3.3.3 Угрозы несанкционированного доступа к информации в компьютерных системах

Несанкционированный доступ (НСД) к информации в компьютерных системах осуществляется или опосредовано с использованием вредоносных программ и программных закладок, или непосредственно нарушителем, как правило, в интерактивном режиме на основе преодоления средств защиты информации вычислительной системы.

Угрозы НСД к информации в компьютерных системах подразделяются на угрозы НСД к информации на отдельном (без подключения к сети) автоматизированном рабочем месте (АРМ) оператора и на угрозы НСД к информации в компьютерной сети. При этом угрозы НСД к информации в компьютерной сети включают также и угрозы НСД к информации на отдельном АРМ оператора.

3.3.3.1 Угрозы несанкционированного доступа к информации на отдельном автоматизированном рабочем месте оператора

Угрозы НСД к информации обусловлены возможностями воздействия нарушителя на объективно существующие информационные потоки на отдельном АРМ оператора (рисунок 3.15), которые складываются под влиянием следующих обстоятельств:

– современные ПЭВМ оснащены несъемными накопителями на ЖМД большой емкости, причем информация на них хранится и в обесточенном состоянии;

– съемные средства хранения информации производятся в массовом количестве и используются для распространения информации;

– быстрое развитие информационных технологий и постоянное обновление программно-аппаратных средств обработки информации повышает вероятность наличия в них недекларированных возможностей;

– многие ПЭВМ служат коллективным средством обработки информации, что обезличивает ответственность, в том числе за защиту информации;

– подавляющая часть ПЭВМ располагается непосредственно в рабочих комнатах специалистов, что облегчает доступ к ним посторонних лиц;

– большинство ПЭВМ недостаточно оснащены средствами защиты от НСД.

Основными объектами, которые подвергаются угрозам НСД в компьютерных системах, являются:

– средства ввода/вывода информации;

– средства хранения информации (магнитные диски, оптические диски, ОЗУ, ПЗУ и т.д.);

– средства отображения информации (терминалы, принтеры, бумажные носители, графопостроители и т.д.).

Рисунок 3.16 – Информационные потоки на отдельном АРМ оператор.

Субъектом НСД к информации может быть человек или инициализированный им процесс, действия которых нарушают регламентируемые на объекте правила разграничения доступа к информации. Так как в компьютерных системах существует большое многообразие форм хранения информации, то существует и большое количество способов НСД к информации. Способ НСД к информации – это определенная последовательность как санкционированных, так и несанкционированных действий, совершаемых одним или несколькими субъектами НСД, приводящая к нарушению правил разграничения доступа к информации. Каждый способ НСД характеризуется множеством программно-аппаратных средств и действий субъектов с использованием этих средств.

Возможные угрозы НСД к информации классифицируются по следующим признакам:

а) по цели реализации угрозы:

– нарушение конфиденциальности информации (хищение, ознакомление с информацией ограниченного доступа);

– нарушение целостности информации (несанкционированная модификация или уничтожение информации, а также компрометация, дезинформация);

– нарушение доступности информации (блокирование информации, нарушение нормального функционирования вычислительной системы);

б) по основным причинам возникновения:

– ошибки проектирования, разработки и реализации средств защиты информации;

– ошибки эксплуатации вычислительной системы (например, ошибки администратора ЛВС при распределении прав доступа);

– ошибки в алгоритмах программ (например, ошибки алгоритмов шифрации);

– ошибки реализации алгоритмов программ (ошибки программирования);

в) по способу воздействия:

– непосредственное воздействие на элемент вычислительной системы, (например, непосредственный доступ к набору данных, программе, каналу связи и т.д.);

– опосредованное воздействие через других пользователей или программы (про­граммных вирусов, программ типа "троянский конь" и "червь");

г) по временным характеристикам воздействия:

– оперативное воздействие – обычно под управлением человека в интерактивном режиме;

– долговременное воздействие – обычно созданной заранее программой (например, подбор пароля);

д) по объекту воздействия:

– элементы вычислительной системы – данные или программы в процессе обработки или на носителях информации, сами устройства, как внешние (дисководы, сетевые устройства, терминалы и т.п.), так и внутренние (оперативная память, ПЗУ, процессор и т.п.);

– пользователи вычислительной системы – нарушитель пытается воздействовать на них через программное обеспечение;

– каналы передачи данных – пакеты данных, передаваемых по каналу связи, и сами каналы;

е) по используемым средствам:

– стандартное программное и аппаратное обеспечение, используемое в вычислительной системе (редакторы, отладчики, трассировщики и т.д.);

– нештатные, а также специально разработанные аппаратные или программные средства, причем последние могут быть разработаны даже на рабочем месте пользователя системы.

Всегда надо иметь в виду, что человек (субъект НСД) способен придумать принципиально новый способ реализации НСД или применить новые варианты известных способов.

В общем случае все способы НСД являются результатом композиций "первичных" действий (рисунок 3.17), таких как:

– запись информации;

– считывание информации;

– физическое воздействие на элементы вычислительной системы, приводящее либо к уничтожению информации, либо к нарушению правил ее обработки и хранения.

Например, несанкционированная модификация информации является композицией чтения и записи информации. Несанкционированное уничтожение информации, как и ее блокирование, может произойти в результате или несанкционированной записи, или физического воздействия на элемент вычислительной системы. Несанкционированное копирование информации осуществляется путем последовательного чтения и записи информации. Подбор пароля состоит в последовательности записи и чтения результатов обработки этой записи. При этом обычно пуск несанкционированного процесса является следствием несанкционированной записи или модификации (чтения и записи) информации. [71,73]

Основным начальным действием является доступ физического лица к элементу вычислительной системы. Это возможно, как непосредственно перед осуществлением НСД, так и заблаговременно в процессе разработки, внедрения или сопровождения программного продукта или вычислительной системы.

Рисунок 3.17 – Взаимосвязь "первичных" действий с основными видами угроз НСД

Наиболее распространенными угрозами НСД в компьютерных системах являются:

– несанкционированное наблюдение информации (дисплей, принтер, графо­построитель);

– несанкционированное включение и использование информационных ресурсов ПЭВМ;

– снятие неучтенной копии с использованием дисковода, дисплея или принтера;

– ввод в систему вредоносных программ;

– хищение съемных носителей информации;

– изменение конфигурации ПЭВМ и вставка постороннего устройства;

– чтение остаточной информации.

Основными способами организации НСД являются:

а) программное копирование информации из ОЗУ и электронных носителей;

б) использование информации, которая осталась на носителях после ее обработки ("сборка мусора"). Информация может остаться в оперативной памяти, на магнитных и других носителях;

в) хищение носителей информации (магнитных дисков, дискет, распечаток);

г) чтение или фотографирование информации с экрана или распечаток;

д) подключение к устройствам ПЭВМ специальной аппаратуры, с помощью которой можно регистрировать информацию;

е) регистрация защищаемой информации с помощью программных закладок;

ж) преодоление программных средств разграничения доступа к ресурсам ком­пьютера.

НСД к информации на основе преодоления программных средств разграничения доступа к ресурсам компьютера может осуществляться за счет:

– проникновения в систему с несанкционированными параметрами входа – подбор пароля или обход защиты ("взлом системы"). Подбор пароля может быть осуществлен различными способами. Так, например, вскрытие пароля возможно простым перебором (который может выполнить специальная программа); используя системные файлы, в которых хранится информация о паролях; используя знания о типовых паролях, которые обычно применяются пользователями; используя программную закладку или вирус для "подсматривания" паролей. Обход парольной защиты можно осуществить, используя ошибки программы защиты или воздействуя на нее специальными программами; [72,74]

– использования низкоуровневых процессов вычислительной системы, на которые не распространяется контроль средств защиты, например, каналов обмена информацией между процессами в операционной системе ("скрытые каналы"). В операционной системе реализуются стандартные правила обмена информацией между устройствами и процес­сами, в связи с чем возможно осуществление контроля данной информации;

– использования скрытых, недокументированных разработчиками возможностей программного обеспечения ("люк"). При разработке сложных программ многие их воз­можности не описываются в документации и могут быть неизвестны даже самим разра­ботчикам данных программ;

– использования специальных программных воздействий, осуществляемых вредо­носными программами, такими как:

– программный вирус;

– "троянский конь" – программа, выполняющая побочные функции, неизвестные пользователю;

– специальные программы, осуществляющие преодоление средств защиты.

Специальные программы разрабатываются на основе вскрытия функционирования алгоритма (программы) защиты информации. В связи с этим, одной из основных задач субъекта НСД является изучение (исследование) функционирования алгоритма защиты. Как правило, субъект НСД имеет доступ только к исполняемым модулям или коду защи­щенной программы. Основным инструментальным средством, позволяющим исследовать код программы, являются дизассемблеры и отладчики, с помощью которых машинный код программы можно представлять в более удобном для понимания виде.

В результате исследования кода программы с помощью отладчика выясняется семантика последовательности команд, определяющая выполнение функций защиты. После этого осуществляется корректировка кода программы или имитация запра­шиваемых и идентифицируемых программой данных, что может быть оформлено в отдельную программу.

В обычных условиях, если не применяется специальных мер противодействия, па­роль "защищенной" программы при использовании отладчика специалистом может быть вскрыт в течение 10-20 минут.

Возможности отладчиков по исследованию программного кода во многом зависят от того, насколько действия отладчика "прозрачны" для системы, так как существуют достаточно эффективные методы противодействия средствам отладки.

В настоящее время не существует простых эффективных способов обнаружения в программном обеспечении вредоносных программ.

Подробная характеристика специальных программных воздействий приведена в отдельном разделе.

При эксплуатации ПЭВМ несколькими пользователями и наличии среди них возможного нарушителя опасность НСД возрастает, так как каждый из них имеет законный доступ к средствам загрузки, ввода-вывода информации, что усложняет возможности по установлению факта НСД и истинного нарушителя.

3.3.3.2 Угрозы специальных программных воздействий на информацию

Специальные программные воздействия осуществляются с помощью вредоносных программ. Основными видами вредоносных программ являются программные вирусы, программы типа «троянский конь» и сетевые черви. Вредоносные программы могут иметь следующие свойства:

– способность скрытия признаков своего присутствия в программной среде ЭВМ;

– способность самодублирования (копирования), ассоциирования себя с другими программами и/или переноса своих фрагментов в области оперативной или внешней памяти;

– возможность разрушения, искажения или модификация кодов программ в опера­тивной памяти и других носителях информации;

– возможность копирования фрагментов информации из оперативной памяти во внешнюю память;

– искажение произвольным образом, блокирование и/или подмена выводимый во внешнюю память или в канал связи массивов информации, образовавшихся в результате работы прикладных программ, или уже находящихся во внешней памяти.

Самодублирование программы с потенциально опасными последствиями – процесс воспроизведения своего собственного кода в оперативной или внешней памяти ЭВМ.

Ассоциирование с другой программой – интеграция своего кода, либо его части в код другой программы таким образом, чтобы при некоторых условиях управление пере­давалось на код программы с потенциально опасными последствиями.

В настоящее время широкое развитие получили программные вирусы, новые виды которых появляются по нескольку десятков в неделю. [76]

Программные вирусы можно разделить на классы по следующим основным приз­накам: среда обитания, класс "заражаемой" операционной системы (OC), особенности алгоритма работы, деструктивные возможности, характер воздействия на автоматизи­рованную систему.

По среде обитания вирусы подразделяются на файловые, загрузочные, макро, сетевые.

Файловые вирусы либо различными способами внедряются в выполняемые файлы (наиболее распространенный тип вирусов), либо создают файлы-двойники (компаньон-вирусы), либо используют особенности организации файловой системы (link-вирусы).

Загрузочные вирусы записывают себя либо в загрузочный сектор диска (boot-сектор), либо в сектор, содержащий системный загрузчик винчестера (Master Boot Record), либо меняют указатель на активный boot-сектор.

Макро-вирусы заражают файлы-документы и электронные таблицы нескольких популярных редакторов.

Сетевые вирусы используют для своего распространения протоколы или команды компьютерных сетей и электронной почты (для отдельного защищенного рабочего места оператора сетевые вирусы отсутствуют).

Существует большое количество сочетаний вирусов – например, файлово-загру­зочные вирусы, заражающие как файлы, так и загрузочные сектора дисков. Такие вирусы, как правило, имеют довольно сложный алгоритм работы, часто применяют оригинальные методы проникновения в систему, используют стелс и полиморфик-технологии. Другой пример такого сочетания – сетевой макро-вирус, который не только заражает редактируе­мые документы, но и рассылает свои копии по электронной почте.

Каждый файловый или сетевой вирус заражает файлы какой-либо одной или нескольких операционных систем – DOS, различные версии Windows, OS/2, Unix и т.д. Макро-вирусы заражают файлы форматов Word, Excel и т.п., загрузочные вирусы также ориентированы на конкретные форматы расположения системных данных в загрузочных секторах дисков.

По особенностям алгоритма работы компьютерные вирусы подразделяются на следующие группы:

– резидентные;

– использующие стелс-алгоритмы;

– использующие самошифрование и полиморфность;

– использующие нестандартные приемы.

Резидентный вирус при инфицировании компьютера оставляет в оперативной памяти свою резидентную часть, которая затем перехватывает обращения операционной системы к объектам заражения и внедряется в них. Резидентные вирусы находятся в памяти и являются активными вплоть до выключения компьютера или перезагрузки операционной системы. Нерезидентные вирусы не заражают память компьютера и сохраняют активность ограниченное время. Некоторые вирусы оставляют в оперативной памяти небольшие резидентные программы, которые не распространяют вирус. Такие вирусы считаются нерезидентными.

Резидентными можно считать макро-вирусы, поскольку они постоянно присутст­вуют в памяти компьютера на все время работы зараженного редактора. При этом роль операционной системы берет на себя редактор, а понятие "перезагрузка операционной системы" трактуется как выход из редактора.

В многозадачных операционных системах время "жизни" резидентного DOS-вируса также может быть ограничено моментом закрытия зараженного DOS-окна, а активность загрузочных вирусов в некоторых операционных системах ограничивается моментом инсталляции дисковых драйверов OC.

Использование стелс-алгоритмов позволяет вирусам полностью или частично скрыть себя в системе. Наиболее распространенным стелс-алгоритмом является перехват запросов OC на чтение/запись зараженных объектов, при этом cтелс-вирусы "подстав­ляют" вместо себя незараженные участки информации. В случае макро-вирусов наиболее распространенный способ – запрет вызовов меню просмотра макросов. Один из первых файловых стелс-вирусов – вирус "Frodo", первый загрузочный стелс-вирус – "Brain".

Самошифрование и полиморфность используются практически всеми типами вирусов для того, чтобы максимально усложнить процедуру обнаружения вируса. Полиморфные вирусы (polymorphic) – это достаточно трудно обнаружимые вирусы, не имеющие постоянных сигнатур, т.е. не содержащие ни одного постоянного участка кода. В большинстве случаев два образца одного и того же полиморфного вируса не будут иметь ни одного совпадения. Это достигается шифрованием основного тела вируса и модификациями программы-расшифровщика.

По деструктивным возможностям компьютерные вирусы подразделяются на следующие группы:

– безвредные, т.е. никак не влияющие на работу компьютера (кроме уменьшения свободной памяти на диске в результате своего распространения);

– неопасные, влияние которых ограничивается уменьшением свободной памяти на диске и графическими, звуковыми и пр. эффектами;

– опасные вирусы, которые могут привести к серьезным сбоям в работе компьютера;

– очень опасные, в алгоритм работы которых заведомо заложены процедуры, которые могут привести к потере программ, уничтожить данные, стереть необходимую для работы компьютера информацию, записанную в системных областях памяти, и даже, как гласит одна из непроверенных компьютерных легенд, способствовать быстрому износу движущихся частей механизмов – вводить в резонанс и разрушать головки некоторых типов винчестеров.

По характеру воздействия на автоматизированную систему компьютерные вирусы классифицируются следующим образом:

а) вирусы, не воздействующие на файловую структуру операционной системы (ОС):

– размножающиеся в ОЗУ;

– воздействующие на оператора;

– имитирующие неисправность аппаратуры;

– формирующие сообщения на терминале;

– формирующие звуковые эффекты;

– переключающие режимы настройки;

– сетевые "черви".

б) вирусы, воздействующие на файлы:

– повреждающие исходные тексты программ, выполняемые программы, библио­теки программ;

– повреждающие базы данных, текстовые документы, графические изображения, электронные таблицы.

в) вирусы, воздействующие на файловую подсистему ОС:

– повреждающие системные области жесткого диска;

– модифицирующие логическую структуру файловой подсистемы ОС;

– производящие форматирование носителей информации;

– воздействующие на файлы ОС;

– криптующие информацию.

г) вирусы, воздействующие на аппаратуру:

– воздействующие на графическую подсистему ЭВМ;

– воздействующие на микросхемы ЭВМ (в том числе и на флэш-память);

– воздействующие на жесткие магнитные диски;

– воздействующие на принтер;

– воздействующие на другие периферийные устройства ЭВМ.

Программы типа "троянский конь" и сетевые черви обладают такими же, как и программные вирусы, возможностями деструктивных воздействий на информацию.

Важнейшей особенностью вредоносных программ является высокая трудоемкость их выявления. В настоящее время не существует эффективных способов обнаружения неизвестных видов вредоносных программ в программном обеспечении.