ЗИ в АС

27.02.2013

Угроза - это событие, которое может вызвать нарушение функционирования АС, включая искажения, уничтожение или несанкционированное использование, обрабатываемое вне информации.

Выделяют типы угроз:

1) Непреднамеренные или случайные действия, которые выражаются в неадекватной поддержке механизмов защиты и ошибками в управлении.

2) Преднамеренные - неснкционированное получение информации и несанкционированное действие с данными ресурсами или самими системами.

Наиболее распостраненные преднамеренные информационные правонарушения:

1) НСД к информации, хранящейся в памяти компьютера.

2) Разработка специального ПО для осуществления НСД и других действий.

3) Отрицание несанкционированных действий.

4) Ввод в программные продукты и проекты логических бомб.

5) Разработка и распостранение компьютерных вирусов.

6) Небрежность в разработке, поддержке и эксплуатации ПО.

7) Изменение комппьютерной информации и подделка Электронной Цифровой подписи.

8) Хищение информации с последующей маскировкой.

9) Манипуляция данными

10) Перехват.

11) Отрицание действий или услуги.

12) Отказ в предоставлении услуги.

Преднамеренные угрозы делятся на:

1) Физические

2) Технические

3) Интеллектуальные

Для получения доступа к ресурсам АС, злоумышленнику необходимо:

1) Отключить или видоизменить защитные механизмы.

2) Использовать недоработки в системе защиты для входа в систему.

3) Войти в систему под именем и с полномочиями реального пользователя.

Угрозы классифицируются:

1) По признаку области поражения.

2) По признаку связи с информационной средой определенной социальной системы.

3) По силе воздействия на область поражения.

4) По организационной форме выражения и степени социальной опасности.

Угрозы классифицируются по:

1) По целям реализации (Целостность, доступность, конфидециальность).

2) По принципу воздействия.

3) По характеру воздействия (Активные, пассивные).

4) По причине появления используемой ошибки защиты.

5) По способу воздействия на объект атаки (Посредственное, прямое и т.д.)

6) По способу воздействия (Интерактивный и пакетный режимы).

7) По объекту атаки (АС, субъект АС).

8) По используемым средствам атаки.

9) По состоянию объекта атаки.

Классификация преднамеренных угроз.

1) По составу и последствиям.

а) Преступление.

б) Мошенничество.

в) Хулиганство.

2) По типу.

а) Программные.

б) Не программные.

3) По целям.

а) Тактические.

б) Стратегические.

4) По характеру возникновения.

а) Преднамеренные.

б) Не преднамеренные.

5) По качеству информационных и коммуникационных технологий.

6) По месту возникновения.

7) По объекту воздействия.

8) По причине возникновения.

Виды компьютерной преступности

1) Экономические преступления, связанные с компьютерами.

а) Махинации с целью получения финансовой выгоды.

б) Компьютерный шпионаж, диверсии, кража ПО.

в) Кража услуг или времени и не правомерное использование АС.

г) Не правомерный доступ к АС и их взламывание.

д) Традиционные преступления в сфере бизнеса.

2) Нарушение личных прав.

а)Составление и использование не корректных данных

б) Незаконное раскрытие данных.

в) Незаконный сбор и хранение данных.

г) Нарушение формальных правовых обязанностей.

3) Компьютерные преступления против индивидуальных интересов.

Мошенничество - это вид компьютерных нарушений, целью которого является незаконное обогащение нарушителя.

Основные группы несанкионированных действий с информацией и ресурсами АС.

1) Утрата информации - это неосторожные действия владельца информации, представлены в АС на различных носителях и в файлах или лица, которому была доверена информация в силу его официальных обязаностей в рамках АС, в результате чего информация была потеряна или стала достоянием посторонних лиц.

2) Раскрытие информации - это умышленные или не осторожные действия, в результате которых содержание информации стало известным или доступным для посторонних лиц.

3) Порча информации - это умышленные или не осторожные действия, приводящие к полному или частичному уничтожению информации.

4) Кража информации - умышленные действия, направленны на несанкционированное изъятие информации из системы ее обработки как путем кражи носителей, так и путем дублирования информации, представленной в виде файлов.

5) Подделка информации - умышленные или не осторожные действия в результате которых нарушается целостность информации.

6) Блокирование информации - умышленное или не осторожное действие, приводящее к недоступности информации в системе ее обработки.

7) Покушение работы системы обработки информации - это умышленное или не осторожное действие, приводящее к частичному или полному отказу систем обработки или создающее для этого благоприятное условие.

28.02.2013

Программные средства для получения нсд и нанесения ущерба ас.

Программные средсва для получения НСД должны обладать следующими возможностями:

1) Сокрытие признаков своего присутствия в программной среде ЭВМ.

2) Способность к самодублированию, ассоциированию себя с другими программами, и переносу своих фрагментов в иные области оперативной или внешней памяти.

3) Разрушение или искажение произвольным образом кодов программ в оперативной памяти.

4) Сохранение фрагментов информации из оперативной памяти в некоторых областях внешней памяти прямого доступа.

5) Искажение произвольным образом, блокирование или подмена выводимого во внешнюю память или в канал связи массива информации, образовавшегося в результате работы прикладных программ, или уже находящегося во внешней памяти массива данных.

Программные злоупотребления бывают тактические и стратегические.

Тактические:

1) Программы получения паролей.

а) Программа открытия пароля.

б) Прорамма захвата пароля.

2) "Люки".

3) Логические бомбы.

4) "Троянские кони".

5) Репликанты.

6) Программные закладки.

7) Компьютерныевирусы.

Стратегические:

1) Атаки "Салями".

2) Скрытые каналы.2

3) Отказы в обслужвании.2,3

4) Работа между строк.3,4

5) Анализ трафика.4

6) Маскарад.6

7) Подкладывние "свиньи".6,7

8) Повторное использование объектов.7

Программа получения паролей.

Две группы программ для получения идентификаторов и паролей пользователей:

1) Программы открытия паролей - последовательно генерирует все варианты пароля и выдают их системе до тех пор, пока не будет определен необходимый.

2) Программы захвата паролей - имитируют системный сбой в работе компьютера и запрашивают у пользователя идентификатор и пароль.

3) Люки (Trap door) - это не описанные документации, возможности работать с программным продуктом.

Пути проявления люков (Trap door):

1) Забывчивость разработчика.

2) Практикуемая технология разработки программных продуктов "сверху-вниз".

3) Программист пишет программу, которой можно управлять с помощью определенных команд.

Логические бомбы - это программный код, который является безвредным до выполнения определенного условия, после которого реализуется логический механизм.

"Троянский конь" - программа, которая помимо своей основной деятельности, выполняет некоторые дополнительные разрушительные функции.

Репликатор - может создавать неограниченное количество своих копий в компьютерной системе.

Программные закладки - это программы, которые сохраняют вводимую с клавиатуры информацию, в некоторой зарезервированной для этого области.

Атаки "Салями" - характерны для финансовых банковских информационных систем (Связано с электронными платежами).

Скрытые каналы - программы, передающие информацию лицам, которые в обычных условиях не должны ее получать.

Отказы в обслуживании - несанкционированное использование компьютерной системы в своих целях, либо блокирование системы для отказа в обслуживании другим пользователям.

Работа между строк - подключение к линиям связи и внедрение в компьютерную систему с использованием промежутков в действиях законного пользователя.

Анализ трафика - анализ действий пользователя, внедряется под видом легального пользователя.

Маскарад - использование идентификатора законного пользователя.

Подложить свинью - нарушитель подключается к линиям связи и имитирует работу системы для осуществления незаконных манипуляций.

Повторное использование объекта - состоит в восстановлении и повторном использовании удаленных объектов.

Работа с воздушным змеем.

2 человека друг другу пересылают деьги.

Программа - раздеватель - нелегальное распостранение, использование, изменение программных средств. В данную группу входят:

Эмуляторы среды, симуляторы микропроцессоры, специальные отладчики для работы в защищенном режиме.

01.03.2013

ISO\OSI

Подразумевает 7 уровней.

1) Физический - способ физического соединения компьютеров в сети. Функциями средств данного уровня является побитовое преобразование цифровых данных в сигналы, передаваемых по физической среде, а также собственная передача сигналов.

IRDA, EIA-232, 422,423,449,485,DSZ, ISPW.

2) Канальный - организация передачи данных между абонентами через физический уровень, поэтому предусмотрено средство адресации, позволяющее однозначно идентифицировать отправителя и получателя во всем множестве абонентов. Проверка ошибок, которые могут возникать при передачи данных на физическом уровне.

Ethernet, IEEE 802.2, CAN, PPoE, UDLP, PPP.

3) Сетевой - обеспечивает доставку данных между компьютерами в сети, предоставляющих объединение различных физических сетей. Главная функция - Направленная передача. Протоколы уровня не дают гарантию доставки сообщения.

IP, IPv4, IPv6.

4) Транспортный - реализует передачу данных, обеспечивая отсутствие потерь и дублирования информации, которые могут возникать из-за ошибок на нижнем уровне.

TCP, UDP.

5) Сеансовый - позволяет двум программа поддерживать продолжительное взаимодействие в сети. Управляет восстановлением сеанса, его завершением и обменом информации.

ADSP, ASP, L2TP, SMTP, RPC.

6) Представительный - Реализует преобразование данных исходящего сообщения в общих форматах, в которых предусматривается средство нижнего уровня, а также обратное преобразование входящего сообщения из общего формата в формат понятный получателю.

ICA, AFP, NDR, NCP.

7) Прикладной - представляет высокоуровневые функции сетевого взаимодействия, такие, как передача файлов, отправка сообщений по электронной почте и т.п.

RDP, HTTP, SMTP, POP3, Telnet.

Угрозы и уязвимости проводных сетей.

Информация обрабатывается в сетях является особенно уязвимой, чему способствует:

1. Увеличение объемов обрабатываемой, передаваемой и хранимой в компьютере инфоормации.

2. Сосредоточение в базах данных информации различного уровня важности и конфидециальности.

3. Расширение доступа круга пользователей к информации, хранящейся в БД и ресурсам вычислительной сети.

4. Увеличение числа удаленных рабочих мест.

5. Широкое использование глобальной сети интернет и различных каналов связи.

6. Автоматизация обмена информации между компьютерами пользователей.

Самыми частыми и опасными являются непреднамеренные ошибки пользователей, операторов и системных администраторов, обслуживающих сеть. Иногда такие ошибки приводят к прямому ущербу, а иногда создают слабые места, которыми могут воспользоваться злоумышленники.

На втором месте по размеру ущерба располагаются кражи и подлоги. В большинстве расследованных случаев виновниками оказывались штатные сотрудники организации. которые отлично знакомы с режимом работы и защитными мерами.

При увольнении сотрудника, его права доступа к информационным ресурсам должны анулироваться.

Преднамеренные попытки получения НСД через внешние коммуникации занимают 10% всех возможных нарушений.

До построения политики безопасности необходимо оценить риски, которым подвергаются компьютерная среда организации и предпринять соответствующие действия.

Угрозы и уязвимости беспроводных сетей.

WLAN - влючает в себя точки доступа(AP - access point) - SSiD

угрозы:

1. Вещание радиомаяка - точки доступа включают с определеной частотой широковещательный радиомаяк, чтобы оповещать окретсные радиоузлы о своем присутствии. Эти широковещательные сигналы содержат основную информацию о отчке доступа, включаа ссид и приглашают беспроводные узлы зарегестрироваться в данной области.

2. Обнаружение локальных сетей ВЛАН - для обнаружения беспроводных сетей ВЛАН используется программа НетСтамбер совместно со спутниковой системой жипиэс. Данная программа идентифицирует ССиД сети ВЛАН.

3. Подслушивание - ведут для сбора информации о сети, которую предполагается атаковать в последствии. Перехватчик может использовать добытые данные, для того, чтобы получить доступ к сетевым ресурсам. Оборудование. использованное для подслушивания сети, может быть не сложнее того. которое используется для обычного доступа к это сети.

4. Ложные точки доступа в сеть - опытный атакующий может организовать ложную точку доступа с имитацией сетевых ресурсов, абоненты ничего не подозревая, обращаются к той точке доступа и сообщают ей свои важные реквизиты, например аутентификационную информацию. Такой тип атак иногда применяют в сочетании с прямым глушением истинной точки доступа в сеть.

5. Отказ в обслуживании - полную параллизацию сети может вызвать атака типа ДДоС.

6. MITM атака ("человек по середине") - на беспроводных проще, чем на проводных.

7. Анонимный доступ в интернет.

Атака Кевина Митника.

show mount and rpc info

по времени выполнения алгоритма Кевин определял выполняемую операцию

echo++>>/rhost

Стек протоколов TCP/IP

Протокол управления передачей - набор протоколов разных сетевых уровней.

Протоколы работают в стеке - протокол, располагающийся на уровень выше, взаимодействует с низшим.

1) Прикадной

2) Танспортный

3) Сетевой

4) Канальный

Протоколы этих уровней полноcтью реализуют модель OSI.

Сеть - Совокупность:

1) Каналы.

а) Среда.

б) Технологии передачи.

в) Устройства.

2) Узлы ( Оборудование).

а) Каналообразующее.

б) Узловое.

в) Оконечное.

3) Протоколы (Способ передачи).

а) Один-один.

б) Один - два.

в) и т.д.

Задачи сети - передача информации между различными участниками в пространстве, а также ограничение в ресурсах при локальной обработке.

Также возникает проблема передачи сигналов на большие расстояния.

1) Затухание электрического сигнала с каким-то коэффициентом затухания.

2) Помехи.

3) Среда и ее характеристики.

В связи с этим возникли сети с коммутацией каналов(телефоны).

Первое созданное взаимодействие - двуканальное. Сигнал шел либо туда либо обратно (RX/TX).