Модели воздействия программных

Закладок на компьютеры

Перехват

В модели перехват программная закладка внедряется в ПЗУ, системное или прикладное программное обеспечение и сохраняет всю или выбранную информацию, вводимую с внешних устройств компьютерной системы или выво­димую на эти устройства, в скрытой области памяти локальной или удален­ной компьютерной системы. Объектом сохранения, например, могут служить символы, введенные с клавиатуры (все повторяемые два раза последователь­ности символов), или электронные документы, распечатываемые на принтере.

Данная модель может быть двухступенчатой. На первом этапе сохраняются только, например, имена или начала файлов. На втором накопленные дан­ные анализируются злоумышленником с целью принятия решения о кон­кретных объектах дальнейшей атаки.

Модель типа перехват может быть эффективно использована при атаке на защищенную операционную систему Windows NT. После старта Windows NT на экране компьютерной системы появляется приглашение нажать клавиши <Ctrl>+<Alt>+<Del>. После их нажатия загружается динамическая библио­тека MSGINA.DLL, осуществляющая прием вводимого пароля и выполне­ние процедуры его проверки (аутентификации). Также существует простой механизм замены исходной библиотеки MSGINA.DLL на пользовательскую (для этого необходимо просто добавить специальную строку в реестр опера­ционной системы Windows NT и указать местоположение пользовательской библиотеки). В результате злоумышленник может модифицировать процеду­ру контроля за доступом к компьютерной системе, работающей под управ­лением Windows NT.

Искажение

В модели искажение программная закладка изменяет информацию, которая записывается в память компьютерной системы в результате работы про­грамм, либо подавляет/инициирует возникновение ошибочных ситуаций в компьютерной системе.

Можно выделить статическое и динамическое искажение. Статическое иска­жение происходит всего один раз. При этом модифицируются параметры программной среды компьютерной системы, чтобы впоследствии в ней вы­полнялись нужные злоумышленнику действия. К статическому искажению относится, например, внесение изменений в файл AUTOEXEC.BAT операци­онной системы Windows 95/98, которые приводят к запуску заданной про­граммы, прежде чем будут запущены все другие, перечисленные в этом файле.

Динамическое искажение заключается в изменении каких-либо параметров системных или прикладных процессов при помощи заранее активизирован­ных закладок. Динамическое искажение можно условно разделить на ис­кажение на входе (когда на обработку попадает уже искаженный документ) и искажение на выходе (когда искажается информация, отображаемая для вос­приятия человеком или предназначенная для работы других программ).

В рамках модели “искажение” также реализуются программные закладки, действие которых основывается на инициировании или подавлении сигнала о возникновении ошибочных ситуаций в компьютерной системе, т.е. тех, которые приводят к отличному от нормального завершению исполняемой программы (предписанного соответствующей документацией).

Для инициирования статической ошибки на устройствах хранения инфор­мации создается область, при обращении к которой (чтение, запись, форма­тирование и т.п.) возникает ошибка, что может затруднить или блокировать некоторые нежелательные для злоумышленника действия системных или прикладных программ (например, не позволять корректно уничтожить конфиденциальную информацию на жестком диске).

При инициировании динамической ошибки для некоторой операции генери­руется ложная ошибка из числа тех ошибок, которые могут возникать при выполнении данной операции. Например, для блокирования приема или пе­редачи информации в компьютерной системе может постоянно иницииро­ваться ошибочная ситуация “МОДЕМ ЗАНЯТ”.

Чтобы маскировать ошибочные ситуации, злоумышленники обычно исполь­зуют подавление статической или динамической ошибки. Целью такого по­давления часто является стремление блокировать нормальное функциониро­вание компьютерной системы или желание заставить ее неправильно работать. Чрезвычайно важно, чтобы компьютерная система адекватно реа­гировала на возникновение всех без исключения ошибочных ситуаций, по­скольку отсутствие должной реакции на любую ошибку эквивалентно ее подавлению и может быть использовано злоумышленником.

Разновидностью искажения является также модель типа троянский конь. В этом случае программная закладка встраивается в постоянно используе­мое программное обеспечение и по некоторому активизирующему событию вызывает возникновение сбойной ситуации в компьютерной системе.

Уборка мусора

Как известно, при хранении компьютерных данных на внешних носителях прямого доступа выделяется несколько уровней иерархии сектора, кластеры и файлы. Сектора являются единицами хранения информации на аппаратном уровне. Кластеры состоят из одного или нескольких подряд идущих секторов. Файл – это множество кластеров, связанных по определенному закону.

Работа с конфиденциальными электронными документами обычно сводится к последовательности следующих манипуляций с файлами:

 создание;

 хранение;

 коррекция;

 уничтожение.

Для защиты конфиденциальной информации обычно используется шифро­вание. Основная угроза исходит отнюдь не от использования нестойких ал­горитмов шифрования и “плохих” криптографических ключей, а от обыкновенных текстовых редакторов и баз данных, применяемых для создания и коррекции конфиденциальных документов.

Дело в том, что подобные программные средства, как правило, в процессе функционирования создают в оперативной или внешней памяти компью­терной системы временные копии документов, с которыми они работают. Естественно, все эти временные файлы выпадают из поля зрения любых программ шифрования и могут быть использованы злоумышленником для того, чтобы составить представление о содержании хранимых в зашифро­ванном виде конфиденциальных документов.

Важно помнить и о том, что при записи отредактированной информации меньшего объема в тот же файл, где хранилась исходная информация до на­чала сеанса ее редактирования, образуются так называемые “хвостовые” кла­стеры, в которых эта исходная информация полностью сохраняется. И тогда “хвостовые” кластеры не только не подвергаются воздействию программ шифрования, но и остаются незатронутыми даже средствами гарантирован­ного стирания информации. Конечно, рано или поздно информация из “хвостовых” кластеров затирается данными из других файлов, однако по оценкам специалистов из “хвостовых” кластеров через сутки можно извлечь до 85%, а через десять суток – до 25–40% исходной информации.

Наши рекомендации