Ресей Федерациясының заңнамалық базасы. Желі арқылы зиянды бағдарламаларды енгізу қаупі

Белсенді Басылым 15.02.2008

«ЖЕКЕ ДЕРЕКТЕРДІ АҚПАРАТТЫҚ ЖҮЙЕЛЕРДЕ ӨҢДЕУ КЕЗІНДЕГІ ЖЕКЕ ДЕРЕКТЕРДІҢ ҚАУІПСІЗДІГІНЕ ҚАУІПТЕРДІҢ НЕГІЗГІ МОДЕЛІ» (2008 жылғы 15 ақпанда Ресей Федерациясының FSTEC бекіткен)

5. Дербес деректердің ақпараттық жүйесіндегі ақпаратқа рұқсатсыз қол жеткізу қаупі

Бағдарламалық қамтамасыз етуді және бағдарламалық-техникалық құралдарды пайдалану арқылы ISPD-де UA-ға қатер рұқсат етілмеген, соның ішінде кездейсоқ қол жеткізу кезінде жүзеге асырылады, бұл құпиялылықты (көшіру, рұқсатсыз тарату), тұтастықты (жою, өзгерту) және қол жетімділікті (бұғаттау) бұзуға әкеледі. PD және мыналарды қамтиды:

стандартты бағдарламалық қамтамасыз ету (операциялық жүйе құралдары немесе жалпы қолданбалы бағдарламалар) арқылы компьютердің операциялық ортасына қол жеткізу (еніп кету) қауіптері;

Қалыпты жағдайларда көзделген өңделетін ақпараттың құрамы мен сипаттамаларына шектеулерді елемеу, деректердің өзін бұрмалау (өзгерту) арқылы қызмет көрсету деректерін қасақана өзгертуге байланысты бағдарламалық құралдардың (бағдарламалық және аппараттық қамтамасыз етудің) қалыпты жұмыс режимдерін жасау қаупі; т.б.;

зиянды бағдарламаларды енгізу қауіптері (бағдарламалық-математикалық әсер).

ISPD-дегі ақпаратқа қатысты UA қауіптерін сипаттау элементтерінің құрамы 3-суретте көрсетілген.

Сонымен қатар, осы қауіптердің жиынтығы болып табылатын біріктірілген қауіптер болуы мүмкін. Мысалы, зиянды бағдарламалардың енгізілуіне байланысты компьютердің операциялық ортасына, оның ішінде дәстүрлі емес ақпаратқа қол жеткізу арналарын қалыптастыру арқылы рұқсатсыз кіруге жағдай жасалуы мүмкін.

Стандартты бағдарламалық қамтамасыз етуді пайдалана отырып, ISPD операциялық ортасына кіру (ену) қауіптері тікелей және қашықтан қол жеткізу. Тікелей қатынау қатерлері компьютердің бағдарламалық жасақтамасы мен микробағдарламасының енгізу-шығаруының көмегімен жүзеге асырылады. Қашықтан қол жеткізу қауіптері желілік байланыс хаттамалары арқылы жүзеге асырылады.

Бұл қауіптер ISPD-ге қатысты жалпыға ортақ байланыс желісіне қосылмаған автоматтандырылған жұмыс орны негізінде де, жалпыға ортақ байланыс желілеріне және халықаралық ақпарат алмасу желілеріне қосылған барлық ISPD-ге қатысты да жүзеге асырылады.

Компьютердің операциялық ортасына қол жеткізу (еніп кету) қауіптерінің сипаттамасын ресми түрде келесідей көрсетуге болады:

ISPD-дегі UA қаупі: =<источник угрозы>, <уязвимость ИСПДн>, <способ реализации угрозы>, <объект воздействия (программа, протокол, данные и др.)>, <деструктивное действие>.

Сурет 3. ISPD ақпаратына NSD қауіптерін сипаттау элементтері

Бағдарламалық қамтамасыз ету (бағдарламалық және аппараттық қамтамасыз ету) құралдарының қалыпты жұмыс режимдерін жасау қаупі «Қызмет көрсетуден бас тарту» қатерлері болып табылады. Әдетте, бұл қауіптер ақпарат алмасудың қосылуына қарамастан жергілікті және таратылған ақпараттық жүйелер негізіндегі ISPD-ге қатысты қарастырылады. Оларды жүзеге асыру жүйелік немесе қолданбалы бағдарламалық қамтамасыз етуді әзірлеу кезінде мақсатты түрде өзгертуге арналған қасақана әрекеттердің мүмкіндігін есепке алмауымен байланысты:

деректерді өңдеу шарттары (мысалы, хабарламалар пакетінің ұзындығына шектеулерді елемеу);

Деректерді ұсыну пішімдері (желілік өзара әрекеттесу хаттамаларын пайдалану арқылы өңдеу үшін белгіленген өзгертілген пішімдердің арасындағы сәйкессіздікпен);

Мәліметтерді өңдеуге арналған бағдарламалық қамтамасыз ету.

Қызмет көрсетуден бас тарту қауіптері буфердің толып кетуіне және өңдеу процедураларының бұғатталуына, өңдеу процедураларының «цикліне» және компьютердің «қатып қалуына», хабарламалар пакеттерін тастауға және т.б. әкеледі. Мұндай қауіптердің сипаттамасын ресми түрде келесідей көрсетуге болады:

Қызмет көрсетуден бас тарту қаупі: =<источник угрозы>, <уязвимость ИСПДн>, <способ реализации угрозы>, <объект воздействия (носитель ПДн)>, <непосредственный результат реализации угрозы (переполнение буфера, блокирование процедуры обработки, "зацикливание" обработки и т.п.)>.

Зиянды бағдарламалардың қауіптерін (бағдарламалық-математикалық әсер) жоғарыда аталған қауіптермен бірдей егжей-тегжейлі сипаттау орынсыз. Бұл, біріншіден, зиянды бағдарламалардың саны бүгінде жүз мыңнан айтарлықтай асып кетуіне байланысты. Екіншіден, ақпаратты қорғауды іс жүзінде ұйымдастырған кезде, әдетте, зиянды бағдарламаның класын, оны енгізудің (инфекциясының) әдістері мен салдарын білу жеткілікті. Осыған байланысты бағдарламалық-математикалық әсердің қауіптерін (PMI) ресми түрде келесідей көрсетуге болады:

ISPDn ішіндегі PMV қаупі: =<класс вредоносной программы (с указанием среды обитания)>, <источник угрозы (носитель вредоносной программы)>, <способ инфицирования>, <объект воздействия (загрузочный сектор, файл и т.п.)>, <описание возможных деструктивных действий>, <дополнительная информация об угрозе (резидентность, скорость распространения, полиморфичность и др.)>.

Төменде ақпараттық қауіпсіздік қатерлерінің көздерінің жалпы сипаттамасы, UA қатерлерін жүзеге асыру кезінде пайдаланылуы мүмкін осалдықтар және рұқсатсыз немесе кездейсоқ қол жеткізу нәтижелерінің сипаттамасы берілген. Қауіптерді жүзеге асыру әдістерінің сипаттамасы компьютердің операциялық ортасына кіру (еніп кету) қауіптерін, қызмет көрсетуден бас тарту қауіптерін және PMA қауіптерін сипаттау кезінде келтірілген.

ISPD-де UA-ға қауіптердің көздері мыналар болуы мүмкін:

бұзушы;

зиянды бағдарлама тасымалдаушысы;

аппараттық бетбелгі.

Аппараттық қателерді енгізуге байланысты PD қауіпсіздігінің қатерлері Ресей Федерациясының Федералдық қауіпсіздік қызметінің нормативтік құқықтық актілеріне сәйкес ол белгілеген тәртіппен анықталады.

АЖҚБ-ның бақыланатын аймағына (KZ) тұрақты немесе бір реттік кіру құқығының болуына байланысты бұзушылар екі түрге бөлінеді:

ISPD қолжетімділігі жоқ, сыртқы жалпыға ортақ байланыс желілерінен және (немесе) халықаралық ақпарат алмасу желілерінен қауіптерді жүзеге асыратын бұзушылар – сыртқы бұзушылар;

ISPD-ге рұқсаты бар бұзушылар, соның ішінде ISPD-де қатерлерді тікелей жүзеге асыратын ISPD пайдаланушылары ішкі бұзушылар болып табылады.

Сыртқы зиянкестер:

мемлекеттердің барлау қызметтері;

Қылмыстық құрылымдар;

бәсекелестер (бәсекелес ұйымдар);

адал емес серіктестер;

сыртқы субъектілер (жеке тұлғалар).

Сыртқы зиянкестің келесі мүмкіндіктері бар:

қызметтік үй-жайдан тыс шығатын байланыс арналарына рұқсатсыз кіруді жүзеге асыруға;

жалпыға ортақ байланыс желілеріне және (немесе) халықаралық ақпарат алмасу желілеріне қосылған жұмыс станциялары арқылы рұқсатсыз кіруді жүзеге асыруға;

бағдарламалық вирустар, зиянды бағдарламалар, алгоритмдік немесе бағдарламалық бетбелгілер арқылы арнайы бағдарламалық әрекеттерді пайдалана отырып, ақпаратқа рұқсатсыз қол жеткізуді жүзеге асыру;

Өзінің өмірлік циклі барысында (жаңғырту, техникалық қызмет көрсету, жөндеу, кәдеге жарату) бақыланатын аумақтан тыс болатын ISPD ақпараттық инфрақұрылымының элементтері арқылы рұқсатсыз қол жеткізуді жүзеге асыру;

өзара әрекеттесетін басқармалардың, ұйымдардың және мекемелердің ақпараттық жүйелері арқылы ISPD-ге қосылған кезде рұқсатсыз кіруді жүзеге асыруға.

Инсайдерлік тұлғаның мүмкіндіктері бақылау аймағында жұмыс істейтін режимге және ұйымдық-техникалық қорғау шараларына, оның ішінде рұқсат етілгендерге байланысты. жеке тұлғаларПҚ және жұмыс тәртібін бақылау.

Ішкі әлеуетті бұзушылар қол жеткізу әдісіне және PD-ге қол жеткізу құқықтарына байланысты сегіз санатқа бөлінеді.

Бірінші санатқа ISPD рұқсаты бар, бірақ PD рұқсаты жоқ адамдар кіреді. Құқық бұзушылардың бұл түріне ІСДБ қалыпты жұмысын қамтамасыз ететін лауазымды тұлғалар жатады.

PD бар және ішкі ISPD байланыс арналары арқылы таратылатын ақпарат фрагменттеріне қол жеткізу;

ISPD топологиясы (ішкі желінің байланыс бөлігі) және пайдаланылатын байланыс хаттамалары мен олардың қызметтері туралы ақпараттың фрагменттері болуы;

Тіркелген пайдаланушылардың аты-жөнін білу және парольдерін сәйкестендіруді жүргізу;

конфигурациясын өзгертіңіз техникалық құралдар ISPD, оған бағдарламалық және аппараттық бетбелгілерді енгізіңіз және ISPD аппараттық құралына тікелей қосылым арқылы ақпаратты іздеуді қамтамасыз етіңіз.

бірінші санаттағы тұлғалардың барлық мүмкіндіктері бар;

Кем дегенде бір заңды рұқсат атауын біледі;

Оның барлық қажетті атрибуттары (мысалы, пароль) бар, олар PD белгілі бір ішкі жиынына қол жеткізуді қамтамасыз етеді;

қол жеткізе алатын құпия деректері бар.

Оның қол жеткізу, аутентификация және PD белгілі бір жиынына қол жеткізу құқықтары қол жеткізуді басқарудың тиісті ережелерімен реттелуі керек.

бірінші және екінші санаттағы адамдардың барлық мүмкіндіктері бар;

Қол жеткізу қамтамасыз етілетін жергілікті және (немесе) таратылған ақпараттық жүйе негізіндегі ISPD топологиясы туралы және ISPD техникалық құралдарының құрамы туралы ақпараты бар;

ISPD техникалық құралдарының фрагменттеріне тікелей (физикалық) қол жеткізу мүмкіндігі бар.

Жүйе және қолданба туралы толық ақпарат бар бағдарламалық қамтамасыз ету ISPD сегментінде (фрагментте) қолданылады;

ISPD сегментінің (фрагментінің) техникалық құралдары мен конфигурациясы туралы толық ақпараты бар;

ақпараттық қауіпсіздік пен журнал жүргізу құралдарына, сонымен қатар жеке элементтер ISPD сегментінде (фрагментінде) пайдаланылады;

ISPD сегментінің (фрагментінің) барлық техникалық құралдарына қол жеткізе алады;

ISPD сегментінің (фрагментінің) техникалық құралдарының кейбір ішкі жиынын конфигурациялауға және басқаруға құқығы бар.

Алдыңғы санаттағы тұлғалардың барлық мүмкіндіктері бар;

ISPD жүйесі және қолданбалы бағдарламалық қамтамасыз ету туралы толық ақпараты бар;

ISPD техникалық құралдары мен конфигурациясы туралы толық ақпараты бар;

ақпаратты өңдеудің барлық техникалық құралдарына және ISPD деректеріне қол жеткізе алады;

ISPD техникалық құралдарын конфигурациялауға және басқаруға құқығы бар.

Жүйе әкімшісі бағдарламалық қамтамасыз ету (бағдарламалық қамтамасыз ету) мен жабдықты, соның ішінде қорғалған объектінің қауіпсіздігіне жауапты жабдықты конфигурациялайды және басқарады: құралдар криптографиялық қорғауақпарат, мониторинг, тіркеу, мұрағаттау, рұқсатсыз кіруден қорғау.

алдыңғы санаттағы тұлғалардың барлық мүмкіндіктері бар;

ISPD туралы толық ақпарат бар;

ақпараттық қауіпсіздік пен журнал жүргізу құралдарына және ISPD кейбір негізгі элементтеріне қол жеткізе алады;

Бақылауды (тексеруді) қоспағанда, желілік жабдықты конфигурациялауға рұқсат құқығы жоқ.

Қауіпсіздік әкімшісі қол жеткізуді басқару ережелерінің сақталуына, негізгі элементтерді құруға және құпия сөздерді өзгертуге жауапты. Қауіпсіздік әкімшісі жүйе әкімшісі сияқты бірдей нысан қорғаныстарын тексереді.

ISPD бойынша ақпаратты өңдеуге арналған алгоритмдер мен бағдарламалар туралы ақпаратқа ие;

ISPD бағдарламалық құралына оны әзірлеу, енгізу және техникалық қызмет көрсету кезеңінде қателерді, жарияланбаған мүмкіндіктерді, бағдарламалық бетбелгілерді, зиянды бағдарламаларды енгізу мүмкіндігі бар;

ISPD топологиясы туралы ақпараттың кез келген фрагменттері және ISPD өңделген PD өңдеу және қорғау техникалық құралдары болуы мүмкін.

ISPD техникалық құралдарында оларды әзірлеу, енгізу және қызмет көрсету кезеңінде бетбелгілер жасау мүмкіндігі бар;

Онда ISPD топологиясы және ISPD-де ақпаратты өңдеу мен қорғаудың техникалық құралдары туралы ақпараттың кез келген фрагменттері болуы мүмкін.

Зиянды бағдарламаның тасымалдаушысы компьютердің аппараттық элементі немесе бағдарламалық контейнер болуы мүмкін. Зиянды бағдарлама ешқайсысымен байланысты болмаса қолданбалы бағдарлама, онда оның тасымалдаушысы ретінде:

Алынбалы тасымалдағыш, яғни иілгіш диск, оптикалық диск (CD-R, CD-RW), флэш-жад, босатылатын қатты диск және т.б.;

Кірістірілген сақтау құралдары (қатты дискілер, RAM чиптері, процессор, чиптер жүйелік тақта, ендірілген құрылғылардың микрочиптері жүйелік блок, - бейне адаптер, желілік тақта, дыбыс картасы, модем, магниттік қатты және оптикалық дискілердің енгізу/шығару құрылғылары, қоректендіру көзі және т.б., жадқа тікелей қатынау чиптері, деректер шиналары, енгізу/шығару порттары);

микрочиптер сыртқы құрылғылар(монитор, пернетақта, принтер, модем, сканер, т.б.).

Зиянды бағдарлама қандай да бір қолданбалы бағдарламамен, белгілі кеңейтімдері бар файлдармен немесе басқа атрибуттары бар файлдармен, желі арқылы жіберілетін хабарламалармен байланысты болса, онда оның тасымалдаушылары:

компьютерлік желі арқылы берілетін хабарламалар пакеттері;

файлдар (мәтіндік, графикалық, орындалатын және т.б.).

Дербес деректердің ақпараттық жүйесінің осалдығы – дербес деректердің қауіпсіздігіне қатер төндіруді жүзеге асыру үшін пайдаланылуы мүмкін автоматтандырылған ақпараттық жүйенің жүйесіндегі немесе қолданбалы бағдарламалық жасақтамасының (аппараттық құралдарының) кемістігі немесе әлсіздігі.

Осалдықтардың себептері:

бағдарламалық қамтамасыз етуді (бағдарламалық және аппараттық қамтамасыз етуді) жобалау және әзірлеу кезіндегі қателер;

бағдарламалық (аппараттық) қамтамасыз етуді жобалау және әзірлеу кезінде осалдықтарды енгізу бойынша қасақана әрекеттер;

бағдарламалық қамтамасыз етудің дұрыс емес параметрлері, құрылғылар мен бағдарламалардың жұмыс режимдерінің заңсыз өзгеруі;

Ресурстарды кейіннен негізсіз жұмсай отырып, жазылмаған бағдарламаларды рұқсатсыз енгізу және пайдалану (процессорлық жүктеме, сыртқы тасымалдағыштағы жедел жады мен жадты басып алу);

бағдарламалық қамтамасыз етуде және микробағдарламада осалдықтарды тудыратын зиянды бағдарламаларды енгізу;

пайдаланушылардың осалдықтарға әкелетін рұқсат етілмеген қасақана әрекеттері;

аппараттық және бағдарламалық құралдардың жұмысындағы ақаулар (электр қуатының бұзылуынан, ескіру және сенімділіктің төмендеуі нәтижесінде аппараттық элементтердің істен шығуынан, техникалық құрылғылардың электромагниттік өрістерінің сыртқы әсерінен және т.б.).

ISPD негізгі осалдықтарының жіктелуі 4-суретте көрсетілген.

Сурет 4. Бағдарламалық қамтамасыз етудің осалдықтарының классификациясы

Төменде ISPD осалдықтарының негізгі топтарының жалпы сипаттамасы берілген, соның ішінде:

жүйелік бағдарламалық қамтамасыз етудегі осалдықтар (оның ішінде желілік өзара әрекеттесу хаттамалары);

қолданбалы бағдарламалық жасақтаманың осалдықтары (ақпараттық қауіпсіздік құралдарын қоса алғанда).

Жүйелік бағдарламалық қамтамасыз етудің осалдықтары есептеу жүйелерінің архитектурасына сілтеме жасай отырып қарастырылуы керек.

Келесі осалдықтар болуы мүмкін:

микробағдарламаларда, ROM микробағдарламасында, PROM;

жергілікті ISPD ресурстарын басқаруға арналған операциялық жүйе құралдарында (процестерді, жадты, енгізу/шығару құрылғыларын, пайдаланушы интерфейсін және т.б. басқару функцияларын орындауды қамтамасыз ету), драйверлерді, утилиталарды;

Операциялық жүйеде көмекші функцияларды орындауға арналған құралдар – утилиталар (архивтеу, дефрагментациялау және т.б.), жүйені өңдеу бағдарламалары (компиляторлар, сілтемелер, жөндеушілер және т.б.), пайдаланушыны қамтамасыз ету бағдарламалары. қосымша қызметтер(арнайы интерфейс опциялары, калькуляторлар, ойындар және т.б.), процедуралар кітапханалары әртүрлі мақсаттарға арналған(математикалық функциялардың кітапханалары, енгізу/шығару функциялары және т.б.);

операциялық жүйенің коммуникациялық өзара әрекеттесу құралдарында (желілік құралдар).

Жергілікті ресурстар мен қосалқы функцияларды басқаруға арналған микробағдарлама және операциялық жүйе құралдарының осалдықтары мыналар болуы мүмкін:

Параметрлерін белгілі бір жолмен өзгерту операциялық жүйемен мұндай өзгерістерді байқамай, рұқсатсыз кіру үшін пайдалануға мүмкіндік беретін функциялар, процедуралар;

сәйкестендіру, аутентификация, тұтастықты тексеру және т.б. процедураларды айналып өтуге мүмкіндік беретін әзірлеуші ​​енгізген бағдарлама кодының фрагменттері («тесік», «люктер»);

Белгілі бір жағдайларда (мысалы, логикалық ауысуларды орындау кезінде) ақауларға, соның ішінде ақпаратты қорғау құралдары мен жүйелерінің жұмысындағы ақауларға әкелетін бағдарламалардағы қателер (айнымалыларды, функцияларды және процедураларды жариялауда, бағдарлама кодтарында).

Желілік өзара әрекеттесу хаттамаларының осалдықтары олардың бағдарламалық қамтамасыз етуді жүзеге асыру ерекшеліктерімен байланысты және пайдаланылатын буфердің өлшеміне шектеулер, аутентификация процедурасының кемшіліктері және дұрыстығын тексерудің болмауына байланысты. қызмет туралы ақпаратжәне т.б. қысқаша сипаттамасыбұл хаттамаға тән осалдықтар 2-кестеде келтірілген.

кесте 2

TCP/IP протокол стекінің жеке хаттамаларының осалдықтары, олардың негізінде ғаламдық қоғамдық желілер жұмыс істейді.

Көптеген осалдықтардың сипаттамасын жүйелеу үшін MItrE, ISS, Cisco, BindView, Axent, NFR сияқты көптеген танымал компаниялар мен ұйымдардың мамандары әзірлеген CVE (Common Vulnerabilities and Exposions) осалдықтарының бірыңғай деректер базасы пайдаланылады. , L-3, CyberSafe, CERT, Карнеги Меллон университеті, SANS институты және т.б. Бұл деректер базасы үнемі жаңартылып отырады және көптеген мәліметтер қорын қалыптастыруда қолданылады бағдарламалық құралдарқауіпсіздік талдауы және ең алдымен желілік сканерлер.

Қолданбалы бағдарламалық жасақтамаға жалпы қолданылатын қолданбалар мен арнайы қолданбалы бағдарламалар кіреді.

Жалпы қолдануға арналған қолданбалы программалар – мәтіндік және графикалық редактор, медиа бағдарламалары (аудио және бейне ойнатқыштар, телебағдарламаларды қабылдауға арналған бағдарламалық қамтамасыз ету және т.б.), деректер қорын басқару жүйелері, бағдарламалық платформаларбағдарламалық өнімдерді әзірлеу үшін жалпы пайдалану (мысалы, Delphi, Visual Basic), қоғамдық ақпаратты қорғау құралдары және т.б.

Арнайы қолданбалы бағдарламалар - бұл ISPD-дегі нақты қолданбалы мәселелерді шешу мүддесінде әзірленген бағдарламалар (соның ішінде нақты ISPD үшін әзірленген ақпараттық қауіпсіздік бағдарламалық қамтамасыз ету).

Қолданбалы бағдарламалық жасақтаманың осалдықтары болуы мүмкін:

әртүрлі қолданбалы бағдарламаларға қатысты және жүйелік ресурстарды бөлуге байланысты қайшылықтарға байланысты бір-бірімен үйлеспейтін (бір операциялық ортада жұмыс істемейтін) функциялар мен процедуралар;

Параметрлерін белгілі бір жолмен өзгерту оларды пайдалануға ISPD операциялық ортасына енуге және операциялық жүйенің тұрақты функцияларын шақыруға мүмкіндік беретін функциялар, процедуралар операциялық жүйенің мұндай өзгерістерін байқамай, рұқсатсыз кіруді жүзеге асырады;

операциялық жүйеде қарастырылған сәйкестендіру, аутентификация, тұтастықты тексеру және т.б. процедураларды айналып өтуге мүмкіндік беретін әзірлеуші ​​енгізген бағдарламалық кодтың фрагменттері («тесік», «люктер»);

қажетті қорғаныс құралдарының болмауы (аутентификация, тұтастықты тексеру, хабарлама пішімін тексеру, рұқсат етілмеген өзгертілген функцияларды блоктау және т.б.);

Белгілі бір жағдайларда (мысалы, логикалық ауысуларды орындау кезінде) ақауларға, соның ішінде ақпаратты қорғау құралдары мен жүйелерінің жұмысындағы ақауларға әкеп соғатын бағдарламалардағы қателер (айнымалыларды, функцияларды және процедураларды жариялауда, бағдарлама кодтарында) ақпаратқа рұқсатсыз қол жеткізу мүмкіндігі.

Коммерциялық әзірленген және таратылатын қолданбалы бағдарламалық қамтамасыз етудің осалдық деректері CVE дерекқорында жинақталады, қорытындыланады және талданады.<*>.

<*>CERT шетелдік компаниясы коммерциялық негізде жүргізеді.

Компьютердің операциялық ортасына қол жеткізу (еніп кету) қауіптері және PD рұқсатсыз кіру қауіптері мыналарға қол жеткізумен байланысты:

ISPD негізгі енгізу/шығару жүйесінде (BIOS) сақталған ақпарат пен пәрмендерге операциялық жүйенің жүктелуін басқаруды тоқтату және сенімді пайдаланушының құқықтарын алу мүмкіндігімен;

операциялық ортаға, яғни стандартты операциялық жүйе бағдарламаларына қоңырау шалу немесе осындай әрекеттерді жүзеге асыратын арнайы әзірленген бағдарламаларды іске қосу арқылы рұқсатсыз кіруді орындау мүмкіндігі бар жеке ISPD техникалық құралының жергілікті операциялық жүйесінің жұмыс ортасына;

қолданбалы бағдарламалардың жұмыс істеу ортасына (мысалы, жергілікті деректер қорын басқару жүйесіне);

тікелей пайдаланушының ақпаратына (файлдарға, мәтіндік, аудио және графикалық ақпаратқа, өрістер мен электрондық деректер қорындағы жазбаларға) және оның құпиялылығын, тұтастығын және қолжетімділігін бұзу мүмкіндігіне байланысты.

Бұл қауіптерді жүзеге асыруға болады, егер физикалық қол жеткізу ISPD-ге немесе кем дегенде ISPD-ге ақпаратты енгізу құралына. Оларды орындау мерзіміне қарай үш топқа бөлуге болады.

Бірінші топқа операциялық жүйені жүктеу кезінде жүзеге асырылатын қауіптер жатады. Ақпараттық қауіпсіздікке төнетін бұл қауіптер парольдерді немесе идентификаторларды ұстауға, негізгі енгізу/шығару жүйесінің (BIOS) бағдарламалық жасақтамасын өзгертуге, ISPD операциялық ортасында UA алу үшін қажетті технологиялық ақпаратты өзгерту арқылы жүктеуді басқаруды ұстауға бағытталған. Көбінесе мұндай қауіп-қатерлер иеліктен шығарылған ақпарат құралдары арқылы жүзеге асырылады.

Екінші топ – пайдаланушы қандай қолданбалы бағдарламаны іске қосқанына қарамастан операциялық ортаны жүктегеннен кейін жүзеге асырылатын қауіптер. Бұл қауіптер әдетте ақпаратқа тікелей рұқсатсыз қол жеткізуді жүзеге асыруға бағытталған. Операциялық ортаға қол жеткізу кезінде зиянкес екеуін де пайдалана алады стандартты мүмкіндіктероперациялық жүйе немесе кез келген жалпы қолданбалы бағдарлама (мысалы, дерекқорды басқару жүйелері) және рұқсатсыз кіруді орындау үшін арнайы әзірленген бағдарламалар, мысалы:

тізілімді қарау және өзгертулер;

Мәтіндік файлдардағы мәтіндерді іздеу бағдарламалары кілт сөздержәне көшіру;

мәліметтер қорындағы жазбаларды қарау және көшіру үшін арнайы бағдарламалар;

графикалық файлдарды жылдам қарауға, оларды өңдеуге немесе көшіруге арналған бағдарламалар;

бағдарламалық ортаны қайта конфигурациялау мүмкіндіктерін қолдауға арналған бағдарламалар (құқық бұзушының мүддесі үшін ISPD параметрлері) және т.б.

Ақырында, үшінші топқа қауіптер жатады, олардың орындалуы пайдаланушы қолданбалы бағдарламалардың қайсысын іске қосқанымен немесе қолданбалы бағдарламалардың кез келгенінің іске қосылуымен анықталады. Бұл қауіптердің көпшілігі зиянды бағдарламаларды енгізу қауіптері болып табылады.

Егер ISPD жергілікті немесе таратылған ақпараттық жүйенің негізінде жүзеге асырылса, онда ақпараттық қауіпсіздік қатерлері Интернетте жұмыс істеу протоколдарын қолдану арқылы жүзеге асырылуы мүмкін. Сонымен қатар, NSD-дан PD-ге берілуі мүмкін немесе қызмет көрсетуден бас тарту қаупі туындауы мүмкін. Қауіптер әсіресе ISPD таратылған кезде қауіпті ақпараттық жүйежалпыға ортақ желілерге және (немесе) халықаралық ақпарат алмасу желілеріне қосылған. Желі арқылы жүзеге асырылатын қауіптерді жіктеу схемасы 5-суретте көрсетілген. Ол келесі жеті негізгі жіктеу мүмкіндігіне негізделген.

1. Қауіптің сипаты. Осы негізде қауіптер пассивті және белсенді болуы мүмкін. Пассивті қауіп – бұл қатер, оның орындалуы ISPD жұмысына тікелей әсер етпейді, бірақ PD немесе желі ресурстарына қол жеткізуді шектеудің белгіленген ережелері бұзылуы мүмкін. Мұндай қауіптердің мысалы ретінде байланыс арналарын тыңдауға және оларды ұстауға бағытталған «Желілік трафикті талдау» қаупін келтіруге болады. жіберілген ақпарат.

Белсенді қауіп – ISPD ресурстарына әсер етумен байланысты қауіп, оның орындалуы жүйенің жұмысына тікелей әсер етеді (конфигурацияны өзгерту, өнімділікті бұзу және т. желі ресурстары. Мұндай қауіптердің мысалы ретінде «TCP сұрау дауылы» ретінде сатылатын Қызмет көрсетуден бас тарту қаупі бар.

2. Қауіптің жүзеге асу мақсаты. Осы негізде қауіптер ақпараттың құпиялылығын, тұтастығын және қолжетімділігін бұзуға бағытталған болуы мүмкін (соның ішінде ISPD немесе оның элементтерінің жұмыс қабілеттілігін бұзу).

3. Қауіпті жүзеге асыру процесінің басталу шарты. Осы негізде қауіп жүзеге асырылуы мүмкін:

қауіп төніп тұрған объектінің сұрауы бойынша. Бұл жағдайда зиянкес рұқсат етілмеген қол жеткізуді бастау шарты болатын белгілі бір түрдегі сұраныстың берілуін күтеді;

Сурет 5. Интернет-жұмыс хаттамалары арқылы қауіптердің жіктелу схемасы

Қауіп-қатер іске асырылып жатқан объектіде күтілетін оқиға болған кезде. Бұл жағдайда зиянкес ISPD операциялық жүйесінің күйін үнемі қадағалап отырады және егер осы жүйеде белгілі бір оқиға орын алса, рұқсатсыз кіру басталады;

сөзсіз әсер ету. Бұл жағдайда рұқсат етілмеген қол жеткізуді жүзеге асырудың басталуы қол жеткізу мақсатына қатысты сөзсіз болып табылады, яғни қауіп дереу және жүйенің күйіне қарамастан жүзеге асырылады.

4. Қол жетімділік кері байланыс ISPD көмегімен. Осы негізде қауіпті іске асыру процесі кері байланыспен немесе кері байланыссыз болуы мүмкін. ISPD кері байланыс болған кезде жүзеге асырылатын қауіп ISPD-ге жіберілген кейбір сұраулар зиянкестің жауап алуын талап ететіндігімен сипатталады. Демек, зиянкес пен ISPD арасында кері байланыс бар, ол бұзушыға ISPD-де болып жатқан барлық өзгерістерге адекватты түрде жауап беруге мүмкіндік береді. ISPD кері байланыс болған кезде жүзеге асырылатын қауіптерден айырмашылығы, қатерлерді кері байланыссыз іске асырған кезде ISPD-де болатын кез келген өзгерістерге жауап беру талап етілмейді.

5. ISPD қатысты зиянкестің орны. Осы белгіге сәйкес қауіп сегмент ішінде де, сегмент аралықта да жүзеге асады. Желілік сегмент – хосттардың физикалық ассоциациясы (ISPD аппараттық құралы немесе желілік мекенжайы бар байланыс элементтері). Мысалы, ISPD сегменті «жалпы автобус» схемасына сәйкес серверге қосылған хосттар жиынын құрайды. Сегментішілік қауіп болған жағдайда, бұзушы ISPD аппараттық элементтеріне физикалық қол жеткізе алады. Егер сегментаралық қауіп болса, онда зиянкес басқа желіден немесе басқа ISDN сегментінен келетін қауіпті жүзеге асыра отырып, ISDN тыс орналасқан.

6. Өзара әрекеттестіктің эталондық моделінің деңгейі ашық жүйелер <*>Қауіп іске асырылатын (ISO/OSI). Осы негізде қауіп физикалық, арналық, желілік, көліктік, сеанс, көрсетілім және ISO/OSI үлгісінің қолданбалы деңгейлерінде жүзеге асырылуы мүмкін.

<*>Халықаралық стандарттау ұйымы (ISO) ISO 7498 стандартын қабылдады, ол Open Systems Interconnection (OSI) сипаттайды.

7. Қауіп-қатер іске асырылып жатқан бұзушылар мен ISPD элементтерінің санының арақатынасы. Осы негізде қауіп бір ISPD техникалық құралына қатысты (бірден-бір қауіп), бірнеше ISPD техникалық құралдарына қатысты бірден (бірден көпке қауіп) немесе бір бұзушы жүзеге асыратын қауіп ретінде жіктелуі мүмкін. ISPD бір немесе бірнеше техникалық құралдарына (үлестірілген немесе біріктірілген қауіптер) қатысты әртүрлі компьютерлерден бірнеше зиянкестер.

Классификацияға сүйене отырып, біз қазіргі уақытта ең жиі жүзеге асырылатын жеті қауіпті бөліп аламыз.

1. Желілік трафикті талдау (6-сурет).

Сурет 6. «Желілік трафикті талдау» қаупін жүзеге асыру схемасы

Бұл қауіп желі сегменті арқылы жіберілетін барлық пакеттерді ұстап алатын және олардың ішінде пайдаланушы идентификаторы мен пароль жіберілетіндерді бөліп көрсететін арнайы пакеттік анализатор бағдарламасы (снайффер) арқылы жүзеге асырылады. Қауіпті жүзеге асыру кезінде зиянкес желі логикасын зерттейді, яғни жүйеде болып жатқан оқиғалар мен пайда болған кезде хосттар жіберген командалар арасындағы жеке сәйкестікті алуға ұмтылады. бұл оқиғалар. Болашақта бұл шабуылдаушыға тиісті пәрмендерді орнату негізінде, мысалы, жүйеде әрекет ету немесе ондағы өкілеттіктерін кеңейту, желілік операциялық жүйенің құрамдастары арасында алмасатын жіберілетін деректер ағынын ұстау үшін артықшылықты құқықтарды алуға мүмкіндік береді. құпия немесе идентификациялық ақпаратты алу үшін (мысалы, шифрлауды қамтамасыз етпейтін FTP және TELNET хаттамалары арқылы қашықтағы хосттарға кіру үшін пайдаланушылардың статикалық құпия сөздері), оны ауыстыру, өзгерту және т.б.

2. Желіні сканерлеу.

Қауіпті іске асыру процесінің мәні ISPD хосттарының желілік қызметтеріне сұраныстарды жіберу және олардан жауаптарды талдау болып табылады. Мақсаты – қолданылатын хаттамаларды, желілік қызметтердің қолжетімді порттарын, қосылым идентификаторларын қалыптастыру заңдарын, белсенді желі қызметтерін анықтау, пайдаланушы идентификаторлары мен парольдерді таңдау.

3. Құпия сөзді ашу қаупі.

Қауіпті жүзеге асырудың мақсаты - парольді қорғауды жеңу арқылы UA алу. Қауіпті шабуылдаушы қарапайым санау, арнайы сөздіктер арқылы санау, құпия сөзді ұстап алу үшін зиянды бағдарламаны орнату, сенімді желі нысанын ауыстыру (IP спуфинг) және пакеттерді иіскеу сияқты әртүрлі әдістерді қолданып қауіпті жүзеге асыра алады. Негізінен қауіп-қатерді жүзеге асыру үшін қолданылады арнайы бағдарламаларқұпия сөздерді мәжбүрлеу арқылы хостқа кіруге тырысады. Сәтті болса, шабуылдаушы болашақ кіру үшін өзіне «жол» жасай алады, ол хостта кіру құпия сөзі өзгертілсе де жұмыс істейді.

4. Сенiмдi желi объектiсiн ауыстыру және оның қол жеткiзу құқықтарын бере отырып, оның атынан хабарламаларды байланыс арналары арқылы беру (7-сурет).

Сурет 7. «Сенімді желі объектісін ауыстыру» қаупін жүзеге асыру схемасы.

Мұндай қауіп хосттарды, пайдаланушыларды және т.б. анықтау және аутентификациялаудың тұрақсыз алгоритмдері қолданылатын жүйелерде тиімді жүзеге асырылады. Сенімді объект – серверге заңды түрде қосылған желілік объект (компьютер, желіаралық қалқан, маршрутизатор және т.б.).

Бұл қауіпті іске асыру процесінің екі түрін бөлуге болады: виртуалды байланыс орнату арқылы және онсыз.

Виртуалды қосылымды орнату арқылы іске асыру процесі зиянкестерге сенімді субъект атынан желілік объектімен сеанс жүргізуге мүмкіндік беретін сенімді өзара әрекеттесу субъектісінің құқықтарын беруден тұрады. Бұл түрдегі қауіпті жүзеге асыру идентификация және хабарламаның аутентификация жүйесін жеңуді талап етеді (мысалы, UNIX хостының rsh қызметіне шабуыл).

Виртуалды қосылымды орнатпай қауіпті іске асыру процесі жіберілетін хабарламаларды тек жіберушінің желілік мекенжайы бойынша анықтайтын желілерде орын алуы мүмкін. Мәні маршруттау мен мекенжай деректерін өзгерту туралы желіні басқару құрылғыларының атынан (мысалы, маршрутизаторлар атынан) қызметтік хабарламаларды жіберуде жатыр. Бұл жағдайда абоненттер мен қосылыстардың жалғыз идентификаторлары (TCP хаттамасына сәйкес) екі 32 разрядты параметр болып табылатынын есте сақтау қажет. Сондықтан, жалған TCP пакетін қалыптастыру үшін шабуылдаушы ағымдағы идентификаторларды білуі керек. бұл қосылыс- ISSA және ISSb, мұнда:

ISSa - жіберілген TCP пакетінің реттік нөмірін сипаттайтын кейбір сандық мән, A хостымен басталған орнатылған TCP қосылымы;

ISSb – жіберілген TCP пакетінің реттік нөмірін сипаттайтын кейбір сандық шама, B хостымен басталған орнатылған TCP қосылымы.

ACK (TCP қосылымын растау нөмірі) мәні ISS жауап берушісінен алынған санның мәні (реттік нөмір) плюс бір ACKb = ISSA + 1 ретінде анықталады.

Қауіпті іске асыру нәтижесінде бұзушы ISPD техникалық құралына – қауіптердің нысанасына сенімді абонентке өз пайдаланушысы белгілеген қол жеткізу құқығын алады.

5. Жалған желі маршрутын енгізу.

Бұл қауіп екі жолдың бірімен жүзеге асырылады: сегментішілік немесе сегмент аралық таңу арқылы. Жалған бағытты енгізу мүмкіндігі маршруттау алгоритмдеріне тән кемшіліктерге байланысты (атап айтқанда, желіні басқару құрылғыларын анықтау мәселесіне байланысты), соның нәтижесінде сіз, мысалы, хостқа немесе шабуылдаушы желісіне қол жеткізе аласыз. , онда ISPD бөлігі ретінде техникалық құралдың жұмыс ортасына кіруге болады. Қауіпті жүзеге асыру маршруттау кестелеріне өзгертулер енгізу үшін маршруттау хаттамаларын (RIP, OSPF, LSP) және желіні басқаруды (ICMP, SNMP) рұқсатсыз пайдалануға негізделген. Бұл жағдайда зиянкес желіні басқару құрылғысы (мысалы, маршрутизатор) атынан басқару хабарламасын жіберуі керек (8 және 9-суреттер).

Сурет 8. Байланысты бұзу үшін ICMP хаттамасын пайдалана отырып, «Жалған маршрутты енгізу» (сегментішілік) шабуылын жүзеге асыру схемасы.

9-сурет. Көлік қозғалысын тоқтату мақсатында «Жалған маршрутты енгізу» қаупін (сегментаралық) жүзеге асыру схемасы

6. Жалған желі объектісін енгізу.

Бұл қауіп қашықтан іздеу алгоритмдеріндегі әлсіздіктерді пайдалануға негізделген. Егер желілік объектілерде бастапқыда бір-біріне қатысты адрестік ақпарат болмаса, әртүрлі қашықтан іздеу протоколдары қолданылады (мысалы, Novell NetWare желілеріндегі SAP; TCP/IP протоколдар стегі бар желілердегі ARP, DNS, WINS), олар жіберуден тұрады. арнайы сұрау салулар және оларға қажетті ақпаратпен жауаптар алу. Бұл жағдайда зиянкестің жолын кесу мүмкіндігі бар іздеу сұрауыжәне оған жалған жауап беру, оны пайдалану маршруттау және мекенжай деректерін қажетті өзгертуге әкеледі. Болашақта жәбірленуші объектімен байланысты ақпараттың барлық ағыны жалған желі объектісі арқылы өтеді (10 - 13-суреттер).

10-сурет. «Жалған ARP серверінің инъекциясы» қаупін жүзеге асыру схемасы.

11-сурет. DNS сұрауын ұстау арқылы «Жалған DNS серверін енгізу» қаупін жүзеге асыру схемасы

12-сурет. Желілік компьютерде DNS жауаптарының дауылымен «жалған DNS сервер инъекциясы» қаупін жүзеге асыру схемасы.

13-сурет. DNS серверіне DNS жауаптарының дауылымен «Жалған DNS серверінің инъекциясы» қаупін жүзеге асыру схемасы.

7. Қызмет көрсетуден бас тарту.

Бұл қауіптер желілік бағдарламалық жасақтаманың кемшіліктеріне, оның осалдықтарына негізделген, бұл зиянкестерге операциялық жүйе кіріс пакеттерін өңдей алмаған кезде жағдай жасауға мүмкіндік береді.

Мұндай қауіптердің бірнеше түрін бөлуге болады:

а) байланыс арналарының өткізу қабілеттілігінің, желілік құрылғылардың өнімділігінің төмендеуімен және сұрауды өңдеу уақытына қойылатын талаптардың бұзылуымен шабуылдаушы таратқан пакеттерді өңдеуге ISPD ресурстарының бір бөлігін тартудан жасырын қызмет көрсетуден бас тарту. Осындай қауіптерді жүзеге асыру мысалдары: ICMP хаттамасы арқылы жаңғырық сұрауларының бағытталған дауылы (Ping flooding), TCP қосылымдарын орнатуға арналған сұраныстардың дауы (SYN-флодин), FTP серверіне сұраныстар дауылы;

б) заңды сұраныстарды желі арқылы жіберу мүмкін болмайтын шабуылдаушы таратқан пакеттерді өңдеу кезінде ISPD ресурстарының сарқылуынан туындаған қызмет көрсетуден айқын бас тарту (байланыс арналарының барлық өткізу қабілеттілігін басып алу, қызмет көрсетуге сұраныс кезегінің толып кетуі). жіберу ортасының қолжетімсіздігіне байланысты немесе толық сұрау кезегі, жад дискі кеңістігі және т.б. Осы түрдегі қауіптердің мысалдары ICMP хабар тарату жаңғырық сұрау дауылы (Smurf), бағытталған дауыл (SYN-flooding), пошта серверінің хабарлама дауы (Спам);

в) ISPD техникалық құралдары арасындағы логикалық байланыстың бұзылуынан туындаған қызмет көрсетуден айқын бас тарту, бұзушы желі құрылғыларының атынан басқару хабарламаларын жібергенде, маршруттау мен мекенжай деректерінің өзгеруіне әкелетін (мысалы, ICMP Redirect Host, DNS). -су тасқыны) немесе сәйкестендіру және аутентификациялық ақпарат;

D) стандартты емес атрибуттары бар («Land», «TearDrop», «Bonk», «Nuke», «UDP-bomba» түріндегі қауіптер) немесе ұзындығынан асатын пакеттерді жіберуі арқылы шабуылдаушының қызмет көрсетуден анық бас тартуы. желі алмасу хаттамаларын жүзеге асыратын бағдарламаларда қателер болған жағдайда, сұрауларды өңдеуге қатысатын желілік құрылғылардың істен шығуына әкелуі мүмкін максималды рұқсат етілген өлшем («Ping Death» түріндегі қауіп).

Осы қауіпті іске асырудың нәтижесі ISPD-де PD-ге қашықтан қол жеткізуді қамтамасыз ету бойынша тиісті қызметтің жұмысының бұзылуы, ISPD бөлігі ретінде техникалық объектке қосылуға көптеген сұраныстардың бір мекенжайдан ауысуы, ол трафикті мүмкіндігінше «орналастыруға» қабілетті (бағытталған «сұраныстар дауылы»), бұл сұрау кезегінің толып кетуіне және желілік қызметтердің бірінің істен шығуына немесе мүмкін болмағандықтан компьютердің толық өшірілуіне әкеп соғады. сұрауларды өңдеуден басқа кез келген нәрсені орындау үшін жүйе.

8. Қолданбаны қашықтан іске қосу.

Қауіп ISPD хостында бұрын енгізілген әртүрлі зиянды бағдарламаларды іске қосу ниетінде жатыр: бетбелгі бағдарламалары, вирустар, «желі шпиондары», олардың негізгі мақсаты құпиялылықты, тұтастықты, ақпараттың қолжетімділігін және операцияны толық бақылауды бұзу болып табылады. хосттың. Сонымен қатар, пайдаланушы қолданбалы бағдарламаларын рұқсатсыз іске қосу бұзушыға қажетті деректерді рұқсатсыз алу, қолданбалы бағдарламамен басқарылатын процестерді іске қосу және т.б.

Бұл қауіптердің үш ішкі класы бар:

1) рұқсат етілмеген орындалатын коды бар файлдарды тарату;

2) қолданбалы серверлердің буферін толтыру арқылы қолданбаны қашықтан іске қосу;

3) мүмкіндіктерді пайдалану арқылы қолданбаны қашықтан іске қосу қашықтықтан басқаружасырын бағдарламалық және аппараттық қойындылармен немесе пайдаланылған стандартты құралдармен қамтамасыз етілген жүйе.

Осы ішкі сыныптардың біріншісінің типтік қауіптері таратылған файлдарды оларға кездейсоқ қол жеткізу кезінде белсендіруге негізделген. Мұндай файлдардың мысалдары: макростар түріндегі орындалатын коды бар файлдар (құжаттар Microsoft Word, Excel және т.б.); пішінде орындалатын кодты қамтитын html құжаттары ActiveX басқару элементтері, Java апплеттері, түсіндірілетін сценарийлер (мысалы, JavaScript мәтіндері); орындалатын бағдарлама кодтары бар файлдар. Файлдарды тарату үшін электрондық пошта, файлдарды тасымалдау, желілік файлдық жүйе қызметтерін пайдалануға болады.

Екінші топшаның қатерлері пайдаланылған кезде орындалатын бағдарламалардың кемшіліктері желі қызметтері(атап айтқанда, буфердің толып кетуін бақылаудың болмауы). Жүйе регистрлерін реттеу арқылы кейде буфердің толып кету үзілуінен кейін процессорды буфер шекарасынан тыс орналасқан кодты орындауға ауыстыруға болады. Мұндай қауіпті жүзеге асырудың мысалы ретінде белгілі «Моррис вирусының» енгізілуін айтуға болады.

Үшінші қосалқы сыныптың қауіп-қатерлері кезінде зиянкес жасырын компоненттермен қамтамасыз етілген жүйені қашықтан басқару мүмкіндігін пайдаланады (мысалы, Back Orifice, Net Bus сияқты «троян» бағдарламалары) немесе тұрақты басқару және басқару құралдары. компьютерлік желілер(Landesk Management Suite, Managewise, Back Orifice, т.б.). Оларды қолдану нәтижесінде желідегі станцияны қашықтан басқаруға қол жеткізуге болады.

Схемалық түрде бұл бағдарламалар жұмысының негізгі кезеңдері келесідей:

жадқа орнату;

клиенттік бағдарламаны іске қосатын қашықтағы хосттан сұрауды күту және онымен дайындық туралы хабарламалармен алмасу;

Ұсталған ақпаратты клиентке беру немесе оған шабуыл жасалған компьютерді басқаруды беру.

Әртүрлі сыныптағы қауіптерді жүзеге асырудың мүмкін болатын салдары 3-кестеде көрсетілген.

3-кесте

Әртүрлі сыныптардың қауіптерін жүзеге асырудың ықтимал салдары

Қауіпті жүзеге асыру процесі әдетте төрт кезеңнен тұрады:

ақпарат жинау;

интрузиялар (операциялық ортаға ену);

рұқсат етілмеген қол жеткізуді жүзеге асыру;

рұқсат етілмеген қол жеткізу іздерін жою.

Ақпаратты жинау кезеңінде бұзушыны ISPD туралы әртүрлі ақпарат қызықтыруы мүмкін, соның ішінде:

а) жүйе жұмыс істейтін желінің топологиясы. Бұл жағдайда желі айналасындағы аумақты зерттеуге болады (мысалы, зиянкесті сенімді, бірақ қауіпсіз емес хосттардың мекенжайлары қызықтыруы мүмкін). Хосттың қолжетімділігін анықтау үшін қарапайым пәрмендерді пайдалануға болады (мысалы, ping пәрмені ICMP ECHO_REQUEST сұрауларын жіберу және оларға ICMP ECHO_REPLY жауаптарын күту). Қысқа уақыт ішінде хосттың қолжетімділігі үшін мекенжай кеңістігінің үлкен аймағын сканерлей алатын параллельді хост қол жетімділігі құралдары (мысалы, fping) бар. Желінің топологиясы көбінесе «түйіндер саны» (хосттар арасындағы қашықтық) негізінде анықталады. «ttL модуляциялары» және маршрут жазбалары сияқты әдістерді қолдануға болады.

«ttL модуляциясы» әдісі traceroute бағдарламасымен жүзеге асырылады (Windows NT үшін – tracert.exe) және IP пакеттерінің ttL өрісін модуляциялаудан тұрады. Ping пәрмені арқылы жасалған ICMP пакеттерін маршрутты жазу үшін пайдалануға болады.

Ақпаратты жинау сұраныстарға да негізделуі мүмкін:

тіркелген (және белсенді) хосттардың тізімі туралы DNS серверіне;

белгілі маршруттар туралы RIP хаттамасына негізделген маршрутизаторға (желі топологиясы туралы ақпарат);

SNMP протоколын қолдайтын қате конфигурацияланған құрылғыларға (желі топологиясы туралы ақпарат).

Егер ISPD брандмауэрдің (ME) артында орналасса, ME конфигурациясы туралы және ME артындағы ISPD топологиясы туралы ақпаратты жинауға болады, оның ішінде ішкі (қорғалған) желінің барлық болжалды хосттарының барлық порттарына пакеттерді жіберу арқылы;

б) ISPD-дегі операциялық жүйенің (ОЖ) түрі туралы. Хост ОЖ түрін анықтаудың ең танымал тәсілі ОЖ-ның әртүрлі типтері TCP/IP стекіне арналған RFC талаптарын әртүрлі тәсілдермен жүзеге асыруына негізделген. Бұл бұзушыға арнайы жасалған сұрауларды жіберу және алынған жауаптарды талдау арқылы ISPD хостында орнатылған ОЖ түрін қашықтан анықтауға мүмкіндік береді.

Бар арнайы құралдар, бұл әдістерді жүзеге асыратын, атап айтқанда, Nmap және QueSO. Сондай-ақ ОЖ түрін анықтаудың мұндай әдісін telnet қашықтан қол жеткізу протоколын (telnet қосылымы) пайдаланып қосылымды орнатудың ең қарапайым сұранысы ретінде атап өтуге болады, нәтижесінде « сыртқы түрі"жауап бойынша сіз хост ОЖ түрін анықтай аласыз. Белгілі бір қызметтердің болуы хост ОЖ түрін анықтау үшін қосымша белгі ретінде де қызмет ете алады;

C) хосттарда жұмыс істейтін қызметтер. Хостта жұмыс істейтін қызметтерді анықтау хосттың қолжетімділігі туралы ақпаратты жинау үшін «ашық порттар» әдісіне негізделген. Мысалы, UDP портының қолжетімділігін анықтау үшін сәйкес портқа UDP пакетін жіберуге жауап ретінде жауап алу қажет:

егер жауап ICMP PORT UNREACCHABLE болса, сәйкес қызмет қолжетімді емес;

егер бұл хабарлама қабылданбаса, онда порт «ашық».

TCP/IP хаттамалар стекінде қолданылатын протоколға байланысты бұл әдісті қалай қолдануға болатыны туралы көптеген нұсқалар бар.

ISPD туралы ақпаратты жинауды автоматтандыру үшін көптеген бағдарламалық құралдар әзірленді. Мысал ретінде мыналарды атап өтуге болады:

1) Strobe, Portscanner – TCP порттарын сұрау негізінде қолжетімді қызметтерді анықтауға арналған оңтайландырылған құралдар;

2) Nmap – Linux, FreeBSD, OpenBSD, Solaris, Windows NT үшін қолжетімді қызметтерді сканерлеуге арналған құрал. Қазіргі уақытта бұл желі қызметтерін сканерлеудің ең танымал құралы;

3) Queso – дұрыс және қате TCP пакеттерінің тізбегін жіберу, жауапты талдау және оны әртүрлі ОЖ-ның көптеген белгілі жауаптарымен салыстыру негізінде желі хостының ОЖ анықтаудың жоғары дәлдік құралы. Бұл құрал бүгінде танымал сканерлеу құралы болып табылады;

4) Cheops – желілік топология сканері желі топологиясын алуға мүмкіндік береді, оның ішінде домен суретін, IP мекенжай аймақтарын және т.б. Бұл негізгі операциялық жүйені, сондай-ақ ықтимал желілік құрылғыларды (принтерлер, маршрутизаторлар және т.б.) анықтайды;

5) Firewalk – брандмауэр конфигурациясын анықтау және желі топологиясын құру үшін IP пакеттеріне жауапты талдау үшін traceroute бағдарламасының әдістерін қолданатын сканер.

Инвазия сатысында жүйелік қызметтердегі типтік осалдықтардың немесе жүйе әкімшілігіндегі қателердің болуы зерттеледі. Осалдықтарды сәтті пайдалану әдетте шабуылдаушы процесінің артықшылықты орындау режимін алуына (қабықтың артықшылықты орындау режиміне қол жеткізу), жүйеге заңсыз пайдаланушы тіркелгісін енгізуге, құпия сөз файлын алуға немесе шабуылға ұшыраған хостты бұзуға әкеледі.

Қауіптің дамуының бұл кезеңі, әдетте, көп фазалы болып табылады. Қауіпті іске асыру процесінің кезеңдері мыналарды қамтуы мүмкін, мысалы:

қауіп төніп тұрған хостпен байланыс орнату;

осалдықты анықтау;

мүмкіндіктерін кеңейту мүддесі үшін зиянды бағдарламаны енгізу және т.б.

Енгізу сатысында жүзеге асырылатын қауіптер TCP/IP хаттама стекінің қабаттарына бөлінеді, өйткені олар желіде, көлікте немесе қолданбалы деңгейде, қолданылатын ену механизміне байланысты қалыптасады.

Желілік және көлік деңгейлерінде жүзеге асырылатын типтік қауіптерге мыналар жатады:

а) сенімді объектіні ауыстыруға бағытталған қауіп;

б) желіде жалған маршрут құруға бағытталған қауіп;

C) қашықтан іздеу алгоритмдерінің кемшіліктерін пайдалана отырып, жалған объект құруға бағытталған қауіптер;

D) IP дефрагментациясына негізделген қызмет көрсетуден бас тарту қауіптері, қате ICMP сұрауларының қалыптасуына (мысалы, «Өлім Ping» және «Smurf» шабуылдары), қате TCP сұрауларының қалыптасуына («Land» шабуылы) , қосылу сұраулары бар пакеттердің «дауылын» құру туралы («SYN Flood» шабуылдары) және т.б.

Қолданбалы деңгейде іске асырылатын типтік қауіп-қатерлер қолданбаларды рұқсатсыз іске қосуға бағытталған қатерлерді қамтиды, олардың орындалуы бағдарламалық бетбелгілерді («троялық жылқы» сияқты) енгізумен байланысты, желіге кіру үшін парольдерді анықтаумен байланысты. немесе белгілі бір хостқа және т.б.

Егер қауіпті іске асыру бұзушыға жүйедегі ең жоғары қол жеткізу құқығын бермесе, бұл құқықтарды барынша мүмкін деңгейге дейін кеңейту әрекеті мүмкін. Ол үшін тек желілік қызметтердің осалдықтары ғана емес, сонымен қатар ISPDN хосттарының жүйелік бағдарламалық қамтамасыз етуінің осалдықтары да пайдаланылуы мүмкін.

Рұқсат етілмеген қол жеткізуді жүзеге асыру сатысында қауіпті іске асыру мақсатына нақты қол жеткізу жүзеге асырылады:

құпиялылықты бұзу (көшіру, заңсыз тарату);

Тұтастығын бұзу (жою, өзгерту);

қолжетімділікті бұзу (блоктау).

Дәл осы кезеңде, осы әрекеттерден кейін, әдетте, белгілі бір портқа қызмет көрсететін және бұзушының командаларын орындайтын қызметтердің (демондар) бірі түрінде «артқы есік» деп аталатын нәрсе қалыптасады. «Артқы есік» жүйеде мыналарды қамтамасыз ету мүддесінде қалдырылады:

әкімші қауіпті сәтті жүзеге асыру үшін пайдаланылған осалдықты жойса да, хостқа қол жеткізу мүмкіндігі;

хостқа мүмкіндігінше сақтықпен қол жеткізу мүмкіндігі;

Хостқа жылдам қол жеткізу мүмкіндігі (қауіпті жүзеге асыру процесін қайталамай).

«Артқы есік» зиянкестерге зиянды бағдарламаны желіге немесе белгілі бір хостқа енгізуге мүмкіндік береді, мысалы, «құпия сөз анализаторы» (құпия сөзді анықтауыш) – протоколдар жұмыс істеп тұрған кезде желі трафигінен пайдаланушы идентификаторлары мен құпия сөздерді шығарып алатын бағдарлама. жоғары деңгей(ftp, telnet, rlogin және т.б.). Зиянды бағдарламаларды енгізу объектілері аутентификация және сәйкестендіру бағдарламалары, желілік қызметтер, операциялық жүйе ядросы, файлдық жүйе, кітапханалар және т.б.

Ақырында, қатердің жүзеге асу іздерін жою сатысында зиянкестің әрекетінің іздерін жою әрекеті жасалады. Бұл ақпарат жиналған факті туралы жазбаларды қоса алғанда, барлық ықтимал аудит журналдарынан сәйкес жазбаларды жояды.

Бағдарламалық-математикалық әсер – зиянды бағдарламалардың көмегімен әсер ету. Ықтимал қауіпті салдары бар бағдарлама немесе зиянды бағдарлама – бұл келесі функциялардың кез келген бос емес ішкі жиынын орындауға қабілетті тәуелсіз бағдарлама (нұсқаулар жинағы):

Сіздің қатысуыңыздың белгілерін жасырыңыз бағдарламалық ортакомпьютер;

Өзін-өзі көшіру, басқа бағдарламалармен байланыстыру және (немесе) олардың фрагменттерін операциялық немесе басқа салаларға беру мүмкіндігі бар сыртқы жады;

жедел жадтағы бағдарлама кодын жою (еркін түрде бұрмалау);

пайдаланушының бастамасынсыз орындау ( пайдаланушы бағдарламасыжылы қалыпты режимоны жүзеге асыру) деструктивті функциялар (көшіру, жою, блоктау және т.б.);

Тікелей қатынаудың (жергілікті немесе қашықтағы) сыртқы жадының кейбір аймақтарында жедел жадтан ақпарат фрагменттерін сақтау;

Қолданбалы бағдарламалардың немесе сыртқы жадтағы деректер массивтерінің жұмысынан туындайтын сыртқы жадқа немесе байланыс арнасына ақпарат шығару массивін ерікті түрде бұрмалау, блоктау және (немесе) ауыстыру.

Зиянды бағдарламалар ISPD-де оны әзірлеу, техникалық қызмет көрсету, өзгерту және конфигурациялау кезінде пайдаланылатын бағдарламалық құралға әдейі де, кездейсоқ түрде де енгізілуі (енгізілуі) мүмкін. Сонымен қатар, зиянды бағдарламалар ISPD жұмысы кезінде сыртқы жад тасығыштарынан немесе желілік өзара әрекеттесу арқылы рұқсатсыз кіру нәтижесінде де, кездейсоқ ISPD пайдаланушылары арқылы да енгізілуі мүмкін.

Заманауи зиянды бағдарламалар бағдарламалық қамтамасыз етудің әртүрлі типтеріндегі (жүйелік, жалпы, қолданбалы) осалдықтарды пайдалануға негізделген және әртүрлі желілік технологиялар, деструктивті мүмкіндіктерінің кең ауқымы бар (ISPD жұмысына кедергі келтірмей ISPD параметрлерін рұқсатсыз зерттеуден бастап, PD және ISPD бағдарламалық құралын жоюға дейін) және бағдарламалық қамтамасыз етудің барлық түрлерінде (жүйеде, қолданбада, драйверлерде) жұмыс істей алады. аппараттық құралжәне т.б.).

ISPD-де зиянды бағдарламалардың болуы жасырын, соның ішінде пайда болуына ықпал етуі мүмкін дәстүрлі арналарқұпия сөзді және криптографиялық қорғауды қоса алғанда, жүйеде қамтамасыз етілген қауіпсіздік тетіктерін ашуға, айналып өтуге немесе блоктауға мүмкіндік беретін ақпаратқа қол жеткізу.

Зиянды бағдарламалардың негізгі түрлері:

бағдарламалық бетбелгілер;

классикалық программалық (компьютерлік) вирустар;

желі арқылы таралатын зиянды бағдарламалар (желі құрттары);

UA орындауға арналған басқа зиянды бағдарламалар.

Бағдарламалық қамтамасыз ету бетбелгілеріне хабарланбаған бағдарламалық құрал мүмкіндіктерін құрайтын бағдарламалар, код фрагменттері, нұсқаулар жатады. Зиянды бағдарламалар бір түрден екіншісіне ауыса алады, мысалы, бағдарламалық құрал қойындысы бағдарламалық құрал вирусын тудыруы мүмкін, ол өз кезегінде желі жағдайларына еніп, желілік құртты немесе UA орындауға арналған басқа зиянды бағдарламаны құра алады.

Программалық вирустар мен желілік құрттардың классификациясы 14-суретте көрсетілген. Негізгі зиянды бағдарламалардың қысқаша сипаттамасы төмендегідей. Жүктеу вирустары дискінің жүктелу секторына (жүктеу секторы) немесе қатты дискінің жүктеушісі (Master Boot Record) бар секторға жазады немесе көрсеткішті белсенді жүктеу секторына өзгертеді. Олар компьютердің жадына вирус жұққан дискіден жүктелген кезде енгізіледі. Бұл жағдайда жүйе жүктеушісі жүктеу орындалатын дискінің бірінші секторының мазмұнын оқиды, оқылған ақпаратты жадқа орналастырады және басқаруды оған (яғни, вирусқа) береді. Осыдан кейін вирустың нұсқаулары орындала бастайды, ол әдетте бос жад көлемін азайтады, оның кодын бос кеңістікке көшіреді және оның жалғасын (бар болса) дискіден оқиды, қажетті үзу векторларын ұстайды ( әдетте INT 13H), бастапқы жүктеу секторын оқиды және оған басқаруды береді.

Болашақта жүктеу вирусы файлдық вирус сияқты әрекет етеді: ол операциялық жүйенің дискілерге кіруіне кедергі жасайды және белгілі бір жағдайларға байланысты оларды зақымдайды, деструктивті әрекеттерді жасайды, дыбыстық әсерлерді немесе бейне әсерлерін тудырады.

Бұл вирустардың негізгі деструктивті әрекеттері:

иілгіш дискілер мен қатты диск секторларындағы ақпаратты жою;

Операциялық жүйені жүктеу мүмкіндігін болдырмау (компьютер «қатып қалады»);

жүктеуші кодының бұзылуы;

иілгіш дискілерді немесе қатты дискінің логикалық дискілерін пішімдеу;

COM және LPT порттарына қол жеткізуді жабу;

мәтіндерді басып шығару кезінде таңбаларды ауыстыру;

экранның бұралуы;

дискінің немесе дискетаның белгісін өзгерту;

псевдосәтсіз кластерлерді құру;

дыбыс жасау және (немесе) көрнекі әсерлер(мысалы, экранға түсетін әріптер);

деректер файлдарының бүлінуі;

экранда әртүрлі хабарламаларды көрсету;

Жабу перифериялық құрылғылар(мысалы, пернетақталар);

экран палитрасын өзгерту;

Экранды бөгде таңбалармен немесе кескіндермен толтыру;

экранды жабу және пернетақтадан енгізуді күту режимі;

қатты диск секторын шифрлау;

пернетақтадан теру кезінде экранда көрсетілетін таңбаларды іріктеп жою;

жедел жады көлемін азайту;

экранның мазмұнын басып шығаруға шақыру;

дискіге жазуды блоктау;

бөлімдер кестесін (Disk Partition Table) жою, содан кейін компьютерді тек иілгіш дискіден жүктеуге болады;

орындалатын файлдарды іске қосуды блоктау;

Қатты дискіге кіруді блоктау.

14-сурет. Программалық вирустардың және желілік құрттардың классификациясы

Жүктелетін вирустардың көпшілігі иілгіш дискілерде қайта жазылады.

Инфекцияның «қайта жазу» әдісі ең қарапайым: вирус жұққан файлдың кодының орнына оның мазмұнын бұза отырып, өзінің кодын жазады. Әрине, бұл жағдайда файл жұмысын тоқтатады және қалпына келтірілмейді. Мұндай вирустар өздерін өте тез анықтайды, өйткені операциялық жүйе мен қолданбалар тез жұмысын тоқтатады.

«Серіктес» санатына вирус жұққан файлдарды өзгертпейтін вирустар кіреді. Бұл вирустардың жұмыс істеу алгоритмі вирус жұққан файл үшін қос файл құрылады, ал зақымдалған файл іске қосылғанда дәл осы егіз, яғни вирус басқаруды қабылдайды. Ең кең тараған серіктес вирустар DOS мүмкіндігін алдымен .COM кеңейтімі бар файлдарды орындау үшін пайдаланады, егер бір каталогта аты бірдей, бірақ атау кеңейтімдері әртүрлі екі файл болса - .COM және .EXE. Мұндай вирустар аты бірдей, бірақ .COM кеңейтімі бар EXE файлдары үшін спутниктік файлдарды жасайды, мысалы, XCOPY.EXE файлы үшін XCOPY.COM жасалады. Вирус COM файлына жазады және EXE файлын ешбір жолмен өзгертпейді. Мұндай файлды іске қосқанда, DOS алдымен COM файлын, яғни вирусты тауып, орындайды, содан кейін ол EXE файлын іске қосады. Екінші топқа вирус жұққан кезде файлдың атын басқа атпен өзгертетін, оны есте сақтайтын (хост файлын кейіннен іске қосу үшін) және вирус жұққан файлдың атымен дискіге өзінің кодын жазатын вирустар жатады. Мысалы, XCOPY.EXE файлының атауы XCOPY.EXD болып өзгертілді, ал вирус XCOPY.EXE атауымен жазылады. Іске қосу кезінде басқару элементі вирус кодын қабылдайды, содан кейін XCOPY.EXD атауымен сақталған түпнұсқа XCOPY іске қосылады. Бір қызық факт бұл әдісбарлық операциялық жүйелерде жұмыс істейтін сияқты. Үшінші топқа «Жол серігі» деп аталатын вирустар жатады. Олар не вирус жұққан файлдың атымен өз кодын жазады, бірақ белгіленген жолдарда бір деңгей «жоғары» (сондықтан DOS вирус файлын бірінші болып тауып, іске қосады) немесе құрбандық файлын бір ішкі каталогқа жоғары жібереді, т.б.

Әртүрлі қолданатын серіктес вирустардың басқа түрлері болуы мүмкін түпнұсқа идеяларнемесе басқа операциялық жүйелердің мүмкіндіктері.

Файлдық құрттар белгілі бір мағынада серіктес вирус болып табылады, бірақ олардың қатысуын ешбір орындалатын файлмен байланыстырмайды. Олар қайта шығарғанда, олар бұл жаңа көшірмелерді бір күні пайдаланушы іске қосады деген үмітпен кейбір дискі каталогтарына өздерінің кодын көшіреді. Кейде бұл вирустар пайдаланушыны көшірмелерін іске қосуға ынталандыру үшін көшірмелеріне «арнайы» атаулар береді - мысалы, INSTALL.EXE немесе WINSTART.BAT. Әдеттен тыс әдістерді қолданатын құрттар бар, мысалы, олар мұрағаттарға (ARJ, ZIP және т.б.) көшірмелерін жазады. Кейбір вирустар вирус жұққан файлды BAT файлдарына іске қосу пәрменін жазады. Файлдық құрттарды желілік құрттармен шатастырмау керек. Біріншілері кейбір операциялық жүйенің файлдық функцияларын ғана пайдаланады, ал екіншісі оларды жаңғырту үшін желілік протоколдарды пайдаланады.

Сілтемелік вирустар, серіктес вирустар сияқты, файлдардың физикалық мазмұнын өзгертпейді, дегенмен, вирус жұққан файл іске қосылғанда, олар ОЖ-ны оның кодын орындауға «мәжбүрлейді». Олар бұл мақсатқа файлдық жүйенің қажетті өрістерін өзгерту арқылы қол жеткізеді.

Компилятор кітапханаларын, объект модульдерін және бағдарламаның бастапқы кодтарын зақымдайтын вирустар өте экзотикалық және іс жүзінде сирек кездеседі. OBJ және LIB файлдарын зақымдайтын вирустар оларға өз кодын объект модулі немесе кітапхана түрінде жазады. Осылайша, вирус жұққан файл орындалмайды және оның қазіргі күйінде вирустың одан әрі таралуына қабілетті емес. «Тірі» вирустың тасымалдаушысы COM немесе EXE файлы болып табылады.

Бақыланғаннан кейін файлдық вирус келесі жалпы әрекеттерді орындайды:

Тексерулер Жедел Жадтау Құрылғысыөзінің көшірмесінің болуы үшін және вирустың көшірмесі табылмаған жағдайда (егер вирус резидент болса) компьютердің жадын зақымдайды, логикалық каталогтар ағашын сканерлеу арқылы ағымдағы және (немесе) түбірлік каталогта зақымдалмаған файлдарды іздейді. дискілерді, содан кейін анықталған файлдарды жұқтырады;

қосымша (бар болса) функцияларды орындайды: деструктивті әрекеттер, графикалық немесе дыбыстық әсерлер және т.б. ( қосымша функцияларрезидент вирусты ағымдағы уақытқа, жүйе конфигурациясына, вирустың ішкі есептегіштеріне немесе басқа жағдайларға байланысты белсендірілгеннен кейін біраз уақыттан кейін шақыруға болады; бұл жағдайда вирус белсендіру кезінде жүйелік сағаттың күйін өңдейді, оның жұмысын орнатады. меншікті есептегіштер және т.б.);

Айта кету керек, вирус неғұрлым тез таралса, осы вирустың эпидемиясының пайда болуы ықтималдығы жоғары, вирустың таралуы баяу, оны анықтау қиынырақ (егер, әрине, бұл вирус белгісіз болса). Бейрезиденттік вирустар жиі «баяу» - олардың көпшілігі іске қосылған кезде бір немесе екі немесе үш файлды жұқтырады және іске қосу алдында компьютерді толтыруға уақыт жоқ. антивирустық бағдарлама(немесе осы вирус үшін конфигурацияланған антивирустың жаңа нұсқасының пайда болуы). Әрине, іске қосылған кезде барлық орындалатын файлдарды іздейтін және жұқтыратын резидент емес «жылдам» вирустар бар, бірақ мұндай вирустар өте байқалады: әрбір вирус жұққан файл іске қосылғанда, кейбіреулер үшін компьютер қатты дискімен белсенді жұмыс істейді ( кейде өте ұзақ уақыт), бұл вирусты ашады. Резидентті вирустардың таралу (жұқтыру) жылдамдығы әдетте резидент еместерге қарағанда жоғары болады – олар файлдарға қол жеткізу кезінде жұқтырады. Нәтижесінде жұмыста үнемі пайдаланылатын дискідегі файлдардың барлығы немесе барлығы дерлік вирус жұқтырылған. Файлдарды орындау үшін іске қосылғанда ғана жұқтыратын резиденттік файлдық вирустардың таралу (жұқтыру) жылдамдығы файлдарды ашқанда, атын өзгерткенде, файл атрибуттарын өзгерткенде және т.б. файлдарды зақымдайтын вирустарға қарағанда төмен болады.

Осылайша, файлдық вирустар орындайтын негізгі деструктивті әрекеттер файлдарды зақымдаумен (көбінесе орындалатын немесе деректер файлдары), әртүрлі командаларды рұқсатсыз іске қосумен (соның ішінде пішімдеу, жою, көшіру және т.б. командалар), үзіліс векторларының кестесін өзгертумен байланысты. және т.б. Сонымен қатар, жүктеу вирустары үшін көрсетілгендерге ұқсас көптеген деструктивті әрекеттерді де орындауға болады.

Макровирустар (макровирустар) кейбір деректерді өңдеу жүйелеріне енгізілген тілдердегі (макротілдер) бағдарламалар ( мәтіндік редакторлар, электрондық кестелер және т.б.). Олардың көбеюі үшін мұндай вирустар макротілдердің мүмкіндіктерін пайдаланады және олардың көмегімен бір вирус жұққан файлдан (құжат немесе кесте) басқаларға тасымалданады. Microsoft Office бағдарламалар пакеті үшін ең көп қолданылатын макровирустар.

Белгілі бір жүйеде (редакторда) вирустардың болуы үшін жүйеде келесі мүмкіндіктерге ие макротілдің болуы қажет:

1) макротілде программаны белгілі бір файлға байланыстыру;

2) макробағдарламаларды бір файлдан екіншісіне көшіру;

3) пайдаланушының араласуынсыз макробағдарламаны басқаруға қол жеткізу (автоматты немесе стандартты макростар).

Бұл шарттар қолдану арқылы қанағаттандырылады Microsoft бағдарламалары Word, Excel және Microsoft Access. Олардың құрамында макротілдер бар: Word Basic, Visual Basic қолданбаларына арналған. Бола тұра:

1) макропрограммалар белгілі бір файлға байланыстырылады немесе файлдың ішінде орналасады;

2) макротілі файлдарды көшіруге немесе макробағдарламаларды жүйелік қызмет файлдарына және өңделетін файлдарға жылжытуға мүмкіндік береді;

3) белгілі бір шарттарда (ашу, жабу және т.б.) файлмен жұмыс істеу кезінде арнайы түрде анықталған немесе стандартты атаулары бар макропрограммалар (бар болса) шақырылады.

Макротілдердің бұл мүмкіндігі ірі ұйымдарда немесе жаһандық желілерде деректерді автоматты түрде өңдеуге арналған және «автоматтандырылған жұмыс үрдісін» ұйымдастыруға мүмкіндік береді. Екінші жағынан, мұндай жүйелердің макро тілдерінің мүмкіндіктері вирусқа өз кодын басқа файлдарға тасымалдауға және осылайша оларды жұқтыруға мүмкіндік береді.

Макровирустардың көпшілігі файлды ашу (жабу) сәтінде ғана емес, редактордың өзі белсенді болған кезде де белсенді болады. Олар стандартты Word/Excel/Office макростары ретінде өздерінің барлық функцияларын қамтиды. Дегенмен, кодты жасыру және кодты макрос емес ретінде сақтау үшін трюктерді қолданатын вирустар бар. Мұндай үш техника белгілі, олардың барлығы макростардың басқа макростарды жасау, өңдеу және орындау мүмкіндігін пайдаланады. Әдетте, мұндай вирустардың шағын (кейде полиморфты) вирус жүктеуші макросы болады, ол ендірілген макроредакторды шақырады, жаңа макрос жасайды, оны негізгі вирус кодымен толтырады, орындайды, содан кейін, әдетте, бұзады. вирустың болуының іздерін жасыру). Мұндай вирустардың негізгі коды не вирус макросының өзінде мәтіндік жолдар түрінде (кейде шифрланған) болады немесе құжаттың айнымалы аймағында сақталады.

Желілік вирустарға олардың таралуы үшін жергілікті және ғаламдық желілердің протоколдары мен мүмкіндіктерін белсенді пайдаланатын вирустар жатады. Желілік вирустың негізгі принципі оның кодын қашықтағы серверге немесе дербес тасымалдау мүмкіндігі болып табылады жұмыс станциясы. Сонымен қатар, «толық» желілік вирустар да қашықтағы компьютерде өз кодтарын іске қосу немесе, ең болмағанда, зақымдалған файлды іске қосу үшін пайдаланушыны «итеру» мүмкіндігіне ие.

UA енгізуді қамтамасыз ететін зиянды бағдарламалар мыналар болуы мүмкін:

парольдерді таңдау және ашу бағдарламалары;

қауіптерді жүзеге асыратын бағдарламалар;

ISPD бағдарламалық және аппараттық құралдарының жарияланбаған мүмкіндіктерін пайдалануды көрсететін бағдарламалар;

генераторлық бағдарламалар компьютерлік вирустар;

ақпараттық қауіпсіздік құралдарының осал тұстарын көрсететін бағдарламалар және т.б.

Бағдарламалық жасақтаманың күрделілігі мен әртүрлілігінің артуымен зиянды бағдарламалардың саны тез өсуде. Бүгінгі таңда 120 000-нан астам компьютерлік вирустардың қолтаңбалары белгілі. Алайда олардың барлығы нақты қауіп төндірмейді. Көптеген жағдайларда жүйелік немесе қолданбалы бағдарламалық жасақтамадағы осалдықтарды жою бірқатар зиянды бағдарламалардың оларға енді ене алмайтындығына әкелді. Көбінесе жаңа зиянды бағдарлама негізгі қауіп болып табылады.

Дәстүрлі емес ақпараттық арна – дәстүрлі байланыс арналарын және криптографиялық байланысы жоқ берілетін ақпаратты арнайы түрлендіруді пайдалана отырып, ақпаратты жасырын беру арнасы.

Дәстүрлі емес арналарды қалыптастыру үшін келесі әдістерді қолдануға болады:

компьютерлік стеганография;

Санкцияланған алуға болатын ISPD әртүрлі сипаттамаларын манипуляциялауға негізделген (мысалы, әртүрлі сұрауларды өңдеу уақыты, қолжетімді жад көлемі немесе оқылатын файл немесе процесс идентификаторлары және т.б.).

Компьютерлік стеганография әдістері зиянсыз болып көрінетін деректерге (мәтіндік, графикалық, аудио немесе бейне файлдар) жасырын ақпаратты енгізу арқылы хабардың жіберілу фактісін жасыруға арналған және мыналарға негізделген әдістердің екі тобын қамтиды:

Мәліметтерді сақтау және беру үшін компьютерлік форматтардың арнайы қасиеттерін пайдалану туралы;

Адам қабылдауының психофизиологиялық ерекшеліктері тұрғысынан дыбыстық, визуалды немесе мәтіндік ақпараттың артықтығы туралы.

Компьютерлік стеганография әдістерінің классификациясы 15-суретте көрсетілген.Олардың салыстырмалы сипаттамалары 4-кестеде келтірілген.

Ең үлкен әзірлеу және қолдану қазіргі уақытта графикалық стегоконтейнерлерде ақпаратты жасыру әдістерінде табылған. Бұл мұндай контейнерлерге кескіннің айтарлықтай бұрмалануынсыз орналастырылуы мүмкін ақпараттың салыстырмалы түрде үлкен көлеміне, контейнердің өлшемі туралы априорлы ақпараттың болуына, көптеген нақты кескіндерде шуы бар текстуралық аймақтардың болуына байланысты. құрылымы және ақпаратты енгізуге, әдістерді өңдеуге өте қолайлы цифрлық өңдеукескіндер мен сандық кескін пішімдері. Қазіргі уақытта бар тұтас сызықақпаратты жасырудың белгілі стеганографиялық әдістерін жүзеге асыратын қарапайым пайдаланушыға қолжетімді коммерциялық және тегін бағдарламалық өнімдер. Бұл жағдайда негізінен графикалық және дыбыстық контейнерлер қолданылады.

Сурет 15. Стеганографиялық ақпаратты түрлендіру әдістерінің классификациясы (STI)

4-кесте

Ақпаратты түрлендірудің стеганографиялық әдістерінің салыстырмалы сипаттамасы

ISPD ресурстарының әртүрлі сипаттамаларын манипуляциялауға негізделген дәстүрлі емес ақпараттық арналарда деректерді беру үшін кейбір ортақ ресурстар пайдаланылады. Сонымен бірге уақыт сипаттамаларын пайдаланатын арналарда модуляция ортақ ресурстың бос уақытына сәйкес жүзеге асырылады (мысалы, процессордың бос уақытын модуляциялау арқылы қолданбалар деректермен алмаса алады).

Жад арналарында ресурс аралық буфер ретінде пайдаланылады (мысалы, қолданбалар деректерді өздері жасайтын файлдар мен каталогтардың атауларына орналастыру арқылы алмаса алады). Деректер базасы мен білім арналары реляциялық дерекқорлар мен білімдерден туындайтын деректер арасындағы тәуелділіктерді пайдаланады.

Дәстүрлі емес ақпараттық арналар ISPD жұмысының әртүрлі деңгейлерінде құрылуы мүмкін:

аппараттық деңгейде;

микрокодтар мен құрылғы драйверлері деңгейінде;

операциялық жүйе деңгейінде;

қолданбалы бағдарламалық қамтамасыз ету деңгейінде;

деректерді беру арналары мен байланыс желілерінің жұмыс істеу деңгейінде.

Бұл арналар көшірілген ақпаратты жасырын беру үшін де, деструктивті әрекеттерді орындау командаларын жасырын беру үшін де, қолданбаларды іске қосу және т.б.

Арналарды іске асыру үшін, әдетте, енгізу қажет автоматтандырылған жүйедәстүрлі емес арнаның қалыптасуын қамтамасыз ететін бағдарламалық немесе аппараттық-бағдарламалық бетбелгі.

Дәстүрлі емес ақпараттық арна жүйеде үздіксіз болуы мүмкін немесе бір рет немесе белгілі бір жағдайларда белсендіріледі. Бұл жағдайда NSD субъектісімен кері байланыстың болуы мүмкін.

Ақпаратқа БҚ қатерлерін жүзеге асыру оның қауіпсіздігін бұзудың келесі түрлеріне әкелуі мүмкін:

құпиялылықты бұзу (көшіру, заңсыз тарату);

Тұтастығын бұзу (жою, өзгерту);

қолжетімділікті бұзу (блоктау).

Құпиялылықты бұзу ақпарат тараған жағдайда жүзеге асырылуы мүмкін:

оны иеліктен шығарылатын тасымалдаушыларға көшіру;

оның мәліметтерді беру арналары бойынша берілуі;

бағдарламалық-техникалық құралдарды жөндеу, өзгерту және жою кезінде оны қарау немесе көшіру кезінде;

АЖҚБ жұмысы кезінде құқық бұзушының «қоқыс шығаруы» кезінде.

Ақпараттың тұтастығын бұзу бағдарламаларға және пайдаланушы деректеріне, сондай-ақ технологиялық (жүйелік) ақпаратқа әсер ету (өзгерту) салдарынан жүзеге асырылады, оның ішінде:

есептеу жүйесінің микробағдарламалары, деректері мен құрылғыларының драйверлері;

операциялық жүйенің жүктелуін қамтамасыз ететін бағдарламалар, деректер және құрылғы драйверлері;

операциялық жүйенің бағдарламалары мен деректері (дескрипторлар, дескрипторлар, құрылымдар, кестелер және т.б.);

қолданбалы бағдарламалық қамтамасыз ету бағдарламалары мен деректері;

Арнайы бағдарламалық қамтамасыз етудің бағдарламалары мен деректері;

Компьютерлік технология құралдары мен құрылғылары арқылы оларды өңдеу (оқу/жазу, қабылдау/беру) процесіндегі бағдарламалар мен мәліметтердің аралық (операциялық) мәндері.

ISPD-дегі ақпараттың тұтастығын бұзу оған зиянды бағдарламалық-аппараттық бетбелгіні енгізу немесе ақпараттық қауіпсіздік жүйесіне немесе оның элементтеріне әсер етуден де туындауы мүмкін.

Сонымен қатар, ISPD-де компьютерлік желіні басқарудың әртүрлі құралдарының жұмыс істеуін қамтамасыз ете алатын технологиялық желі ақпаратына әсер етуге болады:

желі конфигурациясы;

желідегі мәліметтерді жіберу адрестері мен маршруттауы;

функционалды желіні басқару;

желідегі ақпараттық қауіпсіздік.

Ақпараттың қолжетімділігін бұзу өңдеу кезінде дұрыс жұмыс істемеуіне, аппараттық құралдардың ақауларына немесе бағдарламаларды орындау үшін қажетті жүйенің есептеу ресурстарын басып алуға (жүктеу) әкелетін бастапқы деректерді қалыптастыру (өзгерту) арқылы қамтамасыз етіледі. жабдықтың жұмысы.

Бұл әрекеттер ISPD кез келген дерлік техникалық құралдарының жұмысының бұзылуына немесе істен шығуына әкелуі мүмкін:

ақпаратты өңдеу құралдары;

ақпаратты енгізу/шығару құралдары;

ақпаратты сақтау құралдары;

Жабдық және беру арналары;

ақпаратты қорғау құралдары.

Қауіп ISPD хостында бұрын енгізілген әртүрлі зиянды бағдарламаларды іске қосу ниетінде жатыр: бетбелгі бағдарламалары, вирустар, «желі шпиондары», олардың негізгі мақсаты құпиялылықты, тұтастықты, ақпараттың қолжетімділігін және операцияны толық бақылауды бұзу болып табылады. хосттың. Сонымен қатар, пайдаланушы қолданбалы бағдарламаларын рұқсатсыз іске қосу бұзушыға қажетті деректерді рұқсатсыз алу, қолданбалы бағдарламамен басқарылатын процестерді іске қосу және т.б.

Бұл қауіптердің үш ішкі класы бар:

рұқсат етілмеген орындалатын кодты қамтитын файлдарды тарату;

қолданба серверлерінің буферін толтыру арқылы қолданбаны қашықтан іске қосу;

жасырын бағдарламалық құрал мен аппараттық қойындылар немесе пайдаланылатын стандартты құралдар арқылы қамтамасыз етілген қашықтан жүйені басқару мүмкіндіктерін пайдалану арқылы қолданбаны қашықтан іске қосу.

Осы ішкі сыныптардың біріншісінің типтік қауіптері таратылған файлдарды оларға кездейсоқ қол жеткізу кезінде белсендіруге негізделген. Мұндай файлдардың мысалдары: ActiveX басқару элементтері түріндегі орындалатын кодты қамтитын құжаттар түріндегі орындалатын кодты қамтитын файлдар, Java апплеттері, интерпретацияланған сценарийлер (мысалы, JavaScript мәтіндері); орындалатын бағдарлама кодтары бар файлдар. Файлдарды тарату үшін электрондық пошта, файлдарды тасымалдау, желілік файлдық жүйе қызметтерін пайдалануға болады.

Екінші қосалқы сыныптың қауіптері желілік қызметтерді жүзеге асыратын бағдарламалардың кемшіліктерін пайдаланады (атап айтқанда, буфердің толып кетуін бақылаудың жоқтығы). Жүйе регистрлерін реттеу арқылы кейде буфердің толып кету үзілуінен кейін процессорды буфер шекарасынан тыс орналасқан кодты орындауға ауыстыруға болады. Мұндай қауіпті жүзеге асырудың мысалы ретінде белгілі «Моррис вирусының» енгізілуін айтуға болады.

Үшінші топтағы қауіптермен зиянкес жасырын компоненттермен қамтамасыз етілген қашықтан басқару жүйесінің мүмкіндіктерін (мысалы, Back. Orifice, Net Bus сияқты «троян» бағдарламалары) немесе компьютерлік желілерді басқару мен басқарудың тұрақты құралдарын (Landesk Management Suite) пайдаланады. , Басқару, Артқы тесік және т.б.). P.). Оларды қолдану нәтижесінде желідегі станцияны қашықтан басқаруға қол жеткізуге болады.

Егер мекеме өңделген PD жалпыға ортақ желілер және халықаралық алмасу арқылы жіберілмесе, антивирустық қорғаныс орнатылса, онда қауіптің пайда болу ықтималдығы жоғары болады. екіталай.

Барлық басқа жағдайларда қауіптің жүзеге асу ықтималдығы бағалануы керек.

ISPD әртүрлі түрлері үшін қауіптердің ықтималдығының жалпыланған тізімі 12-кестеде берілген.

12-кесте

Желі арқылы енгізілген зиянды бағдарламаларға тарату үшін жергілікті және ғаламдық желілердің протоколдары мен мүмкіндіктерін белсенді пайдаланатын вирустар жатады. Желілік вирустың негізгі принципі оның кодын қашықтағы серверге немесе жұмыс станциясына дербес тасымалдау мүмкіндігі болып табылады. Сонымен қатар, «толыққанды» желілік вирустар қашықтағы компьютерде өздерінің кодын іске қосу немесе, кем дегенде, вирус жұққан файлды іске қосу үшін пайдаланушыны «итеру» мүмкіндігіне ие.

UA енгізуді қамтамасыз ететін зиянды бағдарламалар мыналар болуы мүмкін:

парольдерді таңдау және ашу бағдарламалары;

қауіптерді жүзеге асыратын бағдарламалар;

ISPD бағдарламалық және аппараттық құралдарының жарияланбаған мүмкіндіктерін пайдалануды көрсететін бағдарламалар;

компьютерлік вирустардың генераторлық бағдарламалары;

ақпараттық қауіпсіздік құралдарының осал тұстарын көрсететін бағдарламалар және т.б.

Егер мекеме өңделген PD жалпыға ортақ желілер және халықаралық алмасу арқылы жіберілмесе, антивирустық қорғаныс орнатылса, онда қауіптің пайда болу ықтималдығы жоғары болады. екіталай.

Барлық басқа жағдайларда қауіптің жүзеге асу ықтималдығы бағалануы керек.

ISPD әртүрлі түрлері үшін қауіптердің ықтималдығының жалпыланған тізімі 13-кестеде берілген.

13-кесте

1. Қауіптердің орындылығы

Қауіпсіздік деңгейін (Ү 1) (7-бөлім) және қауіптің ықтималдығын (Y 2) (9-бөлім) бағалау нәтижелері бойынша қауіп-қатердің техникалық-экономикалық коэффициенті (Y) есептеледі және қауіптің туындау мүмкіндігі анықталады. (4 кесте). Қауіптің техникалық-экономикалық коэффициенті Y Y= (Y 1 +Y 2)/20 қатынасымен анықталады.

ISPD әртүрлі түрлері үшін UBPD мүмкіндігін бағалаудың жалпыланған тізімі 14-23 кестелерде берілген.

14-кесте - I типті автономды IC

15-кесте – II типті автономды АЖ

16-кесте – Автономды АЖ III типті

17-кесте – IV типті автономды АЖ

18-кесте – Автономды IC V типті

19-кесте – VI типті автономды IC

20-кесте - I LIS түрі

21-кесте - II типті LIS

22-кесте - I типті таратылған IC

23-кесте – II типті АЖ таратылған

Қауіп ISPD хостында бұрын енгізілген әртүрлі зиянды бағдарламаларды іске қосу ниетінде жатыр: бетбелгі бағдарламалары, вирустар, «желі шпиондары», олардың негізгі мақсаты құпиялылықты, тұтастықты, ақпараттың қолжетімділігін және операцияны толық бақылауды бұзу болып табылады. хосттың. Сонымен қатар, пайдаланушы қолданбалы бағдарламаларын рұқсатсыз іске қосу бұзушыға қажетті деректерді рұқсатсыз алу, қолданбалы бағдарламамен басқарылатын процестерді іске қосу және т.б.

Бұл қауіптердің үш ішкі класы бар:

Рұқсат етілмеген орындалатын кодты қамтитын файлдарды тарату;

Бағдарлама серверлерінің буферін толтыру арқылы қолданбаны қашықтан іске қосу;

Жасырын бағдарламалық құрал мен аппараттық құрал қойындылары арқылы қамтамасыз етілген қашықтағы жүйені басқару мүмкіндіктерін немесе стандартты құралдарды пайдалану арқылы қолданбаны қашықтан іске қосу.

Осы ішкі сыныптардың біріншісінің типтік қауіптері таратылған файлдарды оларға кездейсоқ қол жеткізу кезінде белсендіруге негізделген. Мұндай файлдардың мысалдары: ActiveX басқару элементтері түріндегі орындалатын кодты қамтитын құжаттар түріндегі орындалатын кодты қамтитын файлдар, Java апплеттері, интерпретацияланған сценарийлер (мысалы, JavaScript мәтіндері); орындалатын бағдарлама кодтары бар файлдар. Файлдарды тарату үшін электрондық пошта, файлдарды тасымалдау, желілік файлдық жүйе қызметтерін пайдалануға болады.

Екінші қосалқы сыныптың қауіптері желілік қызметтерді жүзеге асыратын бағдарламалардың кемшіліктерін пайдаланады (атап айтқанда, буфердің толып кетуін бақылаудың жоқтығы). Жүйе регистрлерін реттеу арқылы кейде буфердің толып кету үзілуінен кейін процессорды буфер шекарасынан тыс орналасқан кодты орындауға ауыстыруға болады. Мұндай қауіпті жүзеге асырудың мысалы ретінде белгілі «Моррис вирусының» енгізілуін айтуға болады.

Үшінші топтағы қауіптермен зиянкес жасырын компоненттермен қамтамасыз етілген қашықтан басқару жүйесінің мүмкіндіктерін (мысалы, Back. Orifice, Net Bus сияқты «троян» бағдарламалары) немесе компьютерлік желілерді басқару мен басқарудың тұрақты құралдарын (Landesk Management Suite) пайдаланады. , Басқару, Артқы тесік және т.б.). P.). Оларды қолдану нәтижесінде желідегі станцияны қашықтан басқаруға қол жеткізуге болады.

екіталай.

ISPD әртүрлі түрлері үшін қауіптердің ықтималдығының жалпыланған тізімі 12-кестеде берілген.

12-кесте

Зиянды бағдарламалар желісіне ену қаупі

Желі арқылы енгізілген зиянды бағдарламаларға тарату үшін жергілікті және ғаламдық желілердің протоколдары мен мүмкіндіктерін белсенді пайдаланатын вирустар жатады. Желілік вирустың негізгі принципі оның кодын қашықтағы серверге немесе жұмыс станциясына дербес тасымалдау мүмкіндігі болып табылады. Сонымен қатар, «толық» желілік вирустар өздерінің кодын қашықтағы компьютерде іске қосу немесе, кем дегенде, вирус жұққан файлды іске қосу үшін пайдаланушыны «итеру» мүмкіндігіне ие.

UA енгізуді қамтамасыз ететін зиянды бағдарламалар мыналар болуы мүмкін:

Құпия сөздерді таңдау және ашу бағдарламалары;

Қауіптерді жүзеге асыратын бағдарламалар;

ISPD бағдарламалық және аппараттық құралдарының жарияланбаған мүмкіндіктерін пайдалануды көрсететін бағдарламалар;

Компьютерлік вирустардың генераторлық бағдарламалары;

Ақпаратты қорғау құралдарының осал тұстарын көрсететін бағдарламалар және т.б.

Егер мекеме өңделген PD жалпыға ортақ желілер және халықаралық алмасу арқылы жіберілмесе, антивирустық қорғаныс орнатылса, онда қауіптің пайда болу ықтималдығы жоғары болады. екіталай.

Барлық басқа жағдайларда қауіптің жүзеге асу ықтималдығы бағалануы керек.

ISPD әртүрлі түрлері үшін қауіптердің ықтималдығының жалпыланған тізімі 13-кестеде берілген.

13-кесте

Қауіптердің орындылығы

Қауіпсіздік деңгейін (Y 1) (7-бөлім) және қауіптің ықтималдығын (Y 2) (9-бөлім) бағалау нәтижелері бойынша қауіп-қатердің техникалық-экономикалық коэффициенті (Y) есептеледі және қауіптің іске асырылу мүмкіндігі. анықталады (4-кесте). Қауіптің техникалық-экономикалық коэффициенті Y Y = (Y 1 + Y 2)/20 қатынасымен анықталады.

Қауіптің орындылығы ішкі аудит нәтижелері туралы есеп негізінде анықталады.

ISPD әртүрлі түрлері үшін UBPD мүмкіндігін бағалаудың жалпыланған тізімі 14-23 кестелерде берілген.

14-кесте - I типті автономды IC

15-кесте – II типті автономды АЖ

16-кесте – III типті автономды АЖ

17-кесте – IV типті автономды АЖ

18-кесте – V типті автономды IC

19-кесте – VI типті автономды АЖ

20-кесте - I LIS түрі

Бұл мақала компьютерлік қауіпсіздікке қауіп төндіретін заманауи технологияларды және 2006 жылғы зиянды бағдарламаларды дамытудың негізгі тенденцияларын талдауға арналған.

Зиянды бағдарламаны дамытудың жалпы тенденциялары

2006 жылы автор зиянды бағдарламалық қамтамасыз етудің 49 697 бірегей түрін тауып, талдады, олардың 47 907-сі негізгі отбасыларға жатады. Олардың талдау нәтижелері бойынша бір жыл ішінде отбасылар бойынша зиянды бағдарламалардың пайыздық құрамын көрсететін диаграмма құрылды (1-сурет).

Күріш. 1. Отбасылар бойынша ITW үлгілерінің пайыздық құрамы

Диаграммадан көрініп тұрғандай, барлық зерттелген бағдарламалардың 37% Trojan-Downloader типті зиянды бағдарламалар болып табылады. Бұл 2005 жылдан бері байқалып келе жатқан тұрақты тенденция және троян-жүктеушілер зиянды бағдарламаларды орнату, олардың нұсқаларын жаңарту және антивируспен жойылған жағдайда оларды қалпына келтіру үшін пайдаланылуымен байланысты. Зерттелетін зиянды бағдарламалармен компьютерді зақымдау жағдайларының көпшілігі эксплуат немесе әлеуметтік инженерия әдістерін қолдану салдарынан троян-жүктеу құралын іске қосуға әкеп соғады. Келесі кең тарағандар - пошталық және желілік құрттар, әртүрлі типтегі трояндар және Dialer класының бағдарламалары.

ITW (In the Wild) үлгілерін анықтау динамикасының статистикалық талдауы зиянды бағдарламаларды әзірлеушілер қолтаңба сканерлерімен күресу үшін жаңа технологияны қабылдағанын және белсенді түрде пайдаланып жатқанын көрсетеді. Оның техникасы өте қарапайым және әзірлеуші ​​қысқа уақыт ішінде бірдей зиянды бағдарламаның жүздеген нұсқаларын жасауынан тұрады. алудың қарапайым әдістері әртүрлі опцияларкелесісі:

• әртүрлі буып-түюшілер мен криптерлер арқылы қайта орау – кезеңді түрде немесе файлды сұрау кезінде орындалуы мүмкін, бумалаушылардың жиыны және олардың параметрлері кездейсоқ түрде өзгеруі мүмкін. Көбінесе зиянды бағдарлама авторлары модификацияланған бумалауыштар мен криптерлерді пайдаланады, бұл оларды тексеруді қиындатады;
• ол анықталған файлдың қолтаңбаларын өзгерту үшін жеткілікті модификациялары бар файлды қайта құрастыру;
• NSIS (Scriptable Installation System) орнатушылары арқылы жасалған орнату бумасына зиянды файлды орналастыру. Ашық болуы бастапқы кодОрнатушы оны сәл өзгертуге мүмкіндік береді, бұл антивирустық сканерлеу кезінде оны автоматты түрде ашу және талдауды мүмкін емес етеді.

Бұл әдістер бұрыннан белгілі және әртүрлі комбинацияларда қолданылуы мүмкін, бұл зиянды бағдарлама авторына классикалық полиморфты әдістерді қолданбай-ақ бір бағдарламаның жүздеген нұсқаларын оңай жасауға мүмкіндік береді. Мұны Trojan-Downloader мысалында байқауға болады. Win32.Zlob. Соңғы 40 күндегі оны анықтау статистикасын қарастырайық (2-сурет).

Күріш. 2. Trojan-Downloader.Win32.Zlob анықтау динамикасы 40 күннен астам

Осы кезеңде автор Trojan-Downloader.Win32 бағдарламасының 2198 ITW үлгісін ашты. Zlob, оның ішінде 1213 бірегей. График екі қисықты көрсетеді: тәулігіне анықтау саны және бірегей файл сорттарының саны. Графиктен көруге болады, шамамен әрбір екінші табылған ITW үлгісі бірегей файл болып табылады және бұл тәуелділік бір ай бойы тұрақты болып қалады. Касперский зертханасының жіктелуіне сүйене отырып, қарастырылған 1213 үлгі осы зиянды бағдарламаның 169 қосалқы түріне жатады. Мұндай статистика өте айқын: көптеген зиянды бағдарламалар бар, олар үшін күн сайын ондаған жаңа модификациялар ашылады.

Тағы бір тән тенденцияны Варезов пошта құртының мысалында көруге болады. Бір ай ішінде автор 5333 ITW үлгісін тіркеді, оның 459-ы бірегей. Белсенділіктің таралу графигі күріште көрсетілген. 3.

Күріш. 3. Варезов пошта құртының қызметі

Графиктегі өсулер құрттың жаңа сорттарының пайда болуымен байланысты эпидемия кезеңдері болып табылады (бұл жағдайда: Email-Worm.Win32.Warezov.gj, Email-Worm.Win32.Warezov.fb, Email-Worm. Win32.Warezov.hb) . График белсенді эпидемия орта есеппен 2-5 күнге созылатынын көрсетеді, содан кейін Варезовты анықтау саны тәулігіне 10-30 үлгінің «фондық» деңгейіне дейін төмендейді. Мұндай жарылыстардың пайда болуы әбден түсінікті - антивирустар құрттың жаңа түрін анықтамайды, нәтижесінде құрт көптеген ДК-ны жұқтырады және эпидемия басталады. Ол тез дамиды, бірақ күн ішінде құрттың қолтаңбалары антивирустардың дерекқорына түседі және эпидемия тез төмендейді.

Сонымен қатар, Trojan-SPY санатындағы трояндық бағдарламалардың белсенді таралуын атап өту керек - пайдаланушылардың жеке деректерін ұрлайтын тыңшылар. Олардың ішінде e-gold жүйесінің есепшоттары туралы ақпаратты ұрлаумен атақты Голдун көзге түседі. Бұл троянның соңғы нұсқалары камуфляж және тыңшылық үшін руткит технологияларын белсенді түрде пайдаланады (Cурет 4).

Күріш. 4. Соңғы айдағы Trojan-SPY әрекетінің графигі

Зиянды бағдарламалық жасақтаманы жасаушылар пайдаланатын технологияларды талдау 2006 жылы революциялық жаңа технологиялардың ойлап табылмағанын көрсетеді – зиянды бағдарлама жасаушылар сапаға емес, санға назар аударады. Дегенмен, көбірек талқылауды қажет ететін бірнеше жаңа әзірлемелер бар.

Қорытындылай келе, вирустық белсенділікті автоматты бақылаудың авторлық жүйесінің деректері бойынша құрастырылған жиынтық орташаланған графикті қарастырайық (5-сурет).

Күріш. 5. Соңғы 40 күндегі зиянды бағдарламаларды автоматты түрде анықтау жүйесінің статистикасы

График автоматты жүйенің күніне орта есеппен 400-ге жуық зиянды бағдарламалардың жаңа бірегей сорттарын тіркейтінін көрсетеді.

Руткит технологиялары

2006 жылы руткиттер мен руткиттер технологияларының әртүрлі түрлері әзірленіп, жетілдірілді. Бұл технологияларды көптеген зиянды бағдарламалар пайдаланады және олардың бірнешеуі бар:

• Маскаға арналған руткит технологиялары, оның негізгі мақсаты дискіде және жадта зиянды бағдарламаның және оның құрамдас бөліктерінің болуын бүркемелеу, сонымен қатар тізілімдегі кілттерді бүркемелеу. Бұл мәселені шешу үшін API функцияларын тоқтату жиі қолданылады және қазіргі руткиттерде өте күрделі ұстау әдістері бар, мысалы, экспортталмаған ядро ​​​​функцияларына код енгізу, Int2E үзуін тоқтату, SYSENTER модификациясы. Барған сайын танымал болып келе жатқан DKOM-rootkits (Direct Kernel Object Manipulation) туралы бөлек атап өту керек;
• Тыңшылыққа арналған руткит технологиялары – аты айтып тұрғандай, олар пайдаланушының әрекеттерін бақылау және құпия ақпаратты жинау үшін қолданылады. Ең типтік мысал Trojan-Spy.Win32.Goldun болып табылады, ол руткит принципіне сәйкес жіберілетін ақпарат ағынындағы мәліметтерді іздеу үшін Интернетпен қосымшалардың алмасуын тоқтатады. несие карталарыпайдаланушы.

DKOM руткиттерін толығырақ қарастырайық. Олардың жұмыс істеу принципі процестерді, драйверлерді, ағындарды және дескрипторларды сипаттайтын жүйелік құрылымдарды өзгертуге негізделген. Жүйе құрылымдарына мұндай араласу, әрине, құжатталмаған және өте дұрыс емес операция болып табылады, алайда мұндай араласудан кейін жүйе азды-көпті тұрақты жұмысын жалғастырады. Мұндай интерференцияның практикалық салдары шабуылдаушы өз мақсаттары үшін ядроның құрылымдарын басқару мүмкіндігіне ие болады. Мысалы, ядродағы іске қосылған процестердің әрқайсысы үшін процесс туралы көптеген ақпаратты, атап айтқанда оның идентификаторын (PID) және процесс атауын сақтайтын EPROCESS құрылымы жасалады. Бұл құрылымдар қос байланысқан тізімді құрайды және олар туралы ақпаратты қайтаратын API функциялары арқылы пайдаланылады орындалатын процестер. Процесті бүркемелеу үшін DKOM руткиттер тізімнен өзінің EPROCESS құрылымын жояды. Мұндай масканы жүзеге асыру өте қарапайым және сіз Интернетте бастапқы мәтіндері бар ондаған дайын іске асыруды таба аласыз. Неғұрлым күрделі руткиттер тізімнен маскаланған нысанның құрылымын жоюмен шектелмейді - олар ондағы деректерді бұрмалайды. Нәтижесінде, анти-руткит жасырылған процесті немесе драйверді таба алса да, ол туралы дұрыс емес ақпарат алады. Іске асырудың қарапайымдылығына байланысты мұндай руткиттер барған сайын танымал бола түсуде және олармен күресу қиындай түсуде. Зерттеулер көрсеткендей, ең көп тиімді әдісоларға қарсы тұру – жүйеде процестердің басталуын/аяқталуын және драйверлердің жүктелуін/түсіруін бақылайтын мониторды орнату. Мұндай монитор жинаған ақпаратты жүйе қайтарған деректермен салыстыру DKOM руткитімен жасалған модификацияларды анықтауға, олардың табиғатын түсінуге және маскаланған процестер мен драйверлерді анықтауға мүмкіндік береді.

Жалған бағдарламалар

Hoax-бағдарламаларының бағыты белсенді түрде дамуын жалғастыруда, сондықтан біз 2007 жылы бұл отбасының өсуін сенімді түрде болжай аламыз. Сөзбе-сөз аударғанда, алдау – алдау; өтірік, өтірік, өтірік. Алаяқтық бағдарламаларының идеясы пайдаланушыны алдау болып табылады, көбінесе пайда табу немесе құпия ақпаратты ұрлау мақсатында. Жақында бұл саланы қылмыстық жауапкершілікке тарту тенденциясы байқалды: егер бір жыл бұрын алдамшы бағдарламалардың көпшілігі компьютерді вирустармен немесе SpyWare кодымен жұқтыруды имитациялайтын салыстырмалы түрде зиянсыз әрекеттер жасаған болса, қазіргі заманғылары құпия сөздерді немесе құпия ақпаратты ұрлауға көбірек бағытталған. Мұндай бағдарламаның мысалы суретте көрсетілген. 6.

Күріш. 6. Hoax.Win32.Delf бағдарламасының терезесі

Бағдарлама терезесінен және оның сипаттамасынан келесідей, бұл Kaspersky Anti-Virus лицензиясының генераторы. Бағдарлама жасалған лицензияны алу үшін пошта жәшігіне кіру үшін электрондық пошта мекенжайы мен құпия сөзді енгізуді ұсынады. Егер сенгіш қолданушы мұны істеп, «Шифрды алу» түймесін басса, онда ол енгізген деректер шабуылдаушыға электрондық пошта арқылы жіберіледі. Соңғы бір жылда мұндай жүзден астам бағдарламалар анықталды: бұл әртүрлі «жарықтар», ұялы байланыс операторлары үшін төлем карталарының генераторлары, несие карталарының нөмірлерінің генераторлары, пошта жәшіктерін «бұзу» құралдары және т.б. Мұндай бағдарламалардың жалпы ерекшелігі - пайдаланушының кейбір құпия ақпаратты өз бетінше енгізуін қамтамасыз етуге бағытталған алдау. Hoax қолданбаларының екінші сипатты ерекшелігі олардың қарапайымдылығы болып табылады: оларда бағдарламалық кодта қателер мен қателіктер көп. Мұндай бағдарламаларды көбінесе жаңадан келген вирус жазушылар жасайды.

Hoax бағдарламаларының даму тенденциясын Hoax.Win32.Renos мысалында көруге болады (7-сурет).

Күріш. 7. Соңғы 30 күндегі Hoax.Win32.Renos анықтау динамикасы

Графиктен автордың күніне кем дегенде осы зиянды бағдарламаның бір жаңа бірегей нұсқасын анықтайтынын көруге болады және бар болғаны бір айдың ішінде Касперский зертханасының классификациясына сәйкес 18 қосалқы нұсқаға енгізілген 60 жаңа бірегей нұсқалар байқалады. .

Бопсалау мен бопсалауға арналған трояндар

Бұл әртүрлілік бағдарламалары алғаш рет бірнеше жыл бұрын пайда болды. Олардың негізгі мақсаты – пайдаланушыны тікелей бопсалау және одан компьютердің жұмысын қалпына келтіру немесе трояндық бағдарламамен кодталған ақпаратты шифрын шешу үшін ақша өндіру. Көбінесе автор Trojan.Win32.Krotten троянынан зардап шеккен пайдаланушылардан есептер мен көмек сұрауларын алады, ол компьютерді жұмыс тәртібіне келтіру үшін 25 WMZ бопсалады. Бұл троян дизайнында өте қарапайым және оның барлық жұмысы тізілімдегі жүздеген кілттерді өзгертуден тұрады. егжей-тегжейлі сипаттамаоның бір түрін мына жерден табуға болады: http://www.z-oleg.com/secur/virlist/vir1180.php). Бұл трояндар отбасының ерекшелігі компьютерді емдеу үшін троянды іздеу және жою жеткіліксіз, сонымен қатар оның жүйеге келтірген зақымдануын қалпына келтіру қажет. Егер Krotten троянымен жасалған тізілімге зақым келтіру оңай болса, шифрланған ақпаратты қалпына келтіру әлдеқайда қиын. Мысалы, пайдаланушы деректерін шифрлайтын Gpcode троянының жасаушысы шифрлау кілтінің ұзақтығын бірте-бірте ұлғайтады, осылайша антивирустық компанияларға қиындық тудырады. Бұл троян туралы толығырақ мына сайттағы Blackmailer мақаласынан оқи аласыз: http://www.viruslist.com/ru/analysis?pubid=188790045 .

Жасырын іске қосу әдісі ретінде бағдарлама кодын енгізу

Бұл технология заманауи троян-жүктеуіштерде айқын көрінеді, бірақ ол бірте-бірте басқа зиянды бағдарламаларға енгізіле бастайды. Оның техникасы салыстырмалы түрде қарапайым: зиянды бағдарлама шартты түрде екі бөліктен тұрады - «инжектор» және трояндық код. «Инжектордың» міндеті - трояндық кодты орау және шифрын ашу және оны белгілі бір жүйелік процеске енгізу. Бұл кезеңде зерттелетін зиянды бағдарлама трояндық кодты енгізу әдісімен ерекшеленеді:

• контекстік ауыстыру бойынша инъекция - мұндай енгізу принципі трояндық кодты дайындау және шифрын шешуді (1-қадам), кез келген жүйелік процесті іске қосуды қамтиды және процесті құру кезінде ол «ұйықтау» (тоқтатылған) режимде (қадам) жасалады. 2). Әрі қарай, инжектор процесс жадына трояндық кодты енгізеді (сонымен қатар, мұндай инъекция процестің машиналық кодының үстіне орындалуы мүмкін), содан кейін ол негізгі ағынның контекстін троян коды алатындай етіп өзгертеді. бақылау (3-қадам). Осыдан кейін негізгі ағын іске қосылады және трояндық код орындалады. Бұл әдіс қызықты, себебі кез келген процесс менеджері заңды бағдарламаның орындалуын көрсетеді (мысалы, svchost.exe), бірақ заңды бағдарламаның машиналық кодының орнына трояндық код жадта болады және орындалады. Бұл әдіс процесс жадының модификациясын және оның ағындарының контекстін басқару құралдары жоқ желіаралық қалқандарды айналып өтуге мүмкіндік береді (8-сурет);

Күріш. 8. Мәтінмәнді алмастыру арқылы инъекция

• трояндық ағындарды инъекциялау - бұл әдіс идеологиялық жағынан алдыңғыға ұқсас, бірақ процестің машиналық кодын троянмен алмастырудың және оны негізгі ағында орындаудың орнына трояндық код орындалатын қосымша ағын құрылады (қадам 2). Бұл әдіс трояндық кодты бұрыннан бар процесске оның жұмысын бұзбай енгізу үшін жиі қолданылады (9-сурет).

Күріш. 9. Троян ағынын құру арқылы кіріспе

WebMoney ұрлаудың жаңа әдістері

2006 жылдың соңында ақшаны ұрлаудың жаңа, өте ерекше әдісі WebMoney жүйесі. Ол WebMoney бағдарламасының терезесінің ашықтығын бақылайтын пайдаланушының компьютеріне шағын трояндық бағдарламаны енгізуге негізделген. Егер ол ашық болса, алмасу буфері бақыланады. Буферде «Z», «R» немесе «E» әрпінен басталатын мәтінді тапқанда, троян бұл алушының әмиян нөмірі деп есептейді, оны пайдаланушы WebMoney терезесіне енгізу үшін алмасу буферіне көшірді. Бұл нөмір буферден жойылады және шабуылдаушы әмиянының «Z», «R» немесе «E» нөмірімен ауыстырылады. Әдісті жүзеге асыру өте қарапайым және өте тиімді болуы мүмкін, өйткені әмиян нөмірлері жиі енгізілмейді, бірақ буфер арқылы көшіріледі, және барлық пайдаланушылар әмиян нөмірі буферден енгізілгенін мұқият тексермейді. Бұл троян троян әзірлеушілерінің тапқырлығының айқын көрінісі.

Түзетушілер мен виртуалды ДК анықтау

Түзетушілермен, эмуляторлармен және виртуалды компьютерлермен жұмыс істеу әдістері бұрыннан белгілі. Оларды пайдалану жаңадан келген адамға зиянды бағдарламаны талдауды қиындатады, сондықтан мұндай технологияларды зиянды бағдарламаларды әзірлеушілер ұзақ уақыт бойы сәтті пайдаланып келеді. Дегенмен, өткен жылы жаңа тренд пайда болды: зиянды бағдарлама компьютердің түрін анықтауға тырысты - бұл нақты аппараттық құрал немесе Virtual PC немесе VMWare сияқты бағдарламалар арқылы жасалған эмуляция. Мұндай виртуалды компьютерлер белсенді түрде қолданылған және оларды әкімшілер күдікті бағдарламаларды зерттеу үшін пайдаланады. Тексеру бар болса, егер ол виртуалды компьютерде (немесе опция ретінде отладчик астында) іске қосылса, зиянды бағдарлама жай ғана жұмысын бұзып жіберуі мүмкін, бұл оның зерттелуіне жол бермейді. Сонымен қатар, мұндай сынақ Norman Sandbox сияқты жүйелерге соққы береді, өйткені олардың принципі эвристикалық талдау, мәні бойынша, эмуляторда зерттелетін бағдарламаны іске қосу және оның жұмысын тексеруден тұрады. Жылдың соңында SANS институтының сарапшылары Том Листон мен Эд Скоудис виртуалды машиналарды анықтау және анықтау әдістерімен күресу техникасын сипаттайтын өте қызықты есеп жариялады. Құжатты SANS веб-сайтынан жүктеп алуға болады - http://handlers.sans.org/tliston/ThwartingVMDetection_Liston_Skoudis.pdf.

Спам-боттар және трояндық проксилер

Спам-бот – бұл вирус жұққан компьютерден спамды автоматты түрде жіберуге арналған жеке троян. Трояндық прокси – бұл прокси-сервер функциялары бар зиянды бағдарлама; оның зақымдалған компьютерде жұмыс істеуі шабуылдаушыға оны спам жіберу, басқа компьютерлерге шабуыл жасау және басқа да заңсыз әрекеттерді орындау үшін прокси сервер ретінде пайдалануға мүмкіндік береді. Көптеген заманауи спам-боттар руткиттер технологияларын қолдана отырып, өздерінің қатысуын белсенді түрде бүркемелейді және өздерін жоюдан қорғайды. Статистика көрсеткендей, айына мұндай бағдарламалардың 400-ден астам ITW түрі ашылады, олардың 130-ға жуығы жаңа және бірегей.

Спам-бот корпоративтік желілерге үлкен қауіп төндіреді, өйткені оның жұмысы келесі салдарға әкеледі:

• желілік трафикті жоғары тұтыну - Ресейдің көптеген қалаларында әлі жоқ шектеусіз тарифтер, сондықтан желіде бірнеше зардап шеккен компьютерлердің болуы трафикті тұтынуға байланысты айтарлықтай қаржылық шығындарға әкелуі мүмкін;
• көп корпоративтік желілерИнтернетке кіру үшін олар статикалық IP мекенжайларын және өздерінің пошта серверлерін пайдаланады. Демек, спам-боттардың әрекеті нәтижесінде бұл IP мекенжайлары спамға қарсы сүзгілердің қара тізіміне тез түседі, яғни Интернеттегі пошта серверлері корпоративтік поштаны енді қабылдамайды. пошта серверікомпаниялар. Сіздің IP мекенжайыңызды қара тізімнен шығаруға болады, бірақ бұл өте қиын және желіде спам-боттар жұмыс істеп тұрса, бұл уақытша шара болады.

Спам-боттарға және трояндық проксилерге қарсы тұру әдістері өте қарапайым: сіз барлық пайдаланушылар үшін 25-портты бұғаттауыңыз керек және ең дұрысы, прокси-серверлер арқылы жұмыс істеуге ауыстыра отырып, олардың Интернетпен тікелей байланысына толығымен тыйым салуыңыз керек. Мысалы, Смоленскенергода барлық пайдаланушылар интернетке тек фильтрлер жүйесі бар прокси арқылы қол жеткізеді, хаттамаларды жартылай автоматты түрде зерттеу күн сайын жүргізіледі, оны кезекші жүйелік әкімші орындайды. Ол пайдаланатын анализатор пайдаланушы трафигіндегі ауытқуларды анықтауды жеңілдетеді және күдікті әрекетті блоктау үшін дер кезінде шараларды қабылдайды. Сонымен қатар, пайдаланушының желілік трафигін зерттейтін IDS-жүйелер (Intrusion Detection System) тамаша нәтижелер береді.

Internet Messenger арқылы зиянды бағдарламаларды тарату

Жыл бойы жиналған статистикалық мәліметтерге сәйкес, интернет-пейджерлер пайдаланушылардың компьютерлеріне зиянды бағдарламаларды енгізу үшін жиі қолданылады. Іске асыру техникасы классикалық әлеуметтік инженерия болып табылады. Вирус жұққан компьютерден оның иесінің ICQ атынан зиянды бағдарлама белгілі бір сылтаумен немесе басқа сылтаумен көрсетілген сілтемені ашуға шақыратын хабарламалар жібереді. Сілтеме троянға (әдетте picture.pif немесе flash_movie.exe сияқты мағыналы атаумен) немесе беттерінде эксплоиттер бар сайтқа апарады. Бұл олардың органдары емес, таратылатын зиянды бағдарламаларға сілтемелер екенін ерекше атап өткен жөн.

Соңғы бір жылда осы қағидаға негізделген бірнеше эпидемия тіркелді. Ресейде зардап шеккендер негізінен ICQ пайдаланушылары болды, ал Trojan-PSW санатындағы бағдарламалар - пайдаланушы құпия сөздерін ұрлайтын трояндық бағдарламалар - көбінесе осылай таратылды. Автор күніне орта есеппен бір-он хабарлама алады, ал жыл соңына қарай мұндай хат-хабарлардың көбеюі байқалады.

Зиянды бағдарламаның бұл түрінен қорғау өте қарапайым - мұндай сілтемелерді ашпау керек. Дегенмен, статистика көрсеткендей, пайдаланушылардың қызығушылықтары жиі басым болады, егер хабарламалар белгілі адамнан болса, одан да көп. Корпоративтік ортада интернет-пейджерлерді пайдалануға тыйым салу тиімді шара болып табылады, өйткені қауіпсіздік тұрғысынан олар ақпараттың ағып кетуіне тамаша арна болып табылады.

USB флэш медиасы

Флэш-медиа бағасының айтарлықтай төмендеуі (сонымен қатар олардың көлемі мен жылдамдығының артуы) табиғи әсерге әкелді - олардың пайдаланушылар арасында танымалдылығының тез өсуі. Тиісінше, зиянды бағдарламаларды әзірлеушілер флэш-дискілерді зақымдайтын бағдарламалар жасай бастады. Мұндай бағдарламалардың жұмыс істеу принципі өте қарапайым: дискінің түбірінде екі файл жасалады - мәтіндік файл autorun.inf және зиянды бағдарламаның көшірмесі. Автоматты іске қосу файлы диск қосылған кезде зиянды бағдарламаны автоматты түрде іске қосу үшін пайдаланылады. Мұндай зиянды бағдарламалардың классикалық мысалы - Rays пошта құрты. Сандық камера көптеген вирус тасымалдаушы ретінде әрекет ете алатынын атап өткен жөн Ұялы телефондар, MP3 ойнатқыштары және PDA - олар компьютер тұрғысынан (және, тиісінше, құрт) флэш-дискіден айырмашылығы жоқ. Сонымен қатар, зиянды бағдарламаның болуы бұл құрылғылардың жұмысына ешқандай әсер етпейді.

Мұндай бағдарламалардан қорғау шарасы ретінде автоматты іске қосуды өшіру, вирусты уақтылы анықтау және жою үшін антивирустық мониторларды пайдалану болуы мүмкін. Вирустар ағыны және ақпараттың ағып кету қаупі жағдайында көптеген компаниялар қатаң шаралар қолданады - арнайы бағдарламалық жасақтаманы пайдаланып USB құрылғыларын қосу мүмкіндігін бұғаттау немесе жүйе параметрлерінде USB драйверлерін блоктау.

Қорытынды

Бұл мақалада зиянды бағдарламаларды дамытудың негізгі бағыттары қарастырылды. Олардың талдауы бірнеше болжам жасауға мүмкіндік береді:

• қолтаңба сканерлерінен бүркемелеу және виртуалды компьютерлер мен эмуляторларда іске қосудан қорғау бағыты белсенді түрде дамиды деп болжауға болады. Демек, мұндай зиянды бағдарламалармен күресу үшін әртүрлі эвристикалық анализаторлар, брандмауэрлер және белсенді қорғаныс жүйелері бірінші орынға шығады;
• зиянды бағдарламаларды әзірлеу саласының криминализациясы айқын байқалады, спам-боттардың, трояндық проксилердің, парольдерді және пайдаланушылардың жеке деректерін ұрлауға арналған трояндардың үлесі өсуде. Вирустар мен құрттардан айырмашылығы, ұқсас бағдарламаларпайдаланушыларға елеулі материалдық зиян келтіруі мүмкін. Пайдаланушыларға деректерді шифрлайтын трояндық бағдарламалар индустриясының дамуы бізді мерзімділіктердің орындылығы туралы ойлануға мәжбүр етеді Резервтік көшірме, бұл іс жүзінде мұндай троянның зақымдануын нөлге дейін төмендетеді;
• Компьютерді жұқтыру жағдайларын талдау шабуылдаушылар зиянды бағдарламаларды орналастыру үшін веб-серверлерді жиі бұзатынын көрсетеді. Мұндай бұзу дефекация деп аталатынға қарағанда әлдеқайда қауіпті бастапқы бетсайт), өйткені сайтқа кірушілердің компьютерлері жұқтырылуы мүмкін. Бұл бағыт өте белсенді дамиды деп болжауға болады;
• Флэш-дискілер, сандық камералар, MP3 ойнатқыштары және PDA-лар вирустарды тасымалдауы мүмкін болғандықтан, қауіпсіздікке қауіп төндіреді. Көптеген пайдаланушылар, айталық, цифрлық фотоаппараттың қауіптілігін жете бағаламайды - дегенмен, 2006 жылы автор мұндай құрылғыларға қатысты кем дегенде 30 оқиғаны зерттеуге мүмкіндік алды;
• құрылғыны және зиянды бағдарламалардың жұмыс істеу принциптерін талдау антивируссыз олардан өзіңізді қорғауға болатындығын көрсетеді - олар дұрыс конфигурацияланған жүйеде жай жұмыс істей алмайды. Негізгі қорғау ережесі - пайдаланушы шектеулі тіркелгі бойынша жұмыс істейді, атап айтқанда, жазу артықшылықтары жоқ. жүйелік қалталар, қызметтер мен драйверлерді басқаруға және жүйе тізілімінің кілттерін өзгертуге арналған.