2.Изменение алгоритмов функционирования системы, прикладных и служебных программ. Например, внесение изменений в программу разграничения доступа может привести к тому, что она разрешит вход в систему всем без исключения пользователям вне зависимости от правильности введенного пароля.

3.Навязывание определенных видов работ. Например, блокирование записи на диск при удалении информации, при этом информация, которую требуется удалить, не уничтожается и может быть впоследствии скопирована злоумышленником.

Увсех программных закладок есть важная общая черта, они обязательно выполняют операцию записи в оперативную или внешнюю память системы. При отсутствии данной операции никакого негативного воздействия ПЗ оказать не может.

6.2 Модели воздействия программных закладок на компьюторы

1.Модель «перехват»: Внедряется в ПЗУ, системное или прикладное программное обеспечение и сохраняет всю или выбранную информацию, вводимую с внешних устройств в систему или выводимую на эти устройства в скрытую области памяти локальной или удаленной информационной системы.

Данная модель может быть двухступенчатой:

На первом этапе сохраняются только имена и начала файла;

На втором этапе накопленные данные анализируются злоумышленником, и выбирается нужная информация для принятия решения о конкретных объектах дальнейшей атаки.

Данная модель может быть эффективно использована, например, при атаке на защищенную WinNT. После старта WinNT, на экране появляется приглашение – нажать Ctrl+Alt+Delete. После их нажатия загружается динамическая библиотека MSGINA.DLL, осуществляющая прием паролей и выполнение процедуры аутентификации. Если злоумышленник заменяет библиотеку MSGINA.DLL на нужную ему библиотеку (для этого необходимо просто добавить специальную строку в реестр ОС WinNT и указать местоположение свой библиотеки), то модифицируется ввод и проверка пароля, т.е. подсистема контроля за доступом.

2.Модель «искажение». Программные закладки изменяют информацию, которая записывается в память системы, либо подавляет (инициирует) возникновение ошибочных ситуаций в ИС.

Можно выделить статическое и динамическое искажение Статическое искажение происходит один раз, при этом параметры программной среды модифици-

руются, чтобы впоследствии в ней выполнялись нужные злоумышленнику действия. Например, вносятся изменения в файл AUTOEXEC.BAT, которые приводят к запуску заданной программы прежде, чем будут запущены другие программы.

Специалисты ФАПСИ выявили ПЗ: злоумышленник изменил в исполняемом .exe модуле проверки ЭЦП, строку «Подпись не корректна» на строку «Подпись корректна». В результате перестали фиксироваться документы с неверной ЭЦП, а, следовательно, стало возможно вносить любые изменения в электронные документы уже после того, как их подписания ЭЦП.

Динамическое искажение заключается в изменении каких-либо параметров системы или прикладных процессов при помощи заранее активированных закладок.

Динамическое искажение можно условно разделить на: искажение на входе, когда на обработку попадает уже искаженная информация; искажение на выходе, когда искажается информация, отображаемая для восприятия человеком, или предназначенная для работы других программ.

Практика показала, что именно программы реализации ЭЦП особенно подвержены влиянию ПЗ типа «динамическое искажение». Существует 4 способа воздействия ПЗ на ЭЦП:

1.Искажение входной информации – ПЗ изменяет поступивший на подпись документ.

2.Искажение результата проверки истинности ЭЦП (вне зависимости от результатов проверки цифровую подпись объявляют истинной).

3.Навязывание длины электронного документа – программе ЭЦП предъявляется документ меньшей длины, чем на самом деле, и в результате подпись ставится только под частью исходного документа.

4.Искажение самого алгоритма цифровой подписи.

96

В рамках модели «искажение» реализуются такие ПЗ, действия которых основано на инициировании или подавлении сигнала о возникновении ошибочных ситуаций в ИС, тех которые приводят к отличному от нормального завершению исполняемой программы.

Например, для инициирования статической ошибки на устройствах хранения информации создается область, при обращении к которой (запись, чтение, форматирование) возникает ошибка, что может затруднить или блокировать некоторые нежелательные для злоумышленника действия системы или прикладных программ (например, не позволяет осуществить корректно уничтожение конфиденциальной информации на жестком диске.

При инициировании динамической ошибки для некоторой операции генерируется сообщение о ложной ошибке, например «Модем занят». Или при прочтении одного блока длиной 512 байт может установиться соответствующий флажок для того, чтобы не допустить прочтения второго и последующего блоков и в итоге подделать подпись под документом. Разновидностью программной закладки модели «искажение» являются программы, которые получили название «троянский конь» (ТК) или «троянец».

Троянец является частью другой программы с известными пользователю функциями, которая способна в тайне от него выполнять некоторые дополнительные действия с целью причинения ему определенного ущерба.

Например, программа форматирования не является троянской, но если пользователь, выполняя некоторую программу, совершенно не ждет, что она отформатирует его жесткий диск.

Троянской можно считать любую программу, которая в тайне от пользователя выполняет некоторые нежелательные для него действия: определение регистрационных номеров программного обеспечения, установленного на компьютере; досоставления списка каталогов на жестком диске и т.д. А сама троянская программа может маскироваться под текстовый редактор, сетевую утилиту или любую другую, которую пользователь пожелает установить на своем компьютере.

Троянские программы пишут программисты с целью получения доступа к конфиденциальным данным (пароли, счета и т.д) и приведения в нерабочее состояние компьютерной системы.

Примеры троянцев: Программа PC Cyborg предлагала предоставить информацию о борьбе со СПИДом, а проникнув на компьютер, отсчитывала 90 перезагрузок, а затем прятала все каталоги и шифровала файлы. Программа AOLGOLD рассылалась по e-mail в заархивированном виде с сопроводительным письмом, в котором говорилось, что ее предоставляет компания America On line (AOL

– крупнейший Итернет-провайдер) для повышения качества предоставляемых услуг. В архиве был файл Install.bat, пользователь, запустивший этот файл стирал все файлы из с: \, с: \ windows.

Такие программы пишут, как правило, подростки, одержимые страстью к разрушительству.

Есть троянские программы, написанные профессионалами, они не разрушают, а собирают информацию. Обнаруживаются они, как правило, случайно. Такие программы продаются, распространяются через Интернет. Именно через Интернет, попала троянская программа, которая обосновалась в утилите fping. При первом же запуске модифицированной утилиты в файл /etc/passwd добавлялась запись для пользователя с именем suser, который мог войти в систему и получить там права администратора. Троянские программы можно отыскать где угодно, однако самыми подозрительными на предмет присутствия троянцев являются бесплатные или условно бесплатные программы, скачанные через Интернет или купленные на пиратских дисках.

3. Модель «уборка мусора». Работа с конфиденциальными электронными документами обычно сводится к последовательности следующих манипуляций с файлами: создание, хранение, коррекция, уничтожение. Для защиты конфиденциальной информации обычно применяется шифрование. Основная угроза исходит не от использования нестойких алгоритмов шифрования и плохих криптографических ключей, а от обыкновенных текстовых редакторов и БД, применяемых для коррекции конфиденциальных документов. Важно помнить, что при записи отредактированной информации меньшего размера в тот же файл, где хранилась исходная информация, образуются так называемые «хвостовые» кластеры, которые не подвергаются воздействию программ шифрования, но и остаются незатронутыми даже средствами гарантированного стирания и удаления.

Распространенные средства гарантированного стирания файла предварительно записывают на его место константы или случайные числа и только после этого удаляют файл стандартными методами. Однако даже такие средства оказываются бессильными против программных закладок, которые

97

нацелены на то, чтобы увеличить количество остающихся в виде «мусора» фрагментов конфиденциальной информации. Из хвостовых кластеров можно извлечь до 80% информации, а через 10 суток –

25-40%

ПЗ может инициировать системную ошибку, пометив один или несколько кластеров из цепочки, входящей в файл, меткой «сбойный». В результате при удалении файла средствами ОС или средствами гарантированного уничтожения, та его часть, что размещена в «сбойных» кластерах останется нетронутой и впоследствии может быть восстановлена с помощью стандартных утилит.

4.Модель «наблюдение». ПЗ встраивается в сетевое или телекоммуникационное программное обеспечение. Такое программное обеспечение всегда находится в постоянной активности, внедренная в него ПЗ можно следить за всеми процессами обработки информации и осуществлять установку или удаление других программных закладок.

.

5.Модель «компрометация». Модель типа «компрометация» позволяет получать доступ к информации, перехваченной другими ПЗ. Например, инициируется постоянное обращение к такой информации, приводящее к росту соотношения сигнал/шум. А это облегчает перехват побочных излучений данной компьютерной системы и позволяет эффективно выделять сигналы, сгенерированные закладкой из общего фона излучений, исходящих от оборудования.

Программные закладки в бизнес-приложениях

Вбольшинстве компаний используются модифицированные или разработанные самостоятельно бизнес-приложения. При этом чистота исходного кода никак не контролируется. В таких условиях ничто не мешает программисту-инсайдеру незаметно установить скрытую программную закладку, которая будет активирована в нужный момент. Отсюда возникает существенные риски, о которых говорить пока как-то не принято.

Если за качество стандартных программ и бизнес-приложений своим именем отвечает производитель и при массовом использовании есть некий общественный контроль. Кроме того, многие популярные программы проходят сертификацию ФСТЭК и ФСБ РФ на отсутствие незадекларированных возможностей, что, хочется верить, также является дополнительным контролем их чистоты.

Вэтом смысле заказные или доработанные своими силами программы никак не контролируются. Для тех, кто их использует, они становятся чем-то вроде черного ящика, а что в нем происходит, знает только автор.

Таким образом, большинство компаний используют модифицированные или разработанные самостоятельно приложения, никак не контролируя чистоту исходного кода.

Можно выделить следующие модели действий программных закладок:

1. перехват данных:

a. перехват вывода информации на экран; b. перехват ввода с клавиатуры;

c. перехват и обработка файловых операций;

d. копирование и пересылка конфиденциальной пользовательской информации.

2. искажение данных:

a. неадекватная реакция на команды пользователя; b. искажение передаваемой по сети информации;

c. блокирование принимаемой или передаваемой по сети информации; d. изменение функционала самой программы.

3. уничтожение данных:

a. уничтожение конфиденциальной пользовательской информации; b. инициирование программных и аппаратных сбоев.

4. получение несанкционированного доступа к данным:

a. получение управления некоторой функцией в обход системы авторизации; b. получение доступа к данным и функциям извне разрешенного периметра.

Расширения базового функционала

98

Во многих случаях функционал стандартных бизнес-приложений может быть расширен с помощью встроенных языков программирования или макросов. Такие доработки функционала обычно ведутся сотрудниками компании, индивидуальными разработчиками или компаниями, специализирующимися на дополнительных разработках.

Хорошим примером здесь является российская программная платформа «1С Предприятие», которая в подавляющем большинстве случаев дорабатывается под конкретное предприятие и его бизнеспроцессы. Существует множество типизированных отраслевых версий этого ПО, разрабатываемых партнерами 1С, а также тысячи частных программистов, имеющих свои наработки в области конкретной отраслевой экспертизы.

Наряду с гибкостью и удобством такой подход к улучшению функциональности привносит в информационную систему дополнительный риск. Принимая доработку, заказчик концентрируется на функционале, а не на безопасности, считая разработчиков заведомо честными и профессиональными.

Как правило, код таких разработок никем не проверяется на наличие программных ошибок и незадекларированных возможностей (НДВ). Однако сами бизнес-приложения, работающие с персональными данными, в большинстве случаев проходят обязательную сертификацию во ФСТЭК и ФСБ.

Зачастую это связано с тем, что заказной аудит кода проходит долго и стоит дорого, а расширения бизнес-приложений запускаются в работу сразу после отладки. Поскольку большинство расширений бизнес-приложений реализуются на базе интерпретируемых языков, то становится возможным запускать на исполнение не только готовые программы с собственной логикой, но даже небольшие куски кода, вплоть до одной строчки.

Это приводит к тому, что программисты расширений для бизнес-приложений получают практически неконтролируемый кредит доверия в своих компаниях. Их работу никто ровным счетом не контролирует.

Заказная разработка ПО

Стоит отдельно рассмотреть случай, когда бизнес-приложения разрабатывают специально для конкретной компании, т.е. речь идет о заказной разработке. В этом случае клиент прибегает к услугам компаний, занимающихся заказными разработками, или же самостоятельно нанимает проектную команду разработчиков.

Влюбом случае заказчик, которым является лицо от бизнеса, не сможет толком даже проконтролировать качество разработанного ПО, не говоря уже про чистоту исходного кода. Дополнительный же наём экспертов на эту работу существенно увеличит бюджет проекта.

Витоге получается то же самое. Клиент получает в свое распоряжение некий черный ящик с отсутствие всяческих гарантий чистоты исходного кода от недокументированных возможностей.

Если разработанное на заказ ПО будет использоваться в качестве информационных систем для обработки персональных данных (ИСПДн), то в соответствие с ФЗ №152 потребуется ее сертификация

собязательным предоставлением на экспертизу исходных кодов. Но даже в этом случае отсутствие НДВ вам будет гарантироваться лишь номинально. Не говоря уже про установленные в будущем всевозможные заплатки и обновления, частота которых никем точно не будет контролироваться.

Ну и последнее, на чем стоит остановиться в качестве примеров, иллюстрирующих масштаб и проникновении угрозы программных закладок – это просто огромное количество самых различных бизнес-приложений, написанных полностью или имеющих компоненты на языках Java и С# (основной язык разработки приложений для платформы Microsoft .NET). Особенность этих языков состоит в том, что исходный код программы транслируется в байт-код на стороне пользователя при помощи JVM или

.NET Framework. Таким образом, в код программы может быть достаточно просто добавлена программная закладка.

Примеры использования программных закладок

Следует заметить, что большинство закладок изначально устанавливается программистами не для противоправных действий, а для возможности быстро и без долгих бюрократических процедур внести изменения в уже работающую программу. Однако, если имеется возможность безнаказанно и неконтролируемо поставить закладку, некоторые программисты не в состоянии избежать искушения и использовать эту возможность для собственной выгоды и во вред компании.

99

В России наиболее известным случаем использования программных закладок является афера программиста ОАО "Акционерный капитал", реестродержателя акций ОАО «Татнефть», похитившего в 2005 году с помощью специально разработанного программного модуля 110 тысяч акций ОАО «Татнефть» на 5,7 млн руб и осужденного за это на пять с половиной лет.

Служба безопасности одной из фирм, занимающихся посреднической деятельностью, обнаружила, что конфиденциальная информация, передаваемая партнерам по электронной почте, становится известной третьей стороне, несмотря на то, что в системе использовались платы “Криптон” (продукция фирмы Анкад), реализующие обеспечивающий гарантированную защиту информации алгоритм шифрования в соответствии с ГОСТ 28147-89.

Спустя некоторое время во всех компьютерах фирмы, на которых стояла указанная плата, была выявлена одна и та же программная закладка. Она попросту отключала плату “Криптон-3” и брала ее функции на себя, причем для шифрования данных вместо алгоритма по указанному ГОСТ использовался другой, совершенно нестойкий алгоритм.

Проведенное расследование показало, что за несколько недель до описываемых событий во все отделения фирмы от лица якобы производителя платы “Криптон-3” пришли письма, к которым была приложена программа, о которой в письме говорилось, что это бесплатно распространяемый драйвер “Турбо Криптон”, повышающий быстродействие платы в несколько десятков раз. Не заметив подвоха, сетевые администраторы немедленно установили присланный драйвер на все соответствующие компьютеры, в результате чего скорость шифрования действительно возросла, но защита электронной почты фактически отключилась.

Самым ярким примером действия программной закладки является военный конфликт в Персидском заливе. Тогда при проведении операции «Буря в пустыне» система ПВО Ирака оказалась заблокированной по неизвестной причине. Несмотря на отсутствие исчерпывающей информации, высказывалось предположение, что ЭВМ, входящие в состав комплекса технических средств системы ПВО, закупленные Ираком у Франции, содержали специальные управляемые «электронные закладки», блокировавшие работу вычислительной системы.

Периодически эксперты обнаруживают недокументированных возможности в ПО для аппаратных комплексов. Например, в информационном бюллетене CERT CA-2002-32объявлено о существовании программной закладки (backdoor) в операционной системе AOS (Alcatel Operating System) версии 5.1.1, применяемой для управления коммутаторами Alcatel OmniSwitch 7700/7800. Эта закладка запускает telnet-сервис на порту 6778/TCP, что может позволить удаленному злоумышленнику неавторизованно управлять коммутатором.

Троянские программы

В данную категорию входят программы, осуществляющие различные несанкционированные пользователем действия:

Сбор информации и ее передачу злоумышленнику,

Ее разрушение или злонамеренную модификацию,

Нарушение работоспособности компьютера,

Использование ресурсов компьютера в неблаговидных целях.

Отдельные категории троянских программ наносят ущерб удаленным компьютерам и сетям, не нарушая работоспособность зараженного компьютера (например, троянские программы, разработанные для массированных DoS-атак на удалённые ресурсы сети).

Классификация:

Троянские программы различаются между собой по тем действиям, которые они производят на зараженном компьютере.

Backdoor — троянские утилиты удаленного администрирования

Троянские программы этого класса являются утилитами удаленного администрирования компьютеров в сети. По своей функциональности они во многом напоминают различные системы администрирования, разрабатываемые и распространяемые фирмами-производителями программных продуктов.

100

Единственная особенность этих программ заставляет классифицировать их как вредные троянские программы: отсутствие предупреждения об инсталляции и запуске. При запуске «троянец» устанавливает себя в системе и затем следит за ней, при этом пользователю не выдается никаких сообщений о действиях троянца в системе. Более того, ссылка на «троянца» может отсутствовать в списке активных приложений. В результате «пользователь» этой троянской программы может и не знать о ее присутствии в системе, в то время как его компьютер открыт для удаленного управления.

Утилиты скрытого управления позволяют делать с компьютером все, что в них заложил автор: принимать или отсылать файлы, запускать и уничтожать их, выводить сообщения, стирать информацию, перезагружать компьютер и т. д. В результате эти троянцы могут быть использованы для обнаружения и передачи конфиденциальной информации, для запуска вирусов, уничтожения данных и т. п. — пораженные компьютеры оказываются открытыми для злоумышленных действий хакеров.

Таким образом, троянские программы данного типа являются одним из самых опасных видов вредоносного программного обеспечения, поскольку в них заложена возможность самых разнообразных злоумышленных действий, присущих другим видам троянских программ.

Отдельно следует отметить группу бэкдоров, способных распространяться по сети и внедряться в другие компьютеры, как это делают компьютерные черви. Отличает такие «троянцы» от червей тот факт, что они распространяются по сети не самопроизвольно (как черви), а только по специальной команде «хозяина», управляющего данной копией троянской программы.

Trojan-PSW — воровство паролей

Данное семейство объединяет троянские программы, «ворующие» различную информацию с зараженного компьютера, обычно — системные пароли (PSW — Password-Stealing-Ware). При запуске PSW-троянцы ищут сиcтемные файлы, хранящие различную конфиденциальную информацию (обычно номера телефонов и пароли доступа к интернету), и отсылают ее по указанному в коде «троянца» электронному адресу или адресам.

Существуют PSW-троянцы, которые сообщают и другую информацию о зараженном компьютере, например, информацию о системе (размер памяти и дискового пространства, версия операционной системы), тип используемого почтового клиента, IP-адрес и т. п. Некоторые троянцы данного типа «воруют» регистрационную информацию к различному программному обеспечению, коды доступа к сетевым играм и прочее.

Trojan-AOL —- семейство троянских программ, «ворующих» коды доступа к сети AOL (America Online). Выделены в особую группу по причине своей многочисленности.

Trojan-Clicker — интернет-кликеры

Семейство троянских программ, основная функция которых — организация несанкционированных обращений к интернет-ресурсам (обычно к веб-страницам). Достигается это либо посылкой соответствующих команд браузеру, либо заменой системных файлов, в которых указаны «стандартные» адреса интернет-ресурсов (например, файл hosts в MS Windows). У злоумышленника могут быть следующие цели для подобных действий:

Увеличение посещаемости каких-либо сайтов с целью увеличения показов рекламы;

Организация DoS-атаки (Denial of Service) на какой-либо сервер;

Привлечение потенциальных жертв для заражения вирусами или троянскими программами.

Trojan-Downloader — доставка прочих вредоносных программ

Троянские программы этого класса предназначены для загрузки и установки на компьютер-жертву новых версий вредоносных программ, установки «троянцев» или рекламных систем. Загруженные из интернета программы затем либо запускаются на выполнение, либо регистрируются «троянцем» на автозагрузку в соответствии с возможностями операционной системы. Данные действия при этом происходят без ведома пользователя.

Информация об именах и расположении загружаемых программ содержится в коде и данных троянца или скачивается троянцем с «управляющего» интернет-ресурса (обычно с веб-страницы).

Trojan-Dropper — инсталляторы прочих вредоносных программ

Троянские программы этого класса написаны в целях скрытной инсталляции других программ и практически всегда используются для «подсовывания» на компьютер-жертву вирусов или других троянских программ.

101

Данные троянцы обычно без каких-либо сообщений (либо с ложными сообщениями об ошибке в архиве или неверной версии операционной системы) сбрасывают на диск в какой-либо каталог (в корень диска C: во временный каталог, в каталоги Windows) другие файлы и запускают их на выполнение.

Обычно структура таких программ следующая: Основной код - Файл 1 - Файл 2 - ...

«Основной код» выделяет из своего файла остальные компоненты (файл 1, файл 2, ...), записывает их на диск и открывает их (запускает на выполнение)

Обычно один (или более) компонентов являются троянскими программами, и как минимум один компонент является «обманкой»: программой-шуткой, игрой, картинкой или чем-то подобным. «Обманка» должна отвлечь внимание пользователя и/или продемонстрировать то, что запускаемый файл действительно делает что-то «полезное», в то время как троянская компонента инсталлируется в систему. В результате использования программ данного класса хакеры достигают двух целей:

Скрытная инсталляция троянских программ и/или вирусов;

Защита от антивирусных программ, поскольку не все из них в состоянии проверить все компоненты внутри файлов этого типа.

Trojan-Proxy — троянские прокси-сервера

Семейство троянских программ, скрытно осуществляющих анонимный доступ к различным ин- тернет-ресурсам. Обычно используются для рассылки спама.

Trojan-Spy — шпионские программы

Данные троянцы осуществляют электронный шпионаж за пользователем зараженного компьютера: вводимая с клавиатуры информация, снимки экрана, список активных приложений и действия пользователя с ними сохраняются в какой-либо файл на диске и периодически отправляются злоумышленнику. Троянские программы этого типа часто используются для кражи информации пользователей различных систем онлайновых платежей и банковских систем.

Rootkit — сокрытие присутствия в операционной системе

Понятие rootkit пришло к нам из UNIX. Первоначально это понятие использовалось для обозначения набора инструментов, применяемых для получения прав root.

Таким образом, rootkit — программный код или техника, направленная на сокрытие присутствия в системе заданных объектов (процессов, файлов, ключей реестра и т.д.). Для поведения Rootkit в классификации «Лаборатории Касперского» действуют правила поглощения: Rootkit — самое младшее поведение среди вредоносных программ. То есть, если Rootkit-программа имеет троянскую составляющую, то она детектируется как Trojan.

Хакерские утилиты и прочие вредоносные программы

Кданной категории относятся:

Утилиты автоматизации создания вирусов, червей и троянских программ (конструкторы);

Программные библиотеки, разработанные для создания вредоносного по;

Хакерские утилиты скрытия кода зараженных файлов от антивирусной проверки (шифровальщики файлов);

«Злые шутки», затрудняющие работу с компьютером;

Программы, сообщающие пользователю заведомо ложную информацию о своих действиях в системе;

Прочие программы, тем или иным способом намеренно наносящие прямой или косвенный ущерб данному или удалённым компьютерам

Trojan-Notifier — оповещение об успешной атаке

Предназначены для сообщения своему «хозяину» о зараженном компьютере. При этом на адрес «хозяина» отправляется информация о компьютере, например, IP-адрес компьютера, номер открытого порта, адрес электронной почты и т. п. Отсылка осуществляется различными способами: электронным

102