Skadliga program kan introduceras (introduceras) både avsiktligt och oavsiktligt i programvaran som används i ISPD under dess utveckling, underhåll, modifiering och konfiguration. Dessutom kan skadliga program introduceras under driften av ISPD från externa lagringsmedia eller genom nätverksinteraktion, både som ett resultat av obehörig åtkomst och av misstag av användare av ISPD.
Moderna skadliga program är baserade på användningen av sårbarheter i olika typer av programvara (system, allmän, applikation) och olika nätverksteknologier, har ett brett utbud av destruktiva möjligheter (från obehörig forskning av ISPD-parametrar utan att störa driften av ISPD, till förstörelsen av PD- och ISPD-programvara) och kan agera i alla typer av programvara (system, applikation, hårdvarudrivrutiner, etc.).
Förekomsten av skadliga program i ISPD kan bidra till uppkomsten av dolda, inklusive icke-traditionella kanaler för åtkomst till information som tillåter att öppna, kringgå eller blockera säkerhetsmekanismerna som tillhandahålls i systemet, inklusive lösenord och kryptografiskt skydd.
De viktigaste typerna av skadlig programvara är:
programvara bokmärken;
klassiska programvara (dator)virus;
Skadliga program som sprids över nätverket (nätmaskar);
Andra skadliga program utformade för att utföra UA.
Programvarubokmärken inkluderar program, kodfragment, instruktioner som bildar odeklarerade programvarufunktioner. Skadliga program kan flytta från en typ till en annan, till exempel kan en programvaruflik generera ett programvirus, som i sin tur, kommer in i nätverksförhållanden, kan bilda en nätverksmask eller annat skadligt program utformat för att utföra UA.
En kort beskrivning av de viktigaste skadliga programmen är följande. Bootvirus skriver sig antingen till diskstartsektorn (bootsektorn), eller till sektorn som innehåller hårddiskens bootloader (Master Boot Record), eller ändrar pekaren till den aktiva bootsektorn. De introduceras i datorns minne när de startas upp från en infekterad disk. I det här fallet läser systemladdaren innehållet i den första sektorn på skivan från vilken uppstarten utförs, placerar den lästa informationen i minnet och överför kontrollen till den (dvs. till viruset). Därefter börjar instruktionerna för viruset att exekveras, vilket som regel minskar mängden ledigt minne, kopierar dess kod till det frigjorda utrymmet och läser dess fortsättning (om någon) från disken, avlyssnar de nödvändiga avbrottsvektorerna ( vanligtvis INT 13H), läser den ursprungliga startsektorn och överför kontrollen till den.
I framtiden beter sig bootviruset på samma sätt som ett filvirus: det fångar upp operativsystemets åtkomst till diskar och infekterar dem, beroende på vissa förhållanden, utför destruktiva åtgärder, orsakar ljudeffekter eller videoeffekter.
De viktigaste destruktiva åtgärderna som utförs av dessa virus är:
Förstörelse av information i sektorer av disketter och hårddiskar;
uteslutning av möjligheten att ladda operativsystemet (datorn "fryser");
Förvrängning av bootloader-koden;
Formatera disketter eller logiska diskar på en hårddisk;
· Stänga åtkomst till COM- och LPT-portar;
byte av tecken vid utskrift av texter;
Skärmryckningar
Ändra etiketten på en disk eller diskett;
Skapande av pseudo-fel-kluster;
skapande av ljud och (eller) visuella effekter (till exempel fallande
bokstäver på skärmen)
Korruption av datafiler
visa olika meddelanden på skärmen;
Inaktivera kringutrustning (som tangentbord);
Ändra palett på skärmen;
fylla skärmen med främmande tecken eller bilder;
släckning av skärmen och växla till standbyläge för tangentbordsinmatning;
Kryptering av hårddisksektorer;
Selektiv förstörelse av tecken som visas på skärmen när du skriver från tangentbordet;
Minska mängden RAM;
ring för att skriva ut innehållet på skärmen;
Diskskrivblockering
Förstörelse av partitionstabellen (Disk Partition Table), efter det kan datorn bara startas från en diskett;
blockera lanseringen av körbara filer;
blockerar åtkomst till hårddisken.
|
Figur 3. Klassificering av programvirus och nätverksmaskar
De flesta startvirus skriver över sig själva på disketter.
Infektionsmetoden "överskrivning" är den enklaste: viruset skriver sin kod istället för koden för den infekterade filen och förstör dess innehåll. Naturligtvis, i det här fallet, slutar filen att fungera och återställs inte. Sådana virus upptäcker sig själva mycket snabbt, eftersom operativsystemet och applikationerna slutar fungera ganska snabbt.
Kategorien "kompanjon" inkluderar virus som inte ändrar infekterade filer. Operationsalgoritmen för dessa virus är att en tvillingfil skapas för den infekterade filen, och när den infekterade filen startas är det denna tvilling, det vill säga viruset, som får kontroll. De vanligaste medföljande virusen använder DOS-funktionen för att köra filer med filtillägget .COM först om det finns två filer i samma katalog med samma namn men olika namntillägg - .COM och .EXE. Sådana virus skapar satellitfiler för EXE-filer som har samma namn, men med tillägget .COM skapas till exempel XCOPY.COM för filen XCOPY.EXE. Viruset skriver till en COM-fil och ändrar inte EXE-filen på något sätt. När du kör en sådan fil kommer DOS först att upptäcka och köra COM-filen, det vill säga viruset, som sedan kör EXE-filen. Den andra gruppen består av virus som, när de är infekterade, byter namn på filen till något annat namn, kommer ihåg den (för efterföljande lansering av värdfilen) och skriver sin kod till disken under namnet på den infekterade filen. Till exempel döps filen XCOPY.EXE om till XCOPY.EXD och viruset skrivs under namnet XCOPY.EXE. Vid uppstart tar kontroll över viruskoden, som sedan startar den ursprungliga XCOPY, lagrad under namnet XCOPY.EXD. Intressant nog verkar den här metoden fungera på alla operativsystem. Den tredje gruppen inkluderar de så kallade "Path-companion"-virusen. De skriver antingen sin kod under namnet på den infekterade filen, men "högre" en nivå i de föreskrivna sökvägarna (DOS kommer därför att vara den första att upptäcka och starta virusfilen), eller överföra offerfilen en underkatalog högre, etc.
Det kan finnas andra typer av kompletterande virus som använder andra ursprungliga idéer eller funktioner i andra operativsystem.
Filmaskar (maskar) är på sätt och vis ett slags sällskapsvirus, men associerar inte på något sätt deras närvaro med någon körbar fil. När de reproducerar kopierar de bara sin kod till några diskkataloger i hopp om att dessa nya kopior någon gång kommer att köras av användaren. Ibland ger dessa virus sina kopior "speciella" namn för att uppmuntra användaren att köra sin kopia - till exempel INSTALL.EXE eller WINSTART.BAT. Det finns maskar som använder ganska ovanliga metoder, till exempel skriver de kopior av sig själva till arkiv (ARJ, ZIP och andra). Vissa virus skriver kommandot för att köra den infekterade filen till BAT-filer. Filmaskar ska inte förväxlas med nätverksmaskar. De förra använder bara filfunktionerna i vissa operativsystem, medan de senare använder nätverksprotokoll för sin reproduktion.
Länkvirus, som följeslagande virus, ändrar inte det fysiska innehållet i filer, men när en infekterad fil startas "tvingar" de operativsystemet att köra dess kod. De uppnår detta mål genom att modifiera de nödvändiga fälten i filsystemet.
Virus som infekterar kompilatorbibliotek, objektmoduler och programkällkoder är ganska exotiska och praktiskt taget ovanliga. Virus som infekterar OBJ- och LIB-filer skriver sin kod till dem i form av en objektmodul eller ett bibliotek. Den infekterade filen är alltså inte körbar och kan inte vidare sprida viruset i sin nuvarande tillstånd. Bäraren av ett "live" virus blir en COM- eller EXE-fil.
När filviruset väl har kontrollerats utför det följande allmänna åtgärder:
kontroller Bagge för närvaron av dess kopia och infekterar
datorminne, om en kopia av viruset inte hittas (om viruset finns), söker efter oinfekterade filer i den aktuella och (eller) rotkatalogen genom att skanna katalogträdet för logiska enheter och sedan infektera de upptäckta filerna;
utför ytterligare (om några) funktioner: destruktiv
åtgärder, grafik eller ljudeffekter, etc. ( ytterligare funktioner ett inbyggt virus kan anropas en tid efter aktivering, beroende på aktuell tid, systemkonfiguration, interna räknare för viruset eller andra förhållanden; i det här fallet bearbetar viruset, vid aktivering, tillståndet för systemklockan, ställer in sin egen räknare, etc.);
Återställer kontrollen till huvudprogrammet (om någon).
Det bör noteras att ju snabbare viruset sprider sig, desto mer sannolikt är förekomsten av en epidemi av detta virus, ju långsammare viruset sprids, desto svårare är det att upptäcka (såvida inte detta virus är okänd förstås). Icke-residenta virus är ofta "långsamma" - de flesta av dem infekterar en eller två eller tre filer vid uppstart och hinner inte översvämma datorn innan antivirusprogrammet har startat (eller en ny version av antivirusprogrammet konfigurerat för detta virus dyker upp). Det finns naturligtvis icke-residenta "snabba" virus som, när de startas, söker efter och infekterar alla körbara filer, men sådana virus är mycket märkbara: när varje infekterad fil startas, arbetar datorn aktivt med hårddisken för vissa (ibland ganska lång tid), vilket avslöjar viruset. Spridningshastigheten (infektion) av inhemska virus är vanligtvis högre än för icke-bosatta virus - de infekterar filer när de nås. Som ett resultat är alla eller nästan alla filer på disken som ständigt används i arbetet infekterade. Spridningshastigheten (infektion) av inhemska filvirus som infekterar filer först när de startas för körning kommer att vara lägre än för virus som infekterar filer även när de öppnas, byter namn, ändras filattribut, etc.
Således är de viktigaste destruktiva åtgärderna som utförs av filvirus förknippade med skador på filer (oftare körbara filer eller datafiler), obehörig lansering av olika kommandon (inklusive kommandon för formatering, radering, kopiering, etc.), ändring av tabellen över avbrottsvektorer och etc. Samtidigt kan många destruktiva åtgärder som liknar de som anges för startvirus också utföras.
Makrovirus (makrovirus) är program på språk (makrospråk) inbyggda i vissa databehandlingssystem (textredigerare, kalkylblad, etc.). För sin reproduktion använder sådana virus funktionerna hos makrospråk och överför sig med deras hjälp från en infekterad fil (dokument eller tabell) till andra. De mest använda makrovirusen för Microsoft Office-applikationspaketet.
För att det finns virus i ett visst system (redigerare) är det nödvändigt att ha ett makrospråk inbyggt i systemet med följande funktioner:
1) länka ett program på ett makrospråk till en specifik fil;
2) kopiering av makroprogram från en fil till en annan;
3) få kontroll över makroprogrammet utan användaringripande (automatiska eller standardmakron).
Dessa villkor uppfylls av Microsoft Word-, Excel- och Microsoft Access-program. De innehåller makrospråk: Word Basic, Visual Basic for Applications. Vart i:
1) makroprogram är knutna till en specifik fil eller finns i en fil;
2) makrospråket låter dig kopiera filer eller flytta makroprogram till systemtjänstfiler och redigerbara filer;
3) när man arbetar med en fil under vissa förhållanden (öppning, stängning etc.) anropas makroprogram (om några) som är definierade på ett speciellt sätt eller har standardnamn.
Denna funktion hos makrospråk är designad för automatisk databehandling i stora organisationer eller globala nätverk och låter dig organisera det så kallade "automatiserade arbetsflödet". Å andra sidan tillåter kapaciteten hos makrospråken i sådana system viruset att överföra sin kod till andra filer och därmed infektera dem.
De flesta makrovirus är aktiva inte bara vid öppning (stängning) av en fil, utan så länge som själva redigeraren är aktiv. De innehåller alla sina funktioner som vanliga Word/Excel/Office-makron. Det finns dock virus som använder knep för att dölja sin kod och lagra sin kod som icke-makron. Tre sådana tekniker är kända, alla använder makrons förmåga att skapa, redigera och exekvera andra makron. Som regel har sådana virus ett litet (ibland polymorft) virusladdarmakro som anropar den inbyggda makroredigeraren, skapar ett nytt makro, fyller det med huvudviruskoden, exekverar och sedan som regel förstör det (för att dölj spår av virusnärvaro). Huvudkoden för sådana virus finns antingen i själva virusmakrot i form av textsträngar (ibland krypterade) eller lagras i dokumentets variabla område.
Nätverksvirus inkluderar virus som aktivt använder protokollen och funktionerna i lokala och globala nätverk för att sprida dem. Huvudprincipen för ett nätverksvirus är förmågan att självständigt överföra sin kod till en fjärrserver eller arbetsstation. Samtidigt har "fullfjädrade" nätverksvirus också möjligheten att lansera sin kod på fjärrdator eller åtminstone "skjuta" användaren till att köra den infekterade filen.
Skadliga program som säkerställer implementeringen av UA kan vara:
program för att välja och öppna lösenord;
program som implementerar hot;
· Program som visar användningen av odeklarerad kapacitet hos ISPD:s programvara och hårdvara;
Program för generering av datorvirus;
Program som visar säkerhetsbrister
information osv.
Med den ökande komplexiteten och mångfalden av programvara ökar antalet skadlig programvara snabbt. Idag är mer än 120 000 datavirussignaturer kända. Det är dock inte alla av dem verkligt hot. I många fall, åtgärda sårbarheter i ett system eller en applikation programvara ledde till att ett antal skadliga program inte längre kan infiltrera dem. Ofta är ny skadlig programvara det största hotet.
Klassificering av överträdare
På grundval av att de tillhör ISPD är alla överträdare indelade i två grupper:
Externa kränkare - individer som inte har rätt att stanna på territoriet för den kontrollerade zonen, inom vilken ISPD-utrustningen är belägen;
Interna kränkare - individer som har rätt att stanna på territoriet för den kontrollerade zonen, inom vilken ISPD-utrustningen är belägen.
Extern inkräktare
Som en extern överträdare av informationssäkerheten anses en inkräktare som inte har direkt tillgång till de tekniska medlen och resurserna i systemet som finns inom den kontrollerade zonen.
Det antas att en extern inkräktare inte kan påverka den skyddade informationen genom tekniska läckkanaler, eftersom mängden information som lagras och bearbetas i ISPD är otillräcklig för att eventuellt motivera en extern inkräktare att vidta åtgärder som syftar till att läcka information genom tekniska läckkanaler.
Det antas att en extern inkräktare kan påverka den skyddade informationen endast under dess överföring över kommunikationskanaler.
insider
En insiders förmåga beror avsevärt på de restriktiva faktorer som verkar inom den kontrollerade zonen, varav den viktigaste är genomförandet av en uppsättning organisatoriska och tekniska åtgärder, inklusive urval, placering och tillhandahållande av hög yrkesutbildning av personal, antagning individer inom det kontrollerade området och kontroll över förfarandet för att utföra arbete som syftar till att förhindra och förhindra obehörigt tillträde.
ISPD ISDN-åtkomstkontrollsystemet säkerställer differentiering av användarrättigheter för åtkomst till information, mjukvara, hårdvara och andra ISPD-resurser i enlighet med den accepterade informationssäkerhetspolicyn (reglerna). Insiders kan inkludera (tabell):
Administratörer av specifika delsystem eller ISPD-databaser (kategori II);
Användare som är externa till ett visst AS (kategori IV);
Personer med förmåga att komma åt dataöverföringssystemet (kategori V);
Anställda på vårdinrättningar som har auktoriserat tillträde för officiella ändamål till lokalerna där ISPD-element finns, men som inte har rätt att få tillgång till dem (kategori VI);
Servicepersonal (säkerhets-, ingenjörs- och tekniska tjänster etc.) (kategori VII);
Auktoriserad personal från ISPD-utvecklare som på kontraktsbasis har rätt att underhålla och modifiera ISPD-komponenter (kategori VIII).
Personer i kategorierna I och II har anförtrotts uppgifterna att administrera ISPD:s mjukvara och hårdvara samt databaser för att integrera och säkerställa interaktionen mellan olika delsystem som utgör ISPD. Administratörer kan potentiellt implementera IS-hot genom att använda möjligheterna för direkt åtkomst till skyddad information som behandlas och lagras i ISPD, såväl som till ISPD-hårdvara och mjukvara, inklusive säkerhetsverktyg som används i specifika AS, i enlighet med de administrativa befogenheter som fastställts för dem.
Dessa personer är väl förtrogna med de grundläggande algoritmer, protokoll som implementeras och används i specifika delsystem och ISPD:er i allmänhet, samt med tillämpade säkerhetsprinciper och koncept.
Det antas att de skulle kunna använda standard utrustning antingen för att identifiera sårbarheter eller för att implementera informationssäkerhetshot. Denna utrustning kan vara en del av standardfaciliteterna, eller så kan den lätt erhållas (till exempel programvara erhållen från allmänt tillgängliga externa källor).
Dessutom förutsätts att dessa personer skulle kunna ha specialiserad utrustning.
På grund av deras exklusiva roll i ISPD bör en uppsättning särskilda organisatoriska och regimmässiga åtgärder tillämpas på personer i kategori I och II för deras urval, anställning, utnämning till en position och kontroll över utförandet av funktionella uppgifter.
Det är meningen att endast ombud ska ingå i kategorierna I och II, och därför är dessa personer uteslutna från listan över troliga gärningsmän.
Det antas att personer i kategorierna III-VIII sannolikt är kränkare.
En insiders förmåga beror mycket på
från regimen som verkar inom den kontrollerade zonen
och organisatoriska och tekniska skyddsåtgärder, inklusive medgivande av enskilda till personuppgifter och kontroll av arbetsförfarandet.
Interna potentiella kränkare är indelade i åtta kategorier beroende på metoden för åtkomst och behörighet att få åtkomst till PD.
Denna artikel ägnas åt analysen modern teknik, utgör ett hot mot datorsäkerhet, och de viktigaste trenderna i utvecklingen av skadliga program 2006.
Allmänna utvecklingstrender för skadlig programvara
Under 2006 upptäckte och analyserade författaren 49 697 unika varianter av skadlig programvara, varav 47 907 tillhör stora familjer. Baserat på resultaten av deras analys konstruerades ett diagram som visar den procentuella sammansättningen av skadliga program av familjer för året (Fig. 1).
Ris. 1. Procentuell sammansättning av ITW-prover efter familjer
Som framgår av diagrammet är 37 % av alla studerade program skadliga program av typen Trojan-Downloader. Detta är en stabil trend som har spårats sedan 2005 och som är förknippad med det faktum att Trojan-Downloaders används för att installera skadliga program, uppdatera deras versioner och återställa dem om de tas bort av ett antivirusprogram. De flesta av de studerade fallen av datorskador genom skadlig programvara innebär lanseringen av Trojan-Downloader, på grund av användningen av en exploatering eller social ingenjörskonst. De näst vanligaste är e-post- och nätverksmaskar, trojaner av olika slag och program av klassen Dialer.
Statistisk analys av detekteringsdynamiken för ITW-prover (in the Wild) visar att utvecklare av skadlig programvara har anammat och aktivt använder en ny teknik för att bekämpa signaturskannrar. Dess teknik är extremt enkel och består i att utvecklaren skapar hundratals varianter av samma skadliga program inom en kort tidsperiod. De enklaste metoderna för att få olika alternativ är följande:
- ompaketering av olika packare och krypteringar - kan utföras periodiskt eller vid tidpunkten för en filbegäran, uppsättningen av packare och deras parametrar kan variera slumpmässigt. Ofta använder författare av skadlig kod modifierade packare och krypteringar, vilket gör dem svåra att kontrollera;
- omkompilering av filen med modifieringar som är tillräckliga för att ändra signaturerna för filen genom vilken den detekteras;
- placera en skadlig fil i ett installationspaket skapat med NSIS (Scriptable Installation System) installationsprogram. Närvaron av installationsprogrammets öppna källkod gör att du kan ändra den något, vilket gör det omöjligt att automatiskt packa upp och analysera den under en antivirusskanning.
Dessa tekniker har varit kända under lång tid och kan användas i olika kombinationer, vilket gör att författaren till ett skadligt program enkelt kan skapa hundratals varianter av samma program utan att använda klassiska polymorfa tekniker. Du kan spåra detta i exemplet med Trojan-Downloader. Win32.Zlob. Betrakta statistiken över dess upptäckter under de senaste 40 dagarna (Fig. 2).
Ris. 2. Trojan-Downloader.Win32.Zlob detekteringsdynamik över 40 dagar
Under denna period upptäckte författaren 2198 ITW-exempel av Trojan-Downloader.Win32. Zlob, varav 1213 är unika. Grafen visar två kurvor: antalet upptäckter per dag och antalet unika filvarianter. Det kan ses från grafen att ungefär vartannat upptäckt ITW-prov är en unik fil, och detta beroende förblir stabilt i en månad. Baserat på klassificeringen av Kaspersky Lab, tillhör de 1213 proverna 169 undervarianter av detta skadliga program. Sådan statistik är ganska avslöjande: det finns många skadliga program för vilka dussintals nya ändringar upptäcks varje dag.
En annan karakteristisk trend kan ses i exemplet med postmasken Warezov. Under månaden spelade författaren in 5333 ITW-prover, varav 459 är unika. Aktivitetsfördelningsdiagrammet visas i fig. 3.
Ris. 3. Warezov postmaskaktivitet
Topparna på grafen är de perioder av epidemier som är associerade med uppkomsten av nya varianter av masken (i detta fall: Email-Worm.Win32.Warezov.gj, Email-Worm.Win32.Warezov.fb, Email-Worm .Win32.Warezov.hb) . Grafen visar att en aktiv epidemi varar i genomsnitt 2-5 dagar, varefter antalet Warezov-detekteringar sjunker till en "bakgrunds"-nivå på 10-30 prover per dag. Utseendet på sådana skurar är ganska förståeligt - en ny typ av mask upptäcks inte av antivirus, som ett resultat infekterar masken många datorer och en epidemi börjar. Det utvecklas snabbt, men under dagen hamnar maskens signaturer i databaserna med antivirus och epidemin minskar snabbt.
Separat bör det noteras den aktiva distributionen av trojanska program i kategorin Trojan-SPY - spioner som stjäl användarnas personuppgifter. Bland dem sticker den berömda Goldun ut och stjäl information om kontona för e-guldsystemet. De senaste versionerna av denna trojan använder aktivt rootkit-tekniker för kamouflage och spionage (Fig. 4).
Ris. 4. Graf över Trojan-SPY-aktivitet för den senaste månaden
En analys av de teknologier som används av skapare av skadlig programvara visar att ingen revolutionerande ny teknik uppfanns 2006 - utvecklare av skadlig programvara fokuserar på kvantitet, inte kvalitet. Det finns dock flera nya utvecklingar som förtjänar mer diskussion.
Sammanfattningsvis, låt oss överväga en sammanfattande genomsnittlig graf byggd enligt data från författarens system för automatisk övervakning av viral aktivitet (Fig. 5).
Ris. 5. Statistik för det automatiska systemet för upptäckt av skadlig programvara för de senaste 40 dagarna
Grafen visar att det automatiska systemet registrerar i genomsnitt cirka 400 nya unika varianter av skadliga program per dag.
Rootkit-teknologier
År 2006 utvecklades och förbättrades olika typer av rootkits och rootkit-teknologier. Dessa tekniker används av många skadliga program, och det finns flera av dem:
- Rootkit-tekniker för maskering, vars huvudsakliga syfte är att maskera närvaron av ett skadligt program och dess komponenter på disken och i minnet, samt att maskera nycklar i registret. För att lösa detta problem används oftast avlyssning av API-funktioner, och i moderna rootkits finns det mycket sofistikerade metoder för avlyssning, till exempel injicering av kod i icke-exporterade kärnfunktioner, avlyssning av ett Int2E-avbrott, modifiering av SYSENTER. Separat bör det noteras DKOM-rootkits (Direct Kernel Object Manipulation), som blir allt mer populära;
- Rootkit-teknologier för spionage – som namnet antyder används de för att övervaka användarens aktiviteter och samla in konfidentiell information. Det mest typiska exemplet är Trojan-Spy.Win32.Goldun, som, enligt rootkit-principen, avlyssnar utbytet av applikationer med Internet för att söka efter detaljer i den överförda informationsströmmen kreditkort användare.
Låt oss ta en närmare titt på DKOM rootkits. Principen för deras funktion är baserad på modifiering av systemstrukturer som beskriver processer, drivrutiner, trådar och deskriptorer. Sådana ingrepp i systemstrukturer är naturligtvis en odokumenterad och högst felaktig operation, men efter sådana ingrepp fortsätter systemet att fungera mer eller mindre stabilt. Den praktiska konsekvensen av sådan störning är att angriparen har möjlighet att manipulera kärnans strukturer för sina egna syften. Till exempel, för var och en av de pågående processerna i kärnan, skapas en EPROCESS-struktur som lagrar mycket information om processen, särskilt dess identifierare (PID) och processnamn. Dessa strukturer bildar en dubbellänkad lista och används av API-funktioner som returnerar information om pågående processer. För att maskera en process tar ett DKOM rootkit helt enkelt bort sin EPROCESS-struktur från listan. Implementeringen av en sådan förklädnad är extremt enkel, och du kan hitta dussintals färdiga implementeringar med källtexter på Internet. Mer komplexa rootkits är inte begränsade till att ta bort strukturen för det maskerade objektet från listan - de förvränger data som finns i det. Som ett resultat, även om anti-rootkit kan hitta en förtäckt process eller drivrutin, kommer det att få felaktig information om det. På grund av den enkla implementeringen blir sådana rootkits allt mer populära, och det blir allt svårare att hantera dem. Studier har visat att den mest effektiva metoden att motverka dem är att installera en monitor i systemet som övervakar uppstart/avstängning av processer och laddning/lossning av drivrutiner. Jämförelse av informationen som samlas in av en sådan monitor med data som returneras av systemet gör det möjligt att upptäcka ändringar gjorda av DKOM rootkit, förstå deras natur och detektera maskerade processer och drivrutiner.
Hoax-program
Riktningen för Hoax-program fortsätter att utvecklas aktivt, så vi kan med tillförsikt förutsäga tillväxten av denna familj under 2007. Bokstavligen översatt är bluff ett bedrägeri; lögn, bluff, osanning. Tanken med Hoax-program är att lura användaren, oftast i syfte att tjäna pengar eller stjäla konfidentiell information. På senare tid har det funnits en tendens att kriminalisera den här branschen: om de flesta bluffprogram för ett år sedan utförde relativt ofarliga handlingar, simulerade datorinfektion med virus eller SpyWare-kod, så är de moderna alltmer inriktade på att stjäla lösenord eller konfidentiell information. Ett exempel på ett sådant program visas i fig. 6.
Ris. 6. Fönster i programmet Hoax.Win32.Delf
Som följer av programfönstret och dess beskrivning är detta en licensgenerator för Kaspersky Anti-Virus. Programmet uppmanar dig att ange din e-postadress och ditt lösenord för att komma åt din brevlåda och ta emot den genererade licensen. Om en godtrogen användare gör detta och klickar på "Hämta chiffer"-knappen, kommer uppgifterna som angetts av honom att överföras till angriparen via e-post. Mer än hundra sådana program har upptäckts under det senaste året: det här är olika "sprickor", generatorer av betalkort för mobiloperatörer, generatorer av kreditkortsnummer, sätt att "hacka" brevlådor, etc. Ett vanligt kännetecken för sådana program är användarens vilseledande, som syftar till att säkerställa att han självständigt anger viss konfidentiell information. Andra karakteristisk Hoax-applikationer - deras primitivitet: de innehåller många fel och felaktigheter i programkoden. Sådana program skapas ofta av nybörjare av virusskribenter.
Utvecklingstrenden för Hoax-program kan ses på exemplet med Hoax.Win32.Renos (fig. 7).
Ris. 7. Hoax.Win32.Renos detekteringsdynamik under de senaste 30 dagarna
Grafen visar att författaren upptäcker minst en ny unik variant av detta skadliga program per dag, och på bara en månad observeras 60 nya unika varianter, som ingår i 18 undervarianter enligt klassificeringen av Kaspersky Lab.
Trojaner för utpressning och utpressning
Program av denna sort dök upp först för ett par år sedan. Deras huvudmål är att direkt utpressa användaren och pressa pengar från honom för att återställa datorns arbetskapacitet eller dekryptera information som kodats av det trojanska programmet. Oftast får författaren rapporter och förfrågningar om hjälp från användare som drabbats av trojanen Trojan.Win32.Krotten, som pressade ut 25 WMZ för att återställa datorn till att fungera. Denna trojan är extremt primitiv i design, och allt dess arbete handlar om att modifiera hundratals nycklar i registret (med detaljerad beskrivning en av dess varianter kan hittas på: http://www.z-oleg.com/secur/virlist/vir1180.php). En egenskap hos denna familj av trojaner är att det inte räcker att söka efter och förstöra en trojan för att bota en dator - det är också nödvändigt att återställa skadorna som den orsakat till systemet. Om skadan på registret som skapats av Krotten Trojan är ganska lätt att reparera, är den krypterade informationen mycket svårare att återställa. Till exempel, skaparen av den trojanska Gpcode, som krypterar användardata, ökar gradvis krypteringsnyckelns längd och utmanar därmed antivirusföretag. Du kan läsa mer om denna trojan i Blackmailer-artikeln på: http://www.viruslist.com/ru/analysis?pubid=188790045 .
Programkodinjektion som en dold startmetod
Den här tekniken syns tydligast i moderna trojan-nedladdare, men gradvis börjar den introduceras i andra skadliga program. Dess teknik är relativt enkel: ett skadligt program består villkorligt av två delar - en "injektor" och en trojansk kod. Uppgiften för "injektorn" är att packa upp och dekryptera den trojanska koden och injicera den i en viss systemprocess. I det här skedet skiljer sig den studerade skadliga programvaran i metoden för att injicera den trojanska koden:
- injektion genom kontextsubstitution - principen för sådan injektion involverar förberedelse och dekryptering av den trojanska koden (steg 1), start av valfri systemprocess, och när en process skapas skapas den i "sovläge" (avstängt) (steg 2). Därefter injicerar injektorn den trojanska koden i processminnet (desutom kan en sådan injektion utföras ovanpå processens maskinkod), varefter den ändrar kontexten för huvudtråden på ett sådant sätt att den trojanska koden tar emot kontroll (steg 3). Därefter startas huvudtråden och den trojanska koden exekveras. Denna metod är intressant eftersom vilken processhanterare som helst kommer att visa körningen av ett legitimt program (säg, svchost.exe), men istället för maskinkoden för ett legitimt program kommer trojansk kod att finnas i minnet och exekveras. Denna metod låter dig kringgå brandväggar som inte har möjlighet att kontrollera modifieringen av processminnet och kontexten för dess trådar (fig. 8);
Ris. 8. Injektion genom kontextsubstitution
- introduktion av trojanska trådar - denna metod är ideologiskt lik den föregående, men istället för att ersätta processens maskinkod med en trojan och köra den i huvudtråden skapas en extra tråd där den trojanska koden exekveras (steg 2). Denna metod används ofta för att injicera trojansk kod i en redan existerande process utan att störa dess funktion (Figur 9).
Ris. 9. Introduktion genom att skapa en trojansk ström
Nya metoder för att stjäla WebMoney
I slutet av 2006 upptäcktes en ny, ganska originell metod för att stjäla pengar i WebMoney-systemet. Det bygger på introduktionen av ett litet trojanskt program på användarens dator, som övervakar om WebMoney-programfönstret är öppet. Om den är öppen övervakas urklippet. När den hittar text i bufferten som börjar med "Z", "R" eller "E" antar trojanen att detta är mottagarens plånboksnummer, som användaren kopierade till klippbordet för inmatning i WebMoney-fönstret. Detta nummer tas bort från bufferten och ersätts med "Z", "R" eller "E" numret i angriparens plånbok. Metoden är extremt enkel att implementera och kan vara ganska effektiv, eftersom plånboksnummer oftast inte skrivs in, utan kopieras genom bufferten, och inte alla användare kontrollerar noggrant om plånboksnumret har infogats från bufferten. Den här trojanen är en tydlig demonstration av trojanska utvecklares uppfinningsrikedom.
Detektering av debuggers och virtuella datorer
Tekniker för att hantera debuggers, emulatorer och virtuella datorer har varit kända sedan länge. Deras användning gör det svårt för en nybörjare att analysera skadlig programvara, vilket är anledningen till att sådana tekniker framgångsrikt har använts av utvecklare av skadlig programvara under lång tid. Men under det senaste året har en ny trend dykt upp: skadlig programvara har börjat försöka bestämma vilken typ av dator – om det är riktig hårdvara eller en emulering skapad av program som Virtual PC eller VMWare. Sådana virtuella datorer har använts ganska aktivt och används av administratörer för att studera misstänkta program. Om det finns en kontroll, om det startas på en virtuell PC (eller under en debugger, som ett alternativ), kan ett skadligt program helt enkelt krascha sitt arbete, vilket kommer att förhindra att det studeras. Dessutom skulle ett sådant test träffa system som Norman Sandbox, eftersom deras princip för heuristisk analys i huvudsak är att köra programmet som studeras på en emulator och undersöka dess funktion. I slutet av året publicerade SANS Institute-specialisterna Tom Liston och Ed Skoudis en mycket intressant rapport som beskrev detektionstekniken virtuella maskiner och stridsdetekteringsmetoder. Dokumentet kan laddas ner från SANS webbplats - http://handlers.sans.org/tliston/ThwartingVMDetection_Liston_Skoudis.pdf.
Spambots och trojanska proxyservrar
En spam bot är en fristående trojan som är utformad för att automatiskt skicka skräppost från en infekterad dator. En trojansk proxy är ett skadligt program med funktionerna som en proxyserver; dess funktion på den drabbade datorn tillåter en angripare att använda den som en proxyserver för att skicka skräppost, attackera andra datorer och utföra andra olagliga åtgärder. Många moderna spambots maskerar aktivt sin närvaro med hjälp av rootkit-teknik och skyddar sig från radering. Statistik visar att mer än 400 ITW-varianter av sådana program upptäcks per månad, varav cirka 130 är nya och unika.
En spam bot utgör ett stort hot mot företagsnätverk, eftersom dess funktion leder till följande konsekvenser:
- hög konsumtion av nätverkstrafik - i de flesta städer i Ryssland finns det inte ännu obegränsade tariffer, därför kan närvaron av flera drabbade datorer i nätverket leda till betydande ekonomiska förluster på grund av konsumtion av trafik;
- många företagsnätverk använder statiska IP-adresser och sina egna e-postservrar för att komma åt Internet. Följaktligen, som ett resultat av spambotarnas aktiviteter, kommer dessa IP-adresser snabbt att svartlistas av anti-spam-filter, vilket innebär att e-postservrar på Internet inte längre kommer att acceptera e-post från företagets företags e-postserver. Det är möjligt att utesluta din IP-adress från den svarta listan, men det är ganska svårt, och om det finns körande spambots på nätverket kommer detta att vara en tillfällig åtgärd.
Metoderna för att motverka skräppostrobotar och trojanska proxyservrar är mycket enkla: du måste blockera port 25 för alla användare, och helst helt förbjuda dem från direkt kommunikation med Internet och ersätta det med att arbeta via proxyservrar. Till exempel, i Smolenskenergo, får alla användare tillgång till Internet endast via en proxy med ett filtersystem, och en halvautomatisk studie av protokollen utförs dagligen, som utförs av systemadministratören i tjänst. Analysatorn som den använder gör det enkelt att upptäcka avvikelser i användartrafik och vidta lämpliga åtgärder för att blockera misstänkt aktivitet. Dessutom ger IDS-system (Intrusion Detection System), som studerar användarnätverkstrafik, utmärkta resultat.
Spridning av skadliga program med Internet Messengers
Enligt den statistik som samlats in under året används personsökare i allt högre grad för att injicera skadliga program på användarnas datorer. Implementeringstekniken är en klassisk social ingenjörskonst. Från den infekterade datorn, på uppdrag av sin ägares ICQ, skickar det skadliga programmet ut meddelanden som uppmanar, under en eller annan förevändning, att öppna den angivna länken. Länken leder till en trojan (vanligtvis med ett meningsfullt namn som picture.pif eller flash_movie.exe) eller till en webbplats vars sidor innehåller utnyttjande. Det bör särskilt noteras att det är länkar till skadliga program som distribueras, och inte deras kroppar.
Under det senaste året har flera epidemier baserade på denna princip registrerats. I Ryssland var offren främst ICQ-användare och kategorin Trojan-PSW, trojanska program som stjäl användarlösenord, distribuerades oftast på detta sätt. Författaren får i genomsnitt från ett till tio meddelanden per dag, och i slutet av året finns en ökning av sådana utskick.
Skyddet mot den här typen av skadlig programvara är extremt enkelt - du bör inte öppna sådana länkar. Statistik visar dock att användarnas nyfikenhet ofta överväger, det mer om meddelandena kommer från en känd person. I en företagsmiljö effektiv åtgärdär ett förbud mot användning av Internet-personsökare, eftersom de ur säkerhetssynpunkt är en idealisk kanal för informationsläckage.
USB flash media
En betydande nedgång i priserna för flashmedia (liksom en ökning av deras volym och hastighet) ledde till en naturlig effekt - en snabb ökning av deras popularitet bland användare. Följaktligen började utvecklare av skadlig programvara skapa program som infekterar flash-enheter. Funktionsprincipen för sådana program är extremt enkel: två filer skapas i roten på disken - textfilen autorun.inf och en kopia av det skadliga programmet. Autorun-filen används för att köra skadlig programvara automatiskt när en enhet är ansluten. Ett klassiskt exempel på sådan skadlig programvara är Rays-postmasken. Det är viktigt att notera att en digitalkamera kan fungera som virusbärare, många Mobiltelefoner, MP3-spelare och handdatorer - ur en dators synvinkel (och följaktligen en mask) går de inte att skilja från en flashdisk. Samtidigt påverkar inte förekomsten av skadlig programvara driften av dessa enheter på något sätt.
Ett mått av skydd mot sådana program kan vara att inaktivera autorun, användning av antivirusmonitorer för snabb upptäckt och borttagning av viruset. Inför hotet om ett inflöde av virus och informationsläckage vidtar många företag strängare åtgärder - blockerar möjligheten att ansluta USB-enheter med hjälp av specialiserad programvara eller blockerar USB-drivrutiner i systeminställningarna.
Slutsats
I den här artikeln övervägdes huvudriktningarna för utveckling av skadliga program. Deras analys låter oss göra flera förutsägelser:
- det kan antas att maskeringsriktningen från signaturskannrar och skydd mot lansering på virtuella datorer och emulatorer kommer att utvecklas aktivt. Följaktligen kommer olika heuristiska analysatorer, brandväggar och proaktiva försvarssystem i förgrunden för att bekämpa sådan skadlig programvara;
- det finns en tydlig kriminalisering av utvecklingsindustrin för skadlig programvara, en växande andel av spambots, trojanska proxyservrar, trojaner för att stjäla lösenord och personliga uppgifter om användare. Till skillnad från virus och maskar kan sådana program orsaka betydande materiell skada på användarna. Utvecklingen av branschen av trojanska program som krypterar data till användare får oss att tänka på lämpligheten av periodiska säkerhetskopieringar, vilket praktiskt taget reducerar skadorna från en sådan trojan till noll;
- En analys av fall av datorinfektion visar att angripare ofta hackar webbservrar för att placera skadliga program på dem. Sådan hacking är mycket farligare än den så kallade deface (ersätter webbplatsens hemsida), eftersom webbplatsbesökarnas datorer kan infekteras. Det kan antas att denna riktning kommer att utvecklas mycket aktivt;
- Flash-enheter, digitalkameror, MP3-spelare och handdatorer blir ett växande säkerhetshot eftersom de kan bära virus. Många användare underskattar faran som till exempel en digitalkamera utgör - men 2006 råkade författaren studera minst 30 incidenter relaterade till sådana enheter;
- analys av enheten och principerna för drift av skadliga program visar att det är möjligt att skydda dig mot dem utan ett antivirus - de kan helt enkelt inte fungera i ett korrekt konfigurerat system. Den huvudsakliga skyddsregeln är att användaren arbetar under ett begränsat konto, som i synnerhet inte har behörighet att skriva till systemmappar, att hantera tjänster och drivrutiner och även att ändra systemregisternycklar.
Aktiva Upplaga från 15.02.2008
"GRUNDMODELL FÖR PERSONUPPGIFTSÄKERHETSHOT UNDER DERAS BEHANDLING I PERSONUPPGIFTSINFORMATIONSSYSTEM" (godkänd den 15 februari 2008 av Ryska federationens FSTEC)
5. Hot om obehörig åtkomst till information iet
Hot mot UA i ISPD med användning av mjukvara och mjukvara och hårdvara implementeras under obehörig, inklusive oavsiktlig, åtkomst, vilket resulterar i ett brott mot konfidentialitet (kopiering, otillåten distribution), integritet (förstörelse, modifiering) och tillgänglighet (blockering) av PD och inkluderar:
hot om åtkomst (penetration) till en dators operativa miljö med hjälp av standardprogramvara (operativsystemverktyg eller allmänna applikationsprogram);
Hot om att skapa onormala driftsätt för programvara (mjukvara och hårdvara) innebär på grund av avsiktliga ändringar i tjänstdata, ignorering av begränsningarna för sammansättningen och egenskaperna hos den bearbetade informationen som tillhandahålls under vanliga förhållanden, förvrängning (modifiering) av själva data, etc.;
hot om introduktion av skadlig programvara (programvara-matematisk påverkan).
Sammansättningen av elementen i beskrivningen av UA-hot mot information i ISPD visas i figur 3.
Dessutom är kombinerade hot möjliga, som är en kombination av dessa hot. Till exempel, på grund av introduktionen av skadliga program, kan förutsättningar skapas för obehörig åtkomst till en dators operativa miljö, inklusive genom bildandet av icke-traditionella informationsåtkomstkanaler.
Hot om åtkomst (penetration) till ISPD-operativmiljön med hjälp av standardprogramvara är uppdelad i hot om direktåtkomst och fjärråtkomst. Hot om direktåtkomst utförs med hjälp av programvara och firmware I/O på datorn. Fjärråtkomsthot implementeras med hjälp av nätverkskommunikationsprotokoll.
Dessa hot implementeras med avseende på ISPD både utifrån en automatiserad arbetsplats som inte ingår i det publika kommunikationsnätet, och i förhållande till alla ISPD som är anslutna till publika kommunikationsnät och internationella informationsutbytesnät.
Beskrivning av hot om åtkomst (penetration) till en dators operativa miljö kan formellt representeras enligt följande:
hot om UA i ISPD: =<источник угрозы>, <уязвимость ИСПДн>, <способ реализации угрозы>, <объект воздействия (программа, протокол, данные и др.)>, <деструктивное действие>.
Figur 3. Inslag av beskrivning av hot mot NSD mot information i ISPD
Hot om att skapa onormala driftsätt för programvara (mjukvara och hårdvara) innebär "Denial of Service"-hot. Dessa hot betraktas som regel i relation till ISPD baserat på lokala och distribuerade informationssystem, oavsett koppling av informationsutbyte. Deras implementering beror på det faktum att utvecklingen av system- eller applikationsprogramvara inte tar hänsyn till möjligheten till avsiktliga åtgärder för att målmedvetet ändra:
databehandlingsvillkor (till exempel ignorering av begränsningar för längden på meddelandepaketet);
Datapresentationsformat (med en diskrepans mellan de modifierade formaten som fastställts för bearbetning med nätverksinteraktionsprotokoll);
Programvara för databehandling.
Denial of Service-hot resulterar i buffertspill och blockering av bearbetningsprocedurer, "looping" av bearbetningsprocedurer och "frysning" av datorn, kassering av meddelandepaket etc. Beskrivningen av sådana hot kan formellt presenteras enligt följande:
Denial of Service-hot: =<источник угрозы>, <уязвимость ИСПДн>, <способ реализации угрозы>, <объект воздействия (носитель ПДн)>, <непосредственный результат реализации угрозы (переполнение буфера, блокирование процедуры обработки, "зацикливание" обработки и т.п.)>.
Det är olämpligt att beskriva hoten från skadliga program (programvara-matematisk påverkan) med samma detaljer som ovanstående hot. Detta beror på det faktum att, för det första, antalet skadliga program idag redan avsevärt överstiger hundra tusen. För det andra, när man organiserar informationsskydd i praktiken, är det som regel tillräckligt att bara känna till klassen för ett skadligt program, metoder och konsekvenser av dess införande (infektion). I detta avseende kan hoten om program-matematisk påverkan (PMI) formellt representeras enligt följande:
PMV-hot i ISPDn: =<класс вредоносной программы (с указанием среды обитания)>, <источник угрозы (носитель вредоносной программы)>, <способ инфицирования>, <объект воздействия (загрузочный сектор, файл и т.п.)>, <описание возможных деструктивных действий>, <дополнительная информация об угрозе (резидентность, скорость распространения, полиморфичность и др.)>.
Nedan finns en allmän beskrivning av källorna till informationssäkerhetshot, sårbarheter som kan användas vid implementering av UA-hot och en beskrivning av resultatet av obehörig eller oavsiktlig åtkomst. En beskrivning av metoderna för att implementera hot ges när man beskriver hot om åtkomst (penetration) till en dators operativa miljö, hot om överbelastning och hot om PMA.
Källor till hot mot UA i ISPD kan vara:
inkräktare;
skadlig programvara;
hårdvara bokmärke.
PD-säkerhetshot i samband med introduktionen av hårdvarubuggar bestäms i enlighet med regulatoriska dokument Federal Service Ryska federationens säkerhet på det sätt som fastställts av den.
Beroende på närvaron av rätten till permanent eller engångsåtkomst till det kontrollerade området (KZ) av ISPD, är överträdare indelade i två typer:
kränkare som inte har tillgång till ISPD, inser hot från externa offentliga kommunikationsnätverk och (eller) internationella nätverk för informationsutbyte - externa kränkare;
kränkare som har tillgång till ISPD, inklusive ISPD-användare som implementerar hot direkt i ISPD, är interna kränkare.
Externa inkräktare kan vara:
staters underrättelsetjänster;
Kriminella strukturer;
konkurrenter (konkurrerande organisationer);
oärliga partners;
externa ämnen (individer).
En extern inkräktare har följande möjligheter:
utföra obehörig åtkomst till kommunikationskanaler som går utanför kontorslokalerna;
utföra obehörig åtkomst genom arbetsstationer anslutna till offentliga kommunikationsnät och (eller) internationella nätverk för informationsutbyte;
utföra obehörig åtkomst till information med hjälp av speciella programvaruåtgärder genom programvaruvirus, skadlig programvara, algoritmer eller programvarubokmärken;
Utföra obehörig åtkomst genom delar av ISPD:s informationsinfrastruktur, som under deras livscykel(modernisering, underhåll, reparation, bortskaffande) ligger utanför den kontrollerade zonen;
utföra obehörig åtkomst genom interagerande avdelningar, organisationer och institutioners informationssystem när de är anslutna till ISPD.
En insiders förmåga beror i hög grad på regimen och organisatoriska och tekniska skyddsåtgärder som verkar inom den kontrollerade zonen, inklusive individers tillträde till personuppgifter och kontroll av arbetsproceduren.
Interna potentiella kränkare är indelade i åtta kategorier beroende på metoden för åtkomst och behörighet att få åtkomst till PD.
Den första kategorin omfattar personer som har auktoriserad tillgång till ISPD, men som inte har tillgång till PD. Denna typ av lagöverträdare inkluderar tjänstemän som säkerställer att ISPD fungerar normalt.
ha tillgång till fragment av information som innehåller PD och distribueras via interna ISPD-kommunikationskanaler;
Ha fragment av information om topologin för ISPD (kommunikationsdelen av undernätet) och om de kommunikationsprotokoll som används och deras tjänster;
Ha namnen och utföra identifieringen av lösenord för registrerade användare;
ändra konfigurationen av ISPD-hårdvaran, ange program- och hårdvarubokmärken i den och tillhandahåll informationshämtning med hjälp av en direkt anslutning till ISPD-hårdvaran.
har alla förmågor hos personer i den första kategorin;
Känner till minst ett juridiskt åtkomstnamn;
Den har alla nödvändiga attribut (till exempel ett lösenord) som ger tillgång till en viss delmängd av PD;
har konfidentiella uppgifter som den har tillgång till.
Dess åtkomst, autentisering och åtkomsträttigheter till en viss delmängd av PD bör regleras av relevanta regler för åtkomstkontroll.
har alla kapaciteter hos personer i den första och andra kategorin;
Har information om ISPD-topologin baserad på ett lokalt och (eller) distribuerat informationssystem genom vilket åtkomst tillhandahålls, och om sammansättningen av ISPD:s tekniska medel;
har möjlighet till direkt (fysisk) tillgång till fragment av ISPD-tekniska medel.
Innehar fullständig information om systemet och programvaran som används i segmentet (fragmentet) av ISPD;
Har fullständig information om de tekniska medlen och konfigurationen av ISPD-segmentet (fragment);
har tillgång till informationssäkerhet och loggningsverktyg, samt till enskilda element som används i ISPD-segmentet (fragment);
har tillgång till alla tekniska hjälpmedel för ISPD-segmentet (fragment);
har rättigheterna att konfigurera och administrera någon delmängd av de tekniska medlen för ISPD-segmentet (fragment).
Har alla förmågor hos personer i de tidigare kategorierna;
har fullständig information om systemet och applikationsmjukvaran för ISPD;
besitter fullständig information om tekniska medel och konfiguration av ISPD;
har tillgång till alla tekniska metoder för informationsbehandling och ISPD-data;
har rättigheterna att konfigurera och administrera de tekniska medlen för ISPD.
Systemadministratören konfigurerar och hanterar programvara (mjukvara) och utrustning, inklusive utrustning som ansvarar för säkerheten för det skyddade objektet: medel för kryptografiskt informationsskydd, övervakning, registrering, arkivering, skydd mot obehörig åtkomst.
har alla kapaciteter hos personer i de tidigare kategorierna;
har fullständig information om ISPD;
har tillgång till informationssäkerhet och loggningsverktyg och till några av de viktigaste delarna av ISPD;
Har inga åtkomsträttigheter till att konfigurera nätverkshårdvara, förutom kontroll (inspektion).
Säkerhetsadministratören ansvarar för efterlevnad av regler för åtkomstkontroll, för att generera nyckelelement och ändra lösenord. Säkerhetsadministratören granskar samma objektskydd som systemadministratören.
besitter information om algoritmer och program för att bearbeta information om ISPD;
Har förmågan att införa fel, odeklarerade funktioner, programvarubokmärken, skadlig programvara i ISPD-programvaran i utvecklings-, implementerings- och underhållsstadiet;
kan ha några fragment av information om topologin för ISPD och de tekniska sätten att bearbeta och skydda den PD som behandlas i ISPD.
har förmågan att skapa bokmärken i de tekniska medlen för ISPD i utvecklings-, implementerings- och underhållsstadiet;
Den kan ha vilka fragment av information som helst om topologin för ISPD och de tekniska sätten att bearbeta och skydda information i ISPD.
Bäraren av ett skadligt program kan vara ett hårdvaruelement i en dator eller en mjukvarubehållare. Om det skadliga programmet inte är associerat med något applikationsprogram, anses följande vara dess bärare:
Flyttbara media, t.ex. diskett, optisk skiva (CD-R, CD-RW), flashminne, lösbar hårddisk, etc.;
Inbyggda lagringsmedia (hårddiskar, RAM-chips, processor, moderkortschips, chips av enheter inbyggda i systemenheten - videoadapter, nätverkskort, ljudkort, modem, magnetisk hårddisk och optiska skivor, strömförsörjning, etc., chips för direkt minnesåtkomst, databussar, in-/utgångsportar);
chips av externa enheter (skärm, tangentbord, skrivare, modem, skanner, etc.).
Om ett skadligt program är associerat med något applikationsprogram, med filer som har vissa tillägg eller andra attribut, med meddelanden som överförs över nätverket, är dess bärare:
paket med meddelanden sända över ett datornätverk;
filer (text, grafik, körbar, etc.).
5.2. Allmänna egenskaper hos sårbarheter i informationssystem för personuppgifterSårbarhet i pe- brist eller svaghet i systemet eller applikationsmjukvaran (hårdvara och programvara) i ett automatiserat informationssystem som kan användas för att implementera ett hot mot säkerheten för personuppgifter.
Orsakerna till sårbarheter är:
fel i design och utveckling av stöd för programvara (mjukvara och hårdvara);
avsiktliga åtgärder för att introducera sårbarheter under design och utveckling av stöd för programvara (hårdvara);
felaktiga mjukvaruinställningar, olagliga ändringar i driftlägen för enheter och program;
Otillåten introduktion och användning av oinspelade program med efterföljande omotiverade utgifter för resurser (processorbelastning, beslag av RAM och minne på externa media);
introduktion av skadliga program som skapar sårbarheter i programvara och firmware;
otillåtna oavsiktliga handlingar från användare som leder till sårbarheter;
fel i driften av hårdvara och mjukvara (orsakade av strömavbrott, fel på hårdvaruelement till följd av åldrande och minskad tillförlitlighet, extern påverkan av elektromagnetiska fält tekniska anordningar och så vidare.).
Klassificeringen av de huvudsakliga ISPD-sårbarheterna visas i figur 4.
Figur 4. Klassificering av sårbarheter i programvara
Nedan finns en allmän beskrivning av huvudgrupperna av ISPD-sårbarheter, inklusive:
sårbarheter i systemprogramvara (inklusive nätverksinteraktionsprotokoll);
sårbarheter i tillämpningsprogram (inklusive verktyg för informationssäkerhet).
5.2.1. Allmänna egenskaper hos sårbarheter i systemprogramvaranSårbarheter i systemprogramvaran måste beaktas med hänvisning till datorsystemens arkitektur.
Följande sårbarheter är möjliga:
i mikroprogram, i ROM-firmware, PROM;
i operativsystemsverktyg utformade för att hantera lokala ISPD-resurser (tillhandahåller exekvering av funktioner för hantering av processer, minne, inmatnings-/utgångsenheter, användargränssnitt, etc.), drivrutiner, verktyg;
I operativsystemsverktyg utformade för att utföra hjälpfunktioner - verktyg (arkivering, defragmentering, etc.), systembearbetningsprogram (kompilatorer, länkare, debuggers, etc.), program för att tillhandahålla ytterligare tjänster till användaren (speciella gränssnittsalternativ, miniräknare, spel , etc.), procedurbibliotek för olika ändamål(bibliotek med matematiska funktioner, ingångs-/utdatafunktioner, etc.);
i operativsystemets kommunikationsmedel (nätverksverktyg).
Sårbarheter i firmware och operativsystemsverktyg utformade för att hantera lokala resurser och hjälpfunktioner kan vara:
Funktioner, procedurer, ändring av parametrarna som på ett visst sätt gör att de kan användas för obehörig åtkomst utan att operativsystemet upptäcker sådana ändringar;
fragment av programkoden ("hål", "luckor") som introducerats av utvecklaren, vilket gör det möjligt att kringgå procedurerna för identifiering, autentisering, integritetskontroller, etc.;
Fel i program (i deklarationen av variabler, funktioner och procedurer, i programkoder), som under vissa förhållanden (till exempel vid utförande av logiska övergångar) leder till fel, inklusive fel i funktionen av verktyg och system för informationssäkerhet.
Sårbarheter i nätverksinteraktionsprotokoll är relaterade till särdragen i deras mjukvaruimplementering och beror på begränsningar av storleken på bufferten som används, brister i autentiseringsproceduren, bristande kontroller av tjänsteinformationens riktighet etc. En kort beskrivning av dessa sårbarheter i förhållande till protokoll anges i tabell 2.
Tabell 2
Sårbarheter i individuella protokoll i TCP / IP-protokollstacken, på grundval av vilka globala offentliga nätverk fungerar
| Namn på protokollet | Protokollstapellager | Namn (karakteristisk) för sårbarheten | Innehållet i informationssäkerhetsbrott |
| FTP (File Transfer Protocol) - protokoll för överföring av filer över ett nätverk | 1. Klartextautentisering (lösenord skickas okrypterade) 2. Standardåtkomst 3. Två öppna portar | Förmåga att fånga upp data konto(registrerade användarnamn, lösenord). Få fjärråtkomst till värdar | |
| telnet - fjärrkontrollprotokoll för terminaler | Ansökt, representant, session | Ren textautentisering (lösenord skickas okrypterade) | Möjlighet att fånga upp användarkontodata. Få fjärråtkomst till värdar |
| UDP - Connectionless Data Transfer Protocol | Transport | Ingen mekanism för att förhindra buffertöverbelastning | Förmåga att implementera en UDP-storm. Paketutbyte resulterar i en betydande prestandaförsämring av servern |
| ARP - protokoll för att konvertera en IP-adress till en fysisk adress | nätverk | Ren textautentisering (information skickas okrypterad) | Möjlighet att avlyssna användartrafik av en angripare |
| RIP - Routing Information Protocol | Transport | Ingen autentisering av | Möjlighet att omdirigera trafik genom angriparens värd |
| TCP - Transmission Control Protocol | Transport | Avsaknad av en mekanism för att kontrollera korrektheten av att fylla i paketets tjänsthuvuden | En betydande minskning av växelkursen och till och med ett fullständigt avbrott i godtyckliga anslutningar via TCP-protokollet |
| DNS - Mappningsprotokoll för mnemoniska namn och nätverksadresser | Ansökt, representant, session | Brist på medel för att verifiera autentiseringen av mottagna data från källan | DNS-serversvarspoofing |
| IGMP - Routing Message Transfer Protocol | nätverk | Ingen autentisering av ruttparameterändringsmeddelanden | Hängande Win 9x/NT/200-system |
| SMTP är ett protokoll för att tillhandahålla en tjänst för att leverera meddelanden via e-post. | Ansökt, representant, session | Möjlighet att förfalska e-postmeddelanden, samt adressen till avsändaren av meddelandet | |
| SNMP - protokoll för att hantera routrar i nätverk | Ansökt, representant, session | Inget stöd för autentisering av meddelanderubriker | Möjlighet till överbelastning av nätverkets bandbredd |
För att systematisera beskrivningen av många sårbarheter används en enda databas över sårbarheter CVE (Common Vulnerabilities and Exposures), som utvecklats av specialister från många välkända företag och organisationer, såsom MItrE, ISS, Cisco, BindView, Axent, NFR , L-3, CyberSafe, CERT, Carnegie Mellon University, SANS Institute, etc. Denna databas uppdateras ständigt och används i bildandet av databaser med många säkerhetsanalysverktyg och framför allt nätverksskannrar.
5.2.2. Allmänna egenskaper hos sårbarheter i tillämpningsprogramTillämpningsprogram inkluderar applikationer för allmän användning och speciella applikationsprogram.
Tillämpningsprogram för allmän användning - text- och grafikredigerare, medieprogram (ljud- och videospelare, programvara för att ta emot tv-program, etc.), databashanteringssystem, programvaruplattformar för allmän användning för utveckling av mjukvaruprodukter (såsom Delphi, Visual Basic), betyder att skydda offentlig information m.m.
Specialapplikationsprogram är program som är utvecklade i syfte att lösa specifika applikationsproblem i denna ISPD (inklusive informationssäkerhetsprogram utvecklad för en specifik ISPD).
Sårbarheter i tillämpningsprogramvaran kan vara:
funktioner och procedurer relaterade till olika applikationsprogram och inkompatibla med varandra (fungerar inte i samma operativa miljö) på grund av konflikter relaterade till distributionen av systemresurser;
Funktioner, procedurer, ändring av parametrarna som på ett visst sätt gör det möjligt att använda dem för att penetrera ISPD-operativmiljön och anropa de vanliga funktionerna i operativsystemet, utföra obehörig åtkomst utan att upptäcka sådana ändringar av operativsystemet;
fragment av programkod ("hål", "luckor") som introducerats av utvecklaren, vilket gör det möjligt att kringgå procedurerna för identifiering, autentisering, integritetskontroll, etc. som tillhandahålls i operativsystemet;
brist på nödvändiga skyddsmedel (autentisering, integritetskontroller, kontroll av meddelandeformat, blockering av obehöriga modifierade funktioner, etc.);
Fel i program (i deklarationen av variabler, funktioner och procedurer, i programkoder), som under vissa förhållanden (till exempel vid utförande av logiska övergångar) leder till fel, inklusive fel i funktionen av verktyg och system för informationssäkerhet, till möjlighet till obehörig tillgång till information.
Sårbarhetsdata för kommersiellt utvecklad och distribuerad applikationsprogramvara samlas in, sammanfattas och analyseras i CVE-databasen<*>.
<*>Utförs av ett utländskt företag CERT på kommersiell basis.
5.3. Allmänna kännetecken för hot om direkt åtkomst till operativmiljön för peHot om åtkomst (penetration) till en dators operativa miljö och obehörig åtkomst till PD är förknippade med åtkomst till:
till information och kommandon lagrade i det grundläggande inmatnings-/utgångssystemet (BIOS) för ISPD, med förmågan att fånga upp kontrollen över operativsystemets start och erhålla rättigheterna för en betrodd användare;
in i operativmiljön, d.v.s. in i operativmiljön för det lokala operativsystemet för ett separat ISPD-tekniskt verktyg med möjlighet att utföra obehörig åtkomst genom att anropa vanliga operativsystemprogram eller starta speciellt utformade program som implementerar sådana åtgärder;
in i operativmiljön för applikationsprogram (till exempel för att lokalt system databashantering);
direkt till användarens information (till filer, text, ljud- och grafisk information, fält och register i elektroniska databaser) och beror på möjligheten att kränka dess konfidentialitet, integritet och tillgänglighet.
Dessa hot kan implementeras i fallet att erhålla fysisk åtkomst till ISPD eller åtminstone till sättet att mata in information i ISPD. De kan grupperas enligt villkoren för implementering i tre grupper.
Den första gruppen inkluderar hot som implementeras under laddningen av operativsystemet. Dessa informationssäkerhetshot syftar till att fånga upp lösenord eller identifierare, modifiera programvara grundläggande system input/output (BIOS), avlyssning av lastkontroll med en ändring av nödvändig teknisk information för att ta emot UA i ISPD-operativmiljön. Oftast implementeras sådana hot med hjälp av alienerade medier.
Den andra gruppen är hot som implementeras efter att operativmiljön laddats, oavsett vilket applikationsprogram som startas av användaren. Dessa hot är vanligtvis inriktade på att utföra direkt obehörig åtkomst till information. När en inkräktare får tillgång till operativmiljön kan en inkräktare använda både standardfunktionerna i operativsystemet eller något offentligt applikationsprogram (till exempel databashanteringssystem), och program speciellt skapade för att utföra obehörig åtkomst, till exempel:
registervisare och ändringar;
Program för att söka efter texter i textfiler med nyckelord och kopiering;
specialprogram för visning och kopiering av poster i databaser;
snabba tittare grafiska filer, redigera eller kopiera dem;
program för att stödja möjligheterna till omkonfigurering av mjukvarumiljön (ISPD-inställningar i gärningsmannens intresse) etc.
Slutligen inkluderar den tredje gruppen hot, vars implementering bestäms av vilket av applikationsprogrammen som startas av användaren, eller av det faktum att något av applikationsprogrammen startas. De flesta av dessa hot är hot mot skadlig programvara.
5.4. Allmänna kännetecken för hot mot personuppgifter som implementeras med hjälp av internetarbetande protokollOm ISPD implementeras på basis av ett lokalt eller distribuerat informationssystem, kan informationssäkerhetshot implementeras i det genom att använda internetarbetande protokoll. Samtidigt kan NSD till PD tillhandahållas eller hotet om denial of service kan realiseras. Hot är särskilt farliga när ISPD är en distribuerad informationssystem kopplade till offentliga nätverk och (eller) nätverk för internationellt informationsutbyte. Klassificeringsschemat för hot implementerade över nätverket visas i figur 5. Det är baserat på följande sju primära klassificeringsfunktioner.
1. Hotets karaktär. Utifrån detta kan hot vara passiva och aktiva. Ett passivt hot är ett hot, vars implementering inte direkt påverkar driften av ISPD, men de fastställda reglerna för att begränsa åtkomst till PD eller nätverksresurser kan överträdas. Ett exempel på sådana hot är hotet "Network traffic analysis" som syftar till att lyssna på kommunikationskanaler och fånga upp överförd information.
Ett aktivt hot är ett hot associerat med en påverkan på ISPD-resurser, vars implementering direkt påverkar driften av systemet (konfigurationsändring, prestandaavbrott, etc.), och i strid med de fastställda reglerna för att begränsa åtkomst till PD eller nätverksresurser. Ett exempel på sådana hot är Denial of Service-hotet, marknadsfört som en "TCP request storm".
2. Syftet med genomförandet av hotet. På grundval av detta kan hot syfta till att kränka sekretessen, integriteten och tillgängligheten av information (inklusive att kränka funktionsdugligheten hos ISPD eller dess delar).
3. Villkoret för att påbörja processen för att implementera hotet. På grundval av detta kan ett hot realiseras:
på begäran från det objekt mot vilket hotet genomförs. I det här fallet väntar inkräktaren på överföringen av en begäran av en viss typ, vilket kommer att vara villkoret för början av obehörig åtkomst;
Figur 5. Klassificeringsschema för hot med hjälp av internetarbetande protokoll
Vid inträffandet av en förväntad händelse vid den anläggning mot vilken hotet implementeras. I det här fallet övervakar inkräktaren ständigt tillståndet för ISPD-operativsystemet och, om specifik händelse obehörig åtkomst börjar i detta system;
ovillkorlig påverkan. I det här fallet är början av implementeringen av obehörig åtkomst ovillkorlig i förhållande till syftet med åtkomst, det vill säga hotet realiseras omedelbart och oavsett tillståndet i systemet.
4. Tillgänglighet för feedback från ISPD. På grundval av detta kan processen att implementera ett hot vara med eller utan feedback. Hotet som implementeras i närvaro av feedback från ISPD kännetecknas av det faktum att vissa förfrågningar som sänds till ISPD kräver att inkräktaren får ett svar. Följaktligen finns det en återkoppling mellan inkräktaren och ISPD, vilket gör att inkräktaren kan reagera adekvat på alla förändringar som sker i ISPD. Till skillnad från hot som implementeras i närvaro av feedback från ISPD, när hot implementeras utan feedback, är det inte nödvändigt att svara på eventuella förändringar som inträffar i ISPD.
5. Placeringen av inkräktaren i förhållande till ISPD. I enlighet med detta tecken realiseras hotet både inom segmentet och mellan segmentet. Nätverkssegment - en fysisk sammanslutning av värdar (ISPD-hårdvara eller kommunikationselement som har en nätverksadress). Till exempel bildar ISPD-segmentet en uppsättning värdar som är anslutna till servern enligt "common bus"-schemat. I fallet när det finns ett hot inom segmentet har inkräktaren fysisk åtkomst till ISPD-hårdvaruelementen. Om det finns ett hot mellan segmenten, är inkräktaren belägen utanför ISDN:et och inser hotet från ett annat nätverk eller från ett annat ISDN-segment.
6. Nivån på referensmodellen för interaktion mellan öppna system<*>(ISO/OSI) som hotet implementeras på. På grundval av detta kan ett hot implementeras på den fysiska, kanal-, nätverks-, transport-, sessions-, presentations- och applikationsnivåerna för ISO/OSI-modellen.
<*> Internationell organisation Standards Organization (ISO) antog ISO 7498-standarden, som beskriver Open Systems Interconnection (OSI).
7. Förhållandet mellan antalet överträdare och ISPD-element mot vilka hotet genomförs. På grundval av detta kan hotet klassificeras som en klass av hot som implementerats av en inkräktare med avseende på ett ISPD-tekniskt verktyg (ett-till-ett-hot), med avseende på flera ISPD-tekniska medel samtidigt (ett-till-många-hot) ) eller av flera inkräktare från olika datorer med avseende på en eller flera tekniska metoder för ISPD (distribuerade eller kombinerade hot).
Baserat på klassificeringen kan vi peka ut de sju vanligaste hoten för närvarande.
1. Analys av nätverkstrafik (Figur 6).
Figur 6. Schema för implementering av hotet "Nätverkstrafikanalys".
Detta hot implementeras med hjälp av ett speciellt paketanalysprogram (sniffer), som fångar upp alla paket som sänds över ett nätverkssegment och pekar ut bland dem de där användar-ID och lösenord sänds. Under implementeringen av hotet studerar inkräktaren logiken i nätverket - det vill säga försöker få en en-till-en-överensstämmelse mellan de händelser som inträffar i systemet och de kommandon som skickas av värdarna vid tidpunkten för förekomsten av hotet. dessa händelser. I framtiden tillåter detta en angripare, baserat på att ställa in lämpliga kommandon, att till exempel få privilegierade rättigheter att arbeta i systemet eller utöka sina befogenheter i det, avlyssna strömmen av överförda data som utbyts mellan nätverksoperativsystemkomponenter för att för att extrahera konfidentiell information eller identifieringsinformation (till exempel statiska lösenord för användare att komma åt fjärrvärdar via FTP- och TELNET-protokoll som inte tillhandahåller kryptering), dess ersättning, modifiering, etc.
2. Nätverksskanning.
Kärnan i hotimplementeringsprocessen är att skicka förfrågningar till ISPD-värdarnas nätverkstjänster och analysera svaren från dem. Målet är att identifiera de protokoll som används, de tillgängliga portarna för nätverkstjänster, lagarna för bildandet av anslutningsidentifierare, definitionen av aktiva nätverkstjänster, valet av användaridentifierare och lösenord.
3. Hotet om lösenordsexponering.
Syftet med implementeringen av hotet är att få UA genom att övervinna lösenordsskyddet. En angripare kan implementera ett hot med en mängd olika metoder, såsom enkel uppräkning, uppräkning med hjälp av speciella ordböcker, installera skadlig programvara för att fånga upp lösenordet, ersätta ett betrodd nätverksobjekt (IP-spoofing) och sniffa paket. I grund och botten, för att implementera hotet, används speciella program som försöker få tillgång till värden genom att successivt gissa lösenord. Om det lyckas kan angriparen skapa ett "pass" för sig själv för framtida åtkomst, vilket kommer att fungera även om åtkomstlösenordet ändras på värden.
4. Ersättning av ett betrodd nätverksobjekt och överföring av meddelanden för dess räkning via kommunikationskanaler med tilldelning av dess åtkomsträttigheter (Figur 7).
Figur 7. Schema för implementering av hotet "Ersättning av ett pålitligt nätverksobjekt"
Ett sådant hot är effektivt implementerat i system där instabila algoritmer för att identifiera och autentisera värdar, användare etc. används. Ett betrodd objekt är ett nätverksobjekt (dator, brandvägg, router, etc.) som är lagligt anslutet till servern.
Två varianter av processen för att implementera detta hot kan särskiljas: med och utan att upprätta en virtuell anslutning.
Implementeringsprocessen med etableringen av en virtuell anslutning består i att tilldela rättigheterna för en betrodd interaktionssubjekt, vilket gör att en inkräktare kan genomföra en session med ett nätverksobjekt på uppdrag av en betrodd subjekt. Implementering av denna typ av hot kräver att man övervinner meddelandeidentifierings- och autentiseringssystemet (till exempel attackera rsh-tjänsten hos en UNIX-värd).
Processen att implementera ett hot utan att upprätta en virtuell anslutning kan ske i nätverk som identifierar överförda meddelanden endast genom avsändarens nätverksadress. Kärnan ligger i överföringen av tjänstemeddelanden på uppdrag av nätverkskontrollenheter (till exempel på uppdrag av routrar) om att ändra routing och adressdata. I det här fallet måste man komma ihåg att de enda identifierarna för abonnenter och anslutningar (enligt TCP-protokollet) är två 32-bitars parametrar Initialt sekvensnummer - ISS (sekvensnummer) och bekräftelsenummer - ACK (bekräftelsenummer). För att generera ett falskt TCP-paket måste därför angriparen känna till de aktuella identifierarna för denna anslutning - ISSa och ISSb, där:
ISSa - något numeriskt värde som karakteriserar serienummer ett TCP-paket sänds, en TCP-förbindelse upprättas initierad av värd A;
ISSb - något numeriskt värde som kännetecknar sekvensnumret för det skickade TCP-paketet, den etablerade TCP-anslutningen initierad av värd B.
ACK-värdet (TCP Connection Acknowledgement Number) definieras som värdet på numret som tas emot från ISS-svararen (sekvensnummer) plus en ACKb = ISSa + 1.
Som ett resultat av implementeringen av hotet får överträdaren åtkomsträttigheterna som ställts in av hans användare för en betrodd abonnent på det tekniska verktyget ISPD - målet för hoten.
5. Att införa en falsk nätverksrutt.
Detta hot realiseras på ett av två sätt: genom intra-segment eller inter-segment påläggning. Möjligheten att införa en falsk rutt beror på de brister som är inneboende i routingalgoritmer (särskilt på grund av problemet med att identifiera nätverkskontrollenheter), som ett resultat av vilket du till exempel kan komma till en värd eller en angripares nätverk , där du kan gå in i driftmiljön för ett tekniskt verktyg som en del av en ISPD. Implementeringen av hotet baseras på otillåten användning av routingprotokoll (RIP, OSPF, LSP) och nätverkshantering (ICMP, SNMP) för att göra ändringar i routingtabellerna. I det här fallet måste inkräktaren skicka ett kontrollmeddelande på uppdrag av nätverkskontrollenheten (till exempel en router) (figur 8 och 9).
Figur 8. Schema för genomförandet av attacken "Att införa en falsk väg" (intra-segment) med hjälp av ICMP-protokollet för att störa kommunikationen
Figur 9. Schema för implementering av hotet "False route impposition" (inter-segment) för att avlyssna trafik
6. Introduktion av ett falskt nätverksobjekt.
Detta hot är baserat på att utnyttja svagheter i fjärrsökalgoritmer. Om nätverksobjekt initialt inte har adressinformation om varandra, används olika fjärrsökprotokoll (till exempel SAP i Novell NetWare-nätverk; ARP, DNS, WINS i nätverk med en TCP/IP-protokollstack), bestående av överföring av särskilda förfrågningar och få svar på dem med erforderlig information. I det här fallet finns det möjlighet att avlyssning av inkräktaren Sök fråga och utfärdande av ett falskt svar på det, vars användning kommer att leda till den erforderliga ändringen i routing- och adressdata. I framtiden kommer hela informationsflödet associerat med offerobjektet att passera genom det falska nätverksobjektet (figur 10 - 13).
Figur 10. Schema för implementeringen av hotet "Injektion av en falsk ARP-server"
Figur 11. Schema för implementeringen av hotet "Injektion av en falsk DNS-server" genom att avlyssna en DNS-förfrågan
Figur 12. Schema för implementeringen av hotet "falsk DNS-serverinjektion" genom en storm av DNS-svar på en nätverksdator
Figur 13. Schema för implementeringen av hotet "Injektion av en falsk DNS-server" av en storm av DNS-svar till DNS-servern
7. Denial of service.
Dessa hot är baserade på brister i nätverksprogramvara, dess sårbarheter som gör att inkräktaren kan skapa förutsättningar när operativsystemet inte kan behandla inkommande paket.
Flera typer av sådana hot kan särskiljas:
a) en hemlig denial of service orsakad av inblandning av en del av ISPD-resurserna för att bearbeta paket som sänds av en angripare med en minskning av kommunikationskanalernas bandbredd, nätverksenheters prestanda och en överträdelse av kraven för behandlingstid av förfrågningar. Exempel på implementering av hot av detta slag är: en riktad storm av ekoförfrågningar via ICMP-protokollet (Ping flooding), en storm av förfrågningar att upprätta TCP-anslutningar (SYN-flooding), en storm av förfrågningar till en FTP-server;
b) ett uttryckligt nekande av tjänst orsakat av uttömning av ISPD-resurser under bearbetning av paket som överförs av en angripare (upptagande av hela bandbredden av kommunikationskanaler, översvämning av tjänsteförfrågningsköer), där juridiska förfrågningar inte kan överföras via nätverket på grund av till överföringsmediets otillgänglighet eller ta emot denial of service på grund av fulla förfrågningsköer, minnesdiskutrymme, etc. Exempel på hot av denna typ är ICMP broadcast echo request storm (Smurf), riktad storm (SYN-flooding), mail server message storm (Spam);
c) ett uttryckligt denial of service orsakat av en kränkning av den logiska anslutningen mellan de tekniska medlen för ISPD när gärningsmannen skickar kontrollmeddelanden på uppdrag av nätverksenheter, vilket leder till en ändring av routing- och adressdata (till exempel ICMP Redirect Host, DNS-flooding) eller identifierings- och autentiseringsinformation;
D) en explicit denial of service orsakad av att en angripare sänder paket med icke-standardiserade attribut (hot av typen "Land", "TearDrop", "Bonk", "Nuke", "UDP-bomb") eller som har en längd som överstiger den maximalt tillåtna storleken (hot av typen "Ping Death"), vilket kan leda till fel på nätverksenheter som är involverade i bearbetning av förfrågningar, förutsatt att det finns fel i program som implementerar nätverksutbytesprotokoll.
Resultatet av implementeringen av detta hot kan vara ett avbrott i utförandet av motsvarande tjänst för att tillhandahålla fjärråtkomst till PD i ISPD, överföring från en adress av så många förfrågningar om anslutning till den tekniska anläggningen som en del av ISPD, som kan "ta emot" trafiken så mycket som möjligt (riktad "storm av förfrågningar"), vilket medför ett överflöde av förfrågningskön och fel på en av nätverkstjänsterna eller en fullständig avstängning av datorn på grund av oförmågan hos systemet för att göra något annat än att behandla förfrågningar.
8. Fjärrstart av program.
Hotet ligger i önskan att lansera olika tidigare inbäddade skadliga program på ISPD-värden: bokmärkesprogram, virus, "nätverksspioner", vars huvudsakliga syfte är att bryta mot konfidentialitet, integritet, tillgänglighet av information och fullständig kontroll över operationen av värden. Dessutom är obehörig lansering av användarapplikationsprogram möjlig för otillåten erhållande av de data som krävs för överträdaren, för att starta processer som kontrolleras av applikationsprogrammet, etc.
Det finns tre underklasser av dessa hot:
1) distribution av filer som innehåller otillåten körbar kod;
2) fjärrstart av applikationen genom att fylla bufferten av applikationsservrar;
3) fjärrlansering av applikationen genom att använda fjärrsystemhanteringsfunktionerna som tillhandahålls av dolda mjukvara och hårdvaruflikar eller av standardverktyg som används.
Typiska hot från den första av dessa underklasser är baserade på aktivering av distribuerade filer när de av misstag nås. Exempel på sådana filer är: filer som innehåller körbar kod i form av makron (Microsoft Word, Excel-dokument, etc.); html-dokument som innehåller körbar kod i form av ActiveX-kontroller, Java-applets, tolkade skript (till exempel JavaScript-texter); filer som innehåller körbara programkoder. För distribution av filer kan e-post, filöverföring, nätverksfilsystemtjänster användas.
Hoten från den andra underklassen använder bristerna i program som implementerar nätverkstjänster (särskilt bristen på kontroll av buffertspill). Genom att justera systemregister är det ibland möjligt att koppla om processorn, efter ett buffertspillavbrott, till exekvering av kod som finns utanför buffertgränsen. Ett exempel på genomförandet av ett sådant hot är introduktionen av det välkända "Morris-viruset".
Med hot från den tredje underklassen använder inkräktaren fjärrsystemhanteringsfunktionerna som tillhandahålls av dolda komponenter (till exempel "trojanska" program som Back Orifice, Net Bus) eller vanliga verktyg för hantering och administration av datornätverk (Landesk Management Suite, Managewise, Ryggöppning, etc.). ). Som ett resultat av deras användning är det möjligt att uppnå fjärrkontroll över stationen i nätverket.
Schematiskt är huvudstadierna i arbetet med dessa program följande:
installation i minnet;
väntar på en begäran från en fjärrvärd som kör ett klientprogram och utbyter beredskapsmeddelanden med den;
Överföring av avlyssnad information till klienten eller ge denne kontroll över den attackerade datorn.
Möjliga konsekvenser av genomförandet av hot av olika klasser visas i tabell 3.
Tabell 3
Möjliga konsekvenser av genomförandet av hot av olika klasser
| N p/p | Attack typ | Möjliga konsekvenser | |
| 1 | Nätverkstrafikanalys | Undersökning av nätverkstrafikens egenskaper, avlyssning av överförda data, inklusive användar-ID och lösenord | |
| 2 | Nätverksskanning | Definition av protokoll, tillgängliga portar för nätverkstjänster, regler för generering av anslutningsidentifierare, aktiva nätverkstjänster, användar-ID och lösenord | |
| 3 | "Lösenord" attack | Utföra alla destruktiva åtgärder relaterade till att få obehörig åtkomst | |
| 4 | Förfalskning av ett pålitligt nätverksobjekt | Ändra rutt för meddelanden, obehörig ändring av rutt och adressdata. Obehörig åtkomst till nätverksresurser, påförande av falsk information | |
| 5 | Att införa en falsk väg | Otillåten ändring av routing- och adressdata, analys och modifiering av överförda data, påläggande av falska meddelanden | |
| 6 | Injektion av ett skenbart nätverksobjekt | Avlyssning och visning av trafik. Obehörig åtkomst till nätverksresurser, påförande av falsk information | |
| 7 | Förnekande av tjänsten | Partiell resursutmattning | Minskad bandbredd för kommunikationskanaler, prestanda för nätverksenheter. Prestandaförsämring av serverapplikationer |
| Fullständig uttömning av resurser | Omöjligheten att sända meddelanden på grund av bristande tillgång till överföringsmediet, vägran att upprätta en anslutning. Vägra att tillhandahålla en tjänst (e-post, fil, etc.) | ||
| Brott mot logisk koppling mellan attribut, data, objekt | Omöjligheten att sända meddelanden på grund av bristen på korrekt routing- och adressdata. Oförmåga att ta emot tjänster på grund av obehörig ändring av identifierare, lösenord, etc. | ||
| Använda buggar i program | Fel på nätverksenheter | ||
| 8 | Fjärrstart av applikation | Genom att skicka filer som innehåller destruktiv körbar kod, virusinfektion | Brott mot konfidentialitet, integritet, tillgänglighet av information |
| Genom buffertspill av serverapplikationen | |||
| Genom att använda funktionerna för fjärrsystemhantering som tillhandahålls av dolda program- och hårdvaruflikar eller av standardverktyg som används | Dold systemhantering | ||
Hotförverkligandeprocessen består i allmänhet av fyra steg:
insamling av information;
intrång (penetration i operativ miljö);
implementering av obehörig åtkomst;
eliminering av spår av obehörig åtkomst.
I stadiet för insamling av information kan överträdaren vara intresserad av olika information om ISPD, inklusive:
a) topologin för nätverket där systemet fungerar. Detta kan utforska området runt nätverket (till exempel kan inkräktaren vara intresserad av adresserna till betrodda, men mindre säkra värdar). Enkla kommandon kan användas för att avgöra om en värd kan nås (till exempel ping-kommandot för att skicka ICMP ECHO_REQUEST-förfrågningar och vänta på ICMP ECHO_REPLY-svar). Det finns verktyg som utför parallell värdtillgänglighetsdetektering (som fping) som kan skanna stort område adressutrymme för tillgänglighet av värdar på kort tid. Nätverkstopologin bestäms ofta baserat på "nodräkningen" (avståndet mellan värdarna). Tekniker som "ttL-modulationer" och ruttposter kan användas.
Metoden "ttL-modulering" implementeras av traceroute-programmet (för Windows NT - tracert.exe) och består i att modulera ttL-fältet för IP-paket. ICMP-paketen som genereras av ping-kommandot kan användas för att spela in rutten.
Insamlingen av information kan också baseras på förfrågningar:
till DNS-servern om listan över registrerade (och förmodligen aktiva) värdar;
till en router baserad på RIP-protokollet om kända rutter (information om nätverkstopologin);
Till felaktigt konfigurerade enheter som stöder SNMP-protokollet (information om nätverkstopologi).
Om ISPD:n är placerad bakom en brandvägg (FW) är det möjligt att samla in information om FW-konfigurationen och topologin för DSP:n bakom FW, inklusive genom att skicka paket till alla portar för alla avsedda värdar i det interna (skyddade) nätverket ;
b) om typen av operativsystem (OS) i ISPD. Det mest kända sättet att bestämma värd-OS-typen är baserat på det faktum att olika typer av OS implementerar RFC-kraven för TCP/IP-stacken på olika sätt. Detta gör att en inkräktare kan fjärridentifiera vilken typ av operativsystem som är installerat på ISPD-värden genom att skicka specialgjorda förfrågningar och analysera de mottagna svaren.
Det finns specialverktyg som implementerar dessa metoder, i synnerhet Nmap och QueSO. Vi kan också notera en sådan metod för att bestämma typen av OS som den enklaste begäran om att upprätta en anslutning med hjälp av telnet-fjärråtkomstprotokollet (telnet-anslutning), som ett resultat av att " utseende" svar, du kan bestämma typen av värd-OS. Närvaron av vissa tjänster kan också fungera som ett ytterligare tecken för att bestämma typen av värd-OS;
C) tjänster som körs på värdar. Definitionen av tjänster som körs på en värd är baserad på metoden för detektering av "öppna portar", som syftar till att samla in information om värdens tillgänglighet. Till exempel, för att avgöra tillgängligheten för en UDP-port måste du få ett svar som svar på att skicka ett UDP-paket till motsvarande port:
om svaret är ICMP PORT UNREACHEBLE, då är motsvarande tjänst inte tillgänglig;
om detta meddelande inte tas emot är porten "öppen".
Det finns en hel del variationer på hur denna metod kan användas, beroende på vilket protokoll som används i TCP/IP-protokollstacken.
Många mjukvaruverktyg har utvecklats för att automatisera insamlingen av information om ISPD. Som ett exempel kan följande noteras:
1) Strobe, Portscanner - optimerade verktyg för att fastställa tillgängliga tjänster baserat på polling TCP-portar;
2) Nmap är ett verktyg för att skanna tillgängliga tjänster för Linux, FreeBSD, OpenBSD, Solaris, Windows NT. Det är för närvarande det mest populära sättet att skanna nätverkstjänster;
3) Queso är ett mycket exakt sätt att bestämma operativsystemet för en nätverksvärd baserat på att skicka en kedja av korrekta och felaktiga TCP-paket, analysera svaret och jämföra det med många kända svar från olika operativsystem. Detta verktyg är också ett populärt skanningsverktyg idag;
4) Cheops - nätverkstopologiskannern låter dig få nätverkstopologin, inklusive en bild av domänen, IP-adressområden, etc. Detta bestämmer värdoperativsystemet, såväl som möjliga nätverksenheter (skrivare, routrar, etc.);
5) Firewalk - en skanner som använder metoderna i traceroute-programmet för att analysera svaret på IP-paket för att fastställa brandväggskonfigurationen och bygga nätverkstopologin.
I invasionsstadiet undersöks förekomsten av typiska sårbarheter i systemtjänster eller fel i systemadministrationen. Framgångsrik exploatering av sårbarheter resulterar vanligtvis i att en angripares process får privilegierat körningsläge (tillgång till privilegierat körningsläge för ett skal), injicerar ett olagligt användarkonto i systemet, skaffar en lösenordsfil eller stör den attackerade värden.
Detta stadium av utvecklingen av hotet är som regel flerfas. Faserna i hotimplementeringsprocessen kan till exempel inkludera:
upprätta kommunikation med värden mot vilken hotet implementeras;
Sårbarhetsdetektering;
införandet av ett skadligt program i intresse av bemyndigande etc.
Hot som implementeras vid intrångsstadiet är uppdelade i lager av TCP/IP-protokollstacken, eftersom de bildas på nätverks-, transport- eller applikationsnivå, beroende på vilken intrångsmekanism som används.
Typiska hot som implementeras på nätverks- och transportnivåer inkluderar följande:
a) ett hot som syftar till att ersätta ett tillförlitligt objekt;
b) ett hot som syftar till att skapa en falsk rutt i nätverket;
C) hot som syftar till att skapa ett falskt objekt med hjälp av bristerna i fjärrsökalgoritmer;
D) Denial-of-service-hot baserade på IP-defragmentering, på bildandet av felaktiga ICMP-förfrågningar (till exempel "Ping of Death" och "Smurf"-attacker), på bildandet av felaktiga TCP-förfrågningar ("Land"-attack) , om att skapa en "storm" av paket med anslutningsförfrågningar ("SYN Flood"-attacker), etc.
Typiska hot som implementeras på applikationsnivå inkluderar hot som syftar till obehörig lansering av applikationer, hot, vars implementering är förknippad med introduktionen av programvarubokmärken (som en "trojansk häst"), med identifiering av lösenord för åtkomst till ett nätverk eller till en specifik värd osv.
Om implementeringen av hotet inte gav överträdaren de högsta åtkomsträttigheterna i systemet, är försök att utöka dessa rättigheter till högsta möjliga nivå. För detta kan sårbarheter i inte bara nätverkstjänster utan även sårbarheter i systemprogramvaran för ISPDN-värdar användas.
Vid genomförandet av obehörig åtkomst utförs det faktiska uppnåendet av målet att implementera hotet:
brott mot konfidentialitet (kopiering, olaglig distribution);
Kränkning av integritet (förstörelse, förändring);
tillgänglighetsöverträdelse (blockering).
I samma skede, efter dessa handlingar, bildas som regel den så kallade "bakdörren" i form av en av tjänsterna (demoner) som betjänar en viss hamn och utför inkräktarens kommandon. "Bakdörr" lämnas kvar i systemet i syfte att säkerställa:
möjligheten att få åtkomst till värden, även om administratören eliminerar sårbarheten som används för att framgångsrikt implementera hotet;
förmågan att komma åt värden så diskret som möjligt;
Möjligheten att snabbt få tillgång till värden (utan att upprepa processen för att implementera hotet).
"Bakdörr" tillåter en inkräktare att injicera ett skadligt program i ett nätverk eller på en specifik värd, till exempel en "lösenordsanalysator" (lösenordssniffer) - ett program som extraherar användar-ID och lösenord från nätverkstrafiken när protokoll körs hög nivå(ftp, telnet, rlogin, etc.). Malware-injektionsmål kan vara autentiserings- och identifieringsprogram, nätverkstjänster, operativsystemkärna, filsystem, bibliotek, etc.
Slutligen, vid eliminering av spår av hotets genomförande, görs ett försök att förstöra spåren av inkräktarens handlingar. Detta tar bort motsvarande poster från alla möjliga granskningsloggar, inklusive register om det faktum att information samlades in.
5.5. Allmänna egenskaper hos hot från programvara och matematiska influenserProgramvarumatematisk påverkan är en påverkan med hjälp av skadliga program. Ett program med potentiellt farliga konsekvenser eller ett skadligt program är något oberoende program (en uppsättning instruktioner) som kan utföra alla icke-tom undergrupper av följande funktioner:
Dölj tecken på din närvaro i mjukvarumiljön;
Ha förmågan att själv duplicera, associera sig med andra program och (eller) överföra deras fragment till andra områden av RAM eller externt minne;
förstöra (godtyckligt förvränga) programkod i RAM;
utföra destruktiva funktioner (kopiera, ta bort, blockera, etc.) utan användarinitiering (användarprogram i normalt läge för dess exekvering);
Spara fragment av information från RAM i vissa områden av externt minne med direkt åtkomst (lokal eller fjärr);
Förvränga godtyckligt, blockera och (eller) ersätta uppsättningen av information som matas ut till externt minne eller till kommunikationskanalen, bildad som ett resultat av driften av applikationsprogram, eller datamatriser som redan finns i externt minne.
Skadliga program kan introduceras (introduceras) både avsiktligt och oavsiktligt i programvaran som används i ISPD under dess utveckling, underhåll, modifiering och konfiguration. Dessutom kan skadliga program introduceras under driften av ISPD från externa lagringsmedia eller genom nätverksinteraktion, både som ett resultat av obehörig åtkomst och av misstag av användare av ISPD.
Moderna skadliga program är baserade på användningen av sårbarheter i olika typer av programvara (system, allmän, applikation) och olika nätverksteknologier, har ett brett utbud av destruktiva möjligheter (från obehörig forskning av ISPD-parametrar utan att störa driften av ISPD, till förstörelsen av PD- och ISPD-programvara) och kan agera i alla typer av programvara (system, applikation, hårdvarudrivrutiner, etc.).
Förekomsten av skadliga program i ISPD kan bidra till uppkomsten av dolda, inklusive icke-traditionella kanaler för åtkomst till information som tillåter att öppna, kringgå eller blockera säkerhetsmekanismerna som tillhandahålls i systemet, inklusive lösenord och kryptografiskt skydd.
De viktigaste typerna av skadlig programvara är:
programvara bokmärken;
klassiska programvara (dator)virus;
skadliga program som sprids över nätverket (nätmaskar);
Andra skadliga program utformade för att utföra UA.
Programvarubokmärken inkluderar program, kodfragment, instruktioner som bildar odeklarerade programvarufunktioner. Skadliga program kan flytta från en typ till en annan, till exempel kan en programvaruflik generera ett programvirus, som i sin tur, kommer in i nätverksförhållanden, kan bilda en nätverksmask eller annat skadligt program utformat för att utföra UA.
Klassificeringen av programvirus och nätverksmaskar visas i figur 14. En kort beskrivning av de viktigaste skadliga programmen är följande. Bootvirus skriver sig antingen till diskstartsektorn (bootsektorn), eller till sektorn som innehåller hårddiskens bootloader (Master Boot Record), eller ändrar pekaren till den aktiva bootsektorn. De introduceras i datorns minne när de startas upp från en infekterad disk. I det här fallet läser systemladdaren innehållet i den första sektorn på skivan från vilken uppstarten utförs, placerar den lästa informationen i minnet och överför kontrollen till den (dvs. till viruset). Därefter börjar instruktionerna för viruset att exekveras, vilket som regel minskar mängden ledigt minne, kopierar dess kod till det frigjorda utrymmet och läser dess fortsättning (om någon) från disken, avlyssnar de nödvändiga avbrottsvektorerna (vanligtvis INT 13H), läser den ursprungliga startsektorn och överför kontrollen till den.
I framtiden beter sig bootviruset på samma sätt som ett filvirus: det fångar upp operativsystemets åtkomst till diskar och infekterar dem, beroende på vissa förhållanden, utför destruktiva åtgärder, orsakar ljudeffekter eller videoeffekter.
De viktigaste destruktiva åtgärderna som utförs av dessa virus är:
förstörelse av information i sektorer av disketter och hårddiskar;
Uteslutning av möjligheten att ladda operativsystemet (datorn "fryser");
bootloader kod korruption;
formatering av disketter eller logiska diskar på en hårddisk;
stänga åtkomst till COM- och LPT-portar;
byte av tecken vid utskrift av texter;
ryckningar på skärmen;
ändra etiketten på en disk eller diskett;
skapande av pseudo-misslyckade kluster;
skapande av ljud och (eller) visuella effekter (till exempel fallande bokstäver på skärmen);
korruption av datafiler;
visa olika meddelanden på skärmen;
Inaktivera kringutrustning (som tangentbord);
ändra palett på skärmen;
Fylla skärmen med främmande tecken eller bilder;
släckning av skärmen och standbyläge för tangentbordsinmatning;
hårddisksektorkryptering;
selektiv förstörelse av tecken som visas på skärmen när du skriver från tangentbordet;
minskning av mängden RAM;
ring för att skriva ut innehållet på skärmen;
diskskrivblockering;
förstörelse av partitionstabellen (Disk Partition Table), efter det kan datorn bara startas från en diskett;
blockera lanseringen av körbara filer;
Blockerar åtkomst till hårddisken.
Figur 14. Klassificering av programvirus och nätverksmaskar
De flesta startvirus skriver över sig själva på disketter.
Infektionsmetoden "överskrivning" är den enklaste: viruset skriver sin egen kod istället för koden för den infekterade filen och förstör dess innehåll. Naturligtvis, i det här fallet, slutar filen att fungera och återställs inte. Sådana virus upptäcker sig själva mycket snabbt, eftersom operativsystemet och applikationerna slutar fungera ganska snabbt.
Kategorien "kompanjon" inkluderar virus som inte ändrar infekterade filer. Operationsalgoritmen för dessa virus är att en tvillingfil skapas för den infekterade filen, och när den infekterade filen startas är det denna tvilling, det vill säga viruset, som får kontroll. De vanligaste medföljande virusen använder DOS-funktionen för att köra filer med filtillägget .COM först om det finns två filer i samma katalog med samma namn men olika namntillägg - .COM och .EXE. Sådana virus skapar satellitfiler för EXE-filer som har samma namn, men med tillägget .COM skapas till exempel XCOPY.COM för filen XCOPY.EXE. Viruset skriver till en COM-fil och ändrar inte EXE-filen på något sätt. När du kör en sådan fil kommer DOS först att upptäcka och köra COM-filen, det vill säga viruset, som sedan kör EXE-filen. Den andra gruppen består av virus som, när de är infekterade, byter namn på filen till något annat namn, kommer ihåg den (för efterföljande lansering av värdfilen) och skriver sin kod till disken under namnet på den infekterade filen. Till exempel döps filen XCOPY.EXE om till XCOPY.EXD och viruset skrivs under namnet XCOPY.EXE. Vid uppstart tar kontroll över viruskoden, som sedan startar den ursprungliga XCOPY, lagrad under namnet XCOPY.EXD. Intressant nog verkar den här metoden fungera på alla operativsystem. Den tredje gruppen inkluderar de så kallade "Path-companion"-virusen. De skriver antingen sin kod under namnet på den infekterade filen, men "högre" en nivå i de föreskrivna sökvägarna (DOS kommer därför att vara den första att upptäcka och starta virusfilen), eller överföra offerfilen en underkatalog högre, etc.
Det kan finnas andra typer av kompletterande virus som använder andra ursprungliga idéer eller funktioner i andra operativsystem.
Filmaskar (maskar) är på sätt och vis ett slags sällskapsvirus, men associerar inte på något sätt deras närvaro med någon körbar fil. När de reproducerar kopierar de bara sin kod till några diskkataloger i hopp om att dessa nya kopior någon gång kommer att köras av användaren. Ibland ger dessa virus sina kopior "speciella" namn för att uppmuntra användaren att köra sin kopia - till exempel INSTALL.EXE eller WINSTART.BAT. Det finns maskar som använder ganska ovanliga metoder, till exempel skriver de kopior av sig själva till arkiv (ARJ, ZIP och andra). Vissa virus skriver kommandot för att köra den infekterade filen till BAT-filer. Filmaskar ska inte förväxlas med nätverksmaskar. De förra använder bara filfunktionerna i vissa operativsystem, medan de senare använder nätverksprotokoll för sin reproduktion.
Länkvirus, som följeslagande virus, ändrar inte det fysiska innehållet i filer, men när en infekterad fil startas "tvingar" de operativsystemet att köra dess kod. De uppnår detta mål genom att modifiera de nödvändiga fälten i filsystemet.
Virus som infekterar kompilatorbibliotek, objektmoduler och programkällkoder är ganska exotiska och praktiskt taget ovanliga. Virus som infekterar OBJ- och LIB-filer skriver sin kod till dem i form av en objektmodul eller ett bibliotek. Den infekterade filen är alltså inte körbar och kan inte sprida viruset ytterligare i sitt nuvarande tillstånd. Bäraren av ett "live" virus är en COM- eller EXE-fil.
När filviruset väl har kontrollerats utför det följande allmänna åtgärder:
Kontrollerar RAM för närvaron av en kopia av sig själv och infekterar datorns minne om en kopia av viruset inte hittas (om viruset finns), söker efter oinfekterade filer i den aktuella och (eller) rotkatalogen genom att skanna katalogträdet av logiska enheter, och infekterar sedan de upptäckta filerna ;
utför ytterligare (om några) funktioner: destruktiva åtgärder, grafik eller ljudeffekter, etc. (ytterligare funktioner för ett inbyggt virus kan anropas en tid efter aktivering, beroende på aktuell tid, systemkonfiguration, interna räknare för viruset eller andra förhållanden; i detta fall bearbetar viruset tillståndet för systemklockan vid aktivering, ställer in sina egna diskar etc.);
Det bör noteras att ju snabbare viruset sprider sig, desto mer sannolikt är förekomsten av en epidemi av detta virus, ju långsammare viruset sprids, desto svårare är det att upptäcka (såvida inte detta virus är okänd förstås). Icke-residenta virus är ofta "långsamma" - de flesta av dem infekterar en eller två eller tre filer vid uppstart och hinner inte översvämma datorn innan antivirusprogrammet har startat (eller en ny version av antivirusprogrammet konfigurerat för detta virus dyker upp). Det finns naturligtvis icke-residenta "snabba" virus som, när de startas, söker efter och infekterar alla körbara filer, men sådana virus är mycket märkbara: när varje infekterad fil startas arbetar datorn aktivt med hårddisken för vissa (ibland ganska lång tid), vilket avslöjar viruset. Spridningshastigheten (infektion) av inhemska virus är vanligtvis högre än för icke-inhemska virus - de infekterar filer när de nås. Som ett resultat är alla eller nästan alla filer på disken som ständigt används i arbetet infekterade. Spridningshastigheten (infektion) av inhemska filvirus som infekterar filer först när de startas för körning kommer att vara lägre än för virus som infekterar filer även när de öppnas, byter namn, ändras filattribut, etc.
Således är de viktigaste destruktiva åtgärderna som utförs av filvirus förknippade med skador på filer (oftare körbara filer eller datafiler), obehörig lansering av olika kommandon (inklusive kommandon för formatering, radering, kopiering, etc.), ändring av tabellen över avbrottsvektorer och etc. Samtidigt kan många destruktiva åtgärder som liknar de som anges för startvirus också utföras.
Makrovirus (makrovirus) är program på språk (makrospråk) inbyggda i vissa databehandlingssystem (textredigerare, kalkylblad, etc.). För sin reproduktion använder sådana virus funktionerna hos makrospråk och överför sig med deras hjälp från en infekterad fil (dokument eller tabell) till andra. De mest använda makrovirusen för Microsoft Office-applikationspaketet.
För att det finns virus i ett visst system (redigerare) är det nödvändigt att ha ett makrospråk inbyggt i systemet med följande funktioner:
1) länka ett program på ett makrospråk till en specifik fil;
2) kopiering av makroprogram från en fil till en annan;
3) få kontroll över makroprogrammet utan användaringripande (automatiska eller standardmakron).
Dessa villkor uppfylls av Microsoft Word-, Excel- och Microsoft Access-program. De innehåller makrospråk: Word Basic, Visual Basic for Applications. Vart i:
1) makroprogram är knutna till en specifik fil eller finns i en fil;
2) makrospråket låter dig kopiera filer eller flytta makroprogram till systemtjänstfiler och redigerbara filer;
3) när man arbetar med en fil under vissa förhållanden (öppning, stängning etc.) anropas makroprogram (om några) som är definierade på ett speciellt sätt eller har standardnamn.
Denna funktion hos makrospråk är designad för automatisk databehandling i stora organisationer eller globala nätverk och låter dig organisera det så kallade "automatiserade arbetsflödet". Å andra sidan tillåter kapaciteten hos makrospråken i sådana system viruset att överföra sin kod till andra filer och därmed infektera dem.
De flesta makrovirus är aktiva inte bara vid öppning (stängning) av en fil, utan så länge som själva redigeraren är aktiv. De innehåller alla sina funktioner som vanliga Word/Excel/Office-makron. Det finns dock virus som använder knep för att dölja sin kod och lagra sin kod som icke-makron. Tre sådana tekniker är kända, alla använder makrons förmåga att skapa, redigera och exekvera andra makron. Som regel har sådana virus ett litet (ibland polymorft) virusladdarmakro som anropar den inbyggda makroredigeraren, skapar ett nytt makro, fyller det med huvudviruskoden, exekverar och sedan som regel förstör det (för att dölja spår av närvaron av viruset). Huvudkoden för sådana virus finns antingen i själva virusmakrot i form av textsträngar (ibland krypterade) eller lagras i dokumentets variabla område.
Nätverksvirus inkluderar virus som aktivt använder protokollen och funktionerna i lokala och globala nätverk för att sprida dem. Huvudprincipen för ett nätverksvirus är förmågan att självständigt överföra sin kod till en fjärrserver eller arbetsstation. Samtidigt har "fullständiga" nätverksvirus också möjligheten att köra sin egen kod på en fjärrdator eller åtminstone "pusha" användaren för att starta den infekterade filen.
Skadliga program som säkerställer implementeringen av UA kan vara:
program för att välja och öppna lösenord;
program som implementerar hot;
Program som visar användningen av odeklarerad kapacitet hos ISPD-programvara och hårdvara;
Program för generering av datorvirus;
program som visar sårbarheten i informationssäkerhetsverktyg etc.
Med den ökande komplexiteten och mångfalden av programvara ökar antalet skadlig programvara snabbt. Idag är mer än 120 000 datavirussignaturer kända. Men inte alla utgör ett verkligt hot. I många fall har elimineringen av sårbarheter i system- eller applikationsprogram lett till att ett antal skadliga program inte längre kan infiltrera dem. Ofta är ny skadlig programvara det största hotet.
5.6. Allmänna egenskaper hos icke-traditionella informationskanalerEn okonventionell informationskanal är en kanal för hemlig överföring av information med hjälp av traditionella kommunikationskanaler och speciella transformationer av den överförda informationen som inte är relaterade till kryptografiska.
För att bilda icke-traditionella kanaler kan metoder användas:
datorsteganografi;
baserat på manipulation olika egenskaper ISPD:er som kan erhållas med auktorisering (till exempel handläggningstiden för olika förfrågningar, mängden tillgängligt minne eller läsbar fil eller processidentifierare, etc.).
Datorsteganografimetoder är utformade för att dölja faktumet att ett meddelande överförs genom att bädda in dold information i till synes ofarlig data (text, grafik, ljud- eller videofiler) och inkluderar två grupper av metoder baserade på:
Om användningen av speciella egenskaper hos datorformat för lagring och överföring av data;
Om redundansen av ljud-, visuell eller textinformation utifrån de psykofysiologiska egenskaperna hos mänsklig perception.
Klassificeringen av datorsteganografimetoder visas i figur 15. Deras jämförande egenskaper anges i tabell 4.
Den största utvecklingen och tillämpningen finns för närvarande i metoder för att dölja information i grafiska stegocontainrar. Detta beror på den relativt stora mängd information som kan placeras i sådana behållare utan märkbar bildförvrängning, förekomsten av a priori-information om behållarens storlek, förekomsten i de flesta verkliga bilder av texturregioner som har en brusstruktur och är väl lämpade för inbäddning av information, utarbetande av digitala bildbehandlingsmetoder och digitala bildformat. För närvarande finns det ett antal både kommersiella och gratis mjukvaruprodukter tillgängliga för den genomsnittliga användaren som implementerar välkända steganografiska metoder för att dölja information. I det här fallet används främst grafik- och ljudbehållare.
Figur 15. Klassificering av metoder för steganografisk informationstransformation (STI)
Tabell 4
Jämförande egenskaper hos steganografiska metoder för informationstransformation
| Steganografisk metod | Kort beskrivning av metoden | nackdelar | Fördelar |
| Tekniker för att dölja information i ljudbehållare | |||
| Baserat på att skriva ett meddelande till de minst signifikanta bitarna av den ursprungliga signalen. Behållaren är vanligtvis en okomprimerad ljudsignal. | Låg sekretess för meddelandeöverföring. Lågt motstånd mot distorsion. Används endast för vissa ljudfilformat | ||
| Spektrumbaserad döljningsmetod | Baserat på genereringen av pseudo-slumpmässigt brus, som är en funktion av det inbäddade meddelandet, och blandning av det resulterande bruset i huvudsignalbehållaren som en additiv komponent. Kodning av informationsströmmar genom att sprida kodad data över frekvensspektrumet | ||
| Metod för att dölja eko | Baserat på användningen av själva ljudsignalen som en brusliknande signal, fördröjd under olika tidsperioder beroende på det inbäddade meddelandet ("uppringningseko") | Låg containerutnyttjandegrad. Betydande beräkningskostnad | Relativt hög sekretess för meddelandet |
| Döljningsmetod i signalfas | Baserat på det faktum att det mänskliga örat är okänsligt för det absoluta värdet av övertonernas fas. Ljudsignalen delas upp i en sekvens av segment, meddelandet bäddas in genom att modifiera fasen för det första segmentet | Utnyttjandegrad för liten container | Har en betydligt högre stealth än NZB-döljningsmetoder |
| Tekniker för att dölja information i textbehållare | |||
| Rymdbaserad gömningsmetod | Baserat på att infoga mellanslag i slutet av rader, efter skiljetecken, mellan ord när du anpassar längden på raderna | Metoderna är känsliga för att överföra text från ett format till ett annat. Möjlig meddelandeförlust. Låg smygförmåga | Tillräckligt stor genomströmning |
| Döljande metod baserad syntaktiska egenskaper text | Baserat på det faktum att skiljetecken tillåter oklarheter i placeringen av skiljetecken | Mycket låg genomströmning. Komplexiteten i meddelandedetektering | Det finns potential att välja en metod som skulle kräva mycket komplexa procedurer för att lösa meddelandet. |
| Döljningsmetod baserad på synonymer | Baserat på infogning av information i texten genom att alternerande ord från valfri grupp av synonymer | Svårt i förhållande till det ryska språket på grund av det stora utbudet av nyanser i olika synonymer | En av de mest lovande metoderna Har en relativt hög sekretess för meddelandet |
| Döljningsmetod baserad på användning av fel | Det bygger på att dölja informationsbitar som naturliga fel, stavfel, brott mot reglerna för att skriva kombinationer av vokaler och konsonanter, ersätta kyrilliska med liknande latinska bokstäver, etc. | Låg genomströmning. Avslöjades snabbt i statistisk analys | Mycket lätt att använda. Hög sekretess i mänsklig analys |
| Döljningsmetod baserad på kvasi-textgenerering | Baserat på genereringen av en textbehållare med hjälp av en uppsättning regler för att konstruera meningar. Symmetrisk kryptografi används | Låg genomströmning. Den skapade textens meningslöshet | Stealth bestäms av krypteringsmetoder och är vanligtvis mycket hög |
| Döljningsmetod baserad på användningen av teckensnittsfunktioner | Baserat på infogning av information genom att ändra teckensnittstyp och storlek på bokstäver, samt möjligheten att bädda in information i block med identifierare som är okända för webbläsaren | Upptäcks enkelt vid konvertering av dokumentets skala, med statistisk steganalys | Hög containerutnyttjandegrad |
| Döljningsmetod baserad på användning av dokument- och filkod | Baserat på placeringen av information i reserverade och oanvända fält av varierande längd | Låg stealth med känt filformat | Lätt att använda |
| Döljningsmetod baserad på användning av jargong | Baserat på att ändra betydelsen av ord | Låg genomströmning. Snävt specialiserad. Låg Stealth | Lätt att använda |
| Döljningsmetod baserad på användning av ordlängdsväxling | Baserat på generering av text - en behållare med bildandet av ord av en viss längd enligt en känd kodningsregel | Komplexiteten i container- och meddelandebildning | Tillräckligt hög sekretess vid analys av en person |
| Döljningsmetod baserad på användningen av första bokstäver | Baserat på introduktionen av ett meddelande i de första bokstäverna i orden i texten med urvalet av ord | Svårigheter att skriva ett meddelande. Låg meddelandesekretess | Ger större valfrihet till operatören som uppfinner budskapet |
| Tekniker för att dölja information i grafikbehållare | |||
| Döljer metod i minst betydande bitar | Baserat på att skriva ett meddelande till de minst betydande bitarna av originalbilden | Låg sekretess för meddelandeöverföring. Lågt distorsionsmotstånd | Tillräckligt hög containerkapacitet (upp till 25 %) |
| Döljningsmetod baserad på modifiering av indexrepresentationsformatet | Baserat på reduktionen (ersättningen) av färgpaletten och ordningen av färger i pixlar med angränsande nummer | Gäller i första hand komprimerade bilder. Låg sekretess för meddelandeöverföring | Relativt hög containerkapacitet |
| Döljningsmetod baserad på användningen av autokorrelationsfunktionen | Baserat på autokorrelationssökning efter områden som innehåller liknande data | Beräkningarnas komplexitet | Motståndskraftig mot de flesta icke-linjära containertransformationer |
| Döljningsmetod baserad på användning av icke-linjär modulering av det inbäddade meddelandet | Baserat på moduleringen av en pseudo-slumpmässig signal med en signal som innehåller dold information | ||
| Döljningsmetod baserad på användning av teckenmodulering av det inbäddade meddelandet | Baserat på moduleringen av en pseudo-slumpmässig signal med en bipolär signal som innehåller dold information | Låg detekteringsnoggrannhet. förvrängning | Tillräckligt hög sekretess för meddelandet |
| Wavelet Transform Concealing Method | Baserat på funktionerna i wavelet-transformers | Beräkningarnas komplexitet | Hög stealth |
| Döljningsmetod baserad på användning av diskret cosinustransform | Baserat på egenskaperna hos den diskreta cosinustransformen | Komplexitetsberäkning | Hög stealth |
I icke-traditionella informationskanaler baserade på manipulering av olika egenskaper hos ISPD-resurserna, används vissa delade resurser för dataöverföring. Samtidigt, i kanaler som använder tidsegenskaper, utförs modulering enligt upptagettiden för den delade resursen (till exempel genom att modulera upptagettiden för processorn kan applikationer utbyta data).
I minneskanaler används en resurs som en mellanbuffert (till exempel kan applikationer utbyta data genom att placera dem i namnen på filerna och katalogerna de skapar). Databas- och kunskapskanaler använder beroenden mellan data som har sitt ursprung i relationsdatabaser och kunskap.
Icke-traditionella informationskanaler kan bildas på olika nivåer av ISPD:s funktion:
på hårdvarunivå;
på nivån för mikrokoder och enhetsdrivrutiner;
på operativsystemnivå;
på nivån för tillämpningsprogramvara;
på funktionsnivå för dataöverföringskanaler och kommunikationslinjer.
Dessa kanaler kan användas både för hemlig överföring av kopierad information och för hemlig överföring av kommandon för att utföra destruktiva handlingar, starta applikationer etc.
För att implementera kanaler är det som regel nödvändigt att implementera i automatiserat system programvara eller hårdvara-mjukvara bokmärke som ger bildandet av en okonventionell kanal.
En okonventionell informationskanal kan finnas kontinuerligt i systemet eller aktiveras en gång eller under specificerade förhållanden. I det här fallet är förekomsten av feedback med ämnet NSD möjlig.
5.7. Allmänna egenskaper för resultatet av obehörig eller oavsiktlig åtkomstRealisering av UA-hot mot information kan leda till följande typer av brott mot dess säkerhet:
brott mot konfidentialitet (kopiering, olaglig distribution);
Kränkning av integritet (förstörelse, förändring);
tillgänglighetsöverträdelse (blockering).
Brott mot sekretess kan utföras vid informationsläckage:
kopiera den på främmande media;
dess överföring över dataöverföringskanaler;
när du tittar på eller kopierar den under reparation, modifiering och kassering av mjukvara och hårdvara;
under "sopsamling" av gärningsmannen under driften av ISPD.
Brott mot informationens integritet utförs på grund av påverkan (modifiering) på program och användardata, såväl som teknisk (system)information, inklusive:
mikroprogram, data och enhetsdrivrutiner för datorsystemet;
program, data och enhetsdrivrutiner som säkerställer laddningen av operativsystemet;
program och data (deskriptorer, deskriptorer, strukturer, tabeller, etc.) i operativsystemet;
tillämpningsprogram och data;
Program och data för speciell programvara;
Mellanliggande (operativa) värden för program och data i processen för deras bearbetning (läsning / skrivning, mottagning / sändning) med hjälp av datorteknik och anordningar.
Brott mot integriteten för information i ISPD kan också orsakas av införandet av ett skadligt bokmärke för programvara och hårdvara i den eller påverkan på informationssäkerhetssystemet eller dess delar.
Dessutom är det i ISPD möjligt att påverka teknisk nätverksinformation, vilket kan säkerställa funktionen hos olika sätt att hantera ett datornätverk:
nätverkskonfiguration;
adresser och dirigering av dataöverföring i nätverket;
funktionell nätverkskontroll;
informationssäkerhet på nätverket.
Brott mot tillgängligheten av information tillhandahålls genom bildandet (modifieringen) av de initiala uppgifterna, som under bearbetning orsakar felaktig funktion, hårdvarufel eller fångst (laddning) av systemets datorresurser som är nödvändiga för exekvering av program och driften av utrustningen.
Dessa åtgärder kan leda till störningar eller fel i funktionen för nästan alla tekniska medel för ISPD:
medel för informationsbehandling;
medel för inmatning/utmatning av information;
medel för informationslagring;
Utrustning och överföringskanaler;
medel för informationsskydd.
Skadliga program som introduceras över nätverket inkluderar virus som aktivt använder protokollen och kapaciteten hos lokala och globala nätverk för att spridas. Huvudprincipen för ett nätverksvirus är förmågan att självständigt överföra sin kod till en fjärrserver eller arbetsstation. Samtidigt har "fullständiga" nätverksvirus också möjligheten att köra sin egen kod på en fjärrdator eller åtminstone "pusha" användaren för att starta den infekterade filen.
Skadliga program som säkerställer implementeringen av UA kan vara:
program för att välja och öppna lösenord;
program som implementerar hot;
program som visar användningen av odeklarerad kapacitet hos ISPD:s mjukvara och hårdvara;
Program för generering av datorvirus;
program som visar sårbarheten i informationssäkerhetsverktyg etc.
Om institutionens behandlade PD inte skickas över offentliga nätverk och internationellt utbyte installeras antivirusskydd, då är sannolikheten för att ett hot realiseras är inte troligt.
I alla andra fall ska sannolikheten för att hotet förverkligas bedömas.
En generaliserad lista över sannolikheten för hot för olika typer av ISPD presenteras i tabell 13.
Tabell 13
|
ISPD-typ |
Sannolikheten för hotet |
Coeff. sannolikheten för att inkräktaren förverkligar hotet |
|
Autonom IC typ I |
osannolik | |
|
Autonom IC Typ II | ||
|
Autonom IC Typ III |
osannolik | |
|
Autonom IC Typ IV | ||
|
Autonom IC V-typ |
osannolik | |
|
Autonom IC Typ VI | ||
|
LIS typ I |
osannolik | |
|
LIS typ II | ||
|
Distribuerad IC Typ I |
osannolik | |
|
Distribuerad IC typ II |
Genomförbarhet av hot
Baserat på resultaten av bedömningen av säkerhetsnivån (Y 1) (avsnitt 7) och sannolikheten för hotet (Y 2) (avsnitt 9), beräknas hotets genomförbarhetskoefficient (Y) och möjligheten för hotet bestäms (tabell 4). Hot genomförbarhetsfaktor Y kommer att bestämmas av förhållandet Y= (Y 1 +Y 2)/20
En generaliserad lista över bedömning av genomförbarheten av UBPD för olika typer av ISPD presenteras i tabellerna 14-23.
Tabell 14 - Autonom IC Typ I
|
Typ av PD-säkerhetshot |
Möjlighet till genomförande |
|
|
2.1.1. PC stöld | ||
|
2.3.6. Katastrof | ||
Tabell 15 - Autonom IS Typ II
|
Typ av PD-säkerhetshot |
Genomförbarhetsförhållande för hot (Y) |
Möjlighet till genomförande |
|
1. Hot från läckage genom tekniska kanaler. |
||
|
1.1. Hot om läckage av akustisk information | ||
|
1.2. Hot om artinformationsläckage | ||
|
1.3. Hot om informationsläckage genom PEMIN-kanaler | ||
|
2. Hot om obehörig åtkomst till information. |
||
|
2.1. Hot om förstörelse, stöld av ISPD-hårdvara för informationsbärare genom fysisk åtkomst till ISPD-element |
||
|
2.1.1. PC stöld | ||
|
2.1.2. Mediastöld | ||
|
2.1.3. Stöld av nycklar och åtkomstattribut | ||
|
2.1.4. Stöld, modifiering, förstörelse av information | ||
|
2.1.5. Inaktivering av PC-noder, kommunikationskanaler | ||
|
2.1.6. Obehörig åtkomst till information under underhåll (reparation, förstörelse) av PC-noder | ||
|
2.1.7. Obehörig inaktivering av skydd | ||
|
2.2. Hot om stöld, obehörig modifiering eller blockering av information på grund av obehörig åtkomst (UAS) med hjälp av mjukvara, hårdvara och mjukvara (inklusive mjukvara och matematiska influenser). |
||
|
2.2.1. Åtgärder av skadlig programvara (virus) | ||
|
2.2.3. Installation av icke-arbetsrelaterad programvara | ||
|
2.3. Hot om oavsiktliga handlingar från användare och kränkningar av säkerheten för hur ISPD och SZPDn fungerar i dess sammansättning på grund av programvarufel, såväl som från icke-antropogena hot (maskinvarufel på grund av opålitliga element, strömavbrott) och naturliga (blixtnedslag , bränder, översvämningar och etc.) karaktär. |
||
|
2.3.1. Förlust av nycklar och åtkomstattribut | ||
|
2.3.2. Oavsiktlig ändring (förstörelse) av information av anställda | ||
|
2.3.3. Oavsiktlig inaktivering av skydd | ||
|
2.3.4. Fel i hårdvara och mjukvara | ||
|
2.3.5. Strömavbrott | ||
|
2.3.6. Katastrof | ||
|
2.4. Hot om avsiktliga handlingar av insiders |
||
|
2.4.1. Tillgång till information, ändring, förstörelse av personer som inte får behandla den | ||
|
2.4.2. Avslöjande av information, ändring, förstörelse av anställda som har tillåtits att behandla den | ||
|
2.5 Hot om obehörig åtkomst via kommunikationskanaler. |
||
|
2.5.1 Hot om "analys av nätverkstrafik" med avlyssning av information som överförs från ISPD och tas emot från externa nätverk: | ||
|
2.5.1.1. Avlyssning utanför den kontrollerade zonen | ||
|
2.5.1.2. Avlyssning inom den kontrollerade zonen av externa inkräktare | ||
|
2.5.1.3 Avlyssning inom den kontrollerade zonen av insiders. | ||
|
2.5.2 Genomsökning av hot som syftar till att identifiera typen eller typerna av operativsystem som används, nätverksadresser för ISPD-arbetsstationer, nätverkstopologi, öppna portar och tjänster, öppna anslutningar, etc. | ||
|
2.5.3 Hot om att avslöja lösenord över nätverket | ||
|
2.5.4 Hot som inför en falsk nätverksrutt | ||
|
2.5.5 Hot om att förfalska ett betrodd objekt i nätverket | ||
|
2.5.6 Hot om att införa ett falskt objekt både i ISPD och i externa nätverk | ||
|
2.5.7 Denial of Service Hot | ||
|
2.5.8 Hot om fjärrstart av program | ||
|
2.5.9 Hot om att introducera skadlig programvara över nätverket | ||
Tabell 16 - Autonom IS typ III
|
Typ av PD-säkerhetshot |
Genomförbarhetsförhållande för hot (Y) |
Möjlighet till genomförande |
|
1. Hot från läckage genom tekniska kanaler. |
||
|
1.1. Hot om läckage av akustisk information | ||
|
1.2. Hot om artinformationsläckage | ||
|
1.3. Hot om informationsläckage genom PEMIN-kanaler | ||
|
2. Hot om obehörig åtkomst till information. |
||
|
2.1. Hot om förstörelse, stöld av ISPD-hårdvara för informationsbärare genom fysisk åtkomst till ISPD-element |
||
|
2.1.1. PC stöld | ||
|
2.1.2. Mediastöld | ||
|
2.1.3. Stöld av nycklar och åtkomstattribut | ||
|
2.1.4. Stöld, modifiering, förstörelse av information | ||
|
2.1.5. Inaktivering av PC-noder, kommunikationskanaler | ||
|
2.1.6. Obehörig åtkomst till information under underhåll (reparation, förstörelse) av PC-noder | ||
|
2.1.7. Obehörig inaktivering av skydd | ||
|
2.2. Hot om stöld, obehörig modifiering eller blockering av information på grund av obehörig åtkomst (UAS) med hjälp av mjukvara, hårdvara och mjukvara (inklusive mjukvara och matematiska influenser). |
||
|
2.2.1. Åtgärder av skadlig programvara (virus) | ||
|
2.2.3. Installation av icke-arbetsrelaterad programvara | ||
|
2.3. Hot om oavsiktliga handlingar från användare och kränkningar av säkerheten för hur ISPD och SZPDn fungerar i dess sammansättning på grund av programvarufel, såväl som från icke-antropogena hot (maskinvarufel på grund av opålitliga element, strömavbrott) och naturliga (blixtnedslag , bränder, översvämningar och etc.) karaktär. |
||
|
2.3.1. Förlust av nycklar och åtkomstattribut | ||
|
2.3.2. Oavsiktlig ändring (förstörelse) av information av anställda | ||
|
2.3.3. Oavsiktlig inaktivering av skydd | ||
|
2.3.4. Fel i hårdvara och mjukvara | ||
|
2.3.5. Strömavbrott | ||
|
2.3.6. Katastrof | ||
|
2.4. Hot om avsiktliga handlingar av insiders |
||
|
2.4.1. Tillgång till information, ändring, förstörelse av personer som inte får behandla den | ||
|
2.4.2. Avslöjande av information, ändring, förstörelse av anställda som har tillåtits att behandla den | ||
|
2.5 Hot om obehörig åtkomst via kommunikationskanaler. |
||
|
2.5.1 Hot om "analys av nätverkstrafik" med avlyssning av information som överförs från ISPD och tas emot från externa nätverk: | ||
|
2.5.1.1. Avlyssning utanför den kontrollerade zonen | ||
|
2.5.1.2. Avlyssning inom den kontrollerade zonen av externa inkräktare | ||
|
2.5.1.3 Avlyssning inom den kontrollerade zonen av insiders. | ||
|
2.5.2 Genomsökning av hot som syftar till att identifiera typen eller typerna av operativsystem som används, nätverksadresser för ISPD-arbetsstationer, nätverkstopologi, öppna portar och tjänster, öppna anslutningar, etc. | ||
|
2.5.3 Hot om att avslöja lösenord över nätverket | ||
|
2.5.4 Hot som inför en falsk nätverksrutt | ||
|
2.5.5 Hot om att förfalska ett betrodd objekt i nätverket | ||
|
2.5.6 Hot om att införa ett falskt objekt både i ISPD och i externa nätverk | ||
|
2.5.7 Denial of Service Hot | ||
|
2.5.8 Hot om fjärrstart av program | ||
|
2.5.9 Hot om att introducera skadlig programvara över nätverket | ||
Tabell 17 - Autonom IS typ IV
|
Typ av PD-säkerhetshot |
Genomförbarhetsförhållande för hot (Y) |
Möjlighet till genomförande |
|
1. Hot från läckage genom tekniska kanaler. |
||
|
1.1. Hot om läckage av akustisk information | ||
|
1.2. Hot om artinformationsläckage | ||
|
1.3. Hot om informationsläckage genom PEMIN-kanaler | ||
|
2. Hot om obehörig åtkomst till information. |
||
|
2.1. Hot om förstörelse, stöld av ISPD-hårdvara för informationsbärare genom fysisk åtkomst till ISPD-element |
||
|
2.1.1. PC stöld | ||
|
2.1.2. Mediastöld | ||
|
2.1.3. Stöld av nycklar och åtkomstattribut | ||
|
2.1.4. Stöld, modifiering, förstörelse av information | ||
|
2.1.5. Inaktivering av PC-noder, kommunikationskanaler | ||
|
2.1.6. Obehörig åtkomst till information under underhåll (reparation, förstörelse) av PC-noder | ||
|
2.1.7. Obehörig inaktivering av skydd | ||
|
2.2. Hot om stöld, obehörig modifiering eller blockering av information på grund av obehörig åtkomst (UAS) med hjälp av mjukvara, hårdvara och mjukvara (inklusive mjukvara och matematiska influenser). |
||
|
2.2.1. Åtgärder av skadlig programvara (virus) | ||
|
2.2.3. Installation av icke-arbetsrelaterad programvara | ||
|
2.3. Hot om oavsiktliga handlingar från användare och kränkningar av säkerheten för hur ISPD och SZPDn fungerar i dess sammansättning på grund av programvarufel, såväl som från icke-antropogena hot (maskinvarufel på grund av opålitliga element, strömavbrott) och naturliga (blixtnedslag , bränder, översvämningar och etc.) karaktär. |
||
|
2.3.1. Förlust av nycklar och åtkomstattribut | ||
|
2.3.2. Oavsiktlig ändring (förstörelse) av information av anställda | ||
|
2.3.3. Oavsiktlig inaktivering av skydd | ||
|
2.3.4. Fel i hårdvara och mjukvara | ||
|
2.3.5. Strömavbrott | ||
|
2.3.6. Katastrof | ||
|
2.4. Hot om avsiktliga handlingar av insiders |
||
|
2.4.1. Tillgång till information, ändring, förstörelse av personer som inte får behandla den | ||
|
2.4.2. Avslöjande av information, ändring, förstörelse av anställda som har tillåtits att behandla den | ||
|
2.5 Hot om obehörig åtkomst via kommunikationskanaler. |
||
|
2.5.1 Hot om "analys av nätverkstrafik" med avlyssning av information som överförs från ISPD och tas emot från externa nätverk: | ||
|
2.5.1.1. Avlyssning utanför den kontrollerade zonen | ||
|
2.5.1.2. Avlyssning inom den kontrollerade zonen av externa inkräktare | ||
|
2.5.1.3 Avlyssning inom den kontrollerade zonen av insiders. | ||
|
2.5.2 Genomsökning av hot som syftar till att identifiera typen eller typerna av operativsystem som används, nätverksadresser för ISPD-arbetsstationer, nätverkstopologi, öppna portar och tjänster, öppna anslutningar, etc. | ||
|
2.5.3 Hot om att avslöja lösenord över nätverket | ||
|
2.5.4 Hot som inför en falsk nätverksrutt | ||
|
2.5.5 Hot om att förfalska ett betrodd objekt i nätverket | ||
|
2.5.6 Hot om att införa ett falskt objekt både i ISPD och i externa nätverk | ||
|
2.5.7 Denial of Service Hot | ||
|
2.5.8 Hot om fjärrstart av program | ||
|
2.5.9 Hot om att introducera skadlig programvara över nätverket | ||
Tabell 18 - Autonom IC V-typ
|
Typ av PD-säkerhetshot |
Genomförbarhetsförhållande för hot (Y) |
Möjlighet till genomförande |
|
1. Hot från läckage genom tekniska kanaler. |
||
|
1.1. Hot om läckage av akustisk information | ||
|
1.2. Hot om artinformationsläckage | ||
|
1.3. Hot om informationsläckage genom PEMIN-kanaler | ||
|
2. Hot om obehörig åtkomst till information. |
||
|
2.1. Hot om förstörelse, stöld av ISPD-hårdvara för informationsbärare genom fysisk åtkomst till ISPD-element |
||
|
2.1.1. PC stöld | ||
|
2.1.2. Mediastöld | ||
|
2.1.3. Stöld av nycklar och åtkomstattribut | ||
|
2.1.4. Stöld, modifiering, förstörelse av information | ||
|
2.1.5. Inaktivering av PC-noder, kommunikationskanaler | ||
|
2.1.6. Obehörig åtkomst till information under underhåll (reparation, förstörelse) av PC-noder | ||
|
2.1.7. Obehörig inaktivering av skydd | ||
|
2.2. Hot om stöld, obehörig modifiering eller blockering av information på grund av obehörig åtkomst (UAS) med hjälp av mjukvara, hårdvara och mjukvara (inklusive mjukvara och matematiska influenser). |
||
|
2.2.1. Åtgärder av skadlig programvara (virus) | ||
|
2.2.3. Installation av icke-arbetsrelaterad programvara | ||
|
2.3. Hot om oavsiktliga handlingar från användare och kränkningar av säkerheten för hur ISPD och SZPDn fungerar i dess sammansättning på grund av programvarufel, såväl som från icke-antropogena hot (maskinvarufel på grund av opålitliga element, strömavbrott) och naturliga (blixtnedslag , bränder, översvämningar och etc.) karaktär. |
||
|
2.3.1. Förlust av nycklar och åtkomstattribut | ||
|
2.3.2. Oavsiktlig ändring (förstörelse) av information av anställda | ||
|
2.3.3. Oavsiktlig inaktivering av skydd | ||
|
2.3.4. Fel i hårdvara och mjukvara | ||
|
2.3.5. Strömavbrott | ||
|
2.3.6. Katastrof | ||
|
2.4. Hot om avsiktliga handlingar av insiders |
||
|
2.4.1. Tillgång till information, ändring, förstörelse av personer som inte får behandla den | ||
|
2.4.2. Avslöjande av information, ändring, förstörelse av anställda som har tillåtits att behandla den | ||
|
2.5 Hot om obehörig åtkomst via kommunikationskanaler. |
||
|
2.5.1 Hot om "analys av nätverkstrafik" med avlyssning av information som överförs från ISPD och tas emot från externa nätverk: | ||
|
2.5.1.1. Avlyssning utanför den kontrollerade zonen | ||
|
2.5.1.2. Avlyssning inom den kontrollerade zonen av externa inkräktare | ||
|
2.5.1.3 Avlyssning inom den kontrollerade zonen av insiders. | ||
|
2.5.2 Genomsökning av hot som syftar till att identifiera typen eller typerna av operativsystem som används, nätverksadresser för ISPD-arbetsstationer, nätverkstopologi, öppna portar och tjänster, öppna anslutningar, etc. | ||
|
2.5.3 Hot om att avslöja lösenord över nätverket | ||
|
2.5.4 Hot som inför en falsk nätverksrutt | ||
|
2.5.5 Hot om att förfalska ett betrodd objekt i nätverket | ||
|
2.5.6 Hot om att införa ett falskt objekt både i ISPD och i externa nätverk | ||
|
2.5.7 Denial of Service Hot | ||
|
2.5.8 Hot om fjärrstart av program | ||
|
2.5.9 Hot om att introducera skadlig programvara över nätverket | ||
Tabell 19 - Autonom IC Typ VI
|
Typ av PD-säkerhetshot |
Genomförbarhetsförhållande för hot (Y) |
Möjlighet till genomförande |
|
1. Hot från läckage genom tekniska kanaler. |
||
|
1.1. Hot om läckage av akustisk information | ||
|
1.2. Hot om artinformationsläckage | ||
|
1.3. Hot om informationsläckage genom PEMIN-kanaler | ||
|
2. Hot om obehörig åtkomst till information. |
||
|
2.1. Hot om förstörelse, stöld av ISPD-hårdvara för informationsbärare genom fysisk åtkomst till ISPD-element |
||
|
2.1.1. PC stöld | ||
|
2.1.2. Mediastöld | ||
|
2.1.3. Stöld av nycklar och åtkomstattribut | ||
|
2.1.4. Stöld, modifiering, förstörelse av information | ||
|
2.1.5. Inaktivering av PC-noder, kommunikationskanaler | ||
|
2.1.6. Obehörig åtkomst till information under underhåll (reparation, förstörelse) av PC-noder | ||
|
2.1.7. Obehörig inaktivering av skydd | ||
|
2.2. Hot om stöld, obehörig modifiering eller blockering av information på grund av obehörig åtkomst (UAS) med hjälp av mjukvara, hårdvara och mjukvara (inklusive mjukvara och matematiska influenser). |
||
|
2.2.1. Åtgärder av skadlig programvara (virus) | ||
|
2.2.3. Installation av icke-arbetsrelaterad programvara | ||
|
2.3. Hot om oavsiktliga handlingar från användare och kränkningar av säkerheten för hur ISPD och SZPDn fungerar i dess sammansättning på grund av programvarufel, såväl som från icke-antropogena hot (maskinvarufel på grund av opålitliga element, strömavbrott) och naturliga (blixtnedslag , bränder, översvämningar och etc.) karaktär. |
||
|
2.3.1. Förlust av nycklar och åtkomstattribut | ||
|
2.3.2. Oavsiktlig ändring (förstörelse) av information av anställda | ||
|
2.3.3. Oavsiktlig inaktivering av skydd | ||
|
2.3.4. Fel i hårdvara och mjukvara | ||
|
2.3.5. Strömavbrott | ||
|
2.3.6. Katastrof | ||
|
2.4. Hot om avsiktliga handlingar av insiders |
||
|
2.4.1. Tillgång till information, ändring, förstörelse av personer som inte får behandla den | ||
|
2.4.2. Avslöjande av information, ändring, förstörelse av anställda som har tillåtits att behandla den | ||
|
2.5 Hot om obehörig åtkomst via kommunikationskanaler. |
||
|
2.5.1 Hot om "analys av nätverkstrafik" med avlyssning av information som överförs från ISPD och tas emot från externa nätverk: | ||
|
2.5.1.1. Avlyssning utanför den kontrollerade zonen | ||
|
2.5.1.2. Avlyssning inom den kontrollerade zonen av externa inkräktare | ||
|
2.5.1.3 Avlyssning inom den kontrollerade zonen av insiders. | ||
|
2.5.2 Genomsökning av hot som syftar till att identifiera typen eller typerna av operativsystem som används, nätverksadresser för ISPD-arbetsstationer, nätverkstopologi, öppna portar och tjänster, öppna anslutningar, etc. | ||
|
2.5.3 Hot om att avslöja lösenord över nätverket | ||
|
2.5.4 Hot som inför en falsk nätverksrutt | ||
|
2.5.5 Hot om att förfalska ett betrodd objekt i nätverket | ||
|
2.5.6 Hot om att införa ett falskt objekt både i ISPD och i externa nätverk | ||
|
2.5.7 Denial of Service Hot | ||
|
2.5.8 Hot om fjärrstart av program | ||
|
2.5.9 Hot om att introducera skadlig programvara över nätverket | ||
Tabell 20 - Typ I LIS
|
Typ av PD-säkerhetshot |
Genomförbarhetsförhållande för hot (Y) |
Möjlighet till genomförande |
|
1. Hot från läckage genom tekniska kanaler. |
||
|
1.1. Hot om läckage av akustisk information | ||
|
1.2. Hot om artinformationsläckage | ||
|
1.3. Hot om informationsläckage genom PEMIN-kanaler | ||
|
2. Hot om obehörig åtkomst till information. |
||
|
2.1. Hot om förstörelse, stöld av ISPD-hårdvara för informationsbärare genom fysisk åtkomst till ISPD-element |
||
|
2.1.1. PC stöld | ||
|
2.1.2. Mediastöld | ||
|
2.1.3. Stöld av nycklar och åtkomstattribut | ||
|
2.1.4. Stöld, modifiering, förstörelse av information | ||
|
2.1.5. Inaktivering av PC-noder, kommunikationskanaler | ||
|
2.1.6. Obehörig åtkomst till information under underhåll (reparation, förstörelse) av PC-noder | ||
|
2.1.7. Obehörig inaktivering av skydd | ||
|
2.2. Hot om stöld, obehörig modifiering eller blockering av information på grund av obehörig åtkomst (UAS) med hjälp av mjukvara, hårdvara och mjukvara (inklusive mjukvara och matematiska influenser). |
||
|
2.2.1. Åtgärder av skadlig programvara (virus) | ||
|
2.2.3. Installation av icke-arbetsrelaterad programvara | ||
|
2.3. Hot om oavsiktliga handlingar från användare och kränkningar av säkerheten för hur ISPD och SZPDn fungerar i dess sammansättning på grund av programvarufel, såväl som från icke-antropogena hot (maskinvarufel på grund av opålitliga element, strömavbrott) och naturliga (blixtnedslag , bränder, översvämningar och etc.) karaktär. |
||
|
2.3.1. Förlust av nycklar och åtkomstattribut | ||
|
2.3.2. Oavsiktlig ändring (förstörelse) av information av anställda | ||
|
2.3.3. Oavsiktlig inaktivering av skydd | ||
|
2.3.4. Fel i hårdvara och mjukvara | ||
|
2.3.5. Strömavbrott | ||
|
2.3.6. Katastrof | ||
|
2.4. Hot om avsiktliga handlingar av insiders |
||
|
2.4.1. Tillgång till information, ändring, förstörelse av personer som inte får behandla den | ||
|
2.4.2. Avslöjande av information, ändring, förstörelse av anställda som har tillåtits att behandla den | ||
|
2.5 Hot om obehörig åtkomst via kommunikationskanaler. |
||
|
2.5.1 Hot om "analys av nätverkstrafik" med avlyssning av information som överförs från ISPD och tas emot från externa nätverk: | ||
|
2.5.1.1. Avlyssning utanför den kontrollerade zonen | ||
|
2.5.1.2. Avlyssning inom den kontrollerade zonen av externa inkräktare | ||
|
2.5.1.3 Avlyssning inom den kontrollerade zonen av insiders. | ||
|
2.5.2 Genomsökning av hot som syftar till att identifiera typen eller typerna av operativsystem som används, nätverksadresser för ISPD-arbetsstationer, nätverkstopologi, öppna portar och tjänster, öppna anslutningar, etc. | ||
|
2.5.3 Hot om att avslöja lösenord över nätverket | ||
|
2.5.4 Hot som inför en falsk nätverksrutt | ||
|
2.5.5 Hot om att förfalska ett betrodd objekt i nätverket | ||
|
2.5.6 Hot om att införa ett falskt objekt både i ISPD och i externa nätverk | ||
|
2.5.7 Denial of Service Hot | ||
|
2.5.8 Hot om fjärrstart av program | ||
|
2.5.9 Hot om att introducera skadlig programvara över nätverket | ||
Tabell 21 - Typ II LIS
|
Typ av PD-säkerhetshot |
Genomförbarhetsförhållande för hot (Y) |
Möjlighet till genomförande |
|
1. Hot från läckage genom tekniska kanaler. |
||
|
1.1. Hot om läckage av akustisk information | ||
|
1.2. Hot om artinformationsläckage | ||
|
1.3. Hot om informationsläckage genom PEMIN-kanaler | ||
|
2. Hot om obehörig åtkomst till information. |
||
|
2.1. Hot om förstörelse, stöld av ISPD-hårdvara för informationsbärare genom fysisk åtkomst till ISPD-element |
||
|
2.1.1. PC stöld | ||
|
2.1.2. Mediastöld | ||
|
2.1.3. Stöld av nycklar och åtkomstattribut | ||
|
2.1.4. Stöld, modifiering, förstörelse av information | ||
|
2.1.5. Inaktivering av PC-noder, kommunikationskanaler | ||
|
2.1.6. Obehörig åtkomst till information under underhåll (reparation, förstörelse) av PC-noder | ||
|
2.1.7. Obehörig inaktivering av skydd | ||
|
2.2. Hot om stöld, obehörig modifiering eller blockering av information på grund av obehörig åtkomst (UAS) med hjälp av mjukvara, hårdvara och mjukvara (inklusive mjukvara och matematiska influenser). |
||
|
2.2.1. Åtgärder av skadlig programvara (virus) | ||
|
2.2.3. Installation av icke-arbetsrelaterad programvara | ||
|
2.3. Hot om oavsiktliga handlingar från användare och kränkningar av säkerheten för hur ISPD och SZPDn fungerar i dess sammansättning på grund av programvarufel, såväl som från icke-antropogena hot (maskinvarufel på grund av opålitliga element, strömavbrott) och naturliga (blixtnedslag , bränder, översvämningar och etc.) karaktär. |
||
|
2.3.1. Förlust av nycklar och åtkomstattribut | ||
|
2.3.2. Oavsiktlig ändring (förstörelse) av information av anställda | ||
|
2.3.3. Oavsiktlig inaktivering av skydd | ||
|
2.3.4. Fel i hårdvara och mjukvara | ||
|
2.3.5. Strömavbrott | ||
|
2.3.6. Katastrof | ||
|
2.4. Hot om avsiktliga handlingar av insiders |
||
|
2.4.1. Tillgång till information, ändring, förstörelse av personer som inte får behandla den | ||
|
2.4.2. Avslöjande av information, ändring, förstörelse av anställda som har tillåtits att behandla den | ||
|
2.5 Hot om obehörig åtkomst via kommunikationskanaler. |
||
|
2.5.1 Hot om "analys av nätverkstrafik" med avlyssning av information som överförs från ISPD och tas emot från externa nätverk: | ||
|
2.5.1.1. Avlyssning utanför den kontrollerade zonen | ||
|
2.5.1.2. Avlyssning inom den kontrollerade zonen av externa inkräktare | ||
|
2.5.1.3 Avlyssning inom den kontrollerade zonen av insiders. | ||
|
2.5.2 Genomsökning av hot som syftar till att identifiera typen eller typerna av operativsystem som används, nätverksadresser för ISPD-arbetsstationer, nätverkstopologi, öppna portar och tjänster, öppna anslutningar, etc. | ||
|
2.5.3 Hot om att avslöja lösenord över nätverket | ||
|
2.5.4 Hot som inför en falsk nätverksrutt | ||
|
2.5.5 Hot om att förfalska ett betrodd objekt i nätverket | ||
|
2.5.6 Hot om att införa ett falskt objekt både i ISPD och i externa nätverk | ||
|
2.5.7 Denial of Service Hot | ||
|
2.5.8 Hot om fjärrstart av program | ||
|
2.5.9 Hot om att introducera skadlig programvara över nätverket | ||
Tabell 22 - Distribuerad IC typ I
|
Typ av PD-säkerhetshot |
Genomförbarhetsförhållande för hot (Y) |
Möjlighet till genomförande |
|
1. Hot från läckage genom tekniska kanaler. |
||
|
1.1. Hot om läckage av akustisk information | ||
|
1.2. Hot om artinformationsläckage | ||
|
1.3. Hot om informationsläckage genom PEMIN-kanaler | ||
|
2. Hot om obehörig åtkomst till information. |
||
|
2.1. Hot om förstörelse, stöld av ISPD-hårdvara för informationsbärare genom fysisk åtkomst till ISPD-element |
||
|
2.1.1. PC stöld | ||
|
2.1.2. Mediastöld | ||
|
2.1.3. Stöld av nycklar och åtkomstattribut | ||
|
2.1.4. Stöld, modifiering, förstörelse av information | ||
|
2.1.5. Inaktivering av PC-noder, kommunikationskanaler | ||
|
2.1.6. Obehörig åtkomst till information under underhåll (reparation, förstörelse) av PC-noder | ||
|
2.1.7. Obehörig inaktivering av skydd | ||
|
2.2. Hot om stöld, obehörig modifiering eller blockering av information på grund av obehörig åtkomst (UAS) med hjälp av mjukvara, hårdvara och mjukvara (inklusive mjukvara och matematiska influenser). |
||
|
2.2.1. Åtgärder av skadlig programvara (virus) | ||
|
2.2.3. Installation av icke-arbetsrelaterad programvara | ||
|
2.3. Hot om oavsiktliga handlingar från användare och kränkningar av säkerheten för hur ISPD och SZPDn fungerar i dess sammansättning på grund av programvarufel, såväl som från icke-antropogena hot (maskinvarufel på grund av opålitliga element, strömavbrott) och naturliga (blixtnedslag , bränder, översvämningar och etc.) karaktär. |
||
|
2.3.1. Förlust av nycklar och åtkomstattribut | ||
|
2.3.2. Oavsiktlig ändring (förstörelse) av information av anställda | ||
|
2.3.3. Oavsiktlig inaktivering av skydd | ||
|
2.3.4. Fel i hårdvara och mjukvara | ||
|
2.3.5. Strömavbrott | ||
|
2.3.6. Katastrof | ||
|
2.4. Hot om avsiktliga handlingar av insiders |
||
|
2.4.1. Tillgång till information, ändring, förstörelse av personer som inte får behandla den | ||
|
2.4.2. Avslöjande av information, ändring, förstörelse av anställda som har tillåtits att behandla den | ||
|
2.5 Hot om obehörig åtkomst via kommunikationskanaler. |
||
|
2.5.1 Hot om "analys av nätverkstrafik" med avlyssning av information som överförs från ISPD och tas emot från externa nätverk: | ||
|
2.5.1.1. Avlyssning utanför den kontrollerade zonen | ||
|
2.5.1.2. Avlyssning inom den kontrollerade zonen av externa inkräktare | ||
|
2.5.1.3 Avlyssning inom den kontrollerade zonen av insiders. | ||
|
2.5.2 Genomsökning av hot som syftar till att identifiera typen eller typerna av operativsystem som används, nätverksadresser för ISPD-arbetsstationer, nätverkstopologi, öppna portar och tjänster, öppna anslutningar, etc. | ||
|
2.5.3 Hot om att avslöja lösenord över nätverket | ||
|
2.5.4 Hot som inför en falsk nätverksrutt | ||
|
2.5.5 Hot om att förfalska ett betrodd objekt i nätverket | ||
|
2.5.6 Hot om att införa ett falskt objekt både i ISPD och i externa nätverk | ||
|
2.5.7 Denial of Service Hot | ||
|
2.5.8 Hot om fjärrstart av program | ||
|
2.5.9 Hot om att introducera skadlig programvara över nätverket | ||
Tabell 23 - Distribuerad IS typ II
|
Typ av PD-säkerhetshot |
Genomförbarhetsförhållande för hot (Y) |
Möjlighet till genomförande |
|
1. Hot från läckage genom tekniska kanaler. |
||
|
1.1. Hot om läckage av akustisk information | ||
|
1.2. Hot om artinformationsläckage | ||
|
1.3. Hot om informationsläckage genom PEMIN-kanaler | ||
|
2. Hot om obehörig åtkomst till information. |
||
|
2.1. Hot om förstörelse, stöld av ISPD-hårdvara för informationsbärare genom fysisk åtkomst till ISPD-element |
||
|
2.1.1. PC stöld | ||
|
2.1.2. Mediastöld | ||
|
2.1.3. Stöld av nycklar och åtkomstattribut | ||
|
2.1.4. Stöld, modifiering, förstörelse av information | ||
|
2.1.5. Inaktivering av PC-noder, kommunikationskanaler | ||
|
2.1.6. Obehörig åtkomst till information under underhåll (reparation, förstörelse) av PC-noder | ||
|
2.1.7. Obehörig inaktivering av skydd | ||
|
2.2. Hot om stöld, obehörig modifiering eller blockering av information på grund av obehörig åtkomst (UAS) med hjälp av mjukvara, hårdvara och mjukvara (inklusive mjukvara och matematiska influenser). |
||
|
2.2.1. Åtgärder av skadlig programvara (virus) | ||
|
2.2.3. Installation av icke-arbetsrelaterad programvara | ||
|
2.3. Hot om oavsiktliga handlingar från användare och kränkningar av säkerheten för hur ISPD och SZPDn fungerar i dess sammansättning på grund av programvarufel, såväl som från icke-antropogena hot (maskinvarufel på grund av opålitliga element, strömavbrott) och naturliga (blixtnedslag , bränder, översvämningar och etc.) karaktär. |
||
|
2.3.1. Förlust av nycklar och åtkomstattribut | ||
|
2.3.2. Oavsiktlig ändring (förstörelse) av information av anställda | ||
|
2.3.3. Oavsiktlig inaktivering av skydd | ||
|
2.3.4. Fel i hårdvara och mjukvara | ||
|
2.3.5. Strömavbrott | ||
|
2.3.6. Katastrof | ||
|
2.4. Hot om avsiktliga handlingar av insiders |
||
|
2.4.1. Tillgång till information, ändring, förstörelse av personer som inte får behandla den | ||
|
2.4.2. Avslöjande av information, ändring, förstörelse av anställda som har tillåtits att behandla den | ||
|
2.5 Hot om obehörig åtkomst via kommunikationskanaler. |
||
|
2.5.1 Hot om "analys av nätverkstrafik" med avlyssning av information som överförs från ISPD och tas emot från externa nätverk: | ||
|
2.5.1.1. Avlyssning utanför den kontrollerade zonen | ||
|
2.5.1.2. Avlyssning inom den kontrollerade zonen av externa inkräktare | ||
|
2.5.1.3 Avlyssning inom den kontrollerade zonen av insiders. | ||
|
2.5.2 Genomsökning av hot som syftar till att identifiera typen eller typerna av operativsystem som används, nätverksadresser för ISPD-arbetsstationer, nätverkstopologi, öppna portar och tjänster, öppna anslutningar, etc. | ||
|
2.5.3 Hot om att avslöja lösenord över nätverket | ||
|
2.5.4 Hot som inför en falsk nätverksrutt | ||
|
2.5.5 Hot om att förfalska ett betrodd objekt i nätverket | ||
|
2.5.6 Hot om att införa ett falskt objekt både i ISPD och i externa nätverk | ||
|
2.5.7 Denial of Service Hot | ||
Hotet ligger i önskan att lansera olika tidigare inbäddade skadliga program på ISPD-värden: bokmärkesprogram, virus, "nätverksspioner", vars huvudsakliga syfte är att bryta mot konfidentialitet, integritet, tillgänglighet av information och fullständig kontroll över operationen av värden. Dessutom är obehörig lansering av användarapplikationsprogram möjlig för otillåten erhållande av de data som krävs för överträdaren, för att starta processer som kontrolleras av applikationsprogrammet, etc.
Det finns tre underklasser av dessa hot:
distribution av filer som innehåller otillåten körbar kod;
fjärrstart av applikationen genom att fylla bufferten av applikationsservrar;
fjärrlansering av applikationen genom att använda funktionerna för fjärrsystemhantering som tillhandahålls av dolda program- och hårdvaruflikar, eller av standardverktyg som används.
Typiska hot från den första av dessa underklasser är baserade på aktivering av distribuerade filer när de av misstag nås. Exempel på sådana filer är: filer som innehåller körbar kod i form av dokument som innehåller körbar kod i form av ActiveX-kontroller, Java-applets, tolkade skript (till exempel JavaScript-texter); filer som innehåller körbara programkoder. För distribution av filer kan e-post, filöverföring, nätverksfilsystemtjänster användas.
Hoten från den andra underklassen utnyttjar bristerna i program som implementerar nätverkstjänster (särskilt bristen på kontroll över buffertspill). Genom att justera systemregister är det ibland möjligt att koppla om processorn, efter ett buffertspillavbrott, till exekvering av kod som finns utanför buffertgränsen. Ett exempel på genomförandet av ett sådant hot är introduktionen av det välkända "Morris-viruset".
Med hot från den tredje underklassen använder inkräktaren de fjärrsystemhanteringsfunktioner som tillhandahålls av dolda komponenter (till exempel "trojanska" program som Back. Orifice, Net Bus), eller vanliga sätt att hantera och administrera datornätverk (Landesk Management Suite , Managewise, Back Orifice, etc.). P.). Som ett resultat av deras användning är det möjligt att uppnå fjärrkontroll över stationen i nätverket.
Om institutionens behandlade PD inte skickas över offentliga nätverk och internationellt utbyte installeras antivirusskydd, då är sannolikheten för att ett hot realiseras är inte troligt.
I alla andra fall ska sannolikheten för att hotet förverkligas bedömas.
En generaliserad lista över sannolikheten för hot för olika typer av ISPD presenteras i tabell 12.
Tabell 12
|
ISPD-typ |
Sannolikheten för hotet |
Coeff. sannolikheten för att inkräktaren förverkligar hotet |
|
Autonom IC typ I |
osannolik | |
|
Autonom IC Typ II | ||
|
Autonom IC Typ III |
osannolik | |
|
Autonom IC Typ IV | ||
|
Autonom IC V-typ |
osannolik | |
|
Autonom IC Typ VI | ||
|
LIS typ I |
osannolik | |
|
LIS typ II | ||
|
Distribuerad IC Typ I |
osannolik | |
|
Distribuerad IC typ II |
