Se pueden introducir (introducir) programas maliciosos tanto de forma intencionada como accidental en el software utilizado en ISPD durante su desarrollo, mantenimiento, modificación y configuración. Además, pueden introducirse programas maliciosos durante el funcionamiento del ISPD desde medios de almacenamiento externos o a través de la interacción de la red, tanto como resultado del acceso no autorizado como accidentalmente por parte de los usuarios del ISPD.
Los programas maliciosos modernos se basan en el uso de vulnerabilidades en varios tipos de software (sistema, general, aplicación) y varias tecnologías de red, tienen una amplia gama de capacidades destructivas (desde la investigación no autorizada de parámetros ISPD sin interferir con el funcionamiento de ISPD, hasta la destrucción de software PD e ISPD) y puede actuar en todo tipo de software (sistema, aplicación, controladores de hardware, etc.).
La presencia de programas maliciosos en el ISPD puede contribuir a la aparición de canales de acceso a la información ocultos, incluidos los no tradicionales, que permiten abrir, eludir o bloquear los mecanismos de seguridad previstos en el sistema, incluida la protección por contraseña y criptográfica.
Los principales tipos de malware son:
marcadores de software;
virus clásicos de software (informático);
Programas maliciosos que se propagan por la red (gusanos de red);
Otros programas maliciosos diseñados para realizar UA.
Los marcadores de software incluyen programas, fragmentos de código e instrucciones que forman funciones de software no declaradas. Los programas maliciosos pueden pasar de un tipo a otro, por ejemplo, una pestaña de software puede generar un virus de software que, a su vez, al entrar en condiciones de red, puede formar un gusano de red u otro programa malicioso diseñado para llevar a cabo UA.
Una breve descripción de los principales programas maliciosos es la siguiente. Los virus de arranque se escriben en el sector de arranque del disco (sector de arranque), o en el sector que contiene el gestor de arranque del disco duro (Registro de arranque maestro), o cambian el puntero al sector de arranque activo. Se introducen en la memoria del ordenador cuando se arranca desde un disco infectado. En este caso, el cargador del sistema lee el contenido del primer sector del disco desde el que se realiza el arranque, coloca la información leída en la memoria y le transfiere el control (es decir, al virus). Después de eso, las instrucciones del virus comienzan a ejecutarse, lo que, por regla general, reduce la cantidad de memoria libre, copia su código en el espacio liberado y lee su continuación (si corresponde) del disco, intercepta los vectores de interrupción necesarios ( generalmente INT 13H), lee el sector de arranque original y le transfiere el control.
En el futuro, el virus de arranque se comporta de la misma manera que un virus de archivo: intercepta el acceso del sistema operativo a los discos y los infecta, dependiendo de ciertas condiciones, realiza acciones destructivas, provoca efectos de sonido o efectos de video.
Las principales acciones destructivas realizadas por estos virus son:
Destrucción de información en sectores de disquetes y disco duro;
exclusión de la posibilidad de cargar el sistema operativo (la computadora se "congela");
Distorsión del código del gestor de arranque;
Formateo de disquetes o discos lógicos de un disco duro;
· Cerrar el acceso a los puertos COM y LPT;
reemplazo de caracteres al imprimir textos;
Contracción de la pantalla
Cambiar la etiqueta de un disco o disquete;
Creación de clusters de pseudo-fallas;
creación de efectos sonoros y/o visuales (por ejemplo, caídas
letras en la pantalla)
Corrupción de archivos de datos.
mostrar varios mensajes en la pantalla;
Deshabilitar dispositivos periféricos (como teclados);
Cambiar la paleta de la pantalla;
llenar la pantalla con caracteres o imágenes extraños;
pantalla en blanco y cambio al modo de espera para entrada de teclado;
Cifrado de sectores del disco duro;
Destrucción selectiva de los caracteres que se muestran en la pantalla al escribir desde el teclado;
Reducir la cantidad de RAM;
llamar para imprimir el contenido de la pantalla;
Bloqueo de escritura en disco
Destrucción de la tabla de particiones (Tabla de particiones de disco), después de eso, la computadora solo se puede iniciar desde un disquete;
bloquear el lanzamiento de archivos ejecutables;
bloqueando el acceso al disco duro.
|
Figura 3. Clasificación de virus de software y gusanos de red
La mayoría de los virus de arranque se sobrescriben en los disquetes.
El método de infección de "sobreescritura" es el más simple: el virus escribe su propio código en lugar del código del archivo infectado, destruyendo su contenido. Naturalmente, en este caso, el archivo deja de funcionar y no se restaura. Dichos virus se detectan muy rápidamente, ya que el sistema operativo y las aplicaciones dejan de funcionar con bastante rapidez.
La categoría "compañero" incluye virus que no modifican los archivos infectados. El algoritmo de funcionamiento de estos virus es que se crea un archivo gemelo para el archivo infectado, y cuando se lanza el archivo infectado, es este gemelo, es decir, el virus, el que recibe el control. Los virus complementarios más comunes utilizan la función DOS para ejecutar archivos con la extensión .COM primero si hay dos archivos en el mismo directorio con el mismo nombre pero con extensiones de nombre diferentes: .COM y .EXE. Dichos virus crean archivos satélite para archivos EXE que tienen el mismo nombre, pero con la extensión .COM, por ejemplo, se crea XCOPY.COM para el archivo XCOPY.EXE. El virus escribe en un archivo COM y no modifica el archivo EXE de ninguna manera. Cuando ejecuta un archivo de este tipo, DOS primero detectará y ejecutará el archivo COM, es decir, el virus, que luego ejecutará el archivo EXE. El segundo grupo consta de virus que, cuando se infectan, cambian el nombre del archivo a otro nombre, lo recuerdan (para el posterior lanzamiento del archivo host) y escriben su código en el disco con el nombre del archivo infectado. Por ejemplo, el archivo XCOPY.EXE cambia de nombre a XCOPY.EXD y el virus se escribe con el nombre XCOPY.EXE. En el inicio, el control se hace cargo del código del virus, que luego ejecuta el XCOPY original, almacenado con el nombre XCOPY.EXD. Curiosamente, este método parece funcionar en todos los sistemas operativos. El tercer grupo incluye los llamados virus "Path-companion". O bien escriben su código con el nombre del archivo infectado, pero un nivel "superior" en las rutas prescritas (DOS, por lo tanto, será el primero en detectar e iniciar el archivo del virus), o transfieren el archivo de la víctima un subdirectorio más arriba, etc
Puede haber otros tipos de virus complementarios que utilicen otras ideas o funciones originales de otros sistemas operativos.
Los gusanos de archivo son, en cierto sentido, una especie de virus complementario, pero de ninguna manera asocian su presencia con ningún archivo ejecutable. Cuando se reproducen, simplemente copian su código en algunos directorios del disco con la esperanza de que el usuario ejecute algún día estas nuevas copias. A veces, estos virus dan a sus copias nombres "especiales" para animar al usuario a ejecutar su copia, por ejemplo, INSTALL.EXE o WINSTART.BAT. Hay gusanos que usan métodos bastante inusuales, por ejemplo, escriben copias de sí mismos en archivos (ARJ, ZIP y otros). Algunos virus escriben el comando para ejecutar el archivo infectado en archivos BAT. Los gusanos de archivo no deben confundirse con los gusanos de red. Los primeros utilizan únicamente las funciones de archivo de algún sistema operativo, mientras que los segundos utilizan protocolos de red para su reproducción.
Los virus de enlace, al igual que los virus complementarios, no modifican el contenido físico de los archivos; sin embargo, cuando se inicia un archivo infectado, "obligan" al sistema operativo a ejecutar su código. Logran este objetivo modificando los campos necesarios del sistema de archivos.
Los virus que infectan bibliotecas de compiladores, módulos de objetos y códigos fuente de programas son bastante exóticos y prácticamente poco comunes. Los virus que infectan archivos OBJ y LIB escriben su código en ellos en forma de módulo de objeto o biblioteca. Por lo tanto, el archivo infectado no es ejecutable y no es capaz de propagar más el virus en su estado actual. El portador de un virus "vivo" se convierte en un archivo COM o EXE.
Una vez controlado, el virus de archivo realiza las siguientes acciones generales:
comprueba la memoria RAM en busca de su copia e infecta
memoria de la computadora, si no se encuentra una copia del virus (si el virus es residente), busca archivos no infectados en el directorio actual y (o) raíz escaneando el árbol de directorios de las unidades lógicas y luego infecta los archivos detectados;
realiza funciones adicionales (si las hay): destructivas
acciones, efectos gráficos o sonoros, etc. (Las funciones adicionales de un virus residente pueden llamarse algún tiempo después de la activación, dependiendo de la hora actual, la configuración del sistema, los contadores internos del virus u otras condiciones; en este caso, el virus procesa el estado del reloj del sistema al momento de la activación, establece sus propios contadores, etc.);
Devuelve el control al programa principal (si lo hay).
Cabe señalar que cuanto más rápido se propaga el virus, más probable es que ocurra una epidemia de este virus, cuanto más lento se propaga el virus, más difícil es de detectar (a menos, por supuesto, que este virus sea desconocido). Los virus no residentes a menudo son "lentos": la mayoría de ellos infectan uno o dos o tres archivos al inicio y no tienen tiempo de inundar la computadora antes de que se inicie el programa antivirus (o una nueva versión del antivirus configurado). porque aparece este virus). Por supuesto, existen virus "rápidos" no residentes que, cuando se inician, buscan e infectan todos los archivos ejecutables; sin embargo, estos virus son muy notorios: cuando se inicia cada archivo infectado, la computadora trabaja activamente con el disco duro para algunos (a veces bastante tiempo), lo que desenmascara el virus. La tasa de propagación (infección) de los virus residentes suele ser mayor que la de los virus no residentes: infectan los archivos cuando se accede a ellos. Como resultado, todos o casi todos los archivos del disco que se usan constantemente en el trabajo están infectados. La tasa de propagación (infección) de los virus de archivos residentes que infectan los archivos solo cuando se inician para su ejecución será menor que la de los virus que infectan los archivos también cuando se abren, se les cambia el nombre, se modifican los atributos de los archivos, etc.
Por lo tanto, las principales acciones destructivas realizadas por virus de archivos están asociadas con daños a archivos (más a menudo archivos ejecutables o de datos), ejecución no autorizada de varios comandos (incluidos comandos para formatear, eliminar, copiar, etc.), cambiar la tabla de vectores de interrupción y etc. Al mismo tiempo, también se pueden realizar muchas acciones destructivas similares a las indicadas para los virus de arranque.
Los macrovirus (macrovirus) son programas en lenguajes (macrolenguajes) integrados en algunos sistemas de procesamiento de datos (editores de texto, hojas de cálculo, etc.). Para su reproducción, dichos virus utilizan las capacidades de los macrolenguajes y, con su ayuda, se transfieren de un archivo infectado (documento o tabla) a otros. Los virus de macro más utilizados para el paquete de aplicaciones de Microsoft Office.
Para la existencia de virus en un determinado sistema (editor), es necesario contar con un lenguaje de macros integrado en el sistema con las siguientes capacidades:
1) vincular un programa en un macrolenguaje a un archivo específico;
2) copiar programas de macros de un archivo a otro;
3) obtener el control del programa de macros sin la intervención del usuario (macros automáticos o estándar).
Estas condiciones las cumplen las aplicaciones de Microsoft Word, Excel y Microsoft Access. Contienen lenguajes de macros: Word Basic, Visual Basic para Aplicaciones. Donde:
1) los programas de macro están vinculados a un archivo específico o se encuentran dentro de un archivo;
2) el lenguaje de macros le permite copiar archivos o mover programas de macros a archivos de servicio del sistema y archivos editables;
3) cuando se trabaja con un archivo bajo ciertas condiciones (apertura, cierre, etc.), se llaman programas macro (si los hay), que se definen de una manera especial o tienen nombres estándar.
Esta característica de los lenguajes de macros está diseñada para el procesamiento automático de datos en grandes organizaciones o redes globales y le permite organizar el llamado "flujo de trabajo automatizado". Por otro lado, las capacidades de los lenguajes de macros de tales sistemas permiten que el virus transfiera su código a otros archivos y así infectarlos.
La mayoría de los virus de macro están activos no solo en el momento de abrir (cerrar) un archivo, sino mientras el editor mismo está activo. Contienen todas sus funciones como macros estándar de Word/Excel/Office. Sin embargo, existen virus que usan trucos para ocultar su código y almacenarlo como no macros. Se conocen tres técnicas de este tipo, todas ellas utilizan la capacidad de las macros para crear, editar y ejecutar otras macros. Por regla general, estos virus tienen una pequeña (a veces polimórfica) macro cargadora de virus que llama al editor de macros incorporado, crea una nueva macro, la llena con el código principal del virus, la ejecuta y luego, por regla general, la destruye (para ocultar rastros de la presencia del virus). El código principal de estos virus está presente en la propia macro del virus en forma de cadenas de texto (a veces cifradas) o se almacena en el área de variables del documento.
Los virus de red incluyen virus que utilizan activamente los protocolos y las capacidades de las redes locales y globales para su propagación. El principio fundamental de un virus de red es la capacidad de transferir su código de forma independiente a un servidor o estación de trabajo remotos. Al mismo tiempo, los virus de red "completos" también tienen la capacidad de ejecutar su propio código en una computadora remota o, al menos, "presionar" al usuario para que inicie el archivo infectado.
Los programas maliciosos que aseguran la implementación de AU pueden ser:
programas para seleccionar y abrir contraseñas;
programas que implementan amenazas;
· programas que demuestren el uso de capacidades no declaradas del software y hardware ISPD;
programas generadores de virus informáticos;
Programas que demuestran vulnerabilidades de seguridad
información, etc
Con la creciente complejidad y diversidad del software, la cantidad de malware aumenta rápidamente. A día de hoy se conocen más de 120.000 firmas de virus informáticos. Sin embargo, no todos representan una amenaza real. En muchos casos, la eliminación de vulnerabilidades en el software del sistema o de la aplicación ha llevado al hecho de que una serie de programas maliciosos ya no pueden infiltrarse en ellos. A menudo, el nuevo malware es la principal amenaza.
Clasificación de los infractores
Sobre la base de pertenecer a la ISPD, todos los infractores se dividen en dos grupos:
Infractores externos: personas que no tienen derecho a permanecer en el territorio de la zona controlada, dentro de la cual se encuentra el equipo ISPD;
Infractores internos: personas que tienen derecho a permanecer en el territorio de la zona controlada, dentro de la cual se encuentra el equipo ISPD.
intruso externo
Como violador externo de la seguridad de la información, se considera intruso a quien no tiene acceso directo a los medios y recursos técnicos del sistema ubicado dentro de la zona controlada.
Se supone que un intruso externo no puede influir en la información protegida a través de canales técnicos de fuga, ya que la cantidad de información almacenada y procesada en el ISPD es insuficiente para posiblemente motivar a un intruso externo a realizar acciones destinadas a filtrar información a través de canales técnicos de fuga.
Se supone que un intruso externo puede influir en la información protegida solo durante su transmisión a través de los canales de comunicación.
persona enterada
Las capacidades de un infiltrado dependen significativamente de los factores restrictivos que operan dentro de la zona controlada, de los cuales el principal es la implementación de un conjunto de medidas organizativas y técnicas, incluida la selección, colocación y provisión de alta capacitación profesional del personal, la admisión de personas dentro de la zona controlada y el control sobre el orden de ejecución de los trabajos destinados a prevenir y reprimir el acceso no autorizado.
El sistema de control de acceso ISPD ISDN garantiza la diferenciación de los derechos de los usuarios para el acceso a la información, el software, el hardware y otros recursos ISPD de acuerdo con la política (reglas) de seguridad de la información aceptada. Los iniciados pueden incluir (tabla):
Administradores de subsistemas específicos o bases de datos ISPD (categoría II);
Usuarios que son externos a un AS en particular (categoría IV);
Personas con capacidad de acceder al sistema de transmisión de datos (categoría V);
Empleados de establecimientos de salud que tienen acceso autorizado para fines oficiales a las instalaciones donde se encuentran los elementos ISPD, pero no tienen derecho a acceder a ellos (categoría VI);
Personal de servicio (servicios de seguridad, ingeniería y técnicos, etc.) (categoría VII);
Personal autorizado de desarrolladores de ISPD que, de forma contractual, tiene derecho a mantener y modificar los componentes de ISPD (categoría VIII).
Las personas de las categorías I y II tienen encomendadas las tareas de administración del software y hardware del ISPD y de las bases de datos para integrar y asegurar la interacción de los diversos subsistemas que componen el ISPD. Los administradores pueden potencialmente implementar amenazas IS utilizando las oportunidades de acceso directo a la información protegida procesada y almacenada en ISPD, así como al hardware y software ISPD, incluidas las herramientas de seguridad utilizadas en AS específicos, de acuerdo con los poderes administrativos establecidos para ellos.
Estas personas conocen bien los algoritmos básicos, los protocolos implementados y utilizados en subsistemas específicos y los ISPD en general, así como los principios y conceptos de seguridad aplicados.
Se supone que podrían usar equipamiento estandar ya sea para identificar vulnerabilidades o para implementar amenazas a la seguridad de la información. Este equipo puede ser parte de las instalaciones estándar o puede obtenerse fácilmente (por ejemplo, software obtenido de fuentes externas disponibles públicamente).
Además, se supone que estas personas podrían haber equipo especializado.
Para las personas de las categorías I y II, en atención a su función exclusiva en el ISPD, se les debe aplicar un conjunto de medidas organizativas y de régimen especiales para su selección, empleo, nombramiento en un cargo y control sobre el desempeño de funciones funcionales.
Se pretende que sólo los apoderados sean incluidos en las categorías I y II, por lo que estas personas quedan excluidas de la lista de probables perpetradores.
Se supone que las personas en las categorías III-VIII probablemente sean infractores.
Las capacidades de un insider dependen significativamente de
del régimen que opera dentro de la zona controlada
y medidas organizativas y técnicas de protección, incluyendo la admisión de personas a DP y el control del procedimiento de trabajo.
Los infractores potenciales internos se dividen en ocho categorías según el método de acceso y la autoridad para acceder a PD.
Este artículo está dedicado al análisis de las tecnologías modernas que representan una amenaza para la seguridad informática y las principales tendencias en el desarrollo de programas maliciosos en 2006.
Tendencias generales de desarrollo de malware
En 2006, el autor descubrió y analizó 49 697 variedades únicas de software malicioso, 47 907 de las cuales pertenecen a las principales familias. Con base en los resultados de su análisis, se construyó un gráfico que muestra la composición porcentual de los programas maliciosos por familias para el año (Fig. 1).
Arroz. 1. Composición porcentual de las muestras de ITW por familias
Como puede verse en el diagrama, el 37% de todos los programas estudiados son programas maliciosos del tipo Trojan-Downloader. Esta es una tendencia estable que se viene rastreando desde 2005 y está asociada con el hecho de que los Trojan-Downloaders se utilizan para instalar programas maliciosos, actualizar sus versiones y restaurarlos si son eliminados por un antivirus. La mayoría de los casos estudiados de daños informáticos por malware implican el lanzamiento del Trojan-Downloader, debido al uso de un exploit o métodos de ingeniería social. Los siguientes más comunes son los gusanos de correo y de red, los troyanos de varios tipos y los programas de la clase Dialer.
El análisis estadístico de la dinámica de detección de las muestras de ITW (in the Wild) muestra que los desarrolladores de malware han adoptado y están utilizando activamente una nueva tecnología para combatir los escáneres de firmas. Su técnica es extremadamente simple y consiste en que el desarrollador crea cientos de variantes de un mismo programa malicioso en un corto período de tiempo. Los métodos más simples para obtener varias opciones son los siguientes:
- reempaquetado por varios empacadores y encriptadores: se puede realizar periódicamente o en el momento de una solicitud de archivo, el conjunto de empacadores y sus parámetros pueden variar aleatoriamente. A menudo, los autores de malware utilizan empaquetadores y codificadores modificados, lo que dificulta su verificación;
- recompilación del archivo con modificaciones suficientes para cambiar las firmas del archivo mediante el cual se detecta;
- colocar un archivo malicioso en un paquete de instalación creado con instaladores NSIS (Sistema de instalación mediante secuencias de comandos). La presencia del código fuente abierto del instalador le permite modificarlo ligeramente, lo que hará que sea imposible descomprimirlo y analizarlo automáticamente durante un análisis antivirus.
Estas técnicas se conocen desde hace mucho tiempo y se pueden utilizar en varias combinaciones, lo que permite al autor de un programa malicioso crear fácilmente cientos de variantes del mismo programa sin utilizar técnicas polimórficas clásicas. Puede rastrear esto en el ejemplo de Trojan-Downloader. Win32.Zlob. Considere las estadísticas de sus detecciones en los últimos 40 días (Fig. 2).
Arroz. 2. Dinámica de detección de Trojan-Downloader.Win32.Zlob durante 40 días
Durante este período, el autor descubrió 2198 muestras ITW de Trojan-Downloader.Win32. Zlob, de los cuales 1213 son únicos. El gráfico muestra dos curvas: el número de detecciones por día y el número de variedades de archivos únicos. En el gráfico se puede ver que aproximadamente cada segunda muestra de ITW descubierta es un archivo único, y esta dependencia permanece estable durante un mes. Según la clasificación de Kaspersky Lab, las 1213 muestras consideradas pertenecen a 169 subvariedades de este programa malicioso. Tales estadísticas son bastante reveladoras: hay muchos programas maliciosos para los cuales se descubren docenas de nuevas modificaciones todos los días.
Otra tendencia característica se puede ver en el ejemplo del gusano de correo Warezov. Durante el mes, el autor registró 5333 muestras ITW, 459 de ellas son únicas. El gráfico de distribución de la actividad se muestra en la fig. 3.
Arroz. 3. Actividad del gusano de correo Warezov
Los picos en el gráfico son períodos de epidemias asociadas con la aparición de nuevas variedades del gusano (en este caso: Email-Worm.Win32.Warezov.gj, Email-Worm.Win32.Warezov.fb, Email-Worm. Win32.Warezov.hb) . El gráfico muestra que una epidemia activa dura un promedio de 2 a 5 días, después de lo cual el número de detecciones de Warezov cae a un nivel de "fondo" de 10 a 30 muestras por día. La aparición de tales ráfagas es bastante comprensible: los antivirus no detectan un nuevo tipo de gusano, como resultado, el gusano infecta muchas PC y comienza una epidemia. Se desarrolla rápidamente, pero durante el día las firmas del gusano ingresan a las bases de datos de los antivirus y la epidemia disminuye rápidamente.
Por otra parte, cabe señalar la distribución activa de programas troyanos de la categoría Trojan-SPY, espías que roban los datos personales de los usuarios. Entre ellos destaca el famoso Goldun, realizando el robo de información sobre las cuentas del sistema e-gold. Las últimas versiones de este troyano utilizan activamente tecnologías de rootkit para camuflaje y espionaje (Fig. 4).
Arroz. 4. Gráfico de actividad de Trojan-SPY del último mes
Un análisis de las tecnologías utilizadas por los creadores de malware muestra que en 2006 no se inventaron nuevas tecnologías revolucionarias: los desarrolladores de malware se centran en la cantidad, no en la calidad. Sin embargo, hay varios desarrollos nuevos que merecen más discusión.
En conclusión, consideremos un gráfico promediado de resumen construido de acuerdo con los datos del sistema del autor para el monitoreo automático de la actividad viral (Fig. 5).
Arroz. 5. Estadísticas del sistema de detección automática de malware de los últimos 40 días
El gráfico muestra que el sistema automático registra en promedio alrededor de 400 nuevas variedades únicas de programas maliciosos por día.
Tecnologías de rootkits
El año 2006 vio el desarrollo y la mejora de varios tipos de rootkits y tecnologías de rootkits. Estas tecnologías son utilizadas por muchos programas maliciosos, y hay varios de ellos:
- Tecnologías de rootkit para enmascarar, cuyo objetivo principal es enmascarar la presencia de un programa malicioso y sus componentes en el disco y en la memoria, así como enmascarar claves en el registro. Para resolver este problema, la intercepción de las funciones API se usa con mayor frecuencia, y en los rootkits modernos existen métodos de intercepción muy sofisticados, por ejemplo, inyectar código en funciones del kernel no exportadas, interceptar una interrupción Int2E, modificar SYSENTER. Por separado, cabe señalar los rootkits DKOM (Manipulación directa de objetos del kernel), que se están volviendo cada vez más populares;
- Tecnologías de rootkit para espionaje: como su nombre indica, se utilizan para monitorear las actividades del usuario y recopilar información confidencial. El ejemplo más típico es Trojan-Spy.Win32.Goldun, que, según el principio de rootkit, intercepta el intercambio de aplicaciones con Internet para buscar detalles de las tarjetas de crédito del usuario en el flujo de información transmitida.
Echemos un vistazo más de cerca a los rootkits DKOM. El principio de su funcionamiento se basa en la modificación de las estructuras del sistema que describen procesos, controladores, hilos y descriptores. Tal intervención en las estructuras del sistema, por supuesto, es una operación no documentada y altamente incorrecta, sin embargo, después de tal intervención, el sistema continúa funcionando de manera más o menos estable. La consecuencia práctica de tal interferencia es que el atacante tiene la oportunidad de manipular las estructuras del núcleo para sus propios fines. Por ejemplo, para cada uno de los procesos en ejecución en el núcleo, se crea una estructura EPROCESS que almacena mucha información sobre el proceso, en particular, su identificador (PID) y el nombre del proceso. Estas estructuras forman una lista doblemente enlazada y son utilizadas por funciones API que devuelven información sobre procesos en ejecución. Para enmascarar un proceso, un rootkit DKOM simplemente elimina su estructura EPROCESS de la lista. La implementación de tal disfraz es extremadamente simple, y puede encontrar docenas de implementaciones listas para usar con textos de origen en Internet. Los rootkits más complejos no se limitan a eliminar la estructura del objeto enmascarado de la lista, sino que distorsionan los datos que contiene. Como resultado, incluso si el anti-rootkit puede encontrar un proceso o controlador oculto, recibirá información incorrecta al respecto. Debido a la facilidad de implementación, estos rootkits se están volviendo cada vez más populares y cada vez es más difícil lidiar con ellos. Los estudios han demostrado que el método más efectivo para contrarrestarlos es instalar un monitor en el sistema que monitorea el inicio/apagado de procesos y la carga/descarga de controladores. La comparación de la información recopilada por dicho monitor con los datos devueltos por el sistema permite detectar las modificaciones realizadas por el rootkit DKOM, comprender su naturaleza y detectar procesos y controladores enmascarados.
programas de engaño
La dirección de los programas Hoax continúa desarrollándose activamente, por lo que podemos predecir con confianza el crecimiento de esta familia en 2007. Traducido literalmente, Hoax es un engaño; mentira, engaño, falsedad. La idea de los programas Hoax es engañar al usuario, la mayoría de las veces con el fin de obtener ganancias o robar información confidencial. Recientemente, ha habido una tendencia a criminalizar esta industria: si hace un año la mayoría de los programas Hoax realizaban acciones relativamente inofensivas, simulando infecciones informáticas con virus o código SpyWare, los modernos están cada vez más destinados a robar contraseñas o información confidencial. Un ejemplo de un programa de este tipo se muestra en la Fig. 6.
Arroz. 6. Ventana del programa Hoax.Win32.Delf
Como se muestra en la ventana del programa y su descripción, se trata de un generador de licencias para Kaspersky Anti-Virus. El programa le solicita que ingrese su dirección de correo electrónico y contraseña para acceder a su buzón de correo y recibir la licencia generada. Si un usuario crédulo hace esto y hace clic en el botón "Obtener cifrado", los datos ingresados por él se transmitirán al atacante por correo electrónico. Durante el último año se han descubierto más de cien programas de este tipo: se trata de varios "cracks", generadores de tarjetas de pago para operadores móviles, generadores de números de tarjetas de crédito, medios para "piratear" buzones de correo, etc. Una característica común de tales programas es el engaño del usuario, destinado a garantizar que ingrese de forma independiente cierta información confidencial. El segundo rasgo característico de las aplicaciones Hoax es su primitivismo: contienen muchos errores e incorrecciones en el código del programa. Dichos programas a menudo son creados por escritores de virus novatos.
La tendencia de desarrollo de los programas Hoax se puede ver en el ejemplo de Hoax.Win32.Renos (Fig. 7).
Arroz. 7. Dinámica de detección de Hoax.Win32.Renos durante los últimos 30 días
Se puede ver en el gráfico que el autor detecta al menos una nueva variante única de este malware por día, y en solo un mes se observan 60 nuevas variantes únicas, que se incluyen en 18 subvariantes según la clasificación de Kaspersky Lab. .
Troyanos para chantaje y extorsión
Los programas de esta variedad aparecieron por primera vez hace un par de años. Su objetivo principal es chantajear directamente al usuario y extorsionarlo para restaurar la capacidad de trabajo de la computadora o descifrar la información codificada por el programa troyano. La mayoría de las veces, el autor recibe informes y solicitudes de ayuda de usuarios afectados por el troyano Trojan.Win32.Krotten, que extorsionó a 25 WMZ para restaurar la computadora a un estado operativo. Este troyano tiene un diseño extremadamente primitivo y todo su trabajo se reduce a modificar cientos de claves en el registro (puede encontrar una descripción detallada de una de sus variedades en: http://www.z-oleg.com/secur/ virlist/vir1180.php). Una característica de esta familia de troyanos es que no es suficiente buscar y destruir un troyano para curar una computadora, también es necesario restaurar el daño causado por él en el sistema. Si el daño al registro creado por el troyano Krotten es bastante fácil de reparar, entonces la información cifrada es mucho más difícil de recuperar. Por ejemplo, el creador del troyano Gpcode, que encripta los datos del usuario, aumenta gradualmente la longitud de la clave de encriptación, desafiando así a las empresas antivirus. Puede leer más sobre este troyano en el artículo de Blackmailer en: http://www.viruslist.com/ru/analysis?pubid=188790045.
Inyección de código de programa como método de lanzamiento oculto
Esta tecnología se ve más claramente en los modernos Trojan-Downloaders, pero gradualmente comienza a introducirse en otros programas maliciosos. Su técnica es relativamente simple: un programa malicioso consta condicionalmente de dos partes: un "inyector" y un código troyano. La tarea del "inyector" es descomprimir y descifrar el código troyano e inyectarlo en un determinado proceso del sistema. En esta etapa, el malware estudiado difiere en el método de inyección del código troyano:
- inyección por sustitución de contexto: el principio de dicha inyección implica la preparación y el descifrado del código troyano (paso 1), el inicio de cualquier proceso del sistema y, al crear un proceso, se crea en modo "dormido" (suspendido) (paso 2). A continuación, el inyector inyecta el código troyano en la memoria del proceso (además, dicha inyección se puede realizar sobre el código máquina del proceso), después de lo cual modifica el contexto del hilo principal de tal forma que el código troyano recibe controlar (paso 3). Después de eso, se inicia el hilo principal y se ejecuta el código troyano. Este método es interesante porque cualquier administrador de procesos mostrará la ejecución de un programa legítimo (digamos, svchost.exe), pero en lugar del código de máquina de un programa legítimo, el código troyano estará en la memoria y se ejecutará. Este método le permite eludir los cortafuegos que no tienen los medios para controlar la modificación de la memoria del proceso y el contexto de sus subprocesos (Fig. 8);
Arroz. 8. Inyección por sustitución de contexto
- inyección de hilos troyanos: este método es ideológicamente similar al anterior, pero en lugar de reemplazar el código de máquina del proceso con un troyano y ejecutarlo en el hilo principal, se crea un hilo adicional en el que se ejecuta el código troyano (paso 2). Este método suele utilizarse para inyectar código troyano en un proceso ya existente sin interrumpir su funcionamiento (Figura 9).
Arroz. 9. Introducción mediante la creación de un flujo troyano
Nuevos métodos para robar WebMoney
A fines de 2006, se descubrió un método nuevo y bastante original para robar dinero en el sistema WebMoney. Se basa en la introducción de un pequeño programa troyano en la computadora del usuario, que monitorea si la ventana del programa WebMoney está abierta. Si está abierto, se supervisa el portapapeles. Cuando encuentra texto en el búfer que comienza con "Z", "R" o "E", el troyano asume que este es el número de billetera del destinatario, que el usuario copió en el portapapeles para ingresarlo en la ventana de WebMoney. Este número se elimina del búfer y se reemplaza con el número "Z", "R" o "E" de la billetera del atacante. El método es extremadamente simple de implementar y puede ser bastante efectivo, ya que los números de billetera a menudo no se ingresan, sino que se copian a través del búfer, y no todos los usuarios verifican cuidadosamente si el número de billetera se insertó desde el búfer. Este troyano es una clara demostración del ingenio de los desarrolladores de troyanos.
Detección de depuradores y PC virtuales
Las técnicas para tratar con depuradores, emuladores y ordenadores virtuales se conocen desde hace mucho tiempo. Su uso dificulta que un novato analice el malware, razón por la cual los desarrolladores de malware han utilizado con éxito estas tecnologías durante mucho tiempo. Sin embargo, durante el año pasado, surgió una nueva tendencia: el malware comenzó a intentar determinar el tipo de computadora, ya sea hardware real o una emulación creada por programas como Virtual PC o VMWare. Estas PC virtuales se han utilizado de manera bastante activa y los administradores las están utilizando para estudiar programas sospechosos. Si hay una verificación, si se inicia en una PC virtual (o bajo un depurador, como opción), un programa malicioso simplemente puede bloquear su trabajo, lo que impedirá que se estudie. Además, tal prueba afectaría a sistemas como Norman Sandbox, ya que su principio de análisis heurístico, en esencia, es ejecutar el programa en estudio en un emulador y examinar su funcionamiento. A finales de año, los expertos del Instituto SANS, Tom Liston y Ed Skoudis, publicaron un informe muy interesante que describe la técnica para detectar máquinas virtuales y combatir los métodos de detección. El documento se puede descargar del sitio web de SANS: http://handlers.sans.org/tliston/ThwartingVMDetection_Liston_Skoudis.pdf.
Spambots y proxies troyanos
Un bot de spam es un troyano independiente diseñado para enviar automáticamente spam desde una computadora infectada. Un proxy troyano es un programa malicioso con las funciones de un servidor proxy; su funcionamiento en la computadora afectada permite que un atacante lo use como un servidor proxy para enviar spam, atacar otras computadoras y realizar otras acciones ilegales. Muchos bots de spam modernos enmascaran activamente su presencia utilizando tecnologías de rootkit y se protegen contra la eliminación. Las estadísticas muestran que cada mes se descubren más de 400 variedades ITW de tales programas, de los cuales alrededor de 130 son nuevos y únicos.
Un bot de spam supone una gran amenaza para las redes corporativas, ya que su funcionamiento acarrea las siguientes consecuencias:
- alto consumo de tráfico de red: en la mayoría de las ciudades de Rusia aún no existen tarifas ilimitadas, por lo que la presencia de varias computadoras afectadas en la red puede generar pérdidas financieras significativas debido al consumo de tráfico;
- muchas redes corporativas usan direcciones IP estáticas y sus propios servidores de correo para acceder a Internet. En consecuencia, como resultado de las actividades de los bots de spam, estas direcciones IP serán incluidas rápidamente en la lista negra de los filtros antispam, lo que significa que los servidores de correo en Internet ya no aceptarán correo del servidor de correo corporativo de la empresa. Es posible excluir su dirección IP de la lista negra, pero es bastante difícil, y si hay bots de spam en ejecución en la red, esta será una medida temporal.
Los métodos para contrarrestar los bots de spam y los proxies troyanos son muy simples: debe bloquear el puerto 25 para todos los usuarios e, idealmente, prohibirles por completo la comunicación directa con Internet, reemplazándolo con el trabajo a través de servidores proxy. Por ejemplo, en Smolenskenergo, todos los usuarios acceden a Internet únicamente a través de un proxy con un sistema de filtros, y diariamente se realiza un estudio semiautomático de los protocolos, el cual es realizado por el administrador del sistema de turno. El analizador que utiliza facilita la detección de anomalías en el tráfico de usuarios y toma medidas oportunas para bloquear actividades sospechosas. Además, los sistemas IDS (Sistema de detección de intrusos), que estudian el tráfico de red de los usuarios, dan excelentes resultados.
Propagación de programas maliciosos mediante mensajeros de Internet
Según las estadísticas recopiladas durante el año, los buscapersonas de Internet se utilizan cada vez más para inyectar programas maliciosos en los equipos de los usuarios. La técnica de implementación es una ingeniería social clásica. Desde el ordenador infectado, en nombre del ICQ de su propietario, el programa malicioso envía mensajes llamando, con un pretexto u otro, a abrir el enlace indicado. El enlace conduce a un troyano (generalmente con un nombre significativo como picture.pif o flash_movie.exe) o a un sitio cuyas páginas contienen vulnerabilidades. Cabe señalar especialmente que son los enlaces a los programas maliciosos los que se distribuyen, y no sus cuerpos.
Durante el último año se han registrado varias epidemias basadas en este principio. En Rusia, las víctimas eran principalmente usuarios de ICQ, y la categoría Trojan-PSW, programas troyanos que roban contraseñas de usuarios, se distribuyeron con mayor frecuencia de esta manera. El autor recibe en promedio de uno a diez mensajes por día, y para fin de año hay un aumento de este tipo de envíos.
La protección contra este tipo de malware es extremadamente simple: no debe abrir dichos enlaces. Sin embargo, las estadísticas muestran que la curiosidad de los usuarios suele pesar más, más si los mensajes provienen de una persona conocida. En un entorno corporativo, una medida efectiva es prohibir el uso de buscapersonas en Internet, ya que en términos de seguridad son un canal ideal para la fuga de información.
medios flash USB
Una caída significativa en los precios de los medios flash (así como un aumento en su volumen y velocidad) condujo a un efecto natural: un rápido aumento de su popularidad entre los usuarios. En consecuencia, los desarrolladores de malware comenzaron a crear programas que infectan unidades flash. El principio de funcionamiento de tales programas es extremadamente simple: se crean dos archivos en la raíz del disco: el archivo de texto autorun.inf y una copia del programa malicioso. El archivo de ejecución automática se utiliza para ejecutar malware automáticamente cuando se conecta una unidad. Un ejemplo clásico de este tipo de malware es el gusano de correo Rays. Es importante tener en cuenta que una cámara digital, muchos teléfonos móviles, reproductores de MP3 y PDA pueden actuar como portadores de un virus; son indistinguibles de un disco flash desde el punto de vista de una computadora (y, en consecuencia, de un gusano) . Al mismo tiempo, la presencia de malware no afecta en modo alguno al funcionamiento de estos dispositivos.
Una medida de protección contra tales programas puede ser la desactivación de la ejecución automática, el uso de monitores antivirus para la detección y eliminación oportuna del virus. Ante la amenaza de la afluencia de virus y la fuga de información, muchas empresas toman medidas más estrictas: bloquean la capacidad de conectar dispositivos USB mediante software especializado o bloquean los controladores USB en la configuración del sistema.
Conclusión
En este artículo, se consideraron las principales direcciones de desarrollo de programas maliciosos. Su análisis nos permite hacer varias predicciones:
- se puede suponer que la dirección de enmascaramiento de los escáneres de firmas y la protección contra el lanzamiento en computadoras virtuales y emuladores se desarrollarán activamente. En consecuencia, varios analizadores heurísticos, cortafuegos y sistemas de defensa proactiva pasan a primer plano para combatir dicho malware;
- existe una clara criminalización de la industria de desarrollo de malware, una proporción creciente de bots de spam, proxies troyanos, troyanos para robar contraseñas y datos personales de los usuarios. A diferencia de los virus y gusanos, estos programas pueden causar importantes daños materiales a los usuarios. El desarrollo de la industria de programas troyanos que encriptan datos a los usuarios nos hace pensar en la conveniencia de realizar copias de seguridad periódicas, lo que prácticamente reduce a cero el daño de tal troyano;
- Un análisis de casos de infección de computadoras muestra que los atacantes a menudo piratean servidores web para instalar programas maliciosos en ellos. Tal piratería es mucho más peligrosa que la llamada desfiguración (reemplazo de la página de inicio del sitio), ya que las computadoras de los visitantes del sitio pueden infectarse. Se puede suponer que esta dirección se desarrollará muy activamente;
- Las unidades flash, las cámaras digitales, los reproductores de MP3 y las PDA se están convirtiendo en una amenaza creciente para la seguridad, ya que pueden contener virus. Muchos usuarios subestiman el peligro que representa, por ejemplo, una cámara digital; sin embargo, en 2006 el autor estudió al menos 30 incidentes relacionados con tales dispositivos;
- El análisis del dispositivo y los principios de funcionamiento de los programas maliciosos muestra que es posible protegerse de ellos sin un antivirus; simplemente no pueden funcionar en un sistema configurado correctamente. La principal regla de protección es que el usuario trabaja con una cuenta limitada que, en particular, no tiene permisos para escribir en las carpetas del sistema, administrar servicios y controladores, y también para modificar las claves de registro del sistema.
Activo edición de 15.02.2008
"MODELO BÁSICO DE AMENAZAS A LA SEGURIDAD DE DATOS PERSONALES DURANTE SU PROCESAMIENTO EN SISTEMAS DE INFORMACIÓN DE DATOS PERSONALES" (aprobado el 15 de febrero de 2008 por el FSTEC de la Federación Rusa)
5. Amenazas de acceso no autorizado a la información en el sistema de información de datos personales
Las amenazas a la AU en ISPD con el uso de software y software y hardware se implementan durante el acceso no autorizado, incluido el accidental, lo que resulta en una violación de la confidencialidad (copia, distribución no autorizada), integridad (destrucción, modificación) y disponibilidad (bloqueo) de PD, e incluyen:
amenazas de acceso (penetración) al entorno operativo de una computadora que utiliza software estándar (herramientas del sistema operativo o programas de aplicación general);
Amenazas de crear modos anormales de operación de los medios de software (software y hardware) debido a cambios deliberados en los datos del servicio, ignorando las restricciones sobre la composición y las características de la información procesada previstas en condiciones regulares, distorsión (modificación) de los datos en sí, etc.;
amenazas de introducción de malware (impacto software-matemático).
La composición de los elementos de la descripción de las amenazas de AU a la información en la ISPD se muestra en la Figura 3.
Además, son posibles las amenazas combinadas, que son una combinación de estas amenazas. Por ejemplo, debido a la introducción de programas maliciosos, se pueden crear condiciones para el acceso no autorizado al entorno operativo de una computadora, incluso mediante la formación de canales de acceso a la información no tradicionales.
Las amenazas de acceso (penetración) en el entorno operativo ISPD utilizando software estándar se dividen en amenazas de acceso directo y remoto. Las amenazas de acceso directo se llevan a cabo mediante software y firmware de entrada/salida de la computadora. Las amenazas de acceso remoto se implementan mediante protocolos de comunicación de red.
Estas amenazas se implementan con respecto a ISPD tanto sobre la base de un lugar de trabajo automatizado que no está incluido en la red pública de comunicación, como en relación con todos los ISPD que están conectados a redes públicas de comunicación y redes internacionales de intercambio de información.
La descripción de las amenazas de acceso (penetración) en el entorno operativo de una computadora puede representarse formalmente de la siguiente manera:
amenaza de AU en ISPD: =<источник угрозы>, <уязвимость ИСПДн>, <способ реализации угрозы>, <объект воздействия (программа, протокол, данные и др.)>, <деструктивное действие>.
Figura 3. Elementos de descripción de amenazas a NSD a la información en ISPD
Las amenazas de crear modos anómalos de funcionamiento de los medios de software (software y hardware) son amenazas de "negación de servicio". Por regla general, estas amenazas se consideran en relación con ISPD basadas en sistemas de información locales y distribuidos, independientemente de la conexión del intercambio de información. Su implementación se debe al hecho de que el desarrollo del software del sistema o aplicación no tiene en cuenta la posibilidad de acciones deliberadas para cambiar intencionalmente:
condiciones de procesamiento de datos (por ejemplo, ignorar las restricciones sobre la longitud del paquete de mensajes);
Formatos de presentación de datos (con discrepancia entre los formatos modificados establecidos para el procesamiento mediante protocolos de interacción de red);
Software de procesamiento de datos.
Las amenazas de denegación de servicio dan como resultado desbordamientos de búfer y bloqueo de procedimientos de procesamiento, "bucle" de procedimientos de procesamiento y "congelación" de la computadora, descartando paquetes de mensajes, etc. La descripción de tales amenazas puede presentarse formalmente de la siguiente manera:
Amenaza de denegación de servicio: =<источник угрозы>, <уязвимость ИСПДн>, <способ реализации угрозы>, <объект воздействия (носитель ПДн)>, <непосредственный результат реализации угрозы (переполнение буфера, блокирование процедуры обработки, "зацикливание" обработки и т.п.)>.
No es apropiado describir las amenazas de los programas maliciosos (impacto software-matemático) con el mismo detalle que las amenazas anteriores. Esto se debe al hecho de que, en primer lugar, la cantidad de programas maliciosos en la actualidad ya supera significativamente los cien mil. En segundo lugar, al organizar la protección de la información en la práctica, por regla general, basta con conocer la clase de un programa malicioso, los métodos y las consecuencias de su introducción (infección). En este sentido, las amenazas de impacto programático-matemático (PMI) pueden representarse formalmente de la siguiente manera:
Amenaza PMV en ISPDn: =<класс вредоносной программы (с указанием среды обитания)>, <источник угрозы (носитель вредоносной программы)>, <способ инфицирования>, <объект воздействия (загрузочный сектор, файл и т.п.)>, <описание возможных деструктивных действий>, <дополнительная информация об угрозе (резидентность, скорость распространения, полиморфичность и др.)>.
A continuación, se incluye una descripción general de las fuentes de amenazas a la seguridad de la información, las vulnerabilidades que se pueden utilizar en la implementación de amenazas de AU y una descripción de los resultados del acceso no autorizado o accidental. Se proporciona una descripción de los métodos para implementar amenazas cuando se describen amenazas de acceso (penetración) al entorno operativo de una computadora, amenazas de denegación de servicio y amenazas de PMA.
Las fuentes de amenazas a la AU en ISPD pueden ser:
intruso;
portador de malware;
marcador de hardware.
Las amenazas de seguridad de PD asociadas con la introducción de errores de hardware se determinan de acuerdo con las regulaciones del Servicio Federal de Seguridad de la Federación Rusa en la forma prescrita por este.
De acuerdo con el derecho de acceso permanente o único al área controlada (KZ) de ISPD, los infractores se dividen en dos tipos:
infractores que no tienen acceso a ISPD, al darse cuenta de amenazas de redes externas de comunicación pública y (o) redes internacionales de intercambio de información - infractores externos;
los infractores que tienen acceso a ISPD, incluidos los usuarios de ISPD que implementan amenazas directamente en ISPD, son infractores internos.
Los intrusos externos pueden ser:
servicios de inteligencia de los estados;
Estructuras criminales;
competidores (organizaciones competidoras);
socios deshonestos;
sujetos externos (individuos).
Un intruso externo tiene las siguientes capacidades:
realizar accesos no autorizados a canales de comunicación que vayan más allá de las instalaciones de la oficina;
realizar accesos no autorizados a través de estaciones de trabajo conectadas a redes públicas de comunicación y (o) redes internacionales de intercambio de información;
llevar a cabo accesos no autorizados a la información utilizando acciones especiales de software a través de virus de software, malware, marcadores algorítmicos o de software;
Efectuar accesos no autorizados a los elementos de la infraestructura de información del ISPD, que en el curso de su ciclo de vida (modernización, mantenimiento, reparación, enajenación) se encuentren fuera del área controlada;
llevar a cabo accesos no autorizados a través de los sistemas de información de los departamentos, organizaciones e instituciones que interactúan cuando están conectados a ISPD.
Las capacidades de un iniciado dependen significativamente del régimen y las medidas de protección organizativas y técnicas que operan dentro de la zona controlada, incluida la admisión de personas a datos personales y el control del procedimiento de trabajo.
Los infractores potenciales internos se dividen en ocho categorías según el método de acceso y la autoridad para acceder a PD.
La primera categoría incluye personas que tienen acceso autorizado a ISPD, pero no tienen acceso a PD. Este tipo de infractores incluye a los funcionarios que velan por el normal funcionamiento del ISPD.
tener acceso a fragmentos de información que contengan DP y que se distribuyan a través de los canales de comunicación internos de ISPD;
Tener fragmentos de información sobre la topología de la ISPD (la parte de comunicación de la subred) y sobre los protocolos de comunicación utilizados y sus servicios;
Disponer de los nombres y realizar la identificación de contraseñas de los usuarios registrados;
cambiar la configuración del hardware ISPD, ingresar marcadores de software y hardware en él y proporcionar recuperación de información mediante una conexión directa al hardware ISPD.
tiene todas las capacidades de las personas de la primera categoría;
Conoce al menos un nombre de acceso legal;
Tiene todos los atributos necesarios (por ejemplo, una contraseña) que brindan acceso a un determinado subconjunto de PD;
tiene datos confidenciales a los que tiene acceso.
Sus derechos de acceso, autenticación y acceso a un determinado subconjunto de PD deben estar regulados por las reglas de control de acceso pertinentes.
tiene todas las capacidades de las personas de la primera y segunda categorías;
Tiene información sobre la topología ISPD basada en un sistema de información local y (o) distribuido a través del cual se proporciona el acceso, y sobre la composición de los medios técnicos ISPD;
tiene la posibilidad de acceso directo (físico) a fragmentos de medios técnicos ISPD.
Posee información completa sobre el sistema y el software de aplicación utilizado en el segmento ISPD (fragmento);
Posee información completa sobre los medios técnicos y configuración del segmento ISPD (fragmento);
tiene acceso a herramientas de registro y seguridad de la información, así como a elementos individuales utilizados en el segmento ISPD (fragmento);
tiene acceso a todos los medios técnicos del segmento ISPD (fragmento);
tiene los derechos para configurar y administrar algún subconjunto de los medios técnicos del segmento ISPD (fragmento).
Tiene todas las capacidades de las personas de las categorías anteriores;
posee información completa sobre el sistema y el software de aplicación del ISPD;
posee información completa sobre los medios técnicos y la configuración de ISPD;
tiene acceso a todos los medios técnicos de procesamiento de información y datos ISPD;
tiene los derechos para configurar y administrar los medios técnicos de ISPD.
El administrador del sistema configura y administra el software (software) y el equipo, incluido el equipo responsable de la seguridad del objeto protegido: medios de protección de información criptográfica, monitoreo, registro, archivo, protección contra acceso no autorizado.
tiene todas las capacidades de las personas de las categorías anteriores;
tiene información completa sobre ISPD;
tiene acceso a herramientas de registro y seguridad de la información ya algunos de los elementos clave de ISPD;
No tiene derechos de acceso para configurar el hardware de la red, excepto para el control (inspección).
El administrador de seguridad es responsable del cumplimiento de las reglas de control de acceso, de la generación de elementos clave y del cambio de contraseñas. El administrador de seguridad audita las mismas protecciones de objetos que el administrador del sistema.
posee información sobre algoritmos y programas para procesar información en ISPD;
Posee la capacidad de introducir errores, funciones no declaradas, marcadores de software, malware en el software ISPD en la etapa de su desarrollo, implementación y mantenimiento;
puede tener fragmentos de información sobre la topología de ISPD y los medios técnicos de procesamiento y protección de los PD procesados en ISPD.
tiene la capacidad de hacer marcadores en los medios técnicos de ISPD en la etapa de su desarrollo, implementación y mantenimiento;
Puede tener cualquier fragmento de información sobre la topología de la ISPD y los medios técnicos de procesamiento y protección de la información en la ISPD.
El portador de un programa malicioso puede ser un elemento de hardware de una computadora o un contenedor de software. Si el programa malicioso no está asociado con ningún programa de aplicación, se considera que su portador es el siguiente:
Medios extraíbles, es decir, disquete, disco óptico (CD-R, CD-RW), memoria flash, disco duro extraíble, etc.;
Medios de almacenamiento incorporados (discos duros, chips de RAM, procesador, chips de placa base, chips de dispositivos integrados en la unidad del sistema: adaptador de video, tarjeta de red, tarjeta de sonido, módem, dispositivos de entrada / salida de discos duros magnéticos y ópticos, fuente de alimentación , etc.) etc., chips de acceso directo a memoria, buses de datos, puertos de entrada/salida);
chips de dispositivos externos (monitor, teclado, impresora, módem, escáner, etc.).
Si un programa malicioso está asociado con cualquier programa de aplicación, con archivos que tienen ciertas extensiones u otros atributos, con mensajes transmitidos a través de la red, entonces sus portadores son:
paquetes de mensajes transmitidos a través de una red informática;
archivos (texto, gráfico, ejecutable, etc.).
5.2. Características generales de las vulnerabilidades del sistema de información de datos personalesVulnerabilidad del sistema de información de datos personales: una falla o debilidad en el sistema o software de aplicación (hardware) de un sistema de información automatizado que puede usarse para implementar una amenaza a la seguridad de los datos personales.
Las causas de las vulnerabilidades son:
errores en el diseño y desarrollo de software (software y hardware) de soporte;
acciones intencionales para introducir vulnerabilidades durante el diseño y desarrollo de soporte de software (hardware);
configuraciones de software incorrectas, cambios ilegales en los modos operativos de dispositivos y programas;
Introducción y uso no autorizado de programas no grabados con el consiguiente gasto injustificado de recursos (carga del procesador, incautación de RAM y memoria en medios externos);
introducción de programas maliciosos que crean vulnerabilidades en software y firmware;
acciones no intencionadas no autorizadas de los usuarios que conducen a vulnerabilidades;
fallas en el funcionamiento del hardware y el software (causadas por fallas en el suministro eléctrico, fallas en los elementos del hardware como resultado del envejecimiento y la reducción de la confiabilidad, influencias externas de los campos electromagnéticos de los dispositivos técnicos, etc.).
La clasificación de las principales vulnerabilidades ISPD se muestra en la Figura 4.
Figura 4. Clasificación de vulnerabilidades de software
A continuación, se incluye una descripción general de los principales grupos de vulnerabilidades ISPD, que incluyen:
vulnerabilidades en el software del sistema (incluidos los protocolos de interacción de red);
vulnerabilidades del software de aplicación (incluidas las herramientas de seguridad de la información).
5.2.1. Características generales de las vulnerabilidades del software del sistemaLas vulnerabilidades del software del sistema deben considerarse con referencia a la arquitectura de los sistemas informáticos.
Las siguientes vulnerabilidades son posibles:
en microprogramas, en firmware ROM, PROM;
en herramientas del sistema operativo diseñadas para gestionar recursos ISPD locales (proporcionando la ejecución de funciones para gestionar procesos, memoria, dispositivos de entrada/salida, interfaz de usuario, etc.), controladores, utilidades;
En las herramientas del sistema operativo diseñadas para realizar funciones auxiliares: utilidades (archivo, desfragmentación, etc.), programas de procesamiento del sistema (compiladores, enlazadores, depuradores, etc.), programas para proporcionar servicios adicionales al usuario (opciones especiales de interfaz, calculadoras, juegos , etc.), bibliotecas de procedimientos para diversos fines (bibliotecas de funciones matemáticas, funciones de entrada/salida, etc.);
en los medios de interacción de comunicación (herramientas de red) del sistema operativo.
Las vulnerabilidades en el firmware y las herramientas del sistema operativo diseñadas para administrar los recursos locales y las funciones auxiliares pueden ser:
Funciones, procedimientos, cuyo cambio de parámetros permite de cierta manera que se utilicen para acceso no autorizado sin que el sistema operativo detecte dichos cambios;
fragmentos del código del programa ("agujeros", "escotillas") introducidos por el desarrollador, que permiten eludir los procedimientos de identificación, autenticación, verificación de integridad, etc.;
Errores en programas (en la declaración de variables, funciones y procedimientos, en códigos de programa), que bajo ciertas condiciones (por ejemplo, al realizar transiciones lógicas) dan lugar a fallas, incluyendo fallas en el funcionamiento de herramientas y sistemas de seguridad de la información.
Las vulnerabilidades de los protocolos de interacción de red están relacionadas con las peculiaridades de su implementación de software y se deben a restricciones en el tamaño del búfer utilizado, deficiencias en el procedimiento de autenticación, falta de verificación de la exactitud de la información del servicio, etc. Una breve descripción de estos vulnerabilidades en relación con los protocolos se da en la Tabla 2.
Tabla 2
Vulnerabilidades de protocolos individuales de la pila de protocolos TCP / IP, sobre la base de los cuales operan las redes públicas globales
| Nombre del protocolo | Capa de pila de protocolo | Nombre (característica) de la vulnerabilidad | Contenido de la violación de la seguridad de la información |
| FTP (Protocolo de transferencia de archivos): protocolo para transferir archivos a través de una red | 1. Autenticación de texto claro (las contraseñas se envían sin cifrar) 2. Acceso predeterminado 3. Dos puertos abiertos | Capacidad para interceptar datos de cuentas (nombres de usuario registrados, contraseñas). Obtener acceso remoto a los hosts | |
| telnet - protocolo de control de terminal remoto | Aplicada, representativa, sesión | Autenticación de texto claro (las contraseñas se envían sin cifrar) | Capacidad para interceptar datos de cuentas de usuario. Obtener acceso remoto a los hosts |
| UDP - Protocolo de transferencia de datos sin conexión | Transporte | Ningún mecanismo para evitar sobrecargas de búfer | Capacidad para implementar una tormenta UDP. El intercambio de paquetes da como resultado una degradación significativa del rendimiento del servidor |
| ARP: protocolo para convertir una dirección IP en una dirección física | red | Autenticación de texto claro (la información se envía sin cifrar) | Capacidad de interceptar el tráfico de usuarios por parte de un atacante |
| RIP - Protocolo de información de enrutamiento | Transporte | Sin autenticación de mensajes de control de redireccionamiento | Capacidad para redirigir el tráfico a través del host del atacante |
| TCP - Protocolo de control de transmisión | Transporte | Ausencia de un mecanismo para verificar la corrección del llenado de los encabezados de servicio del paquete | Una disminución significativa en la tasa de cambio e incluso una ruptura completa en las conexiones arbitrarias a través del protocolo TCP |
| DNS: protocolo de mapeo para nombres mnemotécnicos y direcciones de red | Aplicada, representativa, sesión | Falta de medios para verificar la autenticación de los datos recibidos de la fuente | Suplantación de la respuesta del servidor DNS |
| IGMP - Protocolo de transferencia de mensajes de enrutamiento | red | Sin autenticación de mensajes de cambio de parámetros de ruta | Colgando sistemas Win 9x/NT/200 |
| SMTP es un protocolo para proporcionar un servicio de envío de mensajes por correo electrónico. | Aplicada, representativa, sesión | Posibilidad de falsificar mensajes de correo electrónico, así como la dirección del remitente del mensaje | |
| SNMP: protocolo para administrar enrutadores en redes | Aplicada, representativa, sesión | No hay soporte para la autenticación de encabezado de mensaje | Posibilidad de congestión del ancho de banda de la red |
Para sistematizar la descripción de muchas vulnerabilidades, se utiliza una única base de datos de vulnerabilidades CVE (Common Vulnerabilities and Exposures), que fue desarrollada por especialistas de muchas empresas y organizaciones reconocidas, como MItrE, ISS, Cisco, BindView, Axent, NFR , L-3, CyberSafe, CERT, Universidad Carnegie Mellon, Instituto SANS, etc. Esta base de datos se actualiza constantemente y se utiliza en la formación de bases de datos de numerosas herramientas de software de análisis de seguridad y, sobre todo, escáneres de red.
5.2.2. Características generales de las vulnerabilidades del software de aplicaciónEl software de aplicación incluye aplicaciones de uso general y programas de aplicación especiales.
Programas de aplicaciones públicas: editores de texto y gráficos, programas de medios (reproductores de audio y video, software para recibir programas de televisión, etc.), sistemas de gestión de bases de datos, plataformas de software públicas para desarrollar productos de software (como Delphi, Visual Basic), medios de protección información pública, etc
Los programas de aplicación especial son programas que se desarrollan con el fin de resolver problemas de aplicación específicos en esta ISPD (incluido el software de seguridad de la información desarrollado para una ISPD específica).
Las vulnerabilidades del software de aplicación pueden ser:
funciones y procedimientos relacionados con diferentes programas de aplicación e incompatibles entre sí (que no funcionan en el mismo entorno operativo) debido a conflictos relacionados con la asignación de recursos del sistema;
Funciones, procedimientos, cuyo cambio de parámetros permite de alguna manera usarlos para penetrar en el entorno operativo ISPD y llamar a las funciones regulares del sistema operativo, realizar accesos no autorizados sin que el sistema operativo detecte dichos cambios;
fragmentos de código de programa ("agujeros", "escotillas") introducidos por el desarrollador, que permiten eludir los procedimientos de identificación, autenticación, verificación de integridad, etc. previstos en el sistema operativo;
falta de los medios de protección necesarios (autenticación, verificaciones de integridad, verificación de formatos de mensajes, bloqueo de funciones modificadas no autorizadas, etc.);
Errores en programas (en la declaración de variables, funciones y procedimientos, en códigos de programa), que bajo ciertas condiciones (por ejemplo, al realizar transiciones lógicas) dan lugar a fallas, incluyendo fallas en el funcionamiento de herramientas y sistemas de seguridad de la información, a la posibilidad de acceso no autorizado a la información.
Los datos de vulnerabilidad para el software de aplicación desarrollado y distribuido comercialmente se recopilan, resumen y analizan en la base de datos CVE<*>.
<*>Realizado por una empresa extranjera CERT sobre una base comercial.
5.3. Características generales de las amenazas de acceso directo al entorno operativo del sistema de información de datos personalesLas amenazas de acceso (penetración) al entorno operativo de una computadora y el acceso no autorizado a DP están asociados con el acceso a:
a la información y los comandos almacenados en el sistema básico de entrada/salida (BIOS) de ISPD, con la capacidad de interceptar el control del arranque del sistema operativo y obtener los derechos de un usuario de confianza;
en el entorno operativo, es decir, en el entorno operativo del sistema operativo local de una herramienta técnica ISPD separada con la capacidad de realizar un acceso no autorizado llamando a programas regulares del sistema operativo o iniciando programas especialmente diseñados que implementan tales acciones;
al entorno para el funcionamiento de los programas de aplicación (por ejemplo, a un sistema de gestión de base de datos local);
directamente a la información del usuario (a archivos, información de texto, audio y gráfica, campos y registros en bases de datos electrónicas) y se deben a la posibilidad de violar su confidencialidad, integridad y disponibilidad.
Estas amenazas pueden implementarse en el caso de obtener acceso físico a la ISPD o, al menos, a los medios para ingresar información a la ISPD. Se pueden agrupar según los términos de implementación en tres grupos.
El primer grupo incluye amenazas implementadas durante la carga del sistema operativo. Estas amenazas a la seguridad de la información tienen como objetivo interceptar contraseñas o identificadores, modificar el software del sistema básico de entrada/salida (BIOS), interceptar el control de arranque con cambiar la información tecnológica necesaria para recibir UA en el entorno operativo ISPD. La mayoría de las veces, tales amenazas se implementan utilizando medios enajenados.
El segundo grupo son las amenazas que se implementan después de cargar el entorno operativo, independientemente del programa de aplicación que inicie el usuario. Estas amenazas suelen estar dirigidas a realizar directamente accesos no autorizados a la información. Al obtener acceso al entorno operativo, un intruso puede utilizar tanto las funciones estándar del sistema operativo o algún programa de aplicación pública (por ejemplo, sistemas de gestión de bases de datos), como programas especialmente creados para realizar accesos no autorizados, por ejemplo:
visores de registros y modificaciones;
Programas para buscar textos en archivos de texto por palabras clave y copiar;
programas especiales para ver y copiar registros en bases de datos;
programas para visualizar rápidamente archivos gráficos, editarlos o copiarlos;
programas para apoyar las posibilidades de reconfiguración del entorno del software (ajustes ISPD en interés del infractor), etc.
Finalmente, el tercer grupo incluye amenazas, cuya implementación está determinada por cuál de los programas de aplicación inicia el usuario, o por el hecho de que cualquiera de los programas de aplicación se inicia. La mayoría de estas amenazas son amenazas de inyección de malware.
5.4. Características generales de las amenazas a la seguridad de datos personales implementadas mediante protocolos de interconexión de redesSi ISPD se implementa sobre la base de un sistema de información local o distribuido, las amenazas a la seguridad de la información se pueden implementar en él mediante el uso de protocolos de interconexión de redes. Al mismo tiempo, se puede proporcionar NSD a PD o se puede realizar la amenaza de denegación de servicio. Las amenazas son especialmente peligrosas cuando ISPD es un sistema de información distribuida conectado a redes públicas y (o) redes de intercambio de información internacional. El esquema de clasificación de las amenazas implementadas a través de la red se muestra en la Figura 5. Se basa en las siguientes siete características principales de clasificación.
1. La naturaleza de la amenaza. Sobre esta base, las amenazas pueden ser pasivas y activas. Una amenaza pasiva es una amenaza cuya implementación no afecta directamente el funcionamiento de ISPD, pero se pueden violar las reglas establecidas para restringir el acceso a PD o recursos de red. Un ejemplo de tales amenazas es la amenaza "Análisis de tráfico de red", que tiene como objetivo escuchar los canales de comunicación e interceptar la información transmitida.
Una amenaza activa es una amenaza asociada con un impacto en los recursos ISPD, cuya implementación afecta directamente la operación del sistema (cambio de configuración, interrupción del rendimiento, etc.), y en violación de las reglas establecidas para restringir el acceso a PD o recursos de red. Un ejemplo de este tipo de amenazas es la amenaza de denegación de servicio, comercializada como una "tormenta de solicitudes de TCP".
2. El objeto de la ejecución de la amenaza. Sobre esta base, las amenazas pueden estar dirigidas a violar la confidencialidad, integridad y disponibilidad de la información (incluyendo violar la operatividad de la ISPD o sus elementos).
3. La condición para el inicio del proceso de implementación de la amenaza. Sobre esta base, se puede realizar una amenaza:
a petición del objeto contra el que se ejecuta la amenaza. En este caso, el intruso está esperando la transmisión de una solicitud de cierto tipo, que será la condición para el inicio del acceso no autorizado;
Figura 5. Esquema de clasificación de amenazas utilizando protocolos de interconexión de redes
Ante la ocurrencia de un evento esperado en la instalación contra la cual se implementa la amenaza. En este caso, el intruso monitorea constantemente el estado del sistema operativo ISPD y, si ocurre un determinado evento en este sistema, comienza el acceso no autorizado;
impacto incondicional. En este caso, el inicio de la implementación del acceso no autorizado es incondicional en relación con el propósito del acceso, es decir, la amenaza se realiza de inmediato e independientemente del estado del sistema.
4. Disponibilidad de comentarios de ISPD. Sobre esta base, el proceso de implementación de una amenaza puede ser con o sin retroalimentación. La amenaza implementada en presencia de retroalimentación del ISPD se caracteriza por el hecho de que algunas solicitudes transmitidas al ISPD requieren que el intruso reciba una respuesta. En consecuencia, existe una retroalimentación entre el intruso y el ISPD, lo que le permite al intruso responder adecuadamente a todos los cambios que ocurren en el ISPD. A diferencia de las amenazas implementadas en presencia de comentarios de ISPD, cuando se implementan amenazas sin comentarios, no es necesario responder a ningún cambio que ocurra en ISPD.
5. La ubicación del intruso en relación con ISPD. De acuerdo con este signo, la amenaza se realiza tanto dentro del segmento como entre segmentos. Segmento de red: una asociación física de hosts (hardware ISPD o elementos de comunicación que tienen una dirección de red). Por ejemplo, el segmento ISPD forma un conjunto de hosts conectados al servidor según el esquema de "bus común". En el caso de que exista una amenaza intra-segmento, el intruso tiene acceso físico a los elementos de hardware ISPD. Si hay una amenaza entre segmentos, el intruso se encuentra fuera de la RDSI y se da cuenta de la amenaza desde otra red o desde otro segmento de la RDSI.
6. El nivel del modelo de referencia de interacción de sistemas abiertos.<*>(ISO/OSI) sobre el que se implementa la amenaza. Sobre esta base, se puede implementar una amenaza en los niveles físico, de canal, de red, de transporte, de sesión, de presentación y de aplicación del modelo ISO/OSI.
<*>La Organización Internacional de Normalización (ISO) ha adoptado la norma ISO 7498, que describe la interconexión de sistemas abiertos (OSI).
7. La proporción del número de infractores y elementos ISPD contra los que se está implementando la amenaza. Sobre esta base, una amenaza puede clasificarse como una amenaza implementada por un intruso con respecto a un medio técnico ISPD (amenaza uno a uno), con respecto a varios medios técnicos ISPD a la vez (amenaza uno a muchos) o por varios intrusos desde diferentes ordenadores con respecto a uno o varios medios técnicos de ISPD (amenazas distribuidas o combinadas).
En base a la clasificación, podemos destacar las siete amenazas implementadas con mayor frecuencia en la actualidad.
1. Análisis del tráfico de red (Figura 6).
Figura 6. Esquema de implementación de la amenaza "Análisis de tráfico de red"
Esta amenaza se implementa mediante un programa especial de análisis de paquetes (sniffer), que intercepta todos los paquetes transmitidos a través de un segmento de red y selecciona entre ellos aquellos en los que se transmiten la identificación de usuario y la contraseña. Durante la implementación de la amenaza, el intruso estudia la lógica de la red, es decir, busca obtener una correspondencia uno a uno entre los eventos que ocurren en el sistema y los comandos enviados por los hosts en el momento de la ocurrencia de la amenaza. estos eventos. En el futuro, esto permite que un atacante, basándose en el establecimiento de los comandos apropiados, obtenga, por ejemplo, derechos privilegiados para actuar en el sistema o expandir sus poderes en él, interceptar el flujo de datos transmitidos intercambiados entre los componentes del sistema operativo de la red. para extraer información confidencial o de identificación (por ejemplo, contraseñas estáticas de usuarios para acceder a hosts remotos a través de protocolos FTP y TELNET que no prevén cifrado), su sustitución, modificación, etc.
2. Escaneo en red.
La esencia del proceso de implementación de amenazas es enviar solicitudes a los servicios de red de los hosts ISPD y analizar las respuestas de ellos. El objetivo es identificar los protocolos utilizados, los puertos disponibles de los servicios de red, las leyes para la formación de identificadores de conexión, la definición de servicios de red activos, la selección de identificadores de usuario y contraseñas.
3. La amenaza de exposición de contraseñas.
El propósito de la implementación de la amenaza es obtener UA superando la protección con contraseña. Un atacante puede implementar una amenaza usando una variedad de métodos, como la enumeración simple, la enumeración usando diccionarios especiales, la instalación de malware para interceptar la contraseña, la sustitución de un objeto de red confiable (suplantación de IP) y la detección de paquetes. Básicamente, para implementar la amenaza, se utilizan programas especiales que intentan obtener acceso al host adivinando contraseñas sucesivamente. Si tiene éxito, el atacante puede crear un "pase" para acceder en el futuro, que funcionará incluso si se cambia la contraseña de acceso en el host.
4. Sustitución de un objeto de red de confianza y transmisión de mensajes en su nombre a través de canales de comunicación con la asignación de sus derechos de acceso (Figura 7).
Figura 7. Esquema de implementación de la amenaza "Sustitución de un objeto de red confiable"
Tal amenaza se implementa de manera efectiva en sistemas donde se utilizan algoritmos inestables para identificar y autenticar hosts, usuarios, etc. Un objeto de confianza es un objeto de red (computadora, firewall, enrutador, etc.) conectado legalmente al servidor.
Se pueden distinguir dos variedades del proceso de implementación de esta amenaza: con y sin establecer una conexión virtual.
El proceso de implementación con el establecimiento de una conexión virtual consiste en asignar los derechos de un sujeto de confianza de interacción, lo que permite a un intruso realizar una sesión con un objeto de red en nombre de un sujeto de confianza. La implementación de este tipo de amenazas requiere superar el sistema de identificación y autenticación de mensajes (por ejemplo, atacar el servicio rsh de un host UNIX).
El proceso de implementar una amenaza sin establecer una conexión virtual puede tener lugar en redes que identifican los mensajes transmitidos solo por la dirección de red del remitente. La esencia radica en la transmisión de mensajes de servicio en nombre de los dispositivos de control de la red (por ejemplo, en nombre de los enrutadores) sobre el cambio de enrutamiento y datos de dirección. En este caso, debe tenerse en cuenta que los únicos identificadores de suscriptores y conexiones (según el protocolo TCP) son dos parámetros de 32 bits Número de secuencia inicial - ISS (número de secuencia) y Número de reconocimiento - ACK (número de reconocimiento). Por lo tanto, para generar un paquete TCP falso, el atacante necesita conocer los identificadores actuales de esta conexión: ISSa e ISSb, donde:
ISSa: algún valor numérico que caracteriza el número de secuencia del paquete TCP enviado, la conexión TCP establecida iniciada por el host A;
ISSb: algún valor numérico que caracteriza el número de secuencia del paquete TCP enviado, la conexión TCP establecida iniciada por el host B.
El valor ACK (Número de reconocimiento de conexión TCP) se define como el valor del número recibido del respondedor ISS (número de secuencia) más un ACKb = ISSa + 1.
Como resultado de la implementación de la amenaza, el infractor recibe los derechos de acceso establecidos por su usuario para un suscriptor de confianza a la herramienta técnica ISPD: el objetivo de las amenazas.
5. Imponer una ruta de red falsa.
Esta amenaza se materializa en una de dos formas: por imposición dentro del segmento o entre segmentos. La posibilidad de imponer una ruta falsa se debe a las deficiencias inherentes a los algoritmos de enrutamiento (en particular, debido al problema de identificar los dispositivos de control de la red), como resultado de lo cual puede llegar, por ejemplo, a un host o a la red de un atacante. , donde puede ingresar al entorno operativo de una herramienta técnica como parte de un ISPD. La implementación de la amenaza se basa en el uso no autorizado de protocolos de enrutamiento (RIP, OSPF, LSP) y administración de redes (ICMP, SNMP) para realizar cambios en las tablas de enrutamiento. En este caso, el intruso debe enviar un mensaje de control en nombre del dispositivo de control de la red (por ejemplo, un enrutador) (Figuras 8 y 9).
Figura 8. Esquema de la implementación del ataque "Imposición de una ruta falsa" (intra-segmento) usando el protocolo ICMP para interrumpir la comunicación
Figura 9. Esquema de implementación de la amenaza “Imposición de ruta falsa” (intersegmento) para interceptar tráfico
6. Introducción de un objeto de red falso.
Esta amenaza se basa en explotar las debilidades de los algoritmos de búsqueda remota. En el caso de que los objetos de la red inicialmente no tengan información de direcciones entre sí, se utilizan varios protocolos de búsqueda remota (por ejemplo, SAP en redes Novell NetWare; ARP, DNS, WINS en redes con una pila de protocolos TCP / IP), que consisten en la transmisión de consultas especiales y la recepción de las mismas con la información requerida. En este caso, es posible que el infractor intercepte la consulta de búsqueda y emita una respuesta falsa, cuyo uso conducirá al cambio requerido en los datos de enrutamiento y dirección. En el futuro, todo el flujo de información asociado con el objeto víctima pasará por el objeto de la red falsa (Figuras 10 - 13).
Figura 10. Esquema de la implementación de la amenaza "Inyección de un servidor ARP falso"
Figura 11. Esquema de implementación de la amenaza "Inyección de un servidor DNS falso" al interceptar una solicitud DNS
Figura 12. Esquema de la implementación de la amenaza de "inyección de servidor DNS falso" por una tormenta de respuestas DNS en una computadora de la red
Figura 13. Esquema de la implementación de la amenaza "Inyección de un servidor DNS falso" por una tormenta de respuestas DNS al servidor DNS
7. Denegación de servicio.
Estas amenazas se basan en fallas en el software de red, sus vulnerabilidades que permiten al intruso crear condiciones cuando el sistema operativo no puede procesar los paquetes entrantes.
Se pueden distinguir varios tipos de tales amenazas:
a) denegación de servicio latente causada por la participación de parte de los recursos ISPD para procesar paquetes transmitidos por un atacante con una disminución en el ancho de banda de los canales de comunicación, el rendimiento de los dispositivos de red y una violación de los requisitos para el tiempo de procesamiento de solicitudes. Ejemplos de implementación de amenazas de este tipo son: una tormenta dirigida de solicitudes de eco a través del protocolo ICMP (Ping flooding), una tormenta de solicitudes para establecer conexiones TCP (SYN-flooding), una tormenta de solicitudes a un servidor FTP;
b) una denegación de servicio explícita causada por el agotamiento de los recursos ISPD durante el procesamiento de paquetes transmitidos por un atacante (ocupación de todo el ancho de banda de los canales de comunicación, desbordamiento de las colas de solicitud de servicio), en el que las solicitudes legales no pueden transmitirse a través de la red por indisponibilidad del medio de transmisión o denegación de servicio de recepción por colas de solicitudes llenas, espacio en disco de memoria, etc. Ejemplos de amenazas de este tipo son la tormenta de solicitud de eco de difusión ICMP (Smurf), la tormenta dirigida (SYN-flooding), la tormenta de mensajes del servidor de correo (Spam);
c) una denegación de servicio explícita causada por una violación de la conectividad lógica entre los medios técnicos ISPD cuando el infractor transmite mensajes de control en nombre de los dispositivos de red, lo que lleva a un cambio en el enrutamiento y los datos de dirección (por ejemplo, ICMP Redirect Host, DNS -inundación) o información de identificación y autenticación;
D) una denegación de servicio explícita causada por un atacante que transmite paquetes con atributos no estándar (amenazas del tipo "Land", "TearDrop", "Bonk", "Nuke", "UDP-bomb") o que tienen una longitud superior el tamaño máximo permitido (amenaza del tipo "Ping Death"), lo que puede provocar fallas en los dispositivos de red involucrados en el procesamiento de solicitudes, siempre que haya errores en los programas que implementan protocolos de intercambio de red.
El resultado de la implementación de esta amenaza puede ser una interrupción en el rendimiento del servicio correspondiente para proporcionar acceso remoto a PD en ISPD, la transferencia desde una dirección de tantas solicitudes de conexión a la instalación técnica como parte de ISPD, que pueda "acomodar" el tráfico tanto como sea posible ("tormenta de solicitudes" dirigida), lo que conlleva un desbordamiento de la cola de solicitudes y la falla de uno de los servicios de red o un apagado completo de la computadora debido a la incapacidad del sistema para hacer otra cosa que no sea procesar solicitudes.
8. Lanzamiento remoto de aplicaciones.
La amenaza radica en el deseo de lanzar varios programas maliciosos previamente incrustados en el host ISPD: programas de marcadores, virus, "espías de red", cuyo objetivo principal es violar la confidencialidad, integridad, disponibilidad de la información y control total sobre la operación. del anfitrión Además, es posible el lanzamiento no autorizado de programas de aplicación de usuario para la obtención no autorizada de los datos necesarios para el infractor, para iniciar procesos controlados por el programa de aplicación, etc.
Hay tres subclases de estas amenazas:
1) distribución de archivos que contienen código ejecutable no autorizado;
2) lanzamiento remoto de la aplicación al desbordar el búfer de los servidores de aplicaciones;
3) lanzamiento remoto de la aplicación mediante el uso de las capacidades de administración remota del sistema proporcionadas por las pestañas ocultas de software y hardware o por las herramientas estándar utilizadas.
Las amenazas típicas de la primera de estas subclases se basan en la activación de archivos distribuidos cuando se accede a ellos accidentalmente. Ejemplos de tales archivos son: archivos que contienen código ejecutable en forma de macros (Microsoft Word, documentos de Excel, etc.); documentos html que contienen código ejecutable en forma de controles ActiveX, subprogramas Java, scripts interpretados (por ejemplo, textos JavaScript); archivos que contienen códigos de programas ejecutables. Para la distribución de archivos, se pueden utilizar el correo electrónico, la transferencia de archivos y los servicios del sistema de archivos de red.
Las amenazas de la segunda subclase utilizan las deficiencias de los programas que implementan servicios de red (en particular, la falta de control de desbordamiento de búfer). Al ajustar los registros del sistema, a veces es posible cambiar el procesador, después de una interrupción por desbordamiento del búfer, a la ejecución de código contenido fuera del límite del búfer. Un ejemplo de la implementación de tal amenaza es la introducción del conocido "virus Morris".
Con las amenazas de la tercera subclase, el intruso utiliza las capacidades de control remoto del sistema proporcionadas por componentes ocultos (por ejemplo, programas "troyanos" como Back Orifice, Net Bus) o herramientas estándar de gestión y administración de redes informáticas (Landesk Management Suite, Managewise, Orificio trasero, etc.). Como resultado de su uso, es posible lograr el control remoto de la estación en la red.
Esquemáticamente, las principales etapas del trabajo de estos programas son las siguientes:
instalación en memoria;
esperar una solicitud de un host remoto que ejecuta un programa cliente e intercambiar mensajes de preparación con él;
Transferencia de la información interceptada al cliente o cediéndole el control del ordenador atacado.
Las posibles consecuencias de la implementación de amenazas de varias clases se muestran en la Tabla 3.
Tabla 3
Posibles consecuencias de la implementación de amenazas de varias clases.
| n pag | tipo de ataque | Posibles consecuencias | |
| 1 | Análisis de tráfico de red | Investigación de las características del tráfico de la red, interceptación de los datos transmitidos, incluidos los ID de usuario y las contraseñas | |
| 2 | Escaneo de red | Definición de protocolos, puertos disponibles de servicios de red, reglas para generar identificadores de conexión, servicios de red activos, ID de usuario y contraseñas | |
| 3 | Ataque de "contraseña" | Realizar cualquier acción destructiva relacionada con la obtención de acceso no autorizado | |
| 4 | Falsificación de un objeto de red de confianza | Cambio de ruta de mensajes, cambio no autorizado de enrutamiento y datos de dirección. Acceso no autorizado a los recursos de la red, imposición de información falsa | |
| 5 | Imponer una ruta falsa | Cambio no autorizado de enrutamiento y datos de dirección, análisis y modificación de datos transmitidos, imposición de mensajes falsos | |
| 6 | Inyección de un objeto de red simulado | Interceptación y visualización del tráfico. Acceso no autorizado a los recursos de la red, imposición de información falsa | |
| 7 | Negación de servicio | Agotamiento parcial de recursos | Disminución del ancho de banda de los canales de comunicación, rendimiento de los dispositivos de red. Degradación del rendimiento de las aplicaciones del servidor |
| Agotamiento total de los recursos. | La imposibilidad de transmitir mensajes por falta de acceso al medio de transmisión, negativa a establecer una conexión. Negativa a prestar un servicio (correo electrónico, fichero, etc.) | ||
| Violación de la conectividad lógica entre atributos, datos, objetos | La imposibilidad de transmitir mensajes debido a la falta de datos correctos de enrutamiento y dirección. Imposibilidad de recibir servicios por modificación no autorizada de identificadores, contraseñas, etc. | ||
| Uso de errores en los programas | Mal funcionamiento de los dispositivos de red. | ||
| 8 | Lanzamiento remoto de aplicaciones | Al enviar archivos que contienen código ejecutable destructivo, infección de virus | Violación de la confidencialidad, integridad, disponibilidad de la información |
| Por desbordamiento de búfer de la aplicación del servidor | |||
| Mediante el uso de las capacidades de administración remota del sistema proporcionadas por las pestañas ocultas de software y hardware o por las herramientas estándar utilizadas | Gestión de sistemas ocultos | ||
El proceso de materialización de amenazas generalmente consta de cuatro etapas:
colección de información;
intrusiones (penetración en el entorno operativo);
implementación de acceso no autorizado;
eliminación de rastros de acceso no autorizado.
En la etapa de recopilación de información, el infractor puede estar interesado en información diversa sobre ISPD, que incluye:
a) la topología de la red en la que opera el sistema. Esto puede explorar el área alrededor de la red (por ejemplo, el intruso puede estar interesado en las direcciones de hosts confiables pero menos seguros). Se pueden usar comandos simples para determinar si se puede acceder a un host (por ejemplo, el comando ping para enviar solicitudes ICMP ECHO_REQUEST y esperar las respuestas ICMP ECHO_REPLY). Existen herramientas de disponibilidad de host paralelas (como fping) que pueden escanear una gran área del espacio de direcciones en busca de disponibilidad de host en un corto período de tiempo. La topología de la red a menudo se determina en función del "recuento de nodos" (distancia entre hosts). Se pueden utilizar técnicas como "modulaciones ttL" y entradas de ruta.
El método de "modulación ttL" es implementado por el programa traceroute (para Windows NT - tracert.exe) y consiste en modular el campo ttL de los paquetes IP. Los paquetes ICMP generados por el comando ping se pueden usar para registrar la ruta.
La recopilación de información también puede basarse en solicitudes:
al servidor DNS sobre la lista de hosts registrados (y probablemente activos);
a un enrutador basado en el protocolo RIP sobre rutas conocidas (información sobre la topología de la red);
A dispositivos configurados incorrectamente que admiten el protocolo SNMP (información de topología de red).
Si el ISPD está ubicado detrás de un firewall (FW), es posible recopilar información sobre la configuración de FW y la topología del DSP detrás del FW, incluso mediante el envío de paquetes a todos los puertos de todos los host previstos de la red interna (protegida). ;
b) sobre el tipo de sistema operativo (SO) en ISPD. La forma más conocida de determinar el tipo de sistema operativo del host se basa en el hecho de que los diferentes tipos de sistema operativo implementan los requisitos de RFC para la pila TCP/IP de diferentes maneras. Esto permite que un intruso identifique de forma remota el tipo de sistema operativo instalado en el host ISPD mediante el envío de solicitudes especialmente diseñadas y el análisis de las respuestas recibidas.
Existen herramientas especiales que implementan estos métodos, en particular, Nmap y QueSO. También se puede observar un método de este tipo para determinar el tipo de sistema operativo como la solicitud más simple para establecer una conexión a través del protocolo de acceso remoto telnet (conexión telnet), como resultado de lo cual el tipo de sistema operativo del host puede determinarse por la "apariencia". " de la respuesta. La presencia de ciertos servicios también puede servir como una indicación adicional del tipo de sistema operativo del host;
C) servicios que se ejecutan en hosts. La definición de servicios que se ejecutan en un host se basa en el método de detección de "puertos abiertos", cuyo objetivo es recopilar información sobre la disponibilidad del host. Por ejemplo, para determinar la disponibilidad de un puerto UDP, debe obtener una respuesta al enviar un paquete UDP al puerto correspondiente:
si la respuesta es ICMP PORT UNREACHABLE, entonces el servicio correspondiente no está disponible;
si no se recibe este mensaje, el puerto está "abierto".
Existen bastantes variaciones sobre cómo se puede usar este método, dependiendo del protocolo en uso en la pila de protocolos TCP/IP.
Se han desarrollado muchas herramientas de software para automatizar la recopilación de información sobre ISPD. A modo de ejemplo, se puede señalar lo siguiente:
1) Strobe, Portscanner: herramientas optimizadas para determinar los servicios disponibles en función de los puertos TCP de sondeo;
2) Nmap es una herramienta para escanear servicios disponibles para Linux, FreeBSD, OpenBSD, Solaris, Windows NT. Actualmente es el medio más popular para escanear servicios de red;
3) Queso es un medio muy preciso para determinar el sistema operativo de un host de red basado en el envío de una cadena de paquetes TCP correctos e incorrectos, analizando la respuesta y comparándola con muchas respuestas conocidas de varios sistemas operativos. Esta herramienta también es una herramienta de escaneo popular en la actualidad;
4) Cheops: el escáner de topología de red le permite obtener la topología de la red, incluida una imagen del dominio, las áreas de dirección IP, etc. Esto determina el sistema operativo host, así como los posibles dispositivos de red (impresoras, enrutadores, etc.);
5) Firewalk: un escáner que usa los métodos del programa traceroute para analizar la respuesta a los paquetes IP para determinar la configuración del firewall y construir la topología de la red.
En la etapa de invasión se investiga la presencia de vulnerabilidades típicas en los servicios del sistema o errores en la administración del sistema. La explotación exitosa de las vulnerabilidades generalmente da como resultado que el proceso de un atacante obtenga un modo de ejecución privilegiado (acceso al modo de ejecución privilegiado de un shell), inyectando una cuenta de usuario ilegal en el sistema, obteniendo un archivo de contraseña o interrumpiendo el host atacado.
Esta etapa de desarrollo de la amenaza, por regla general, es de varias fases. Las fases del proceso de implementación de amenazas pueden incluir, por ejemplo:
establecer comunicación con el host contra el que se está implementando la amenaza;
Detección de vulnerabilidades;
la introducción de un programa malicioso en aras del empoderamiento, etc.
Las amenazas implementadas en la etapa de intrusión se dividen en capas de la pila de protocolos TCP/IP, ya que se forman a nivel de red, transporte o aplicación, según el mecanismo de intrusión utilizado.
Las amenazas típicas implementadas a nivel de red y transporte incluyen las siguientes:
a) una amenaza dirigida a reemplazar un objeto de confianza;
b) una amenaza dirigida a crear una ruta falsa en la red;
C) amenazas dirigidas a crear un objeto falso utilizando las deficiencias de los algoritmos de búsqueda remota;
D) amenazas de denegación de servicio basadas en la desfragmentación de IP, en la formación de solicitudes ICMP incorrectas (por ejemplo, los ataques "Ping of Death" y "Smurf"), en la formación de solicitudes TCP incorrectas (ataque "Land") , en crear una "tormenta" de paquetes con solicitudes de conexión (ataques "SYN Flood"), etc.
Las amenazas típicas implementadas a nivel de aplicación incluyen amenazas destinadas al lanzamiento no autorizado de aplicaciones, amenazas cuya implementación está asociada con la introducción de marcadores de software (como un "caballo de Troya"), con la identificación de contraseñas para acceder a una red o a un host específico, etc.
Si la implementación de la amenaza no le otorgó al infractor los derechos de acceso más altos en el sistema, es posible intentar extender estos derechos al máximo nivel posible. Para ello, se pueden utilizar las vulnerabilidades no solo de los servicios de red, sino también las vulnerabilidades del software del sistema de los hosts de ISPDN.
En la etapa de implementación del acceso no autorizado, el logro real del objetivo de implementar la amenaza se lleva a cabo:
violación de la confidencialidad (copia, distribución ilegal);
Violación de la integridad (destrucción, cambio);
violación de accesibilidad (bloqueo).
En la misma etapa, después de estas acciones, por regla general, se forma la llamada "puerta trasera" en forma de uno de los servicios (daemons) que sirven a un puerto determinado y ejecutan los comandos del intruso. Se deja la "puerta trasera" en el sistema con el fin de garantizar:
la capacidad de obtener acceso al host, incluso si el administrador elimina la vulnerabilidad utilizada para implementar con éxito la amenaza;
la capacidad de acceder al host de la forma más discreta posible;
La capacidad de obtener acceso al host rápidamente (sin repetir el proceso de implementación de la amenaza).
La "puerta trasera" permite que un intruso inyecte un programa malicioso en una red o en un host específico, por ejemplo, un "analizador de contraseñas" (husmeador de contraseñas): un programa que extrae ID de usuario y contraseñas del tráfico de la red cuando los protocolos de alto nivel (ftp, telnet, rlogin, etc.) .d.). Los objetivos de inyección de malware pueden ser programas de autenticación e identificación, servicios de red, kernel del sistema operativo, sistema de archivos, bibliotecas, etc.
Finalmente, en la etapa de eliminación de rastros de la implementación de la amenaza, se intenta destruir los rastros de las acciones del intruso. Esto elimina las entradas correspondientes de todos los registros de auditoría posibles, incluidos los registros sobre el hecho de que se recopiló información.
5.5. Características generales de las amenazas de software e influencias matemáticasEl impacto matemático del software es un impacto con la ayuda de programas maliciosos. Un programa con consecuencias potencialmente peligrosas o un programa malicioso es un programa independiente (un conjunto de instrucciones) que es capaz de realizar cualquier subconjunto no vacío de las siguientes funciones:
Ocultar signos de su presencia en el entorno del software informático;
Tener la capacidad de auto duplicarse, asociarse con otros programas y (o) transferir sus fragmentos a otras áreas de RAM o memoria externa;
destruir (distorsionar arbitrariamente) el código del programa en la RAM;
realizar funciones destructivas (copiar, eliminar, bloquear, etc.) sin la iniciación del usuario (programa de usuario en el modo normal de su ejecución);
Guardar fragmentos de información de la RAM en algunas áreas de memoria externa de acceso directo (local o remoto);
Distorsionar arbitrariamente, bloquear y (o) reemplazar la matriz de salida de información a la memoria externa o al canal de comunicación, resultante de la operación de programas de aplicación, o matrices de datos que ya se encuentran en la memoria externa.
Se pueden introducir (introducir) programas maliciosos tanto de forma intencionada como accidental en el software utilizado en ISPD durante su desarrollo, mantenimiento, modificación y configuración. Además, pueden introducirse programas maliciosos durante el funcionamiento del ISPD desde medios de almacenamiento externos o a través de la interacción de la red, tanto como resultado del acceso no autorizado como accidentalmente por parte de los usuarios del ISPD.
Los programas maliciosos modernos se basan en el uso de vulnerabilidades en varios tipos de software (sistema, general, aplicación) y varias tecnologías de red, tienen una amplia gama de capacidades destructivas (desde la investigación no autorizada de parámetros ISPD sin interferir con el funcionamiento de ISPD, hasta la destrucción de software PD e ISPD) y puede actuar en todo tipo de software (sistema, aplicación, controladores de hardware, etc.).
La presencia de programas maliciosos en el ISPD puede contribuir a la aparición de canales de acceso a la información ocultos, incluidos los no tradicionales, que permiten abrir, eludir o bloquear los mecanismos de seguridad previstos en el sistema, incluida la protección por contraseña y criptográfica.
Los principales tipos de malware son:
marcadores de software;
virus clásicos de software (informático);
programas maliciosos que se propagan por la red (gusanos de red);
Otros programas maliciosos diseñados para realizar UA.
Los marcadores de software incluyen programas, fragmentos de código e instrucciones que forman funciones de software no declaradas. Los programas maliciosos pueden pasar de un tipo a otro, por ejemplo, una pestaña de software puede generar un virus de software que, a su vez, al entrar en condiciones de red, puede formar un gusano de red u otro programa malicioso diseñado para llevar a cabo UA.
La clasificación de virus de software y gusanos de red se muestra en la Figura 14. A continuación se presenta una breve descripción de los principales programas maliciosos. Los virus de arranque se escriben en el sector de arranque del disco (sector de arranque), o en el sector que contiene el gestor de arranque del disco duro (Registro de arranque maestro), o cambian el puntero al sector de arranque activo. Se introducen en la memoria del ordenador cuando se arranca desde un disco infectado. En este caso, el cargador del sistema lee el contenido del primer sector del disco desde el que se realiza el arranque, coloca la información leída en la memoria y le transfiere el control (es decir, al virus). Después de eso, las instrucciones del virus comienzan a ejecutarse, lo que, por regla general, reduce la cantidad de memoria libre, copia su código en el espacio liberado y lee su continuación (si corresponde) del disco, intercepta los vectores de interrupción necesarios ( generalmente INT 13H), lee el sector de arranque original y le transfiere el control.
En el futuro, el virus de arranque se comporta de la misma manera que un virus de archivo: intercepta el acceso del sistema operativo a los discos y los infecta, dependiendo de ciertas condiciones, realiza acciones destructivas, provoca efectos de sonido o efectos de video.
Las principales acciones destructivas realizadas por estos virus son:
destrucción de información en sectores de disquetes y disco duro;
Exclusión de la posibilidad de cargar el sistema operativo (la computadora se "congela");
corrupción del código del gestor de arranque;
formateo de disquetes o discos lógicos de un disco duro;
cerrar el acceso a los puertos COM y LPT;
sustitución de caracteres al imprimir textos;
espasmos de pantalla;
cambiar la etiqueta de un disco o disquete;
creación de clusters pseudo fallidos;
creación de efectos sonoros y (o) visuales (por ejemplo, letras que caen en la pantalla);
corrupción de archivos de datos;
mostrar varios mensajes en la pantalla;
Deshabilitar periféricos (como teclados);
cambiando la paleta de la pantalla;
Llenar la pantalla con caracteres o imágenes extraños;
pantalla en blanco y modo de espera de entrada de teclado;
cifrado del sector del disco duro;
destrucción selectiva de los caracteres que se muestran en la pantalla al escribir desde el teclado;
reducción en la cantidad de RAM;
llamar para imprimir el contenido de la pantalla;
bloqueo de escritura en disco;
destrucción de la tabla de particiones (Tabla de particiones de disco), después de eso, la computadora solo se puede iniciar desde un disquete;
bloquear el lanzamiento de archivos ejecutables;
Bloqueando el acceso al disco duro.
Figura 14. Clasificación de virus de software y gusanos de red
La mayoría de los virus de arranque se sobrescriben en los disquetes.
El método de infección de "sobreescritura" es el más simple: el virus escribe su propio código en lugar del código del archivo infectado, destruyendo su contenido. Naturalmente, en este caso, el archivo deja de funcionar y no se restaura. Dichos virus se detectan muy rápidamente, ya que el sistema operativo y las aplicaciones dejan de funcionar con bastante rapidez.
La categoría "compañero" incluye virus que no modifican los archivos infectados. El algoritmo de funcionamiento de estos virus es que se crea un archivo gemelo para el archivo infectado, y cuando se lanza el archivo infectado, es este gemelo, es decir, el virus, el que recibe el control. Los virus complementarios más comunes utilizan la función DOS para ejecutar archivos con la extensión .COM primero si hay dos archivos en el mismo directorio con el mismo nombre pero con extensiones de nombre diferentes: .COM y .EXE. Dichos virus crean archivos satélite para archivos EXE que tienen el mismo nombre, pero con la extensión .COM, por ejemplo, se crea XCOPY.COM para el archivo XCOPY.EXE. El virus escribe en un archivo COM y no modifica el archivo EXE de ninguna manera. Cuando ejecuta un archivo de este tipo, DOS primero detectará y ejecutará el archivo COM, es decir, el virus, que luego ejecutará el archivo EXE. El segundo grupo consta de virus que, cuando se infectan, cambian el nombre del archivo a otro nombre, lo recuerdan (para el posterior lanzamiento del archivo host) y escriben su código en el disco con el nombre del archivo infectado. Por ejemplo, el archivo XCOPY.EXE cambia de nombre a XCOPY.EXD y el virus se escribe con el nombre XCOPY.EXE. En el inicio, el control se hace cargo del código del virus, que luego ejecuta el XCOPY original, almacenado con el nombre XCOPY.EXD. Curiosamente, este método parece funcionar en todos los sistemas operativos. El tercer grupo incluye los llamados virus "Path-companion". O bien escriben su código bajo el nombre del archivo infectado, pero "superior" un nivel en las rutas prescritas (DOS, por lo tanto, será el primero en detectar e iniciar el archivo de virus), o transfieren el archivo de la víctima un subdirectorio más arriba, etc
Puede haber otros tipos de virus complementarios que utilicen otras ideas o funciones originales de otros sistemas operativos.
Los gusanos de archivo son, en cierto sentido, una especie de virus complementario, pero de ninguna manera asocian su presencia con ningún archivo ejecutable. Cuando se reproducen, simplemente copian su código en algunos directorios del disco con la esperanza de que el usuario ejecute algún día estas nuevas copias. A veces, estos virus dan a sus copias nombres "especiales" para animar al usuario a ejecutar su copia, por ejemplo, INSTALL.EXE o WINSTART.BAT. Hay gusanos que usan métodos bastante inusuales, por ejemplo, escriben copias de sí mismos en archivos (ARJ, ZIP y otros). Algunos virus escriben el comando para ejecutar el archivo infectado en archivos BAT. Los gusanos de archivo no deben confundirse con los gusanos de red. Los primeros utilizan únicamente las funciones de archivo de algún sistema operativo, mientras que los segundos utilizan protocolos de red para su reproducción.
Los virus de enlace, al igual que los virus complementarios, no cambian el contenido físico de los archivos; sin embargo, cuando se inicia un archivo infectado, "obligan" al sistema operativo a ejecutar su código. Logran este objetivo modificando los campos necesarios del sistema de archivos.
Los virus que infectan bibliotecas de compiladores, módulos de objetos y códigos fuente de programas son bastante exóticos y prácticamente poco comunes. Los virus que infectan archivos OBJ y LIB escriben su código en ellos en forma de módulo de objeto o biblioteca. Por lo tanto, el archivo infectado no es ejecutable y no es capaz de propagar más el virus en su estado actual. El portador de un virus "vivo" es un archivo COM o EXE.
Una vez controlado, el virus de archivo realiza las siguientes acciones generales:
Comprueba la RAM en busca de una copia de sí mismo e infecta la memoria de la computadora si no se encuentra una copia del virus (si el virus es residente), busca archivos no infectados en el directorio actual y (o) raíz escaneando el árbol de directorios de unidades lógicas y luego infecta los archivos detectados;
realiza funciones adicionales (si las hay): acciones destructivas, efectos gráficos o sonoros, etc. (Las funciones adicionales de un virus residente pueden llamarse algún tiempo después de la activación, dependiendo de la hora actual, la configuración del sistema, los contadores internos del virus u otras condiciones; en este caso, el virus procesa el estado del reloj del sistema al momento de la activación, establece sus propios contadores, etc.);
Cabe señalar que cuanto más rápido se propaga el virus, más probable es que ocurra una epidemia de este virus, cuanto más lento se propaga el virus, más difícil es de detectar (a menos, por supuesto, que este virus sea desconocido). Los virus no residentes a menudo son "lentos": la mayoría de ellos infectan uno o dos o tres archivos al inicio y no tienen tiempo de inundar la computadora antes de que se inicie el programa antivirus (o una nueva versión del antivirus configurado). porque aparece este virus). Por supuesto, hay virus "rápidos" no residentes que, cuando se inician, buscan e infectan todos los archivos ejecutables, pero estos virus son muy notables: cuando se inicia cada archivo infectado, la computadora trabaja activamente con el disco duro para algunos ( a veces bastante tiempo), lo que desenmascara el virus. La tasa de propagación (infección) de los virus residentes suele ser mayor que la de los no residentes: infectan los archivos cuando se accede a ellos. Como resultado, todos o casi todos los archivos del disco que se usan constantemente en el trabajo están infectados. La tasa de propagación (infección) de los virus de archivos residentes que infectan los archivos solo cuando se inician para su ejecución será menor que la de los virus que infectan los archivos también cuando se abren, se les cambia el nombre, se modifican los atributos de los archivos, etc.
Por lo tanto, las principales acciones destructivas realizadas por virus de archivos están asociadas con daños a archivos (más a menudo archivos ejecutables o de datos), ejecución no autorizada de varios comandos (incluidos comandos para formatear, eliminar, copiar, etc.), cambiar la tabla de vectores de interrupción y etc. Al mismo tiempo, también se pueden realizar muchas acciones destructivas similares a las indicadas para los virus de arranque.
Los macrovirus (macrovirus) son programas en lenguajes (macrolenguajes) integrados en algunos sistemas de procesamiento de datos (editores de texto, hojas de cálculo, etc.). Para su reproducción, dichos virus utilizan las capacidades de los macrolenguajes y, con su ayuda, se transfieren de un archivo infectado (documento o tabla) a otros. Los virus de macro más utilizados para el paquete de aplicaciones de Microsoft Office.
Para la existencia de virus en un determinado sistema (editor), es necesario contar con un lenguaje de macros integrado en el sistema con las siguientes capacidades:
1) vincular un programa en un macrolenguaje a un archivo específico;
2) copiar programas de macros de un archivo a otro;
3) obtener el control del programa de macros sin la intervención del usuario (macros automáticos o estándar).
Estas condiciones las cumplen las aplicaciones de Microsoft Word, Excel y Microsoft Access. Contienen lenguajes de macros: Word Basic, Visual Basic para Aplicaciones. Donde:
1) los programas de macro están vinculados a un archivo específico o se encuentran dentro de un archivo;
2) el lenguaje de macros le permite copiar archivos o mover programas de macros a archivos de servicio del sistema y archivos editables;
3) cuando se trabaja con un archivo bajo ciertas condiciones (apertura, cierre, etc.), se llaman programas macro (si los hay), que se definen de una manera especial o tienen nombres estándar.
Esta característica de los lenguajes de macros está diseñada para el procesamiento automático de datos en grandes organizaciones o redes globales y le permite organizar el llamado "flujo de trabajo automatizado". Por otro lado, las capacidades de los lenguajes de macros de tales sistemas permiten que el virus transfiera su código a otros archivos y así infectarlos.
La mayoría de los virus de macro están activos no solo en el momento de abrir (cerrar) un archivo, sino mientras el editor mismo está activo. Contienen todas sus funciones como macros estándar de Word/Excel/Office. Sin embargo, existen virus que usan trucos para ocultar su código y almacenarlo como no macros. Se conocen tres técnicas de este tipo, todas ellas utilizan la capacidad de las macros para crear, editar y ejecutar otras macros. Por regla general, estos virus tienen una pequeña (a veces polimórfica) macro cargadora de virus que llama al editor de macros incorporado, crea una nueva macro, la llena con el código principal del virus, la ejecuta y luego, por regla general, la destruye (para ocultar rastros de la presencia del virus). El código principal de estos virus está presente en la propia macro del virus en forma de cadenas de texto (a veces cifradas) o almacenado en el área variable del documento.
Los virus de red incluyen virus que utilizan activamente los protocolos y las capacidades de las redes locales y globales para su propagación. El principio fundamental de un virus de red es la capacidad de transferir su código de forma independiente a un servidor o estación de trabajo remotos. Al mismo tiempo, los virus de red "completos" también tienen la capacidad de ejecutar su propio código en una computadora remota o, al menos, "presionar" al usuario para que inicie el archivo infectado.
Los programas maliciosos que aseguran la implementación de AU pueden ser:
programas para seleccionar y abrir contraseñas;
programas que implementan amenazas;
Programas que demuestren el uso de capacidades no declaradas de software y hardware ISPD;
programas generadores de virus informáticos;
programas que demuestren las vulnerabilidades de las herramientas de seguridad de la información, etc.
Con la creciente complejidad y diversidad del software, la cantidad de malware aumenta rápidamente. A día de hoy se conocen más de 120.000 firmas de virus informáticos. Sin embargo, no todos representan una amenaza real. En muchos casos, la eliminación de vulnerabilidades en el software del sistema o de la aplicación ha llevado al hecho de que una serie de programas maliciosos ya no pueden infiltrarse en ellos. A menudo, el nuevo malware es la principal amenaza.
5.6. Características generales de los canales de información no tradicionalesUn canal de información no convencional es un canal para la transmisión encubierta de información utilizando canales de comunicación tradicionales y transformaciones especiales de la información transmitida que no están relacionadas con las criptográficas.
Para formar canales no tradicionales, se pueden utilizar métodos:
esteganografía por computadora;
Basado en la manipulación de varias características del ISPD, que pueden ser sancionadas (por ejemplo, el tiempo de procesamiento de varias solicitudes, la cantidad de memoria disponible o los identificadores de archivos o procesos legibles, etc.).
Los métodos de esteganografía por computadora están diseñados para ocultar el hecho de que se transmite un mensaje mediante la incorporación de información oculta en datos aparentemente inofensivos (archivos de texto, gráficos, audio o video) e incluyen dos grupos de métodos basados en:
Sobre el uso de propiedades especiales de formatos informáticos para almacenar y transmitir datos;
Sobre la redundancia de la información sonora, visual o textual desde el punto de vista de las características psicofisiológicas de la percepción humana.
La clasificación de los métodos de esteganografía por computadora se muestra en la Figura 15. Sus características comparativas se dan en la Tabla 4.
El mayor desarrollo y aplicación se encuentra actualmente en los métodos de ocultación de información en estegocontenedores gráficos. Esto se debe a la cantidad relativamente grande de información que se puede colocar en dichos contenedores sin que se note una distorsión de la imagen, la presencia de información a priori sobre el tamaño del contenedor, la existencia en la mayoría de las imágenes reales de regiones de textura que tienen una estructura de ruido y son muy adecuados para incrustar información, la elaboración de métodos de procesamiento de imágenes digitales y formatos de imágenes digitales. Actualmente, hay varios productos de software comerciales y gratuitos disponibles para el usuario promedio que implementan métodos esteganográficos bien conocidos para ocultar información. En este caso se utilizan principalmente contenedores gráficos y de audio.
Figura 15. Clasificación de métodos de transformación de información esteganográfica (STI)
Tabla 4
Características comparativas de los métodos esteganográficos de transformación de la información
| método esteganográfico | Breve descripción del método | Defectos | Ventajas |
| Técnicas para ocultar información en contenedores de audio | |||
| Basado en escribir un mensaje en los bits menos significativos de la señal original. El contenedor suele ser una señal de audio sin comprimir. | Bajo secreto de transmisión de mensajes. Baja resistencia a la distorsión. Usado solo para ciertos formatos de archivos de audio | ||
| Método de ocultación basado en espectro | Basado en la generación de ruido pseudoaleatorio, que es una función del mensaje incrustado, y mezclando el ruido resultante en el contenedor de señal principal como un componente aditivo. Codificación de flujos de información mediante la dispersión de datos codificados en el espectro de frecuencia | ||
| Método de ocultación de eco | Basado en el uso de la señal de audio en sí misma como una señal similar a un ruido, retrasada durante varios períodos de tiempo según el mensaje incrustado ("eco del marcador") | Baja tasa de utilización de contenedores. Costo computacional significativo | Secreto relativamente alto del mensaje |
| Método de ocultación en fase de señal | Basado en el hecho de que el oído humano es insensible al valor absoluto de la fase de los armónicos. La señal de audio se divide en una secuencia de segmentos, el mensaje se incrusta modificando la fase del primer segmento | Tasa de utilización de contenedores pequeños | Tiene un sigilo significativamente mayor que los métodos de ocultación NZB |
| Técnicas para ocultar información en contenedores de texto | |||
| Método de ocultación basado en el espacio | Basado en la inserción de espacios al final de las líneas, después de los signos de puntuación, entre palabras al alinear la longitud de las líneas | Los métodos son sensibles a la transferencia de texto de un formato a otro. Posible pérdida de mensajes. bajo sigilo | Rendimiento suficientemente grande |
| Método de ocultación basado en características sintácticas del texto. | Basado en el hecho de que las reglas de puntuación permiten ambigüedad en la ubicación de los signos de puntuación | Rendimiento muy bajo. Complejidad de la detección de mensajes | Existe la posibilidad de elegir un método que requiera procedimientos muy complejos para resolver el mensaje. |
| Método de ocultación basado en sinónimos | Basado en la inserción de información en el texto alternando palabras de cualquier grupo de sinónimos | Difícil en relación con el idioma ruso debido a la gran variedad de matices en diferentes sinónimos | Uno de los métodos más prometedores. Tiene un secreto relativamente alto del mensaje. |
| Método de ocultación basado en el uso de errores. | Se basa en disfrazar bits de información como errores naturales, errores tipográficos, violaciones de las reglas para escribir combinaciones de vocales y consonantes, reemplazar el cirílico con letras latinas de aspecto similar, etc. | Bajo rendimiento. Revelado rápidamente en el análisis estadístico | Muy fácil de usar. Alto secreto en el análisis humano |
| Método de ocultación basado en la generación de cuasi-texto | Basado en la generación de un contenedor de texto utilizando un conjunto de reglas para la construcción de oraciones. Se utiliza criptografía simétrica | Bajo rendimiento. El sinsentido del texto creado | El sigilo está determinado por los métodos de cifrado y suele ser muy alto. |
| Método de ocultación basado en el uso de características de fuente | Basado en la inserción de información cambiando el tipo de fuente y el tamaño de las letras, así como la posibilidad de incrustar información en bloques con identificadores desconocidos para el navegador | Detectado fácilmente al convertir la escala del documento, con estegoanálisis estadístico | Alta tasa de utilización de contenedores |
| Método de ocultación basado en el uso de código de documento y archivo | Basado en la colocación de información en campos reservados y no utilizados de longitud variable | Bajo sigilo con formato de archivo conocido | Fácil de usar |
| Método de ocultación basado en el uso de la jerga | Basado en cambiar los significados de las palabras. | Bajo rendimiento. Estrechamente especializado. bajo sigilo | Fácil de usar |
| Método de ocultación basado en el uso de alternancia de longitud de palabra | Basado en la generación de texto: un contenedor con la formación de palabras de cierta longitud de acuerdo con una regla de codificación conocida | Complejidad de la formación de contenedores y mensajes. | Secreto suficientemente alto cuando es analizado por una persona |
| Método de ocultación basado en el uso de las primeras letras | Basado en la introducción de un mensaje en las primeras letras de las palabras del texto con la selección de palabras | Dificultad para escribir un mensaje. Secreto de mensaje bajo | Da mayor libertad de elección al operador que inventa el mensaje |
| Técnicas para ocultar información en contenedores de gráficos | |||
| Método de ocultación en bits menos significativos | Basado en escribir un mensaje en los bits menos significativos de la imagen original | Bajo secreto de transmisión de mensajes. Baja resistencia a la distorsión | Capacidad de contenedor suficientemente alta (hasta 25%) |
| Método de ocultación basado en la modificación del formato de representación del índice | Basado en la reducción (reemplazo) de la paleta de colores y el ordenamiento de colores en píxeles con números vecinos | Se aplica principalmente a imágenes comprimidas. Bajo secreto de transmisión de mensajes | Capacidad de contenedores relativamente alta |
| Método de ocultación basado en el uso de la función de autocorrelación | Basado en la búsqueda de autocorrelación de áreas que contienen datos similares | Complejidad de los cálculos | Resistente a la mayoría de las transformaciones de contenedores no lineales |
| Método de ocultación basado en el uso de modulación no lineal del mensaje incrustado | Basado en la modulación de una señal pseudoaleatoria por una señal que contiene información oculta | ||
| Método de ocultación basado en el uso de modulación de signos del mensaje incrustado | Basado en la modulación de una señal pseudoaleatoria por una señal bipolar que contiene información oculta | Precisión de detección baja. distorsión | Secreto suficientemente alto del mensaje |
| Método de ocultación de transformada de wavelet | Basado en las características de las transformadas wavelet | Complejidad de los cálculos | Alto sigilo |
| Método de ocultación basado en el uso de la transformada de coseno discreta | Basado en las características de la transformada de coseno discreta | Cálculo de complejidad | Alto sigilo |
En los canales de información no tradicionales basados en la manipulación de varias características de los recursos ISPD, se utilizan algunos recursos compartidos para la transmisión de datos. Al mismo tiempo, en los canales que utilizan características de tiempo, la modulación se realiza de acuerdo con el tiempo ocupado del recurso compartido (por ejemplo, al modular el tiempo ocupado del procesador, las aplicaciones pueden intercambiar datos).
En los canales de memoria, un recurso se usa como un búfer intermedio (por ejemplo, las aplicaciones pueden intercambiar datos colocándolos en los nombres de los archivos y directorios que crean). Los canales de base de datos y conocimiento utilizan dependencias entre los datos que se originan en las bases de datos relacionales y el conocimiento.
Los canales de información no tradicionales se pueden formar en varios niveles de funcionamiento de ISPD:
a nivel de hardware;
a nivel de microcódigos y controladores de dispositivos;
a nivel del sistema operativo;
a nivel de software de aplicación;
a nivel de funcionamiento de los canales de transmisión de datos y líneas de comunicación.
Estos canales se pueden utilizar tanto para la transmisión encubierta de información copiada como para la transmisión encubierta de comandos para realizar acciones destructivas, iniciar aplicaciones, etc.
Para implementar canales, por regla general, es necesario introducir una pestaña de software o hardware-software en el sistema automatizado que asegure la formación de un canal no convencional.
Un canal de información no convencional puede existir continuamente en el sistema o activarse una vez o bajo condiciones específicas. En este caso, es posible la existencia de retroalimentación con el tema de NSD.
5.7. Características generales de los resultados del acceso no autorizado o accidentalLa realización de amenazas de AU a la información puede conducir a los siguientes tipos de violación de su seguridad:
violación de la confidencialidad (copia, distribución ilegal);
Violación de la integridad (destrucción, cambio);
violación de accesibilidad (bloqueo).
La violación de la confidencialidad puede llevarse a cabo en caso de fuga de información:
su copia en soporte enajenable;
su transmisión por canales de transmisión de datos;
al verlo o copiarlo durante la reparación, modificación y eliminación de software y hardware;
durante la "recolección de basura" por parte del infractor durante el funcionamiento del ISPD.
La violación de la integridad de la información se lleva a cabo debido al impacto (modificación) en los programas y datos del usuario, así como en la información tecnológica (del sistema), que incluye:
microprogramas, controladores de datos y dispositivos del sistema informático;
programas, datos y controladores de dispositivos que aseguran la carga del sistema operativo;
programas y datos (descriptores, descriptores, estructuras, tablas, etc.) del sistema operativo;
datos y programas de software de aplicación;
Programas y datos de software especial;
Valores intermedios (operativos) de programas y datos en el proceso de su procesamiento (lectura/escritura, recepción/transmisión) por medios y dispositivos de tecnología informática.
La violación de la integridad de la información en el ISPD también puede ser causada por la introducción de un marcador de software-hardware malicioso en el mismo o el impacto en el sistema de seguridad de la información o sus elementos.
Además, en ISPD, es posible influir en la información de la red tecnológica, que puede garantizar el funcionamiento de varios medios de gestión de una red informática:
configuración de la red;
direcciones y enrutamiento de transmisión de datos en la red;
control de red funcional;
seguridad de la información en la red.
La violación de la disponibilidad de la información está asegurada por la formación (modificación) de los datos iniciales que, durante el procesamiento, provocan un funcionamiento incorrecto, fallas de hardware o incautación (carga) de los recursos informáticos del sistema que son necesarios para la ejecución de programas y el funcionamiento del equipo.
Estas acciones pueden provocar la interrupción o el fallo del funcionamiento de casi cualquier medio técnico de ISPD:
medios de procesamiento de información;
medios de entrada/salida de información;
medios de almacenamiento de información;
Equipos y canales de transmisión;
medios de protección de la información.
Los programas maliciosos introducidos a través de la red incluyen virus que utilizan activamente los protocolos y las capacidades de las redes locales y globales para propagarse. El principio fundamental de un virus de red es la capacidad de transferir su código de forma independiente a un servidor o estación de trabajo remotos. Al mismo tiempo, los virus de red "completos" también tienen la capacidad de ejecutar su propio código en una computadora remota o, al menos, "presionar" al usuario para que inicie el archivo infectado.
Los programas maliciosos que aseguran la implementación de AU pueden ser:
programas para seleccionar y abrir contraseñas;
programas que implementan amenazas;
programas que demuestren el uso de capacidades no declaradas del software y hardware ISPD;
programas generadores de virus informáticos;
programas que demuestren las vulnerabilidades de las herramientas de seguridad de la información, etc.
Si los PD procesados por la institución no se envían a través de redes públicas y el intercambio internacional, la protección antivirus está instalada, entonces la probabilidad de que se materialice una amenaza es es poco probable.
En todos los demás casos, debe evaluarse la probabilidad de que se materialice la amenaza.
En la Tabla 13 se presenta una lista generalizada de la probabilidad de amenazas para diferentes tipos de ISPD.
Tabla 13
|
Tipo ISPD |
Probabilidad de la amenaza |
coef. probabilidad de realización de la amenaza por parte del intruso |
|
IC Autónomo Tipo I |
improbable | |
|
IC Autónomo Tipo II | ||
|
IC Autónomo Tipo III |
improbable | |
|
IC Autónomo Tipo IV | ||
|
Tipo autónomo IC V |
improbable | |
|
IC Autónomo Tipo VI | ||
|
LIS tipo I |
improbable | |
|
LIS tipo II | ||
|
IC distribuido tipo I |
improbable | |
|
IC distribuido tipo II |
Viabilidad de las amenazas
Con base en los resultados de evaluar el nivel de seguridad (Y 1) (sección 7) y la probabilidad de la amenaza (Y 2) (sección 9), se calcula el coeficiente de viabilidad de la amenaza (Y) y se determina la posibilidad de la amenaza. (tabla 4). El factor de viabilidad de la amenaza Y estará determinado por la relación Y= (Y 1 +Y 2)/20
En las tablas 14-23 se presenta una lista generalizada de evaluación de la viabilidad de UBPD para diferentes tipos de ISPD.
Tabla 14 - IC Autónomos Tipo I
|
Tipo de amenazas de seguridad de PD |
Posibilidad de implementación |
|
|
2.1.1. robo de pc | ||
|
2.3.6. Desastre | ||
Tabla 15 - SI Autónomo tipo II
|
Tipo de amenazas de seguridad de PD |
Relación de viabilidad de amenazas (Y) |
Posibilidad de implementación |
|
1. Amenazas de fuga por canales técnicos. |
||
|
1.1. Amenazas de fuga de información acústica | ||
|
1.2. Amenazas de fuga de información sobre especies | ||
|
1.3. Amenazas de fuga de información a través de los canales del PEMIN | ||
|
2. Amenazas de acceso no autorizado a la información. |
||
|
2.1. Amenazas de destrucción, robo de hardware ISPD de soportes de información mediante acceso físico a elementos ISPD |
||
|
2.1.1. robo de pc | ||
|
2.1.2. Robo de medios | ||
|
2.1.3. Robo de llaves y atributos de acceso | ||
|
2.1.4. Robo, modificación, destrucción de información | ||
|
2.1.5. Deshabilitación de nodos de PC, canales de comunicación. | ||
|
2.1.6. Acceso no autorizado a la información durante el mantenimiento (reparación, destrucción) de nodos de PC | ||
|
2.1.7. Deshabilitación no autorizada de protecciones | ||
|
2.2. Amenazas de robo, modificación no autorizada o bloqueo de información debido al acceso no autorizado (UAS) utilizando software, hardware y software (incluido el software y las influencias matemáticas). |
||
|
2.2.1. Acciones de malware (virus) | ||
|
2.2.3. Instalación de software no relacionado con el trabajo | ||
|
2.3. Amenazas de acciones no intencionales de los usuarios y violaciones de la seguridad del funcionamiento de ISPD y SZPDn en su composición debido a fallas de software, así como de amenazas no antropogénicas (fallas de hardware debido a elementos no confiables, fallas de energía) y naturales (caída de rayos , incendios, inundaciones y etc.) carácter. |
||
|
2.3.1. Pérdida de claves y atributos de acceso | ||
|
2.3.2. Modificación no intencional (destrucción) de la información por parte de los empleados | ||
|
2.3.3. Deshabilitación inadvertida de protecciones | ||
|
2.3.4. Fallo de hardware y software. | ||
|
2.3.5. Fallo de alimentación | ||
|
2.3.6. Desastre | ||
|
2.4. Amenazas de acciones deliberadas por parte de personas internas |
||
|
2.4.1. Acceso a la información, modificación, destrucción de personas no autorizadas para su tratamiento | ||
|
2.4.2. Revelación de información, modificación, destrucción por empleados admitidos a su tratamiento | ||
|
2.5 Amenazas de acceso no autorizado a través de los canales de comunicación. |
||
|
2.5.1 Amenaza "Análisis de tráfico de red" con interceptación de información transmitida desde ISPD y recibida de redes externas: | ||
|
2.5.1.1. Interceptación fuera de la zona controlada | ||
|
2.5.1.2. Interceptación dentro de la zona controlada por intrusos externos | ||
|
2.5.1.3 Interceptación dentro de la zona controlada por personas internas. | ||
|
2.5.2 Amenazas de escaneo dirigidas a identificar el tipo o tipos de sistemas operativos utilizados, direcciones de red de estaciones de trabajo ISPD, topología de red, puertos y servicios abiertos, conexiones abiertas, etc. | ||
|
2.5.3 Amenazas de revelar contraseñas en la red | ||
|
2.5.4 Amenazas que imponen una ruta de red falsa | ||
|
2.5.5 Amenazas de falsificación de un objeto de confianza en la red | ||
|
2.5.6 Amenazas de introducir un objeto falso tanto en ISPD como en redes externas | ||
|
2.5.7 Amenazas de denegación de servicio | ||
|
2.5.8 Amenazas de lanzamiento remoto de aplicaciones | ||
|
2.5.9 Amenazas de introducir malware en la red | ||
Tabla 16 - SI Autónomo tipo III
|
Tipo de amenazas de seguridad de PD |
Relación de viabilidad de amenazas (Y) |
Posibilidad de implementación |
|
1. Amenazas de fuga por canales técnicos. |
||
|
1.1. Amenazas de fuga de información acústica | ||
|
1.2. Amenazas de fuga de información sobre especies | ||
|
1.3. Amenazas de fuga de información a través de los canales del PEMIN | ||
|
2. Amenazas de acceso no autorizado a la información. |
||
|
2.1. Amenazas de destrucción, robo de hardware ISPD de soportes de información mediante acceso físico a elementos ISPD |
||
|
2.1.1. robo de pc | ||
|
2.1.2. Robo de medios | ||
|
2.1.3. Robo de llaves y atributos de acceso | ||
|
2.1.4. Robo, modificación, destrucción de información | ||
|
2.1.5. Deshabilitación de nodos de PC, canales de comunicación. | ||
|
2.1.6. Acceso no autorizado a la información durante el mantenimiento (reparación, destrucción) de nodos de PC | ||
|
2.1.7. Deshabilitación no autorizada de protecciones | ||
|
2.2. Amenazas de robo, modificación no autorizada o bloqueo de información debido al acceso no autorizado (UAS) utilizando software, hardware y software (incluido el software y las influencias matemáticas). |
||
|
2.2.1. Acciones de malware (virus) | ||
|
2.2.3. Instalación de software no relacionado con el trabajo | ||
|
2.3. Amenazas de acciones no intencionales de los usuarios y violaciones de la seguridad del funcionamiento de ISPD y SZPDn en su composición debido a fallas de software, así como de amenazas no antropogénicas (fallas de hardware debido a elementos no confiables, fallas de energía) y naturales (caída de rayos , incendios, inundaciones y etc.) carácter. |
||
|
2.3.1. Pérdida de claves y atributos de acceso | ||
|
2.3.2. Modificación no intencional (destrucción) de la información por parte de los empleados | ||
|
2.3.3. Deshabilitación inadvertida de protecciones | ||
|
2.3.4. Fallo de hardware y software. | ||
|
2.3.5. Fallo de alimentación | ||
|
2.3.6. Desastre | ||
|
2.4. Amenazas de acciones deliberadas por parte de personas internas |
||
|
2.4.1. Acceso a la información, modificación, destrucción de personas no autorizadas para su tratamiento | ||
|
2.4.2. Revelación de información, modificación, destrucción por empleados admitidos a su tratamiento | ||
|
2.5 Amenazas de acceso no autorizado a través de los canales de comunicación. |
||
|
2.5.1 Amenaza "Análisis de tráfico de red" con interceptación de información transmitida desde ISPD y recibida de redes externas: | ||
|
2.5.1.1. Interceptación fuera de la zona controlada | ||
|
2.5.1.2. Interceptación dentro de la zona controlada por intrusos externos | ||
|
2.5.1.3 Interceptación dentro de la zona controlada por personas internas. | ||
|
2.5.2 Amenazas de escaneo dirigidas a identificar el tipo o tipos de sistemas operativos utilizados, direcciones de red de estaciones de trabajo ISPD, topología de red, puertos y servicios abiertos, conexiones abiertas, etc. | ||
|
2.5.3 Amenazas de revelar contraseñas en la red | ||
|
2.5.4 Amenazas que imponen una ruta de red falsa | ||
|
2.5.5 Amenazas de falsificación de un objeto de confianza en la red | ||
|
2.5.6 Amenazas de introducir un objeto falso tanto en ISPD como en redes externas | ||
|
2.5.7 Amenazas de denegación de servicio | ||
|
2.5.8 Amenazas de lanzamiento remoto de aplicaciones | ||
|
2.5.9 Amenazas de introducir malware en la red | ||
Tabla 17 - SI Autónomo tipo IV
|
Tipo de amenazas de seguridad de PD |
Relación de viabilidad de amenazas (Y) |
Posibilidad de implementación |
|
1. Amenazas de fuga por canales técnicos. |
||
|
1.1. Amenazas de fuga de información acústica | ||
|
1.2. Amenazas de fuga de información sobre especies | ||
|
1.3. Amenazas de fuga de información a través de los canales del PEMIN | ||
|
2. Amenazas de acceso no autorizado a la información. |
||
|
2.1. Amenazas de destrucción, robo de hardware ISPD de soportes de información mediante acceso físico a elementos ISPD |
||
|
2.1.1. robo de pc | ||
|
2.1.2. Robo de medios | ||
|
2.1.3. Robo de llaves y atributos de acceso | ||
|
2.1.4. Robo, modificación, destrucción de información | ||
|
2.1.5. Deshabilitación de nodos de PC, canales de comunicación. | ||
|
2.1.6. Acceso no autorizado a la información durante el mantenimiento (reparación, destrucción) de nodos de PC | ||
|
2.1.7. Deshabilitación no autorizada de protecciones | ||
|
2.2. Amenazas de robo, modificación no autorizada o bloqueo de información debido al acceso no autorizado (UAS) utilizando software, hardware y software (incluido el software y las influencias matemáticas). |
||
|
2.2.1. Acciones de malware (virus) | ||
|
2.2.3. Instalación de software no relacionado con el trabajo | ||
|
2.3. Amenazas de acciones no intencionales de los usuarios y violaciones de la seguridad del funcionamiento de ISPD y SZPDn en su composición debido a fallas de software, así como de amenazas no antropogénicas (fallas de hardware debido a elementos no confiables, fallas de energía) y naturales (caída de rayos , incendios, inundaciones y etc.) carácter. |
||
|
2.3.1. Pérdida de claves y atributos de acceso | ||
|
2.3.2. Modificación no intencional (destrucción) de la información por parte de los empleados | ||
|
2.3.3. Deshabilitación inadvertida de protecciones | ||
|
2.3.4. Fallo de hardware y software. | ||
|
2.3.5. Fallo de alimentación | ||
|
2.3.6. Desastre | ||
|
2.4. Amenazas de acciones deliberadas por parte de personas internas |
||
|
2.4.1. Acceso a la información, modificación, destrucción de personas no autorizadas para su tratamiento | ||
|
2.4.2. Revelación de información, modificación, destrucción por empleados admitidos a su tratamiento | ||
|
2.5 Amenazas de acceso no autorizado a través de los canales de comunicación. |
||
|
2.5.1 Amenaza "Análisis de tráfico de red" con interceptación de información transmitida desde ISPD y recibida de redes externas: | ||
|
2.5.1.1. Interceptación fuera de la zona controlada | ||
|
2.5.1.2. Interceptación dentro de la zona controlada por intrusos externos | ||
|
2.5.1.3 Interceptación dentro de la zona controlada por personas internas. | ||
|
2.5.2 Amenazas de escaneo dirigidas a identificar el tipo o tipos de sistemas operativos utilizados, direcciones de red de estaciones de trabajo ISPD, topología de red, puertos y servicios abiertos, conexiones abiertas, etc. | ||
|
2.5.3 Amenazas de revelar contraseñas en la red | ||
|
2.5.4 Amenazas que imponen una ruta de red falsa | ||
|
2.5.5 Amenazas de falsificación de un objeto de confianza en la red | ||
|
2.5.6 Amenazas de introducir un objeto falso tanto en ISPD como en redes externas | ||
|
2.5.7 Amenazas de denegación de servicio | ||
|
2.5.8 Amenazas de lanzamiento remoto de aplicaciones | ||
|
2.5.9 Amenazas de introducir malware en la red | ||
Tabla 18 - Tipo autónomo IC V
|
Tipo de amenazas de seguridad de PD |
Relación de viabilidad de amenazas (Y) |
Posibilidad de implementación |
|
1. Amenazas de fuga por canales técnicos. |
||
|
1.1. Amenazas de fuga de información acústica | ||
|
1.2. Amenazas de fuga de información sobre especies | ||
|
1.3. Amenazas de fuga de información a través de los canales del PEMIN | ||
|
2. Amenazas de acceso no autorizado a la información. |
||
|
2.1. Amenazas de destrucción, robo de hardware ISPD de soportes de información mediante acceso físico a elementos ISPD |
||
|
2.1.1. robo de pc | ||
|
2.1.2. Robo de medios | ||
|
2.1.3. Robo de llaves y atributos de acceso | ||
|
2.1.4. Robo, modificación, destrucción de información | ||
|
2.1.5. Deshabilitación de nodos de PC, canales de comunicación. | ||
|
2.1.6. Acceso no autorizado a la información durante el mantenimiento (reparación, destrucción) de nodos de PC | ||
|
2.1.7. Deshabilitación no autorizada de protecciones | ||
|
2.2. Amenazas de robo, modificación no autorizada o bloqueo de información debido al acceso no autorizado (UAS) utilizando software, hardware y software (incluido el software y las influencias matemáticas). |
||
|
2.2.1. Acciones de malware (virus) | ||
|
2.2.3. Instalación de software no relacionado con el trabajo | ||
|
2.3. Amenazas de acciones no intencionales de los usuarios y violaciones de la seguridad del funcionamiento de ISPD y SZPDn en su composición debido a fallas de software, así como de amenazas no antropogénicas (fallas de hardware debido a elementos no confiables, fallas de energía) y naturales (caída de rayos , incendios, inundaciones y etc.) carácter. |
||
|
2.3.1. Pérdida de claves y atributos de acceso | ||
|
2.3.2. Modificación no intencional (destrucción) de la información por parte de los empleados | ||
|
2.3.3. Deshabilitación inadvertida de protecciones | ||
|
2.3.4. Fallo de hardware y software. | ||
|
2.3.5. Fallo de alimentación | ||
|
2.3.6. Desastre | ||
|
2.4. Amenazas de acciones deliberadas por parte de personas internas |
||
|
2.4.1. Acceso a la información, modificación, destrucción de personas no autorizadas para su tratamiento | ||
|
2.4.2. Revelación de información, modificación, destrucción por empleados admitidos a su tratamiento | ||
|
2.5 Amenazas de acceso no autorizado a través de los canales de comunicación. |
||
|
2.5.1 Amenaza "Análisis de tráfico de red" con interceptación de información transmitida desde ISPD y recibida de redes externas: | ||
|
2.5.1.1. Interceptación fuera de la zona controlada | ||
|
2.5.1.2. Interceptación dentro de la zona controlada por intrusos externos | ||
|
2.5.1.3 Interceptación dentro de la zona controlada por personas internas. | ||
|
2.5.2 Amenazas de escaneo dirigidas a identificar el tipo o tipos de sistemas operativos utilizados, direcciones de red de estaciones de trabajo ISPD, topología de red, puertos y servicios abiertos, conexiones abiertas, etc. | ||
|
2.5.3 Amenazas de revelar contraseñas en la red | ||
|
2.5.4 Amenazas que imponen una ruta de red falsa | ||
|
2.5.5 Amenazas de falsificación de un objeto de confianza en la red | ||
|
2.5.6 Amenazas de introducir un objeto falso tanto en ISPD como en redes externas | ||
|
2.5.7 Amenazas de denegación de servicio | ||
|
2.5.8 Amenazas de lanzamiento remoto de aplicaciones | ||
|
2.5.9 Amenazas de introducir malware en la red | ||
Tabla 19 - IC Autónomo Tipo VI
|
Tipo de amenazas de seguridad de PD |
Relación de viabilidad de amenazas (Y) |
Posibilidad de implementación |
|
1. Amenazas de fuga por canales técnicos. |
||
|
1.1. Amenazas de fuga de información acústica | ||
|
1.2. Amenazas de fuga de información sobre especies | ||
|
1.3. Amenazas de fuga de información a través de los canales del PEMIN | ||
|
2. Amenazas de acceso no autorizado a la información. |
||
|
2.1. Amenazas de destrucción, robo de hardware ISPD de soportes de información mediante acceso físico a elementos ISPD |
||
|
2.1.1. robo de pc | ||
|
2.1.2. Robo de medios | ||
|
2.1.3. Robo de llaves y atributos de acceso | ||
|
2.1.4. Robo, modificación, destrucción de información | ||
|
2.1.5. Deshabilitación de nodos de PC, canales de comunicación. | ||
|
2.1.6. Acceso no autorizado a la información durante el mantenimiento (reparación, destrucción) de nodos de PC | ||
|
2.1.7. Deshabilitación no autorizada de protecciones | ||
|
2.2. Amenazas de robo, modificación no autorizada o bloqueo de información debido al acceso no autorizado (UAS) utilizando software, hardware y software (incluido el software y las influencias matemáticas). |
||
|
2.2.1. Acciones de malware (virus) | ||
|
2.2.3. Instalación de software no relacionado con el trabajo | ||
|
2.3. Amenazas de acciones no intencionales de los usuarios y violaciones de la seguridad del funcionamiento de ISPD y SZPDn en su composición debido a fallas de software, así como de amenazas no antropogénicas (fallas de hardware debido a elementos no confiables, fallas de energía) y naturales (caída de rayos , incendios, inundaciones y etc.) carácter. |
||
|
2.3.1. Pérdida de claves y atributos de acceso | ||
|
2.3.2. Modificación no intencional (destrucción) de la información por parte de los empleados | ||
|
2.3.3. Deshabilitación inadvertida de protecciones | ||
|
2.3.4. Fallo de hardware y software. | ||
|
2.3.5. Fallo de alimentación | ||
|
2.3.6. Desastre | ||
|
2.4. Amenazas de acciones deliberadas por parte de personas internas |
||
|
2.4.1. Acceso a la información, modificación, destrucción de personas no autorizadas para su tratamiento | ||
|
2.4.2. Revelación de información, modificación, destrucción por empleados admitidos a su tratamiento | ||
|
2.5 Amenazas de acceso no autorizado a través de los canales de comunicación. |
||
|
2.5.1 Amenaza "Análisis de tráfico de red" con interceptación de información transmitida desde ISPD y recibida de redes externas: | ||
|
2.5.1.1. Interceptación fuera de la zona controlada | ||
|
2.5.1.2. Interceptación dentro de la zona controlada por intrusos externos | ||
|
2.5.1.3 Interceptación dentro de la zona controlada por personas internas. | ||
|
2.5.2 Amenazas de escaneo dirigidas a identificar el tipo o tipos de sistemas operativos utilizados, direcciones de red de estaciones de trabajo ISPD, topología de red, puertos y servicios abiertos, conexiones abiertas, etc. | ||
|
2.5.3 Amenazas de revelar contraseñas en la red | ||
|
2.5.4 Amenazas que imponen una ruta de red falsa | ||
|
2.5.5 Amenazas de falsificación de un objeto de confianza en la red | ||
|
2.5.6 Amenazas de introducir un objeto falso tanto en ISPD como en redes externas | ||
|
2.5.7 Amenazas de denegación de servicio | ||
|
2.5.8 Amenazas de lanzamiento remoto de aplicaciones | ||
|
2.5.9 Amenazas de introducir malware en la red | ||
Tabla 20 - LIS tipo I
|
Tipo de amenazas de seguridad de PD |
Relación de viabilidad de amenazas (Y) |
Posibilidad de implementación |
|
1. Amenazas de fuga por canales técnicos. |
||
|
1.1. Amenazas de fuga de información acústica | ||
|
1.2. Amenazas de fuga de información sobre especies | ||
|
1.3. Amenazas de fuga de información a través de los canales del PEMIN | ||
|
2. Amenazas de acceso no autorizado a la información. |
||
|
2.1. Amenazas de destrucción, robo de hardware ISPD de soportes de información mediante acceso físico a elementos ISPD |
||
|
2.1.1. robo de pc | ||
|
2.1.2. Robo de medios | ||
|
2.1.3. Robo de llaves y atributos de acceso | ||
|
2.1.4. Robo, modificación, destrucción de información | ||
|
2.1.5. Deshabilitación de nodos de PC, canales de comunicación. | ||
|
2.1.6. Acceso no autorizado a la información durante el mantenimiento (reparación, destrucción) de nodos de PC | ||
|
2.1.7. Deshabilitación no autorizada de protecciones | ||
|
2.2. Amenazas de robo, modificación no autorizada o bloqueo de información debido al acceso no autorizado (UAS) utilizando software, hardware y software (incluido el software y las influencias matemáticas). |
||
|
2.2.1. Acciones de malware (virus) | ||
|
2.2.3. Instalación de software no relacionado con el trabajo | ||
|
2.3. Amenazas de acciones no intencionales de los usuarios y violaciones de la seguridad del funcionamiento de ISPD y SZPDn en su composición debido a fallas de software, así como de amenazas no antropogénicas (fallas de hardware debido a elementos no confiables, fallas de energía) y naturales (caída de rayos , incendios, inundaciones y etc.) carácter. |
||
|
2.3.1. Pérdida de claves y atributos de acceso | ||
|
2.3.2. Modificación no intencional (destrucción) de la información por parte de los empleados | ||
|
2.3.3. Deshabilitación inadvertida de protecciones | ||
|
2.3.4. Fallo de hardware y software. | ||
|
2.3.5. Fallo de alimentación | ||
|
2.3.6. Desastre | ||
|
2.4. Amenazas de acciones deliberadas por parte de personas internas |
||
|
2.4.1. Acceso a la información, modificación, destrucción de personas no autorizadas para su tratamiento | ||
|
2.4.2. Revelación de información, modificación, destrucción por empleados admitidos a su tratamiento | ||
|
2.5 Amenazas de acceso no autorizado a través de los canales de comunicación. |
||
|
2.5.1 Amenaza "Análisis de tráfico de red" con interceptación de información transmitida desde ISPD y recibida de redes externas: | ||
|
2.5.1.1. Interceptación fuera de la zona controlada | ||
|
2.5.1.2. Interceptación dentro de la zona controlada por intrusos externos | ||
|
2.5.1.3 Interceptación dentro de la zona controlada por personas internas. | ||
|
2.5.2 Amenazas de escaneo dirigidas a identificar el tipo o tipos de sistemas operativos utilizados, direcciones de red de estaciones de trabajo ISPD, topología de red, puertos y servicios abiertos, conexiones abiertas, etc. | ||
|
2.5.3 Amenazas de revelar contraseñas en la red | ||
|
2.5.4 Amenazas que imponen una ruta de red falsa | ||
|
2.5.5 Amenazas de falsificación de un objeto de confianza en la red | ||
|
2.5.6 Amenazas de introducir un objeto falso tanto en ISPD como en redes externas | ||
|
2.5.7 Amenazas de denegación de servicio | ||
|
2.5.8 Amenazas de lanzamiento remoto de aplicaciones | ||
|
2.5.9 Amenazas de introducir malware en la red | ||
Tabla 21 - LIS Tipo II
|
Tipo de amenazas de seguridad de PD |
Relación de viabilidad de amenazas (Y) |
Posibilidad de implementación |
|
1. Amenazas de fuga por canales técnicos. |
||
|
1.1. Amenazas de fuga de información acústica | ||
|
1.2. Amenazas de fuga de información sobre especies | ||
|
1.3. Amenazas de fuga de información a través de los canales del PEMIN | ||
|
2. Amenazas de acceso no autorizado a la información. |
||
|
2.1. Amenazas de destrucción, robo de hardware ISPD de soportes de información mediante acceso físico a elementos ISPD |
||
|
2.1.1. robo de pc | ||
|
2.1.2. Robo de medios | ||
|
2.1.3. Robo de llaves y atributos de acceso | ||
|
2.1.4. Robo, modificación, destrucción de información | ||
|
2.1.5. Deshabilitación de nodos de PC, canales de comunicación. | ||
|
2.1.6. Acceso no autorizado a la información durante el mantenimiento (reparación, destrucción) de nodos de PC | ||
|
2.1.7. Deshabilitación no autorizada de protecciones | ||
|
2.2. Amenazas de robo, modificación no autorizada o bloqueo de información debido al acceso no autorizado (UAS) utilizando software, hardware y software (incluido el software y las influencias matemáticas). |
||
|
2.2.1. Acciones de malware (virus) | ||
|
2.2.3. Instalación de software no relacionado con el trabajo | ||
|
2.3. Amenazas de acciones no intencionales de los usuarios y violaciones de la seguridad del funcionamiento de ISPD y SZPDn en su composición debido a fallas de software, así como de amenazas no antropogénicas (fallas de hardware debido a elementos no confiables, fallas de energía) y naturales (caída de rayos , incendios, inundaciones y etc.) carácter. |
||
|
2.3.1. Pérdida de claves y atributos de acceso | ||
|
2.3.2. Modificación no intencional (destrucción) de la información por parte de los empleados | ||
|
2.3.3. Deshabilitación inadvertida de protecciones | ||
|
2.3.4. Fallo de hardware y software. | ||
|
2.3.5. Fallo de alimentación | ||
|
2.3.6. Desastre | ||
|
2.4. Amenazas de acciones deliberadas por parte de personas internas |
||
|
2.4.1. Acceso a la información, modificación, destrucción de personas no autorizadas para su tratamiento | ||
|
2.4.2. Revelación de información, modificación, destrucción por empleados admitidos a su tratamiento | ||
|
2.5 Amenazas de acceso no autorizado a través de los canales de comunicación. |
||
|
2.5.1 Amenaza "Análisis de tráfico de red" con interceptación de información transmitida desde ISPD y recibida de redes externas: | ||
|
2.5.1.1. Interceptación fuera de la zona controlada | ||
|
2.5.1.2. Interceptación dentro de la zona controlada por intrusos externos | ||
|
2.5.1.3 Interceptación dentro de la zona controlada por personas internas. | ||
|
2.5.2 Amenazas de escaneo dirigidas a identificar el tipo o tipos de sistemas operativos utilizados, direcciones de red de estaciones de trabajo ISPD, topología de red, puertos y servicios abiertos, conexiones abiertas, etc. | ||
|
2.5.3 Amenazas de revelar contraseñas en la red | ||
|
2.5.4 Amenazas que imponen una ruta de red falsa | ||
|
2.5.5 Amenazas de falsificación de un objeto de confianza en la red | ||
|
2.5.6 Amenazas de introducir un objeto falso tanto en ISPD como en redes externas | ||
|
2.5.7 Amenazas de denegación de servicio | ||
|
2.5.8 Amenazas de lanzamiento remoto de aplicaciones | ||
|
2.5.9 Amenazas de introducir malware en la red | ||
Tabla 22 - IC distribuido tipo I
|
Tipo de amenazas de seguridad de PD |
Relación de viabilidad de amenazas (Y) |
Posibilidad de implementación |
|
1. Amenazas de fuga por canales técnicos. |
||
|
1.1. Amenazas de fuga de información acústica | ||
|
1.2. Amenazas de fuga de información sobre especies | ||
|
1.3. Amenazas de fuga de información a través de los canales del PEMIN | ||
|
2. Amenazas de acceso no autorizado a la información. |
||
|
2.1. Amenazas de destrucción, robo de hardware ISPD de soportes de información mediante acceso físico a elementos ISPD |
||
|
2.1.1. robo de pc | ||
|
2.1.2. Robo de medios | ||
|
2.1.3. Robo de llaves y atributos de acceso | ||
|
2.1.4. Robo, modificación, destrucción de información | ||
|
2.1.5. Deshabilitación de nodos de PC, canales de comunicación. | ||
|
2.1.6. Acceso no autorizado a la información durante el mantenimiento (reparación, destrucción) de nodos de PC | ||
|
2.1.7. Deshabilitación no autorizada de protecciones | ||
|
2.2. Amenazas de robo, modificación no autorizada o bloqueo de información debido al acceso no autorizado (UAS) utilizando software, hardware y software (incluido el software y las influencias matemáticas). |
||
|
2.2.1. Acciones de malware (virus) | ||
|
2.2.3. Instalación de software no relacionado con el trabajo | ||
|
2.3. Amenazas de acciones no intencionales de los usuarios y violaciones de la seguridad del funcionamiento de ISPD y SZPDn en su composición debido a fallas de software, así como de amenazas no antropogénicas (fallas de hardware debido a elementos no confiables, fallas de energía) y naturales (caída de rayos , incendios, inundaciones y etc.) carácter. |
||
|
2.3.1. Pérdida de claves y atributos de acceso | ||
|
2.3.2. Modificación no intencional (destrucción) de la información por parte de los empleados | ||
|
2.3.3. Deshabilitación inadvertida de protecciones | ||
|
2.3.4. Fallo de hardware y software. | ||
|
2.3.5. Fallo de alimentación | ||
|
2.3.6. Desastre | ||
|
2.4. Amenazas de acciones deliberadas por parte de personas internas |
||
|
2.4.1. Acceso a la información, modificación, destrucción de personas no autorizadas para su tratamiento | ||
|
2.4.2. Revelación de información, modificación, destrucción por empleados admitidos a su tratamiento | ||
|
2.5 Amenazas de acceso no autorizado a través de los canales de comunicación. |
||
|
2.5.1 Amenaza "Análisis de tráfico de red" con interceptación de información transmitida desde ISPD y recibida de redes externas: | ||
|
2.5.1.1. Interceptación fuera de la zona controlada | ||
|
2.5.1.2. Interceptación dentro de la zona controlada por intrusos externos | ||
|
2.5.1.3 Interceptación dentro de la zona controlada por personas internas. | ||
|
2.5.2 Amenazas de escaneo dirigidas a identificar el tipo o tipos de sistemas operativos utilizados, direcciones de red de estaciones de trabajo ISPD, topología de red, puertos y servicios abiertos, conexiones abiertas, etc. | ||
|
2.5.3 Amenazas de revelar contraseñas en la red | ||
|
2.5.4 Amenazas que imponen una ruta de red falsa | ||
|
2.5.5 Amenazas de falsificación de un objeto de confianza en la red | ||
|
2.5.6 Amenazas de introducir un objeto falso tanto en ISPD como en redes externas | ||
|
2.5.7 Amenazas de denegación de servicio | ||
|
2.5.8 Amenazas de lanzamiento remoto de aplicaciones | ||
|
2.5.9 Amenazas de introducir malware en la red | ||
Tabla 23 - SI distribuido tipo II
|
Tipo de amenazas de seguridad de PD |
Relación de viabilidad de amenazas (Y) |
Posibilidad de implementación |
|
1. Amenazas de fuga por canales técnicos. |
||
|
1.1. Amenazas de fuga de información acústica | ||
|
1.2. Amenazas de fuga de información sobre especies | ||
|
1.3. Amenazas de fuga de información a través de los canales del PEMIN | ||
|
2. Amenazas de acceso no autorizado a la información. |
||
|
2.1. Amenazas de destrucción, robo de hardware ISPD de soportes de información mediante acceso físico a elementos ISPD |
||
|
2.1.1. robo de pc | ||
|
2.1.2. Robo de medios | ||
|
2.1.3. Robo de llaves y atributos de acceso | ||
|
2.1.4. Robo, modificación, destrucción de información | ||
|
2.1.5. Deshabilitación de nodos de PC, canales de comunicación. | ||
|
2.1.6. Acceso no autorizado a la información durante el mantenimiento (reparación, destrucción) de nodos de PC | ||
|
2.1.7. Deshabilitación no autorizada de protecciones | ||
|
2.2. Amenazas de robo, modificación no autorizada o bloqueo de información debido al acceso no autorizado (UAS) utilizando software, hardware y software (incluido el software y las influencias matemáticas). |
||
|
2.2.1. Acciones de malware (virus) | ||
|
2.2.3. Instalación de software no relacionado con el trabajo | ||
|
2.3. Amenazas de acciones no intencionales de los usuarios y violaciones de la seguridad del funcionamiento de ISPD y SZPDn en su composición debido a fallas de software, así como de amenazas no antropogénicas (fallas de hardware debido a elementos no confiables, fallas de energía) y naturales (caída de rayos , incendios, inundaciones y etc.) carácter. |
||
|
2.3.1. Pérdida de claves y atributos de acceso | ||
|
2.3.2. Modificación no intencional (destrucción) de la información por parte de los empleados | ||
|
2.3.3. Deshabilitación inadvertida de protecciones | ||
|
2.3.4. Fallo de hardware y software. | ||
|
2.3.5. Fallo de alimentación | ||
|
2.3.6. Desastre | ||
|
2.4. Amenazas de acciones deliberadas por parte de personas internas |
||
|
2.4.1. Acceso a la información, modificación, destrucción de personas no autorizadas para su tratamiento | ||
|
2.4.2. Revelación de información, modificación, destrucción por empleados admitidos a su tratamiento | ||
|
2.5 Amenazas de acceso no autorizado a través de los canales de comunicación. |
||
|
2.5.1 Amenaza "Análisis de tráfico de red" con interceptación de información transmitida desde ISPD y recibida de redes externas: | ||
|
2.5.1.1. Interceptación fuera de la zona controlada | ||
|
2.5.1.2. Interceptación dentro de la zona controlada por intrusos externos | ||
|
2.5.1.3 Interceptación dentro de la zona controlada por personas internas. | ||
|
2.5.2 Amenazas de escaneo dirigidas a identificar el tipo o tipos de sistemas operativos utilizados, direcciones de red de estaciones de trabajo ISPD, topología de red, puertos y servicios abiertos, conexiones abiertas, etc. | ||
|
2.5.3 Amenazas de revelar contraseñas en la red | ||
|
2.5.4 Amenazas que imponen una ruta de red falsa | ||
|
2.5.5 Amenazas de falsificación de un objeto de confianza en la red | ||
|
2.5.6 Amenazas de introducir un objeto falso tanto en ISPD como en redes externas | ||
|
2.5.7 Amenazas de denegación de servicio | ||
La amenaza radica en el deseo de lanzar varios programas maliciosos previamente incrustados en el host ISPD: programas de marcadores, virus, "espías de red", cuyo objetivo principal es violar la confidencialidad, integridad, disponibilidad de la información y control total sobre la operación. del anfitrión Además, es posible el lanzamiento no autorizado de programas de aplicación de usuario para la obtención no autorizada de los datos necesarios para el infractor, para iniciar procesos controlados por el programa de aplicación, etc.
Hay tres subclases de estas amenazas:
distribución de archivos que contienen código ejecutable no autorizado;
lanzamiento remoto de la aplicación al desbordar el búfer de los servidores de aplicaciones;
lanzamiento remoto de la aplicación mediante el uso de las capacidades de administración remota del sistema proporcionadas por las pestañas ocultas de software y hardware, o por las herramientas estándar utilizadas.
Las amenazas típicas de la primera de estas subclases se basan en la activación de archivos distribuidos cuando se accede a ellos accidentalmente. Ejemplos de dichos archivos son: archivos que contienen código ejecutable en forma de documentos que contienen código ejecutable en forma de controles ActiveX, subprogramas Java, scripts interpretados (por ejemplo, textos JavaScript); archivos que contienen códigos de programas ejecutables. Para la distribución de archivos, se pueden utilizar el correo electrónico, la transferencia de archivos y los servicios del sistema de archivos de red.
Las amenazas de la segunda subclase explotan las deficiencias de los programas que implementan servicios de red (en particular, la falta de control de desbordamiento de búfer). Al ajustar los registros del sistema, a veces es posible cambiar el procesador, después de una interrupción por desbordamiento del búfer, a la ejecución de código contenido fuera del límite del búfer. Un ejemplo de la implementación de tal amenaza es la introducción del conocido "virus Morris".
Con amenazas de la tercera subclase, el intruso utiliza las capacidades de control remoto del sistema proporcionadas por componentes ocultos (por ejemplo, programas "troyanos" como Back. Orifice, Net Bus), o medios regulares de gestión y administración de redes informáticas (Landesk Management Suite , Managewise, orificio trasero, etc.). P.). Como resultado de su uso, es posible lograr el control remoto de la estación en la red.
Si los PD procesados por la institución no se envían a través de redes públicas y el intercambio internacional, la protección antivirus está instalada, entonces la probabilidad de que se materialice una amenaza es es poco probable.
En todos los demás casos, debe evaluarse la probabilidad de que se materialice la amenaza.
En la Tabla 12 se presenta una lista generalizada de la probabilidad de amenazas para diferentes tipos de ISPD.
Tabla 12
|
Tipo ISPD |
Probabilidad de la amenaza |
coef. probabilidad de realización de la amenaza por parte del intruso |
|
IC Autónomo Tipo I |
improbable | |
|
IC Autónomo Tipo II | ||
|
IC Autónomo Tipo III |
improbable | |
|
IC Autónomo Tipo IV | ||
|
Tipo autónomo IC V |
improbable | |
|
IC Autónomo Tipo VI | ||
|
LIS tipo I |
improbable | |
|
LIS tipo II | ||
|
IC distribuido tipo I |
improbable | |
|
IC distribuido tipo II |
