Рис. 2.12. Причины потери данных

Понять это, кроме технических аспектов, часто второстепенных и не представляющих собой значительных проблем на практике, - значит ОВЛАДЕТЬ основами управления безопасностью.

Основные причины убытков связаны не столько с недостаточностью средств безопасности как таковых, сколько с отсутствием взаимосвязи между ними.

4.5. Информационные инфекции

Втечение последнего времени множатся примеры систем, подверг­ нувшихся информационным инфекциям. Все говорят о том, что в буду­ щем логические бомбы, вирусы, черви и другие инфекции явятся главной причиной компьютерных преступлений. Совсем недавно речь шла в ос­ новном о случаях с малыми системами. Между тем отмечаются случаи прямых атак и на большие системы со стороны сети или перехода виру­ сов от микроЭВМ к центральным («переходящий» вирус, поддерживае­ мый совместимостью операционных систем и унификацией наборов дан­ ных).

Внастоящее время инфекции в информационных системах становят­ ся обычными и имеют неодинаковые последствия в каждом конкретном случае. В основном это потери рабочего времени.

Число атак больших систем (по сети и реже через магнитные носите­ ли) растет. Речь идет, в частности, о логических бомбах, разрушающих набор данных (в том числе и тех, которые считаются защищенными, по­ скольку инфекция сохраняется долгое время) или парализующих систему.

Участились случаи, когда предприятие полностью лишается одного или нескольких наборов данных, а иногда даже программ, что может в самом худшем случае привести к катастрофическим потерям.

Угроза таких атак может быть реальной или выражаться в виде шан­ тажа или вымогательства фондов. Мотивы при этом могут быть самые различные: от личных интересов до преступной конкуренции (случаи уже ординарные).

Угрозы информационных инфекций опасны не только персональным ЭВМ. Они не менее опасны большим системам и информационным сетям самого различного уровня.

Различные виды злонамеренных действий в нематериальной сфере (разрушение или изменение данных или программ) могут быть подразде­ лены на два крупных класса:

•физический саботаж (фальсификация данных, изменение логики об­ работки или защиты);

•информационные инфекции (троянский конь, логическая бомба, чер­ ви и вирусы), являющиеся программами, далекими от того, чтобы принести полезные результаты пользователю; они предназначены для того, чтобы расстроить, изменить или разрушить полностью или частично элементы, обеспечивающие нормальное функционирование системы.

Информационные инфекции специфически ориентированы и обла­ дают определенными чертами: противоправны (незаконны), способны самовостанавливаться и размножаться; а также имеют определенный ин­ кубационный период - замедленное время начала действия.

Информационные инфекции имеют злонамеренный характер: их дей­ ствия могут иметь разрушительный результат (например, уничтожение набора данных), реже физическое уничтожение (например, резкое вклю­ чение и выключение дисковода), сдерживающее действие (переполнение канала ввода-вывода, памяти) или просто видоизменяющее влияние на работу программ.

Самовосстановление и размножение приводит к заражению других программ и распространению по линиям связи. Это влияние трудно огра­ ничить, так как недостаточно выявить только один экземпляр вируса: за­ раженными могут быть не только копии, но и любые другие программы, вступившие в связь с ней.

Замедленное действие проявляется в том, что работа программы на­ чинается при определенных условиях: дата, час, продолжительность, на­ ступление события и т. д. Такое действие называют логической бомбой.

Логические бомбы могут быть «запрятаны» служащим, например программистом; обычно бомба представляет собой часть программы, ко­ торая запускается всякий раз, когда вводится определенная информация. Такая ловушка может сработать не сразу. Например, она может сработать от ввода данных, вызывающих отработку секции программы, которая портит или уничтожает информацию [10].

Логические бомбы, как вытекает из их названия, используются для искажения или уничтожения информации, реже с их помощью соверша­ ется кража или мошенничество. Манипуляциями с логическими бомбами обычно занимаются чем-то недовольные служащие, собирающиеся поки­ нуть данную организацию, но это могут быть и консультанты, служащие

сопределенными политическими убеждениями, инженеры, которые при повторных обращениях могут попытаться вывести систему из строя.

Реальный пример логической бомбы: программист, предвидя свое увольнение, вносит в программу заработной платы определенные изме­ нения, работа которых начнется, если его фамилия исчезнет из набора данных о персонале фирмы.

Троянский конь - это часть программы, которая при обращении спо­ собна, например, вмешаться в инструкцию передачи денежных средств или в движение акций, а затем уничтожить все улики. Ее можно приме­ нить также в случае, когда один пользователь работает с программой, ко­ торая предоставляет ресурсы другому пользователю. Известен случай, когда преступная группа смогла договориться с программистом торговой фирмы, работающим над банковским программным обеспечением, о том, чтобы он ввел подпрограмму, которая предоставит этим преступникам доступ в систему после ее установки с целью переместить денежные вклады.

Известен также случай, когда фирма, разрабатывающая программное обеспечение для банковских систем, стала объектов домогательств дру­ гой фирмы, которая хотела выкупить программы и имела тесную связь

спреступным миром. Преступная группа, если она удачно определит ме­ сто для внедрения троянского коня (например, включит его в систему очистки с автоматизированным контролем, выдающую денежные средст­ ва), может безмерно обогатиться.

Червь представляет собой паразитный процесс, который потребляет (истощает) ресурсы системы. Программа обладает свойством перевопло­ щаться и воспроизводиться в диспетчерах терминалов. Она может также приводить к разрушению программ.

Вирус представляет собой программу, которая обладает способно­ стью размножаться и самовосстанавливаться. Некоторые вирусы поме­ чают программы, которые они заразили, с помощью пометы с тем, чтобы

не заражать несколько раз одну и ту же программу. Эта помета использу­ ется некоторыми антивирусными средствами. Другие средства исполь­ зуют последовательность характерных для вирусов кодов.

Большинство известных вирусов обладают замедленным действием. Они различаются между собой способами заражать программы и своей эффективностью. Существует три основные категории вирусов:

•Системные вирусы, объектом заражения которых являются исключи­ тельно загрузочные секторы (BOOT).

•Почтовые вирусы, объектом заражения которых являются электрон­ ные сообщения.

•Программные вирусы, заражающие различные программы функцио­

нального назначения. Программные вирусы можно подразделить на две категории в соответствии с воздействием, которое они оказы­ вают на информационные программы. Эта классификация позволяет разработать процедуры обеспечения безопасности применительно к каждому виду вирусов.

Восстанавливающийся вирус внедряется внутрь программы, которую он частично разрушает. Объем инфицированной программы при этом не изменяется. Это не позволяет использовать этот параметр для обнаруже­ ния заражения программы. Однако инфицированная программа не может больше нормально работать. Это довольно быстро обнаруживает пользо­ ватель.

Вирус, внедряемый путем вставки, изменяет программу не разрушая ее. Всякий раз, когда задействуется программа, вирус проявляет себя позже, после окончания работы программы. Программа кажется нор­ мально работающей, что может затруднить своевременное обнаружение вируса. Однако увеличение объема программы позволяет довольно быст­ ро обнаружить инфицированную программу (табл. 2.9).

Таблица 2.9. Анализ проявления каждого из видов инфекций