są często "powolne" - większość z nich jest zainfekowana jednym lub dwoma lub trzema plikami podczas uruchamiania i nie ma czasu, aby unosić komputer przed uruchomieniem. program antywirusowy. (lub pojawienie się nowej wersji programu antywirusowego ten wirus). Istnieje oczywiście nie rezydentni "szybkich" wirusów, które szukają i infekują wszystkie pliki, ale takie wirusy są bardzo zauważalne: Po uruchomieniu każdego zainfekowanego pliku komputer ma niektóre (czasami wystarczająco długo) czas aktywnie działa z dysk twardy, który poniósł wirusa. Prędkość dystrybucji (zakażenie) w wirusach rezydenta jest zwykle wyższa niż nie rezydent - infekują pliki z wszelkimi odwołań. W rezultacie wszystkie pliki, które są stale używane w pracy, są zainfekowane na dysku. Szybkość dystrybucji (infekcja) wirusów rezydentów wirusów infekujących pliki tylko wtedy, gdy zaczęły się wykonywać, będą niższe niż wirusy infekujące pliki i gdy otwierają nazwę, zmieniając atrybuty plików itp.
Zatem główne destrukcyjne działania przeprowadzone przez wirusy plików są związane z klęską plików (częściej plików wykonywalnych lub danych), nieautoryzowane uruchomienie różnych poleceń (w tym formatowania, zniszczenia, polecenia kopiowania itp.), Zmiana tabeli Wektory przerwania i doktor w tym samym czasie, można wykonać wiele destrukcyjnych działań podobnych do tych wskazanych dla wirusów rozruchowych.
MacroMiruses (wirusy makro) to języki (makro-język) osadzone w niektórych systemach przetwarzania danych (edytory tekstowe, arkusze kalkulacyjne itp.). Dla jego reprodukcji, takie wirusy wykorzystują możliwości makro-języków i ich pomocy przenieść się z jednego zainfekowanego pliku (dokument lub tabela) do innych. Macrovirus były najczęstsze dla pakietu aplikacji Microsoft Office.
Do istnienia wirusów system specyficzny (Redaktor) Konieczne jest posiadanie wbudowanego makro-języka z możliwościami:
1) Wiązania programu na temat makro-języka do określonego pliku;
2) kopiuj makroprogramów z jednego pliku do drugiego;
3) Uzyskanie zarządzania programem makro bez interwencji użytkownika (automatyczne lub standardowe makra).
Te warunki spełniają stosowane programy Microsoft. Słowo, Excel i Dostęp Microsoft.. Zawierają makromazę: Słowo Podstawowe, Visual Basic dla aplikacji. W którym:
1) makogramy są powiązane z określonym plikiem lub znajdują się w pliku;
2) Makro-język umożliwia kopiowanie plików lub przeniesienia makroprogramów do plików serwisowych systemowych i edytowalnych plików;
3) Podczas pracy z plikiem pod pewnymi warunkami (otwieranie, zamykanie itp.), Nazywa się ramki makro (jeśli istnieją), które są zdefiniowane w specjalny sposób lub mają standardowe nazwy.
Ta funkcja makro-języka jest przeznaczona do automatycznego przetwarzania danych w dużych organizacjach lub w sieciach globalnych i umożliwia organizowanie tzw. "Zautomatyzowane zarządzanie dokumentami". Z drugiej strony, możliwości makro-językowe takich systemów pozwalają wirusowi przenieść swój kod do innych plików, a tym samym je infekować.
Większość makroirusów jest aktywna nie tylko w momencie otwarcia (zamykania) pliku, ale tak długo, jak sama edytor jest aktywny. Zawierają wszystkie swoje funkcje w formie standardowego słowa / makr Excel / Office. Istnieją jednak wirusy, które używają przyjęć ukrywania swojego kodu i przechowywania ich kodu w formie nie ma makra. Istnieją trzy takie przyjęcia, wszystkie korzystają z możliwości tworzenia, edycji i wykonywania innych makr. Z reguły podobne wirusy mają małe (czasami polimorficzne) makro wirusa, co powoduje wbudowany makro edytor, tworzy nowe makro, wypełnia go podstawowym kodem wirusa, wykonuje, a następnie, co do zasady, niszczy (aby ukryć ślady obecności wirusa). Główny kod takich wirusów jest obecny albo w samej makro wirusa w postaci ciągów tekstowych (czasami szyfrowanych) lub przechowywanych w obszarze zmiennych dokumentu.
Sieć obejmuje wirusy, które aktywnie korzystają z protokołów i możliwości lokalnych i globalnych sieci dla ich dystrybucji. Główną zasadą wirusa sieci jest możliwość niezależnego przesyłania kodu do zdalnego serwera lub stacji roboczej. "Full-flded" wirusy sieciowe mają również możliwość uruchomienia kodu na komputerze zdalnym lub przynajmniej "naciśnij Użytkownik, aby uruchomić zainfekowany plik.
Złośliwe programy, które zapewniają wdrażanie NSD mogą być:
· Programy wyboru i otwarcia haseł;
· Programy, które wdrażają zagrożenia;
· Programy demonstrujące wykorzystanie niekomklepionych możliwości oprogramowania i oprogramowania i sprzętu CDM;
· Programy generatora wirusa komputerowego;
· Programy wykazujące luki w zabezpieczeniach
informacje itp.
Ze względu na komplikację i zwiększenie różnorodności oprogramowania, liczba szkodliwych programów szybko się zwiększa. Dzisiaj znane jest ponad 120 tysięcy podpisów wirusów komputerowych. W tym samym czasie, nie wszystkie z nich reprezentują prawdziwe zagrożenie. W wielu przypadkach eliminacja luk w systemie lub oprogramowaniu do zastosowań doprowadziła do faktu, że liczba szkodliwych programów nie może już w nich wdrożyć. Często główne niebezpieczeństwo reprezentuje nowe szkodliwe programy.
Klasyfikacja naruszeń
Na podstawie przynależności do Dodge Wszyscy gwałciciele są podzielone na dwie grupy:
Naruszenicy zewnętrzni - osoby, które nie mają prawa pozostać na terytorium strefy kontrolowanej, w której sprzęt jest niecierpliwy;
Wewnętrzni gwałciciele - osoby, które mają prawo pozostać na terytorium strefy kontrolowanej, w której sprzęt jest nałożony.
Zewnętrzny przemodnik.
Jako wiązanie bezpieczeństwa informacji zewnętrznych rozpatrywany jest gwałciciel, który nie ma bezpośredniego dostępu do zasobów technicznych i zasobów systemu w strefie kontrolowanej.
Zakłada się, że sprzęt zewnętrzny nie może wpływać na chronione informacje na temat przecieków kanałów technicznych, ponieważ ilość informacji przechowywanych i przetwarzanych do mieszkań jest niewystarczająca do możliwej motywacji z zewnętrznego odporności na wykonywanie działań mających na celu wyciek informacji o wycieku kanały.
Zakłada się, że intruz zewnętrzny może wpływać na chronione informacje tylko podczas przelewu przez kanały komunikacyjne.
Wewnętrzny gwałtowny
Możliwości upośledzenia wewnętrznego są istotnie zależne od czynników ograniczających działających w strefie kontrolowanej, z których utrzymanie kompleksu środków organizacyjnych i technicznych, w tym selekcji, wyrównania i świadczenia personelu wysokiego szkolenia, tolerancji osoby fizyczne. Wewnątrz strefy kontrolowanej i kontroli nad kolejnością pracy mającej na celu zapobieganie i tłumienie nieautoryzowanego dostępu.
Komórki dystrybucji dystrybucji dystrybucji systemu zapewnia rozgraniczenie praw użytkownika, aby uzyskać dostęp do informacji, oprogramowania, sprzętu i innych zasobów, zgodnie z przyjętymi polityką bezpieczeństwa informacji (zasady). Do wewnętrznych przemodników mogą odnosić się (tabela):
Administratorzy określonych podsystemów lub baz danych kategorii II);
Użytkownicy, którzy są zewnętrznymi w stosunku do konkretnego AC (kategoria IV);
Osoby z możliwością dostępu do systemu transmisji danych (kategorii V);
Ord Pracownicy z autoryzowanym dostępem do pomieszczeń w pomieszczeniach, w których elementy są niecierpliwe, ale nie mają dostępu do nich (kategoria VI);
Personel serwisowy (Pracownicy bezpieczeństwa, inżynieryjne i inżynieryjne itp.) (Kategoria VII);
Upoważniony personel deweloperów CDN, który na zasadzie umownej ma prawo do utrzymania i modyfikowania elementów kategorii (kategoria VIII).
Twarze kategorii I i II są przypisane zadania do administrowania oprogramowaniem i sprzętem oraz bazami danych bazy danych do integracji i zapewnienia interakcji różnych podsystemów, które są częścią CDN. Administratorzy mogą potencjalnie wdrażać zagrożenia IB, wykorzystując możliwości bezpośredniego dostępu do chronionych informacji przetworzonych i przechowywanych w AMP, a także w zakresie technicznym i oprogramowania, w tym środków ochrony stosowanych w konkretnym AC, zgodnie z organem administracyjnym ustalone dla nich.
Osoby te dobrze znają główne algorytmy, protokoły realizowane i stosowane w konkretnych podsystemach i niepewności jako całości, a także z obowiązującymi zasadami i koncepcjami bezpieczeństwa.
Zakłada się, że mogą użyć standardowe wyposażenie albo zidentyfikować luki lub realizację zagrożeń IB. Sprzęt ten może być oba części personelu i może odnosić się do łatwo uzyskanego (na przykład, oprogramowanie uzyskane z publicznie dostępnych źródeł zewnętrznych).
Ponadto zakłada się, że osoby mogą mieć specjalistyczny sprzęt.
Kategorie Osoby I i II, ze względu na ich wyjątkową rolę, należy zastosować kompleks specjalnych środków organizacyjnych i reżimowych, należy stosować do ich wyboru, zatrudnienia, powołania i kontroli spełnienia obowiązków funkcjonalnych.
Zakłada się, że tylko zaufane osoby zostaną uwzględnione w liczbie kategorii I i II, a zatem osoby te są wyłączone z liczby prawdopodobnych osób.
Zakłada się, że twarze kategorii III-VIII odnoszą się do prawdopodobnych gwałcicieli.
Możliwości upośledzenia wewnętrznego są znacznie zależne
Od reżimu obowiązuje w strefie kontrolowanej
oraz środki ochrony organizacyjnej i technicznej, w tym dopuszczenie osób fizycznych do PDN i kontroli procedury prowadzenia prac.
Krajowy potencjalni gwałciciele są podzielone na osiem kategorii, w zależności od metody dostępu i uprawnienia dostępu do PDN.
Ten artykuł jest poświęcony analizie nowoczesne technologie.reprezentujący zagrożenie dla bezpieczeństwa komputera i głównych trendów w rozwoju złośliwego oprogramowania w 2006 roku.
Ogólne trendy w rozwoju szkodliwych programów
W 2006 r. Autor znalazł i przeanalizował 49,697 unikalnych odmian szkodliwych programów, a 47,907 z nich należą do głównych rodzin. Zgodnie z wynikami ich analizy, schemat został zbudowany, odzwierciedlając odsetek szkodliwych programów na temat rodzin rocznie (ryc. 1).
Figa. 1. Odsetek próbek ITW przez rodziny
Jak widać na diagramie, 37% wszystkich badanych programów to złośliwe programy, takie jak Trojan-Downloader. Jest to stały trend, który jest śledzony od 2005 r. I jest związany z faktem, że Trojan-Downloader jest używany do ustawienia złośliwego oprogramowania, aktualizuje ich wersje i odzyskiwanie w przypadku usunięcia przez antywirus. Większość badanych przypadków uszkodzenia komputera na złośliwym oprogramowaniu pociąga za sobą dokładnie uruchomienie trojan-downloader, ze względu na wykorzystanie exploita lub metod inżynierii społecznej. Poniższe oczekiwania są robaki pocztowe i sieciowe, programy trojańskie różnych typów i programów klasy dialera.
Analiza statystyczna Dynamiki wykrywania ITW (w Wild) Próbki pokazuje, że programistki złośliwego oprogramowania zostały przyjęte i aktywnie korzystają z nowej technologii do zwalczania skanerów podpisowych. Technika jest niezwykle prosta i leży w fakcie, że deweloper tworzy setki opcji dla tego samego złośliwego oprogramowania na krótki okres czasu. Większość proste metody Otrzymanie różnych opcji są następujące:
- przepakowanie z różnymi pakowaczami i kryptinami - może być wykonywany okresowo lub w momencie żądania pliku, zestaw pakowaczy i ich parametry mogą się różnić losowo. Często autorzy złośliwego oprogramowania używają zmodyfikowanych pakerów i cratyków, co utrudnia sprawdzenie;
- odwzajemnić plik z modyfikacjami wystarczającymi do zmiany podpisów plików, dla których jest wykryty;
- umieszczenie złośliwego pliku do pakietu instalacyjnego utworzonego przy użyciu instalatorów typu NSIS (Scriptable System Installation). Dostępność Open. kod źródłowy Instalator umożliwia nieco modyfikowanie go, co spowoduje automatyczne rozpakowanie i analizę podczas kontroli antywirusowej.
Wymienione techniki od dawna są znane i mogą być stosowane w różnych kombinacjach, co pozwala autorowi szkodliwego programu bez znacznie trudności z tworzeniem setek opcji dla tego samego programu bez stosowania klasycznych technik polimorficznych. Możesz śledzić go na przykładzie Trojan-Downloader. Win32.Zlob. Rozważ statystyki swoich odkrywek w ciągu ostatnich 40 dni (rys. 2).
Figa. 2. Dynamika wykrywania Trojan-Downloader.Win32.Zlob w 40 dni
W tym okresie autor odkrył 2198 próbek ITW Trojan-Downloader.Win32. Zlob, z którego 1213 jest wyjątkowy. Wykres pokazuje dwie krzywe: liczba wykrywania dziennie i liczba unikalnych odmian plików. Z wykresu widać, że o każdej sekundzie wykrytych próbki ITW jest unikalnym plikiem, a zależność ta jest konsekwentnie utrzymywana w ciągu miesiąca. Jeśli polegasz na klasyfikacji Kaspersky Lab, a następnie traktowane 1213 Próbki należą do 169 diagnostyczności tego złośliwego programu. Takie statystyki są bardzo wskazujące: Istnieje wiele szkodliwych programów, dla których wykrywane są dziesiątki nowych modyfikacji.
Kolejny charakterystyczny trend można śledzić na przykładzie Warezova robaka pocztowego. Przez miesiąc autor nagrał 5333 próbek ITW, z których 459 są wyjątkowe. Wykres rozkładu aktywności pokazano na FIG. 3.
Figa. 3. Działalność robaków pocztowych Warezov
Zęby na wykresie to okresy epidemii, które są związane z pojawieniem się nowych odmian robaków (w tym przypadku: e-mail-Worm.Win32.Warezov.gj, e-mail-Worm.Win32. Warezov.fb, e-mail-Worm.Win32.Warzov .hb). Od wykresu widać, że aktywna epidemia trwa średnio 2-5 dni, po czym liczba wykrywania Warezowa spada na poziomy "tło" - 10-30 próbek dziennie. Wygląd takich serii jest dość wyjaśniony - nowa różnorodność robaka nie jest wykrywana przez antywirus, w wyniku czego robak uderza w mszą masę i epidemia. Rozwija się szybko, jednak w ciągu dnia podpisu robak wpada w podstawę antywirusów, a epidemia szybko idzie do spadku.
Oddzielnie należy zauważyć aktywną dystrybucję programów Trojan-Spy-Spy Trojan, niosąc dane osobiste użytkownika. Wśród nich są wyróżnione słynnym Goldun, który stwierdza informacje o rekordach księgowych E-Gold. Ostatnie odmiany tego programu Trojan są aktywnie używane przez technologie rootkit do maskowania i szpiegostwa (rys. 4).
Figa. 4. Harmonogram aktywności Trojan-Spy na ostatni miesiąc
Analiza technologii wykorzystywanych przez twórców szkodliwych programów pokazuje, że w 2006 r. Nie wynaleziono rewolucyjnych nowych technologii - twórcy złośliwego oprogramowania są przyjmowane przez ilość, a nie jakość. Niemniej jednak pojawiło się kilka nowych produktów, które zasługują na bardziej szczegółową dyskusję.
Podsumowując, rozważ skonsolidowany uśredniony harmonogram, zbudowany zgodnie z automatycznym monitorowaniem autora aktywności wirusowej (rys. 5).
Figa. 5. Statystyki systemowe. automatyczne wyszukiwanie złośliwe programy przez ostatnie 40 dni
Z wykresu widać, że automatyczny system dziennie jest zarejestrowany średnio około 400 nowych unikalnych odmian złośliwego oprogramowania.
Technologia rootkit.
W 2006 r. Zaobserwowano rozwój i poprawę różnych rodzajów rootkitów i technologii rootkitów. Technologie te stosują wiele szkodliwych programów, a istnieje kilka ich kierunków:
- rootkit Technologie do przebrania, którego głównym celem jest maskowanie obecności złośliwego programu i jego komponentów na dysku i pamięci, a także klawisze maskujące w rejestrze. Aby rozwiązać ten problem, najczęściej stosuje się przechwytywanie funkcji API, a w nowoczesnych programach Roottitów znajdują się bardzo zaawansowane techniki przechwytywania, takie jak wprowadzenie kodu w niewywydzone funkcje jądra, przechwytywanie przerwy INT2E, modyfikację sysentera. Oddzielnie należy odnotować DKOM-Rootkite (manipulacja bezpośrednich obiektów jądra), które stają się coraz bardziej popularne;
- rukkit Technologie dla szpiegostwa - w następujący sposób z nazwiska, są one używane do śledzenia pracy użytkownika i zbierają poufne informacje. Najbardziej charakterystycznym przykładem jest Trojan-Spy.Win32.Goldun, który przez zasadę Rootkit przechwytuje wymianę aplikacji z Internetem do wyszukiwania w strumieniu przesyłane informacje przybory karty kredytowe Użytkownik.
Rozważmy bardziej szczegółowo DKOM-Rootkits. Zasada ich pracy opiera się na modyfikacjach struktur systemowych opisujących procesów, sterowników, strumieni i deskryptorów. Takie zakłócenia w strukturach systemowych, naturalnie, jest nieudokumentowaną i bardzo nieprawidłową obsługą, ale system po takiej interwencji nadal pracuje mniej więcej. Praktyczną konsekwencją takiej interwencji jest to, że atakujący wydaje się możliwość manipulowania strukturami jądra do własnych celów. Na przykład, dla każdego z procesów uruchomionych w jądrze, strukturę eProcess, która przechowuje wiele informacji o procesie, w szczególności jego identyfikator (PID) i nazwa procesu. Te struktury tworzą listę dwóch linków i są używane przez funkcje API, które zwracają informacje o uruchamiane procesy.. Aby przebierać proces DKom-Roottite, wystarczy usunąć jego strukturę eProcess z listy. Wdrożenie takiego przebrania jest niezwykle proste, a dziesiątki gotowych wdrożeń z tekstami źródłowymi można znaleźć w Internecie. Bardziej złożone rootkity nie są ograniczone do usuwania struktury zamaskowanego obiektu z listy - zniekształcają zawarte w nim dane. W rezultacie, nawet jeśli Antry Sąd może znaleźć ukrytego proces lub kierowcę, otrzyma nieprawidłowe informacje o nim. Ze względu na prostotę wdrażania takie rootkity stają się coraz bardziej popularne, a staje się trudniejsze do ich walki. Badania wykazały, że najbardziej skuteczna metoda Kontrakcja dla nich jest zainstalowanie w systemie monitora, zgodnie z rozpoczęciem / zakończeniem procesów i sterownikami załadunkowymi / rozładunkowymi. Porównanie z informacjami zebranymi przez takiego monitora z danymi zwróconych przez system umożliwia wykrywanie modyfikacji produkowanych przez DKOM-Brottite, zrozumieć ich charakter i wykrywanie ukrytymi procesów i kierowców.
Program Hoax.
Kierunek programów Hoax nadal rozwija się aktywnie rozwijać, więc możesz pewnie przewidzieć wzrost tej rodziny w 2007 roku. W dosłownym tłumaczeniu oszustwa - jest to oszustwo; Kłamstwa, oszustwo, nieprawda. Pomysł programów oszustwa jest oszustwa użytkownika, najczęściej w celu uzyskania zysków lub uprowadzenia poufnych informacji. Ostatnio nastąpiła tendencja kryminalizacji tej branży: jeśli rok temu większość programów Hoax dokonała stosunkowo nieszkodliwych działań, symulując infekcję komputerową z wirusami lub kodem szpiegującym, a następnie nowoczesne są coraz częściej skierowane do uprowadzenia haseł lub poufnych informacji. Przykład tego programu jest pokazany na FIG. 6.
Figa. 6. Okno programu Hoax.win32.Delf
W następujący sposób z okna programu i jego opisów jest generator licencji dla Kaspersky Anti-Virus. Program oferuje uzyskanie wygenerowanej licencji na podanie adresu e-mail i hasła, aby uzyskać dostęp do skrzynki pocztowej. Jeśli łatwowiernik robi to i naciśnij przycisk "CIRTR", dane wprowadzone przez nich zostaną przeniesione przez napastnika pocztą elektroniczną. W ciągu ostatniego roku odkryto ponad sto takich programów: są to różnorodne "Crek", generatory kart płatniczych operatorów komórkowych, generatorów numerów kart kredytowych, środki "Hacking" skrzynki pocztowe itp. Ogólna cecha takich programów jest oszustwa użytkownika mającym na celu, że niezależnie wprowadził niektóre poufna informacja. Drugą charakterystyczną cechą aplikacji Hoax jest ich prymityność: zawierają wiele błędów i nieprawidłowości w kodzie programu. Podobne programy często tworzą nowicjusze wirusy.
Trend rozwój programów Hoax można rozważyć przy użyciu przykładowego Hoax.Win32.renos (rys. 7).
Figa. 7. Dynamika wykrywania Hoax.Win32.renos przez ostatnie 30 dni
Od wykresu widać, że autor w dniu ujawnia co najmniej jedną nową wyjątkową różnorodność tego złośliwego oprogramowania, aw zaledwie miesiącu znajdują się 60 nowych unikalnych opcji, które są zawarte w 18 subdivity na temat klasyfikacji Kaspersky Lab .
Programy trojańskie do szantażu i wymuszenia
Programy tej odmiany pojawiły się po raz pierwszy kilka lat temu. Ich głównym celem jest bezpośredni użytkownik szantażowy i wymuszanie pieniędzy na przywrócenie wydajności komputera lub rozszyfrowania informacji zakodowanych przez program Trojan. Najczęściej autor musi otrzymywać raporty i prośby o pomoc od użytkowników dotkniętych Trojan.Win32.KRotten, Extorted 25 WMZ do przywracania wydajności komputera. Ten program Trojan jest niezwykle prymitywny na urządzeniu, a jego całe prace sprowadza się do modyfikacji setek kluczy w rejestrze (z szczegółowy opis Jedna z jego odmian można znaleźć na stronie: http://www.z-oleg.com/secur/vww.z-oleg.com/secur/virist/vir1180.php). Specyfiki programów trojańskich tej rodziny jest to, że nie ma wystarczającej liczby wyszukiwania i zniszczenia trojana do traktowania komputera - konieczne jest przywrócenie uszkodzeń spowodowanych przez system. Jeśli Trojan Krakten utworzony przez uszkodzenia rejestru jest dość łatwe, to zaszyfrowane informacje są znacznie bardziej skomplikowane. Na przykład twórca danych szyfrowania użytkownika programu Trojan GPCode stopniowo zwiększa długość klucza szyfrowania, w ten sposób wyrzucając wezwanie do firm antywirusowych. Możesz przeczytać więcej o tym trojanie w artykule "Blackmail" pod adresem: http://www.viruslist.com/enalizy?pubid\u003d188790045.
Wstrzykiwanie kodu programu jako ukrytej metody startowej
Technologia ta jest najjaśniejsza w nowoczesnym trojańskim, ale stopniowo zaczyna się wprowadzać w innych szkodliwych programach. Technika jej jest stosunkowo prosta: złośliwy program konwencjonalnie składa się z dwóch części - "wtryskiwacza" i kodu trojańskiego. Zadaniem "Wtryskiwacza" jest rozpakowywanie i rozszyfrować kod trojański i jego wprowadzenie do rodzaju procesu systemu. Na tym etapie badane szkodliwe programy różnią się metodą wdrażania kodu trojańskiego:
- wprowadzenie, zastępując kontekst - zasada takiego wdrożenia obejmuje przygotowanie i dekodowanie kodu trojańskiego (krok 1), uruchomienie dowolnego procesu systemu, a podczas tworzenia procesu jest tworzony w trybie "SLEEP" (zawieszony) (krok 2). Następnie wtryskiwacz wprowadza kod trojana do pamięci procesu (a takie wprowadzenie może być wykonane na górze kodu maszyny w procesie), po czym modyfikuje kontekst głównego strumienia w taki sposób, że kierownictwo otrzyma Kod Trojana (krok 3). Następnie uruchomiono główny strumień i wykonuje się kod trojański. Ta metoda jest interesująca, ponieważ każdy menedżer procesów pokaże wykonanie legalnego programu (powiedzmy, svchost.exe), ale jednocześnie kod Trojan zostanie wykonany zamiast kodu maszyny legalnego programu. Ta metoda pozwala obejść ogniowo zapory, które nie mają środka kontrolowania modyfikacji pamięci pamięci i kontekstu jego strumieni (rys. 8);
Figa. 8. Wdrożenie zastępowania kontekstu
- wprowadzenie trojanów - ta metoda jest ideologicznie podobna do poprzedniego, ale zamiast zastępować kodeksu silnika procesu trojańskiego i jego wykonanie w gwintowaniu głównym, dodatkowy strumień jest wykonany, w którym wykonany jest kod trojana (krok 2) . Metoda ta jest często używana do wstrzyknięcia kodu trojańskiego do istniejącego procesu bez zakłócania jej działania (rys. 9).
Figa. 9. Wdrożenie sposobem tworzenia przepływu trojańskiego
Nowe metody mocy Whebmoney
Pod koniec 2006 r. Znaleziono nową, raczej oryginalną metodę kradzieży pieniędzy w systemie WebMoney. Opiera się na wprowadzeniu małego programu Trojan na komputerze, który śledzi, czy okno programu WebMoney jest otwarte. Jeśli jest otwarty, bufor wymiany jest monitorowany. Gdy tekst znajduje się w buforze, począwszy od "Z", "R" lub "E", program trojan uważa, że \u200b\u200bjest to numer portfelu odbiorcy, który użytkownik kopiował do schowka, aby wprowadzić okno WebMoney. Numer ten jest usuwany z bufora i zastępuje numer "Z", "R" lub "E" portfel atakującego. Metoda jest niezwykle łatwa do wdrożenia i może być dość skuteczna, ponieważ liczba portfeli jest naprawdę najczęściej wprowadzana, ale są skopiowane przez bufor, a nie wszyscy użytkownicy uważnie sprawdzają, czy numer portfela włożony z bufora. Ten Troyan jest wizualną demonstracją pomysłowości programistów programów trojańskich.
Wykrywanie debugera i wirtualnego komputera
Metody zwalczania debugera, emulatorów i komputerów wirtualnych są znane przez długi czas. Ich wykorzystanie utrudnia przeanalizowanie złośliwego programu dla początkującego specjalisty, więc takie technologie miały długość i wystarczająco z powodzeniem dotyczą deweloperów złośliwego oprogramowania. Jednak w ciągu ostatniego roku nastąpił nowy trend: złośliwe programy zaczęły definiować typ komputera - prawdziwy jest żelazo lub emulacja utworzona przez wirtualny komputer lub VMware. Podobne wirtualne komputery były całkiem aktywnie używane i stosowane przez administratorów do zbadania podejrzanych programów. Jeśli istnieje inspekcja w przypadku uruchomienia na wirtualnym komputerze (jako opcja - pod debuggerem), złośliwy program może po prostu awarie, aby zakończyć swoją pracę, co zapobiegnie jej badaniem. Ponadto taka inspekcja uderzy w systemy Norman Sandbox, ponieważ ich zasada analizy heurystycznej, w istocie, jest rozpoczęcie programu badanego na emulatorze i badaniu jego pracy. Pod koniec roku Sans Institute Sans Tom Liston (Tom Liston) i Ed Skudis (Ed Skoudis) opublikowali bardzo interesujące sprawozdanie z opisem techniki odkrywania maszyn wirtualnych i zwalczania metod wykrywania. Dokument można pobrać z serwisu SANS http://handlers.sans.org/tliston/thwartingvmdetection_liston_swardis.pdf.
Boty spamowe i proxy trojańskie
Spam Bot jest autonomicznym programem trojanowym zaprojektowanym do automatycznego wysyłania spamu z komputera dotkniętego. Trojan proxy jest złośliwym programem z funkcjami serwera proxy, jego działanie na komputerze dotyczącym dotkniętego komputera umożliwia napastnikowi korzystanie z go jako serwera proxy do wysyłania spamu, utrzymywania ataków na innych komputerach i wykonywać inne bezprawne działania. Wiele nowoczesnych botów spamowych aktywnie maskuje ich obecność technologii rootkit i są chronione przed usunięciem. Statystyki pokazują, że wykryto więcej niż 400 odmian takich programów w miesiącu, z czego około 130 jest nowe, wyjątkowe.
Bot Spam jest wielkim zagrożeniem dla sieci korporacyjnych, ponieważ jego praca prowadzi do następujących konsekwencji:
- duża konsumpcja ruchu sieciowego - w większości rosyjskich miast nie jest jeszcze dostępny nieograniczone taryfy.Dlatego obecność w sieci kilku komputerów dotkniętych może prowadzić do namacalnych strat finansowych z powodu wydatków drogowych;
- wiele sieci korporacyjne. Aby uzyskać dostęp do Internetu, statyczne adresy IP, a Twoje własne serwery pocztowe są używane. W związku z tym, w wyniku działalności botów spamowych, te adresy IP szybko spadną na czarne listy filtrów antyspamskich, co oznacza, że \u200b\u200bserwery poczty w Internecie przestaną odbierać pocztę z serwera poczty korporacyjnej firmy. Możesz wykluczyć swój adres IP z czarnej listy, ale jest to dość trudne, a jeśli jest tymczasowy środek w sieci pracujących botów spamowych.
Metody przeciwdziałania botów spamowych i proxy trojańskich są bardzo proste: musisz zablokować port 25 dla wszystkich użytkowników, a najlepiej jest, że jest ono zabronione dla bezpośredniej wymiany z Internetem, zastępując go pracownikami poprzez serwery proxy. Na przykład w Smolenkenergo wszyscy użytkownicy pracują z Internetem tylko przez serwer proxy z systemem filtracyjnym, a półautomatyczne badania protokołów jest wykonywane codziennie, który jest wykonywany przez administratora systemu. Analizator używany do nich ułatwia wykrywanie anomalii w ruchu użytkownika i podejmować środki, aby blokować podejrzaną aktywność w odpowiednim czasie. Co więcej, doskonałe wyniki. System IDS (system wykrywania włamań), studiowanie ruchu użytkownika sieciowego.
Dystrybucja szkodliwych programów z pagerami internetowymi
W przypadku statystyk zebranych w ciągu roku, pagery internetowe są coraz częściej używane do wdrożenia złośliwego oprogramowania na komputerach użytkowników. Technika wdrażania jest klasyczna inżynieria społeczna. Z zainfekowanego komputera, w imieniu ICQ jego właściciela, złośliwy program wysyła wiadomości wzywające do konkretnego pretekstu, aby otworzyć określony link. Link prowadzi do programu Trojan (zwykle z semantyczną nazwą typu zdjęcia.pif lub flash_movie.exe) lub do witryny, której strony zawierają exploit. Należy zauważyć, że fakt, że stosowane są linki do szkodliwych programów, a nie ich ciał.
W ciągu ostatniego roku odnotowano kilka epidemii na podstawie tej zasady. W Rosji użytkownicy ICQ byli w większości dotknięci, a tym samym rozpowszechniają program Trojan-PSW kategorii do programów Trojan, hasła użytkownika haseł użytkownika. Autor średnio otrzymuje od jednego do dziesięciu wiadomości dziennie, a do końca roku jest aktywacja takich biuletynów.
Złośliwa ochrona przed ochroną ten typ Niezwykle prosty - nie powinien otwierać podobnych linków. Jednakże statystyki pokazują, że ciekawość użytkowników często przeważa, istnieje więcej, jeśli wiadomości pojawiają się w imieniu dobrze znanej osoby. W środowisku korporacyjnym skuteczny środek jest zakazem korzystania z pagerów internetowych, ponieważ pod względem bezpieczeństwa są one idealnym kanałem wycieku kanału.
Nośniki flash USB.
Znaczny spadek cen przewoźników flash (jak również wzrost ich objętości i prędkości) doprowadziły do \u200b\u200befektu naturalnego - szybki wzrost ich popularności wśród użytkowników. W związku z tym programistrzy złośliwego oprogramowania zaczęli tworzyć programy infekujące napędy flash. Zasada działania takich programów jest niezwykle prosta: dwa pliki są tworzone w głównym dysku - plik tekstowy Autorun.inf i kopia złośliwego programu. Plik Autorun służy do automatycznego autorunu, gdy dysk jest podłączony. Klasycznym przykładem takiego złośliwego programu jest promienie robaków pocztowych. Ważne jest, aby pamiętać, że aparat cyfrowy może działać jako nośnik wirusa, wielu telefony komórkowe, Odtwarzacze MP3 i PDA - z punktu widzenia komputera (i robaka, są nie do odróżnienia z dysku flash. W tym przypadku obecność złośliwego programu nie wpływa na działanie tych urządzeń.
Miara ochrony przed takimi programami może być zamykanie autorun, stosowanie monitorów antywirusowych do terminowego wykrywania i usunięcia wirusa. Przed zagrożeniem dotyczącym naruszenia wirusów i wycieków informacji wiele firm trafiło do bardziej rygorystycznych środków - zablokować możliwość podłączenia urządzeń USB za pomocą specjalistycznego oprogramowania lub blokowania sterowników USB w ustawieniach systemu.
Wniosek
Artykuł ten obejmował główne kierunki rozwoju szkodliwych programów. Ich analiza pozwala na dokonanie kilku prognoz:
- można założyć, że kierunek kampanii ze skanerów podpisów i ochrona przed uruchomieniem komputerów wirtualnych będzie aktywnie rozwija się na komputerach wirtualnych i emulatorach. W związku z tym, różne analizatory heurystyczne, zapory ogniowe i proaktywne systemy ochrony przed zwalczaniem takich szkodliwych programów;
- istnieje jasna kryminalizacja gałęzi rozwoju złośliwego oprogramowania, proporcji botów spamowych, proxy Trojan, programy trojańskie do kradzieży haseł i osobistych danych użytkowników rośnie. W przeciwieństwie do wirusów i robaków, takie programy mogą mieć zastosowanie do użytkowników o namacalnych uszkodzeń materiałowych. Rozwój branży programów trojańskich zaangażowanych w zaszyfrowane dane użytkownikom myśli o wykonalności okresowej kopia rezerwowaktóry napędza się, aby zerować obrażenia z takiego trojana;
- analiza przypadków zakażenia komputerów pokazuje, że często atakujący są realizowane przez hakowanie serwerów internetowych, aby pomieścić złośliwe programy na nich. Taka hakowanie jest znacznie bardziej niebezpieczne niż tzw defeisa (wymiana strony strony), ponieważ odwiedzający witrynę można zainfekować komputerami. Można założyć, że ten kierunek rozwija się całkiem aktywnie;
- tarcze flash, aparaty cyfrowe, odtwarzacze MP3 i PDA stają się coraz bardziej zagrożone bezpieczeństwem, ponieważ mogą działać jako nośniki wirusów. Wielu użytkowników nie doceniają niebezpieczeństwa wychodzącego, powiedzmy z aparatu cyfrowego, jednak autor na rok 2006 był w stanie zbadać co najmniej 30 incydentów związanych z podobnymi urządzeniami;
- analiza urządzenia i zasad złośliwego oprogramowania pokazuje, że możliwe jest ochrona przed nimi bez antywirusów - po prostu nie będą mogli działać w kompetentnie skonfigurowanym systemie. Główną zasadą ochrony jest pracą Użytkownika na podstawie ograniczonego konta, który w szczególności nie ma przywilejów na wpis foldery systemowe., na zarządzaniu usługami i kierowcom, a także na modyfikację klucze systemowe. Rejestr.
akt Redakcyjny 15.02.2008
"Podstawowy model zagrożeń dla bezpieczeństwa danych osobowych podczas przetwarzania w systemach informacyjnych danych osobowych" (UTV. 15.02.2008 FSTEC RF)
5. Zagrożenia nieautoryzowanego dostępu do informacji w systemie informacyjnym danych osobowych
Groźby NSD w mieszkaniach z wykorzystaniem oprogramowania i oprogramowania oraz sprzętu są realizowane w realizacji nieautoryzowanych, w tym losowych, dostępu, w wyniku tego, jakie naruszenie poufności (kopiowanie, dystrybucja nieautoryzowana), integralność (zniszczenie, zmiana) i Dostępność (blokowanie) PDN i obejmują:
dostęp do zagrożeń (penetracja) do środowiska operacyjnego komputerowego przy użyciu standardowego oprogramowania (narzędzia systemu operacyjnego lub zastosowanych programów aplikacji ogólnej);
Zagrożenia dla stworzenia nieprawidłowych środków oprogramowania (oprogramowanie i sprzęt) fundusze z powodu celowych zmian danych serwisowych, zignorują ograniczenia przewidziane w warunkach personelu dla kompozycji i charakterystyki przetwarzanych informacji, zniekształceń (modyfikacji) danych, itp.;
zagrożenia do wdrożenia szkodliwych programów (oprogramowanie i wpływ matematyczny).
Skład elementów opisu zagrożeń związanych z NSD do informacji w umieraniu pokazano na rysunku 3.
Ponadto możliwe są łączne zagrożenia, które są kombinacją tych zagrożeń. Na przykład, ze względu na wdrożenie szkodliwych programów, mogą być tworzone dla NSD do środowiska operacyjnego komputera, w tym poprzez tworzenie nietradycyjnych kanałów informacyjnych dostępu.
Zagrożenia dostępu (penetracja) w środowisku operacyjnym dzięki zastosowaniu standardowego oprogramowania są podzielone na zagrożenia dla bezpośredniego i zdalnego dostępu. Zagrożenia bezpośredniego dostępu są przeprowadzane przy użyciu oprogramowania i oprogramowania oraz sprzętu wejścia / wyjścia komputera. Zagrożenia zdalnego dostępu są realizowane za pomocą protokołów interakcji sieciowych.
Zagrożenia te są realizowane w stosunku do bazy danych na podstawie zautomatyzowanych miejsca pracy, nie zawartych w sieci komunikacyjnej publicznej i w odniesieniu do całej godności, która ma związek z sieciami komunikacyjnymi publicznymi i sieciami międzynarodowej wymiany informacji.
Opis zagrożeń dostępu (penetracja) do środowiska operacyjnego komputera formalnie może być reprezentowany w następujący sposób:
zagrożenie NSD w Dot: \u003d<источник угрозы>, <уязвимость ИСПДн>, <способ реализации угрозы>, <объект воздействия (программа, протокол, данные и др.)>, <деструктивное действие>.
Rysunek 3. Elementy opisu zagrożeń związanych z NSD do informacji w CDN
Zagrożenia do stworzenia awaryjnego trybu działania oprogramowania (oprogramowanie i sprzęt) fundusze są zagrożeniem "odmowy utrzymania". Z reguły zagrożenia te są uwzględniane w odniesieniu do bazy danych na podstawie lokalnych i rozproszonych systemów informacyjnych, niezależnie od wymiany informacji. Ich wdrożenie wynika z faktu, że podczas opracowywania oprogramowania systemu lub aplikacji nie jest uwzględnione możliwość celowych działań na temat docelowej zmiany:
warunki przetwarzania danych (na przykład, ignoruj \u200b\u200bograniczenia na długości pakietu wiadomości);
Formaty reprezentacji danych (z niezgodnością zmodyfikowanych formatów zainstalowanych do przetwarzania w ramach protokołów interakcji sieciowych);
Oprogramowanie do przetwarzania danych.
W wyniku realizacji zagrożeń "odmowy konserwacji", przelewek buforów i procedur przetwarzania blokowania, "zapętlących" procedur przetwarzania i "oświecenia" komputera, odrzucając pakiety wiadomości itp. Opis takich zagrożeń może być formalnie reprezentowany w następujący sposób:
zagrożenie "odmowy utrzymania": \u003d<источник угрозы>, <уязвимость ИСПДн>, <способ реализации угрозы>, <объект воздействия (носитель ПДн)>, <непосредственный результат реализации угрозы (переполнение буфера, блокирование процедуры обработки, "зацикливание" обработки и т.п.)>.
Zagrożenia dla wprowadzenia szkodliwych programów (oprogramowanie i oddziaływanie matematyczne) Jest niepraktyczne, aby opisać to samo szczegółowo, co powyższe zagrożenia. Wynika to z faktu, że przede wszystkim liczba szkodliwych programów jest już znacznie wyższa niż sto tysięcy. Po drugie, przy organizowaniu ochrony informacji w praktyce, z reguły, wystarczy, aby poznać klasę złośliwego programu, metod i konsekwencji z jego wdrożenia (zakażenie). W związku z tym zagrożenie oprogramowaniem i oddziałem matematycznym (PMW) może być formalnie reprezentowany w następujący sposób:
zagrożenie PMW w Dot: \u003d<класс вредоносной программы (с указанием среды обитания)>, <источник угрозы (носитель вредоносной программы)>, <способ инфицирования>, <объект воздействия (загрузочный сектор, файл и т.п.)>, <описание возможных деструктивных действий>, <дополнительная информация об угрозе (резидентность, скорость распространения, полиморфичность и др.)>.
Poniżej znajduje się ogólna charakterystyka źródeł zagrożeń bezpieczeństwa informacji, luki, które mogą być stosowane w realizacji zagrożeń związanych z NSD oraz charakterystyczną dla wyników nieuprawnionego lub przypadkowego dostępu. Charakterystyka metod wdrażania zagrożeń jest podana przy opisaniu zagrożeń dostępu (penetracji) do środowiska operacyjnego komputera, zagrożenia dla odmowy utrzymania i zagrożenia PMW.
Źródła zagrożeń związanych z NSD w Dodge mogą być:
gwałciciel;
nośnik złośliwego oprogramowania;
karta sprzętowa.
Zagrożenia bezpieczeństwa PDN związane z wdrażaniem zakładek sprzętu są określone zgodnie z dokumentami regulacyjnymi usługi bezpieczeństwa federalnej Federacja Rosyjska W sposób przepisany.
Zgodnie z obecnością stałych lub jednorazowych praw dostępu do strefy kontrolowanej (KZ), intruz podzielone są na dwa typy:
naruszenicy, którzy nie mają dostępu do mieszkań, które wdrażają zagrożenia z zewnętrznych sieci komunikacyjnych i (lub) sieciach międzynarodowych wymiany informacji są intruzami zewnętrznymi;
naruszenicy, którzy mają dostęp do Dodge, w tym użytkowników Dot, wdrażanie zagrożeń bezpośrednio w wewnętrznych intruzach.
Zewnętrzni gwałciciele mogą być:
usługi rozpoznawcze państw;
Struktury karne;
konkurenci (konkurencyjne organizacje);
nieuczciwy partnerów;
przedmioty zewnętrzne (osoby fizyczne).
Zewnętrzny intruz ma następujące funkcje:
Ćwicz nieautoryzowany dostęp do kanałów komunikacyjnych, pozostawiając poza siedzibą usług;
wykonaj nieautoryzowany dostęp dzięki zautomatyzowanej pracy związanej z publicznymi sieciami komunikacyjnymi oraz (lub) sieciami międzynarodowej wymiany informacji;
wykonaj nieautoryzowany dostęp do informacji przy użyciu specjalnych wpływu na oprogramowanie poprzez wirusy oprogramowania, złośliwe oprogramowanie, algorytmiczne lub oprogramowania zakładek;
Przeprowadzić nieautoryzowany dostęp poprzez elementy infrastruktury informacyjnej CADN, które w procesie ich koło życia (modernizacja, konserwacja, naprawa, recykling) okazuje się poza strefą kontrolowaną;
wpływ nieautoryzowanego dostępu poprzez systemy informacyjne działów interakcji, organizacji i instytucji, gdy są one podłączone do płyty CD.
Możliwości upośledzenia wewnętrznego są istotnie zależne od reżimu i środków technicznych i technicznych, które mają działać w strefie kontrolowanej, w tym dopuszczenie osób do PDN i kontroli procedury prowadzenia prac.
Krajowy potencjalni gwałciciele są podzielone na osiem kategorii, w zależności od metody dostępu i uprawnienia dostępu do PDN.
Pierwsza kategoria obejmuje osoby z autoryzowanym dostępem do Dodge, ale nie ma dostępu do PDN. Ten rodzaj naruszeń obejmuje urzędników, które zapewniają normalne przestępcze funkcjonowanie.
mieć dostęp do fragmentów informacji zawierających PDN i rozszerzenie za pośrednictwem wewnętrznych kanałów komunikacyjnych CDM;
Fragmenty informacji o topologii CDN (część komunikacji podsieci) oraz stosowanych protokołów komunikacyjnych oraz ich użyte usługi;
Umieść nazwy i identyfikować hasła zarejestrowanych użytkowników;
zmień konfigurację narzędzi technicznych CDN, tworząc zakładki oprogramowania i sprzętu oraz dostarczanie informacji za pomocą bezpośredniego połączenia z pomocą techniczne CD.
posiada wszystkie możliwości osób pierwszej kategorii;
Zna co najmniej jedną nazwę dostępu prawnego;
Ma wszystkie niezbędne atrybuty (na przykład hasło), zapewniając dostęp do pewnego podzbioru PD;
ma poufne dane, do których dostęp.
Jego dostęp, uwierzytelnianie i prawa dostępu do pewnego podzbioru PDN powinny być regulowane przez odpowiedni dostęp do usunięcia dostępu.
ma wszystkie możliwości osób pierwszej i drugiej kategorii;
Ma informacje o topologii bazy danych na podstawie lokalnego i (lub) rozproszonego systemu informacyjnego, przez który przeprowadzany jest dostęp, a kompozycja środków technicznych CDN;
ma możliwość bezpośredniego (fizycznego) dostępu do fragmentów technicznych CDN.
Ma pełne informacje na temat oprogramowania systemu i aplikacji używanego w segmencie (fragmentu) CDM;
Ma pełne informacje na temat środków technicznych i konfiguracji segmentu (fragmentu) CDN;
ma dostęp do środków ochrony informacji i rejestrowania, a także do poszczególnych elementów stosowanych w CDN segmentu (fragment);
ma dostęp do wszystkich segmentów technicznych (fragment) CETS;
posiada prawa konfiguracji i konfiguracji administracyjnej pewnego podzbioru środków technicznych segmentu (fragment) CDN.
Ma wszystkie możliwości ludzi z poprzednich kategorii;
ma pełne informacje o systemie i zastosowanym oprogramowaniu źródłowym;
ma pełne informacje o środkach technicznych i konfiguracjach.
ma dostęp do wszystkich środków technicznych informacji o przetwarzaniu i bezczelnych danych;
ma prawa konfiguracji i strojenia administracyjnego środków technicznych.
Administrator systemu wykonuje konfigurację i zarządzanie oprogramowaniem (oprogramowaniem) i sprzętem, w tym sprzęt odpowiedzialny za bezpieczeństwo chronionego obiektu: środki ochrony informacji kryptograficznych, monitorowania, rejestracji, archiwizacji, ochrony przed NSD.
ma wszystkie możliwości ludzi z poprzednich kategorii;
ma pełne informacje o Dodge;
ma dostęp do bezpieczeństwa informacji i rejestrowania i części kluczowe elementy Złapany;
Nie ma dostępu do konfiguracji środków technicznych sieci, z wyjątkiem sterowania (inspekcja).
Administrator bezpieczeństwa jest odpowiedzialny za zgodność z zasadami oddzielenia dostępu, do generowania kluczowych elementów, przesyłania haseł. Administrator zabezpieczeń wykonuje audyt tego samego środka ochrony obiektu jako administrator systemu.
posiada informacje o algorytmach i programach przetwarzania informacji dla Dodge;
Ma możliwości wykonywania błędów, niekomklepionych możliwości, zakładek oprogramowania, złośliwe oprogramowanie w oprogramowaniu CDN na etapie rozwoju, wprowadzenia i konserwacji;
może mieć jakiekolwiek fragmenty informacji o topologii DNT i środków technicznych przetwarzania i ochrony pds przetworzonych do CAD.
ma możliwości dokonywania zakładek do technicznych PHDN na etapie ich rozwoju, wdrażania i konserwacji;
Może mieć jakiekolwiek fragmenty informacji o topologii godności i technicznych środków przetwarzania i ochrony informacji w mieszkaniu.
Przewoźnik złośliwego programu może być element sprzętu komputerowego lub kontenera oprogramowania. Jeśli złośliwy program nie jest powiązany z żadnym programem aplikacji, a następnie rozważany jest jego przewoźnik:
Wyniesione media, I.e. dyskietka, dysk optyczny (CD-R, CD-RW), pamięć flash, wyobcowała Winchester itp.;
Wbudowane media (Winchesters, Microcircuits RAM, procesor, mikrokrążenia płyta główna, mikrokiriotyki urządzeń są osadzone w jednostka systemowa, - adapter wideo, deska sieciowa, karta dźwiękowa, modem, urządzenia wejściowe / wyjściowe magnetycznego sztywnego i dysków optycznych, zasilania itp., Mikroguity bezpośredniego dostępu, magistrali danych I / O);
obwody urządzeń zewnętrznych (monitor, klawiatura, drukarka, modem, skaner itp.).
Jeśli złośliwy program jest powiązany z dowolnym programem aplikacji, z plikami, które mają określone rozszerzenia lub inne atrybuty, z wiadomościami transmitowanymi przez sieć, to jego przewoźnicy to:
pakiety przesyłane przez wiadomości komputerowe;
pliki (tekst, grafika, wykonywalna itp.).
5.2. Ogólna cechy luki systemu informacyjnego danych osobowychWrażliwość systemu informacyjnego danych osobowych jest niedoborem lub słabość W systemie lub oprogramowaniu aplikacji (oprogramowanie i sprzęt) zapewniający zautomatyzowany system informacyjny, który może być wykorzystany do wdrożenia zagrożenia bezpieczeństwa dla danych osobowych.
Przyczyny występowania luk są:
błędy w projektowaniu i rozwoju oprogramowania (oprogramowanie i sprzęt) bezpieczeństwo;
umyślne działania w celu uzyskania słabości podczas projektowania i rozwoju oprogramowania (oprogramowanie i sprzęt) bezpieczeństwa;
nieprawidłowe ustawienia oprogramowania, bezprawna zmiana urządzeń i trybów programu;
Nieautoryzowane wdrażanie i stosowanie nieodkrytych programów z późniejszymi nierozsądnymi wydatkami zasobami (procesor ładowania, przechwytywania pamięci RAM i pamięci na zewnętrznych nośnikach);
wprowadzenie złośliwego oprogramowania, tworzenie luk w oprogramowaniu i oprogramowaniu oraz sprzęcie;
nieautoryzowane niezamierzone działania użytkowników prowadzące do luk;
awarie w pracy sprzętu i oprogramowania (spowodowane przez awarie zasilania, awaria elementów sprzętowych w wyniku starzenia się i zmniejszają niezawodność, zewnętrzne wpływy pola elektromagnetyczne urządzenia techniczne. itd.).
Klasyfikacja głównych luk jest przesunięty na rysunku 4.
Rysunek 4. Klasyfikacja luki oprogramowania
Poniżej znajduje się ogólna charakterystyka głównych grup luk w zabezpieczeniach CDN, w tym:
systematyczne luki oprogramowania (w tym protokoły interakcji sieciowych);
luki z zastosowań oprogramowania (w tym narzędzia bezpieczeństwa informacji).
5.2.1. Ogólna charakterystyka luki oprogramowania systemowegoLuki z oprogramowaniem systemowym należy rozważyć w odniesieniu do architektury budowy systemów komputerowych.
Jednocześnie możliwe są luki:
w oprogramowaniu układowym, w oprogramowaniu układowym ROM, PPZA;
w środkach systemu operacyjnego przeznaczonego do zarządzania lokalnymi zasobami CDM (dostarczanie funkcji kontroli wydajności, pamięci, urządzenia wejściowe / wyjściowe, interfejs użytkownika itp.), sterowniki, narzędzia;
W środkach systemu operacyjnego przeznaczonego do wdrożenia funkcji pomocniczych - narzędzia (archiwizacji, defragmentacji itp), programy przetwarzania systemu (kompilatory, łączniki, debugger itp.), Programy świadczenia usług dla użytkownika (opcje specjalne interfejsu , kalkulatory, gry itp.), Biblioteki o różnych procedurach Cel (biblioteki funkcji matematycznych, funkcje I / O itp.);
w środkach interakcji komunikacyjnych (środki sieciowe) systemu operacyjnego.
Luki w zakresie oprogramowania układowego i środków systemu operacyjnego przeznaczonego do zarządzania lokalnymi zasobami i funkcjami pomocniczymi mogą być:
Funkcje, procedury, zmieniające się parametry, których w określony sposób umożliwia ich użycie do nieautoryzowanego dostępu bez wykrywania takich zmian w systemie operacyjnym;
fragmenty kodu programu ("otwory", "włazy"), wprowadzone przez dewelopera, umożliwiając obejście procedur identyfikacyjnych, uwierzytelniania, kontroli integralności itp.;
Błędy w programach (w deklaracji zmiennych, funkcji i procedur, w kategoriach programowych), które w pewnych warunkach (na przykład podczas wykonywania przejść logicznych) prowadzić do awarii, w tym awarii funkcjonowania funduszy i systemów ochrony informacji.
Luki interakcji sieciowe są związane z funkcjami ich wdrażania oprogramowania i są spowodowane ograniczeniami w zakresie wielkości użytego bufora, wady procedury uwierzytelniania, brak kontroli poprawności informacji o usłudze itp Krótki opis tych luk w stosunku do protokołów przedstawiono w tabeli 2.
Tabela 2
Luki z oddzielnych protokołów protokołów Protokołów TCP / IP, na podstawie których funkcjonują globalne sieciowe sieci.
| Protokół nazw | Protokoły poziomu stosu | Nazwa (charakterystyczna) luka | Treść naruszeń bezpieczeństwa informacji |
| FTP (protokół transferu plików) - protokół transferu plików na sieci | 1. Otwórz uwierzytelnianie bazy danych tekstu (hasła są wysyłane w niezaszyfrowanym) 2. Domyślny dostęp 3. Obecność dwóch otwartych portów | Możliwość przechwycenia danych konta (zarejestrowanych nazw użytkowników, haseł). Uzyskiwanie zdalnego dostępu do hosta | |
| telnet - protokół zarządzania terminala zdalnego | Stosowany, przedstawiciel, sesja | Otwórz uwierzytelnianie bazy danych (hasła są wysyłane w niezakrywanym) | Możliwość przechwycenia danych konta użytkownika. Uzyskiwanie zdalnego dostępu do hosta |
| UDP - protokół transmisji danych bez podłączenia | Transport | Brak mechanizmu przeciążenia bufora | Możliwość wdrożenia burzy UDP. W wyniku wymiany pakietów istnieje znaczna redukcja wydajności serwera |
| ARP - protokół transformacji adresu IP w adresie fizycznym | Sieć | Otwórz uwierzytelnianie bazy danych (informacje są wysyłane w formie niezaszyfrowanej) | Możliwość przechwycenia ruchu użytkownika przez atakującego |
| Rip - protokół informacji o routingu | Transport | Brak uwierzytelniania wiadomości kontrolnych o zmianie trasy | Możliwość przekierowania ruchu przez gospodarza atakującego |
| Protokół zarządzania transferami TCP | Transport | Brak mechanizmu do sprawdzania poprawności pakietów usług napełniających | Znaczne zmniejszenie kursu walutowego, a nawet całkowitą szczelinę z dowolnych połączeń na protokole TCP |
| DNS - protokół do ustanowienia zgodności nazw mnemonicznych i adresów sieciowych | Stosowany, przedstawiciel, sesja | Brak narzędzi uwierzytelniania z danych źródłowych | Fałszowanie odpowiedzi serwera DNS |
| IGMP - protokół wiadomości routingu | Sieć | Brak komunikatu uwierzytelniania w zmieniającym parametrach tras | Wygraj 9x / NT / 200 Systems |
| SMTP - Protokół serwisowy SMTP - E-mail | Stosowany, przedstawiciel, sesja | Możliwość fałszywych e-maili, a także adresów nadawcy adresów | |
| Protokół zarządzania routerem SNMP - router | Stosowany, przedstawiciel, sesja | Brak wsparcia Wiadomości Uwierzytelniające | Możliwość przepełnienia przepustowości sieciowej |
Aby systematyzować opis zestawu luk w zabezpieczeniach, pojedynczą bazę danych luki CVE (wspólne luki i ekspozycje), w rozwoju, których specjaliści wielu znanych firm i organizacji, takich jak ukośna, ISS, Cisco, BindView, Axent , NFR, L-3, Cybersafe, Cert, Carnegie Mellon University, Sans Institute it. Ta baza danych jest stale aktualizowana i używana w tworzeniu baz danych licznych oprogramowania do analizy bezpieczeństwa, a przede wszystkim skanery sieciowe.
5.2.2. Ogólna charakterystyka podatności zastosowanej oprogramowaniaOprogramowanie do aplikacji obejmuje programy aplikacji. Ogólne zastosowanie i specjalne zastosowane programy.
Stosowane publiczne programy zastosowane - tekst i edytor graficzny, programy medialne (odtwarzacze audio i wideo, oprogramowanie do recepcji programu telewizyjnego itp.), Systemy zarządzania bazami danych, ogólne platformy oprogramowania do oprogramowania do tworzenia oprogramowania ( wpisz Delphi., Visual Basic), Informacje publiczne Narzędzia ochronne itp.
Specjalne programy aplikacji to programy opracowane w interesie rozwiązywania określonych zadań zastosowanych na tej płycie (w tym oprogramowanie do ochrony informacji opracowanej dla określonego CDN).
Luki oprogramowania aplikacyjnego może być:
funkcje i procedury związane z różnymi programami aplikacji i niekompatybilnymi między sobą (nie funkcjonujących w jednym środowisku operacyjnym) z powodu konfliktów związanych z dystrybucją zasobów systemowych;
Funkcje, procedury, zmiana w określonym sposobie, do którego umożliwia korzystanie z nich do przenikania w środę operacyjną i wywoływanie standardowych funkcji systemu operacyjnego, wykonując nieautoryzowany dostęp bez wykrywania takich zmian w systemie operacyjnym;
fragmenty kodu programu ("otwory", "włazy"), wprowadzone przez dewelopera, co pozwala obejść procedur identyfikacyjnych, uwierzytelniania, kontroli integralności itp. Przewidziano w systemie operacyjnym;
brak niezbędnych narzędzi zabezpieczających (uwierzytelnianie, sprawdzanie integralności, weryfikację formatów wiadomości, blokowanie nieautoryzowanych funkcji zmodyfikowanych itp.);
Błędy w programach (w deklaracji zmiennych, funkcji i procedur, w kategoriach programowych), które w pewnych warunkach (na przykład podczas wykonywania przejść logicznych) prowadzą do awarii, w tym awarii funkcjonowania funduszy i systemów ochrony informacji, do Nieautoryzowany dostęp do informacji o dostępie.
Dane na luki opracowane i rozpowszechniane w oparciu o aplikację komercyjną są zebrane, podsumowane i analizowane w bazie danych CVE<*>.
<*> Prowadzone przez zagraniczną firmę CERT na zasadach komercyjnych.
5.3. Ogólna cecha zagrożenia bezpośredniego dostępu do środowiska operacyjnego systemu informacyjnego danych osobowychZagrożenia dostępu (penetracja) w środowisku operacyjnym komputera i nieautoryzowanego dostępu do PDN są związane z dostępem:
informacje i polecenia przechowywane w systemie BASIC I / O (BIOS), z możliwością przechwycenia ładowania systemu operacyjnego i otrzymywać prawa zaufanego użytkownika;
w środowisku operacyjnym, czyli w funkcjonowaniu lokalnego systemu operacyjnego oddzielnych środków technicznych, zakres jest możliwość wykonywania nieautoryzowanego dostępu poprzez wywołanie personelu systemu operacyjnego lub uruchomienie specjalnie opracowanych programów, które wdrażają takie działania ;
w przypadku funkcjonowania programów aplikacji (na przykład do lokalnego systemu zarządzania bazami danych);
bezpośrednio do informacji o użytkowniku (do plików, informacje tekstowe, audio i graficzne, pola i wpisy w elektronicznych bazach danych) i wynikają z możliwości naruszania jej poufności, integralności i dostępności.
Zagrożenia te mogą być realizowane w przypadku uzyskania fizycznego dostępu do mieszkania lub, przynajmniej do środków wprowadzania informacji na płycie CD. Można je połączyć zgodnie z warunkami wdrażania na trzy grupy.
Pierwsza grupa obejmuje zagrożenia zaimplementowane podczas rozruchu systemu operacyjnego. Te zagrożenia bezpieczeństwa informacji mają na celu przechwycenie haseł lub identyfikatorów, modyfikowanie oprogramowania oprogramowania / wyjścia (BIOS) oprogramowanie, przechwytywanie kontroli obciążenia ze zmianą niezbędnych informacji technologicznych w celu uzyskania NSD w środowisku operacyjnym. Najczęściej, takie zagrożenia są realizowane za pomocą wyobcowanych mediów.
Druga grupa - zagrożenia realizowane po załadowaniu środowiska operacyjnego, niezależnie od tego, który program aplikacji został uruchomiony. Zagrożenia te są zazwyczaj skierowane do wykonywania bezpośrednio nieautoryzowanego dostępu do informacji. Podczas odbierania dostępu do środowiska operacyjnego sprawca może skorzystać standardowe funkcje System operacyjny lub dowolny publiczny zastosowany program (na przykład systemy zarządzania bazami danych) i specjalnie utworzone programy, takie jak nieautoryzowany dostęp, na przykład:
przeglądanie i modyfikacja rejestru;
Tekst Programy wyszukiwania w plikach tekstowych według słów kluczowych i kopiowania;
specjalne programy przeglądania i wpisy kopiowania w bazach danych;
szybkie wyświetlanie programów pliki graficzne., edytuj lub skopiować je;
programy wspierające możliwości rekonfiguracji środowiska oprogramowania (ustawienia utrzymywane w interesie intruza) itd.
Wreszcie trzecia grupa obejmuje zagrożenia, których wdrożenie jest określone przez który z programów aplikacji rozpoczyna się przez użytkownika lub fakt wprowadzenia dowolnego z programów aplikacji. Większość tych zagrożeń to zagrożenia wprowadzenie złośliwych programów.
5.4. Ogólne cechy zagrożeń dla bezpieczeństwa danych osobowych zaimplementowanych przy użyciu protokołów interakcji InternetowejJeśli baza danych jest zaimplementowana na podstawie lokalnego lub rozproszonego systemu informacyjnego, może być realizowany w zagrożeniom bezpieczeństwa do stosowania protokołów połączeń międzysystemowych. Może być dostarczany przez NSD do PDN lub zagrożenia odmowy utrzymania. Zagrożenia są szczególnie niebezpieczne, gdy umierający jest rozproszonym systemem informacyjnym podłączony do sieci ogólnych sieci i (lub) sieciach międzynarodowych wymiany informacji. System klasyfikacji zagrożeń realizowanych w sieci jest pokazany na rysunku 5. Opiera się na siedem następujących podstawowych objawach klasyfikacji.
1. Charakter zagrożenia. Na tej podstawie zagrożenie może być bierne i aktywne. Pasywne zagrożenie jest zagrożeniem, z realizacją, której nie ma bezpośredniego wpływu na działanie CDN, ale ustalone zasady rozdzielania dostępu do PDN lub zasobów sieciowych można naruszać. Przykładem takich zagrożeń jest zagrożenie "analizą ruchu sieciowego", skierowaną do słuchania kanałów komunikacyjnych i przechwytywania przesyłanych informacji.
Aktywne zagrożenie jest zagrożeniem związanym z wpływem na zasoby CDN, z realizacją, której okazuje się bezpośredni wpływ na działanie systemu (zmiana konfiguracji, utrata wartości wydajności itp.) Oraz Z naruszeniem ustalonych zasad wyróżniania dostępu do PDN lub zasobów sieciowych. Przykładem takich zagrożeń jest zagrożenie "odmową konserwacji", realizowaną jako "TCP Query Storm".
2. Celem realizacji zagrożenia. Na tej podstawie zagrożenie może być skierowane do naruszenia poufności, uczciwości i dostępności informacji (w tym naruszenie wykonywania CAD lub jego elementów).
3. Warunek rozpoczął wdrażanie procesu realizacji zagrożenia. Na tej podstawie można wdrożyć zagrożenie:
na żądanie od obiektu w stosunku do którego zaimplementowano zagrożenie. W tym przypadku Violator spodziewa się przekazywania pewnego rodzaju żądania, który będzie warunkami rozpoczęcia nieautoryzowanego dostępu;
Rysunek 5. Schemat klasyfikacji zagrożeń przy użyciu protokołów interakcji międzyrządowych
W przypadku występowania oczekiwanego zdarzenia w obiekcie, w stosunku do których zagrożenie jest realizowane. W tym przypadku Violator wykonuje trwałe monitorowanie stanu systemu operacyjnego CADOV i gdy w tym systemie wystąpi nieautoryzowany dostęp;
bezwarunkowy wpływ. W tym przypadku rozpoczęcie wdrażania nieautoryzowanego dostępu jest bezwarunkowo w stosunku do celu dostępu, czyli zagrożenie jest wdrażane natychmiast i nieistotne dla statusu systemu.
4. Dostępność sprzężenie zwrotne Z cheenem. Na tej podstawie proces wdrażania zagrożenia może być z informacją zwrotną i bez opinii. Zagrożenie przeprowadzone w obecności sprzężenia zwrotnego z CTF charakteryzuje się faktem, że niektóre wnioski przeniesione do rozmycia do odpoczynku są wymagane, aby otrzymać odpowiedź. W związku z tym istnieje sprzężenie zwrotne między Violatorem a Dodge, co pozwala odpowiadającym odpowiadaniu odpowiadaniu wszystkim zmianom w CDN. W przeciwieństwie do zagrożeń realizowanych w obecności informacji zwrotnych z płyty CD, w realizacji zagrożeń bez informacji zwrotnych, nie jest konieczne reagowanie na jakiekolwiek zmiany występujące w PM.
5. Lokalizacja intruza jest stosunkowo barwiona. Zgodnie z tym znakiem zagrożenie jest realizowane zarówno w klejnotach, jak i integnetywności. Segment sieciowy jest fizycznym stowarzyszeniem gospodarzy (środki techniczne Dodge lub elementy komunikacyjne mające adres sieciowy). Na przykład segment kropki tworzy zestaw hostów podłączonych do serwera zgodnie z schematem "Total Bus". W przypadku, gdy odbywa się zagrożenie intrażne, gwałciciel ma fizyczny dostęp do elementów sprzętowych CAD. Jeśli ma miejsce przecięte zagrożenie, intruz znajduje się poza mieszkaniem, wdrażając zagrożenie z innej sieci lub z innego segmentu CAD.
6. Poziom model odniesienia Interakcja systemów otwartych<*> (ISO / OSI), na którym realizowane jest zagrożenie. Na tej podstawie zagrożenie może być realizowane na poziomie fizycznym, kanałowym, sieciowym, transporcie, sesji, przedstawiciela i zastosowania modelu ISO / OSI.
<*> Międzynarodowa Organizacja Normalizacyjna (ISO) przyjęła standard ISO 7498 opisujący interakcję Open Systems (OSI).
7. Stosunek liczby naruszeń i elementów godności w stosunku do których zagrożenie jest realizowane. W ramach tej cechy zagrożenia można przypisać klasie zagrożeń realizowanych przez jednego odpornika w odniesieniu do jednego środka technicznego PhDN (zagrożenie "jeden do jednego"), bezpośrednio w stosunku do kilku technicznych środków CAD (zagrożenie " Jeden do wielu ") lub kilku gwałtownicami z różnych komputerów w stosunku do jednego lub wielu technicznych środków chadna (rozproszone lub połączone zagrożenia).
Biorąc pod uwagę klasyfikację, można odróżnić siedem najczęściej wdrożonych w obecnych zagrożeniach.
1. Analiza ruchu sieciowego (Rysunek 6).
Rysunek 6. Schemat zagrożenia "Analiza ruchu sieciowa"
Zagrożenie to jest wdrażane przy użyciu specjalnego programu analizatora pakietu (Sniffer), przechwytywanie wszystkich pakietów przesyłanych przez segment sieciowy, a te, w których identyfikator użytkownika i jego hasło są przesyłane. Podczas realizacji zagrożenia, Violator studiuje logikę operacji sieci - to znaczy, ma na celu uzyskanie jednoznacznej zgodności zdarzeń występujących w systemie, a polecenia wysyłane z hostami w momencie tych zdarzeń. W przyszłości pozwala to atakującym opartym na zadaniu odpowiednich poleceń w celu uzyskania, na przykład uprawianych praw do działań w systemie lub rozszerzyć swoje uprawnienia w nim, przechwytując strumień przesyłanych danych, które przekazują składniki działającej sieci System, aby wyodrębnić informacje poufne lub identyfikacyjne (na przykład użytkownicy statyczne, aby uzyskać dostęp do zdalnych hostów za pomocą protokołów FTP i Telnet, które nie zapewniają szyfrowania), jego podstawienia, modyfikacji itp.
2. Skanowanie sieci.
Istotą procesu wdrażania zagrożenia jest przeniesienie wniosków do usług sieciowych kluczy hostów i analizuje od nich odpowiedzi. Celem jest zidentyfikowanie stosowanych protokołów dostępnych do portów usług sieciowych, przepisami dotyczącymi tworzenia identyfikatorów połączeń, definicji aktywnych usług sieciowych, wybór identyfikatorów i haseł użytkownika.
3. Zagrożenie do wykrywania hasła.
Celem wdrożenia zagrożenia jest uzyskanie NSD przez pokonanie ochrony hasłem. Atakujący może mieć zagrożenie z wieloma metodami, takimi jak proste biust, brutalna siła przy użyciu specjalnych słowników, instalując złośliwy program do przechwycenia hasła, zastępowanie zaufanego obiektu sieciowego (fałszowanie IP) i przechwytywanie pakietów (wąchanie) . Głównie do stosowania zagrożenia specjalne programyktórzy próbują uzyskać dostęp do hosta przez spójny wybór haseł. W przypadku sukcesu, atakujący może stworzyć "Pass" dla przyszłego dostępu, który będzie działał, nawet jeśli musisz zmienić hasło dostępu na gospodarzu.
4. Zastąpienie zaufanego obiektu sieciowego i przesyłania wiadomości na kanałach komunikacyjnych z jego imienia z przypisaniem praw dostępu (Rysunek 7).
Rysunek 7. Schemat zagrożenia "zastąpieniem zaufanego obiektu sieciowego"
Takie zagrożenie jest skutecznie wdrażane w systemach, w których niestabilne algorytmy do identyfikacji i uwierzytelniania hostów, użytkowników itp. Pod zaufanym obiektem jest rozumiany jako obiekt sieciowy (komputer, firewall, router itd.), Legalnie podłączony do serwera.
Dwie odmiany procesu wdrażania określonego zagrożenia mogą być izolowane: z zakładem i bez ustanowienia wirtualnego połączenia.
Proces wdrażania z ustanowieniem związku wirtualnego jest przypisanie praw zaufanego podmiotu interakcji, co pozwala, by gwałcicielowi przeprowadzić sesję z przedmiotem sieci w imieniu zaufanego podmiotu. Wdrożenie zagrożenia tego typu wymaga przezwyciężenia systemu identyfikacyjnego i uwierzytelniania (na przykład atak hosta hosta-hosta UNIX).
Proces wdrażania zagrożenia bez ustalania wirtualnego połączenia może wystąpić w sieciach, które identyfikują przesyłane wiadomości tylko za pośrednictwem adresu sieciowego nadawcy. Podmiotem jest transfer wiadomości usługowych w imieniu urządzeń sterujących sieci (na przykład w imieniu routerów) na zmieniającym dane dotyczące trasy. Należy pamiętać, że jedynym identyfikatorem abonenckim i połączeniami (przez TCP) są dwoma 32-bitowymi parametrami początkowych numerów sekwencji - ISS (numer sekwencji) i numer potwierdzenia - ACK (numer potwierdzenia). W związku z tym, aby utworzyć fałszywy pakiet TCP do naruszenia, musisz znać aktualne identyfikatory do tego związku - ISSA i ISSB, gdzie:
ISSA - Niektóre wartości numeryczne charakteryzujące numer sekwencji wysłanego numeru pakietu TCP zainstalowany przez połączenie TCP zainicjowane przez gospodarza A;
ISSB - Niektóre wartości liczbowe charakteryzujące numer sekwencji wysłanego numeru pakietu TCP zainstalowany przez połączenie TCP zainicjowanego przez gospodarza B.
Wartość ACK (Numery potwierdzenia połączenia TCP) są zdefiniowane jako wartość numeru otrzymanego od respondenta ISS (numer sekwencji) plus ACKB \u003d ISSA + 1 jednostka.
W wyniku wdrażania zagrożenia, gwałcicielka otrzymuje prawa dostępu ustanowione przez swojego użytkownika dla zaufanego subskrybenta środków technicznych gęstości zagrożeń.
5. Narzucanie fałszywej trasy sieciowej.
To zagrożenie jest realizowane przez jeden z dwóch sposobów: przez nałożenie wewnątrzlodziej lub odcinające. Zdolność do nałożenia fałszywej trasy wynika z wad związanych z algorytmami routingu (w szczególności, ze względu na problem identyfikacji urządzeń sterujących sieci), w wyniku czego można uzyskać, na przykład, do gospodarza lub w Sieć atakującego, gdzie można wprowadzić środowisko operacyjne środków technicznych w środowisku operacyjnym CDN. Wdrożenie zagrożenia opiera się na nieuprawnionym stosowaniu protokołów routingu (RIP, OSPF, LSP) i zarządzania siecią (ICMP, SNMP), aby wprowadzić zmiany w tabelach trasy. Jednocześnie, gwałcicielka musi zostać wysłana w imieniu komunikatu sterującego Sieci (na przykład, routera) komunikatu sterującego (Figury 8 i 9).
Rysunek 8. Schemat wdrażanie ataku "wiązanie fałszywej trasy" (Intra segment) przy użyciu protokołu ICMP w celu naruszania komunikacji
Rysunek 9. Schemat wdrażania zagrożenia "Nakładanie fałszywej trasy" (całsze) w celu przechwycenia ruchu
6. Wdrożenie fałszywego obiektu sieciowego.
Zagrożeniem to opiera się na wykorzystaniu braków algorytmów wyszukiwania zdalnych. Jeśli obiekty sieciowe początkowo nie posiadają informacji o sobie nawzajem, różne protokoły wyszukiwania zdalnego są używane (na przykład, SAP w sieciach Novell NetWare.; ARP, DNS, wygrywa w sieciach z stosem protokołu TCP / IP), które są przesyłane przez sieć specjalnych żądań i odbieranie odpowiedzi na ich wyszukiwanie informacji. W takim przypadku możliwe jest przechwycenie odpowiadającego odpychaniu zapytania i wystawianie fałszywej odpowiedzi na niego, którego użycie doprowadzi do żądanej zmiany danych dotyczących adresów trasy. W przyszłości cały przepływ informacji związanych z ofiarą obiektów przejdzie przez fałszywy obiekt sieciowy (Figury 10 - 13).
Rysunek 10. Schemat wdrażania zagrożenia "Wdrożenie fałszywego serwera ARP"
Rysunek 11. Schemat wdrożenia "Wdrażanie fałszywego serwera DNS", przechwytując żądanie DNS
Rysunek 12. Schemat wdrożenia "Wdrożenie fałszywego serwera DNS" przez burzę reakcji DNS w sieci
Rysunek 13. Schemat wdrażanie zagrożenia "Implementowanie fałszywego serwera DNS" przez Storm Response DNS do serwera DNS
7. Odmowa utrzymania.
Zagrożenia te opierają się na niedociągnięciach oprogramowania sieciowego, jego luk, które pozwalają, aby odporność na tworzenie warunków, gdy system operacyjny nie jest w stanie przetwarzać pakietów przychodzących.
Można odizolować kilka odmian takich zagrożeń:
a) Ukryta odmowa utrzymania, spowodowana zaangażowaniem części zasobów przetwarzania pakietów przenoszonych przez atakującego ze spadkiem przepustowości kanałów komunikacyjnych, urządzeń sieciowych, naruszających wymagania dotyczące żądania żądań. Przykłady wdrażania tego rodzaju zagrożeń mogą być: kierowane przez wnioski Echo przez ICMP (Ping Flooding), burza do ustawiania połączeń TCP (syn-powódź), zapytanie storm do serwera FTP;
b) wyraźne odmowy utrzymania, spowodowane wyczerpaniem zasobów omijane podczas przetwarzania pakietów transmitowanych przez atakującego (zajmujące całą przepustowość przepustowości, kolejki zapytania serwisowe), w których żądania prawne nie mogą zostać przeniesione przez sieć ze względu na niedostępność medium transmisyjne lub nie należy zachować z powodu żądania queasek zapytania, przestrzeń dysku pamięci itp. Przykłady zagrożeń tego typu mogą służyć jako burza nadawanych wniosków ICMP-echo (SMURF), w reżyserii burzy (zalanie), burza wiadomości na serwer pocztowy (SPAM);
c) Wyraźny odmowę utrzymania, spowodowany naruszeniem logicznego związku między środkami technicznymi CTADV, podczas przenoszenia odporności na wiązanie komunikatów sterujących w imieniu urządzeń sieciowych, co powoduje zmianę danych dotyczących adresów trasy (na przykład, przerzeźnia ICMP , Powódź DNS) lub informacje identyfikacyjne i uwierzytelniające;
Op Długość przekraczająca maksymalny dopuszczalny rozmiar (zagrożenie typu "Ping Death"), co może prowadzić do zbierania urządzeń sieciowych zaangażowanych w przetwarzanie zapytania, z zastrzeżeniem błędów w programach, które realizują protokoły wymiany sieci.
Wynikiem wdrożenia tego zagrożenia może być naruszeniem odpowiedniej usługi zapewnienia zdalnego dostępu do PDN do PD, transmisji z jednego adresu takiej liczby żądań do środków technicznych w składzie CDN, który maksymalnie może "pomieścić" ruch drogowy (skierowany "Query Storm"), że pociąga za sobą przepełnienie kolejki zapytań i awarii jednej z usług sieciowych lub całkowitego zatrzymania komputera ze względu na niezdolność systemu do angażowania się w dowolnym innym, Z wyjątkiem przetwarzania zapytań.
8. Uruchomienie aplikacji zdalnej.
Zagrożenie polega na pragnieniu rozpoczęcia różnych wstępnie wdrażanych złośliwych oprogramowania na hoście: programy zakładki, wirusy, "Sieci szpiegów", którego głównym celem jest naruszenie poufności, integralności, dostępności informacji i pełnej kontroli nad pracą gospodarz. Ponadto możliwe jest nieautoryzowane uruchomienie programów aplikacji użytkownika dla nieautoryzowanych uzyskiwania niezbędnych danych od wiązania, aby rozpocząć procesy zarządzane przez program aplikacji itp.
Wyróżnia się trzy podklasę danych zagrożenia:
1) Dystrybucja plików zawierających nieautoryzowany kodeks wykonywalny;
2) Zdalne uruchomienie aplikacji przez przepełnienie bufora serwera aplikacji;
3) Uruchomienie aplikacji zdalnej przy użyciu pilota systemu dostarczonego przez ukryte zakładki oprogramowania i sprzętu lub używane przez standardowe środki.
Typowe zagrożenia pierwszego z określonych podklasach opierają się na aktywowaniu rozproszonych plików w przypadku przypadkowego dostępu do nich. Przykłady takich plików mogą służyć: pliki zawierające kod wykonywalny w postaci makrocomand ( dokumenty Microsoft. Słowo, Excel itp.); Dokumenty HTML zawierające kod wykonywalny jako elementy ActiveX, Aplety Java interpretowane przez skrypty (na przykład teksty JavaScript); Pliki zawierające kody wykonywalnych programów. Usługi e-mail, przesyłanie plików, system plików sieciowych może być używany do dystrybucji plików.
W zagrożeniu drugiego podklasy, wady programów wdrażających usługi sieciowe (w szczególności, nie stosuje się kontroli przelewu kontroli). Ustawianie rejestrów systemowych jest czasami możliwe, aby przełączyć procesor po przerwaniu spowodowanym przepełnieniem bufora, do wykonania kodu zawartego za granicą bufora. Przykładem wdrożenia takiego zagrożenia może być wprowadzenie szeroko znanego "wirusa Morrisa".
W zagrożeniu trzeciego podklasy przestępca wykorzystuje zdolność do zdalnego zarządzania systemem dostarczonym przez ukryte elementy (na przykład "Troyan" programy typu tylnego typu tylnego, autobusu netto) lub regularnych elementów sterujących i administracji sieci komputerowych (Landesk Management Suite , Przeanalizuj, tylny otwór itp.). W wyniku ich użycia możliwe jest uzyskanie pilota na stacji w sieci.
Schematycznie, głównymi etapami pracy tych programów wyglądają tak:
instalacja w pamięci;
oczekiwanie na zdalne zapytanie hosta, na którym działa program klienta i wymiana wiadomości gotowości;
Przesyłanie przechwyconych informacji do klienta lub zapewniając mu kontrolę nad zaatakowanym komputerem.
Możliwe konsekwencje z realizacji zagrożeń różnych klas przedstawiono w tabeli 3.
Tabela 3.
Możliwe konsekwencje wdrażania zagrożeń różnych klas
| N p / n | Rodzaj ataku | Możliwe konsekwencje | |
| 1 | Analiza ruchu sieciowego | Dochodzenie w zakresie cech ruchu sieciowego, przechwytywania przesyłanych danych, w tym identyfikatorów i haseł użytkownika | |
| 2 | Skanowanie sieci | Definicja protokołów dostępnych do portów usług sieciowych, przepisy tworzenia identyfikatorów połączeń, aktywnych usług sieciowych, identyfikatorów i haseł użytkowników | |
| 3 | Atak "Hasło" | Wykonywanie wszelkich destrukcyjnych działań związanych z uzyskaniem nieautoryzowanego dostępu | |
| 4 | Zastąpienie zaufanego obiektu sieciowego | Zmiana przejścia wiadomości, nieautoryzowana zmiana danych na trasie. Nieautoryzowany dostęp do zasobów sieciowych, imponujących fałszywych informacji | |
| 5 | Nakładanie fałszywej trasy | Nieautoryzowana zmiana danych dotyczących trasy, analizy i modyfikacji przesyłanych danych, imponujących fałszywych wiadomości | |
| 6 | Wdrażanie fałszywego obiektu sieciowego | Przechwytywanie i widok ruchu. Nieautoryzowany dostęp do zasobów sieciowych, imponujących fałszywych informacji | |
| 7 | Nieprzestrzeganie usługi | Częściowe wyczerpanie zasobów | Zmniejszenie przepustowości kanałów komunikacyjnych, urządzeń sieciowych. Zmniejszona wydajność aplikacji serwera |
| Pełne wyczerpanie zasobów | Niezdolność do przesyłania wiadomości z powodu braku dostępu do medium transmisji, odmowa ustalenia połączenia. Odmowa świadczenia usług (e-maila, pliku itp.) | ||
| Naruszenie logicznego związku między atrybutami, danymi, obiektami | Niezdolność transmisji, wiadomości z powodu braku poprawnych danych trasy. Niemożność uzyskiwania usług ze względu na nieautoryzowaną modyfikację identyfikatorów, haseł itp. | ||
| Wykorzystanie błędów w programach | Naruszenie urządzeń sieciowych | ||
| 8 | Zdalne uruchomienie aplikacji | Wysyłając pliki zawierające destrukcyjny kod wykonywalny, infekcję wirusową | Naruszenie poufności, uczciwości, dostępności informacji |
| Przepuszczając bufora aplikacji serwera | |||
| Korzystając z możliwości zdalnego sterowania systemu dostarczonego przez Ukryte oprogramowanie i zakładki sprzętowe lub używane według standardu | Ukryty system zarządzania | ||
Proces wdrażania zagrożenia w ogólnym przypadku składa się z czterech etapów:
zbieranie informacji;
inwazja (penetracja do środowiska operacyjnego);
Ćwiczenie nieautoryzowanego dostępu;
eliminowanie śladów nieautoryzowanego dostępu.
Na etapie zbierania informacji gwałciciele mogą być zainteresowani różnorodnymi informacjami o gęstości, w tym:
a) Na topologii sieci, w której funkcjonuje system. Może to zbadać obszar wokół sieci (na przykład intruza może być zainteresowany adresami zaufanych, ale mniej chronionych gospodarzy). Aby określić dostępność hosta, można użyć najprostszych poleceń (na przykład, polecenie ping, aby wysłać zapytania echo_request ICMP z oczekiwaniami reakcji Echo_Reply ICMP. Istnieją narzędzia, które prowadzą równoległą definicję dostępności gospodarzy (takich jak Fing), które są w stanie skanować duży obszar przestrzeni adresowej dla dostępności gospodarzy w krótkim czasie. Topologia sieciowa jest często definiowana na podstawie "miernika węzła" (odległość między gospodarzami). W tym przypadku można zastosować takie metody, takie jak "Modulacja TTL" i nagrywanie trasy.
Metoda modulacji TTL jest zaimplementowana przez TraceRoute (dla Windows NT - TRACERT.EXE) i jest modulując pole IP Packet TTL. Pakiety ICMP utworzone przez polecenie Ping mogą być używane do nagrywania trasy.
Kolekcja informacji może być również oparta na zapytaniach:
do serwera DNS o liście zarejestrowanych (i, prawdopodobnie aktywnych) hostów;
do routera protokołu RIP na znanych trasach (informacje o topologii sieciowej);
Nieprawidłowo skonfigurowane urządzenia obsługujące SNMP (informacje o topologii sieciowej).
Jeśli Kerennowie są za zaporą (ja), możliwe jest zbieranie informacji o konfiguracji mnie i o topologii CD dla mnie, w tym przez wysyłanie pakietów do wszystkich portów wszystkich domniemanych gospodarzy wewnętrznych (chronionych) sieć;
b) na rodzaju systemu operacyjnego (OS) w mieszkaniu. Najbardziej znaną metodą określania rodzaju systemu operacyjnego hosta opiera się na fakcie, że różne typy systemu operacyjnego są w różnych sposobach wdrażać wymagania standardów RFC do stosu TCP / IP. Pozwala to na zdalne zdalnie zidentyfikować typ systemu operacyjnego zainstalowanego na hoście, przerywany wysyłając specjalnie utworzone żądania i analizując otrzymane odpowiedzi.
Są specjalne środki, które wdrażają te metody, w szczególności NMAP i Queso. Możesz również pamiętać o tym metodzie określania typu systemu operacyjnego, jako najprostsza prośba o ustalenie połączenia za pomocą protokołu zdalnego dostępu (połączenia Telnet), w wyniku czego " wygląd"Odpowiedź Możesz określić typ systemu operacyjnego hosta. Obecność niektórych usług może również służyć jako dodatkowa funkcja do określania typu hosta OS;
C) O usługach działających na hostach. Definicja usług wykonywanych na hoście opiera się na metodzie identyfikacji "otwartych portów" mających na celu zbieranie informacji o dostępności hosta. Na przykład, aby określić dostępność portu UDP, musisz otrzymać odpowiedź w odpowiedzi na przesłankę pakietu UDP do odpowiedniego portu:
jeśli nieuzbrojenie portu ICMP jest odbierane w odpowiedzi, odpowiednia usługa nie jest dostępna;
jeśli ta wiadomość nie dotarła, port "otwarty".
Niezwykle różnorodne odmiany stosowania tej metody są możliwe w zależności od protokołu stosowanego w stosie protokołu TCP / IP.
Opracowano wiele oprogramowania do automatyzacji gromadzenia informacji o gęstości. Jako przykład można zauważyć, co następuje:
1) Strobe, Portscanner - Zoptymalizowane środki identyfikacji dostępnych usług opartych na badaniu portów TCP;
2) Nmap - narzędzie do skanowania do dostępnych usług przeznaczonych dla Linux, FreeBSD, Open BSD, Solaris, Windows NT. Jest najpopularniejszym obecnym narzędziem do skanowania usług sieciowych;
3) Queso to wysoki precyzyjny narzędzie do określania systemu hosta sieciowego oparte na działce obwodu prawidłowych i nieprawidłowych pakietów TCP, analizy odpowiedzi i porównania go z mnogości znanych odpowiedzi o różnych systemach operacyjnych. Ten agent jest również popularny do daty daty skanowania;
4) Cheops - Scanner Sieci Topology umożliwia uzyskanie topologii sieciowej, w tym obrazu domeny, adresy IP itp. Jest on określany przez system operacyjny hosta, a także możliwe urządzenia sieciowe (drukarki, routery itp.);
5) Firewalk jest skanerem przy użyciu metod programu TraceRoute w interesie analizy odpowiedzi na pakiety IP, aby określić konfigurację zaporę i skonstruować topologię sieciową.
Na etapie inwazji zbadano obecność typowych luk w usługach systemowych lub błędów w administracji systemu. Udany wynik korzystania z luki jest zwykle uzyskiwany przez proces uprzywilejowanego trybu wykonania (dostęp do trybu wykonania uprzywilejowanego procesora polecenia), wprowadzając konto rejestru rachunkowości nielegalnego użytkownika, odbieranie pliku hasła lub zakłóceń operacji zaatakowanego gospodarza.
Ten etap rozwoju zagrożenia jest zazwyczaj wielofazowy. Fazy \u200b\u200bprocesu wdrażania zagrożenia mogą obejmować, na przykład:
ustanowienie połączenia z gospodarzem, w stosunku do których zagrożenie jest realizowane;
Identyfikacja wrażliwości;
wprowadzenie złośliwego programu w interesie rozwijających się praw i innych.
Zagrożenia wdrożone na końcu etapie są podzielone na poziomy stosu protokołu TCP / IP, ponieważ są one utworzone w sieci, transport lub poziomie zastosowanego w zależności od używanego mechanizmu inwazji.
Rodzaj zagrożenia realizowane na poziomie sieci i transportu obejmują takie jak:
a) zagrożenie mające na celu zastąpienie zaufanego przedmiotu;
b) zagrożenie mające na celu stworzenie fałszywej trasy w sieci;
C) Zagrożenia mające na celu stworzenie fałszywego obiektu za pomocą niedociągnięć algorytmów wyszukiwania zdalnych;
D) zagrożenia związane z "odmową konserwacji", oparte na defragmentacji IP, w tworzeniu nieprawidłowych wniosków ICMP (na przykład atak "ping of Death" i "Smurf"), w sprawie formowania nieprawidłowych żądań TCP (atak ziemny ), Na temat tworzenia pakietów "burzy" z żądaniami połączenia (atakami z powodziami SYN) itp.
Typowe zagrożenia realizowane na poziomie wniosku obejmują zagrożenia mające na celu nieautoryzowane wprowadzenie wniosków, zagrożeń, których realizacja jest związana z wdrażaniem zakładek oprogramowania (takich jak koń trojański "), z identyfikacją haseł dostępu do sieci lub do specyficzny gospodarz itp.
Jeśli realizacja zagrożenia nie przyniosła gwałtowności najwyższych praw dostępu w systemie, możliwe są próby rozszerzenia tych praw do najwyższego możliwego poziomu. W tym celu mogą być stosowane luki nie tylko usług sieciowych, ale także wrażliwość hostów oprogramowania systemowego.
Na etapie wdrażania nieautoryzowanego dostępu osiągnięcie celu wykonania zagrożenia jest przeprowadzane:
kierownictwo poufności (kopiowanie, bezprawna dystrybucja);
Naruszenie uczciwości (zniszczenie, zmiana);
naruszenie dostępności (blokowanie).
Na tym samym etapie, po tych działaniach, z reguły, tzw. "Czarne wejście" powstaje w formie jednej z usług (demonów) obsługujących jakiś port i wykonuje polecenia intruza. "Czarny login" pozostaje w systemie w interesie zabezpieczenia:
możliwości dostępu do gospodarza, nawet jeśli administrator eliminuje lukę używaną do pomyślnego wdrożenia zagrożenia;
możliwości dostępu do gospodarza tak niskiego jak najniższe;
Możliwości szybkiego dostępu do gospodarza (bez powtarzania procesu realizacji zagrożenia).
"Czarne wejście" pozwala na wdrożenie złośliwego programu do sieci lub pewnego hosta, na przykład, "analizator haseł" (hasło Sniffer) jest programem, który przydziela identyfikatorów użytkowników i hasła z ruchu sieciowego podczas pracy na wysokim poziomie Protokoły (FTP, Telnet, Rlogin i T .d.). Obiekty implementacyjne złośliwym oprogramowaniem mogą być programy uwierzytelniające i identyfikacyjne, usługi sieciowe, rdzeń systemu operacyjnego, system plików, biblioteki itp
Wreszcie, na etapie wyeliminowania śladów zagrożenia, podejmowana jest próba niszczenia śladów działań przemocy. Jednocześnie odpowiednie wpisy zostaną usunięte ze wszystkich możliwych dzienników audytu, w tym rekordów o fakcie gromadzenia informacji.
5.5. Ogólne cechy zagrożeń oprogramowania i oddziaływania matematycznegoWpływ oprogramowania-matematyczny ma wpływ z pomocą złośliwych programów. Program z potencjalnie niebezpiecznymi konsekwencjami lub złośliwym programem jest nazywany niezależnym programem (zestaw instrukcji), który jest w stanie wykonać dowolny niepusty podzbiór następujących funkcji:
Ukryj oznaki ich obecności w środowisku oprogramowania komputera;
Mieć zdolność do samodzielnego rozumienia, stowarzyszenia siebie z innymi programami i (lub) przeniesieniem jego fragmentów do innych obszarów pamięci operacyjnej lub zewnętrznej;
zniszcz (zniekształcać dowolną drogę) kod programu w pamięci RAM;
wykonaj bez inicjowania od użytkownika (program użytkownika w regularnym trybie jego wykonania) Funkcje niszczące (kopiowanie, zniszczenie, blokowanie itp.);
Zapisz fragmenty informacji z pamięci RAM w niektórych obszarach zewnętrznego bezpośredniego dostępu (lokalnego lub zdalnego);
Aby zniekształcić dowolny sposób, blok i (lub), aby wymienić pamięć zewnętrzną lub kanał komunikacyjny, szereg informacji utworzonych w wyniku zastosowania programów aplikacji lub już w pamięci zewnętrznej tablic danych.
Złośliwe programy można wykonać (wdrożone) zarówno celowo, jak i losowo w oprogramowaniu stosowanym w projekcie, w procesie jego rozwoju, akompaniamentu, modyfikacji i ustawień. Ponadto, złośliwe oprogramowanie można wykonać podczas pracy CDN z mediów zewnętrznych lub interakcji sieciowych zarówno w wyniku NSD, jak i losowych użytkowników CAD.
Nowoczesne szkodliwe programy opierają się na wykorzystaniu luki różnych rodzajów oprogramowania (ogólnoustrojowych, stosowanych) i różnych technologii sieciowych, posiadają szeroką gamę możliwości destrukcyjnych (od nieautoryzowanego badania parametrów PDN bez zakłóceń w funkcjonowaniu CDN, przed zniszczeniem PDN i CDN oprogramowania) i może działać we wszystkich typach oprogramowania (system, zastosowany, w sterownikach sprzętowych itp.).
Obecność szkodliwych programów może przyczynić się do wystąpienia ukrytych, w tym nietradycyjnych kanałów dostępu do informacji, które umożliwiają otwarcie, obejście lub blokowanie mechanizmów ochronnych przewidzianych w systemie, w tym hasłem i ochronę kryptograficznej.
Główne typy szkodliwych programów to:
zakładki oprogramowania;
klasyczne wirusy oprogramowania (komputerowe);
złośliwe programy propagujące nad siecią (robaki sieciowe);
Inne szkodliwe programy przeznaczone do wdrożenia NSD.
Zakładki oprogramowania obejmują programy, fragmenty kodu, instrukcje, które tworzą nieznajdoły się możliwości oprogramowania. Złośliwe programy mogą poruszać się z jednego gatunku do innego, na przykład, układanie oprogramowania może wygenerować wirus oprogramowania, który z kolei, uderzając w warunki sieciowe, może utworzyć robak sieciowy lub inny złośliwy program zaprojektowany do wdrożenia NSD.
Klasyfikacja wirusów oprogramowania i robaków sieciowych przedstawiono na rysunku 14. Krótki opis głównych szkodliwych programów jest zmniejszona do następujących. Uruchamianie wirusów zapisuje się do sektora rozruchowego dysku (sektor rozruchowy) lub w sektorze zawierającym rekord startowy Master) lub zmień wskaźnik do aktywnego sektora rozruchowego. Są wprowadzane do pamięci komputera podczas ładowania z zainfekowanego dysku. W tym przypadku, ładowarka systemowa odczytuje zawartość pierwszego sektora dysku, z którego wykonany jest pobieranie, umieszcza czytanie informacji w pamięci i przenosi do niego (I.e., wirus). Następnie rozpoczęto instrukcje wirusów, które z reguły zmniejsza ilość wolnej pamięci, kopiuje swój kod do opuszczenia miejsca i odczytuje jego kontynuację z dysku (jeśli istnieje), przechwytuje niezbędny wektor przerwań (zwykle int 13h), odczytuje oryginalny sektor rozruchu pamięci i przesyła kontrolę do niego.
W przyszłości wirus rozruch zachowuje się w taki sam sposób, jak plik: przechwytuje dostęp do systemu operacyjnego do dysków i infekuje je, w zależności od niektórych warunków sprawia, że \u200b\u200bdestrukcyjne działania powoduje efekty dźwiękowe lub efekty wideo.
Główne destrukcyjne działania wykonywane przez te wirusy to:
zniszczenie informacji w sektorach dyskietek i dysku twardego;
Eliminacja możliwości systemu operacyjnego (komputer "zawiesza się");
zakłócenie kodu ładowarki;
formatowanie dyskietek lub logiczne dyski dysku twardego;
zamknięcie dostępu do portów COM i LPT;
wymiana symboli podczas drukowania tekstów;
ekran drgania;
zmiana etykiety dysku lub dyskietki;
tworzenie klastrów bez pseudo;
tworzenie dźwięku i (lub) efektów wizualnych (na przykład kropla liter na ekranie);
uszkodzić pliki danych;
wyświetlanie różnych wiadomości;
Odłączanie urządzeń peryferyjnych (na przykład klawiaturę);
zmiana palety ekranowej;
Wypełnianie ekranu z obciążeniami lub obrazami;
spłata ekranu i tryb wprowadzania translacji z klawiatury;
szyfrowanie sektorów Winchester;
selektywne zniszczenie znaków wyświetlanych na ekranie po ustawieniu z klawiatury;
redukcja pamięci RAM;
wywołanie drukowania ekranu;
blokowanie rekordów na dysku;
tabela tabeli partycji dysku, komputer można pobrać tylko z dyskietki;
blokowanie rozpoczęcia plików wykonywalnych;
Blokowanie dostępu do Winchesteru.
Rysunek 14. Klasyfikacja wirusów oprogramowania i robaków sieciowych
Najbardziej rozruchowe wirusy zastępują się na dyskietkach.
Metoda zakażenia "Nadpisanie" jest najbardziej proste: wirus zapisuje kod zamiast kodu zainfekowanego pliku, niszcząc jego zawartość. Oczywiście, gdy plik przestaje działać i nie jest przywrócony. Takie wirusy bardzo szybko wykrywają się, ponieważ system operacyjny i aplikacje są dość szybko przestały działać.
Kategoria "Companion" zawiera wirusy, które nie zmieniają zainfekowanych plików. Algorytm pracy tych wirusów jest to, że podwójny plik jest tworzony dla skażonego pliku, a gdy zainfekowany plik jest uruchamiany, kontrola otrzymuje ten bliźniaczy, czyli wirusa. Najczęstsze wirusy Companyon przy użyciu funkcji DOS, aby najpierw wykonać pliki za pomocą Extension.com, jeśli są dwa pliki o tej samej nazwie w jednym katalogu, ale przez różne nazwy nazwy - .com I.exe. Takie wirusy tworzą pliki satelitarne dla plików EXE, które mają tę samą nazwę, ale z Extension.com, na przykład plik XCOPY.com jest tworzony dla pliku xcopy.exe. Wirus jest nagrany w pliku COM i nie zmienia pliku EXE. Po uruchomieniu takiego pliku DOS, pierwszy wykryje i wykonuje plik COM, który jest, że wirus, który uruchomi się i plik EXE. Druga grupa powoduje, że wirusy, które są zakażone, zmień nazwę pliku do dowolnej innej nazwy, pamiętaj o tym (dla kolejnego uruchomienia pliku hosta) i napisz swój kod na dysku pod nazwą zainfekowanego pliku. Na przykład plik xcopy.exe jest przemianowany na XCOPY.EXD, a wirus jest napisany pod nazwą xcopy.exe. Podczas uruchamiania, kontrola odbiera kod wirusa, który następnie rozpoczyna oryginalny XCopy przechowywany pod nazwą xcopy.exd. Ciekawe jest fakt, że ta metoda działa, najwyraźniej we wszystkich systemach operacyjnych. Trzecia grupa obejmuje tak zwaną wirusy "Path-Companion". Albo zapisują swój kod pod nazwą zainfekowanego pliku, ale "powyżej" jeden poziom w przepisanych ścieżkach (DOS, więc pierwszy zostanie najpierw wykryty i uruchomi plik wirusa) lub toleruje plik ofiarny na jeden podkatalog powyżej itd.
Możliwe jest istnieć i inne rodzaje wirusów towarzyszących przy użyciu innych oryginalnych pomysłów lub funkcji innych systemów operacyjnych.
Robaki plików (Worms) są w pewnym sensie, rodzaj wirusów firmy, ale w żaden sposób nie łączą ich obecności z jakimkolwiek wykonanym plikiem. W reprodukcji kopią tylko swój kod do dowolnych katalogów dysku w nadziei, że te nowe kopie będą działać przez użytkownika. Czasami wirusy te dają swoje kopie "specjalnych" nazw, aby popchnąć użytkownika, aby rozpocząć kopię - na przykład install.exe lub Winstart.bat. Istnieją wirusy robaki, które wykorzystują dość nietypowe techniki, na przykład, nagrając swoje kopie w archiwach (AJ, ZIP i inne). Niektóre wirusy zapisują uruchomienie zainfekowanego pliku w plikach BAT. Nie należy mylić wirusów plików Chervi z robakami sieciowymi. Pierwszy używa tylko funkcji plików dowolnego systemu operacyjnego, drugi w ich reprodukcji wykorzystuje protokoły sieciowe.
Link wirusy, podobnie jak wirusy towarzyszące, nie zmieniają jednak fizycznej zawartości plików, gdy zostanie uruchomiony plik zainfekowany plik "przyczyna" wykonywać kod. Te cele docierają do modyfikacji niezbędnych pól systemów plików.
Wirusy, infekujące biblioteki kompilatorów, modułów obiektów i tekstów źródłowych programów są dość egzotyczne i praktycznie nie są powszechne. Wirusy, zainfekowanie plików OBJ i Lib, napisz swój kod w formacie modułu obiektu lub biblioteki. Zakażony plik nie jest zatem wykonywany i nie jest w stanie dalej rozprzestrzeniać wirusa w swoim aktualnym stanie. Przewoźnik wirusa "Live" staje się plikiem COM-lub EXE.
Po otrzymaniu kontroli wirus plików wykonuje następujące działania ogólne:
Sprawdza pamięć RAM o obecności kopii i infekuje pamięć komputera, jeśli nie znaleziono kopii wirusa (jeśli wirus jest rezydentem), szukając niepotrzebnych plików w bieżącym i (lub) katalogu głównym, skanując dysk logiczny Drzewo katalogowe, a następnie infekuje wykryte pliki;
wykonuje dodatkowe (jeśli istnieją) funkcje: destrukcyjne działania, efekty graficzne lub dźwiękowe itp. (Dodatkowe funkcje wirusa rezydenta można wywołać po chwili po aktywacji, w zależności od bieżącego czasu, konfiguracji systemu, wewnętrznych liczników wirusów lub innych warunków, w tym przypadku wirusa podczas aktywacji procesów zegara systemu, ustawia jego liczniki itp.);
Należy zauważyć, że szybszy wirus jest rozprzestrzeniany, im bardziej prawdopodobne jest wystąpienie epidemii tego wirusa, wolniej jest rozprzestrzenia się wirusa, trudniej jest je wykryć (jeśli oczywiście ten wirus jest nieznany). Wirusy nierezyderyczne są często "powolne" - większość z nich podczas uruchamiania zainfekuje jeden lub dwa-trzy pliki i nie ma czasu, aby płynąć komputer przed uruchomieniem programu antywirusowego (lub wygląd nowej wersji programu antywirusowego ten wirus). Istnieje oczywiście, oczywiście, nie rezydent "szybkich" wirusów, które szukają i infekują wszystkie pliki wykonywalne, jednak takie wirusy są bardzo zauważalne: Po uruchomieniu każdego zainfekowanego pliku, komputer ma niektóre (czasami wystarczająco długo) jest aktywnie Praca z dysk twardy, który poniżał wirusa. Prędkość dystrybucji (zakażenie) w wirusach rezydenta jest zwykle wyższa niż nie rezydent - infekują pliki z wszelkimi odwołań. W rezultacie wszystkie pliki, które są stale używane w pracy, są zainfekowane na dysku. Szybkość dystrybucji (infekcja) wirusów rezydentów wirusów infekujących pliki tylko wtedy, gdy zaczęły się wykonywać, będą niższe niż wirusy infekujące pliki i gdy otwierają nazwę, zmieniając atrybuty plików itp.
Zatem główne destrukcyjne działania przeprowadzone przez wirusy plików są związane z klęską plików (częściej plików wykonywalnych lub danych), nieautoryzowane uruchomienie różnych poleceń (w tym formatowania, zniszczenia, polecenia kopiowania itp.), Zmiana tabeli Wektory przerwania i doktor w tym samym czasie, można wykonać wiele destrukcyjnych działań podobnych do tych wskazanych dla wirusów rozruchowych.
MacroMiruses (wirusy makro) to języki (makro-język) osadzone w niektórych systemach przetwarzania danych (edytory tekstowe, arkusze kalkulacyjne itp.). Dla jego reprodukcji, takie wirusy wykorzystują możliwości makro-języków i ich pomocy przenieść się z jednego zainfekowanego pliku (dokument lub tabela) do innych. Macrovirus były najczęstsze dla pakietu aplikacji Microsoft Office.
W celu istnienia wirusów w określonym systemie (edytor) konieczne jest zbudowanie wbudowanego makro-języka z możliwościami:
1) Wiązania programu na temat makro-języka do określonego pliku;
2) kopiuj makroprogramów z jednego pliku do drugiego;
3) Uzyskanie zarządzania programem makro bez interwencji użytkownika (automatyczne lub standardowe makra).
Warunki te spełniają programy aplikacji Microsoft Word., Access Excel i Microsoft. Zawierają makromazę: Słowo Podstawowe, Visual Basic dla aplikacji. W którym:
1) makogramy są powiązane z określonym plikiem lub znajdują się w pliku;
2) Makro-język umożliwia kopiowanie plików lub przeniesienia makroprogramów do plików serwisowych systemowych i edytowalnych plików;
3) Podczas pracy z plikiem pod pewnymi warunkami (otwieranie, zamykanie itp.), Nazywa się ramki makro (jeśli istnieją), które są zdefiniowane w specjalny sposób lub mają standardowe nazwy.
Ta funkcja makro-języka jest przeznaczona do automatycznego przetwarzania danych w dużych organizacjach lub w sieciach globalnych i umożliwia organizowanie tzw. "Zautomatyzowane zarządzanie dokumentami". Z drugiej strony, możliwości makro-językowe takich systemów pozwalają wirusowi przenieść swój kod do innych plików, a tym samym je infekować.
Większość makroirusów jest aktywna nie tylko w momencie otwarcia (zamykania) pliku, ale tak długo, jak sama edytor jest aktywny. Zawierają wszystkie swoje funkcje w formie standardowego słowa / makr Excel / Office. Istnieją jednak wirusy, które używają przyjęć ukrywania swojego kodu i przechowywania ich kodu w formie nie ma makra. Istnieją trzy takie przyjęcia, wszystkie korzystają z możliwości tworzenia, edycji i wykonywania innych makr. Z reguły podobne wirusy mają małe (czasami polimorficzne) makro wirusa, co powoduje wbudowany makro edytor, tworzy nowe makro, wypełnia go podstawowym kodem wirusa, wykonuje, a następnie, co do zasady, niszczy (aby ukryć ślady obecności wirusa). Główny kod takich wirusów jest obecny albo w samej makro wirusa w postaci ciągów tekstowych (czasami szyfrowanych) lub przechowywanych w obszarze zmiennych dokumentu.
Sieć obejmuje wirusy, które aktywnie korzystają z protokołów i możliwości lokalnych i globalnych sieci dla ich dystrybucji. Główną zasadą wirusa sieci jest możliwość niezależnego przesyłania kodu do zdalnego serwera lub stacji roboczej. "Full-Flded" wirusy sieciowe mają również możliwość uruchamiania wykonania swojego kodu na komputerze zdalnym lub przynajmniej "naciśnij" użytkownikowi na uruchomienie zainfekowanego pliku.
Złośliwe programy, które zapewniają wdrażanie NSD mogą być:
programy wyboru i otwarcia;
zagrożenia programy wykonawcze;
Programy demonstrujące możliwości korzystania z niekoncepcyjnego oprogramowania i sprzętu i sprzętu
programy generatora wirusów komputerowych;
programy wykazujące luki narzędzi bezpieczeństwa informacji i innych.
Ze względu na komplikację i zwiększenie różnorodności oprogramowania, liczba szkodliwych programów szybko się zwiększa. Dzisiaj znane jest ponad 120 tysięcy podpisów wirusów komputerowych. W tym samym czasie, nie wszystkie z nich reprezentują prawdziwe zagrożenie. W wielu przypadkach eliminacja luk w systemie lub oprogramowaniu do zastosowań doprowadziła do faktu, że liczba szkodliwych programów nie może już w nich wdrożyć. Często główne niebezpieczeństwo reprezentuje nowe szkodliwe programy.
5.6. Ogólne cechy nietradycyjnych kanałów informacyjnychNietradycyjny kanał informacyjny jest zabezpieczającym kanałem informacji przy użyciu tradycyjnych kanałów komunikacyjnych i specjalnych transformacji przesyłanych informacji, które nie są związane z kryptografią.
Metody mogą być używane do tworzenia kanałów niekonwencjonalnych:
steganografia komputerowa;
Na podstawie manipulowania różnymi właściwościami CDM, które można uzyskać usankcjonowane (na przykład, przetwarzanie czasu różnych zapytań, woluminy odpowiedział pamięć lub dostępny do odczytu identyfikatorów plików lub procesów itp.).
Metody steganografii komputerowej są zaprojektowane, aby ukryć fakt przekazywania komunikatu, osadzając ukryte informacje w nieszkodliwych danych zewnętrznie (tekst, grafika, pliki dźwiękowe lub wideo) i obejmują dwie grupy opartych metod:
W stosunku do specjalnych właściwości formatów komputerowych do przechowywania i transferu danych;
W redundancji audio, informacji wizualnych lub tekstowych z pozycji charakterystyki psychoizmuologicznej ludzkiej percepcji.
Klasyfikacja metod segranografii komputerowej przedstawiono na Figurze 15. Ich charakterystyka porównawcza przedstawiono w tabeli 4.
Największy rozwój i aplikacja znajdują obecnie metody ukrywania informacji w Graficznych Segroonalerów. Wynika to z stosunkowo dużej ilości informacji, które można zakwaterować w takich pojemnikach bez zauważalnego zniekształcenia obrazu, obecność a priori informacji o wielkości pojemnika, istnienia w większości prawdziwych obrazów obszarów teksturalnych o strukturze hałasu i dobrze -Zaktywne do osadzania informacji, opracowywanie metod cyfrowego przetwarzania obrazu i metodami cyfrowych formatów prezentacji obrazu. Obecnie istnieje wiele produktów komercyjnych, jak i bezpłatnych dostępnych dla zwykłego użytkownika, który wdraża znane metody seganograficzne informacji ukrywających. Jednocześnie używane są głównie koncerny graficzne i audio.
Rysunek 15. Klasyfikacja metod transformacji informacyjnej steganograficznej (SP)
Tabela 4.
Cechy porównawcze metod konwersji informacji Seganograficzny
| Metoda steganograficzna | Krótka metoda charakterystyczna | niedogodności | Korzyści |
| Metody ukrywania informacji w Confineers Audio | |||
| Na podstawie nagrywania wiadomości do najmniejszych znaczących kawałków sygnału źródłowego. Jako kontener używany z reguły, nieskompresowany sygnał audio | Przeniesienie wiadomości o niskiej tajemnicy. Niska odporność na zniekształcenia. Używany tylko do niektórych formatów plików audio. | ||
| Metoda ukrycia na podstawie dystrybucji widma | W oparciu o generację hałasu pseudo-losowego, który jest funkcją wprowadzonej wiadomości i wymieszkuje wynikowy szum do głównego pojemnika sygnalizacyjnego jako komponent dodatkowy. Kodowanie strumieni informacji przez rozproszenie zakodowanych danych widma danych | ||
| Metoda Calfaction oparta na użyciu sygnału echa | Na podstawie użycia samego sygnału audio zatrzymano dla różnych okresów czasu w zależności od zaimplementowanego wiadomości ("Downtown EV") | Niska kontener używa współczynnika. Znaczące koszty obliczeniowe. | Reparatywnie wysokie wiadomości ukryte |
| Metoda Calplace w fazie sygnału | Na podstawie faktu niewrażliwości ludzkiego ucha do wartości bezwzględnej fazy harmonicznej. Sygnał audio jest podzielony na sekwencję sekwencję, komunikat jest osadzony przez modyfikację fazy pierwszego segmentu | Mały kontenerowy współczynnik użycia | Ma znacznie wyższą wysoką tajemnicę niż metody ukrywania w NBB |
| Metody ukrywania informacji w pojemnikach tekstowych | |||
| Metoda ukrycia oparta przez Sonic | W oparciu o zachwycające przestrzenie na końcu linii, po znakach interpunkcyjnych, między słowami przy wyrównaniu długości ciągów | Metody są wrażliwe na transfer tekstu z jednego formatu do innego. Możliwa utrata komunikacji. Niska tajemnica | Wystarczająco duży pasmo |
| Metoda Calfaction oparta na cechach składniowych tekstu | Opiera się na fakcie, że zasady interpunkcji pozwalają na niejasności przy wyrównaniu znaków interpunkcyjnych | Bardzo niska przepustowość. Kompletność wykrywania wiadomości | Istnieje potencjalna okazja do wyboru tej metody, w której wymagane będą wysoce złożone procedury, aby ujawnić wiadomość. |
| Metoda ukrycia z synonimem | W oparciu o wkładanie informacji w tekstie za pomocą alteracji słów z dowolnej grupy synonimów | Skomplikowane w stosunku do języka rosyjskiego ze względu na dużą różnorodność odcieni w różnych synonimach | Jedna z najbardziej obiecujących metod. Ma stosunkowo wysoki post |
| Metoda Calfaction w oparciu o użycie błędu | Opiera się na maskowaniu bitów informacyjnych w ramach naturalnych błędów, literówki, naruszeń zasad zapisywania kombinacji samogłosek i spółgłosek, zastępując cyrylicy do podobnych w pojawieniu liter łacińskich itp. | Niska przepustowość. Szybko ujawnione z analizą statystyczną | Niezwykle łatwy w użyciu. Wysoka tajemnica podczas analizy człowieka |
| Metoda opartacza wytwarzania kalcynetowania | Na podstawie generowania kontenera tekstowego za pomocą zestawu propozycji reguł. Używana jest symetryczna kryptografia | Niska przepustowość. Nieskazitelność utworzonego tekstu | Tajemnica jest określona metodami szyfrowania i, co do zasady, dość wysoka |
| Metoda ukrycia oparta na użyciu funkcji czcionek | Na podstawie wkładania informacji z powodu zmian w rodzaju rozmiaru czcionki i litery, a także na możliwość osadzenia informacji w blokach z nieznanym identyfikatorem przeglądarki | Łatwo wykryte, gdy skala dokumentu jest konwertowana, za pomocą stategorów statystycznych | Wysoki współczynnik stosowania kontenera |
| Metoda Calplace w oparciu o korzystanie z kodu dokumentu i pliku | Na podstawie informacji o publikowaniu w zarezerwowanych i nieużywanych polach o zmiennej długości | Niska tajemnica ze znanym formatem pliku | Łatwy w użyciu |
| Metoda Calplace w oparciu o użycie żargonu | Na podstawie zmieniających się słów | Niska przepustowość. Wyspecjalizował Nerco. Niska tajemnica | Łatwy w użyciu |
| Metoda Calplace w oparciu o wykorzystanie alternatywnie słów | W oparciu o wytwarzanie tekstu - pojemnik z tworzeniem się słów określonej długości zgodnie ze znaną regułą kodowania | Złożoność tworzenia pojemnika i wiadomości | Wystarczająco wysoka tajemnica podczas analizy człowieka |
| Metoda Calplacji oparta na użyciu pierwszych liter | W oparciu o wprowadzenie wiadomości w pierwszych literach słów tekstu z wyborem słów | Złożoność kompilacji wiadomości. Niska wiadomość tajemnicy | Daje większą swobodę wyboru operatora wymyślania wiadomości |
| Metody ukrywania informacji w pojemnikach graficznych | |||
| Metoda ukrycia w najmniejszych znaczących bitach | Na podstawie wysyłania wiadomości do najmniejszych znaczących kawałków oryginalnego obrazu | Przeniesienie wiadomości o niskiej tajemnicy. Niska odporność na zniekształcenia | Wystarczająco wysoka pojemność pojemnika (do 25%) |
| Metoda Calfaction w oparciu o modyfikację formatu zgłoszenia indeksu | Na podstawie redukcji (wymiana) palety kolorów i zamawianie kolorów w pikselach z sąsiednimi numerami | Jest używany głównie do skompresowanych obrazów. Low Power Transmission Post | Reparatywnie wysoka pojemność pojemnika |
| Metoda Calplacji na podstawie korzystania z funkcji autokorelacji | Na podstawie wyszukiwania za pomocą funkcji autokorelacji obszarów zawierających podobne dane | Kompleks ukończenia | Odporność na większość transformacji nieliniowych kontenerów |
| Metoda Calfaction w oparciu o użycie nieliniowej modulacji wbudowanej wiadomości | W oparciu o modulację sygnału pseudo-losowego do sygnału zawierającego ukryte informacje | ||
| Metoda Calfaction oparta na użyciu ikonicznej modulacji wbudowanej wiadomości | W oparciu o modulację sygnału pseudo-losowego przez sygnał dwubiegunowy zawierający ukryte informacje | Niska dokładność wykrywania. Zniekształcenia | Wystarczająco wysoka wiadomość w tajemnicy |
| Metoda ukrycia oparta na konwersji | Na podstawie osobliwości transformacji falek | Kompleks ukończenia | Wysoka sekretnica |
| Metoda Calplace w oparciu o zastosowanie dyskretnej transformacji cosin | Na podstawie funkcji dyskretnej transformacji cosin | Obliczanie kompletności | Wysoka sekretnica |
W niekonwencjonalnych kanałach informacyjnych opartych na manipulowaniu różnych cech zasobów CDN są używane do przekazywania niektórych wspólnych zasobów. W tym samym czasie, w kanałach, używając cech czasowych, modulacja czasu zatrudnienia wspólnego zasobu (na przykład modulujący czas zatrudnienia procesora, aplikacje mogą wymieniać dane).
W kanałach pamięci zasób jest używany jako pośredni buforze (na przykład aplikacje mogą wymieniać dane, umieszczając je w nazwach utworzonych plików i katalogów). W kanałach baz danych i wiedzy używać zależności między danymi wynikającymi w relacyjnych bazach danych i wiedzy.
Nietradycyjne kanały informacyjne mogą być utworzone na różnych poziomach bezczynności:
na poziomie sprzętu;
na poziomie mikrokodami i sterownikami urządzeń;
na poziomie systemu operacyjnego;
na poziomie oprogramowania aplikacji;
na poziomie funkcjonowania kanałów transmisji danych i linii komunikacyjnych.
Kanały te mogą być stosowane zarówno do ukrytych przekazywania skopiowanych informacji, jak i tajnych poleceń do wykonania działań destrukcyjnych, uruchamiania aplikacji itp.
Aby wdrożyć kanały, z reguły, konieczne jest wdrożenie zakładki oprogramowania lub oprogramowania i sprzętu w automatycznym systemie zapewniającym tworzenie nietradyjskiego kanału.
Niekonwencjonalny kanał informacyjny może istnieć w systemie w sposób ciągły lub aktywowany jednorazowy lub w określonych warunkach. W tym przypadku możliwe jest istnienie informacji zwrotnej z tematem NSD.
5.7. Ogólne cechy wyników nieautoryzowanego lub przypadkowego dostępuWdrożenie zagrożeń związanych z NSD do informacji może prowadzić do następujących rodzajów naruszeń bezpieczeństwa:
naruszenie poufności (kopiowanie, bezprawna dystrybucja);
Upośledzona uczciwość (zniszczenie, zmiana);
naruszenie dostępności (blokowanie).
Zaburzenie prywatności można wdrożyć w przypadku wycieku informacji:
kopiowanie go do wyobcowanych mediów;
transmisja go za pomocą kanałów danych;
podczas przeglądania lub kopiowania go podczas naprawy, modyfikacji i usuwania oprogramowania i sprzętu;
z "zespołem śmieci" przez naruszenie podczas pracy CDN.
Naruszenie integralności informacji jest przeprowadzane przez wpływ (modyfikacja) w programach i danych użytkowników, a także informacje technologiczne (system), w tym:
oprogramowanie układowe, dane i sterowniki urządzeń komputerowych;
urządzenia programowe, Dane i sterowniki, które zapewniają uruchamianie systemu operacyjnego;
programy i dane (deskryptory, deskryptory, struktury, tabele itp.) Systemu operacyjnego;
dane programy i oprogramowania aplikacji;
Specjalne programy i dane;
Wartości pośrednie (operacyjne) programów i danych w procesie przetwarzania (odczyt / zapis, odbieranie / nadawanie) za pomocą środków i urządzeń sprzętu komputerowego.
Naruszenie integralności informacji w CPF może być również spowodowane wprowadzeniem złośliwego programu i programu sprzętowego lub wpływu na system bezpieczeństwa informacji lub jego elementów.
Ponadto można wpłynąć na informacje o sieci technologicznej, które mogą zapewnić funkcjonowanie różnych sposobów sterowania sieciami komputerowymi:
konfiguracja sieci;
adresy i transfer danych trasy w sieci;
funkcjonalna kontrola sieci;
bezpieczeństwo informacji w sieci.
Naruszenie dostępności informacji jest dostarczane przez tworzenie (modyfikowanie) danych źródłowych, które podczas przetwarzania powoduje nieprawidłowe działanie, awarie lub wychwytywanie (załadunek) zasobów komputerowych, które są potrzebne do wykonania programów i obsługi sprzętu.
Działania te mogą prowadzić do naruszenia lub niepowodzenia funkcjonowania niemal jakichkolwiek środków technicznych CADN:
przetwarzanie informacji;
informacje Informacje i / O;
media przechowywania informacji;
Kanały sprzętu i transmisji;
narzędzia bezpieczeństwa informacji.
