Файловый архив студентов. Файловый архив студентов.
1300 вузов, 5067 предметов.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Тернопольский национальный технический университет им. И. Пулюя
Предмет:
[НЕСОРТИРОВАННОЕ]
Файл:

125 Кібербезпека / 4 Курс / 4.2_Управління інформаційною безпекою / Лiтература / V_P_Babak_A_A_Kliuchnykov-Teoreticheskye_osnovy_zashchity_informat

...pdf
Скачиваний:
132
Добавлен:
23.10.2019
Размер:
21.85 Mб
Скачать

ТЕОРЕТИЧЕСКИЕ ОСНОВЫ ЗАЩИТЫ ИНФОРМАЦИИ

____________________________________________________________________________________________

Социотехнический (социоинжиниринговый) НСД связан с получением данных (например, имен пользователей, паролей, телефонных номеров отдаленного доступа и т.п.) от атакованных объектов в процессе информационного обмена (рис. 9.21).

 

 

Компьютер

 

 

злоумышленника

 

 

Неавторизованная

 

 

сторона в процессе

 

НСД

информационного

 

обмена определяет

 

 

 

 

идентификатор

Компьютер 1

 

пользователя

Идентификатор

 

 

 

 

Компьютер 2

Рис. 9.21. Пример социотехнического НСД

Криптоаналитический НСД базируется на использовании широкого спектра криптоаналитических методов и средств для взлома ресурсов, защищенных разными криптографическими средствами.

К неспецифичным категориям НСД принадлежат те, которые не имеют указанных особенностей реализации. При этом следует учитывать, что технологии НСД постоянно развиваются, т.е. соответствующие возможности будут расширяться.

Расширяющий НСД (рис. 9.22) сориентирован на получение больших полномочий на права доступа к ресурсу, например, на вход в локальную вычислительную сеть с правами администратора, получение доступа на запись к полям баз данных, изменение атрибутов файлов и т.п.

 

Администратор

Администратор

 

компьютера 1

 

компьютера 1

 

Неавторизованная

 

 

 

 

сторона расширяет

НСД

НСД

свои права доступа

 

 

на компьютере 1

Неавторизованная

Неавторизованная сторона

сторона

(права администратора

 

 

компьютера 1)

Рис. 9.22. Пример реализации расширяющего НСД

660

Глава 9. Методы и средства защиты от несанкционированного доступа

Искажаемый НСД связан с осуществлением любых прямых изменений в целевом ресурсе (например, подделка полей баз данных, подмена информационных носителей, изменение времени и дат и т.п.).

Перегрузочный НСД направлен на загрузку ресурса до такого уровня, что он становится непригодным для использования. Результатом таких несанкционированных действий может быть невозможность использования, перегрузка, препятствование использованию (отказ в обслуживании) и т.п. Примером такого НСД (рис. 9.23) может быть перегрузка маршрутизатора.

Компьютер 1

Сообщение для компьютера 2

Сообщение для

компьютера 1

Компьютер 2

 

Перегрузка

Компьютер

неавторизованной

маршрутизатора

стороны

 

Рис. 9.23. Реализация перегрузочного НСД

Информационный НСД связан со сбором необходимых данных (как правило, для реализации дальнейших действий) и не предусматривает осуществления прямого НСД к ресурсу. Например, получение информации в результате анализа публикаций, использование системных утилит для выявления активных рабочих станции, сервисов и т.п. (рис. 9.24).

Неавторизованная сторона проводит сбор данных об открытых портах на компьютерах

НСД

Неавторизованная

сторона

Рис. 9.24. Пример информационного НСД

Распространительный НСД направлен на получение доступа к ресурсу и его раскрытие без соответствующих полномочий, например несанкционированное получение файла данных с паролями и их публикация на хакерских сайтах или рассылка среди абонентов вычислительной сети.

661

ТЕОРЕТИЧЕСКИЕ ОСНОВЫ ЗАЩИТЫ ИНФОРМАЦИИ

____________________________________________________________________________________________

Разворовывающий НСД состоит в использовании ресурса без нанесения прямого убытка, например без снижения качества обслуживания пользователей осуществляется временное изъятие части памяти (для расширения возможностей другой системы), загрузка телекоммуникационных каналов, использование рабочей станции или сетевого сервиса и т.п.

Задерживающий НСД предназначен для временной задержки ресурса с целью снижения его актуальности. Например, задержка шифрограммы на промежуточном узле при ее передаче телекоммуникационными каналами общего пользования (рис. 9.25).

Сообщение актуальное на 11.09.2011 г.

Перехват сообщения неавторизованной стороной и задержка его на 2 дня

Сообщение актуальное на 11.09.2011 г. Пересылается

13.09.2011 г.

Компьютер неавторизованной стороны

Рис. 9.25. Пример задерживающего НСД

Уничтожающий НСД сориентирован на безвозвратную ликвидацию ресурса, например, изъятие файла, измельчение информационного носителя, низкоуровневое форматирование жесткого диска с целью уничтожения данных и т.п. (рис. 9.26).

Неавторизованная сторона реализовывает НСД который выводит из роботы компьютер

НСД

Компьютер неавторизованной стороны

Рис. 9.26. Пример уничтожающего НСД

Простой НСД (рис. 9.27) означает несложные в реализации действия, направленные на выполнение отдельных процедур, например сканирование пор-

662

Глава 9. Методы и средства защиты от несанкционированного доступа

тов, анализ трафика, поиск активных рабочих станций, отдаленное управление и т.п.

Неавторизованная сторона проводит сканирование портов

Отправляется пакет SYN

Ответ - пакет ACK Компьютер неавторизованной

стороны

Рис. 9.27. Пример простого НСД

Сложный НСД является комбинацией простого НСД, предназначенного для реализации ряда необходимых функций, например выявление активной рабочей станции, и действий относительно отдаленного управления ею.

Системный НСД строится на основе сформированного системного подхода с многошаговой комбинацией действий в сочетании с простым НСД для эффективной реализации специально направленного комплекса функций. Например, это может быть поиск активных рабочих станций, мониторинг трафика, сканирование, взлом ОС и рабочих приложений, несанкционированное копирование данных и заметание следов.

Международная организация стандартизации (ISO) предложила семи-

уровневую эталонную модель с целью разделения функций разных протоколов в процессе передачи информации от одного абонента другому. Таких классов функций выделено семь. Они получили название уровней, каждый из которых выполняет определенные задачи в процессе передачи блока информации, причем соответствующий уровень со стороны приемника тем, которые выполнены на этом уровне на передающей стороне (источнике).

В этой связи НСД по семиуровневой эталонной модели можно определить как:

физический НСД, кодирующийся параметром K0(2) = 20;

канальный НСД, кодирующийся параметром K1(2) = 21; сетевой НСД, кодирующийся параметром K2(2) = 22; транспортный НСД, кодирующийся параметром K3(2) = 23; сеансовый НСД, кодирующийся параметром K4(2) = 24; представление данных, кодирующееся параметром K5(2) = 25; прикладной НСД, кодирующийся параметром K6(2) = 26.

663

ТЕОРЕТИЧЕСКИЕ ОСНОВЫ ЗАЩИТЫ ИНФОРМАЦИИ

____________________________________________________________________________________________

Симеон-Дени Пуассон

(Siméon-Denis Poisson, 1781—1840),

французский ученый, математик, механик и физик. Работы касаются теоретической и небесной механики, математики и математической физики. Впервые записал уравнение аналитической механики в составляющих импульса. В области небесной механики исследовал устойчивость движения планет Солнечной системы, занимался решением задач о возмущении планетных орбит и о движении Земли вокруг ее центра тяжести. В теории потенциала ввел уравнение, названное в его честь, и применил его к решению задач по гравитации и электростатике.

На физическом уровне обеспечиваются необходимые механические, электрические, функциональные и процедурные характеристики для установления, поддержание и размыкание физического соединения. На канальном уровне обеспечиваются функциональное и процедурное средства для установления, поддержание и высвобождение линий передачи данных между абонентами сети (например, терминалами и узлами сети). На сетевом уровне обеспечиваются функциональное и процедурное средства для обмена служебной информацией между двумя объектами транспортного уровня сети (т.е. устройствами, которые поддерживают протоколы на транспортном уровне с помощью сетевого соединения). Гарантируется независимость поведения объектов транспортного уровня от схемы маршрутизации и коммутации. На транспортном уровне обеспечивается оптимизация коммутационного обслуживания (поддерживаемого реализацией более низких уровней связи) с помощью прозрачной передачи данных между абонентами в рамках сеанса.

На уровне представления данных обеспечи-

вается совокупность служебных операций, которые можно выбрать на прикладном уровне для интерпретации переданных и получаемых данных. Эти служебные операции содержат управление информационным обменом, отображение данных и управление структурированными данными. Служебные операции этого уровня представляют собой основу всей семиуровневой модели и дают возможность связывать в единое целое терминалы и средства вычислительной техники любых типов.

На прикладном уровне обеспечивается непосредственная поддержка прикладных процессов и программ конечного пользователя и управление взаимодействием этих программ с разными объектами сети передачи данных.

664

Глава 9. Методы и средства защиты от несанкционированного доступа

Определение класса несанкционированного действия по этим признаком такое:

ISO-K, где K = K(2) 0 + K(2) 1 + K(2) 2 + K(2) 3 + K(2) 4 + K(2) 5 + K(2) 6 -

двоичный код.

Для удобства будем подавать K в 16-ричном коде (K(16)).

Например, если по этой классификации НСД записано как ISO-3A (где

3А(16) = 0111010 = 25 + 24 +23 +21 = K5 + K4 + K3 + K1), то она интерпретирует реа-

лизацию на канальном, транспортном и сеансовом уровнях и на уровне представления данных, а например, запись ISO-00 означает, что класс НСД не поддерживается семиуровневой эталонной моделью.

Нетрудно заметить, что НСД, которые классифицируются по принципу признака, могут в каждом конкретном случае при определении общего класса содержать не только один, а и больше компонентов каждого из признаков. С появлением новых методов и средств реализации НСД признаки предложенной классификации могут быть расширены.

При практическом использовании классификации такой, например, НСД, как сканирование портов, можно определить как автоматизированный, постполитизированый, отдаленный, пассивный, безусловный, программный, с обратной связью, К-действенный, логический, мономономный, неспецифический, информационный, простой, ISO-36.

Спомощью этой классификации можно осуществлять соответствующую формализацию возможностей систем противодействия для повышения эффективности их выбора и формирования требований при их разработке.

СНСД связаны такие понятия, как доступ и перехват. Под доступом (access) понимают взаимодействие между ресурсами информационных систем, которое обеспечивает передачу информации между такими ресурсами, а в процессе доступа к информации (access to information) реализуются, в частности, ее копирование, модификация, уничтожение, инициализация и т.п. Различают несанкционированный и санкционированный доступы. Если доступ к ресурсам системы осуществляется, например, с нарушением или вне правил размежевания доступа, то такой доступ - несанкционированный. Одним из базовых действий, которое порождает НСД, являются перехваты (intercept), под которыми понимают несанкционированное получение информации незаконным подключением к каналам связи (например, прямой перехват) визуально (например, подсматривание) или с помощью радиотехнических средств (например, косвенный перехват).

По действию на информацию различают активный и пассивный пере-

хваты, а по типу подключения - прямое и косвенное.

Активный перехват (active eavesdropping) - это такой перехват, во время которого у неприятеля есть возможность не только перехватывать сообщение, а и влиять на него, например, задерживать или изымать сигналы, которые передаются по каналам связи.

665

ТЕОРЕТИЧЕСКИЕ ОСНОВЫ ЗАЩИТЫ ИНФОРМАЦИИ

____________________________________________________________________________________________

Пассивный перехват (passive tapping) - получение информации с возможностью только наблюдать за обменом сообщениями (например, с целью выявления разной системной информации в вычислительной сети (ВС)), не влияя на него.

Прямой перехват (direct eavesdropping) - перехват информации при непосредственном подключении (например, дополнительного терминала) к линии связи. Прямой перехват можно обнаруживать проверкой линии связи.

Косвенный перехват (indirect eavesdropping) - перехват информации

(например, индуктивных волн) без использования непосредственного подключения к линии связи (threat). Такой перехват тяжело определить, поскольку нет непосредственного присоединения терминального оборудования к линии связи.

Разрушительные программные влияния. Разрушительное программ-

ное влияние - это программный код или его части, с помощью которых осуществляется угроза хотя бы одной характеристике безопасности определенных ресурсов информационных систем. Разрушительные влияния можно поделить на такие группы: компьютерные вирусы (вирусы), логические бомбы, тайные хода и лазейки; программы раскрытия паролей, репликаторы, сетевые программные анализаторы, суперзапинговые утилиты, троянские кони.

Вирус. Программа, способная к многоразовому самовольному созданию своего тела, которая по обыкновению модифицирует (заражает) другие программы, записанные в файлах или системных областях, для дальнейшего воспроизведения нового тела и получения управления с целью модификации записей, уничтожения файлов, загрузка ресурсов и выполнения других разрушительных влияний в информационной системе.

Логические бомбы. Программа, которая инициируется с возникновением разных событий, например открытие определенного файла, обработка заданных записей и другие действия с целью нарушения безопасности ресурсов информационных систем. Используются, например, для разворовывания с помощью изменения определенным образом (в свою пользу) кода программы, которая реализует финансовые операции.

Тайный ход. Уязвимость в системе, которую специально создал разработчик или которая возникла случайно и фактически является дополнительным способом проникновения в систему.

Программы раскрытия паролей. Программы по обыкновению предназначены для угадывания паролей (например, архивированных файлов) подбором вариантов, возможных для использования символов или проникновение в систему с помощью словаря. Программы, которые основываются на последнем методе, осуществляют взлом системы парольной защиты подбором элементов одного или нескольких словарных файлов, сложенных специально или взятых из серверов или жестких дисков локальных станций.

Репликаторы. Программы, которые при выполнении создают несколько своих копий в информационной системе. Например, когда репликатор создает

666

Глава 9. Методы и средства защиты от несанкционированного доступа

только одну копию и после этого выполняет ее, то память системы быстро переполняется, чем ограничивается доступ к определенным компонентам системы.

Сетевые анализаторы. Программно-аппаратные средства (в отдельных случаях программы, которые запускаются из рабочей станции, подключенной к сети), предназначенные для считывания любых параметров потока данных в информационной системе.

Суперзапинг. Разрушительное влияние, связанное с несанкционированным использованием утилит для модификации, уничтожения, копирования, раскрытия, вставки, применения или запрета применения данных информационной системы.

Троянские кони. Специализированная программа, которая, как правило, выступает от лица других программ и разрешает действия, отличные от определенных в спецификации, которые используются программным обеспечением.

Со временем этот перечень может дополняться новыми составляющими, поскольку уровень роста программного и аппаратного обеспечения настолько интенсивный, что его даже тяжело спрогнозировать.

Некоторые из разрушительных программных влияний, например логические бомбы или троянские кони, могут быть реализованные в виде программных закладок («жучков»), которые умышленно внедряются в тело определенных программ с целью реализации разрушительных действий на характеристики безопасности ресурсов информационных систем. Например, в командный процессор операционной системы можно установить программную закладку, которая является резидентной, выполняет функции логической бомбы (активизируется во время запуска DISKREET.EXE с нортоновских утилит) и назначается для записи в определенное место на диске (по обыкновению сектор, помеченный как сбойный) паролей, которые вводятся из клавиатуры. В этом случае такая закладка нарушает не только целостность командного процессора, а и конфиденциальность данных, которые передаются к нужной утилите с клавиатуры.

Классификация компьютерных вирусов. Одним из наиболее распро-

страненных разрушительных программных влияний являются компьютерные вирусы. В мире созданы тысячи вирусов, а количество их разновидностей постоянно увеличивается. С учетом анализа указанных разрушительных программных влияний их удобнее классифицировать по таким признакам (рис.

9.28): среде распространения; способу маскировки в среде; инфицированным объектам; способу инфицирования объекта; способу размещения в инфицированном объекте; разрушительным влияниям; способности к изменению; стилю написания; типу кода.

667

ТЕОРЕТИЧЕСКИЕ ОСНОВЫ ЗАЩИТЫ ИНФОРМАЦИИ

____________________________________________________________________________________________

К о м п ь ю т е р н ы е в и р у с ы

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

По среде

 

 

По способу

 

По инфицированным

 

По способу

 

 

 

По способу

распространения

 

 

маскировки

 

 

объектам

 

инфицирования

 

 

размещения в

 

DOSкие;

 

 

 

в среде

 

 

 

 

 

 

объекта

 

 

 

инфицированном

WіNDOWSкие;

 

 

 

 

 

 

 

 

 

файловые;

 

 

 

 

 

 

 

 

объекте

 

UNіXкие;

 

 

 

видимые

 

 

загрузочные;

 

резидентные;

 

 

 

 

 

 

NETWAREкие;

 

 

 

невидимые

 

файлово-загрузочные

 

нерезидентные

 

 

 

сопровождающие;

 

ІNTERNETкие

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

включающие;

 

и др.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

перекрывающие

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

По разрушительным

 

 

 

 

По возможности

 

 

По стилю написания

 

 

 

 

По типу кода

 

 

 

влияниям

 

 

 

 

к изменению

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

безвредные;

 

 

 

 

 

 

 

 

 

студенческие;

 

 

микрокодированные;

 

 

безопасные;

 

 

 

 

сигнатурные;

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

модифицированные;

 

 

 

макрокодированные

 

 

 

опасные;

 

 

 

 

полиморфные

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

разовые;

 

 

 

 

 

 

 

 

 

особенно опасные

 

 

 

 

 

 

 

 

 

серийные

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Рис. 9.28. Классификация компьютерных вирусов

По среде распространения вирусы можно поделить на такие, которые функционируют соответственно в среде DOS, WINDOWS, UNIX, NETWARE, INTERNET и других системах, функции и программные приложения которых используют вирусы. Название вирусам дают по имени среды, в которой они распространяются.

По способу маскировки в среде вирусы разделяют на видимые и невидимые. Видимые вирусы довольно легко выявить, используя простейшие средства. Например, с помощью команды DOS dir можно увидеть изменение размера инфицированного файла или, запустив простой шестнадцатеричный редактор, найти, например, сигнатуру вируса и т.д. Невидимые вирусы (stealth; стелс-вирусы; вирусы-невидимки) содержат алгоритмы, которые позволяют им маскироваться в среде распространения. Такие вирусы, находясь в системе, перехватывают ее обращения к инфицированным объектам и заменяют их инфицированные участки на оригинальные. После таких действий, например по команде dir, нельзя идентифицировать изменение размера файла, а 16ричный редактор, который использует в своей работе функции ОС, не даст возможности найти, например, сигнатуру вируса и т.д.

По типу инфицированных объектов среди вирусов различают файловые, загрузочные, файлово-загрузочные. Файловые вирусы размещаются в файлах разных форматов (COM, EXE, SYS, DOC и т.д.) и, как правило, инициализируются первыми во время их обработки. Загрузочные вирусы

668

Глава 9. Методы и средства защиты от несанкционированного доступа

размещаются в Boot-секторах дисков или в секторе винчестера с системным загрузчиком и активизируются во время начальной загрузки ОС. Файлозагрузочные вирусы (соединение файловых и загрузочных) инфицируют как файлы, так и указанные секторы, а алгоритм их работы значительно усложняется с учетом бинарного действия.

По способу инфицирования объекта среди вирусов выделяют резидентные и нерезидентные. Резидентные вирусы после запуска оставляют в оперативной памяти компьютера свою резидентную часть, которая перехватывает обращение системы к объектам, которые подлежат инфицированию, и заражает их. Такой вирус остается в памяти вплоть до отключения компьютера или его перезагрузки. Иногда для того, чтобы инфицировать все файлы, например все выполняемые EXE-файлы текущего каталога диска А:, довольно вставить незащищенную дискету с файлами в дисковод А и выполнить команду dir А:. Нерезидентные вирусы инициализируются в период обработки системой инфицированного объекта и не являются активными (не заражают память) после этого периода. Поэтому нерезидентный вирус не может инфицировать другие файлы, если не будет инициирован в момент инфицирования носи- тель-файл-носитель.

По способу размещения в инфицированном объекте вирусы разделяют на сопроводительные, включающие и перекрывающие. Сопроводительные вирусы случаются очень редко; они инфицируют ЕХЕ-файли косвенно, т.е. для указанного файла создается новый с таким самым именем, но с COMрасширением, куда и вмещается тело вируса. В момент запуска файла с именем первым активизируется COM-файл (т.е. вирус), который выполняет свои функции и дальше запускает одноименный ЕХЕ-файл. Включающие вирусы встраиваются в начало, конец или во внутреннюю часть файла, при этом границы последнего расширяются и размеры файлов соответственно увеличиваются на размер введенного тела вируса, а сам инфицированный объект остается неповрежденным и сохраняет свою работоспособность. Перекручивающие вирусы бесповоротно повреждают инфицированный объект, поскольку в случае его заражения тело вируса накладывается на код объекта. Файлы, пораженные перекручивающим вирусом, не вылечиваются и потому по обыкновению изымаются.

По разрушительному влиянию среди вирусов различают безвредные, безопасные, опасные и особенно опасные. Безвредные вирусы соответственно их алгоритму не наносят прямой ущерб информационной системе, за исключением занятого дискового пространства и части оперативной памяти (особенно, если вирус резидентный). Но любой вирус, даже безвредный, может проявить себя иначе в новых условиях (например, в случае изменения версии операционной системы или среды, характерной для распространения вирусов, форматов дисков и т.д.) и привести к непредусмотренным следствиям. Безопасные вирусы характеризуются проявлениями разных звуковых и видеоэффектов и аналогично безвредным вирусам уменьшают размер свободной памяти. Опасные

669

Соседние файлы в папке Лiтература
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности