II.3.Характеристики наиболее распространенных угроз

1. Несанкционированный доступ (НСД) = unauthorised access

Наиболее распространенный вид компьютерных нарушений, заключается в получении пользователем доступа к объекту, на который у него нет разрешения в соответствии с принятой в организации политикой безопасности.

По характеру воздействия НСД – активное воздействие, использующее ошибки системы.

По воздействию НСД:

непосредственное воздействие на объект

воздействует на информацию о санкционированном доступе с целью легализации НСД

По используемым средствам: НСД может быть осуществлен как стандартными, так и специально разработанными программными средствами к любым объектам системы в любом состоянии.

По цели реализации НСД :

-Контролизация

-Достаточная избыточность к объектам

Методика реализации НСД в значительной мере зависит от организации обработки информации в системе, разработанной для нее политики безопасности, возможностей установленных средств защиты, добросовестности администратора и оператора.

Два способа реализации НСД:

1.Преодоление системы защиты (сложно, трудоемко и эффективно)

2.Доступ к данным, открытым для доступа по недосмотру администратора

(легко осуществить, легко защититься). К этому же типу относится НСД с подбором пароля (осуществляется в случае нарушения правил составления паролей)

2. Незаконное использование привилегий- активное воздействие

Злоумышленники, применяющие данный способ атаки, обычно используют штатное ПО (системное или прикладное), функционирующее в нештатном режиме.

Практически любая защищенная система содержит средства, применяемые в чрезвычайных ситуациях, при сбоях оборудования или средства, которые способны функционировать с нарушением существующей политики безопасности. Такие средства необходимы, но могут быть чрезвычайно опасными. Они обычно используются администраторами, операторами и другими пользователями, выполняющими специальные функции.

Для того, чтобы уменьшить риск от применения таких средств большинство систем защиты реализует такие функции с помощью набора привилегий — для выполнения определенной функции

требуется определенная привилегия. Обычные пользователи получают минимальный набор привилегий, администраторы —максимальный (в соответствии с принципом минимума привилегий). Наборы привилегий каждого пользователя являются его атрибутами и охраняются системой

защиты. Несанкционированный захват привилегий приведет к возможности несанкционированного выполнения определенной функции(запуск программ, реконфигурация системы).

По цели:доступ к какому-либо объекту или системе в целом.

Незаконный захват привилегий возможен при:

-наличии ошибок системы защиты

-халатности при управлении системой и привилегиями

3. Атаки «салями»

более всего характерны для систем, обрабатывающих денежные счета. Принцип атак «салями» построен на том факте, что при обработке счетов используются целые единицы (центы, рубли, копейки), а при исчислении процентов нередко получаются дробные суммы. Так, банковская система может округлить $0.5495726 до $0.55. Однако если пользователь имеет доступ к банковским счетам или программам их обработки, он может округлить ее в другую сторону — до $0.54, а разницу в 1 цент записать на свой счет. Владелец счета вряд ли ее заметит, а злоумышленник же получит прибыль в один цент, при обработке 10.000счетов в день его прибыль таким образом составит $1000, т.е. около $300 000 в год.

Отсюда и происходит название таких атак — как колбаса салями изготавливается из небольших частей

разных сортов мяса, так и счет злоумышленника пополняется за счет различных вкладчиков.

Причины атак «салями»

- погрешности вычислений, позволяющие трактовать правила округления в ту или иную сторону

-огромные объемы вычислений, необходимые для обработки счетов

Атаки «салями» достаточно трудно распознаются, если только злоумышленник не начинает накапливать на одном счете миллионы.

Предотвратить такие атаки можно

-обеспечением целостности и корректности прикладных программ, обрабатывающих счета

-разграничением доступа пользователей системы к счетам

-постоянным контролем счетов на предмет утечки сумм.

4. «Скрытые каналы»- пассивное воздействие (нарушение только в передачи информации)

это пути передачи информации между процессами системы, нарушающие системную политику

безопасности. (приводят к нарушениям конфиденциальности информации в системе)

В среде с разделением доступа к информации пользователь может не получить разрешение на обработку интересующих его данных, однако может придумать для этого обходные пути. Практически любое действие в системе каким-то образом затрагивает другие ее элементы, которые при этом могут изменять свое состояние.

При достаточной наблюдательности и знании этих связей можно получить прямой или опосредованный доступ к данным.

Используемые средства:

-штатное ПО

- специально разработанные «троянские» или вирусные программы.

Атака обычно производится программным способом.

Пример: «Скрытым каналом» может явиться передача информации о наличии или отсутствии какого-либо набора данных, его размере, дате создания или модификации и т.д.

Очень трудно отделить неразрешенные «скрытые каналы» от разрешенных, то есть тех, которые не запрещаются системной политикой безопасности. В конечном счете все определяется ущербом, который может принести организация «скрытых каналов».

Отличительные особенности «скрытых каналов»:

- их малая пропускная способность (по ним обычно можно передавать только небольшое количество информации)

-большие трудности их организации и обычно небольшой наносимый ими ущерб. Более того, он

вообще бывает незаметен, поэтому специальные меры защиты против «скрытых каналов» предпринимают довольно редко. Обычно достаточно грамотно разработанной полномочной политики безопасности.

5. «Маскарад»-

это способ активного нарушения защиты системы, он является опосредованным воздействием, то есть воздействием, это использование возможностей других пользователей (выполнение программ от лица других пользователей).

Также, так называют передачу сообщений в сети от имени другого пользователя. На приемном узле такое сообщение будет воспринято как корректное, что может привести к серьезным нарушениям работы сети. Особенно это касается управляющих сообщений, изменяющих конфигурацию сети, или сообщений, ведущих к выполнению привилегированных операций.

Примеры:

- вход в систему под именем и паролем другого пользователя, при этом система защиты не сможет распознать нарушение. В этом случае «маскараду» обычно предшествует взлом системы или перехват пароля

- присвоение имени другого пользователя в процессе работы. Это может быть сделано с помощью средств операционной системы или с помощью спец. программы. В этом случае «маскараду» может предшествовать захват привилегий, или он может быть осуществлен с использованием какой-либо ошибки в системе.

Может привести к:

- изменению конфигурации системы (сети)

- утечке информации

- нарушения работы системы

Для предотвращения необходимо:

- использовать надежные методы идентификации и аутентификации

- блокировку попыток взлома системы, контроль входов в нее

- фиксировать все события, которые могут свидетельствовать о «маскараде», в системном журнале для его последующего анализа

6. «Сборка мусора»-

это активное, непосредственное воздействие на объекты АСОИ при их хранении с использованием доступа. Это воздействие может привести к нарушению конфиденциальности информации (чтение остатков информации на носителях, из оперативной памяти с использованием специальных программ и оборудования)

Для защиты от «сборки мусора» используются специальные механизмы, которые могут быть реализованы в

ОС и/или аппаратуре компьютера или в дополнительных программных (аппаратных) средствах. Примеры таких механизмов:

-стирающий образец - некоторая последовательность битов, записываемая на место, освобождаемое

файлом. Стираемые данные уничтожаются физически.

-метка полноты - предотвращает чтение участков памяти, отведенных процессу для записи, но не использованных им. Верхняя граница адресов использованной памяти и есть метка полноты. Этот способ используется для защиты последовательных файлов исключительного доступа (результирующие файлы редакторов, компиляторов, компоновщиков т.д.). Для индексных и разделяемых последовательных файлов этот

метод называется «стирание при размещении», память очищается при выделении ее процессу.

7. «Взлом системы»-

это умышленное проникновение в систему с несанкционированными параметрами входа, то есть именем пользователя и его паролем (паролями).

Это умышленное, активное воздействие на систему в целом, обычно происходит в интерактивном режиме.

Объектом «охоты» обычно становится пароль. Способы вскрытия пароля:

-перебор возможных паролей

-«маскарад» с использованием пароля другого пользователя, захват привилегий

- используя ошибки программы входа.

Защита от взлома системы:

-алгоритм ввода имени и пароля, их шифрование (при необходимости), правила хранения и смены паролей не должны содержать ошибок

-ограничение количества попыток неправильного ввода пароля с последующей блокировкой терминала и уведомлением оператора в случае нарушения

8. «Люки»-

это скрытая, недокументированная точка входа в программный модуль. «Люк» вставляется в программу обычно на этапе отладки для облегчения работы: программный модуль можно вызывать в разных местах, что позволяет отлаживать отдельные его части независимо. Кроме того, «люк» может вставляться на этапе разработки для последующей связи данного модуля с другими модулями системы, но затем, в результате изменившихся условий данная точка входа оказывается ненужной.

Наличие «люка» позволяет вызывать программу нестандартным образом, что может серьезно сказаться на состоянии системы защиты.

Относится к категории угроз, возникающих вследствие ошибок реализации какого-либо проекта

(АСОИ в целом, комплекса программ и т.д.). Классифицировать данную угрозу как-либо еще затруднительно.

«Люки» могут оказаться в программах по следующим причинам:

- их забыли убрать

- для использования при дальнейшей отладке

- для обеспечения поддержки готовой программы

- для реализации тайного контроля доступа к данной программе после ее установки (может стать первым шагом

преднамеренного проникновения с использованием данной программы)

Программная ошибка «люком» не является.

Большая опасность «люков», особенно в программах операционной системы, компенсируется высокой сложностью их обнаружения. В большинстве случаев обнаружение «люков» — результат случайного поиска. Защита от «люков»:

- не допускать появления «люков» в программе

-при приеме ПО, разработанного третьими производителями проводить анализ исходных текстов программ с целью обнаружения «люков».

9. Вредоносные программы-

программы, которые прямо или косвенно дезорганизуют процесс обработки информации или способствуют утечке или искажению информации.

Для защиты от этих разновидностей вредоносных программ необходимо создание замкнутой среды исполнения программ, разграничение доступа к исполняемым файлам, контроль целостности исполняемых файлов и системных областей, тестирование приобретаемых программных средств