Опорный конспект

На жаль, сучасна технологія програмування не дозволяє створювати безпомилкові програми, що не сприяє швидкому розвитку засобів забезпечення ІБ. Слід виходити з того, що необхідно конструювати надійні системи (інформаційної безпеки) із залученням ненадійних компонентів (програм). У принципі, це можливо, але вимагає дотримання певних архітектурних принципів і контролю стану захищеності на всьому протязі життєвого циклу ІС.

Приведемо ще декілька цифр. В березні 1999 року був опублікований черговий, четвертий по рахунку, річний звіт "Комп’ютерна злочинність і безпека-1999: проблеми і тенденції" (Issues and Trends: 1999 CSI/FBI Computer Crime and Security Survey). В звіті наголошується різке зростання числа обігу до правоохоронних органів з приводу комп’ютерних злочинів (32% з числа опитаних); 30% респондентів повідомили про те, що їх інформаційні системи були зламані зовнішніми зловмисниками; атакам через Internet піддавалися 57% опитаних; в 55% випадках наголошувалися порушення з боку власних співробітників. Примітно, що 33% респондентів на питання "чи були "зламані ваші Web-сервери і системи електронної комерції за останні 12 місяців?" відповіли не "знаю".

Ваналогічному звіті, опублікованому в квітні 2002 року, цифри змінилися, але тенденція залишилася колишньою: 90% респондентів (переважно з крупних компаній і урядових структур) повідомили, що за останні 12 місяців в їх організаціях мали місце порушення інформаційної безпеки; 80% констатували фінансові втрати від цих порушень; 44% (223 респонденти) змогли и/или схотіли оцінити втрати кількісно, загальна сума склала більше 455 млн. доларів. Найбільшого збитку завдали крадіжки і фальсифікації (більше 170 і 115 млн. доларів відповідно).

Такі ж тривожні результати містяться в огляді InformationWeek, опублікованому 12 липня 1999 року. Лише 22% респондентів заявили про відсутність порушень інформаційної безпеки. Разом з розповсюдженням вірусів наголошується різке зростання числа зовнішніх атак.

Збільшення числа атак - ще не найбільша неприємність. Гірше те, що постійно виявляються нові вразливі місця в програмному забезпеченні (вище ми указували на обмеженість сучасної технології програмування) і, як наслідок, з’являються нові види атак.

Так, в інформаційному листі Національного центру захисту інфраструктури США (National Infrastructure Protection Center, NIPC) від 21 липня 1999 року повідомляється, що за період з 3 по 16

липня 1999 року виявлено дев’ять проблем з ПО, ризик використовування яких оцінюється як середній або високий (загальне число знайдених вразливих місць рівне 17). Серед "потерпілих" операційних платформ - майже всі різновиди ОС Unix, Windows, MacOS, так що ніхто не може відчувати себе спокійно, оскільки нові помилки тут же починають активно використовуватися зловмисниками.

Втаких умовах системи інформаційної безпеки повинні уміти протистояти різноманітним атакам, як зовнішнім, так і внутрішнім, атакам автоматизованим і скоординованим. Іноді напад триває частки секунди; деколи той, що промацує вразливих місць, ведеться поволі і розтягується на годинник, так що підозріла активність практично непомітна. Метою зловмисників може бути порушення всіх становлячих ІБ – доступності, цілісності або конфіденційності.

2 Розповсюдження об’єктно-орієнтованого підходу на інформаційну безпеку. 2.1 Про необхідність об’єктно-орієнтованого підходу до інформаційної безпеки

В даний час інформаційна безпека є відносно замкнутою дисципліною, розвиток якої не завжди синхронізований із змінами в інших областях інформаційних технологій. Зокрема, в ІБ поки не знайшли віддзеркалення основні положення об’єктно-орієнтованого підходу, що став основою при побудові сучасних інформаційних систем. Не враховуються в ІБ і досягнення в технології програмування, засновані на накопиченні і багатократному використовуванні знань програмістів. На наш погляд, це дуже серйозна проблема, що утрудняє прогрес в області ІБ.

Спроби створення великих систем ще в 60-х роках розкрили численні проблеми програмування, головною з яких є складність створюваних і супроводжуваних систем. Результатами досліджень в області технології програмування сталі спочатку структуроване програмування, потім об’єктноорієнтований підхід.

Об’єктно-орієнтований підхід є основою сучасної технології програмування, випробуваним методом боротьби з складністю систем. Представляється природним і, більш того, необхідним, прагнення розповсюдити цей підхід і на системи інформаційної безпеки, для яких, як і для програмування в цілому, має місце згадана проблема складності.

Складність ця має двояку природу. По-перше, складні не тільки апаратно-програмні системи, які необхідно захищати, але і самі засоби безпеки. По-друге, швидко наростає складність сімейства

81

нормативних документів, таких, наприклад, як профілі захисту на основі "Загальних критеріїв", мова про які попереду. Ця складність менш очевидна, але нею також не можна нехтувати; необхідно спочатку будувати сімейства документів за об’єктним принципом.

Будь-який розумний метод боротьби з складністю спирається на принцип "devide et impera" – "розділяй і володарюй". В даному контексті цей принцип означає, що складна система (інформаційної безпеки) на верхньому рівні повинна складатися з невеликого числа відносно незалежних компонентів. Відносна незалежність тут і далі розуміється як мінімізація числа зв’язків між компонентами. Потім декомпозиції піддаються виділені на першому етапі компоненти, і так далі до заданого рівня деталізації. В результаті система виявляється представленою у вигляді ієрархії з декількома рівнями абстракції.

Найважливіше питання, що виникає при реалізації принципу "розділяй і володарюй", – як, власне кажучи, розділяти. Згадуваний вище структурний підхід спирається на алгоритмічну декомпозицію, коли виділяються функціональні елементи системи. Основна проблема структурного підходу полягає в тому, що він незастосовний на ранніх етапах аналізу і моделювання наочної області, коли до алгоритмів і функцій справа ще не дійшла. Потрібен підхід "широкого спектру", що не має такого концептуального розриву з аналізованими системами і застосовний на всіх етапах розробки і реалізації складних систем. Ми постараємося показати, що об’єктно-орієнтований підхід задовольняє таким вимогам.

2.2 Основні поняття об’єктно-орієнтованого підходу

Об’єктно-орієнтований підхід використовує об’єктну декомпозицію, тобто поведінка системи описується в термінах взаємодії об’єктів.

Що ж розуміється під об’єктом і які інші основоположні поняття даного підходу?

Перш за все, введемо поняття класу. Клас – це абстракція безлічі єств реального миру, з’єднаних спільністю структури і поведінки.

Об’єкт – це елемент класу, тобто абстракція певного єства.

Підкреслимо, що об’єкти активні, у них є не тільки внутрішня структура, але і поведінка, яка описується так званими методами об’єкту. Наприклад, може бути визначений клас "користувач", що характеризує "користувача взагалі", тобто асоційовані з користувачами дані і їх поведінка (методи). Після цього може бути створений об’єкт "користувач Іванов" з відповідною конкретизацією даних і, можливо, методів.

До активності об’єктів ми ще повернемося.

Наступну групу найважливіших понять об’єктного підходу складають інкапсуляція, спадкоємство і поліморфізм.

Основним інструментом боротьби з складністю в об’єктно-орієнтованому підході є Основним інструментом боротьби з складністю в об’єктно-орієнтованому підході є інкапсуляція - заховання реалізації об’єктів (їх внутрішньої структури і деталей реалізації методів) з наданням зовні тільки строго певних інтерфейсів.

Поняття "поліморфізм" може потрактувати як здатність об’єкту належати більш ніж одному класу. Введення цього поняття відображає необхідність дивитися на об’єкти під різними точками зору, виділяти при побудові абстракцій різні аспекти єств модельованої наочної області, не порушуючи при цьому цілісності об’єкту. (Строго кажучи, існують і інші види поліморфізму, такі як перевантаження і параметричний поліморфізм, але нас вони зараз не цікавлять.)

Спадкоємство означає побудову нових класів на основі існуючих з можливістю додавання або перевизначення даних і методів. Спадкоємство є важливим інструментом боротьби з розмноженням єств без необхідності. Загальна інформація не дублюється, указується тільки те, що міняється. При цьому клас-нащадок пам’ятає про свої "корені".

Дуже важливо і те, що спадкоємство і поліморфізм в сукупності наділюють об’єктно-орієнтовану систему здібністю до відносно безболісної еволюції. Засоби інформаційної безпеки доводиться постійно модифікувати і обновляти, і якщо не можна зробити так, щоб це було економічно вигідно, ІБ з інструменту захисту перетворюється на тягар.

Ми ще повернемося до механізму спадкоємства при розгляді ролевого управління доступом. Поповнимо розглянутий вище класичний набір понять об’єктно-орієнтованого підходу ще двома поняттями: грані об’єкту і рівня деталізації.

Об’єкти реального миру володіють, як правило, декількома відносно незалежними характеристиками. Стосовно об’єктної моделі називатимемо такі характеристики гранями. Ми вже стикалися з трьома основними гранями ІБ - доступністю, цілісністю і конфіденційністю. Поняття грані

82

дозволяє більш природно, ніж поліморфізм, дивитися на об’єкти з різних точок зору і будувати різнопланові абстракції.

Поняття рівня деталізації важливе не тільки для візуалізації об’єктів, але і для систематичного розгляду складних систем, представлених в ієрархічному вигляді. Саме по собі воно дуже просте: якщо черговий рівень ієрархії розглядається з рівнем деталізації n > 0, то наступний - з рівнем (n - 1). Об’єкт з рівнем деталізації 0 вважається атомарним.

Поняття рівня деталізації показу дозволяє розглядати ієрархії з потенційно нескінченною висотою, варіювати деталізацію як об’єктів в цілому, так і їх граней.

Вельми поширеною конкретизацією об’єктно-орієнтованого підходу є компонентні об’єктні середовища, до числа яких належить, наприклад, JavaBeans. Тут з’являється два нові важливі поняття: компонент і контейнер.

неформально компонент можна визначити як багато разів використовується об’єкт, що допускає обробку в графічному інструментальному оточенні і збереження в довготривалій пам’яті.

Контейнери можуть включати безліч компонентів, утворюючи загальний контекст взаємодії з іншими компонентами і з оточенням. Контейнери можуть виступати в ролі компонентів інших контейнерів.

Компонентні об’єктні середовища володіють всіма достоїнствами, властивими об’єктноорієнтованому підходу:

інкапсуляція об’єктних компонентів приховує складність реалізації, роблячи видимим інтерфейс, що тільки надається зовні;

спадкоємство дозволяє розвивати створені раніше компоненти, не порушуючи цілісність об’єктної оболонки;

поліморфізм по суті дає можливість групувати об’єкти, характеристики яких з деякої точки зору можна вважати схожими.

Поняття ж компоненту і контейнера необхідні нам тому, що з їх допомогою ми можемо

природним чином представити ІС, що захищається, і самі захисні засоби. Зокрема, контейнер може визначати межі контрольованої зони (задавати так званий "периметр безпеки").

На цьому ми завершуємо опис основних понять об’єктно-орієнтованого підходу.

2.3 Вживання об’єктно-орієнтованого підходу до розгляду систем, що захищаються

Спробуємо застосувати об’єктно-орієнтований підхід до питань інформаційної безпеки. Проблема забезпечення інформаційної безпеки - комплексна, захищати доводиться складні

системи, і самі захисні засоби теж складні, тому нам знадобляться всі введені поняття. Почнемо з поняття грані.

Фактично три грані вже були введено: це доступність, цілісність і конфіденційність. Їх можна розглядати відносно незалежно, і вважається, що якщо всі вони забезпечені, то забезпечена і ІБ в цілому (тобто суб’єктам інформаційних відносин не буде завданий неприйнятного збитку).

Таким чином, ми структурували нашу мету. Тепер потрібно структурувати засоби її досягнення. Введемо наступні грані:

законодавчі заходи забезпечення інформаційної безпеки;

адміністративні заходи (накази і інші дії керівництва організацій, пов’язаних з інформаційними системами, що захищаються);

процедурні заходи (заходи безпеки, орієнтовані на людей);

програмно-технічні заходи.

Вподальшій частині курсу ми пояснимо докладніше, що розуміється під кожною з виділених граней. Тут же відзначимо, що, у принципі, їх можна розглядати і як результат варіювання рівня деталізації (з цієї причини ми вживатимемо словосполучення "законодавчий рівень", "процедурний рівень" і т.п.). Закони і нормативні акти орієнтовані на всіх суб’єктів інформаційних відносин незалежно від їх організаційної приналежності (це можуть бути як юридичні, так і фізичні особи) в межах країни (міжнародні конвенції мають навіть більш широку область дії), адміністративні заходи - на всіх суб’єктів в межах організації, процедурні - на окремих людей (або невеликі категорії суб’єктів), програмно-технічні - на устаткування і програмне забезпечення. При такому трактуванні в переході з рівня на рівень можна угледіти вживання спадкоємства (кожний наступний рівень не відміняє, а доповнює попередній), а також поліморфізму (суб’єкти виступають відразу в декількох іпостасях -

83

наприклад, як ініціатори адміністративних заходів і як звичайні користувачі, зобов’язані цим заходам підкорятися).

Очевидно, для всіх виділених, відносно незалежних граней діє принцип інкапсуляції (це і значить, що грані "відносно незалежні"). Більш того, ці дві сукупності граней можна назвати ортогональними, оскільки для фіксованої грані в одній сукупності (наприклад, доступності) грані в іншій сукупності повинні пробігати всю безліч можливих значень (потрібно розглянути законодавчі, адміністративні, процедурні і програмно-технічні заходи). Ортогональних совокупностей не повинне бути багато; думається, двох совокупностей з числом елементів, відповідно, 3 і 4 вже достатньо, оскільки вони дають 12 комбінацій.

Продемонструємо тепер, якомога розглядати ІС, що захищається, варіюючи рівень деталізації. Хай інтереси суб’єктів інформаційних відносин концентруються навкруги ІС якійсь організації,

що має свій в розпорядженні два виробничі майданчики, на кожній з яких є сервери, обслуговуючі своїх і зовнішніх користувачів, а також користувачі, потребуючі у внутрішніх і зовнішніх сервісах, що територіально рознесли. Один з майданчиків обладнаний зовнішнім підключенням (тобто має вихід в

Internet).

При погляді з нульовим рівнем деталізації ми побачимо лише те, що у організації є інформаційна система (див. рис. 1).

Рисунок 1. ІС при розгляді з рівнем деталізації 0.

Подібна точка зору може показатися неспроможною, але це не так. Вже тут необхідно врахувати закони, застосовні до організацій, що мають свій в розпорядженні інформаційні системи. Можливо, якунебудь інформацію не можна берегти і обробляти на комп’ютерах, якщо ІС не була аттестована на відповідність певним вимогам. На адміністративному рівні можуть бути декларовані цілі, ради яких створювалася ІС, загальні правила закупівель, упровадження нових компонентів, експлуатації і т.п. На процедурному рівні потрібно визначити вимоги до фізичної безпеки ІС і шляху їх виконання, правила протипожежної безпеки і т.п. На програмно-технічному рівні можуть бути визначені переважні апаратно-програмні платформи і т.п.

По яких критеріях проводити декомпозицію ІС - в значній мірі справа смаку. Вважатимемо, що на першому рівні деталізації робляться видимими сервіси і користувачі, точніше, розділення на клієнтську і серверну частину (рис. 2).

Рисунок 2. ІС при розгляді з рівнем деталізації 1.

На цьому рівні слід сформулювати вимоги до сервісів (до самої їх наявності, до доступності, цілісності і конфіденційності інформаційних послуг, що надаються), висловити способи виконання цих вимог, визначити загальні правила поведінки користувачів, необхідний рівень їх попередньої підготовки, методи контролю їх поведінки, порядок заохочення і покарання і т.п. Можуть бути сформульовані вимоги і переваги по відношенню до серверних і клієнтських платформ.

На другому рівні деталізації ми побачимо наступне (див. рис. 3).

84

Для ілюстрації приведемо наступний гіпотетичний приклад. Банк, ІС якого має з’єднання з Internet, придбав за рубежем автоматизовану банківську систему (АБС). Тільки через деякий час в банку вирішили, що зовнішнє з’єднання потребує захисту, і встановили міжмережевий екран.

Вивчення реєстраційної інформації екрану показало, що час від часу за рубіж відправляються IPпакети, що містять якісь незрозумілі дані (напевно, зашифровані, вирішили в банку). Стали розбиратися, куди ж пакети прямують, і виявилося, що йдуть вони у фірму, АБС, що розробила. Виникла підозра, що в АБС вбудована закладка, щоб одержувати інформацію про діяльність банку. Зв’язалися з фірмою; там дуже здивувалися, спочатку всі заперечували, але врешті-решт з’ясували, що один з програмістів не прибрав з поставленого в банк варіанту налагоджувальну видачу, яка була організована через мережу (як передача IP-пакетів специфічного вигляду, з явно заданою IP-адресою робочого місця цього програміста). Таким чином, ніякого злого наміру не було, проте якийсь час інформація про платежі вільно гуляла по мережах.

Вподальшій частині курсу, в лекції, присвяченій розмежуванню доступу, ми обговоримо, якомога кардинальним чином розв’язати подібні проблеми. Тут відзначимо лише, що при визначенні допустимості доступу важливе не тільки (і не стільки), хто звернувся до об’єкту, але і то, яка семантика дії. Без залучення семантики не можна визначити так звані "троянські програми", що виконують, крім декларованих, деякі приховані (звичайно негативні) дії.

Мабуть, слід визнати за застарілий і положення про те, що розмежування доступу направлено на захист від зловмисників. Приведений вище приклад показує, що внутрішні помилки розподілених ІС представляють не меншу небезпеку, а гарантувати їх відсутність в складних системах сучасна технологія програмування не дозволяє.

Вдооб’єктной ІБ однією з найважливіших вимог є безпека повторного використовування пасивних єств (таких, наприклад, як області пам’яті, що динамічно виділяються). Очевидно, подібна вимога вступає в конфлікт з таким фундаментальним принципом, як інкапсуляція. Об’єкт не можна очистити зовнішнім чином (заповнити нулями або випадковою послідовністю біт), якщо тільки він сам не надає відповідний метод. За наявності такого методу надійність очищення залежить від коректності його реалізації і виклику.

Одним з найміцніших стереотипів серед фахівців по ІБ є трактування операційної системи як домінуючого засобу безпеки. На розробку захищених ОС виділяються значні кошти, часто в збиток решті напрямів захисту і, отже, в збиток реальної безпеки. В сучасних ІС, збудованих в багаторівневій архітектурі клієнт/сервер, ОС не контролює об’єкти, з якими працюють користувачі, рівно як і дії самих користувачів, які реєструються і враховуються прикладними засобами. Основною функцією безпеки ОС стає захист можливостей, що надаються привілейованим користувачам, від атак користувачів звичайних.

Це важливо, але безпека такими заходами не вичерпується. Далі ми розглянемо підхід до побудови програмно-технічного рівня ІБ у вигляді сукупності сервісів безпеки.

2.5 Основні визначення і критерії класифікації загроз

Загроза – це потенційна можливість певним чином порушити інформаційну безпеку.

Спроба реалізації загрози називається атакою, а той, хто робить таку спробу, - зловмисником. Потенційні зловмисники називаються джерелами загрози.

Частіше всього загроза є слідством наявності вразливих місць в захисті інформаційних систем (таких, наприклад, як можливість доступу сторонніх осіб до критично важливого устаткування або помилки в програмному забезпеченні).

Проміжок часу від моменту, коли з’являється можливість використовувати слабке місце, і до моменту, коли пропуск ліквідовується, називається вікном небезпеки, асоційованим з даним вразливим місцем. Поки існує вікно небезпеки, можливі успішні атаки на ІС.

Якщо йдеться про помилки до ПО, то вікно небезпеки "відкривається" з появою засобів використовування помилки і ліквідовується при накладенні латок, що її виправляють.

Для більшості вразливих місць вікно небезпеки існує порівняно довго (декілька днів, іноді - тижнів), оскільки за цей час повинні відбутися наступні події:

повинне стати відомо про засоби використовування пропуску в захисті;

повинні бути випущені відповідні латки;

латки повинні бути встановлені в ІС, що захищається.

86

Ми вже указували, що нові вразливі місця і засоби їх використовування з’являються постійно; це значить, по-перше, що майже завжди існують вікна небезпеки і, по-друге, що відстежування таких вікон повинне проводитися постійно, а випуск і накладення латок - якомога більш оперативно.

Відзначимо, що деякі загрози не можна вважати слідством якихось помилок або прорахунків; вони існують через саму природу сучасних ІС. Наприклад, загроза відключення електрики або виходу його параметрів за допустимі межі існує через залежність апаратного забезпечення ІС від якісного електроживлення.

Розглянемо найпоширеніші загрози, яким схильні сучасні інформаційні системи. Мати уявлення про можливі загрози, а також про вразливі місця, які ці загрози звичайно експлуатують, необхідно для того, щоб вибирати найекономічніші засоби забезпечення безпеки. Дуже багато міфи існують у сфері інформаційних технологій (пригадаємо все ту ж "Проблему 2000"), тому незнання в даному випадку веде до перевитрати засобів і, що ще гірше, до концентрації ресурсів там, де вони не особливо потрібні, за рахунок ослаблення дійсно уразливих напрямів.

Підкреслимо, що саме поняття "загроза" в різних ситуаціях часто потрактує по-різному. Наприклад, для підкреслений відкритої організації загроз конфіденційності може просто не існувати - вся інформація вважається загальнодоступною; проте в більшості випадків нелегальний доступ представляється серйозною небезпекою. Іншими словами, загрози, як і все в ІБ, залежать від інтересів суб’єктів інформаційних відносин (і від того, який збиток є для них неприйнятним).

Ми спробуємо поглянути на предмет з погляду типової (на наш погляд) організації. Втім, багато загроз (наприклад, пожежа) небезпечні для всіх.

Загрози можна класифікувати по декількох критеріях:

по аспекту інформаційної безпеки (доступність, цілісність, конфіденційність), проти якого загрози направлені в першу чергу;

по компонентах інформаційних систем, на які загрози націлені (дані, програми, апаратура, підтримуюча інфраструктура);

за способом здійснення (випадкові/навмисні дії природного/техногенного характеру);

по тому, що розташовує джерела загроз (внутри/вне даної ІС).

Як основний критерій ми використовуватимемо перший (по аспекту ІБ), привертаючи при необхідності інші.

Контрольні запитання

16Що таке інформаційна безпека?

17Назвіть основні складові інформаційної безпеки.

18Назвіть основні поняття об’єктно-орієнтованого підходу.

19Що таке загроза?

20Назвіть критерії класифікації загроз.

Список літератури

64 Столлингс Вильям. Криптография и защита сетей: принципы и практика /Пер. с англ – М.: Издательский дом «Вильямс», 2001.

65Иванов М.А. Криптографические методы защиты информации в компьютерных системах и сетях.

– М.: КУДИЦ-ОБРАЗ, 2001.

66Жельников В. Криптография от папируса до компьютера. – М.: ABF, 1996.

67Бабенко Л.К. Введение в специальность «Организация и технология защиты информации». – Таганрог: Изд-во ТРТУ, 1999. –54с.

68Брюхомицкий Ю.А. Введение в информационные системы. – Таганрог: Изд-во ТРТУ, 2001. – 151 с.

69Зегжда Д.П., Ивашко А.М. Как построить защищенную информационную систему Под научной редакцией Зегжды Д.П. и Платонова В.В. – СПб: Мир и семья-95,1997. – 312 с.

70Гайкович В.Ю., Ершов Д.В. «Основы безопасности информационных технологий»

71Котухов М.М., Марков А.С. Законодательно-правовое и организационно-техническое обеспечение информационной безопасности автоматизированных систем. – 1998. – 158 с.

72Информационно-безопасные системы. Анализ проблемы: Учеб. пособие Алешин Н. В, Коэлод В. Н., Нечаев Д. А., Смирнов А. С., Сычев М. П., Пальчун Б. П., Черноруцкий И. Г., Черносвитов А. В. Под ред. В. Н. Козлова. – СПб.: Издательство С.-Петербургского, гос. техн. университета, 1996. – 69 с.

73Громов В.И., Василева Г.А. «Энциклопедия компьютерной безопасности»

87

Інформаційна безпека Найпоширеніші загрози

План 1 Найпоширеніші загрози доступності 2 Деякі приклади загроз доступності 3 Шкідливе програмне забезпечення 4 Основні загрози цілісності 5 Основні загрози конфіденційності

1 Найпоширеніші загрози доступності

Найчастішими і самими небезпечними (з погляду розміру збитку) є ненавмисні помилки штатних користувачів, операторів, системних адміністраторів і інших осіб, обслуговуючих інформаційні системи.

Іноді такі помилки і є власне загрозами (неправильно введені дані або помилка в програмі, що викликала крах системи), іноді вони створюють вразливі місця, якими можуть скористатися зловмисники (такі звичайно помилки адміністрування). За деякими даними, до 65% втрат - слідство ненавмисних помилок.

Пожежі і повені не приносять стільки бід, скільки неписьменність і недбалість в роботі. Очевидно, найрадикальніший спосіб боротьби з ненавмисними помилками - максимальна

автоматизація і строгий контроль.

Інші загрози доступності класифікуємо по компонентах ІС, на які націлені загрози:

відмова користувачів;

внутрішня відмова інформаційної системи;

відмова підтримуючої інфраструктури.

Звичайно стосовно користувачів розглядаються наступні загрози:

небажання працювати з інформаційною системою (частіше за все виявляється при необхідності освоювати нові можливості і при розбіжності між запитами користувачів і фактичними можливостями і технічними характеристиками);

неможливість працювати з системою через відсутність відповідної підготовки (недолік загальної комп’ютерної письменності, невміння інтерпретувати діагностичні повідомлення, невміння працювати з документацією і т.п.);

неможливість працювати з системою через відсутність технічної підтримки (неповнота документації, недолік довідкової інформації і т.п.).

Основними джерелами внутрішніх відмов є:

відступ (випадкове або умисне) від встановлених правил експлуатації;

вихід системи з штатного режиму експлуатації через випадкові або навмисні дії користувачів або обслуговуючий персонал (перевищення розрахункового числа запитів, надмірний об’єм оброблюваної інформації і т.п.);

помилки при (пері) конфігуруванні системи;

відмови програмного і апаратного забезпечення;

руйнування даних;

руйнування або пошкодження апаратури.

По відношенню до підтримуючої інфраструктури рекомендується розглядати наступні загрози:

порушення роботи (випадкове або умисне) систем зв’язку, електроживлення, водо- и/или теплопостачання, кондиціонування;

руйнування або пошкодження приміщень;

неможливість або небажання обслуговуючого персоналу и/или користувачів виконувати свої обов’язки (цивільне безладдя, аварії на транспорті, терористичний акт або його загроза, страйк і т.п.).

Вельми небезпечні так звані "скривджені" співробітники - нинішні і були. Як правило, вони прагнуть завдати шкоди организации-"обидчику", наприклад:

зіпсувати устаткування;

вбудувати логічну бомбу, яка з часом поруйнує програми и/или дані;

видалити дані.

88

Скривджені співробітники, що навіть були, знайомі з порядками в організації і здатні завдати чималого збитку. Необхідно стежити за тим, щоб при звільненні співробітника його права доступу (логічного і фізичного) до інформаційних ресурсів анулювалися.

Небезпечні, зрозуміло, стихійні біди і події, сприймані як стихійні біди, - пожежі, повені, землетруси, урагани. За статистикою, на частку вогню, води і тому подібних "зловмисників" (серед яких самий небезпечний - перебій електроживлення) доводиться 13% втрат, нанесених інформаційним системам.

2 Деякі приклади загроз доступності

Загрози доступності можуть виглядати грубо - як пошкодження або навіть руйнування устаткування (у тому числі носіїв даних). Таке пошкодження може викликатися природними причинами (частіше всього - грозами). На жаль, джерела безперебійного живлення, що знаходяться в масовому використовуванні, не захищають від могутніх короткочасних імпульсів, і випадки вигоряння устаткування - не рідкість.

У принципі, могутній короткочасний імпульс, здатний поруйнувати дані на магнітних носіях, можна згенерувати і штучним чином - за допомогою так званих високоенергетичних радіочастотних гармат. Але, напевно, в наших умовах подібну загрозу слід все ж таки визнати за надуману.

Дійсно небезпечні протечки водопроводу і опалювальної системи. Часто організації, щоб заощадити на орендній платні, знімають приміщення в будинках старої споруди, роблять косметичний ремонт, але не міняють ветхі труби. Автору курсу довелося бути свідком ситуації, коли прорвало трубу з гарячою водою, і системний блок комп’ютера (це була робоча станція виробництва Sun Microsystems) виявився заповнений кип’ятком. Коли кип’яток вилили, а комп’ютер просушили, він відновив нормальну роботу, але краще за такі досліди не ставити...

Влітку, в сильну жару, норовлять зламатися кондиціонери, встановлені в серверних залах, набитих дорогим устаткуванням. В результаті значного збитку завдається і репутації, і гаманцю організації.

Загальновідомо, що періодично необхідно проводити резервне копіювання даних. Проте навіть якщо ця пропозиція виконується, резервні носії часто бережуть недбало (до цього ми ще повернемося при обговоренні загроз конфіденційності), не забезпечуючи їх захист від шкідливої дії навколишнього середовища. І коли вимагається відновити дані, виявляється, що ці самі носії ніяк не бажають читатися.

Перейдемо тепер до загроз доступності, які будуть похитріше засоров каналізації. Мова піде про програмні атаки на доступність.

Як засіб виведення системи з штатного режиму експлуатації може використовуватися агресивне споживання ресурсів (звичайно - смуги пропускання мереж, обчислювальних можливостей процесорів або оперативної пам’яті). По тому, що розташовує джерела загрози таке споживання підрозділяється на локальне і видалене. При прорахунках в конфігурації системи локальна програма здатна практично монополізувати процесор и/или фізичну пам’ять, звівши швидкість виконання інших програм до нуля.

Найпростіший приклад видаленого споживання ресурсів - атака, що одержала найменування "SYN-повінь". Вона є спробою переповнити таблицю "напіввідкритих" TCP-з’єднань серверу (встановлення з’єднань починається, але не закінчується). Така атака щонайменше утрудняє встановлення нових з’єднань з боку легальних користувачів, тобто сервер виглядає як неприступний.

По відношенню до атаки "Papa Smurf" уразливі мережі, що сприймають ping-пакети з широкомовними адресами. Відповіді на такі пакети "з’їдають" смугу пропускання.

Видалене споживання ресурсів останнім часом виявляється в особливо небезпечній формі - як скоординовані розподілені атаки, коли на сервер з безлічі різних адрес з максимальною швидкістю прямують цілком легальні запити на з’єднання і/або обслуговування. Часом початку "моди" на подібні атаки можна рахувати лютого 2000 року, коли жертвами виявилися декілька найбільших систем електронної комерції (точніше - власники і користувачі систем). Відзначимо, що якщо має місце архітектурний прорахунок у вигляді розбалансованості між пропускною спроможністю мережі і продуктивністю серверу, то захиститися від розподілених атак на доступність украй важко.

Для виведення систем з штатного режиму експлуатації можуть використовуватися вразливі місця у вигляді програмних і апаратних помилок. Наприклад, відома помилка в процесорі Pentium I дає можливість локальному користувачу шляхом виконання певної команди "підвісити" комп’ютер, так що допомагає тільки апаратний RESET.

89

Програма "Teardrop" видалений "підвішує" комп’ютери, експлуатуючи помилку в збірці фрагментованих IP-пакетів.

3 Шкідливе програмне забезпечення

Одним з найнебезпечніших способів проведення атак є упровадження в системи шкідливого програмного забезпечення, що атакуються.

Ми виділимо наступні грані шкідливого ПО:

шкідлива функція;

спосіб розповсюдження;

зовнішнє уявлення.

Частину, що здійснює руйнівну функцію, називатимемо "бомбою" (хоча, можливо, більш

вдалими термінами були б "заряд" або "боєголовка"). Взагалі кажучи, спектр шкідливих функцій необмежений, оскільки "бомба", як і будь-яка інша програма, може володіти скільки завгодно складною логікою, але звичайно "бомби" призначаються для:

упровадження іншого шкідливого ПО;

отримання контролю над системою, що атакується;

агресивного споживання ресурсів;

зміни або руйнування програм и/или даних. По механізму розповсюдження розрізняють:

віруси - код, що володіє здібністю до розповсюдження (можливо, із змінами) шляхом упровадження в інші програми;

"черв’яки" - код, здатний самостійно, тобто без упровадження в інші програми, викликати

розповсюдження своїх копій по ІС і їх виконання (для активізації вірусу потрібен запуск зараженої програми).

Віруси звичайно розповсюджуються локально, в межах вузла мережі; для передачі по мережі їм потрібна зовнішня допомога, така як пересилка зараженого файлу. "черв’яки", навпаки, орієнтовані в першу чергу на подорожі по мережі.

Іноді саме розповсюдження шкідливого ПО викликає агресивне споживання ресурсів і, отже, є шкідливою функцією. Наприклад, "черв’яки" "з’їдають" смугу пропускання мережі і ресурси поштових систем. З цієї причини для атак на доступність вони не потребують вбудовування спеціальних "бомб".

Шкідливий код, який виглядає як функціонально корисна програма, називається троянським. Наприклад, звичайна програма, будучи ураженою вірусом, стає троянською; деколи троянські програми виготовляють уручну і підсовують довірливим користувачам в якій-небудь привабливій упаковці.

Відзначимо, що дані нами визначення і приведена класифікація шкідливого ПО відрізняються від загальноприйнятих. Наприклад, в ГОСТ Р 51275-99 "Захист інформації. Об’єкт інформатизації. Чинники, що впливають на інформацію. Загальні положення" міститься наступне визначення:

"програмний вірус - це виконуваний або інтерпретується програмний код, що володіє властивістю несанкціонованого розповсюдження і самовідтворення в автоматизованих системах або телекомунікаційних мережах з метою змінити або знищити програмне забезпечення и/или дані, що зберігаються в автоматизованих системах".

На наш погляд, подібне визначення невдало, оскільки в ньому змішані функціональні і транспортні аспекти.

Вікно небезпеки для шкідливого ПО з’являється з випуском нового різновиду "бомб", вірусів и/или "черв’яків" і перестає існувати з оновленням бази даних антивірусних програм і накладенням інших необхідних латок.

За традицією зі всього шкідливого ПО найбільшу увагу громадськості доводиться на частку вірусів. Проте до березня 1999 року з повним правом можна було затверджувати, що "не дивлячись на експоненціальне зростання числа відомих вірусів, аналогічного зростання кількості інцидентів, викликаних ними, не зареєстровано. Дотримання нескладних правил "комп’ютерної гігієни" практично зводить ризик зараження до нуля. Там, де працюють, а не грають, число заражених комп’ютерів складає лише частки відсотка".

В березні 1999 року, з появою вірусу "Melissa", ситуація кардинальним чином змінилася. "Melissa" - це макровірус для файлів MS-Word, що розповсюджується за допомогою електронної пошти в приєднаних файлах. Коли такий (заражений) приєднаний файл відкривають, він розсилає свої копії за

90