Защита информации

Защита информации – это совокупность методов, способов, позволяющих решать следующие задачи:

Информационная безопасность – меры по защите информации от неавторизованного доступа, разрушения, раскрытия, компрометации, задержка доступа к ней.

Она включает в себя меры по защите процессов получения, обработки, ввода/вывода информации. Гарантирует ценность системы, точность и целостность информации и минимизирует возможные потери (финансовые, трудовые) в случае утраты информации.

Модели защиты информации

Модель Белла-Лападулы. Изначально включает набор ограничений, способных запретить НСД к любому объекту, к защищённым ресурсам.

Модель Лендвера разрабатывается для использования в конкретной ситуации или условий, в случае изменения этих условий модель перестаёт выполнять свои функции. (Например: Межсетевой экран-брандмауэр)

Игровая модель – одна сторона выстраивает систему защиты, а другая систему её преодоления. Основной критерий – остаточная стоимость информации после взлома защиты.

Классификация каналов утечки информации

Под каналом утечки информации понимается способ, позволяющий нарушителю получить доступ к обрабатываемой и хранящейся в ПК информации.

Выделяют следующие каналы утечки информации:

- Человек:

а) хищение носителя информации

б) чтение информации с экрана при работе легального пользователя

в) маскировка под легального пользователя

г) мистификация, шантаж, угрозы

д) копирование носителей информации с преодолением мер защиты

е) злоумышленный вывод из строя системы защиты.

- Программный канал:

а) использование недостатков языков программирования и операционных систем.

б) включение программ типа «Троянский конь» в библиотеку программ

в) внедрение и использование компьютерных вирусов

г) расшифровка данных

д) несанкционированный доступ к защищённым ресурсам.

- Технический канал:

а) перехват электромагнитных излучений при помощи специальной аппаратуры

б) принудительное электромагнитное облучение лини связи с целью создания побочных электромагнитных излучений (ПЭМИ)

в) использование радио жучков, дистанционное фотографирование

г) перехват изучения принтеров.

Технические каналы утечки информации

Побочное электромагнитное излучение возникает вследствие непредусмотренной схемой или конструкцией передачи информации по паразитным связям (напряжение, магнитное поле).

Выделяют следующие типы технических каналов утечки информации:

1)  Радио каналы

2)  Акустические каналы

3)  Электрические каналы

4)  Оптические каналы

5)  Материально вещественные каналы.

Классификация каналов утечки при эксплуатации ПК

Можно выделить основные и дополнительные каналы утечки.

Основные – непосредственно в оперативной и постоянной памяти, на съёмных магнитных и оптических носителях, на внешних устройствах хранения информации коллективного доступа (RAID массив, файловый сервер); в устройствах отображения информации (принтеры, плоттеры, сканеры), информация с устройств линий связи (маршрутизаторы, концентраторы).

В ПК могут умышленно создаваться дополнительные каналы утечки.

Для этого могут использоваться:

- закладки на речь и обрабатываемую информацию, замаскированные под какие-либо электронные блоки;

-  использование радиомаячков;

-  умышленное применение конструктивно-схемных решений, которые приводят к увеличению электромагнитных излучений;

-  установка закладок, обеспечивающих уничтожение ПЭВМ извне;

-  установка элементной базы, выходящей из строя.

Защита информации от утечки по техническим каналам

Экранирование помещений предусматривает укладку в стенах, потолках полах металла, который притягивает к себе побочные электромагнитные излучения (ПЭМИ). Не всегда целесообразно по эстетическим и экономическим соображениям.

Доработка логических элементов позволяет обнаружить постороннее устройство. Также предусматривает использование различных радио поглощающих материалов. Стоимость таких работ может доходить до 70% стоимости ПК.

Шифрование желательно использовать при передаче данных по незащищённым каналам на большие расстояния.

Маскировка предполагает формирование излучений маскирующего сигнала в непосредственной близости от защищаемого устройства.

Угрозы компьютерной безопасности

Физические угрозы: признаки и меры безопасности

Физическая безопасность означает лишь содержание компьютера и информации в нем в безопасности от физических опасностей с помощью замков на входах в помещение, где он находится, строительства ограждения вокруг зданий и размещения охраны вокруг помещения. Но физическая безопасность сейчас изменилась из-за современной компьютерной среды - среды, которая часто представляет собой офис с большим числом персональных ЭВМ или терминалов.

Физическая безопасность связана с внедрением мер защиты, которые защищают от стихийных бедствий(пожаров, наводнений, и землетрясений), а также всяких случайных инцидентов. Меры физической безопасности определяют, каким будет окружение компьютера, вводимые данные, и результаты обработки информации. Помимо помещений, где размещено компьютерное оборудование, окружение включает в себя библиотеки программ, журналы, магнитные носители, помещения для архивов, и помещения для ремонта техники.

Меры физической защиты должны отвечать требованиям современной действительности и сочетать эффективность с невысокой ценой. Например, установка дорогой противопожарной системы может быть необходимой для защиты большого компьютера, обрабатывающего критические данные, но оказаться неоправданно дорогой при защите одной персональной ЭВМ.

Преступления и злоупотребления

Компьютеры могут быть повреждены, украдены и специально выведены из строя с помощью короткого замыкания. Диски и ленты могут быть разрушены разлитыми напитками, а компьютеры залиты водой. Также компьютеры могут быть серьезно повреждены пожаром, скачками напряжения, стихийными бедствиями и другими инцидентами. Информация может быть перехвачена, украдена, продана и использоваться в корыстных целях отдельным человеком или целой компанией.

Персональные ЭВМ особенно привлекают воров. При пожаре диски, не хранящиеся в специальных сейфах или флоппи-диски, оставленные на терминалах, могут быть разрушены системой тушения пожара. Тысячи долларов были потрачены на восстановление информации, которую они содержали.

Но основной причиной разрушений компьютеров является, судя по всему, обычная неосторожность людей и вредное влияние окружающей среды.

Признаки

Следующие признаки могут указывать на наличие уязвимых мест в физической безопасности:

разрешено курить, есть и пить рядом с компьютерами

компьютерное оборудование оставляется в незапертых комнатах или является незащищенным по какой-либо другой причине

не установлена пожарная сигнализация

диски оставляются в ящиках столов, не делается архивных копий дисков

посетителям не задается вопросов о причине их нахождения в помещениях, где установлены компьютеры

реестр компьютерного оборудования и программ отсутствует, неполон, не обновляется или не проверяется после его заполнения.

распечатки, микрофиши, диски, содержащие критические данные выбрасываются в обычное мусорное ведро

замки на входах в помещения, где находится компьютерное оборудование, никогда не менялись

не производилось аттестации автоматизированной системы организации, то есть анализа насколько она уязвима к доступу неавторизованных людей, пожару или наводнению.

Меры физической безопасности

1.Предотвратить злонамеренные разрушения, неавторизованное использование или кражу

ПЭВМ могут быть заперты в комнатах и доступ к ним может быть ограничен с помощью устройств блокировки клавиатуры и т. п. Удостоверьтесь, что люди соблюдают свои обязанности по использованию компьютеров и их можно проконтролировать.

Если информация обрабатывается на большом вычислительном центре, проверьте, как контролируется физический доступ к вычислительной технике. Могут оказаться уместными такие методы, как журналы, замки и пропуска, а также охрана.

Ввод критической информации требует правильного обращения с исходными документами. Правильное обращение означает соблюдение одинаковых правил работы с документами, независимо от того, используются они в автоматизированной системе или нет. Правила работы могут включать работу в безопасном помещении, учет документов в журналах, гарантии того, что только люди, имеющие соответствующий допуск, могут ознакомиться с этими документами, и использование устройств уничтожения документов(бумагорезок и т. п.).

Внимательно проанализируйте размещение компьютеров. Не слишком ли доступны они неавторизованным людям или чрезмерно уязвимы к стихийным бедствиям?

Вы должны иметь представление об основных схемах сопровождения посторонних. Например, авторизованный сотрудник должен сопровождать в компьютерной зоне посетителя с компьютерными распечатками или человека, заявляющего, что он техник по ремонту компьютеров.

Вы должны знать, кто имеет право доступа в помещения с компьютерным оборудованием, и выгонять оттуда посторонних лиц.

Многие люди полагают, что двери, оснащенные замками и охраняемые людьми, обеспечивают физическую безопасность. Но электромагнитные излучения от компьютеров могут быть перехвачены и, таким образом, может быть прочитана информация с экрана. Рекомендуемые меры защиты от этого должны учитывать требуемый уровень безопасности и тот факт, что такой перехват крайне редок, но может и произойти.

Могут быть предприняты недорогие предохранительные меры, которые будут гарантировать, что телефонные и компьютерные каналы связи в состоянии выполнять свои функции и являются безопасными. В сети может потребоваться выделенный канал связи - он не выполняет других функций. С другой стороны выделение персональной ЭВМ для работы на ней одного приложения может оказаться самым эффективным средством защиты.

Для любой из основных трех технологий для передачи автоматизированной информации существует технология перехвата : кабель(подключение к кабелю), спутник(антенна приема сигнала со спутника), радиоволны( радиоперехват).

Технологии защиты, которые могут быть использованы, включают шифрование информации, использование выделенных линий, модемы с функциям безопасности, и использование скремблирования голосовых переговоров.

2. Стихийные бедствия могут нанести большой ущерб как большим, так и маленьким компаниям.

Примите меры по предотвращению, обнаружению и минимизации ущерба от пожара, наводнения, загрязнения окружающей среды, высоких температур и скачков напряжения.

Защищайтесь от пожара с помощью регулярной проверки пожарной сигнализации и систем пожаротушения. Защищайте ПЭВМ с помощью кожухов, чтобы они не были повреждены системой пожаротушения. Не храните горючие материалы в этих помещениях.

Статическое электричество может очистить память в ПЭВМ. Антистатические коврики могут предотвратить это. Пользователям следует напоминать о снятии заряда с себя с помощью прикосновения к заземленному объекту.

Скачки напряжения могут очистить память, изменить программы и разрушить микросхемы. Устройство бесперебойного питания( УБП) дает достаточно времени, чтобы отключить компьютер без потери данных. Предохранить компьютеры от кратковременных бросков питания могут фильтры напряжения. В грозу незащищенные ПЭВМ могут быть отключены и выключены из сети.

Температура в помещении может контролироваться кондиционерами и вентиляторами, а также хорошей вентиляцией в помещении. Проблемы с чрезмерно высокой температурой могут возникнуть в стойках периферийного оборудования или из-за закрытия вентиляционного отверстия в терминалах или ПЭВМ.

Воздушные фильтры могут очистить воздух от вредных веществ в нем, которые могут нанести вред компьютерам и дискам. Следует запретить курить возле ПЭВМ.

Размещайте компьютеры подальше от того, что может явиться источником большого количества воды, например трубопроводов, обычно затапливаемых помещений или не используйте систему пожаротушения, если есть другие способы защиты от пожара.

Держите еду и напитки подальше от компьютера.

Содержите оборудование в порядке. Следите и учитывайте в журналах ремонт техники. Это позволит проконтролировать, кто имел доступ к системе. Помните, что бригады ремонтников должны производить правильную идентификацию себя.

3. Защищайте все носители информации( исходные документы, ленты, картриджи, диски, распечатки)

·  ведите, контролируйте и проверяйте реестры носителей информации

·  обучайте пользователей правильным методам очищения и уничтожения носителей информации

·  делайте метки на носителях информации, отражающие уровень критичности информации, которая в них содержится.

·  уничтожайте носители информации в соответствии с планом организации

·  удостоверьтесь, что доступ к носителям информации для их хранения, передачи, нанесения меток, и уничтожения предоставлен только авторизованным людям

·  доведите все руководящие документы до сотрудников

Подумайте о возможности публикации следующих рекомендаций в общедоступном месте:

Диски уязвимы

·  храните их в конвертах и коробках

·  не пишите на конвертах

·  не гните их

·  не касайтесь самих дисков

·  осторожно вставляйте их в компьютер

·  не разливайте на них напитки

·  держите их подальше от источников магнитного поля

·  храните их в металлических сейфах

·  работайте с дисками в соответствии с маркировкой критичности на них

Правильное обращение обеспечивает защиту

·  убирайте диски и ленты, когда не работаете с ними

·  храните их разложенными по полкам в определенном порядке

·  не давайте носители информации с критической информацией неавторизованным людям

·  отдавайте поврежденные диски с критической информацией только после их размагничивания или аналогичной процедуры

·  уничтожайте критическую информацию на дисках с помощью их размагничивания или физического разрушения в соответствии с порядком в вашей организации

·  уничтожайте распечатки и красящие ленты от принтеров с критической информацией в соответствии с порядком в вашей организации.

·  обеспечьте безопасность распечаток паролей и другой информации, позволяющей получить доступ к компьютеру

4. Удостоверьтесь, что существуют адекватные планы действий при ЧП(планы обеспечения непрерывной работы). Помните, что целью этих планов являются гарантии того, что пользователи смогут продолжать выполнять самые главные свои обязанности в случае невозможности работы по информационной технологии. Конечные пользователи информационной технологии, а также обслуживающий персонал, должны знать, как им действовать по этим планам.

Планы обеспечения непрерывной работы и восстановления(ОНРВ) должны быть написаны, проверены и регулярно доводиться до сотрудников.

ОНРВ должны учитывать наличие операций архивации, то есть как будет обрабатываться информация, если компьютеры, на которых она обрабатывалась обычно, нельзя использовать, и необходимость восстановления потерянной или разрушенной информации.

Особенно для ПЭВМ ОНРВ должны учитывать выход из строя той или иной техники, например выход из строя сетевого принтера.

Процедуры и техника должны планироваться в расчете на пожар, затопление и т. д.

Храните архивные копии, включая план ОНРВ, в безопасном месте, удаленном от основных помещений, занимаемых компьютерами.

Процедуры плана должны быть адекватны уровню безопасности и критичности информации.

Знайте, что делать в случае ЧП, и будьте знакомы с планом ОНРВ

Помните, что план ОНРВ может применяться в условиях неразберихи и паники. Тренировки ваших сотрудников жизненно необходимы.

Информационные угрозы: признаки и меры безопасности

Следующие признаки могут свидетельствовать о наличие уязвимых мест в информационной безопасности.

1.  Не разработано положений о защите информации или они не соблюдаются. Не назначен ответственный за информационную безопасность.

2.  Пароли пишутся на компьютерных терминалах, помещаются в общедоступные места, ими делятся с другими, или они появляются на компьютерном экране при их вводе

3.  Удаленные терминалы и микрокомпьютеры оставляются без присмотра в рабочие и нерабочие часы. Данные отображаются на компьютерных экранах, оставленных без присмотра.

4.  Не существует ограничений на доступ к информации, или на характер ее использования. Все пользователи имеют доступ ко всей информации и могут использовать все функции системы.

5.  Не ведется системных журналов, и не хранится информация о том, кто и для чего использует компьютер.

6.  Изменения в программы могут вноситься без их предварительного утверждения руководством.

7.  Отсутствует документация или она не позволяет делать следующее: понимать получаемые отчеты и формулы, по которым получаются результаты, модифицировать программы, готовить данные для ввода, исправлять ошибки, производить оценку мер защиты, и понимать сами данные - их источники, формат хранения, взаимосвязи между ними.

8.  Делаются многочисленные попытки войти в систему с неправильными паролями.

9.  Вводимые данные не проверяются на корректность и точность, или при их проверке много данных отвергается из-за ошибок в них, требуется сделать много исправлений в данных, не делается записей в журналах об отвергнутых транзакциях.

10.  Имеют место выходы из строя системы, приносящие большие убытки

11.  Не производился анализ информации, обрабатываемой в компьютере, с целью определения необходимого для нее уровня безопасности

12.  Мало внимания уделяется информационной безопасности. Хотя политика безопасности и существует, большинство людей считает, что на самом деле она не нужна.

Меры защиты информационной безопасности

1. Контролируйте доступ как к информации в компьютере, так и к прикладным программам. Вы должны иметь гарантии того, что только авторизованные пользователи имеют доступ к информации и приложениям.

Идентификация пользователей

Требуйте, чтобы пользователи выполняли процедуры входа в компьютер, и используйте это как средство для идентификации в начале работы. Чтобы эффективно контролировать микрокомпьютер, может оказаться наиболее выгодным использовать его как однопользовательскую систему. Обычно у микрокомпьютера нет процедур входа в систему, право использовать систему предоставляется простым включением компьютера.

Аутентификация пользователей

Используйте уникальные пароли для каждого пользователя, которые не являются комбинациями личных данных пользователей, для аутентификации личности пользователя. Внедрите меры защиты при администрировании паролей, и ознакомьте пользователей с наиболее общими ошибками, позволяющими совершиться компьютерному преступлению..

Другие меры защиты:

Пароли - только один из типов идентификации - что-то, что знает только пользователь. Двумя другими типами идентификации, которые тоже эффективны, являются что-то, чем владеет пользователь( например, магнитная карта), или уникальные характеристики пользователя(его голос).

Если в компьютере имеется встроенный стандартный пароль( пароль, который встроен в программы и позволяет обойти меры по управлению доступом), обязательно измените его.

Сделайте так, чтобы программы в компьютере после входа пользователя в систему сообщали ему время его последнего сеанса и число неудачных попыток установления сеанса после этого. Это позволит сделать пользователя составной частью системы проверки журналов.

Защищайте ваш пароль

·  не делитесь своим паролем ни с кем

·  выбирайте пароль трудно угадываемым

·  попробуйте использовать строчные и прописные буквы, цифры, или выберите знаменитое изречение и возьмите оттуда каждую четвертую букву. А еще лучше позвольте компьютеру самому сгенерировать ваш пароль.

·  не используйте пароль, который является вашим адресом, псевдонимом, именем жены, телефонным номером или чем-либо очевидным.

·  используйте длинные пароли, так как они более безопасны, лучше всего от 6 до 8 символов

·  обеспечьте неотображаемость пароля на экране компьютера при его вводе

·  обеспечьте отсутствие паролей в распечатках

·  не записывайте пароли на столе, стене или терминале. Держите его в памяти

Серьезно относитесь к администрированию паролей

·  периодически меняйте пароли и делайте это не по графику

·  шифруйте или делайте что-нибудь еще с файлами паролей, хранящимися в компьютере, для защиты их от неавторизованного доступа.

·  назначайте на должность администратора паролей только самого надежного человека

·  не используйте один и тот же пароль для всех сотрудников в группе

·  меняйте пароли, когда человек увольняется

·  заставляйте людей расписываться за получение паролей

·  установите и внедрите правила работы с паролями и обеспечьте, чтобы все знали их

Процедуры авторизации

Разработайте процедуры авторизации, которые определяют, кто из пользователей должен иметь доступ к той или иной информации и приложениям - и используйте соответствующие меры по внедрению этих процедур в организации.

Установите порядок в организации, при котором для использования компьютерных ресурсов, получения разрешения доступа к информации и приложениям, и получения пароля требуется разрешение тех или иных начальников.

Защита файлов

Помимо идентификации пользователей и процедур авторизации разработайте процедуры по ограничению доступа к файлам с данными:

·  используйте внешние и внутренние метки файлов для указания типа информации, который они содержат, и требуемого уровня безопасности

·  ограничьте доступ в помещения, в которых хранятся файлы данных, такие как архивы и библиотеки данных

·  используйте организационные меры и программно-аппаратные средства для ограничения доступа к файлам только авторизованных пользователей

Предосторожности при работе

·  отключайте неиспользуемые терминалы

·  закрывайте комнаты, где находятся терминалы

·  разворачивайте экраны компьютеров так, чтобы они не были видны со стороны двери, окон и тех мест в помещениях, которые не контролируются

·  установите специальное оборудование, такое как устройства, ограничивающие число неудачных попыток доступа, или делающие обратный звонок для проверки личности пользователей, использующих телефоны для доступа к компьютеру

·  программируйте терминал отключаться после определенного периода не использования

·  если это возможно, выключайте систему в нерабочие часы

2. Защищайте целостность информации. Вводимая информация должна быть авторизована, полна, точна и должна подвергаться проверкам на ошибки.

Целостность информации

Проверяйте точность информации с помощью процедур сравнения результатов обработки с предполагаемыми результатами обработки. Например, можно сравнивать суммы или проверять последовательные номера.

Проверяйте точность вводимых данных, требуя от служащих выполнять проверки на корректность, такие как:

·  проверки на нахождение символов в допустимом диапазоне символов(числовом или буквенном)

·  проверки на нахождение числовых данных в допустимом диапазоне чисел

·  проверки на корректность связей с другими данными, сравнивающими входные данные с данными в других файлах

·  проверки на разумность, сравнивающие входные данные с ожидаемыми стандартными значениями

·  ограничения на транзакции, сравнивающие входные данные с административно установленными ограничениями на конкретные транзакции

Трассируйте транзакции в системе

Делайте перекрестные проверки содержимого файлов с помощью сопоставления числа записей или контроля суммы значений поля записи.

3. Защищайте системные программы. Если ПО используется совместно, защищайте его от скрытой модификации при помощи политики безопасности, мер защиты при его разработке и контроле за ним в его жизненном цикле, а также обучения пользователей в области безопасности.

Меры защиты при разработке программ и соответствующие политики должны включать процедуры внесения изменений в программу, ее приемки и тестирования до ввода в эксплуатацию. Политики должны требовать разрешения ответственного лица из руководства для внесения изменений в программы, ограничения списка лиц, кому разрешено вносить изменения и явно описывать обязанности сотрудников по ведению документации.

Должен быть разработан и поддерживаться каталог прикладных программ.

Должны быть внедрены меры защиты по предотвращению получения, изменения или добавления программ неавторизованными людьми через удаленные терминалы.

4. Сделайте меры защиты более адекватными с помощью привлечения организаций, занимающихся тестированием информационной безопасности, при разработке мер защиты в прикладных программах и консультируйтесь с ними при определении необходимости тестов и проверок при обработке критических данных. Контрольные журналы, встроенные в компьютерные программы, могут предотвратить или выявить компьютерное мошенничество и злоупотребление.

Должны иметься контрольные журналы для наблюдения за тем, кто из пользователей обновлял критические информационные файлы

Если критичность информации, хранимой в компьютерах, требует контрольных журналов, то важны как меры физической защиты, так и меры по управлению доступом.

В компьютерной сети журналы должны храниться на хосте, а не на рабочей станции.

Контрольные журналы не должны отключаться для повышения скорости работы.

Распечатки контрольных журналов должны просматриваться достаточно часто и регулярно.

5. Рассмотрите вопрос о коммуникационной безопасности. Данные, передаваемые по незащищенным линиям, могут быть перехвачены.

Методы и средства разрушения информации

Умышленное разрушение информации может применяться для сокрытия следов ее несанкционированного получения. Основные методы, ориентированные на аппаратные и программные средства ПЭВМ – намеренное силовое воздействие по цепям питания, компьютерные вирусы, программные закладки.

Намеренное силовое воздействие по цепям питания

Под намеренным силовым воздействием (НСВ) по цепям питания понимается преднамеренное создание резкого всплеска напряжения питания с амплитудой, длительностью и энергией всплеска, которые способны привести к сбоям в работе оборудования или к выходу его из строя. НСВ может быть использовано и для предварительного вывода из строя сигнализации перед нападением на объект или для провоцирования ложных срабатываний сигнализации без проникновения на объект.

Разрушающие программные средства:

1.  Программные закладки.

2.  Вирусы.

Программные закладки - это специальные программы, использующие вирусную технологию скрытого внедрения, распространения и активизации, предназначены для несанкционированного скрытого получения информации. Например, программная закладка может сохранять вводимую информацию с клавиатуры (в т. ч. и пароли) в специально отведённых секторах ЖД, а затем пересылать накопленные данные на ПК злоумышленника.

Программные закладки можно классифицировать методу и месту их применения и внедрения (т. е. по способу доставки в систему):

1)  Закладки, ассоциированные с программно-аппаратной средой.

2)  Закладки, ассоциированные с программами первичной загрузки.

3)  Закладки, ассоциированные с загрузкой драйверов, командного интерпретатора, сетевых драйверов, т. е. с загрузкой ОС.

4)  Закладки, ассоциированные с прикладными программами общего назначения (встроенные клавиатурные и экранные драйверы, программы тестирования ПК, утилиты, оболочки).

5)  Модули имитаторы, совпадают по внешнему виду с некоторыми программами, требующими ввода конфиденциальной информации.

6)  Заглушки, маскируемые под программы оптимизационного назначения (архиваторы, ускорители).

7)  Заглушки, маскируемые под игры и развлекательные программы (как правило, используются для первичного внедрения закладок типа «Исследователь»).

8)  Используемые модули, содержащие только код закладки (как правило, внедряемые в пакетные файлы типа ВАТ).

Для того чтобы закладка выполняла свои функции необходимо, чтобы ей было передано управление, т. е. микропроцессор должен начать выполнять инструкции программного кода закладки. Это возможно при одновременном выполнении двух условий:

1. Закладка должна находится в ОП до начала работы программы, которая является целью воздействия программы, поэтому она должна быть загружена в ОП раньше или одновременно с этой программой;

2. Закладка должна активизироваться по некоторому общему, как для закладки, так и для программы событию, т. е. при выполнении ряда условий в аппаратно-программной среде управление должно быть передано программе-закладке.

Это достигается путем анализа и обработки закладкой общих для закладки и прикладной программы воздействий (как правило, прерываний). Причем выбираются прерывания, которые часто используются прикладной программной и ОС. Это:

·  Прерывания от системного таймера;

·  Прерывания от клавиатуры;

·  Прерывания при работе с диском;

·  Прерывания ОС (в т. ч. прерывания для работы с файлами и запуска выполняемых программ).

Типы закладок:

·  Резидентная – находится в памяти постоянно с некоторого момента времени. Закладка может быть загружена в память при начальной загрузке ПЭВМ, ОС или запуске некоторой программы, а также запущена отдельно.

·  Нерезидентная – начинает работу по аналогичному событию и заканчивает работу самостоятельно по исчерпанию некоторого промежутка времени или некоторому событию, при этом выгружает себя из памяти.

Проблема вирусного заражения программ

Группы вирусов:

·  Загрузочные (бутовые) – вирусы, заражающие загрузочные секторы дискет и ЖД.

·  Файловые – заражают исполняемые файлы.

·  Файлово-загрузочные – вирусы, обладающие способностью заражать как загрузочные сектора, так и код файлов.

Загрузочные вирусы

При включении ПК управление передается программе начальной загрузки (ПНЗ) которая находится в ПЗУ. Эта программа тестирует оборудование и при успешном завершении проверок пытается найти дискету в дисководе А:. Среди секторов дискеты есть несколько служебных, используемых ОС для собственных нужд. Среди них есть вектор начальной загрузки (boot sector). В нем храниться информация о дискете – количество поверхностей, количество дорожек, количество секторов, а также программа начальной загрузки, которая должна загрузить саму ОС и передать ей управление.

Т. о., нормальная схема загрузки следующая:

ПНЗ (ПЗУ) --- ПНЗ (диск) --- система

В загрузочных вирусах выделяют две части: голову и хвост, который может быть пустым.

Как только вирус обнаружит, что имеется чистая дискета, то загружая дискету, вирус производит следующие действия:

·  выделяет некоторую область диска и помечает ее как недоступную ОС, это можно сделать по-разному, в простейшем случае занятые вирусом сектором помечаются как сбойные (bad);

·  копируется в выделенную область диска свой хвост и оригинальный (здоровый) загрузочный сектор;

·  замещают программу начальной загрузки в настоящем загрузочном секторе своей головой;

·  организует цепочку передачи управления согласно схеме.

Таким образом, голова вируса теперь первой получает управление, вирус устанавливается в память и управление оригинальному загрузочному сектору. В цепочке появляется новое звено:

ПНЗ (ПНЗ) – ВИРУС – ПНЗ (ДИСК) – СИСТЕМА.

В отличии от дискет на ЖД имеются два типа загрузочных секторов, содержащих программы начальной загрузки, которые получают управление. При загрузке ПК с ЖД первой берем на себя управление программе начальной загрузки в МВR (Master Boot Record – главная загрузочная запись). Программа начальной загрузки в МВR находит загрузочный раздел ЖД и передает управление на программу начальной загрузки этого раздела. Код последней совпадает с кодом программы начальной загрузки. Таким образом, на ЖД имеются два объекта атаки загрузочных вирусов – программа начальной загрузки в MBR и программа начальной загрузки в бут – секторе.

После того, как программе начальной загрузки в ПЗУ «решила», что ПК будет загружаться с ЖД, она передает управление программе начальной загрузки в MBR. Эта небольшая программа анализирует Partition table (РТ), находит активный логический раздел и передаем управление загрузочному сектору этого раздела, который помечен (1) в PT как активный. Положение загрузочного сектора также указана (2) в PT.

Вирус записывается на диск (в последние секторы активного раздела) и переставляет на себя указатель загрузочного сектора активного раздела. Т. О. программы в MBR сама запустит вирус, который резидентно устанавливается в память и передает управление оригинальному загрузочному сектору (сохранить адрес оригинального сектора возможно).

Методы и средства защиты информации

а) Идентификацию пользователей, персонала и ресурсов системы (присвоение каждому объекту персонального идентификатора).

б) Опознание (установление подлинности) объекта или субъекта по предъявленному им идентификатору.

в) Проверку полномочий (проверка соответствующего дня недели, времени суток, запрашиваемых ресурсов и процедур установленному регламенту).

г) Разрешение и создание условий работы в пределах установленного регламента.

д) Регистрацию обращений и запускаемых ресурсов.

е) Реагирование (сигнализация, отключение, задержка работы, отказ в запросе) при попытках несанкционированного доступа.

Законодательные средства защиты

Закон Об информации….

Организация работы IT-команды и административные методы защиты

Защитные мероприятия организуются и проводятся централизованным управлением в масштабах той или иной организации. Однако непосредственными исполнителями защитных акций (действий) являются оперативные команды быстрого реагирования (5-15 человек).

Весь персонал и сторонние консультанты, привлекаемые к защитным мероприятиям в данной организации или информационной сети, составляют оперативную группу со своим штабом, оперативным управлением, каналами двухстороннего обмена информацией с Координационным центром по информационной безопасности.В ходе защитных мероприятий локальных и глобальных сетей, веб-сайтов корпорации, антивирусной безопасности и безопасности от стихийных бедствий, ошибках в операционных системах, программных сбоях и хакерских атак, в зависимости от характера и специфики выполняемых задач, в состав специальной группы могут включаться специалисты (группы специалистов и консультантов) по разведке и противодействию промышленному шпионажу, работе с пользователями, организации чрезвычайных административных мер, связи, техническому обслуживанию данного компьютерного парка. Кроме того, в специальных группах могут быть специалисты из фирмы-производителя программного обеспечения, используемого в данной корпорации, собственной службы персонала и офицеры правоохранительных органов.

Считается, что в качестве основных сил для ведения защитных мероприятий повседневного характера, должны, прежде всего, использоваться местные администраторы и специалисты по информационной безопасности, а специальные оперативные группы должны составлять постоянный резерв защитных сил организации (удаленного филиала корпорации).

Зоны ответственности района защитных действий выделяются в виде естественных сегментов (подсегментов) сети, нескольких объединенных рабочих групп или по территориальному признаку (отдельные здания, удаленные филиалы).

Административные мероприятия рекомендуется проводить регулярно, постоянном меняя тактику в комплексе с другими мерами, привлекая как сотрудников отделов автоматизации, так и обычных пользователей. К указанным мероприятиям относятся следующие:

1. Контроль за деятельностью собственных пользователей, рабочих и смежных групп. Администраторы проводят регистрацию всех пользователей, находящихся в данном комплексе сети, и выдают пароли, логины и иные опознавательные знаки, удостоверяющие их личность. Периодически вводится режим проверки информационных сообщений, где пользовательскую почту и сообщения подвергают цензуре с помощью компьютерных программ, настроенных на реакцию по заранее определенному списку ключевых слов. Свободная передача информации и команд разрешается только в пределах своей подсети. Особое место отводится жесткому контролю за выдачей и регулярной сменой паролей. Определяются категории персональных компьютеров и их владельцев, которые получают высшие права доступа к информационным ресурсам фирмы.

С помощью специализированных программ-мониторов администраторы организуют тщательное наблюдение за лицами, подозреваемыми в неправомерных действиях - ведется тщательный учет всех действий, которые записываются в файлы логов.

2. Проведение негласной ревизии содержимого магнитных носителей сотрудников, что, согласно законодательству многих стран, является допустимым - на работе персонал должен думать только о ней. Эти мероприятия проводятся с целью проверки подозрительных пользователей.

3. Организация постоянного мониторинга. С целью аутоидентефикации, контроля за правилами передачи информационных сообщений и команд, перехвата на ранних стадиях информации об ошибках в используемом программном обеспечении. Предусмотрено выделение рабочей группы для мониторинга в составе группы IT-специалистов по заранее установленным сменам (1-2 человека), усиленной группы IT-специалистов (3-5 человек) и постоянной группы быстрого реагирования.

4. Организация охраны важных информационных ресурсов - серверов, файловых архивов, веб-сайтов корпорации, коммутаторов, маршрутизаторов, рабочих станций администраторов. Информационная охрана данных объектов организуется администраторами совместно со службой безопасности. Для надежности охраны применяются комбинированные методы - информационная безопасность обеспечивается пакетными фильтрами, антивирусными комплексами, системами парольного доступа и разграничения полномочий.

Рабочим группам по мониторингу и информационной разведке рекомендуется изменять график своей смены, маршрутов и средств проверки. Большое внимание должно уделяться охране коммуникаций (линии связи, кабеля локальной сети и витая пара, оптико-волоконные линии связи, терминалы спутниковой и сотовой связи).

Все сегменты сетей и линии связи в организации в зависимости от степени защищенности от чрезвычайных ситуаций, делятся на три категории: красные, желтые и зеленые.

К красным относят линии и серверы, находящиеся в зонах, где высока вероятность возникновения чрезвычайных ситуаций. Движение незашифрованных пакетов по ним запрещается. Движение команд и передача данных - только для выполнения активных мероприятий по защите информации.

К желтым относят линии и серверы, на которых имеется хотя бы малейшая угроза безопасности. На таких линиях сконцентрировано максимально возможное внимание администраторов, антивирусные комплексы настроены на избыточное сканирование, пакетные фильтры настроены на максимально жесткое отношение к скриптам и аплетам, вводятся в действие программы, предупреждающие о несанкционированном сканировании открытых портов сервера. По таким линиям передачи данных запрещается передача и прием информации без антивирусного контроля и подтверждающих, зашифрованных пакетов от отославшего и принявшего серверов, причем такие пакеты должны быть посылаемы через определенный промежуток времени - в случае отсутствия пакета включается система тревоги - либо вышел из строя сервер, либо перехват на линии.

Категорию зеленых составляют линии связи и серверы, проходящие в сегментах сети, в которых низка вероятность возникновения различных чрезвычайных ситуаций. Передача информации разрешена без ограничений, шифрование не применяется, антивирусные комплексы осуществляют общее прикрытие.

Программы внешней защиты

Обеспечение надежной защиты информации, передаваемой по каналам связи, проходящим по неконтролируемой территории, сопряжено с большими трудностями. Обусловлено это тем, что при современных возможностях перехвата вполне возможна угроза регулярного несанкционированного получения информации. Считается, что эффективным единственным способом надежной защиты информации в каналах связи является криптографическое закрытие передаваемой информации. Однако, подобное закрытие сопряжено с трудностями и расходованием ресурсов в условиях больших потоков информации.

В таких случаях используются следующие программные методы защиты:

1. опознавание корреспондентов;

2. проверка уровня секретности канала связи;

3. контроль по граничным адресам ОП;

4. проверка адреса корреспондента;

5. проверка обратного кода.

Опознавание корреспондентов состоит в том, что перед выдачей данных в канал связи АС запрашивает у корреспондента пароль или другую персональную и хранящуюся в тайне информацию, сравнивает с хранящейся в ОП эталонной и в случае совпадения выдает данные в канал. Для повышения надежности опознавания можно использовать криптографическое закрытие.

Проверка уровня секретности канала заключается в том, что каждому каналу связи, используемому для передачи, присваивается определенный уровень секретности. Перед выдачей данных в канал АС проверяет соответствие уровня секретности подлежащих передаче данных и принимает соответствующее решение.

Контроль по граничным адресам ОП заключается в том, что для размещения массива передаваемых данных в ОП отводится поле, начальный и конечный адрес которого находится в специальной зоне ОП. Перед выдачей данных в канал производиться проверка по граничным адресам. Если адрес выборки выходит за границы, то выдача информации блокируется. Этим самым обеспечивается защита от случайной или преднамеренной выдачи данных, находящихся в соседних полях ОП.

Проверка адреса корреспондента. При передаче больших объемов информации необходимо периодически проверять адрес корреспондента. В противном случае Злоумышленник может изменить адрес (или случайное изменение), и данные будут передаваться злоумышленнику. При несовпадении сравниваемых адресов передача данных блокируется.

Проверка обратного кода представляет собой процедуру защиты, заключающуюся в том, что у корреспондента периодически запрашивается идентифицирующаяся информация, которая и называется обратным кодом. Проверкой обратного кода можно обнаружить факт изменения направления выдачи данных или умышленного несанкционированного использования приемного устройства зарегистрированного корреспондента.

Программы внутренней защиты.

Сущность такой защиты сводится к регулированию использования соответствующих ресурсов АС (технических средств, данных, программ) в строгом соответствие с полномочиями, предоставленными субъектам (пользователям) и объектам (терминам, групповым устройствам, программам).

Каждый из видов регулирования обычно осуществляется в следующей последовательности:

1.  Установление подлинности субъекта или объекта, обращающегося к ресурсам системы.

2.  Определение соответствия характера и содержания запроса полномочиям, предъявленным запрашивающему субъекту или объекту.

3.  Принятие и реализация решений в соответствие с результатами проверки полномочий.

Наиболее важной из процедур является первая, поэтому разработке эффективных средств надежного опознавания уделяется повышенное внимание.

Установление подлинности (идентификация, аутентификация, опознавание) какого-либо объекта или субъекта заключается в подтверждении того, что он является именно тем, который должен участвовать в данном процессе обработки информации.

В зависимости от сложности операций опознавания выделяют 4 основные группы:

* простое (опознавание по коду/паролю)

* усложненное

* особое распознавание

* двухфакторная аутентификация.

Антивирусное ПО

Антивирусное ПО предназначено для защиты программ и данных от различных типов вирусных атак, поскольку сегодня передача вирусов происходит в основном посредством сообщений электронной почты, наиболее распространенной категорией корпоративного ПО являются антивирусы для почтовых серверов, распознающих сигнатуры вирусов внутри сообщений.

Сигнатура вируса – последовательность 10-15 байт, по наличию которой определятся инфицирован файл вирусом или нет.

Антивирусное ПО обязательно содержит следующий компоненты:

·  Приложение для управления настройками;

·  Средства сканирования файлов и поиска сигнатур вирусов;

·  Базы данных или библиотека, содержащая определения известных вирусов. Успешность функционирования антивирусного ПО зависит от регулярности обновления баз данных, содержащих определения вирусов.

Основные методы определения вирусов.

Первые антивирусные алгоритмы строились на основе сравнения с эталоном. Это программы, в которых вирус определяется классическим ядром по некоторой маске. Маска должна быть, с одной стороны, маленькой, чтобы объем файла был приемлемых размеров, а с другой – достаточно большой, чтобы избежать ложных срабатываний.

Первые антивирусные программы, построенные по этому принципу, знали некоторое количество вирусов и могли их лечить. Создавались эти программы следующим образом: разработчик, получив, код вируса, составлял по этому коду уникальную маску и вносил ее в базу данных антивирусной программы. Антивирусная программа сканировала файлы и, если находила данную последовательность битов, делала заключение, что файл инфицирован. Данная последовательность выбиралась таким образом, чтобы она была уникальной и не встречалась в обычном наборе данных. Эти подходы были применимы только к статическим вирусам.

Однако к середине 90-х годов появились первые полиморфные вирусы, которые изменяли свое тело по непредсказуемым заранее алгоритмам. Поэтому появился второй механизм – эвристический анализ.

Для того, чтобы размножаться, вирус должен совершить какие-либо конкретные действия: копирование в память, запись в сектора и т. д. Эвристический анализ содержит список таких действий, просматривает выполняемый код программы, определяет, что она делает, и на основе этого принимает решение, является ли данная программа вирусом или нет. При этом процент пропуска вируса даже неизвестного антивирусной программе, очень мал. Данная технология сейчас широко используется во всех антивирусных программах.

Классификация антивирусных программ

1.  Чистые антивирусы.

2.  Антивирусы двойного назначения.

Чистые антивирусы отличаются наличием антивирусного ядра, которое выполняет функцию сканирования по образцам. Принципиальным в этом случае является то, что возможно лечение, если известен вирус. Численные антивирусы подразделяются на категории: осуществляющие контроль по доступу (Access) – мониторы или по требованию – сканеры (On demand).

Программы двойного действия – это программы, используемые как в антивирусах, так и в ПО, которое антивирусом не является. Разновидность программ – поведенческие блокираторы, которые анализируют поведение других программ и при обнаружении подозрительных действий блокируют ПО.

Поведенческие программы вирусов лечить не умеют, поскольку ничего о них не знают. Данное свойство блокираторов позволяет им работать с любыми вирусами, в том числе и с неизвестными. Сегодня это приобретает особую актуальность, поскольку распространители вирусов и антивирусов используют одни и те же каналы передачи данных, т. е. Internet. При этом антивирусной компании всегда нужно время на то, чтобы получить сам вирус, проанализировать его и написать соответствующие лечебные модули. Программы из группы двойного назначения как раз и позволяют блокировать распространение вируса до того момента, когда компания не пишет лечебный модуль.

Виды антивирусных программ:

·  Программы – детекторы

·  Программы – доктора или фаги

·  Программы – ревизоры

·  Программы - Фильтры

Программы-детекторы осуществляют поиск характерной для конкретного вируса сигнатуры в оперативной памяти и в файлах и при обнаружении выдают соответствующее сообщение. Недостатком таких антивирусных программ является то, что они могут находить только те вирусы, которые известны разработчикам таких программ.

Программы- доктора или фаги, а так же программы-вакцины не только зараженные вирусами файлы, но и «лечат» их, то есть удаляют из файла тело программы-вируса, возвращая файлы в исходное состояние. В начале своей работы фаги ищут вирусы в оперативной памяти, уничтожая их, и только за тем переходят к «лечению» файлов. Среди фагов выделяют полифаги, т. е программы-доктора, предназначенные для поиска и уничтожения большого количества вирусов. Наиболее известные из них: Aidstest, Scan, Norton AntiVirus, Doctor Web. Учитывая, что постоянно появляются новые вирусы, программы-детекторы и программы - доктора быстро устаревают, и требуется регулярное обновление версий.

Программы-ревизоры относятся к самым надежным средствам защиты от вирусов. Ревизоры запоминают исходное состояние программ, каталогов и системных областей диска тогда, когда компьютер не заражен вирусом, а затем периодически или по желанию пользователя сравнивают текущее состояние с исходным. Обнаруженные изменения выводятся на экран монитора. Как правило, сравнение состояний производят, сразу после загрузки операционной системы. При сравнении поверяются длина файла, код циклического контроля (контрольная сумма файла), дата и время модификации, другие параметры. Программы-ревизоры имеют достаточно развитые алгоритмы, обнаруживают стелс-вирусы и могут даже очистить изменение версии проверяемой программы от изменений, внесенных вирусом. К числу программ - ревизоров относится широко распространенная в России программа Adinf.

Программы-фильтры или «сторожа» представляют собой небольшие резидентные программы, предназначенные для обнаружения подозрительных действий при работе компьютера, характерных для вирусов. Такими действиями могут являться:

·  Попытки коррекции файлов с расширениями COM, EXE

·  Изменение атрибутов файла

·  Прямая запись на диск по абсолютными

·  Запись в загрузочные сектора диска

·  Загрузка резидентной программы

При попытке, какой - либо программы произвести указанные действия «сторож» посылает пользователю сообщение и предлагает запретить или разрешить соответствующее действие. Программы - фильтры весьма полезны, так как способны обнаружить вирус на самой ранней стадии его существования до размножения. Однако, они не «лечат» файлы и диски. Для уничтожения вируса требуется применить другие программы, например фаги. К недостаткам программ – сторожей можно отнести их «назойливость» (например, они постоянно выдают предупреждение о любой попытке копирования исполняемого файла), а так же возможные конфликты с другим программным обеспечением. Примером программы – фильтра является программа Vsafe, входящая в состав пакета утилит MS DOS.

Аппаратные ключи защиты

Первоначально аппаратные ключи защиты были созданы как средство борьбы с несанкционированным копированием программных продуктов, но в дальнейшем они нашли более широкое применение.

Фактически защита от копирования – это невозможность выполнения программы на большом числе компьютеров, чем разрешено ее разработчики и распространителями. Следовательно, для сохранения авторских прав необходимо наличие средств, дающих возможность защиты они несанкционированного выполнения.

Наиболее надежным и распространенным способом защиты от несанкционированного запуска программ стали программно – аппаратные ключи защиты, подключаемые к COM -, LPT-, и USB – портам. Почти все коробочные варианты серьезного коммерческого ПО используют аппаратно – программные комплексы защиты, то есть аппаратные ключи. Такие способы защиты основаны на том, что в компьютер добавляется специальное физическое защитное устройство, к которому при запуске защищаемой программы обращается ее контролирующая часть, проверяя наличие ключа доступа и его параметров. Если ключ не найден то программа не запустится.

Общий принцип работы компьютера в этом случае следующий. После запроса на выполнение запускаемой программы происходит ее загрузка в оперативную память инициализация контролирующей части физическое устройство защиты, подсоединенное к компьютеру, посылается запрос. В ответ формируется код посылаемый через МП в ОП для распознавания контролирующей частью программы. В зависимости от правильности кода ответа программа либо прерывается, либо выполняется.

В дальнейшем сфера применения таких ключей значительно расширилась. Сегодня такой ключ используется для идентификации владельца, для сравнения его личной электронной подписи, конфиденциальной информации. Или как электронные деньги.

Методы средства несанкционированного получения информации из автоматизированных систем

Методы и средства НСПИ из АС можно классифицировать следующим образом:

1.  По уровню доступа: гостевого, пользовательского, административного, системного, неограниченного уровня.

Во многих современных ОС имеются встроенные учетные записи, представляющие их владельцам гостевой (Guest в Windows NT/2000/XP), административный (Administrator в Windows NT/2000/XP), системный (System в Windows 2000/XP) или неограниченный (Администратор предприятия в Windows 2000/XP) доступ. При создании дополнительных учетных записей в большинстве современных ОС можно указать любой уровень доступа, но изменить его для встроенных учетных записей невозможно.

2.  По характеру действий злоумышленника: копирование, модификация, уничтожение, внедрения информации.

Внедрение программной закладки, представляющей собой активный компонент самой АС, либо для скрытного хранения собственной информации злоумышленника без ведома владельца АС

3.  По направленности действий злоумышленника: получение системной или прикладной информации.

Получение системной информации (файлы паролей, ключей шифрования, перечни учетных записей, схемы распределения сетевых адресов и т. п.). Многих злоумышленников, проникающий в АС, подключенные к глобальным сетям, вообще не интересует хранящаяся в этих АС прикладная информация или интересует лишь в той степени, в какой она позволяет получить доступ к системной информации. Обычно такие АС злоумышленники используют либо в качестве промежуточных узлов для проникновения в другие АС, либо для несанкционированного хранения собственной информации.

4.  По тяжести последствий: неопасные, потенциально опасные, опасные, чрезвычайно опасные.

Неопасные (сканирование портов, попытка установления соединения и т. п.), потенциально опасные (получение доступа к содержимому подсистем хранения данных, попытки подбора паролей и т. д.), опасные (получение доступа с высоким уровнем полномочий, модификация информации в АС, копирование прикладной и системной информации и т. п.), чрезвычайно опасные (уничтожение информации, блокирование доступа легальных пользователей и т. п.).

5.  По многократности доступа: разового доступа, многократного доступа.

6.  По виду доступа: локальный (физический) доступ к АС; удаленный доступ.

Локальный доступ

При наличии у злоумышленника физического доступа и благоприятной для него обстановки он сможет обойти практически любую защиту. Чтобы значительно снизить шансы злоумышленника необходимо предпринять целый комплекс мер, как технического, так и организационного характера, начиная от проектирования архитектуры АС с учетом всех требований защиты и заканчивая установкой камер наблюдения, охранной сигнализации и организаций специального режима доступа.

Методы и средства НСД к информации на локальном уровне.

1.  Хищение информации, ее носителей, отдельных компонентов АС, целых АС, замена одних компонент на аналогичные, прямое копирование содержимого ЖД, маскировка хищения информации под хищения материальных ценностей.

2.  Использования открытого сеанса легального пользователя. Здесь возможности злоумышленника определяется лишь временем, на которое он получает доступ к АС легального пользования. Опасность этого метода заключается в том, что действия злоумышленника не вызовут подозрений у специалистов по ЗИ.

3.  Подбор пароля легального пользования. Чаще всего применяется для получения доступа и последующего копирования системных файлов, чтобы получить информацию о паролях легальных пользователей.

4.  Использование учетной записи легального пользователя для расширения полномочия в АС. Используя специальную программу взлома злоумышленник может расширить свои полномочия вплоть до получения полного доступа ко всем АС организации.

5.  Загрузка альтернативной ОС, которое может загружаться как с дискеты, так и компакт-диска. Например, с помощью простого командного файла можно перезагрузить компьютер, работающий под управлением Windows 98/Ме/2000/ХР и получить файлы PWL и SAM.

Удаленный доступ

Методы и средства удаленного сильно доступа зависит используемой ОС, настройки параметров безопасности и т. п. Но, в общем, случае схему удаленного проникновения в АС, которой пользуются большинство злоумышленников следующая:

Сбор информации

На этапе сбора информации злоумышленник определяет IP-адреса АС организации, доступных из сети общего пользования. Этапы сбора информации, сканирования, идентификации доступных ресурсов и, в какой-то мере, получение доступа могут осуществлятся обычными пользователями.

Каждая из указанных операций достаточно безобидна. Поэтому в комплект поставки многих сетевых ОС входят инструментальные средства, обеспечивающие выполнение соответствующих задач.

Например, в Windows - утилита tracers Unix – whois, rtaceroute, nslookup, host.

С помощью таких средств легко выяснить:

Тип сетевого подключения организации (единичный компьютер, сеть класса С, сеть В); Имена и адреса серверов доменных имен (DNS-DOMIAN NANE SYSTEM), обеспечивающих трансляцию символьных имен в IP-адреса по запросам АС организации; Сеть, в которой установлены подключенные к INTERNET АС организации (сеть провайдера, прямое подключение и т. п.); Схему подключения маршрутизаторов и брандмауэров; Реальные имена, телефоны и адреса электронной почты администратора подключения; Схему распределения IP-адресов внутри сети организации и имена отдельных узлов (с помощью так называемого переноса зоны, с помощью утилиты NSLOOKUP).

Чем тщательнее проведен предварительный сбор информации, тем выше вероятность проникновения в АС.

Сканирование

Составив предварительную схему сети и наметив предварительный перечень наиболее уязвимых ее узлов, злоумышленник переходит к сканированию. Сканирование позволяет выявить реально работающие АС, доступные из INTERNET, определить тип и версию ОС, получить перечни портов ТCP и UDP.

Для проведения сканирования в распоряжении злоумышленника имеется широкий спектр инструментальных средств, начиная от утилиты PING, входящей в комплект поставки всех современных ОС, и заканчивая хакерскими инструментами (FRING, PINGER, SUPERSCAN). С их помощью злоумышленник может выбрать АС, на которые следует обратить внимание.

Идентификация доступных ресурсов

В большинстве сетевых ОС имеется целый ряд инструментальных средств (команды NET, NBTSTAT, NBTSCAN), а также хакерские утилиты. Тщательно проверенная идентификация доступных ресурсов выбранной для несанкционированного доступа АС может дать злоумышленнику информацию о доступных по сети дисках и папках, о пользователях и группах, имеющих доступ к данной АС, а также о выполняющихся на этой АС приложениях.

Получение доступа

Цель на данном этапе – получение доступа на уровне легального пользователя:

·  перехват паролей;

·  подбор паролей для доступа к совместно используемым сетевым ресурсам;

·  получение файла паролей

·  использование программ взлома, обеспечивающий доступ к АС путем перевода работающих на АС приложений в нештатный режим.

Расширение полномочий

Если на предыдущем этапе злоумышленник получил НСД на гостевом или пользовательском уровне, он, как правило, постарается расширить свои полномочия и получить административный уровень.

Для этого в большинстве случаев применяются такие же средства взлома и подбора паролей, а также программы взлома, что и при доступе на локальном уровне.

Расширение полномочий позволяет не только получить полный доступ к интересующей его АС, но и внести себя в список легальных администраторов, а также, возможно, сразу же получить административный доступ к другим АС организации.

Исследование системы и внедрение

Получив доступ на административном уровне, злоумышленник изучает все имеющие на взломанной АС файлы и найдя интересующую его информацию, либо завершает несанкционированный сеанс связи, либо приступает к изучению других доступных ему в качестве администратора взломанной АС систем.

При этом процесс повторяется, начиная с этапа идентификации ресурсов и заканчивая внедрением в следующую АС организации и т. д.

Сокрытие следов

Получение административного доступа может понадобиться злоумышленнику, если ему нужно скрыть следы проникновения. Часто для облегчения своей задачи в будущем, злоумышленник оставляет на взломанной АС утилиты, маскируя их под системные файлы. Делается это в том случае, когда вероятность НСД слишком велика. Однако, как правило, после успешного проникновения в АС злоумышленник создает тайные каналы доступа.

Создание тайных каналов

К методам создания тайных каналов, при помощи которых 3-к может получить многократный доступ, относятся:

создание собственных учетных записей; создание заданий, автоматически запускаемых системным планировщиком (CRON в UNIX, AT в WINDOWS NT\2000\XP); модификация файлов автозапуска (AUTOEXEC. BAT в WINDOWS.98, папка Startup, системный реестр в Windows, файлы ЧС в Unix); внедрение программных закладок, обеспечивающих удаленное управление взломанной АС (netcat, remote. exe, VNC, BACK Orifice); внедрение программных закладок, перехватывающих нужную информацию (регистраторы нажатия клавиш и т. д.); внедрение программных закладок, имитирующих работу полезных программ (окно входа в систему).

Блокирование

Иногда злоумышленник, не получив доступа к нужной им системе, прибегает к блокированию (DOS – Denial of Service). В результате АС перестает отвечать на запросы легальных пользователей, т. е. возникает “отказ в обслуживании”.

Часто блокирование инициируется для того, чтобы вынудить администратора перегрузить систему. Однако, это нужно злоумышленнику, чтобы выдать свою систему за систему, намеренно введенную им в состояние DOS.

В последнее время состояние DOS, от которого не зарегистрирована ни одна современная АС, подключенная к Internet, используется в качестве средства кибертерроризма.

Виды атак в компьютерных сетях

Субъект доступа — лицо или процесс, действия которого регламентируются правилами разграничения доступа.

Объект доступа — единица информации автоматизированной системы, доступ к которой регламентируется правилами разграничения доступа. Объектами доступа (контроля) в СУБД является практически все, что содержит конечную информацию: таблицы (базовые или виртуальные), представления, а также более мелкие элементы данных: столбцы и строки таблиц и даже поля строк (значения). Таблицы базы данных и представления имеют владельца или создателя.

Дискреционная защита

Дискреционное управление доступам— разграничение доступа между поименованными субъектами и поименованными объектами. Субъект с определенным правом доступа может передать это право любому другому субъекту.

Дискреционная защита является многоуровневой логической защитой.

Логическая защита в СУБД представляет собой набор привилегий или ролей по отношению к защищаемому объекту. К логической защите можно отнести и владение таблицей (представлением). Владелец таблицы может изменять (расширять, отнимать, ограничивать доступ) набор привилегий (логическую защиту). Данные о логической защите находятся в системных таблицах базы данных и отделены от защищаемых объектов (от таблиц или представлений).

Информация о зарегистрированных пользователях базы данных хранится в ее системном каталоге.

Все субъекты контроля системы хранятся в таблице полномочий системы и разделены на категории:

·  конечные пользователи. По умолчанию им разрешено только соединение с базой данных и выполнение запросов к данным, все их действия регламентированы выданными им привилегиями;

·  привилегированные пользователи, обладающие правом создания собственных объектов в базе данных (таблиц, представлений, синонимов, хранимых процедур). Пользователь — владелец объекта обладает полным набором привилегий для управления данным объектом;

·  категория администраторов базы данных. Включает возможности обеих предыдущих категорий, а также возможность вводить (удалять) в систему (из системы) субъекты защиты или изменять их категорию.

Мандатная защита

Средства мандатной защиты предоставляются специальными версиями СУБД.

Мандатное управление доступом — это разграничение доступа субъектов к объектам данных, основанное на характеризуемой меткой конфиденциальности информации, которая содержится в объектах, и на официальном разрешении (допуске) субъектов обращаться к информации такого уровня конфиденциальности.

Метка конфиденциальности — элемент информации, характеризующий конфиденциальность объекта.

Использование СУБД с возможностями мандатной защиты позволяет разграничить доступ собственно к данным, хранящимся в информационной системе, от доступа к именованным объектам данных. Единицей защиты в этом случае будет являться, в частности, запись о договоре N, а не таблица или представление, содержащее информацию об этом договоре. Пользователь, который будет пытаться получить доступ к договору, уже никак не сможет обойти метку конфиденциальности.

СУБД не дает проигнорировать метки конфиденциальности при получении доступа к информации. Такие реализации СУБД, как правило, представляют собой комплекс средств как на машине-сервере, так и на машине-клиенте, при этом возможно использование специальной защищенной версии операционной системы. Кроме разграничения доступа к информации посредством меток конфиденциальности, защищенные СУБД предоставляют средства слежения за доступом субъектов к объектам защиты (аудит).

Возможные атаки на уровне ОС

Защитить операционную систему гораздо сложнее, чем СУБД. Это обусловлено тем, что число различных типов защищаемых объектов в современных ОС может достигать нескольких десятков, а число различных типов защищаемых информационных потоков – нескольких сотен. ОС имеет очень сложную внутреннюю структуру и поэтому задача построения адекватной политики безопасности для ОС решается значительно сложнее, чем для СУБД.

Существуют атаки, которые могут быть применены практически к любым операционным системам. К ним относятся следующие атаки:

1. Кража ключевой информации. Может реализовываться с использованием следующих методов:

·  подсматривание пароля при вводе пользователем. Существуют люди, которые могут подсмотреть вводимый пароль, глядя только на движения рук по клавиатуре. Поэтому то, что обычно при вводе пароль не высвечивается на экране, не гарантирует невозможность компрометации пароля;

·  получение пароля из командного файла. Некоторые ОС при сетевой аутентификации (подключении к серверу) допускают ввод пароля из командной строки. Если аутентификация происходит с использованием командного файла, пароль пользователя присутствует в этом файле в явном виде;

·  некоторые пользователи, чтобы не забыть свой пароль, записывают его в записные книжки, на бумажки, которые затем приклеивают к нижней части клавиатуры, и т. д. Для злоумышленника узнать такой пароль не составляет никакого труда. Особенно часто такая ситуация имеет место, если администраторы заставляют пользователей использовать длинные, труднозапоминаемые пароли;

·  кража внешнего носителя ключевой информации. Некоторые ОС допускают использование вместо паролей внешних носителей информации (ключевые дискеты, Touch Memory, Smart Card и т. д.). Использование внешних носителей повышает надежность защиты ОС, но в этом случае появляется угроза кражи носителя с ключевой информацией;

·  перехват пароля программной закладкой.

2.  Подбор пароля. Могут использоваться следующие методы:

·  неоптимизированный перебор;

·  перебор, оптимизированный по статистике встречаемости символов и биграмм;

·  перебор, оптимизированный с использованием словарей вероятных паролей;

·  перебор, оптимизированный с использованием знаний о пользователе. В этом случае в первую очередь опробуются пароли, использование которых пользователем представляется наиболее вероятным (имя, фамилия, дата рождения, номер телефона и т. д.);

·  перебор, оптимизированный с использованием знаний о подсистеме аутентификации ОС. Если ключевая система ОС допускает существование эквивалентных паролей, при переборе из каждого класса эквивалентности опробуется всего один пароль.

3. Сканирование жестких дисков компьютера. Хакер последовательно считывает файлы, хранящиеся на жестких дисках компьютера. Если при обращении к некоторому файлу или каталогу хакер получает отказ, он просто продолжает сканирование дальше. Если объем жесткого диска компьютера достаточно велик, можно быть уверенным, что при описании прав доступа к файлам и каталогам этого диска администратор допустил хотя бы одну ошибку. Несмотря на примитивность данной атаки, она во многих случаях оказывается весьма эффективной. Для ее реализации хакер должен быть легальным пользователем ОС.

4. “Сборка мусора”. Если в ОС допускается восстановление ранее удаленных объектов, хакер может воспользоваться этой возможностью для восстановления объектов, удаленных другими пользователями. В простейшем случае хакеру достаточно просмотреть чужую “мусорную корзину”. Если хакер использует для сборки мусора программную закладку, он может “собирать мусор” не только на дисках компьютера, но и в оперативной памяти.

5. Превышение полномочий. Используя ошибки в программном обеспечении или администрировании ОС, хакер получает в системе полномочия, превышающие предоставленные ему согласно текущей политике безопасности. Превышение полномочий может быть достигнуто следующими способами:

·  запуск программы от имени пользователя, обладающего необходимыми полномочиями;

·  запуск программы в качестве системной программы (драйвера, сервиса, демона и т. д.), выполняющейся от имени ОС;

·  подмена динамически подгружаемой библиотеки, используемой системными программами, или несанкционированное изменение переменных среды, описывающих путь к такой библиотеке;

·  модификация кода или данных подсистемы защиты ОС.

6. Атаки класса “отказ в обслуживании”. Эти атаки нацелены на полный или частичный вывод ОС из строя. Существуют следующие атаки данного класса:

·  захват ресурсов – программа захватывает все ресурсы компьютера, которые может получить. Например, программа присваивает себе наивысший приоритет и уходит в вечный цикл;

·  бомбардировка трудновыполнимыми запросами – программа в вечном цикле направляет операционной системе запросы, выполнение которых требует больших затрат ресурсов компьютера;

·  бомбардировка заведомо бессмысленными запросами – программа в вечном цикле направляет операционной системе заведомо бессмысленные (обычно случайно генерируемые) запросы. Рано или поздно в ОС происходит фатальная ошибка;

Защита сетей на базе MS Windows NT/2000 Server

Windows NT/2000 Server используют единую схему проверки подлинности, полномочий пользователя и аудита:

1.  Пользователь указывает имя своей учетной записи и пароль только один раз при входе в систему, а затем получает доступ к ресурсам сети.

2.  Администратор ограничивает доступ к данным, модифицируя списки прав доступа к ресурсам.

3.  Доступ пользователей к документам контролируется посредством аудита.

Учетная запись содержит информацию о пользователе – его имя, пароль или ограничения на его деятельность.

Учетные записи бывают двух видов: глобальные и локальные.

Локальные учетные записи определяют права пользователей на конкретном компьютере и не распространяются на весь домен. Он получает доступ только к ресурсам данного компьютера. Для доступа к ресурсам домена пользователь должен зарегистрироваться в домене, воспользовавшись своей глобальной учетной записью. Если сеть состоит из нескольких доменов и между ними установлены доверительные отношения, то возможна сквозная нумерация, т. е. пользователь, регистрируясь один раз в своем домене, получает доступ к ресурсам доверяющего домена, в котором у него нет персональной учетной записи.

Создавать, модифицировать учетные записи и управлять ими администратор может при помощи программы User Manager for Domains. При создании новой учетной записи администратор может определять пароль и правила его модификации, локальные и глобальные группы и т. п.

Пароль пользователя играет одну из самых важных ролей при регистрации пользователя в сети, так как путем подбора пароля может происходить незаконный доступ к сетевым ресурсам. Поэтому, Windows NT/2000 содержат ряд механизмов, связанных с паролем пользователя:

1.  уникальность пароля и хранение истории паролей;

2.  максимальный срок действия;

3.  минимальная длина пароля и минимальный срок хранения;

4.  блокировка учетной записи при неудачной регистрации.

Учетные записи обычно объединяются в группы, так что администратор может оперировать правами большого числа пользователей с помощью одной учетной записи.

Поддерживается заполнение трех журналов: системного журнала (по умолчанию - отключен), который содержит информацию о компонентах ОС; журнала безопасности, куда заносится информация о входных запросах в систему; журнала приложений, регистрирующего все события, записываемые приложениями.

Атаки на уровне сети

IP – спуфинг

Происходит в том случае, когда хакер, находящийся внутри корпоративной сети (или вне ее), выдает себя за санкционированного пользователя. Это можно сделать двумя способами: хакер может воспользоваться или IP-адресом, находящимся в пределах диапазона санкционированных IP-адресов, или авторизированный внешним адресом, которому разрешается доступ к определенным сетевым ресурсам. Атаки IP-спуфнга часто являются отправной точкой для прочих атак (DOS).

Как правило, IP-спуфинг ограничивается вставкой ложной информации или вредоносных команд в обычный поток данных. Для двусторонней связи, хакер должен изменить все таблицы маршрутизатора, чтобы направить трафик на ложный IP-адрес. В этом случае он получит все пакеты и сможет отвечать на них, как санкционированный пользователь.

Угрозу спуфинга можно ослабить с помощью следующих мер:

1.  Контроль доступа. Настройка контроля доступа на отсечение любого трафика, поступающего из внешней сети с исходным адресом, который должен располагаться внутри сети. Однако если санкционированы некоторые внешние адреса, данный метод не эффективен.

2.  Фильтрация REC 2827. Можно пресечь попытки спуфинга чужих сетей пользователями данной сети. При этом отбраковывается любой исходящий трафик, исходный адрес которого не является IP-адресом данной организации.

3.  Дополнительная аутентификация (двухфакторная).

4.  Криптография.

Отказ в обслуживании (Denial of Service, Dos).

Против атак такого типа труднее всего создать 100% защиту. Для организации DоS-атак требуется минимум знаний и умений. Они не нацелены не на получение доступа к сети, ни на получение из этой сети какой-либо информации. Заключаются в том, чтобы занять все соединения и держать их в занятом состоянии, не допуская обслуживания разных пользователей. В ходе атак DоS могут использоваться протоколы TCP и ISMP (Internet Control Massage Protocol). Данный тип атак трудно предотвратить, т. к. для этого требуется координация действий с провайдером. Если не остановить у провайдера трафик, предназначенный для переполнения данной сети, то сделать это на входе в сеть уже невозможно, т. к. вся полоса пропускания будет занята. Когда атака данного типа проводится одновременно через множество устройств, то это распределенная атака DOS (distributed DоS, DDоS).

Угроза атак типа DоS может быть снижена тремя способами:

1.  Функции антиспуфинга (вкл. фильтрацию REC 2827)

2.  Функции анти-DоS на маршрутизаторах и МСЭ.

3.  Ограничение объема трафика (traffic rate limiting) Hp. ограничение объема трафика ICMP, который часто используют атаки (D) DоS.