- •1. Доступ к данным. Этапы идентификации и аутентификации, реализуемые ос Windows. Разграничение доступа к устройствам.
- •2. Идентификация и аутентификация субъекта "процесс" при запросах на доступ. Замкнутая программная среда. Вопросы корректности идентификации пользователя.
- •4. Электронные увип. Приборы на базе iButton. Смарт-карты.
- •5. Биометрическая идентификация пользователей. Идентификация по манере работы по клавиатуре. Идентификация по голосу. Распознавание пользователей по лицу.
- •6. Идентификация по отпечатку пальцев
- •7. Технологии аутентификации. Аутентификации по многоразовым паролям.
- •8. Технологии аутентификации. Аутентификация на основе одноразовых паролей.
- •9. Технологии аутентификации. Аутентификация по предъявлению цифрового сертификата. Использование смарт-карт и usb-ключей.
- •10. Принципы организации контроллера зи.
- •11. Принципы организации контролера зи.
- •12. Характеристики сзи.
- •13. Аппаратные системы разграничения доступа. Использование архитектур, отличных от фоннеймановской.
- •14. Аппаратные системы разграничения доступа. Системы перлюстрации запросов на обращение к данным. Защита от считывания со сменных носителей.
- •15. Программно-аппаратные криптосистемы. Алгоритмы шифрования.
- •16. Общие сведения об аппаратных криптосистемах. Механизмы аппаратной шифрации. Криптографический контроль целостности.
- •18. Варианты реализации криптосистем. Сравнение аппаратных и прогаммных шифраторов.
- •19. Виды защиты от несанкционированного копирования программ. Программно-аппаратная защита от копирования программ.
- •20. Защита программ от изучения. Цели, методы, средства изучения программ.
- •21. Защита программ от дизассемблирования.
- •22. Борьба с трассировкой программы пошаговыми отладчиками.
- •23. Ошибки в созданных и предлагаемых защитах от копирования.
- •24. Виды деструктивных программ. Компьютерные вирусы и их классификация.
- •25. Шпионские программы. Общая характеристика.
- •26. Программные кейлогеры.
- •27. Варианты реализации программных кейлогеров
- •28. Аппаратные кейлогеры.
- •29. Методы противодействия программам-шпионам и аппаратным кейлогерам.
28. Аппаратные кейлогеры.
Аппаратные кейлоггеры В класс средств шпионажа можно отнести аппаратные кейлоггеры, предназначенные для контроля информации, вводимой пользователем персонального компьютера с клавиатуры (keystroke recording device, hardware keylogger и пр.) представляют собой миниатюрные приспособления, которые могут быть прикреплены между клавиатурой и компьютером или встроены в саму клавиатуру. Они регистрируют все нажатия клавиш, сделанные на клавиатуре. Процесс регистрации абсолютно невидим для конечного пользователя. Аппаратные кейлоггеры не требуют установки какой-либо программы на компьютере интересующего объекта, чтобы успешно перехватывать все нажатия клавиш. Такое устройство может быть тайно прикреплен к ПК объекта кем угодно - коллегой, уборщицей, посетителем и т.д.. Когда аппаратный кейлоггер прикрепляется, абсолютно не имеет значения, в каком состоянии находится компьютер - включенном или выключенном. Затем атакующий может снять устройство в любой удобный момент, а его содержимое (записанные нажатия клавиш) скачать, когда ему это будет удобно. Объемы внутренней энергонезависимой памяти данных устройств позволяют записывать до 10 миллионов нажатий клавиш. Данные устройства могут быть выполнены в любом виде, так что даже специалист не в состоянии иногда определить их наличие при проведении информационного аудита. Существуют три основных разновидности реализации аппаратных кейлоггеров: кейлоггер, встраиваемый в саму клавиатуру; кейлоггер, встраиваемый в разрыв кабеля, соединяющего клавиатуру и системный блок; кейлоггер, встраиваемый в системный блок компьютера. Сложнее всего обнаружить (и обезвредить) внутренний аппаратный кейлоггер, у которого аппаратный модуль перехвата нажатий клавиш встроен в корпус клавиатуры. Самым же распространенным является второй тип аппаратных кейлоггеров, один из самых известных примеров которых — KeyGhost USB Keylogger. Другие известные аппаратные кейлоггеры: KeyKatcher, MicroGuard, Hardware KeyLogger, производителями которых являются компании Allen Concepts Inc., Amecisco, KeyGhost Ltd., MicroSpy Ltd. К аппаратным средствам перехвата компьютерной информации можно отнести системы видеонаблюдения за монитором или клавиатурой.
29. Методы противодействия программам-шпионам и аппаратным кейлогерам.
Методы противодействия программам-шпионам Для обнаружения и удаления мониторинговых программных продуктов, которые могут быть установлены без ведома пользователя ПК, в настоящее время используются программы различных типов, обеспечивающие более или менее эффективную защиту исключительно только против ИЗВЕСТНЫХ программ-шпионов с помощью сигнатурного анализа. Для эффективной работы программ данного типа необходимо получить образец программы-шпиона, выделить из нее сигнатуру и включить данную сигнатуру в свою базу. При обновлении сигнатурной базы пользователи персонального компьютера получают возможность бороться с данным вариантом программы-шпиона. По данному принципу работают многие известные фирмы производители антивирусного программного обеспечения. Но есть и другая группа программ-шпионов, которая наиболее опасна для любых автоматизированных систем - это НЕИЗВЕСТНЫЕ программы-шпионы. Они подразделяются на программы пяти типов: • Программы-шпионы, разрабатываемые под эгидой правительственных организаций (как пример - продукт Magic Lantern, проект под названием Cyber Knight, США). • Программы-шпионы, которые могут создаваться разработчиками различных ОС и включаться ими в состав ядра ОС. • Программы-шпионы, которые разработаны в ограниченном количестве (часто только в одной или нескольких копиях) для решения конкретной задачи, связанной с похищением критической информации с компьютера пользователя (например, программы, применяемые хакерами-профессионалами). Данные программы могут представлять собой немного видоизмененные открытые исходные коды программ-шпионов, взятые из сети Интернет и скомпилированные самим хакером, что позволяет изменить сигнатуру программы-шпиона. • Коммерческие, особенно, корпоративные программные продукты, которые очень редко вносятся в сигнатурные базы, а если и вносятся, то только по политическим мотивам (как пример - программные продукты таких известных фирм, как WinWhatWhere Corporation, SpectorSoft Corporation, ExploreAnywhere Software LLC, Omniquad Ltd. и др.). • Программы-шпионы, представляющие собой keylogging модули включаемые в состав программ-вирусов. До внесения сигнатурных данных в вирусную базу данные модули являются неизвестными. (Пример - всемирно известные вирусы, натворившие много бед в последние годы, имеющие в своем составе модуль перехвата нажатий клавиатуры и отправки полученной информации в сеть Интернет). Информация о программах-шпионах первого и третьего типа, как правило (если не происходит утечек информации), нигде не опубликовывается, и, соответственно, их код не может быть внесен в сигнатурные базы, поэтому они не могут обнаруживаться никакими программными продуктами, использующими сигнатурный анализ. Информация о программах-шпионах второго типа нигде не опубликовывается, данный код работает на уровне ядра операционной системы и, соответственно, они не могут обнаруживаться никакими приложениями. Информация о программах-шпионах четвертого типа вносится в сигнатурные базы очень редко, так как это противоречит законодательству многих стран мира. Но даже если и внести такие программы в сигнатурные базы, то деактивировать, а, тем более, удалить их зачастую невозможно без разрушения операционной системы. Они не имеют своих процессов, а прячутся в виде потоков в системные процессы, они могут работать только с памятью компьютера и не работать с жестким диском, они имеют режимы контроля целостности и самовосстановления после сбоев. Информация о программах-шпионах пятого типа вносится в сигнатурные базы через несколько часов или дней после начала соответствующей вирусной атаки. А за это время конфиденциальная информация пользователя персонального компьтера уже может быть украдена и отослана в сеть Интеренет на заранее подготовленный вирусописателем адрес. Решение данной проблемы возможно только в использовании комплекса продуктов: Программный продукт 1 использует эвристические механизмы защиты против программ-шпионов, созданные специалистами, имеющими больший опыт борьбы с программами-шпионами. Он оказывает защиту непрерывно и не использует сигнатурные базы. Программный продукт 2 - Антивирусный программный продукт, использующий постоянно обновляемые сигнатурные базы. Продукт 3 - персональный Firewall, контролирующий выход в сеть Интернет с ПК на основании политик, которые устанавливает сам пользователь. Персональный Firewall должен быть правильно сконфигурирован, т. к. некоторые коммерческие мониторинговые программы используют процессы программных продуктов, которым заведомо разрешен выход в Интернет (браузеры, почтовые клиенты и т.д.). Как правило, пользователь обязан разрешить им выход в Интернет. Это приводит к тому, что та информация, которая была уже украдена при полном бездействии файрвола будет передана в Интернет. Антивирусных программных продуктов, использующих постоянно обновляемые сигнатурные базы, в мире создано великое множество (AVP, Dr.Web, Panda Antivirus, Norton Antivirus). Персональных межсетевых экранов создано еще больше (Norton Internet Security, BlackICE Defender, GuardianPro Firewall, Tiny Personal Firewall). Программные продукты первого типа должны иметь возможность отличить работу ПШ от любого иного приложения, которое установлено в системе и обеспечивать защиту от перехвата нажатий клавиш клавиатуры, защиту от перехвата текста из окон, защиту от снятия изображения рабочего стола, защиту от снятия изображения активных окон. Для собственной защиты от внешнего разрушительного воздействия программ-шпионов должна имеется система контроля целостности и другие защитные функции. Методы противодействия аппаратным кейлоггерам Программные продукты не в состоянии определить наличие установленных аппаратных устройств, которые перехватывают нажатия клавиатуры ПК. Существует только два метода противодействия аппаратным кейлоггерам при работе на стандартном ПК: • физический поиск и устранение аппаратного кейлоггера; • использование виртуальных клавиатур для ввода особо важной информации (логины, пароли, коды доступа, PIN коды кредитных карт и т.д.). Программный продукт PrivacyKeyboard имеет в своем составе модуль защиты от аппаратных кейлоггеров, выполненный в виде виртуальной экранной клавиатуры, которая вызывается пользователем в случае необходимости. Раскладка виртуальной клавиатуры переключается автоматически при переключении раскладки основной клавиатуры и поддерживает все языки и раскладки, установленые в ОС Windows NT/2000/XP. Модуль блокирования программных кейлоггеров является активным по умолчанию, обеспечивая постоянную и прозрачную защиту от различных типов программных кейлоггеров. Его можно выключить/включить щелчком мыши на иконке в системном трее. PrivacyKeyboard подавляет кейлоггеры, включённые в состав коммерческих, бесплатных и условно бесплатных продуктов, а также "троянских коней" и вирусов, использующих разные принципы функционирования и основанных на модулях пользовательского уровня либо уровня ядра системы – dll, exe, sys и др., которые создают лог-файлы на ЖМД, в памяти, реестре, на сетевых дисках, либо пересылают лог-файлы на заранее указанные адреса по протоколам SMTP, FTP, HTTP и др. 7.3.8 Использование скрытых каналов Особый класс программ–шпионов могут составлять «недобросовестные» программы, которым пользователь добровольно доверяет свою персональную информацию, надеясь, что реализуемая в системе политика безопасности не позволит получить несанкционированный доступ к ней. Примером могут быть какие–либо серверные программы, которые ведут обработку клиентской информации через сеть. Предположим, что политика безопасности такова, что данная серверная программа не может создавать файлы, в которые она теоретически могла бы записать приватную информацию клиентов и передать её в дальнейшем третьим лицам. Или, например, может создавать файлы, но доступ к ним никто кроме неё получить не может. Возникает иллюзия, что «недобросовестный» сервер не может распространить обрабатываемую им информацию. На практике же каналом передачи данных могут быть не только логические области памяти или диска (сегменты данных или файлов), но и реальные физические объекты, наличие или отсутствие которых может кодировать «0» и «1» соответственно. Существование или отсутствие данного объекта может периодически фиксироваться третьей стороной, тем самым она воспринимает какую–то кодовую последовательность, которая и может нести секретную информацию клиента. В качестве физических объектов могут быть использованы: • файлы – некоторые ОС, например UNIX, позволяют программе, которая обращается к файлу, получить информацию о том, существует ли он реально, даже если доступ к нему запрещён; • загруженность процессора – сервер специально загружает процессор пустыми операциями, соответственно у остальных процессов увеличивается время отклика; • интенсивность сетевого трафика; • интенсивность обращений к диску. Недостатками скрытого канала являются низкая скорость передачи данных, сильная зашумлённость и возможные ошибки синхронизации. Первый не так важен, а 2–й и 3–й устраняют, используя помехоустойчивое кодирование. Очевидно, что такой сложный метод шпионажа, как скрытые каналы, может быть использован лишь для получения особо ценных сведений. Методов борьбы со скрытыми каналами как таковых не существуют. Все они носят скорее организационный характер и не направлены непосредственно на борьбу с данным видом угроз. Это: • использование сертифицированных программных продуктов, • отслеживания состояния работы вычислительного комплекса или отдельного ПК (периодическая спонтанная активность процесса, создание или удаление файлов может вызывать подозрения) • минимизация передаваемых по сети секретных данных (их обработка по возможности должна вестись локально).
30. Системы ЗИ на основе нейросетей. Идентификация по манере поведения пользователя. Нейросистема NNID основана на идентификации авторизованного пользователя, на основе распределения команд, которые он выполняет. Это является оправданным, потому что различные пользователи имеют тенденцию использовать различные режимы работы в зависимости от своих потребностей в системе. Некоторые используют систему только для отправки и получения писем, и не пользуются такими услугами, как программирование и компиляция. Некоторые используют все виды деятельности, включая редактирование, программирование, отправку-прием писем, работу в Internet и т.д. Однако, даже два пользователя, которые делают одно и то же, возможно, не будут использовать одну и ту же прикладную систему. Кроме того, частота использования одной и той же команды может изменяться от пользователя к пользователю. Набор используемых команд и их частота, таким образом, образуют "отпечаток" пользователя, отражая выполняемую задачу и выбор прикладных программ, и на основе этой информации становится возможным идентифицировать пользователя. Этот подход работает, даже если некоторые пользователи специально изменили набор заданных параметров для того, чтобы как можно меньше заниматься ручным набором длинных команд, которыми они часто, пользуются, потому, что, журнал, регистрации, событий записывает действительные команды, выполняемые системой. Частная жизнь пользователей не нарушается, поскольку нет необходимости записывать аргументы для команды. То есть, надо знать, что пользователь отправляет e-mail пять раз в день, но нет необходимости знать кому-то или иное письмо было адресовано. Построение NNID для конкретной вычислительной системы состоит из следующих трех фаз: • Сбор обучающих данных. Получение регистрационных записей для каждого пользователя за период из нескольких дней. Для каждого дня и пользователя составляется вектор, который представляет насколько часто пользователь выполняет каждую из команд. • Обучение. Обучение нейросети идентифицировать пользователя на основе этих векторов распределения команд. • Характеристика: сеть идентифицирует пользователя для каждого нового вектора распределения команд. Если предположение сети отличается от действительного пользователя или сеть не имеет ясного представления, значит, имеет место аномалия. Достоинства подобных механизмов: • Постоянная идентификация (во время всего сеанса работы). • Нет необходимости ввода пароля. • Не требуется заботиться о хранении индивидуальных УВИП. • Независимость скорости обнаружения аномалий в поведении от числа пользователей (поскольку сеть может достаточно хорошо изучать шаблоны пользователей). • Достаточно и низкая вероятность ошибок первого и второго рода. Недостатки: • Сложность применения системы к большому количеству пользователей (сеть должна производить более четкие различия, и ей будет трудно сохранять такой же низкий уровень ложных тревог, т.к. любая деятельность, которая отличается от обычного режима работы пользователя, будет обнаруживаться как аномальная) • Обучение для представления большого количества пользователей может занять довольно много времени и потребует более крупной сети. • Необходима оптимизация набора команд, включенных в вектор пользователя. • Изменение режима работы пользователя с течением времени (если он изменяется значительно, например, если пользователю была поручена новая работы, система должна часто перекалибровываться или количество ложных уведомлений об опасности будет возрастать). Искусственные нейросети были предложены в качестве альтернативы компонентам статистического анализа систем обнаружения аномалий в действиях пользователей. Статистический анализ включает статистическое сравнение текущих событий с предварительно определенным набором эталонных критериев. Этот метод наиболее часто используется при обнаружении отклонений от типичного режима и определяет события, аналогичные событиям, которые указывают на НСД. Нейросети были специально предложены для того, чтобы идентифицировать типичные характеристики пользователей системы и идентифицировать статистически значимые отклонения от установленного режима работы пользователя. Нейросетевые системы обнаружения атак на ресурсы ПК Исследования и разработка систем обнаружения атак ведется с начала 80-х годов. Данные системы становятся все более сложными и разнообразными. Большинство из них детектируют атаки на основе правил и являются эффективными, если известны точные характеристики атаки. Однако виды НСД постоянно изменяются, поскольку хакеры используют индивидуальные подходы, а также в связи с регулярными изменениями в ПО и аппаратных средствах выбранных систем. Из-за неограниченного разнообразия атак и хакеров, даже специальные постоянные обновления базы данных правил экспертной системы никогда не дадут гарантии точной идентификации всего диапазона атак. Нейросети предлагают большое количество преимуществ в обнаружении этих атак, альтернативой к системам обнаружения НСД на основе правил. Искусственные нейросети также предлагаются, например, для обнаружения компьютерных вирусов. Архитектура нейросети представляла сеть Кохонена, которая использует один слой нейронов для представления сведения от отдельного домена в форме геометрически организованной карты. Предлагаемая сеть была предназначена для изучения характеристик деятельности обычной системы и идентификации статистических отклонений от нормы, что может указывать на вирус. Преимущества систем обнаружения НСД на основе нейросетей • Гибкость. Нейросеть способна анализировать данные, даже если эти данные являются неполными или искаженными, обладает возможностью проводить анализ данных в нелинейном режиме. Способность обрабатывать данные от большого количества источников в нелинейном режиме является важной, поскольку некоторые атаки могут быть проведены скоординировано многочисленными хакерами. Скорость обработки в нейросети достаточна для реагирования в реальном времени на атаки до того, как появятся непоправимые повреждения. • Нейросеть предоставляет возможность прогнозирования дальнейших злоупотреблений. Система обнаружения злоупотреблений на основе нейронной сети идентифицирует вероятность того, что отдельное событие, либо серия событий указывают, что против системы осуществляется атака. По мере того, как нейросеть "набирается опыта", она будет улучшать свою способность определять, в каком из этих событий наиболее вероятно имется признаки атаки. Затем эта информация может быть использована для генерации серии событий, которые должны реализовываться, если бы действительно имела место попытка атаки. Отслеживая последовательное местонахождение этих событий, система способна улучшить анализ событий и провести защитные мероприятия прежде, чем атака станет успешной. • Способность нейросетей "изучать" характеристики атак и идентифицировать элементы, которые не похожи на те, что наблюдались прежде. Нейросеть может быть обучена распознавать известные подозрительные события с высокой степенью точности. Сеть имеет способность использовать эти знания для идентификации атак, которые неточно соответствуют характеристикам предыдущих вторжений. Вероятность атаки против системы может быть оценена и угроза обозначена, независимо от того, превышает или нет вероятность установленную пороговую величину. Недостатки систем обнаружения злоупотреблений на основе нейросетей • Требования к обучению нейросети. Поскольку способность искусственной нейросети идентифицировать указания на атаку полностью зависит от точности обучения системы, обучающие данные и используемые методы обучения являются наиболее важными. Порядок обучения требует большого количества данных с тем, чтобы убедиться, что результаты являются статистически значимыми. Обучение нейросети в целях обнаружения злоупотреблений, требует проведения тысячи атак, а такое количество информации трудно получить. • Природа "черного ящика" нейросети. В отличие от экспертных систем, которые имеют жестко закодированные правила анализа событий, нейросети адаптированы на анализ данных по результатам обучения. Веса и активационные функции узлов обычно замораживаются после того, как сеть достигла допустимого уровня успеха в идентификации событий. Хотя анализ трафика достигает достаточно хорошего значения, базовый уровень его зачастую не известен. Проблема "черного ящика весьма характерна для нейросетевых приложений. • Наиболее эффективная архитектура нейросети. Упреждающая нейросеть, которая использовала алгоритм обучения с обратным распространением, была выбрана из-за своей простоты и надежности в широком ряде приложений. Однако, альтернативы, такие как самоорганизующиеся карты, также обладают достоинствами при обнаружении злоупотреблений, которые, возможно, будут содействовать их использованию. Эффективный подход на основе нейросети должен быть высоко адаптивным. Большинство архитектур нейросетей должны повторно обучаться, если система является способной улучшать собственный анализ в ответ на изменения в картинах входных данных (например, "новые" события распознаются с последовательной вероятностью как атака вплоть до тех пор, пока сеть не переучится заново для лучшего распознавания этих событий). Теория адаптивного резонанса и самоорганизующихся карт предлагает более высокий уровень адаптируемости для нейросетей, и эти подходы исследуются для возможного использования в системах обнаружения атак.