Угрозы, атаки и каналы утечки информации

Под угрозой безопасности информации понимаются события или действия, которые могут привести к искажению, несанкционированному использованию или даже к разрушению информационных ресурсов управляемой системы, а также программных и аппаратных средств.

Попытка реализации угрозы называется атакой, а тот, кто предпринимает такую попытку, - злоумышленником.

Угроза чаще всего появляется вследствие наличия уязвимых мест в защите информационных систем (в качестве примера можно привести возможность доступа постороннего лица к критически важному оборудованию или какие-либо ошибки в программном обеспечении). Промежуток времени от момента, когда имеется возможность использовать слабое место, и до того момента, когда эта возможность ликвидируется, называют окном опасности, которое ассоциируется с данным уязвимым местом. До тех пор пока существует окно опасности, будут возможны успешные атаки на информационную систему.

Одна из самых простых классификаций (когда все множество потенциальных угроз компьютерной информации можно представить по природе их возникновения) приведена на рисунке 1.

Рисунок 1. Общая классификация угроз безопасности.

Естественные угрозы - это угрозы, вызванные воздействиями на компьютерную систему и ее элементы каких-либо физических процессов или стихийных природных явлений, которые не зависят от человека. Среди них можно выделить:

- природные - это ураганы, наводнения, землетрясения, цунами, пожары, извержения вулканов, снежные лавины, селевые потоки, радиоактивные излучения, магнитные бури;

- технические - угрозы этой группы связаны с надежностью технических средств обработки информации.

Искусственные угрозы - это угрозы компьютерной системы, которые вызваны деятельностью человека. Среди них можно выделить:

- непреднамеренные угрозы, которые вызваны ошибками людей при проектировании компьютерной системы, а также в процессе ее эксплуатации;

- преднамеренные угрозы, связанные с корыстными устремлениями людей. В качестве нарушителя могут выступать служащий, посетитель, конкурент, наемник. Действия нарушителя могут быть обусловлены разными мотивами: недовольство служащего своей карьерой; взятка; любопытство; конкурентная борьба; стремление самоутвердиться любой ценой.

Можно составить предполагаемую модель возможного нарушителя:

- квалификация нарушителя соответствует уровню разработчика данной системы;

- нарушителем может быть как законный пользователь системы, так и постороннее лицо;

- нарушителю известна принципиальная работы системы;

- нарушитель выбирает наиболее слабое звено в защите.

Основная особенность любой компьютерной сети состоит в том, что ее компоненты распределены в пространстве. Связь между узлами сети осуществляется физически с помощью сетевых линий и программно с помощью механизма сообщений. При этом управляющие сообщения и данные, пересылаемые между узлами сети, передаются в виде пакетов обмена.

Общая схема классификации угроз информационной безопасности компьютерных сетей приведена в приложении А.

Угрозы в компьютерных сетях можно классифицировать следующим образом.

По цели реализации угрозы могут быть нарушающими целостность информации (что может привести к утрате или обесцениванию информации); нарушающими конфиденциальность информации (что может нанести значительный ущерб ее владельцам); нарушающими доступность компьютерной сети.

По принципу воздействия на сеть угрозы подразделяются на использующие скрытые каналы (обмен информацией таким способом, нарушает системную политику безопасности); использующие доступ субъекта компьютерной сети к объекту (доступ - это взаимодействие между субъектом и объектом, приводящее к возникновению информационного потока от второго к первому).

По характеру воздействия на сеть - активное воздействие, связано с выполнением нарушителем каких-либо действий, например, доступ к определенным наборам данных, вскрытие пароля, доступ к программам и т.д. Такое воздействие ведет к изменению состояния сети. Пассивное воздействие, осуществляется с помощью наблюдения за какими-либо побочными эффектами и их анализом. Пассивное воздействие не ведет к изменению состояния системы, т.к. оно всегда связано только с нарушением конфиденциальности информации в компьютерных сетях (никаких действий с субъектами и объектами не производится).

По способу активного воздействия на объект атаки возможно непосредственное воздействие (с помощью средств контроля доступа такое действие достаточно легко предотвратить); воздействие на систему разрешений (несанкционированные действия осуществляются относительно прав на объект атаки, а сам доступ к объекту выполняется потом законным образом); опосредованное воздействие (в качестве примера можно рассмотреть случай когда злоумышленник выдает себя за авторизованного пользователя, каким-либо образом присвоив себе его полномочия.).

По используемым средствам атаки - с использованием стандартных программ (в этом случае результаты воздействия обычно предсказуемы, так как большинство стандартных программ хорошо изучены); с использованием специально разработанных программ, что может быть более опасным для сети.

По состоянию объекта атаки - когда в момент атаки объект находится в состоянии хранения информации (в таком случае воздействие на объект, как правило, осуществляется с использованием несанкционированного доступа); в момент осуществления передача информации по линии связи между узлами сети или внутри узла (в таком случае воздействие на объект предполагает либо доступ к фрагментам передаваемой информации, либо прослушивание с использованием скрытых каналов); объект находится в состоянии обработки информации (здесь объект атаки - это процесс пользователя).

Кроме перечисленных угроз информационной безопасности следует добавить следующие угрозы:

- несанкционированный обмен информацией между пользователями;

- отказ от информации;

- отказ в обслуживании.

Компьютерные сети характерны тем, что против них можно осуществить удаленные атаки. Нападению может подвергнуться и конкретный компьютер, и информация, передающаяся по сетевым каналам связи, хотя нарушитель в это время может находиться за много километров от атакуемого объекта.

Атака на сеть может производиться с верхнего уровня (когда нарушитель использует свойства сети для проникновения на другой узел и выполнения определенных несанкционированных действий) и нижнего уровня (нарушитель использует свойства сетевых протоколов для нарушения конфиденциальности или целостности отдельных сообщений или потока в целом).

Выделяют четыре основных категории атак:

- атаки доступа - злоумышленник пытается получить информацию, на просмотр которой у него нет разрешений. Везде, где существует информация и средства для ее передачи возможно выполнение такой атаки. Атака доступа нарушает конфиденциальность информации;

- атаки модификации - направлены на нарушение целостности информации. Такие атаки возможна везде, где существует или передается информация;

- атаки на отказ от обязательств - такая атака направлена против возможности идентифицировать информацию, говоря другими словами, это попытка дать неверную информацию о реальном событии или транзакции;

- атаки на отказ в обслуживании (Denial-of-service, DoS) - это атаки, приводящие к невозможности получения информации легальным пользователям. В результате DoS-атаки злоумышленник обычно не получает доступа к компьютерной системе и не может оперировать с информацией, он просто делает систему или находящуюся в ней информацию недоступной.

Имеется огромное множество способов выполнения атак: при помощи специально разработанных средств, через уязвимые места компьютерных систем. Одним из наиболее опасных способов проведения атак является внедрение в атакуемые системы вредоносного программного обеспечения.

Наиболее распространенными видами вредоносных программ являются «троянские кони», черви и вирусы.

«Троянский конь» - это вредоносная программа, которая используется злоумышленником для сбора информации, её разрушения или модификации, а также нарушает работоспособность компьютера или использует его ресурсы в неблаговидных целях. Чаще всего троянский конь маскируется под новую версию бесплатной утилиты, какую-то популярную прикладную программу или игру. Таким способом пытается заинтересовать пользователя и побудить его переписать и установить на свой компьютер вредителя самостоятельно.

Компьютерный вирус - вид вредоносного программного обеспечения, способного создавать копии самого себя и внедряться в код других программ, системные области памяти, загрузочные секторы, а также распространять свои копии по разнообразным каналам связи с целью нарушения работы программно-аппаратных комплексов, удаления файлов, приведения в негодность структур размещения данных, блокирования работы пользователей или же приведения в негодность аппаратных комплексов компьютера.

Сетевой червь – разновидностьвредоносной программы, самостоятельно распространяющейся через локальные и глобальные компьютерные сети.

Свое название компьютерные вирусы получили из-за определенного сходства с биологическими вирусами, такими как: способность к саморазмножению; высокая скорость распространения; избирательность поражаемых систем; наличие в большинстве случаев инкубационного периода; способность «заражать» еще незараженные системы; трудность борьбы с вирусами и т.д.

В последнее время к этим особенностям добавилась еще и постоянно увеличивающаяся быстрота появления модификаций и новых поколений вирусов, что можно объяснить идеями злоумышленников определенного склада ума.

Программа, внутри которой находится вирус, называется «зараженной». Когда такая программа начинает работу, то сначала управление получает вирус. Вирус находит и «заражает» другие программы, а также выполняет какие-либо вредные действия.

Процесс заражения вирусом программных файлов можно представить следующим образом. В зараженной программе код последней изменяется таким образом, чтобы вирус получил управление первым, до начала работы программы-вирусоносителя. При передаче управления вирусу он каким-либо способом находит новую программу и выполняет вставку собственной копии в начало или добавление ее в конец этой, обычно еще не зараженной, программы. Если вирус записывается в конец программы, то он корректирует код программы с тем, чтобы получить управление первым. После этого управление передается программе-вирусоносителю, и та нормально выполняет свои функции. Более изощренные вирусы могут для получения управления изменять системные области накопителя (например, сектор каталога), оставляя длину и содержимое заражаемого файла без изменений.

Евгений Касперский - один из самых авторитетных «вирусологов» страны предлагает условно классифицировать вирусы по следующим признакам:

- по среде обитания вируса;

- по способу заражения среды обитания;

- по деструктивным возможностям;

- по особенностям алгоритма вируса.

Более подробная классификация внутри этих групп представлена в приложении Б.

В настоящее время вредоносное программное обеспечение очень разнообразно и представляет собой серьезную угрозу. К тому же, все чаще речь идет не только об удаленных с жесткого диска файлах или испорченной операционной системе. Современные вирусы и троянские кони наносят огромный материальный ущерб и позволяют их создателям и распространителям зарабатывать деньги. Это приводит к тому, что вредоносное программное обеспечение развивается очень активно.

В основном атаки, нацеленные на захват информации, хранимой в электронном виде, имеют одну интересную особенность: информация не похищается, а копируется. Она остается у исходного владельца, но при этом ее получает и злоумышленник. Таким образом, владелец информации несет убытки, а обнаружить момент, когда это произошло, очень трудно.

Наиболее распространенным и многообразным видом компьютерных нарушений является несанкционированный доступ (НСД). НСД использует любую ошибку в системе защиты и возможен при нерациональном выборе средств защиты, их некорректной установке и настройке.

Несанкционированный доступ к информации, находящейся в сети может быть косвенным (без физического доступа к элементам сети) или прямым (с физическим доступом к элементам сети).

Канал утечки информации - это совокупность источников информации, материального носителя или среды распространения несущего эту информацию сигнала и средства выделения информации из сигнала или носителя.

Основные каналы утечки информации:

1.Электромагнитный канал. Причиной его возникновения является электромагнитное поле, связанное с протеканием электрического тока в технических средствах обработки информации. Электромагнитное поле может индуцировать токи в близко расположенных проводных линиях (наводки).

Электромагнитный канал в свою очередь делится на: радиоканал (высокочастотные излучения); низкочастотный канал; сетевой канал (наводки на провода заземления); канал заземления (наводки на провода заземления); линейный канал (наводки на линии связи между компьютерами).

2. Акустический канал. Он связан с распространением звуковых волн в воздухе или упругих колебаний в других средах, возникающих при работе устройств отображения информации.

3. Канал несанкционированного копирования.

4. Канал несанкционированного доступа.

Дата добавления: 2015-08-31; Просмотров: 3763; Нарушение авторских прав?; Мы поможем в написании вашей работы!