Виды программ и способы, используемые для атаки программ и данных.

1)Люки - неописанная программной документацией возможность работы с данным программным продуктом.

Возникают, как правило, в результате действий программистов.

Здесь необходимо учесть тот факт, что когда программный продукт проходит стадию проектирования, тестирования, программисты, чтобы не вскрывать всю программу, оставляют люки. Но необходимость прошла, а люк остался. Очень часто бывает, когда при переходе на эксплуатацию тестовый вариант сообщений в случае неправильной обработке данных где-то проскакивает и может привести к проблеме в связи со своеобразным чувством юмора программистов.

Причины:

программист забыл удалить его;

умышленно оставил для проведения дальнейших работ по окончательной сборке программного продукта;

умышленно оставил его для дальнейшей модификации и развития программного продукта;

умышленно оставил для того, чтобы иметь скрытое средство доступа к программе.

2) Троянские кони: программы помимо функционала, описанного в программной документации, могут выполнять и другие действия.

3) Логические бомбы – программы или участок кода в программе, реализующий определенные действия при наступлении определенных условий (какое-то значение: дата и т.д.).

4)Атака «салями» (при выполнении банковских операций)

*Настоящим бичом банковских компьютерных систем является атака «салями». Ежедневно в банковских системах производятся тысячи операций, которые связаны с безналичными расчетами, отчислениями, переводами сумм и т.д. Обрабатывая счета, банковские работники используют целые единицы (рубли, центы), а при исчислении процентов получаются дробные суммы. Как принято, округлять величины, превышающие половину рубля (цента), до целого рубля (цента), а величины менее половины рубля (цента) просто отбрасываются. При атаке «салями» эти несущественные величины не удаляются, а постепенно накапливаются не специально созданном для этих целей счете. Известно, что за пару лет эксплуатации такой «хитрой» программы в среднем по размеру банке незаконный доход может исчисляться тысячами долларов. Атаки «салями» обычно достаточно трудно распознать, если только злоумышленники не начинают накапливать на одном счете слишком крупные суммы (\примерно то же самое, что говорил и он, но стащенное с интернета/)

5) Скрытые каналы - программы, передающие информацию лицам, которые в обычных условиях эту информацию получать не должны.

Используются не столько для того, чтобы получить информацию…сколько для отсылки отрывочных сообщений о том, что, например, есть у человека какой-то расчетный счет (номер, имя).

6) Отказ в обслуживании.

Доступ к управлению самой компьютерной системы или ее качественной характеристики для получения некоторого ресурса в монопольное пользование. Создание ситуации Клинча для некоторых процессов, когда они вроде бы выполняются, но на самом деле стоят.

7)Компьютерные вирусы. Самый часто и широко используемый способ их распространения = троянские кони. От логических бомб вирусы отличаются возможностью к саморазмножению и механизмом запуска.

Основными типовыми путями утечки информации и несанкционированного доступа к автоматизированным информационным системам, в том числе через каналы телекоммуникации, являются следующие:

• перехват электронных излучений

• принудительное электромагнитное облучение (подсветка) линий связи с целью получения паразитной модуляции несущей

• применение подслушивающих устройств (закладок)

• дистанционное фотографирование

• перехват акустических излучений и восстановление текста принтера

• хищение носителей информации и производственных отходов

• считывание данных в массивах других пользователей

• чтение остаточной информации в памяти системы после выполнения санкционированных запросов

• копирование носителей информации с преодолением мер защиты

• маскировка под зарегистрированного пользователя

• мистификация (маскировка под запросы системы)

• незаконное подключение к аппаратуре и линиям связи

• злоумышленный вывод из строя механизмов защиты

• использование «программных ловушек»

Возможными каналами преднамеренного несанкционированного доступа к информации при отсутствии защиты в автоматизированной информационной системе могут быть:

• штатные каналы доступа к информации (терминалы пользователей, средства отображения и документирования информации, носители информации, средства загрузки программного обеспечения, внешние каналы связи) при их незаконном использовании

• технологические пульты и органы управления

• внутренний монтаж аппаратуры

• линии связи между аппаратными средствами

• побочное электромагнитное излучение, несущее информацию

• побочные наводки на цепях электропитания, заземления аппаратуры, вспомогательных и посторонних коммуникациях, размещенных вблизи компьютерной системы.

Способы воздействия угроз на объекты информационной безопасности подразделяются на информационные, программно-математические, физические, радиоэлектронные и организационно-правовые.

К информационным способам относятся:

• нарушение адресности и своевременности информационного обмена, противозаконный сбор и использование информации

• Несанкционированный доступ к информационным ресурсам

• Манипулирование информацией (дезинформация, сокрытие или искажение информации)

• Незаконное копирование данных в информационных системах

• Нарушение технологии обработки информации

Программно-математиеские способы включают:

• внедрение компьютерных вирусов

• установку программных и аппаратных закладных устройств

• уничтожение или модификацию данных в автоматизированных информационных системах

Физические способы включают:

• уничтожение или разрушение средств обработки информации и связи

• уничтожение, разрушение или хищение машинных или других оригинальных носителей информации

• хищение программных или аппаратных ключей и средств криптографической защиты информации

• воздействие на персонал

• поставку «зараженных» компонентов автоматизированных информационных систем.

Радиоэлектронными способами являются:

• перехват информации в технических каналах ее возможной утечки

• внедрение электронных устройств перехвата информации в технические средства и помещения

• перехват, дешифровка и навязывание ложной информации в сетях передачи данных и линиях связи

• воздействие на парольно-ключевые системы

• радиоэлектронное подавление линий связи и систем управления

Организационно-правовые способы включают:

• невыполнение требований законодательства и задержки в принятии необходимых нормативно-правовых положений в информационной сфере

• неправомерное ограничение доступа к документам, содержащим важную для граждан и организаций информацию.

Угрозы безопасности программного обеспечения.

Обеспечение безопасности автоматизированных информационных систем зависит от безопасности используемого в них программного обеспечения и, в частности, следующих видов программ:

• обычных программ пользователей

• специальных программ, рассчитанных на нарушение безопасности системы

• разнообразных системных утилит и коммерческих прикладных программ, которые отличаются высоким профессиональным уровнем разработки и тем не менее могут содержать отдельные недоработки, позволяющие захватчикам атаковать системы.

Структура факторов, создающих возможность дестабилизирующего воздействия на информацию.

Угроза защищаемой информации – это совокупность явлений, факторов и условий, создающих опасность нарушения статуса информации. К явлениям, т.е. сущностным проявлениям угрозы, относятся:

а) Источники дестабилизирующего воздействия на информацию (от кого или от чего исходит дестабилизирующее воздействие)

б) Виды дестабилизирующего воздействия на информацию (каким образом, по каким направлениям происходит дестабилизирующее воздействие)

в) Способы дестабилизирующего воздействия на информацию (какими приемами, действиями осуществляются (реализуются) виды дестабилизирующего воздействия).

К факторам, помимо причин и обстоятельств, следует отнести наличие каналов и методов несанкционированного доступа к конфиденциальной информации для воздействия на информацию со стороны лиц, не имеющих к ней разрешенного доступа.

Рассмотрим источники дестабилизирующего воздействия на информацию. К ним относятся:

- люди.

- технические средства отображения (фиксации), хранения, обработки, воспроизведения, передачи информации, средства связи

- системы обеспечения функционирования технических средств отображения, хранения, обработки, воспроизведения и передачи информации

- технологические процессы отдельных категорий промышленных объектов

- природные явления.

Таксономия нарушения информационной безопасности вычислительной системы и причины, обуславливающие их существование.

Обычно о необходимости построения таксономии – теории классификации и систематизации сложно организованных областей действительности – говорят в тех случаях, когда возникает необходимость в систематизации некоторой предметной области, которая оказывается слишком сложной для того, чтобы провести ее систематизацию на основе некоторой достаточно просто выводимой классификации объектов, ее составляющих.

Системный подход предполагает рассмотрение задачи построения таксономии угроз безопасности ИТ и АИС как задачи построения системы классификации и систематизации.

В классической работе по историческим проблемам практического использования системного анализа [19] в качестве общих принципов описания сложных систем представлены следующие:

• принцип цели

• принцип многоуровневого описания

• принцип классификации.

Рассмотрим, что дает приложение этих принципов к процедуре построения таксономии угроз.

Ведущим принципом описания систем выступает принцип цели. Конкретизируем принцип цели для задачи построения таксономии угроз в виде следующих 4-ех принципов:

1) Таксономия угроз безопасности должна соответствовать множеству структурных представлений АИС (1).

Таксономия должна предусматривать наличие атрибутов угроз, которые указывают на те структурные представления АИС, в которых она может быть идентифицирована.

2)Таксономия угроз безопасности должна соответствовать таксономии требований по безопасности информационных технологий.

Этот принцип в приложении к разработке базы данных может быть сформулирован в виде требования идентификации по каждой угрозе множества требований по ее парированию из базы данных требований по безопасности информационных технологий.

3)Таксономия угроз безопасности должна соответствовать классификации мер противодействия угрозам.

Этот принцип означает необходимость учета в таксономии и, соответственно, в БДУ, классификации мер противодействия и, в частности, классификацию по видам программных и аппаратных средств. Например, очевидно, что определенное множество угроз существует только для ИТ на базе операционной системе (ОС) Unix и не существует для ИТ на базе ОС Windows NT и наоборот.

4)Таксономия угроз безопасности должна соответствовать задачам по реализации мер противодействия угрозам в АИС.

Следующий важнейший принцип системного анализа – принцип многоуровневого описания. Он гласит, что любой объект при его системном представлении должен быть описать, во-первых, как элемент более широкой системы, во-вторых, как целостное явление, в-третьих, как некоторая сложная структура, внутреннее строение которой необходимо представить с достаточной для достижения целей исследования степенью детализации [19].

В случае таксономии угроз в качестве излучаемого объекта рассматривается категория угрозы безопасности АИС,

Любая угроза может быть реализована некоторым образом. Способ реализации угрозы будем называть атакой. Как правило, угроза может быть реализована не одним, а несколькими способами, поэтому можно говорить о множестве атак, связанных с угрозой безопасности АИС. Так, например, угроза неявной компрометации секретных криптографических ключей при конкретном рассмотрении может быть представлена в виде следующих атак, посредством которых она может быть реализована:

Атака 1 – скрытое несанкционированное копирование информации с машинных носителей (дискет, смарт-карт, таблеток Touch-Memory), на которых записаны криптоключи.

Атака 2 – «успешный» криптоанализ, позволивший «взломать» криптографический алгоритм.

Атака 3 – копирование с помощью специальных программ («жучков», «закладок») криптографических ключей во время их нахождения в оперативной памяти ЭВМ при выполнении криптографических преобразований.

Интерпретация атаки как процедуры позволяет выделить классифицированные признаки, задаваемые:

- источниками атаки

- используемыми в качестве ресурсов атаки недостатками АИС

- результатом атаки – наносимым АИС и информационным ресурсам ущербом

- методами реализации атаки – методами нанесения ущерба АИС источником атаки путем использования слабостей АИС. Очевидно, что такое представление угроз и атак позволяет построить таксономию, которая будет удовлетворять сформулированному выше принципу (4) и закладывает возможность при реализации системы обеспечения безопасности АИС решать такие задачи, как:

контроль обеспечения безопасности АИС от основных источников угроз,

контроль устранения или ослабления возможностей использования слабых мест ИТ при атаках на АИС,

контроль возможностей системы защиты по противодействию основным механизмам атак,

контроль уровня возможного ущерба при реализации угроз.

Таким образом, приложение общего принципа многоуровневого описания к проблеме построения таксономии угроз позволяет конкретизировать его в виде принципа (5) – принципа обязательности отражения в таксономии угроз, способов реализации угроз – атак, как процедур, осуществление которых приводит к ущербу в АИС.

Наконец, третий общий принцип описания систем – принцип классификации устанавливает необходимость классификации значений выбираемых параметров (атрибутов) системы.

Этот принцип при его приложении к проблеме построения таксономии угроз может быть сформулирован в виде принципа (6) – обязательности классификации значений выбираемых параметров (атрибутов) угроз в рамках таксономии угроз безопасности ИТ и АИС.

Параметры (атрибуты) угроз должны включать:

Атрибут структурных составляющих АИС, в которых могут быть идентифицированы угрозы безопасности ИТ и АИС. Необходимость наличия этого атрибута следует из принципа (1). Классификация значений этого атрибута определяется множеством структурных представлений системы.

Атрибут требований по противодействию угрозе. Необходимость наличия этого атрибута следует из принципа (2). Классификация его значений определяется ОК.

Атрибут мер противодействия. Необходимость наличия этого атрибута следует из принципа (3). Классификация его значений определяется классификацией существующих информационных технологий, которые могут использоваться для защиты ИТ и АИС.

Далее следуют атрибуты, связанные со способами реализации угроз – атаками. Необходимость наличия этих атрибутов следует из принципов (4) и (5).

Атрибут категории источника атаки. Классификацию источников атаки целесообразно строить на основании некоторых объективных параметров – физической природы источника (человек, программа или аппаратные средства), местоположения источника (локальное или удаленное), возможностей источника по доступу к системе (пользователь, администратор, посторонний). Такой подход представляется более продуктивным, чем использование популярных, но слишком широко трактуемых понятий типа «хакер».

Атрибут категории потерь. Предлагается рассматривать 4 категории потерь. Потери свойств конфиденциальности, целостности, доступности, защиты безопасности информации и ИТ в АИС.

Атрибут слабых мест (СМ) ИТ и АИС, которые могут использоваться при реализации атаки. Сюда включаются СМ, обусловленные как природой информационных технологий (например, человеческим фактором). Классификация СМ определяется их местоположением (для ИТ) или категорией лиц, которые могут оказывать негативное воздействие на АИС (пользователи, администраторы, разработчики) и этапом жизненного цикла ИТ и АИС, когда это лицо может воздействовать на ИТ или АИС.

Атрибут ресурсов, которым наносится урон – атрибут ущерба (потерь). Его значения классифицируются по месторасположению и типу ресурса.

Атрибут методов атаки. Его значения классифицируются, прежде всего, в соответствии с категориями потерь, и далее в соответствии с классификацией ресурсов, которым наносится ущерб.

Анализ способов нарушения информационной безопасности.

Результатами реализации угроз информационной безопасности и осуществления способов воздействия на информационные ресурсы, информационные системы и процессы в общем случае являются:

• нарушение секретности (конфиденциальности) информации (разглашение, утрата, хищение, утечка и перехват и т.д.)

• нарушение целостности информации (уничтожение, искажение, подделка и т.д.)

• нарушение доступности информации и работоспособности информационных систем (блокирование данных и информационных систем, разрушение элементов информационных систем, компрометация систем защиты информации и т.д.)

Одним из первых в области информационной безопасности задается следующий вопрос: какие действия попадают под понятие преступление в информационной сфере? Ответ на этот вопрос дает международная классификация способов совершения компьютерных преступлений, которая ведется Интерполом в классификаторе информационно-поисковой системы, начиная с 1990-х гг.

Все коды, характеризующие компьютерные преступления, имеют идентификатор, начинающийся с буквы Q. Для характеристики преступления могут использоваться до 5 кодов, расположенных в порядке убывания значимости совершенного.

1. QA – Несанкционированный доступ и перехват

QAH - компьютерный абордаж (хакинг) – доступ в компьютер или сеть без права на то. Этот вид компьютерных преступлений обычно используется хакерами для проникновения в чужие информационные сети

QAI - перехват при помощи технических средств без права на то, осуществляемый либо прямо через внешние коммуникационные каналы системы, либо путем непосредственного подключения к линиям периферийный устройств

QAT - кража времени с целью неуплаты за пользование компьютерной системой или сетью

QAZ - прочие виды несанкционированного доступа и перехвата

2. QD - Изменение компьютерных данных

QUL/QDT - логическая бомба, троянский конь, действия, позволяющие осуществлять функции, не ……..???????

QDV - компьютерный вирус

QDW - компьютерный червь

QDZ - прочие виды изменения данных

QF - Компьютерное мошенничество

QFC - мошенничество с банкоматами

QFF - компьютерная подделка

QFG - мошенничество с игровыми автоматами

QFM - манипуляции с программами ввода-вывода

QFP - мошенничества с платежными средствами

QFT - телефонное мошенничество

QFZ - прочие компьютерные мошенничества

QR - Незаконное копирование

QRG - компьютерные игры

QRS - прочее программное обеспечение

QRT - топография полупроводниковых изделий

QRZ - прочее незаконное копирование

QS - Компьютерный саботаж

QSH - с аппаратным обеспечением

QSS - с программным обеспечением

QSZ - прочие виды саботажа

QZ - Прочие компьютерные преступления

QZB - с использованием компьютерных досок объявлений

QZE - хищение информации, составляющей коммерческую тайну

QZS - передача информации конфиденциального характера

QZZ - прочие компьютерные преступления