Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных - umotnas.ru o_O
Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных - umotnas.ru o_O
|
Похожие работы
|
Базовая модель угроз безопасности персональных данных при их обработке в информационных - страница №3/4
6. Уровень эталонной модели взаимодействия открытых систем <*> (ISO/OSI), на котором реализуется угроза. По этому признаку угроза может реализовываться на физическом, канальном, сетевом, транспортном, сеансовом, представительном и прикладном уровне модели ISO/OSI. -------------------------------- <*> Международная Организация по Стандартизации (ISO) приняла стандарт ISO 7498, описывающий взаимодействие открытых систем (OSI). 7. Соотношение количества нарушителей и элементов ИСПДн, относительно которых реализуется угроза. По этому признаку угроза может быть отнесена к классу угроз, реализуемых одним нарушителем относительно одного технического средства ИСПДн (угроза "один к одному"), сразу относительно нескольких технических средств ИСПДн (угроза "один ко многим") или несколькими нарушителями с разных компьютеров относительно одного или нескольких технических средств ИСПДн (распределенные или комбинированные угрозы). С учетом проведенной классификации можно выделить семь наиболее часто реализуемых в настоящее время угроз. 1. Анализ сетевого трафика (рисунок 6). трафика" 2. Сканирование сети. Сущность процесса реализации угрозы заключается в передаче запросов сетевым службам хостов ИСПДн и анализе ответов от них. Цель - выявление используемых протоколов, доступных портов сетевых служб, законов формирования идентификаторов соединений, определение активных сетевых сервисов, подбор идентификаторов и паролей пользователей. 3. Угроза выявления пароля. Цель реализации угрозы состоит в получении НСД путем преодоления парольной защиты. Злоумышленник может реализовывать угрозу с помощью целого ряда методов, таких как простой перебор, перебор с использованием специальных словарей, установка вредоносной программы для перехвата пароля, подмена доверенного объекта сети (IP-spoofing) и перехват пакетов (sniffing). В основном для реализации угрозы используются специальные программы, которые пытаются получить доступ к хосту путем последовательного подбора паролей. В случае успеха, злоумышленник может создать для себя "проход" для будущего доступа, который будет действовать, даже если на хосте изменить пароль доступа. 4. Подмена доверенного объекта сети и передача по каналам связи сообщений от его имени с присвоением его прав доступа (рисунок 7). объекта сети" Такая угроза эффективно реализуется в системах, где применяются нестойкие алгоритмы идентификации и аутентификации хостов, пользователей и т.д. Под доверенным объектом понимается объект сети (компьютер, межсетевой экран, маршрутизатор и т.п.), легально подключенный к серверу. Могут быть выделены две разновидности процесса реализации указанной угрозы: с установлением и без установления виртуального соединения. Процесс реализации с установлением виртуального соединения состоит в присвоении прав доверенного субъекта взаимодействия, что позволяет нарушителю вести сеанс работы с объектом сети от имени доверенного субъекта. Реализация угрозы данного типа требует преодоления системы идентификации и аутентификации сообщений (например, атака rsh-службы UNIX-хоста). Процесс реализации угрозы без установления виртуального соединения может иметь место в сетях, осуществляющих идентификацию передаваемых сообщений только по сетевому адресу отправителя. Сущность заключается в передаче служебных сообщений от имени сетевых управляющих устройств (например, от имени маршрутизаторов) об изменении маршрутно-адресных данных. При этом необходимо иметь в виду, что единственными идентификаторами абонентов и соединения (по протоколу TCP) являются два 32-битных параметра Initial Sequence Number - ISS (номер последовательности) и Acknowledgment Number - ACK (номер подтверждения). Следовательно, для формирования ложного TCP-пакета нарушителю необходимо знать текущие идентификаторы для данного соединения - ISSa и ISSb, где: ISSa - некоторое численное значение, характеризующее порядковый номер отправляемого TCP-пакета, устанавливаемого TCP-соединения, инициированного хостом A; ISSb - некоторое численное значение, характеризующее порядковый номер отправляемого TCP-пакета, устанавливаемого TCP-соединения, инициированного хостом B. Значение ACK (номера подтверждения установления TCP-соединения) определяется как значение номера, полученного от респондента ISS (номер последовательности) плюс единица ACKb = ISSa + 1. В результате реализации угрозы нарушитель получает права доступа, установленные его пользователем для доверенного абонента, к техническому средству ИСПДн - цели угроз. 5. Навязывание ложного маршрута сети. Данная угроза реализуется одним из двух способов: путем внутрисегментного или межсегментного навязывания. Возможность навязывания ложного маршрута обусловлена недостатками, присущими алгоритмам маршрутизации (в частности, из-за проблемы идентификации сетевых управляющих устройств), в результате чего можно попасть, например, на хост или в сеть злоумышленника, где можно войти в операционную среду технического средства в составе ИСПДн. Реализация угрозы основывается на несанкционированном использовании протоколов маршрутизации (RIP, OSPF, LSP) и управления сетью (ICMP, SNMP) для внесения изменений в маршрутно-адресные таблицы. При этом нарушителю необходимо послать от имени сетевого управляющего устройства (например, маршрутизатора) управляющее сообщение (рисунки 8 и 9). Рисунок 8. Схема реализации атаки "Навязывание ложного маршрута" (внутрисегментное) с использованием протокола ICMP с целью нарушения связи ложного маршрута" (межсегментное) с целью перехвата трафика 6. Внедрение ложного объекта сети. Эта угроза основана на использовании недостатков алгоритмов удаленного поиска. В случае, если объекты сети изначально не имеют адресной информации друг о друге, используются различные протоколы удаленного поиска (например, SAP в сетях Novell NetWare; ARP, DNS, WINS в сетях со стеком протоколов TCP/IP), заключающиеся в передаче по сети специальных запросов и получении на них ответов с искомой информацией. При этом существует возможность перехвата нарушителем поискового запроса и выдачи на него ложного ответа, использование которого приведет к требуемому изменению маршрутно-адресных данных. В дальнейшем весь поток информации, ассоциированный с объектом-жертвой, будет проходить через ложный объект сети (рисунки 10 - 13). Рисунок 10. Схема реализации угрозы "Внедрение ложного ARP-сервера" Рисунок 11. Схема реализации угрозы "Внедрение ложного DNS-сервера" путем перехвата DNS-запроса Рисунок 12. Схема реализации угрозы "внедрение ложного DNS-сервера" путем шторма DNS-ответов на компьютер сети Рисунок 13. Схема реализации угрозы "Внедрение ложного DNS-сервера" путем шторма DNS-ответов на DNS-сервер 7. Отказ в обслуживании. Эти угрозы основаны на недостатках сетевого программного обеспечения, его уязвимостях, позволяющих нарушителю создавать условия, когда операционная система оказывается не в состоянии обрабатывать поступающие пакеты. Могут быть выделены несколько разновидностей таких угроз: а) скрытый отказ в обслуживании, вызванный привлечением части ресурсов ИСПДн на обработку пакетов, передаваемых злоумышленником со снижением пропускной способности каналов связи, производительности сетевых устройств, нарушением требований ко времени обработки запросов. Примерами реализации угроз подобного рода могут служить: направленный шторм эхо-запросов по протоколу ICMP (Ping flooding), шторм запросов на установление TCP-соединений (SYN-flooding), шторм запросов к FTP-серверу; б) явный отказ в обслуживании, вызванный исчерпанием ресурсов ИСПДн при обработке пакетов, передаваемых злоумышленником (занятие всей полосы пропускания каналов связи, переполнение очередей запросов на обслуживание), при котором легальные запросы не могут быть переданы через сеть из-за недоступности среды передачи либо получают отказ в обслуживании ввиду переполнения очередей запросов, дискового пространства памяти и т.д. Примерами угроз данного типа могут служить шторм широковещательных ICMP-эхо-запросов (Smurf), направленный шторм (SYN-flooding), шторм сообщений почтовому серверу (Spam); в) явный отказ в обслуживании, вызванный нарушением логической связности между техническими средствами ИСПДн при передаче нарушителем управляющих сообщений от имени сетевых устройств, приводящих к изменению маршрутно-адресных данных (например, ICMP Redirect Host, DNS-flooding) или идентификационной и аутентификационной информации; г) явный отказ в обслуживании, вызванный передачей злоумышленником пакетов с нестандартными атрибутами (угрозы типа "Land", "TearDrop", "Bonk", "Nuke", "UDP-bomb") или имеющих длину, превышающую максимально допустимый размер (угроза типа "Ping Death"), что может привести к сбою сетевых устройств, участвующих в обработке запросов, при условии наличия ошибок в программах, реализующих протоколы сетевого обмена. Результатом реализации данной угрозы может стать нарушение работоспособности соответствующей службы предоставления удаленного доступа к ПДн в ИСПДн, передача с одного адреса такого количества запросов на подключение к техническому средству в составе ИСПДн, какое максимально может "вместить" трафик (направленный "шторм запросов"), что влечет за собой переполнение очереди запросов и отказ одной из сетевых служб или полную остановку компьютера из-за невозможности системы заниматься ничем другим, кроме обработки запросов. 8. Удаленный запуск приложений. Угроза заключается в стремлении запустить на хосте ИСПДн различные предварительно внедренные вредоносные программы: программы-закладки, вирусы, "сетевые шпионы", основная цель которых - нарушение конфиденциальности, целостности, доступности информации и полный контроль за работой хоста. Кроме того, возможен несанкционированный запуск прикладных программ пользователей для несанкционированного получения необходимых нарушителю данных, для запуска управляемых прикладной программой процессов и др. Выделяют три подкласса данных угроз: 1) распространение файлов, содержащих несанкционированный исполняемый код; 2) удаленный запуск приложения путем переполнения буфера приложений-серверов; 3) удаленный запуск приложения путем использования возможностей удаленного управления системой, предоставляемых скрытыми программными и аппаратными закладками либо используемыми штатными средствами. Типовые угрозы первого из указанных подклассов основываются на активизации распространяемых файлов при случайном обращении к ним. Примерами таких файлов могут служить: файлы, содержащие исполняемый код в виде макрокоманд (документы Microsoft Word, Excel и т.п.); html-документы, содержащие исполняемый код в виде элементов ActiveX, Java-апплетов, интерпретируемых скриптов (например, тексты на JavaScript); файлы, содержащие исполняемые коды программ. Для распространения файлов могут использоваться службы электронной почты, передачи файлов, сетевой файловой системы. При угрозах второго подкласса используются недостатки программ, реализующих сетевые сервисы (в частности, отсутствие контроля переполнения буфера). Настройкой системных регистров иногда удается переключить процессор после прерывания, вызванного переполнением буфера, на исполнение кода, содержащегося за границей буфера. Примером реализации такой угрозы может служить внедрение широко известного "вируса Морриса". При угрозах третьего подкласса нарушитель использует возможности удаленного управления системой, предоставляемые скрытыми компонентами (например, "троянскими" программами типа Back Orifice, Net Bus) либо штатными средствами управления и администрирования компьютерных сетей (Landesk Management Suite, Managewise, Back Orifice и т.п.). В результате их использования удается добиться удаленного контроля над станцией в сети. Схематично основные этапы работы этих программ выглядят следующим образом: инсталляция в памяти; ожидание запроса с удаленного хоста, на котором запущена клиент-программа, и обмен с ней сообщениями о готовности; передача перехваченной информации клиенту или предоставление ему контроля над атакуемым компьютером. Возможные последствия от реализации угроз различных классов приведены в таблице 3. Таблица 3 Возможные последствия реализации угроз различных классов
Процесс реализации угрозы в общем случае состоит из четырех этапов: сбора информации; вторжения (проникновения в операционную среду); осуществления несанкционированного доступа; ликвидации следов несанкционированного доступа. На этапе сбора информации нарушителя могут интересовать различные сведения об ИСПДн, в том числе: а) о топологии сети, в которой функционирует система. При этом может исследоваться область вокруг сети (например, нарушителя могут интересовать адреса доверенных, но менее защищенных хостов). Для определения доступности хоста могут использоваться простейшие команды (например, команда ping для посылки ICMP-запросов ECHO_REQUEST с ожиданием на них ICMP-ответов ECHO_REPLY). Существуют утилиты, осуществляющие параллельное определение доступности хостов (такие как fping), которые способны просканировать большую область адресного пространства на предмет доступности хостов за короткий промежуток времени. Топология сети часто определяется на основании "счетчика узлов" (дистанции между хостами). При этом могут применяться такие методы, как "модуляции TTL" и записи маршрута. Метод "модуляции TTL" реализован программой traceroute (для Windows NT - tracert.exe) и заключается в модуляции поля TTL IP-пакетов. Для записи маршрута могут использоваться ICMP-пакеты, создаваемые командой ping. Сбор информации может быть также основан на запросах: к DNS-серверу о списке зарегистрированных (и, вероятно, активных) хостов; к маршрутизатору на основе протокола RIP об известных маршрутах (информация о топологии сети); к некорректно сконфигурированным устройствам, поддерживающим протокол SNMP (информация о топологии сети). Если ИСПДн находится за межсетевым экраном (МЭ), возможен сбор информации о конфигурации МЭ и о топологии ИСПДн за МЭ, в том числе путем посылки пакетов на все порты всех предполагаемых хостов внутренней (защищаемой) сети; б) о типе операционной системы (ОС) в ИСПДн. Самый известный способ определения типа ОС хоста основан на том, что различные типы ОС по-разному реализуют требования стандартов RFC к стеку TCP/IP. Это позволяет нарушителю удаленно идентифицировать тип ОС, установленной на хосте ИСПДн путем посылки специальным образом сформированных запросов и анализа полученных ответов. Существуют специальные средства, реализующие данные методы, в частности, Nmap и QueSO. Можно отметить также такой метод определения типа ОС, как простейший запрос на установление соединения по протоколу удаленного доступа telnet (telnet-соединения), в результате которого по "внешнему виду" ответа можно определить тип ОС хоста. Наличие определенных сервисов также может служить дополнительным признаком для определения типа ОС хоста; в) о функционирующих на хостах сервисах. Определение сервисов, исполняемых на хосте, основано на методе выявления "открытых портов", направленном на сбор информации о доступности хоста. Например, для определения доступности UDP-порта необходимо получить отклик в ответ на посылку UDP-пакета соответствующему порту: если в ответ пришло сообщение ICMP PORT UNREACHEBLE, то соответствующий сервис недоступен; если данное сообщение не поступило, то порт "открыт". Возможны весьма разнообразные вариации использования этого метода в зависимости от используемого протокола в стеке протоколов TCP/IP. Для автоматизации сбора информации об ИСПДн разработано множество программных средств. В качестве примера можно отметить следующие из них: 1) Strobe, Portscanner - оптимизированные средства определения доступных сервисов на основе опроса TCP-портов; 2) Nmap - средство сканирования доступных сервисов, предназначенное для ОС Linux, FreeBSD, Open BSD, Solaris, Windows NT. Является самым популярным в настоящее время средством сканирования сетевых сервисов; 3) Queso - высокоточное средство определения ОС хоста сети на основе посылки цепи корректных и некорректных TCP-пакетов, анализа отклика и сравнения его с множеством известных откликов различных ОС. Данное средство также является популярным на сегодняшний день средством сканирования; 4) Cheops - сканер топологии сети позволяет получить топологию сети, включая картину домена, области IP-адресов и т.д. При этом определяется ОС хоста, а также возможные сетевые устройства (принтеры, маршрутизаторы и т.д.); 5) Firewalk - сканер, использующий методы программы traceroute в интересах анализа отклика на IP-пакеты для определения конфигурации межсетевого экрана и построения топологии сети. На этапе вторжения исследуется наличие типовых уязвимостей в системных сервисах или ошибок в администрировании системы. Успешным результатом использования уязвимостей обычно является получение процессом нарушителя привилегированного режима выполнения (доступа к привилегированному режиму выполнения командного процессора), внесение в систему учетной записи незаконного пользователя, получение файла паролей или нарушение работоспособности атакуемого хоста. Этот этап развития угрозы, как правило, является многофазным. К фазам процесса реализации угрозы могут относиться, например: установление связи с хостом, относительно которого реализуется угроза; выявление уязвимости; внедрение вредоносной программы в интересах расширения прав и др. Угрозы, реализуемые на этапе вторжения, подразделяются по уровням стека протоколов TCP/IP, поскольку формируются на сетевом, транспортном или прикладном уровне в зависимости от используемого механизма вторжения. К типовым угрозам, реализуемым на сетевом и транспортном уровнях, относятся такие как: а) угроза, направленная на подмену доверенного объекта; б) угроза, направленная на создание в сети ложного маршрута; в) угрозы, направленные на создание ложного объекта с использованием недостатков алгоритмов удаленного поиска; г) угрозы типа "отказ в обслуживании", основанные на IP-дефрагментации, на формировании некорректных ICMP-запросов (например, атака "Ping of Death" и "Smurf"), на формировании некорректных TCP-запросов (атака "Land"), на создании "шторма" пакетов с запросами на соединение (атаки "SYN Flood") и др. К типовым угрозам, реализуемым на прикладном уровне, относятся угрозы, направленные на несанкционированный запуск приложений, угрозы, реализация которых связана с внедрением программных закладок (типа "троянский конь"), с выявлением паролей доступа в сеть или к определенному хосту и т.д. Если реализация угрозы не принесла нарушителю наивысших прав доступа в системе, возможны попытки расширения этих прав до максимально возможного уровня. Для этого могут использоваться уязвимости не только сетевых сервисов, но и уязвимости системного программного обеспечения хостов ИСПдн. На этапе реализации несанкционированного доступа осуществляется собственно достижение цели реализации угрозы: нарушение конфиденциальности (копирование, неправомерное распространение); нарушение целостности (уничтожение, изменение); нарушение доступности (блокирование). На этом же этапе, после указанных действий, как правило, формируется так называемый "черный вход" в виде одного из сервисов (демонов), обслуживающих некоторый порт и выполняющих команды нарушителя. "Черный вход" оставляется в системе в интересах обеспечения: возможности получить доступ к хосту, даже если администратор устранит использованную для успешной реализации угрозы уязвимость; возможности получить доступ к хосту как можно более скрытно; возможности получить доступ к хосту быстро (не повторяя заново процесс реализации угрозы). "Черный вход" позволяет нарушителю внедрить в сеть или на определенный хост вредоносную программу, например, "анализатор паролей" (password sniffer) - программу, выделяющую пользовательские идентификаторы и пароли из сетевого трафика при работе протоколов высокого уровня (ftp, telnet, rlogin и т.д.). Объектами внедрения вредоносных программ могут быть программы аутентификации и идентификации, сетевые сервисы, ядро операционной системы, файловая система, библиотеки и т.д. Наконец, на этапе ликвидации следов реализации угрозы осуществляется попытка уничтожения следов действий нарушителя. При этом удаляются соответствующие записи из всех возможных журналов аудита, в том числе записи о факте сбора информации. программно-математических воздействий Программно-математическое воздействие - это воздействие с помощью вредоносных программ. Программой с потенциально опасными последствиями или вредоносной программой называют некоторую самостоятельную программу (набор инструкций), которая способна выполнять любое непустое подмножество следующих функций: скрывать признаки своего присутствия в программной среде компьютера; обладать способностью к самодублированию, ассоциированию себя с другими программами и (или) переносу своих фрагментов в иные области оперативной или внешней памяти; разрушать (искажать произвольным образом) код программ в оперативной памяти; выполнять без инициирования со стороны пользователя (пользовательской программы в штатном режиме ее выполнения) деструктивные функции (копирование, уничтожение, блокирование и т.п.); сохранять фрагменты информации из оперативной памяти в некоторых областях внешней памяти прямого доступа (локальных или удаленных); искажать произвольным образом, блокировать и (или) подменять выводимый во внешнюю память или в канал связи массив информации, образовавшийся в результате работы прикладных программ, или уже находящиеся во внешней памяти массивы данных. Вредоносные программы могут быть внесены (внедрены) как преднамеренно, так и случайно в программное обеспечение, используемое в ИСПДн, в процессе его разработки, сопровождения, модификации и настройки. Кроме этого, вредоносные программы могут быть внесены в процессе эксплуатации ИСПДн с внешних носителей информации или посредством сетевого взаимодействия как в результате НСД, так и случайно пользователями ИСПДн. Современные вредоносные программы основаны на использовании уязвимостей различного рода программного обеспечения (системного, общего, прикладного) и разнообразных сетевых технологий, обладают широким спектром деструктивных возможностей (от несанкционированного исследования параметров ИСПДн без вмешательства в функционирование ИСПДн, до уничтожения ПДн и программного обеспечения ИСПДн) и могут действовать во всех видах программного обеспечения (системного, прикладного, в драйверах аппаратного обеспечения и т.д.). Наличие в ИСПДн вредоносных программ может способствовать возникновению скрытых, в том числе нетрадиционных каналов доступа к информации, позволяющих вскрывать, обходить или блокировать защитные механизмы, предусмотренные в системе, в том числе парольную и криптографическую защиту. Основными видами вредоносных программ являются: программные закладки; классические программные (компьютерные) вирусы; вредоносные программы, распространяющиеся по сети (сетевые черви); другие вредоносные программы, предназначенные для осуществления НСД. К программным закладкам относятся программы, фрагменты кода, инструкции, формирующие недекларированные возможности программного обеспечения. Вредоносные программы могут переходить из одного вида в другой, например, программная закладка может сгенерировать программный вирус, который, в свою очередь, попав в условия сети, может сформировать сетевого червя или другую вредоносную программу, предназначенную для осуществления НСД. Классификация программных вирусов и сетевых червей представлена на рисунке 14. Краткая характеристика основных вредоносных программ сводится к следующему. Загрузочные вирусы записывают себя либо в загрузочный сектор диска (boot-сектор), либо в сектор, содержащий системный загрузчик винчестера (Master Boot Record), либо меняют указатель на активный boot-сектор. Они внедряются в память компьютера при загрузке с инфицированного диска. При этом системный загрузчик считывает содержимое первого сектора диска, с которого производится загрузка, помещает считанную информацию в память и передает на нее (т.е. на вирус) управление. После этого начинают выполняться инструкции вируса, который, как правило, уменьшает объем свободной памяти, копирует в освободившееся место свой код и считывает с диска свое продолжение (если оно есть), перехватывает необходимые вектора прерываний (обычно - INT 13H), считывает в память оригинальный boot-сектор и передает на него управление. В дальнейшем загрузочный вирус ведет себя так же, как файловый: перехватывает обращения операционной системы к дискам и инфицирует их, в зависимости от некоторых условий совершает деструктивные действия, вызывает звуковые эффекты или видеоэффекты. Основными деструктивными действиями, выполняемыми этими вирусами, являются: уничтожение информации в секторах дискет и винчестера; исключение возможности загрузки операционной системы (компьютер "зависает"); искажение кода загрузчика; форматирование дискет или логических дисков винчестера; закрытие доступа к COM- и LPT-портам; замена символов при печати текстов; подергивания экрана; изменение метки диска или дискеты; создание псевдосбойных кластеров; создание звуковых и(или) визуальных эффектов (например, падение букв на экране); порча файлов данных; перезагрузка компьютера; вывод на экран разнообразных сообщений; отключение периферийных устройств (например, клавиатуры); изменение палитры экрана; заполнение экрана посторонними символами или изображениями; погашение экрана и перевод в режим ожидания ввода с клавиатуры; шифрование секторов винчестера; выборочное уничтожение символов, выводимых на экран при наборе с клавиатуры; уменьшение объема оперативной памяти; вызов печати содержимого экрана; блокирование записи на диск; уничтожение таблицы разбиения (Disk Partition Table), после этого компьютер можно загрузить только с флоппи-диска; блокирование запуска исполняемых файлов; блокирование доступа к винчестеру. ┌─────────────────┐ ┌─────────────┐ ┌─────────────────────────┐ ┌────────────────┐ ┌───────────────────┐ ┌─────────────┐ │По среде обитания│ │По заражаемым│ │По особенностям алгоритма│ │По деструктивным│ │ По использованию │ │ По способу │ │ │ │операционным │ │работы и в зависимости от│ │ возможностям │ │Интернет-технологий│ │проникновения│ │ │ │системам │ │ сложности кода │ │ │ │ │ │ в систему │ └┬────────────────┘ └──┬──────────┘ └┬────────────────────────┘ └┬───────────────┘ └┬──────────────────┘ └┬────────────┘ │ ┌────────┐ │ │┌──────────────────┐ │┌──────────────┐ │┌───────────────┐ │ ┌─────────────────┐ ├─┤Файловые│ │ ┌──────────────┐├┤Активирующиеся при│ ├┤ Безвредные │ ├┤Троянские кони │ ├───┤Распространяемые │ │ └┬───────┘ ├─┤ Файловый │││загрузке системы │ │└──────────────┘ │└───────────────┘ │ │через отчуждаемые│ │ │ ┌───────────┐ │ │ вирус, ││└──────────────────┘ │┌──────────────┐ │┌───────────────┐ │ │ носители │ │ ├─┤Исполняемые│ │ │ заражающий ││┌──────────────────┐ ├┤ Малоопасные │ ├┤ HTML-вирусы │ │ └┬────────────────┘ │ │ │ файлы │ │ │ файлы одной │├┤Нерезидентные │ │└──────────────┘ │└───────────────┘ │ │┌────────────────┐ │ │ └───────────┘ │ │ операционной ││└──────────────────┘ │┌──────────────┐ │┌───────────────┐ │ ├┤ Через дискеты │ │ │ ┌──────────────┐ │ │ системы ││┌──────────────────┐ ├┤ Опасные │ ├┤ Макро │ │ │└────────────────┘ │ ├─┤Файлы-двойники│ │ └──────────────┘├┤Резидентные │ │└──────────────┘ │└───────────────┘ │ │┌────────────────┐ │ │ │ (компаньон- │ │ ┌──────────────┐│└──────────────────┘ │┌──────────────┐ │┌───────────────┐ │ ├┤ Через компакт- │ │ │ │ вирусы) │ ├─┤ Файловый ││┌──────────────────┐ └┤Очень опасные │ ├┤ Java-вирусы │ │ ││ диски │ │ │ └──────────────┘ │ │ вирус, │├┤Файлы-двойники │ └──────────────┘ │└───────────────┘ │ │└────────────────┘ │ │ ┌──────────────┐ │ │ заражающий │││(компаньоны) │ │┌───────────────┐ │ │┌────────────────┐ │ ├─┤Связи между │ │ │ файлы в ││└──────────────────┘ └┤Интернет-черви │ │ └┤ Через другие │ │ │ │файлами │ │ │ нескольких ││┌──────────────────┐ └┬──────────────┘ │ │съемные носители│ │ │ │(линк-вирусы) │ │ │ операционных │├┤Сетевые черви │ │┌─────────────┐ │ └────────────────┘ │ │ └──────────────┘ │ │ системах ││└──────────────────┘ ├┤ IRC-черви │ │ ┌───────────────────┐ │ │ ┌──────────────┐ │ └──────────────┘│┌──────────────────┐ │└─────────────┘ └──┤ Распостраняемые │ │ └─┤ Макро │ │ ┌──────────────┐└┤Полиморфные │ │┌─────────────┐ │ по сети │ │ └┬─────────────┘ ├─┤Сетевой вирус,│ └┬─────────────────┘ ├┤ ISS-черви │ └┬──────────────────┘ │ │┌────────────┐ │ │ заражающий │ │┌────────────────┐ │└─────────────┘ │┌─────────────────┐ │ ├┤Документы MS│ │ │ файлы одной │ ├┤Полуполиморфные │ │┌─────────────┐ ├┤По локальной сети│ │ ││World (.doc)│ │ │ операционной │ │└┬───────────────┘ ├┤E-Mail-черви │ │└─────────────────┘ │ │└────────────┘ │ │ системы │ │ │┌───────────────────────────┐ │└─────────────┘ │┌─────────────────┐ │ │┌────────────┐ │ └──────────────┘ │ └┤ Вирусы, имеющие некоторый │ │┌─────────────┐ ├┤По корпоративной │ │ ├┤Документы MS│ │ ┌──────────────┐ │ │ набор расшифровщиков с │ └┤ Прочие │ ││ сети │ │ ││Exel (.xls) │ └─┤Сетевой вирус,│ │ │ постоянным кодом; при │ └─────────────┘ │└─────────────────┘ │ │└────────────┘ │ заражающий │ │ │ заражении выбирают один │ │┌─────────────────┐ │ │┌────────────┐ │ файлы в │ │ │ из них │ └┤ По глобальной │ │ └┤Документы MS│ │ нескольких │ │ └───────────────────────────┘ │ сети │ │ │ Office │ │ операционных │ │┌────────────────────────────────┐ └─────────────────┘ │ └────────────┘ │ системах │ ├┤ Полиморфные с непостоянной │ │ └──────────────┘ ││ основной частью │ │ ┌───────────┐ │└┬───────────────────────────────┘ ├─┤Загрузочные│ │ │┌───────────────────────────┐ │ └┬──────────┘ │ └┤ Расшифровщик вируса │ │ │┌──────────────────┐ │ │содержит одну или несколько│ │ ├┤Загрузочный (boot)│ │ │ постоянных инструкций, │ │ ││ сектор диска │ │ │ основная же его часть │ │ │└──────────────────┘ │ │ непостоянна │ │ │┌──────────────────┐ │ └───────────────────────────┘ │ ├┤Сектор системного │ │ │ ││загрузочника (MBR)│ │┌────────────────────────────────┐ │ │└──────────────────┘ ├┤ Содержащие пустые инструкции │ │ │┌──────────────────┐ ││ (например NOP, CLI, STI) │ │ └┤ Указатель на │ │└┬───────────────────────────────┘ │ │ активный boot- │ │ │┌──────────────────────────────┐ │ │ сектор │ │ └┤ Расшифровщик содержит │ │ └──────────────────┘ │ │ неиспользуемые инструкции - │ │ ┌───────┐ │ │ "мусор" │ └─┤Сетевые│ │ └──────────────────────────────┘ └┬──────┘ │┌─────────────────────────────┐ │┌─────────────────┐ ├┤ С постоянным алгоритмом │ ├┤Сетевые протоколы│ ││ расшифровки │ │└─────────────────┘ │└┬────────────────────────────┘ │┌─────────────────┐ │ │┌──────────────────────────────┐ ├┤ Сетевые команды │ │ └┤ В расшифровщике используются │ │└─────────────────┘ │ │ взаимозаменяемые инструкции │ │ │ │ и изменение порядка │ │┌─────────────────┐ │ │ следования (перемешивание) │ ├┤Электронная почта│ │ │ инструкций. Алгоритм │ │└─────────────────┘ │ │ расшифровки при этом не │ │┌─────────────────┐ │ │ изменяется │ └┤ Другие сетевые │ │ └──────────────────────────────┘ │ сервисы │ │┌─────────────────────────────┐ └─────────────────┘ ├┤ Алгоритм расшифровки │ ││ непостоянен │ │└┬────────────────────────────┘ │ │┌──────────────────────────────┐ │ └┤Используются все перечисленные│ │ │ выше приемы, возможно │ │ │ повторное шифрование кода │ │ │внутри вируса и даже частичное│ │ │ шифрование самого кода │ │ │ расшифровщика │ │ └──────────────────────────────┘ │┌─────────────────────────────┐ └┤ Мутирующие вирусы │ └┬────────────────────────────┘ │┌──────────────────────────────┐ └┤ Изменению подлежит основной │ │ код вируса - он делится на │ │ блоки, которые при заражении │ │переставляются в произвольном │ │ порядке. Вирус при этом │ │ остается работоспособным. │ │ Подобные вирусы могут быть │ │ незашифрованы │ └──────────────────────────────┘ Рисунок 14. Классификация программных вирусов и сетевых червей Большинство загрузочных вирусов перезаписывают себя на флоппи-диски. Файловые вирусы при своем размножении тем или иным способом используют файловую систему какой-либо операционной системы. По способу заражения файлов вирусы делятся на замещающие ("overwriting"), паразитические ("parasitic"), компаньон-вирусы ("companion"), "link"-вирусы, вирусы-черви и вирусы, заражающие объектные модули (OBJ), библиотеки компиляторов (LIB) и исходные тексты программ. Метод заражения "overwriting" является наиболее простым: вирус записывает свой код вместо кода заражаемого файла, уничтожая его содержимое. Естественно, что при этом файл перестает работать и не восстанавливается. Такие вирусы очень быстро обнаруживают себя, так как операционная система и приложения довольно быстро перестают работать. К паразитическим относятся все файловые вирусы, которые при распространении своих копий обязательно изменяют содержимое файлов, оставляя сами файлы при этом полностью или частично работоспособными. Основными типами таких вирусов являются вирусы, записывающиеся в начало, середину или конец файлов. Отдельно следует отметить довольно незначительную группу паразитических вирусов, не имеющих "точки входа" (EPO-вирусы - Entry Point Obscuring viruses). К ним относятся вирусы, не записывающие команду передачи управления в заголовок COM-файлов (JMP) и не изменяющие адрес точки старта в заголовке EXE-файлов. Такие вирусы записывают команду перехода на свой код в какое-либо место в середину файла и получают управление не непосредственно при запуске зараженного файла, а при вызове процедуры, содержащей код передачи управления на тело вируса. Причем выполняться эта процедура может крайне редко (например, при выводе сообщения о какой-либо специфической ошибке). В результате вирус может долгие годы "спать" внутри файла и проявить себя только при некоторых ограниченных условиях. К категории "компаньон" относятся вирусы, не изменяющие заражаемые файлы. Алгоритм работы этих вирусов состоит в том, что для заражаемого файла создается файл-двойник, причем при запуске зараженного файла управление получает именно этот двойник, то есть вирус. Наиболее распространены компаньон-вирусы, использующие особенность DOS первым выполнять файлы с расширением .COM, если в одном каталоге присутствуют два файла с одним и тем же именем, но различными расширениями имени - .COM и .EXE. Такие вирусы создают для EXE-файлов файлы-спутники, имеющие то же самое имя, но с расширением .COM, например, для файла XCOPY.EXE создается файл XCOPY.COM. Вирус записывается в COM-файл и никак не изменяет EXE-файл. При запуске такого файла DOS первым обнаружит и выполнит COM-файл, то есть вирус, который затем запустит и EXE-файл. Вторую группу составляют вирусы, которые при заражении переименовывают файл в какое-либо другое имя, запоминают его (для последующего запуска файла-хозяина) и записывают свой код на диск под именем заражаемого файла. Например, файл XCOPY.EXE переименовывается в XCOPY.EXD, а вирус записывается под именем XCOPY.EXE. При запуске управление получает код вируса, который затем запускает оригинальный XCOPY, хранящийся под именем XCOPY.EXD. Интересен тот факт, что данный метод работает, по-видимому, во всех операционных системах. В третью группу входят так называемые "Path-companion" вирусы. Они либо записывают свой код под именем заражаемого файла, но "выше" на один уровень в прописываемых путях (DOS, таким образом, первым обнаружит и запустит файл-вирус), либо переносят файл-жертву на один подкаталог выше и т.д. Возможно существование и других типов компаньон-вирусов, использующих иные оригинальные идеи или особенности других операционных систем. Файловые черви (worms) являются, в некотором смысле, разновидностью компаньон-вирусов, но при этом никоим образом не связывают свое присутствие с каким-либо выполняемым файлом. При размножении они всего лишь копируют свой код в какие-либо каталоги дисков в надежде, что эти новые копии будут когда-либо запущены пользователем. Иногда эти вирусы дают своим копиям "специальные" имена, чтобы подтолкнуть пользователя на запуск своей копии - например, INSTALL.EXE или WINSTART.BAT. Существуют вирусы-черви, использующие довольно необычные приемы, например, записывающие свои копии в архивы (ARJ, ZIP и прочие). Некоторые вирусы записывают команду запуска зараженного файла в BAT-файлы. Не следует путать файловые вирусы-черви с сетевыми червями. Первые используют только файловые функции какой-либо операционной системы, вторые же при своем размножении пользуются сетевыми протоколами. Link-вирусы, как и компаньон-вирусы, не изменяют физического содержимого файлов, однако при запуске зараженного файла "заставляют" ОС выполнить свой код. Этой цели они достигают модификацией необходимых полей файловой системы. Вирусы, заражающие библиотеки компиляторов, объектные модули и исходные тексты программ, достаточно экзотичны и практически не распространены. Вирусы, заражающие OBJ- и LIB-файлы, записывают в них свой код в формате объектного модуля или библиотеки. Зараженный файл, таким образом, не является выполняемым и не способен на дальнейшее распространение вируса в своем текущем состоянии. Носителем же "живого" вируса становится COM- или EXE-файл. Получив управление, файловый вирус совершает следующие общие действия: проверяет оперативную память на наличие своей копии и инфицирует память компьютера, если копия вируса не найдена (в случае, если вирус является резидентным), ищет незараженные файлы в текущем и (или) корневом каталоге путем сканирования дерева каталогов логических дисков, а затем заражает обнаруженные файлы; выполняет дополнительные (если они есть) функции: деструктивные действия, графические или звуковые эффекты и т.д. (дополнительные функции резидентного вируса могут вызываться спустя некоторое время после активизации в зависимости от текущего времени, конфигурации системы, внутренних счетчиков вируса или других условий, в этом случае вирус при активизации обрабатывает состояние системных часов, устанавливает свои счетчики и т.д.); возвращает управление основной программе (если она есть). Паразитические вирусы при этом либо лечат файл, выполняют его, а затем снова заражают, либо восстанавливают программу (но не файл) в исходном виде (например, у COM-программы восстанавливается несколько первых байт, у EXE-программы вычисляется истинный стартовый адрес, у драйвера восстанавливаются значения адресов программ стратегии и прерывания). Необходимо отметить, что чем быстрее распространяется вирус, тем вероятнее возникновение эпидемии этого вируса, чем медленнее распространяется вирус, тем сложнее его обнаружить (если, конечно же, этот вирус неизвестен). Нерезидентные вирусы часто являются "медленными" - большинство из них при запуске заражает один или два-три файла и не успевает заполонить компьютер до запуска антивирусной программы (или появления новой версии антивируса, настроенной на данный вирус). Существуют, конечно же, нерезидентные "быстрые" вирусы, которые при запуске ищут и заражают все выполняемые файлы, однако такие вирусы очень заметны: при запуске каждого зараженного файла компьютер некоторое (иногда достаточно долгое) время активно работает с винчестером, что демаскирует вирус. Скорость распространения (инфицирования) у резидентных вирусов обычно выше, чем у нерезидентных - они заражают файлы при каких-либо обращениях к ним. В результате на диске оказываются зараженными все или почти все файлы, которые постоянно используются в работе. Скорость распространения (инфицирования) резидентных файловых вирусов, заражающих файлы только при их запуске на выполнение, будет ниже, чем у вирусов, заражающих файлы и при их открытии, переименовании, изменении атрибутов файла и т.д. Таким образом, основные деструктивные действия, выполняемые файловыми вирусами, связаны с поражением файлов (чаще исполняемых или файлов данных), несанкционированным запуском различных команд (в том числе, команд форматирования, уничтожения, копирования и т.п.), изменением таблицы векторов прерываний и др. Вместе с тем, могут выполняться и многие деструктивные действия, сходные с теми, которые указывались для загрузочных вирусов. Макровирусы (macro viruses) являются программами на языках (макроязыках), встроенных в некоторые системы обработки данных (текстовые редакторы, электронные таблицы и т.д.). Для своего размножения такие вирусы используют возможности макроязыков и при их помощи переносят себя из одного зараженного файла (документа или таблицы) в другие. Наибольшее распространение получили макровирусы для пакета прикладных программ Microsoft Office. Для существования вирусов в конкретной системе (редакторе) необходимо наличие встроенного в систему макроязыка с возможностями: << предыдущая страница следующая страница >> |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
|