Программы с потенциально опасными последствиями названы в Уголовном кодексе РФ «вредоносные программы».
Такая программа (осмысленный набор инструкций для какого-либо
процессора) может выполнять следующие функции:
скрывать признаки своего присутствия в программной среде ОИ;
обладает способностью к самодублированию, ассоциированию себя с другими программами и/или переносу своих фрагментов в иные (не занимаемые изначально указанной программой) области оперативной или внешней памяти;
обладает способностью разрушать (искажать произвольным образом) код программ (отличных от нее) в оперативной памяти ОИ;
обладает способностью переносить (сохранять) фрагменты информации оперативной памяти в некоторых областях оперативной или внешней памяти прямого доступа (локальных или удаленных);
имеет потенциальную возможность искажать произвольным образом, блокировать и/или подменять выводимой во внешнюю память или в канал связи массив информации, образовавшийся в результате работы прикладных программ или уже находящиеся во внешней памяти массивы данных, либо изменять их параметры.
Защита информации. Основы информационной безопасности.
Вредоносные программы можно условно разделить на:
программы типа «программный червь » или «троянский конь» и фрагменты
программ типа «логический люк»;
программные закладки или разрушающие программные воздействия (РПВ) — обобщенный класс программ (в смысле отсутствия конкретных признаков) с потенциально опасными последствиями.
«Троянский конь» — программа, выполняющая в дополнение к основным (проектным и документированным) не описанные в документации действия. Аналогия с древнегреческим «троянским конем» таким образом, вполне оправдана — в не вызывающей подозрений оболочке таится угроза.
Опасность «троянского коня» заключается в дополнительном блоке команд, тем или иным образом вставленном в исходную безвредную программу, которая затем предлагается (дарится, продается, подменяется) пользователем. Этот блок команд может срабатывать при наступлении некоторого условия (даты, времени и т.д., либо по команде извне).
Наиболее опасные действия «троянский конь» может выполнять, если запустивший ее пользователь обладает расширенным набором привилегий. В этом случае злоумышленник, составивший и внедривший «троянского коня», и сам этими привилегиями не обладающий, может выполнить несанкционированные привилегированные функции чужими руками.
Вирус — это программа, которая может заражать другие программы путем включения в них своей, возможно модифицированной, копии, причем последняя сохраняет способность к дальнейшему размножению.
Своим названием компьютерные вирусы обязаны определенному сходству с вирусами биологическими:
— способностями к саморазмножению;
— высокой скорости распространения;
— избирательности поражаемых систем (каждый вирус поражает только
определенные системы или однородные группы систем);
— наличию в большинстве случаев определенного инкубационного
Информатика 11 класс (Урок№18 — Информационное право и информационная безопасность.)
— способности «заражать» еще незараженные системы;
— трудности борьбы с вирусами и т.д.
В последнее время к этим особенностям, характерным для вирусов компьютерных и биологических, можно добавить еще и постоянно увеличивающуюся быстроту появления модификаций и новых поколений вирусов, что можно объяснить идеями злоумышленников определенного склада ума.
Программа, внутри которой находится вирус, называется «зараженной». Когда такая программа начинает работу, то сначала управление получает вирус. Вирус находит и «заражает» другие программы, а также выполняет какие-нибудь вредные действия.
Процесс заражения вирусом программных файлов можно представить
следующим образом. В зараженной программе код последней изменяется таким образом, чтобы вирус получил управление первым, до начала работы программы-вирусоносителя. При передаче управления вирусу он каким-либо способом находит новую программу и выполняет вставку собственной копии в начало или добавление ее в конец этой, обычно еще не зараженной, программы.
Если вирус записывается в конец программы, то он корректирует код программы с тем, чтобы получить управление первым. После этого управление передается программе-вирусоносителю, и та нормально выполняет свои функции. Более изощренные вирусы могут для получения управления изменять системные области накопителя (например, сектор каталога), оставляя длину и содержимое заражаемого файла без изменений.
Загрузочные вирусы. От файловых вирусов загрузочные вирусы отличаются методом распространения. Они поражают не программные файлы, а определенные системные области магнитных носителей (гибких и жестких дисков). На включенном компьютере они могут временно располагаться в оперативной памяти.
Обычно поражение происходит при попытке загрузки компьютера с магнитного носителя, системная область которого содержит загрузочный вирус. Так, например, при попытке загрузить компьютер с гибкого диска происходит сначала проникновение вируса в оперативную память, а затем в загрузочный сектор жестких дисков. Далее этот компьютер сам становится источником распространения загрузочного вируса.
Макровирусы. Эта особая разновидность вирусов поражает документы, выполненные в некоторых прикладных программах, имеющих средства для исполнения так называемых макрокоманд. В частности, к таким документам относятся документы текстового процессора Microsoft Word. Заражение происходит при открытии файла документа в окне программы, если в ней не отключена возможность исполнения макрокоманд.
«Червь» — программа, распространяющаяся через сеть и не оставляющая своей копии на магнитном носителе. «Червь» использует механизмы поддержки сети для определения узла, который может быть заражен. Затем с помощью тех же механизмов передает свое тело или его часть на этот узел и либо активизируется, либо ждет для этого подходящих условий.
«Жадные» программы» — это программы, которые при выполнении стремятся монополизировать какой-либо ресурс системы, не давая другим программам возможности использовать его. Доступ таких программ к ресурсам системы обычно приводит к нарушению ее доступности. Естественно, такая атака будет активным вмешательством в работу системы. Непосредственной атаке обычно подвергаются ключевые объекты системы: процессор, оперативная память, устройства ввода-вывода.
Тупиковая ситуация возникает, когда «жадная» программа бесконечна (например, исполняет заведомо бесконечный цикл). Однако во многих операционных системах существует возможность ограничения времени процессора, используемого задачей. Это не относится к операциям, выполняющимся в зависимости от других программ, например, к операциям ввода-вывода, которые завершаются асинхронно к основной программе; время их выполнения не включается в счет времени программы. Перехватывая сообщение о завершении операции ввода-вывода и посылая вновь запрос на новый ввод-вывод, можно добиться по-настоящему бесконечной программы.
Другой пример «жадной» программы — программа, захватывающая слишком большую область оперативной памяти. В оперативной памяти последовательно размещаются данные, например подкачиваемые с внешнего носителя. В конце концов, память может оказаться во владении одной программы, и выполнение других окажется невозможным.
Захватчики паролей. Это программы специально предназначены для воровства паролей. При попытке входа имитируется ввод имени и пароля, которые пересылаются владельцу программы-захватчика, после чего выводится сообщение об ошибке ввода и управление возвращается операционной системе.
Пользователь, думающий, что допустил ошибку при наборе пароля, повторяет вход и получает доступ к системе. Однако его имя и пароль уже известны владельцу программы-захватчика. Перехват пароля может осуществляться и другим способом — с помощью воздействия на программу, управляющую входом пользователей в систему и ее наборы данных.
Методика воздействия вредоносных программ в значительной мере зависит от организации обработки информации в системе, разработанной политики безопасности, возможностей установленных средств защиты, а также добросовестности администратора и оператора. Для реализации НСД существует два способа:
— во-первых, можно преодолеть систему защиты, то есть путем различных воздействий на нее прекратить ее действия в отношении себя или своих программ. Это сложно, трудоемко и не всегда возможно, зато эффективно;
— во-вторых, можно понаблюдать за тем, что «плохо лежит», то есть какие наборы данных, представляющие интерес для злоумышленника, открыты для доступа по недосмотру или умыслу администратора. Такой доступ, хотя и с некоторой натяжкой, тоже можно назвать несанкционированным, его легко осуществить, но от него легко и защититься. К этому же типу относится НСД с подбором пароля, поскольку осуществить такой подбор возможно лишь в случае нарушения правил составления паролей и использования в качестве пароля человеческих имен, повторяющихся символов и пр.
В подавляющем большинстве случаев НСД становится возможным из-за непродуманного выбора средств защиты, их некорректной установки и настройки, плохого контроля работы, а также при небрежном отношении к защите своих собственных данных.
Атаки «салями». Атаки «салями» более всего характерны для систем, обрабатывающих денежные счета и, следовательно, для банков особенно актуальны. Принцип атак «салями» построен на том факте, что при обработке счетов используются целые единицы (центы, рубли, копейки), а при исчислении процентов нередко получаются дробные суммы.
Например, 6,5% годовых от $102,87 за 31 день составит $0,5495726.
Банковская система может округлить эту сумму до $0.55. Однако если пользователь имеет доступ к банковским счетам или программам их обработки, он может округлить ее в другую сторону — до $0.54, а разницу в 1 цент записать на свой счет. Владелец счета вряд ли ее заметит, а если и обратит внимание, то спишет ее на погрешности обработки и не придаст значения. Злоумышленник же получит прибыль в один цент, при обработке 10.000 счетов в день. Его прибыль таким образом составит $1000, т.е. около $300 000 в год.
Отсюда и происходит название таких атак — как колбаса салями изготавливается из небольших частей разных сортов мяса, так и счет злоумышленника пополняется за счет различных вкладчиков. Естественно, такие атаки имеют смысл лишь в тех организациях, где осуществляется не менее 5000 — 10000 транзакций в день, иначе не имеет смысла рисковать, поскольку в случае обнаружения преступника просто определить. Таким образом, атаки «салями» опасны в основном для крупных банков.
Причинами атак «салями» являются, во-первых, погрешности вычислений, позволяющие трактовать правила округления в ту или иную сторону, а во-вторых, огромные объемы вычислений, необходимые для обработки счетов. Успех таких атак зависит не столько от величины обрабатываемых сумм, сколько от количества счетов (для любого счета погрешность обработки одинакова). Атаки «салями» достаточно трудно распознаются, если только злоумышленник не начинает накапливать на одном счете миллионы.
«Скрытые каналы». «Скрытые каналы» — пути передачи информации между процессами системы, нарушающие системную политику безопасности. В среде с разделением доступа к информации пользователь может не получить разрешение на обработку интересующих его данных, однако может придумать для этого обходные пути. Практически любое действие в системе каким-то образом затрагивает другие ее элементы, которые при этом могут изменять свое состояние. При достаточной наблюдательности и знании этих связей можно получить прямой или опосредованный доступ к данным. «Скрытые каналы» могут быть реализованы различными путями, в частности при помощи программных закладок («троянских коней»).
Например, программист банка не всегда имеет доступ к именам и балансам депозитных счетов. Программист системы, предназначенной для обработки ценных бумаг, может не иметь доступ к предложениям о покупке или продаже. Однако при создании таких систем он может предусмотреть способ получения интересующих его сведений. В этом случае программа скрытым способом устанавливает канал связи с этим программистом и сообщает ему требуемые сведения.
Атаки с использованием скрытых каналов обычно приводят к нарушениям конфиденциальности информации, по характеру воздействия являются пассивными, нарушение состоит только в передаче информации. Для организации «скрытых каналов» может использоваться как штатное программное обеспечение, так и специально разработанные «троянские» или вирусные программы. Атака обычно производится программным способом.
«Скрытым каналом» может явиться передача информации о наличии или отсутствии какого-либо набора данных, его размере, дате создания или модификации и т.д.
Также существует большое количество способов организации связи между двумя процессами системы. Более того, многие операционные системы имеют в своем распоряжении такие средства, так как они очень облегчают работу программистов и пользователей. Проблема заключается в том, что очень трудно отделить неразрешенные «скрытые каналы» от разрешенных, то есть тех, которые не запрещаются системной политикой безопасности. В конечном счете все определяется ущербом, который может принести организация «скрытых каналов».
Отличительными особенностями «скрытых каналов» является их малая
пропускная способность (по ним обычно можно передавать только небольшое количество информации), большие трудности их организации и обычно небольшой наносимый ими ущерб.
«Маскарад». Под «маскарадом» понимается выполнение каких-либо действий одним пользователем от имени другого пользователя. При этом такие действия другому пользователю могут быть разрешены. Нарушение заключается в присвоении прав и привилегий.
Цель «маскарада» — сокрытие каких-либо действий за именем другого пользователя или присвоение прав и привилегий другого пользователя для доступа к его наборам данных или для использования его привилегий.
«Маскарад» — это способ активного нарушения защиты системы, он является опосредованным воздействием, то есть воздействием, совершенным с использованием возможностей других пользователей.
Примером «маскарада» может служить вход в систему под именем и паролем другого пользователя, при этом система защиты не сможет распознать нарушение. В этом случае «маскараду» обычно предшествует взлом системы или перехват пароля.
Другой пример «маскарада» — присвоение имени другого пользователя в процессе работы. Это может быть сделано с помощью средств операционной системы (некоторые операционные системы позволяют изменять идентификатор пользователя в процессе работы) или с помощью программы, которая в определенном месте может изменить определенные данные, в результате чего пользователь получит другое имя. В этом случае «маскараду» может предшествовать захват привилегий, или он может быть осуществлен с использованием какой-либо ошибки в системе.
«Маскарадом» также называют передачу сообщений в сети от имени другого пользователя. Способы замены идентификатора могут быть разные, обычно они определяются ошибками и особенностями сетевых протоколов. Тем не менее на приемном узле такое сообщение будет воспринято как корректное, что может привести к серьезным нарушениям работы сети. Особенно это касается управляющих сообщений, изменяющих конфигурацию сети, или сообщений, ведущих к выполнению привилегированных операций.
Наиболее опасен «маскарад» в банковских системах электронных платежей, где неправильная идентификация клиента может привести к огромным убыткам. Особенно это касается платежей с помощью электронных банковских карт. Сам по себе метод идентификации с помощью персонального идентификатора (PIN) достаточно надежен, нарушения могут происходить вследствие ошибок его использования. Это произойдет, например, в случае утери кредитной карты, при использовании очевидного идентификатора (своего имени, ключевого слова и т.д.). Поэтому клиентам надо строго соблюдать все рекомендации банка по выполнению такого рода платежей.
«Сборка мусора». После окончания работы обрабатываемая информация не всегда полностью удаляется из памяти. Часть данных может оставаться в оперативной памяти, на дисках и лентах, других носителях. Данные хранятся на носителе до перезаписи или уничтожения; при выполнении этих действий на освободившемся пространстве диска находятся их остатки.
Хотя прочитать такие данные трудно, однако, используя специальные программы и оборудование, все же возможно. Такой процесс принято называть «сборкой мусора». Он может привести к утечке важной информации.
«Взлом системы». Под «взломом системы» понимают умышленное проникновение в систему с несанкционированными параметрами входа, то есть именем пользователя и его паролем (паролями).
«Взлом системы» обычно происходит в интерактивном режиме. Поскольку имя пользователя не является секретом, объектом «охоты» обычно становится пароль. Способы вскрытия пароля могут быть различны: перебор возможных паролей, «маскарад» с использованием пароля другого пользователя, захват привилегий. Кроме того, «взлом системы» можно осуществить, используя ошибки программы входа.
«Люки». Люком называется не описанная в документации на программный продукт возможность работы с этим программным продуктом. Сущность использования люков состоит в том, что при выполнении пользователем некоторых не описанных в документации действий он получает доступ к возможностям и данным, которые в обычных условиях для него закрыты (в частности — выход в привилегированный режим).
«Люки» чаще всего являются результатом забывчивости разработчиков. В частности, отладка программы ведется за счет прямого доступа к отдельным частям продукта или наборе определенного сочетания клавиш.
Вообще люк (или люки) могут присутствовать в программе в виду того, что программист:
а) забыл удалить его;
б) умышленно оставил его в программе для обеспечения тестирования или выполнения оставшейся части отладки;
в) умышленно оставил его в программе в интересах облегчения окончательной сборки конечного программного продукта;
г) умышленно оставил его в программе с тем, чтобы иметь скрытое средство доступа к программе уже после того, как она вошла в состав конечного продукта.
В первом случае «люк» — неумышленная, но серьезная брешь в безопасности системы. Во втором и третьем случаях «люк» — серьезная экспозиция безопасности системы. Наконец, в последнем случае «люк» — первый шаг к атаке системы. В любом случае «люк» — это возможность получить управление системой в обход защиты.
Источник: studbooks.net
Угрозы программно-математических воздействий и нетрадиционных информационных каналов
Программно-математическое воздействие [2] — это потенциально возможные воздействие с помощью вредоносных программ, созданными специально для уничтожения, блокирования, модификации или копирования информации.
Вредоносная программа (программа с потенциально опасными последствиями) — самостоятельная программа (набор инструкций), предназначенная для осуществления несанкционированного доступа и (или) воздействия на защищаемую информацию или ресурсы автоматизированной информационной системы.
Любая вредоносная программа способна выполнять некое подмножество следующих функций:
> скрывать признаки своего присутствия в программной среде компьютера;
> обладать способностью к самовоспроизведению, ассоциированию себя с другими программами и (или) переносу своих фрагментов в иные области оперативной или внешней памяти;
> разрушать (искажать произвольным образом) код программ в оперативной памяти;
> выполнять без инициирования со стороны пользователя деструктивные функции;
> сохранять фрагменты информации из оперативной памяти в некоторых областях внешней памяти прямого доступа (локальных или удаленных);
> искажать произвольным образом, блокировать и (или) подменять выводимый во внешнюю память или в канал связи массив информации, образовавшийся в результате работы прикладных программ, или уже находящиеся во внешней памяти массивы данных.
Вирус (компьютерный, программный) — исполняемый программный код или интерпретируемый набор инструкций, обладающий свойствами несанкционированного распространения и самовоспроизведения.
Вредоносные программы могут быть внесены (внедрены) как преднамеренно, так и случайно в программное обеспечение, используемое в ИС, в процессе его разработки, сопровождения, модификации и настройки. Чаще всего вредоносные программы могут быть внесены в процессе эксплуатации ИС с внешних носителей информации или посредством сетевого взаимодействия как в результате НСД, так и случайно пользователями ИС.
Современные вредоносные программы основаны на использовании различного рода уязвимостей программного обеспечения (системного, общего, прикладного) и разнообразных сетевых технологий, обладают широким спектром возможностей (от несанкционированного исследования параметров ИС без вмешательства в ее функционирование, до уничтожения защищаемой информации и программного обеспечения ИС) и могут действовать во всех видах программного обеспечения.
В связи с усложнением и широким разнообразием программного обеспечения число вредоносных программ быстро растает. Сегодня известно более 120 тысяч компьютерных вирусов. Вместе с тем, далеко не все из них представляют реальную угрозу. Во многих случаях устранение уязвимостей в системном или прикладном программном обеспечении привело к тому, что большое количество вредоносных программ уже не способно внедриться в них. Основную опасность, чаще всего, представляют только новые (ранее неизвестные) вредоносные программы.
Наличие в ИС вредоносных программ может способствовать возникновению скрытых, в том числе нетрадиционных каналов доступа к информации, позволяющих вскрывать, обходить или блокировать защитные механизмы, предусмотренные в системе, в том числе парольную и криптографическую защиту.
Основными видами вредоносных программ являются:
> классические программные (компьютерные) вирусы;
> вредоносные программы, распространяющиеся по сети (сетевые черви);
> другие вредоносные программы, предназначенные для осуществления НСД.
К программным закладкам относятся программы, фрагменты кода, инструкции, формирующие недекларированные возможности программного обеспечения. Вредоносные программы могут переходить из одного вида в другой, например, программная закладка может сгенерировать программный вирус, который, в свою очередь, попав в условия сети, может сформировать сетевого червя или другую вредоносную программу, предназначенную для осуществления НСД.
Классификация программных вирусов и сетевых червей приведена на рис. 4.5.
Краткая характеристика основных вредоносных программ сводится к следующему.
Загрузочные вирусы записывают себя либо в загрузочный сектор диска (boot-сектор), либо в сектор, содержащий системный загрузчик винчестера (Master Boot Record), либо меняют указатель на активный boot-сектор.
Они внедряются в память компьютера при загрузке с инфицированного диска. При этом системный загрузчик считывает содержимое первого сектора диска, с которого производится загрузка, помещает считанную информацию в память и передает на нее (т.е. на вирус) управление.
После этого начинают выполняться инструкции вируса, который:
- — как правило, уменьшает объем свободной памяти, копирует в освободившееся место свой код и считывает с диска свое продолжение (если оно есть);
- — перехватывает необходимые вектора прерываний, считывает в память оригинальный boot-сектор и передает на него управление.
В дальнейшем загрузочный вирус ведет себя так же, как файловый: перехватывает обращения операционной системы к дискам и инфицирует их, в зависимости от некоторых условий совершает деструктивные действия, вызывает звуковые эффекты или видеоэффекты.
Основными деструктивными действиями, выполняемыми этими вирусами, являются:
> уничтожение информации в секторах дискет и винчестера;
> исключение возможности загрузки операционной системы (компьютер «зависает»);
> искажение кода загрузчика;
> форматирование дискет или логических дисков винчестера;
> закрытие доступа к физическим портам;
> замена символов при печати текстов;
> изменение метки диска, дискеты, флеш-накопителя;
> создание псевдосбойных кластеров в накопителях;
создание звуковых и/(или) визуальных эффектов и т.д.
Рис. 4.5. Классификация программных вирусов и сетевых червей
Файловые вирусы при своем размножении тем или иным способом используют файловую систему операционной системы. По способу заражения файлов вирусы делятся на:
> вирусы, заражающие объектные модули (OBJ), библиотеки компиляторов (LIB) и исходные тексты программ.
Получив управление, файловый вирус совершает следующие общие действия:
> проверяет оперативную память на наличие своей копии и инфицирует память компьютера, если копия вируса не найдена (в случае, если вирус является резидентным), ищет незараженные файлы в текущем и (или) корневом каталоге путем сканирования дерева каталогов логических дисков, а затем заражает обнаруженные файлы;
> выполняет дополнительные (если они есть) функции: деструктивные действия, графические или звуковые эффекты и т.д.;
> возвращает управление основной программе (если она
Необходимо отметить, что чем быстрее распространяется вирус, тем вероятнее возникновение эпидемии этого вируса, чем медленнее распространяется вирус, тем сложнее его обнаружить (если, конечно же, этот вирус неизвестен).
Таким образом, основные действия, выполняемые файловыми вирусами, связаны с поражением файлов (чаще исполняемых или файлов данных), несанкционированным запуском различных команд (в том числе, команд форматирования, уничтожения, копирования и т.п.), изменением таблицы векторов прерываний и др. Вместе с тем, могут выполняться и многие деструктивные действия, сходные с теми, которые указывались для загрузочных вирусов.
Макровирусы (macro viruses) являются программами на языках (макроязыках), встроенных в некоторые системы обработки данных (текстовые редакторы, электронные таблицы и т.д.). Для своего размножения такие вирусы используют возможности макроязыков и при их помощи переносят себя из одного зараженного файла (документа, таблицы) в другие. Наибольшее распространение получили макровирусы для пакета прикладных программ Microsoft Office.
Для существования вирусов в конкретной системе (редакторе) необходимо наличие встроенного в систему макроязыка с возможностями:
> привязки программы на макроязыке к конкретному файлу;
> копирования макропрограмм из одного файла в другой;
> получения управления макропрограммой без вмешательства пользователя (автоматические или стандартные макросы).
Данным условиям удовлетворяют прикладные программы Microsoft Word, Excel и Microsoft Access. Они содержат в себе макроязыки Word Basic, Visual Basic for Applications. При этом:
> макропрограммы привязаны к конкретному файлу или находятся внутри файла;
> макроязык позволяет копировать файлы или перемещать макропрограммы в служебные файлы системы и редактируемые файлы;
>при работе с файлом при определенных условиях (открытие, закрытие и т.д.) вызываются макропрограммы (если таковые есть), которые определены специальным образом или имеют стандартные имена.
Данная особенность макроязыков предназначена для автоматической обработки данных в больших организациях или в глобальных сетях и позволяет организовать так называемый «автоматизированный документооборот». С другой стороны, возможности макроязыков таких систем позволяют вирусу переносить свой код в другие файлы, и таким образом заражать их.
Большинство макровирусов активны не только в момент открытия/закрытия файла, но до тех пор, пока активен сам редактор. Они содержат все свои функции в виде стандартных макросов Word/Excel/Office.
К сетевым относятся вирусы, которые для своего распространения активно используют протоколы и возможности локальных и глобальных сетей. Основным принципом работы сетевого вируса является возможность самостоятельно передать свой код на удаленный сервер или рабочую станцию. «Полноценные» сетевые вирусы при этом обладают еще и возможностью запустить на выполнение свой код на удаленном компьютере или, по крайней мере, «подтолкнуть» пользователя к запуску зараженного файла.
Вредоносными программами, обеспечивающими осуществление НСД, могут быть:
> программы подбора и вскрытия паролей;
> программы, реализующие угрозы;
> программы, демонстрирующие использование недекла- рированных возможностей программного и программно-аппаратного обеспечения АС;
> программы — генераторы компьютерных вирусов;
> программы, демонстрирующие уязвимости средств защиты информации и др.
Нетрадиционный информационный канал — это канал скрытной передачи информации с использованием традиционных каналов связи и специальных преобразований передаваемой информации, не относящихся к криптографическим.
Для формирования нетрадиционных каналов могут использоваться методы:
> компьютерной стеганографии (рис. 4.6);
> основанные на манипуляции различных характеристик ИС, которые можно получать санкционировано (например, времени обработки различных запросов, объемов доступной памяти или доступных для чтения идентификаторов файлов или процессов).
Рис. 4.6. Классификация методов стеганографического преобразования информации
Методы компьютерной стеганографии предназначены для скрытия факта передачи сообщения путем встраивания скрываемой информации во внешне безобидные данные (текстовые, графические, аудио- или видеофайлы) и включают в себя две группы методов, основанных:
>на использовании специальных свойств компьютерных форматов хранения и передачи данных;
>на избыточности аудио, визуальной или текстовой информации с позиции психофизиологических особенностей восприятия человека.
Наибольшее развитие и применение в настоящее время находят методы сокрытия информации в графических стегокон- тейнерах. Это обусловлено сравнительно большим объемом информации, который можно разместить в таких контейнерах без заметного искажения изображения, наличием априорных сведений о размерах контейнера, существованием в большинстве реальных изображений текстурных областей, имеющих шумовую структуру и хорошо подходящих для встраивания информации, проработанностью методов цифровой обработки изображений и цифровых форматов представления изображений. В настоящее время существует целый ряд доступных программных продуктов, реализующих известные стеганографические методы сокрытия информации. При этом преимущественно используются графические и аудиоконтейнеры.
В нетрадиционных информационных каналах, основанных на манипуляции различных характеристик ресурсов ИС, используются для передачи данных некоторые разделяемые ресурсы. При этом в каналах, использующих временные характеристики, осуществляется модуляция по времени занятости разделяемого ресурса (например, модулируя время занятости процессора, приложения могут обмениваться данными).
Эти каналы могут использоваться как для скрытой передачи скопированной информации, так и для скрытной передачи команд на выполнение деструктивных действий, запуска приложений и т.п. Для реализации каналов, может быть внедрена в ИС программная или программно-аппаратная закладка, обеспечивающая формирование нетрадиционного канала.
Нетрадиционный информационный канал может существовать в системе непрерывно или активизироваться одноразово или по заданным условиям. При этом возможно существование обратной связи с субъектом НСД.
Источник: bstudy.net
Вредоносная программа
Вредоносная программа (буквальный перевод англоязычного термина Malware, malicious — злонамеренный и software — программное обеспечение, жаргонное название — «малварь») — злонамеренная программа, то есть программа, созданная со злым умыслом и/или злыми намерениями.
# badware (bad — плохое и (soft)ware — программное обеспечение) — плохое программное обеспечение.
# computer contaminant (computer — компьютер и contaminant — загрязнитель) — это термин для обозначения вредоносного программного обеспечения, который используется в законодательстве некоторых штатов США , например Калифорнии и Западной Виргинии.
# crimeware (crime — преступность и (soft)ware — программное обеспечение) — класс вредоносных программ, специально созданный для автоматизации финансовых преступлений). Это не синоним термина malware (значение термина malware шире), но все программы, относящиеся к crimeware, являются вредоносными.
Терминология
Вред — в гражданском праве умаление, уничтожение субъективного гражданского права или блага. В юридической литературе, судебной и арбитражной практике используются понятия «ВРЕД», «ущерб», «убытки». ВРЕД и ущерб чаще всего рассматриваются в качестве синонимов. Понятия «ВРЕД» и «убытки» не совпадают.
Первое более широкое понятие, подразделяющееся на имущественный и неимущественный ВРЕД. Под имущественным ВРЕДом понимаются материальные (экономические) последствия правонарушения, имеющие стоимостную форму. Денежную оценку имущественного ВРЕДа называют убытками. (Большой юридический словарь).
Вредоносный — вредоносная, вредоносное; вредоносен, вредоносна, вредоносно Несущий в себе, приносящий вред.
ЭВМ (компьютер) — устройство или система (несколько объединенных устройств), предназначенное для ввода, обработки и вывода информации.
Сеть ЭВМ — совокупность компьютеров, средств и каналов связи, позволяющая использовать информационные и вычислительные ресурсы каждого компьютера, включенного в сеть независимо от его места нахождения.
Санкционированный доступ к информации[/size][/b] (англ. authorized access to information) — доступ к информации, не нарушающий правила разграничения доступа.
Несанкционированный доступ к информации (англ. unauthorized access to information) — доступ к информации, осуществляемый с нарушением правил разграничения доступа.
Правила разграничения доступа (англ. access mediation rules) — часть политики безопасности, регламентирующая правила доступа пользователей и процессов к пассивным объектам.
Политика безопасности информации (англ. information security policy) — совокупность законов, правил, ограничений, рекомендаций, инструкций и т. д., регламентирующих порядок обработки информации.
Корпорация Microsoft трактует термин Malware следующим образом: «Malware — это сокращение от „malicious software“, обычно используемое как общепринятый термин для обозначения любого программного обеспечения, специально созданного для того, чтобы причинять ущерб отдельному компьютеру, серверу, или компьютерной сети, независимо от того, является ли оно вирусом, шпионской программой и т. д.»
Статья 273 УК РФ трактует термин « Вредоносные программы для ЭВМ» следующим образом: «… программы для ЭВМ или внесение изменений в существующие программы, заведомо приводящие к несанкционированному уничтожению, блокированию, модификации либо копированию информации, нарушению работы ЭВМ, системы ЭВМ или их сети…»
Программные продукты (модули) , которые могут быть отнесены к разряду «вредоносных программ» могут быть основаны на различных технологиях и обладать совершенно разным набором функций и, соответственно, различным набором функциональных возможностей. Единственное, что объединяет все типы вредоносных программ — это цели, с которыми они создаются. Соответственно.
Вредоносная программа — это любое программное обеспечение, предназначенное для обеспечения получения несанкционированного доступа к информации, хранимой на ЭВМ с целью причинения вреда (ущерба) владельцу информации и/или владельцу ЭВМ (сети ЭВМ).
Классификация
По наличию материальной выгоды
# Не приносящие прямую материальную выгоду тому, кто разработал (установил) вредоносную программу.
# Хулиганство.
# Шутка.
# Вандализм, в том числе на религиозной, националистической, политической почве.
# Самоутверждение, стремление доказать свою квалификацию.
# Приносящие прямую материальную выгоду злоумышленнику.
# Хищение конфиденциальной информации, включая получение доступа к системам банк-клиент, получение PIN кодов кредитных карточек и т. д.
# Получение контроля над удаленными компьютерными системами с целью распространения спама с многочисленных компьютеров-зомби.
# Получение контроля над удаленными компьютерными системами с целью организации распределенных атак на отказ в обслуживании( DDoS ).
# Предлагающие оплатить несуществующие услуги, например, по якобы удалению вирусов с ПК (ложные антивирусы, rogueware).
# Напрямую вымогающие деньги пользователя, например, требующие отправить платное СМС для того, чтобы разблокировать зараженный ПК.
По цели разработки
# Программное обеспечение, которое изначально разрабатывалось специально для обеспечения получения несанкционированного доступа к информации, хранимой на ЭВМ с целью причинения вреда (ущерба) владельцу информации и/или владельцу ЭВМ (сети ЭВМ).
# Программное обеспечение, которое изначально не разрабатывалось специально для обеспечения получения несанкционированного доступа к информации, хранимой на ЭВМ и изначально не предназначалась для причинения вреда (ущерба) владельцу информации и/или владельцу ЭВМ (сети ЭВМ).
По методам распространения
# Троянская программа — не имеет собственных механизмов распространения.
# Компьютерный вирус — распространяется в пределах одного компьютера. На другой компьютер вирус может «перепрыгнуть» только при непреднамеренном распространении заражённых файлов — например, через внешние носители.
# Сетевой червь — распространяется по сети.
# Руткит — загружается трояном или злоумышленником собственноручно, после получения им доступа к системе.
Наносимый вред
Вредоносной нагрузкой может быть:
# Создание помех работе пользователя (по ошибке, в шутку или для достижения других целей).
# # Вандализм: уничтожение данных (стирание или переписывание данных на диске, труднозамечаемые повреждения файлов) и оборудования.
# Шпионаж за пользователем.
# Постановка ложных ссылок, ведущих на поддельные вебсайты с регистрацией. «Зарегистрировавшись» на таком сайте, пользователь отдаёт злоумышленникам свой пароль.
# Похищение данных, представляющих ценность или тайну, в том числе информации для аутентификации, для несанкционированного доступа к ресурсам (в том числе третьих систем), выуживание деталей касательно банковских счетов, которые могут быть использованы в преступных целях, криптографической информации (для шифрования и цифровой подписи).
# Регистрация нажатий клавиш (Keylogger) с целю кражи информации такого рода, как пароли и номера кредитных карточек.
# Использование ресурсов заражённого компьютера в преступных целях.
# Получения несанкционированного (и/или дарового) доступа к ресурсам самого компьютера или третьим ресурсам, доступным через него, в том числе прямое управление компьютером.
# Выведения из строя или отказа обслуживания компьютерных систем, сетей и т. п., в том числе в составе ботнета.
# Сбор адресов электронной почты и распространение спама, в том числе в составе ботнета.
# Использование телефонного модема для совершения дорогостоящих звонков, что влечёт за собой значительные суммы в телефонных счетах.
# Распространение других вредоносных программ (например, «троянский конь», распространяющий вирус). Троян такого типа называется Dropper.
# Дезактивация антивирусов и брандмауэров.
# Прочие виды незаконной деятельности.
Удалённое управление
Вредоносное ПО может получать команды от атакующей стороны. В таком случае программа устанавливает на компьютере жертвы сервер. Для того, чтобы атакующая сторона подсоединилась к серверу, она должна знать IP-адрес машины, на которой запущен сервер. Некоторые программы отправляют IP-адрес машины-жертвы атакующей стороне по электронной почте или иным способом. Как только с сервером произошло соединение, клиент может отправлять на него команды, которые сервер будет исполнять на машине-жертве.
В настоящее время, благодаря NAT-технологии, получить доступ к большинству компьютеров через их внешний IP-адрес невозможно, поэтому многие трояны соединяются с компьютером атакующей стороны, который установлен на приём соединений, вместо того, чтобы атакующая сторона сама пыталась соединиться с жертвой. Многие Вредоносные программы также могут беспрепятственно обходить файрволы на компьютере жертвы.
Симптомы заражения
# Прекращение или сильное замедление работы интернета.
# Усиление шума, исходящего от компьютера (создаётся усиленной работой жёстких дисков).
# Изменение домашней страницы в браузере, автоматическое открытие окон с незнакомыми вам страницами.
# Изменение обоев на рабочем столе.
# Появление новых неизвестных процессов в окне «Процессы» диспетчера задач.
# Появление звука от работы флоппи-дисковода при отсутствии в нём дискеты.
# Появление в реестре автозапуска новых приложений.
# Запрет на изменение настроек компьютера в учётной записи администратора.
# Невозможность запустить исполняемый файл (выдаётся сообщение об ошибке).
# Всплывание окон системных сообщений с непривычным текстом, в том числе содержащих неизвестные веб-адреса и названия.
# Мониторы интернета показывают фальшивую закачку видеопрограмм, игр, порнороликов и порносайтов, которые вы не закачивали и не посещали.
# Открывание и закрывание консоли CD-ROM.
# Проигрывание звуков и/или изображений, демонстрация фотоснимков.
# Перезапуск компьютера во время старта какой-либо программы.
# Случайное и/или беспорядочное отключение компьютера.
Методы защиты от вредоносных программ
Стопроцентной защиты от всех вредоносных программ не существует: от эксплойтов наподобие Sasser или Conficker не застрахован никто. Чтобы снизить риск потерь от воздействия вредоносных программ, рекомендуется.
# Использовать современные операционные системы, имеющие серьёзный уровень защиты от вредоносных программ.
# Своевременно устанавливать патчи; если существует режим автоматического обновления, включить его.
# Постоянно работать на персональном компьютере исключительно под правами пользователя, а не администратора, что не позволит большинству вредоносных программ инсталлироваться на персональном компьютере.
# Использовать специализированные программные продукты, которые для противодействия вредоносным программам используют так называемые эвристические (поведенческие) анализаторы, то есть не требующие наличия сигнатурной базы.
# Использовать антивирусные программные продукты известных производителей, с автоматическим обновлением сигнатурных баз.
# Использовать персональный Firewall (аппаратный или программный), контролирующий выход в сеть Интернет с персонального компьютера на основании политик, которые устанавливает сам пользователь.
# Ограничить физический доступ к компьютеру посторонних лиц.
# Использовать внешние носители информации только от проверенных источников.
# Не открывать компьютерные файлы, полученные от ненадёжных источников.
# Отключить автозапуск со сменных носителей, что не позволит запускаться кодам, которые находятся на нем без ведома пользователя (для Windows необходимо gpedit.msc->Административные шаблоны(Конфигурация пользователя)->Система->Отключить автозапуск->Включен «на всех дисководах»).
Юридические аспекты
За создание, использование и распространение вредоносных программ предусмотрена различная ответственность, в том числе и уголовная, в законодательстве многих стран мира. В частности, уголовная ответственность за создание, использование и распространение вредоносных программ для ЭВМ предусмотрена в Статье 273 УК РФ.
Для того, чтобы программа считалась вредоносной, нужны три критерия:
# Уничтожение информации или нарушение работы. Таким образом, взломщик защиты от копирования — не вредоносная программа.
# Несанкционированная работа. Программа форматирования диска, входящая в комплект любой ОС , не является вредоносной, так как её запуск санкционируется пользователем.
# Заведомость — явная цель несанкционированно уничтожить информацию. Программы с ошибкой могут пройти как нарушение прав потребителей или как преступная халатность — но не как вредоносные.
Более чёткие критерии, по которым программные продукты (модули) могут быть отнесены к категории вредоносных программ, до настоящего времени нигде четко не оговорены. Соответственно, для того, чтобы утверждение о вредоносности программы имело юридическую силу, необходимо проведение программно-технической экспертизы с соблюдением всех установленных действующим законодательством формальностей.
Стоит признать, что в РФ нарушение авторских прав часто квалифицируют как «создание и распространение вредоносных программ» — из-за более жёсткого наказания за последнее. Впрочем, создание вредоносных программ — преступление против оператора ЭВМ (владельца аппаратного обеспечения либо уполномоченного им человека), нарушение авторского права — против правообладателя.
- Троянские программы: Trojan-Proxy
- Spyware
- Keylogger
- Эксплойт (exploit)
- Троянская программа
Источник: www.securrity.ru