А.И. Куприянов - Основы защиты информации (1022813), страница 46
Текст из файла (страница 46)
пьютерной системы. Цели хакера могут быть разными, но чаще .': всего компьютерный взломщик стремится получить дополнитель: ные привилегии и права доступа к ИВС. Программное обеспечение, наиболее часто подвергаемое ата:: кам со стороны хакеров, — это системы управления базами дан:, ных (СУБД), компоненты операционной системы (ОС), сетевое ,, программное обеспечение. Из этой тройки реже всего подвергаются атакам СУБД. Данный факт можно объяснить тем, что СУБД ,':. имеют строгую внутреннюю структуру и четко определенный на,: бор операций над данными, хранящимися в базе (базах) данных. „: Такую структуру легче защищать: доступ к ее элементам легко :.
регламентируется и контролируется. Поэтому взломщики предпо;:;: читают получать доступ к файлам базы данных не на уровне СУБД, : а средствами ОС. В отличие от СУБД защитить ОС гораздо слож',: нее, поэтому адекватная организация безопасности является зна':: чительно более трудной задачей, чем в случае с СУБД. Реализа: ции того или иного алгоритма хакерской атаки на практике в зна- чительной степени зависят от архитектуры и конфигурации кон,' кретной ОС. Однако есть несколько видов атак, которым может '.- быть подвергнута практически любая ОС. Это кража и (или) под; бор пароля, сканирование носителей информации, превышение : полномочий. Кроме выше перечисленных угроз информации, существует до.
статочно большая группа атак, не связанных с физическим досту': пом к элементам ИВС. Каждое устройство хранения, передачи, . обработки информации является источником излучения разли:= чной природы (электромагнитные, акустические волны). Перехва: тывая и обрабатывая излучения ИВС иногда возможно получать ' достаточно разнообразные и ценные сведения о процессах, сопровождающих обработку данных в ИВС. Источником подобного ' рода излучений могут быть различные электронные устройства .
(системные блоки и мониторы компьютеров, принтеры, сканеры : и т.п.). Особенно опасны с точки зрения защищенности инфор,- мации электромагнитные излучения мониторов и линий переда: чи данных. Причем для перехвата информации за счет регистрации и обработки вторичных электромагнитных излучений и акустических волн зачастую достаточно использовать простое и, со': ответственно, недорогое и доступное оборудование.
Расстояние, : с которого потенциально возможен перехват вторичных излуче::- ний, зависит от характера источника и вида создаваемого 0м из- 215 лучения. Величина этого опасного расстояния колеблется в пределах до нескольких десятков и сотен метров. Опасность такого вида угроз заключается в том, что злоумышленник получает оперативный доступ к обрабатываемой информации дистанционно, без непосредственного контакта с системой защиты. Поэтому информационные атаки не регистрируется системой защиты или регистрируется слишком поздно.
Мероприятия и средства по нейтрализации НСД по каналам перехвата паразитных и непреднамеренных излучений должны разрабатываться и строго контролироваться на всех этапах проектирования и эксплуатации ИВС. Таким образом, потенциальные угрозы информации в современных ИВС отличаются многообразием, сложностью своей структуры и Функций. Их действие направлено практически против всех структурных компонентов современных систем управления, а их источники могут располагаться как в самой ИВС, так быть и вне ее, в том числе удаленными на значительное расстояние.
В связи с тем, что объем материальных средств, выделяемых на защиту информации, обычно ограничен, возникает задача рационального их распределения. При этом материальные средства целесообразно расходовать в первую очередь на нейтрализацию угроз, реализация которых может нанести ИВС наибольший вред. Общую задачу оценки угроз можно представить совокупностью следующих составных элементов: ° обоснование структуры и содержания системы показателей, необходимых для исследований и практического решения всех задач, связанных с защитой информации; ° обоснование структуры и содержания тех параметров, которые оказывают существенное влияние на значение показателей уязвимости информации; ° разработка комплексов моделей, отображающих Функциональные зависимости показателей от параметров и позволяющих определять значения всех необходимых показателей уязвимости информации во всех представляющих интерес состояниях и условиях жизнедеятельности ИВС; ° разработка моделей для оценки показателей уязвимости при исследованиях и практическом решении различных вопросов защиты.
При этом уязвимость информации должна быть оцениваема на всех стадиях и этапах разработки и функционирования ИВС. Угрозы информационным ресурсам в вычислительных системах и средах реализуются с использованием специальных деструктивных программ. Такие программы, работа которых вызывает нежелательные и даже опасные последствия, обладают целым рядом свойств. И эти свойства можно рассматривать как классификационные признаки деструктивных программ. В частности, такие программы, осуществляющие реализацию утроз информационному ресурсу, должны обладать скрытностью работы (и даже 216 ";: присутствия в программно-аппаратной среде), возможностью раз; рушать (искажать) коды программ и данных в памяти ЭВМ, ней':: трализовывать работу систем защиты информационных ресурсов. Деструктивные программы в зависимости от их свойств, целей .;:: и способов воздействия на информационные ресурсы подразде.;:: ляются на компьютерные вирусы, средства несанкционирован',"ного доступа к информации и программные закладки.
7.2. Компьютерные вирусы 7.2.1. Общие сведения о компьютерных вирусах Компьютерные:вирусы — один из наиболее распространенных '; видов деструктивных программ и едва ли не самый серьезный ис, точник угроз информации в современных информационных си,' стемах. К настоящему времени не существует четкого определе, ния для вирусных программ.
Биологические вирусы, которые пред:: ставляют собой мельчайшие неклеточные частицы, состоящие из :, нуклеиновой кислоты и белковой оболочки, не являются живы- ми существами — они не могут существовать сами по себе, а только ', в каких-то иных живых клетках. Точно также и компьютерные , вирусы могут существовать только внедряясь в программы. Чаще ': всего компьютерным вирусом называется подпрограмма, которая :- может заражать другие программы, включая в них свою копию ' (возможно, модифицированную), и сохранять способность к даль- нейшему размножению. При этом она производит несанкциони- '::: рованные и вредные действия.
Можно назвать, по крайней мере, несколько причин широко- го распространения компьютерных вирусов: массовое распространение стандартизованной вычислительной техники, у которой процессоры совместимы на уровне микрокоманд друг с другом, а также с аналогичными подсистемами пре- дыдущих и будущих поколений; стандартизация программного обеспечения, массовое использование операционных систем, дружественных не только для пользователя, но и для вирусов; отсутствие информационной культуры у пользователей вычислительной техники и довольно широкая популяризация в печати сведений о создании саморазмножающихся вредоносных программ; несовершенство законодательства, не предусматривающего от- ветственности за правонарушения с использованием вычислительной техники. К настоящему времени компьютерная вирусология накопила определенную историю, которую вкратце можно проиллюстри- ровать следующими основными эпизодами (11, 12, 291. 217 Первая известная публикация относится к 1951 г.
В ней Джоном фон Нейманом сформулирована и исследована проблема создания саморазмножающихся компьютерных программ. В 1962 г. Высоцкий и Макилрой (США) создали компьютерную игру, основанную на конфликтном взаимодействии самовоспроизводящихся программных механизмов в памяти компьютера. Победителем считался тот игрок, чьи программы захватывали всю память. Эта игра получила широкое распространение во многих учебных и исследовательских центрах США. В 1977 г.
появляется первый персональный компьютер Арр1е 11. Число компьютеров этой серии за шесть лет перевалило за три миллиона. В это же время произошло бурное развитие сетей передачи информации на базе обычных телефонных каналов (ВВБ). Одновременно с этим получили широкое распространение программы-вандалы, которые наряду с выполнением некоторой полезной функции разрушали данные в информационной базе персонального компьютера. В 1980 г. выходит первая европейская публикация о компьютерных вирусах «Самовоспроизводящиеся программы» И. Краузе, содержащая листинги вирусов на языке Ассемблера.
В 1981 — 1982 гг. появился первый бутовый вирус (Е1К С1опег), получивший широкое распространение на компьютерах Арр1е П. Проявлял он себя очень разнообразно: переворачивал изображение и заставлял мигать экран, выводил на экран разнообразные сообщения. В 1985 — 1986 гг. произошли вспышки заражения компьютерными вирусами многих персональных компьютеров. Причиной было бесконтрольное копирование компьютерных файлов. Первым широко распространенным вирусом для 1ВМ РС стал Пакистанский компьютерный вирус (загрузочный вирус Вга1п), разработанный братьями Амджатом и Беситом Алби в 1986 г. Вирус заражал компьютеры в отместку за несанкционированное копирование программного обеспечения.
Только в США этот вирус заразил около 18 000 компьютеров. Он стал первым вирусом, использовавшим технологию маскировки (СТЕЛС). При попытке чтения зараженного загрузочного сектора вирус подставлял его незараженную копию. В этом же году Р. Бюргер обосновал и показал практически возможность создания файлового вируса. В 1987 г. появляется вирус дьеппа, дизассемблированная копия которого с комментариями была опубликована Р. Бюргером в книге, специально посвященной компьютерным вирусам. В ноябре 1988 г. отмечена эпидемия сетевого вируса Морриса. Этот вирус вследствие ошибки в программном коде рассылал свои копии по другим компьютерам сети и инфицировал таким образом более 6000 компьютерных систем в США, включая компьютеры ХАБА КезеагсЬ 1пзШи1е.
Общие убытки от вируса Морриса 218 ,::были оценены в 96 млн долларов. Для своего размножения он, ',:.подбирая пароли из стандартного списка, использовал ошибки в . операционной системе 1.1п1х. В 1990 г. появляется первый полиморфный вирус СЬаше1еоп, : обнаружение которого невозможно по участку постоянного кода ':: (маске или сигнатуре). Это свойство вируса заставило разработчи.': ков антивирусных программ искать другие методы его детектирования. В начале 1992 г. появляется первый генератор полиморфного :- кода М1Е, на базе которого создается сразу несколько полиморф, ных вирусов. В конце этого же года отмечается появление первого ': вируса, заражающего выполняемые модули МБ Ж1пс1ожк.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
