- •Введение
- •Глава 1. Кибервойна, информационный конфликт и программно-аппаратные средства обеспечения информационной безопасности
- •1.1.Понятие информационного конфликта в кибервойне
- •1.Определения основных терминов
- •1.1.2.Понятие информации
- •1.2.Информационные технологии и кибервойны
- •1.2.1.Информационные технологии
- •1.2.2.Технологии кибервойны
- •1.2.2.1.Современное представление информационного конфликта
- •1.2.2.2.Формализованное представление кибервоздействий
- •1.3.Конфликт элементов инфокоммуникационных систем
- •1.4.Анализ конфликта информационных и информационно-управляющих систем
- •1.5.Критерии оценки функционирования инфокоммуникационных систем
- •Глава 2. Функционирование программно-аппаратных средств обеспечения информационной безопасности
- •2.1.Средства информационного воздействия и их признаки
- •2.2.Определение опасности фрагментов кода
- •2.3.Методы управления программно-аппаратными средствами обеспечения информационной безопасности
- •2.3.1.Адаптивное управление
- •2.3.2.Ситуационное управление
- •2.3.2.Рефлексивное управление.
- •2.4.Особенности обнаружения попыток информационных воздействий в системах хранения и обработки данных
- •2.5.Защищенность каналов информационного обмена на основе криптографических методов
- •Библиографический список
- •Оглавление
- •Глава 1. Кибервойна, информационный конфликт и программно-аппаратные средства обеспечения информационной безопасности 11
- •Глава 2. Функционирование программно-аппаратных средств обеспечения информационной безопасности 115
- •394026 Воронеж, Московский просп., 14
Глава 2. Функционирование программно-аппаратных средств обеспечения информационной безопасности
2.1.Средства информационного воздействия и их признаки
Необходимо отметить, что использование информационных технологий в инфокоммуникационных системах делает их уязвимыми сразу с двух сторон. С одной стороны применение помех, наряду с ухудшением свойств передачи, может привести и к синтезу сигнала управления, приводящему к неустойчивому состоянию всю систему, а с другой появляется дополнительный канал для передачи и/или искажения передаваемых данных, введение в состав сигнала различных информационных образований с деструктивными или корректирующими свойствами по отношению к подсистеме информационной поддержки, собственно инфокоммуникационной сисемы.
При этом ядром информационных технологий, по мнению многих специалистов будет совместное функционирование автоматизированных (компьютерных) систем в режиме конфликта. Основную роль при организации воздействия на автоматизированные системы сбора, хранения, обработки и передачи информации будут играть компьютерные формы воздействий. Именно они должны будут определять вид и структуру «информационных воздействий или систематических электронных действий...». В дальнейшем под информационным воздействием будет пониматься любое действие, вызывающее искажение информационной среды (в соответствии с целями воздействия). По оценкам Университета Национальной обороны США, номенклатура таких воздействий насчитывает более нескольких десятков тысяч типов, начиная от тривиальных вирусов и кончая системами информационного захвата с элементами синтезированного искусственного интеллекта. Одна из возможных классификационных схем информационных воздействий приведена на рис.6.
Все классифицированные информационные воздействия в зависимости от характера искажения ими информационной среды можно условно разделить на шесть групп (пять уровней воздействия), а именно:
воздействия в полной мере реализующие принцип «безопасного» входа, когда не вноситься каких либо изменений в информационную среду, а основная цель реализации конфликтного компонента заключается в перехвате и/или копировании данных (нулевой уровень воздействия);
воздействия, основанные на искажениях прикладных, тестовых и/или сервисных программ, которые обычно не используются при реализации целевой функции или используются крайне редко (первый уровень воздействия, уровень изолированных процессов);
воздействия, затрагивающие одну или ряд сервисных программ и/или функций поддержки операционной системы (второй уровень воздействия, уровень основных задач, процессов);
воздействия, корректирующие процесс функционирования отдельных сервисных функций и процедур операционной системы (третий уровень воздействия, драйверный уровень);
воздействия, приводящие к уничтожению информационной системы как таковой (четвертый уровень воздействия, деструктивный уровень)11;
воздействия, приводящие к полному захвату системы и постановке под контроль всех действий пользователя (пятый уровень воздействия, уровень удаленного администрирования).
Последние три типа воздействий, вероятно, будут основным видом оружия информационной борьбы в обозримом будущем. Необходимо отметить, что в настоящее время появились два самостоятельных класса «сетевой червь» и «удаленное администрирование».
В соответствии с классификацией каждый из этих типов информационных воздействий требует более подробного рассмотрения, тем более, что многие из них находятся на стадии разработки или отработки способов применения.
Троянские программы – это программный модуль (отдельный файл или пакет программ), который нормально функционирует при одних условиях (в конкретной операционной системе, в программных оболочках, под управлением конкретных драйверов) и нарушает нормальное функционирование системы при изменении этих условий. Источником конфликта в этом случае является использование наряду с прямым обращение к системным функциям, организация запросов на их выполнение через систему. Реализация конфликта происходит путем нарушения паритета системных вызовов. При этом программный модуль, содержащийся в этих программах, или его отдельный фрагмент начинает неправильно функционировать или при отсутствии операционной системы, для которой он был сделан (системные «трояны»), или при наличии в его окружении конфликтующей программы (программные «трояны»). К сожалению, идентифицировать «трояны» на преднамеренные и непреднамеренные по техническим характеристикам пока не удается, поскольку, как правило, условия их «нормального» функционирования оговорены в их сертификате.
В настоящее время появилось еще одно определение этого типа информационного воздействия, которое в качестве основного классификационного признака выделяет путь внедрения, то есть поражаемая система должна сама взять этот программный модуль и при этом он должен обладать деструктивной функцией. Так, например, в «Вирусной энциклопедии» AVP автор отмечает, что
«К троянским коням12 относятся программы, наносящие какие-либо разрушительные действия, т.е. в зависимости от каких-либо условий или при каждом запуске уничтожающая информацию на дисках, "завешивающая" систему и т.п.
Большинство известных мне троянских коней являются программами, которые "подделываются" под какие-либо полезные программы, новые версии популярных утилит или дополнения к ним. Очень часто они рассылаются по BBS-станциям или электронным конференциям. По сравнению с вирусами "троянские кони" не получают широкого распространения по достаточно простым причинам - они либо уничтожают себя вместе с остальными данными на диске, либо демаскируют свое присутствие и уничтожаются пострадавшим пользователем.
К "троянским коням" также можно отнести "дропперы" вирусов - зараженные файлы, код которых подправлен таким образом, что известные версии антивирусов не определяют вируса в файле. Например, файл шифруется каким-либо специальным образом или упаковывается редко используемым архиватором, что не позволяет антивирусу "увидеть" заражение.
Следует отметить также "злые шутки" (hoax). К ним относятся программы, которые не причиняют компьютеру какого-либо прямого вреда, однако выводят сообщения о том, что такой вред уже причинен, либо будет причинен при каких-либо условиях, либо предупреждают пользователя о несуществующей опасности. К "злым шуткам" отностяся, например, программы, которые "пугают" пользователя сообщениями о форматировании диска (хотя никакого форматирования на самом деле не происходит), детектируют вирусы в незараженных файлах (как это делает широко известная программа ANTITIME), выводят странные вирусоподобные сообщения (драйвер диска CMD640X от какого-то коммерческого пакета) и т.д. - в зависимости от чувства юмора автора такой программы. Видимо, к "злым шуткам" относится также строка "CHOLEEPA" во втором секторе винчестеров фирмы Seagate.
К такой же категории "злых шуток" можно отнести также заведомо ложные сообщения о новых супер–вирусах. Такие сообщения периодически появляются в электронных конференциях и обычно вызывают панику среди пользователей.»
Программы-ловушки – это резидентные программные модули, обеспечивающие после их запуска легального или несанкционированного (скрытного внедрения) съем информации с одного или нескольких информационных внутренних или внешних каналов информационной системы, компьютера или доступной части сети, например, путем перехвата соответствующих прерываний. По способу доставки и внедрения программы– ловушки можно разделить на вирусные, сетевые или файловые.
Вирусные программы-ловушки используются в подавляющем большинстве случаев для нелегального внедрения в информационные пространства путем автоматического переноса (перемещения) программного модуля на доступные носители по признаку доступности выделенной точки внедрения. Это несколько напоминает вирусный путь распространения, отличие заключается только в наличии у программ – ловушек «памяти» пути проникновения для организации обратного канала передачи полученной информации.
Сетевые программы – ловушки отличаются от вирусных только выбором пути распространения. Они используют доступные адресные реестры и распространяются по сети, последовательно определяя правила (протоколы) прохождения каждого сетевого уровня (модем, мейлер, буфер обмена, рабочая станция, ЛВС). В ряде случаев сетевая программа – ловушка является сопутствующим элементом обычной протокольной посылки при инсталляции соединения или передаваемого сообщения.
Информационные бомбы во многом аналогичны обычным традиционным бомбам. Это программы или программные модули, внедряемые (закладываемые) в рабочие программные модули или их имитацию и «сбрасываемые» в информационные пространства обычным через дискеты или сетевым путем. Срабатывают информационные бомбы, как и обычные только при выполнении определенных условий. В зависимости от этих условий их можно разделить на системные (реализуемые путем прямых системных вызовов, например, временные, срабатывающими при достижении или истечении какого-то времени, которое определяется через вызов системных функций), логические (срабатывающими при опосредованном вызове, при выполнении каких-либо заданных логических условий, например, обнаружении заданного системного окружения, файла с определенным именем) или инициируемыми по внешней команде (например, по сети). В качестве типовых условий срабатывания могут выступать тип операционной системы, номера или метки жесткого диска, процессора, наличие в доступном пути поиска файла с определенным текстовым содержанием или заданного фрагмента в обрабатываемом коде (файл, мэйл, клавиатурный набор).
Программные вставки являются одним из наиболее старых и известных видов информационного воздействия. Это фрагмент или несколько взаимосвязанных модулей программного продукта (в том числе операционной системы), выполняющие функции двойного назначения – поддержку работы самого продукта и осуществляющую информационное воздействие при выполнении инициирующего их условия. Источниками таких вставок могут быть контроль условий применения программного продукта, оставленные отладочные модули, или специализированные вставки, привнесенные в программный продукт после его изготовления. Программные вставки могут быть документированными (с описанием в части выполнения регламентированной функции) или недокументированными (скрытыми). Наиболее известными вставками являются модули проверки условий легальности используемого программного продукта или отладочные модули, по каким – либо причинам оставленные в его конечной поставке. В качестве примера использования программных вставок можно привести системы автоматизированного проектирования, содержащие модули анализа заданных условий эксплуатации проектируемых технических или программных изделий, которые по опосредованным признакам могут определить их принадлежность к уровню «запрещенных технологий» и исключить возможность получения корректных результатов.
Компьютерные вирусы в настоящее время широко известны как класс специализированных самовоспроизводящихся программных модулей или фрагментов программ, функционирующих совместно с программой-носителем. В большинстве работ компьютерный вирус определяется как «исполняемый модуль, размещаемый в составе информационного объекта (файла, магнитного носителя, системы) и содержащий репродуктивную функцию своего исполняемого кода в пространство других информационных объектов. Распространение вирусов в соответствии с этим определением происходит транзитивно путем «инфицирования программы», что делает их более опасными по сравнению с другими рассмотренными выше средствами информационных воздействий. Зараженные программы или их копии, как известно, могут передаваться через дискеты (и/или другие сменные носители) или по сети на другие информационные или информационно-управляющие системы.
Однако, декомпозиция определения «компьютерный вирус» как информационного воздействия показывает возможность его разделения на две самостоятельные части. В первую часть входит реализующее деструктивную функцию собственно средство информационного воздействия или акции, а во вторую – средство его доставки. Это создает предпосылки для исключения из классификации «компьютерного вируса» как средства информационного воздействия, поскольку только первая часть является таковым, а профессионально реализованная вторая часть не должна содержать деструктивных функций. Таким образом, возможно определение информационного воздействия, использующего вирусный путь доставки. Существующие сейчас «конструкторы вирусов» в какой-то степени подтверждают правильность такого подхода, однако наличие достаточно большого числа конкретных компьютерных вирусов со своими особенностями, конкретной реализацией деструктивной функции и маскировки от средств обнаружения делает необходимой именно их классификацию. Наиболее известными в этом отношении являются классификации, предложенные в работах Н.Н. Безрукова, Н.Д. Лозинского и Е.В. Касперского. По последним данным (на 21.03.2003) насчитывается 65246 обнаруженных вирусов. По экспертным оценкам пока еще существует около 1000 необнаруженных пока вирусов, в настоящее время в той или иной форме существующих в информационных системах. Предполагается, что они не имеют ярко выраженной деструктивной функции или используют достаточно эффективные методы маскировки и нейтрализации систем их обнаружения.
«Сетевой вирус» (сетевой червь) – программный модуль вирусного типа, у которого в качестве объекта «заражения» выступает не файл или исполняемый модуль, а направление (адрес) конкретного узла (сайта, хоста). Можно разделить на интеллектуальные и неинтеллектуальные, избирательного или общего действия.
Системы информационного захвата представляют собой мини-операционные системы, скрытно расположенные на носителе (дискете, ленте, жестком диске или другом сменном носителе), которые при обращении к носителю путем перехвата управления загрузчиком заменяют ядро операционной системы и в дальнейшем обеспечивают контроль функционирования всей системы в целом. Собственно «захват» операционной системы на платформе DOS (MS, PC, DR или аналогичных) может производиться непосредственно в момент контакта системы информационного захвата с управляющей средой информационной или информационно-управляющей системы, на платформе OS/2, Windows NT или аналогичных реализуется режим отложенного «захвата», что обусловлено достаточно высоким уровнем защищенности этих операционных систем, когда установку или замену ее компонентов можно осуществить на этапе загрузки. Системы информационного захвата могут быть косвенного или прямого действия.
Системы информационного захвата косвенного действия функционируют на основе использования процедуральных компонент захваченной операционной системы, в ряде случаев полностью передавая ей управление с его возвратом после выполнения локальной функции и блокируя только функции, направленные на обнаружение и нарушение паритета с системой захвата.
Системы информационного захвата прямого действия используют только собственные процедуральные компоненты, которые обеспечивают имитацию выполнения функций захваченной системы, возвращая при запросах внешних программ имитируемые параметры и атрибуты захваченной системы.
По мнению многих специалистов, этот вид информационного воздействия может стать основным информационным оружием ближайшего будущего. Это обусловлено, во-первых, адаптивностью процесса захвата информационного пространства, при котором сочетаются высокая, свойственная вирусным типам воздействия, скорость распространения (захвата) с гибкостью и вариабельностью методов захвата, возможностью непрерывного расширения класса решаемых задач даже на основе самообучения такой системы. Во-вторых, возможностью решения самых разнообразных задач, включая контроль деятельности оператора и проведение корректирующих воздействий даже на уровне его поведенческих мотиваций, которые могут быть осуществлены путем психоинформационных воздействий.
Психоинформационные воздействия компьютерного типа, в отличие от аналогичных массового назначения (известные типы психоинформационного оружия – «ПсиИнфОра» – базируются на эффекте 25-го кадра, цветоконтрастном мерцании с подобранными по среднестатистическим характеристикам параметрами и другие), производятся как через отдельную изолированную программу или фрагмент программного продукта, так и через параметры операционной системы (установленные до инсталляции или привнесенные позднее) и осуществляют адаптивные воздействия на человека-оператора, приводящие к уменьшению его работоспособности, дискомфортному состоянию или коррекции мотивационной базы при длительном воздействии. Условно эти воздействия можно разделить на аппаратно биологические, информационно-эмоциональные и информационно– установочные (или мотивационные).
Аппаратно-биологические воздействия могут формироваться на основе аппаратурных факторов (палитрового мерцания монитора, специальным образом модулированное акустическое излучение аудио блока и аналогичные), используя их специфические свойства для воздействия на биофизиологические параметры человека. При этом могут уставать органы зрения, ухудшается реакция и повышается уставаемость.
Более эффективными типами психоинформационных воздействий считаются специально организованные физио-биологические, согласованные ритмические (в соответствии с определяемыми в ходе воздействия биологическими ритмами человека) видео и аудио воздействия. Такой тип воздействий может быть определен как информационно-эмоциональный, поскольку наряду с воздействием на физиологическом уровне проводится и изменение психо-эмоционального состояния человека. В отличие от аппаратно-биологических, они требуют более длительного воздействия на оператора, но эффективность их намного выше.
Информационно-установочные (иногда их идентифицируют как психоустановочные) воздействия относятся к наиболее эффективному виду воздействия как на отдельного человека, так и на социум в целом. Это комплексное воздействие, базирующееся на определяемых в ходе работы с программой или пакетом программ психодинамических параметрах оператора, и относится к еще более высокому уровню информационных воздействий. Они проводятся одновременно в двух взаимодополняющих направлениях. Во-первых, на чисто психологическом уровне. Это могут быть, например, деловые или игровые программы с ярко выраженной функцией установки или коррекции мотивационного базиса личности. Во-вторых, на психотехническом уровне, когда неявные установки на снижение психологической сопротивляемости и кодирование оператора способствуют усвоению установок первого уровня.
Следует отметить, что произошедшие за последнее время количественные изменения в развитии средств поражения информационных объектов привели и к некоторому расширению и номенклатуры. Так, например, развитие сетевых технологий и сетевых операционных систем привело к выделению из класса «вирусы» нового класса «сетевые вирусы», которые имеют несколько больший размер по сравнению с традиционными, меньшее время доставки к поражаемому элементу и способны самостоятельно прокладывать курс к поражаемому элементу сети. Боевой вариант такого вируса должен обладать признаками искусственного интеллекта, собственной системой безопасности и другими специализированными программными блоками, обеспечивающими прохождение информационного воздействия через фильтры системы защиты поражаемой инфокоммуникационной системы.