Xu hướng chung trong sự phát triển của phần mềm độc hại.

Mối đe dọa nằm ở việc mong muốn khởi chạy các chương trình độc hại khác nhau đã được nhúng trước đó trên máy chủ ISPD: chương trình đánh dấu, vi rút, "gián điệp mạng", mục đích chính là vi phạm tính bảo mật, tính toàn vẹn, tính sẵn có của thông tin và toàn quyền kiểm soát hoạt động của máy chủ. . Ngoài ra, có thể khởi chạy trái phép các chương trình ứng dụng của người dùng để nhận trái phép dữ liệu cần thiết cho kẻ xâm nhập, để khởi chạy các quy trình do ứng dụng kiểm soát, v.v.

Có ba lớp con của các mối đe dọa này:

Phân phối các tệp chứa mã thực thi trái phép;

Khởi chạy ứng dụng từ xa bằng cách làm tràn bộ đệm của các ứng dụng máy chủ;

Khởi chạy ứng dụng từ xa bằng cách sử dụng khả năng điều khiển từ xa của hệ thống, được cung cấp bởi các tab phần mềm và phần cứng ẩn hoặc được sử dụng bằng các phương tiện tiêu chuẩn.

Các mối đe dọa điển hình của lớp con đầu tiên được chỉ định dựa trên việc kích hoạt các tệp có thể phân phối lại khi chúng vô tình bị truy cập. Ví dụ về các tệp đó là: tệp chứa mã thực thi ở dạng tài liệu chứa mã thực thi ở dạng điều khiển ActiveX, ứng dụng Java, tập lệnh được thông dịch (ví dụ: văn bản JavaScript); tệp chứa mã chương trình thực thi. Các dịch vụ e-mail, truyền tệp, hệ thống tệp mạng có thể được sử dụng để phân phối tệp.

Các mối đe dọa của lớp con thứ hai khai thác những thiếu sót của các chương trình thực hiện các dịch vụ mạng (đặc biệt, việc thiếu kiểm soát đối với các lỗi tràn bộ đệm). Bằng cách điều chỉnh các thanh ghi hệ thống, đôi khi có thể chuyển bộ xử lý sau một ngắt do tràn bộ đệm để thực thi mã chứa bên ngoài ranh giới bộ đệm. Một ví dụ về mối đe dọa như vậy là sự ra đời của virus Morris nổi tiếng.

Trong trường hợp có mối đe dọa từ lớp con thứ ba, kẻ xâm nhập sử dụng khả năng điều khiển hệ thống từ xa được cung cấp bởi các thành phần ẩn (ví dụ: "Trojan" như Back. Orifice, Net Bus), hoặc bằng các phương tiện quản lý và quản trị mạng máy tính tiêu chuẩn (Landesk Management Suite, Managewise, Back Orifice, v.v.). NS.). Kết quả của việc sử dụng chúng, có thể đạt được điều khiển từ xa đối với trạm trong mạng.

không chắc.

Một danh sách tổng quát về khả năng thực hiện các mối đe dọa đối với các loại ISPD khác nhau được trình bày trong Bảng 12.

Bảng 12

Đe dọa tiêm phần mềm độc hại qua mạng

Các chương trình độc hại được đưa qua mạng bao gồm các vi rút tích cực sử dụng các giao thức và khả năng của các mạng cục bộ và toàn cầu để phân phối chúng. Nguyên tắc cơ bản của virus mạng là khả năng truyền mã của nó đến một máy chủ hoặc máy trạm từ xa một cách độc lập. Virus mạng "chính thức" cũng có khả năng chạy mã của chúng trên một máy tính từ xa để thực thi, hoặc ít nhất là "thúc đẩy" người dùng khởi chạy một tệp bị nhiễm.

Các chương trình độc hại đảm bảo việc triển khai NSD có thể là:

Các chương trình đoán và bẻ khóa mật khẩu;

Các chương trình thực hiện các mối đe dọa;

Các chương trình chứng minh việc sử dụng các khả năng chưa được khai báo của phần mềm và ISPDn phần mềm và phần cứng;

Máy phát virus máy tính;

Các chương trình chứng minh lỗ hổng của các công cụ bảo mật thông tin, v.v.

Nếu trong Tổ chức, PD đã xử lý không được gửi qua mạng công cộng và trao đổi quốc tế, bảo vệ chống vi-rút được cài đặt, thì khả năng mối đe dọa được thực hiện là không chắc.

Trong tất cả các trường hợp khác, phải đánh giá khả năng hiện thực của mối đe dọa.

Một danh sách tổng quát về khả năng thực hiện các mối đe dọa đối với các loại ISPD khác nhau được trình bày trong Bảng 13.

Bảng 13

Đe dọa tính khả thi

Dựa trên kết quả đánh giá mức độ an ninh (Y 1) (phần 7) và khả năng xảy ra mối đe dọa (Y 2) (phần 9), hệ số khả thi của mối đe dọa (Y) được tính toán và khả năng hiện thực hóa mối đe dọa. (bảng 4). Hệ số khả thi của mối đe dọa Y sẽ được xác định theo tỷ lệ Y = (Y 1 + Y 2) / 20

Việc xác định tính khả thi của các mối đe dọa được thực hiện trên cơ sở Báo cáo kết quả đánh giá nội bộ.

Danh sách tổng quát đánh giá tính khả thi của UBPD đối với các loại ISPD khác nhau được trình bày trong Bảng 14-23.

Bảng 14 - IC loại I độc lập

Bảng 15 - Loại vi mạch độc lập II

Bảng 16 - Loại vi mạch độc lập III

Bảng 17 - Loại vi mạch độc lập IV

Bảng 18 - IC loại V độc lập

Bảng 19 - IC loại VI độc lập

Bảng 20 - LIS loại I

Một nhiệm vụ cần thiết đối với những kẻ viết vi rút và tội phạm mạng là tiêm vi rút, sâu hoặc ngựa thành Troy vào máy tính hoặc điện thoại di động của nạn nhân. Mục tiêu này đạt được theo nhiều cách khác nhau, thuộc hai loại chính:

• kỹ thuật xã hội (thuật ngữ "kỹ thuật xã hội" cũng được sử dụng - giấy truy tìm từ tiếng Anh "social engineering");
• các phương pháp kỹ thuật đưa mã độc vào hệ thống bị lây nhiễm mà người dùng không biết.

Thường thì các phương pháp này được sử dụng đồng thời. Đồng thời, các biện pháp đặc biệt cũng thường được sử dụng để chống lại các chương trình chống vi rút.

Kỹ thuật xã hội

Các phương pháp kỹ thuật xã hội buộc người dùng chạy một tệp bị nhiễm hoặc mở một liên kết đến một trang web bị nhiễm theo cách này hay cách khác. Những phương pháp này không chỉ được sử dụng bởi nhiều sâu email mà còn được sử dụng bởi các loại phần mềm độc hại khác.

Nhiệm vụ của tin tặc và tác giả vi rút là thu hút sự chú ý của người dùng đến một tệp bị nhiễm (hoặc liên kết HTTP đến tệp bị nhiễm), quan tâm người dùng và buộc họ nhấp vào tệp (hoặc vào liên kết đến tệp). "Một tác phẩm kinh điển của thể loại" là sâu email giật gân LoveLetter vào tháng 5 năm 2000, nó vẫn dẫn đầu về thiệt hại tài chính, theo Computer Economics. Thông báo mà con sâu hiển thị trên màn hình trông như thế này:

Nhiều người đã phản ứng với việc công nhận "I LOVE YOU", và kết quả là máy chủ mail của các công ty lớn không thể chịu được tải - con sâu này đã gửi các bản sao của chính nó đến tất cả các địa chỉ liên hệ từ sổ địa chỉ mỗi khi tệp VBS đính kèm. đã mở.

Sâu thư Mydoom, bùng nổ trên Internet vào tháng 1 năm 2004, sử dụng các văn bản bắt chước các thông điệp kỹ thuật của máy chủ thư.

Cũng cần nhắc đến sâu Swen, giả dạng một thông điệp từ Microsoft và ngụy trang thành một bản vá sửa một số lỗ hổng mới trong Windows (không ngạc nhiên khi nhiều người dùng không chịu nổi lời kêu gọi cài đặt "một bản vá khác từ Microsoft") .

Ngoài ra còn có các sự cố, một trong số đó xảy ra vào tháng 11 năm 2005. Trong một trong các phiên bản của sâu Sober, cảnh sát hình sự Đức đang điều tra các trường hợp truy cập các trang web bất hợp pháp. Bức thư này được gửi đến tay một người yêu thích nội dung khiêu dâm trẻ em, người này đã lấy nó để làm công văn, và ngoan ngoãn đầu hàng chính quyền.

Gần đây, không phải các tệp đính kèm với lá thư đã trở nên phổ biến đặc biệt, mà là các liên kết đến các tệp nằm trên trang web bị nhiễm. Một nạn nhân tiềm năng được gửi tin nhắn - qua thư, qua ICQ hoặc một máy nhắn tin khác, ít thường xuyên hơn - qua các cuộc trò chuyện IRC trên Internet (trong trường hợp vi-rút di động, SMS là phương thức gửi thông thường). Tin nhắn chứa một số văn bản hấp dẫn khiến người dùng không nghi ngờ nhấp vào liên kết. Phương pháp thâm nhập máy tính nạn nhân này cho đến nay là phổ biến và hiệu quả nhất, vì nó cho phép bạn vượt qua các bộ lọc chống vi rút cảnh giác trên các máy chủ thư.

Các khả năng của mạng chia sẻ tệp (mạng P2P) cũng được sử dụng. Một con sâu hoặc con ngựa thành Troy tự lây lan vào mạng P2P dưới nhiều cái tên hấp dẫn, ví dụ:

• AIM & AOL Password Hacker.exe
• Microsoft CD Key Generator.exe
• PornStar3D.exe
• play trạm giả lập crack.exe

Khi tìm kiếm các chương trình mới, người dùng P2P tình cờ gặp những tên này, tải xuống các tệp và khởi chạy chúng để thực thi.

Cũng khá phổ biến là "giật dây" khi nạn nhân bị đánh trượt một tiện ích miễn phí hoặc hướng dẫn cách hack các hệ thống thanh toán khác nhau. Ví dụ: họ cung cấp quyền truy cập miễn phí vào Internet hoặc nhà cung cấp dịch vụ di động, tải xuống trình tạo mã số thẻ tín dụng, tăng số tiền trong ví Internet cá nhân, v.v. Đương nhiên, các nạn nhân của trò gian lận như vậy khó có thể liên hệ với các cơ quan thực thi pháp luật (xét cho cùng, trên thực tế, chính họ đã cố gắng kiếm tiền theo cách gian lận), và tội phạm Internet sử dụng điều này với sức mạnh và chính.

Một kẻ tấn công không rõ danh tính từ Nga đã sử dụng một phương pháp "nối dây" bất thường vào năm 2005-2006. Con ngựa thành Troy đã được gửi đến các địa chỉ được tìm thấy trên trang web job.ru, chuyên về giới thiệu việc làm và tìm kiếm nhân sự. Một số người đã xuất bản lý lịch của họ ở đó bị cáo buộc đã nhận được lời đề nghị làm việc với một tệp đính kèm bức thư, tệp này được đề nghị mở và tự làm quen với nội dung của nó. Tất nhiên, tập tin là một con ngựa thành Troy. Một điều thú vị nữa là cuộc tấn công được thực hiện chủ yếu trên các địa chỉ email của công ty. Tính toán, rõ ràng, dựa trên thực tế là các nhân viên của công ty không có khả năng báo cáo nguồn lây nhiễm. Và điều đó đã xảy ra - trong hơn sáu tháng, các chuyên gia của Kaspersky Lab không thể có được bất kỳ thông tin dễ hiểu nào về phương thức xâm nhập của chương trình Trojan vào máy tính của người dùng.

Cũng có những trường hợp khá kỳ lạ, ví dụ, một bức thư có tài liệu đính kèm, trong đó khách hàng của ngân hàng được yêu cầu xác nhận (hay nói đúng hơn là thông báo) mã truy cập của họ - để in tài liệu, điền vào biểu mẫu đính kèm và sau đó gửi fax nó đến số điện thoại được chỉ định trong thư.

Một trường hợp bất thường khác về việc giao phần mềm gián điệp tại nhà xảy ra ở Nhật Bản vào mùa thu năm 2005. Một số tội phạm mạng đã gửi đĩa CD bị nhiễm phần mềm gián điệp Trojan đến địa chỉ nhà (thành phố, đường phố, nhà riêng) của khách hàng của một ngân hàng Nhật Bản. Trong trường hợp này, thông tin đã được sử dụng từ cơ sở khách hàng bị đánh cắp trước đây của chính ngân hàng này.

Công nghệ thực hiện

Những công nghệ này được tội phạm mạng sử dụng để đưa mã độc vào hệ thống một cách bí mật mà không thu hút sự chú ý của chủ sở hữu máy tính. Điều này được thực hiện thông qua các lỗ hổng trong hệ thống bảo mật của hệ điều hành và trong phần mềm. Sự hiện diện của các lỗ hổng cho phép một con sâu mạng hoặc con ngựa thành Troy do kẻ tấn công thiết kế có thể xâm nhập vào máy tính nạn nhân và tự khởi chạy để thực thi.

Trên thực tế, các lỗ hổng là lỗi trong mã hoặc trong logic hoạt động của các chương trình khác nhau. Các hệ điều hành và ứng dụng hiện đại có cấu trúc phức tạp và nhiều chức năng, và đơn giản là không thể tránh khỏi những sai lầm trong quá trình thiết kế và phát triển chúng. Đây là thứ mà những kẻ viết vi rút và tội phạm mạng sử dụng.

Các lỗ hổng trong ứng dụng email Outlook đã bị sâu email Nimda và Aliz khai thác. Để khởi chạy tệp của sâu, bạn chỉ cần mở một tin nhắn bị nhiễm hoặc chỉ cần di chuột qua nó trong cửa sổ xem trước là đủ.

Ngoài ra, các chương trình độc hại tích cực khai thác các lỗ hổng trong các thành phần mạng của hệ điều hành. Để phát tán các lỗ hổng này, các loại sâu CodeRed, Sasser, Slammer, Lovesan (Blaster) và nhiều loại sâu khác chạy trong Windows đã được sử dụng. Các hệ thống Linux cũng bị tấn công - sâu Ramen và Slapper đã thâm nhập vào máy tính thông qua các lỗ hổng trong môi trường điều hành này và các ứng dụng dành cho nó.

Trong những năm gần đây, một trong những phương thức lây nhiễm phổ biến nhất là tiêm mã độc qua các trang web. Đồng thời, các lỗ hổng trong trình duyệt Internet thường bị khai thác. Một tệp bị nhiễm và một chương trình tập lệnh được đặt trên một trang web khai thác lỗ hổng trong trình duyệt. Khi người dùng truy cập vào một trang bị nhiễm, một chương trình tập lệnh sẽ được kích hoạt, thông qua một lỗ hổng, chương trình này sẽ tải xuống tệp bị nhiễm vào máy tính và khởi chạy nó ở đó để thực thi. Kết quả là, để lây nhiễm cho một số lượng lớn máy tính, nó là đủ để thu hút càng nhiều người dùng càng tốt vào một trang web như vậy. Điều này đạt được bằng nhiều cách khác nhau, ví dụ, bằng cách gửi thư rác với chỉ dẫn của địa chỉ trang, gửi các tin nhắn tương tự thông qua máy nhắn tin Internet, đôi khi thậm chí các công cụ tìm kiếm cũng được sử dụng cho việc này. Nhiều loại văn bản được đặt trên trang bị nhiễm, điều này sớm hay muộn được tính toán bởi các công cụ tìm kiếm - và liên kết đến trang này xuất hiện trong danh sách các trang khác trong kết quả tìm kiếm.

Trojan, được thiết kế để tải xuống và khởi chạy các Trojan khác, nằm trong một lớp riêng biệt. Thông thường, những Trojan này, rất nhỏ, bằng cách này hay cách khác (ví dụ: sử dụng một lỗ hổng khác trong hệ thống) được "tuồn" vào máy tính của nạn nhân, sau đó chúng độc lập tải xuống từ Internet và cài đặt các thành phần độc hại khác vào hệ thống. Thông thường, những Trojan này thay đổi cài đặt trình duyệt thành những cài đặt không an toàn nhất để "tạo điều kiện dễ dàng hơn" cho các Trojan khác.

Các lỗ hổng được biết đến nhanh chóng được các công ty phát triển sửa chữa, nhưng thông tin về các lỗ hổng mới liên tục xuất hiện, ngay lập tức được sử dụng bởi nhiều tin tặc và tác giả vi rút. Nhiều "bot" Trojan sử dụng các lỗ hổng mới để tăng số lượng của chúng và các lỗi mới trong Microsoft Office ngay lập tức bắt đầu được sử dụng để đưa các Trojan mới vào máy tính. Đồng thời, thật không may, có xu hướng giảm khoảng thời gian giữa sự xuất hiện của thông tin về lỗ hổng tiếp theo và khi bắt đầu sử dụng nó bởi sâu và Trojan. Kết quả là, các công ty sản xuất phần mềm dễ bị tấn công và các nhà phát triển chương trình chống vi-rút thấy mình trong tình huống áp lực về thời gian. Việc đầu tiên cần sửa lỗi càng nhanh càng tốt, kiểm tra kết quả (thường được gọi là "bản vá", "bản vá") và gửi nó cho người dùng, và lần thứ hai - phát hành ngay lập tức một công cụ để phát hiện và chặn các đối tượng (tệp, mạng gói tin) khai thác lỗ hổng.

Sử dụng đồng thời các công nghệ thực hiện và các phương pháp kỹ thuật xã hội

Khá thường xuyên, tội phạm mạng sử dụng cả hai phương pháp cùng một lúc. Phương pháp kỹ thuật xã hội là thu hút sự chú ý của một nạn nhân tiềm năng, và phương pháp kỹ thuật là tăng khả năng một đối tượng bị lây nhiễm xâm nhập vào hệ thống.

Ví dụ, sâu email Mimail lây lan dưới dạng tệp đính kèm email. Để người dùng chú ý đến bức thư, văn bản được thiết kế đặc biệt đã được chèn vào nó và khởi chạy một bản sao của sâu từ kho lưu trữ ZIP được đính kèm với bức thư - một lỗ hổng trong trình duyệt Internet Explorer. Do đó, khi mở một tệp từ kho lưu trữ, sâu tạo ra một bản sao của chính nó trên đĩa và khởi chạy nó để thực thi mà không có bất kỳ cảnh báo hệ thống hoặc hành động bổ sung nào của người dùng. Nhân tiện, con sâu này là một trong những kẻ đầu tiên đánh cắp thông tin cá nhân của người dùng ví điện tử Internet vàng.

Một ví dụ khác là gửi thư rác với chủ đề "Xin chào" và nội dung "Hãy xem họ viết gì về bạn." Văn bản được theo sau bởi một liên kết đến một trang web nhất định. Phân tích cho thấy trang web này chứa một chương trình kịch bản, sử dụng một lỗ hổng khác trong Internet Explorer, tải LdPinch Trojan vào máy tính của người dùng, được thiết kế để lấy cắp các mật khẩu khác nhau.

Chống lại các chương trình chống vi-rút

Vì mục tiêu của tội phạm mạng là đưa mã độc vào máy tính nạn nhân, chúng không chỉ buộc người dùng khởi chạy tệp bị nhiễm hoặc xâm nhập vào hệ thống thông qua một số lỗ hổng mà còn phải lẻn qua bộ lọc chống vi-rút đã cài đặt. Do đó, không có gì ngạc nhiên khi tội phạm mạng đang nhắm mục tiêu có chủ đích đến các chương trình chống vi rút. Các kỹ thuật họ sử dụng rất đa dạng, nhưng phổ biến nhất là những cách sau:

Đóng gói mã và mã hóa. Hầu hết (nếu không phải là hầu hết) sâu máy tính hiện đại và Trojan đều được đóng gói hoặc mã hóa theo cách này hay cách khác. Hơn nữa, máy tính ngầm tạo ra các tiện ích đóng gói và mã hóa được thiết kế đặc biệt. Ví dụ, hoàn toàn tất cả các tệp được tìm thấy trên Internet, được xử lý bởi các tiện ích CryptExe, Exeref, PolyCrypt và một số tệp khác, hóa ra là độc hại.

Để phát hiện ra các loại sâu và Trojan như vậy, các chương trình chống vi-rút phải thêm các phương pháp giải mã và giải mã mới hoặc thêm chữ ký vào từng mẫu của chương trình độc hại, điều này làm giảm chất lượng phát hiện, vì không phải lúc nào tất cả các mẫu mã sửa đổi đều có thể kết thúc bằng bàn tay của một công ty chống vi-rút.

Đột biến mã. Pha loãng mã Trojan với các hướng dẫn rác. Kết quả là, chức năng của chương trình Trojan vẫn được giữ nguyên, nhưng "diện mạo" của nó bị thay đổi đáng kể. Đôi khi, có những trường hợp đột biến mã xảy ra trong thời gian thực - mỗi khi Trojan được tải xuống từ một trang web bị nhiễm. Những thứ kia. tất cả hoặc một phần quan trọng của các mẫu Trojan tiếp cận máy tính từ một trang web như vậy là khác nhau. Một ví dụ về công nghệ này là sâu email Warezov, một số phiên bản của chúng đã gây ra dịch bệnh đáng kể vào nửa cuối năm 2006.

Ẩn sự hiện diện của bạn. Cái gọi là "công nghệ rootkit" thường được sử dụng trong Trojan. Việc đánh chặn và thay thế các chức năng của hệ thống được thực hiện, do đó tệp bị nhiễm không thể nhìn thấy bằng các phương tiện tiêu chuẩn của hệ điều hành hoặc các chương trình chống vi-rút. Đôi khi nó cũng ẩn các nhánh đăng ký trong đó một bản sao của Trojan được đăng ký và các khu vực hệ thống khác của máy tính. Những công nghệ này được sử dụng tích cực, ví dụ, bởi Trojan cửa hậu HacDef.

Dừng chương trình chống vi-rút và hệ thống nhận các bản cập nhật cho cơ sở dữ liệu chống vi-rút (các bản cập nhật). Nhiều Trojan và sâu mạng thực hiện các hành động đặc biệt chống lại các chương trình chống vi rút - chúng tìm kiếm chúng trong danh sách các ứng dụng đang hoạt động và cố gắng dừng công việc của chúng, làm hỏng cơ sở dữ liệu chống vi rút, chặn cập nhật, v.v. Các chương trình chống vi-rút phải tự bảo vệ mình theo những cách thích hợp - giám sát tính toàn vẹn của cơ sở dữ liệu, ẩn quy trình của chúng khỏi Trojan, v.v.

Ẩn mã của bạn trên các trang web.Địa chỉ của các trang web chứa các tệp Trojan sớm hay muộn cũng được các công ty chống vi-rút biết đến. Đương nhiên, các trang như vậy chịu sự giám sát chặt chẽ của các nhà phân tích chống vi-rút - nội dung của trang được tải xuống định kỳ, các phiên bản Trojan mới được thêm vào các bản cập nhật chống vi-rút. Để chống lại điều này, trang web được sửa đổi theo một cách đặc biệt - nếu yêu cầu đến từ địa chỉ của một công ty chống vi-rút, thì một số tệp không phải Trojan sẽ được tải xuống thay vì Trojan.

Tấn công theo số lượng. Tạo ra và phân phối trên Internet một số lượng lớn các phiên bản Trojan mới trong một khoảng thời gian ngắn. Kết quả là, các công ty chống vi-rút tràn ngập các mẫu mới mà phải mất thời gian để phân tích, điều này tạo thêm cơ hội cho mã độc xâm nhập thành công máy tính.

Các phương pháp này và các phương pháp khác được máy tính sử dụng ngầm để chống lại các chương trình chống vi-rút. Đồng thời, hoạt động của tội phạm mạng đang gia tăng hàng năm và bây giờ chúng ta có thể nói về một "cuộc chạy đua công nghệ" thực sự diễn ra giữa ngành công nghiệp chống vi-rút và ngành công nghiệp vi-rút. Đồng thời, số lượng tin tặc cá nhân và các nhóm tội phạm cũng như tính chuyên nghiệp của chúng ngày càng tăng. Tất cả những điều này cùng nhau làm tăng đáng kể mức độ phức tạp và khối lượng công việc mà các công ty chống vi-rút yêu cầu để phát triển các công cụ bảo vệ thích hợp.

Mối đe dọa nằm ở việc mong muốn khởi chạy các chương trình độc hại khác nhau được cài đặt sẵn trên máy chủ ISPD: chương trình đánh dấu trang, vi rút, "phần mềm gián điệp mạng", mục đích chính là vi phạm tính bảo mật, tính toàn vẹn, tính sẵn có của thông tin và toàn quyền kiểm soát hoạt động của tổ chức. Ngoài ra, có thể khởi chạy trái phép các chương trình ứng dụng của người dùng để nhận trái phép dữ liệu cần thiết cho kẻ xâm nhập, để khởi chạy các quy trình do ứng dụng kiểm soát, v.v.

Có ba lớp con của các mối đe dọa này:

phân phối các tệp chứa mã thực thi trái phép;

khởi chạy từ xa một ứng dụng bằng cách làm tràn bộ đệm của các ứng dụng máy chủ;

khởi chạy ứng dụng từ xa bằng cách sử dụng khả năng điều khiển từ xa của hệ thống được cung cấp bởi các tab phần mềm và phần cứng ẩn hoặc được sử dụng bằng các phương tiện tiêu chuẩn.

Các mối đe dọa điển hình của lớp con đầu tiên được chỉ định dựa trên việc kích hoạt các tệp có thể phân phối lại khi chúng vô tình bị truy cập. Ví dụ về các tệp đó là: tệp chứa mã thực thi ở dạng tài liệu chứa mã thực thi ở dạng điều khiển ActiveX, ứng dụng Java, tập lệnh được thông dịch (ví dụ: văn bản JavaScript); tệp chứa mã chương trình thực thi. Các dịch vụ e-mail, truyền tệp, hệ thống tệp mạng có thể được sử dụng để phân phối tệp.

Các mối đe dọa của lớp con thứ hai khai thác những thiếu sót của các chương trình thực hiện các dịch vụ mạng (đặc biệt, việc thiếu kiểm soát đối với các lỗi tràn bộ đệm). Bằng cách điều chỉnh các thanh ghi hệ thống, đôi khi có thể chuyển bộ xử lý sau một ngắt do tràn bộ đệm để thực thi mã chứa bên ngoài ranh giới bộ đệm. Một ví dụ về mối đe dọa như vậy là sự ra đời của virus Morris nổi tiếng.

Trong trường hợp có mối đe dọa từ lớp con thứ ba, kẻ xâm nhập sử dụng khả năng điều khiển hệ thống từ xa được cung cấp bởi các thành phần ẩn (ví dụ: "Trojan" như Back. Orifice, Net Bus), hoặc bằng các phương tiện quản lý và quản trị mạng máy tính tiêu chuẩn (Landesk Management Suite, Managewise, Back Orifice, v.v.). NS.). Kết quả của việc sử dụng chúng, có thể đạt được điều khiển từ xa đối với trạm trong mạng.

Nếu trong Tổ chức, PD đã xử lý không được gửi qua mạng công cộng và trao đổi quốc tế, bảo vệ chống vi-rút được cài đặt, thì khả năng mối đe dọa được thực hiện là không chắc.

Trong tất cả các trường hợp khác, phải đánh giá khả năng hiện thực của mối đe dọa.

Một danh sách tổng quát về khả năng thực hiện các mối đe dọa đối với các loại ISPD khác nhau được trình bày trong Bảng 12.

Bảng 12

Tích cực Ấn bản từ 15.02.2008

"MÔ HÌNH CƠ BẢN CỦA BA ĐỐI VỚI BẢO MẬT DỮ LIỆU CÁ NHÂN ĐANG XỬ LÝ TRONG HỆ THỐNG THÔNG TIN DỮ LIỆU CÁ NHÂN" (được FSTEC RF phê duyệt ngày 15.02.2008)

5. Đe dọa truy cập trái phép thông tin trong hệ thống thông tin dữ liệu cá nhân

Các mối đe dọa đối với truy cập trái phép trong ISPD với việc sử dụng phần mềm và phần mềm và phần cứng được thực hiện khi không được phép, bao gồm cả việc vô tình, truy cập được thực hiện, do đó tính bảo mật (sao chép, phân phối trái phép), tính toàn vẹn (phá hủy, sửa đổi) và khả năng truy cập ( chặn) của PD bị vi phạm và bao gồm:

các mối đe dọa truy cập (thâm nhập) vào môi trường hoạt động của máy tính sử dụng phần mềm tiêu chuẩn (các công cụ của hệ điều hành hoặc các chương trình ứng dụng chung);

Các mối đe dọa tạo ra các chế độ hoạt động bất thường của phần mềm (phần mềm và phần cứng) có nghĩa là do các thay đổi có chủ ý trong dữ liệu dịch vụ, bỏ qua các hạn chế về thành phần và đặc tính của thông tin được xử lý được cung cấp trong điều kiện tiêu chuẩn, làm biến dạng (sửa đổi) dữ liệu của chính nó, v.v. ;

các mối đe dọa về việc giới thiệu các chương trình độc hại (phần mềm và tác động toán học).

Thành phần của các yếu tố để mô tả các mối đe dọa đối với thông tin trong ISPD được thể hiện trong Hình 3.

Ngoài ra, có thể có các mối đe dọa kết hợp, là sự kết hợp của các mối đe dọa này. Ví dụ, do sự ra đời của các chương trình độc hại, các điều kiện có thể được tạo ra để truy cập trái phép vào môi trường hoạt động của máy tính, bao gồm cả việc hình thành các kênh truy cập thông tin phi truyền thống.

Các mối đe dọa truy cập (thâm nhập) vào môi trường vận hành ISPD sử dụng phần mềm tiêu chuẩn được chia thành các mối đe dọa truy cập trực tiếp và từ xa. Các mối đe dọa truy cập trực tiếp được thực hiện bằng cách sử dụng phần mềm và đầu vào / đầu ra dựa trên phần cứng của máy tính. Các mối đe dọa truy cập từ xa được thực hiện bằng các giao thức mạng.

Những mối đe dọa này được thực hiện liên quan đến ISPD cả trên cơ sở một máy trạm tự động không có trong mạng truyền thông công cộng và liên quan đến tất cả ISPD có kết nối với mạng truyền thông công cộng và mạng trao đổi thông tin quốc tế.

Mô tả về các mối đe dọa truy cập (thâm nhập) vào môi trường hoạt động của máy tính có thể được trình bày chính thức như sau:

mối đe dọa của NSD trong ISPDN: =<источник угрозы>, <уязвимость ИСПДн>, <способ реализации угрозы>, <объект воздействия (программа, протокол, данные и др.)>, <деструктивное действие>.

Hình 3. Các yếu tố mô tả các mối đe dọa đối với thông tin trong ISPDN

Các mối đe dọa tạo ra các phương thức hoạt động bất thường của phương tiện phần mềm (phần sụn) là các mối đe dọa "Từ chối Dịch vụ". Theo quy định, các mối đe dọa này được xem xét trong mối quan hệ với ISPDN dựa trên hệ thống thông tin cục bộ và phân tán, không phụ thuộc vào kết nối trao đổi thông tin. Việc triển khai chúng là do việc phát triển hệ thống hoặc phần mềm ứng dụng không tính đến khả năng có các hành động cố ý để thay đổi có chủ đích:

điều kiện xử lý dữ liệu (ví dụ, bỏ qua các hạn chế về độ dài của gói tin);

Định dạng trình bày dữ liệu (với sự không nhất quán của các định dạng đã sửa đổi được thiết lập để xử lý thông qua các giao thức truyền thông mạng);

Phần mềm xử lý dữ liệu.

Kết quả của việc thực hiện các mối đe dọa từ chối dịch vụ, tràn bộ đệm và các quy trình xử lý bị chặn, vòng lặp quy trình xử lý và máy tính bị đóng băng, gói tin nhắn bị rớt, v.v. Mô tả về các mối đe dọa đó có thể được trình bày chính thức như sau:

Mối đe dọa từ chối dịch vụ: =<источник угрозы>, <уязвимость ИСПДн>, <способ реализации угрозы>, <объект воздействия (носитель ПДн)>, <непосредственный результат реализации угрозы (переполнение буфера, блокирование процедуры обработки, "зацикливание" обработки и т.п.)>.

Không thích hợp để mô tả các mối đe dọa về việc giới thiệu các chương trình độc hại (ảnh hưởng theo chương trình và toán học) với cùng một chi tiết như các mối đe dọa ở trên. Điều này là do thực tế là, trước hết, số lượng các chương trình độc hại ngày nay đã vượt quá một trăm nghìn. Thứ hai, khi tổ chức bảo vệ thông tin trên thực tế, như một quy luật, chỉ cần biết lớp của chương trình độc hại, các phương pháp và hậu quả của việc thực hiện (lây nhiễm) là đủ. Về vấn đề này, các mối đe dọa của tác động toán học-phần mềm (PMA) có thể được trình bày một cách chính thức như sau:

Mối đe dọa PMV trong ISPDn: =<класс вредоносной программы (с указанием среды обитания)>, <источник угрозы (носитель вредоносной программы)>, <способ инфицирования>, <объект воздействия (загрузочный сектор, файл и т.п.)>, <описание возможных деструктивных действий>, <дополнительная информация об угрозе (резидентность, скорость распространения, полиморфичность и др.)>.

Dưới đây là mô tả chung về các nguồn của các mối đe dọa đối với an toàn thông tin, các lỗ hổng có thể được sử dụng để thực hiện các mối đe dọa đối với truy cập trái phép và các đặc điểm của kết quả của việc truy cập trái phép hoặc tình cờ. Đặc điểm của các phương pháp thực hiện các mối đe dọa được đưa ra khi mô tả các mối đe dọa truy cập (thâm nhập) vào môi trường hoạt động của máy tính, các mối đe dọa từ chối dịch vụ và các mối đe dọa PMA.

Các nguồn của các mối đe dọa NSD trong ISPD có thể là:

kẻ xâm nhập;

người vận chuyển chương trình độc hại;

đánh dấu phần cứng.

Các mối đe dọa bảo mật dữ liệu cá nhân liên quan đến việc triển khai các tab phần cứng được xác định theo các quy định của Cơ quan An ninh Liên bang của Liên bang Nga theo cách thức do Cơ quan này thiết lập.

Bằng cách có quyền truy cập vĩnh viễn hoặc một lần vào khu vực được kiểm soát (CZ) của ISPD, những người vi phạm được chia thành hai loại:

người phạm tội không có quyền truy cập vào ISPD, nhận ra các mối đe dọa từ các mạng truyền thông công cộng bên ngoài và (hoặc) mạng trao đổi thông tin quốc tế - người phạm tội bên ngoài;

những người vi phạm có quyền truy cập vào ISPD, bao gồm cả người dùng ISPD, những người thực hiện các mối đe dọa trực tiếp trong ISPD, là những kẻ vi phạm nội bộ.

Người phạm tội bên ngoài có thể là:

dịch vụ tình báo của các bang;

Cấu trúc tội phạm;

đối thủ cạnh tranh (tổ chức cạnh tranh);

đối tác vô đạo đức;

các tác nhân bên ngoài (cá nhân).

Kẻ xâm nhập bên ngoài có các khả năng sau:

thực hiện việc truy cập trái phép vào các kênh liên lạc vượt ra ngoài khuôn viên văn phòng;

thực hiện truy cập trái phép thông qua các máy trạm kết nối với mạng truyền thông công cộng và (hoặc) mạng trao đổi thông tin quốc tế;

thực hiện truy cập trái phép vào thông tin bằng các hành động đặc biệt của phần mềm thông qua vi rút phần mềm, phần mềm độc hại, thuật toán hoặc dấu trang phần mềm;

Thực hiện truy cập trái phép thông qua các phần tử của cơ sở hạ tầng thông tin của ISPD, mà trong vòng đời của chúng (hiện đại hóa, bảo trì, sửa chữa, loại bỏ) cuối cùng nằm ngoài khu vực được kiểm soát;

thực hiện truy cập trái phép thông qua hệ thống thông tin của các phòng ban, tổ chức và cơ quan tương tác khi chúng được kết nối với ISPD.

Khả năng của một người vi phạm nội bộ về cơ bản phụ thuộc vào chế độ và các biện pháp bảo vệ tổ chức và kỹ thuật có hiệu lực trong khu vực được kiểm soát, bao gồm việc tiếp nhận các cá nhân vào dữ liệu cá nhân và kiểm soát quy trình làm việc.

Những người vi phạm tiềm ẩn nội bộ được chia thành tám loại tùy thuộc vào phương pháp truy cập và thẩm quyền tiếp cận PD.

Loại đầu tiên bao gồm những người có quyền truy cập vào PDIS, nhưng không có quyền truy cập vào PD. Loại người vi phạm này bao gồm các quan chức đảm bảo hoạt động bình thường của ISPD.

có quyền truy cập vào các đoạn thông tin có chứa PD và lan truyền qua các kênh liên lạc nội bộ của ISPD;

Có các đoạn thông tin về cấu trúc liên kết của ISPDn (phần giao tiếp của mạng con) và về các giao thức truyền thông đã sử dụng và các dịch vụ của chúng;

Bỏ tên và tiến hành xác định mật khẩu của những người đã đăng ký;

thay đổi cấu hình của các phương tiện kỹ thuật của ISPD, thêm các tab phần mềm và phần cứng vào đó và cung cấp khả năng truy xuất thông tin bằng cách sử dụng kết nối trực tiếp đến các phương tiện kỹ thuật của ISPD.

có tất cả các khả năng của những người thuộc loại đầu tiên;

Biết ít nhất một tên truy cập hợp pháp;

Có tất cả các thuộc tính cần thiết (ví dụ: mật khẩu) cung cấp quyền truy cập vào một tập hợp con nhất định của PD;

có dữ liệu bí mật mà nó có quyền truy cập.

Quyền truy cập, xác thực và quyền truy cập của nó đối với một tập hợp con nhất định của PD nên được quy định bởi các quy tắc kiểm soát truy cập thích hợp.

có tất cả các khả năng của những người thuộc loại thứ nhất và thứ hai;

Có thông tin về cấu trúc liên kết của ISPD dựa trên hệ thống thông tin cục bộ và (hoặc) phân tán mà qua đó việc truy cập được thực hiện và về thành phần của các phương tiện kỹ thuật của ISPD;

có khả năng truy cập trực tiếp (vật lý) vào các đoạn phương tiện kỹ thuật của ISPD.

Có thông tin đầy đủ về hệ thống và phần mềm ứng dụng được sử dụng trong ISPDN phân đoạn (segment);

Sở hữu thông tin đầy đủ về các phương tiện kỹ thuật và cấu hình của phân đoạn ISPD (phân mảnh);

có quyền truy cập vào các công cụ ghi nhật ký và bảo mật thông tin, cũng như các phần tử riêng lẻ được sử dụng trong phân đoạn ISPD (phân mảnh);

có quyền truy cập vào tất cả các phương tiện kỹ thuật của phân đoạn ISPD (phân mảnh);

có quyền định cấu hình và quản lý một tập hợp con nhất định của các phương tiện kỹ thuật của phân đoạn ISPD (phân mảnh).

Có tất cả các khả năng của những người thuộc các loại trước;

có thông tin đầy đủ về hệ thống và phần mềm ứng dụng ISPDN;

có thông tin đầy đủ về các phương tiện kỹ thuật và cấu hình của ISPD;

có quyền truy cập vào tất cả các phương tiện kỹ thuật xử lý thông tin và dữ liệu ISPD;

có quyền định cấu hình và quản lý các phương tiện kỹ thuật của ISPD.

Người quản trị hệ thống cấu hình và quản lý phần mềm (phần mềm) và thiết bị, bao gồm thiết bị chịu trách nhiệm bảo mật cho đối tượng được bảo vệ: phương tiện bảo vệ thông tin mật mã, giám sát, đăng ký, lưu trữ, bảo vệ chống giả mạo.

có tất cả các khả năng của những người thuộc các loại trước;

có thông tin đầy đủ về ISPD;

có quyền truy cập vào các công cụ ghi nhật ký và bảo mật thông tin cũng như một số yếu tố chính của ISPD;

Không có quyền truy cập vào cấu hình của các phương tiện kỹ thuật của mạng, ngoại trừ quyền kiểm soát (kiểm tra).

Quản trị viên bảo mật chịu trách nhiệm tuân thủ các quy tắc kiểm soát truy cập, tạo ra các yếu tố chính, thay đổi mật khẩu. Quản trị viên bảo mật kiểm tra các biện pháp bảo vệ đối tượng giống như quản trị viên hệ thống.

có thông tin về các thuật toán và chương trình xử lý thông tin trên ISPD;

Nó có khả năng đưa lỗi, khả năng chưa được khai báo, lỗi phần mềm, chương trình độc hại vào phần mềm ISPD ở giai đoạn phát triển, triển khai và bảo trì;

có thể có bất kỳ phần thông tin nào về cấu trúc liên kết của ISPD và các phương tiện kỹ thuật để xử lý và bảo vệ PD được xử lý trong ISPD.

có khả năng thêm dấu trang vào các phương tiện kỹ thuật của ISPD ở giai đoạn phát triển, triển khai và bảo trì của chúng;

Nó có thể có bất kỳ phần thông tin nào về cấu trúc liên kết của ISPD và các phương tiện kỹ thuật để xử lý và bảo vệ thông tin trong ISPD.

Vật mang chương trình độc hại có thể là phần tử phần cứng của máy tính hoặc vùng chứa phần mềm. Nếu một chương trình độc hại không được liên kết với bất kỳ chương trình ứng dụng nào, thì những chương trình sau được coi là nhà cung cấp dịch vụ của nó:

Phương tiện lưu động, nghĩa là, đĩa mềm, đĩa quang (CD-R, CD-RW), bộ nhớ flash, ổ cứng rời, v.v.;

Phương tiện lưu trữ tích hợp (ổ cứng, vi mạch RAM, bộ xử lý, vi mạch bo mạch chủ, vi mạch của các thiết bị được tích hợp trong bộ hệ thống - bộ điều hợp video, card mạng, card âm thanh, modem, thiết bị đầu vào / đầu ra của đĩa cứng từ tính và đĩa quang, bộ nguồn , v.v.) vv, vi mạch truy cập bộ nhớ trực tiếp, bus truyền dữ liệu, cổng vào / ra);

vi mạch của các thiết bị bên ngoài (màn hình, bàn phím, máy in, modem, máy quét, v.v.).

Nếu một chương trình độc hại được liên kết với một chương trình ứng dụng, với các tệp có phần mở rộng nhất định hoặc các thuộc tính khác, với các thông báo được truyền qua mạng, thì các nhà cung cấp dịch vụ của nó là:

các gói thông điệp được truyền qua mạng máy tính;

tệp (văn bản, đồ họa, tệp thực thi, v.v.).

Lỗ hổng của hệ thống thông tin dữ liệu cá nhân là sự thiếu hụt hoặc điểm yếu trong hệ thống hoặc phần mềm ứng dụng (phần mềm và phần cứng) của hệ thống thông tin tự động, có thể được sử dụng để thực hiện các mối đe dọa đối với tính bảo mật của dữ liệu cá nhân.

Các lý do cho sự xuất hiện của các lỗ hổng bảo mật là:

lỗi trong thiết kế và phát triển phần mềm (phần cứng và phần mềm);

các hành động cố ý để tạo ra các lỗ hổng trong quá trình thiết kế và phát triển phần mềm (phần sụn);

cài đặt phần mềm không chính xác, thay đổi bất hợp pháp chế độ hoạt động của thiết bị và chương trình;

Giới thiệu và sử dụng trái phép các chương trình chưa được kiểm tra dẫn đến lãng phí tài nguyên không hợp lý sau đó (tải bộ xử lý, chiếm RAM và bộ nhớ trên phương tiện bên ngoài);

sự ra đời của các chương trình độc hại tạo ra các lỗ hổng trong phần mềm và phần cứng-phần mềm;

các hành động vô ý của người dùng trái phép dẫn đến lỗ hổng bảo mật;

trục trặc của phần cứng và phần mềm (do mất điện, hỏng phần cứng do lão hóa và giảm độ tin cậy, ảnh hưởng bên ngoài của trường điện từ của thiết bị kỹ thuật, v.v.).

Phân loại các lỗ hổng ISPDN chính được thể hiện trong Hình 4.

Hình 4. Phân loại lỗ hổng phần mềm

Dưới đây là mô tả chung về các nhóm lỗ hổng ISPDN chính, bao gồm:

lỗ hổng trong phần mềm hệ thống (bao gồm cả các giao thức truyền thông mạng);

lỗ hổng của phần mềm ứng dụng (bao gồm cả các công cụ bảo vệ thông tin).

Các lỗ hổng trong phần mềm hệ thống cần được xem xét liên quan đến kiến ​​trúc của hệ thống máy tính xây dựng.

Trong trường hợp này, các lỗ hổng có thể xảy ra:

trong vi chương trình, trong ROM phần sụn, EPROM;

trong các công cụ hệ điều hành được thiết kế để quản lý tài nguyên cục bộ của ISPD (cung cấp hiệu suất của các chức năng để quản lý các quy trình, bộ nhớ, thiết bị đầu vào / đầu ra, giao diện người dùng, v.v.), trình điều khiển, tiện ích;

Trong các công cụ của hệ điều hành được thiết kế để thực hiện các chức năng phụ trợ - tiện ích (lưu trữ, chống phân mảnh, v.v.), chương trình xử lý hệ thống (trình biên dịch, trình liên kết, trình gỡ lỗi, v.v.), chương trình cung cấp cho người dùng các dịch vụ bổ sung (tùy chọn giao diện đặc biệt, máy tính, trò chơi, v.v.), thư viện các thủ tục cho các mục đích khác nhau (thư viện các hàm toán học, các hàm nhập / xuất, v.v.);

trong các phương tiện tương tác truyền thông (phương tiện mạng) của hệ điều hành.

Các lỗ hổng trong chương trình cơ sở và các công cụ hệ điều hành để quản lý tài nguyên cục bộ và các chức năng phụ trợ có thể là:

Các chức năng, thủ tục, thay đổi các tham số theo một cách nào đó cho phép chúng được sử dụng để truy cập trái phép mà hệ điều hành không phát hiện ra những thay đổi đó;

các đoạn mã chương trình ("lỗ", "cửa sập"), được giới thiệu bởi nhà phát triển, cho phép bỏ qua các thủ tục nhận dạng, xác thực, kiểm tra tính toàn vẹn, v.v.;

Các lỗi trong chương trình (trong khai báo biến, hàm và thủ tục, trong mã chương trình), trong các điều kiện nhất định (ví dụ, khi thực hiện chuyển đổi lôgic) dẫn đến hỏng hóc, bao gồm cả sự cố của các công cụ và hệ thống bảo vệ thông tin.

Các lỗ hổng của các giao thức truyền thông mạng có liên quan đến đặc thù của việc triển khai phần mềm của chúng và gây ra bởi các hạn chế về kích thước của bộ đệm được áp dụng, thiếu sót trong quy trình xác thực, thiếu kiểm tra xác thực thông tin dịch vụ, v.v. Mô tả ngắn gọn về các lỗ hổng này như áp dụng cho các giao thức được đưa ra trong Bảng 2.

ban 2

Các lỗ hổng của các giao thức riêng lẻ của ngăn xếp giao thức TCP / IP, trên cơ sở đó các mạng công cộng toàn cầu hoạt động

Để hệ thống hóa mô tả của nhiều lỗ hổng, một cơ sở dữ liệu lỗ hổng CVE (Common Vulnerabilities and Exposures) thống nhất được sử dụng, trong đó các chuyên gia từ nhiều công ty và tổ chức nổi tiếng như miter, ISS, Cisco, BindView, Axent, NFR , L-3, CyberSafe, đã tham gia. CERT, Đại học Carnegie Mellon, Viện SANS, v.v. Cơ sở dữ liệu này được cập nhật liên tục và được sử dụng để hình thành cơ sở dữ liệu của nhiều công cụ phần mềm phân tích bảo mật và trên hết là máy quét mạng.

Phần mềm ứng dụng bao gồm chương trình ứng dụng công cộng và chương trình ứng dụng đặc biệt.

Các ứng dụng công cộng - trình chỉnh sửa văn bản và đồ họa, chương trình đa phương tiện (trình phát âm thanh và video, phần mềm thu TV, v.v.), hệ thống quản lý cơ sở dữ liệu, nền tảng phần mềm công cộng để phát triển phần mềm (chẳng hạn như Delphi, Visual Basic), phương tiện bảo vệ thông tin công cộng, v.v. .

Các chương trình ứng dụng đặc biệt là các chương trình được phát triển nhằm giải quyết các vấn đề ứng dụng cụ thể trong một ISPD nhất định (bao gồm cả phần mềm bảo mật thông tin được phát triển cho một ISPD cụ thể).

Các lỗ hổng phần mềm ứng dụng có thể là:

các chức năng và thủ tục liên quan đến các chương trình ứng dụng khác nhau và không tương thích với nhau (không hoạt động trong cùng một môi trường hoạt động) do xung đột liên quan đến việc phân phối tài nguyên hệ thống;

Các chức năng, thủ tục, thay đổi các tham số theo một cách nào đó cho phép chúng được sử dụng để thâm nhập vào môi trường vận hành ISPD và gọi các chức năng tiêu chuẩn của hệ điều hành, thực hiện truy cập trái phép mà không phát hiện ra những thay đổi đó của hệ điều hành;

các đoạn mã chương trình ("lỗ", "cửa sập") do nhà phát triển đưa vào, cho phép bỏ qua các thủ tục nhận dạng, xác thực, kiểm tra tính toàn vẹn, v.v., được cung cấp trong hệ điều hành;

thiếu các phương tiện bảo vệ cần thiết (xác thực, kiểm tra tính toàn vẹn, kiểm tra định dạng tin nhắn, chặn các chức năng sửa đổi trái phép, v.v.);

Các lỗi trong chương trình (trong việc khai báo các biến, hàm và thủ tục, trong mã chương trình), trong các điều kiện nhất định (ví dụ, khi thực hiện chuyển đổi lôgic) dẫn đến lỗi, bao gồm cả sự cố của các công cụ và hệ thống an toàn thông tin, dẫn đến khả năng bị xâm nhập trái phép tiếp cận thông tin.

Dữ liệu về lỗ hổng bảo mật cho các ứng dụng thương mại được phát triển và phân phối được thu thập, tóm tắt và phân tích trong cơ sở dữ liệu CVE<*>.

<*>Được thực hiện bởi một công ty nước ngoài CERT trên cơ sở thương mại.

Các mối đe dọa truy cập (thâm nhập) vào môi trường hoạt động của máy tính và truy cập trái phép vào dữ liệu cá nhân có liên quan đến quyền truy cập:

thông tin và lệnh được lưu trữ trong hệ thống đầu vào / đầu ra cơ bản (BIOS) ISPDN, với khả năng chặn kiểm soát khởi động hệ điều hành và có được quyền của người dùng đáng tin cậy;

vào môi trường hoạt động, nghĩa là vào môi trường hoạt động của hệ điều hành cục bộ của một phương tiện kỹ thuật riêng biệt của ISPD với khả năng thực hiện truy cập trái phép bằng cách gọi các chương trình hệ điều hành tiêu chuẩn hoặc khởi chạy các chương trình được phát triển đặc biệt để thực hiện các hành động đó;

vào môi trường hoạt động của các chương trình ứng dụng (ví dụ: hệ quản trị cơ sở dữ liệu cục bộ);

trực tiếp đến thông tin của người dùng (đối với tệp, văn bản, thông tin âm thanh và đồ họa, các trường và hồ sơ trong cơ sở dữ liệu điện tử) và do khả năng vi phạm tính bảo mật, tính toàn vẹn và tính sẵn có của nó.

Những mối đe dọa này có thể được thực hiện trong trường hợp có được quyền truy cập vật lý vào ISPD hoặc ít nhất là vào các phương tiện nhập thông tin vào ISPD. Chúng có thể được kết hợp thành ba nhóm tùy theo các điều khoản thực hiện.

Nhóm đầu tiên bao gồm các mối đe dọa được thực hiện trong quá trình khởi động hệ điều hành. Những mối đe dọa đối với an toàn thông tin này nhằm mục đích đánh chặn mật khẩu hoặc mã định danh, sửa đổi phần mềm của hệ thống đầu vào / đầu ra cơ bản (BIOS), ngăn chặn điều khiển khởi động với việc thay đổi thông tin công nghệ cần thiết để nhận NSD vào môi trường vận hành ISPD. Thông thường, các mối đe dọa như vậy được thực hiện bằng cách sử dụng các phương tiện xa lạ.

Nhóm thứ hai bao gồm các mối đe dọa được thực hiện sau khi môi trường hoạt động được tải, bất kể chương trình ứng dụng nào được khởi chạy bởi người dùng. Những mối đe dọa này thường nhằm thực hiện truy cập trái phép trực tiếp vào thông tin. Khi có được quyền truy cập vào môi trường điều hành, kẻ xâm nhập có thể sử dụng cả các chức năng tiêu chuẩn của hệ điều hành hoặc bất kỳ chương trình ứng dụng công cộng nào (ví dụ: hệ quản lý cơ sở dữ liệu) và các chương trình được thiết kế đặc biệt để thực hiện truy cập trái phép, ví dụ:

chương trình để xem và sửa đổi sổ đăng ký;

Chương trình tìm kiếm văn bản trong tệp văn bản bằng từ khóa và sao chép;

các chương trình đặc biệt để xem và sao chép các bản ghi trong cơ sở dữ liệu;

các chương trình để xem nhanh các tệp đồ họa, chỉnh sửa hoặc sao chép chúng;

các chương trình hỗ trợ khả năng cấu hình lại môi trường phần mềm (thiết lập ISPD vì lợi ích của người vi phạm), v.v.

Cuối cùng, nhóm thứ ba bao gồm các mối đe dọa, việc triển khai chúng được xác định bởi chương trình ứng dụng nào được khởi chạy bởi người dùng hoặc thực tế là bất kỳ chương trình ứng dụng nào được khởi chạy. Hầu hết các mối đe dọa này là mối đe dọa tiêm phần mềm độc hại.

Nếu ISPDN được thực hiện trên cơ sở hệ thống thông tin cục bộ hoặc phân tán, thì các mối đe dọa đối với an toàn thông tin có thể được thực hiện trong đó bằng cách sử dụng các giao thức kết nối. Trong trường hợp này, truy cập trái phép vào dữ liệu cá nhân có thể được cung cấp hoặc có thể nhận ra mối đe dọa từ chối dịch vụ. Các mối đe dọa đặc biệt nguy hiểm khi ISPDN là một hệ thống thông tin phân tán được kết nối với các mạng công cộng và (hoặc) các mạng trao đổi thông tin quốc tế. Sơ đồ phân loại các mối đe dọa được thực hiện qua mạng được thể hiện trong Hình 5. Nó dựa trên bảy đặc điểm phân loại chính sau đây.

1. Bản chất của mối đe dọa. Trên cơ sở này, các mối đe dọa có thể thụ động và chủ động. Mối đe dọa thụ động là mối đe dọa mà khi được thực hiện, không ảnh hưởng trực tiếp đến hoạt động của ISPD, nhưng các quy tắc đã thiết lập để phân biệt quyền truy cập vào PD hoặc tài nguyên mạng có thể bị vi phạm. Một ví dụ về các mối đe dọa đó là mối đe dọa Phân tích lưu lượng mạng, nhằm mục đích nghe trộm các kênh liên lạc và chặn thông tin được truyền đi.

Mối đe dọa đang hoạt động là mối đe dọa liên quan đến tác động đến tài nguyên ISPD, việc triển khai chúng ảnh hưởng trực tiếp đến hoạt động của hệ thống (thay đổi cấu hình, trục trặc, v.v.) và vi phạm các quy tắc đã thiết lập để phân biệt quyền truy cập vào PD hoặc mạng tài nguyên. Một ví dụ về mối đe dọa như vậy là mối đe dọa từ chối dịch vụ, được thực hiện như một cơn bão yêu cầu TCP.

2. Mục đích của việc thực hiện đe dọa. Trên cơ sở này, các mối đe dọa có thể nhằm vi phạm tính bảo mật, tính toàn vẹn và tính sẵn có của thông tin (bao gồm cả sự gián đoạn của ISPD hoặc các yếu tố của nó).

3. Điều kiện để bắt đầu thực hiện quá trình thực hiện mối đe dọa. Trên cơ sở này, một mối đe dọa có thể được nhận ra:

theo yêu cầu từ một đối tượng liên quan đến mối đe dọa đang được thực hiện. Trong trường hợp này, kẻ xâm nhập mong đợi việc truyền một yêu cầu thuộc một loại nhất định, đó sẽ là điều kiện để bắt đầu truy cập trái phép;

Hình 5. Sơ đồ phân loại các mối đe dọa sử dụng các giao thức truyền thông Internet

Khi xảy ra sự kiện dự kiến ​​tại cơ sở, liên quan đến mối đe dọa đang được thực hiện. Trong trường hợp này, kẻ xâm nhập liên tục theo dõi trạng thái của hệ điều hành ISPD và khi một sự kiện nhất định xảy ra trong hệ thống này, bắt đầu truy cập trái phép;

tác động vô điều kiện. Trong trường hợp này, việc bắt đầu truy cập trái phép là vô điều kiện liên quan đến mục tiêu truy cập, tức là mối đe dọa được nhận ra ngay lập tức và bất kể trạng thái của hệ thống.

4. Tính sẵn có của phản hồi từ ISPDN. Trên cơ sở này, quá trình thực hiện một mối đe dọa có thể có hoặc không có phản hồi. Mối đe dọa được thực hiện khi có phản hồi từ ISPD được đặc trưng bởi thực tế là người vi phạm cần nhận được câu trả lời cho một số yêu cầu được gửi đến ISPD. Do đó, có một phản hồi giữa người vi phạm và ISPD, cho phép người vi phạm phản hồi đầy đủ với tất cả các thay đổi trong ISPD. Không giống như các mối đe dọa được thực hiện khi có phản hồi từ ISPD, khi triển khai các mối đe dọa mà không có phản hồi, nó không bắt buộc phải phản hồi với bất kỳ thay đổi nào trong ISPD.

5. Vị trí của người vi phạm trong mối quan hệ với ISPDN. Phù hợp với đặc điểm này, mối đe dọa được thực hiện cả trong nội bộ phân khúc và liên phân khúc. Phân đoạn mạng là một liên kết vật lý của các máy chủ (phương tiện kỹ thuật ISPD hoặc các phần tử truyền thông với một địa chỉ mạng). Ví dụ, phân đoạn ISPDN tạo thành một tập hợp các máy chủ được kết nối với máy chủ theo sơ đồ "bus chung". Trong trường hợp có mối đe dọa nội bộ, kẻ xâm nhập có quyền truy cập vật lý vào các phần cứng của ISPD. Nếu có một mối đe dọa xen kẽ, thì kẻ xâm nhập đang ở bên ngoài ISPDN, nhận ra mối đe dọa từ mạng khác hoặc từ một phân đoạn khác của ISPDN.

6. Mức độ tương tác của mô hình tham chiếu hệ thống mở<*>(ISO / OSI) mà trên đó mối đe dọa được thực hiện. Trên cơ sở này, một mối đe dọa có thể được thực hiện ở cấp độ vật lý, kênh, mạng, vận tải, phiên, đại diện và ứng dụng của mô hình ISO / OSI.

<*>Tổ chức Tiêu chuẩn hoá Quốc tế (ISO) đã thông qua tiêu chuẩn ISO 7498, trong đó mô tả Kết nối Hệ thống Mở (OSI).

7. Tỷ lệ giữa số người vi phạm và các yếu tố của ISPDN, liên quan đến mối đe dọa đang được thực hiện. Theo tiêu chí này, một mối đe dọa có thể được phân loại là một loại các mối đe dọa được thực hiện bởi một kẻ xâm nhập đối với một phương tiện kỹ thuật của ISPD (mối đe dọa "một đối một"), cùng một lúc đối với một số phương tiện kỹ thuật của ISPD (mối đe dọa "một-nhiều") hoặc bởi một số kẻ xâm nhập từ các máy tính khác nhau liên quan đến một hoặc một số phương tiện kỹ thuật của ISPD (các mối đe dọa phân tán hoặc kết hợp).

Có tính đến việc phân loại được thực hiện, có thể phân biệt bảy trong số các mối đe dọa được thực hiện thường xuyên nhất.

1. Phân tích lưu lượng mạng (Hình 6).

Hình 6. Sơ đồ thực hiện mối đe dọa "Phân tích lưu lượng mạng"

Mối đe dọa này được thực hiện bằng cách sử dụng một trình phân tích gói đặc biệt (trình đánh hơi), chặn tất cả các gói được truyền qua phân đoạn mạng và phân biệt chúng với những gói mà ID người dùng và mật khẩu của anh ta được truyền đi. Trong quá trình thực hiện mối đe dọa, kẻ xâm nhập sẽ kiểm tra logic của hoạt động mạng - nghĩa là hắn tìm cách có được sự tương ứng rõ ràng giữa các sự kiện xảy ra trong hệ thống và các lệnh được gửi bởi các máy chủ tại thời điểm các sự kiện này xuất hiện. Trong tương lai, điều này cho phép kẻ tấn công, dựa trên việc chỉ định các lệnh thích hợp, có được, ví dụ, các quyền đặc quyền đối với các hành động trong hệ thống hoặc mở rộng quyền hạn của mình trong đó, để chặn luồng dữ liệu được truyền trao đổi giữa các thành phần của hệ điều hành mạng để trích xuất thông tin bí mật hoặc thông tin nhận dạng (ví dụ, người dùng mật khẩu tĩnh để truy cập máy chủ từ xa thông qua các giao thức FTP và TELNET, không cung cấp mã hóa), thay thế, sửa đổi, v.v.

2. Quét mạng.

Bản chất của quá trình thực hiện mối đe dọa là truyền các yêu cầu đến các dịch vụ mạng của các máy chủ ISPDN và phân tích các phản hồi từ chúng. Mục đích là để xác định các giao thức được sử dụng, các cổng có sẵn của các dịch vụ mạng, luật hình thành các mã nhận dạng kết nối, định nghĩa các dịch vụ mạng đang hoạt động, lựa chọn mã định danh và mật khẩu của người dùng.

3. Đe dọa tiết lộ mật khẩu.

Mục đích của việc thực hiện mối đe dọa là để có được NSD bằng cách vượt qua bảo vệ bằng mật khẩu. Kẻ tấn công có thể thực hiện mối đe dọa bằng nhiều phương pháp khác nhau, chẳng hạn như tấn công brute-force, brute-force bằng cách sử dụng từ điển đặc biệt, cài đặt phần mềm độc hại để chặn mật khẩu, giả mạo đối tượng mạng đáng tin cậy (IP-spoofing) và chặn gói tin (đánh hơi) . Về cơ bản, để thực hiện mối đe dọa, các chương trình đặc biệt được sử dụng để cố gắng truy cập vào máy chủ lưu trữ bằng các mật khẩu bạo lực tuần tự. Nếu thành công, kẻ tấn công có thể tạo "pass" cho chính mình để truy cập trong tương lai, thẻ này sẽ có giá trị ngay cả khi mật khẩu truy cập bị thay đổi trên máy chủ.

4. Thay thế một đối tượng mạng đáng tin cậy và thay mặt nó truyền các thông điệp qua các kênh truyền thông với việc chuyển nhượng các quyền truy cập của nó (Hình 7).

Hình 7. Sơ đồ thực hiện mối đe dọa "Giả mạo đối tượng mạng đáng tin cậy"

Mối đe dọa như vậy được thực hiện hiệu quả trong các hệ thống sử dụng các thuật toán không ổn định để xác định và xác thực máy chủ, người dùng, v.v. Đối tượng đáng tin cậy là đối tượng mạng (máy tính, tường lửa, bộ định tuyến, v.v.) được kết nối hợp pháp với máy chủ.

Có thể phân biệt hai loại quá trình thực hiện mối đe dọa này: có thiết lập và không thiết lập kết nối ảo.

Quá trình thực hiện với việc thiết lập một kết nối ảo bao gồm việc chỉ định quyền của một chủ thể tương tác đáng tin cậy, cho phép kẻ tấn công thực hiện một phiên với đối tượng mạng thay mặt cho chủ thể đáng tin cậy. Việc triển khai loại mối đe dọa này đòi hỏi phải vượt qua hệ thống xác thực và nhận dạng thông báo (ví dụ, một cuộc tấn công vào dịch vụ rsh của máy chủ UNIX).

Quá trình thực hiện một mối đe dọa mà không cần thiết lập kết nối ảo có thể diễn ra trong các mạng xác định các thông điệp được truyền chỉ bằng địa chỉ mạng của người gửi. Bản chất nằm ở việc truyền các thông điệp dịch vụ thay mặt cho các thiết bị điều khiển mạng (ví dụ: thay mặt cho các bộ định tuyến) về việc thay đổi dữ liệu định tuyến và địa chỉ. Cần lưu ý rằng số nhận dạng duy nhất của người đăng ký và kết nối (thông qua TCP) là hai tham số 32-bit Số thứ tự ban đầu - ISS (số thứ tự) và Số xác nhận - ACK (số xác nhận). Do đó, để tạo một gói TCP sai, kẻ xâm nhập cần biết các số nhận dạng hiện tại cho kết nối này - ISSa và ISSb, trong đó:

ISSa - một số giá trị số đặc trưng cho số thứ tự của gói TCP đã gửi, được thiết lập bởi kết nối TCP, được khởi tạo bởi máy chủ A;

ISSb - một số giá trị đặc trưng cho số thứ tự của gói TCP đã gửi, được thiết lập bởi kết nối TCP, được khởi tạo bởi máy chủ B.

ACK (Số xác nhận kết nối TCP) được định nghĩa là giá trị của số nhận được từ bộ phản hồi ISS (số thứ tự) cộng với một ACKb = ISSa + 1.

Kết quả của việc thực hiện mối đe dọa, kẻ xâm nhập có được quyền truy cập do người dùng của anh ta đặt cho người đăng ký đáng tin cậy vào các phương tiện kỹ thuật của ISPDN - mục tiêu của các mối đe dọa.

5. Áp đặt một đường dẫn sai cho mạng.

Mối đe dọa này được thực hiện theo một trong hai cách: áp đặt nội bộ hoặc phân đoạn. Khả năng áp đặt một tuyến sai là do những hạn chế cố hữu của các thuật toán định tuyến (cụ thể là do vấn đề xác định các thiết bị điều khiển mạng), kết quả là bạn có thể nhận được, ví dụ, trên máy chủ hoặc mạng của kẻ xâm nhập , nơi bạn có thể vào môi trường hoạt động của thiết bị kỹ thuật như một phần của ISDN ... Việc triển khai mối đe dọa dựa vào việc sử dụng trái phép các giao thức định tuyến (RIP, OSPF, LSP) và quản lý mạng (ICMP, SNMP) để sửa đổi các bảng định tuyến. Trong trường hợp này, kẻ xâm nhập phải gửi thông báo điều khiển thay mặt cho thiết bị điều khiển mạng (ví dụ: bộ định tuyến) (Hình 8 và 9).

Hình 8. Sơ đồ thực hiện cuộc tấn công "Áp đặt sai tuyến" (phân đoạn nội bộ) sử dụng giao thức ICMP nhằm phá vỡ kết nối

Hình 9. Sơ đồ thực hiện mối đe dọa "Áp đặt một tuyến đường sai" (đoạn đường giao nhau) để chặn giao thông

6. Chèn một đối tượng mạng sai.

Mối đe dọa này dựa trên việc khai thác các lỗ hổng trong các thuật toán tìm kiếm từ xa. Trong trường hợp các đối tượng mạng ban đầu không có thông tin địa chỉ về nhau, các giao thức tìm kiếm từ xa khác nhau được sử dụng (ví dụ: SAP trong mạng Novell NetWare; ARP, DNS, WINS trong mạng có ngăn xếp giao thức TCP / IP), bao gồm việc truyền các yêu cầu đặc biệt và nhận được câu trả lời cho họ với các thông tin cần thiết. Đồng thời, kẻ xâm nhập có thể chặn một yêu cầu tìm kiếm và đưa ra phản hồi sai đối với yêu cầu đó, việc sử dụng yêu cầu này sẽ dẫn đến sự thay đổi bắt buộc trong dữ liệu địa chỉ định tuyến. Trong tương lai, toàn bộ luồng thông tin liên quan đến đối tượng nạn nhân sẽ đi qua đối tượng mạng giả (Hình 10 - 13).

Hình 10. Sơ đồ triển khai mối đe dọa "Đưa vào máy chủ ARP giả"

Hình 11. Sơ đồ thực hiện mối đe dọa "Chèn máy chủ DNS giả" bằng cách chặn một yêu cầu DNS

Hình 12. Sơ đồ thực hiện mối đe dọa "tiêm máy chủ DNS giả" bằng một cơn bão phản hồi DNS tới một máy tính trên mạng

Hình 13. Sơ đồ triển khai của mối đe dọa "Chèn máy chủ DNS sai" bằng cách tấn công các phản hồi DNS tới một máy chủ DNS

7. Từ chối dịch vụ.

Các mối đe dọa này dựa trên các lỗ hổng trong phần mềm mạng, các lỗ hổng của nó, cho phép kẻ tấn công tạo điều kiện khi hệ điều hành không thể xử lý các gói tin đến.

Một số loại mối đe dọa như vậy có thể được phân biệt:

a) từ chối dịch vụ tiềm ẩn do sự tham gia của một phần tài nguyên ISPD để xử lý các gói được truyền bởi kẻ tấn công với sự giảm băng thông của các kênh truyền thông, hiệu suất của các thiết bị mạng, vi phạm các yêu cầu về thời gian xử lý các yêu cầu . Ví dụ về các mối đe dọa như vậy là: một cơn bão trực tiếp các yêu cầu ICMP echo (Ping lũ lụt), một cơn bão yêu cầu thiết lập kết nối TCP (SYN-lũ lụt), một cơn bão yêu cầu tới một máy chủ FTP;

b) từ chối dịch vụ rõ ràng do cạn kiệt tài nguyên ISPD khi xử lý các gói do kẻ tấn công truyền đi (chiếm toàn bộ băng thông của các kênh truyền thông, tràn hàng đợi yêu cầu dịch vụ), trong đó các yêu cầu hợp pháp không thể được truyền qua mạng do không thể truy cập của phương tiện truyền hoặc nhận được từ chối dịch vụ do tràn hàng đợi yêu cầu, dung lượng đĩa nhớ, v.v. Ví dụ về loại mối đe dọa này là cơn bão yêu cầu tiếng vang phát sóng ICMP (Xì trum), cơn bão có hướng (SYN-lũ lụt), cơn bão tin nhắn máy chủ thư (Spam);

c) từ chối dịch vụ rõ ràng do vi phạm kết nối logic giữa các phương tiện kỹ thuật của ISPD khi kẻ xâm nhập gửi thông báo điều khiển thay mặt cho các thiết bị mạng, dẫn đến thay đổi dữ liệu địa chỉ định tuyến (ví dụ: Máy chủ chuyển hướng ICMP, Ngập lụt DNS) hoặc thông tin nhận dạng và xác thực;

D) sự từ chối dịch vụ rõ ràng do việc truyền các gói có thuộc tính không chuẩn (các mối đe dọa như "Land", "TearDrop", "Bonk", "Nuke", "UDP-bom") hoặc vượt quá kích thước tối đa (mối đe dọa như "Ping Death"), có thể dẫn đến lỗi các thiết bị mạng liên quan đến việc xử lý các yêu cầu, với điều kiện là có lỗi trong các chương trình thực hiện các giao thức truyền thông mạng.

Kết quả của việc thực hiện mối đe dọa này có thể là sự cố của dịch vụ tương ứng để cung cấp quyền truy cập từ xa tới PD trong ISPD, truyền từ một địa chỉ trong số các yêu cầu như vậy để kết nối với thiết bị kỹ thuật như một phần của ISPD, tối đa có thể " thích ứng với "lưu lượng truy cập (" cơn bão yêu cầu "được chỉ đạo) dẫn đến tràn hàng đợi yêu cầu và từ chối một trong các dịch vụ mạng hoặc máy tính dừng hoàn toàn do hệ thống không thể làm bất kỳ điều gì khác ngoài việc xử lý các yêu cầu.

8. Khởi chạy ứng dụng từ xa.

Mối đe dọa bao gồm mong muốn khởi chạy các chương trình độc hại khác nhau được nhúng trước đó trên máy chủ ISPD: chương trình đánh dấu, vi rút, "phần mềm gián điệp mạng", mục đích chính là vi phạm tính bảo mật, tính toàn vẹn, tính sẵn có của thông tin và toàn quyền kiểm soát hoạt động của máy chủ. Ngoài ra, có thể khởi chạy trái phép các chương trình ứng dụng của người dùng để nhận trái phép dữ liệu cần thiết cho kẻ xâm nhập, để khởi chạy các quy trình do ứng dụng kiểm soát, v.v.

Có ba lớp con của các mối đe dọa này:

1) phân phối các tệp chứa mã thực thi trái phép;

2) khởi chạy ứng dụng từ xa do tràn bộ đệm của các ứng dụng máy chủ;

3) khởi chạy ứng dụng từ xa bằng cách sử dụng khả năng điều khiển từ xa của hệ thống được cung cấp bởi các tab phần mềm và phần cứng ẩn hoặc được sử dụng bằng các phương tiện tiêu chuẩn.

Các mối đe dọa điển hình của lớp con đầu tiên được chỉ định dựa trên việc kích hoạt các tệp có thể phân phối lại khi chúng vô tình bị truy cập. Ví dụ về các tệp như vậy là: tệp chứa mã thực thi ở dạng macro (tài liệu Microsoft Word, Excel, v.v.); tài liệu html chứa mã thực thi ở dạng điều khiển ActiveX, ứng dụng Java, tập lệnh thông dịch (ví dụ: văn bản JavaScript); tệp chứa mã chương trình thực thi. Các dịch vụ e-mail, truyền tệp, hệ thống tệp mạng có thể được sử dụng để phân phối tệp.

Các mối đe dọa của lớp con thứ hai khai thác những thiếu sót của các chương trình thực hiện các dịch vụ mạng (đặc biệt, việc thiếu kiểm soát tràn bộ đệm). Bằng cách điều chỉnh các thanh ghi hệ thống, đôi khi có thể chuyển bộ xử lý sau một ngắt do tràn bộ đệm để thực thi mã chứa bên ngoài ranh giới bộ đệm. Một ví dụ về mối đe dọa như vậy là sự ra đời của "vi-rút Morris" nổi tiếng.

Trong trường hợp có mối đe dọa từ lớp con thứ ba, kẻ xâm nhập sử dụng khả năng điều khiển hệ thống từ xa được cung cấp bởi các thành phần ẩn (ví dụ: "Trojan" như Back Orifice, Net Bus) hoặc các công cụ tiêu chuẩn để quản lý và quản trị mạng máy tính (Landesk Management Suite , Managewise, Back Orifice, v.v.)). Kết quả của việc sử dụng chúng, có thể đạt được điều khiển từ xa đối với trạm trong mạng.

Về sơ đồ, các giai đoạn chính của công việc của các chương trình này như sau:

cài đặt trong bộ nhớ;

chờ yêu cầu từ máy chủ từ xa mà chương trình khách đang chạy và trao đổi thông báo sẵn sàng với nó;

Chuyển giao thông tin bị chặn cho khách hàng hoặc cho phép anh ta kiểm soát máy tính bị tấn công.

Các hậu quả có thể xảy ra từ việc thực hiện các mối đe dọa của các lớp khác nhau được thể hiện trong Bảng 3.

bàn số 3

Hậu quả có thể xảy ra của việc thực hiện các mối đe dọa của các lớp khác nhau

Nói chung, quá trình thực hiện mối đe dọa bao gồm bốn giai đoạn:

thu thập thông tin;

xâm nhập (thâm nhập vào môi trường hoạt động);

truy cập trái phép;

loại bỏ các dấu vết của truy cập trái phép.

Ở giai đoạn thu thập thông tin, người vi phạm có thể quan tâm đến nhiều thông tin khác nhau về ISPD, bao gồm:

a) về cấu trúc liên kết của mạng mà hệ thống hoạt động. Trong trường hợp này, khu vực xung quanh mạng có thể được điều tra (ví dụ, kẻ tấn công có thể quan tâm đến địa chỉ của các máy chủ đáng tin cậy nhưng kém an toàn hơn). Để xác định tính khả dụng của máy chủ, có thể sử dụng các lệnh đơn giản nhất (ví dụ: lệnh ping để gửi các yêu cầu ICMP ECHO_REQUEST, chờ phản hồi ICMP ECHO_REPLY trên chúng). Có những tiện ích thực hiện phát hiện song song khả năng truy cập máy chủ (chẳng hạn như fping) có thể quét một vùng rộng lớn của không gian địa chỉ để tìm khả năng truy cập máy chủ trong một khoảng thời gian ngắn. Cấu trúc liên kết mạng thường được xác định dựa trên "số lượng nút" (khoảng cách giữa các máy chủ). Điều này có thể bao gồm các kỹ thuật như "điều chế TTL" và ghi lại tuyến đường.

Phương pháp "điều chế ttL" được thực hiện bởi chương trình traceroute (dành cho Windows NT - tracert.exe) và bao gồm điều chế trường ttL của gói IP. Các gói ICMP được tạo bởi lệnh ping có thể được sử dụng để viết tuyến đường.

Việc thu thập thông tin cũng có thể dựa trên các yêu cầu:

tới máy chủ DNS về danh sách các máy chủ đã đăng ký (và có thể là đang hoạt động);

Các tuyến đã biết đến bộ định tuyến RIP (thông tin cấu trúc liên kết mạng)

Để cấu hình sai các thiết bị hỗ trợ giao thức SNMP (thông tin về cấu trúc liên kết mạng).

Nếu ISPDN nằm sau tường lửa (FW), có thể thu thập thông tin về cấu hình của FW và cấu trúc liên kết của ISPD đằng sau FW, bao gồm bằng cách gửi các gói đến tất cả các cổng của tất cả các máy chủ nội bộ (được bảo vệ ) mạng;

b) loại hệ điều hành (OS) trong ISPD. Cách phổ biến nhất để xác định loại hệ điều hành của máy chủ lưu trữ là dựa trên thực tế là các loại hệ điều hành khác nhau thực hiện các yêu cầu RFC cho ngăn xếp TCP / IP theo những cách khác nhau. Điều này cho phép kẻ xâm nhập xác định từ xa loại hệ điều hành được cài đặt trên máy chủ ISPD bằng cách gửi các yêu cầu được tạo thủ công đặc biệt và phân tích các phản hồi nhận được.

Có những công cụ đặc biệt thực hiện các phương pháp này, cụ thể là Nmap và QueSO. Cũng có thể lưu ý phương pháp xác định loại hệ điều hành như yêu cầu đơn giản nhất để thiết lập kết nối thông qua giao thức truy cập từ xa telnet (kết nối telnet), kết quả là loại hệ điều hành chủ có thể được xác định bằng " sự xuất hiện ”của phản hồi. Sự hiện diện của một số dịch vụ nhất định cũng có thể đóng vai trò như một chỉ báo bổ sung để xác định loại hệ điều hành máy chủ;

C) về các dịch vụ hoạt động trên máy chủ. Định nghĩa về các dịch vụ chạy trên máy chủ dựa trên phương pháp "cổng mở" để thu thập thông tin về tính khả dụng của máy chủ. Ví dụ: để xác định tính khả dụng của cổng UDP, bạn cần nhận được phản hồi để phản hồi việc gửi gói UDP đến cổng tương ứng:

nếu nhận được thông báo ICMP PORT UNREACHEBLE để phản hồi, thì dịch vụ tương ứng không khả dụng;

nếu thông báo này không được nhận, thì cổng là "mở".

Có thể có các biến thể rất khác nhau trong việc sử dụng phương pháp này, tùy thuộc vào giao thức được sử dụng trong ngăn xếp giao thức TCP / IP.

Rất nhiều công cụ phần mềm đã được phát triển để tự động hóa việc thu thập thông tin về ISPD. Ví dụ, có thể lưu ý những điều sau:

1) Strobe, Portscanner - phương tiện được tối ưu hóa để xác định các dịch vụ khả dụng dựa trên việc thăm dò các cổng TCP;

2) Nmap là một công cụ quét dịch vụ được thiết kế cho Linux, FreeBSD, Open BSD, Solaris, Windows NT. Hiện là công cụ quét dịch vụ mạng phổ biến nhất;

3) Queso là một phương tiện chính xác cao để xác định hệ điều hành của máy chủ lưu trữ trên cơ sở gửi một chuỗi các gói TCP đúng và không chính xác, phân tích phản hồi và so sánh nó với nhiều phản hồi đã biết của các hệ điều hành khác nhau. Công cụ này cũng là một công cụ quét phổ biến hiện nay;

4) Cheops - một máy quét cấu trúc liên kết mạng cho phép bạn lấy cấu trúc liên kết mạng, bao gồm hình ảnh của miền, khu vực địa chỉ IP, v.v. Điều này xác định hệ điều hành máy chủ, cũng như các thiết bị mạng có thể có (máy in, bộ định tuyến, v.v.);

5) Firewalk - một máy quét sử dụng các phương pháp theo dõi để phân tích phản hồi với các gói IP để xác định cấu hình của tường lửa và xây dựng cấu trúc liên kết mạng.

Ở giai đoạn xâm nhập, sự hiện diện của các lỗ hổng điển hình trong các dịch vụ hệ thống hoặc các lỗi trong quản trị hệ thống được điều tra. Việc khai thác thành công các lỗ hổng thường dẫn đến quá trình vi phạm có được chế độ thực thi đặc quyền (quyền truy cập vào chế độ thực thi trình bao đặc quyền), nhập tài khoản người dùng bất hợp pháp vào hệ thống, lấy tệp mật khẩu hoặc làm gián đoạn máy chủ bị tấn công.

Giai đoạn phát triển mối đe dọa này thường là nhiều giai đoạn. Các giai đoạn của quá trình thực hiện mối đe dọa có thể bao gồm, ví dụ:

thiết lập kết nối với máy chủ liên quan đến mối đe dọa đang được thực hiện;

Xác định các lỗ hổng;

sự ra đời của một chương trình độc hại vì lợi ích của việc trao quyền, v.v.

Các mối đe dọa được thực hiện trong giai đoạn xâm nhập được phân loại theo các mức ngăn xếp giao thức TCP / IP, vì chúng được tạo ra ở lớp mạng, lớp truyền tải hoặc lớp ứng dụng, tùy thuộc vào cơ chế xâm nhập được sử dụng.

Các mối đe dọa điển hình được thực hiện ở cấp độ mạng và truyền tải bao gồm:

a) mối đe dọa nhằm thay thế một đối tượng đáng tin cậy;

b) mối đe dọa nhằm tạo ra một đường dẫn sai trong mạng;

C) các mối đe dọa nhằm tạo ra một đối tượng giả bằng cách sử dụng các thiếu sót của các thuật toán tìm kiếm từ xa;

D) các mối đe dọa "từ chối dịch vụ" dựa trên chống phân mảnh IP, hình thành các yêu cầu ICMP không chính xác (ví dụ: các cuộc tấn công "Ping of Death" và "Smurf"), về việc hình thành các yêu cầu TCP không chính xác (tấn công "Land") , tạo ra một "cơn bão" các gói tin với các yêu cầu kết nối (các cuộc tấn công "SYN Flood"), v.v.

Các mối đe dọa điển hình được triển khai ở cấp ứng dụng bao gồm các mối đe dọa nhằm vào việc khởi chạy trái phép các ứng dụng, các mối đe dọa mà việc triển khai có liên quan đến việc đưa ra các lỗi phần mềm (chẳng hạn như "con ngựa thành Troy"), với việc xác định mật khẩu để truy cập vào mạng hoặc vào một máy chủ cụ thể, v.v.

Nếu việc thực hiện mối đe dọa không mang lại cho người vi phạm quyền truy cập cao nhất trong hệ thống, thì việc cố gắng mở rộng các quyền này đến mức tối đa có thể là hoàn toàn có thể. Vì vậy, các lỗ hổng không chỉ của các dịch vụ mạng có thể được sử dụng mà còn cả các lỗ hổng của phần mềm hệ thống của các máy chủ ISPdn.

Ở giai đoạn thực hiện truy cập trái phép, mục tiêu của việc thực hiện mối đe dọa thực sự đạt được:

vi phạm tính bảo mật (sao chép, phân phối bất hợp pháp);

Vi phạm tính toàn vẹn (phá hủy, thay đổi);

vi phạm khả năng tiếp cận (chặn).

Đồng thời, sau những hành động này, theo quy luật, cái gọi là "cửa sau" được hình thành dưới dạng một trong các dịch vụ (daemon) phục vụ một cổng nhất định và thực hiện lệnh của người vi phạm. "Cửa sau" được để lại trong hệ thống vì lợi ích của việc đảm bảo:

khả năng có được quyền truy cập vào máy chủ, ngay cả khi người quản trị loại bỏ lỗ hổng được sử dụng để thực hiện thành công mối đe dọa;

khả năng truy cập máy chủ một cách lén lút nhất có thể;

Khả năng truy cập vào máy chủ một cách nhanh chóng (mà không cần lặp lại quá trình thực hiện mối đe dọa một lần nữa).

Cửa hậu cho phép kẻ tấn công đưa phần mềm độc hại vào mạng hoặc một máy chủ cụ thể, chẳng hạn như trình đánh hơi mật khẩu, chương trình trích xuất ID người dùng và mật khẩu từ lưu lượng mạng khi giao thức cấp cao (ftp, telnet, rlogin, v.v.), v.v. .). Các đối tượng của việc tiêm phần mềm độc hại có thể là các chương trình xác thực và nhận dạng, dịch vụ mạng, nhân hệ điều hành, hệ thống tệp, thư viện, v.v.

Cuối cùng, ở giai đoạn loại bỏ các dấu vết của việc thực hiện mối đe dọa, một nỗ lực được thực hiện để phá hủy các dấu vết hành động của người phạm tội. Thao tác này sẽ xóa các bản ghi tương ứng khỏi tất cả các nhật ký đánh giá có thể có, bao gồm cả các bản ghi về thực tế là thông tin đã được thu thập.

Ảnh hưởng toán học-phần mềm là ảnh hưởng với sự trợ giúp của các chương trình độc hại. Một chương trình có hậu quả nguy hiểm tiềm ẩn hoặc một chương trình độc hại là một chương trình độc lập (tập hợp các hướng dẫn) có khả năng thực hiện bất kỳ tập hợp con không trống nào của các chức năng sau:

Ẩn dấu hiệu về sự hiện diện của bạn trong môi trường phần mềm máy tính;

Có khả năng tự nhân bản, tự liên kết với các chương trình khác và (hoặc) chuyển các phân đoạn của bạn sang các vùng RAM hoặc bộ nhớ ngoài khác;

phá hủy (bóp méo một cách tùy ý) mã chương trình trong RAM;

thực hiện các chức năng phá hoại (sao chép, phá hủy, ngăn chặn, v.v.) mà không cần người dùng khởi tạo (chương trình người dùng ở chế độ thực thi bình thường);

Lưu các đoạn thông tin từ RAM trong một số vùng của bộ nhớ ngoài để truy cập trực tiếp (cục bộ hoặc từ xa);

Tự ý bóp méo, chặn và (hoặc) thay thế một mảng thông tin xuất ra bộ nhớ ngoài hoặc đến một kênh giao tiếp, do hoạt động của các chương trình ứng dụng hoặc mảng dữ liệu đã có trong bộ nhớ ngoài.

Các chương trình độc hại có thể được đưa vào (đưa vào) cả cố ý và vô tình vào phần mềm được sử dụng trong ISPD trong quá trình phát triển, bảo trì, sửa đổi và tùy chỉnh. Ngoài ra, các chương trình độc hại có thể được đưa vào trong quá trình hoạt động của ISPD từ phương tiện lưu trữ bên ngoài hoặc thông qua tương tác mạng do NSD hoặc do người dùng ISPD vô tình gây ra.

Các chương trình độc hại hiện đại dựa trên việc sử dụng các lỗ hổng của nhiều loại phần mềm (hệ thống, chung, ứng dụng) và các công nghệ mạng khác nhau, có nhiều khả năng phá hoại (từ việc điều tra trái phép các thông số ISPD mà không can thiệp vào hoạt động của ISPD, đến việc phá hủy Phần mềm PD và ISPD) và có thể hoạt động trong tất cả các loại phần mềm (hệ thống, ứng dụng, trình điều khiển phần cứng, v.v.).

Sự hiện diện của các chương trình độc hại trong ISPD có thể góp phần làm xuất hiện các kênh truy cập thông tin ẩn, bao gồm cả thông thường, cho phép mở, bỏ qua hoặc chặn các cơ chế bảo mật được cung cấp trong hệ thống, bao gồm bảo vệ bằng mật khẩu và mật mã.

Các loại phần mềm độc hại chính là:

đánh dấu phần mềm;

phần mềm cổ điển (máy tính) vi rút;

các chương trình độc hại lây lan trên mạng (sâu mạng);

Các chương trình độc hại khác được thiết kế để thực hiện các cuộc tấn công trái phép.

Dấu trang phần mềm bao gồm các chương trình, đoạn mã, hướng dẫn tạo thành các khả năng phần mềm chưa được khai báo. Các chương trình độc hại có thể di chuyển từ loại này sang loại khác, ví dụ: dấu trang phần mềm có thể tạo ra vi-rút phần mềm, do đó, khi xâm nhập vào điều kiện mạng, có thể tạo thành sâu mạng hoặc chương trình độc hại khác được thiết kế để thực hiện các cuộc tấn công trái phép .

Phân loại vi rút phần mềm và sâu mạng được thể hiện trong Hình 14. Mô tả ngắn gọn về các chương trình độc hại chính như sau. Virus khởi động tự ghi vào khu vực khởi động của đĩa (boot sector), hoặc vào khu vực chứa bộ nạp khởi động của ổ cứng (Master Boot Record), hoặc thay đổi con trỏ thành khu vực khởi động đang hoạt động. Chúng được nhúng vào bộ nhớ của máy tính khi khởi động từ đĩa bị nhiễm. Trong trường hợp này, bộ tải khởi động đọc nội dung của khu vực đầu tiên của đĩa mà từ đó khởi động được thực hiện, đưa thông tin đã đọc vào bộ nhớ và chuyển quyền kiểm soát nó (tức là cho vi rút). Sau đó, các lệnh của virus bắt đầu thực thi, theo quy luật, làm giảm dung lượng bộ nhớ trống, sao chép mã của nó vào không gian được giải phóng và đọc phần tiếp tục của nó (nếu có) từ đĩa, chặn các vectơ ngắt cần thiết ( thường là INT 13H), đọc khu vực khởi động ban đầu và chuyển quyền điều khiển cho nó.

Trong tương lai, vi rút khởi động hoạt động giống như vi rút tệp: nó chặn quyền truy cập của hệ điều hành vào đĩa và lây nhiễm chúng, tùy thuộc vào các điều kiện nhất định, nó thực hiện các hành động phá hoại, gây ra hiệu ứng âm thanh hoặc hiệu ứng video.

Các hành động phá hoại chính được thực hiện bởi các vi rút này là:

phá hủy thông tin trong các lĩnh vực của đĩa mềm và ổ cứng;

Loại trừ khả năng tải hệ điều hành (máy tính "đóng băng");

hỏng mã bộ nạp khởi động;

định dạng đĩa mềm hoặc ổ đĩa logic của ổ cứng;

chặn truy cập vào các cổng COM và LPT;

thay thế các ký tự khi in văn bản;

co giật của màn hình;

thay đổi nhãn của đĩa hoặc đĩa mềm;

tạo ra các cụm giả tai nạn;

tạo ra âm thanh và / hoặc hiệu ứng hình ảnh (ví dụ, các chữ cái rơi trên màn hình);

tham nhũng của các tập tin dữ liệu;

hiển thị các thông báo khác nhau trên màn hình;

Ngắt kết nối các thiết bị ngoại vi (chẳng hạn như bàn phím);

thay đổi bảng màu màn hình;

Làm đầy màn hình bằng các ký tự hoặc hình ảnh không liên quan;

tắt màn hình và chuyển sang chế độ chờ để nhập liệu từ bàn phím;

mã hóa các sector ổ cứng;

phá hủy có chọn lọc các ký tự hiển thị trên màn hình khi gõ từ bàn phím;

giảm dung lượng RAM;

gọi để in nội dung của màn hình;

chặn ghi vào đĩa;

phá hủy bảng phân vùng (Disk Partition Table), sau đó máy tính chỉ có thể được khởi động từ đĩa mềm;

chặn việc khởi chạy các tệp thực thi;

Chặn quyền truy cập vào ổ cứng.

Hình 14. Phân loại virus phần mềm và sâu mạng

Hầu hết các virus khởi động đều tự ghi đè lên đĩa mềm.

Phương pháp lây nhiễm "ghi đè" là đơn giản nhất: virus viết mã của chính nó thay vì mã của tệp bị nhiễm, phá hủy nội dung của nó. Đương nhiên, tệp ngừng hoạt động và không thể được khôi phục. Những vi-rút như vậy rất nhanh chóng tự phát hiện, vì hệ điều hành và các ứng dụng ngừng hoạt động khá nhanh.

Danh mục "đồng hành" bao gồm vi-rút không sửa đổi tệp bị nhiễm. Thuật toán hoạt động của các loại virus này là một tệp kép được tạo ra cho tệp bị nhiễm và khi tệp bị nhiễm được khởi chạy, chính tệp kép này, tức là, vi-rút, sẽ có quyền kiểm soát. Các vi rút đồng hành phổ biến nhất sử dụng tính năng DOS là loại đầu tiên thực thi các tệp có phần mở rộng .COM nếu có hai tệp trong cùng một thư mục có cùng tên nhưng phần mở rộng tên khác nhau - .COM và .EXE. Các vi-rút này tạo tệp đồng hành cho tệp EXE có cùng tên nhưng có phần mở rộng .COM, ví dụ: tệp XCOPY.COM được tạo cho tệp XCOPY.EXE. Vi rút tự ghi vào tệp COM và không sửa đổi tệp EXE theo bất kỳ cách nào. Khi một tệp như vậy được khởi chạy, DOS sẽ là người đầu tiên phát hiện và thực thi tệp COM, tức là vi-rút, sau đó cũng sẽ khởi chạy tệp EXE. Nhóm thứ hai bao gồm các vi-rút, khi bị lây nhiễm, đổi tên tệp thành một số tên khác, ghi nhớ tên đó (để khởi chạy tệp máy chủ sau đó) và ghi mã của chúng vào đĩa dưới tên tệp bị nhiễm. Ví dụ: tệp XCOPY.EXE được đổi tên thành XCOPY.EXD và vi rút được viết là XCOPY.EXE. Khi khởi động, điều khiển nhận mã vi-rút, sau đó chạy XCOPY gốc được lưu trữ dưới tên XCOPY.EXD. Một thực tế thú vị là phương pháp này dường như hoạt động trên tất cả các hệ điều hành. Nhóm thứ ba bao gồm cái gọi là vi-rút "Đồng hành". Họ viết mã của mình dưới tên của tệp bị nhiễm, nhưng "cao hơn" một cấp trong các đường dẫn được viết (do đó, DOS sẽ là người đầu tiên phát hiện và chạy tệp vi-rút) hoặc di chuyển tệp nạn nhân lên một thư mục con cao hơn, và như thế.

Có thể có các loại vi rút đồng hành khác sử dụng các ý tưởng hoặc tính năng ban đầu khác nhau của các hệ điều hành khác.

Theo một nghĩa nào đó, sâu tệp là một loại vi rút đồng hành, nhưng chúng không liên kết sự hiện diện của chúng với bất kỳ tệp thực thi nào theo bất kỳ cách nào. Khi sao chép, họ chỉ sao chép mã của mình vào một số thư mục đĩa với hy vọng rằng những bản sao mới này sẽ được người dùng khởi chạy. Đôi khi những vi-rút này đặt tên "đặc biệt" cho các bản sao của chúng để thúc đẩy người dùng khởi chạy bản sao của họ - ví dụ: INSTALL.EXE hoặc WINSTART.BAT. Có những loại virus sâu sử dụng các kỹ thuật khá bất thường, chẳng hạn như chúng ghi các bản sao của chúng vào các kho lưu trữ (ARJ, ZIP và các loại khác). Một số vi rút viết lệnh để khởi chạy một tệp bị nhiễm vào các tệp BAT. Không nên nhầm lẫn sâu tệp với sâu mạng. Cái trước chỉ sử dụng các chức năng tệp của hệ điều hành, trong khi cái sau sử dụng các giao thức mạng khi truyền bá.

Virus liên kết, giống như virus đồng hành, không thay đổi nội dung vật lý của tệp, nhưng khi một tệp bị nhiễm được khởi chạy, chúng sẽ "buộc" HĐH thực thi mã của nó. Họ đạt được mục tiêu này bằng cách sửa đổi các trường cần thiết của hệ thống tệp.

Virus lây nhiễm vào thư viện trình biên dịch, mô-đun đối tượng và mã nguồn chương trình khá kỳ lạ và thực tế không phổ biến. Virus lây nhiễm vào các tệp OBJ và LIB ghi mã của chúng vào chúng ở định dạng mô-đun đối tượng hoặc thư viện. Do đó, tệp bị nhiễm không thể thực thi được và không có khả năng lây lan thêm vi-rút ở trạng thái hiện tại. Tệp COM hoặc EXE trở thành vật mang vi rút "sống".

Sau khi giành được quyền kiểm soát, tệp vi-rút thực hiện các hành động chung sau:

Kiểm tra RAM để tìm bản sao của nó và lây nhiễm bộ nhớ máy tính nếu không tìm thấy bản sao vi-rút nào (nếu vi-rút thường trú), tìm kiếm các tệp không bị nhiễm trong thư mục gốc và (hoặc) hiện tại bằng cách quét cây thư mục của các ổ đĩa logic, sau đó lây nhiễm các tập tin được phát hiện;

thực hiện các chức năng bổ sung (nếu có): hành động phá hoại, hiệu ứng đồ họa hoặc âm thanh, v.v. (Các chức năng bổ sung của vi rút thường trú có thể được gọi một thời gian sau khi kích hoạt, tùy thuộc vào thời gian hiện tại, cấu hình hệ thống, bộ đếm vi rút bên trong hoặc các điều kiện khác, trong trường hợp này, khi được kích hoạt, vi rút sẽ xử lý trạng thái của đồng hồ hệ thống, thiết lập quầy, v.v.);

Cần lưu ý rằng vi rút lây lan càng nhanh thì càng dễ xảy ra dịch bệnh, vi rút lây lan càng chậm thì càng khó phát hiện (tất nhiên là nếu không biết vi rút này). Các vi rút thường trú không có bộ nhớ thường "chậm chạp" - hầu hết trong số chúng, khi được khởi chạy, sẽ lây nhiễm một hoặc hai hoặc ba tệp và không có thời gian để tràn vào máy tính cho đến khi chương trình chống vi-rút được khởi chạy (hoặc một phiên bản mới của chương trình chống vi-rút -virus được cấu hình cho virus này xuất hiện). Tất nhiên, có những loại vi-rút "nhanh" không thường trú trong bộ nhớ sẽ tìm kiếm và lây nhiễm tất cả các tệp thực thi khi được khởi chạy, nhưng những vi-rút như vậy rất đáng chú ý: khi mỗi tệp bị nhiễm được khởi chạy, máy tính sẽ tích cực hoạt động với ổ cứng đối với một số ( đôi khi khá dài) thời gian làm lộ ra vi rút. Tốc độ lây lan (lây nhiễm) của vi-rút thường trú thường cao hơn vi-rút không thường trú - chúng lây nhiễm các tệp bất cứ khi nào chúng được truy cập. Kết quả là tất cả hoặc gần như tất cả các tệp được sử dụng liên tục trong công việc đều bị nhiễm trên đĩa. Tỷ lệ lây lan (lây nhiễm) của vi-rút tệp thường trú chỉ lây nhiễm vào tệp khi chúng được khởi chạy để thực thi sẽ thấp hơn so với vi-rút lây nhiễm tệp khi chúng được mở, đổi tên, thay đổi thuộc tính tệp, v.v.

Do đó, các hành động phá hoại chính do virus tệp thực hiện có liên quan đến việc làm hỏng tệp (thường là tệp thực thi hoặc tệp dữ liệu), khởi chạy trái phép các lệnh khác nhau (bao gồm định dạng, xóa, sao chép, v.v.), thay đổi bảng vectơ ngắt và các lệnh khác. Đồng thời, nhiều hành động phá hoại có thể được thực hiện, tương tự như những hành động được chỉ định cho virus khởi động.

Virus macro là các chương trình bằng ngôn ngữ (ngôn ngữ macro) được nhúng trong một số hệ thống xử lý dữ liệu (hệ thống xử lý văn bản, bảng tính, v.v.). Để tái tạo, những vi-rút như vậy sử dụng khả năng của các ngôn ngữ macro và với sự trợ giúp của chúng, chúng tự chuyển từ một tệp bị nhiễm (tài liệu hoặc bảng) sang những tệp khác. Phổ biến nhất là vi rút macro cho gói ứng dụng Microsoft Office.

Để virus tồn tại trong một hệ thống cụ thể (trình soạn thảo), cần phải có ngôn ngữ macro được tích hợp sẵn trong hệ thống với các khả năng sau:

1) ràng buộc một chương trình bằng ngôn ngữ macro với một tệp cụ thể;

2) sao chép các chương trình macro từ tệp này sang tệp khác;

3) có được quyền kiểm soát chương trình macro mà không cần sự can thiệp của người dùng (macro tự động hoặc macro tiêu chuẩn).

Các điều kiện này được đáp ứng bởi các ứng dụng Microsoft Word, Excel và Microsoft Access. Chúng chứa các ngôn ngữ macro: Word Basic, Visual Basic for Applications. Trong đó:

1) Các chương trình macro được liên kết với một tệp cụ thể hoặc nằm bên trong một tệp;

2) ngôn ngữ macro cho phép bạn sao chép tệp hoặc di chuyển chương trình macro sang tệp dịch vụ hệ thống và tệp có thể chỉnh sửa;

3) khi làm việc với một tệp trong các điều kiện nhất định (mở, đóng, v.v.), các chương trình macro (nếu có) được gọi, được định nghĩa theo một cách đặc biệt hoặc có tên tiêu chuẩn.

Tính năng này của các ngôn ngữ macro nhằm mục đích xử lý dữ liệu tự động trong các tổ chức lớn hoặc trong các mạng toàn cầu và cho phép tổ chức cái gọi là "luồng tài liệu tự động". Mặt khác, khả năng của các ngôn ngữ vĩ mô của các hệ thống như vậy cho phép vi-rút chuyển mã của nó sang các tệp khác và do đó lây nhiễm chúng.

Hầu hết các vi rút macro không chỉ hoạt động tại thời điểm mở (đóng) tệp, mà còn miễn là bản thân trình chỉnh sửa đang hoạt động. Chúng chứa tất cả các chức năng của chúng dưới dạng macro Word / Excel / Office tiêu chuẩn. Tuy nhiên, có những vi rút sử dụng các kỹ thuật để ẩn mã của chúng và lưu trữ mã của chúng dưới dạng không phải macro. Có ba kỹ thuật được biết đến như vậy, tất cả chúng đều sử dụng khả năng của macro để tạo, chỉnh sửa và thực thi các macro khác. Theo quy luật, những vi-rút như vậy có một bộ tải macro vi-rút nhỏ (đôi khi đa hình) gọi trình chỉnh sửa macro tích hợp sẵn, tạo một macro mới, điền vào nó bằng mã vi-rút chính, thực thi nó và sau đó, như một quy tắc, phá hủy nó ( để ẩn dấu vết của sự hiện diện của virus). Mã chính của những vi rút như vậy có trong chính macro vi rút dưới dạng chuỗi văn bản (đôi khi được mã hóa), hoặc được lưu trữ trong vùng biến đổi của tài liệu.

Vi rút mạng bao gồm vi rút chủ động sử dụng các giao thức và khả năng của mạng cục bộ và toàn cầu để phân phối chúng. Nguyên tắc cơ bản của virus mạng là khả năng truyền mã của nó đến một máy chủ hoặc máy trạm từ xa một cách độc lập. Đồng thời, virus mạng "chính thức" cũng có khả năng thực thi mã của chúng trên một máy tính từ xa hoặc ít nhất là "thúc đẩy" người dùng khởi chạy một tệp bị nhiễm.

Các chương trình độc hại đảm bảo việc triển khai NSD có thể là:

chương trình đoán và bẻ khóa mật khẩu;

các chương trình thực hiện các mối đe dọa;

Các chương trình chứng minh việc sử dụng các khả năng chưa được khai báo của phần mềm và ISPDn phần mềm và phần cứng;

máy phát virus máy tính;

các chương trình chứng minh lỗ hổng của các công cụ bảo mật thông tin, v.v.

Với sự phức tạp và đa dạng ngày càng tăng của phần mềm, số lượng các chương trình độc hại đang gia tăng nhanh chóng. Hơn 120 nghìn chữ ký của virus máy tính đã được biết đến ngày nay. Tuy nhiên, không phải tất cả chúng đều gây ra mối đe dọa thực sự. Trong nhiều trường hợp, việc loại bỏ các lỗ hổng trong hệ thống hoặc phần mềm ứng dụng đã dẫn đến thực tế là một số chương trình độc hại không còn khả năng xâm nhập vào chúng. Phần mềm độc hại mới thường là mối đe dọa chính.

Kênh thông tin độc đáo là kênh truyền thông tin bí mật sử dụng các kênh liên lạc truyền thống và các biến đổi đặc biệt của thông tin được truyền, không liên quan đến mật mã.

Để hình thành các kênh độc đáo, có thể sử dụng các phương pháp sau:

máy tính steganography;

Dựa trên thao tác của các đặc điểm khác nhau của ISPD có thể được cấp phép (ví dụ: thời gian xử lý các yêu cầu khác nhau, dung lượng bộ nhớ khả dụng hoặc tệp có thể đọc được hoặc số nhận dạng quy trình, v.v.).

Các phương pháp ghi mật mã trên máy tính được thiết kế để che giấu thực tế truyền tin bằng cách nhúng thông tin ẩn vào dữ liệu dường như vô hại (tệp văn bản, đồ họa, âm thanh hoặc video) và bao gồm hai nhóm phương pháp dựa trên:

Về việc sử dụng các thuộc tính đặc biệt của các định dạng máy tính để lưu trữ và truyền dữ liệu;

Về sự dư thừa của thông tin âm thanh, hình ảnh hoặc văn bản từ quan điểm của các đặc điểm tâm sinh lý trong nhận thức của con người.

Phân loại các phương pháp ghi mật mã máy tính được thể hiện trong Hình 15. Các đặc điểm so sánh của chúng được thể hiện trong Bảng 4.

Phương pháp giấu thông tin trong các stegocontainers đồ họa hiện đang được phát triển và áp dụng nhiều nhất. Điều này là do lượng thông tin tương đối lớn có thể được đặt trong các vùng chứa như vậy mà hình ảnh không bị biến dạng đáng kể, sự hiện diện của thông tin dự kiến ​​về kích thước của vùng chứa, sự tồn tại trong hầu hết các hình ảnh thực của các vùng kết cấu bị nhiễu. cấu trúc và rất phù hợp để nhúng thông tin, các phương pháp xử lý hình ảnh kỹ thuật số phức tạp và các định dạng trình bày hình ảnh kỹ thuật số. Hiện tại, có một số sản phẩm phần mềm thương mại và miễn phí dành cho người dùng phổ thông triển khai các phương pháp che giấu thông tin mật mã nổi tiếng. Trong trường hợp này, các vùng chứa đồ họa và âm thanh được sử dụng chủ yếu.

Hình 15. Phân loại các phương pháp chuyển đổi thông tin mật mã (STI)

Bảng 4

Đặc điểm so sánh của các phương pháp biến đổi thông tin mật mã

Trong các kênh thông tin phi truyền thống, dựa trên sự thao túng các đặc tính khác nhau của tài nguyên ISDN, một số tài nguyên dùng chung được sử dụng để truyền dữ liệu. Trong trường hợp này, trong các kênh sử dụng đặc tính thời gian, việc điều chế được thực hiện theo thời gian chiếm dụng của tài nguyên dùng chung (ví dụ, bằng cách điều chỉnh thời gian bận của bộ xử lý, các ứng dụng có thể trao đổi dữ liệu).

Trong các kênh bộ nhớ, tài nguyên được sử dụng như một bộ đệm trung gian (ví dụ, các ứng dụng có thể trao đổi dữ liệu bằng cách đặt chúng vào tên của các tệp và thư mục được tạo). Cơ sở dữ liệu và kênh tri thức sử dụng sự phụ thuộc giữa dữ liệu phát sinh trong cơ sở dữ liệu quan hệ và tri thức.

Các kênh thông tin phi truyền thống có thể được hình thành ở nhiều cấp độ hoạt động của ISPD:

ở cấp độ phần cứng;

ở cấp độ vi mã và trình điều khiển thiết bị;

ở cấp hệ điều hành;

ở cấp độ phần mềm ứng dụng;

ở mức độ hoạt động của các kênh truyền dữ liệu và đường truyền thông tin.

Các kênh này có thể được sử dụng cho cả việc truyền tải thông tin được sao chép một cách bí mật và truyền các lệnh bí mật để thực hiện các hành động phá hoại, khởi chạy ứng dụng, v.v.

Đối với việc triển khai các kênh, theo quy định, cần phải đưa một phần mềm hoặc phần mềm và phần cứng vào hệ thống tự động, điều này đảm bảo sự hình thành của một kênh độc đáo.

Một kênh thông tin độc lập có thể tồn tại liên tục trong hệ thống hoặc được kích hoạt một lần hoặc theo các điều kiện quy định. Trong trường hợp này, có thể tồn tại một phản hồi với chủ thể của NSD.

Việc nhận ra các mối đe dọa bằng cách truy cập trái phép vào thông tin có thể dẫn đến các loại vi phạm bảo mật sau đây:

vi phạm tính bảo mật (sao chép, phân phối bất hợp pháp);

Vi phạm tính toàn vẹn (phá hủy, thay đổi);

vi phạm khả năng tiếp cận (chặn).

Vi phạm tính bảo mật có thể được thực hiện trong trường hợp rò rỉ thông tin:

sao chép nó vào các phương tiện truyền thông xa lánh;

truyền nó qua các kênh truyền dữ liệu;

khi xem hoặc sao chép nó trong quá trình sửa chữa, điều chỉnh và loại bỏ phần mềm và phần cứng;

trong trường hợp "thu gom rác" bởi kẻ xâm nhập trong quá trình hoạt động của ISPD.

Vi phạm tính toàn vẹn của thông tin được thực hiện do tác động (sửa đổi) đối với các chương trình và dữ liệu người dùng, cũng như thông tin công nghệ (hệ thống), bao gồm:

vi chương trình, dữ liệu và trình điều khiển thiết bị của hệ thống tính toán;

chương trình, dữ liệu và trình điều khiển thiết bị tải hệ điều hành;

chương trình và dữ liệu (bộ mô tả, bộ mô tả, cấu trúc, bảng, v.v.) của hệ điều hành;

các chương trình và dữ liệu phần mềm ứng dụng;

Các chương trình và dữ liệu phần mềm đặc biệt;

Giá trị trung gian (hoạt động) của chương trình và dữ liệu trong quá trình xử lý chúng (đọc / ghi, nhận / truyền) bằng các phương tiện và thiết bị của công nghệ máy tính.

Việc vi phạm tính toàn vẹn của thông tin trong ISPDN cũng có thể do việc đưa chương trình độc hại của phần cứng và phần mềm đánh dấu vào đó hoặc tác động đến hệ thống bảo vệ thông tin hoặc các phần tử của nó.

Ngoài ra, trong ISPDN, có thể ảnh hưởng đến thông tin mạng công nghệ, có thể đảm bảo hoạt động của các phương tiện quản lý mạng máy tính khác nhau:

cấu hình mạng;

địa chỉ và định tuyến truyền dữ liệu trong mạng;

kiểm soát chức năng của mạng;

bảo mật thông tin trên mạng.

Việc vi phạm tính sẵn có của thông tin được đảm bảo bằng việc hình thành (sửa đổi) dữ liệu ban đầu, trong quá trình xử lý, dữ liệu này gây ra trục trặc, lỗi phần cứng hoặc chiếm giữ (tải) tài nguyên máy tính của hệ thống, những dữ liệu này cần thiết để thực hiện chương trình và hoạt động của thiết bị.

Những hành động này có thể dẫn đến gián đoạn hoặc không hoạt động của hầu hết mọi phương tiện kỹ thuật của ISPD:

các phương tiện xử lý thông tin;

phương tiện nhập / xuất thông tin;

các phương tiện lưu trữ thông tin;

Thiết bị và kênh truyền dẫn;

phương tiện bảo vệ thông tin.