Лекція 13 на тему Захист інформації від несанкціонованого доступу, Причини порушення безпеки з курсу Захист та безпека інформаційних ресурсів, НУДПСУ
« НазадЛекція №13. ЗАХИСТ ІНФОРМАЦІЇ ВІД НЕСАНКЦІОНОВАНОГО ДОСТУПУ. Причини порушення безпеки
План
4.5. Причини порушення безпекиСформована практика дослідження випадків порушення безпеки, що приділяє основну увагу методу і засобам подолання захисту, має істотний недолік – відштовхуючись від дій ЗЛ, вона фактично являє собою лише аналіз технології подолання засобів захисту і не дозволяє виявити недоліки засобів забезпечення безпеки. Крім того, подібний підхід відразу розділяє усі випадки порушення безпеки на навмисні, що класифікуються за способами подолання захисту, і ненавмисними, обумовленими помилками, закладеними в самій АС при її розробці та експлуатації. Однак здається цілком прийнятною і дуже прагматична точка зору – важливий сам факт порушення безпеки і ті заходи, які необхідно почати для запобігання подібних порушень, а їхня навмисність не має значення. З цього погляду можливість успішних дій зловмисника, як і передумови випадкових порушень, визначені властивостями самої АС – її архітектурою, реалізацією та адмініструванням. Це означає, що в основі кожного факту порушення безпеки АС лежить відповідна вада засобів захисту, що обумовлює успішне здійснення атаки. Аналіз випадків порушення безпеки повинен ґрунтуватися не стільки на дослідженні методів, використовуваних порушником, скільки на виявленні властивостей АС, що дозволили йому здійснити свої дії. Інакше кажучи, що з'явилося причиною успішного здійснення порушення безпеки в тому чи іншому випадку? Аналіз і статистка показують, що усі випадки порушення безпеки АС відбуваються за одною з наступних причин:
Наведені причини порушення безпеки зручно представити у вигляді наcтупної схеми: 4.5. Віруси як засіб атаки на КСТоркнемось до ще однієї винятково важливої сучасної та актуальної проблеми, що має безпосереднє відношення до інформаційної безпеки як специфічна загроза. Це проблема вірусів. Результати досліджень по комп’ютерним вірусам не оптимістичні: вірусна проблема загострюється з кожним днем. В 1999 році на кожну тисячу комп’ютерів кожного місяця реєструвалося в середньому біля 10 випадків зараження вірусами. З тих пір, за результатами опитування ICSA Labs 300 великих підприємств, кожного року інтенсивність заражень зростає приблизно у двічі. Станом на початок 1999 року мало місце 80 випадків на місяць. Таким чином, майже кожен десятий комп’ютер в середньому раз на місяць заражається вірусами. За оцінками американського інституту досліджень Computer Economics випадки зараження вірусами тільки в першому півріччі 1999 року обійшлося світовій економіці приблизно в $7,6 млрд (включаючи витрати на антивірусне програмне забезпечення). Все важче стає справлятися з новими вірусами, які з’являються в кількості 500 – 800 штук на місяць. Нема нічого дивного в тому, що розробники антивірусного ПЗ об’єднують свої зусилля. Компанія Network Associates (NAI), розробник антивірусної програми McAfeeSoftware, поглинула свого конкурента Dr. Solomon. Компанія Symantec, яка займає разом з Norton Antivirus друге місце в антивірусному бізнесі, володіє антивірусними рішеннями IBM. Норвезька фірма Norman Data Defense придбала голландську компанію Thunderbyte. В теперішній час розроблено достатня кількість антивірусних програм, що доступні для домашніх та корпоративних користувачів. Таким чином, швидкість розповсюдження вірусів невпинно зростає, з’являються їх нові різновиди, вони все активніше проникають до Internet, а ринок антивірусного програмного забезпечення стає все більш динамічнішим. Експерти нараховують близько 50 тисяч екземплярів. Однак ця кількість залежить від того, як рахувати родинні та дуже подібні екземпляри. Саме тому порівняно якісні антивірусні програми-сканери можуть визначати різну кількість вірусів. Нажаль, жодна компанія, що розробляє антивірусне ПЗ, не має у своїй добірці усіх відомих вірусів. Перший прототип сучасних вірусів був створений в лабораторії Xerox ще в 60-ті роки. Це була програма, яка «мандрувала» по мережі та перевіряла працездатність підключених до мережі обчислювальних пристроїв. 3 листопада 1983 року Фредерик Коен (Frederick Cohen) так вдало продемонстрував своє «розмножувальне програмне рішення» на комп’ютері університету в Південній Кароліні, що був позбавлений можливості працювати на ньому. Його науковий керівник запропонував назву «вірус» за аналогією з біологічними вірусами. Перший DOS-вірус, Brain, з’явився в 1986 році в Пакистані. В науково-художній літературі ця ідея виникла ще в 1972 році. Раніше віруси найчастіше програмувалися на машинно-орієнтованій мові Assembler, зараз – на мовах більш вищого рівня, наприклад С. Завдяки макромовам, таким як VBA, програмування вірусів ще більш спрощується. Важко дати загальне і всеохоплююче визначення поняття «комп’ютерний вірус». У деякому наближенні можна вважати, що комп’ютерні віруси – це програми-«паразити», які можуть включати себе до інших програм та файлів («заражати» їх ). Саме ця обставина і дає можливість вірусам розмножуватися і поширюватися. Людина, яка використовує заражену програму або файл, може й гадки не мати, що ця програма містить вірус. Законодавство більшості країн передбачає за створення вірусів адміністративну, цивільну і кримінальну відповідальність. Віруси, як і інші програми, можуть виконувати практично будь-які дії. Деякі віруси не приносять майже ніякої шкоди, а лише розмножуються. Інші, порівняно безпечні віруси, видають на екран відволікаючі повідомлення. Однак існують шкідливі віруси, які спричиняють «зависання» програм (припинення роботи програм) або несподівані перезавантаження комп’ютера. Нарешті, найнебезпечніші віруси можуть псувати або знищувати інформацію, яка зберігається на дисках. Комп'ютерний вірус – це спеціально написана невелика за розмірами, складна, ретельно складена програма, що може «приписувати» себе до інших програм (тобто «заражати» їх), а також виконувати різні небажані дії на комп'ютері. Програма, усередині якої знаходиться вірус, називається «зараженою». Коли така програма починає роботу, то спочатку, як правило, керування одержує вірус. Вірус знаходить і «заражає» інші програми або виконує будь-які шкідливі функції: псує файли або таблицю розміщення файлів на диску, «засмічує» оперативну пам'ять, змінює адресацію звертань до зовнішніх пристроїв тощо. Більш того, заражені програми можуть бути перенесені на інший комп'ютер за допомогою дискет або локальної мережі. Умовно віруси можна поділяють на класи за наступними ознаками:
За середовищем проживання віруси можна поділити на:
Існує велика кількість їх комбінацій, наприклад, файлово-завантажувальні віруси, що заражають як файли, так і завантажувальні сектори дисків. Такі віруси, як правило, мають досить складний алгоритм роботи, часто застосовують оригінальні методи проникнення в систему, використовують стелс і полиморфик-технології. Інший приклад такого сполучення – мережний макро-вірус, що не тільки заражає документи, що редагуються, але і розсилає свої копії електронною поштою. За операційною системою, що заражається (точніше, ОС, об'єкти якої піддані зараженню). Кожен файловий або мережевий вірус заражає файли якої-небудь однієї або декількох OS - DOS, Windows, Win95/NT, OS/2 тощо. Макро-віруси заражають файли форматів Word, Excel, Office97. Завантажувальні віруси також орієнтовані на конкретні формати розташування системних даних у завантажувальних секторах дисків. Серед особливостей алгоритму роботи вірусів виділяються наступні пункти:
За деструктивними можливостями віруси можна поділити на:
Є багато і інших класифікацій, які ураховують дяекі інші ознаки. Наприклад, подамо наступну класифікацію. За середовищем розповсюдження – віруси поділяються на DOS, Windows, OS/2, MACOS, Unix, та інші. Тобто цей розподіл обумовлений використанням того чи іншого операційного середовища. За способом маскування – віруси розділяються на видимі та невидимі. Невидимі віруси запобігають своєму виявленню шляхом перегляду файлів. Видимі віруси не маскують свої файли. За способом інфікування – віруси можуть бути резидентними, тобто такими, що постійно містяться в оперативній пам'яті, та нерезидентними, що потрапляють у пам'ять лише при запуску певної програми і зникають з пам'яті після того, як ця програма закінчує свою дію. За об'єктами, що інфікуються – віруси можуть бути файловими, завантажувальними та файлово-завантажувальними. Файлові віруси можуть проникати в інші типи файлів, проте, як правило, записані в таких файлах, вони ніколи не отримують управління і не можуть саморозмножитися. Завантажувальні віруси проникають в завантажувальний сектор диску (boot-сектор) або в сектор, що містить программу завантаження системного диску (Master Boot Record). Файлово-завантажувальні віруси інфікують як файли, так і завантажувальні сектори дисків. За способом розміщення в середині інфікованого об'єкту – віруси можуть бути супроводжувальними, включеними та перекриваючими. Супроводжувальні віруси «приклеїваються» або спереду або ззаду коду виконання корисних програм. Для цього вони створюють додатковий файл, який має таку саму назву, що і корисна програма, але відрізняється розширенням. В середині цього файлу код виконання вірусної програми записується або попереду, або позаду коду виконання корисної програми. Після цього попередній файл корисної програми знищується. Включені віруси вміщують свій код виконання в середину коду виконання корисної програми. Свій власний код віруси розподіляють на велику кількість маленьких шматочків, що «розкидані» в середині коду виконання корисної програми. Перекриваючи вірусні програми записують власний код виконання зверху коду виконання корисної програми. При цьому корисна програма псується безповоротньо. Тобто «вилікувати» програму, що заражена таким типом вірусу уже практично неможливо. За дією руйнування віруси розподіляються на нешкідливі (вони не завдають ніякої шкоди, не рахуючи «засмічування» оперативної пам'яті), безпечні (вони не псують комп'ютерну інформацію, але створюють незручності для користувача), небезпечні (вони знищують або перейменовують файли, викликають відмову в обслуговуванні комп'ютерної техніки), особливо небезпечні (вони виконують дії, що приводять не тільки до втрати інформації, а до виводу комп'ютера з робочого стану). За можливістю самозмінювання – розрізняють сигнатурні віруси (тобто ті, що мають певний виконавчий код) та поліморфні віруси (ті, що можуть самозмінювати власний виконавчий код за певними законами). За стилем написання. Як і кожну іншу програму, вірус створює людина. Вірус може бути написаний як модифікація раніше відомого вірусу. Він може бути разовий або серійний. Серійні віруси на певній основі виконують подібні дії. Наприклад, в певний час грають певну мелодію. Як правило, над створенням серійних вірусів працює або конкретна людина, або цілий колектив. Автором вірусу може бути:
Контрольні запитання
З повагою ІЦ “KURSOVIKS”! |