Programele rău intenționate pot fi introduse (introduse) atât intenționat, cât și accidental în software-ul utilizat în ISPD în timpul dezvoltării, întreținerii, modificării și configurării acestuia. În plus, programele rău intenționate pot fi introduse în timpul funcționării ISPD de pe medii de stocare externe sau prin interacțiunea rețelei, fie ca urmare a accesului neautorizat, fie accidental de către utilizatorii ISPD.
Malware modern se bazează pe utilizarea vulnerabilităților în diverse tipuri de software (sistem, general, aplicație) și diverse tehnologii de rețea, are o gamă largă de capabilități distructive (de la examinarea neautorizată a parametrilor ISPD fără a interfera cu funcționarea ISPD, până la distrugere). de software PD și ISPD) și poate acționa în toate tipurile de software (sistem, aplicație, drivere hardware etc.).
Prezența programelor rău intenționate în ISPD poate contribui la apariția unor canale ascunse, inclusiv netradiționale, de acces la informații, care să permită deschiderea, ocolirea sau blocarea mecanismelor de securitate prevăzute în sistem, inclusiv protecția prin parolă și criptografică.
Principalele tipuri de malware sunt:
· marcaje software;
· viruși software clasici (de calculator);
· raspandirea programelor malware in retea (viermi de retea);
· alte programe rău intenționate concepute pentru a desfășura activități ilegale.
Marcajele software includ programe, fragmente de cod și instrucțiuni care formează capabilități software nedeclarate. Programele rău intenționate se pot schimba de la un tip la altul, de exemplu, un marcaj de software poate genera un virus software, care, la rândul său, atunci când este expus la condițiile rețelei, poate forma un vierme de rețea sau alt program rău intenționat conceput pentru a efectua acces neautorizat.
O scurtă descriere a principalului malware este următoarea. Virușii de pornire se scriu fie în sectorul de pornire al discului (sectorul de pornire), fie în sectorul care conține încărcătorul de pornire de sistem al hard diskului (Master Boot Record) sau schimbă indicatorul către sectorul de pornire activ. Acestea sunt încorporate în memoria computerului atunci când sunt pornite de pe un disc infectat. În acest caz, încărcătorul de pornire a sistemului citește conținutul primului sector al discului de pe care este făcută boot-ul, plasează informațiile citite în memorie și îi transferă controlul (adică virusului). După aceasta, încep să fie executate instrucțiunile virusului, care, de regulă, reduce cantitatea de memorie liberă, își copiază codul în spațiul liber și citește continuarea acestuia de pe disc (dacă există), interceptează vectorii de întrerupere necesari. (de obicei INT 13H), citește sectorul de boot original și îi transferă controlul.
Ulterior, un virus de boot se comportă la fel ca un virus de fișier: interceptează apelurile de la sistemul de operare către discuri și le infectează, în funcție de anumite condiții, efectuează acțiuni distructive, provoacă efecte sonore sau efecte video.
Principalele acțiuni distructive efectuate de acești viruși sunt:
· distrugerea informațiilor în sectoare ale dischetelor și hard disk-urilor;
· eliminarea posibilității de încărcare a sistemului de operare (calculatorul se blochează);
· distorsiunea codului bootloader-ului;
· formatarea dischetelor sau unităților logice ale unui hard disk;
· blocarea accesului la porturile COM și LPT;
· înlocuirea caracterelor la tipărirea textelor;
· zvâcnirea ecranului;
· schimbarea etichetei unui disc sau dischetă;
· crearea de clustere de pseudo-eșecuri;
· crearea de efecte sonore și/sau vizuale (de exemplu, cădere
litere de pe ecran);
· coruperea fișierelor de date;
· afișarea diverselor mesaje pe ecran;
· dezactivarea dispozitivelor periferice (de exemplu, tastatura);
· schimbarea paletei ecranului;
· umplerea ecranului cu personaje sau imagini străine;
· întunecarea ecranului și trecerea în modul standby pentru introducerea tastaturii;
· criptarea sectoarelor de hard disk;
· distrugerea selectivă a caracterelor afișate pe ecran la tastarea de la tastatură;
Reducerea cantității de memorie RAM;
· apel pentru a imprima conținutul ecranului;
· blocarea scrierii pe disc;
· distrugerea Disk Partition Table, după care computerul poate fi pornit doar de pe o dischetă;
· blocarea lansării fișierelor executabile;
· blocarea accesului la hard disk.
|
Figura 3. Clasificarea virușilor software și a viermilor de rețea
Majoritatea virușilor de boot se scriu singuri pe dischete.
Metoda de infectare „suprascrierea” este cea mai simplă: virusul își scrie propriul cod în loc de codul fișierului infectat, distrugându-i conținutul. Desigur, în acest caz fișierul nu mai funcționează și nu este restaurat. Astfel de viruși se dezvăluie foarte repede, deoarece sistemul de operare și aplicațiile încetează să funcționeze destul de repede.
Categoria „însoțitor” include viruși care nu modifică fișierele infectate. Algoritmul de operare al acestor viruși este că se creează un fișier duplicat pentru fișierul infectat, iar atunci când fișierul infectat este lansat, acest duplicat, adică virusul, primește controlul. Cei mai obișnuiți viruși însoțitori sunt cei care folosesc caracteristica DOS pentru a executa mai întâi fișiere cu extensia .COM dacă există două fișiere în același director cu același nume, dar cu extensii de nume diferite - .COM și .EXE. Astfel de viruși creează fișiere satelit pentru fișierele EXE care au același nume, dar cu extensia .COM, de exemplu, pentru fișierul XCOPY.EXE este creat un fișier XCOPY.COM. Virusul se scrie într-un fișier COM și nu modifică fișierul EXE în niciun fel. Când rulează un astfel de fișier, DOS va detecta și executa mai întâi fișierul COM, adică virusul, care va lansa apoi fișierul EXE. Al doilea grup este format din viruși care, atunci când sunt infectați, redenumesc un fișier cu alt nume, îl amintesc (pentru lansarea ulterioară a fișierului gazdă) și își scriu codul pe disc sub numele fișierului infectat. De exemplu, fișierul XCOPY.EXE este redenumit în XCOPY.EXD, iar virusul este înregistrat sub numele XCOPY.EXE. Când este lansat, controlul primește codul virusului, care rulează apoi XCOPY original, stocat sub numele XCOPY.EXD. Un fapt interesant este că această metodă pare să funcționeze pe toate sistemele de operare. Al treilea grup include așa-numiții viruși „însoțitor de cale”. Ei fie își scriu codul sub numele fișierului infectat, dar „mai înalt” cu un nivel în căile prescrise (DOS va fi astfel primul care detectează și lansează fișierul virus), fie mută fișierul victimă cu un subdirector mai sus etc. .
Pot exista și alte tipuri de viruși însoțitori care folosesc alte idei sau caracteristici originale ale altor sisteme de operare.
Viermii de fișiere sunt, într-un fel, un tip de virus însoțitor, dar în niciun fel nu asociază prezența lor cu niciun fișier executabil. Când se reproduc, pur și simplu își copiază codul în niște directoare de disc în speranța că aceste noi copii vor fi într-o zi lansate de utilizator. Uneori, acești viruși dau copiilor lor nume „speciale” pentru a încuraja utilizatorul să ruleze copia lor - de exemplu, INSTALL.EXE sau WINSTART.BAT. Există viruși de viermi care folosesc tehnici destul de neobișnuite, de exemplu, scrierea unor copii ale lor în arhive (ARJ, ZIP și altele). Unii viruși scriu comanda pentru a rula fișierul infectat în fișiere BAT. Viermii de fișiere nu trebuie confundați cu viermii de rețea. Primii folosesc doar funcțiile de fișiere ale oricărui sistem de operare, în timp ce cei din urmă folosesc protocoale de rețea pentru reproducerea lor.
Virușii de legătură, precum virușii însoțitori, nu modifică conținutul fizic al fișierelor, dar atunci când un fișier infectat este lansat, ei „forțează” sistemul de operare să-și execute codul. Ei ating acest scop prin modificarea câmpurilor necesare ale sistemului de fișiere.
Virușii care infectează bibliotecile compilatorului, modulele obiect și codurile sursă ale programelor sunt destul de exotice și practic neobișnuite. Virușii care infectează fișierele OBJ și LIB își scriu codul în ele în formatul unui modul obiect sau bibliotecă. Prin urmare, fișierul infectat nu este executabil și nu este capabil să răspândească în continuare virusul în el starea curenta. Purtătorul virusului „în direct” devine un fișier COM sau EXE.
După ce a câștigat controlul, virusul fișierului efectuează următoarele acțiuni generale:
· verificări RAM pentru prezența copiei sale și infectează
memoria computerului, dacă o copie a virusului nu este găsită (dacă virusul este rezident), caută fișiere neinfectate în directorul curent și (sau) rădăcină prin scanarea arborelui de directoare al unităților logice și apoi infectează fișierele detectate;
· îndeplinește funcții suplimentare (dacă există): distructiv
acțiuni, efecte grafice sau sonore etc. ( funcții suplimentare virușii rezidenți pot fi apelați la ceva timp după activare în funcție de ora curentă, configurația sistemului, contoarele interne de viruși sau alte condiții; în acest caz, atunci când este activat, virusul procesează starea ceasului sistemului, își setează contoarele etc.);
· readuce controlul programului principal (dacă există unul).
Trebuie remarcat faptul că, cu cât un virus se răspândește mai repede, cu atât este mai probabil să apară o epidemie a acestui virus; cu cât virusul se răspândește mai lent, cu atât este mai dificil de detectat (cu excepția cazului în care, desigur, acest virus este necunoscut). Virușii nerezidenți sunt adesea „lenti” - majoritatea infectează unul sau două sau trei fișiere atunci când sunt lansate și nu au timp să infesteze computerul înainte de lansarea programului antivirus (sau să apară o nouă versiune a antivirusului configurat pentru acest virus). ). Există, desigur, viruși „rapidi” nerezidenți care, atunci când sunt lansati, caută și infectează toate fișierele executabile, dar astfel de viruși sunt foarte vizibili: atunci când fiecare fișier infectat este lansat, computerul lucrează activ cu hard disk-ul pentru unii. (uneori destul de lung), care demascează virusul. Rata de răspândire (infecție) a virușilor rezidenți este de obicei mai mare decât a virușilor nerezidenți - aceștia infectează fișierele atunci când se face orice acces la ele. Ca urmare, toate sau aproape toate fișierele de pe disc care sunt utilizate în mod constant în muncă devin infectate. Rata de răspândire (infecție) a virușilor rezidenți de fișiere care infectează fișierele doar atunci când sunt lansate pentru execuție va fi mai mică decât cea a virușilor care infectează fișierele și atunci când sunt deschise, redenumite, modificate atributele fișierului etc.
Astfel, principalele acțiuni distructive efectuate de virușii de fișiere sunt asociate cu deteriorarea fișierelor (de obicei fișiere executabile sau de date), lansarea neautorizată a diferitelor comenzi (inclusiv formatare, distrugere, copiere comenzi etc.), modificarea tabelului vector de întreruperi etc. În același timp, pot fi efectuate și multe acțiuni distructive similare cu cele indicate pentru virușii de boot.
Virușii macro sunt programe în limbi (macrolimbi) încorporate în unele sisteme de prelucrare a datelor (editore de text, foi de calcul etc.). Pentru a se reproduce, astfel de viruși folosesc capabilitățile limbilor macro și, cu ajutorul lor, se transferă dintr-un fișier infectat (document sau tabel) la alții. Cei mai răspândiți viruși macro sunt cei pentru pachetul de aplicații Microsoft Office.
Pentru ca virușii să existe într-un anumit sistem (editor), este necesar să existe un limbaj macro încorporat în sistem cu următoarele capacități:
1) conectarea unui program într-un limbaj macro la un anumit fișier;
2) copierea programelor macro dintr-un fișier în altul;
3) obținerea controlului unui program macro fără intervenția utilizatorului (macro-uri automate sau standard).
Aceste condiții sunt îndeplinite de programele de aplicație Microsoft Word, Excel și Microsoft Access. Acestea conțin limbaje macro: Word Basic, Visual Basic pentru aplicații. în care:
1) programele macro sunt legate de un anumit fișier sau sunt localizate în interiorul unui fișier;
2) limbajul macro vă permite să copiați fișiere sau să mutați programe macro în fișiere de serviciu de sistem și fișiere editabile;
3) când se lucrează cu un fișier în anumite condiții (deschidere, închidere etc.), sunt apelate programe macro (dacă există), care sunt definite într-un mod special sau au nume standard.
Această caracteristică a limbilor macro este destinată procesării automate a datelor în organizații mari sau în rețele globale și vă permite să organizați așa-numitul „flux automat de documente”. Pe de altă parte, capacitățile de limbaj macro ale unor astfel de sisteme permit virusului să-și transfere codul în alte fișiere și astfel să le infecteze.
Majoritatea virușilor macro sunt activi nu numai în momentul în care fișierul este deschis (închis), ci atât timp cât editorul în sine este activ. Acestea conțin toate funcțiile lor ca macrocomenzi standard Word/Excel/Office. Există, totuși, viruși care folosesc tehnici pentru a-și ascunde codul și pentru a-și stoca codul sub formă de non-macro-uri. Există trei tehnici cunoscute, toate care folosesc capacitatea macrocomenzilor de a crea, edita și executa alte macrocomenzi. De regulă, astfel de viruși au un mic (uneori polimorf) încărcător de macro-virusuri, care apelează editorul de macro-uri încorporat, creează o nouă macrocomandă, o completează cu codul principal al virusului, îl execută și apoi, de regulă, îl distruge. (pentru a ascunde urmele virusului). Codul principal al unor astfel de viruși este prezent fie în macro-ul virusului, sub formă de șiruri de text (uneori criptat), fie este stocat în zona variabilă a documentului.
Virușii de rețea includ viruși care utilizează în mod activ protocoalele și capabilitățile rețelelor locale și globale pentru a se răspândi. Principiul principal de funcționare al unui virus de rețea este capacitatea de a-și transfera în mod independent codul pe un server sau o stație de lucru la distanță. Virușii de rețea „cu drepturi depline” au și capacitatea de a-și rula codul computer la distanță sau cel puțin „împingeți” utilizatorul să ruleze fișierul infectat.
Programele rău intenționate care permit accesul neautorizat pot fi:
· programe pentru selectarea și deschiderea parolelor;
· programe care implementează amenințări;
· programe care demonstrează utilizarea capabilităților nedeclarate ale software-ului și hardware-ului ISPD;
· programe generatoare de viruși informatici;
· programe care demonstrează vulnerabilități de securitate
informatii, etc.
Pe măsură ce software-ul devine mai complex și mai variat, numărul de programe malware crește rapid. Astăzi, sunt cunoscute peste 120 de mii de semnături de viruși informatici. Cu toate acestea, nu toate reprezintă amenințare reală. În multe cazuri, eliminarea vulnerabilităților dintr-un sistem sau aplicație software a condus la faptul că o serie de programe rău intenționate nu mai sunt capabile să le pătrundă. Noile programe malware reprezintă adesea principala amenințare.
Clasificarea contravenienților
Pe baza afilierii lor la ISPD, toți contravenienții sunt împărțiți în două grupuri:
Contravenienții externi sunt persoane fizice care nu au dreptul de a rămâne pe teritoriul zonei controlate în cadrul căreia se află echipamente ISPD;
Contravenienții interni sunt persoane fizice care au dreptul de a rămâne pe teritoriul zonei controlate în cadrul căreia se află echipamentele ISPD.
Intrus extern
Un intrus extern al securității informațiilor este considerat un intrus care nu are acces direct la mijloacele și resursele tehnice ale sistemului situat în zona controlată.
Se presupune că un intrus extern nu poate influența informațiile protejate prin canalele de scurgere tehnică, deoarece cantitatea de informații stocate și procesate în ISPD este insuficientă pentru a motiva eventual un intrus extern să efectueze acțiuni care vizează scurgerea de informații prin canalele de scurgere tehnică.
Se presupune că un intrus extern poate afecta informațiile protejate numai în timpul transmiterii acesteia prin canalele de comunicație.
Intrus înăuntru
Capacitățile unui infractor intern depind în mod semnificativ de factorii restrictivi care operează în zona controlată, dintre care principalul este punerea în aplicare a unui set de măsuri organizatorice și tehnice, inclusiv selecția, plasarea și furnizarea unei pregătiri profesionale înalte a personalului, admiterea. indivizii in interiorul zonei controlate si monitorizarea procedurii de efectuare a lucrarilor care vizeaza prevenirea si suprimarea accesului neautorizat.
Sistemul de control al accesului ISPDn asigură diferențierea drepturilor utilizatorilor de a accesa informații, software, hardware și alte resurse ISPDn în conformitate cu politica (regulile) de securitate a informațiilor adoptată. Infractorii interni pot include (tabel):
Administratori de subsisteme specifice sau baze de date ISPD (categoria II);
Utilizatori care sunt externi unui AS specific (categoria IV);
Persoane cu capacitatea de a accesa sistemul de transmitere a datelor (categoria V);
Salariații instituțiilor sanitare care au acces autorizat în scop oficial în sediul în care se află elementele ISPD, dar nu au dreptul de acces la acestea (categoria VI);
Personalul de service (lucrători de securitate, inginerie și servicii tehnice etc.) (categoria VII);
Personalul autorizat al dezvoltatorilor ISPD care, pe bază contractuală, are dreptul de a întreține și modifica componentele ISPD (categoria VIII).
Persoanele din categoriile I și II sunt încredințate cu sarcinile de administrare software și hardware și baze de date ISPD pentru integrarea și asigurarea interacțiunii diferitelor subsisteme care fac parte din ISPD. Administratorii pot implementa potențial amenințări la securitatea informațiilor folosind capacitățile de acces direct la informațiile protejate procesate și stocate în ISPD, precum și la hardware-ul și software-ul ISPD, inclusiv instrumentele de securitate utilizate în AS-uri specifice, în conformitate cu competențele administrative. stabilite pentru ei.
Acești indivizi sunt familiarizați cu algoritmii de bază, protocoalele implementate și utilizate în subsisteme specifice și ISPD în general, precum și cu principiile și conceptele de securitate aplicate.
Se presupune că ar putea folosi echipament standard fie pentru a identifica vulnerabilități, fie pentru a implementa amenințări la securitatea informațiilor. Acest echipament poate face parte din echipamentul standard sau poate fi ușor disponibil (de exemplu, software obținut din surse externe disponibile publicului).
În plus, se presupune că acești indivizi ar putea avea echipamente specializate.
Persoanele din categoriile I și II, având în vedere rolul lor exclusiv în ISPD, ar trebui să facă obiectul unui set de măsuri organizatorice și de regim speciale pentru selecția, angajarea, numirea lor într-o funcție și monitorizarea îndeplinirii atribuțiilor funcționale.
Se presupune că în numărul persoanelor din categoriile I și II vor fi incluse doar persoane de încredere și, prin urmare, aceste persoane sunt excluse din lista probabililor contravenienți.
Se presupune că persoanele din categoriile III-VIII sunt susceptibile de a fi contravenienți.
Capacitățile unui insider depind în mod semnificativ de
de la forțele de securitate care operează în zona controlată
și măsuri organizatorice și tehnice de protecție, inclusiv accesul persoanelor la datele cu caracter personal și controlul procedurii de desfășurare a muncii.
Infractorii interni potențiali sunt împărțiți în opt categorii, în funcție de metoda de acces și autoritatea de acces la datele personale.
Acest articol este dedicat analizei tehnologii moderne reprezintă o amenințare la adresa securității computerelor și principalele tendințe în dezvoltarea malware-ului în 2006.
Tendințe generale în dezvoltarea de malware
Pe parcursul anului 2006, autorul a descoperit și analizat 49.697 de soiuri unice de malware, dintre care 47.907 aparținând unor familii importante. Pe baza rezultatelor analizei lor, a fost construită o diagramă care arată compoziția procentuală a malware-ului pe familie pentru anul (Fig. 1).
Orez. 1. Compoziția procentuală a probelor ITW pe familie
După cum se poate observa din grafic, 37% din toate programele studiate sunt malware de tip Trojan-Downloader. Aceasta este o tendință stabilă care poate fi urmărită încă din 2005 și se datorează faptului că Trojan-Downloaders sunt folosite pentru a instala malware, a-și actualiza versiunile și a le restaura în cazul eliminării de către un antivirus. Majoritatea cazurilor studiate de deteriorare a computerului prin malware presupun lansarea Trojan-Downloader, ca urmare a utilizării unui exploit sau a metodelor de inginerie socială. Următorii cei mai des întâlniți sunt viermii de e-mail și de rețea, troienii de diferite tipuri și programele din clasa Dialer.
Analiza statistică a dinamicii detectării eșantioanelor ITW (in the Wild) arată că dezvoltatorii de programe malware au adoptat și folosesc în mod activ noi tehnologii pentru a combate scanerele de semnături. Tehnica sa este extrem de simplă și presupune ca dezvoltatorul să creeze sute de variante ale aceluiași program rău intenționat într-o perioadă scurtă de timp. Cele mai simple metode pentru obținerea diferitelor opțiuni sunt următoarele:
- reambalarea de către diverși packeri și crypteri - poate fi efectuată periodic sau la momentul unei solicitări de fișier; setul de ambalatori și parametrii acestora pot varia aleatoriu. Autorii de programe malware folosesc adesea dispozitive de ambalare și criptare modificate, ceea ce le face dificil de scanat;
- recompilarea fișierului cu modificări suficiente pentru a schimba semnăturile fișierului utilizate pentru a-l detecta;
- plasarea unui fișier rău intenționat într-un pachet de instalare creat cu ajutorul programelor de instalare NSIS (Scriptable Installation System). Codul open source al programului de instalare vă permite să îl modificați ușor, ceea ce va face imposibilă dezambalarea și analiza automată în timpul unei scanări antivirus.
Tehnicile enumerate sunt cunoscute de mult timp și pot fi folosite în diverse combinații, ceea ce permite autorului unui program rău intenționat să creeze cu ușurință sute de variante ale aceluiași program fără a utiliza tehnici polimorfe clasice. Acest lucru poate fi văzut folosind Trojan-Downloader ca exemplu. Win32.Zlob. Să ne uităm la statisticile detectărilor sale în ultimele 40 de zile (Fig. 2).
Orez. 2. Dinamica detectării Trojan-Downloader.Win32.Zlob peste 40 de zile
În această perioadă, autorul a descoperit 2198 de mostre ITW de Trojan-Downloader.Win32. Zlob, dintre care 1213 sunt unice. Graficul arată două curbe: numărul de detecții pe zi și numărul de soiuri unice de fișiere. Graficul arată că aproximativ fiecare secundă de probă ITW detectată este un fișier unic și această dependență rămâne stabilă pe parcursul lunii. Pe baza clasificării Kaspersky Lab, cele 1.213 de mostre examinate aparțin a 169 de subvariante ale acestui malware. Astfel de statistici sunt foarte orientative: există multe programe rău intenționate pentru care se descoperă zeci de noi modificări în fiecare zi.
O altă tendință caracteristică poate fi văzută în exemplul viermelui de e-mail Warezov. Pe parcursul unei luni, autorul a înregistrat 5333 de mostre ITW, dintre care 459 au fost unice. Graficul de distribuție a activității este prezentat în Fig. 3.
Orez. 3. Activitatea viermelui de poștă Warezov
Crestăturile de pe grafic sunt perioade de epidemii care sunt asociate cu apariția de noi soiuri de vierme (în acest caz: Email-Worm.Win32.Warezov.gj, Email-Worm.Win32. Warezov.fb, Email-Worm. Win32.Warezov.hb) . Graficul arată că epidemia activă durează în medie 2-5 zile, după care numărul de detecții Warezov scade la nivelul „de fundal” - 10-30 de probe pe zi. Apariția unor astfel de focare este destul de de înțeles - o nouă varietate de viermi nu este detectată de antivirusuri, ca urmare viermele infectează o mulțime de computere și începe o epidemie. Se dezvoltă rapid, dar într-o zi semnăturile viermelor ajung în bazele de date antivirus și epidemia scade rapid.
Separat, trebuie remarcată distribuția activă a programelor troiene din categoria Trojan-SPY - spioni care fură datele personale ale utilizatorilor. Printre acestea se remarcă celebrul Goldun, care fură informații despre conturile de sistem e-gold. Cele mai recente versiuni ale acestui program troian folosesc în mod activ tehnologiile rootkit pentru deghizare și spionaj (Fig. 4).
Orez. 4. Diagrama de activitate Trojan-SPY pentru ultima lună
O analiză a tehnologiilor utilizate de creatorii de malware arată că nu au fost inventate noi tehnologii revoluționare în 2006 - dezvoltatorii de malware se bazează pe cantitate, nu pe calitate. Cu toate acestea, au apărut câteva produse noi care merită o discuție mai detaliată.
În concluzie, să ne uităm la graficul mediu rezumat construit folosind date din sistemul automat de monitorizare al autorului pentru activitatea virală (Fig. 5).
Orez. 5. Statistici ale sistemului automat de căutare a malware-ului pentru ultimele 40 de zile
Graficul arată că sistemul automat înregistrează în medie aproximativ 400 de noi varietăți unice de malware pe zi.
Tehnologii rootkit
În 2006 s-au dezvoltat și îmbunătățit diferite tipuri de rootkit-uri și tehnologii rootkit. Aceste tehnologii sunt folosite de multe programe malware și există mai multe tipuri de ele:
- Tehnologii Rootkit pentru camuflaj, al căror scop principal este de a masca prezența unui program rău intenționat și a componentelor acestuia pe disc și în memorie, precum și pentru a masca cheile în registru. Pentru a rezolva această problemă, cel mai des este folosită interceptarea funcțiilor API, iar rootkit-urile moderne folosesc tehnici de interceptare foarte sofisticate, de exemplu, injectarea codului în funcțiile kernelului neexportate, interceptarea întreruperii Int2E și modificarea SYSENTER. O mențiune specială trebuie făcută pentru rootkit-urile DKOM (Direct Kernel Object Manipulation), care devin din ce în ce mai populare;
- Tehnologii rootkit pentru spionaj - după cum sugerează și numele, acestea sunt utilizate pentru a monitoriza activitatea utilizatorilor și pentru a colecta informații confidențiale. Cel mai tipic exemplu este Trojan-Spy.Win32.Goldun, care, pe baza principiului rootkit-ului, interceptează schimbul de aplicații cu Internetul pentru a căuta detalii în fluxul de informații transmise. Carduri de credit utilizator.
Să aruncăm o privire mai atentă la rootkit-urile DKOM. Principiul funcționării lor se bazează pe modificarea structurilor sistemului care descriu procese, drivere, fire și descriptori. O astfel de interferență în structurile sistemului, desigur, este o operațiune nedocumentată și foarte incorectă, dar sistemul după o astfel de interferență continuă să funcționeze mai mult sau mai puțin stabil. Consecința practică a unei astfel de interferențe este că un atacator are capacitatea de a manipula structurile nucleului în propriile scopuri. De exemplu, pentru fiecare dintre procesele care rulează, în nucleu este creată o structură EPROCESS, care stochează o mulțime de informații despre proces, în special identificatorul (PID) și numele procesului. Aceste structuri formează o listă dublu legată și sunt utilizate de funcțiile API care returnează informații despre procesele care rulează. Pentru a ascunde un proces, un rootkit DKOM trebuie doar să-și elimine structura EPROCESS din listă. Implementarea unei astfel de deghize este extrem de simplă, iar pe Internet puteți găsi zeci de implementări gata făcute cu cod sursă. Rootkit-urile mai complexe nu se limitează la eliminarea structurii obiectului mascat din listă - ele distorsionează datele conținute în acesta. Drept urmare, chiar dacă anti-rootkit-ul poate găsi un proces sau un driver deghizat, va primi informații incorecte despre acesta. Datorită ușurinței implementării, astfel de rootkit-uri devin din ce în ce mai populare și devine din ce în ce mai dificil să le combati. Cercetările au arătat că cea mai eficientă metodă de contracarare a acestora este instalarea unui monitor în sistem care monitorizează pornirea/oprirea proceselor și încărcarea/descărcarea driverelor. Compararea informațiilor colectate de un astfel de monitor cu datele returnate de sistem face posibilă detectarea modificărilor făcute de rootkit-ul DKOM, înțelegerea naturii acestora și detectarea proceselor și driverelor deghizate.
Programe de farse
Software-ul Hoax continuă să se dezvolte rapid, astfel încât putem prezice cu încredere creșterea acestei familii în 2007. Tradus literal, Hoax este înșelăciune; minciună, păcăleală, neadevăr. Ideea programelor Hoax este de a înșela utilizatorul, cel mai adesea în scopul de a obține profit sau de a fura informații confidențiale. Recent, a existat o tendință de incriminare a acestei industrii: dacă în urmă cu un an majoritatea programelor Hoax executau acțiuni relativ inofensive, simulând infectarea unui computer cu viruși sau cod SpyWare, cele moderne vizează tot mai mult furtul de parole sau informații confidențiale. Un exemplu de astfel de program este prezentat în Fig. 6.
Orez. 6. Fereastra programului Hoax.Win32.Delf
După cum urmează din fereastra programului și descrierea acestuia, acesta este un generator de licențe pentru Kaspersky Anti-Virus. Programul vă solicită să introduceți adresa de e-mail și parola pentru a vă accesa căsuța poștală pentru a primi licența generată. Dacă un utilizator de încredere face acest lucru și dă clic pe butonul „Obțineți Cipher”, datele pe care le-a introdus vor fi transferate atacatorului prin e-mail. În ultimul an au fost descoperite peste o sută de programe similare: acestea sunt diverse „crack-uri”, generatoare de carduri de plată pentru operatorii de telefonie mobilă, generatoare de numere de carduri de credit, mijloace de „piratare” a cutiilor poștale etc. O caracteristică comună a unor astfel de programe este înșelarea utilizatorului, menită să-l determine să introducă în mod independent unele informații confidențiale. Al doilea caracteristică Aplicațiile false sunt primitive: conțin o mulțime de erori și inexactități în codul programului. Astfel de programe sunt adesea create de scriitori de viruși începători.
Tendința de dezvoltare a programelor Hoax poate fi văzută folosind exemplul Hoax.Win32.Renos (Fig. 7).
Orez. 7. Dinamica detectării Hoax.Win32.Renos în ultimele 30 de zile
Graficul arată că autorul descoperă cel puțin o nouă variantă unică a acestui malware pe zi, iar în doar o lună se observă 60 de noi variante unice, incluse în 18 subvarii conform clasificării Kaspersky Lab.
Programe troiene pentru șantaj și extorcare
Programele din acest soi au apărut pentru prima dată în urmă cu câțiva ani. Scopul lor principal este de a șantaja direct utilizatorul și de a stoarce bani de la acesta pentru restabilirea funcționalității computerului sau decriptarea informațiilor codificate de un program troian. Cel mai adesea, autorul primește rapoarte și solicitări de ajutor de la utilizatorii afectați de troianul Trojan.Win32.Krotten, care a extorcat 25 WMZ pentru restabilirea funcționalității computerului. Acest program troian este extrem de primitiv în design și toată munca sa se reduce la modificarea sutelor de chei din registry (cu descriere detaliata una dintre soiurile sale poate fi găsită la: http://www.z-oleg.com/secur/virlist/vir1180.php). Particularitatea programelor troiene din această familie este că, pentru a trata un computer, nu este suficient să căutați și să distrugeți troianul - este, de asemenea, necesar să restabiliți daunele pe care le-a cauzat sistemului. În timp ce deteriorarea registrului cauzată de troianul Krotten este destul de ușor de eliminat, informațiile criptate sunt mult mai dificil de recuperat. De exemplu, creatorul programului troian Gpcode, care criptează datele utilizatorilor, crește treptat lungimea cheii de criptare, provocând astfel companiile antivirus. Puteți citi mai multe despre acest troian în articolul „Șantajer” la: http://www.viruslist.com/ru/analysis?pubid=188790045.
Injectarea de cod ca metodă de lansare ascunsă
Această tehnologie este vizibilă cel mai clar în Trojan-Downloaders moderni, dar începe treptat să fie implementată în alte programe rău intenționate. Tehnica sa este relativ simplă: programul rău intenționat constă în mod convențional din două părți - un „injector” și un cod troian. Sarcina „injectorului” este să despacheteze și să decripteze codul troian și să-l implementeze într-un anumit proces de sistem. În această etapă, malware-ul studiat diferă prin metoda de introducere a codului troian:
- injectare prin substituire a contextului - principiul unei astfel de injectări presupune pregătirea și decriptarea codului troian (pasul 1), lansarea oricărui proces de sistem, iar la crearea unui proces, acesta este creat în modul „sleep” (suspendat) (pasul 2). În continuare, injectorul injectează codul troian în memoria procesului (și o astfel de injecție se poate face deasupra codului mașină al procesului), după care modifică contextul firului principal astfel încât codul troian să primească control (pasul 3). ). După aceasta, se lansează firul principal și se execută codul troian. Această metodă este interesantă prin faptul că orice manager de proces va arăta execuția unui program legitim (de exemplu, svchost.exe), dar în loc de codul mașină al programului legitim, codul troian va fi localizat și executat în memorie. Această metodă vă permite să ocoliți firewall-urile care nu au controale asupra modificării memoriei de proces și a contextului firelor sale (Fig. 8);
Orez. 8. Injectare prin substituție de context
- injectarea de fire troiene - această metodă este similară ideologic cu cea anterioară, dar în loc să înlocuiți codul mașină al procesului cu un troian și să îl executați în firul principal, se creează un fir suplimentar în care este executat codul troian (pasul 2). Această metodă este adesea folosită pentru a injecta cod troian într-un proces existent fără a întrerupe funcționarea acestuia (Fig. 9).
Orez. 9. Injectare prin crearea unui flux troian
Noi metode de furt WebMoney
La sfârșitul anului 2006, a fost descoperită o nouă metodă, destul de originală, de a fura bani în sistemul WebMoney. Se bazează pe introducerea unui mic program troian pe computerul utilizatorului, care monitorizează dacă fereastra programului WebMoney este deschisă. Dacă este deschis, clipboard-ul este monitorizat. Când detectează text în clipboard care începe cu „Z”, „R” sau „E”, programul troian consideră că acesta este numărul portofelului destinatarului, pe care utilizatorul l-a copiat în clipboard pentru a-l introduce în fereastra WebMoney. Acest număr este eliminat din buffer și înlocuit cu numărul „Z”, „R” sau „E” al portofelului atacatorului. Metoda este extrem de simplu de implementat și poate fi destul de eficientă, deoarece numerele de portofel de cele mai multe ori nu sunt introduse, ci copiate printr-un buffer și nu toți utilizatorii verifică cu atenție dacă numărul portofelului a fost introdus din buffer. Acest troian este o demonstrație clară a ingeniozității dezvoltatorilor de programe troiene.
Detectarea depanatoarelor și a PC-urilor virtuale
Metodele de combatere a depanatorilor, emulatorilor și computerelor virtuale sunt cunoscute de mult timp. Utilizarea lor îngreunează pentru un specialist începător să analizeze un program rău intenționat, motiv pentru care astfel de tehnologii au fost folosite cu destul de mult succes de dezvoltatorii de malware de mult timp. Cu toate acestea, de-a lungul anului trecut, a apărut o nouă tendință: malware-ul a început să încerce să determine tipul de computer - dacă este hardware real sau emulare creată de programe precum Virtual PC sau VMWare. Astfel de PC-uri virtuale au fost și sunt folosite destul de activ de către administratori pentru studii programe suspecte. Dacă există o verificare, dacă este lansat pe un PC virtual (sau, alternativ, sub un depanator), programul rău intenționat poate pur și simplu să-și încheie activitatea în mod anormal, ceea ce va împiedica studierea acestuia. În plus, o astfel de verificare ar fi o lovitură pentru sisteme precum Norman Sandbox, deoarece principiul lor de analiză euristică constă în esență în rularea programului studiat pe un emulator și examinarea funcționării acestuia. La sfârșitul anului, specialiștii Institutului SANS Tom Liston și Ed Skoudis au publicat un raport foarte interesant care descrie tehnicile de detectare. mașini virtualeși combaterea metodelor de detectare. Documentul poate fi descărcat de pe site-ul web SANS - http://handlers.sans.org/tliston/ThwartingVMDetection_Liston_Skoudis.pdf.
Boți de spam și proxy troieni
Un spambot este un program troian autonom conceput pentru a trimite automat spam de pe un computer afectat. Un proxy troian este un program rău intenționat cu funcțiile unui server proxy; operarea sa pe computerul afectat permite unui atacator să-l folosească ca server proxy pentru a trimite spam, a efectua atacuri asupra altor computere și a comite alte acțiuni ilegale. Mulți roboti spam moderni își maschează în mod activ prezența folosind tehnologii rootkit și se protejează împotriva ștergerii. Statisticile arată că mai mult de 400 de soiuri ITW de astfel de programe sunt descoperite pe lună, dintre care aproximativ 130 sunt noi și unice.
Un spambot reprezintă o mare amenințare pentru rețelele corporative, deoarece funcționarea sa duce la următoarele consecințe:
- consum mare de trafic de rețea - în majoritatea orașelor rusești nu există tarife nelimitate, prin urmare, prezența mai multor calculatoare afectate în rețea poate duce la pierderi financiare semnificative din cauza consumului de trafic;
- Multe rețele corporative folosesc adrese IP statice și propriile servere de e-mail pentru a accesa Internetul. În consecință, ca urmare a activității roboților de spam, aceste adrese IP vor fi rapid trecute pe lista neagră de filtrele anti-spam, ceea ce înseamnă că serverele de e-mail de pe Internet nu vor mai accepta e-mail de la serverul de e-mail corporativ al companiei. Este posibil să excludeți adresa dvs. IP din lista neagră, dar este destul de dificil, iar dacă există roboți de spam funcționali în rețea, aceasta va fi o măsură temporară.
Metodele de combatere a spam-urilor și a proxy-urilor troiene sunt foarte simple: este necesar să blocați portul 25 pentru toți utilizatorii și, în mod ideal, să le interziceți complet comunicarea directă cu Internetul, înlocuindu-l cu lucru prin servere proxy. De exemplu, în Smolenskenergo, toți utilizatorii accesează Internetul numai printr-un proxy cu sistem de filtrare, iar zilnic se efectuează un studiu semi-automat al protocoalelor, care este efectuat de administratorul de sistem de serviciu. Analizorul pe care îl folosește facilitează detectarea anomaliilor în traficul utilizatorilor și luarea de măsuri în timp util pentru a bloca activitățile suspecte. În plus, sistemele IDS (Intrusion Detection System) care studiază traficul de rețea al utilizatorilor oferă rezultate excelente.
Distribuirea de programe malware folosind mesagerie pe Internet
Conform statisticilor colectate pe parcursul anului, paginile de internet sunt din ce în ce mai folosite pentru a injecta malware în computerele utilizatorilor. Tehnica de implementare este ingineria socială clasică. De pe computerul infectat, în numele ICQ-ului proprietarului său, programul rău intenționat trimite mesaje care solicită, sub un pretext sau altul, deschiderea linkului specificat. Linkul duce la un program troian (de obicei cu un nume semnificativ, cum ar fi picture.pif sau flash_movie.exe) sau la un site web ale cărui pagini conțin exploit-uri. Trebuie remarcat în special că sunt legături către programele rău intenționate care sunt distribuite, nu corpurile lor.
Pe parcursul anului trecut, au fost înregistrate mai multe epidemii bazate pe acest principiu. În Rusia, victimele au fost în principal utilizatori ICQ, iar cel mai adesea programele din categoria Trojan-PSW au fost distribuite în acest fel - programe troiene care fură parolele utilizatorilor. În medie, autorul primește de la unu până la zece mesaje pe zi, iar până la sfârșitul anului se înregistrează o creștere a acestor mailing-uri.
Protecția împotriva acestui tip de malware este extrem de simplă - nu ar trebui să deschideți astfel de link-uri. Cu toate acestea, statisticile arată că curiozitatea utilizatorilor depășește adesea acest lucru, mai ales dacă mesajele vin în numele unei persoane bine cunoscute de ei. Într-un mediu corporativ măsură eficientă este o interdicție a utilizării paginilor de internet, deoarece din punct de vedere al securității acestea reprezintă un canal ideal pentru scurgerea de informații.
USB flash media
O scădere semnificativă a prețurilor pentru mediile flash (precum și o creștere a volumului și vitezei acestora) a dus la un efect natural - o creștere rapidă a popularității acestora în rândul utilizatorilor. În consecință, dezvoltatorii de programe malware au început să creeze programe care infectează unitățile flash. Principiul de funcționare al unor astfel de programe este extrem de simplu: în rădăcina discului sunt create două fișiere - fișierul text autorun.inf și o copie a programului rău intenționat. Fișierul de executare automată este utilizat pentru a rula automat programul rău intenționat atunci când unitatea este conectată. Un exemplu clasic de astfel de programe malware este viermele de e-mail Rays. Este important de menționat că o cameră digitală poate acționa ca purtător al virusului, multe Celulare, playere MP3 și PDA - din punctul de vedere al computerului (și, în consecință, al viermelui), nu se pot distinge de un disc flash. Cu toate acestea, prezența malware-ului nu afectează în niciun fel funcționarea acestor dispozitive.
O măsură de protecție împotriva unor astfel de programe poate fi dezactivarea rulării automate și utilizarea monitoarelor antivirus pentru detectarea și eliminarea în timp util a virusului. Confruntate cu amenințarea unui aflux de viruși și scurgeri de informații, multe companii iau măsuri mai stricte - blocarea capacității de a conecta dispozitive USB folosind software specializat sau blocarea driverelor USB în setările sistemului.
Concluzie
Acest articol a examinat principalele direcții de dezvoltare a programelor malware. Analiza lor ne permite să facem mai multe predicții:
- Se poate presupune că zona de camuflaj de la scanerele de semnătură și de protecție împotriva lansării pe computere virtuale și emulatoare vor fi dezvoltate în mod activ. În consecință, pentru a combate astfel de malware, pe primul loc sunt diverse analizoare euristice, firewall-uri și sisteme de apărare proactive;
- Există o criminalizare clară a industriei de dezvoltare a malware; ponderea roboților de spam, a proxy-urilor troiene și a programelor troiene pentru furtul parolelor și datelor personale ale utilizatorilor este în creștere. Spre deosebire de viruși și viermi, astfel de programe pot provoca daune materiale semnificative utilizatorilor. Dezvoltarea industriei de programe troiene care criptează datele pentru utilizatori ne face să ne gândim la oportunitatea unor backup-uri periodice, care practic reduce daunele de la un astfel de troian la zero;
- O analiză a cazurilor de infecție a computerului arată că atacatorii pirata adesea serverele web pentru a plasa programe rău intenționate pe ele. Un astfel de hack este mult mai periculos decât așa-numita deformare (înlocuirea paginii de pornire a unui site), deoarece computerele vizitatorilor site-ului pot fi infectate. Se poate presupune că această zonă se va dezvolta foarte activ;
- Unitățile flash, camerele digitale, playerele MP3 și PDA-urile devin o amenințare tot mai mare pentru securitate, deoarece pot transporta viruși. Mulți utilizatori subestimează pericolul pe care îl reprezintă, să zicem, o cameră digitală, dar autorul a reușit să studieze cel puțin 30 de incidente care au implicat astfel de dispozitive în 2006;
- O analiză a structurii și principiilor de funcționare ale malware-ului arată că este posibil să vă protejați împotriva lor fără un antivirus - pur și simplu nu vor putea funcționa într-un sistem configurat corespunzător. Regula de bază de protecție este că utilizatorul lucrează sub un cont limitat, care, în special, nu are privilegii de a scrie în folderele de sistem, de a gestiona servicii și drivere sau de a modifica cheile de registry de sistem.
Valabil Editorial de la 15.02.2008
„MODEL DE BAZĂ DE AMENINȚĂRI LA SECURITATEA DATELOR CU CARACTER PERSONAL ÎN TIMPUL PRELUCRĂRII LOR ÎN SISTEME DE INFORMAȚII DE DATE PERSONALE” (aprobat la 15 februarie 2008 de către FSTEC al Federației Ruse)
5. Amenințări de acces neautorizat la informații din sistemul de informații cu date cu caracter personal
Amenințările la adresa datelor cu caracter personal din sistemele informatice de date cu caracter personal care utilizează software și hardware sunt implementate atunci când accesul neautorizat, inclusiv accidental, are loc, rezultând o încălcare a confidențialității (copiere, distribuire neautorizată), a integrității (distrugere, modificare) și a disponibilității (blocare). ) de date cu caracter personal și includ:
amenințări de acces (pătrundere) în mediul de operare al computerului folosind software standard (instrumente ale sistemului de operare sau programe generale de aplicație);
Amenințări de creare a unor moduri de operare anormale ale software-ului (hardware și software) din cauza modificărilor deliberate ale datelor de serviciu, ignorarea restricțiilor privind compoziția și caracteristicile informațiilor prelucrate prevăzute în condiții standard, denaturarea (modificarea) datelor în sine etc. ;
amenințări cu introducerea de programe rău intenționate (software și influență matematică).
Compoziția elementelor pentru descrierea amenințărilor la adresa informațiilor din sistemul de management al informațiilor din ISPD este prezentată în Figura 3.
În plus, sunt posibile amenințări combinate, reprezentând o combinație a acestor amenințări. De exemplu, prin introducerea de programe rău intenționate, pot fi create condiții pentru accesul neautorizat în mediul de operare al computerului, inclusiv prin formarea unor canale netradiționale de acces la informații.
Amenințările de acces (pătrundere) în mediul de operare ISDN folosind software-ul standard sunt împărțite în amenințări de acces direct și de la distanță. Amenințările de acces direct sunt efectuate folosind software de calculator și instrumente hardware de intrare/ieșire. Amenințările de acces la distanță sunt implementate folosind protocoale de comunicare în rețea.
Aceste amenințări sunt realizate în raport cu ISPD atât pe baza unei stații de lucru automatizate care nu este inclusă în rețeaua publică de comunicații, cât și în raport cu toate ISPD care sunt conectate la rețelele publice de comunicații și la rețelele internaționale de schimb de informații.
Descrierea amenințărilor de acces (penetrare) în mediul de operare al unui computer poate fi prezentată oficial după cum urmează:
amenințare cu NSD în ISPDn: =<источник угрозы>, <уязвимость ИСПДн>, <способ реализации угрозы>, <объект воздействия (программа, протокол, данные и др.)>, <деструктивное действие>.
Figura 3. Elemente ale descrierii amenințărilor de acces neautorizat la informații din ISDN
Amenințările de creare a unor moduri de operare anormale ale instrumentelor software (software și hardware) sunt amenințări de tip „Denial of Service”. De regulă, aceste amenințări sunt luate în considerare în raport cu ISDN bazat pe sisteme informaționale locale și distribuite, indiferent de conexiunea schimbului de informații. Implementarea lor se datorează faptului că, la dezvoltarea unui sistem sau aplicație software, nu se ia în considerare posibilitatea acțiunilor deliberate pentru modificări vizate:
condițiile de procesare a datelor (de exemplu, ignorarea restricțiilor privind lungimea unui pachet de mesaj);
Formate de prezentare a datelor (cu inconsecvența formatelor modificate stabilite pentru prelucrare folosind protocoale de comunicare în rețea);
Software de prelucrare a datelor.
Ca urmare a implementării amenințărilor de tip Denial of Service, bufferele sunt depășite și procedurile de procesare sunt blocate, procedurile de procesare sunt bucle și computerul se blochează, pachetele de mesaje sunt abandonate etc. Descrierea unor astfel de amenințări poate fi prezentată oficial după cum urmează:
Amenințare cu refuzul serviciului: =<источник угрозы>, <уязвимость ИСПДн>, <способ реализации угрозы>, <объект воздействия (носитель ПДн)>, <непосредственный результат реализации угрозы (переполнение буфера, блокирование процедуры обработки, "зацикливание" обработки и т.п.)>.
Este nepotrivit să descriem amenințările de introducere a programelor rău intenționate (software și influență matematică) în același detaliu ca și amenințările de mai sus. Acest lucru se datorează faptului că, în primul rând, numărul de programe rău intenționate astăzi depășește deja semnificativ o sută de mii. În al doilea rând, atunci când organizați protecția informațiilor în practică, de regulă, este suficient doar să cunoașteți clasa programului rău intenționat, metodele și consecințele implementării acestuia (infecție). În acest sens, amenințările din influența software-matematică (PMI) pot fi prezentate formal după cum urmează:
Amenințarea primului război mondial în ISPDn: =<класс вредоносной программы (с указанием среды обитания)>, <источник угрозы (носитель вредоносной программы)>, <способ инфицирования>, <объект воздействия (загрузочный сектор, файл и т.п.)>, <описание возможных деструктивных действий>, <дополнительная информация об угрозе (резидентность, скорость распространения, полиморфичность и др.)>.
Mai jos este o descriere generală a surselor de amenințări la adresa securității informațiilor, vulnerabilitățile care pot fi utilizate în implementarea amenințărilor de acces neautorizat și o descriere a rezultatelor accesului neautorizat sau accidental. Caracteristicile metodelor de implementare a amenințărilor sunt date atunci când se descriu amenințările de acces (penetrare) în mediul de operare al unui computer, amenințările cu refuzul serviciului și amenințările PMV.
Sursele amenințărilor NSD în ISPD pot fi:
intrus;
purtător de programe malware;
marcaj hardware.
Amenințările la adresa securității datelor personale asociate cu implementarea marcajelor hardware sunt determinate în conformitate cu documentele de reglementare Serviciul federal securitatea Federației Ruse în modul stabilit de aceasta.
Pe baza dreptului de acces permanent sau unic în zona controlată (CA) a ISPD, contravenții sunt împărțiți în două tipuri:
încalcătorii care nu au acces la ISPD și implementează amenințări din rețelele publice externe de comunicații și (sau) rețelele internaționale de schimb de informații sunt contravenienți externi;
Încalcătorii care au acces la ISPD, inclusiv utilizatorii ISPD, care implementează amenințări direct în ISPD sunt infractori interni.
Intrușii externi pot fi:
serviciile de informații ale statelor;
Structuri penale;
concurenți (organizații concurente);
parteneri fără scrupule;
entitati externe (persoane fizice).
Un intrus extern are următoarele capacități:
efectuează acces neautorizat la canalele de comunicare în afara sediului;
exercita acces neautorizat prin stații de lucru automate conectate la rețele publice de comunicații și (sau) rețele internaționale de schimb de informații;
să efectueze acces neautorizat la informații folosind influențe software speciale prin viruși software, malware, algoritmi sau marcaje software;
Execută acces neautorizat prin elemente ale infrastructurii informaționale ISPD, care în curs de ciclu de viață(actualizări, întreținere, reparații, eliminare) ajung în afara zonei controlate;
exercită acces neautorizat prin sistemele informaționale ale departamentelor, organizațiilor și instituțiilor care interacționează atunci când acestea sunt conectate la ISPD.
Capacitățile unui contravenient intern depind în mod semnificativ de măsurile de securitate, organizatorice și tehnice de protecție în vigoare în zona controlată, inclusiv accesul persoanelor la datele personale și controlul procedurii de desfășurare a muncii.
Infractorii interni potențiali sunt împărțiți în opt categorii, în funcție de metoda de acces și autoritatea de acces la datele personale.
Prima categorie include persoanele care au acces autorizat la ISPD, dar nu au acces la PD. Acest tip de contravenient include oficialii care asigură funcționarea normală a ISPD.
au acces la fragmente de informații care conțin date cu caracter personal și sunt distribuite prin canalele de comunicare interne ale ISPD;
Deține informații despre topologia ISPD (partea de comunicare a subrețelei) și despre protocoalele de comunicație utilizate și serviciile acestora;
Să aibă nume și să identifice parolele utilizatorilor înregistrați;
modificați configurația mijloacelor tehnice ISPD, adăugați-i marcaje hardware și software și asigurați-vă că informațiile sunt preluate folosind o conexiune directă la mijloacele tehnice ISPD.
are toate capacitățile persoanelor din prima categorie;
Cunoaște cel puțin un nume de acces legal;
Are toate atributele necesare (de exemplu, o parolă) care oferă acces la un anumit subset de date personale;
are date confidențiale la care are acces.
Accesul, autentificarea și drepturile sale de acces la un anumit subset de date cu caracter personal trebuie reglementate de regulile adecvate de control al accesului.
are toate capacitățile persoanelor din prima și a doua categorie;
Are informații despre topologia ISPD bazată pe sistemul informațional local și (sau) distribuit prin care se asigură accesul și despre componența mijloacelor tehnice ale ISPD;
are capacitatea de a direcționa accesul (fizic) la fragmente de mijloace tehnice ISPD.
Posedă informatii complete despre sistemul și aplicația software utilizată în segmentul ISPD (fragment);
Are informații complete despre mijloacele tehnice și configurația segmentului ISPD (fragment);
are acces la instrumente de securitate și logare a informațiilor, precum și la elementele individuale utilizate în segmentul ISPD (fragment);
are acces la toate mijloacele tehnice ale segmentului (fragmentului) ISPD;
are dreptul de a configura și configura administrativ un anumit subset de mijloace tehnice ale unui segment (fragment) al unui ISPD.
Are toate capacitățile persoanelor din categoriile anterioare;
are informații complete despre sistemul și software-ul de aplicație al ISPD;
are informații complete despre mijloacele tehnice și configurația ISPD;
are acces la toate mijloacele tehnice de prelucrare a informațiilor și la datele ISPD;
are dreptul de a configura și configura administrativ mijloacele tehnice ISPD.
Administratorul de sistem configurează și gestionează software-ul și echipamentele, inclusiv echipamentele responsabile cu securitatea obiectului protejat: mijloace de protecție a informațiilor criptografice, monitorizare, înregistrare, arhivare, protecție împotriva accesului neautorizat.
are toate capacitățile persoanelor din categoriile anterioare;
are informații complete despre ISPD;
are acces la instrumente de securitate și înregistrare a informațiilor și la unele dintre elementele cheie ale ISPD;
Nu are drepturi de acces pentru configurarea echipamentelor tehnice de rețea, cu excepția celor de control (inspecție).
Administratorul de securitate este responsabil pentru respectarea regulilor de control al accesului, generarea elementelor cheie și schimbarea parolelor. Administratorul de securitate auditează aceleași controale de securitate a obiectelor ca și administratorul de sistem.
are informații despre algoritmi și programe de prelucrare a informațiilor pe ISPD;
Are capacitatea de a introduce erori, capabilități nedeclarate, marcaje software, malware în software-ul ISPD în stadiul dezvoltării, implementării și întreținerii acestuia;
poate avea orice informații despre topologia ISPD și mijloacele tehnice de procesare și protejare a PD procesate în ISPD.
are capacitatea de a adăuga marcaje la instrumentele tehnice ISPD în stadiul dezvoltării, implementării și întreținerii acestora;
Poate avea orice informații despre topologia ISPD și mijloacele tehnice de procesare și protecție a informațiilor din ISPD.
Purtătorul de malware poate fi un element hardware al computerului sau un container software. Dacă programul rău intenționat nu este asociat cu niciun program de aplicație, atunci următoarele sunt considerate ca purtător:
Medii alienabile, adică dischetă, disc optic (CD-R, CD-RW), memorie flash, hard disk alienabil etc.;
Suporturi de stocare încorporate (hard disk-uri, cipuri RAM, procesor, cipuri pentru placa de bază, cipuri pentru dispozitivele încorporate în unitatea de sistem - adaptor video, placă de rețea, placă de sunet, modem, hard magnetic și dispozitive de intrare/ieșire magnetice discuri optice, alimentare, etc., cipuri de acces direct la memorie, magistrale de date, porturi de intrare/ieșire);
microcircuite ale dispozitivelor externe (monitor, tastatură, imprimantă, modem, scaner etc.).
Dacă un program rău intenționat este asociat cu orice program de aplicație, cu fișiere cu anumite extensii sau alte atribute, cu mesaje transmise prin rețea, atunci purtătorii acestuia sunt:
Pachete de mesaje transmise printr-o rețea de calculatoare;
fișiere (text, grafic, executabil etc.).
5.2. Caracteristici generale ale vulnerabilităților sistemului de informații cu date personaleVulnerabilitatea sistemului informatic de date cu caracter personal – deficiență sau slăbiciuneîn sistem sau aplicație software (hardware și software) a unui sistem informatic automatizat, care poate fi utilizat pentru a implementa o amenințare la adresa securității datelor cu caracter personal.
Cauzele vulnerabilităților sunt:
erori în proiectarea și dezvoltarea de software (hardware și software);
acțiuni deliberate pentru a introduce vulnerabilități în timpul proiectării și dezvoltării de software (hardware și software);
setări software incorecte, modificări ilegale ale modurilor de operare ale dispozitivelor și programelor;
Implementarea și utilizarea neautorizată a programelor nereprezentate cu consum nerezonabil de resurse (încărcarea procesorului, confiscarea memoriei RAM și a memoriei pe medii externe);
introducerea de malware care creează vulnerabilități în software și hardware;
acțiuni neautorizate neintenționate ale utilizatorilor care conduc la vulnerabilități;
defecțiuni în funcționarea hardware-ului și software-ului (cauzate de întreruperi de curent, defecțiuni ale elementelor hardware ca urmare a îmbătrânirii și scăderii fiabilității, influențe externe ale câmpurilor electromagnetice dispozitive tehnice si etc.).
Clasificarea principalelor vulnerabilități ISDN este prezentată în Figura 4.
Figura 4. Clasificarea vulnerabilităților software
Mai jos este o descriere generală a principalelor grupuri de vulnerabilități ISDN, inclusiv:
vulnerabilități ale software-ului de sistem (inclusiv protocoale de comunicare în rețea);
vulnerabilități ale aplicațiilor software (inclusiv instrumente de securitate a informațiilor).
5.2.1. Caracteristicile generale ale vulnerabilităților software de sistemVulnerabilitățile software-ului de sistem trebuie luate în considerare în raport cu arhitectura sistemelor de calcul.
Există posibile vulnerabilități:
în microprograme, în ROM, firmware PROM;
în instrumentele sistemului de operare destinate gestionării resurselor ISPD locale (furnizarea de funcții de gestionare a proceselor, memorie, dispozitive de intrare/ieșire, interfață utilizator etc.), drivere, utilități;
În instrumentele sistemului de operare concepute pentru a îndeplini funcții auxiliare - utilitare (arhivare, defragmentare etc.), programe de procesare a sistemului (compilatoare, linkere, depanare etc.), programe care oferă utilizatorului servicii suplimentare (opțiuni speciale de interfață, calculatoare, jocuri). , etc.), biblioteci de proceduri în diverse scopuri(biblioteci de funcții matematice, funcții de intrare/ieșire etc.);
în mijloacele de interacţiune de comunicare (mijloace de reţea) ale sistemului de operare.
Vulnerabilitățile în firmware-ul și instrumentele sistemului de operare concepute pentru a gestiona resursele locale și funcțiile auxiliare pot include:
Funcții, proceduri, modificarea parametrilor cărora într-un anumit mod le permite să fie utilizate pentru acces neautorizat fără ca sistemul de operare să detecteze astfel de modificări;
fragmente de cod de program („găuri”, „capcane”) introduse de dezvoltator, permițând ocolirea procedurilor de identificare, autentificare, verificare a integrității etc.;
Erori în programe (în declararea variabilelor, funcțiilor și procedurilor, în codurile programelor), care în anumite condiții (de exemplu, la efectuarea tranzițiilor logice) duc la defecțiuni, inclusiv defecțiuni în funcționarea instrumentelor și sistemelor de securitate a informațiilor.
Vulnerabilitățile în protocoalele de comunicare în rețea sunt asociate cu caracteristicile implementării software-ului lor și sunt cauzate de restricții privind dimensiunea buffer-ului utilizat, deficiențe în procedura de autentificare, lipsa verificărilor pentru corectitudinea informațiilor de serviciu etc. O scurtă descriere a acestora vulnerabilitățile în raport cu protocoalele sunt prezentate în Tabelul 2.
masa 2
Vulnerabilitățile protocoalelor individuale ale stivei de protocoale TCP/IP, pe baza cărora funcționează rețelele publice globale
| Nume protocol | Stratul de stivă de protocol | Numele (caracteristică) vulnerabilității | Conținutul unei încălcări a securității informațiilor |
| FTP (File Transfer Protocol) - protocol pentru transferul de fișiere într-o rețea | 1. Autentificare în text simplu (parolele sunt trimise necriptate) 2. Acces implicit 3. Având două porturi deschise | Posibilitatea de interceptare a datelor cont(nume de utilizator înregistrate, parole). Obținerea accesului de la distanță la gazde | |
| telnet - protocol de control terminal la distanță | Aplicație, reprezentant, sesiune | Autentificare în text simplu (parolele sunt trimise necriptate) | Abilitatea de a intercepta datele contului utilizatorului. Obținerea accesului de la distanță la gazde |
| UDP - protocol de transfer de date fără conexiune | Transport | Niciun mecanism pentru a preveni supraîncărcarea tamponului | Posibilitatea implementării UDP storm. Ca urmare a schimbului de pachete, există o scădere semnificativă a performanței serverului |
| ARP - Protocolul adresei IP la adresa fizică | Reţea | Autentificare în text simplu (informațiile sunt trimise necriptate) | Posibilitatea de interceptare a traficului utilizatorului de către un atacator |
| RIP - Protocolul de informații de rutare | Transport | Lipsa autentificării mesajelor de control al schimbării rutei | Abilitatea de a redirecționa traficul prin gazda atacatorului |
| TCP - Protocolul de control al transmisiei | Transport | Lipsa unui mecanism pentru verificarea umplerii corecte a antetelor serviciului de pachete | Reducere semnificativă a vitezei de comunicare și chiar întreruperea completă a conexiunilor arbitrare prin protocolul TCP |
| DNS - protocol pentru stabilirea corespondenței între numele mnemonice și adresele de rețea | Aplicație, reprezentant, sesiune | Lipsa mijloacelor de verificare a autentificării datelor primite de la sursă | Modificarea răspunsului serverului DNS |
| IGMP - Routing Message Protocol | Reţea | Lipsa autentificării mesajelor despre modificarea parametrilor rutei | Sistemele Win 9x/NT/200 se blochează |
| SMTP - protocol pentru furnizarea serviciului de livrare a mesajelor de e-mail | Aplicație, reprezentant, sesiune | Posibilitatea de falsificare a mesajelor de e-mail, precum și a adresei expeditorului mesajului | |
| SNMP - protocol pentru gestionarea routerelor în rețele | Aplicație, reprezentant, sesiune | Nu există suport pentru autentificarea antetului mesajului | Posibilitatea supraîncărcării lățimii de bandă a rețelei |
Pentru a sistematiza descrierea multor vulnerabilități, este utilizată o singură bază de date cu vulnerabilități CVE (Common Vulnerabilities and Exposures), la dezvoltarea căreia au participat specialiști din multe companii și organizații cunoscute, precum MItrE, ISS, Cisco, BindView, Axent, NFR, L-3, CyberSafe, CERT, Universitatea Carnegie Mellon, Institutul SANS etc. Această bază de date este actualizată constant și este folosită pentru a crea baze de date cu numeroase instrumente software de analiză a securității și, mai ales, scanere de rețea.
5.2.2. Caracteristici generale ale vulnerabilităților aplicațiilor softwareAplicațiile software includ programe de aplicații de uz general și programe de aplicații speciale.
Programe de aplicații de uz general - editori de text și grafice, programe media (playere audio și video, software pentru recepția programelor de televiziune etc.), sisteme de gestionare a bazelor de date, platforme software de uz general pentru dezvoltarea de produse software (cum ar fi Delphi, Visual Basic), înseamnă de protejare a informaţiilor publice etc.
Programele speciale de aplicații sunt programe care sunt dezvoltate în interesul rezolvării problemelor specifice aplicației într-un anumit ISPD (inclusiv software de securitate a informațiilor dezvoltat pentru un anumit ISPD).
Vulnerabilitatea software-ului de aplicație poate include:
funcții și proceduri care aparțin unor programe de aplicație diferite și sunt incompatibile între ele (nu funcționează în același mediu de operare) din cauza conflictelor legate de distribuția resurselor sistemului;
Funcții, proceduri, modificarea parametrilor cărora într-un anumit fel le permite să fie utilizate pentru a pătrunde în mediul de operare al ISPD și apelează funcții standard ale sistemului de operare, efectuând acces neautorizat fără detectarea unor astfel de modificări de către sistemul de operare;
fragmente de cod de program („găuri”, „capcane”) introduse de dezvoltator, permițându-vă să ocoliți procedurile de identificare, autentificare, verificare a integrității etc. prevăzute în sistemul de operare;
lipsa măsurilor de securitate necesare (autentificarea, verificarea integrității, verificarea formatelor mesajelor, blocarea funcțiilor modificate neautorizate etc.);
Erori în programe (în declararea variabilelor, funcțiilor și procedurilor, în codurile programelor), care în anumite condiții (de exemplu, la efectuarea tranzițiilor logice) duc la eșecuri, inclusiv defecțiuni în funcționarea instrumentelor și sistemelor de securitate a informațiilor, precum și posibilitatea de acces neautorizat la informații.
Datele privind vulnerabilitățile aplicațiilor software dezvoltate și distribuite pe bază comercială sunt colectate, compilate și analizate în baza de date CVE<*>.
<*>Realizat de compania străină CERT pe bază comercială.
5.3. Caracteristici generale ale amenințărilor de acces direct la mediul de operare al unui sistem de informații cu date personaleAmenințările de acces (pătrundere) în mediul de operare al computerului și accesul neautorizat la datele personale sunt asociate cu accesul la:
la informații și comenzi stocate în sistemul de bază de intrare/ieșire (BIOS) al ISPD, cu capacitatea de a intercepta controlul încărcării sistemului de operare și de a obține drepturi de utilizator de încredere;
în mediul de operare, adică în mediul de operare al sistemului de operare local al unui instrument tehnic separat ISPD cu capacitatea de a efectua acces neautorizat prin apelarea programelor standard ale sistemului de operare sau lansarea de programe special concepute care implementează astfel de acțiuni;
în mediul de operare al programelor de aplicație (de exemplu, spre sistem local managementul bazei de date);
direct la informațiile utilizatorului (fișiere, text, informații audio și grafice, câmpuri și înregistrări din bazele de date electronice) și se datorează posibilității încălcării confidențialității, integrității și disponibilității acestora.
Aceste amenințări pot fi realizate dacă se obține acces fizic la ISPD sau cel puțin la mijloacele de introducere a informațiilor în ISPD. Ele pot fi combinate în funcție de condițiile de implementare în trei grupuri.
Primul grup include amenințările care sunt implementate în timpul încărcării sistemului de operare. Aceste amenințări la securitatea informațiilor vizează interceptarea parolelor sau identificatorilor, modificarea software-ului sistem de bază intrare/ieșire (BIOS), interceptarea controlului de pornire cu modificarea informațiilor tehnologice necesare pentru a primi NSD-ul în mediul de operare ISPDn. Cel mai adesea, astfel de amenințări sunt implementate folosind medii înstrăinate.
Al doilea grup este format din amenințări care sunt implementate după încărcarea mediului de operare, indiferent de programul de aplicație lansat de utilizator. Aceste amenințări vizează, de obicei, accesul direct neautorizat la informații. La obținerea accesului la mediul de operare, intrusul poate folosi atât funcțiile standard ale sistemului de operare sau orice program de aplicație publică (de exemplu, un sistem de gestionare a bazelor de date), cât și programe special create pentru a efectua acces neautorizat, de exemplu:
programe pentru vizualizarea și modificarea registrului;
Programe pentru căutarea textelor în fișiere text folosind cuvinte cheie și copiere;
programe speciale pentru vizualizarea și copierea înregistrărilor în baze de date;
programe de vizualizare rapidă fisiere grafice, editarea sau copierea acestora;
programe pentru a sprijini capacitatea de reconfigurare a mediului software (setări ISPD în interesul infractorului), etc.
În cele din urmă, al treilea grup include amenințările, a căror implementare este determinată de care dintre programele de aplicație este lansată de utilizator, sau de faptul lansării oricăruia dintre programele aplicației. Cele mai multe dintre aceste amenințări sunt amenințări malware.
5.4. Caracteristici generale ale amenințărilor la adresa securității datelor cu caracter personal implementate folosind protocoale de internetworkingDacă un ISPD este implementat pe baza unui sistem informațional local sau distribuit, atunci amenințările la adresa securității informațiilor pot fi implementate în el prin utilizarea protocoalelor de interconectare. În acest caz, poate fi furnizată DNS către PD sau poate fi realizată amenințarea cu refuzul serviciului. Amenințările sunt deosebit de periculoase atunci când ISPD este distribuit Sistem informatic conectat la rețele publice și (sau) rețele internaționale de schimb de informații. Schema de clasificare a amenințărilor implementate în rețea este prezentată în Figura 5. Se bazează pe următoarele șapte criterii primare de clasificare.
1. Natura amenințării. Conform acestui criteriu, amenințările pot fi pasive sau active. O amenințare pasivă este o amenințare, a cărei implementare nu afectează direct funcționarea sistemului informațional, dar poate încălca regulile stabilite pentru restricționarea accesului la datele personale sau la resursele rețelei. Un exemplu de astfel de amenințări este amenințarea „Network Traffic Analysis”, care vizează ascultarea canalelor de comunicare și interceptarea informațiilor transmise.
O amenințare activă este o amenințare asociată cu un impact asupra resurselor PDIS, a cărei implementare are un impact direct asupra funcționării sistemului (modificări de configurare, întrerupere etc.) și cu o încălcare a regulilor stabilite pentru restricționarea accesului la PD sau resurse de rețea. Un exemplu de astfel de amenințări este o amenințare Denial of Service implementată ca o „furtună de solicitări TCP”.
2. Scopul implementării amenințării. Conform acestui criteriu, amenințările pot avea ca scop încălcarea confidențialității, integrității și disponibilității informațiilor (inclusiv perturbarea funcționalității ISPD sau a elementelor acestuia).
3. Condiție pentru începerea procesului de implementare a amenințării. Pe baza acestei caracteristici, se poate realiza o amenințare:
la cererea obiectului împotriva căruia se pune în aplicare ameninţarea. În acest caz, intrusul se așteaptă la transmiterea unei cereri de un anumit tip, care va fi condiția pentru inițierea accesului neautorizat;
Figura 5. Schema de clasificare a amenințărilor folosind protocoale de internetworking
La apariția unui eveniment așteptat la unitatea în legătură cu care amenințarea este implementată. În acest caz, infractorul monitorizează constant starea sistemului de operare ISPD și, dacă există anumit eveniment accesul neautorizat începe în acest sistem;
impact neconditionat. În acest caz, începutul accesului neautorizat este necondiționat în raport cu scopul accesului, adică amenințarea se realizează imediat și indiferent de starea sistemului.
4. Disponibilitatea feedback-ului din partea ISPD. Conform acestei caracteristici, procesul de implementare a unei amenințări poate fi cu sau fără feedback. Amenințarea, realizată în prezența feedback-ului din partea ISPD, se caracterizează prin faptul că infractorul trebuie să primească un răspuns la unele solicitări transmise ISPD. În consecință, există un feedback între contravenient și ISPD, care permite contravenientului să răspundă în mod adecvat la toate schimbările care apar în ISPD. Spre deosebire de amenințările implementate în prezența feedback-ului din partea ISPD, atunci când amenințările sunt implementate fără feedback, nu este nevoie să răspundem la orice modificări care apar în ISPD.
5. Locația infractorului în raport cu ISPD. În conformitate cu această caracteristică, amenințarea este implementată atât intrasegmentar, cât și intersegmentar. Un segment de rețea este o asociere fizică de gazde (hardware ISPD sau elemente de comunicare cu o adresă de rețea). De exemplu, un segment ISPD formează o colecție de gazde conectate la server folosind o schemă „autobuz comună”. În cazul în care există o amenințare intra-segment, intrusul are acces fizic la elementele hardware ale ISPD. Dacă există o amenințare inter-segment, atunci intrusul este situat în afara ISPD, implementând amenințarea din altă rețea sau dintr-un alt segment al ISPD.
6. Nivelul modelului de referință de interacțiune a sistemelor deschise<*>(ISO/OSI) pe care este implementată amenințarea. Conform acestei caracteristici, amenințarea poate fi implementată la niveluri fizice, de canal, de rețea, de transport, de sesiune, de prezentare și de aplicație ale modelului ISO/OSI.
<*> Organizatie internationala Office of Standardization (ISO) a adoptat standardul ISO 7498, care descrie interconectarea sistemelor deschise (OSI).
7. Raportul dintre numărul de contravenienți și elementele ISPD împotriva cărora se realizează amenințarea. Pe baza acestui criteriu, amenințarea poate fi clasificată ca o amenințare implementată de un contravenient împotriva unui mijloc tehnic al ISPD (o amenințare „unu-la-unu”), împotriva mai multor mijloace tehnice ale ISPD simultan (un „unu-la-unu”). multe”) sau de către mai mulți infractori de pe computere diferite împotriva unuia sau mai multor mijloace tehnice ale ISPD (amenințări distribuite sau combinate).
Luând în considerare clasificarea efectuată, putem identifica cele șapte amenințări cel mai frecvent implementate în prezent.
1. Analiza traficului în rețea (Figura 6).
Figura 6. Schema de implementare a amenințării „Analiza traficului în rețea”.
Această amenințare este implementată folosind un program special de analiză de pachete (sniffer), care interceptează toate pachetele transmise printr-un segment de rețea și identifică printre acestea pe cele care conțin un ID de utilizator și o parolă. În timpul implementării amenințării, intrusul studiază logica rețelei - adică se străduiește să obțină o corespondență unu-la-unu între evenimentele care au loc în sistem și comenzile trimise de gazde în momentul în care apar aceste evenimente. . În viitor, acest lucru permite unui atacator, pe baza setării comenzilor corespunzătoare, să obțină, de exemplu, drepturi privilegiate de a acționa în sistem sau de a-și extinde puterile în acesta, să intercepteze fluxul de date transmise schimbate între componentele unui sistem de operare în rețea. , pentru a extrage informații confidențiale sau de identificare (de exemplu, parole statice utilizatorilor pentru a accesa gazdele de la distanță prin protocoale FTP și TELNET, care nu asigură criptare), înlocuirea, modificarea acestora etc.
2. Scanare în rețea.
Esența procesului de implementare a amenințărilor este transmiterea cererilor către serviciile de rețea ale gazdelor ISDN și analizarea răspunsurilor de la acestea. Scopul este de a identifica protocoalele utilizate, porturile disponibile ale serviciilor de rețea, legile pentru formarea identificatorilor de conexiune, determinarea serviciilor de rețea active, selectarea identificatorilor de utilizator și a parolelor.
3. Amenințarea dezvăluirii parolei.
Scopul amenințării este de a obține date de acces neautorizat prin depășirea protecției prin parolă. Un atacator poate implementa o amenințare folosind o serie de metode, cum ar fi forța brută simplă, forța brută folosind dicționare speciale, instalarea de software rău intenționat pentru a intercepta parolele, falsificarea unui obiect de rețea de încredere (IP spoofing) și sniffing de pachete. Practic, pentru a implementa amenințarea, se folosesc programe speciale care încearcă să obțină acces la gazdă prin ghicirea secvențială a parolelor. Dacă are succes, atacatorul poate crea o „permisă” pentru accesul viitor, care va rămâne valabilă chiar dacă parola de acces este schimbată pe gazdă.
4. Înlocuirea unui obiect de rețea de încredere și transmiterea mesajelor prin canale de comunicație în numele acestuia cu atribuirea drepturilor sale de acces (Figura 7).
Figura 7. Schema de implementare a amenințării „Înlocuirea unui obiect de rețea de încredere”
Această amenințare este implementată eficient în sistemele care utilizează algoritmi slabi pentru identificarea și autentificarea gazdelor, utilizatorilor etc. Un obiect de încredere este un obiect de rețea (computer, firewall, router etc.) conectat legal la server.
Se pot distinge două tipuri de proces de implementare a acestei amenințări: cu și fără stabilirea unei conexiuni virtuale.
Procesul de implementare cu stabilirea unei conexiuni virtuale constă în atribuirea drepturilor unui subiect de încredere de interacțiune, ceea ce permite unui intrus să conducă o sesiune cu un obiect de rețea în numele unui subiect de încredere. Implementarea unei amenințări de acest tip necesită depășirea sistemului de identificare și autentificare a mesajelor (de exemplu, un atac asupra serviciului rsh al unei gazde UNIX).
Procesul de implementare a unei amenințări fără a stabili o conexiune virtuală poate avea loc în rețele care identifică mesajele transmise numai după adresa de rețea a expeditorului. Esența este transmiterea mesajelor de serviciu în numele dispozitivelor de control al rețelei (de exemplu, în numele routerelor) despre modificările datelor de adrese de rutare. Trebuie avut în vedere faptul că singurii identificatori ai abonaților și conexiunilor (prin TCP) sunt doi parametri de 32 de biți Initial Sequence Number - ISS (număr de secvență) și Acknowledgement Number - ACK (număr de confirmare). Prin urmare, pentru a genera un pachet TCP fals, atacatorul trebuie să cunoască identificatorii actuali pentru această conexiune - ISSa și ISSb, unde:
ISSa este o anumită valoare numerică care caracterizează număr de serie pachetul TCP fiind trimis, conexiunea TCP fiind stabilită, iniţiată de gazda A;
ISSb este o anumită valoare numerică care caracterizează numărul de secvență al pachetului TCP trimis, conexiunea TCP stabilită inițiată de gazda B.
Valoarea ACK (Numărul de confirmare a conexiunii TCP) este definită ca valoarea numărului primit de la ISS (Numărul de secvență) care răspunde plus unitatea ACKb = ISSa + 1.
Ca urmare a implementării amenințării, intrusul primește drepturile de acces stabilite de utilizatorul său pentru abonatul de încredere la instrumentul tehnic ISPD - ținta amenințărilor.
5. Impunerea unei rute de rețea false.
Această amenințare este realizată într-unul din două moduri: prin impunere intra-segment sau inter-segment. Posibilitatea de a impune o rută falsă se datorează deficiențelor inerente algoritmilor de rutare (în special, din cauza problemei identificării dispozitivelor de control al rețelei), în urma cărora puteți ajunge, de exemplu, la gazda sau rețeaua unui atacator, unde puteți intra în mediul de operare al unui dispozitiv tehnic ca parte a unui ISPD . Amenințarea se bazează pe utilizarea neautorizată a protocoalelor de rutare (RIP, OSPF, LSP) și a protocoalelor de gestionare a rețelei (ICMP, SNMP) pentru a face modificări în tabelele de adrese de rută. În acest caz, atacatorul trebuie să trimită un mesaj de control în numele dispozitivului de control al rețelei (de exemplu, un router) (Figurile 8 și 9).
Figura 8. Schema de implementare a atacului „impunere rută falsă” (intra-segment) folosind protocolul ICMP pentru a întrerupe comunicarea
Figura 9. Schema de implementare a amenințării „Impunerea unui traseu fals” (intersegment) în scopul interceptării traficului
6. Injectarea unui obiect de rețea fals.
Această amenințare se bazează pe exploatarea defectelor în algoritmii de căutare la distanță. Dacă obiectele de rețea nu au inițial informații despre adresă unul despre celălalt, se folosesc diverse protocoale de căutare la distanță (de exemplu, SAP în rețelele Novell NetWare; ARP, DNS, WINS în rețelele cu o stivă de protocoale TCP/IP), care constă în transmiterea specială. solicitări și primirea de răspunsuri la acestea cu informațiile solicitate. În acest caz, există posibilitatea de interceptare de către un intrus interogare de căutareși emiterea unui răspuns fals la acesta, a cărui utilizare va duce la modificarea necesară a datelor de rutare și adrese. În viitor, întregul flux de informații asociat obiectului victimă va trece prin obiectul de rețea fals (Figurile 10 - 13).
Figura 10. Schema de implementare a amenințării „False ARP server injection”.
Figura 11. Schema de implementare a amenințării „Injectarea unui server DNS fals” prin interceptarea unei cereri DNS
Figura 12. Schema de implementare a amenințării „injectarea unui server DNS fals” prin asaltarea răspunsurilor DNS la un computer din rețea
Figura 13. Schema de implementare a amenințării „Injectarea unui server DNS fals” prin asaltarea răspunsurilor DNS către serverul DNS
7. Refuzarea serviciului.
Aceste amenințări se bazează pe defecte ale software-ului de rețea, vulnerabilitățile sale care permit unui atacator să creeze condiții atunci când sistemul de operare nu poate procesa pachetele primite.
Se pot distinge mai multe tipuri de astfel de amenințări:
a) refuzarea ascunsă a serviciului cauzată de utilizarea unei părți a resurselor ISDN pentru procesarea pachetelor transmise de atacator, reducerea capacității canalelor de comunicație, a performanței dispozitivelor din rețea și încălcarea cerințelor privind timpul de procesare a cererilor. Exemple de implementare a amenințărilor de acest fel includ: o furtună direcționată de solicitări ecou prin protocolul ICMP (Ping flooding), o furtună de solicitări de stabilire a conexiunilor TCP (SYN-flooding), o furtună de solicitări către serverul FTP;
b) o refuzare evidentă a serviciului cauzată de epuizarea resurselor ISDN la procesarea pachetelor transmise de către un atacator (ocupând întreaga lățime de bandă a canalelor de comunicație, depășirea cozilor de solicitări de servicii), în care cererile legitime nu pot fi transmise prin rețea din cauza inaccesibilitatea mediului de transmisie sau sunt primite refuzul serviciului din cauza depășirii cozilor de solicitare, spațiu pe disc etc. Exemple de amenințări de acest tip includ o furtună de cereri de ecou ICMP difuzate (Smurf), o furtună direcționată (SYN-flooding), o furtună de mesaje către un server de e-mail (Spam);
c) o refuz evident de serviciu cauzată de o încălcare a conectivității logice între mijloacele tehnice ISDN atunci când infractorul transmite mesaje de control în numele dispozitivelor din rețea, ceea ce duce la modificări ale datelor de rutare și adrese (de exemplu, gazdă de redirecționare ICMP, inundare DNS) sau informații de identificare și autentificare;
D) o refuzare evidentă a serviciului cauzată de un atacator care transmite pachete cu atribute nestandard (amenințări precum „Land”, „TearDrop”, „Bonk”, „Nuke”, „UDP-bomb”) sau având o lungime care depășește limita maximă. dimensiune admisibilă (amenințare precum „Ping Death”), care poate duce la defecțiunea dispozitivelor de rețea implicate în procesarea cererilor, cu condiția să existe erori în programele care implementează protocoale de comunicare în rețea.
Rezultatul implementării acestei amenințări poate fi o întrerupere a funcționalității serviciului corespunzător de furnizare a accesului de la distanță la datele cu caracter personal din ISPD, transmiterea de la o adresă a unui astfel de număr de solicitări de conectare la o facilitate tehnică ca parte a ISPD pe care îl poate „acomoda” traficul maxim („furtună de solicitări” direcționată), care implică o depășire a cozii de solicitare și defectarea unuia dintre serviciile de rețea sau oprirea completă a computerului din cauza incapacității sistemului de a face orice altceva decât procesează cererile.
8. Lansarea aplicației de la distanță.
Amenințarea constă în dorința de a lansa pe gazda ISPD diverse programe dăunătoare pre-injectate: programe de marcare, viruși, „spioni de rețea”, al căror scop principal este de a încălca confidențialitatea, integritatea, disponibilitatea informațiilor și controlul complet asupra funcţionarea gazdei. În plus, lansarea neautorizată a programelor de aplicație utilizator este posibilă pentru a obține date neautorizate necesare intrusului, pentru a lansa procese controlate de programul de aplicație etc.
Există trei subclase ale acestor amenințări:
1) distribuirea fișierelor care conțin cod executabil neautorizat;
2) lansarea de la distanță a aplicației prin depășirea buffer-ului serverului de aplicații;
3) lansarea de la distanță a aplicației prin utilizarea capacităților de control de la distanță ale sistemului oferite de marcajele software și hardware ascunse sau instrumentele standard utilizate.
Amenințările tipice ale primei dintre aceste subclase se bazează pe activarea fișierelor distribuite atunci când acestea sunt accesate accidental. Exemple de astfel de fișiere includ: fișiere care conțin cod executabil sub formă de macrocomenzi (Microsoft Word, documente Excel etc.); documente html care conțin cod executabil sub formă de elemente ActiveX, applet-uri Java, scripturi interpretate (de exemplu, texte JavaScript); fișiere care conțin coduri de program executabile. Serviciile de e-mail, transfer de fișiere și sisteme de fișiere în rețea pot fi utilizate pentru a distribui fișiere.
Amenințările celei de-a doua subclase profită de deficiențele programelor care implementează servicii de rețea (în special, lipsa controlului depășirii tamponului). Prin ajustarea registrelor de sistem, este uneori posibilă comutarea procesorului după o întrerupere cauzată de o depășire a tamponului pentru a executa codul conținut în afara limitei tamponului. Un exemplu de implementare a unei astfel de amenințări este introducerea binecunoscutului „virus Morris”.
Cu amenințările din a treia subclasă, intrusul folosește capacitățile de control de la distanță ale sistemului oferite de componente ascunse (de exemplu, programe troiene precum Back Orifice, Net Bus) sau instrumente standard de gestionare și administrare a rețelei de computere (Landesk Management Suite, Managewise, Back). Orificiu etc.). Ca urmare a utilizării lor, este posibil să se realizeze controlul de la distanță asupra unei stații din rețea.
Schematic, principalele etape ale activității acestor programe sunt următoarele:
instalare în memorie;
așteptarea unei cereri de la o gazdă la distanță pe care rulează programul client și schimbul de mesaje de pregătire cu acesta;
Transferarea informațiilor interceptate către client sau acordarea acestuia de control asupra computerului atacat.
Consecințele posibile ale implementării amenințărilor de diferite clase sunt prezentate în Tabelul 3.
Tabelul 3
Consecințele posibile ale implementării amenințărilor de diferite clase
| N p/p | Tip de atac | Consecințele posibile | |
| 1 | Analiza traficului în rețea | Cercetarea caracteristicilor traficului de rețea, interceptarea datelor transmise, inclusiv ID-uri de utilizator și parole | |
| 2 | Scanare în rețea | Determinarea protocoalelor, porturile disponibile ale serviciilor de rețea, legi pentru formarea identificatorilor de conexiune, servicii de rețea active, ID-uri de utilizator și parole | |
| 3 | Atacul „parolă”. | Efectuarea oricărei acțiuni distructive legate de obținerea accesului neautorizat | |
| 4 | Înlocuirea unui obiect de rețea de încredere | Modificarea rutei mesajelor, modificarea neautorizată a datelor de rutare și adrese. Acces neautorizat la resursele rețelei, impunerea de informații false | |
| 5 | Impunerea unui traseu fals | Schimbarea neautorizată a datelor de rutare și adrese, analiza și modificarea datelor transmise, impunerea de mesaje false | |
| 6 | Injecție de obiecte de rețea false | Interceptarea și vizualizarea traficului. Acces neautorizat la resursele rețelei, impunerea de informații false | |
| 7 | Refuzarea serviciului | Epuizarea parțială a resurselor | Capacitate redusă a canalului de comunicație și performanță a dispozitivului de rețea. Scăderea performanței aplicațiilor server |
| Epuizarea totală a resurselor | Incapacitatea de a transmite mesaje din cauza lipsei de acces la mediul de transmisie, refuzul de a stabili o conexiune. Refuzul de a furniza serviciul (e-mail, dosar etc.) | ||
| Încălcarea conectivității logice între atribute, date, obiecte | Imposibilitatea transmiterii mesajelor din cauza lipsei datelor corecte de rutare și adrese. Imposibilitatea de a primi servicii din cauza modificării neautorizate a identificatorilor, parolelor etc. | ||
| Utilizarea erorilor în programe | Funcționare defectuoasă a dispozitivelor de rețea | ||
| 8 | Lansarea aplicației de la distanță | Prin trimiterea de fișiere care conțin cod executabil distructiv, infecție cu virus | Încălcarea confidențialității, integrității, disponibilității informațiilor |
| Prin depășirea buffer-ului aplicației server | |||
| Prin utilizarea capabilităților de control ale sistemului de la distanță oferite de marcajele software și hardware ascunse sau instrumentele standard utilizate | Control ascuns al sistemului | ||
Procesul de implementare a amenințărilor constă în general din patru etape:
colectarea de informații;
intruziuni (pătrundere în mediul de operare);
implementarea accesului neautorizat;
eliminarea urmelor de acces neautorizat.
În etapa de colectare a informațiilor, infractorul poate fi interesat de diverse informații despre ISPD, inclusiv:
a) despre topologia rețelei în care funcționează sistemul. În acest caz, zona din jurul rețelei poate fi examinată (de exemplu, atacatorul poate fi interesat de adresele gazdelor de încredere, dar mai puțin sigure). Pentru a determina disponibilitatea unei gazde, pot fi folosite comenzi simple (de exemplu, comanda ping pentru a trimite cereri ICMP ECHO_REQUEST și pentru a aștepta răspunsuri ICMP ECHO_REPLY la acestea). Există utilitare care efectuează determinarea paralelă a disponibilității gazdei (cum ar fi fping) care pot scana suprafata mare spațiu de adrese pentru disponibilitatea gazdei într-o perioadă scurtă de timp. Topologia rețelei este adesea determinată pe baza „numărului de noduri” (distanța dintre gazde). Pot fi utilizate tehnici precum „modulațiile ttL” și înregistrările rutelor.
Metoda „modulării ttL” este implementată de programul traceroute (pentru Windows NT - tracert.exe) și constă în modularea câmpului ttL al pachetelor IP. Pachetele ICMP generate de comanda ping pot fi folosite pentru a înregistra o rută.
Colectarea informațiilor se poate baza și pe solicitări:
către serverul DNS despre lista gazdelor înregistrate (și probabil active);
către router pe baza protocolului RIP despre rutele cunoscute (informații despre topologia rețelei);
Pentru dispozitivele configurate incorect care acceptă protocolul SNMP (informații despre topologia rețelei).
Dacă ISPD este situat în spatele unui firewall (FW), este posibil să colectați informații despre configurația firewall-ului și topologia ISPD din spatele firewall-ului, inclusiv prin trimiterea de pachete către toate porturile tuturor presupuselor gazde ale sistemului intern (protejat). ) rețea;
b) despre tipul de sistem de operare (OS) din ISPD. Cel mai cunoscut mod de a determina tipul de sistem de operare gazdă se bazează pe faptul că diferite tipuri de sisteme de operare implementează în mod diferit cerințele standardelor RFC pentru stiva TCP/IP. Acest lucru permite unui atacator să identifice de la distanță tipul de sistem de operare instalat pe gazda ISPD, trimițând cereri special concepute și analizând răspunsurile primite.
Există instrumente speciale care implementează aceste metode, în special, Nmap și QueSO. De asemenea, puteți observa o astfel de metodă pentru determinarea tipului de sistem de operare ca fiind cea mai simplă solicitare de a stabili o conexiune folosind protocolul de acces la distanță telnet (conexiuni telnet), drept urmare " aspect" răspuns, puteți determina tipul de sistem de operare gazdă. Prezența anumitor servicii poate servi și ca un semn suplimentar pentru a determina tipul de sistem de operare gazdă;
C) despre serviciile care rulează pe gazde. Determinarea ce servicii rulează pe o gazdă se bazează pe o tehnică de „port deschis” care colectează informații despre disponibilitatea gazdei. De exemplu, pentru a determina disponibilitatea unui port UDP, este necesar să primiți un răspuns ca răspuns la trimiterea unui pachet UDP către portul corespunzător:
dacă răspunsul este un mesaj ICMP PORT UNREACHEBLE, atunci serviciul corespunzător este indisponibil;
dacă acest mesaj nu este primit, atunci portul este „deschis”.
Există variații foarte diferite în utilizarea acestei metode, în funcție de protocolul utilizat în stiva de protocoale TCP/IP.
Pentru a automatiza colectarea de informații despre ISPD, au fost dezvoltate multe instrumente software. Ca exemplu, pot fi remarcate următoarele:
1) Strobe, Portscanner - instrumente optimizate pentru determinarea serviciilor disponibile pe baza sondajului de porturi TCP;
2) Nmap - un instrument de scanare a serviciilor disponibile, conceput pentru Linux, FreeBSD, Open BSD, Solaris, Windows NT. În prezent, este cel mai popular instrument pentru scanarea serviciilor de rețea;
3) Queso este un instrument extrem de precis pentru a determina sistemul de operare al unei gazde de rețea pe baza trimiterii unui lanț de pachete TCP corecte și incorecte, analizând răspunsul și comparându-l cu multe răspunsuri cunoscute ale diferitelor sisteme de operare. Acest instrument este, de asemenea, un instrument de scanare popular astăzi;
4) Cheops - scanerul de topologie de rețea vă permite să obțineți topologia rețelei, inclusiv o imagine a domeniului, zonele de adrese IP etc. Aceasta determină sistemul de operare gazdă, precum și posibilele dispozitive de rețea (imprimante, routere etc.);
5) Firewalk - un scanner care utilizează metode de program traceroute pentru a analiza răspunsul la pachetele IP pentru a determina configurația firewall-ului și a construi topologia rețelei.
În faza de invazie, este investigată prezența vulnerabilităților tipice în serviciile de sistem sau a erorilor în administrarea sistemului. Exploatarea cu succes a vulnerabilităților are ca rezultat, de obicei, ca procesul atacatorului să obțină un mod de execuție privilegiat (acces la modul de execuție privilegiat al procesorului de comenzi), introducerea unui cont de utilizator ilegal în sistem, obținerea unui fișier cu parolă sau perturbarea funcționalității gazdei atacate.
Această etapă de dezvoltare a amenințărilor este de obicei în mai multe faze. Fazele procesului de realizare a amenințării pot include, de exemplu:
stabilirea unei conexiuni cu gazda împotriva căreia este implementată amenințarea;
Identificarea vulnerabilităților;
introducerea unui program rău intenționat în interesul extinderii drepturilor etc.
Amenințările implementate în etapa de intruziune sunt împărțite în niveluri ale stivei de protocoale TCP/IP, deoarece se formează la nivel de rețea, transport sau aplicație, în funcție de mecanismul de intruziune utilizat.
Amenințările tipice implementate la nivel de rețea și transport includ următoarele:
a) o amenințare care vizează înlocuirea unui obiect de încredere;
b) o amenințare care vizează crearea unei rute false în rețea;
C) amenințări care vizează crearea unui obiect fals folosind deficiențele algoritmilor de căutare la distanță;
D) amenințări de refuzare a serviciului bazate pe defragmentarea IP, pe formarea de solicitări ICMP incorecte (de exemplu, atacurile „Ping of Death” și „Smurf”), pe formarea de solicitări TCP incorecte (atacul „Land”); la crearea unei „furtuni” de pachete cu cereri de conectare (atacuri „SYN Flood”) etc.
Amenințările tipice implementate la nivel de aplicație includ amenințările care vizează lansarea neautorizată a aplicațiilor, amenințările a căror implementare este asociată cu introducerea de marcaje software (cum ar fi un cal troian), cu identificarea parolelor de acces la o rețea sau o anumită gazdă etc. .
Dacă implementarea unei amenințări nu oferă intrusului cele mai înalte drepturi de acces în sistem, se pot încerca să extindă aceste drepturi la cel mai înalt nivel posibil. În acest scop, pot fi utilizate vulnerabilități nu numai ale serviciilor de rețea, ci și vulnerabilități ale software-ului de sistem al gazdelor ISDN.
În etapa de implementare a accesului neautorizat, obiectivul real de implementare a amenințării este atins:
încălcarea confidențialității (copiere, distribuire neautorizată);
Încălcarea integrității (distrugere, schimbare);
încălcarea accesibilității (blocarea).
În aceeași etapă, după aceste acțiuni, de regulă, se formează așa-numita „ușă din spate” sub forma unuia dintre servicii (daemoni) care servește un anumit port și execută comenzile intrusului. „Ușa din spate” este lăsată în sistem pentru a asigura:
capacitatea de a obține acces la gazdă, chiar dacă administratorul elimină vulnerabilitatea folosită pentru a implementa cu succes amenințarea;
capacitatea de a obține acces la gazdă cât mai secret posibil;
Abilitatea de a obține acces rapid la gazdă (fără a repeta procesul de implementare a amenințării din nou).
O „ușă din spate” permite unui atacator să introducă un program rău intenționat într-o rețea sau pe o anumită gazdă, de exemplu, un „sniffer de parole” - un program care extrage ID-urile utilizatorului și parolele din traficul de rețea atunci când protocoalele rulează nivel inalt(ftp, telnet, rlogin etc.). Obiectele injectării de malware pot fi programe de autentificare și identificare, servicii de rețea, nucleu de sistem de operare, sistem de fișiere, biblioteci etc.
În cele din urmă, în etapa eliminării urmelor amenințării, se încearcă distrugerea urmelor acțiunilor intrusului. În acest caz, intrările corespunzătoare sunt șterse din toate jurnalele de audit posibile, inclusiv intrările despre faptul de a colecta informații.
5.5. Caracteristici generale ale amenințărilor din software și influențe matematiceInfluența software-matematică este influența folosind programe rău intenționate. Un program cu consecințe potențial periculoase sau un program rău intenționat este un program independent (set de instrucțiuni) care este capabil să execute orice subset nevid al următoarelor funcții:
Ascundeți semnele prezenței dumneavoastră în mediul software al computerului;
Au capacitatea de a se autoduplica, de a se asocia cu alte programe și (sau) de a-și transfera fragmentele în alte zone ale RAM sau memorie externă;
distrugeți (distorsionați în orice fel) codul programelor din RAM;
efectuează funcții distructive (copiere, distrugere, blocare etc.) fără inițiere din partea utilizatorului (programul utilizatorului în modul său normal de execuție);
Stocați informații din RAM în unele zone ale memoriei externe cu acces direct (local sau la distanță);
Distorsionați în mod arbitrar, blocați și (sau) înlocuiți o serie de informații de ieșire către memoria externă sau un canal de comunicație, format ca urmare a funcționării programelor de aplicație, sau matrice de date aflate deja în memoria externă.
Programele rău intenționate pot fi introduse (introduse) atât intenționat, cât și accidental în software-ul utilizat în ISPD în timpul dezvoltării, întreținerii, modificării și configurării acestuia. În plus, programele rău intenționate pot fi introduse în timpul funcționării ISPD de pe medii de stocare externe sau prin interacțiunea rețelei, fie ca urmare a accesului neautorizat, fie accidental de către utilizatorii ISPD.
Malware modern se bazează pe utilizarea vulnerabilităților în diverse tipuri de software (sistem, general, aplicație) și diverse tehnologii de rețea, are o gamă largă de capabilități distructive (de la examinarea neautorizată a parametrilor ISPD fără a interfera cu funcționarea ISPD, până la distrugere). de software PD și ISPD) și poate acționa în toate tipurile de software (sistem, aplicație, drivere hardware etc.).
Prezența programelor rău intenționate în ISPD poate contribui la apariția unor canale ascunse, inclusiv netradiționale, de acces la informații, care să permită deschiderea, ocolirea sau blocarea mecanismelor de securitate prevăzute în sistem, inclusiv protecția prin parolă și criptografică.
Principalele tipuri de malware sunt:
marcaje software;
viruși software clasici (de calculator);
programe rău intenționate care se răspândesc în rețea (viermi de rețea);
Alte programe rău intenționate concepute pentru a desfășura activități ilegale.
Marcajele software includ programe, fragmente de cod și instrucțiuni care formează capabilități software nedeclarate. Programele rău intenționate se pot schimba de la un tip la altul, de exemplu, un marcaj de software poate genera un virus software, care, la rândul său, atunci când este expus la condițiile rețelei, poate forma un vierme de rețea sau alt program rău intenționat conceput pentru a efectua acces neautorizat.
Clasificarea virușilor software și a viermilor de rețea este prezentată în Figura 14. O scurtă descriere a principalelor programe rău intenționate este următoarea. Virușii de pornire se scriu fie în sectorul de pornire al discului (sectorul de pornire), fie în sectorul care conține încărcătorul de pornire de sistem al hard diskului (Master Boot Record) sau schimbă indicatorul către sectorul de pornire activ. Acestea sunt încorporate în memoria computerului atunci când sunt pornite de pe un disc infectat. În acest caz, încărcătorul de pornire a sistemului citește conținutul primului sector al discului de pe care este făcută boot-ul, plasează informațiile citite în memorie și îi transferă controlul (adică virusului). După aceasta, încep să fie executate instrucțiunile virusului, care, de regulă, reduce cantitatea de memorie liberă, își copiază codul în spațiul liber și citește continuarea acestuia de pe disc (dacă există), interceptează vectorii de întrerupere necesari. (de obicei INT 13H), citește sectorul de boot original și îi transferă controlul.
Ulterior, un virus de boot se comportă la fel ca un virus de fișier: interceptează apelurile de la sistemul de operare către discuri și le infectează, în funcție de anumite condiții, efectuează acțiuni distructive, provoacă efecte sonore sau efecte video.
Principalele acțiuni distructive efectuate de acești viruși sunt:
distrugerea informațiilor în sectoare ale dischetelor și hard disk-urilor;
Eliminarea posibilității de încărcare a sistemului de operare (calculatorul se blochează);
coruperea codului bootloader-ului;
formatarea dischetelor sau unităților logice ale unui hard disk;
blocarea accesului la porturile COM și LPT;
înlocuirea caracterelor la tipărirea textelor;
zvâcnirea ecranului;
schimbarea etichetei unui disc sau dischetă;
crearea de clustere de pseudo-eșecuri;
crearea de efecte sonore și/sau vizuale (de exemplu, litere care cad pe ecran);
coruperea fișierelor de date;
afișarea diferitelor mesaje pe ecran;
Dezactivarea dispozitivelor periferice (de exemplu, tastatura);
schimbarea paletei ecranului;
Umplerea ecranului cu personaje sau imagini străine;
oprirea ecranului și trecerea în modul standby pentru introducerea tastaturii;
criptarea sectoarelor de hard disk;
distrugerea selectivă a caracterelor afișate pe ecran la tastarea de la tastatură;
reducerea cantității de memorie RAM;
apel pentru a imprima conținutul ecranului;
blocarea scrierilor pe disc;
distrugerea tabelului de partiții (Disk Partition Table), după care computerul poate fi pornit doar de pe o dischetă;
blocarea lansării fișierelor executabile;
Blocarea accesului la hard disk.
Figura 14. Clasificarea virușilor software și a viermilor de rețea
Majoritatea virușilor de boot se scriu singuri pe dischete.
Metoda de infectare „suprascrierea” este cea mai simplă: virusul își scrie propriul cod în loc de codul fișierului infectat, distrugându-i conținutul. Desigur, în acest caz fișierul nu mai funcționează și nu este restaurat. Astfel de viruși se dezvăluie foarte repede, deoarece sistemul de operare și aplicațiile încetează să funcționeze destul de repede.
Categoria „însoțitor” include viruși care nu modifică fișierele infectate. Algoritmul de operare al acestor viruși este că se creează un fișier duplicat pentru fișierul infectat, iar atunci când fișierul infectat este lansat, acest duplicat, adică virusul, primește controlul. Cei mai obișnuiți viruși însoțitori sunt cei care folosesc caracteristica DOS pentru a executa mai întâi fișiere cu extensia .COM dacă există două fișiere în același director cu același nume, dar cu extensii de nume diferite - .COM și .EXE. Astfel de viruși creează fișiere satelit pentru fișierele EXE care au același nume, dar cu extensia .COM, de exemplu, pentru fișierul XCOPY.EXE este creat un fișier XCOPY.COM. Virusul se scrie într-un fișier COM și nu modifică fișierul EXE în niciun fel. Când rulează un astfel de fișier, DOS va detecta și executa mai întâi fișierul COM, adică virusul, care va lansa apoi fișierul EXE. Al doilea grup este format din viruși care, atunci când sunt infectați, redenumesc un fișier cu alt nume, îl amintesc (pentru lansarea ulterioară a fișierului gazdă) și își scriu codul pe disc sub numele fișierului infectat. De exemplu, fișierul XCOPY.EXE este redenumit în XCOPY.EXD, iar virusul este înregistrat sub numele XCOPY.EXE. Când este lansat, controlul primește codul virusului, care rulează apoi XCOPY original, stocat sub numele XCOPY.EXD. Un fapt interesant este că această metodă pare să funcționeze pe toate sistemele de operare. Al treilea grup include așa-numiții viruși „Companion Path”. Ei fie își scriu codul sub numele fișierului infectat, dar „mai înalt” cu un nivel în căile prescrise (DOS va fi astfel primul care detectează și lansează fișierul virus), fie mută fișierul victimă cu un subdirector mai sus etc. .
Pot exista și alte tipuri de viruși însoțitori care folosesc alte idei sau caracteristici originale ale altor sisteme de operare.
Viermii de fișiere sunt, într-un fel, un tip de virus însoțitor, dar în niciun fel nu asociază prezența lor cu niciun fișier executabil. Când se reproduc, pur și simplu își copiază codul în niște directoare de disc în speranța că aceste noi copii vor fi într-o zi lansate de utilizator. Uneori, acești viruși dau copiilor lor nume „speciale” pentru a încuraja utilizatorul să ruleze copia lor - de exemplu, INSTALL.EXE sau WINSTART.BAT. Există viruși de viermi care folosesc tehnici destul de neobișnuite, de exemplu, scrierea unor copii ale lor în arhive (ARJ, ZIP și altele). Unii viruși scriu comanda pentru a rula fișierul infectat în fișiere BAT. Viermii de fișiere nu trebuie confundați cu viermii de rețea. Primii folosesc doar funcțiile de fișiere ale oricărui sistem de operare, în timp ce cei din urmă folosesc protocoale de rețea pentru reproducerea lor.
Virușii de legătură, precum virușii însoțitori, nu modifică conținutul fizic al fișierelor, dar atunci când un fișier infectat este lansat, ei „forțează” sistemul de operare să-și execute codul. Ei ating acest scop prin modificarea câmpurilor necesare ale sistemului de fișiere.
Virușii care infectează bibliotecile compilatorului, modulele obiect și codurile sursă ale programelor sunt destul de exotice și practic neobișnuite. Virușii care infectează fișierele OBJ și LIB își scriu codul în ele în formatul unui modul obiect sau bibliotecă. Prin urmare, fișierul infectat nu este executabil și nu este capabil să răspândească în continuare virusul în starea sa actuală. Purtătorul virusului „în direct” devine un fișier COM sau EXE.
După ce a câștigat controlul, virusul fișierului efectuează următoarele acțiuni generale:
Verifică memoria RAM pentru prezența copiei sale și infectează memoria computerului dacă o copie a virusului nu este găsită (dacă virusul este rezident), caută fișiere neinfectate în directorul curent și (sau) rădăcină prin scanarea arborelui de directoare al logicii. unități și apoi infectează fișierele detectate;
îndeplinește funcții suplimentare (dacă există): acțiuni distructive, efecte grafice sau sonore etc. (funcțiile suplimentare ale virusului rezident pot fi apelate la ceva timp după activare, în funcție de ora curentă, configurația sistemului, contoarele interne de viruși sau alte condiții; în acest caz, atunci când este activat, virusul procesează starea ceasului sistemului, își setează contoare etc.);
Trebuie remarcat faptul că, cu cât un virus se răspândește mai repede, cu atât este mai probabil să apară o epidemie a acestui virus; cu cât virusul se răspândește mai lent, cu atât este mai dificil de detectat (cu excepția cazului în care, desigur, acest virus este necunoscut). Virușii nerezidenți sunt adesea „lenti” - majoritatea infectează unul sau două sau trei fișiere atunci când sunt lansate și nu au timp să infesteze computerul înainte de lansarea programului antivirus (sau să apară o nouă versiune a antivirusului configurat pentru acest virus). ). Există, desigur, viruși „rapidi” nerezidenți care, atunci când sunt lansati, caută și infectează toate fișierele executabile, dar astfel de viruși sunt foarte vizibili: atunci când fiecare fișier infectat este lansat, computerul lucrează activ cu hard disk-ul pentru unii. (uneori destul de lung), care demascează virusul. Rata de răspândire (infecție) a virușilor rezidenți este de obicei mai mare decât a virușilor nerezidenți - aceștia infectează fișierele atunci când se face orice acces la ele. Ca urmare, toate sau aproape toate fișierele de pe disc care sunt utilizate în mod constant în muncă devin infectate. Rata de răspândire (infecție) a virușilor rezidenți de fișiere care infectează fișierele doar atunci când sunt lansate pentru execuție va fi mai mică decât cea a virușilor care infectează fișierele și atunci când sunt deschise, redenumite, modificate atributele fișierului etc.
Astfel, principalele acțiuni distructive efectuate de virușii de fișiere sunt asociate cu deteriorarea fișierelor (de obicei fișiere executabile sau de date), lansarea neautorizată a diferitelor comenzi (inclusiv formatare, distrugere, copiere comenzi etc.), modificarea tabelului vector de întreruperi etc. În același timp, pot fi efectuate și multe acțiuni distructive similare cu cele indicate pentru virușii de boot.
Virușii macro sunt programe în limbi (macrolimbi) încorporate în unele sisteme de prelucrare a datelor (editore de text, foi de calcul etc.). Pentru a se reproduce, astfel de viruși folosesc capabilitățile limbilor macro și, cu ajutorul lor, se transferă dintr-un fișier infectat (document sau tabel) la alții. Cei mai răspândiți viruși macro sunt cei pentru pachetul de aplicații Microsoft Office.
Pentru ca virușii să existe într-un anumit sistem (editor), este necesar să existe un limbaj macro încorporat în sistem cu următoarele capacități:
1) conectarea unui program într-un limbaj macro la un anumit fișier;
2) copierea programelor macro dintr-un fișier în altul;
3) obținerea controlului unui program macro fără intervenția utilizatorului (macro-uri automate sau standard).
Aceste condiții sunt îndeplinite de programele de aplicație Microsoft Word, Excel și Microsoft Access. Acestea conțin limbaje macro: Word Basic, Visual Basic pentru aplicații. în care:
1) programele macro sunt legate de un anumit fișier sau sunt localizate în interiorul unui fișier;
2) limbajul macro vă permite să copiați fișiere sau să mutați programe macro în fișiere de serviciu de sistem și fișiere editabile;
3) când se lucrează cu un fișier în anumite condiții (deschidere, închidere etc.), sunt apelate programe macro (dacă există), care sunt definite într-un mod special sau au nume standard.
Această caracteristică a macrolimbilor este destinată procesării automate a datelor în organizații mari sau în rețele globale și vă permite să organizați așa-numitul „flux automat de documente”. Pe de altă parte, capacitățile de limbaj macro ale unor astfel de sisteme permit virusului să-și transfere codul în alte fișiere și astfel să le infecteze.
Majoritatea virușilor macro sunt activi nu numai în momentul în care fișierul este deschis (închis), ci atât timp cât editorul în sine este activ. Acestea conțin toate funcțiile lor ca macrocomenzi standard Word/Excel/Office. Există, totuși, viruși care folosesc tehnici pentru a-și ascunde codul și pentru a-și stoca codul sub formă de non-macro-uri. Există trei tehnici cunoscute, toate care folosesc capacitatea macrocomenzilor de a crea, edita și executa alte macrocomenzi. De regulă, astfel de viruși au un mic (uneori polimorf) încărcător de macro-virusuri, care apelează editorul de macro-uri încorporat, creează o nouă macrocomandă, o completează cu codul principal al virusului, îl execută și apoi, de regulă, îl distruge. (pentru a ascunde urmele virusului). Codul principal al unor astfel de viruși este prezent fie în macro-ul virusului, sub formă de șiruri de text (uneori criptat), fie este stocat în zona variabilă a documentului.
Virușii de rețea includ viruși care utilizează în mod activ protocoalele și capabilitățile rețelelor locale și globale pentru a se răspândi. Principiul principal de funcționare al unui virus de rețea este capacitatea de a-și transfera în mod independent codul pe un server sau o stație de lucru la distanță. Virușii de rețea „cu drepturi depline” au și capacitatea de a-și rula codul pe un computer la distanță sau, cel puțin, de a „împinge” utilizatorul să ruleze un fișier infectat.
Programele rău intenționate care permit accesul neautorizat pot fi:
programe pentru selectarea și deschiderea parolelor;
programe care implementează amenințări;
Programe care demonstrează utilizarea capabilităților nedeclarate ale software-ului și hardware-ului ISPD;
programe generatoare de viruși de calculator;
programe care demonstrează vulnerabilități ale instrumentelor de securitate a informațiilor etc.
Pe măsură ce software-ul devine mai complex și mai variat, numărul de programe malware crește rapid. Astăzi, sunt cunoscute peste 120 de mii de semnături de viruși informatici. Cu toate acestea, nu toate reprezintă o amenințare reală. În multe cazuri, eliminarea vulnerabilităților din software-ul de sistem sau aplicație a dus la faptul că o serie de programe rău intenționate nu mai sunt capabile să le pătrundă. Noile programe malware reprezintă adesea principala amenințare.
5.6. Caracteristici generale ale canalelor de informare netradiționaleUn canal de informare netradițional este un canal de transmitere secretă a informațiilor folosind canale tradiționale de comunicare și transformări speciale ale informațiilor transmise, care nu au legătură cu cele criptografice.
Metodele care pot fi folosite pentru a forma canale netradiționale sunt:
steganografie computerizată;
Bazat pe manipulare diverse caracteristici ISPD care poate fi obținut în mod autorizat (de exemplu, timpul de procesare a diferitelor solicitări, cantitatea de memorie disponibilă sau identificatorii fișierelor sau proceselor disponibile pentru citire etc.).
Metodele de steganografie computerizată sunt concepute pentru a ascunde faptul transmiterii mesajelor prin încorporarea informațiilor ascunse în date aparent inofensive (fișiere text, grafice, audio sau video) și includ două grupuri de metode bazate pe:
Cu privire la utilizarea proprietăților speciale ale formatelor de computer pentru stocarea și transmiterea datelor;
Despre redundanța informațiilor audio, vizuale sau text din perspectiva caracteristicilor psihofiziologice ale percepției umane.
Clasificarea metodelor de steganografie computerizată este prezentată în Figura 15. Caracteristicile comparative ale acestora sunt prezentate în Tabelul 4.
Metodele pentru ascunderea informațiilor în stegocontainere grafice sunt în prezent cele mai dezvoltate și utilizate. Acest lucru se datorează cantității relativ mari de informații care pot fi plasate în astfel de containere fără o distorsiune vizibilă a imaginii, prezenței informațiilor a priori despre dimensiunea containerului, existenței în majoritatea imaginilor reale a zonelor de textură care au zgomot. structura și sunt potrivite pentru încorporarea informațiilor, sofisticarea procesării imaginilor digitale și formatelor de prezentare a imaginilor digitale. În prezent, există o serie de produse software atât comerciale, cât și gratuite, disponibile pentru utilizatorul obișnuit, care implementează metode steganografice binecunoscute de ascundere a informațiilor. În acest caz, se folosesc în principal containerele grafice și audio.
Figura 15. Clasificarea metodelor de transformare a informațiilor steganografice (STI)
Tabelul 4
Caracteristici comparative ale metodelor steganografice de conversie a informațiilor
| Metoda steganografică | Scurtă descriere a metodei | Defecte | Avantaje |
| Metode pentru ascunderea informațiilor în containere audio | |||
| Bazat pe scrierea unui mesaj la cei mai puțin semnificativi biți ai semnalului original. De regulă, un semnal audio necomprimat este folosit ca container. | Secret redus al transmiterii mesajelor. Rezistență scăzută la distorsiuni. Folosit numai pentru anumite formate de fișiere audio | ||
| Metoda de ascundere bazată pe distribuția spectrului | Se bazează pe generarea de zgomot pseudo-aleatoriu, care este o funcție a mesajului încorporat, și pe amestecarea zgomotului rezultat în semnalul principal al containerului ca componentă aditivă. Codificarea fluxurilor de informații prin împrăștierea datelor codificate pe un spectru de frecvență | ||
| Metoda de ascundere bazată pe semnalul ecou | Bazat pe utilizarea semnalului audio în sine ca semnal asemănător zgomotului, întârziat pentru diferite perioade de timp, în funcție de mesajul încorporat („ecou dial-up”) | Rată scăzută de utilizare a containerului. Costuri de calcul semnificative | Secretul relativ ridicat al mesajelor |
| Metoda de ascundere în faza de semnal | Pe baza faptului că urechea umană este insensibilă la valoarea absolută a fazei armonice. Semnalul audio este împărțit într-o secvență de segmente, mesajul este încorporat prin modificarea fazei primului segment | Rată scăzută de utilizare a containerului | Are un secret semnificativ mai mare decât metodele de ascundere NZB |
| Metode pentru ascunderea informațiilor în containere de text | |||
| Metoda de ascundere bazată pe spațiu | Bazat pe inserarea de spații la sfârșitul rândurilor, după semnele de punctuație, între cuvinte la alinierea lungimii liniilor | Metodele sunt sensibile la transferul de text dintr-un format în altul. Mesajul poate fi pierdut. Stealth scăzut | Debit suficient de mare |
| Bazat pe metoda de ascundere caracteristici sintactice text | Pe baza faptului că regulile de punctuație permit ambiguitatea în plasarea semnelor de punctuație | Debit foarte scăzut. Dificultatea de a detecta un mesaj | Există potențialul de a selecta o metodă care ar necesita proceduri foarte complexe pentru a rezolva mesajul. |
| Metoda de ascundere bazată pe sinonime | Pe baza inserării de informații în text prin alternarea cuvintelor din orice grup de sinonime | Complex în raport cu limba rusă datorită varietății mari de nuanțe în diferite sinonime | Una dintre cele mai promițătoare metode. Are un secret relativ ridicat al mesajelor |
| Metoda de ascundere bazată pe erori | Se bazează pe deghizarea biților de informații ca erori naturale, greșeli de scriere, încălcarea regulilor de scriere a combinațiilor de vocale și consoane, înlocuirea alfabetului chirilic cu litere latine similare ca aspect etc. | Debit scăzut. Dezvăluit rapid de analiza statistică | Foarte usor de folosit. Secret mare atunci când este analizat de oameni |
| Metoda de ascundere bazată pe generarea cvasi-text | Bazat pe generarea unui container de text folosind un set de reguli pentru construirea propozițiilor. Utilizează criptografia simetrică | Debit scăzut. Lipsa de sens a textului creat | Secretul este determinat de metodele de criptare și, de regulă, este foarte ridicat |
| Metoda de ascundere bazată pe caracteristicile fontului | Pe baza inserării de informații prin modificarea tipului de font și a mărimii literelor, precum și a capacității de a încorpora informații în blocuri cu identificatori necunoscuti browserului | Usor de identificat la transformarea scarii documentului, in timpul steganalizei statistice | Rată ridicată de utilizare a containerului |
| Metoda de ascundere bazată pe document și codul fișierului | Bazat pe plasarea informațiilor în câmpuri cu lungime variabilă rezervate și neutilizate | Secret redus cu format de fișier cunoscut | Ușor de folosit |
| Metoda de ascundere bazată pe utilizarea jargonului | Bazat pe schimbarea sensului cuvintelor | Lățime de bandă redusă. Îngust specializat. Stealth scăzut | Ușor de folosit |
| Metoda de ascundere bazată pe alternarea lungimii cuvintelor | Bazat pe generarea unui container de text cu formarea de cuvinte de o anumită lungime conform unei reguli de codificare cunoscute | Complexitatea formării unui container și mesaj | Secret suficient de ridicat atunci când este analizat de oameni |
| Metoda de ascundere bazată pe utilizarea primelor litere | Bazat pe introducerea unui mesaj în primele litere ale cuvintelor textului cu o selecție de cuvinte | Dificultate în compunerea unui mesaj. Confidențialitate scăzută a mesajelor | Oferă o mai mare libertate de alegere operatorului care vine cu mesajul |
| Metode pentru ascunderea informațiilor în containere grafice | |||
| Metoda de ascundere a biților mai puțin semnificativi | Bazat pe scrierea unui mesaj la cele mai puțin semnificative biți din imaginea originală | Secret redus al transmiterii mesajelor. Rezistență scăzută la distorsiuni | Capacitatea containerului suficient de mare (până la 25%) |
| Metoda de ascundere bazată pe modificarea formatului de reprezentare a indexului | Bazat pe reducerea (înlocuirea) paletei de culori și ordonarea culorilor în pixeli cu numere adiacente | Se aplică în principal imaginilor comprimate. Secret redus al transmiterii mesajelor | Capacitate relativ mare a containerului |
| Metoda de ascundere bazată pe utilizarea funcției de autocorelare | Pe baza unei căutări folosind o funcție de autocorelare pentru zone care conțin date similare | Complexitatea calculelor | Rezistent la majoritatea transformărilor neliniare ale containerelor |
| Metoda de ascundere bazată pe utilizarea modulării neliniare a mesajului încorporat | Bazat pe modularea unui semnal pseudo-aleatoriu de către un semnal care conține informații ascunse | ||
| Metoda de ascundere bazată pe utilizarea modulării semnului mesajului încorporat | Bazat pe modularea unui semnal pseudo-aleatoriu de către un semnal bipolar care conține informații ascunse | Precizie scăzută de detectare. Distorsiuni | Secretul mesajelor destul de ridicat |
| Metoda de ascundere bazată pe transformarea wavelet | Bazat pe caracteristicile transformărilor wavelet | Complexitatea calculelor | Înalt stealth |
| Metoda de ascundere bazată pe transformarea cosinus discretă | Pe baza caracteristicilor transformării cosinus discrete | Calculul dificultatii | Înalt stealth |
În canalele de informare netradiționale, pe baza manipulării diferitelor caracteristici ale resurselor ISDN, unele resurse partajate sunt folosite pentru transmiterea datelor. În același timp, în canalele care utilizează caracteristici de temporizare, modularea se realizează pe baza timpului de ocupat al resursei partajate (de exemplu, prin modularea timpului de ocupat al procesorului, aplicațiile pot face schimb de date).
În canalele de memorie, resursa este folosită ca un buffer intermediar (de exemplu, aplicațiile pot face schimb de date plasându-le în numele fișierelor și directoarelor create). Baza de date și fluxurile de cunoștințe folosesc dependențe între datele care apar în bazele de date relaționale și cunoștințe.
Canalele de informare netradiționale pot fi formate la diferite niveluri de funcționare a ISPD:
la nivel hardware;
la nivelul microcodurilor și driverelor de dispozitiv;
la nivel de sistem de operare;
la nivel de aplicație software;
la nivelul de funcţionare a canalelor de transmisie a datelor şi a liniilor de comunicaţie.
Aceste canale pot fi folosite atât pentru transmiterea sub acoperire a informațiilor copiate, cât și pentru transmiterea sub acoperire a comenzilor pentru efectuarea de acțiuni distructive, lansarea aplicațiilor etc.
Pentru a implementa canale, de regulă, este necesar să se implementeze sistem automatizat o filă software sau hardware-software care asigură formarea unui canal netradițional.
Un canal de informare netradițional poate exista în sistem continuu sau poate fi activat o singură dată sau în condiții specificate. În acest caz, este posibil să existe feedback din partea subiectului DNS.
5.7. Caracteristici generale ale rezultatelor accesului neautorizat sau accidentalImplementarea amenințărilor de acces neautorizat la informații poate duce la următoarele tipuri de încălcare a securității acestora:
încălcarea confidențialității (copiere, distribuire neautorizată);
Încălcarea integrității (distrugere, schimbare);
încălcarea accesibilității (blocarea).
O încălcare a confidențialității poate apărea în cazul scurgerii de informații:
copierea acestuia pe medii de stocare alienabile;
transmiterea acestuia prin canale de date;
la vizualizarea sau copierea acestuia în timpul reparației, modificării și eliminării software-ului și hardware-ului;
în timpul „colectării gunoiului” de către contravenient în timpul funcționării ISPD.
Încălcarea integrității informațiilor este efectuată din cauza impactului (modificării) programelor și datelor utilizatorului, precum și a informațiilor tehnologice (de sistem), inclusiv:
firmware, drivere de date și dispozitive ale sistemului informatic;
programe, date și drivere de dispozitiv care permit încărcarea sistemului de operare;
programe si date (manere, descriptori, structuri, tabele etc.) ale sistemului de operare;
programe software de aplicație și date;
Programe software speciale și date;
Valori intermediare (operaționale) ale programelor și datelor în timpul prelucrării acestora (citire/scriere, recepție/transmitere) prin mijloace și dispozitive de tehnologie informatică.
Încălcarea integrității informațiilor dintr-un sistem de securitate a informațiilor poate fi cauzată și de introducerea unui program software și hardware rău intenționat în acesta sau de un impact asupra sistemului de securitate a informațiilor sau a elementelor acestuia.
În plus, în ISPD este posibilă influențarea informațiilor tehnologice ale rețelei, care pot asigura funcționarea diferitelor instrumente de management al rețelei de calculatoare:
Configurarea Rețelei;
adrese și rutare a transmisiei de date în rețea;
control funcțional al rețelei;
securitatea informațiilor din rețea.
Încălcarea disponibilității informațiilor este asigurată de formarea (modificarea) datelor sursă, care, atunci când sunt prelucrate, determină funcționarea incorectă, defecțiuni hardware sau captarea (încărcarea) resurselor de calcul ale sistemului, care sunt necesare executării programelor și echipamentelor de operare.
Acțiunile indicate pot duce la întreruperea sau eșecul funcționării aproape a oricăror mijloace tehnice ale ISPD:
instrumente de prelucrare a informațiilor;
mijloace de intrare/ieșire a informațiilor;
mijloace de stocare a informațiilor;
Echipamente și canale de transmisie;
instrumente de securitate a informațiilor.
Programele rău intenționate introduse în rețea includ viruși care utilizează în mod activ protocoalele și capabilitățile rețelelor locale și globale pentru a se răspândi. Principiul principal de funcționare al unui virus de rețea este capacitatea de a-și transfera în mod independent codul pe un server sau o stație de lucru la distanță. Virușii de rețea „cu drepturi depline” au și capacitatea de a-și rula codul pe un computer la distanță sau, cel puțin, de a „împinge” utilizatorul să ruleze un fișier infectat.
Programele rău intenționate care permit accesul neautorizat pot fi:
programe pentru selectarea și deschiderea parolelor;
programe care implementează amenințări;
programe care demonstrează utilizarea capacităților nedeclarate ale software-ului și hardware-ului ISPD;
programe generatoare de viruși de calculator;
programe care demonstrează vulnerabilități ale instrumentelor de securitate a informațiilor etc.
Dacă Instituția prelucrează datele cu caracter personal nu sunt trimise prin rețele publice și internaționale de schimb și este instalată protecție antivirus, atunci probabilitatea ca amenințarea să fie realizată este este puțin probabil.
În toate celelalte cazuri, probabilitatea ca amenințarea să fie realizată trebuie evaluată.
O listă generalizată a probabilității ca amenințările să fie realizate pentru diferite tipuri de sisteme informaționale este prezentată în Tabelul 13.
Tabelul 13
|
tip ISPDn |
Probabilitatea implementării amenințărilor |
Coeff. probabilitatea ca amenințarea să fie realizată de către intrus |
|
CI autonom tip I |
improbabil | |
|
CI autonom tip II | ||
|
CI autonom tip III |
improbabil | |
|
IC autonom tip IV | ||
|
IC autonom Vtip |
improbabil | |
|
CI autonom tip VI | ||
|
LIS tip I |
improbabil | |
|
LIS tip II | ||
|
IS distribuit de tip I |
improbabil | |
|
Distribuit IS de tip II |
Fezabilitatea amenințărilor
Pe baza rezultatelor evaluării nivelului de securitate (Y 1) (secțiunea 7) și a probabilității ca amenințarea să fie realizată (Y 2) (secțiunea 9), se calculează coeficientul de fezabilitate a amenințării (Y) și posibilitatea amenințării. în curs de realizare este determinată (Tabelul 4). Coeficientul de fezabilitate a amenințării Y va fi determinat de raportul Y = (Y 1 +Y 2)/20
O listă generalizată de evaluare a fezabilității UBPDn pentru diferite tipuri de ISPDn este prezentată în Tabelele 14-23.
Tabelul 14 – CI autonom tip I
|
Tip de amenințări de securitate PD |
Posibilitate de implementare |
|
|
2.1.1. Furtul PC-ului | ||
|
2.3.6. Dezastru | ||
Tabelul 15 - CI autonom tip II
|
Tip de amenințări de securitate PD |
Factorul de fezabilitate a amenințării (Y) |
Posibilitate de implementare |
|
1. Amenințări de la scurgeri prin canale tehnice. |
||
|
1.1. Amenințări cu scurgeri de informații acustice | ||
|
1.2. Amenințări ale scurgerii de informații despre specii | ||
|
1.3. Amenințări de scurgere de informații prin canalele PEMIN | ||
|
2. Amenințări cu accesul neautorizat la informații. |
||
|
2.1. Amenințări de distrugere, furt de hardware ISPD și purtători de informații prin accesul fizic la elementele ISPD |
||
|
2.1.1. Furtul PC-ului | ||
|
2.1.2. Furtul media | ||
|
2.1.3. Furtul de chei și atribute de acces | ||
|
2.1.4. Furtul, modificarea, distrugerea informațiilor | ||
|
2.1.5. Defecțiunea nodurilor PC și a canalelor de comunicație | ||
|
2.1.6. Acces neautorizat la informații în timpul întreținerii (reparației, distrugerii) nodurilor PC | ||
|
2.1.7. Dezactivarea neautorizată a măsurilor de securitate | ||
|
2.2. Amenințări de furt, modificare neautorizată sau blocare a informațiilor din cauza accesului neautorizat (UNA) folosind software, hardware și software (inclusiv software și influențe matematice). |
||
|
2.2.1. Acțiuni ale programelor malware (viruși) | ||
|
2.2.3. Instalarea de software care nu are legătură cu îndeplinirea atribuțiilor oficiale | ||
|
2.3. Amenințări ale acțiunilor neintenționate ale utilizatorilor și încălcări ale securității funcționării ISPDn și SZPDn în componența sa din cauza defecțiunilor software-ului, precum și a amenințărilor non-antropice (defecțiuni hardware din cauza nefiabilității elementelor, întreruperi de curent) și naturale ( fulgere, incendii, inundatii etc.) caracter. |
||
|
2.3.1. Pierderea cheilor și a atributelor de acces | ||
|
2.3.2. Modificarea (distrugerea) neintenționată a informațiilor de către angajați | ||
|
2.3.3. Dezactivarea neintenționată a funcțiilor de securitate | ||
|
2.3.4. Eșecul hardware și software | ||
|
2.3.5. Pana de curent | ||
|
2.3.6. Dezastru | ||
|
2.4. Amenințări ale unor acțiuni deliberate din interior |
||
|
2.4.1. Accesul la informații, modificarea, distrugerea persoanelor care nu au voie să le prelucreze | ||
|
2.4.2. Dezvăluirea informațiilor, modificarea, distrugerea de către angajații autorizați să le prelucreze | ||
|
2.5 Amenințări de acces neautorizat prin canale de comunicare. |
||
|
2.5.1 Amenințarea „Analiza traficului de rețea” cu interceptarea informațiilor transmise de la ISPD și primite din rețele externe: | ||
|
2.5.1.1. Interceptarea în afara zonei controlate | ||
|
2.5.1.2. Interceptarea în zona controlată de către intruși externi | ||
|
2.5.1.3 Interceptarea în zona controlată de către contravenienți interni. | ||
|
2.5.2 Scanarea amenințărilor care vizează identificarea tipului sau tipurilor de sisteme de operare utilizate, adresele de rețea ale stațiilor de lucru ISPD, topologia rețelei, porturile și serviciile deschise, conexiunile deschise etc. | ||
|
2.5.3 Amenințări de dezvăluire a parolelor prin rețea | ||
|
2.5.4 Amenințări cu impunerea unei rute de rețea false | ||
|
2.5.5 Amenințări de înlocuire a unui obiect de încredere în rețea | ||
|
2.5.6 Amenințări cu introducerea unui obiect fals atât în ISDN, cât și în rețelele externe | ||
|
2.5.7.Amenințări cu refuzul serviciului | ||
|
2.5.8.Amenințări ale lansării de la distanță a aplicației | ||
|
2.5.9 Amenințări ale programelor rău intenționate care sunt introduse în rețea | ||
Tabelul 16 - CI Autonome Tip III
|
Tip de amenințări de securitate PD |
Factorul de fezabilitate a amenințării (Y) |
Posibilitate de implementare |
|
1. Amenințări de la scurgeri prin canale tehnice. |
||
|
1.1. Amenințări cu scurgeri de informații acustice | ||
|
1.2. Amenințări ale scurgerii de informații despre specii | ||
|
1.3. Amenințări de scurgere de informații prin canalele PEMIN | ||
|
2. Amenințări cu accesul neautorizat la informații. |
||
|
2.1. Amenințări de distrugere, furt de hardware ISPD și purtători de informații prin accesul fizic la elementele ISPD |
||
|
2.1.1. Furtul PC-ului | ||
|
2.1.2. Furtul media | ||
|
2.1.3. Furtul de chei și atribute de acces | ||
|
2.1.4. Furtul, modificarea, distrugerea informațiilor | ||
|
2.1.5. Defecțiunea nodurilor PC și a canalelor de comunicație | ||
|
2.1.6. Acces neautorizat la informații în timpul întreținerii (reparației, distrugerii) nodurilor PC | ||
|
2.1.7. Dezactivarea neautorizată a măsurilor de securitate | ||
|
2.2. Amenințări de furt, modificare neautorizată sau blocare a informațiilor din cauza accesului neautorizat (UNA) folosind software, hardware și software (inclusiv software și influențe matematice). |
||
|
2.2.1. Acțiuni ale programelor malware (viruși) | ||
|
2.2.3. Instalarea de software care nu are legătură cu îndeplinirea atribuțiilor oficiale | ||
|
2.3. Amenințări ale acțiunilor neintenționate ale utilizatorilor și încălcări ale securității funcționării ISPDn și SZPDn în componența sa din cauza defecțiunilor software-ului, precum și a amenințărilor non-antropice (defecțiuni hardware din cauza nefiabilității elementelor, întreruperi de curent) și naturale ( fulgere, incendii, inundatii etc.) caracter. |
||
|
2.3.1. Pierderea cheilor și a atributelor de acces | ||
|
2.3.2. Modificarea (distrugerea) neintenționată a informațiilor de către angajați | ||
|
2.3.3. Dezactivarea neintenționată a funcțiilor de securitate | ||
|
2.3.4. Eșecul hardware și software | ||
|
2.3.5. Pana de curent | ||
|
2.3.6. Dezastru | ||
|
2.4. Amenințări ale unor acțiuni deliberate din interior |
||
|
2.4.1. Accesul la informații, modificarea, distrugerea persoanelor care nu au voie să le prelucreze | ||
|
2.4.2. Dezvăluirea informațiilor, modificarea, distrugerea de către angajații autorizați să le prelucreze | ||
|
2.5 Amenințări de acces neautorizat prin canale de comunicare. |
||
|
2.5.1 Amenințarea „Analiza traficului de rețea” cu interceptarea informațiilor transmise de la ISPD și primite din rețele externe: | ||
|
2.5.1.1. Interceptarea în afara zonei controlate | ||
|
2.5.1.2. Interceptarea în zona controlată de către intruși externi | ||
|
2.5.1.3 Interceptarea în zona controlată de către contravenienți interni. | ||
|
2.5.2 Scanarea amenințărilor care vizează identificarea tipului sau tipurilor de sisteme de operare utilizate, adresele de rețea ale stațiilor de lucru ISPD, topologia rețelei, porturile și serviciile deschise, conexiunile deschise etc. | ||
|
2.5.3 Amenințări de dezvăluire a parolelor prin rețea | ||
|
2.5.4 Amenințări cu impunerea unei rute de rețea false | ||
|
2.5.5 Amenințări de înlocuire a unui obiect de încredere în rețea | ||
|
2.5.6 Amenințări cu introducerea unui obiect fals atât în ISDN, cât și în rețelele externe | ||
|
2.5.7.Amenințări cu refuzul serviciului | ||
|
2.5.8.Amenințări ale lansării de la distanță a aplicației | ||
|
2.5.9 Amenințări ale programelor rău intenționate care sunt introduse în rețea | ||
Tabelul 17 – CI autonom tip IV
|
Tip de amenințări de securitate PD |
Factorul de fezabilitate a amenințării (Y) |
Posibilitate de implementare |
|
1. Amenințări de la scurgeri prin canale tehnice. |
||
|
1.1. Amenințări cu scurgeri de informații acustice | ||
|
1.2. Amenințări ale scurgerii de informații despre specii | ||
|
1.3. Amenințări de scurgere de informații prin canalele PEMIN | ||
|
2. Amenințări cu accesul neautorizat la informații. |
||
|
2.1. Amenințări de distrugere, furt de hardware ISPD și purtători de informații prin accesul fizic la elementele ISPD |
||
|
2.1.1. Furtul PC-ului | ||
|
2.1.2. Furtul media | ||
|
2.1.3. Furtul de chei și atribute de acces | ||
|
2.1.4. Furtul, modificarea, distrugerea informațiilor | ||
|
2.1.5. Defecțiunea nodurilor PC și a canalelor de comunicație | ||
|
2.1.6. Acces neautorizat la informații în timpul întreținerii (reparației, distrugerii) nodurilor PC | ||
|
2.1.7. Dezactivarea neautorizată a măsurilor de securitate | ||
|
2.2. Amenințări de furt, modificare neautorizată sau blocare a informațiilor din cauza accesului neautorizat (UNA) folosind software, hardware și software (inclusiv software și influențe matematice). |
||
|
2.2.1. Acțiuni ale programelor malware (viruși) | ||
|
2.2.3. Instalarea de software care nu are legătură cu îndeplinirea atribuțiilor oficiale | ||
|
2.3. Amenințări ale acțiunilor neintenționate ale utilizatorilor și încălcări ale securității funcționării ISPDn și SZPDn în componența sa din cauza defecțiunilor software-ului, precum și a amenințărilor non-antropice (defecțiuni hardware din cauza nefiabilității elementelor, întreruperi de curent) și naturale ( fulgere, incendii, inundatii etc.) caracter. |
||
|
2.3.1. Pierderea cheilor și a atributelor de acces | ||
|
2.3.2. Modificarea (distrugerea) neintenționată a informațiilor de către angajați | ||
|
2.3.3. Dezactivarea neintenționată a funcțiilor de securitate | ||
|
2.3.4. Eșecul hardware și software | ||
|
2.3.5. Pana de curent | ||
|
2.3.6. Dezastru | ||
|
2.4. Amenințări ale unor acțiuni deliberate din interior |
||
|
2.4.1. Accesul la informații, modificarea, distrugerea persoanelor care nu au voie să le prelucreze | ||
|
2.4.2. Dezvăluirea informațiilor, modificarea, distrugerea de către angajații autorizați să le prelucreze | ||
|
2.5 Amenințări de acces neautorizat prin canale de comunicare. |
||
|
2.5.1 Amenințarea „Analiza traficului de rețea” cu interceptarea informațiilor transmise de la ISPD și primite din rețele externe: | ||
|
2.5.1.1. Interceptarea în afara zonei controlate | ||
|
2.5.1.2. Interceptarea în zona controlată de către intruși externi | ||
|
2.5.1.3 Interceptarea în zona controlată de către contravenienți interni. | ||
|
2.5.2 Scanarea amenințărilor care vizează identificarea tipului sau tipurilor de sisteme de operare utilizate, adresele de rețea ale stațiilor de lucru ISPD, topologia rețelei, porturile și serviciile deschise, conexiunile deschise etc. | ||
|
2.5.3 Amenințări de dezvăluire a parolelor prin rețea | ||
|
2.5.4 Amenințări cu impunerea unei rute de rețea false | ||
|
2.5.5 Amenințări de înlocuire a unui obiect de încredere în rețea | ||
|
2.5.6 Amenințări cu introducerea unui obiect fals atât în ISDN, cât și în rețelele externe | ||
|
2.5.7.Amenințări cu refuzul serviciului | ||
|
2.5.8.Amenințări ale lansării de la distanță a aplicației | ||
|
2.5.9 Amenințări ale programelor rău intenționate care sunt introduse în rețea | ||
Tabelul 18 – Vtip IC autonom
|
Tip de amenințări de securitate PD |
Factorul de fezabilitate a amenințării (Y) |
Posibilitate de implementare |
|
1. Amenințări de la scurgeri prin canale tehnice. |
||
|
1.1. Amenințări cu scurgeri de informații acustice | ||
|
1.2. Amenințări ale scurgerii de informații despre specii | ||
|
1.3. Amenințări de scurgere de informații prin canalele PEMIN | ||
|
2. Amenințări cu accesul neautorizat la informații. |
||
|
2.1. Amenințări de distrugere, furt de hardware ISPD și purtători de informații prin accesul fizic la elementele ISPD |
||
|
2.1.1. Furtul PC-ului | ||
|
2.1.2. Furtul media | ||
|
2.1.3. Furtul de chei și atribute de acces | ||
|
2.1.4. Furtul, modificarea, distrugerea informațiilor | ||
|
2.1.5. Defecțiunea nodurilor PC și a canalelor de comunicație | ||
|
2.1.6. Acces neautorizat la informații în timpul întreținerii (reparației, distrugerii) nodurilor PC | ||
|
2.1.7. Dezactivarea neautorizată a măsurilor de securitate | ||
|
2.2. Amenințări de furt, modificare neautorizată sau blocare a informațiilor din cauza accesului neautorizat (UNA) folosind software, hardware și software (inclusiv software și influențe matematice). |
||
|
2.2.1. Acțiuni ale programelor malware (viruși) | ||
|
2.2.3. Instalarea de software care nu are legătură cu îndeplinirea atribuțiilor oficiale | ||
|
2.3. Amenințări ale acțiunilor neintenționate ale utilizatorilor și încălcări ale securității funcționării ISPDn și SZPDn în componența sa din cauza defecțiunilor software-ului, precum și a amenințărilor non-antropice (defecțiuni hardware din cauza nefiabilității elementelor, întreruperi de curent) și naturale ( fulgere, incendii, inundatii etc.) caracter. |
||
|
2.3.1. Pierderea cheilor și a atributelor de acces | ||
|
2.3.2. Modificarea (distrugerea) neintenționată a informațiilor de către angajați | ||
|
2.3.3. Dezactivarea neintenționată a funcțiilor de securitate | ||
|
2.3.4. Eșecul hardware și software | ||
|
2.3.5. Pana de curent | ||
|
2.3.6. Dezastru | ||
|
2.4. Amenințări ale unor acțiuni deliberate din interior |
||
|
2.4.1. Accesul la informații, modificarea, distrugerea persoanelor care nu au voie să le prelucreze | ||
|
2.4.2. Dezvăluirea informațiilor, modificarea, distrugerea de către angajații autorizați să le prelucreze | ||
|
2.5 Amenințări de acces neautorizat prin canale de comunicare. |
||
|
2.5.1 Amenințarea „Analiza traficului de rețea” cu interceptarea informațiilor transmise de la ISPD și primite din rețele externe: | ||
|
2.5.1.1. Interceptarea în afara zonei controlate | ||
|
2.5.1.2. Interceptarea în zona controlată de către intruși externi | ||
|
2.5.1.3 Interceptarea în zona controlată de către contravenienți interni. | ||
|
2.5.2 Scanarea amenințărilor care vizează identificarea tipului sau tipurilor de sisteme de operare utilizate, adresele de rețea ale stațiilor de lucru ISPD, topologia rețelei, porturile și serviciile deschise, conexiunile deschise etc. | ||
|
2.5.3 Amenințări de dezvăluire a parolelor prin rețea | ||
|
2.5.4 Amenințări cu impunerea unei rute de rețea false | ||
|
2.5.5 Amenințări de înlocuire a unui obiect de încredere în rețea | ||
|
2.5.6 Amenințări cu introducerea unui obiect fals atât în ISDN, cât și în rețelele externe | ||
|
2.5.7.Amenințări cu refuzul serviciului | ||
|
2.5.8.Amenințări ale lansării de la distanță a aplicației | ||
|
2.5.9 Amenințări ale programelor rău intenționate care sunt introduse în rețea | ||
Tabelul 19 – CI autonom tip VI
|
Tip de amenințări de securitate PD |
Factorul de fezabilitate a amenințării (Y) |
Posibilitate de implementare |
|
1. Amenințări de la scurgeri prin canale tehnice. |
||
|
1.1. Amenințări cu scurgeri de informații acustice | ||
|
1.2. Amenințări ale scurgerii de informații despre specii | ||
|
1.3. Amenințări de scurgere de informații prin canalele PEMIN | ||
|
2. Amenințări cu accesul neautorizat la informații. |
||
|
2.1. Amenințări de distrugere, furt de hardware ISPD și purtători de informații prin accesul fizic la elementele ISPD |
||
|
2.1.1. Furtul PC-ului | ||
|
2.1.2. Furtul media | ||
|
2.1.3. Furtul de chei și atribute de acces | ||
|
2.1.4. Furtul, modificarea, distrugerea informațiilor | ||
|
2.1.5. Defecțiunea nodurilor PC și a canalelor de comunicație | ||
|
2.1.6. Acces neautorizat la informații în timpul întreținerii (reparației, distrugerii) nodurilor PC | ||
|
2.1.7. Dezactivarea neautorizată a măsurilor de securitate | ||
|
2.2. Amenințări de furt, modificare neautorizată sau blocare a informațiilor din cauza accesului neautorizat (UNA) folosind software, hardware și software (inclusiv software și influențe matematice). |
||
|
2.2.1. Acțiuni ale programelor malware (viruși) | ||
|
2.2.3. Instalarea de software care nu are legătură cu îndeplinirea atribuțiilor oficiale | ||
|
2.3. Amenințări ale acțiunilor neintenționate ale utilizatorilor și încălcări ale securității funcționării ISPDn și SZPDn în componența sa din cauza defecțiunilor software-ului, precum și a amenințărilor non-antropice (defecțiuni hardware din cauza nefiabilității elementelor, întreruperi de curent) și naturale ( fulgere, incendii, inundatii etc.) caracter. |
||
|
2.3.1. Pierderea cheilor și a atributelor de acces | ||
|
2.3.2. Modificarea (distrugerea) neintenționată a informațiilor de către angajați | ||
|
2.3.3. Dezactivarea neintenționată a funcțiilor de securitate | ||
|
2.3.4. Eșecul hardware și software | ||
|
2.3.5. Pana de curent | ||
|
2.3.6. Dezastru | ||
|
2.4. Amenințări ale unor acțiuni deliberate din interior |
||
|
2.4.1. Accesul la informații, modificarea, distrugerea persoanelor care nu au voie să le prelucreze | ||
|
2.4.2. Dezvăluirea informațiilor, modificarea, distrugerea de către angajații autorizați să le prelucreze | ||
|
2.5 Amenințări de acces neautorizat prin canale de comunicare. |
||
|
2.5.1 Amenințarea „Analiza traficului de rețea” cu interceptarea informațiilor transmise de la ISPD și primite din rețele externe: | ||
|
2.5.1.1. Interceptarea în afara zonei controlate | ||
|
2.5.1.2. Interceptarea în zona controlată de către intruși externi | ||
|
2.5.1.3 Interceptarea în zona controlată de către contravenienți interni. | ||
|
2.5.2 Scanarea amenințărilor care vizează identificarea tipului sau tipurilor de sisteme de operare utilizate, adresele de rețea ale stațiilor de lucru ISPD, topologia rețelei, porturile și serviciile deschise, conexiunile deschise etc. | ||
|
2.5.3 Amenințări de dezvăluire a parolelor prin rețea | ||
|
2.5.4 Amenințări cu impunerea unei rute de rețea false | ||
|
2.5.5 Amenințări de înlocuire a unui obiect de încredere în rețea | ||
|
2.5.6 Amenințări cu introducerea unui obiect fals atât în ISDN, cât și în rețelele externe | ||
|
2.5.7.Amenințări cu refuzul serviciului | ||
|
2.5.8.Amenințări ale lansării de la distanță a aplicației | ||
|
2.5.9 Amenințări ale programelor rău intenționate care sunt introduse în rețea | ||
Tabelul 20 – LIS de tip I
|
Tip de amenințări de securitate PD |
Factorul de fezabilitate a amenințării (Y) |
Posibilitate de implementare |
|
1. Amenințări de la scurgeri prin canale tehnice. |
||
|
1.1. Amenințări cu scurgeri de informații acustice | ||
|
1.2. Amenințări ale scurgerii de informații despre specii | ||
|
1.3. Amenințări de scurgere de informații prin canalele PEMIN | ||
|
2. Amenințări cu accesul neautorizat la informații. |
||
|
2.1. Amenințări de distrugere, furt de hardware ISPD și purtători de informații prin accesul fizic la elementele ISPD |
||
|
2.1.1. Furtul PC-ului | ||
|
2.1.2. Furtul media | ||
|
2.1.3. Furtul de chei și atribute de acces | ||
|
2.1.4. Furtul, modificarea, distrugerea informațiilor | ||
|
2.1.5. Defecțiunea nodurilor PC și a canalelor de comunicație | ||
|
2.1.6. Acces neautorizat la informații în timpul întreținerii (reparației, distrugerii) nodurilor PC | ||
|
2.1.7. Dezactivarea neautorizată a măsurilor de securitate | ||
|
2.2. Amenințări de furt, modificare neautorizată sau blocare a informațiilor din cauza accesului neautorizat (UNA) folosind software, hardware și software (inclusiv software și influențe matematice). |
||
|
2.2.1. Acțiuni ale programelor malware (viruși) | ||
|
2.2.3. Instalarea de software care nu are legătură cu îndeplinirea atribuțiilor oficiale | ||
|
2.3. Amenințări ale acțiunilor neintenționate ale utilizatorilor și încălcări ale securității funcționării ISPDn și SZPDn în componența sa din cauza defecțiunilor software-ului, precum și a amenințărilor non-antropice (defecțiuni hardware din cauza nefiabilității elementelor, întreruperi de curent) și naturale ( fulgere, incendii, inundatii etc.) caracter. |
||
|
2.3.1. Pierderea cheilor și a atributelor de acces | ||
|
2.3.2. Modificarea (distrugerea) neintenționată a informațiilor de către angajați | ||
|
2.3.3. Dezactivarea neintenționată a funcțiilor de securitate | ||
|
2.3.4. Eșecul hardware și software | ||
|
2.3.5. Pana de curent | ||
|
2.3.6. Dezastru | ||
|
2.4. Amenințări ale unor acțiuni deliberate din interior |
||
|
2.4.1. Accesul la informații, modificarea, distrugerea persoanelor care nu au voie să le prelucreze | ||
|
2.4.2. Dezvăluirea informațiilor, modificarea, distrugerea de către angajații autorizați să le prelucreze | ||
|
2.5 Amenințări de acces neautorizat prin canale de comunicare. |
||
|
2.5.1 Amenințarea „Analiza traficului de rețea” cu interceptarea informațiilor transmise de la ISPD și primite din rețele externe: | ||
|
2.5.1.1. Interceptarea în afara zonei controlate | ||
|
2.5.1.2. Interceptarea în zona controlată de către intruși externi | ||
|
2.5.1.3 Interceptarea în zona controlată de către contravenienți interni. | ||
|
2.5.2 Scanarea amenințărilor care vizează identificarea tipului sau tipurilor de sisteme de operare utilizate, adresele de rețea ale stațiilor de lucru ISPD, topologia rețelei, porturile și serviciile deschise, conexiunile deschise etc. | ||
|
2.5.3 Amenințări de dezvăluire a parolelor prin rețea | ||
|
2.5.4 Amenințări cu impunerea unei rute de rețea false | ||
|
2.5.5 Amenințări de înlocuire a unui obiect de încredere în rețea | ||
|
2.5.6 Amenințări cu introducerea unui obiect fals atât în ISDN, cât și în rețelele externe | ||
|
2.5.7.Amenințări cu refuzul serviciului | ||
|
2.5.8.Amenințări ale lansării de la distanță a aplicației | ||
|
2.5.9 Amenințări ale programelor rău intenționate care sunt introduse în rețea | ||
Tabelul 21 – LIS de tip II
|
Tip de amenințări de securitate PD |
Factorul de fezabilitate a amenințării (Y) |
Posibilitate de implementare |
|
1. Amenințări de la scurgeri prin canale tehnice. |
||
|
1.1. Amenințări cu scurgeri de informații acustice | ||
|
1.2. Amenințări ale scurgerii de informații despre specii | ||
|
1.3. Amenințări de scurgere de informații prin canalele PEMIN | ||
|
2. Amenințări cu accesul neautorizat la informații. |
||
|
2.1. Amenințări de distrugere, furt de hardware ISPD și purtători de informații prin accesul fizic la elementele ISPD |
||
|
2.1.1. Furtul PC-ului | ||
|
2.1.2. Furtul media | ||
|
2.1.3. Furtul de chei și atribute de acces | ||
|
2.1.4. Furtul, modificarea, distrugerea informațiilor | ||
|
2.1.5. Defecțiunea nodurilor PC și a canalelor de comunicație | ||
|
2.1.6. Acces neautorizat la informații în timpul întreținerii (reparației, distrugerii) nodurilor PC | ||
|
2.1.7. Dezactivarea neautorizată a măsurilor de securitate | ||
|
2.2. Amenințări de furt, modificare neautorizată sau blocare a informațiilor din cauza accesului neautorizat (UNA) folosind software, hardware și software (inclusiv software și influențe matematice). |
||
|
2.2.1. Acțiuni ale programelor malware (viruși) | ||
|
2.2.3. Instalarea de software care nu are legătură cu îndeplinirea atribuțiilor oficiale | ||
|
2.3. Amenințări ale acțiunilor neintenționate ale utilizatorilor și încălcări ale securității funcționării ISPDn și SZPDn în componența sa din cauza defecțiunilor software-ului, precum și a amenințărilor non-antropice (defecțiuni hardware din cauza nefiabilității elementelor, întreruperi de curent) și naturale ( fulgere, incendii, inundatii etc.) caracter. |
||
|
2.3.1. Pierderea cheilor și a atributelor de acces | ||
|
2.3.2. Modificarea (distrugerea) neintenționată a informațiilor de către angajați | ||
|
2.3.3. Dezactivarea neintenționată a funcțiilor de securitate | ||
|
2.3.4. Eșecul hardware și software | ||
|
2.3.5. Pana de curent | ||
|
2.3.6. Dezastru | ||
|
2.4. Amenințări ale unor acțiuni deliberate din interior |
||
|
2.4.1. Accesul la informații, modificarea, distrugerea persoanelor care nu au voie să le prelucreze | ||
|
2.4.2. Dezvăluirea informațiilor, modificarea, distrugerea de către angajații autorizați să le prelucreze | ||
|
2.5 Amenințări de acces neautorizat prin canale de comunicare. |
||
|
2.5.1 Amenințarea „Analiza traficului de rețea” cu interceptarea informațiilor transmise de la ISPD și primite din rețele externe: | ||
|
2.5.1.1. Interceptarea în afara zonei controlate | ||
|
2.5.1.2. Interceptarea în zona controlată de către intruși externi | ||
|
2.5.1.3 Interceptarea în zona controlată de către contravenienți interni. | ||
|
2.5.2 Scanarea amenințărilor care vizează identificarea tipului sau tipurilor de sisteme de operare utilizate, adresele de rețea ale stațiilor de lucru ISPD, topologia rețelei, porturile și serviciile deschise, conexiunile deschise etc. | ||
|
2.5.3 Amenințări de dezvăluire a parolelor prin rețea | ||
|
2.5.4 Amenințări cu impunerea unei rute de rețea false | ||
|
2.5.5 Amenințări de înlocuire a unui obiect de încredere în rețea | ||
|
2.5.6 Amenințări cu introducerea unui obiect fals atât în ISDN, cât și în rețelele externe | ||
|
2.5.7.Amenințări cu refuzul serviciului | ||
|
2.5.8.Amenințări ale lansării de la distanță a aplicației | ||
|
2.5.9 Amenințări ale programelor rău intenționate care sunt introduse în rețea | ||
Tabelul 22 – IS distribuit tip I
|
Tip de amenințări de securitate PD |
Factorul de fezabilitate a amenințării (Y) |
Posibilitate de implementare |
|
1. Amenințări de la scurgeri prin canale tehnice. |
||
|
1.1. Amenințări cu scurgeri de informații acustice | ||
|
1.2. Amenințări ale scurgerii de informații despre specii | ||
|
1.3. Amenințări de scurgere de informații prin canalele PEMIN | ||
|
2. Amenințări cu accesul neautorizat la informații. |
||
|
2.1. Amenințări de distrugere, furt de hardware ISPD și purtători de informații prin accesul fizic la elementele ISPD |
||
|
2.1.1. Furtul PC-ului | ||
|
2.1.2. Furtul media | ||
|
2.1.3. Furtul de chei și atribute de acces | ||
|
2.1.4. Furtul, modificarea, distrugerea informațiilor | ||
|
2.1.5. Defecțiunea nodurilor PC și a canalelor de comunicație | ||
|
2.1.6. Acces neautorizat la informații în timpul întreținerii (reparației, distrugerii) nodurilor PC | ||
|
2.1.7. Dezactivarea neautorizată a măsurilor de securitate | ||
|
2.2. Amenințări de furt, modificare neautorizată sau blocare a informațiilor din cauza accesului neautorizat (UNA) folosind software, hardware și software (inclusiv software și influențe matematice). |
||
|
2.2.1. Acțiuni ale programelor malware (viruși) | ||
|
2.2.3. Instalarea de software care nu are legătură cu îndeplinirea atribuțiilor oficiale | ||
|
2.3. Amenințări ale acțiunilor neintenționate ale utilizatorilor și încălcări ale securității funcționării ISPDn și SZPDn în componența sa din cauza defecțiunilor software-ului, precum și a amenințărilor non-antropice (defecțiuni hardware din cauza nefiabilității elementelor, întreruperi de curent) și naturale ( fulgere, incendii, inundatii etc.) caracter. |
||
|
2.3.1. Pierderea cheilor și a atributelor de acces | ||
|
2.3.2. Modificarea (distrugerea) neintenționată a informațiilor de către angajați | ||
|
2.3.3. Dezactivarea neintenționată a funcțiilor de securitate | ||
|
2.3.4. Eșecul hardware și software | ||
|
2.3.5. Pana de curent | ||
|
2.3.6. Dezastru | ||
|
2.4. Amenințări ale unor acțiuni deliberate din interior |
||
|
2.4.1. Accesul la informații, modificarea, distrugerea persoanelor care nu au voie să le prelucreze | ||
|
2.4.2. Dezvăluirea informațiilor, modificarea, distrugerea de către angajații autorizați să le prelucreze | ||
|
2.5 Amenințări de acces neautorizat prin canale de comunicare. |
||
|
2.5.1 Amenințarea „Analiza traficului de rețea” cu interceptarea informațiilor transmise de la ISPD și primite din rețele externe: | ||
|
2.5.1.1. Interceptarea în afara zonei controlate | ||
|
2.5.1.2. Interceptarea în zona controlată de către intruși externi | ||
|
2.5.1.3 Interceptarea în zona controlată de către contravenienți interni. | ||
|
2.5.2 Scanarea amenințărilor care vizează identificarea tipului sau tipurilor de sisteme de operare utilizate, adresele de rețea ale stațiilor de lucru ISPD, topologia rețelei, porturile și serviciile deschise, conexiunile deschise etc. | ||
|
2.5.3 Amenințări de dezvăluire a parolelor prin rețea | ||
|
2.5.4 Amenințări cu impunerea unei rute de rețea false | ||
|
2.5.5 Amenințări de înlocuire a unui obiect de încredere în rețea | ||
|
2.5.6 Amenințări cu introducerea unui obiect fals atât în ISDN, cât și în rețelele externe | ||
|
2.5.7.Amenințări cu refuzul serviciului | ||
|
2.5.8.Amenințări ale lansării de la distanță a aplicației | ||
|
2.5.9 Amenințări ale programelor rău intenționate care sunt introduse în rețea | ||
Tabelul 23 – IS distribuit tip II
|
Tip de amenințări de securitate PD |
Factorul de fezabilitate a amenințării (Y) |
Posibilitate de implementare |
|
1. Amenințări de la scurgeri prin canale tehnice. |
||
|
1.1. Amenințări cu scurgeri de informații acustice | ||
|
1.2. Amenințări ale scurgerii de informații despre specii | ||
|
1.3. Amenințări de scurgere de informații prin canalele PEMIN | ||
|
2. Amenințări cu accesul neautorizat la informații. |
||
|
2.1. Amenințări de distrugere, furt de hardware ISPD și purtători de informații prin accesul fizic la elementele ISPD |
||
|
2.1.1. Furtul PC-ului | ||
|
2.1.2. Furtul media | ||
|
2.1.3. Furtul de chei și atribute de acces | ||
|
2.1.4. Furtul, modificarea, distrugerea informațiilor | ||
|
2.1.5. Defecțiunea nodurilor PC și a canalelor de comunicație | ||
|
2.1.6. Acces neautorizat la informații în timpul întreținerii (reparației, distrugerii) nodurilor PC | ||
|
2.1.7. Dezactivarea neautorizată a măsurilor de securitate | ||
|
2.2. Amenințări de furt, modificare neautorizată sau blocare a informațiilor din cauza accesului neautorizat (UNA) folosind software, hardware și software (inclusiv software și influențe matematice). |
||
|
2.2.1. Acțiuni ale programelor malware (viruși) | ||
|
2.2.3. Instalarea de software care nu are legătură cu îndeplinirea atribuțiilor oficiale | ||
|
2.3. Amenințări ale acțiunilor neintenționate ale utilizatorilor și încălcări ale securității funcționării ISPDn și SZPDn în componența sa din cauza defecțiunilor software-ului, precum și a amenințărilor non-antropice (defecțiuni hardware din cauza nefiabilității elementelor, întreruperi de curent) și naturale ( fulgere, incendii, inundatii etc.) caracter. |
||
|
2.3.1. Pierderea cheilor și a atributelor de acces | ||
|
2.3.2. Modificarea (distrugerea) neintenționată a informațiilor de către angajați | ||
|
2.3.3. Dezactivarea neintenționată a funcțiilor de securitate | ||
|
2.3.4. Eșecul hardware și software | ||
|
2.3.5. Pana de curent | ||
|
2.3.6. Dezastru | ||
|
2.4. Amenințări ale unor acțiuni deliberate din interior |
||
|
2.4.1. Accesul la informații, modificarea, distrugerea persoanelor care nu au voie să le prelucreze | ||
|
2.4.2. Dezvăluirea informațiilor, modificarea, distrugerea de către angajații autorizați să le prelucreze | ||
|
2.5 Amenințări de acces neautorizat prin canale de comunicare. |
||
|
2.5.1 Amenințarea „Analiza traficului de rețea” cu interceptarea informațiilor transmise de la ISPD și primite din rețele externe: | ||
|
2.5.1.1. Interceptarea în afara zonei controlate | ||
|
2.5.1.2. Interceptarea în zona controlată de către intruși externi | ||
|
2.5.1.3 Interceptarea în zona controlată de către contravenienți interni. | ||
|
2.5.2 Scanarea amenințărilor care vizează identificarea tipului sau tipurilor de sisteme de operare utilizate, adresele de rețea ale stațiilor de lucru ISPD, topologia rețelei, porturile și serviciile deschise, conexiunile deschise etc. | ||
|
2.5.3 Amenințări de dezvăluire a parolelor prin rețea | ||
|
2.5.4 Amenințări cu impunerea unei rute de rețea false | ||
|
2.5.5 Amenințări de înlocuire a unui obiect de încredere în rețea | ||
|
2.5.6 Amenințări cu introducerea unui obiect fals atât în ISDN, cât și în rețelele externe | ||
|
2.5.7.Amenințări cu refuzul serviciului | ||
Amenințarea constă în dorința de a lansa diverse programe rău intenționate preinstalate pe gazda ISPD: programe de marcare, viruși, „spioni de rețea”, al căror scop principal este de a încălca confidențialitatea, integritatea, disponibilitatea informațiilor și controlul complet asupra funcţionarea gazdei. În plus, lansarea neautorizată a programelor de aplicație utilizator este posibilă pentru a obține date neautorizate necesare intrusului, pentru a lansa procese controlate de programul de aplicație etc.
Există trei subclase ale acestor amenințări:
distribuirea de fișiere care conțin cod executabil neautorizat;
lansarea de la distanță a aplicației prin depășirea tamponului a serverelor de aplicații;
lansarea de la distanță a unei aplicații prin utilizarea capacităților de control de la distanță ale sistemului oferite de marcaje software și hardware ascunse sau de instrumente standard.
Amenințările tipice ale primei dintre aceste subclase se bazează pe activarea fișierelor distribuite atunci când acestea sunt accesate accidental. Exemple de astfel de fișiere includ: fișiere care conțin cod executabil sub formă de documente care conțin cod executabil sub formă de elemente ActiveX, applet-uri Java, scripturi interpretate (de exemplu, texte JavaScript); fișiere care conțin coduri de program executabile. Serviciile de e-mail, transfer de fișiere și sisteme de fișiere în rețea pot fi utilizate pentru a distribui fișiere.
Amenințările celei de-a doua subclase profită de deficiențele programelor care implementează servicii de rețea (în special, lipsa controlului asupra depășirii tamponului). Prin ajustarea registrelor de sistem, este uneori posibilă comutarea procesorului după o întrerupere cauzată de o depășire a tamponului pentru a executa codul conținut în afara limitei tamponului. Un exemplu de implementare a unei astfel de amenințări este introducerea binecunoscutului „virus Morris”.
Cu amenințările din a treia subclasă, intrusul folosește capacitățile de control de la distanță ale sistemului oferite de componente ascunse (de exemplu, programe troiene precum Back. Orifice, Net Bus) sau instrumente standard pentru gestionarea și administrarea rețelelor de calculatoare (Landesk Management Suite, Managewise, Back Orifice etc.). P.). Ca urmare a utilizării lor, este posibil să se realizeze controlul de la distanță asupra unei stații din rețea.
Dacă Instituția prelucrează datele cu caracter personal nu sunt trimise prin rețele publice și internaționale de schimb și este instalată protecție antivirus, atunci probabilitatea ca amenințarea să fie realizată este este puțin probabil.
În toate celelalte cazuri, probabilitatea ca amenințarea să fie realizată trebuie evaluată.
O listă generalizată a probabilității ca amenințările să fie realizate pentru diferite tipuri de sisteme informaționale este prezentată în Tabelul 12.
Tabelul 12
|
tip ISPDn |
Probabilitatea implementării amenințărilor |
Coeff. probabilitatea ca amenințarea să fie realizată de către intrus |
|
CI autonom tip I |
improbabil | |
|
CI autonom tip II | ||
|
CI autonom tip III |
improbabil | |
|
IC autonom tip IV | ||
|
IC autonom Vtip |
improbabil | |
|
CI autonom tip VI | ||
|
LIS tip I |
improbabil | |
|
LIS tip II | ||
|
IS distribuit de tip I |
improbabil | |
|
Distribuit IS de tip II |
