Программные средства, используемые для несанкционированного доступа к информации

МИНИСТЕРСТВО КУЛЬТУРЫ И ТУРИЗМА УКРАИНЫ

ХАРЬКОВСКАЯ ГОСУДАРСТВЕННАЯ АКАДЕМИЯ КУЛЬТУРЫ

Кафедра информационных технологий

ПРОГРАММНЫЕ СРЕДСТВА, ИСПОЛЬЗУЕМЫЕ ДЛЯ НЕСАНКЦИОНИРОВАННОГО ДОСТУПА К ИНФОРМАЦИИ

Реферат по дисциплине «Электронный документооборот»

Выполнила

студентка ф-та ДИД

Голик Ольга Валерьевна

Харьков-2010г.

СОДЕРЖАНИЕ

ВВЕДЕНИЕ

1. ВИДЫ И ЗАДАЧИ ПРОГРАММНЫХ СРЕДСТВ ДЛЯ НЕСАНКЦИОНИРОВАННОГО ДОСТУПА (НСД)

2. КЛАССИФИКАЦИЯ ПРОГРАММНЫХ СРЕДСТВ ДЛЯ НСД

3. МЕТОДЫ НСД

ЗАКЛЮЧЕНИЕ

ПЕРЕЧЕНЬ ССЫЛОК

ВВЕДЕНИЕ

Информация является одним из объектов гражданских прав, в том числе и прав собственности, владения и пользования.

Информация стала товаром, который можно приобрести, продать, обменять. При этом стоимость информации часто в сотни раз превосходит стоимость компьютерной системы, в которой она хранится.

Предотвращение ущерба собственнику, владельцу или пользователю информации является целью защиты информации от несанкционированного доступа и воздействия.

Несанкционированный доступ -- это получение защищаемой информации заинтересованным субъектом с нарушением правил доступа к ней. А несанкционированное воздействие на защищаемую информацию -- воздействие с нарушением правил ее изменения. Несанкционированный доступ проводят субъекты, не имеющие право на это, тем самым нанося определённый ущерб законному владельцу информации. Осуществляется несанкционированный доступ программными средствами.

1 ВИДЫ И ЗАДАЧИ ПРОГРАММНЫХ СРЕДСТВ ДЛЯ НЕСАНКЦИОНИРОВАННОГО ДОСТУПА (НСД)

Пути реализации воздействий, которые считаются опасными для информационной системы, называются угрозами информации. Их существует большое множество, но по характеру возникновения все их можно разделить на 2 вида: преднамеренные и непреднамеренные.

Непреднамеренные угрозы -- это случайные действия, выраженные в неадекватной поддержке механизмов защиты или ошибками в управлении. А преднамеренные -- это несанкционированное получение информации и несанкционированная манипуляция данными, ресурсами, самими системами.

По типу реализации можно различать программные и непрограммные угрозы. К программным относят те, которые реализованы в виде отдельного программного модуля или модуля в составе программного обеспечения. К непрограммным относят злоупотребления, в основе которых лежит использование технических средств информационной системы (ИС) для подготовки и реализации компьютерных преступлений (например, несанкционированное подключение к коммуникационным сетям, съем информации с помощью специальной аппаратуры и др.).

Преследуя различные цели, компьютерные злоумышленники используют широкий набор программных средств. Исходя из этого, представляется возможным объединение программных средств в две группы: тактические и стратегические.

К тактическим относят те, которые преследуют достижение ближайшей цели (например, получение пароля, уничтожение данных и др.). Они обычно используются для подготовки и реализации стратегических средств, которые направлены на реализацию далеко идущих целей и связаны с большими финансовыми потерями для ИС. К группе стратегических относятся средства, реализация которых обеспечивает возможность получения контроля за технологическими операциями преобразования информации, влияние на функционирование компонентов ИС (например, мониторинг системы, вывод из строя аппаратной и программной среды и др.).

Потенциальными программными злоупотреблениями можно считать программные средства, которые обладают следующими функциональными возможностями:

· сокрытие признаков своего присутствия в программной среде ЭВМ;

· обладание способностью к самодублированию, ассоциированию себя с другими программами и/или переносу своих фрагментов в иные области оперативной или внешней памяти;

· разрушение (искажение произвольным образом) кодов программ в оперативной памяти;

· сохранение фрагментов информации из оперативной памяти в некоторых областях внешней памяти прямого доступа (локальных или удаленных);

· искажение произвольным образом, блокирование и/или подмена выводимого во внешнюю память или в канал связи массива информации, образовавшегося в результате работы прикладных программ, или уже находящиеся во внешней памяти массивы данных.

2 КЛАССИФИКАЦИЯ ПРОГРАММЫХ СРЕДСТВ ДЛЯ НСД

Среди самых распространенных программных злоупотреблений следует выделить: программы поручения паролей, "люки", логические бомбы, троянские кони, репликаторы, компьютерные вирусы, программные закладки и др.

Программы получения паролей -- это две большие группы программ, которые предназначены для получения идентификаторов и паролей пользователей. С данным злоупотреблением связывается термин "взлом системы".

Программы открытия паролей последовательно генерируют все возможные варианты пароля и выдают их системе до тех пор, пока не будет определен необходимый пароль. Пароли являются основным средством идентификации пользователей в многопользовательских компьютерных системах, а открытие пароля и входного имени пользователя позволяет организовать доступ к конкретной информации.

Программы захвата паролей имитируют системный сбой в работе компьютера (например, перезагрузку операционной системы, отключение сети и др.), и запрашивают у пользователя идентификатор и пароль, после чего передают управление рабочей программе, операционной системе или другим программам.

«Люки» или «trap door» -- не описанные в документации возможности работы с программным продуктом.

Сущность использования люков состоит в том, что при реализации пользователем не описанных в документации действий, он получает доступ к ресурсам и данным, которые в обычных условиях для него закрыты (в частности, вход в привилегированный режим обслуживания).

Люки могут появиться в программном продукте следующими путями:

1. Люки чаще всего являются результатом забывчивости разработчиков. В процессе разработки программы создаются временные механизмы, облегчающие ведение отладки за счет прямого доступа к продукту.

2. Люки могут образоваться также в результате часто практикуемой технологии разработки программных продуктов "сверху--вниз". При этом программист приступает к написанию управляющей программы, заменяя предполагаемые в будущем подпрограммы так называемыми «заглушками» группами команд, имитирующими или обозначающими место присоединения будущих подпрограмм. В процессе работы эти заглушки заменяются реальными подпрограммами.

На момент замены последней заглушки реальной подпрограммой, программа считается законченной. Но на практике подобная замена выполняется не всегда. Во-первых, из-за нарушения сроков разработки и сдачи в эксплуатацию и, во-вторых, из-за невостребованности данной подпрограммы. Таким образом, заглушка остается, представляя собой слабое место системы с точки зрения информационной безопасности.

3. Программист пишет программу, которой можно управлять с помощью определенных команд, или, например, путем ввода "Y" ("Да") или N ("Нет"). В случае неправильного вода должно появляться сообщение типа «Неправильный ввод» и повтор запроса. Однако может быть ситуация, когда программа не учитывает такое, предполагая, что пользователь будет действовать правильно. В таком случае реакция программы на неопределенный ввод может быть непредсказуемой. Такую ситуацию в программе можно специально создать для того, чтобы получить доступ к определенным ресурсам и данным.

Таким образом, люк может присутствовать в программном продукте вследствие умышленных или неумышленных действий со стороны программиста для обеспечения: тестирования и отладки программного продукта; окончательной сборки конечной программы; скрытого средства доступа к программному продукту и данным.

«Логические бомбы» (logic bomb) -- программный код, который является безвредным до выполнения определенного условия, после которого реализуется логический механизм. Логические бомбы, в которых срабатывание скрытого модуля определяется временем (текущей датой), называют бомбами с часовым механизмом (time bomb). Подобные программы, реализующие свой механизм после конкретного числа исполнений, при наличии или, наоборот, отсутствии определенного файла, а также соответствующей записи в файле, получили название логической бомбы (logic bomb).

В связи с тем, что подобные программы имеют ограниченный доступ к ресурсам системы, разрушительный эффект остается достаточно низким. Опасность может значительно увеличиться, если логическая бомба будет встроена в системное программное обеспечение, что приведет к уничтожению файлов, переформатированию машинных носителей или к другим разрушающим последствиям.

Основной целью функционирования программ типа логической бомбы следует считать нарушение нормальной работы компьютерной системы.

«Троянский конь» -- программа, которая кроме своей основной деятельности выполняет некоторые дополнительные (разрушительные), не описанные в документации функции, о чем пользователь не подозревает.

Реализация дополнительных функций выполняется скрытым от пользователя модулем, который может встраиваться в системное и прикладное программное обеспечение. При реализации пораженной программы троянский конь получает доступ к ресурсам вместе с пользователем.

В чужое программное обеспечение тайно вводятся специально созданные программы, которые, попадая в информационно-вычислительные системы, начинают выполнять новые, не планировавшиеся законным владельцем действия, с одновременным сохранением прежних функций. По существу «троянский конь» -- это модернизация рассмотренного выше способа «люк» с той лишь разницей, что люк «открывается» не при помощи непосредственных действий преступника, а автоматически, с использованием специально подготовленной для этих целей программы и без непосредственного участия самого преступника.

Троянские кони опасны, поскольку чаще всего они встраиваются в хорошо зарекомендовавшие себя программные продукты -- инструментальные средства, пакеты прикладных программ, текстовые редакторы, компьютерные игры и т.д. Они выступают в качестве средства несанкционированного доступа к содержащейся в системе информации.

Компьютерные системы, использующий дескрипторные методы управления доступом (в том числе такие, как полномочия, списки управления доступом и др.), становятся практически беззащитными против программ типа троянский конь.

Репликаторы -- могут создавать одну, или более своих копий в компьютерной системе. Это приводит к быстрому переполнению памяти компьютера, но данные действия могут быть обнаружены опытным пользователем и достаточно легко устранены. Устранение программы репликатора усложняется в тех случаях, когда затрудняется распознавание ее новых копий. А когда к функции размножения добавляются другие разрушающие воздействия, репликаторные программы становятся особенно опасными.

Программные закладки -- программы, которые сохраняют вводимую с клавиатуры информацию (в том числе и пароли) в некоторой зарезервированной для этого области.

Атаки «салями» -- характерны для финансовых банковских информационных систем, где ежедневно проводятся тысячи операций, связанных с безналичными расчетами, переводами сумм, начислениями и т.д. При реализации расчетов вычисляются различного рода доли, которые округляются в большую или меньшую сторону. Атака «салями» состоит в накоплении на отдельном счете этих долей денежной единицы. Практика доказала, что эксплуатация такой программы обеспечивает накопление значительных сумм.

Скрытые каналы -- это программы, передающие информацию лицам, которые в обычных условиях эту информацию получать не должны. Злоумышленник не всегда имеет непосредственный доступ к компьютерной системе. Для скрытой передачи информации используют различные элементы, форматы «безобидных» отчетов, например, разную длину строк, пропуски между строками, наличие или отсутствие служебных заголовков, управляемый вывод незначащих цифр в выводимых величинах, количество пробелов или других символов в определенных местах отчета и т.д.

При использовании скрытых каналов для получения относительно небольших объемов информации захватчик вынужден проделать достаточно большую работу. Поэтому скрытые каналы более приемлемы в ситуациях, когда нарушителя интересует не сама информация, а факт её наличия.

Может возникнуть ситуация, когда скрытый канал сообщает о наличии в системе определенной информации, что в свою очередь служит признаком работы в системе определенного процесса, позволяющего провести атаку иного типа.

Компьютерные вирусы (KB) -- представляют собой программные разработки, способные проникать в среду компьютерных систем и наносить разного рода повреждения.

Вирусы представляют собой наиболее полно исследованный класс программных злоупотреблений, превосходящий по разрушающим возможностям все другие.

Компьютерный вирус -- это специально написанная программа, которая может «приписать» себя к другим программам (т.е. «заражать» их), размножаться и порождать новые вирусы для выполнения различных нежелательных действий на компьютере.

3 МЕТОДЫ НСД

С развитием технологий обработки информации получили распространение методы НСД. Самыми распространенными можно считать:

«Отказы в обслуживании» -- несанкционированное использование компьютерной системы в своих целях (например, для бесплатного решения своих задач), либо блокирование системы для отказа в обслуживании другим пользователям. Для реализации такого злоупотребления используются так называемые «жадные программы» -- программы, способные захватить монопольно определенный ресурс системы (причем необязательно центральный процессор).

Работа между строк (between lines) -- подключение к линиям связи и внедрение в компьютерную систему с использованием промежутков в действиях законного пользователя. При интерактивной работе пользователя образуются своеобразные «окна» (например, отклик системы опережает действия пользователя, которому необходимо время для обдумывания последующих действий). Эти «окна» вполне могут быть использованы нарушителем для работы с системой под маской пользователя.

Анализ трафика (trafic analysis) -- захватчик анализирует частоту и методы контактов пользователей в системе. При этом можно выяснить правила вступления в связь, после чего производится попытка вступить в контакт подвидом законного пользователя.

Маскарад (masquerade) -- захватчик использует для входа в систему ставшую ему известной идентификацию законного пользователя.

«Подкладывание свиньи» (piggback) -- нарушитель подключается к линиям связи и имитирует работу системы с целью осуществления незаконных манипуляций. Например, он может имитировать сеанс связи и получить данные под видом легального пользователя. Пользователь, не подозревая об этом, передает информацию и/или получает ее. Таким образом, может осуществляться не только шпионаж, но и дезинформация.

Повторное использование объектов (object reutilization) -- состоит в восстановлении и повторном использовании удаленных объектов системы.

Примером реализации подобного злоупотребления служит удаление файлов операционной системой. Когда ОС выдает сообщение, что, некоторый файл удален, то это не означает, что информация, содержащаяся в данном файле, уничтожена в прямом смысле слова. Информация, которая была в данном блоке, никуда не исчезает до момента записи на это место другой информации. Одной из разновидностей повторного использования объектов является работа с компьютерным «мусором». Компьютерным «мусором» являются данные, оставшиеся в памяти компьютера после завершения работы. Осуществляя сбор компьютерного «мусора» с помощью специальных программных средств, нарушитель имеет возможность проанализировать содержание информационной деятельности пользователей.

«Раздеватели» -- комплекс специально разработанных программных средств, ориентированных на исследование защитного механизма программного продукта от НСД и его преодоление.

Развитие средств связи и электронной почты выделило злоупотребление, которое в литературе получило название «пинание» (pinging). Суть данного злоупотребления заключается в том, что, используя стандартные или специально разработанные программные средства, злоумышленник может вывести из строя электронный адрес, бомбардируя его многочисленными почтовыми сообщениями. Следствием «пинания» могут стать осложнения и возможность непреднамеренного игнорирования полученной электронной почты.

Необходимо отметить, что при планировании и разработке злоупотреблений нарушителями могут создаваться новые, не приведенные в данной классификации, а также применяться любые сочетания описанных злоупотреблений.

ЗАКЛЮЧЕНИЕ

Современная информационная система представляет собой сложную систему, состоящую из большого числа компонентов различной степени автономности, которые связаны между собой и обмениваются данными. И практически каждый компонент может подвергнуться внешнему воздействию или выйти из строя.

Возможность реализации угроз зависит от наличия в ИС уязвимых мест, количество и специфика которых определяется видом решаемых задач, характером обрабатываемой информации, аппаратно-программными особенностями системы, наличием средств защиты и их характеристиками.

Современные операционные системы для персональных компьютеров, имеют собственные подсистемы защиты. Но актуальность создания дополнительных средств защиты сохраняется, т.к. большинство систем не способны защитить данные, находящиеся за их пределами, в частности от несанкционированного доступа.

ПЕРЕЧЕНЬ ССЫЛОК

1. Варлатая, С.К. Шаханова, М.В. Программно-аппаратная защита информации [Электронный ресурс]. -- Режим доступа: http://window.edu.ru/window_catalog/pdf2txt?p_id=24552

2. Защита информационных объектов [Электронный ресурс]. -- Режим доступа: http://globalsecur.ru/old/index_3.php

3. Классификация компьютерных преступлений [Электронный ресурс]. -- Режим доступа: http://www.makcim.yaroslavl.ru/crime.htm

4. Охрименко, С.А. Черней, Г.А. Угрозы безопасности автоматизированным информационным системам (программные злоупотребления) [Электронный ресурс]. -- Режим доступа: http://www.ase.md/~osa/publ/ru/pubru05.html