Желі арқылы зиянды бағдарламаларды енгізу қаупі. Зиянды бағдарламаны дамытудың жалпы тенденциялары

Вирус авторлары мен киберқылмыскерлер үшін қажетті тапсырма – вирусты, құртты немесе троянды жәбірленуші компьютерге немесе ұялы телефон. Бұл мақсатқа әртүрлі жолдармен қол жеткізіледі, олар екі негізгі категорияға бөлінеді:

• әлеуметтік инженерия («әлеуметтік инженерия» термині де қолданылады – ағылшын тілінен алынған калька «әлеуметтік инженерия»);
• пайдаланушы білмей, вирус жұққан жүйеге зиянды кодты енгізу әдістері.

Көбінесе бұл әдістер бір мезгілде қолданылады. Сонымен бірге антивирустық бағдарламаларға қарсы тұру үшін арнайы шаралар жиі қолданылады.

әлеуметтік инженерия

Әлеуметтік инженерия әдістері қандай да бір жолмен пайдаланушыны вирус жұққан файлды іске қосуға немесе вирус жұққан веб-сайтқа сілтеме ашуға мәжбүр етеді. Бұл әдістерді көптеген пошта құрттары ғана емес, сонымен қатар зиянды бағдарламалық қамтамасыз етудің басқа түрлері де пайдаланады.

Хакерлер мен вирус жазушыларының міндеті – пайдаланушының назарын вирус жұққан файлға (немесе вирус жұққан файлға HTTP сілтемесіне) аудару, пайдаланушыны қызықтыру, оны файлды (немесе файлға сілтемені) басуға мәжбүрлеу. . «Жанрдың классигі» - 2000 жылдың мамырында дүр сілкіндірген LoveLetter пошта құрты және Computer Economics мәліметтері бойынша қаржылық шығын бойынша әлі де көшбасшы болып табылады. Экранда құрт көрсетілген хабарлама келесідей болды:

Көптеген адамдар «МЕН СІЗДІ ЖАҚСЫ КӨРЕМІН» деп тануға реакция жасады және нәтижесінде ірі компаниялардың пошта серверлері жүктемеге төтеп бере алмады - құрт тіркелген VBS файлы әр кезде адрестік кітаптан барлық контактілерге өзінің көшірмелерін жіберді. ашылды.

2004 жылдың қаңтарында Интернетте жарылған Mydoom пошта құрты пошта серверінің техникалық хабарламаларына еліктейтін мәтіндерді пайдаланды.

Сондай-ақ Microsoft-тың хабарламасы ретінде жасырынған және Windows жүйесіндегі бірқатар жаңа осалдықтарды түзететін патч ретінде жасырынған Swen құрты туралы айта кеткен жөн (көптеген пайдаланушылар «Microsoft-тың басқа патчын» орнатуға шақыруға көнуі таңқаларлық емес).

Оқиғалар да орын алады, олардың бірі 2005 жылдың қарашасында болды. Собер құртының бір нұсқасында Германияның қылмыстық полициясы заңсыз веб-сайттарға кіру жағдайларын тергеп жатқаны хабарланған. Бұл хат балалар порнографиясын ұнататын адамға жетті, ол оны ресми хат деп санап, билікке мойынсұнды.

Жақында электрондық поштаға тіркелген файлдар емес, вирус жұққан сайтта орналасқан файлдарға сілтемелер ерекше танымалдылыққа ие болды. Хабарлама әлеуетті жәбірленушіге пошта арқылы, ICQ немесе басқа пейджер арқылы, сирек - IRC интернет чаттары арқылы (мобильді вирустар жағдайында) жіберіледі. әдеттегідейжеткізу SMS хабарлама болып табылады). Хабарламада бейхабар пайдаланушыны сілтемені басуға мәжбүрлейтін тартымды мәтін бар. Жәбірленушінің компьютерлеріне енудің бұл әдісі ең танымал және тиімді болып табылады, өйткені ол пошта серверлеріндегі мұқият антивирус сүзгілерін айналып өтуге мүмкіндік береді.

Файлдарды ортақ пайдалану желілерінің (P2P желілері) мүмкіндіктері де қолданылады. Құрт немесе троян P2P желісінде әртүрлі «дәмді» атаулармен орналастырылады, мысалы:

• AIM & AOL Password Hacker.exe
• Microsoft CD Key Generator.exe
• PornStar3D.exe
• crack.exe ойын станциясының эмуляторы

Жаңа бағдарламаларды іздеу кезінде P2P пайдаланушылары осы атауларға тап болады, файлдарды жүктеп алады және оларды орындау үшін іске қосады.

Жәбірленуші тегін қызметтік бағдарламаны немесе әртүрлі бұзуға арналған нұсқауларды жіберіп алған кезде «Сымдар» өте танымал. төлем жүйелері. Мысалы, олар Интернетке немесе ұялы байланыс операторына тегін кіруді, нөмір генераторын жүктеп алуды ұсынады несие карталары, жеке интернет-әмияндағы ақша сомасын көбейту және т.б. Әрине, мұндай алаяқтық құрбандарының хабарласуы екіталай Құқық қорғау органдары(себебі, шын мәнінде, олардың өздері алаяқтық жолмен ақша табуға тырысты), ал интернет-қылмыскерлер оны күшті және негізгі пайдаланады.

«Сымдарды тартудың» әдеттен тыс әдісін 2005-2006 жылдары Ресейден келген белгісіз шабуылдаушы қолданған. Троян жұмысқа орналастыру және кадр іздеуге маманданған job.ru сайтында табылған мекенжайларға жіберілді. Түйіндемелерін сонда орналастырғандардың кейбірі хатқа қоса берілген файлы бар жұмысқа ұсыныс алды, оны ашып, мазмұнымен танысу ұсынылды. Бұл файл, әрине, троян болды. Шабуыл негізінен корпоративтік электрондық пошта мекенжайларына жасалғаны да қызық. Есеп, шамасы, компания қызметкерлерінің инфекция көзі туралы хабарлауы екіталай екендігіне негізделген. Осылайша болды - алты айдан астам уақыт бойы Касперский зертханасының мамандары трояндық бағдарламаның пайдаланушылардың компьютерлеріне ену әдісі туралы түсінікті ақпаратты ала алмады.

Сондай-ақ өте экзотикалық жағдайлар бар, мысалы, банк клиентінен олардың кіру кодтарын растау (дәлірек айтқанда, хабарлау) сұралатын құжаты бар хат - құжатты басып шығарыңыз, қоса берілген нысанды толтырыңыз, содан кейін оны факспен жіберіңіз. хатта көрсетілген телефон нөмірі.

Шпиондық бағдарламаны үйге жеткізудің тағы бір ерекше жағдайы Жапонияда 2005 жылдың күзінде орын алды. Кейбір шабуылдаушылар жапон банкі клиенттерінің үй мекенжайларына (қала, көше, үй) трояндық шпиондық бағдарламамен зарарланған ықшам дискілерді жіберді. Бұл ретте дәл осы банктің бұрын ұрланған клиенттік базасынан ақпарат пайдаланылды.

Іске асыру технологиялары

Бұл технологияларды шабуылдаушылар компьютер иесінің назарын аудармай, жүйеге зиянды код енгізу үшін пайдаланады. Бұл қауіпсіздік осалдықтары арқылы жасалады. операциялық жүйелержәне ішінде бағдарламалық қамтамасыз ету. Осалдықтардың болуы желілік құртқа немесе шабуылдаушы жасаған троянға жәбірленуші компьютерге еніп, өзін өзі орындау үшін іске қосуға мүмкіндік береді.

Осалдықтар - бұл шын мәнінде кодтағы немесе әртүрлі бағдарламалар жұмысының логикасындағы қателер. Заманауи операциялық жүйелер мен қосымшалар күрделі құрылымға және кең функционалдылыққа ие және оларды жобалау мен әзірлеуде қателерді болдырмау мүмкін емес. Мұны вирус жазушылары мен киберқылмыскерлер пайдаланады.

Outlook электрондық пошта клиенттеріндегі осалдықтарды Nimda және Aliz электрондық пошта құрттары пайдаланды. Құрт файлын іске қосу үшін вирус жұққан хатты ашу немесе оны алдын ала қарау терезесінде жай ғана оның үстіне апару жеткілікті болды.

Зиянды бағдарламалар операциялық жүйелердің желілік құрамдас бөліктеріндегі осалдықтарды да белсенді түрде пайдаланды. CodeRed, Sasser, Slammer, Lovesan (Blaster) және Windows ОЖ астында жұмыс істейтін көптеген басқа құрттар таралу үшін осы осалдықтарды пайдаланды. Linux жүйелері де зардап шекті - Ramen және Slapper құрттары осы операциялық ортадағы осалдықтар және оған арналған қосымшалар арқылы компьютерлерге еніп кетті.

Соңғы жылдары жұқтырудың ең танымал әдістерінің бірі веб-беттер арқылы зиянды кодты енгізу болды. Бұл көбінесе интернет браузерлеріндегі осалдықтарды пайдаланады. Вирус жұққан файл және браузердегі осалдықты пайдаланатын сценарий бағдарламасы веб-бетте орналастырылады. Пайдаланушы вирус жұққан бетке кіргенде, осалдық арқылы вирус жұққан файлды компьютерге жүктеп алып, оны орындау үшін сол жерде іске қосатын сценарий бағдарламасы іске қосылады. Нәтижесінде көптеген компьютерлерді жұқтыру үшін мұндай веб-парақшаға мүмкіндігінше көп пайдаланушыларды тарту жеткілікті. Бұған әртүрлі жолдармен қол жеткізіледі, мысалы, беттің мекенжайы бар спам жіберу, Интернет-пейджер арқылы ұқсас хабарламаларды жіберу, кейде бұл үшін іздеу жүйелері де қолданылады. Вирус жұққан бетте ерте ме, кеш пе іздеу жүйелері есептейтін әртүрлі мәтіндер бар және осы бетке сілтеме іздеу нәтижелеріндегі басқа беттер тізімінде пайда болады.

Жеке класс басқа трояндарды жүктеп алуға және іске қосуға арналған трояндар. Әдетте, өлшемі өте кішкентай бұл трояндар қандай да бір жолмен (мысалы, жүйедегі басқа осалдықты пайдалана отырып) жәбірленушінің компьютеріне «тайып кетеді», содан кейін Интернеттен басқа зиянды компоненттерді дербес жүктеп алып, басқа зиянды бағдарламаларды орнатады. жүйеге компоненттер. Көбінесе мұндай трояндар басқа трояндар үшін «жолды жеңілдету» үшін браузер параметрлерін ең қауіптісіне өзгертеді.

Белгілі болған осалдықтарды әзірлеуші ​​компаниялар тез түзетеді, бірақ жаңа осалдықтар туралы ақпарат үнемі пайда болады, оларды көптеген хакерлер мен вирус жазушылар бірден пайдалана бастайды. Көптеген трояндық «боттар» олардың санын көбейту үшін жаңа осалдықтарды пайдаланады және Microsoft Office бағдарламасындағы жаңа қателер жаңа трояндарды компьютерлерге енгізу үшін бірден қолданыла бастайды. Бұл ретте, өкінішке орай, келесі осалдық туралы ақпараттың пайда болуы мен оны құрттар мен трояндардың қолдануының басталуы арасындағы уақыт аралығын қысқарту үрдісі байқалады. Нәтижесінде осал бағдарламалық қамтамасыз ету компаниялары мен антивирустық бағдарламалық жасақтаманы әзірлеушілер уақыт қысымы жағдайында болады. Біріншісі қатені мүмкіндігінше тез түзетіп, нәтижені сынап (әдетте «патч», «патч» деп аталады) және оны пайдаланушыларға таратуы керек, ал екіншісі объектілерді (файлдар, желі) анықтау және блоктау құралын дереу босатуы керек. осалдықты пайдаланатын пакеттер).

Іске асыру технологиялары мен әлеуметтік инженерия әдістерін бір мезгілде қолдану

Көбінесе компьютерді бұзушылар екі әдісті бірден пайдаланады. Әлеуметтік инженерия әдісі – әлеуетті құрбанның назарын аудару, ал техникалық – жұқтырған объектінің жүйеге ену ықтималдығын арттыру.

Мысалы, Mimail пошта құрты қосымша ретінде таратылды электронды хат. Пайдаланушы хатқа назар аударуы үшін оған арнайы пішімделген мәтін енгізілді және хатқа тіркелген ZIP мұрағатындағы құрттың көшірмесін іске қосу үшін браузердегі осалдық болды. Internet Explorer. Нәтижесінде, мұрағаттан файлды ашқан кезде, құрт дискіде өзінің көшірмесін жасап, оны жүйелік ескертулерсіз немесе пайдаланушының қосымша әрекеттерінсіз орындау үшін іске қосты. Айтпақшы, бұл құрт электронды алтын интернет-әмияндарды пайдаланушылардың жеке ақпаратын ұрлауға арналған алғашқылардың бірі болды.

Тағы бір мысал «Сәлеметсіз бе» тақырыбымен және «Олар сіз туралы не жазып жатқанын қараңыз» мәтінімен спам жіберу. Мәтіннен кейін веб-бетке сілтеме берілді. Талдау барысында бұл веб-бетте Internet Explorer-дегі басқа осалдықты пайдалана отырып, әртүрлі құпия сөздерді ұрлауға арналған LdPinch трояндық бағдарламасын пайдаланушының компьютеріне жүктеп алатын сценарий бағдарламасы бар екені анықталды.

Вирусқа қарсы бағдарламаларға қарсы әрекет

Компьютерге зиянкестердің мақсаты жәбірленуші компьютерлерге зиянды код енгізу болғандықтан, олар пайдаланушыны вирус жұққан файлды іске қосуға немесе жүйеге қандай да бір осалдық арқылы енуге мәжбүрлеп қана қоймай, сонымен қатар орнатылған антивирусты жасырып өтуі керек. вирус сүзгісі байқалмайды. Сондықтан шабуылдаушылар антивирустық бағдарламалармен мақсатты түрде күресуі таңқаларлық емес. Олар қолданатын әдістер өте алуан түрлі, бірақ ең көп таралғандары мыналар:

Қаптама және кодты шифрлау.Қазіргі заманғы компьютерлік құрттар мен трояндардың едәуір бөлігі (көп болмаса) қандай да бір жолмен пакеттелген немесе шифрланған. Сонымен қатар, арнайы әзірленген орау және шифрлау утилиталары жер астында компьютер арқылы жасалады. Мысалы, CryptExe, Exeref, PolyCrypt және басқалары утилиталармен өңделген Интернетте табылған барлық файлдар зиянды болып шықты.

Мұндай құрттар мен трояндарды анықтау үшін антивирустық бағдарламаларға жаңа декомпрессия және шифрды шешу әдістерін қосу керек немесе әр зиянды бағдарлама үлгісіне қолтаңбалар қосу керек, бұл анықтау сапасын төмендетеді, өйткені модификацияланған кодтың барлық ықтимал үлгілері қолмен аяқталмайды. антивирустық компания.

кодтық мутация.Трояндық кодты «қоқыс» нұсқауларымен сұйылту. Нәтижесінде трояндық бағдарламаның функционалдығы сақталады, бірақ оның «сыртқы көрінісі» айтарлықтай өзгереді. Мерзімді түрде код мутациясының нақты уақытта орын алатын жағдайлары бар - вирус жұққан веб-сайттан троян жүктелген сайын. Анау. мұндай сайттағы компьютерлерде аяқталатын троян үлгілерінің барлығы немесе маңызды бөлігі әртүрлі. Бұл технологияны қолданудың мысалы ретінде бірнеше нұсқасы 2006 жылдың екінші жартысында елеулі эпидемияларды тудырған Варезов пошта құрты болып табылады.

Сіздің қатысуыңызды жасыру.Трояндарда жиі қолданылатын «rootkit-технологиялар» (ағылшынша «rootkit» сөзінен) деп аталады. Ұстау және ауыстыру жүйе функциялары, соның арқасында вирус жұққан файл операциялық жүйенің стандартты құралдарымен де, антивирустық бағдарламалармен де көрінбейді. Кейде троянның көшірмесі тіркелген тізілімнің бөлімдері және компьютердің басқа жүйелік аймақтары да жасырылады. Бұл технологиялар, мысалы, HacDef бэкдор троянында белсенді қолданылады.

Антивирусты және антивирустық дерекқор жаңартуларын (жаңартуларды) қабылдау жүйесін тоқтату.Көптеген трояндар мен желілік құрттар антивирустық бағдарламаларға қарсы арнайы әрекеттер жасайды - олар оларды белсенді қолданбалар тізімінен іздейді және жұмысын тоқтатуға тырысады, бүлдіреді. антивирустық мәліметтер базасыдеректер, жаңартуларды қабылдауды блоктау және т.б. Антивирустық бағдарламалар өздерін адекватты тәсілдермен қорғауы керек - мәліметтер базасының тұтастығын бақылау, өз процестерін трояндардан жасыру және т.б.

Кодыңызды веб-сайттарда жасыру.Троян файлдары бар веб-беттердің мекенжайлары ерте ме, кеш пе антивирустық компанияларға белгілі болады. Әрине, мұндай беттер антивирустық талдаушылардың назарында болады - парақтың мазмұны мерзімді түрде жүктеледі, трояндықтардың жаңа нұсқалары антивирустық жаңартуларға қосылады. Бұған қарсы тұру үшін веб-бет ерекше түрде өзгертіледі - егер сұрау антивирустық компанияның мекенжайынан келсе, трояндық емес кейбір трояндық емес файл жүктеледі.

Саны бойынша шабуыл.Қысқа уақыт ішінде трояндықтардың көптеген жаңа нұсқаларын құру және Интернетте тарату. Нәтижесінде антивирустық компаниялар талдауға уақытты қажет ететін жаңа үлгілермен су астында қалды, бұл зиянды кодқа компьютерлерге сәтті енуге қосымша мүмкіндік береді.

Осы және басқа әдістерді компьютер антивирустық бағдарламаларға қарсы тұру үшін пайдаланады. Сонымен қатар, киберқылмыскерлердің белсенділігі жылдан-жылға артып келеді, енді антивирустық индустрия мен вирус индустриясы арасында басталған нағыз «технологиялық жарыс» туралы айтуға болады. Сонымен қатар, жеке хакерлер мен қылмыстық топтардың саны да, олардың кәсіби шеберлігі де артып келеді. Мұның бәрі антивирустық компаниялар жеткілікті қорғаныс құралдарын әзірлеу үшін талап ететін жұмыстың күрделілігі мен көлемін айтарлықтай арттырады.

Қауіп ISPD хостында бұрын енгізілген әртүрлі зиянды бағдарламаларды іске қосу ниетінде жатыр: бетбелгі бағдарламалары, вирустар, «желі шпиондары», олардың негізгі мақсаты құпиялылықты, тұтастықты, ақпараттың қолжетімділігін және операцияны толық бақылауды бұзу болып табылады. хосттың. Сонымен қатар, пайдаланушы қолданбалы бағдарламаларын рұқсатсыз іске қосу бұзушыға қажетті деректерді рұқсатсыз алу, қолданбалы бағдарламамен басқарылатын процестерді іске қосу және т.б.

Бұл қауіптердің үш ішкі класы бар:

рұқсат етілмеген орындалатын кодты қамтитын файлдарды тарату;

қолданба серверлерінің буферін толтыру арқылы қолданбаны қашықтан іске қосу;

мүмкіндіктерін пайдалану арқылы қолданбаны қашықтан іске қосу қашықтықтан басқаружасырын бағдарламалық және аппараттық құралдар қойындыларымен қамтамасыз етілген немесе стандартты құралдарды пайдаланатын жүйе.

Осы ішкі сыныптардың біріншісінің типтік қауіптері таратылған файлдарды оларға кездейсоқ қол жеткізу кезінде белсендіруге негізделген. Мұндай файлдардың мысалдары: пішіндегі орындалатын кодты қамтитын файлдар Пішіндегі орындалатын кодты қамтитын құжаттар ActiveX басқару элементтері, Java апплеттері, түсіндірілетін сценарийлер (мысалы, JavaScript мәтіндері); орындалатын бағдарлама кодтары бар файлдар. Файлдарды тарату үшін электрондық пошта, файлдарды тасымалдау, желілік файлдық жүйе қызметтерін пайдалануға болады.

Екінші қосалқы сыныптың қауіптері желілік қызметтерді жүзеге асыратын бағдарламалардың кемшіліктерін пайдаланады (атап айтқанда, буфердің толып кетуін бақылаудың жоқтығы). Жүйе регистрлерін реттеу арқылы кейде буфердің толып кету үзілуінен кейін процессорды буфер шекарасынан тыс орналасқан кодты орындауға ауыстыруға болады. Мұндай қауіпті жүзеге асырудың мысалы ретінде белгілі «Моррис вирусын» енгізу болып табылады.

Үшінші қосалқы сыныптың қауіп-қатерлері кезінде зиянкес жасырын компоненттермен қамтамасыз етілген қашықтан басқару жүйесінің мүмкіндіктерін (мысалы, Back. Orifice, Net Bus сияқты «троян» бағдарламалары) немесе тұрақты басқару және басқару құралдарымен пайдаланады. компьютерлік желілер(Landesk Management Suite, Managewise, Back Orifice, т.б.). Оларды пайдалану нәтижесінде желідегі станцияны қашықтан басқаруға қол жеткізуге болады.

Егер мекеме өңделген PD жалпыға ортақ желілер және халықаралық алмасу арқылы жіберілмесе, антивирустық қорғаныс орнатылса, онда қауіптің пайда болу ықтималдығы жоғары болады. екіталай.

Барлық басқа жағдайларда қауіптің жүзеге асу ықтималдығы бағалануы керек.

ISPD әртүрлі түрлері үшін қауіптердің ықтималдығының жалпыланған тізімі 12-кестеде берілген.

12-кесте

Бұл мақала талдауға арналған заманауи технологиялар, компьютерлік қауіпсіздікке қауіп төндіретін және негізгі даму тенденциялары зиянды бағдарлама 2006 жылы.

Зиянды бағдарламаны дамытудың жалпы тенденциялары

2006 жылы автор зиянды бағдарламалық қамтамасыз етудің 49 697 бірегей түрін тауып, талдады, оның 47 907-сі негізгі отбасыларға жатады. Олардың талдау нәтижелері бойынша отбасылар бойынша бір жылдағы зиянды бағдарламалардың пайыздық құрамын көрсететін диаграмма құрылды (1-сурет).

Күріш. 1. Отбасылар бойынша ITW үлгілерінің пайыздық құрамы

Диаграммадан көрініп тұрғандай, барлық зерттелген бағдарламалардың 37% Trojan-Downloader типті зиянды бағдарламалар болып табылады. Бұл 2005 жылдан бері байқалып келе жатқан тұрақты тенденция және троян-жүктеушілер зиянды бағдарламаларды орнату, олардың нұсқаларын жаңарту және антивируспен жойылған жағдайда оларды қалпына келтіру үшін пайдаланылуымен байланысты. Зерттелетін зиянды бағдарламалардың компьютерді зақымдау жағдайларының көпшілігі эксплуатация немесе әлеуметтік инженерия әдістерін қолдану салдарынан троян-жүктеу құралын іске қосуға әкеп соғады. Келесі кең тарағандар - пошталық және желілік құрттар, әртүрлі типтегі трояндар және Dialer класының бағдарламалары.

ITW (In the Wild) үлгілерін анықтау динамикасының статистикалық талдауы зиянды бағдарламалық жасақтаманы әзірлеушілер қолтаңба сканерлерімен күресу үшін жаңа технологияны қабылдағанын және белсенді түрде пайдаланып жатқанын көрсетеді. Оның техникасы өте қарапайым және әзірлеуші ​​қысқа уақыт ішінде бірдей зиянды бағдарламаның жүздеген нұсқаларын жасауынан тұрады. Әртүрлі опцияларды алудың ең қарапайым әдістері келесідей:

• әртүрлі буып-түюшілер мен криптерлер арқылы қайта орау – кезеңді түрде немесе файлды сұрау кезінде орындалуы мүмкін, бумалаушылардың жиыны және олардың параметрлері кездейсоқ түрде өзгеруі мүмкін. Көбінесе зиянды бағдарлама авторлары модификацияланған бумалауыштар мен криптерлерді пайдаланады, бұл оларды тексеруді қиындатады;
• ол анықталған файлдың қолтаңбаларын өзгерту үшін жеткілікті модификациялары бар файлды қайта құрастыру;
• NSIS (Scriptable Installation System) орнатушылары арқылы жасалған орнату бумасына зиянды файлды орналастыру. Орнатушының ашық бастапқы кодының болуы оны сәл өзгертуге мүмкіндік береді, бұл антивирустық сканерлеу кезінде оны автоматты түрде ашу және талдауды мүмкін емес етеді.

Бұл әдістер бұрыннан белгілі және әртүрлі комбинацияларда қолданылуы мүмкін, бұл зиянды бағдарлама авторына классикалық полиморфты әдістерді қолданбай-ақ бір бағдарламаның жүздеген нұсқаларын оңай жасауға мүмкіндік береді. Мұны Trojan-Downloader мысалында байқауға болады. Win32.Zlob. Соңғы 40 күндегі оны анықтау статистикасын қарастырайық (2-сурет).

Күріш. 2. Trojan-Downloader.Win32.Zlob анықтау динамикасы 40 күннен астам

Осы кезеңде автор Trojan-Downloader.Win32 бағдарламасының 2198 ITW үлгісін ашты. Zlob, оның ішінде 1213 бірегей. График екі қисықты көрсетеді: тәулігіне анықтау саны және бірегей файл сорттарының саны. Графиктен көруге болады, шамамен әрбір екінші табылған ITW үлгісі бірегей файл болып табылады және бұл тәуелділік бір ай бойы тұрақты болып қалады. Касперский зертханасының жіктелуіне сүйене отырып, қарастырылған 1213 үлгі осы зиянды бағдарламаның 169 қосалқы түріне жатады. Мұндай статистика өте айқын: көптеген зиянды бағдарламалар бар, олар үшін күн сайын ондаған жаңа модификациялар ашылады.

Тағы бір тән тенденцияны Варезов пошта құртының мысалында көруге болады. Бір ай ішінде автор 5333 ITW үлгісін тіркеді, оның 459-ы бірегей. Белсенділіктің таралу графигі күріште көрсетілген. 3.

Күріш. 3. Варезов пошта құртының қызметі

Графиктегі өсулер құрттың жаңа сорттарының пайда болуымен байланысты эпидемия кезеңдері болып табылады (бұл жағдайда: Email-Worm.Win32.Warezov.gj, Email-Worm.Win32.Warezov.fb, Email-Worm. .Win32.Warezov.hb) . График белсенді эпидемия орта есеппен 2-5 күнге созылатынын көрсетеді, содан кейін Варезовты анықтау саны тәулігіне 10-30 үлгіні құрайтын «фондық» деңгейге дейін төмендейді. Мұндай жарылыстардың пайда болуы әбден түсінікті - антивирустар құрттың жаңа түрін анықтамайды, нәтижесінде құрт көптеген ДК-ны жұқтырады және эпидемия басталады. Ол тез дамиды, бірақ күндізгі уақытта құрттың қолтаңбалары антивирустардың дерекқорына түседі және эпидемия тез төмендейді.

Сонымен қатар, Trojan-SPY санатындағы трояндық бағдарламалардың белсенді таралуын атап өту керек - пайдаланушылардың жеке деректерін ұрлайтын тыңшылар. Олардың ішінде e-gold жүйесінің есепшоттары туралы ақпаратты ұрлаумен атақты Голдун көзге түседі. Бұл троянның соңғы нұсқалары камуфляж және тыңшылық үшін руткит технологияларын белсенді түрде пайдаланады (Cурет 4).

Күріш. 4. Соңғы айдағы Trojan-SPY әрекетінің графигі

Зиянды бағдарламалық жасақтаманы жасаушылар пайдаланатын технологияларды талдау 2006 жылы революциялық жаңа технологиялардың ойлап табылмағанын көрсетеді – зиянды бағдарлама жасаушылар сапаға емес, санға назар аударады. Дегенмен, көбірек талқылауды қажет ететін бірнеше жаңа әзірлемелер бар.

Қорытындылай келе, вирустық белсенділікті автоматты бақылаудың авторлық жүйесінің деректері бойынша құрастырылған жиынтық орташаланған графикті қарастырайық (5-сурет).

Күріш. 5. Соңғы 40 күндегі зиянды бағдарламаларды автоматты түрде анықтау жүйесінің статистикасы

График автоматты жүйенің күніне орта есеппен 400-ге жуық зиянды бағдарламалардың жаңа бірегей сорттарын тіркейтінін көрсетеді.

Руткит технологиялары

2006 жылы руткиттер мен руткиттер технологияларының әртүрлі түрлері әзірленіп, жетілдірілді. Бұл технологияларды көптеген зиянды бағдарламалар пайдаланады және олардың бірнешеуі бар:

• Маскировкаға арналған руткит технологиялары, оның негізгі мақсаты дискіде және жадта зиянды бағдарламаның және оның құрамдас бөліктерінің болуын бүркемелеу, сонымен қатар тізілімдегі кілттерді бүркемелеу. Бұл мәселені шешу үшін API функцияларын тоқтату жиі қолданылады және қазіргі руткиттерде өте күрделі ұстау әдістері бар, мысалы, экспортталмаған ядро ​​​​функцияларына код енгізу, Int2E үзуін тоқтату, SYSENTER модификациясы. Барған сайын танымал болып келе жатқан DKOM-rootkits (Direct Kernel Object Manipulation) туралы бөлек атап өту керек;
• Тыңшылыққа арналған руткит технологиялары – аты айтып тұрғандай, олар пайдаланушының әрекеттерін бақылау және құпия ақпаратты жинау үшін қолданылады. Ең типтік мысал Trojan-Spy.Win32.Goldun болып табылады, ол руткит принципі бойынша жіберілетін ақпарат ағынында пайдаланушының несиелік карталарының мәліметтерін іздеу үшін Интернетпен қосымшалардың алмасуын тоқтатады.

DKOM руткиттерін толығырақ қарастырайық. Олардың жұмыс істеу принципі процестерді, драйверлерді, ағындарды және дескрипторларды сипаттайтын жүйелік құрылымдарды өзгертуге негізделген. Жүйе құрылымдарына мұндай араласу, әрине, құжатталмаған және өте дұрыс емес операция болып табылады, алайда мұндай араласудан кейін жүйе азды-көпті тұрақты жұмысын жалғастырады. Мұндай интерференцияның практикалық салдары шабуылдаушы өз мақсаттары үшін ядроның құрылымдарын басқару мүмкіндігіне ие болады. Мысалы, ядродағы іске қосылған процестердің әрқайсысы үшін процесс туралы көптеген ақпаратты, атап айтқанда оның идентификаторын (PID) және процесс атауын сақтайтын EPROCESS құрылымы жасалады. Бұл құрылымдар қос байланысқан тізімді құрайды және іске қосылған процестер туралы ақпаратты қайтаратын API функциялары арқылы пайдаланылады. Процесті бүркемелеу үшін DKOM руткиттері тізімнен өзінің EPROCESS құрылымын жояды. Мұндай масканы жүзеге асыру өте қарапайым және сіз Интернетте бастапқы мәтіндері бар ондаған дайын іске асыруды таба аласыз. Неғұрлым күрделі руткиттер тізімнен маскаланған нысанның құрылымын жоюмен шектелмейді - олар ондағы деректерді бұрмалайды. Нәтижесінде, анти-руткит жасырылған процесті немесе драйверді таба алса да, ол туралы дұрыс емес ақпарат алады. Іске асырудың қарапайымдылығына байланысты мұндай руткиттер барған сайын танымал бола түсуде және олармен күресу қиындай түсуде. Зерттеулер көрсеткендей, оларға қарсы әрекет етудің ең тиімді әдісі - процестердің іске қосылуын/өшірілуін және драйверлердің жүктелуін/түсіруін бақылайтын жүйеде мониторды орнату. Мұндай монитор жинаған ақпаратты жүйе қайтарған деректермен салыстыру DKOM руткитімен жасалған модификацияларды анықтауға, олардың табиғатын түсінуге және маскаланған процестер мен драйверлерді анықтауға мүмкіндік береді.

Жалған бағдарламалар

Hoax-бағдарламаларының бағыты белсенді түрде дамуын жалғастыруда, сондықтан біз 2007 жылы бұл отбасының өсуін сенімді түрде болжай аламыз. Сөзбе-сөз аударғанда, алдау – алдау; өтірік, өтірік, өтірік. Алаяқтық бағдарламаларының идеясы пайдаланушыны алдау болып табылады, көбінесе пайда табу немесе құпия ақпаратты ұрлау мақсатында. Жақында бұл саланы қылмыстық жауапкершілікке тарту тенденциясы байқалды: егер бір жыл бұрын алдамшы бағдарламалардың көпшілігі компьютерді вирустармен немесе SpyWare кодымен жұқтыруды имитациялайтын салыстырмалы түрде зиянсыз әрекеттер жасаған болса, қазіргі заманғылары құпия сөздерді немесе құпия ақпаратты ұрлауға көбірек бағытталған. Мұндай бағдарламаның мысалы суретте көрсетілген. 6.

Күріш. 6. Hoax.Win32.Delf бағдарламасының терезесі

Бағдарлама терезесінен және оның сипаттамасынан келесідей, бұл Kaspersky Anti-Virus лицензиясының генераторы. Бағдарлама жасалған лицензияны алу үшін пошта жәшігіне кіру үшін электрондық пошта мекенжайы мен құпия сөзді енгізуді ұсынады. Егер сенгіш қолданушы мұны істеп, «Шифрды алу» түймесін басса, онда ол енгізген деректер шабуылдаушыға электрондық пошта арқылы жіберіледі. Өткен жылы жүзден астам осындай бағдарламалар анықталды: бұл әртүрлі «жарықтар», төлем карталарының генераторлары ұялы байланыс операторлары, несие картасының нөмірлерінің генераторлары, пошта жәшігін бұзу құралдары және т.б. Мұндай бағдарламалардың жалпы ерекшелігі - пайдаланушының кейбір құпия ақпаратты өз бетінше енгізуін қамтамасыз етуге бағытталған алдау. Hoax қолданбаларының екінші сипатты ерекшелігі олардың қарапайымдылығы болып табылады: оларда бағдарламалық кодта қателер мен қателіктер көп. Мұндай бағдарламаларды көбінесе жаңадан келген вирус жазушылар жасайды.

Hoax бағдарламаларының даму тенденциясын Hoax.Win32.Renos мысалында көруге болады (7-сурет).

Күріш. 7. Соңғы 30 күндегі Hoax.Win32.Renos анықтау динамикасы

График автордың күніне кем дегенде осы зиянды бағдарламаның бір жаңа бірегей нұсқасын анықтайтынын және бар болғаны бір айдың ішінде Касперский зертханасының классификациясы бойынша 18 қосалқы сортқа кіретін 60 жаңа бірегей нұсқаның байқалатынын көрсетеді.

Бопсалау мен бопсалауға арналған трояндар

Бұл әртүрлілік бағдарламалары алғаш рет бірнеше жыл бұрын пайда болды. Олардың басты мақсаты – пайдаланушыны тікелей бопсалау және одан компьютердің жұмыс қабілетін қалпына келтіру немесе трояндық бағдарламамен кодталған ақпаратты шифрын шешу үшін ақша өндіру. Көбінесе автор Trojan.Win32.Krotten троянынан зардап шеккен пайдаланушылардан есептер мен көмек сұрауларын алады, олар компьютерді жұмыс тәртібіне келтіру үшін 25 WMZ бопсалады. Бұл троян дизайнында өте қарапайым және оның барлық жұмысы тізілімдегі жүздеген кілттерді өзгертуге арналған (оның бір сортының толық сипаттамасын мына жерден табуға болады: http://www.z-oleg.com/secur/ virlist/vir1180. php). Бұл трояндар отбасының ерекшелігі компьютерді емдеу үшін троянды іздеу және жою жеткіліксіз, сонымен қатар жүйеге оның келтірген зақымдануын қалпына келтіру қажет. Егер Krotten троянымен жасалған тізілімге зақым келтіру оңай болса, шифрланған ақпаратты қалпына келтіру әлдеқайда қиын. Мысалы, пайдаланушы деректерін шифрлайтын Gpcode троянының жасаушысы шифрлау кілтінің ұзақтығын бірте-бірте ұлғайтады, осылайша антивирустық компанияларға қиындық тудырады. Бұл троян туралы толығырақ мына сайттағы Blackmailer мақаласынан оқи аласыз: http://www.viruslist.com/ru/analysis?pubid=188790045 .

Жасырын іске қосу әдісі ретінде бағдарлама кодын енгізу

Бұл технология заманауи троян-жүктеуіштерде айқын көрінеді, бірақ ол бірте-бірте басқа зиянды бағдарламаларға енгізіле бастайды. Оның техникасы салыстырмалы түрде қарапайым: зиянды бағдарлама шартты түрде екі бөліктен тұрады - «инжектор» және трояндық код. «Инжектордың» міндеті - трояндық кодты орау және шифрын ашу және оны белгілі бір жүйелік процеске енгізу. Бұл кезеңде зерттелетін зиянды бағдарлама трояндық кодты енгізу әдісімен ерекшеленеді:

• мәтінмәнді алмастыру арқылы инъекция - мұндай енгізу принципі трояндық кодты дайындау және шифрды шешуді (1-қадам), кез келген іске қосуды қамтиды. жүйелік процесс, ал процесс жасалған кезде ол «ұйықтау» (тоқтатылған) режимінде жасалады (2-қадам). Әрі қарай, инжектор процесс жадына трояндық кодты енгізеді (сонымен қатар, мұндай инъекция процестің машиналық кодының үстіне орындалуы мүмкін), содан кейін ол негізгі ағынның контекстін троян коды алатындай етіп өзгертеді. бақылау (3-қадам). Осыдан кейін негізгі ағын іске қосылады және трояндық код орындалады. Бұл әдіс қызықты, себебі кез келген процесс менеджері заңды бағдарламаның орындалуын көрсетеді (мысалы, svchost.exe), бірақ заңды бағдарламаның машиналық кодының орнына трояндық код жадта болады және орындалады. Бұл әдіс процесс жадының модификациясын және оның ағындарының контекстін басқару құралдары жоқ желіаралық қалқандарды айналып өтуге мүмкіндік береді (8-сурет);

Күріш. 8. Мәтінмәнді алмастыру арқылы инъекция

• трояндық ағындарды енгізу - бұл әдісидеологиялық жағынан алдыңғыға ұқсас, бірақ процестің машиналық кодын троянмен алмастырып, оны негізгі ағында орындаудың орнына трояндық код орындалатын қосымша ағын құрылады (2-қадам). Бұл әдіс трояндық кодты бұрыннан бар процесске оның жұмысын бұзбай енгізу үшін жиі қолданылады (9-сурет).

Күріш. 9. Троян ағынын құру арқылы кіріспе

WebMoney ұрлаудың жаңа әдістері

2006 жылдың соңында ақшаны ұрлаудың жаңа, өте ерекше әдісі WebMoney жүйесі. Ол WebMoney бағдарламасының терезесінің ашықтығын бақылайтын пайдаланушының компьютеріне шағын трояндық бағдарламаны енгізуге негізделген. Егер ол ашық болса, алмасу буфері бақыланады. Буферде «Z», «R» немесе «E» әрпінен басталатын мәтінді тапқанда, троян бұл алушының әмиян нөмірі деп есептейді, оны пайдаланушы WebMoney терезесіне енгізу үшін алмасу буферіне көшірді. Бұл нөмір буферден жойылады және шабуылдаушы әмиянының «Z», «R» немесе «E» нөмірімен ауыстырылады. Әдісті жүзеге асыру өте қарапайым және өте тиімді болуы мүмкін, өйткені әмиян нөмірлері жиі енгізілмейді, бірақ буфер арқылы көшіріледі, және барлық пайдаланушылар әмиян нөмірі буферден енгізілгенін мұқият тексермейді. Бұл троян троян әзірлеушілерінің тапқырлығының айқын көрінісі.

Түзетушілер мен виртуалды ДК анықтау

Түзетушілермен, эмуляторлармен және виртуалды компьютерлермен жұмыс істеу әдістері бұрыннан белгілі. Оларды пайдалану жаңадан келген адамға зиянды бағдарламаны талдауды қиындатады, сондықтан мұндай технологияларды зиянды бағдарламаларды әзірлеушілер ұзақ уақыт бойы сәтті пайдаланып келеді. Дегенмен, өткен жылы жаңа тренд пайда болды: зиянды бағдарлама компьютердің түрін анықтауға тырысты - бұл нақты аппараттық құрал немесе Virtual PC немесе VMWare сияқты бағдарламалар арқылы жасалған эмуляция. Мұндай виртуалды компьютерлер белсенді түрде қолданылған және оларды әкімшілер күдікті бағдарламаларды зерттеу үшін пайдаланады. Тексеру бар болса, егер ол виртуалды компьютерде (немесе опция ретінде отладчик астында) іске қосылса, зиянды бағдарлама жай ғана жұмысын бұзып жіберуі мүмкін, бұл оның зерттелуіне жол бермейді. Сонымен қатар, мұндай сынақ Norman Sandbox сияқты жүйелерге соққы береді, өйткені олардың принципі эвристикалық талдау, мәні бойынша, эмуляторда зерттелетін бағдарламаны іске қосу және оның жұмысын тексеруден тұрады. Жыл соңында SANS институтының мамандары Том Листон мен Эд Скоудис анықтау техникасын сипаттайтын өте қызықты есеп жариялады. виртуалды машиналаржәне күресті анықтау әдістері. Құжатты SANS веб-сайтынан жүктеп алуға болады - http://handlers.sans.org/tliston/ThwartingVMDetection_Liston_Skoudis.pdf.

Спам-боттар және трояндық проксилер

Спам-бот – бұл вирус жұққан компьютерден спамды автоматты түрде жіберуге арналған жеке троян. Трояндық прокси – бұл прокси-сервер функциялары бар зиянды бағдарлама; оның зақымдалған компьютерде жұмыс істеуі шабуылдаушыға оны спам жіберу, басқа компьютерлерге шабуыл жасау және басқа да заңсыз әрекеттерді орындау үшін прокси сервер ретінде пайдалануға мүмкіндік береді. Көптеген заманауи спам-боттар руткиттер технологияларын қолдана отырып, өздерінің қатысуын белсенді түрде бүркемелейді және өздерін жоюдан қорғайды. Статистика көрсеткендей, айына мұндай бағдарламалардың 400-ден астам ITW түрі ашылады, олардың 130-ға жуығы жаңа және бірегей.

Спам-бот корпоративтік желілерге үлкен қауіп төндіреді, өйткені оның жұмысы келесі салдарға әкеледі:

• желілік трафикті жоғары тұтыну - Ресейдің көптеген қалаларында әлі жоқ шектеусіз тарифтер, сондықтан желіде бірнеше зардап шеккен компьютерлердің болуы трафикті тұтынуға байланысты айтарлықтай қаржылық шығындарға әкелуі мүмкін;
• көп корпоративтік желілерИнтернетке кіру үшін олар статикалық IP мекенжайларын және өздерінің пошта серверлерін пайдаланады. Демек, спам-боттардың әрекеті нәтижесінде бұл IP мекенжайлары спамға қарсы сүзгілердің қара тізіміне тез енеді, яғни Интернеттегі пошта серверлері компанияның корпоративтік пошта серверінен хаттарды енді қабылдамайды. Сіздің IP мекенжайыңызды қара тізімнен шығаруға болады, бірақ бұл өте қиын және желіде спам-боттар жұмыс істеп тұрса, бұл уақытша шара болады.

Спам-боттарға және трояндық проксилерге қарсы тұру әдістері өте қарапайым: сіз барлық пайдаланушылар үшін 25-портты бұғаттауыңыз керек және ең дұрысы, прокси-серверлер арқылы жұмыс істеуге ауыстыра отырып, олардың Интернетпен тікелей байланысына толығымен тыйым салуыңыз керек. Мысалы, Смоленскенергода барлық пайдаланушылар интернетке тек фильтрлер жүйесі бар прокси арқылы қол жеткізеді, хаттамаларды жартылай автоматты түрде зерттеу күн сайын жүргізіледі, оны кезекші жүйелік әкімші орындайды. Ол пайдаланатын анализатор пайдаланушы трафигіндегі ауытқуларды анықтауды жеңілдетеді және күдікті әрекетті блоктау үшін дер кезінде шараларды қабылдайды. Сонымен қатар, пайдаланушының желілік трафигін зерттейтін IDS-жүйелер (Intrusion Detection System) тамаша нәтижелер береді.

Internet Messenger арқылы зиянды бағдарламаларды тарату

Жыл бойы жиналған статистикалық мәліметтерге сәйкес, интернет-пейджерлер пайдаланушылардың компьютерлеріне зиянды бағдарламаларды енгізу үшін жиі қолданылады. Іске асыру техникасы классикалық әлеуметтік инженерия болып табылады. Вирус жұққан компьютерден оның иесінің ICQ атынан зиянды бағдарлама белгілі бір сылтаумен немесе басқа сылтаумен көрсетілген сілтемені ашуға шақыратын хабарламалар жібереді. Сілтеме троянға (әдетте picture.pif немесе flash_movie.exe сияқты мағыналы атаумен) немесе беттерінде эксплоиттер бар сайтқа апарады. Бұл олардың органдары емес, таратылатын зиянды бағдарламаларға сілтемелер екенін ерекше атап өткен жөн.

Соңғы бір жылда осы қағидаға негізделген бірнеше эпидемия тіркелді. Ресейде құрбандар негізінен ICQ пайдаланушылары болды, ал Trojan-PSW санаты, пайдаланушы құпия сөздерін ұрлайтын трояндық бағдарламалар көбінесе осылай таратылды. Автор күніне орта есеппен бір-он хабарлама алады, ал жыл соңына қарай мұндай хат-хабарлардың көбеюі байқалады.

Зиянды бағдарламаның бұл түрінен қорғау өте қарапайым - мұндай сілтемелерді ашпау керек. Дегенмен, статистика көрсеткендей, пайдаланушылардың қызығушылықтары жиі басым болады, егер хабарламалар белгілі адамнан болса, одан да көп. Корпоративтік ортада интернет-пейджерлерді пайдалануға тыйым салу тиімді шара болып табылады, өйткені қауіпсіздік тұрғысынан олар ақпараттың ағып кетуіне тамаша арна болып табылады.

USB флэш медиасы

Флэш-медиа бағасының айтарлықтай төмендеуі (сонымен қатар олардың көлемі мен жылдамдығының артуы) табиғи әсерге әкелді - олардың пайдаланушылар арасында танымалдылығының тез өсуі. Тиісінше, зиянды бағдарламаларды әзірлеушілер флэш-дискілерді зақымдайтын бағдарламалар жасай бастады. Мұндай бағдарламалардың жұмыс істеу принципі өте қарапайым: дискінің түбірінде екі файл жасалады - autorun.inf мәтіндік файлы және зиянды бағдарламаның көшірмесі. Автоматты іске қосу файлы диск қосылған кезде зиянды бағдарламаны автоматты түрде іске қосу үшін пайдаланылады. Мұндай зиянды бағдарламалардың классикалық мысалы - Rays пошта құрты. Сандық камера көптеген вирус тасымалдаушы ретінде әрекет ете алатынын атап өткен жөн Ұялы телефондар, MP3 ойнатқыштары және PDA - компьютер тұрғысынан (және, тиісінше, құрт), олар флэш-дискіден ерекшеленбейді. Сонымен қатар, зиянды бағдарламаның болуы бұл құрылғылардың жұмысына ешқандай әсер етпейді.

Мұндай бағдарламалардан қорғау шарасы ретінде автоматты іске қосуды өшіру, вирусты уақтылы анықтау және жою үшін антивирустық мониторларды пайдалану болуы мүмкін. Вирустар ағыны және ақпараттың ағып кету қаупі жағдайында көптеген компаниялар қатаң шаралар қолданады - арнайы бағдарламалық жасақтаманы пайдаланып USB құрылғыларын қосу мүмкіндігін бұғаттау немесе жүйе параметрлерінде USB драйверлерін блоктау.

Қорытынды

Бұл мақалада зиянды бағдарламаларды дамытудың негізгі бағыттары қарастырылды. Олардың талдауы бірнеше болжам жасауға мүмкіндік береді:

• қолтаңба сканерлерінен бүркемелеу және виртуалды компьютерлер мен эмуляторларда іске қосудан қорғау бағыты белсенді түрде дамиды деп болжауға болады. Демек, мұндай зиянды бағдарламалармен күресу үшін әртүрлі эвристикалық анализаторлар, брандмауэрлер және белсенді қорғаныс жүйелері бірінші орынға шығады;
• зиянды бағдарламаларды әзірлеу индустриясының айқын криминализациясы, спам-боттардың, трояндық проксилердің, парольдерді және пайдаланушылардың жеке деректерін ұрлауға арналған трояндықтардың үлесі өсуде. Вирустар мен құрттардан айырмашылығы, ұқсас бағдарламаларпайдаланушыларға елеулі материалдық зиян келтіруі мүмкін. Пайдаланушыларға деректерді шифрлайтын трояндық бағдарламалар индустриясының дамуы бізді мерзімділіктердің орындылығы туралы ойлануға мәжбүр етеді Резервтік көшірме, бұл іс жүзінде мұндай троянның зақымдануын нөлге дейін төмендетеді;
• Компьютерді жұқтыру жағдайларын талдау шабуылдаушылар зиянды бағдарламаларды орналастыру үшін веб-серверлерді жиі бұзатынын көрсетеді. Мұндай бұзу дефекация деп аталатынға қарағанда әлдеқайда қауіпті бастапқы бетсайт), өйткені сайтқа кірушілердің компьютерлері жұқтырылуы мүмкін. Бұл бағыт өте белсенді дамиды деп болжауға болады;
• Флэш-дискілер, сандық камералар, MP3 ойнатқыштары және PDA-лар вирустарды тасымалдауы мүмкін болғандықтан, қауіпсіздікке қауіп төндіреді. Көптеген пайдаланушылар, айталық, сандық камераның қауіптілігін жете бағаламайды - дегенмен, 2006 жылы автор мұндай құрылғыларға қатысты кем дегенде 30 оқиғаны зерттеген;
• құрылғыны және зиянды бағдарламалардың жұмыс істеу принциптерін талдау антивируссыз олардан өзіңізді қорғауға болатындығын көрсетеді - олар дұрыс конфигурацияланған жүйеде жай жұмыс істей алмайды. Негізгі қорғаныс ережесі - пайдаланушы шектеулі тіркелгімен жұмыс істейді, оның ішінде жүйелік қалталарға жазу, қызметтер мен драйверлерді басқару, сондай-ақ жүйе тізілімінің кілттерін өзгертуге рұқсаттары жоқ.

Белсенді Басылым 15.02.2008

«ЖЕКЕ ДЕРЕКТЕРДІ АҚПАРАТТЫҚ ЖҮЙЕЛЕРДЕ ӨҢДЕУ КЕЗІНДЕГІ ЖЕКЕ ДЕРЕКТЕРДІҢ ҚАУІПСІЗДІГІНЕ ҚАУІПТЕРДІҢ НЕГІЗГІ МОДЕЛІ» (2008 жылғы 15 ақпанда Ресей Федерациясының FSTEC бекіткен)

5. Дербес деректердің ақпараттық жүйесіндегі ақпаратқа рұқсатсыз қол жеткізу қаупі

Бағдарламалық қамтамасыз етуді және бағдарламалық-техникалық құралдарды пайдалану арқылы ISPD-де UA-ға қатер рұқсат етілмеген, соның ішінде кездейсоқ қол жеткізу кезінде жүзеге асырылады, бұл құпиялылықты (көшіру, рұқсатсыз тарату), тұтастықты (жою, өзгерту) және қол жетімділікті (бұғаттау) бұзуға әкеледі. PD және мыналарды қамтиды:

стандартты бағдарламалық қамтамасыз ету (операциялық жүйе құралдары немесе жалпы қолданбалы бағдарламалар) арқылы компьютердің операциялық ортасына кіру (еніп кету) қауіптері;

Қалыпты жағдайларда көзделген өңделетін ақпараттың құрамы мен сипаттамаларына шектеулерді елемеу, деректердің өзін бұрмалау (өзгерту) арқылы қызмет көрсету деректерін қасақана өзгертуге байланысты бағдарламалық құралдардың (бағдарламалық және аппараттық қамтамасыз етудің) қалыпты жұмыс режимдерін жасау қаупі; т.б.;

зиянды бағдарламаларды енгізу қауіптері (бағдарламалық-математикалық әсер).

ISPD-дегі ақпаратқа қатысты UA қауіптерін сипаттау элементтерінің құрамы 3-суретте көрсетілген.

Сонымен қатар, осы қауіптердің жиынтығы болып табылатын біріктірілген қауіптер болуы мүмкін. Мысалы, зиянды бағдарламалардың енгізілуіне байланысты компьютердің операциялық ортасына, оның ішінде дәстүрлі емес ақпаратқа қол жеткізу арналарын қалыптастыру арқылы рұқсатсыз кіруге жағдай жасалуы мүмкін.

Стандартты бағдарламалық қамтамасыз етуді пайдалана отырып, ISPD операциялық ортасына кіру (еніп кету) қауіптері тікелей және қашықтан қол жеткізу қауіптері болып бөлінеді. Тікелей қатынау қатерлері бағдарламалық қамтамасыз ету және компьютердің микробағдарлама енгізу/шығуы арқылы жүзеге асырылады. Қашықтан қол жеткізу қауіптері желілік байланыс хаттамалары арқылы жүзеге асырылады.

Бұл қауіптер ISPD-ге қатысты жалпыға ортақ байланыс желісіне қосылмаған автоматтандырылған жұмыс орны негізінде де, жалпыға ортақ байланыс желілеріне және халықаралық ақпарат алмасу желілеріне қосылған барлық ISPD-ге қатысты да жүзеге асырылады.

Компьютердің операциялық ортасына қол жеткізу (еніп кету) қауіптерінің сипаттамасын ресми түрде келесідей көрсетуге болады:

ISPD-дегі UA қаупі: =<источник угрозы>, <уязвимость ИСПДн>, <способ реализации угрозы>, <объект воздействия (программа, протокол, данные и др.)>, <деструктивное действие>.

Сурет 3. ISPD ақпаратына NSD қауіптерін сипаттау элементтері

Бағдарламалық қамтамасыз ету (бағдарламалық және аппараттық қамтамасыз ету) құралдарының қалыпты жұмыс режимдерін жасау қаупі «Қызмет көрсетуден бас тарту» қатерлері болып табылады. Әдетте, бұл қауіптер ақпарат алмасудың қосылуына қарамастан жергілікті және таратылатын ақпараттық жүйелер негізіндегі ISPD-ге қатысты қарастырылады. Оларды іске асыру жүйелік немесе қолданбалы бағдарламалық қамтамасыз етуді әзірлеу кезінде мақсатты түрде өзгертуге арналған қасақана әрекеттердің мүмкіндігін есепке алмауымен байланысты:

деректерді өңдеу шарттары (мысалы, хабарламалар пакетінің ұзындығына шектеулерді елемеу);

Деректерді ұсыну пішімдері (желілік өзара әрекеттесу хаттамаларын пайдалану арқылы өңдеу үшін белгіленген өзгертілген пішімдердің арасындағы сәйкессіздікпен);

Мәліметтерді өңдеуге арналған бағдарламалық қамтамасыз ету.

Қызмет көрсетуден бас тарту қауіптері буфердің толып кетуіне және өңдеу процедураларының бұғатталуына, өңдеу процедураларының «цикліне» және компьютердің «қатып қалуына», хабарламалар пакеттерін тастауға және т.б. әкеледі. Мұндай қауіптердің сипаттамасын ресми түрде келесідей көрсетуге болады:

Қызмет көрсетуден бас тарту қаупі: =<источник угрозы>, <уязвимость ИСПДн>, <способ реализации угрозы>, <объект воздействия (носитель ПДн)>, <непосредственный результат реализации угрозы (переполнение буфера, блокирование процедуры обработки, "зацикливание" обработки и т.п.)>.

Зиянды бағдарламалардың қауіптерін (бағдарламалық-математикалық әсер) жоғарыда аталған қауіптермен бірдей егжей-тегжейлі сипаттау орынсыз. Бұл, біріншіден, зиянды бағдарламалардың саны бүгінде жүз мыңнан айтарлықтай асып кетуіне байланысты. Екіншіден, ақпаратты қорғауды іс жүзінде ұйымдастырған кезде, әдетте, зиянды бағдарламаның класын, оны енгізудің (инфекциясының) әдістері мен салдарын білу жеткілікті. Осыған байланысты бағдарламалық-математикалық әсердің қауіптерін (PMI) ресми түрде келесідей көрсетуге болады:

ISPDn ішіндегі PMV қаупі: =<класс вредоносной программы (с указанием среды обитания)>, <источник угрозы (носитель вредоносной программы)>, <способ инфицирования>, <объект воздействия (загрузочный сектор, файл и т.п.)>, <описание возможных деструктивных действий>, <дополнительная информация об угрозе (резидентность, скорость распространения, полиморфичность и др.)>.

Төменде ақпараттық қауіпсіздік қатерлерінің көздерінің жалпы сипаттамасы, UA қатерлерін жүзеге асыру кезінде пайдаланылуы мүмкін осалдықтар және рұқсатсыз немесе кездейсоқ қол жеткізу нәтижелерінің сипаттамасы берілген. Қауіптерді жүзеге асыру әдістерінің сипаттамасы компьютердің операциялық ортасына кіру (еніп кету) қауіптерін, қызмет көрсетуден бас тарту қауіптерін және PMA қауіптерін сипаттау кезінде келтірілген.

ISPD-де UA-ға қауіптердің көздері мыналар болуы мүмкін:

бұзушы;

зиянды бағдарлама тасымалдаушысы;

аппараттық бетбелгі.

Аппараттық қателерді енгізуге байланысты PD қауіпсіздігінің қатерлері нормативтік құжаттарға сәйкес анықталады Федералдық қызметқауіпсіздік Ресей Федерациясыол белгілеген тәртіппен.

АЖҚБ-ның бақыланатын аймағына (KZ) тұрақты немесе бір реттік кіру құқығының болуына байланысты бұзушылар екі түрге бөлінеді:

ISPD қолжетімділігі жоқ, сыртқы жалпыға ортақ байланыс желілерінен және (немесе) халықаралық ақпарат алмасу желілерінен қауіптерді жүзеге асыратын бұзушылар – сыртқы бұзушылар;

ISPD-ге рұқсаты бар бұзушылар, соның ішінде ISPD-де қатерлерді тікелей жүзеге асыратын ISPD пайдаланушылары ішкі бұзушылар болып табылады.

Сыртқы зиянкестер:

мемлекеттердің барлау қызметтері;

Қылмыстық құрылымдар;

бәсекелестер (бәсекелес ұйымдар);

адал емес серіктестер;

сыртқы субъектілер (жеке тұлғалар).

Сыртқы зиянкестің келесі мүмкіндіктері бар:

қызметтік үй-жайдан тыс шығатын байланыс арналарына рұқсатсыз кіруді жүзеге асыруға;

жалпыға ортақ байланыс желілеріне және (немесе) халықаралық ақпарат алмасу желілеріне қосылған жұмыс станциялары арқылы рұқсатсыз кіруді жүзеге асыруға;

бағдарламалық вирустар, зиянды бағдарламалар, алгоритмдік немесе бағдарламалық бетбелгілер арқылы арнайы бағдарламалық әрекеттерді пайдалана отырып, ақпаратқа рұқсатсыз қол жеткізуді жүзеге асыру;

Өзінің өмірлік циклі барысында (жаңғырту, техникалық қызмет көрсету, жөндеу, кәдеге жарату) бақыланатын аумақтан тыс болатын ISPD ақпараттық инфрақұрылымының элементтері арқылы рұқсатсыз қол жеткізуді жүзеге асыру;

өзара әрекеттесетін басқармалардың, ұйымдардың және мекемелердің ақпараттық жүйелері арқылы ISPD-ге қосылған кезде рұқсатсыз кіруді жүзеге асыруға.

Инсайдерлік тұлғаның мүмкіндіктері айтарлықтай дәрежеде бақыланатын аймақта жұмыс істейтін режимге және ұйымдық-техникалық қорғау шараларына, соның ішінде жеке тұлғаларды жеке деректерге жіберуге және жұмыс тәртібін бақылауға байланысты.

Ішкі әлеуетті бұзушылар қол жеткізу әдісіне және PD-ге қол жеткізу құқықтарына байланысты сегіз санатқа бөлінеді.

Бірінші санатқа ISPD рұқсаты бар, бірақ PD рұқсаты жоқ адамдар кіреді. Құқық бұзушылардың бұл түріне ІСДБ қалыпты жұмысын қамтамасыз ететін лауазымды тұлғалар жатады.

PD бар және ішкі ISPD байланыс арналары арқылы таратылатын ақпарат фрагменттеріне қол жеткізу;

ISPD топологиясы (ішкі желінің байланыс бөлігі) және пайдаланылатын байланыс хаттамалары және олардың қызметтері туралы ақпараттың фрагменттері болуы;

Тіркелген пайдаланушылардың аты-жөнін білу және парольдерін сәйкестендіруді жүргізу;

конфигурациясын өзгертіңіз техникалық құралдар ISPD, оған бағдарламалық және аппараттық бетбелгілерді енгізіңіз және ISPD аппараттық құралына тікелей қосылым арқылы ақпаратты іздеуді қамтамасыз етіңіз.

бірінші санаттағы тұлғалардың барлық мүмкіндіктері бар;

Кем дегенде бір заңды рұқсат атауын біледі;

Оның барлық қажетті атрибуттары (мысалы, пароль) бар, олар PD-нің белгілі бір ішкі жиынына қол жеткізуді қамтамасыз етеді;

қол жеткізе алатын құпия деректері бар.

Оның қол жеткізу, аутентификация және PD белгілі бір жиынына қол жеткізу құқықтары қол жеткізуді басқарудың тиісті ережелерімен реттелуі керек.

бірінші және екінші санаттағы адамдардың барлық мүмкіндіктері бар;

Қол жеткізу қамтамасыз етілетін жергілікті және (немесе) таратылған ақпараттық жүйе негізіндегі ISPD топологиясы туралы және ISPD техникалық құралдарының құрамы туралы ақпараты бар;

ISPD техникалық құралдарының фрагменттеріне тікелей (физикалық) қол жеткізу мүмкіндігі бар.

ISPD сегментінде (фрагментінде) қолданылатын жүйе және қолданбалы бағдарламалық қамтамасыз ету туралы толық ақпаратқа ие;

ISPD сегментінің (фрагментінің) техникалық құралдары мен конфигурациясы туралы толық ақпараты бар;

ақпараттық қауіпсіздік пен журнал жүргізу құралдарына, сондай-ақ ISPD сегментінде (фрагментінде) пайдаланылатын жеке элементтерге рұқсаты бар;

ISPD сегментінің (фрагментінің) барлық техникалық құралдарына қол жеткізе алады;

ISPD сегментінің (фрагментінің) техникалық құралдарының кейбір ішкі жиынын конфигурациялауға және басқаруға құқығы бар.

Алдыңғы санаттағы тұлғалардың барлық мүмкіндіктері бар;

ISPD жүйесі және қолданбалы бағдарламалық қамтамасыз ету туралы толық ақпараты бар;

ISPD техникалық құралдары мен конфигурациясы туралы толық ақпараты бар;

ақпаратты өңдеудің барлық техникалық құралдарына және ISPD деректеріне қол жеткізе алады;

ISPD техникалық құралдарын конфигурациялауға және басқаруға құқығы бар.

Жүйе әкімшісі бағдарламалық қамтамасыз ету (бағдарламалық қамтамасыз ету) мен жабдықты, соның ішінде қорғалған объектінің қауіпсіздігіне жауапты жабдықты конфигурациялайды және басқарады: құралдар криптографиялық қорғауақпарат, мониторинг, тіркеу, мұрағаттау, рұқсатсыз кіруден қорғау.

алдыңғы санаттағы тұлғалардың барлық мүмкіндіктері бар;

ISPD туралы толық ақпарат бар;

ақпараттық қауіпсіздік пен журнал жүргізу құралдарына және ISPD кейбір негізгі элементтеріне қол жеткізе алады;

Бақылауды (тексеруді) қоспағанда, желілік жабдықты конфигурациялауға рұқсат құқығы жоқ.

Қауіпсіздік әкімшісі қол жеткізуді басқару ережелерінің сақталуына, негізгі элементтерді құруға және құпия сөздерді өзгертуге жауапты. Қауіпсіздік әкімшісі жүйе әкімшісі сияқты бірдей нысан қорғаныстарын тексереді.

ISPD бойынша ақпаратты өңдеуге арналған алгоритмдер мен бағдарламалар туралы ақпаратқа ие;

ISPD бағдарламалық құралына оны әзірлеу, енгізу және техникалық қызмет көрсету кезеңінде қателерді, жарияланбаған мүмкіндіктерді, бағдарламалық бетбелгілерді, зиянды бағдарламаларды енгізу мүмкіндігі бар;

ISPD топологиясы туралы ақпараттың кез келген фрагменттері және ISPD өңделген PD өңдеудің және қорғаудың техникалық құралдары болуы мүмкін.

ISPD техникалық құралдарында оларды әзірлеу, енгізу және қызмет көрсету кезеңінде бетбелгілер жасау мүмкіндігі бар;

Онда ISPD топологиясы және ISPD-де ақпаратты өңдеу мен қорғаудың техникалық құралдары туралы ақпараттың кез келген фрагменттері болуы мүмкін.

Зиянды бағдарламаның тасымалдаушысы компьютердің аппараттық элементі немесе бағдарламалық контейнер болуы мүмкін. Зиянды бағдарлама қандай да бір қолданбалы бағдарламамен байланысты болмаса, оның тасымалдаушысы ретінде мыналар қарастырылады:

Алынбалы тасымалдағыш, яғни иілгіш диск, оптикалық диск (CD-R, CD-RW), флэш-жад, босатылатын қатты диск және т.б.;

Кірістірілген сақтау құралдары (қатты дискілер, RAM чиптері, процессор, чиптер жүйелік тақта, ендірілген құрылғылардың микрочиптері жүйелік блок, - бейне адаптер, желілік карта, дыбыстық карта, модем, магниттік қатты және оптикалық дискілерге арналған енгізу/шығару құрылғылары, қуат көзі және т.б., жадқа тікелей қол жеткізу микросхемалар, деректер шиналары, енгізу/шығару порттары);

микрочиптер сыртқы құрылғылар(монитор, пернетақта, принтер, модем, сканер, т.б.).

Зиянды бағдарлама қандай да бір қолданбалы бағдарламамен, белгілі кеңейтімдері бар файлдармен немесе басқа атрибуттары бар файлдармен, желі арқылы жіберілетін хабарламалармен байланысты болса, онда оның тасымалдаушылары:

компьютерлік желі арқылы берілетін хабарламалар пакеттері;

файлдар (мәтіндік, графикалық, орындалатын және т.б.).

Дербес деректердің ақпараттық жүйесінің осалдығы – дербес деректердің қауіпсіздігіне қатер төндіруді жүзеге асыру үшін пайдаланылуы мүмкін автоматтандырылған ақпараттық жүйенің жүйесіндегі немесе қолданбалы бағдарламалық жасақтамасының (аппараттық құралдарының) кемістігі немесе әлсіздігі.

Осалдықтардың себептері:

бағдарламалық қамтамасыз етуді (бағдарламалық және аппараттық қамтамасыз етуді) жобалау және әзірлеу кезіндегі қателер;

бағдарламалық (аппараттық) қамтамасыз етуді жобалау және әзірлеу кезінде осалдықтарды енгізу бойынша қасақана әрекеттер;

бағдарламалық қамтамасыз етудің дұрыс емес параметрлері, құрылғылар мен бағдарламалардың жұмыс режимдерінің заңсыз өзгеруі;

Ресурстарды кейіннен негізсіз жұмсай отырып, жазылмаған бағдарламаларды рұқсатсыз енгізу және пайдалану (процессорлық жүктеме, сыртқы тасымалдағыштағы жедел жады мен жадты басып алу);

бағдарламалық қамтамасыз етуде және микробағдарламада осалдықтарды тудыратын зиянды бағдарламаларды енгізу;

пайдаланушылардың осалдықтарға әкелетін рұқсат етілмеген қасақана әрекеттері;

аппараттық және бағдарламалық құралдардың жұмысындағы ақаулар (электр қуатының бұзылуынан, ескіру және сенімділіктің төмендеуі нәтижесінде аппараттық элементтердің істен шығуынан, техникалық құрылғылардың электромагниттік өрістерінің сыртқы әсерінен және т.б.).

ISPD негізгі осалдықтарының жіктелуі 4-суретте көрсетілген.

Сурет 4. Бағдарламалық қамтамасыз етудің осалдықтарының классификациясы

Төменде ISPD осалдықтарының негізгі топтарының жалпы сипаттамасы берілген, соның ішінде:

жүйелік бағдарламалық қамтамасыз етудегі осалдықтар (оның ішінде желілік өзара әрекеттесу хаттамалары);

қолданбалы бағдарламалық жасақтаманың осалдықтары (ақпараттық қауіпсіздік құралдарын қоса алғанда).

Жүйелік бағдарламалық қамтамасыз етудің осалдықтары есептеу жүйелерінің архитектурасына сілтеме жасай отырып қарастырылуы керек.

Келесі осалдықтар болуы мүмкін:

микробағдарламаларда, ROM микробағдарламасында, PROM;

жергілікті ISPD ресурстарын басқаруға арналған операциялық жүйе құралдарында (процестерді, жадты, енгізу/шығару құрылғыларын, пайдаланушы интерфейсін және т.б. басқару функцияларын орындауды қамтамасыз ету), драйверлерді, утилиталарды;

Операциялық жүйеде көмекші функцияларды орындауға арналған құралдар – утилиталар (архивтеу, дефрагментациялау және т.б.), жүйені өңдеу бағдарламалары (компиляторлар, сілтемелер, жөндеушілер және т.б.), пайдаланушыны қамтамасыз ету бағдарламалары. қосымша қызметтер(арнайы интерфейс опциялары, калькуляторлар, ойындар және т.б.), әртүрлі мақсаттарға арналған процедуралар кітапханалары (математикалық функциялардың кітапханалары, енгізу/шығару функциялары және т.б.);

операциялық жүйенің коммуникациялық өзара әрекеттесу құралдарында (желілік құралдар).

Жергілікті ресурстарды және қосалқы функцияларды басқаруға арналған микробағдарлама және операциялық жүйе құралдарының осалдықтары мыналар болуы мүмкін:

Параметрлерін белгілі бір жолмен өзгерту операциялық жүйемен мұндай өзгерістерді байқамай, рұқсатсыз кіру үшін пайдалануға мүмкіндік беретін функциялар, процедуралар;

сәйкестендіру, аутентификация, тұтастықты тексеру және т.б. процедураларды айналып өтуге мүмкіндік беретін әзірлеуші ​​енгізген бағдарлама кодының фрагменттері («тесік», «люктер»);

Белгілі бір жағдайларда (мысалы, логикалық ауысуларды орындау кезінде) ақауларға, соның ішінде ақпаратты қорғау құралдары мен жүйелерінің жұмысындағы ақауларға әкелетін бағдарламалардағы қателер (айнымалыларды, функцияларды және процедураларды жариялауда, бағдарлама кодтарында).

Желілік өзара әрекеттесу хаттамаларының осалдықтары олардың бағдарламалық қамтамасыз етуді жүзеге асыру ерекшеліктерімен байланысты және пайдаланылатын буфер өлшеміне шектеулер, аутентификация процедурасының кемшіліктері, сервистік ақпараттың дұрыстығын тексерудің болмауы және т.б. Осылардың қысқаша сипаттамасы. хаттамаларға қатысты осалдықтар 2-кестеде келтірілген.

кесте 2

TCP/IP протокол стекінің жеке хаттамаларының осалдықтары, олардың негізінде ғаламдық қоғамдық желілер жұмыс істейді.

Көптеген осалдықтардың сипаттамасын жүйелеу үшін MItrE, ISS, Cisco, BindView, Axent, NFR сияқты көптеген танымал компаниялар мен ұйымдардың мамандары әзірлеген CVE (Common Vulnerabilities and Exposions) осалдықтарының бірыңғай деректер базасы пайдаланылады. , L-3, CyberSafe, CERT, Карнеги Меллон университеті, SANS институты және т.б. Бұл мәліметтер базасы үнемі жаңартылып отырады және көптеген мәліметтер қорын қалыптастыруда қолданылады бағдарламалық құралдарқауіпсіздік талдауы және ең алдымен желілік сканерлер.

Қолданбалы бағдарламалық құрал кіреді қолданбалы бағдарламаларжалпы пайдалану және арнайы қолданбалар.

Жалпы қолдануға арналған қолданбалы программалар – мәтіндік және графикалық редактор, медиа бағдарламалары (аудио және бейне ойнатқыштар, телебағдарламаларды қабылдауға арналған бағдарламалық қамтамасыз ету және т.б.), деректер қорын басқару жүйелері, бағдарламалық платформалардамыту үшін қоғамдық пайдалану бағдарламалық өнімдер(Дельфи сияқты, Visual Basic), қоғамдық ақпаратты қорғау құралдары және т.б.

Арнайы қолданбалы бағдарламалар - бұл ISPD-дегі нақты қолданбалы мәселелерді шешу мүддесінде әзірленген бағдарламалар (соның ішінде нақты ISPD үшін әзірленген ақпараттық қауіпсіздік бағдарламалық қамтамасыз ету).

Қолданбалы бағдарламалық жасақтаманың осалдықтары мыналар болуы мүмкін:

әртүрлі қолданбалы бағдарламаларға қатысты және жүйелік ресурстарды бөлуге байланысты қайшылықтарға байланысты бір-бірімен үйлеспейтін (бір операциялық ортада жұмыс істемейтін) функциялар мен процедуралар;

Параметрлерін белгілі бір жолмен өзгерту оларды пайдалануға ISPD операциялық ортасына енуге және операциялық жүйенің тұрақты функцияларын шақыруға мүмкіндік беретін функциялар, процедуралар операциялық жүйенің мұндай өзгерістерін байқамай, рұқсатсыз кіруді жүзеге асырады;

операциялық жүйеде қарастырылған сәйкестендіру, аутентификация, тұтастықты тексеру және т.б. процедураларды айналып өтуге мүмкіндік беретін әзірлеуші ​​енгізген бағдарламалық кодтың фрагменттері («тесік», «люктер»);

қажетті қорғаныс құралдарының болмауы (аутентификация, тұтастықты тексеру, хабарлама пішімін тексеру, рұқсат етілмеген өзгертілген функцияларды блоктау және т.б.);

Белгілі бір жағдайларда (мысалы, логикалық ауысуларды орындау кезінде) ақауларға, соның ішінде ақпаратты қорғау құралдары мен жүйелерінің жұмысындағы ақауларға әкеп соғатын бағдарламалардағы қателер (айнымалыларды, функцияларды және процедураларды жариялауда, бағдарлама кодтарында) ақпаратқа рұқсатсыз қол жеткізу мүмкіндігі.

Коммерциялық әзірленген және таратылатын қолданбалы бағдарламалық қамтамасыз етудің осалдық деректері CVE дерекқорында жинақталады, қорытындыланады және талданады.<*>.

<*>CERT шетелдік компаниясы коммерциялық негізде жүргізеді.

Компьютердің операциялық ортасына қол жеткізу (еніп кету) қауіптері және PD рұқсатсыз кіру қауіптері мыналарға қол жеткізумен байланысты:

ISPD негізгі енгізу/шығару жүйесінде (BIOS) сақталған ақпарат пен пәрмендерге операциялық жүйенің жүктелуін басқаруды тоқтату және сенімді пайдаланушының құқықтарын алу мүмкіндігімен;

операциялық ортаға, яғни стандартты операциялық жүйе бағдарламаларына қоңырау шалу немесе осындай әрекеттерді жүзеге асыратын арнайы әзірленген бағдарламаларды іске қосу арқылы рұқсатсыз кіруді орындау мүмкіндігі бар жеке ISPD техникалық құралының жергілікті операциялық жүйесінің жұмыс ортасына;

қолданбалы бағдарламалардың жұмыс ортасына (мысалы, to жергілікті жүйемәліметтер базасын басқару);

тікелей пайдаланушы ақпаратына (файлдарға, мәтінге, аудио және графикалық ақпарат, электрондық деректер қорларындағы өрістер мен жазбалар) және оның құпиялылығын, тұтастығын және қолжетімділігін бұзу мүмкіндігіне байланысты.

Бұл қауіптер ISPD-ге немесе, ең болмағанда, ISPD-ге ақпаратты енгізу құралдарына физикалық қол жеткізуді алған жағдайда жүзеге асырылуы мүмкін. Оларды орындау мерзіміне қарай үш топқа бөлуге болады.

Бірінші топқа операциялық жүйені жүктеу кезінде жүзеге асырылатын қауіптер жатады. Ақпараттық қауіпсіздікке төнетін бұл қауіптер парольдерді немесе идентификаторларды ұстауға, негізгі енгізу/шығару жүйесінің (BIOS) бағдарламалық жасақтамасын өзгертуге, ISPD операциялық ортасында UA алу үшін қажетті технологиялық ақпаратты өзгерту арқылы жүктеуді басқаруды ұстауға бағытталған. Көбінесе мұндай қауіп-қатерлер иеліктен шығарылған ақпарат құралдары арқылы жүзеге асырылады.

Екінші топ – пайдаланушы қандай қолданбалы бағдарламаны іске қосқанына қарамастан операциялық ортаны жүктегеннен кейін жүзеге асырылатын қауіптер. Бұл қауіптер әдетте ақпаратқа тікелей рұқсатсыз қол жеткізуді жүзеге асыруға бағытталған. Операциялық ортаға қол жеткізу кезінде зиянкес екеуін де пайдалана алады стандартты мүмкіндіктероперациялық жүйе немесе кез келген жалпы қолданбалы бағдарлама (мысалы, дерекқорды басқару жүйелері) және рұқсатсыз кіруді орындау үшін арнайы әзірленген бағдарламалар, мысалы:

тізілімді қарау және өзгертулер;

мәтінді іздеу бағдарламалары мәтіндік файлдаркілт сөздер және көшіру арқылы;

мәліметтер қорындағы жазбаларды қарау және көшіру үшін арнайы бағдарламалар;

жылдам көрушілер графикалық файлдар, оларды өңдеу немесе көшіру;

бағдарламалық ортаны қайта конфигурациялау мүмкіндіктерін қолдауға арналған бағдарламалар (құқық бұзушының мүддесі үшін ISPD параметрлері) және т.б.

Ақырында, үшінші топқа қауіптер жатады, олардың орындалуы пайдаланушы қолданбалы бағдарламалардың қайсысын іске қосқанымен немесе қолданбалы бағдарламалардың кез келгенінің іске қосылуымен анықталады. Бұл қауіптердің көпшілігі зиянды бағдарламаларды енгізу қауіптері болып табылады.

Егер ISPD жергілікті немесе таратылған ақпараттық жүйе негізінде жүзеге асырылса, онда ақпараттық қауіпсіздік қатерлері Интернетте жұмыс істеу протоколдарын қолдану арқылы жүзеге асырылуы мүмкін. Сонымен қатар, NSD-дан PD-ге берілуі мүмкін немесе қызмет көрсетуден бас тарту қаупі туындауы мүмкін. Қауіптер әсіресе ISPD жалпыға ортақ желілерге және (немесе) халықаралық ақпарат алмасу желілеріне қосылған таратылған ақпараттық жүйе болған кезде қауіпті. Желі арқылы жүзеге асырылатын қауіптерді жіктеу схемасы 5-суретте көрсетілген. Ол келесі жеті негізгі жіктеу мүмкіндігіне негізделген.

1. Қауіптің сипаты. Осы негізде қауіптер пассивті және белсенді болуы мүмкін. Пассивті қауіп - бұл қатер, оны жүзеге асыру ISPD жұмысына тікелей әсер етпейді, бірақ ПҚ-ға қол жеткізуді шектеудің белгіленген ережелері бұзылуы мүмкін немесе желі ресурстары. Мұндай қауіптердің мысалы ретінде байланыс арналарын тыңдауға және берілетін ақпаратты ұстап алуға бағытталған «Желілік трафикті талдау» қаупін келтіруге болады.

Белсенді қауіп – ISPD ресурстарына әсер етумен байланысты қауіп, оның орындалуы жүйенің жұмысына тікелей әсер етеді (конфигурацияны өзгерту, өнімділікті бұзу және т. желі ресурстары. Мұндай қауіптердің мысалы ретінде «TCP сұрау дауылы» ретінде сатылатын Қызмет көрсетуден бас тарту қаупі бар.

2. Қауіптің жүзеге асу мақсаты. Осы негізде қауіптер ақпараттың құпиялылығын, тұтастығын және қолжетімділігін бұзуға бағытталған болуы мүмкін (соның ішінде ISPD немесе оның элементтерінің жұмыс қабілеттілігін бұзу).

3. Қауіпті жүзеге асыру процесінің басталу шарты. Осы негізде қауіп жүзеге асырылуы мүмкін:

қауіп төніп тұрған объектінің сұрауы бойынша. Бұл жағдайда зиянкес рұқсат етілмеген қол жеткізуді бастау шарты болатын белгілі бір түрдегі сұраныстың берілуін күтеді;

Сурет 5. Интернет-жұмыс хаттамалары арқылы қауіптердің жіктелу схемасы

Қауіп-қатер іске асырылып жатқан объектіде күтілетін оқиға болған кезде. Бұл жағдайда зиянкес ISPD операциялық жүйесінің күйін үнемі қадағалап отырады және егер осы жүйеде белгілі бір оқиға орын алса, рұқсатсыз кіру басталады;

сөзсіз әсер ету. Бұл жағдайда рұқсат етілмеген қол жеткізуді жүзеге асырудың басталуы қол жеткізу мақсатына қатысты сөзсіз болып табылады, яғни қауіп дереу және жүйенің күйіне қарамастан жүзеге асырылады.

4. Қол жетімділік кері байланыс ISPD көмегімен. Осы негізде қауіпті іске асыру процесі кері байланыспен немесе кері байланыссыз болуы мүмкін. ISPD кері байланыс болған кезде жүзеге асырылатын қауіп ISPD-ге жіберілген кейбір сұраулар зиянкестің жауап алуын талап ететіндігімен сипатталады. Демек, бұзушы мен ISPD арасында кері байланыс бар, ол бұзушыға ISPD-де болып жатқан барлық өзгерістерге адекватты түрде жауап беруге мүмкіндік береді. ISPD кері байланысы болған кезде жүзеге асырылатын қауіптерден айырмашылығы, қатерлерді кері байланыссыз іске асырған кезде ISPD-де болатын кез келген өзгерістерге жауап беру талап етілмейді.

5. ISPD қатысты зиянкестің орны. Осы белгіге сәйкес қауіп сегмент ішінде де, сегмент аралықта да жүзеге асады. Желілік сегмент – хосттардың физикалық ассоциациясы (ISPD аппараттық құралы немесе желілік мекенжайы бар байланыс элементтері). Мысалы, ISPD сегменті «жалпы автобус» схемасына сәйкес серверге қосылған хосттар жиынын құрайды. Сегментішілік қауіп болған жағдайда, бұзушы ISPD аппараттық элементтеріне физикалық қол жеткізе алады. Егер сегментаралық қауіп болса, онда зиянкес басқа желіден немесе басқа ISDN сегментінен келетін қауіпті жүзеге асыра отырып, ISDN тыс орналасқан.

6. Ашық жүйелердің өзара әрекеттесуінің эталондық моделінің деңгейі<*>Қауіп іске асырылатын (ISO/OSI). Осы негізде қауіп физикалық, арналық, желілік, көліктік, сеанс, көрсетілім және ISO/OSI үлгісінің қолданбалы деңгейлерінде жүзеге асырылуы мүмкін.

<*>Халықаралық стандарттау ұйымы (ISO) ISO 7498 стандартын қабылдады, ол Open Systems Interconnection (OSI) сипаттайды.

7. Қауіп-қатер іске асырылып жатқан бұзушылар мен ISPD элементтерінің санының арақатынасы. Осы негізде қауіп бір ISPD техникалық құралына қатысты (бірден-бір қауіп), бірнеше ISPD техникалық құралдарына қатысты бірден (бірден көпке қауіп) немесе бір бұзушы жүзеге асыратын қауіп ретінде жіктелуі мүмкін. ISPD бір немесе бірнеше техникалық құралдарына (үлестірілген немесе біріктірілген қауіптер) қатысты әртүрлі компьютерлерден бірнеше зиянкестер.

Классификацияға сүйене отырып, біз қазіргі уақытта ең жиі жүзеге асырылатын жеті қауіпті бөліп аламыз.

1. Желілік трафикті талдау (6-сурет).

Сурет 6. «Желілік трафикті талдау» қаупін жүзеге асыру схемасы

Бұл қауіп желі сегменті арқылы жіберілетін барлық пакеттерді ұстап алатын және олардың ішінде пайдаланушы идентификаторы мен пароль жіберілетіндерді бөліп көрсететін арнайы пакеттік анализатор бағдарламасы (снайффер) арқылы жүзеге асырылады. Қауіпті жүзеге асыру кезінде зиянкес желі логикасын зерттейді, яғни жүйеде болып жатқан оқиғалар мен пайда болған кезде хосттар жіберген командалар арасындағы жеке сәйкестікті алуға ұмтылады. бұл оқиғалар. Болашақта бұл шабуылдаушыға тиісті пәрмендерді орнату негізінде, мысалы, жүйеде әрекет ету немесе ондағы өкілеттіктерін кеңейту, желілік операциялық жүйенің құрамдастары арасында алмасатын жіберілетін деректер ағынын ұстау үшін артықшылықты құқықтарды алуға мүмкіндік береді. құпия немесе идентификациялық ақпаратты алу үшін (мысалы, шифрлауды қамтамасыз етпейтін FTP және TELNET хаттамалары арқылы қашықтағы хосттарға кіру үшін пайдаланушылардың статикалық құпия сөздері), оны ауыстыру, өзгерту және т.б.

2. Желіні сканерлеу.

Қауіпті іске асыру процесінің мәні ISPD хосттарының желілік қызметтеріне сұраныстарды жіберу және олардан жауаптарды талдау болып табылады. Мақсаты – қолданылатын хаттамаларды, желілік қызметтердің қолжетімді порттарын, қосылым идентификаторларын қалыптастыру заңдарын, белсенді желі қызметтерін анықтау, пайдаланушы идентификаторлары мен парольдерді таңдау.

3. Құпия сөзді ашу қаупі.

Қауіпті жүзеге асырудың мақсаты - парольді қорғауды жеңу арқылы UA алу. Қауіпті шабуылдаушы қарапайым санау, арнайы сөздіктер арқылы санау, құпия сөзді ұстап алу үшін зиянды бағдарламаны орнату, сенімді желі нысанын ауыстыру (IP спуфинг) және пакеттерді иіскеу сияқты әртүрлі әдістерді қолданып қауіпті жүзеге асыра алады. Негізінен қауіп-қатерді жүзеге асыру үшін қолданылады арнайы бағдарламаларқұпия сөздерді мәжбүрлеу арқылы хостқа кіруге тырысады. Сәтті болса, шабуылдаушы болашақ кіру үшін өзіне «жол» жасай алады, ол хостта кіру құпия сөзі өзгертілсе де жұмыс істейді.

4. Сенiмдi желi объектiсiн ауыстыру және оның қол жеткiзу құқықтарын бере отырып, оның атынан хабарламаларды байланыс арналары арқылы беру (7-сурет).

Сурет 7. «Сенімді желі объектісін ауыстыру» қаупін жүзеге асыру схемасы.

Мұндай қауіп хосттарды, пайдаланушыларды және т.б. анықтау және аутентификациялаудың тұрақсыз алгоритмдері қолданылатын жүйелерде тиімді жүзеге асырылады. Сенімді объект – серверге заңды түрде қосылған желілік объект (компьютер, желіаралық қалқан, маршрутизатор және т.б.).

Бұл қауіпті іске асыру процесінің екі түрін бөлуге болады: виртуалды байланыс орнату арқылы және онсыз.

Виртуалды қосылымды орнату арқылы іске асыру процесі зиянкестерге сенімді субъект атынан желілік объектімен сеанс жүргізуге мүмкіндік беретін сенімді өзара әрекеттесу субъектісінің құқықтарын беруден тұрады. Қауіптің бұл түрін жүзеге асыру хабарды сәйкестендіру және аутентификация жүйесін жеңуді талап етеді (мысалы, UNIX хостының rsh қызметіне шабуыл).

Виртуалды қосылымды орнатпай қауіпті іске асыру процесі жіберілетін хабарламаларды тек жіберушінің желілік мекенжайы бойынша анықтайтын желілерде орын алуы мүмкін. Мәні маршруттау мен мекенжай деректерін өзгерту туралы желіні басқару құрылғыларының атынан (мысалы, маршрутизаторлар атынан) қызметтік хабарламаларды жіберуде жатыр. Бұл жағдайда абоненттер мен қосылыстардың жалғыз идентификаторлары (TCP хаттамасына сәйкес) екі 32 разрядты параметр болып табылатынын есте сақтау қажет. Сондықтан, жалған TCP пакетін қалыптастыру үшін шабуылдаушы ағымдағы идентификаторларды білуі керек. бұл байланыс- ISSA және ISSb, мұнда:

ISSa - жіберілген TCP пакетінің реттік нөмірін сипаттайтын кейбір сандық мән, A хостымен басталған орнатылған TCP қосылымы;

ISSb – жіберілген TCP пакетінің реттік нөмірін сипаттайтын кейбір сандық шама, B хостымен басталған орнатылған TCP қосылымы.

ACK (TCP қосылымын растау нөмірі) мәні ISS жауап берушісінен алынған санның мәні (реттік нөмір) плюс бір ACKb = ISSA + 1 ретінде анықталады.

Қауіпті жүзеге асыру нәтижесінде бұзушы ISPD техникалық құралына – қатерлердің нысанасына сенімді жазылушы үшін өз пайдаланушысы белгілеген қол жеткізу құқығын алады.

5. Жалған желі маршрутын енгізу.

Бұл қауіп екі жолдың бірімен жүзеге асырылады: сегментішілік немесе сегмент аралық таңу арқылы. Жалған бағытты енгізу мүмкіндігі маршруттау алгоритмдеріне тән кемшіліктерге байланысты (атап айтқанда, желіні басқару құрылғыларын анықтау мәселесіне байланысты), соның нәтижесінде сіз, мысалы, хостқа немесе шабуылдаушы желісіне қол жеткізе аласыз. , онда ISPD бөлігі ретінде техникалық құралдың жұмыс ортасына кіруге болады. Қауіпті жүзеге асыру маршруттау кестелеріне өзгертулер енгізу үшін маршруттау хаттамаларын (RIP, OSPF, LSP) және желіні басқаруды (ICMP, SNMP) рұқсатсыз пайдалануға негізделген. Бұл жағдайда зиянкес желіні басқару құрылғысы (мысалы, маршрутизатор) атынан басқару хабарламасын жіберуі керек (8 және 9-суреттер).

Сурет 8. Байланысты бұзу үшін ICMP хаттамасын пайдалана отырып, «Жалған маршрутты енгізу» (сегментішілік) шабуылын жүзеге асыру схемасы.

9-сурет. Көлік қозғалысын тоқтату мақсатында «Жалған маршрутты енгізу» қаупін (сегментаралық) жүзеге асыру схемасы

6. Жалған желі объектісін енгізу.

Бұл қауіп қашықтан іздеу алгоритмдеріндегі әлсіздіктерді пайдалануға негізделген. Егер желілік объектілерде бастапқыда бір-біріне қатысты адрестік ақпарат болмаса, әртүрлі қашықтан іздеу протоколдары қолданылады (мысалы, Novell NetWare желілеріндегі SAP; TCP/IP протоколдар стегі бар желілердегі ARP, DNS, WINS), олар жіберуден тұрады. арнайы сұрау салулар және оларға қажетті ақпаратпен жауаптар алу. Бұл жағдайда зиянкестің жолын кесу мүмкіндігі бар іздеу сұрауыжәне оған жалған жауап беру, оны пайдалану маршруттау және мекенжай деректерін қажетті өзгертуге әкеледі. Болашақта жәбірленуші объектімен байланысты ақпараттың барлық ағыны жалған желі объектісі арқылы өтеді (10 - 13-суреттер).

10-сурет. «Жалған ARP серверінің инъекциясы» қаупін жүзеге асыру схемасы.

11-сурет. DNS сұрауын ұстау арқылы «Жалған DNS серверін енгізу» қаупін жүзеге асыру схемасы

12-сурет. Желілік компьютерде DNS жауаптарының дауылымен «жалған DNS сервер инъекциясы» қаупін жүзеге асыру схемасы.

13-сурет. DNS серверіне DNS жауаптарының дауылымен «Жалған DNS серверінің инъекциясы» қаупін жүзеге асыру схемасы.

7. Қызмет көрсетуден бас тарту.

Бұл қауіптер желілік бағдарламалық жасақтаманың кемшіліктеріне, оның осалдықтарына негізделген, бұл зиянкестерге операциялық жүйе кіріс пакеттерін өңдей алмаған кезде жағдай жасауға мүмкіндік береді.

Мұндай қауіптердің бірнеше түрін бөлуге болады:

а) байланыс арналарының өткізу қабілеттілігінің, желілік құрылғылардың өнімділігінің төмендеуімен және сұрауды өңдеу уақытына қойылатын талаптардың бұзылуымен шабуылдаушы таратқан пакеттерді өңдеуге ISPD ресурстарының бір бөлігін тартудан жасырын қызмет көрсетуден бас тарту. Осындай қауіптерді жүзеге асыру мысалдары: ICMP хаттамасы арқылы жаңғырық сұрауларының бағытталған дауылы (Ping flooding), TCP қосылымдарын орнатуға арналған сұраныстардың дауы (SYN-флодин), FTP серверіне сұраныстар дауылы;

б) заңды сұраныстарды желі арқылы жіберу мүмкін болмайтын шабуылдаушы таратқан пакеттерді өңдеу кезінде ISPD ресурстарының сарқылуынан туындаған қызмет көрсетуден айқын бас тарту (байланыс арналарының барлық өткізу қабілеттілігін басып алу, қызмет көрсетуге сұраныс кезегінің толып кетуі). жіберу ортасының қолжетімсіздігіне байланысты немесе толық сұрау кезегі, жад дискі кеңістігі және т.б. байланысты қызмет көрсетуден бас тарту. Бұл түрдегі қатерлердің мысалдары ICMP жаңғырық сұрауының дауылы (Смурф), бағытталған дауыл (SYN-тасқыны), хабарлы дауылды. пошта сервері(Спам);

в) ISPD техникалық құралдары арасындағы логикалық байланыстың бұзылуынан туындаған қызмет көрсетуден айқын бас тарту, бұзушы желі құрылғыларының атынан басқару хабарламаларын жібергенде, маршруттау мен мекенжай деректерінің өзгеруіне әкелетін (мысалы, ICMP Redirect Host, DNS). -су тасқыны) немесе сәйкестендіру және аутентификациялық ақпарат;

D) стандартты емес атрибуттары бар («Land», «TearDrop», «Bonk», «Nuke», «UDP-bomba» түріндегі қауіптер) немесе ұзындығынан асатын пакеттерді жіберуі арқылы шабуылдаушының қызмет көрсетуден анық бас тартуы. желі алмасу хаттамаларын жүзеге асыратын бағдарламаларда қателер болған жағдайда, сұрауларды өңдеуге қатысатын желілік құрылғылардың істен шығуына әкелуі мүмкін максималды рұқсат етілген өлшем («Ping Death» түріндегі қауіп).

Осы қауіпті іске асырудың нәтижесі ISPD-де PD-ге қашықтан қол жеткізуді қамтамасыз ету бойынша сәйкес қызметтің жұмысының бұзылуы, ISPD бөлігі ретінде техникалық объектке қосылуға осындай бірқатар сұраныстардың бір мекенжайдан ауысуы, мүмкіндігінше трафикті «қойыстыруға» қабілетті (бағытталған «сұраулар дауылы»), бұл сұрау кезегінің толып кетуіне және желілік қызметтердің бірінің істен шығуына немесе компьютердің мүмкін еместігі салдарынан компьютердің толық өшірілуіне әкеп соғады. сұрауларды өңдеуден басқа кез келген нәрсені орындау үшін жүйе.

8. Қолданбаны қашықтан іске қосу.

Қауіп ISPD хостында бұрын енгізілген әртүрлі зиянды бағдарламаларды іске қосу ниетінде жатыр: бетбелгі бағдарламалары, вирустар, «желі шпиондары», олардың негізгі мақсаты құпиялылықты, тұтастықты, ақпараттың қолжетімділігін және операцияны толық бақылауды бұзу болып табылады. хосттың. Сонымен қатар, пайдаланушы қолданбалы бағдарламаларын рұқсатсыз іске қосу бұзушыға қажетті деректерді рұқсатсыз алу, қолданбалы бағдарламамен басқарылатын процестерді іске қосу және т.б.

Бұл қауіптердің үш ішкі класы бар:

1) рұқсат етілмеген орындалатын коды бар файлдарды тарату;

2) қолданбалы серверлердің буферін толтыру арқылы қолданбаны қашықтан іске қосу;

3) жасырын бағдарламалық және аппараттық құралдар қойындылары немесе пайдаланылатын стандартты құралдармен қамтамасыз етілген қашықтан жүйені басқару мүмкіндіктерін пайдалану арқылы қолданбаны қашықтан іске қосу.

Осы ішкі сыныптардың біріншісінің типтік қауіптері таратылған файлдарды оларға кездейсоқ қол жеткізу кезінде белсендіруге негізделген. Мұндай файлдардың мысалдары: макростар түріндегі орындалатын коды бар файлдар (құжаттар Microsoft Word, Excel және т.б.); ActiveX басқару элементтері, Java апплеттері, түсіндірілетін сценарийлер (мысалы, JavaScript мәтіндері) түріндегі орындалатын кодты қамтитын html құжаттары; орындалатын бағдарлама кодтары бар файлдар. Файлдарды тарату үшін электрондық пошта, файлдарды тасымалдау, желілік файлдық жүйе қызметтерін пайдалануға болады.

Екінші кіші сыныптың қауіптері желілік қызметтерді жүзеге асыратын бағдарламалардың кемшіліктерін пайдаланады (атап айтқанда, буфердің толып кетуін бақылаудың болмауы). Жүйе регистрлерін реттеу арқылы кейде буфердің толып кету үзілуінен кейін процессорды буфер шекарасынан тыс орналасқан кодты орындауға ауыстыруға болады. Мұндай қауіпті жүзеге асырудың мысалы ретінде белгілі «Моррис вирусын» енгізу болып табылады.

Үшінші топтағы қауіптермен зиянкес жасырын компоненттер (мысалы, Back Orifice, Net Bus сияқты «троян» бағдарламалары) немесе стандартты компьютерлік желіні басқару және басқару құралдары (Landesk Management Suite, Managewise,) қамтамасыз ететін қашықтан басқару жүйесін пайдаланады. Артқы тесік және т.б.). ). Оларды пайдалану нәтижесінде желідегі станцияны қашықтан басқаруға қол жеткізуге болады.

Схемалық түрде бұл бағдарламалар жұмысының негізгі кезеңдері келесідей:

жадқа орнату;

клиенттік бағдарламаны іске қосатын қашықтағы хосттан сұрауды күту және онымен дайындық туралы хабарламалармен алмасу;

Ұсталған ақпаратты клиентке беру немесе оған шабуыл жасалған компьютерді басқаруды беру.

Әртүрлі сыныптағы қауіптерді жүзеге асырудың мүмкін болатын салдары 3-кестеде көрсетілген.

3-кесте

Әртүрлі сыныптардың қауіптерін жүзеге асырудың ықтимал салдары

Қауіпті жүзеге асыру процесі әдетте төрт кезеңнен тұрады:

ақпарат жинау;

интрузиялар (операциялық ортаға ену);

рұқсат етілмеген қол жеткізуді жүзеге асыру;

рұқсат етілмеген қол жеткізу іздерін жою.

Ақпаратты жинау кезеңінде бұзушыны ISPD туралы әртүрлі ақпарат қызықтыруы мүмкін, соның ішінде:

а) жүйе жұмыс істейтін желінің топологиясы. Бұл желі айналасындағы аумақты зерттей алады (мысалы, зиянкесті сенімді, бірақ қауіпсіз емес хосттардың мекенжайлары қызықтыруы мүмкін). Хосттың қолжетімділігін анықтау үшін қарапайым пәрмендерді пайдалануға болады (мысалы, ping пәрмені ICMP ECHO_REQUEST сұрауларын жіберу және оларға ICMP ECHO_REPLY жауаптарын күту). Қысқа уақыт ішінде хост қол жетімділігі үшін мекенжай кеңістігінің үлкен аймағын сканерлей алатын параллельді хост қол жетімділігі құралдары (мысалы, fping) бар. Желінің топологиясы көбінесе «түйіндер саны» (хосттар арасындағы қашықтық) негізінде анықталады. «ttL модуляциялары» және маршрут жазбалары сияқты әдістерді қолдануға болады.

«ttL модуляциясы» әдісі traceroute бағдарламасымен жүзеге асырылады (Windows NT үшін – tracert.exe) және IP пакеттерінің ttL өрісін модуляциялаудан тұрады. Ping пәрмені арқылы жасалған ICMP пакеттерін маршрутты жазу үшін пайдалануға болады.

Ақпаратты жинау сұраныстарға да негізделуі мүмкін:

тіркелген (және белсенді) хосттардың тізімі туралы DNS серверіне;

белгілі маршруттар туралы RIP хаттамасына негізделген маршрутизаторға (желі топологиясы туралы ақпарат);

SNMP протоколын қолдайтын қате конфигурацияланған құрылғыларға (желі топологиясы туралы ақпарат).

Егер ISPD брандмауэрдің (ME) артында орналасса, ME конфигурациясы туралы және ME артындағы ISPD топологиясы туралы ақпаратты жинауға болады, оның ішінде ішкі (қорғалған) желінің барлық болжалды хосттарының барлық порттарына пакеттерді жіберу арқылы;

б) ISPD-дегі операциялық жүйенің (ОЖ) түрі туралы. Негізгі ОЖ түрін анықтаудың ең танымал тәсілі ОЖ-ның әртүрлі типтері TCP/IP стекіне арналған RFC талаптарын әртүрлі тәсілдермен орындауына негізделген. Бұл бұзушыға арнайы жасалған сұрауларды жіберу және алынған жауаптарды талдау арқылы ISPD хостында орнатылған ОЖ түрін қашықтан анықтауға мүмкіндік береді.

Бұл әдістерді жүзеге асыратын арнайы құралдар бар, атап айтқанда, Nmap және QueSO. Сондай-ақ ОЖ түрін анықтаудың мұндай әдісін telnet қашықтан қол жеткізу протоколын (telnet қосылымы) пайдаланып қосылымды орнатудың ең қарапайым сұранысы ретінде атап өтуге болады, нәтижесінде « сыртқы түрі" жауап, сіз хост ОЖ түрін анықтай аласыз. Белгілі бір қызметтердің болуы хост ОЖ түрін анықтау үшін қосымша белгі ретінде де қызмет ете алады;

C) хосттарда жұмыс істейтін қызметтер. Хостта жұмыс істейтін қызметтерді анықтау хосттың қолжетімділігі туралы ақпаратты жинауға бағытталған «ашық порттарды» анықтау әдісіне негізделген. Мысалы, UDP портының қолжетімділігін анықтау үшін сәйкес портқа UDP пакетін жіберуге жауап алу керек:

егер жауап ICMP PORT UNREACCHABLE болса, сәйкес қызмет қолжетімді емес;

егер бұл хабарлама қабылданбаса, онда порт «ашық».

TCP/IP хаттамалар стекінде қолданылатын хаттамаға байланысты бұл әдісті қалай қолдануға болатынына қатысты бірнеше нұсқалар бар.

ISPD туралы ақпаратты жинауды автоматтандыру үшін көптеген бағдарламалық құралдар әзірленді. Мысал ретінде мыналарды атап өтуге болады:

1) Strobe, Portscanner – TCP порттарын сұрау негізінде қолжетімді қызметтерді анықтауға арналған оңтайландырылған құралдар;

2) Nmap – Linux, FreeBSD, OpenBSD, Solaris, Windows NT үшін қолжетімді қызметтерді сканерлеу құралы. Қазіргі уақытта бұл желі қызметтерін сканерлеудің ең танымал құралы;

3) Queso – дұрыс және қате TCP пакеттерінің тізбегін жіберу, жауапты талдау және оны әртүрлі ОЖ-ның көптеген белгілі жауаптарымен салыстыру негізінде желі хостының ОЖ анықтаудың жоғары дәлдік құралы. Бұл ембүгінде танымал сканерлеу құралы болып табылады;

4) Cheops – желілік топология сканері желі топологиясын алуға мүмкіндік береді, оның ішінде домен суретін, IP мекенжай аймақтарын және т.б. Бұл негізгі операциялық жүйені, сондай-ақ ықтимал желілік құрылғыларды (принтерлер, маршрутизаторлар және т.б.) анықтайды;

5) Firewalk – брандмауэр конфигурациясын анықтау және желі топологиясын құру үшін IP пакеттеріне жауапты талдау үшін traceroute бағдарламасының әдістерін қолданатын сканер.

Инвазия сатысында жүйелік қызметтердегі типтік осалдықтардың немесе жүйе әкімшілігіндегі қателердің болуы зерттеледі. Осалдықтарды сәтті пайдалану әдетте шабуылдаушы процесінің артықшылықты орындау режимін алуына (қабықтың артықшылықты орындау режиміне қол жеткізу), жүйеге заңсыз пайдаланушы тіркелгісін енгізуге, құпия сөз файлын алуға немесе шабуылға ұшыраған хостты бұзуға әкеледі.

Қауіптің дамуының бұл кезеңі, әдетте, көп фазалы болып табылады. Қауіпті іске асыру процесінің кезеңдері мыналарды қамтуы мүмкін, мысалы:

қауіп төніп тұрған хостпен байланыс орнату;

осалдықты анықтау;

мүмкіндіктерін кеңейту мүддесі үшін зиянды бағдарламаны енгізу және т.б.

Енгізу сатысында жүзеге асырылатын қауіптер TCP/IP хаттама стекінің қабаттарына бөлінеді, өйткені олар желіде, көлікте немесе қолданбалы деңгейде, қолданылатын ену механизміне байланысты қалыптасады.

Желілік және көлік деңгейлерінде жүзеге асырылатын типтік қауіптерге мыналар жатады:

а) сенімді объектіні ауыстыруға бағытталған қауіп;

б) желіде жалған маршрут құруға бағытталған қауіп;

C) қашықтан іздеу алгоритмдерінің кемшіліктерін пайдалана отырып, жалған объект құруға бағытталған қауіптер;

D) IP дефрагментациясына негізделген қызмет көрсетуден бас тарту қауіптері, қате ICMP сұрауларының қалыптасуына (мысалы, «Өлім Ping» және «Смурф» шабуылдары), қате TCP сұрауларының қалыптасуына («Land» шабуылы) , қосылу сұраулары бар пакеттердің «дауылын» құру туралы («SYN Flood» шабуылдары) және т.б.

Қолданбалы деңгейде іске асырылатын типтік қауіп-қатерлер қолданбаларды рұқсатсыз іске қосуға бағытталған қатерлерді қамтиды, олардың орындалуы бағдарламалық бетбелгілерді («троялық жылқы» сияқты) енгізумен байланысты, желіге кіру үшін парольдерді анықтаумен байланысты. немесе белгілі бір хостқа және т.б.

Егер қауіпті іске асыру бұзушыға жүйедегі ең жоғары қол жеткізу құқықтарын бермесе, бұл құқықтарды барынша мүмкін деңгейге дейін кеңейту әрекеттері мүмкін. Ол үшін тек желілік қызметтердің осалдықтары ғана емес, сонымен қатар ISPDN хосттарының жүйелік бағдарламалық қамтамасыз етуінің осалдықтары да пайдаланылуы мүмкін.

Рұқсат етілмеген қол жеткізуді жүзеге асыру сатысында қауіпті іске асыру мақсатына нақты қол жеткізу жүзеге асырылады:

құпиялылықты бұзу (көшіру, заңсыз тарату);

Тұтастығын бұзу (жою, өзгерту);

қолжетімділікті бұзу (блоктау).

Дәл осы кезеңде, осы әрекеттерден кейін, әдетте, белгілі бір портқа қызмет көрсететін және бұзушының командаларын орындайтын қызметтердің (демондар) бірі түрінде «артқы есік» деп аталатын нәрсе қалыптасады. «Артқы есік» жүйеде мыналарды қамтамасыз ету мүддесінде қалдырылады:

әкімші қауіпті сәтті жүзеге асыру үшін пайдаланылған осалдықты жойса да, хостқа қол жеткізу мүмкіндігі;

хостқа мүмкіндігінше сақтықпен қол жеткізу мүмкіндігі;

Хостқа жылдам қол жеткізу мүмкіндігі (қауіпті жүзеге асыру процесін қайталамай).

«Артқы есік» зиянкестерге зиянды бағдарламаны желіге немесе белгілі бір хостқа енгізуге мүмкіндік береді, мысалы, «құпия сөз анализаторы» (password sniffer) – жоғары деңгейлі хаттамалар орнатылған кезде желі трафигінен пайдаланушы идентификаторлары мен құпия сөздерді шығарып алатын бағдарлама. (ftp, telnet, rlogin, т.б.) .d.). Зиянды бағдарламаларды енгізу объектілері аутентификация және сәйкестендіру бағдарламалары, желілік қызметтер, операциялық жүйе ядросы, файлдық жүйе, кітапханалар және т.б.

Ақырында, қатердің жүзеге асу іздерін жою сатысында зиянкестің әрекетінің іздерін жою әрекеті жасалады. Бұл ақпарат жиналған факті туралы жазбаларды қоса алғанда, барлық ықтимал аудит журналдарынан сәйкес жазбаларды жояды.

Бағдарламалық-математикалық әсер – зиянды бағдарламалардың көмегімен әсер ету. Ықтимал қауіпті салдары бар бағдарлама немесе зиянды бағдарлама – бұл келесі функциялардың кез келген бос емес ішкі жиынын орындауға қабілетті тәуелсіз бағдарлама (нұсқаулар жинағы):

Сіздің қатысуыңыздың белгілерін жасырыңыз бағдарламалық ортакомпьютер;

Өзін-өзі көшіру, басқа бағдарламалармен байланыстыру және (немесе) олардың фрагменттерін ЖЖҚ немесе сыртқы жадтың басқа аймақтарына тасымалдау мүмкіндігі болуы;

жедел жадтағы бағдарлама кодын жою (еркін түрде бұрмалау);

пайдаланушының бастамасынсыз орындаңыз (пайдаланушы бағдарламасы қалыпты режимоны жүзеге асыру) деструктивті функциялар (көшіру, жою, блоктау және т.б.);

Тікелей қатынаудың (жергілікті немесе қашықтағы) сыртқы жадының кейбір аймақтарында жедел жадтан ақпарат фрагменттерін сақтау;

Қолданбалы бағдарламалардың немесе сыртқы жадтағы деректер массивтерінің жұмысының нәтижесінде сыртқы жадқа немесе байланыс арнасына ақпарат шығыс массивін ерікті түрде бұрмалау, блоктау және (немесе) ауыстыру.

Зиянды бағдарламалар ISPD-де оны әзірлеу, техникалық қызмет көрсету, өзгерту және конфигурациялау кезінде пайдаланылатын бағдарламалық құралға әдейі де, кездейсоқ түрде де енгізілуі (енгізілуі) мүмкін. Сонымен қатар, зиянды бағдарламалар ISPD жұмысы кезінде сыртқы жад тасығыштарынан немесе желілік өзара әрекеттесу арқылы рұқсатсыз кіру нәтижесінде де, кездейсоқ ISPD пайдаланушылары арқылы да енгізілуі мүмкін.

Заманауи зиянды бағдарламалар бағдарламалық қамтамасыз етудің әртүрлі түрлерінде (жүйелік, жалпы, қолданбалы) және әртүрлі желілік технологиялардағы осалдықтарды пайдалануға негізделген, деструктивті мүмкіндіктердің кең ауқымына ие (ISPD жұмысына кедергі келтірмей ISPD параметрлерін рұқсатсыз зерттеуден бастап, PD және ISPD бағдарламалық құралын жою) және бағдарламалық қамтамасыз етудің барлық түрлерінде әрекет ете алады (жүйе, қолданба, аппараттық драйверлер және т.б.).

ISPD-де зиянды бағдарламалардың болуы жасырын, соның ішінде пайда болуына ықпал етуі мүмкін дәстүрлі арналарқұпия сөзді және криптографиялық қорғауды қоса алғанда, жүйеде қамтамасыз етілген қауіпсіздік тетіктерін ашуға, айналып өтуге немесе блоктауға мүмкіндік беретін ақпаратқа қол жеткізу.

Зиянды бағдарламалардың негізгі түрлері:

бағдарламалық бетбелгілер;

классикалық программалық (компьютерлік) вирустар;

желі арқылы таралатын зиянды бағдарламалар (желі құрттары);

UA орындауға арналған басқа зиянды бағдарламалар.

Бағдарламалық қамтамасыз ету бетбелгілеріне хабарланбаған бағдарламалық құрал мүмкіндіктерін құрайтын бағдарламалар, код фрагменттері, нұсқаулар жатады. Зиянды бағдарламалар бір түрден екіншісіне ауыса алады, мысалы, бағдарламалық құрал қойындысы бағдарламалық құрал вирусын тудыруы мүмкін, ол өз кезегінде желі жағдайларына еніп, желілік құртты немесе UA орындауға арналған басқа зиянды бағдарламаны құра алады.

Программалық вирустар мен желілік құрттардың классификациясы 14-суретте көрсетілген. Негізгі зиянды бағдарламалардың қысқаша сипаттамасы төмендегідей. Жүктеу вирустары дискінің жүктелу секторына (жүктеу секторы) немесе қатты дискінің жүктеушісі (Master Boot Record) бар секторға жазады немесе көрсеткішті белсенді жүктеу секторына өзгертеді. Олар компьютердің жадына вирус жұққан дискіден жүктелген кезде енгізіледі. Бұл жағдайда жүйе жүктеушісі жүктеу орындалатын дискінің бірінші секторының мазмұнын оқиды, оқылған ақпаратты жадқа орналастырады және басқаруды оған (яғни, вирусқа) береді. Осыдан кейін вирустың нұсқаулары орындала бастайды, ол әдетте бос жад көлемін азайтады, оның кодын бос кеңістікке көшіреді және оның жалғасын (бар болса) дискіден оқиды, қажетті үзу векторларын ұстайды ( әдетте INT 13H), бастапқы жүктеу секторын оқиды және оған басқаруды береді.

Болашақта жүктеу вирусы файлдық вирус сияқты әрекет етеді: ол операциялық жүйенің дискілерге кіруіне кедергі жасайды және белгілі бір жағдайларға байланысты оларды зақымдайды, деструктивті әрекеттерді жасайды, дыбыстық әсерлерді немесе бейне әсерлерін тудырады.

Бұл вирустардың негізгі деструктивті әрекеттері:

иілгіш дискілер мен қатты диск секторларындағы ақпаратты жою;

Операциялық жүйені жүктеу мүмкіндігін болдырмау (компьютер «қатып қалады»);

жүктеуші кодының бұзылуы;

иілгіш дискілерді немесе қатты дискінің логикалық дискілерін пішімдеу;

COM және LPT порттарына қол жеткізуді жабу;

мәтіндерді басып шығару кезінде таңбаларды ауыстыру;

экранның бұралуы;

дискінің немесе дискетаның белгісін өзгерту;

псевдосәтсіз кластерлерді құру;

дыбыс жасау және (немесе) көрнекі әсерлер(мысалы, экранға түсетін әріптер);

деректер файлдарының бүлінуі;

экранда әртүрлі хабарламаларды көрсету;

Перифериялық құрылғыларды өшіру (мысалы, пернетақталар);

экран палитрасын өзгерту;

Экранды бөгде таңбалармен немесе кескіндермен толтыру;

экранды жабу және пернетақтадан енгізуді күту режимі;

қатты диск секторын шифрлау;

пернетақтадан теру кезінде экранда көрсетілетін таңбаларды іріктеп жою;

жедел жады көлемін азайту;

экранның мазмұнын басып шығаруға шақыру;

дискіге жазуды блоктау;

бөлімдер кестесін жою (Disk Partition Table), содан кейін компьютерді тек иілгіш дискіден жүктеуге болады;

орындалатын файлдарды іске қосуды блоктау;

Қатты дискіге кіруді блоктау.

14-сурет. Программалық вирустардың және желілік құрттардың классификациясы

Жүктелетін вирустардың көпшілігі иілгіш дискілерде қайта жазылады.

Инфекцияның «қайта жазу» әдісі ең қарапайым: вирус жұққан файлдың кодының орнына оның мазмұнын бұза отырып, өзінің кодын жазады. Әрине, бұл жағдайда файл жұмысын тоқтатады және қалпына келтірілмейді. Мұндай вирустар өздерін өте тез анықтайды, өйткені операциялық жүйе мен қолданбалар тез жұмысын тоқтатады.

«Серіктес» санатына вирус жұққан файлдарды өзгертпейтін вирустар кіреді. Бұл вирустардың жұмыс істеу алгоритмі вирус жұққан файл үшін егіз файл құрылады, ал зақымдалған файл іске қосылғанда дәл осы егіз, яғни вирус басқаруды қабылдайды. Ең кең тараған серіктес вирустар DOS мүмкіндігін алдымен .COM кеңейтімі бар файлдарды орындау үшін пайдаланады, егер бір каталогта аты бірдей, бірақ атау кеңейтімдері әртүрлі екі файл болса - .COM және .EXE. Мұндай вирустар аты бірдей, бірақ .COM кеңейтімі бар EXE файлдары үшін спутниктік файлдарды жасайды, мысалы, XCOPY.EXE файлы үшін XCOPY.COM жасалады. Вирус COM файлына жазады және EXE файлын ешбір жолмен өзгертпейді. Мұндай файлды іске қосқанда, DOS алдымен COM файлын, яғни вирусты тауып, орындайды, содан кейін ол EXE файлын іске қосады. Екінші топқа вирус жұққан кезде файлдың атын басқа атпен өзгертіп, оны есте сақтайтын (хост файлды кейін іске қосу үшін) және вирус жұққан файлдың атымен дискіге өзінің кодын жазатын вирустар. Мысалы, XCOPY.EXE файлының атауы XCOPY.EXD болып өзгертілді, ал вирус XCOPY.EXE атауымен жазылады. Іске қосу кезінде басқару элементі вирус кодын қабылдайды, содан кейін XCOPY.EXD атауымен сақталған түпнұсқа XCOPY іске қосылады. Бір қызығы, бұл әдіс барлық операциялық жүйелерде жұмыс істейтін сияқты. Үшінші топқа «Жол серігі» деп аталатын вирустар жатады. Олар не вирус жұққан файлдың атымен өз кодын жазады, бірақ белгіленген жолдарда бір деңгей «жоғары» (сондықтан DOS вирус файлын бірінші болып тауып, іске қосады) немесе құрбандық файлын бір ішкі каталогқа жоғары жылжытады, т.б.

Басқа операциялық жүйелердің басқа түпнұсқа идеяларын немесе мүмкіндіктерін пайдаланатын қосымша вирустардың басқа түрлері болуы мүмкін.

Файлдық құрттар белгілі бір мағынада серіктес вирус болып табылады, бірақ олардың қатысуын ешбір орындалатын файлмен байланыстырмайды. Олар қайта шығарғанда, олар бұл жаңа көшірмелерді бір күні пайдаланушы іске қосады деген үмітпен кейбір дискі каталогтарына өздерінің кодын көшіреді. Кейде бұл вирустар пайдаланушыны көшірмелерін іске қосуға ынталандыру үшін көшірмелеріне «арнайы» атаулар береді - мысалы, INSTALL.EXE немесе WINSTART.BAT. Әдеттен тыс әдістерді қолданатын құрттар бар, мысалы, олар мұрағаттарға (ARJ, ZIP және т.б.) көшірмелерін жазады. Кейбір вирустар вирус жұққан файлды BAT файлдарына іске қосу пәрменін жазады. Файлдық құрттарды желілік құрттармен шатастырмау керек. Біріншілері кейбір операциялық жүйенің файлдық функцияларын ғана пайдаланады, ал екіншісі оларды жаңғырту үшін желілік протоколдарды пайдаланады.

Сілтемелік вирустар, серіктес вирустар сияқты, файлдардың физикалық мазмұнын өзгертпейді, дегенмен, вирус жұққан файл іске қосылғанда, олар ОЖ-ны оның кодын орындауға «мәжбүрлейді». Олар бұл мақсатқа файлдық жүйенің қажетті өрістерін өзгерту арқылы қол жеткізеді.

Компилятор кітапханаларын, объект модульдерін және бағдарламаның бастапқы кодтарын зақымдайтын вирустар өте экзотикалық және іс жүзінде сирек кездеседі. OBJ және LIB файлдарын зақымдайтын вирустар оларға өз кодын объект модулі немесе кітапхана түрінде жазады. Осылайша, вирус жұққан файл орындалмайды және оның қазіргі күйінде вирустың одан әрі таралуына қабілетті емес. «Тірі» вирустың тасымалдаушысы COM немесе EXE файлы болып табылады.

Бақыланғаннан кейін файлдық вирус келесі жалпы әрекеттерді орындайды:

ЖЖҚ-да өзінің көшірмесінің бар-жоғын тексереді және вирустың көшірмесі табылмаған жағдайда (егер вирус резидент болса) компьютердің жадын зақымдайды, каталогтар ағашын сканерлеу арқылы ағымдағы және (немесе) түбірлік каталогта зақымдалмаған файлдарды іздейді. логикалық дискілерді, содан кейін анықталған файлдарды жұқтырады;

қосымша (бар болса) функцияларды орындайды: деструктивті әрекеттер, графикалық немесе дыбыстық әсерлер және т.б. ( қосымша функцияларрезидент вирусты ағымдағы уақытқа, жүйе конфигурациясына, вирустың ішкі есептегіштеріне немесе басқа жағдайларға байланысты белсендірілгеннен кейін біраз уақыттан кейін шақыруға болады; бұл жағдайда вирус белсендіру кезінде жүйелік сағаттың күйін өңдейді, оның жұмысын орнатады. меншікті есептегіштер және т.б.);

Айта кету керек, вирус неғұрлым тез таралса, соғұрлым бұл вирустың эпидемиясының пайда болуы ықтималдығы жоғары, вирустың таралуы баяу, оны анықтау қиынырақ (егер, әрине, бұл вирус белгісіз болса). Бейрезиденттік вирустар жиі «баяу» - олардың көпшілігі іске қосылған кезде бір немесе екі немесе үш файлды жұқтырады және іске қосу алдында компьютерді толтыруға уақыт жоқ. антивирустық бағдарлама(немесе осы вирус үшін конфигурацияланған антивирустың жаңа нұсқасының пайда болуы). Әрине, іске қосылған кезде барлық орындалатын файлдарды іздейтін және жұқтыратын резидент емес «жылдам» вирустар бар, бірақ мұндай вирустар өте байқалады: әрбір вирус жұққан файл іске қосылғанда, кейбіреулер үшін компьютер қатты дискімен белсенді жұмыс істейді ( кейде өте ұзақ уақыт), бұл вирусты ашады. Резидентті вирустардың таралу (жұқтыру) жылдамдығы әдетте резидент еместерге қарағанда жоғары болады – олар файлдарға қол жеткізу кезінде жұқтырады. Нәтижесінде жұмыста үнемі пайдаланылатын дискідегі файлдардың барлығы немесе барлығы дерлік вирус жұқтырылған. Файлдарды орындау үшін іске қосылғанда ғана жұқтыратын резиденттік файлдық вирустардың таралу (жұқтыру) жылдамдығы файлдарды ашқанда, атын өзгерткенде, файл атрибуттарын өзгерткенде және т.б. файлдарды зақымдайтын вирустарға қарағанда төмен болады.

Осылайша, файлдық вирустармен орындалатын негізгі деструктивті әрекеттер файлдарды зақымдаумен (көбінесе орындалатын немесе деректер файлдары), әртүрлі командаларды рұқсатсыз іске қосумен (соның ішінде пішімдеу, жою, көшіру және т.б. командалар), үзу векторларының кестесін өзгертумен байланысты. және т.б. Сонымен қатар, жүктеу вирустары үшін көрсетілгендерге ұқсас көптеген деструктивті әрекеттерді де орындауға болады.

Макровирустар (макровирустар) кейбір деректерді өңдеу жүйелеріне енгізілген тілдердегі (макротілдер) бағдарламалар ( мәтіндік редакторлар, электрондық кестелер және т.б.). Олардың көбеюі үшін мұндай вирустар макротілдердің мүмкіндіктерін пайдаланады және олардың көмегімен бір вирус жұққан файлдан (құжат немесе кесте) басқаларға тасымалданады. Microsoft Office бағдарламалар пакеті үшін ең көп қолданылатын макровирустар.

Белгілі бір жүйеде (редакторда) вирустардың болуы үшін жүйеде келесі мүмкіндіктерге ие макротілдің болуы қажет:

1) макротілде программаны белгілі бір файлға байланыстыру;

2) макробағдарламаларды бір файлдан екіншісіне көшіру;

3) пайдаланушының араласуынсыз макробағдарламаны басқаруға қол жеткізу (автоматты немесе стандартты макростар).

Бұл шарттар қолдану арқылы қанағаттандырылады Microsoft бағдарламалары Word, Excel және Microsoft Access. Олардың құрамында макротілдер бар: Word Basic, Visual Basic қолданбаларына арналған. Сонымен бірге:

1) макропрограммалар белгілі бір файлға байланыстырылады немесе файлдың ішінде орналасады;

2) макротілі файлдарды көшіруге немесе макробағдарламаларды жүйелік қызмет файлдарына және өңделетін файлдарға жылжытуға мүмкіндік береді;

3) белгілі бір шарттарда (ашу, жабу және т.б.) файлмен жұмыс істеу кезінде арнайы түрде анықталған немесе стандартты атаулары бар макропрограммалар (бар болса) шақырылады.

Макротілдердің бұл мүмкіндігі ірі ұйымдарда немесе жаһандық желілерде деректерді автоматты түрде өңдеуге арналған және «автоматтандырылған жұмыс үрдісін» ұйымдастыруға мүмкіндік береді. Екінші жағынан, мұндай жүйелердің макротілдерінің мүмкіндіктері вирусқа өз кодын басқа файлдарға тасымалдауға және осылайша оларды жұқтыруға мүмкіндік береді.

Макровирустардың көпшілігі файлды ашу (жабу) сәтінде ғана емес, редактордың өзі белсенді болған кезде де белсенді болады. Олар стандартты Word/Excel/Office макростары ретінде өздерінің барлық функцияларын қамтиды. Дегенмен, кодты жасыру және кодты макрос емес ретінде сақтау үшін трюктерді қолданатын вирустар бар. Мұндай үш техника белгілі, олардың барлығы макростардың басқа макростарды жасау, өңдеу және орындау мүмкіндігін пайдаланады. Әдетте, мұндай вирустардың шағын (кейде полиморфты) вирус жүктеуші макросы болады, ол кірістірілген макроредакторды шақырады, жаңа макрос жасайды, оны негізгі вирус кодымен толтырады, орындайды, содан кейін, әдетте, бұзады ( вирустың болуының іздерін жасыру). Мұндай вирустардың негізгі коды не вирус макросының өзінде мәтіндік жолдар түрінде (кейде шифрланған) болады немесе құжаттың айнымалы аймағында сақталады.

Желілік вирустарға олардың таралуы үшін жергілікті және ғаламдық желілердің протоколдары мен мүмкіндіктерін белсенді түрде қолданатын вирустар жатады. Желілік вирустың негізгі принципі оның кодын қашықтағы серверге немесе жұмыс станциясына дербес тасымалдау мүмкіндігі болып табылады. Сонымен қатар, «толық» желілік вирустар да қашықтағы компьютерде өз кодтарын іске қосу немесе, кем дегенде, зақымдалған файлды іске қосу үшін пайдаланушыны «итеру» мүмкіндігіне ие.

UA енгізуді қамтамасыз ететін зиянды бағдарламалар мыналар болуы мүмкін:

парольдерді таңдау және ашу бағдарламалары;

қауіптерді жүзеге асыратын бағдарламалар;

ISPD бағдарламалық және аппараттық құралдарының жарияланбаған мүмкіндіктерін пайдалануды көрсететін бағдарламалар;

компьютерлік вирустардың генераторлық бағдарламалары;

ақпараттық қауіпсіздік құралдарының осал тұстарын көрсететін бағдарламалар және т.б.

Бағдарламалық жасақтаманың күрделілігі мен әртүрлілігінің артуымен зиянды бағдарламалардың саны тез өсуде. Бүгінгі таңда 120 000-нан астам компьютерлік вирустардың қолтаңбалары белгілі. Алайда олардың барлығы нақты қауіп төндірмейді. Көптеген жағдайларда жүйелік немесе қолданбалы бағдарламалық жасақтамадағы осалдықтарды жою бірқатар зиянды бағдарламалардың оларға енді ене алмайтындығына әкелді. Көбінесе жаңа зиянды бағдарлама негізгі қауіп болып табылады.

дәстүрлі емес ақпараттық арна- бұл дәстүрлі байланыс арналарын және криптографиялық байланысы жоқ берілетін ақпаратты арнайы түрлендірулерді пайдалана отырып, ақпаратты жасырын беру арнасы.

Дәстүрлі емес арналарды қалыптастыру үшін келесі әдістерді қолдануға болады:

компьютерлік стеганография;

Санкцияланған алуға болатын ISPD әртүрлі сипаттамаларын манипуляциялауға негізделген (мысалы, әртүрлі сұрауларды өңдеу уақыты, қолжетімді жад көлемі немесе оқылатын файл немесе процесс идентификаторлары және т.б.).

Компьютерлік стеганография әдістері зиянсыз болып көрінетін деректерге (мәтіндік, графикалық, аудио немесе бейне файлдар) жасырын ақпаратты енгізу арқылы хабардың жіберілу фактісін жасыруға арналған және мыналарға негізделген әдістердің екі тобын қамтиды:

Мәліметтерді сақтау және беру үшін компьютерлік форматтардың арнайы қасиеттерін пайдалану туралы;

Адам қабылдауының психофизиологиялық ерекшеліктері тұрғысынан дыбыстық, визуалды немесе мәтіндік ақпараттың артықтығы туралы.

Компьютерлік стеганография әдістерінің классификациясы 15-суретте көрсетілген.Олардың Салыстырмалы сипаттамалар 4 кестеде көрсетілген.

Ең үлкен әзірлеу және қолдану қазіргі уақытта графикалық стегоконтейнерлерде ақпаратты жасыру әдістерінде табылған. Бұл мұндай контейнерлерге кескіннің айтарлықтай бұрмалануынсыз орналастырылуы мүмкін ақпараттың салыстырмалы түрде үлкен көлеміне, контейнердің өлшемі туралы априорлы ақпараттың болуына, көптеген нақты кескіндерде шу құрылымы бар текстуралық аймақтардың болуына және ақпаратты енгізуге, цифрлық кескінді өңдеу әдістерін және цифрлық кескін пішімдерін әзірлеуге өте қолайлы. Қазіргі уақытта бар тұтас сызықақпаратты жасырудың белгілі стеганографиялық әдістерін жүзеге асыратын қарапайым пайдаланушыға қолжетімді коммерциялық және тегін бағдарламалық қамтамасыз ету өнімдері. Бұл жағдайда негізінен графикалық және дыбыстық контейнерлер қолданылады.

Сурет 15. Стеганографиялық ақпаратты түрлендіру әдістерінің классификациясы (STI)

4-кесте

Ақпаратты түрлендірудің стеганографиялық әдістерінің салыстырмалы сипаттамасы

ISPD ресурстарының әртүрлі сипаттамаларын манипуляциялауға негізделген дәстүрлі емес ақпараттық арналарда деректерді беру үшін кейбір ортақ ресурстар пайдаланылады. Сонымен бірге уақыт сипаттамаларын пайдаланатын арналарда модуляция ортақ ресурстың бос уақытына сәйкес жүзеге асырылады (мысалы, процессордың бос уақытын модуляциялау арқылы қолданбалар деректермен алмаса алады).

Жад арналарында ресурс аралық буфер ретінде пайдаланылады (мысалы, қолданбалар деректерді өздері жасайтын файлдар мен каталогтардың атауларына орналастыру арқылы алмаса алады). Деректер қоры мен білім арналары реляциялық дерекқорлар мен білімдерден алынған деректер арасындағы тәуелділіктерді пайдаланады.

Дәстүрлі емес ақпараттық арналар ISPD жұмысының әртүрлі деңгейлерінде құрылуы мүмкін:

аппараттық деңгейде;

микрокодтар мен құрылғы драйверлері деңгейінде;

операциялық жүйе деңгейінде;

қолданбалы бағдарламалық қамтамасыз ету деңгейінде;

деректерді беру арналары мен байланыс желілерінің жұмыс істеу деңгейінде.

Бұл арналар көшірілген ақпаратты жасырын беру үшін де, деструктивті әрекеттерді орындау командаларын жасырын беру үшін де, қолданбаларды іске қосу және т.б.

Арналарды іске асыру үшін, әдетте, енгізу қажет автоматтандырылған жүйедәстүрлі емес арнаның қалыптасуын қамтамасыз ететін бағдарламалық немесе аппараттық-бағдарламалық бетбелгі.

Дәстүрлі емес ақпараттық арна жүйеде үздіксіз болуы немесе бір рет немесе белгілі бір жағдайларда белсендірілуі мүмкін. Бұл жағдайда NSD субъектісімен кері байланыстың болуы мүмкін.

Ақпаратқа БҚ қатерлерін жүзеге асыру оның қауіпсіздігін бұзудың келесі түрлеріне әкелуі мүмкін:

құпиялылықты бұзу (көшіру, заңсыз тарату);

Тұтастығын бұзу (жою, өзгерту);

қолжетімділікті бұзу (блоктау).

Құпиялылықты бұзу ақпарат тараған жағдайда жүзеге асырылуы мүмкін:

оны иеліктен шығарылатын тасымалдаушыларға көшіру;

оның мәліметтерді беру арналары бойынша берілуі;

бағдарламалық-техникалық құралдарды жөндеу, өзгерту және жою кезінде оны қарау немесе көшіру кезінде;

АЖҚБ жұмысы кезінде құқық бұзушының «қоқыс шығаруы» кезінде.

Ақпараттың тұтастығын бұзу бағдарламаларға және пайдаланушы деректеріне, сондай-ақ технологиялық (жүйелік) ақпаратқа әсер ету (өзгерту) салдарынан жүзеге асырылады, оның ішінде:

есептеу жүйесінің микробағдарламалары, деректері мен құрылғыларының драйверлері;

операциялық жүйенің жүктелуін қамтамасыз ететін бағдарламалар, деректер және құрылғы драйверлері;

операциялық жүйенің бағдарламалары мен деректері (дескрипторлар, дескрипторлар, құрылымдар, кестелер және т.б.);

қолданбалы бағдарламалық қамтамасыз ету бағдарламалары мен деректері;

Арнайы бағдарламалық қамтамасыз етудің бағдарламалары мен деректері;

Компьютерлік технология құралдары мен құрылғылары арқылы оларды өңдеу (оқу/жазу, қабылдау/беру) процесіндегі бағдарламалар мен мәліметтердің аралық (операциялық) мәндері.

ISPD-дегі ақпараттың тұтастығын бұзу оған зиянды бағдарламалық-аппараттық бетбелгіні енгізу немесе ақпараттық қауіпсіздік жүйесіне немесе оның элементтеріне әсер етуден де туындауы мүмкін.

Сонымен қатар, ISPD-де компьютерлік желіні басқарудың әртүрлі құралдарының жұмыс істеуін қамтамасыз ете алатын технологиялық желі ақпаратына әсер етуге болады:

желі конфигурациясы;

желідегі мәліметтерді жіберу адрестері мен маршруттауы;

функционалды желіні басқару;

желідегі ақпараттық қауіпсіздік.

Ақпараттың қолжетімділігін бұзу өңдеу кезінде дұрыс жұмыс істемеуіне, аппараттық құралдардың ақауларына немесе бағдарламаларды орындау үшін қажетті жүйенің есептеу ресурстарын басып алуға (жүктеу) әкелетін бастапқы деректерді қалыптастыру (өзгерту) арқылы қамтамасыз етіледі. жабдықтың жұмысы.

Бұл әрекеттер ISPD кез келген дерлік техникалық құралдарының жұмысының бұзылуына немесе істен шығуына әкелуі мүмкін:

ақпаратты өңдеу құралдары;

ақпаратты енгізу/шығару құралдары;

ақпаратты сақтау құралдары;

Жабдық және беру арналары;

ақпаратты қорғау құралдары.

Желі арқылы енгізілген зиянды бағдарламаларға тарату үшін жергілікті және ғаламдық желілердің протоколдары мен мүмкіндіктерін белсенді пайдаланатын вирустар жатады. Желілік вирустың негізгі принципі оның кодын қашықтағы серверге немесе жұмыс станциясына дербес тасымалдау мүмкіндігі болып табылады. Сонымен қатар, «толық» желілік вирустар қашықтағы компьютерде өздерінің кодын іске қосу немесе, кем дегенде, зарарланған файлды іске қосу үшін пайдаланушыны «итеру» мүмкіндігіне ие.

UA енгізуді қамтамасыз ететін зиянды бағдарламалар мыналар болуы мүмкін:

парольдерді таңдау және ашу бағдарламалары;

қауіптерді жүзеге асыратын бағдарламалар;

ISPD бағдарламалық және аппараттық құралдарының жарияланбаған мүмкіндіктерін пайдалануды көрсететін бағдарламалар;

компьютерлік вирустардың генераторлық бағдарламалары;

ақпараттық қауіпсіздік құралдарының осал тұстарын көрсететін бағдарламалар және т.б.

Егер мекеме өңделген PD жалпыға ортақ желілер және халықаралық алмасу арқылы жіберілмесе, антивирустық қорғаныс орнатылса, онда қауіптің пайда болу ықтималдығы жоғары болады. екіталай.

Барлық басқа жағдайларда қауіптің жүзеге асу ықтималдығы бағалануы керек.

ISPD әртүрлі түрлері үшін қауіптердің ықтималдығының жалпыланған тізімі 13-кестеде берілген.

13-кесте

1. Қауіптердің орындылығы

Қауіпсіздік деңгейін (Ү 1) (7-бөлім) және қауіптің ықтималдығын (Y 2) (9-бөлім) бағалау нәтижелері бойынша қауіп-қатердің техникалық-экономикалық коэффициенті (Y) есептеледі және қауіптің туындау мүмкіндігі анықталады. (4 кесте). Қауіптің техникалық-экономикалық коэффициенті Y Y= (Y 1 +Y 2)/20 қатынасымен анықталады.

ISPD әртүрлі түрлері үшін UBPD мүмкіндігін бағалаудың жалпыланған тізімі 14-23 кестелерде берілген.

14-кесте - I типті автономды IC

15-кесте – II типті автономды АЖ

16-кесте – Автономды АЖ III типті

17-кесте – IV типті автономды АЖ

18-кесте – Автономды IC V типті

19-кесте – VI типті автономды IC

20-кесте - I LIS түрі

21-кесте - II типті LIS

22-кесте - I типті таратылған IC

23-кесте – II типті АЖ таратылған