Файл: Опорный конспект.doc

3 Шкідливе програмне забезпечення

Одним з найнебезпечніших способів проведення атак є упровадження в системи шкідливого програмного забезпечення, що атакуються.

Ми виділимо наступні грані шкідливого ПО:

• шкідлива функція;

• спосіб розповсюдження;

• зовнішнє уявлення.

Частину, що здійснює руйнівну функцію, називатимемо "бомбою" (хоча, можливо, більш вдалими термінами були б "заряд" або "боєголовка"). Взагалі кажучи, спектр шкідливих функцій необмежений, оскільки "бомба", як і будь-яка інша програма, може володіти скільки завгодно складною логікою, але звичайно "бомби" призначаються для:

• упровадження іншого шкідливого ПО;

• отримання контролю над системою, що атакується;

• агресивного споживання ресурсів;

• зміни або руйнування програм и/или даних.

По механізму розповсюдження розрізняють:

• віруси - код, що володіє здібністю до розповсюдження (можливо, із змінами) шляхом упровадження в інші програми;

• "черв’яки" - код, здатний самостійно, тобто без упровадження в інші програми, викликати розповсюдження своїх копій по ІС і їх виконання (для активізації вірусу потрібен запуск зараженої програми).

Віруси звичайно розповсюджуються локально, в межах вузла мережі; для передачі по мережі їм потрібна зовнішня допомога, така як пересилка зараженого файлу. "черв’яки", навпаки, орієнтовані в першу чергу на подорожі по мережі.

Іноді саме розповсюдження шкідливого ПО викликає агресивне споживання ресурсів і, отже, є шкідливою функцією. Наприклад, "черв’яки" "з’їдають" смугу пропускання мережі і ресурси поштових систем. З цієї причини для атак на доступність вони не потребують вбудовування спеціальних "бомб".

Шкідливий код, який виглядає як функціонально корисна програма, називається троянським. Наприклад, звичайна програма, будучи ураженою вірусом, стає троянською; деколи троянські програми виготовляють уручну і підсовують довірливим користувачам в якій-небудь привабливій упаковці.

Відзначимо, що дані нами визначення і приведена класифікація шкідливого ПО відрізняються від загальноприйнятих. Наприклад, в ГОСТ Р 51275-99 "Захист інформації. Об’єкт інформатизації. Чинники, що впливають на інформацію. Загальні положення" міститься наступне визначення:

"програмний вірус - це виконуваний або інтерпретується програмний код, що володіє властивістю несанкціонованого розповсюдження і самовідтворення в автоматизованих системах або телекомунікаційних мережах з метою змінити або знищити програмне забезпечення и/или дані, що зберігаються в автоматизованих системах".

На наш погляд, подібне визначення невдало, оскільки в ньому змішані функціональні і транспортні аспекти.

Вікно небезпеки для шкідливого ПО з’являється з випуском нового різновиду "бомб", вірусів и/или "черв’яків" і перестає існувати з оновленням бази даних антивірусних програм і накладенням інших необхідних латок.

За традицією зі всього шкідливого ПО найбільшу увагу громадськості доводиться на частку вірусів. Проте до березня 1999 року з повним правом можна було затверджувати, що "не дивлячись на експоненціальне зростання числа відомих вірусів, аналогічного зростання кількості інцидентів, викликаних ними, не зареєстровано. Дотримання нескладних правил "комп’ютерної гігієни" практично зводить ризик зараження до нуля. Там, де працюють, а не грають, число заражених комп’ютерів складає лише частки відсотка".

В березні 1999 року, з появою вірусу "Melissa", ситуація кардинальним чином змінилася. "Melissa" - це макровірус для файлів MS-Word, що розповсюджується за допомогою електронної пошти в приєднаних файлах. Коли такий (заражений) приєднаний файл відкривають, він розсилає свої копії за першими 50 адресами з адресної книги Microsoft Outlook. В результаті поштові сервери піддаються атаці на доступність.

В даному випадку нам хотілося б відзначити два моменти.

1. Як вже мовилося, пасивні об’єкти відходять в минуле; так званий активний вміст стає нормою. Файли, які по всіх ознаках були б повинні були відноситися до даних (наприклад, документи у форматах MS-Word або Postscript, тексти поштових повідомлень), здатні містити компоненти, які можуть запускатися неявним чином при відкритті файлу, що інтерпретуються. Як і всяке в цілому прогресивне явище, таке "підвищення активності даних" має свою оборотну сторону (в даному випадку - відставання в розробці механізмів безпеки і помилки в їх реалізації). Звичайні користувачі ще не скоро навчаться застосовувати компоненти, що інтерпретуються, "в мирних цілях" (або хоча б дізнаються про їх існування), а перед зловмисниками відкрилося по суті необмежене поле діяльності. Як не банально це звучить, але якщо для стрільби по горобцях викочується гармата, то постраждає в основному стріляючий.

2. Інтеграція різних сервісів, наявність серед них мережних, загальна зв’язність багато разів збільшують потенціал для атак на доступність, полегшують розповсюдження шкідливого ПО (вірус "Melissa" - класичний тому приклад). Образно кажучи, багато інформаційних систем, якщо не вжити захисних заходів, опиняються "в одному човні" (точніше - в кораблі без перегородок), так що достатньо однієї пробоїни, щоб "човен" тут же пішов до дна.

Як це часто буває, вслід за "Melissa" з’явилася на світ ціла серія вірусів, "черв’яків" і їх комбінацій: "Explorer.zip" (1999 червня), "Bubble Boy" (1999 листопаду), "ILOVEYOU" (2000 травня) і т.д. Не те що б від них був особливо великий збиток, але суспільний резонанс вони викликали чималий.

Активний вміст, крім компонентів документів і інших файлів даних, що інтерпретуються, має ще один популярний вигляд - так звані мобільні агенти. Це програми, які завантажуються на інші комп’ютери і там виконуються. Найвідоміші приклади мобільних агентів - Java-апплеты, завантажувані на призначений для користувача комп’ютер і що інтерпретуються Internet-навігаторами. Виявилося, що розробити для них модель безпеки, що залишає достатньо можливостей для корисних дій, не так-то просто; ще складніше реалізувати таку модель без помилок. В серпні 1999 року стали відомі недоліки в реалізації технологій ActiveX і Java в рамках Microsoft Internet Explorer, які давали можливість розміщувати на Web-серверах шкідливі апплеты, що дозволяють одержувати повний контроль над системою-візитером.

Для упровадження "бомб" часто використовуються помилки типу "переповнювання буфера", коли програма, працюючи з областю пам’яті, виходить за межі допустимого і записує в потрібні зловмиснику місця певні дані. Так діяв ще в 1988 році знаменитий "черв’як Моріса"; в червні 1999 року хакери знайшли спосіб використовувати аналогічний метод по відношенню до Microsoft Internet Information Server (IIS), щоб одержати контроль над Web-сервером. Вікно небезпеки охопило відразу близько півтора мільйонів серверних систем...

Не забуті сучасними зловмисниками і випробувані троянські програми. Наприклад, "Троя" Back Orifice і Netbus дозволяє одержати контроль над призначеними для користувача системами з різними варіантами MS-Windows.

Таким чином, дія шкідливого ПО може бути направлене не тільки проти доступності, але і проти інших основних аспектів інформаційної безпеки.

4 Основні загрози цілісності

На другому місці за розмірами збитку (після ненавмисних помилок і упущень) стоять крадіжки і фальсифікації. За даними газети USA Today, ще в 1992 році в результаті подібних протиправних дій з використанням персональних комп’ютерів американським організаціям був завданий загального збитку у розмірі 882 мільйонів доларів. Можна припустити, що реальний збиток був набагато більше, оскільки багато організацій із зрозумілих причин приховують такі інциденти; не викликає сумнівів, що в наші дні збиток від такого роду дій виріс багато разів.

В більшості випадків винуватцями виявлялися штатні співробітники організацій, відмінно знайомі з режимом роботи і заходами захисту. Це ще раз підтверджує небезпеку внутрішніх загроз, хоча говорять і пишуть про них значно менше ніж про зовнішні.

Раніше ми проводили відмінність між статичною і динамічною цілісністю. З метою порушення статичної цілісності зловмисник (як правило, штатний співробітник) може:

• ввести невірні дані;

• змінити дані.

Іноді змінюються змістовні дані, іноді - службова інформація. Показовий випадок порушення цілісності мав місце в 1996 році. Oracle (особистий секретар віце-президента), що служить, пред’явила судовий позов, звинувачувавши президента корпорації в незаконному звільненні після того, як вона відкинула його залицяння. На доказ своєї правоти жінка привела електронний лист, нібито відправлене її начальником президенту. Зміст листа для нас зараз не важливий; важливий час відправки. Річ у тому, що віце-президент пред’явив, у свою чергу, файл з реєстраційною інформацією компанії стільникового зв’язку, з якого виявлялося, що в указаний час він розмовляв по мобільному телефону, знаходячись далеко від свого робочого місця. Таким чином, в суді відбулося протистояння "файл проти файлу". Очевидно, один з них був фальсифікований або змінений, тобто була порушена його цілісність. Суд вирішив, що підроблювали електронний лист (секретарка знала пароль віце-президента, оскільки їй було доручено його міняти), і позов був знехтуваний...

(Теоретично можливо, що обидва фігуруючих на суді файлу були справжніми, коректними з погляду цілісності, а лист відправили пакетними засобами, проте, на наш погляд, це була б дуже дивна для віце-президента дія.)

З приведеного випадку можна зробити висновок не тільки про загрози порушення цілісності, але і про небезпеку сліпого довір’я комп’ютерній інформації. Заголовки електронного листа можуть бути підроблені; лист в цілому може бути фальсифіковане особою, що знає пароль відправника (ми наводили відповідні приклади). Відзначимо, що останнє можливе навіть тоді, коли цілісність контролюється криптографічними засобами. Тут має місце взаємодія різних аспектів інформаційної безпеки: якщо порушена конфіденційність, може постраждати цілісність.

Ще один урок: загрозою цілісності є не тільки фальсифікація або зміна даних, але і відмова від досконалих дій. Якщо немає засобів забезпечити "неотказуемость", комп’ютерні дані не можуть розглядатися як доказ.

Потенційно уразливі з погляду порушення цілісності не тільки дані, але і програми. Упровадження розглянутого вище за шкідливий ПО - приклад подібного порушення.

Загрозами динамічної цілісності є порушення атомарності транзакцій, переупорядковування, крадіжка, дублювання даних або внесення додаткових повідомлень (мережних пакетів і т.п.). Відповідні дії в мережному середовищі називаються активним прослуховуванням.