- •Основи інформаційної безпеки
- •Основні поняття………………......…………………... 61
- •Поняття інформаційної безпеки. Основні складові. Важливість проблеми
- •1.1. Поняття інформаційної безпеки
- •1.2. Основні складові інформаційної безпеки
- •1.3. Важливість і складність проблеми інформаційної безпеки
- •Розділ 2. Поширення об'єктно-орієнтованого підходуна інформаційну безпеку
- •2.1. Про необхідність об'єктно-орієнтованого підходудо інформаційної безпеки
- •2.2. Основні поняття об'єктно-орієнтованого підходу
- •2.3. Застосування об'єктно-орієнтованого підходудо розгляду систем, що захищають
- •Іс організації
- •Internet
- •2.4. Недоліки традиційного підходу до інформаційної безпеки з об'єктної точки зору
- •3.1. Основні визначення і критерії класифікації загроз
- •3.2. Найпоширеніші загрози доступності
- •3.3. Деякі приклади загроз доступності
- •3.4. Шкідливе програмне забезпечення
- •3.5. Основні загрози цілісності
- •3.6. Основні загрози конфіденційності
- •Розділ 4. Адміністративний рівень інформаційної безпеки
- •4.1. Основні поняття
- •4.2. Політика безпеки
- •4.3. Програма безпеки
- •4.4. Синхронізація програми безпеки з життєвим циклом систем
- •Розділ 5. Керування ризиками
- •5.1. Основні поняття
- •5.2. Підготовчі етапи керування ризиками
- •5.3. Основні етапи керування ризиками
- •Розділ 6. Процедурний рівень інформаційної безпеки
- •6.1. Основні класи заходів процедурного рівня
- •6.2. Керування персоналом
- •6.3. Фізичний захист
- •6.4. Підтримка працездатності
- •6.5. Реагування на порушення режиму безпеки
- •6.6. Планування відновлювальних робіт
- •Розділ 7. Основні програмно-технічні заходи
- •7.1. Основні поняття програмно - технічного рівня інформаційної безпеки
- •7.2. Особливості сучасних інформаційних систем, істотні з погляду безпеки
- •7.3. Архітектурна безпека
- •Розділ 8. Ідентифікація й аутентифікація, керування доступом
- •8.1. Ідентифікація й аутентифікація
- •8.2. Парольна аутентифікація
- •8.3. Одноразові паролі
- •8.4. Ідентифікація/аутентифікація за допомогою біометричних даних
- •8.5. Керування доступом. Основні поняття
- •8.6. Рольове керування доступом
- •8.7. Керування доступом в Java-середовищі
- •8.8. Можливий підхід до керування доступом у розподіленому об'єктному середовищі
- •9.1. Протоколювання й аудит. Основні поняття
- •9.2. Активний аудит. Основні поняття
- •9.3. Функціональні компоненти й архітектура
- •9.5. Контроль цілісності
- •9.6. Цифрові сертифікати
- •Розділ 10. Екранування, аналіз захищеності
- •10.1. Екранування. Основні поняття
- •10.2. Архітектурні аспекти
- •10.3. Класифікація міжмережевих екранів
- •11.2. Основи заходів забезпечення високої доступності
- •11.3. Відмовостійкість і зона ризику
- •11.4. Забезпечення відмовостійкості
- •11.5. Програмне забезпечення проміжного шару
- •11.6. Забезпечення обслуговування
- •12.1. Тунелювання
- •12.2. Керування. Основні поняття
- •12.3.Можливості типових систем
- •Додаток з
- •Додаток 4
- •1. Політика безпеки:
- •Додаток 7
- •Додаток 8
- •Додаток 9
- •Додаток 10
- •Додаток 12
3.4. Шкідливе програмне забезпечення
Одним з найнебезпечніших способів проведення атак є впровадження всистеми, які атакують, шкідливого програмного забезпечення. Ми виділимонаступні межі шкідливого ПЗ:
шкідлива фікція;
спосіб поширення;
зовнішнє подання.
Частину, що здійснює руйнівну функцію, будемо називати "бомбою" (хоча,можливо, більш вдалими термінами були б "заряд" або "боєголовка"). Загаломкажучи, спектр шкідливих функцій необмежений, оскільки "бомба", як і будь-якаінша програма, може володіти якою завгодно складною логікою, але звичайно"бомби" призначаються для:
впровадження іншого шкідливого ПЗ;
отримання контролю над системою, яку атакують;
• агресивного споживання ресурсів;
• зміни або руйнування програм й/або даних.По механізму поширення розрізняють:
віруси - код, що володіє здатністю до поширення (можливо, зі змінами)шляхом впровадження в інші програми;
"хробаки" - код, здатний самостійно, тобто без впровадження в іншіпрограми, викликати поширення своїх копій по ІС й їхнє виконання (дляактивізації вірусу потрібен запуск зараженої програми).
Віруси звичайно поширюються локально, у межах вузла мережі; дляпередачі по мережі їм потрібна зовнішня допомога, така як пересилання
зараженого файлу. "Хробаки", навпаки, орієнтовані з першу чергу на подорожіпо мережі.
Іноді саме поширення шкідливого ПЗ викликає агресивне споживанняресурсів і, отже, є шкідливою функцією. Наприклад, "хробаки" "з'їдають"пропускні шляхи мережі й ресурси поштових систем. Із цієї причини для атак надоступність вони не мають потреби у вбудовуванні спеціальних "бомб".
Шкідливий код, що виглядає як функціонально корисна програма,називається троянським. Наприклад, звичайна програма, будучи ураженоювірусом, стає троянською; часом троянські програми виготовляють вручну йпідсувають довірливим користувачам у якому-небудь привабливому пакунку.
Відзначимо, що дані нами визначення й наведена класифікація шкідливогоПЗ відрізняються від загальноприйнятих.
Вікно небезпеки для шкідливого ПЗ з'являється з випуском нового різновиду"бомб", вірусів й/або "хробаків" і перестає існувати з відновленням бази данихантивірусних програм і накладенням інших необхідних латок.
За традицією із усього шкідливого ПЗ найбільша увага громадськостізосереджується на частку вірусів. Однак до березня 1999 року з повним правомможна було стверджувати, що "незважаючи на експонентний ріст числа відомихвірусів, аналогічного росту кількості інцидентів, викликаних ними, незареєстровано. Дотримання нескладних правил "комп'ютерної гігієни" практичнозводить ризик зараження до нуля. Там, де працюють, а не грають, числозаражених комп'ютерів становить лише частки відсотка".
У березні 1999 року, з появою вірусу "Melissa", ситуація кардинальним чиномзмінилася. "Melissa" - це макровірус для файлів MS-Word, що поширюється задопомогою електронної пошти в приєднаних файлах. Коли такий (заражений)приєднаний файл відкривають, він розсилає свої копії по першим 50 адресам задресної книги Microsoft Outlook. У результаті поштові сервери піддаються атаціна доступність.
У цьому випадку нам хотілося б відзначити два моменти.
1. Як уже говорилося, пасивні об'єкти відходять у минуле; так званий
активний уміст стає нормою. Файли, які по всіх ознаках повинні були бвідноситься до даних (наприклад, документи у форматах MS-Word абоPostscript, тексти поштових повідомлень), здатні містити інтерпритованікомпоненти, які можуть запускатися неявним чином при відкритті файлу.Як і всяке в цілому прогресивне явище, таке "підвищення активностіданих" має свій зворотний бік (у розглянутому випадку - відставання врозробці механізмів безпеки й помилки в їхній реалізації). Пересічнікористувачі ще не швидко навчаться застосовувати інтерпритованікомпоненти "у мирних цілях" (або хоча б довідаються про їхнє існування),а перед зловмисниками відкрилося власне кажучи необмежене поледіяльності. Як не банально це звучить, але якщо для стрілянини погоробцях викочується гармата, то постраждає в основномустріляючий.
2. Інтеграція різних сервісів, наявність серед них мережевих, загальна зв'язність багаторазово збільшують потенціал для атак на доступність, полегшуютьпоширення шкідливого ПЗ (вірус "Melissa" - класичний тому приклад).Образно кажучи, багато інформаційних систем, якщо не вжити захиснихзаходів, виявляються "в одному човні" (точніше - у кораблі без перебирань),так що досить однієї пробоїни, щоб "човен" відразу пішов на дно.Як це часто буває, слідом за "Melissa" з'явилися на світ ціла серія вірусів,"хробаків" і їхніх комбінацій: "Explorer.zip" (червень 1999), "Bubble Boy"(листопад 1999), "ILOVEYOU" (травень 2000) і т.д. Не те що б від них бувособливо великий збиток, але суспільний резонанс вони викликали чималий.Активний уміст, крім інтерпритованих компонентів документів й інших файлівданих, має ще одне популярне обличчя - так звані мобільні агенти. Це програми,які завантажуються на інші комп'ютери й там виконуються. Найбільш відоміприклади мобільних агентів - Java-аплети, що завантажують накористувальницький комп'ютер й інтерпритовані Internet-навігаторами.Виявилося, що розробити для них модель безпеки, що залишає досить
можливостей для корисних дій, не так вже й просто; ще складніше реалізуватитаку модель без помилок. У серпні 1999 року стали відомі недоліки в реалізаціїтехнологій Active й Java у рамках Microsoft Internet Explorer, які давалиможливість розміщати на Web-серверах шкідливі аплети, що дозволяютьодержувати повний контроль над системою-візитером.
Для впровадження "бомб" часто використовуються помилки типу"переповнення буфера", коли програма, працюючи з областю пам'яті, виходить замежі припустимого й записує в потрібні зловмисникові місця певні дані. Так діявще в 1988 році знаменитий "хробак Морріса"; у червні 1999 року хакери знайшлиспосіб використати аналогічний метод стосовно Microsoft Internet InformationServer (IIS), щоб одержати контроль над Web-сервером. Вікно небезпеки охопиловідразу біля півтора мільйона серверних систем...
Не забуті сучасними зловмисниками й випробувані троянські програми.Наприклад, "троянці" Back Orifice й Netbus дозволяють одержати контроль надкористувацькими системами з різними варіантами MS-Windows.
Таким чином, дія шкідливого ПЗ може бути спрямована не тільки протидоступності, але й проти інших основних аспектів інформаційної безпеки.