- •1 Проблема захисту операційних систем
- •1.1Основні вимоги до безпеки комп’ютерних систем
- •1.2 Класифікація загроз безпеці комп’ютерних систем
- •1.2.1 Загроза за метою реалізації
- •1.2.2 Загроза за об’єктом атаки
- •1.2.3 Загроза за принципом впливу на кс
- •1.2.4 Загроза за характером впливу на кс та його об’єкти
- •1.2.5 Загроза через появи помилок захисту
- •1.2.6 Загроза за способом впливу на кс
- •1.2.7 Загроза за засобами атаки
- •1.2.8 Загроза за станом об’єкта атаки
- •1.3 Рівні (варіанти) захисту операційних систем
- •1.4 Об’єкти захисту в операційних системах
- •1.4.1 Захист пам’яті
- •1.4.2 Контроль доступу як захист даних та програм
- •1.6 Категорії зламщиків
- •1.7 Атаки на рівні операційних систем
- •1. Крадіжка пароля:
- •Контрольні питання
- •2 Характеристика найпоширеніших загроз безпеці комп’ютерних систем
- •2.1 Несанкціонований доступ (unauthorizedaccess) - нсд
- •2.2 Незаконне використання привілеїв
- •2.3 Атаки “салямі” (salami attack)
- •2.4 Приховані канали (convertchannels)
- •2.5 “Маскарад” (masquerade)
- •2.7 “Зламування системи” (break-in)
- •2.8 Шкідливе програмне забезпечення
- •2.8.2 Логічні бомби
- •2.8.3 Троянські коні (TrojanHorse)
- •2.8.4 Віруси
- •2.8.5 Черв’яки
- •2.8.6 Зомбі
- •2.8.7 "Жадібні" програми (greedy program)
- •2.8.8 Захоплювачі паролів (password grabber)
- •2.8.9 Утиліти схованого адміністрування (backdoor)
- •2.8.11 Конструктори вирусів
- •2.8.12 Поліморфні генератори
- •Контрольні питання
- •3 Віруси як шкідливе програмне забезпечення
- •3.1 Класифікація комп'ютерних вірусів
- •3.1.1 Віруси за середовищем їх існування
- •3.1.2 Віруси за способом зараження
- •3.1.3 Віруси за особливостями використовуваних алгоритмів
- •3.1.4 Віруси за деструктивними можливостями
- •3.2 Систематизація комп’ютерних вірусів
- •3.2.1 Класифікаційний код вірусу
- •3.2.2 Дескриптор вірусу
- •3.2.3 Сигнатура вірусу
- •3.3 Файлові віруси
- •3.3.1 Класифікаційний код файлового вірусу
- •Префікс файлового віруса
- •Кількісна характеристика
- •3.3.2 Дескриптор файлового вірусу.
- •3.3.3 Сигнатура файлового вірусу
- •3.3.4 Види файлових вірусів
- •Overwriting - віруси
- •Parasitic-віруси
- •Компаньйон-віруси
- •Link-віруси
- •Файлові хробаки
- •3.3.5 Алгоритм роботи файлового вірусу
- •3.3.6 Приклади файлових вірусів
- •3.4 Завантажувальні (бутові) віруси
- •3.4.1 Класифікаційний код завантажувального вірусу
- •Префікс
- •Кількісна характеристика
- •3.4.2 Дескриптор завантажувального вірусу
- •3.4.3 Сигнатура бутового вірусу.
- •3.4.4 Принцип дії завантажувальних вірусів
- •3.4.5 Розташування завантажувального вірусу
- •3.4.6 Алгоритм роботи завантажувального вірусу
- •Приклади завантажувальних вірусів Brain, сімейство
- •3.5 Макро-віруси
- •3.5.1 Причини зараження макро-вірусами
- •3.5.2 Загальні відомості про віруси в ms Office
- •3.5.3Принципи роботиWord/Excel/Office97-вірусів
- •Алгоритм роботи Word макро-вірусів
- •Алгоритм роботи Excel макро-вірусів
- •Алгоритм роботи вірусів для Access
- •3.5.6 Приклади макро-вірусів
- •3.6 Мережеві віруси
- •3.6.3 Скрипт-хробаки
- •3.6.4 Приклади мережевих вірусів
- •3.7 Стелс-віруси
- •3.7.1 Завантажувальні стелс-віруси
- •3.7.2 Файлові стелс-віруси
- •3.7.3 Макро-стелс-віруси
- •3.7.4 Приклади стелс-вірусів
- •Rasek, сімейство
- •3.8 Поліморфік-віруси
- •3.8.1 Поліморфні розшифровувачі
- •3.8.2 Рівні поліморфізму
- •3.8.3 Зміна виконуваного коду
- •Приклади поліморфік-вірусів
- •Predator (файлово-завантажувальні)
- •OneHalf, сімейство
- •Cheeba, сімейство
- •3.9 Способи захисту від вірусів
- •3.9.1 Систематичне архівування важливої інформації
- •3.9.2 Обмеження ненадійних контактів
- •3.9.3 Використання антивірусних програм
- •3.9.4 Види антивірусних програм
- •Сканери (scanner)
- •Монітори
- •Фаги (поліфаги) (scanner/cleaner, scaner/remover)
- •Ревізори
- •Антивірусні блокувальники
- •Іммунізатори або вакцини
- •Контрольні питання
- •4 Найпростіші методи захисту інформації в операційних системах
- •Установки і налаштування системи захисту
- •Періодичне очищення меню Документи (Documents)
- •Очистка і установка Корзини (RecycleBin)
- •Видалення або перейменування ярликів
- •Видалення і перейменування пунктів меню Start
- •Приховування Панелі задач
- •Захист від зміни і видалення файлів і папок
- •Резервне копіювання системи та шифрування дисків
- •4.2 Блокування доступу до комп’ютера за допомогою екранної заставки Wіndows
- •4.3 Використання пароля bіos
- •Захист за допомогою bіos
- •Встановленняпароля award bіos
- •Встановлення пароля amі bіos
- •Обхід пароля bіos
- •Використання утиліти debug
- •4.4Програмні продукти для найпростішого захисту
- •4.5 Відновлення інформації після сбоїв
- •Програма EasyRecovery Pro
- •Програма FinalData
- •Програма GetDataBack
- •Контрольні питання
- •5 Пакування, архівація і шифрування даних в операційних системах
- •5.1 Історичні відомості
- •5.2.1 Стискання виконуваних файлів
- •5.2.2 Стискання динамічних бібліотек
- •5.3 Продуктивність пакування файлів
- •5.4 Принципи роботи програм-архіваторів
- •Програми архівації файлів
- •Шифрування файлів у програмах Microsoft
- •Контрольні питання
- •6 Ідентифікація користувача
- •6.1 Основні методи ідентифікації
- •6.2 Ідентифікація за клавіатурним почерком
- •6.2.1 Настроювання
- •6.2.2 Ідентифікація за набором ключової фрази
- •6.2.3 Ідентифікація за “довільним” текстом
- •13.3 Інші способи ідентифікації
- •13.4 Графологічні можливості комп’ютера
- •13.5 Клавіатурні шпигуни
- •13.6 Програми для виявлення клавіатурних шпигунів
- •7.2.3 Загрози подолання парольного захисту
- •Парольні зламщики і методи їх роботи
- •Злам парольного захисту операційної системиUnix
- •Парольний захистWindows 95/98 і його ненадійність
- •Захист від несанкціонованого завантаження Windows 95/98
- •Запобігання кешуванню паролів в Windows95/98
- •Парольний захист вWindowsNt Формування, зберігання і використання паролів в Windows nt
- •Можливі атаки на базу даних sam
- •Деякі методи захисту від парольних зламщиків
1.2.3 Загроза за принципом впливу на кс
Загрози з використанням доступу суб’єкта КС (користувача, процеса) до об’єкта (файла даних, канала зв’яку і т.д.).
Загрози з використанням прихованих каналів. Прихований канал (convert channel) – це шлях передачі інформації, що дозволяє двом взаємодіючим процесам обмінюватись інформацією способом, який порушує системну політику безпеки КС. Вони бувають 2 видів:
канали з пам’яттю (convert storage channel), коли здійснюється читання або записування інформації другого каналу за допомогою проміжних об’єктів для зберігання інформації (тимчасова пам’ять);
тимчасові канали (convert timing channel), коли один процес може отримувати інформацію про хід другого, використовуючи інтервали між якими-небудь подіями (наприклад, аналіз часового інтервалу між запитом на введення-виведення дозволяє зробити висновок про розмір введеної інформації).
Взаємодія, яка базується на першому принципі, простіша, більш інформативна, тут відбувається взаємодія суб’єкта і об’єкта, що змінює стан КС. Від загрози такого роду легше захиститися, оскільки її легше виявити.
Взаємодія на основі другого принципу менш інформативна, використовуються лише побічні ефекти, що не впливає на стан КС, і тому така загроза більш складна для її виявлення та усунення.
1.2.4 Загроза за характером впливу на кс та його об’єкти
Активний впливпов’язаний з виконанням користувачем будь-яких дій, що виходять за рамки його обов’язків і порушують існуючу політику безпеки (доступ до певних наборів даних, програм, підбір пароля,...). Цей вплив призводить до зміни стану КС. Він може здійснюватись як з використанням доступу, так і при допомозі прихованих каналів.
Активний вплив проявляється у випадках:
безпосереднього впливуна об’єкт атаки (у тому числі з використанням привілеїв). Наприклад, безпосередній доступ до набору даних, програми, служби, каналу зв’язку, якщо використовувати яку-небудь помилку в захисті КС. Цим діям можна запобігти, використовуючи контроль доступу. Активні атаки викликають деяку зміну потоків даних і розділяються на 4 категорії:
а) імітація – має місце, коли деякий об’єкт видає себе за інший Як правило, атака з імітацією використовується разом з активними атаками інших видів. Наприклад, може перехоплюватись, а потім використовуватись послідовність повідомлень, що передаються в процесі аутентифікації, в результаті чого авторизовані сторони з малими привілеями отримують додаткові привілеї, які їм не було надано;
б) відтворення –включає в себе пасивне перехоплення елементів даних з їх наступним повторним передаванням з метою здійснити не авторизований доступ;
в) зміна повідомлень –зміна якоїсь частини початкового повідомлення, видалення повідомлення або зміна порядку їх отримання;
г) відмова від обслуговування – заважає нормальному використанню засобів зв’язку або керування ними чи їх стримування. Метою цієї атаки можуть бути, наприклад, підрив роботи мережі виведенням її з ладу, перевантаження повідомленнями для зниження її працездатності, знищення повідомлень, призначених конкретному адресату (приватному або офіційному).
впливу на систему дозволів (у тому числі захоплення привілеїв). Тут несанкціоновані дії виконуються щодо прав користувача на об’єкт атаки, а сам доступ потім здійснюється вже законним шляхом.
Опосередкований вплив(через інших користувачів) є дуже небезпечним Для запобігання йому необхідний постійний контроль як з боку адміністраторів, операторів, так і з боку користувачів за своїми даними. Опосередкований вплив проявляється у випадках:
“маскараду” –користувач присвоює собі повноваження іншого користувача, видаючи себе за нього;
“використання навмання” – один користувач заставляє іншого виконувати необхідні дії, причому останній може і не підозрювати про це. Для реалізації цих загроз може використовуватись вірус (це так звані шкідливі програми: “троянський кінь” і “черв’як”).
Пасивний впливздійснюється шляхом спостереження користувачем побічних ефектів та їх аналізу (підслуховування ліній зв’язку між двома вузлами мережі), що порушує конфіденційність. Стан КС при цьому не змінюється. До пасивних атак відносяться:
добування вмісту повідомленьпід час телефонної розмови або за допомогою електронної пошти, під час яких може бути передано важливу або конфіденційну інформацію;
аналіз трафіка (traffic analysis). Припустимо, вміст інформації, що передається, є можливість приховати повідомлення (припустимо, за допомогою шифрування), і тоді не можна добути з нього інформацію. Але опонент може отримати відомості про характер повідомлення: визначити місце розташування і параметри вузлів, що обмінюються інформацією, зібрати відомості про частоту передавання повідомлень, їх розмір, а потім зробити висновки щодо переданої інформації.
Пасивні атаки складно виявити, оскільки вони не приводять ні до яких змін даних. Але передбачити ці атаки можливо. Таким чином, слід зосередити увагу не на виявленні пасивних атак, а на їх попередженні.