Роздрукувати сторінку
Главная \ Методичні вказівки \ Методичні вказівки \ 793 Лекція 13 на тему Захист інформації від несанкціонованого доступу, Причини порушення безпеки з курсу Захист та безпека інформаційних ресурсів, НУДПСУ

Лекція 13 на тему Захист інформації від несанкціонованого доступу, Причини порушення безпеки з курсу Захист та безпека інформаційних ресурсів, НУДПСУ

« Назад

793 Лекція 13 на тему Захист інформації від несанкціонованого доступу, Причини порушення безпеки з курсу Захист та безпека інформаційних ресурсів, НУДПСУ

Лекція №13. ЗАХИСТ ІНФОРМАЦІЇ ВІД НЕСАНКЦІОНОВАНОГО ДОСТУПУ. Причини порушення безпеки

План

  1. Основні причини порушення безпеки інформації.

  2. Класифікація вірусів.

  3. Авторі вірусів.

4.5. Причини порушення безпеки

Сформована практика дослідження випадків порушення безпеки, що приділяє основну увагу методу і засобам подолання захисту, має істотний недолік – відштовхуючись від дій ЗЛ, вона фактично являє собою лише аналіз технології подолання засобів захисту і не дозволяє виявити недоліки засобів забезпечення безпеки.

Крім того, подібний підхід відразу розділяє усі випадки порушення безпеки на навмисні, що класифікуються за способами подолання захисту, і ненавмисними, обумовленими помилками, закладеними в самій АС при її розробці та експлуатації. Однак здається цілком прийнятною і дуже прагматична точка зору – важливий сам факт порушення безпеки і ті заходи, які необхідно почати для запобігання подібних порушень, а їхня навмисність не має значення. З цього погляду можливість успішних дій зловмисника, як і передумови випадкових порушень, визначені властивостями самої АС – її архітектурою, реалізацією та адмініструванням.

Це означає, що в основі кожного факту порушення безпеки АС лежить відповідна вада засобів захисту, що обумовлює успішне здійснення атаки. Аналіз випадків порушення безпеки повинен ґрунтуватися не стільки на дослідженні методів, використовуваних порушником, скільки на виявленні властивостей АС, що дозволили йому здійснити свої дії. Інакше кажучи, що з'явилося причиною успішного здійснення порушення безпеки в тому чи іншому випадку?

Аналіз і статистка показують, що усі випадки порушення безпеки АС відбуваються за одною з наступних причин:

  1. Вибір моделі безпеки, що не відповідає призначенню чи архітектурі АС. Модель безпеки повинна відповідати вимогам безпеки, запропонованим для АС. В даний момент спостерігається певна невідповідність між моделями безпеки та архітектурою АС. Фактично формальні моделі безпеки існують тільки у виді теорії, а розроблювачі АС змушені піддавати їх певної інтерпретації, щоб пристосувати до конкретної АС. При цьому приходиться йти на певні компроміси і може виявитися, що модель безпеки в ході реалізації піддалася істотним перекручуванням. Це означає, що при виборі моделі безпеки не можна не враховувати специфіку архітектури, у противному випадку, незважаючи на всі переваги моделі, гарантованого нею рівня безпеки досягти не удасться.

  2. Неправильне впровадження моделі безпеки. Незважаючи на цілком адекватний вибір моделі безпеки, її реалізація і застосування до архітектури конкретної ОС у силу властивостей самої моделі чи ОС було проведено невдало. Це означає, що в ході реалізації були загублені всі теоретичні досягнення, отримані при формальному доказі безпеки моделі. Звичайно неправильне впровадження моделі безпеки в систему виражається в недостатньому обмеженні доступу до найбільш важливих для безпеки систем служб і об'єктів, а також у введенні різних виключень з передбачених моделлю правил розмежування доступу типу привілейованих процесів, утиліт і т.д.

  3. Відсутність ідентифікації і/або автентифікації суб'єктів і об'єктів. У багатьох сучасних ОС ідентифікація та автентифікація суб'єктів і об'єктів взаємодії знаходяться на дуже примітивному рівні – суб'єкт (ЗЛ) може порівняно легко видати себе за іншого суб'єкта і скористатися його повноваженнями доступу до інформації.

  4. Відсутність контролю цілісності засобів забезпечення безпеки. У багатьох ОС контролю цілісності самих механізмів, що реалізують функції захисту, приділяється слабка увага. Багато систем допускають прозору для служб безпеки підміну компонентів. З погляду безпеки таке положення є неприпустимим.

  5. Помилки, які допущені в ході програмної реалізації засобів забезпечення безпеки. Ця група причин порушення безпеки буде існувати доти, поки не з'являться технології програмування, що гарантують виробництво безпомилкових програм. Оскільки, як відомо, програми завжди мають помилки, то, очевидно, такі технології не з'являться взагалі, і помилки такого роду будуть виникати завжди.

  6. Наявність засобів налагодження і тестування в кінцевих продуктах. Багато розроблювачів залишають у комерційних продуктах так звані «люки», «діри», відладочні можливості і т.д. Причини, за якими це відбувається цілком зрозумілі – програмні продукти стають усе складніше, і налагодити їх у лабораторних умовах просто неможливо. Отже, для визначення причин збоїв і помилок вже в процесі ескплуатації розроблювачам приходиться залишати у своїх продуктах можливості для відладки і діагностики в ході експлуатації.

  7. Помилки адміністрування. Наявність найсучасніших і розроблених засобів захисту не гарантує від можливих порушень безпеки, тому що в безпеці будь-якої системи завжди є присутнім людський фактор – адміністратор, що керує засобами забезпечення безпеки, може зробити помилку, і всі зусилля розроблювачів будуть зведені на ниц. Помилки адміністрування є досить розповсюдженою причиною порушень безпеки, але часто списуються на помилки розроблювачів засобів захисту.

Наведені причини порушення безпеки зручно представити у вигляді наcтупної схеми:


4.5. Віруси як засіб атаки на КС

Торкнемось до ще однієї винятково важливої сучасної та актуальної проблеми, що має безпосереднє відношення до інформаційної безпеки як специфічна загроза. Це проблема вірусів.

Результати досліджень по комп’ютерним вірусам не оптимістичні: вірусна проблема загострюється з кожним днем. В 1999 році на кожну тисячу комп’ютерів кожного місяця реєструвалося в середньому біля 10 випадків зараження вірусами. З тих пір, за результатами опитування ICSA Labs 300 великих підприємств, кожного року інтенсивність заражень зростає приблизно у двічі.

Станом на початок 1999 року мало місце 80 випадків на місяць. Таким чином, майже кожен десятий комп’ютер в середньому раз на місяць заражається вірусами. За оцінками американського інституту досліджень Computer Economics випадки зараження вірусами тільки в першому півріччі 1999 року обійшлося світовій економіці приблизно в $7,6 млрд (включаючи витрати на антивірусне програмне забезпечення).

Все важче стає справлятися з новими вірусами, які з’являються в кількості 500 – 800 штук на місяць. Нема нічого дивного в тому, що розробники антивірусного ПЗ об’єднують свої зусилля. Компанія Network Associates (NAI), розробник антивірусної програми McAfeeSoftware, поглинула свого конкурента Dr. Solomon. Компанія Symantec, яка займає разом з Norton Antivirus друге місце в антивірусному бізнесі, володіє антивірусними рішеннями IBM. Норвезька фірма Norman Data Defense придбала голландську компанію Thunderbyte.

В теперішній час розроблено достатня кількість антивірусних програм, що доступні для домашніх та корпоративних користувачів.

Таким чином, швидкість розповсюдження вірусів невпинно зростає, з’являються їх нові різновиди, вони все активніше проникають до Internet, а ринок антивірусного програмного забезпечення стає все більш динамічнішим.

Експерти нараховують близько 50 тисяч екземплярів. Однак ця кількість залежить від того, як рахувати родинні та дуже подібні екземпляри. Саме тому порівняно якісні антивірусні програми-сканери можуть визначати різну кількість вірусів. Нажаль, жодна компанія, що розробляє антивірусне ПЗ, не має у своїй добірці усіх відомих вірусів.

Перший прототип сучасних вірусів був створений в лабораторії Xerox ще в 60-ті роки. Це була програма, яка «мандрувала» по мережі та перевіряла працездатність підключених до мережі обчислювальних пристроїв.

3 листопада 1983 року Фредерик Коен (Frederick Cohen) так вдало продемонстрував своє «розмножувальне програмне рішення» на комп’ютері університету в Південній Кароліні, що був позбавлений можливості працювати на ньому. Його науковий керівник запропонував назву «вірус» за аналогією з біологічними вірусами. Перший DOS-вірус, Brain, з’явився в 1986 році в Пакистані. В науково-художній літературі ця ідея виникла ще в 1972 році.

Раніше віруси найчастіше програмувалися на машинно-орієнтованій мові Assembler, зараз – на мовах більш вищого рівня, наприклад С. Завдяки макромовам, таким як VBA, програмування вірусів ще більш спрощується.

Важко дати загальне і всеохоплююче визначення поняття «комп’ютерний вірус». У деякому наближенні можна вважати, що комп’ютерні віруси – це програми-«паразити», які можуть включати себе до інших програм та файлів («заражати» їх ). Саме ця обставина і дає можливість вірусам розмножуватися і поширюватися. Людина, яка використовує заражену програму або файл, може й гадки не мати, що ця програма містить вірус.

Законодавство більшості країн передбачає за створення вірусів адміністративну, цивільну і кримінальну відповідальність. Віруси, як і інші програми, можуть виконувати практично будь-які дії. Деякі віруси не приносять майже ніякої шкоди, а лише розмножуються. Інші, порівняно безпечні віруси, видають на екран відволікаючі повідомлення. Однак існують шкідливі віруси, які спричиняють «зависання» програм (припинення роботи програм) або несподівані перезавантаження комп’ютера. Нарешті, найнебезпечніші віруси можуть псувати або знищувати інформацію, яка зберігається на дисках.

Комп'ютерний вірус – це спеціально написана невелика за розмірами, складна, ретельно складена програма, що може «приписувати» себе до інших програм (тобто «заражати» їх), а також виконувати різні небажані дії на комп'ютері. Програма, усередині якої знаходиться вірус, називається «зараженою». Коли така програма починає роботу, то спочатку, як правило, керування одержує вірус. Вірус знаходить і «заражає» інші програми або виконує будь-які шкідливі функції: псує файли або таблицю розміщення файлів на диску, «засмічує» оперативну пам'ять, змінює адресацію звертань до зовнішніх пристроїв тощо. Більш того, заражені програми можуть бути перенесені на інший комп'ютер за допомогою дискет або локальної мережі.

Умовно віруси можна поділяють на класи за наступними ознаками:

  • середовище проживання;

  • операційна система (OC);

  • особливості алгоритму роботи;

  • деструктивні можливості.

За середовищем проживання віруси можна поділити на:

  • файлові (або різними способами впроваджуються у виконувані файли (найбільш розповсюджений тип вірусів), або створюють файли-двійники (компаньйон-віруси), або використовують особливості організації файлової системи (link-віруси));

  • завантажувальні (записують себе або в завантажувальний сектор диска (boot-сектор), або в сектор, що містить системний завантажник вінчестера (Master Boot Record), або змінюють показник на активний boot-сектор);

  • макро (заражають файли-документи й електронні таблиці декількох популярних редакторів);

  • мережеві (використовують для свого поширення протоколи або команди комп'ютерних мереж і електронної пошти).

Існує велика кількість їх комбінацій, наприклад, файлово-завантажувальні віруси, що заражають як файли, так і завантажувальні сектори дисків. Такі віруси, як правило, мають досить складний алгоритм роботи, часто застосовують оригінальні методи проникнення в систему, використовують стелс і полиморфик-технології. Інший приклад такого сполучення – мережний макро-вірус, що не тільки заражає документи, що редагуються, але і розсилає свої копії електронною поштою.

За операційною системою, що заражається (точніше, ОС, об'єкти якої піддані зараженню). Кожен файловий або мережевий вірус заражає файли якої-небудь однієї або декількох OS - DOS, Windows, Win95/NT, OS/2 тощо. Макро-віруси заражають файли форматів Word, Excel, Office97. Завантажувальні віруси також орієнтовані на конкретні формати розташування системних даних у завантажувальних секторах дисків.

Серед особливостей алгоритму роботи вірусів виділяються наступні пункти:

  • резидентність (при інфікуванні комп'ютера залишає в оперативній пам'яті свою резидентну частину, що потім перехоплює звертання операційної системи до об'єктів зараження і впроваджується в них);

  • використання стелс-алгоритмів (дозволяє вірусам цілком або частково сховати себе в системі. Найбільш розповсюдженим стелс-алгоритмом є перехоплення запитів OC на читання/запис заражених об'єктів. Стелс-віруси при цьому або тимчасово лікують їх, або «підставляють» замість себе незаражені ділянки інформації);

  • самошифрування і поліморфічність (використовуються практично всіма типами вірусів для того, щоб максимально ускладнити процедуру детектування вірусу). Полиморфні віруси (polymorphic) – це віруси, які досить важко знайти, вони не мають сигнатур, тобто не утримують жодної постійної ділянки коду. У більшості випадків два зразки того самого полиморфік-вірусу не будуть мати жодного збігу. Це досягається шифруванням основного тіла вірусу і модифікаціями програми-розшифровувача);

  • використання нестандартних прийомів (використовуються у вірусах для того, щоб якнайглибше сховати себе в ядрі OC, захистити від виявлення свою резидентну копію, ускладнити лікування від вірусу (наприклад, помістивши свою копію в Flash-BIOS) і т.п.

За деструктивними можливостями віруси можна поділити на:

  • нешкідливі, тобто що ніяк не впливають на роботу комп'ютера (крім зменшення вільної пам'яті на диску в результаті свого поширення);

  • безпечні, вплив яких обмежується зменшенням вільної пам'яті на диску і графічними, звуковими й ін. ефектами;

  • небезпечні віруси, що можуть призвести до серйозних збоїв у роботі комп'ютера;

  • дуже небезпечні, в алгоритм роботи яких свідомо закладені процедури, що можуть привести до втрати програм, знищити дані, стерти необхідну для роботи комп'ютера інформацію, записану в системних областях пам'яті, і навіть, як говорить одна з неперевірених комп'ютерних легенд, сприяти швидкому зносу частин механізмів, що рухаються – вводити в резонанс і руйнувати голівки деяких типів вінчестерів.

Є багато і інших класифікацій, які ураховують дяекі інші ознаки. Наприклад, подамо наступну класифікацію.

За середовищем розповсюдження – віруси поділяються на DOS, Windows, OS/2, MACOS, Unix, та інші. Тобто цей розподіл обумовлений використанням того чи іншого операційного середовища.

За способом маскування – віруси розділяються на видимі та невидимі. Невидимі віруси запобігають своєму виявленню шляхом перегляду файлів. Видимі віруси не маскують свої файли.

За способом інфікування – віруси можуть бути резидентними, тобто такими, що постійно містяться в оперативній пам'яті, та нерезидентними, що потрапляють у пам'ять лише при запуску певної програми і зникають з пам'яті після того, як ця програма закінчує свою дію.

За об'єктами, що інфікуються – віруси можуть бути файловими, завантажувальними та файлово-завантажувальними. Файлові віруси можуть проникати в інші типи файлів, проте, як правило, записані в таких файлах, вони ніколи не отримують управління і не можуть саморозмножитися. Завантажувальні віруси проникають в завантажувальний сектор диску (boot-сектор) або в сектор, що містить программу завантаження системного диску (Master Boot Record). Файлово-завантажувальні віруси інфікують як файли, так і завантажувальні сектори дисків.

За способом розміщення в середині інфікованого об'єкту – віруси можуть бути супроводжувальними, включеними та перекриваючими. Супроводжувальні віруси «приклеїваються» або спереду або ззаду коду виконання корисних програм. Для цього вони створюють додатковий файл, який має таку саму назву, що і корисна програма, але відрізняється розширенням. В середині цього файлу код виконання вірусної програми записується або попереду, або позаду коду виконання корисної програми. Після цього попередній файл корисної програми знищується.

Включені віруси вміщують свій код виконання в середину коду виконання корисної програми. Свій власний код віруси розподіляють на велику кількість маленьких шматочків, що «розкидані» в середині коду виконання корисної програми. Перекриваючи вірусні програми записують власний код виконання зверху коду виконання корисної програми. При цьому корисна програма псується безповоротньо. Тобто «вилікувати» програму, що заражена таким типом вірусу уже практично неможливо.

За дією руйнування віруси розподіляються на нешкідливі (вони не завдають ніякої шкоди, не рахуючи «засмічування» оперативної пам'яті), безпечні (вони не псують комп'ютерну інформацію, але створюють незручності для користувача), небезпечні (вони знищують або перейменовують файли, викликають відмову в обслуговуванні комп'ютерної техніки), особливо небезпечні (вони виконують дії, що приводять не тільки до втрати інформації, а до виводу комп'ютера з робочого стану).

За можливістю самозмінювання – розрізняють сигнатурні віруси (тобто ті, що мають певний виконавчий код) та поліморфні віруси (ті, що можуть самозмінювати власний виконавчий код за певними законами).

За стилем написання. Як і кожну іншу програму, вірус створює людина. Вірус може бути написаний як модифікація раніше відомого вірусу. Він може бути разовий або серійний. Серійні віруси на певній основі виконують подібні дії. Наприклад, в певний час грають певну мелодію. Як правило, над створенням серійних вірусів працює або конкретна людина, або цілий колектив. Автором вірусу може бути:

  • психічно хвора людина (технопат);

  • студент або школяр, що тільки-но отримали перші знання з програмування і не знають, як іх конструктивно застосовувати;

  • співробітник, що вважає себе незаслужено ображеним;

  • терорист, що діє з метою політичного або фізичного шантажу;

  • висококваліфікований професіонал, що працює за домовленістю зі спецслужбами або військовою розвідкою; в останній час вірусні програми широко використовуються в сфері промислового шпіонажу.

Контрольні запитання

  1. Основні причини порушень безпеки.

  2. Класифікація вірусів.

  3. Хто може бути автором вірусів?

З повагою ІЦ “KURSOVIKS”!