Виды угроз информационным объектам.

Общая классификация угроз автоматизирован­ной информационной системе объекта выглядит следующим образом:

· Угрозы конфиденциальности данных и про­грамм. Реализуются при несанкционированном доступе к данным (например, к сведениям о со­стоянии счетов клиентов банка), программам или каналам связи.

Информация, обрабатываемая на компьюте­рах или передаваемая по локальным сетям пере­дачи данных, может быть снята через технические каналы утечки. При этом используется аппарату­ра, осуществляющая анализ электромагнитных из­лучений, возникающих при работе компьютера.

Такой съем информации представляет собой сложную техническую задачу и требует привлече­ния квалифицированных специалистов. С помо­щью приемного устройства, выполненного на базе стандартного телевизора, можно перехватывать информацию, выводимую на экраны дисплеев компьютеров с расстояния в тысячу и более мет­ров. Определенные сведения о работе компью­терной системы извлекаются даже в том случае, когда ведется наблюдение за процессом обмена сообщениями без доступа к их содержанию.

· Угрозы целостности данных, программ, аппа­ратуры. Целостность данных и программ нару­шается при несанкционированном уничтожении, добавлении лишних элементов и модификации записей о состоянии счетов, изменении порядка расположения данных, формировании фальси­фицированных платежных документов в ответ на законные запросы, при активной ретрансляции сообщений с их задержкой.

Несанкционированная модификация инфор­мации о безопасности системы может привести к несанкционированным действиям (неверной ма­ршрутизации или утрате передаваемых данных) или искажению смысла передаваемых сообще­ний. Целостность аппаратуры нарушается при ее повреждении, похищении или незаконном изме­нении алгоритмов работы.

· Угрозы доступности данных. Возникают в том случае, когда объект (пользователь или про­цесс) не получает доступа к законно выделенным ему службам или ресурсам. Эта угроза реализует­ся захватом всех ресурсов, блокированием линий связи несанкционированным объектом в результа­те передачи по ним своей информации или исклю­чением необходимой системной информации.

Эта угроза может привести к ненадежности или плохому качеству обслуживания в системе и, следовательно, потенциально будет влиять на до­стоверность и своевременность доставки платеж­ных документов.

— Угрозы отказа от выполнения трансакций. Возникают в том случае, когда легальный пользо­ватель передает или принимает платежные доку­менты, а потом отрицает это, чтобы снять с себя ответственность.

Оценка уязвимости автоматизированной ин­формационной системы и построение модели воз­действий предполагают изучение всех вариантов реализации перечисленных выше угроз и выявле­ние последствий, к которым они приводят.

Угрозы могут быть обусловлены:

— естественными факторами (стихийные бед­ствия — пожар, наводнение, ураган, молния и другие причины);

— человеческими факторами, которые в свою очередь подразделяются на:

пассивные угрозы (угрозы, вызванные деятельностью, носящей случайный, неумышленный характер). Это угрозы, связанные с ошибками процесса подготовки, обработки и передачи ин­формации (научно-техническая, коммерческая, валютно-финансовая документация); с нецелена­правленной «утечкой умов», знаний, информа­ции (например, в связи с миграцией населения, выездом в другие страны для воссоединения с се­мьей и т. п.);

активные угрозы (угрозы, обусловленные умышленными, преднамеренными действиями людей). Это угрозы, связанные с передачей, ис­кажением и уничтожением научных открытий, изобретений, секретов производства, новых тех­нологий по корыстным и другим антиобществен­ным мотивам (документация, чертежи, описания открытий и изобретений и другие материалы); просмотром и передачей различной документа­ции, просмотром «мусора»; подслушиванием и передачей служебных и других научно-техничес­ких и коммерческих разговоров; с целенаправ­ленной «утечкой умов», знаний, информации (на­пример, в связи с получением другого гражданст­ва по корыстным мотивам);

— человеко-машинными и машинными фак­торами, подразделяющимися на:

пассивные угрозы. Это угрозы, связанные с ошибками процесса проектирования, разработки и изготовления систем и их компонентов (зда­ния, сооружения, помещения, компьютеры, сред­ства связи, операционные системы, прикладные программы и др.); с ошибками в работе аппара­туры из-за некачественного ее изготовления; с ошибками процесса подготовки и обработки ин­формации (ошибки программистов и пользовате­лей из-за недостаточной квалификации и некаче­ственного обслуживания, ошибки операторов при подготовке, вводе и выводе данных, корректи­ровке и обработке информации);

активные угрозы. Это угрозы, связанные с не­санкционированным доступом к ресурсам авто­матизированной информационной системы (вне­сение технических изменений в средства вычис­лительной техники и средства связи, подключение к средствам вычислительной техники и каналам связи, хищение различных видов носителей ин­формации: дискет, описаний, распечаток и дру­гих материалов, просмотр вводимых данных, рас­печаток, просмотр «мусора»); угрозы, реализуемые бесконтактным способом (сбор электромагнит­ных излучений, перехват сигналов, наводимых в цепях (токопроводящие коммуникации), визу­ально-оптические способы добычи информации, подслушивание служебных и научно-техничес­ких разговоров и т. п.).

Основными типовыми путями утечки инфор­мации и несанкционированного доступа к автома­тизированным информационным системам, в том числе через каналы телекоммуникации, являются следующие:

· перехват электронных излучений;

· принудительное электромагнитное облуче­ние (подсветка) линий связи с целью получения паразитной модуляции несущей;

· применение подслушивающих устройств (закладок);

· дистанционное фотографирование;

· перехват акустических излучений и восста­новление текста принтера;

· хищение носителей информации и произ­водственных отходов;

· считывание данных в массивах других поль­зователей;

· чтение остаточной информации в памяти системы после выполнения санкционированных запросов;

· копирование носителей информации с пре­одолением мер зашиты;

· маскировка под зарегистрированного поль­зователя;

· мистификация (маскировка под запросы системы);

· незаконное подключение к аппаратуре и линиям связи;

· злоумышленный вывод из строя механиз­мов защиты;

· использование «программных ловушек».

Возможными каналами преднамеренного несан­кционированного доступа к информации при от­сутствии защиты в автоматизированной инфор­мационной системе могут быть:

· штатные каналы доступа к информации (тер­миналы пользователей, средства отображения и документирования информации, носители ин­формации, средства загрузки программного обес­печения, внешние каналы связи) при их незакон­ном использовании;

· технологические пульты и органы управле­ния;

· внутренний монтаж аппаратуры;

· линии связи между аппаратными средствами;

· побочное электромагнитное излучение, не­сущее информацию;

· побочные наводки на цепях электропита­ния, заземления аппаратуры, вспомогательных и посторонних коммуникациях, размещенных вблизи компьютерной системы.

Способы воздействия угроз на объекты ин­формационной безопасности подразделяются на информационные, программно-математические, физические, радиоэлектронные и организацион­но-правовые.

К информационным способам относятся:

· нарушение адресности и своевременности информационного обмена, противозаконный сбор и использование информации;

· несанкционированный доступ к информа­ционным ресурсам;

· манипулирование информацией (дезин­формация, сокрытие или искажение информа­ции);

· незаконное копирование данных в инфор­мационных системах;

· нарушение технологии обработки информа­ции.

Программно-математические способы включают:

· внедрение компьютерных вирусов;

· установку программных и аппаратных за­кладных устройств;

· уничтожение или модификацию данных в автоматизированных информационных системах.

Физические способы включают:

· уничтожение или разрушение средств обра­ботки информации и связи;

· уничтожение, разрушение или хищение ма­шинных или других оригинальных носителей ин­формации;

· хищение программных или аппаратных клю­чей и средств криптографической защиты инфор­мации;

· воздействие на персонал;

· поставку «зараженных» компонентов авто­матизированных информационных систем.

Радиоэлектронными способами являются:

· перехват информации в технических кана­лах ее возможной утечки;

· внедрение электронных устройств перехва­та информации в технические средства и поме­щения;

· перехват, дешифровка и навязывание лож­ной информации в сетях передачи данных и ли­ниях связи;

· воздействие на парольно-ключевые системы;

· радиоэлектронное подавление линий связи и систем управления.

Организационно-правовые способы включают:

· невыполнение требований законодательства и задержки в принятии необходимых норма­тивно-правовых положений в информационной сфере;

· неправомерное ограничение доступа к до­кументам, содержащим важную для граждан и организаций информацию.

Угрозы безопасности программного обеспече­ния. Обеспечение безопасности автоматизиро­ванных информационных систем зависит от без­опасности используемого в них программного обеспечения и, в частности, следующих видов программ:

· обычных программ пользователей;

· специальных программ, рассчитанных на нарушение безопасности системы;

· разнообразных системных утилит и ком­мерческих прикладных программ, которые отли­чаются высоким профессиональным уровнем раз­работки и тем не менее могут содержать отдель­ные недоработки, позволяющие захватчикам атаковать системы.

Программы могут порождать проблемы двух типов: во-первых, могут перехватывать и моди­фицировать данные в результате действий поль­зователя, который к этим данным не имеет до­ступа, и, во-вторых, используя упущения в защите компьютерных систем, могут или обеспечивать доступ к системе пользователям, не имеющим на это права, или блокировать доступ к системе за­конных пользователей.

Чем выше уровень подготовки программиста, тем более неявными (даже для него) становятся допускаемые им ошибки и тем более тщательно и надежно он способен скрыть умышленные меха­низмы, разработанные для нарушения безопас­ности системы.

Целью атаки могут быть и сами программы по следующим причинам:

· В современном мире программы могут быть товаром, приносящим немалую прибыль, особен­но тому, кто первым начнет тиражировать про­грамму в коммерческих целях и оформит автор­ские права на нее.

· Программы могут становиться также объек­том атаки, имеющей целью модифицировать эти программы некоторым образом, что позволило бы в будущем провести атаку на другие объекты системы. Особенно часто объектом атак такого рода становятся программы, реализующие функ­ции защиты системы.

Рассмотрим несколько типов программ и приемы, которые наиболее часто используются для атак программ и данных. Эти приемы обозна­чаются единым термином — «программные ло­вушки». К ним относятся «программные люки», «троянские кони», «логические бомбы», атаки «са­лями», скрытые каналы, отказы в обслуживании и компьютерные вирусы.

Люки в программах.Использование люков для проникновения в программу — один из простых и часто используемых способов нарушения без­опасности автоматизированных информацион­ных систем.

Люком называется не описанная в документа­ции на программный продукт возможность рабо­ты с этим программным продуктом. Сущность использования люков состоит в том, что при вы­полнении пользователем некоторых не описан­ных в документации действий он получает доступ к возможностям и данным, которые в обычных условиях для него закрыты (в частности, выход в привилегированный режим).

Люки чаще всего являются результатом за­бывчивости разработчиков. В качестве люка мо­жет быть использован временный механизм пря­мого доступа к частям продукта, созданный для облегчения процесса отладки и не удаленный по ее окончании. Люки могут образовываться также в результате часто практикуемой технологии раз­работки программных продуктов «сверху вниз»: в их роли будут выступать оставленные по каким-либо причинам в готовом продукте «заглушки» — группы команд, имитирующие или просто обо­значающие место подсоединения будущих под­программ.

Наконец, еще одним распространенным ис­точником люков является так называемый «неоп­ределенный ввод» — ввод «бессмысленной» ин­формации, абракадабры в ответ на запросы сис­темы. Реакция недостаточно хорошо написанной программы на неопределенный ввод может быть, в лучшем случае, непредсказуемой (когда при по­вторном вводе той же неверной команды програм­ма реагирует каждый раз по-разному); гораздо хуже, если программа в результате одинакового «неопределенного» ввода выполняет некоторые повторяющиеся действия, — это дает возмож­ность потенциальному захватчику планировать свои действия по нарушению безопасности.

Неопределенный ввод — частная реализация прерывания. То есть в общем случае захватчик может умышленно пойти на создание в системе некоторой нестандартной ситуации, которая бы позволила ему выполнить необходимые дейст­вия. Например, он может искусственно вызвать аварийное завершение программы, работающей в привилегированном режиме, с тем, чтобы пере­хватить управление, оставшись в этом привиле­гированном режиме.

Борьба с возможностью прерывания, в конеч­ном счете, выливается в необходимость предус­мотреть при разработке программ комплекса ме­ханизмов, образующих так называемую «защиту от дурака». Смысл этой защиты состоит в том, чтобы гарантированно отсекать всякую вероят­ность обработки неопределенного ввода и разно­го рода нестандартных ситуаций (в частности, ошибок) и тем самым не допускать нарушения безопасности компьютерной системы даже в слу­чае некорректной работы с программой.

Таким образом, люк (или люки) может присут­ствовать в программе ввиду того, что програм­мист:

· забыл удалить его;

· умышленно оставил его в программе для обеспечения тестирования или выполнения ос­тавшейся части отладки;

· умышленно оставил его в программе в ин­тересах облегчения окончательной сборки конеч­ного программного продукта;

· умышленно оставил его в программе с тем, чтобы иметь скрытое средство доступа к програм­ме уже после того, как она вошла в состав конеч­ного продукта.

Люк — первый шаг к атаке системы, возмож­ность проникнуть в компьютерную систему в об­ход механизмов защиты.

«Троянские кони». Существуют программы, реализующие, помимо функций, описанных в до­кументации, и некоторые другие функции, в до­кументации не описанные. Такие программы на­зываются «троянскими конями».

Вероятность обнаружения «троянского коня» тем выше, чем очевиднее результаты его действий (например, удаление файлов или изменение их защиты). Более сложные «троянские кони» могут маскировать следы своей деятельности (напри­мер, возвращать защиту файлов в исходное состоя­ние).

«Логические бомбы». «Логической бомбой» обычно называют программу или даже участок кода в программе, реализующий некоторую функцию при выполнении определенного условия. Этим условием может быть, например, наступление определенной даты или обнаружение файла с оп­ределенным именем.

«Взрываясь», «логическая бомба» реализует функцию, неожиданную и, как правило, нежела­тельную для пользователя (например, удаляет не­которые данные или разрушает некоторые сис­темные структуры). «Логическая бомба» является одним из излюбленных способов мести програм­мистов компаниям, которые их уволили или чем-либо обидели.

Атака «салями». Атака «салями» превратилась в настоящий бич банковских компьютерных сис­тем. В банковских системах ежедневно произво­дятся тысячи операций, связанных с безналич­ными расчетами, переводами сумм, отчисления­ми и т. д.

При обработке счетов используются целые единицы (рубли, центы), а при исчислении про­центов нередко получаются дробные суммы. Обычно величины, превышающие половину руб­ля (цента), округляются до целого рубля (цента), а величины менее половины рубля (цента) про­сто отбрасываются. При атаке «салями» эти несу­щественные величины не удаляются, а постепен­но накапливаются на некоем специальном счете.

Как свидетельствует практика, сумма, составленная буквально из ничего, за пару лет эксплуа­тации «хитрой» программы в среднем по размеру банке может исчисляться тысячами долларов. Ата­ки «салями» достаточно трудно распознаются, если злоумышленник не начинает накапливать на од­ном счете большие суммы.

Скрытые каналы. Под скрытыми каналами подразумеваются программы, передающие ин­формацию лицам, которые в обычных условиях эту информацию получать не должны.

В тех системах, где ведется обработка критич­ной информации, программист не должен иметь доступа к обрабатываемым программой данным после начала эксплуатации этой программы.

Из факта обладания некоторой служебной ин­формацией можно извлечь немалую выгоду, хотя бы элементарно продав эту информацию (напри­мер, список клиентов) конкурирующей фирме. Достаточно квалифицированный программист всегда может найти способ скрытой передачи ин­формации; при этом программа, предназначен­ная для создания самых безобидных отчетов, мо­жет быть немного сложнее, чем того требует за­дача.

Для скрытой передачи информации можно с успехом использовать различные элементы фор­мата «безобидных» отчетов, например разную дли­ну строк, пропуски между строками, наличие или отсутствие служебных заголовков, управляемый вывод незначащих цифр в выводимых величинах, количество пробелов или других символов в оп­ределенных местах отчета и т. д.

Если захватчик имеет возможность доступа к компьютеру во время работы интересующей его программы, скрытым каналом может стать пере­сылка критичной информации в специально со­зданный в оперативной памяти компьютера мас­сив данных.

Скрытые каналы наиболее применимы в си­туациях, когда захватчика интересует даже не со­держание информации, а, допустим, факт ее на­личия (например, наличие в банке расчетного счета с определенным номером).

Отказ в обслуживании. Большинство методов нарушения безопасности направлено на то, что­бы получить доступ к данным, не допускаемый системой в нормальных условиях. Однако не ме­нее интересным для захватчиков является доступ к управлению самой компьютерной системой или изменение ее качественных характеристик, например, получить некоторый ресурс (процес­сор, устройство ввода-вывода) в монопольное ис­пользование или спровоцировать ситуацию клин­ча для нескольких процессов.

Это может потребоваться для того, чтобы явно использовать компьютерную систему в своих це­лях (хотя бы для бесплатного решения своих за­дач) либо просто заблокировать систему, сделав ее недоступной другим пользователям. Такой вид нарушения безопасности системы называется «отказом в обслуживании» или «отказом от пользы». «Отказ в обслуживании» чрезвычайно опасен для систем реального времени — систем, управляю­щих некоторыми технологическими процессами, осуществляющих различного рода синхрониза­цию и т. д.

Компьютерные вирусы. Компьютерные вирусы являются квинтэссенцией всевозможных мето­дов нарушения безопасности. Одним из самых частых и излюбленных способов распростране­ния вирусов является метод «троянского коня». От «логической бомбы» вирусы отличаются толь­ко возможностью размножаться и обеспечивать свой запуск, так что многие вирусы можно счи­тать особой формой «логических бомб».

Для атаки системы вирусы активно исполь­зуют разного рода «люки». Вирусы могут реали­зовывать самые разнообразные пакости, в том числе и атаку «салями». Кроме того, успех атаки одного вида часто способствует снижению «им­мунитета» системы, создает благоприятную среду для успеха атак других видов. Захватчики это зна­ют и активно используют данное обстоятельство.

Разумеется, в чистом виде описанные выше приемы встречаются достаточно редко. Гораздо чаще в ходе атаки используются отдельные эле­менты разных приемов.

Угрозы информации в компьютерных сетях. Сети компьютеров имеют много преимуществ пе­ред совокупностью отдельно работающих компьютеров, в их числе можно отметить: разделение ресурсов системы, повышение надежности функ­ционирования системы, распределение загрузки среди узлов сети и расширяемость за счет добав­ления новых узлов.

Вместе с тем при использовании компьютер­ных сетей возникают серьезные проблемы обес­печения информационной безопасности. Можно отметить следующие из них.

Разделение совместно используемых ресурсов. В силу совместного использования большого ко­личества ресурсов различными пользователями сети, возможно, находящимися на большом рас­стоянии друг от друга, сильно повышается риск несанкционированного доступа, так как в сети его можно осуществить проще и незаметнее.

Расширение зоны контроля. Администратор или оператор отдельной системы или подсети должен контролировать деятельность пользователей, на­ходящихся вне пределов его досягаемости.

Комбинация различных программно-аппарат­ных средств. Соединение нескольких систем в сеть увеличивает уязвимость всей системы в це­лом, поскольку каждая информационная система настроена на выполнение своих специфических требований безопасности, которые могут оказаться несовместимыми с требованиями на других сис­темах.

Неизвестный параметр. Легкая расширяемость сетей ведет к тому, что определить границы сети подчас бывает сложно, так как один и тот же узел может быть доступен для пользователей различ­ных сетей. Более того, для многих из них не всег­да можно точно определить, сколько пользовате­лей имеют доступ к определенному узлу сети и кто они.

Множество точек атаки. В сетях один и тот же набор данных или сообщение может переда­ваться через несколько промежуточных узлов, каждый из которых является потенциальным ис­точником угрозы. Кроме того, ко многим совре­менным сетям можно получить доступ с помо­щью коммутируемых линий связи и модема, что во много раз увеличивает количество возможных точек атаки.

Сложность управления и контроля доступа к системе. Многие атаки на сеть могут осущест­вляться без получения физического доступа к оп­ределенному узлу — с помощью сети из удален­ных точек.

В этом случае идентификация нарушителя мо­жет оказаться очень сложной. Кроме того, время атаки может оказаться слишком малым для при­нятия адекватных мер.

С одной стороны, сеть — это единая система с едиными правилами обработки информации, а с другой — совокупность обособленных систем, каждая из которых имеет свои собственные пра­вила обработки информации. Поэтому, с учетом двойственности характера сети, атака на сеть может осуществляться с двух уровней: верхнего и нижнего (возможна и их комбинация).

При верхнем уровне атаки на сеть злоумыш­ленник использует свойства сети для проникно­вения на другой узел и выполнения определен­ных несанкционированных действий. При нижнем уровне атаки на сеть злоумышленник использует свойства сетевых протоколов для нарушения кон­фиденциальности или целостности отдельных со­общений или потока в целом.

Нарушение потока сообщений может привес­ти к утечке информации и даже потере контроля над сетью.

Различают пассивные и активные угрозы ниж­него уровня, специфические для сетей.

Пассивные угрозы (нарушение конфиденци­альности данных, циркулирующих в сети) — это просмотр и/или запись данных, передаваемых по линиям связи. К ним относятся:

· просмотр сообщения;

· анализ графика — злоумышленник может просматривать заголовки пакетов, циркулирую­щих в сети, и на основе содержащейся в них слу­жебной информации делать заключения об от­правителях и получателях пакета и условиях передачи (время отправления, класс сообщения, категория безопасности, длина сообщения, объ­ем трафика и т. д.).

Активные угрозы (нарушение целостности или доступности ресурсов и компонентов сети) — несанкционированное использование устройств, имеющих доступ к сети для изменения отдельных сообщений или потока сообщений. К ним относятся:

· отказ служб передачи сообщений — злоумыш­ленник может уничтожать или задерживать от­дельные сообщения или весь поток сообщений;

· «маскарад» — злоумышленник может при­своить своему узлу или ретранслятору чужой иден­тификатор и получать или отправлять сообщения от чужого имени;

· внедрение сетевых вирусов — передача по сети тела вируса с его последующей активиза­цией пользователем удаленного или локального узла;

· модификация потока сообщений — зло­умышленник может выборочно уничтожать, мо­дифицировать, задерживать, переупорядочивать и дублировать сообщения, а также вставлять под­дельные сообщения.

Угрозы коммерческой информации. Вусловиях информатизации особую опасность представля­ют также такие способы несанкционированного доступа к конфиденциальной информации, как копирование, подделка, уничтожение.

Копирование.При несанкционированном доступе к конфиденциальной информации ко­пируют: документы, содержащие интересующую злоумышленника информацию; технические но­сители; информацию, обрабатываемую в автоматизированных информационных системах. Ис­пользуются следующие способы копирования: све­токопирование, фотокопирование, термокопиро­вание, ксерокопирование и электронное копиро­вание.

Подделка.В условиях конкуренции подделка, модификация и имитация приобретают большие масштабы. Злоумышленники подделывают дове­рительные документы, позволяющие получить определенную информацию, письма, счета, бух­галтерскую и финансовую документацию; подде­лывают ключи, пропуска, пароли, шифры и т. п. В автоматизированных информационных сис­темах к подделке относят, в частности, такие зло­намеренные действия, как фальсификация (або­нент-получатель подделывает полученное сооб­щение, выдавая его за действительное в своих интересах), маскировка (абонент-отправитель мас­кируется под другого абонента с целью получе­ния им охраняемых сведений).

Уничтожение.Особую опасность представляет уничтожение информации в автоматизирован­ных базах данных и базах знаний. Уничтожается информация на магнитных носителях с помощью компактных магнитов и программным путем («ло­гические бомбы»). Значительное место в преступ­лениях против автоматизированных информаци­онных систем занимают саботаж, взрывы, разру­шения, вывод из строя соединительных кабелей, систем кондиционирования.