Разрушающие программные воздействия

Размещено на http://www.allbest.ru/

Введение

Современный компьютерный мир представляет собой разнообразную и весьма сложную совокупность вычислительных устройств, систем обработки информации, телекоммуникационных технологий, программного обеспечения и высокоэффективных средств его проектирования. Вся эта многогранная и взаимосвязанная система решает огромный круг проблем в различных областях человеческой деятельности, от простого решения школьных задач на домашнем персональном компьютере до управления сложными технологическими процессами.

Мировые исследования последних лет показали, что функциональные и надежностные характеристики КС определяются качеством и надежностью программного обеспечения, входящего в их состав. Кроме проблем качества и надежности программного обеспечения при создании КС фундаментальная проблема его безопасности приобретает все большую актуальность.

Целью данной курсовой работы является углубление знаний по данной теме. Для этого решим следующие задачи:

- Дать определение безопасности программного обеспечения;

- Дать определение разрушающих программных средств;

- Обозначить проблемы обеспечения безопасности программного обеспечения;

- Выявить признаки для классификации разрушающих программных средств и классифицировать их;

- Определить мероприятия противодействия РПС.

1. Анализ проблем обеспечения безопасности программного обеспечения, вызываемые разрушающими программами

Прежде, чем анализировать проблемы обеспечения безопасности программного обеспечения, необходимо дать определение термину «угроза» и «разрушающая программа».

Во-первых, безопасность ПО - свойство данного ПО функционировать без проявления различных негативных последствий для конкретной компьютерной системы [2].

Угроза - событие, которое может вызвать нарушение функционирования информационной системы, включая искажение, уничтожение или несанкционированное использование обрабатываемой в ней информации [1].

Разрушающее программное средство (РПС) - программные средства деструктивного воздействия, по своей природе носят разрушительный, вредоносный характер, а последствия их активизации и применения могут привести к значительному или даже непоправимому ущербу в тех областях человеческой деятельности, где применение компьютерных систем является жизненно необходимым [2].

Кандидат технических наук Казарин О.В. утверждает, что при исследовании проблем защиты ПО от преднамеренных дефектов неизбежна постановка следующих вопросов:

- кто потенциально может осуществить практическое внедрение программных дефектов деструктивного воздействия в исполняемый программный код;

- каковы возможные мотивы действий субъекта, осуществляющего разработку таких дефектов;

- как можно идентифицировать наличие программного дефекта;

- каковы наиболее вероятные последствия активизации деструктивных программных средств при эксплуатации компьютерной системы.

Самой уязвимой информационной системой, по мнению О.В. Казарина является так называемая критическая компьютерная система.

Критическая компьютерная система - сложныекомпьютеризированные организационно-технические и технические системы, блокировка или нарушение функционирования которых потенциально приводит к потере устойчивости организационных систем государственного управления и контроля, утрате обороноспособности государства, разрушению системы финансового обращения, дезорганизации системэнергетического и коммуникационно-транспортного обеспечения государства, глобальным экологическим и техногенным катастрофам[2].

Далее попытаемся дать ответы на заданные вопросы.

1.1 Кто потенциально может осуществить практическое внедрение программных дефектов деструктивного воздействия

Непосредственные разработчики алгоритмов и программ для компьютерных систем. Они хорошо знакомы с технологией разработки программных средств, имеют опыт разработки алгоритмов и программ для конкретных прикладных систем, знают тонкости существующей технологии отработки и испытаний программных компонентов и представляют особенности эксплуатации и целевого применения разрабатываемой компьютерной системы. Кроме того, при эксплуатации программных комплексов возможен следующий примерный алгоритм внесения программного дефекта: дизассемблирование исполняемого программного кода, получение исходного текста, привнесение в него деструктивной программы, повторная компиляция, корректировка идентификационных признаков программы (в связи с необходимостью получения программы «схожей» с оригиналом). Таким образом, манипуляции подобного рода могут сделать и посторонние высококлассные программисты, имеющие опыт разработки и отладки программ на ассемблерном уровне.

1.2 Мотивы действий субъекта, осуществляющего разработку дефектов

Следует отметить, что алгоритмические и программные закладки могут быть реализованы в составе программного компонента вследствие следующих факторов:

- в результате инициативных злоумышленных действий непосредственных разработчиков алгоритмов и программ;

- в результате штатной деятельности специальных служб и организаций, а также отдельных злоумышленников;

- в результате применения инструментальных средств проектирования ПО, несущих вредоносное свойство автоматической генерации деструктивных программных средств.

Для описания мотивов злоумышленных действий при разработке программных компонентов необходим психологический «портрет» злоумышленника, что требует проведения специальных исследований психологов и криминологов в области психологии программирования. Однако некоторые мотивы очевидны уже сейчас и могут диктоваться следующим:

- неустойчивым психологическим состоянием алгоритмистов и программистов, обусловленным сложностью взаимоотношений в коллективе, перспективой потерять работу, резким снижением уровня благосостояния, отсутствием уверенности в завтрашнем дне и т.п., в результате чего может возникнуть, а впоследствии быть реализована, мысль отмщения;

- неудовлетворенностью личных амбиций непосредственного разработчика алгоритма или программы, считающего себя непризнанным талантом, в результате чего может появиться стремление доказать и показать кому-либо (в том числе и самому себе) таким способом свои высокие интеллектуальные возможности;

- перспективой выезда за границу на постоянное место жительства (перспективной перехода в другую организацию, например, конкурирующую) с надеждой получить вознаграждение за сведения о программной закладке и механизме ее активизации, а также возможностью таким способом заблокировать применение определенного класса программных средств по избранному месту жительства;

- потенциальной возможностью получить вознаграждение за устранение возникшего при испытаниях или эксплуатации системы «программного отказа» и т.п.

1.3 Как идентифицировать наличие программного дефекта

Широко известны различные средства программного обеспечения обнаружения элементов РПС - от простейших антивирусных программ-сканеров до сложных отладчиков и дизассемблеров - анализаторов и именно на базе этих средств и выработался набор методов, которыми осуществляется анализ безопасности ПО.

Шмаков Э.М. и Зегжда Д.П предлагают разделить методы, используемые для анализа и оценки безопасности ПО, на две категории: контрольно-испытательные и логико-аналитические[2]. В основу данного разделения положены принципиальные различия в точке зрения на исследуемый объект (программу). Контрольно-испытательные методы анализа рассматривают РПС через призму фиксации факта нарушения безопасного состояния системы, а логико-аналитические - через призму доказательства наличия отношения эквивалентности между моделью исследуемой программы и моделью РПС.

В такой классификации тип используемых для анализа средств не принимается во внимание.

Комплексная система исследования безопасности ПО должна включать как контрольно-испытательные, так и логико-аналитические методы анализа, используя преимущества каждого их них.

2. Классификация разрушающих программных средств

Рассматривая комплекс угроз, которые получили распространение на сегодняшний день и исследованы в различных публикациях, следует отметить, что в отечественной и зарубежной литературе, посвященной проблеме безопасности АИС, преднамеренные воздействия рассматриваются с различных точек зрения и используются различные категории.

Преднамеренные угрозы - несанкционированное получение информации и несанкционированная манипуляция данными, ресурсами и самими системами [1].

С. Мафтик при рассмотрении механизмов защиты в сетях ЭВМ выделяет только программы типа «троянский конь» [3]. В свою очередь, С. Недков, использует термин «программы проникновения в вычислительные системы» [4].

С появлением компьютерных вирусов получила распространение новая классификация компьютерных злоупотреблений. Н.Н. Безруков [5,6] рассматривает предшественников компьютерных вирусов - программы вандалы и троянские кони, с выделением в составе последних логических мин (logic bomb), мин с часовым механизмом (time bomb) и программных люков (trap doors).

С.И. Расторгуев использует термин «средства скрытого информационного воздействия (ССИВ)», понимая под ними вирусы и программные закладки [7]. B [8] предложен термин «разрушающие программные средства» (РПС), под которыми понимаются программно-реализуемые средства нарушения целостности обработки и хранения информации в компьютерных системах. При этом выделяются три класса: компьютерные вирусы; средства несанкционированного доступа; программные закладки.

Авторы [9], описывая комплекс защиты для АИС с использованием баз данных, в качестве средств несанкционированного доступа выделяют специально разработанное программное обеспечение - программы - шпионы.

2.1 Классификация по О.В. Казарину

Казарин О.В. предложил следующую классификацию РПС:

- Компьютерные вирусы - программы, способные размножаться, прикрепляться к другим программам, передаваться по линиям связи и сетям передачи данных, проникать в электронные телефонные станции и системы управления и выводить их из строя [2]. Термин применен в 1984 г. Ф. Коэном. Особенность данного класса вредных программ заключается в ненаправленности их воздействия на конкретные типы прикладных программы, а также в том, что во главу угла ставится самодублирование вируса. Разрушение информации вирусом не направлено на конкретные программы и встречается у 10…20% вирусов[10].

Например, вирус Anti-MIT ежегодно 1 декабря разрушает всю информацию на жестком диске, вирус Tea Time мешает вводить информацию с клавиатуры с 15:10 до 15:13, а знаменитый One Half незаметно шифрует данные на жестком диске. В 1989 году американский студент сумел создать вирус, который вывел из строя около 6000 компьютеров Министерства обороны США. Эпидемия известного вируса Dir-II разразилась в 1991. году. Вирус использовал действительно оригинальную, принципиально новую технологию и на первых порах сумел широко распространиться за счет несовершенства традиционных антивирусных средств. Кристоферу Пайну удалось создать вирусы Pathogen и Queeq, а также вирус Smeg. Именно последний был самым опасным, его можно было накладывать на первые два вируса и из-за этого после каждого прогона программы они меняли конфигурацию. Поэтому их было невозможно уничтожить. Чтобы распространить вирусы, Пайн скопировал компьютерные игры и программы, заразил их, а затем отправил обратно в сеть. Пользователи загружали в свои компьютеры зараженные программы и инфицировали диски. Ситуация усугубилась тем, что Пайн умудрился занести вирусы и в программу, которая с ними боролась. Запустив ее, пользователи вместо уничтожения вирусов получали еще один. В результате действий этого вируса были уничтожены файлы множества фирм, убытки составили миллионы фунтов стерлингов[11];

- Программные закладки - программные компоненты, заранее внедряемые в компьютерные системы, которые по сигналу или в установленное время приводятся в действие, уничтожая или искажая информацию, или дезорганизуя работу программно-технических средств;

- Способы и средства, позволяющие внедрять компьютерные вирусы и программные закладки в компьютерные системы и управлять ими на расстоянии.

Действия алгоритмических и программных закладок условно можно разделить на три класса: изменение функционирования вычислительной системы (сети), несанкционированное считывание информации и несанкционированная модификация информации, вплоть до ее уничтожения. В последнем случае под информацией понимаются как данные, так и коды программ. Следует отметить, что указанные классы воздействий могут пересекаться.

В первом классе воздействий выделим следующие:

- уменьшение скорости работы вычислительной системы (сети);

- частичное или полное блокирование работы системы (сети);

- имитация физических (аппаратурных) сбоев работы вычислительных средств и периферийных устройств;

- переадресация сообщений;

- обход программно-аппаратных средств криптографического преобразования информации;

- обеспечение доступа в систему с непредусмотренных периферийных устройств.

Несанкционированное считывание информации, осуществляемое в автоматизированных системах, направлено на:

- считывание паролей и их отождествление с конкретными пользователями;

- получение секретной информации;

- идентификацию информации, запрашиваемой пользователями;

- подмену паролей с целью доступа к информации;

- контроль активности абонентов сети для получения косвенной информации о взаимодействии пользователей и характере информации, которой обмениваются абоненты сети.

Несанкционированная модификация информации является наиболее опасной разновидностью воздействий программных закладок, поскольку приводит к наиболее опасным последствиям. В этом классе воздействий можно выделить следующие:

- разрушение данных и кодов исполняемых программ внесение тонких, трудно обнаруживаемых изменений в информационные массивы;

- внедрение программных закладок в другие программы и подпрограммы (вирусный механизм воздействий);

- искажение или уничтожение собственной информации сервера и тем самым нарушение работы сети;

- модификация пакетов сообщений.

С точки зрения времени внесения программных закладок в программы их можно разделить на две категории: априорные и апостериорные, то есть закладки, внесенные при разработке ПО (или «врожденные») и закладки, внесенные при испытаниях, эксплуатации или модернизации ПО (или «приобретенные») соответственно.

2.2 Классификация РПС по С.А. Охрименко, Г.А. Черней

безопасность программный разрушающий дефект

С.А. Охрименко, Г.А. Черней дают в своей работе «Угрозы безопасности автоматизированным информационным системам (программные злоупотребления)» следующую классификацию РПС [1]:

а) Тактические программные средства предназначаются для достижения ближайших целей: получения паролей, несанкционированного доступа, разрушения информации и других действий. Тактические программные средства обычно используются для подготовки и реализации стратегических злоупотреблений.

б) Стратегические программные средства направлены на реализацию далеко идущих целей и связаны с большими финансовыми потерями для АИС и объекта управления.

в) Программы получения паролей - это две большие группы программ, которые предназначены для получения идентификаторов и паролей пользователей.

Программы открытия паролей последовательно генерируют все возможные варианты пароля и выдают их системе до тех пор, пока не будет определен необходимый пароль. Пароли являются основным средством идентификации пользователей в многопользовательских компьютерных системах, и открытие пароля и входного имени пользователя позволяет организовать доступ к конкретной информации.

Программы захвата паролей имитируют системный сбой в работе компьютера (например, перезагрузку операционной системы, отключение сети и др.), и запрашивают у пользователя идентификатор и пароль, после чего передают управление рабочей программе, операционной системе или другим программам [12].

г) «Люки" или «trap door» - сущность использования люков состоит в том, что при реализации пользователем не описанных в документации действий, он получает доступ к ресурсам и данным, которые в обычных условиях для него закрыты (в частности, вход в привилегированный режим обслуживания).

Люки могут появиться в программном продукте следующими путями:

1) люки чаще всего являются результатом забывчивости разработчиков. В процессе разработки программы создаются временные механизмы, облегчающие ведение отладки за счет прямого доступа к продукту.

Одним из примеров использования забытых люков является инцидент с вирусом Морриса [1]. Одной из причин обусловившей распространение этого вируса, являлась ошибка разработчика программы электронной почты, входящей в состав одной из версий ОС UNIX, приведшая к появлению малозаметного люка.

2) люки могут образоваться также в результате часто практикуемой технологии разработки программных продуктов «сверху-вниз». При этом программист приступает к написанию управляющей программы, заменяя предполагаемые в будущем подпрограммы так называемыми «заглушками» - группами команд, имитирующими или обозначающими место присоединения будущих подпрограмм. В процессе работы эти заглушки заменяются реальными подпрограммами.

На момент замены последней заглушки реальной подпрограммой, программа считается законченной. Но на практике подобная замена выполняется не всегда. Во-первых, из-за нарушения сроков разработки и сдачи в эксплуатацию и, во-вторых, из-за невостребованности данной подпрограммы. Таким образом, заглушка остается, представляя собой слабое место системы с точки зрения информационной безопасности.

3) программист пишет программу, которой можно управлять с помощью определенных команд, или, например, путем ввода «Y» («Да») или «N» («Нет»). А что произойдет, если в ответ на запрос будет вводиться «А» или «В» и т.д.? Если программа написана правильно, то на экране должно появиться сообщение типа «Неправильный ввод» и повтор запроса. Однако может быть ситуация, когда программа не учитывает такое, предполагая, что пользователь будет действовать правильно. В таком случае реакция программы на неопределенный ввод может быть непредсказуемой. Такую ситуацию в программе можно специально создать для того, чтобы получить доступ к определенным ресурсам и данным.

Таким образом, люк может присутствовать в программном продукте вследствие умышленных или неумышленных действий со стороны программиста для обеспечения:

- тестирования и отладки программного продукта;

- окончательной сборки конечной программы; скрытого средства доступа к программному продукту и данным.

В первом случае люк - это неумышленная, но серьезная брешь в безопасности системы. Во втором - серьезная экспозиция безопасности системы. В третьем случае - первый шаг к атаке системы.

Такие виды нарушений называются trap doors или back doors (в литературе за данными программными средствами закрепилось название «задние ворота»). Пример встроенного люка в операционную систему MS-DOS приводится в [1].

д) Логические бомбы (logic bomb) - программный код, который является безвредным до выполнения определенного условия, после которого реализуется логический механизм [1]. Логические бомбы, в которых срабатывание скрытого модуля определяется временем (текущей датой), называют бомбами с часовым механизмом (time bomb). Подобные программы, реализующие свой механизм после конкретного числа исполнений, при наличии или, наоборот, отсутствии определенного файла, а также соответствующей записи в файле, получили название логической бомбы (logic bomb).

В связи с тем, что подобные программы имеют ограниченный доступ к ресурсам системы, разрушительный эффект остается достаточно низким. Опасность может значительно увеличиться, если логическая бомба будет встроена в системное программное обеспечение, что приведет к уничтожению файлов, переформатированию машинных носителей или к другим разрушающим последствиям. Основной целью функционирования программ типа логической бомбы следует считать нарушение нормальной работы компьютерной системы.

е) «Троянский конь» - программа, которая кроме своей основной деятельности выполняет некоторые дополнительные (разрушительные), Не описанные в документации функции, о чем пользователь не подозревает [1].

Реализация дополнительных функций выполняется скрытым от пользователя модулем, который может встраиваться в системное и прикладное программное обеспечение. При реализации пораженной программы троянский конь получает доступ к ресурсам вместе с пользователем.

Троянские кони значительно опаснее РПС, рассмотренных ранее, поскольку чаще всего они встраиваются в хорошо зарекомендовавшие себя программные продукты - инструментальные средства, пакеты прикладных программ, текстовые редакторы, компьютерные игры и т.д., и выступают в качестве средства несанкционированного доступа к содержащейся в системе информации. В некоторых случаях термином «троянские программы» ошибочно называли программы, содержащие ошибки или плохо спроектированный интерфейс с пользователем.

Компьютерные системы, использующий дескрипторные методы управления доступом (в том числе такие, как полномочия, списки управления доступом и др.), становятся практически беззащитными против программ типа троянский конь.

ж) Репликаторы-могут создавать одну, или более своих копий в компьютерной системе. Это приводит к быстрому переполнению памяти компьютера, но данные действия могут быть обнаружены опытным пользователем и достаточно легко устранены. Устранение программы репликатора усложняется в тех случаях, когда репликация выполняется с модификацией исходного текста: программы, что затрудняет распознавание ее новых копий. Репликаторные программы становятся особенно опасными, когда к функции размножения будут добавлены другие разрушающие воздействие.

з) Программные закладки - программы, которые сохраняют вводимую с клавиатуры информацию (в том числе и пароли) в некоторой зарезервированной для этого области.

Данный тип программных злоупотреблений включает [1]:

- закладки, ассоциируемые с программно-аппаратной средой (BIOS);

- закладки, ассоциируемые с программами первичной загрузки, находящимися в Master Boot Record или Root секторов активных разделов;

- закладки, ассоциируемые с загрузкой драйверов DOS, командного интерпретатора, сетевых драйверов;

- закладки, ассоциируемые с прикладным программным обеспечением общего назначения (встроенные в клавиатурные или экранные драйверы, программы тестирования, утилиты и оболочки типа Norton Commander);

- исполняемые модули, содержащие только код закладки (как правило, внедряемые в пакетные файлы типа ВАТ);

- модули-имитаторы, совпадающие по внешнему: виду с программами, требующими ввода конфиденциальной информации;

- Закладки, маскируемые под ПС оптимизационного назначения (архиваторы, ускорители и т.д.);

- закладки, маскируемые под ПС игрового и развлекательного назначения (как правило, используются для первичного внедрения закладок типа: «исследователь»).

и) Атаки «салями» - характерны для финансовыми банковских информационных систем, где ежедневно проводятся тысячи операций, связанных с безналичными расчетами, переводами сумм, начислениями и т.д. [12]. При реализации расчетов вычисляются различного рода доли, которые округляются в большую или меньшую сторону. Атака «салями» состоит в накоплении на отдельном счете этих долей денежной единицы. Практика доказала, что эксплуатация такой программы обеспечивает накопление значительных сумм.

к) Скрытые каналы - это программы, передающие информацию лицам, которые в обычных условиях эту информацию получать не должны [12]. Злоумышленник не всегда имеет непосредственный доступ к компьютерной системе. Для скрытой передачи информации используют различные элементы, форматы «безобидных» отчетов, например, разную длину строк, пропуски между строками, наличие или отсутствие служебных заголовков, управляемый вывод незначащих цифр в выводимых величинах, количество пробелов или других символов в определенных местах отчета и т.д.;

При использовании скрытых каналов для получения относительно небольших объемов информации захватчик вынужден проделать достаточно большую работу. Поэтому скрытые каналы более приемлемы в ситуациях, когда нарушителя интересует не сама информация, а факт ее наличия.

Может возникнуть ситуация, когда скрытый канал сообщает о наличии в системе определенной информации, что в свою очередь служит признаком работы в системе определенного процесса, позволяющего провести атаку иного типа.

л) Компьютерные вирусы(KB) - представляют собой программные разработки, способные проникать в среду компьютерных систем и наносить разного рода повреждения [12,3,4].

Вирусы представляют собой наиболее полно исследованный класс программных злоупотреблений, превосходящий по разрушающим возможностям все другие.

Интересным является определение компьютерного вируса в законодательстве штата Техас (США) [1], как посторонняя (нежелательная) компьютерная программа или другой набор инструкций, внесенных в память компьютера, операционную систему или программу, при разработке которых они были специально снабжены способностью к воспроизведению или к воздействию на другие программы и файлы, находящиеся в компьютере, путем присоединения дубликата такой посторонней (нежелательной) программы к одной или более компьютерным программам или файлам.

С развитием технологий обработки информации получили распространение и другие виды злоупотреблений. Самыми распространенными можно считать:

«Отказы в обслуживании» - несанкционированное использование компьютерной системы в своих целях (например, для бесплатного решения своих задач), либо блокирование системы для отказа в обслуживании другим пользователям. Для реализации такого злоупотребления используются так называемые «жадные программы» - программы, способные захватить монопольно определенный ресурс системы (причем необязательно центральный процессор). Следует отметить, что отказ в обслуживании пользователю, обладающему действительными правами доступа, может явиться одним из результатов функционирования таких программ, как «троянские кони», «люки» и другие.

Работа между строк (between lines) - подключение к линиям связи и внедрение в компьютерную систему с использованием промежутков в действиях законного пользователя. При интерактивной работе пользователя образуются своеобразные «окна» (например, отклик системы опережает действия пользователя, которому необходимо время для обдумывания последующих действий). Эти «окна» вполне могут быть использованы нарушителем для работы с системой под маской пользователя.

Анализ трафика (trafic analysis) - захватчик анализирует частоту и методы контактов пользователей в системе [1]. При этом можно выяснить правила вступления в связь, после чего производится попытка вступить в контакт подвидом законного пользователя.

Маскарад(masquerade) - захватчик использует для входа в систему, ставшую ему известной идентификацию законного пользователя [17, 28 и ДР.].

«Подкладывание свиньи» (piggback) - нарушитель подключается к линиям связи и имитирует работу системы с целью осуществления незаконных манипуляций. Например, он может имитировать сеанс связи и получить данные под видом легального пользователя. Пользователь, не подозревая об этом, передает информацию и / или получает ее. Таким образом, может осуществляться не только шпионаж, но и Дезинформация, что также отрицательно сказывается на работе АИС и объекта управления в целом.

Повторное использование объектов (object reutilization) - состоит в восстановлении и повторном использовании удаленных объектов системы.

Примером реализации подобного злоупотребления служит удаление файлов операционной системой. Когда ОС выдает сообщение, что, некоторый файл удален, то это не означает, что информация, содержащаяся в данном файле уничтожена в прямом смысле слова. Данное сообщение означает, что система пометила блоки памяти, ранее составлявшие содержимое файла, специальным флажком, говорящим о том, что данный блок не входит в состав какого-либо файла и может быть использован для размещения в нем другой информации. Но информация, которая была в данном блоке, никуда не исчезает до момента записи на это место другой информации. Таким образом, если прочесть содержание блока, можно получить доступ к «удаленной» информации (даже средствами ОС). Одной из разновидностей повторного использования объектов является работа с компьютерным» мусором». Компьютерным «мусором» являются данные, оставшиеся в памяти компьютера после завершения работы. Осуществляя сбор компьютерного «мусора» с помощью специальных программных средств, нарушитель имеет возможность проанализировать содержание информационной деятельности пользователей.

«Раздеватели» - группа специальных средств, которые предназначены для реализации НСК и снятия защиты. Раздеватель - комплекс специально разработанных программных средств, ориентированных на исследование защитного механизма программного продукта от НСК и его преодоление. В данную группу входят следующие программные разработки, используемые для «вскрытия» защиты [1]:

- эмуляторы среды, предназначенные для подделки среды, в которой работает защищаемая программа;

- симулятор микропроцессора 8088;

- специальные отладчики для работы в защищенном режиме для 386-го микропроцессора.

2.3 Классификация РПС по Гайковичу В. и Першину А

Таблица 1 - Классификация РПС

№	Признак классификации	Виды РПС
1	Цель реализации угрозы	- нарушение конфиденциальности; - нарушение целостности; - нарушение доступности;
2	Принцип воздействия	- с использованием доступа; - с использованием скрытых каналов;
3	Характер воздействия	- активные; - пассивные;
4	Причина появления используемой ошибки защиты	- неадекватность политики безопасности; - ошибка управления системой защиты; - ошибки проектирования системы защиты; - ошибки кодирования;
Продолжение таблицы 1
5	Способ воздействия на объект атаки	- непосредственное воздействие на объект атаки; - воздействие на систему разрешений; - опосредованное воздействие;
6	Способ воздействия	- в интерактивном режиме; - в пакетном режиме;
7	Объект атаки	- на АИС в целом; - на объекты АИС; - на субъекты АИС; - на каналы передачи данных;
8	Используемые средства атаки	- с использованием штатного ПО; - с использованием разработанного ПО;
9	Состояние объекта атаки	- при хранении объекта; - при передачи объекта; - при обработке объекта.

Наиболее полная классификация, по мнению автора курсовой работы. Но считаем нужным дополнить классификацию, данную Гайковичем В. И Першиным А., таким критерием классификации как стохастичность РПС.

Предмет исследования стохастической вирусологии - РПС (в том числе распределенные во времени и / или пространстве), использующие криптографические, криптоаналитические и стеганографические методы для затруднения своего обнаружения и / или выполнения деструктивных функций, а также методы защиты от них.

Таблица 2

модификация на уровне байтов или слов;	Обычно подразумевает побайтную или пословную расшифровку. Расшифровщик сгенерирован с использованием случайных «мусорных» команд, случайных ключей, случайной замены регистров. Управление после расшифровки передается на один и тот же код. КВ подобного типа выявляются по структурной сигнатуре.
модификация на уровне команд;	Идея заключается в том, чтобы изменять команды / группы команд на функционально им эквивалентные (замена) и / или менять команды местами (перестановка).
модификация на уровне функциональных вызовов;	Функционально мутирующий код. Этот уровень на практике пока не был эффективно реализован. Смысл мутаций - затруднить детектирование по структурной сигнатуре.
модификация на уровне алгоритма.	Алгоритмически мутирующий код. Этот уровень в настоящее время нигде не реализован. Одним из возможных путей реализации является использование внешнего макро-языка, способного собирать рабочий код из блоков-алгоритмов. При этом для возможности такой сборки блоки должны быть независимыми другот друга, либо должны иметь возможность обмениваться данными.

3. Принципы функционирования РПС. Последствия применения РПС

Нелегитимное использование ресурсов. РПС, в отличие от полезных программ, осуществляют нелегитимное потребление ресурсов - захват оперативной памяти, дискового пространства, любое РПС, по крайней мере, расходует процессорное время.

Нелегитимный доступ к данным. РПС осуществляют нелегитимный доступ (чтение или запись) к данным. Это одно из основных свойств РПС, которому они обязаны своим названием.

Нелегитимный запуск программ. Это свойство присуще в основном РПС, функционирующим в развитых сетевых ОС (так называемые «черви»). В этом случае РПС существуют и распространяются не как программы на диске, а как процессы в ОС[13].

РПС - программа, которая осуществляет нелегитимный доступ либо к данным, либо к ресурсам, либо к программам. Наличие хотя бы одной из этих функций позволяет отнести исследуемую программу к классу РПС. Несанкционированный доступ означает, что программа пытается совершить действия, на которые она не имеет полномочий. Эти действия не допускаются политикой безопасности вычислительных систем и должны пресекаться системой разграничения доступа вычислительной системы. Нелегитимный доступ влечет за собой ущерб безопасности и / или целостности вычислительной системы.

Например, «Троянский конь» позволяет осуществить скрытый несанкционированный доступ к информационным массивам. Он активируется по команде и используется для изменения или разрушения информации, а также замедлять выполнение различных функций системы.
«Червь» - это посторонний файл, сформированный внутри информационной базы данных системы. Он способен изменять рабочие файлы, уменьшать ресурсы памяти, а также перемещать и изменять определенную информацию.

Предполагается наличие в РПС следующего набора возможных функциональных элементов[2]:

- процедуры захвата (получения) управления;

- процедуры самомодификации («мутации»);

- процедуры порождения (синтеза);

- процедуры маскировки (шифрования).

Этих элементов достаточно для построения обобщенной концептуальной модели РПС, которая отражает возможную структуру (на семантическом уровне) основных классов РПС.

В процессе изучения материала по данной теме были найдены следующие модели функционирования РПС[10]:

а) Модель «перехват». РПС встраивается (внедряется) в ПЗУ, ОС или прикладное программное обеспечение и сохраняет все или избранные фрагменты вводимой (с внешних устройств) или выводимой (на жесткий диск, принтер и др.) информации в скрытой области локальной или удаленной внешней памяти прямого доступа. Объектом сохранения может быть клавиатурный ввод (либо целиком, либо избранные последовательности, например повторяемые два раза), документы, выводимые на принтер, или уничтожаемые файлы-документы. Данная модель может быть двухэтапной: на первом этапе сохраняются только атрибутивные признаки (например, имена или начала файлов), затем накопленная информация снимается и злоумышленник принимает решение о конкретных объектах дальнейшей атаки. Для данной модели существенно наличие во внешней памяти места хранения информации, которое должно быть организовано таким образом, чтобы обеспечить ее сохранность на протяжении заданного промежутка времени и возможность последующего съема. Важно также, чтобы сохраняемая информация была каким-либо образом замаскирована от просмотра легальными пользователями.

б) Модель «троянский конь». РПС встраивается в постоянно используемое программное обеспечение и по некоторому активизирующему событию моделирует сбойную ситуацию на средствах хранения информации или в оборудовании компьютера (сети). Тем самым могут быть достигнуты две различные цели: во-первых, парализована нормальная работа компьютерной системы и, во-вторых, злоумышленник (под видом ремонта) может ознакомиться с имеющейся в системе или накопленной по модели «перехват» информацией. Событием, активизирующим РПС, может быть некоторый момент времени, либо сигнал из канала модемной связи (явный или замаскированный), либо состояние некоторых счетчиков (например, число запусков программ).

в) Модель «наблюдатель». РПС встраивается в сетевое или телекоммуникационное программное обеспечение. Пользуясь тем, что данное ПО, как правило, всегда активно, РПС осуществляет контроль за процессами обработки информации на данном компьютере, установку и удаление закладок, а также съем накопленной (первая модель, «сохранение») информации. РПС может инициировать события для ранее внедренных закладок, действующих по модели «троянский конь».

г) Модель «компрометация». РПС либо передает заданную злоумышленником информацию (например, клавиатурный ввод) в канал связи, либо сохраняет ее, не полагаясь на гарантированную возможность последующего приема или снятия. Более экзотичный случай - РПС инициирует постоянное обращение к информации, приводящее к росту отношения сигнал/шум при перехвате побочных излучений.

д) Модель «искажение или инициатор ошибок». РПС искажает потоки данных, возникающие при работе прикладных программ (выходные потоки), либо искажает входные потоки информации, либо инициирует (или подавляет) возникающие при работе прикладных программ ошибки.

е) Модель «уборка мусора». В данном случае прямого воздействия РПВ может и не быть; изучаются «остатки» информации. В случае применения РПСнавязывается такой порядок работы, чтобы максимизировать количество остающихся фрагментов ценной информации. Злоумышленник получает либо данные фрагменты, используя закладки моделей 2 и 3, либо непосредственный доступ к компьютеру под видом ремонта или профилактики.

Размещено на Allbest.ru

...