Защита информации в экономических информационных системах

     Знание  возможных угроз, а также уязвимых мест защиты, необходимо, чтобы выбрать  наиболее экономичные средства обеспечения  безопасности. Самыми частыми и опасными, с точки зрения размеров ущерба, являются не угрозы даже, а непреднамеренные ошибки пользователей, операторов, системных  администраторов и других, обслуживающих  информационные системы лиц.  
 
 

     2.2 Воздействие вредоносных  программ

     Программы с потенциально опасными последствиями  названы в Уголовном кодексе  РФ "вредоносные программы".

       Такая программа (осмысленный набор инструкций для какого-либо

процессора) может выполнять следующие функции:

• скрывать признаки своего присутствия в программной среде ОИ;
• обладает способностью к самодублированию, ассоциированию себя с другими программами и/или переносу своих фрагментов в иные (не занимаемые изначально указанной программой) области оперативной или внешней памяти;
• обладает способностью разрушать (искажать произвольным образом) код программ (отличных от нее) в оперативной памяти ОИ;
• обладает способностью переносить (сохранять) фрагменты информации из
• оперативной памяти в некоторых областях оперативной или внешней памяти прямого доступа (локальных или удаленных);
• имеет потенциальную возможность искажать произвольным образом, блокировать и/или подменять выводимой во внешнюю память или в канал связи массив информации, образовавшийся в результате работы прикладных программ или уже находящиеся во внешней памяти массивы данных, либо изменять их параметры.

              Вредоносные программы можно  условно разделить на:

• компьютерные "вирусы";
• программы типа "программный червь " или "троянский конь" и фрагменты
• программ типа "логический люк";
• программные закладки или разрушающие программные воздействия (РПВ) - обобщенный класс программ (в смысле отсутствия конкретных признаков) с потенциально опасными последствиями.

     «Троянский  конь» – программа, выполняющая в дополнение к основным (проектным и документированным) не описанные в документации действия. Аналогия с древнегреческим «троянским конем» таким образом, вполне оправдана – в не вызывающей подозрений оболочке таится угроза.

     Опасность «троянского коня» заключается  в дополнительном блоке команд, тем  или иным образом вставленном  в исходную безвредную программу, которая  затем предлагается (дарится, продается, подменяется) пользователем. Этот блок команд может срабатывать при  наступлении некоторого условия (даты, времени и т.д., либо по команде  извне).

     Наиболее  опасные действия «троянский конь»  может выполнять, если запустивший  ее пользователь обладает расширенным  набором привилегий. В этом случае злоумышленник, составивший и внедривший «троянского коня», и сам этими  привилегиями не обладающий, может  выполнить несанкционированные  привилегированные функции чужими руками.

     Вирус – это программа, которая может заражать другие программы путем включения в них своей, возможно модифицированной, копии, причем последняя сохраняет способность к дальнейшему размножению.

     Своим названием компьютерные вирусы обязаны  определенному сходству с вирусами биологическими:

     - способностями к саморазмножению;

     - высокой скорости распространения;

     - избирательности поражаемых систем (каждый вирус поражает только

     определенные  системы или однородные группы систем);

     - наличию в большинстве случаев  определенного инкубационного

     периода;

     - способности «заражать» еще незараженные  системы;

     - трудности борьбы с вирусами  и т.д.

     В последнее время к этим особенностям, характерным для вирусов компьютерных и биологических, можно добавить еще и постоянно увеличивающуюся  быстроту появления модификаций  и новых поколений вирусов, что  можно объяснить идеями злоумышленников  определенного склада ума.

     Программа, внутри которой находится вирус, называется «зараженной». Когда такая  программа начинает работу, то сначала  управление получает вирус. Вирус находит  и «заражает» другие программы, а  также выполняет какие-нибудь вредные  действия.

     Процесс заражения вирусом программных  файлов можно представить

следующим образом. В зараженной программе  код последней изменяется таким  образом, чтобы вирус получил  управление первым, до начала работы программы- вирусоносителя. При передаче управления вирусу он каким-либо способом находит  новую программу и выполняет  вставку собственной копии в  начало или добавление ее в конец  этой, обычно еще не зараженной, программы. Если вирус записывается в конец  программы, то он корректирует код программы  с тем, чтобы получить управление первым. После этого управление передается программе-вирусоносителю, и та нормально  выполняет свои функции. Более изощренные вирусы могут для получения управления изменять системные области накопителя (например, сектор каталога), оставляя длину и содержимое заражаемого  файла без изменений.

     Загрузочные вирусы. От файловых вирусов загрузочные вирусы отличаются методом распространения. Они поражают не программные файлы, а определенные системные области магнитных носителей (гибких и жестких дисков). На включенном компьютере они могут временно располагаться в оперативной памяти.

     Обычно  поражение происходит при попытке  загрузки компьютера с магнитного носителя, системная область которого содержит загрузочный вирус. Так, например, при  попытке загрузить компьютер  с гибкого диска происходит сначала  проникновение вируса в оперативную  память, а затем в загрузочный  сектор жестких дисков. Далее этот компьютер сам становится источником распространения загрузочного вируса.

     Макровирусы. Эта особая разновидность вирусов поражает документы, выполненные в некоторых прикладных программах, имеющих средства для исполнения так называемых макрокоманд. В частности, к таким документам относятся документы текстового процессора Microsoft Word. Заражение происходит при открытии файла документа в окне программы, если в ней не отключена возможность исполнения макрокоманд.

     «Червь» – программа, распространяющаяся через сеть и не оставляющая своей копии на магнитном носителе. «Червь» использует механизмы поддержки сети для определения узла, который может быть заражен. Затем с помощью тех же механизмов передает свое тело или его часть на этот узел и либо активизируется, либо ждет для этого подходящих условий.

       «Жадные» программы» – это программы, которые при выполнении стремятся монополизировать какой-либо ресурс системы, не давая другим программам возможности использовать его. Доступ таких программ к ресурсам системы обычно приводит к нарушению ее доступности. Естественно, такая атака будет активным вмешательством в работу системы. Непосредственной атаке обычно подвергаются ключевые объекты системы: процессор, оперативная память, устройства ввода-вывода.

     Тупиковая ситуация возникает, когда «жадная» программа бесконечна (например, исполняет  заведомо бесконечный цикл). Однако во многих операционных системах существует возможность ограничения времени  процессора, используемого задачей. Это не относится к операциям, выполняющимся в зависимости  от других программ, например, к операциям  ввода-вывода, которые завершаются  асинхронно к основной программе; время  их выполнения не включается в счет времени программы. Перехватывая сообщение  о завершении операции ввода-вывода и посылая вновь запрос на новый  ввод-вывод, можно добиться по-настоящему бесконечной программы.

     Другой  пример «жадной» программы – программа, захватывающая слишком большую  область оперативной памяти. В  оперативной памяти последовательно  размещаются данные, например подкачиваемые  с внешнего носителя. В конце концов, память может оказаться во владении одной программы, и выполнение других окажется невозможным.

     Захватчики  паролей. Это программы специально предназначены для воровства паролей. При попытке входа имитируется ввод имени и пароля, которые пересылаются владельцу программы-захватчика, после чего выводится сообщение об ошибке ввода и управление возвращается операционной системе. Пользователь, думающий, что допустил ошибку при наборе пароля, повторяет вход и получает доступ к системе. Однако его имя и пароль уже известны владельцу программы-захватчика. Перехват пароля может осуществляться и другим способом - с помощью воздействия на программу, управляющую входом пользователей в систему и ее наборы данных.

     Методика  воздействия вредоносных программ в значительной мере зависит от  организации обработки информации в системе, разработанной политики безопасности, возможностей установленных  средств защиты, а также добросовестности администратора и оператора. Для  реализации НСД существует два способа:

     –во-первых, можно преодолеть систему защиты, то есть путем различных воздействий  на нее прекратить ее действия в  отношении себя или своих программ. Это сложно, трудоемко и не всегда возможно, зато эффективно;

     – во-вторых, можно понаблюдать за тем, что «плохо лежит», то есть какие  наборы данных, представляющие интерес  для злоумышленника, открыты для  доступа по недосмотру или умыслу администратора. Такой доступ, хотя и с некоторой натяжкой, тоже можно  назвать несанкционированным, его  легко осуществить, но от него легко  и защититься. К этому же типу относится НСД с подбором пароля, поскольку осуществить такой  подбор возможно лишь в случае нарушения  правил составления паролей и  использования в качестве пароля человеческих имен, повторяющихся символов и пр.

     В подавляющем большинстве случаев  НСД становится возможным из-за непродуманного выбора средств защиты, их некорректной установки и настройки, плохого  контроля работы, а также при небрежном  отношении к защите своих собственных  данных.

     Атаки «салями». Атаки «салями» более всего характерны для систем, обрабатывающих денежные счета и, следовательно, для банков особенно актуальны. Принцип атак «салями» построен на том факте, что при обработке счетов используются целые единицы (центы, рубли, копейки), а при исчислении процентов нередко получаются дробные суммы.

     Например, 6,5% годовых от $102,87 за 31 день составит $0,5495726.

     Банковская  система может округлить эту  сумму до $0.55. Однако если пользователь имеет доступ к банковским счетам или программам их обработки, он может  округлить ее в другую сторону  – до $0.54, а разницу в 1 цент записать на свой счет. Владелец счета вряд ли ее заметит, а если и обратит внимание, то спишет ее на погрешности обработки  и не придаст значения. Злоумышленник  же получит прибыль в один цент, при обработке 10.000 счетов в день. Его прибыль таким образом  составит $1000, т.е. около $300 000 в год.

     Отсюда  и происходит название таких атак – как колбаса салями изготавливается  из небольших частей разных сортов мяса, так и счет злоумышленника пополняется за счет различных вкладчиков. Естественно, такие атаки имеют смысл лишь в тех организациях, где осуществляется не менее 5000 - 10000 транзакций в день, иначе не имеет смысла рисковать, поскольку в случае обнаружения преступника просто определить. Таким образом, атаки «салями» опасны в основном для крупных банков.

     Причинами атак «салями» являются, во-первых, погрешности  вычислений, позволяющие трактовать правила округления в ту или иную сторону, а во-вторых, огромные объемы вычислений, необходимые для обработки  счетов. Успех таких атак зависит  не столько от величины обрабатываемых сумм, сколько от количества счетов (для любого счета погрешность  обработки одинакова). Атаки «салями» достаточно трудно распознаются, если только злоумышленник не начинает накапливать  на одном счете миллионы.

     «Скрытые  каналы». «Скрытые каналы» – пути передачи информации между процессами системы, нарушающие системную политику безопасности. В среде с разделением доступа к информации пользователь может не получить разрешение на обработку интересующих его данных, однако может придумать для этого обходные пути. Практически любое действие в системе каким-то образом затрагивает другие ее элементы, которые при этом могут изменять свое состояние. При достаточной наблюдательности и знании этих связей можно получить прямой или опосредованный доступ к данным. «Скрытые каналы» могут быть реализованы различными путями, в частности при помощи программных закладок («троянских коней»).

     Например, программист банка не всегда имеет  доступ к именам и балансам депозитных счетов. Программист системы, предназначенной  для обработки ценных бумаг, может  не иметь доступ к предложениям о  покупке или продаже. Однако при  создании таких систем он может предусмотреть  способ получения интересующих его  сведений. В этом случае программа  скрытым способом устанавливает  канал связи с этим программистом  и сообщает ему требуемые сведения.