Угрозы, связанные с несанкционированным доступом (НСД)
угрозы непосредственного доступа в операционную среду
Данный вид угроз операционной среде компьютера и нарушения безопасности информации в нем связаны с доступом:
- к информации и командам базовой системы ввода/вывода (BIOS) с возможностью перехвата управления загрузкой операционной системы и получением прав доверенного пользователя;
- в среду функционирования локальной операционной системы компьютера с возможностью выполнения деструктивных действий путем вызова штатных программ операционной системы или запуска специально разработанных программ, реализующих такие действия;
- в среду функционирования прикладных программ (например, к локальной системе управления базами данных);
- к информации пользователя (файлам, текстовой, аудио- и графической информации, полям и записям в базах данных) и возможностью ее модификации, уничтожения, перемещения, копирования и т.п.
Эти угрозы по условиям реализации делятся на три группы.
Первая группа включает в себя угрозы, реализуемые в ходе загрузки операционной системы. Вторая группа - угрозы, реализуемые после загрузки операционной среды независимо от того, какая прикладная программа запускается пользователем. Наконец, третья группа включает в себя угрозы, реализация которых определяется тем, какая из прикладных программ запускается пользователем, или фактом запуска любой из прикладных программ.
Большинство из этих угроз могут быть реализованы в случае получения нарушителем физического доступа к самому компьютеру или, по крайней мере, к средствам ввода информации в компьютер.
угрозы программно-математического воздействия
Программно-математическое воздействие - это воздействие с помощью вредоносных программ. Программой с потенциально опасными последствиями или вредоносной программой называют некоторую самостоятельную программу (набор инструкций), которая способна выполнять любое непустое подмножество следующих функций:
- скрывать признаки своего присутствия в программной среде;
- обладать способностью к самодублированию, ассоциированию себя другими программами и (или) переносу своих фрагментов в иные области оперативной или внешней памяти;
- разрушать (искажать произвольным образом) код программ в оперативной памяти;
- выполнять без инициирования со стороны пользователя (пользовательской программы в штатном режиме ее выполнения) деструктивные функции (копирования, уничтожения, блокирования и т.п.);
- сохранять фрагменты информации из оперативной памяти в некоторых областях внешней памяти прямого доступа (локальных или удаленных);
- искажать произвольным образом, блокировать и (или) подменять выводимый во внешнюю память или в канал связи массив информации, образовавшийся в результате работы прикладных программ, или уже находящиеся во внешней памяти массивы данных.
Вредоносные программы могут быть внесены (внедрены) преднамеренно или случайно в компьютерное программное обеспечение в процессе его разработки, сопровождения, модификации и настройки. Кроме этого, они могут быть внесены в процессе эксплуатации с внешних носителей информации или посредством сетевого взаимодействия как в результате НСД, так и случайно пользователями компьютера.
Наличие в компьютере вредоносных программ может способствовать возникновению скрытых, в том числе нетрадиционных каналов доступа к информации, позволяющих вскрывать, обходить или блокировать защитные механизмы, предусмотренные в системе, в том числе парольную и криптографическую защиту.
Основными видами вредоносных программ являются:
- программные закладки;
- классические программные (компьютерные) вирусы;
- вредоносные программы, распространяющиеся по сети (сетевые черви);
- другие вредоносные программы, предназначенные для осуществления НСД (например, подбора и вскрытия паролей, осуществления сетевой атаки).
В связи с усложнением и возрастанием разнообразия программного обеспечения число вредоносных программ быстро возрастает. Вместе с тем, далеко не все из них представляют реальную угрозу. Во многих случаях устранение уязвимостей в системном или прикладном программном обеспечении привело к тому, что ряд вредоносных программ уже не способны внедриться в систему компьютера. Часто основную опасность представляют новые вредоносные программы.
угрозы нетрадиционных информационных каналов
Нетрадиционный информационный канал - это канал скрытной передачи информации с использованием традиционных каналов связи и специальных преобразований передаваемой информации, не относящихся к криптографическим методам.
Для формирования нетрадиционных каналов могут использоваться методы:
- компьютерной стеганографии;
- манипуляции различных характеристик ресурсов системы, которые можно получать санкционировано (например, времени обработки различных запросов, объемов доступной памяти или доступных для чтения идентификаторов файлов или процессов и т.п.).
Компьютерная стеганография скрывает сам факт передачи сообщения путем встраивания скрываемой информации во внешне безобидные данные (текстовые, графические, аудио- или видеофайлы). Это возможно или на использовании специальных свойств компьютерных форматов хранения и передачи данных или на избыточности аудио, визуальной или текстовой информации с позиции психофизиологических особенностей восприятия человека.
Сейчас развитие и применение находят методы сокрытия информации в графических стеганоконтейнерах. Это обусловлено: размещением сравнительно большого объема информации без заметного искажения изображения; наличием в большинстве реальных изображений текстурных областей, имеющих шумовую структуру и хорошо подходящих для встраивания информации; развитыми методами цифровой обработки изображений и цифровых форматов представления изображений и т.д.
Современные коммерческие и бесплатные программные продукты доступны обычному пользователю и реализуют известные стеганографические методы, в основном, в графических и аудио-контейнерах.
При использовании в информационных каналах некоторых разделяемых ресурсов возможна их манипуляция. При этом в каналах, использующих временные характеристики, осуществляется модуляция по времени занятости разделяемого ресурса (например, модулируя время занятости процессора, приложения могут обмениваться данными). В каналах памяти ресурс используется как промежуточный буфер (например, приложения могут обмениваться данными путем помещения их в имена создаваемых файлов и директорий). В каналах баз данных и знаний используют зависимости между данными, возникающими в реляционных базах данных и знаний.
Нетрадиционные информационные каналы могут быть сформированы на различных уровнях работы компьютерной системы:
- аппаратном;
- микрокодов и драйверов устройств;
- операционной системы;
- прикладного программного обеспечения;
- функционирования каналов передачи данных и линий связи.
Эти каналы могут использоваться как для скрытной передачи скопированной информации, так и для скрытной передачи команд на выполнение деструктивных действии, запуска приложении и т.п. Для его реализации, как правило, надо внедрить в компьютерную систему программную или программно-аппаратную закладку, обеспечивающую формирование нетрадиционного канала, существующего в системе непрерывно или с активацией одноразово или по заданным условиям. При этом возможно существование обратной связи с субъектом НСД.