Общие тенденции развития вредоносных программ. Троянские программы для шантажа и вымогательства

Данная статья посвящена анализу современных технологий, представляющих угрозу для безопасности компьютера, и основных тенденций развития вредоносных программ в 2006 году.

Общие тенденции развития вредоносных программ

За 2006 год автором было обнаружено и проанализировано 49 697 уникальных разновидностей вредоносных программ, причем 47 907 из них принадлежат к основным семействам. По результатам их анализа построена диаграмма, отражающая процентный состав вредоносных программ по семействам за год (рис. 1).

Рис. 1. Процентный состав ITW-образцов по семействам

Как видно из диаграммы, 37% всех исследованных программ составляют вредоносные программы типа Trojan-Downloader. Это устойчивая тенденция, которая прослеживается с 2005 года и связана с тем, что Trojan-Downloader применяются для установки вредоносных программ, обновления их версий и восстановления в случае удаления антивирусом. Большинство исследованных случаев поражения компьютера вредоносным ПО влечет за собой именно запуск Trojan-Downloader, вследствие применения эксплойта или методов социальной инженерии. Следующими по распространенности являются почтовые и сетевые черви, троянские программы различных типов и программы класса Dialer.

Статистический анализ динамики обнаружения ITW (in the Wild) образцов показывает, что разработчики вредоносных программ взяли на вооружение и активно применяют новую технологию борьбы с сигнатурными сканерами. Методика ее крайне проста и заключается в том, что разработчик создает сотни вариантов одной и той же вредоносной программы в течение небольшого промежутка времени. Наиболее простые методы получения различных вариантов следующие:

• переупаковка различными упаковщиками и криптерами - может выполняться периодически или в момент запроса файла, набор упаковщиков и их параметров может варьироваться случайным образом. Нередко авторы вредоносных программ применяют модифицированные упаковщики и криптеры, что затрудняет их проверку;
• перекомпиляция файла с внесением модификаций, достаточных для того, чтобы изменились сигнатуры файла, по которым производится его детектирование;
• помещение вредоносного файла в инсталляционный пакет, созданный при помощи инсталляторов типа NSIS (Scriptable Installation System). Наличие открытого исходного кода инсталлятора позволяет немного его модифицировать, что сделает невозможным автоматическую распаковку и анализ в ходе антивирусной проверки.

Перечисленные методики давно известны и могут применяться в различных сочетаниях, что позволяет автору вредоносной программы без особого труда создавать сотни вариантов одной и той же программы без применения классических полиморфных методик. Проследить это можно на примере Trojan-Downloader. Win32.Zlob. Рассмотрим статистику его обнаружений за последние 40 дней (рис. 2).

Рис. 2. Динамика обнаружения Trojan-Downloader.Win32.Zlob за 40 дней

За этот период автором было обнаружено 2198 ITW-образцов Trojan-Downloader.Win32. Zlob, из которых 1213 - уникальные. На графике показаны две кривые: количество обнаружений в день и количество уникальных разновидностей файлов. Из графика видно, что примерно каждый второй обнаруженный ITW-образец является уникальным файлом, и эта зависимость стабильно сохраняется в течение месяца. Если опираться на классификацию «Лаборатории Касперского», то рассмотренные 1213 образцов принадлежат к 169 подразновидностям данной вредоносной программы. Подобная статистика весьма показательна: существует множество вредоносных программ, для которых ежедневно обнаруживаются десятки новых модификаций.

Другую характерную тенденцию можно проследить на примере почтового червя Warezov. За месяц автором зафиксировано 5333 ITW-образцов, из них 459 - уникальные. График распределения активности показан на рис. 3.

Рис. 3. Активность почтового червя Warezov

Зубцы на графике - это периоды эпидемий, которые связаны с появлением новых разновидностей червя (в данном случае: Email-Worm.Win32.Warezov.gj, Email-Worm.Win32. Warezov.fb, Email-Worm.Win32.Warezov.hb). Из графика видно, что активная эпидемия длится в среднем 2-5 дней, после чего количество обнаружений Warezov падает до «фонового» уровня - 10-30 образцов в день. Появление подобных всплесков вполне объяснимо - новая разновидность червя не детектируется антивирусами, в результате червь поражает массу ПК и начинается эпидемия. Она быстро развивается, однако в течение дня сигнатуры червя попадают в базы антивирусов и эпидемия быстро идет на спад.

Отдельно следует отметить активное распространение троянских программ категории Trojan-SPY - шпионов, ворующих персональные данные пользователей. Среди них выделяется знаменитый Goldun, осуществляющий кражу информации об учетных записях системы e-gold. Последние варианты этой троянской программы активно применяют руткит-технологии для маскировки и шпионажа (рис. 4).

Рис. 4. График активности Trojan-SPY за последний месяц

Анализ технологий, используемых создателями вредоносных программ, показывает, что за 2006 год не придумано никаких революционно новых технологий - разработчики вредоносного ПО берут количеством, а не качеством. Тем не менее появилось несколько новинок, которые заслуживают более подробного обсуждения.

В заключение рассмотрим сводный усредненный график, построенный по данным авторской системы автоматического мониторинга вирусной активности (рис. 5).

Рис. 5. Статистика системы автоматического поиска вредоносных программ за последние 40 дней

Из графика видно, что автоматической системой в день регистрируется в среднем около 400 новых уникальных разновидностей вредоносных программ.

Rootkit-технологии

В 2006 году наблюдалось развитие и совершенствование различных типов руткитов и руткит-технологий. Эти технологии применяют многие вредоносные программы, причем существует несколько их направлений:

• руткит-технологии для маскировки, основное назначение которых - маскировка присутствия вредоносной программы и ее компонентов на диске и в памяти, а также маскировка ключей в реестре. Для решения этой задачи чаще всего используется перехват API-функций, причем в современных руткитах встречаются весьма изощренные методики перехвата, например внедрение кода в неэкспортируемые функции ядра, перехват прерывания Int2E, модификация SYSENTER. Отдельно следует отметить DKOM-руткиты (Direct Kernel Object Manipulation), которые приобретают все большую популярность;
• руткит-технологии для шпионажа - как следует из названия, они применяются для слежения за работой пользователя и сбора конфиденциальной информации. Наиболее характерный пример - Trojan-Spy.Win32.Goldun, который по руткит-принципу перехватывает обмен приложений с Интернетом для поиска в потоке передаваемой информации реквизитов кредитных карт пользователя.

Рассмотрим подробнее DKOM-руткиты. Принцип их работы основан на модификации системных структур, описывающих процессы, драйверы, потоки и дескрипторы. Подобное вмешательство в системные структуры, естественно, является недокументированной и весьма некорректной операцией, однако система после подобного вмешательства продолжает более или менее стабильно работать. Практическим последствием такого вмешательства является то, что у злоумышленника появляется возможность манипулирования структурами ядра в собственных целях. Например, для каждого из запущенных процессов в ядре заводится структура EPROCESS, хранящая массу информации о процессе, в частности его идентификатор (PID) и имя процесса. Эти структуры образуют двусвязный список и используются API-функциями, возвращающими информацию о запущенных процессах. Для маскировки процесса DKOM-руткиту достаточно удалить его структуру EPROCESS из списка. Реализация подобной маскировки крайне проста, и в Интернете можно найти десятки готовых реализаций с исходными текстами. Более сложные руткиты не ограничиваются удалением структуры маскируемого объекта из списка - они искажают содержащиеся в ней данные. В результате даже если антируткит сможет найти замаскированный процесс или драйвер, то он получит о нем неверную информацию. Ввиду простоты реализации подобные руткиты приобретают все большую популярность, и бороться с ними становится все сложнее. Исследования показали, что наиболее эффективным методом противодействия им является установка в систему монитора, следящего за запуском/завершением процессов и загрузкой/выгрузкой драйверов. Сравнение собранной подобным монитором информации с данными, возвращаемыми системой, позволяет обнаружить произведенные DKOM-руткитом модификации, понять их характер и обнаружить замаскированные процессы и драйверы.

Hoax-программы

Направление Hoax-программ продолжает активно развиваться, поэтому можно уверенно прогнозировать рост этого семейства в 2007 году. В буквальном переводе Hoax - это обман; ложь, мистификация, неправда. Идея Hoax-программ - обман пользователя, чаще всего с целью получения прибыли или похищения конфиденциальной информации. В последнее время наблюдается тенденция криминализации этой отрасли: если еще год назад большинство Hoax-программ производили сравнительно безобидные действия, имитируя заражение компьютера вирусами или SpyWare-кодом, то современные все чаще нацелены на похищение паролей или конфиденциальной информации. Пример такой программы показан на рис. 6.

Рис. 6. Окно программы Hoax.Win32.Delf

Как следует из окна программы и ее описания, это генератор лицензий для «Антивируса Касперского». Программа предлагает для получения сгенерированной лицензии ввести адрес своей электронной почты и пароль на доступ к почтовому ящику. Если доверчивый пользователь сделает это и нажмет кнопку «Получить шифр», то введенные им данные будут переданы злоумышленнику по электронной почте. Подобных программ за прошедший год обнаружено более сотни: это разнообразные «креки», генераторы карт оплаты сотовых операторов, генераторы номеров кредитных карт, средства «взлома» почтовых ящиков и т.п. Общая черта подобных программ - обман пользователя, нацеленный на то, чтобы он самостоятельно ввел некую конфиденциальную информацию. Вторая характерная черта Hoax-приложений - их примитивность: они содержат массу ошибок и некорректностей в программном коде. Подобные программы зачастую создают начинающие вирусописатели.

Тенденцию развития Hoax-программ можно рассмотреть на примере Hoax.Win32.Renos (рис. 7).

Рис. 7. Динамика обнаружения Hoax.Win32.Renos за последние 30 дней

Из графика видно, что автором в день обнаруживается, как минимум, одна новая уникальная разновидность этой вредоносной программы, а всего за месяц наблюдается 60 новых уникальных вариантов, входящих в 18 подразновидностей по классификации «Лаборатории Касперского».

Троянские программы для шантажа и вымогательства

Программы данной разновидности впервые появились пару лет назад. Их основная цель - прямой шантаж пользователя и вымогание у него денег за восстановление работоспособности компьютера или расшифровку информации, закодированной троянской программой. Наиболее часто автору приходится получать отчеты и запросы о помощи от пользователей, пострадавших от трояна Trojan.Win32.Krotten, вымогавшего 25 WMZ за восстановление работоспособности компьютера. Эта троянская программа крайне примитивна по устройству, и вся ее работа сводится к модификации сотни ключей в реестре (с подробным описанием одной из ее разновидностей можно ознакомиться по адресу: http://www.z-oleg.com/secur/virlist/vir1180.php). Особенность троянских программ этого семейства состоит в том, что для лечения компьютера не достаточно поиска и уничтожения трояна - необходимо еще восстановить повреждения, нанесенные им системе. Если создаваемые трояном Krotten повреждения реестра устранить довольно легко, то зашифрованную информацию восстановить гораздо сложнее. Например, создатель шифрующей данные пользователя троянской программы Gpcode постепенно увеличивает длину ключа шифрования, бросая тем самым вызов антивирусным компаниям. Подробнее о данном трояне можно прочитать в статье «Шантажист» по адресу: http://www.viruslist.com/ru/analysis?pubid=188790045 .

Инжектирование программного кода как метод скрытого запуска

Данная технология наиболее ярко прослеживается в современных Trojan-Downloader, однако постепенно она начинает внедряться в других вредоносных программах. Методика ее сравнительно проста: вредоносная программа условно состоит из двух частей - «инжектора» и троянского кода. Задача «инжектора» заключается в распаковке и расшифровке троянского кода и его внедрении в некий системный процесс. На этой стадии изученные вредоносные программы различаются методикой внедрения троянского кода:

• внедрение путем подмены контекста - принцип такого внедрения предполагает подготовку и расшифровку троянского кода (шаг 1), запуск любого системного процесса, причем при создании процесса он создается в «спящем» (suspended) режиме (шаг 2). Далее инжектор внедряет троянский код в память процесса (причем такое внедрение может производиться поверх машинного кода процесса), после чего модифицирует контекст главного потока таким образом, чтобы управление получал троянский код (шаг 3). После этого запускается главный поток и выполняется троянский код. Данный метод интересен тем, что любой диспетчер процессов будет показывать выполнение легитимной программы (скажем, svchost.exe), но при этом вместо машинного кода легитимной программы в памяти будет находиться и исполняться троянский код. Данный метод позволяет обходить брандмауэры, не обладающие средствами контроля за модификацией памяти процесса и контекста его потоков (рис. 8);

Рис. 8. Внедрение подменой контекста

• внедрение троянских потоков - данный метод идеологически похож на предыдущий, но вместо замены машинного кода процесса троянским и его выполнения в главном потоке производится создание дополнительного потока, в котором выполняется троянский код (шаг 2). Этот метод часто применяется для инжектирования троянского кода в уже существующий процесс без нарушения его работы (рис. 9).

Рис. 9. Внедрение методом создания троянского потока

Новые методы воровства WebMoney

В конце 2006 года был обнаружен новый, достаточно оригинальный метод воровства денег в системе WebMoney. Он основан на внедрении на компьютер пользователя небольшой троянской программы, которая отслеживает, открыто ли окно программы WebMoney. В случае если оно открыто, осуществляется мониторинг буфера обмена. При обнаружении в буфере текста, начинающегося с «Z», «R» или «E», троянская программа считает, что это номер кошелька получателя, который пользователь скопировал в буфер обмена для ввода в окне WebMoney. Этот номер удаляется из буфера и заменяется на номер «Z», «R» или «E» кошелька злоумышленника. Метод крайне прост в реализации и может быть достаточно эффективным, поскольку номера кошельков действительно чаще всего не вводятся, а копируются через буфер и далеко не все пользователи тщательно проверяют, тот ли номер кошелька вставился из буфера. Данный троян является наглядной демонстрацией изобретательности разработчиков троянских программ.

Детектирование отладчиков и виртуальных ПК

Методики борьбы с отладчиками, эмуляторами и виртуальными компьютерами известны давно. Их применение затрудняет анализ вредоносной программы для начинающего специалиста, поэтому подобные технологии давно и достаточно успешно применяются разработчиками вредоносного ПО. Однако за прошедший год наметилась новая тенденция: вредоносные программы стали пытаться определять тип компьютера - реальное это железо или эмуляция, созданная программами типа Virtual PC или VMWare. Подобные виртуальные ПК довольно активно применялись и применяются администраторами для изучения подозрительных программ. При наличии проверки в случае запуска на виртуальном ПК (как вариант - под отладчиком) вредоносная программа может просто аварийно завершить свою работу, что помешает произвести ее изучение. Кроме того, подобная проверка нанесет удар по системам типа Norman Sandbox, поскольку их принцип эвристического анализа, в сущности, состоит в запуске изучаемой программы на эмуляторе и исследовании ее работы. В конце года специалисты института SANS Том Листон (Tom Liston) и Эд Скудис (Ed Skoudis) опубликовали весьма интересный отчет с описанием техники обнаружения виртуальных машин и борьбы с методами обнаружения. Документ можно скачать с сайта SANS - http://handlers.sans.org/tliston/ThwartingVMDetection_Liston_Skoudis.pdf .

Спам-боты и троянские прокси

Спам-бот - это автономная троянская программа, предназначенная для автоматической рассылки спама с пораженного компьютера. Троянский прокси - это вредоносная программа с функциями прокси-сервера, ее функционирование на пораженном компьютере позволяет злоумышленнику использовать его как прокси-сервер для рассылки спама, проведения атак на другие компьютеры и совершения иных противоправных действий. Многие современные спам-боты активно маскируют свое присутствие по руткит-технологиям и защищаются от удаления. Статистика показывает, что в месяц обнаруживается более 400 ITW-разновидностей подобных программ, из которых порядка 130 являются новыми, уникальными.

Спам-бот представляет большую угрозу для корпоративных сетей, поскольку его работа приводит к следующим последствиям:

• большому расходу сетевого трафика - в большинстве городов России пока отсутствуют безлимитные тарифы, поэтому наличие в сети нескольких пораженных компьютеров может привести к ощутимым финансовым убыткам за счет расходования трафика;
• многие корпоративные сети для выхода в Интернет используют статические IP-адреса и собственные почтовые серверы. Следовательно, в результате деятельности спам-ботов эти IP-адреса быстро попадут в черные списки антиспам-фильтров, а значит, почтовые серверы в Интернете перестанут принимать почту от корпоративного почтового сервера компании. Исключить свой IP-адрес из черного списка можно, но достаточно сложно, а в случае наличия в сети работающих спам-ботов это будет временной мерой.

Методы противодействия спам-ботам и троянским прокси весьма просты: необходимо блокировать порт 25 для всех пользователей, а в идеале - вообще запретить им прямой обмен с Интернетом, заменив его работой через прокси-серверы. Например, в Смоленскэнерго все пользователи работают с Интернетом только через прокси с системой фильтров, причем ежедневно производится полуавтоматическое изучение протоколов, которое выполняется дежурным администратором-системщиком. Применяемый им анализатор позволяет легко обнаружить аномалии в трафике пользователей и своевременно принять меры по блокированию подозрительной активности. Кроме того, отличные результаты дают IDS-системы (Intrusion Detection System), изучающие сетевой трафик пользователей.

Распространение вредоносных программ при помощи интернет-пейджеров

По собранной в течение года статистике интернет-пейджеры все чаще применяются для внедрения вредоносных программ на компьютеры пользователей. Методика внедрения представляет собой классическую социальную инженерию. С зараженного компьютера от имени ICQ его владельца вредоносная программа рассылает сообщения, призывающие под тем или иным предлогом открыть указанную ссылку. Ссылка ведет на троянскую программу (обычно со смысловым именем типа picture.pif или flash_movie.exe) или на сайт, страницы которого содержат эксплойты. Следует особо отметить тот факт, что распространяются именно ссылки на вредоносные программы, а не их тела.

За прошедший год было зафиксировано несколько эпидемий, основанных на таком принципе. В России пострадавшими в основном были пользователи ICQ, а распространялись таким образом чаще всего программы категории Trojan-PSW - троянские программы, ворующие пароли пользователя. Автор в среднем получает от одного до десяти сообщений в день, причем к концу года наблюдается активизация подобных рассылок.

Защита от вредоносных программ данного типа крайне проста - не следует открывать подобные ссылки. Однако статистика показывает, что любопытство пользователей нередко перевешивает, там более если сообщения приходят от имени хорошо известного им человека. В корпоративной среде эффективной мерой является запрет на применение интернет-пейджеров, поскольку в плане безопасности они являются идеальным каналом утечки информации.

USB flash-носители

Существенное падение цен на flash-носители (а также рост их объема и быстродействия) привело к закономерному эффекту - бурному росту их популярности среди пользователей. Соответственно разработчики вредоносных программ стали создавать программы, заражающие flash-диски. Принцип работы таких программ крайне прост: в корне диска создаются два файла - текстовый файл autorun.inf и копия вредоносной программы. Файл autorun применяется для автозапуска вредоносной программы при подключении диска. Классическим примером такой вредоносной программы является почтовый червь Rays. Важно отметить, что в качестве носителя вируса могут выступать цифровой фотоаппарат, многие сотовые телефоны, MP3-плееры и КПК - они, с точки зрения компьютера (и соответственно червя), неотличимы от flash-диска. При этом наличие вредоносной программы никак не сказывается на работе этих устройств.

Мерой защиты от подобных программ может служить отключение автозапуска, применение антивирусных мониторов для своевременного обнаружения и удаления вируса. Перед угрозой притока вирусов и утечки информации многие компании идут на более жесткие меры - блокируют возможность подключения USB-устройств при помощи специализированного ПО или блокировки USB-драйверов в настройках системы.

Заключение

В данной статье были рассмотрены основные направления развития вредоносных программ. Их анализ позволяет сделать несколько прогнозов:

• можно предположить, что будет активно развиваться направление маскировки от сигнатурных сканеров и защиты от запуска на виртуальных компьютерах и эмуляторах. Следовательно, для борьбы с такими вредоносными программами на первое место выходят различные эвристические анализаторы, брандмауэры и системы проактивной защиты;
• наблюдается явная криминализация отрасли разработки вредоносных программ, растет доля спам-ботов, троянских прокси, троянских программ для воровства паролей и персональных данных пользователей. В отличие от вирусов и червей, подобные программы могут нанести пользователям ощутимый материальный ущерб. Развитие отрасли троянских программ, осуществляющих шифровку данных пользователям, заставляет задуматься о целесообразности периодического резервного копирования, которое сводит фактически к нулю ущерб от подобного трояна;
• анализ случаев заражения компьютеров показывает, что нередко злоумышленники осуществляют взлом web-серверов для размещения на них вредоносных программ. Такой взлом гораздо опаснее так называемого дефейса (подмены стартовой страницы сайта), поскольку компьютеры посетителей сайта могут подвергаться заражению. Можно предположить, что данное направление будет развиваться весьма активно;
• flash-диски, цифровые фотоаппараты, MP3-плееры и КПК становятся все большей угрозой для безопасности, поскольку могут выступать носителями вирусов. Многие пользователи недооценивают опасность, исходящую, скажем, от цифрового фотоаппарата, - однако автору за 2006 год довелось изучить не менее 30 инцидентов, связанных с подобными устройствами;
• анализ устройства и принципов работы вредоносных программ показывает, что защититься от них можно без антивируса - они просто не смогут функционировать в грамотно настроенной системе. Основное правило защиты - это работа пользователя под ограниченной учетной записью, которая, в частности, не имеет привилегий на запись в системные папки, на управление службами и драйверами, а также на модификацию системных ключей реестра.

Угроза заключается в стремлении запустить на хосте ИСПДн различные предварительно внедренные вредоносные программы: программы-закладки, вирусы, «сетевые шпионы», основная цель которых - нарушение конфиденциальности, целостности, доступности информации и полный контроль за работой хоста. Кроме того, возможен несанкционированный запуск прикладных программ пользователей для несанкционированного получения необходимых нарушителю данных, для запуска управляемых прикладной программой процессов и др.

Выделяют три подкласса данных угроз:

распространение файлов, содержащих несанкционированный исполняемый код;

удаленный запуск приложения путем переполнения буфера приложений-серверов;

удаленный запуск приложения путем использования возможностей удаленного управления системой, предоставляемых скрытыми программными и аппаратными закладками, либо используемыми штатными средствами.

Типовые угрозы первого из указанных подклассов основываются на активизации распространяемых файлов при случайном обращении к ним. Примерами таких файлов могут служить: файлы, содержащие исполняемый код в вид документы, содержащие исполняемый код в виде элементов ActiveX, Java-апплетов, интерпретируемых скриптов (например, тексты на JavaScript); файлы, содержащие исполняемые коды программ. Для распространения файлов могут использоваться службы электронной почты, передачи файлов, сетевой файловой системы.

При угрозах второго подкласса используются недостатки программ, реализующих сетевые сервисы (в частности, отсутствие контроля за переполнением буфера). Настройкой системных регистров иногда удается переключить процессор после прерывания, вызванного переполнением буфера, на исполнение кода, содержащегося за границей буфера. Примером реализации такой угрозы может служить внедрение широко известного «вируса Морриса».

При угрозах третьего подкласса нарушитель использует возможности удаленного управления системой, предоставляемые скрытыми компонентами (например, «троянскими» программами типа Back. Orifice, Net Bus), либо штатными средствами управления и администрирования компьютерных сетей (Landesk Management Suite, Managewise, Back Orifice и т. п.). В результате их использования удается добиться удаленного контроля над станцией в сети.

Если в Учреждении обрабатываемые ПДн не пересылаются по сетям общего пользования и международного обмена, установлена антивирусная защита, то вероятность реализации угрозы – является маловероятной .

Во всех других случаях должна быть оценена вероятность реализации угрозы.

Обобщенный список вероятности реализации угроз для разных типов ИСПДн представлен в таблице 12.

Таблица 12

Тип ИСПДн	Вероятность реализации угрозы	Коэфф. вероятности реализации угрозы нарушителем
Автономная ИС Iтипа	маловероятная
Автономная ИС IIтипа
Автономная ИС IIIтипа	маловероятная
Автономная ИС IVтипа
Автономная ИС Vтипа	маловероятная
Автономная ИС VIтипа
ЛИС Iтипа	маловероятная
ЛИС IIтипа
Распределенная ИС Iтипа	маловероятная
Распределенная ИС IIтипа

Программно-математическое воздействие – это воздействие с помощью вредоносных программ. Программой с потенциально опасными последствиями или вредоносной программой называют некоторую самостоятельную программу (набор инструкций), которая способна выполнять любое непустое подмножество следующих функций:· скрывать признаки своего присутствия в программной средекомпьютера;· обладать способностью к самодублированию, ассоциированию себя сдругими программами и (или) переносу своих фрагментов в иные области оперативной или внешней памяти;· разрушать (искажать произвольным образом) код программ воперативной памяти;· выполнять без инициирования со стороны пользователя(пользовательской программы в штатном режиме ее выполнения) деструктивные функции (копирование, уничтожение, блокирование и т.п.); · сохранять фрагменты информации из оперативной памяти в некоторыхобластях внешней памяти прямого доступа (локальных или удаленных);· искажать произвольным образом, блокировать и (или) подменятьвыводимый во внешнюю память или в канал связи массив информации, образовавшийся в результате работы прикладных программ, или уже находящиеся во внешней памяти массивы данных.

Вредоносные программы могут быть внесены (внедрены) как преднамеренно, так и случайно в программное обеспечение, используемое в ИСПДн, в процессе его разработки, сопровождения, модификации и настройки. Кроме этого, вредоносные программы могут быть внесены в процессе эксплуатации ИСПДн с внешних носителей информации или посредством сетевого взаимодействия как в результате НСД, так и случайно пользователями ИСПДн.

Современные вредоносные программы основаны на использовании уязвимостей различного рода программного обеспечения (системного, общего, прикладного) и разнообразных сетевых технологий, обладают широким спектром деструктивных возможностей (от несанкционированного исследования параметров ИСПДн без вмешательства в функционирование ИСПДн, до уничтожения ПДн и программного обеспечения ИСПДн) и могут действовать во всех видах программного обеспечения (системного, прикладного, в драйверах аппаратного обеспечения и т.д.).

Наличие в ИСПДн вредоносных программ может способствовать возникновению скрытых, в том числе нетрадиционных каналов доступа к информации, позволяющих вскрывать, обходить или блокировать защитные механизмы, предусмотренные в системе, в том числе парольную и криптографическую защиту.

Основными видами вредоносных программ являются:

· программные закладки;

· классические программные (компьютерные) вирусы;

· вредоносные программы, распространяющиеся по сети (сетевые черви);

· другие вредоносные программы, предназначенные для осуществления НСД.

К программным закладкам относятся программы, фрагменты кода, инструкции, формирующие недекларированные возможности программного обеспечения. Вредоносные программы могут переходить из одного вида в другой, например, программная закладка может сгенерировать программный вирус, который, в свою очередь, попав в условия сети, может сформировать сетевого червя или другую вредоносную программу, предназначенную для осуществления НСД.

Краткая характеристика основных вредоносных программ сводится к следующему. Загрузочные вирусы записывают себя либо в загрузочный сектор диска (boot-сектор), либо в сектор, содержащий системный загрузчик винчестера (Master Boot Record), либо меняют указатель на активный boot-сектор. Они внедряются в память компьютера при загрузке с инфицированного диска. При этом системный загрузчик считывает содержимое первого сектора диска, с которого производится загрузка, помещает считанную информацию в память и передает на нее (т.е. на вирус) управление. После этого начинают выполняться инструкции вируса, который, как правило, уменьшает объем свободной памяти, копирует в освободившееся место свой код и считывает с диска свое продолжение (если оно есть), перехватывает необходимые вектора прерываний (обычно – INT 13H), считывает в память оригинальный boot-сектор и передает на него управление.

В дальнейшем загрузочный вирус ведет себя так же, как файловый: перехватывает обращения операционной системы к дискам и инфицирует их, в зависимости от некоторых условий совершает деструктивные действия, вызывает звуковые эффекты или видеоэффекты.

Основными деструктивными действиями, выполняемыми этими вирусами, являются:

· уничтожение информации в секторах дискет и винчестера;

· исключение возможности загрузки операционной системы (компьютер «зависает»);

· искажение кода загрузчика;

· форматирование дискет или логических дисков винчестера;

· закрытие доступа к COM- и LPT-портам;

· замена символов при печати текстов;

· подергивания экрана;

· изменение метки диска или дискеты;

· создание псевдосбойных кластеров;

· создание звуковых и(или) визуальных эффектов (например, падение
букв на экране);

· порча файлов данных;

· вывод на экран разнообразных сообщений;

· отключение периферийных устройств (например, клавиатуры);

· изменение палитры экрана;

· заполнение экрана посторонними символами или изображениями;

· погашение экрана и перевод в режим ожидания ввода с клавиатуры;

· шифрование секторов винчестера;

· выборочное уничтожение символов, выводимых на экран при наборе с клавиатуры;

· уменьшение объема оперативной памяти;

· вызов печати содержимого экрана;

· блокирование записи на диск;

· уничтожение таблицы разбиения (Disk Partition Table), после этого компьютер можно загрузить только с флоппи-диска;

· блокирование запуска исполняемых файлов;

· блокирование доступа к винчестеру.

ны

Рисунок 3. Классификация программных вирусов и сетевых червей

Большинство загрузочных вирусов перезаписывают себя на флоппи-диски.

Метод заражения «overwriting» является наиболее простым: вирус записывает свой код вместо кода заражаемого файла, уничтожая его содержимое. Естественно, что при этом файл перестает работать и не восстанавливается. Такие вирусы очень быстро обнаруживают себя, так как операционная система и приложения довольно быстро перестают работать.

К категории «компаньон» относятся вирусы, не изменяющие заражаемые файлы. Алгоритм работы этих вирусов состоит в том, что для заражаемого файла создается файл-двойник, причем при запуске зараженного файла управление получает именно этот двойник, то есть вирус. Наиболее распространены компаньон-вирусы, использующие особенность DOS первым выполнять файлы с расширением.COM, если в одном каталоге присутствуют два файла с одним и тем же именем, но различными расширениями имени – .COM и.EXE. Такие вирусы создают для EXE-файлов файлы-спутники, имеющие то же самое имя, но с расширением.COM, например, для файла XCOPY.EXE создается файл XCOPY.COM. Вирус записывается в COM-файл и никак не изменяет EXE-файл. При запуске такого файла DOS первым обнаружит и выполнит COM-файл, то есть вирус, который затем запустит и EXE-файл. Вторую группу составляют вирусы, которые при заражении переименовывают файл в какое-либо другое имя, запоминают его (для последующего запуска файла-хозяина) и записывают свой код на диск под именем заражаемого файла. Например, файл XCOPY.EXE переименовывается в XCOPY.EXD, а вирус записывается под именем XCOPY.EXE. При запуске управление получает код вируса, который затем запускает оригинальный XCOPY, хранящийся под именем XCOPY.EXD. Интересен тот факт, что данный метод работает, по-видимому, во всех операционных системах. В третью группу входят так называемые «Path-companion» вирусы. Они либо записывают свой код под именем заражаемого файла, но «выше» на один уровень в прописываемых путях (DOS, таким образом, первым обнаружит и запустит файл-вирус), либо переносят файл-жертву на один подкаталог выше и т.д.

Возможно существование и других типов компаньон-вирусов, использующих иные оригинальные идеи или особенности других операционных систем.

Файловые черви (worms) являются, в некотором смысле, разновидностью компаньон-вирусов, но при этом никоим образом не связывают свое присутствие с каким-либо выполняемым файлом. При размножении они всего лишь копируют свой код в какие-либо каталоги дисков в надежде, что эти новые копии будут когда-либо запущены пользователем. Иногда эти вирусы дают своим копиям «специальные» имена, чтобы подтолкнуть пользователя на запуск своей копии – например, INSTALL.EXE или WINSTART.BAT. Существуют вирусы-черви, использующие довольно необычные приемы, например, записывающие свои копии в архивы (ARJ, ZIP и прочие). Некоторые вирусы записывают команду запуска зараженного файла в BAT-файлы. Не следует путать файловые вирусы-черви с сетевыми червями. Первые используют только файловые функции какой-либо операционной системы, вторые же при своем размножении пользуются сетевыми протоколами.

Link-вирусы, как и компаньон-вирусы, не изменяют физического содержимого файлов, однако при запуске зараженного файла «заставляют» ОС выполнить свой код. Этой цели они достигают модификацией необходимых полей файловой системы.

Вирусы, заражающие библиотеки компиляторов, объектные модули и исходные тексты программ, достаточно экзотичны и практически не распространены. Вирусы, заражающие OBJ- и LIB-файлы, записывают в них свой код в формате объектного модуля или библиотеки. Зараженный файл, таким образом, не является выполняемым и не способен на дальнейшее распространение вируса в своем текущем состоянии. Носителем же «живого» вируса становится COM- или EXE-файл.

Получив управление, файловый вирус совершает следующие общие действия:

· проверяет оперативную память на наличие своей копии и инфицирует

память компьютера, если копия вируса не найдена (в случае, если вирус является резидентным), ищет незараженные файлы в текущем и (или) корневом каталоге путем сканирования дерева каталогов логических дисков, а затем заражает обнаруженные файлы;

· выполняет дополнительные (если они есть) функции: деструктивные

действия, графические или звуковые эффекты и т.д. (дополнительные функции резидентного вируса могут вызываться спустя некоторое время после активизации в зависимости от текущего времени, конфигурации системы, внутренних счетчиков вируса или других условий, в этом случае вирус при активизации обрабатывает состояние системных часов, устанавливает свои счетчики и т.д.);

· возвращает управление основной программе (если она есть).

Необходимо отметить, что чем быстрее распространяется вирус, тем вероятнее возникновение эпидемии этого вируса, чем медленнее распространяется вирус, тем сложнее его обнаружить (если, конечно же, этот вирус неизвестен). Нерезидентные вирусы часто являются «медленными» – большинство из них при запуске заражает один или два-три файла и не успевает заполонить компьютер до запуска антивирусной программы (или появления новой версии антивируса, настроенной на данный вирус). Существуют, конечно же, нерезидентные «быстрые» вирусы, которые при запуске ищут и заражают все выполняемые файлы, однако такие вирусы очень заметны: при запуске каждого зараженного файла компьютер некоторое (иногда достаточно долгое) время активно работает с винчестером, что демаскирует вирус. Скорость распространения (инфицирования) у резидентных вирусов обычно выше, чем у нерезидентных ‑ они заражают файлы при каких-либо обращениях к ним. В результате на диске оказываются зараженными все или почти все файлы, которые постоянно используются в работе. Скорость распространения (инфицирования) резидентных файловых вирусов, заражающих файлы только при их запуске на выполнение, будет ниже, чем у вирусов, заражающих файлы и при их открытии, переименовании, изменении атрибутов файла и т.д.

Таким образом, основные деструктивные действия, выполняемые файловыми вирусами, связаны с поражением файлов (чаще исполняемых или файлов данных), несанкционированным запуском различных команд (в том числе, команд форматирования, уничтожения, копирования и т.п.), изменением таблицы векторов прерываний и др. Вместе с тем, могут выполняться и многие деструктивные действия, сходные с теми, которые указывались для загрузочных вирусов.

Макровирусы (macro viruses) являются программами на языках (макроязыках), встроенных в некоторые системы обработки данных (текстовые редакторы, электронные таблицы и т.д.). Для своего размножения такие вирусы используют возможности макроязыков и при их помощи переносят себя из одного зараженного файла (документа или таблицы) в другие. Наибольшее распространение получили макровирусы для пакета прикладных программ Microsoft Office.

Для существования вирусов в конкретной системе (редакторе) необходимо наличие встроенного в систему макроязыка с возможностями:

1) привязки программы на макроязыке к конкретному файлу;

2) копирования макропрограмм из одного файла в другой;

3) получения управления макропрограммой без вмешательства пользователя (автоматические или стандартные макросы).

Данным условиям удовлетворяют прикладные программы Microsoft Word, Excel и Microsoft Access. Они содержат в себе макроязыки: Word Basic, Visual Basic for Applications. При этом:

1) макропрограммы привязаны к конкретному файлу или находятся внутри файла;

2) макроязык позволяет копировать файлы или перемещать макропрограммы в служебные файлы системы и редактируемые файлы;

3) при работе с файлом при определенных условиях (открытие, закрытие и т.д.) вызываются макропрограммы (если таковые есть), которые определены специальным образом или имеют стандартные имена.

Данная особенность макроязыков предназначена для автоматической обработки данных в больших организациях или в глобальных сетях и позволяет организовать так называемый «автоматизированный документооборот». С другой стороны, возможности макроязыков таких систем позволяют вирусу переносить свой код в другие файлы и таким образом заражать их.

Большинство макровирусов активны не только в момент открытия (закрытия) файла, но до тех пор, пока активен сам редактор. Они содержат все свои функции в виде стандартных макросов Word/Excel/Office. Существуют, однако, вирусы, использующие приемы скрытия своего кода и хранящие свой код в виде не макросов. Известно три подобных приема, все они используют возможность макросов создавать, редактировать и исполнять другие макросы. Как правило, подобные вирусы имеют небольшой (иногда – полиморфный) макрос-загрузчик вируса, который вызывает встроенный редактор макросов, создает новый макрос, заполняет его основным кодом вируса, выполняет и затем, как правило, уничтожает (чтобы скрыть следы присутствия вируса). Основной код таких вирусов присутствует либо в самом макросе вируса в виде текстовых строк (иногда – зашифрованных), либо хранится в области переменных документа.

К сетевым относятся вирусы, которые для своего распространения активно используют протоколы и возможности локальных и глобальных сетей. Основным принципом работы сетевого вируса является возможность самостоятельно передать свой код на удаленный сервер или рабочую станцию. «Полноценные» сетевые вирусы при этом обладают еще и возможностью запустить на выполнение свой код на удаленном компьютере или, по крайней мере, «подтолкнуть» пользователя к запуску зараженного файла.

Вредоносными программами, обеспечивающими осуществление НСД, могут быть:

· программы подбора и вскрытия паролей;

· программы, реализующие угрозы;

· программы, демонстрирующие использование недекларированных возможностей программного и программно-аппаратного обеспечения ИСПДн;

· программы-генераторы компьютерных вирусов;

· программы, демонстрирующие уязвимости средств защиты
информации и др.

В связи с усложнением и возрастанием разнообразия программного обеспечения число вредоносных программ быстро возрастает. Сегодня известно более 120 тысяч сигнатур компьютерных вирусов. Вместе с тем, далеко не все из них представляют реальную угрозу. Во многих случаях устранение уязвимостей в системном или прикладном программном обеспечении привело к тому, что ряд вредоносных программ уже не способен внедриться в них. Часто основную опасность представляют новые вредоносные программы.

Классификация нарушителей

По признаку принадлежности к ИСПДн все нарушители делятся на две группы:

Внешние нарушители – физические лица, не имеющие права пребывания на территории контролируемой зоны, в пределах которой размещается оборудование ИСПДн;

Внутренние нарушители – физические лица, имеющие право пребывания на территории контролируемой зоны, в пределах которой размещается оборудование ИСПДн.

Внешний нарушитель

В качестве внешнего нарушителя информационной безопасности, рассматривается нарушитель, который не имеет непосредственного доступа к техническим средствам и ресурсам системы, находящимся в пределах контролируемой зоны.

Предполагается, что внешний нарушитель не может воздействовать на защищаемую информацию по техническим каналам утечки, так как объем информации, хранимой и обрабатываемой в ИСПДн, является недостаточным для возможной мотивации внешнего нарушителя к осуществлению действий, направленных утечку информации по техническим каналам утечки.

Предполагается, что внешний нарушитель может воздействовать на защищаемую информацию только во время ее передачи по каналам связи.

Внутренний нарушитель

Возможности внутреннего нарушителя существенным образом зависят от действующих в пределах контролируемой зоны ограничительных факторов, из которых основным является реализация комплекса организационно-технических мер, в том числе по подбору, расстановке и обеспечению высокой профессиональной подготовки кадров, допуску физических лиц внутрь контролируемой зоны и контролю за порядком проведения работ, направленных на предотвращение и пресечение несанкционированного доступа.

Система разграничения доступа ИСПДн ИСПДн обеспечивает разграничение прав пользователей на доступ к информационным, программным, аппаратным и другим ресурсам ИСПДн в соответствии с принятой политикой информационной безопасности (правилами). К внутренним нарушителям могут относиться (таблица):

Администраторы конкретных подсистем или баз данных ИСПДн (категория II);

Пользователи, являющиеся внешними по отношению к конкретной АС (категория IV);

Лица, обладающие возможностью доступа к системе передачи данных (категория V);

Сотрудники ЛПУ, имеющие санкционированный доступ в служебных целях в помещения, в которых размещаются элементам ИСПДн, но не имеющие права доступа к ним (категория VI);

Обслуживающий персонал (охрана, работники инженерно–технических служб и т.д.) (категория VII);

Уполномоченный персонал разработчиков ИСПДн, который на договорной основе имеет право на техническое обслуживание и модификацию компонентов ИСПДн (категория VIII).

На лиц категорий I и II возложены задачи по администрированию программно-аппаратных средств и баз данных ИСПДн для интеграции и обеспечения взаимодействия различных подсистем, входящих в состав ИСПДн. Администраторы потенциально могут реализовывать угрозы ИБ, используя возможности по непосредственному доступу к защищаемой информации, обрабатываемой и хранимой в ИСПДн, а также к техническим и программным средствам ИСПДн, включая средства защиты, используемые в конкретных АС, в соответствии с установленными для них административными полномочиями.

Эти лица хорошо знакомы с основными алгоритмами, протоколами, реализуемыми и используемыми в конкретных подсистемах и ИСПДн в целом, а также с применяемыми принципами и концепциями безопасности.

Предполагается, что они могли бы использовать стандартное оборудование либо для идентификации уязвимостей, либо для реализации угроз ИБ. Данное оборудование может быть как частью штатных средств, так и может относиться к легко получаемому (например, программное обеспечение, полученное из общедоступных внешних источников).

Кроме того, предполагается, что эти лица могли бы располагать специализированным оборудованием .

К лицам категорий I и II ввиду их исключительной роли в ИСПДн должен применяться комплекс особых организационно-режимных мер по их подбору, принятию на работу, назначению на должность и контролю выполнения функциональных обязанностей.

Предполагается, что в число лиц категорий I и II будут включаться только доверенные лица и поэтому указанные лица исключаются из числа вероятных нарушителей.

Предполагается, что лица категорий III-VIII относятся к вероятным нарушителям.

Возможности внутреннего нарушителя существенным образом зависят
от действующих в пределах контролируемой зоны режимных
и организационно-технических мер защиты, в том числе по допуску физических лиц к ПДн и контролю порядка проведения работ.

Внутренние потенциальные нарушители подразделяются на восемь категорий в зависимости от способа доступа и полномочий доступа к ПДн.

К вредоносным программам, внедряемым по сети, относятся вирусы, которые для своего распространения активно используют протоколы и возможности локальных и глобальных сетей. Основным принципом работы сетевого вируса является возможность самостоятельно передать свой код на удаленный сервер или рабочую станцию. «Полноценные» сетевые вирусы при этом обладают еще и возможностью запустить на выполнение свой код на удаленном компьютере или, по крайней мере, «подтолкнуть» пользователя к запуску зараженного файла.

Вредоносными программами, обеспечивающими осуществление НСД, могут быть:

программы подбора и вскрытия паролей;

программы, реализующие угрозы;

программы, демонстрирующие использование недекларированных возможностей программного и программно-аппаратного обеспечения ИСПДн;

программы-генераторы компьютерных вирусов;

программы, демонстрирующие уязвимости средств защиты информации и др.

Если в Учреждении обрабатываемые ПДн не пересылаются по сетям общего пользования и международного обмена, установлена антивирусная защита, то вероятность реализации угрозы – является маловероятной .

Во всех других случаях должна быть оценена вероятность реализации угрозы.

Обобщенный список вероятности реализации угроз для разных типов ИСПДн представлен в таблице 13.

Таблица 13

Тип ИСПДн	Вероятность реализации угрозы	Коэфф. вероятности реализации угрозы нарушителем
Автономная ИС Iтипа	маловероятная
Автономная ИС IIтипа
Автономная ИС IIIтипа	маловероятная
Автономная ИС IVтипа
Автономная ИС Vтипа	маловероятная
Автономная ИС VIтипа
ЛИС Iтипа	маловероятная
ЛИС IIтипа
Распределенная ИС Iтипа	маловероятная
Распределенная ИС IIтипа

1. Реализуемость угроз

По итогам оценки уровня защищенности (Y 1) (раздел 7) и вероятности реализации угрозы (Y 2) (раздел 9), рассчитывается коэффициент реализуемости угрозы (Y) и определяется возможность реализации угрозы (таблица 4). Коэффициент реализуемости угрозы Y будет определяться соотношениемY= (Y 1 +Y 2)/20

Обобщенный список оценки реализуемости УБПДн для разных типов ИСПДн представлен в таблицах 14-23.

Таблица 14 – Автономная ИС Iтипа

Тип угроз безопасности ПДн		Возможность реализации
2.1.1. Кража ПЭВМ
2.3.6. Стихийное бедствие

Таблица 15 – Автономная ИС IIтипа

Тип угроз безопасности ПДн	Коэффициент реализуемости угрозы (Y)	Возможность реализации
1. Угрозы от утечки по техническим каналам.
1.1. Угрозы утечки акустической информации
1.2. Угрозы утечки видовой информации
1.3. Угрозы утечки информации по каналам ПЭМИН
2. Угрозы несанкционированного доступа к информации.
2.1. Угрозы уничтожения, хищения аппаратных средств ИСПДн носителей информации путем физического доступа к элементам ИСПДн
2.1.1. Кража ПЭВМ
2.1.2. Кража носителей информации
2.1.3. Кража ключей и атрибутов доступа
2.1.4. Кражи, модификации, уничтожения информации
2.1.5. Вывод из строя узлов ПЭВМ, каналов связи
2.1.6. Несанкционированный доступ к информации при техническом обслуживании (ремонте, уничтожении) узлов ПЭВМ
2.1.7. Несанкционированное отключение средств защиты
2.2. Угрозы хищения, несанкционированной модификации или блокирования информации за счет несанкционированного доступа (НСД) с применением программно-аппаратных и программных средств (в том числе программно-математических воздействий).
2.2.1. Действия вредоносных программ (вирусов)
2.2.3. Установка ПО не связанного с исполнением служебных обязанностей
2.3. Угрозы не преднамеренных действий пользователей и нарушений безопасности функционирования ИСПДн и СЗПДн в ее составе из-за сбоев в программном обеспечении, а также от угроз неантропогенного (сбоев аппаратуры из-за ненадежности элементов, сбоев электропитания) и стихийного (ударов молний, пожаров, наводнений и т.п.) характера.
2.3.1. Утрата ключей и атрибутов доступа
2.3.2. Непреднамеренная модификация (уничтожение) информации сотрудниками
2.3.3. Непреднамеренное отключение средств защиты
2.3.4. Выход из строя аппаратно-программных средств
2.3.5. Сбой системы электроснабжения
2.3.6. Стихийное бедствие
2.4. Угрозы преднамеренных действий внутренних нарушителей
2.4.1. Доступ к информации, модификация, уничтожение лиц не допущенных к ее обработке
2.4.2. Разглашение информации, модификация, уничтожение сотрудниками допущенными к ее обработке
2.5.Угрозы несанкционированного доступа по каналам связи.
2.5.1.Угроза «Анализ сетевого трафика» с перехватом передаваемой из ИСПДн и принимаемой из внешних сетей информации:
2.5.1.1. Перехват за переделами с контролируемой зоны
2.5.1.2. Перехват в пределах контролируемой зоны внешними нарушителями
2.5.1.3.Перехват в пределах контролируемой зоны внутренними нарушителями.
2.5.2.Угрозы сканирования, направленные на выявление типа или типов используемых операционных систем, сетевых адресов рабочих станций ИСПДн, топологии сети, открытых портов и служб, открытых соединений и др.
2.5.3.Угрозы выявления паролей по сети
2.5.4.Угрозы навязывание ложного маршрута сети
2.5.5.Угрозы подмены доверенного объекта в сети
2.5.6.Угрозы внедрения ложного объекта как в ИСПДн, так и во внешних сетях
2.5.7.Угрозы типа «Отказ в обслуживании»
2.5.8.Угрозы удаленного запуска приложений
2.5.9.Угрозы внедрения по сети вредоносных программ

Таблица 16 – Автономная ИС IIIтипа

Тип угроз безопасности ПДн	Коэффициент реализуемости угрозы (Y)	Возможность реализации
1. Угрозы от утечки по техническим каналам.
1.1. Угрозы утечки акустической информации
1.2. Угрозы утечки видовой информации
1.3. Угрозы утечки информации по каналам ПЭМИН
2. Угрозы несанкционированного доступа к информации.
2.1. Угрозы уничтожения, хищения аппаратных средств ИСПДн носителей информации путем физического доступа к элементам ИСПДн
2.1.1. Кража ПЭВМ
2.1.2. Кража носителей информации
2.1.3. Кража ключей и атрибутов доступа
2.1.4. Кражи, модификации, уничтожения информации
2.1.5. Вывод из строя узлов ПЭВМ, каналов связи
2.1.6. Несанкционированный доступ к информации при техническом обслуживании (ремонте, уничтожении) узлов ПЭВМ
2.1.7. Несанкционированное отключение средств защиты
2.2. Угрозы хищения, несанкционированной модификации или блокирования информации за счет несанкционированного доступа (НСД) с применением программно-аппаратных и программных средств (в том числе программно-математических воздействий).
2.2.1. Действия вредоносных программ (вирусов)
2.2.3. Установка ПО не связанного с исполнением служебных обязанностей
2.3. Угрозы не преднамеренных действий пользователей и нарушений безопасности функционирования ИСПДн и СЗПДн в ее составе из-за сбоев в программном обеспечении, а также от угроз неантропогенного (сбоев аппаратуры из-за ненадежности элементов, сбоев электропитания) и стихийного (ударов молний, пожаров, наводнений и т.п.) характера.
2.3.1. Утрата ключей и атрибутов доступа
2.3.2. Непреднамеренная модификация (уничтожение) информации сотрудниками
2.3.3. Непреднамеренное отключение средств защиты
2.3.4. Выход из строя аппаратно-программных средств
2.3.5. Сбой системы электроснабжения
2.3.6. Стихийное бедствие
2.4. Угрозы преднамеренных действий внутренних нарушителей
2.4.1. Доступ к информации, модификация, уничтожение лиц не допущенных к ее обработке
2.4.2. Разглашение информации, модификация, уничтожение сотрудниками допущенными к ее обработке
2.5.Угрозы несанкционированного доступа по каналам связи.
2.5.1.Угроза «Анализ сетевого трафика» с перехватом передаваемой из ИСПДн и принимаемой из внешних сетей информации:
2.5.1.1. Перехват за переделами с контролируемой зоны
2.5.1.2. Перехват в пределах контролируемой зоны внешними нарушителями
2.5.1.3.Перехват в пределах контролируемой зоны внутренними нарушителями.
2.5.2.Угрозы сканирования, направленные на выявление типа или типов используемых операционных систем, сетевых адресов рабочих станций ИСПДн, топологии сети, открытых портов и служб, открытых соединений и др.
2.5.3.Угрозы выявления паролей по сети
2.5.4.Угрозы навязывание ложного маршрута сети
2.5.5.Угрозы подмены доверенного объекта в сети
2.5.6.Угрозы внедрения ложного объекта как в ИСПДн, так и во внешних сетях
2.5.7.Угрозы типа «Отказ в обслуживании»
2.5.8.Угрозы удаленного запуска приложений
2.5.9.Угрозы внедрения по сети вредоносных программ

Таблица 17 – Автономная ИС IVтипа

Тип угроз безопасности ПДн	Коэффициент реализуемости угрозы (Y)	Возможность реализации
1. Угрозы от утечки по техническим каналам.
1.1. Угрозы утечки акустической информации
1.2. Угрозы утечки видовой информации
1.3. Угрозы утечки информации по каналам ПЭМИН
2. Угрозы несанкционированного доступа к информации.
2.1. Угрозы уничтожения, хищения аппаратных средств ИСПДн носителей информации путем физического доступа к элементам ИСПДн
2.1.1. Кража ПЭВМ
2.1.2. Кража носителей информации
2.1.3. Кража ключей и атрибутов доступа
2.1.4. Кражи, модификации, уничтожения информации
2.1.5. Вывод из строя узлов ПЭВМ, каналов связи
2.1.6. Несанкционированный доступ к информации при техническом обслуживании (ремонте, уничтожении) узлов ПЭВМ
2.1.7. Несанкционированное отключение средств защиты
2.2. Угрозы хищения, несанкционированной модификации или блокирования информации за счет несанкционированного доступа (НСД) с применением программно-аппаратных и программных средств (в том числе программно-математических воздействий).
2.2.1. Действия вредоносных программ (вирусов)
2.2.3. Установка ПО не связанного с исполнением служебных обязанностей
2.3. Угрозы не преднамеренных действий пользователей и нарушений безопасности функционирования ИСПДн и СЗПДн в ее составе из-за сбоев в программном обеспечении, а также от угроз неантропогенного (сбоев аппаратуры из-за ненадежности элементов, сбоев электропитания) и стихийного (ударов молний, пожаров, наводнений и т.п.) характера.
2.3.1. Утрата ключей и атрибутов доступа
2.3.2. Непреднамеренная модификация (уничтожение) информации сотрудниками
2.3.3. Непреднамеренное отключение средств защиты
2.3.4. Выход из строя аппаратно-программных средств
2.3.5. Сбой системы электроснабжения
2.3.6. Стихийное бедствие
2.4. Угрозы преднамеренных действий внутренних нарушителей
2.4.1. Доступ к информации, модификация, уничтожение лиц не допущенных к ее обработке
2.4.2. Разглашение информации, модификация, уничтожение сотрудниками допущенными к ее обработке
2.5.Угрозы несанкционированного доступа по каналам связи.
2.5.1.Угроза «Анализ сетевого трафика» с перехватом передаваемой из ИСПДн и принимаемой из внешних сетей информации:
2.5.1.1. Перехват за переделами с контролируемой зоны
2.5.1.2. Перехват в пределах контролируемой зоны внешними нарушителями
2.5.1.3.Перехват в пределах контролируемой зоны внутренними нарушителями.
2.5.2.Угрозы сканирования, направленные на выявление типа или типов используемых операционных систем, сетевых адресов рабочих станций ИСПДн, топологии сети, открытых портов и служб, открытых соединений и др.
2.5.3.Угрозы выявления паролей по сети
2.5.4.Угрозы навязывание ложного маршрута сети
2.5.5.Угрозы подмены доверенного объекта в сети
2.5.6.Угрозы внедрения ложного объекта как в ИСПДн, так и во внешних сетях
2.5.7.Угрозы типа «Отказ в обслуживании»
2.5.8.Угрозы удаленного запуска приложений
2.5.9.Угрозы внедрения по сети вредоносных программ

Таблица 18 – Автономная ИС Vтипа

Тип угроз безопасности ПДн	Коэффициент реализуемости угрозы (Y)	Возможность реализации
1. Угрозы от утечки по техническим каналам.
1.1. Угрозы утечки акустической информации
1.2. Угрозы утечки видовой информации
1.3. Угрозы утечки информации по каналам ПЭМИН
2. Угрозы несанкционированного доступа к информации.
2.1. Угрозы уничтожения, хищения аппаратных средств ИСПДн носителей информации путем физического доступа к элементам ИСПДн
2.1.1. Кража ПЭВМ
2.1.2. Кража носителей информации
2.1.3. Кража ключей и атрибутов доступа
2.1.4. Кражи, модификации, уничтожения информации
2.1.5. Вывод из строя узлов ПЭВМ, каналов связи
2.1.6. Несанкционированный доступ к информации при техническом обслуживании (ремонте, уничтожении) узлов ПЭВМ
2.1.7. Несанкционированное отключение средств защиты
2.2. Угрозы хищения, несанкционированной модификации или блокирования информации за счет несанкционированного доступа (НСД) с применением программно-аппаратных и программных средств (в том числе программно-математических воздействий).
2.2.1. Действия вредоносных программ (вирусов)
2.2.3. Установка ПО не связанного с исполнением служебных обязанностей
2.3. Угрозы не преднамеренных действий пользователей и нарушений безопасности функционирования ИСПДн и СЗПДн в ее составе из-за сбоев в программном обеспечении, а также от угроз неантропогенного (сбоев аппаратуры из-за ненадежности элементов, сбоев электропитания) и стихийного (ударов молний, пожаров, наводнений и т.п.) характера.
2.3.1. Утрата ключей и атрибутов доступа
2.3.2. Непреднамеренная модификация (уничтожение) информации сотрудниками
2.3.3. Непреднамеренное отключение средств защиты
2.3.4. Выход из строя аппаратно-программных средств
2.3.5. Сбой системы электроснабжения
2.3.6. Стихийное бедствие
2.4. Угрозы преднамеренных действий внутренних нарушителей
2.4.1. Доступ к информации, модификация, уничтожение лиц не допущенных к ее обработке
2.4.2. Разглашение информации, модификация, уничтожение сотрудниками допущенными к ее обработке
2.5.Угрозы несанкционированного доступа по каналам связи.
2.5.1.Угроза «Анализ сетевого трафика» с перехватом передаваемой из ИСПДн и принимаемой из внешних сетей информации:
2.5.1.1. Перехват за переделами с контролируемой зоны
2.5.1.2. Перехват в пределах контролируемой зоны внешними нарушителями
2.5.1.3.Перехват в пределах контролируемой зоны внутренними нарушителями.
2.5.2.Угрозы сканирования, направленные на выявление типа или типов используемых операционных систем, сетевых адресов рабочих станций ИСПДн, топологии сети, открытых портов и служб, открытых соединений и др.
2.5.3.Угрозы выявления паролей по сети
2.5.4.Угрозы навязывание ложного маршрута сети
2.5.5.Угрозы подмены доверенного объекта в сети
2.5.6.Угрозы внедрения ложного объекта как в ИСПДн, так и во внешних сетях
2.5.7.Угрозы типа «Отказ в обслуживании»
2.5.8.Угрозы удаленного запуска приложений
2.5.9.Угрозы внедрения по сети вредоносных программ

Таблица 19 – Автономная ИС VIтипа

Тип угроз безопасности ПДн	Коэффициент реализуемости угрозы (Y)	Возможность реализации
1. Угрозы от утечки по техническим каналам.
1.1. Угрозы утечки акустической информации
1.2. Угрозы утечки видовой информации
1.3. Угрозы утечки информации по каналам ПЭМИН
2. Угрозы несанкционированного доступа к информации.
2.1. Угрозы уничтожения, хищения аппаратных средств ИСПДн носителей информации путем физического доступа к элементам ИСПДн
2.1.1. Кража ПЭВМ
2.1.2. Кража носителей информации
2.1.3. Кража ключей и атрибутов доступа
2.1.4. Кражи, модификации, уничтожения информации
2.1.5. Вывод из строя узлов ПЭВМ, каналов связи
2.1.6. Несанкционированный доступ к информации при техническом обслуживании (ремонте, уничтожении) узлов ПЭВМ
2.1.7. Несанкционированное отключение средств защиты
2.2. Угрозы хищения, несанкционированной модификации или блокирования информации за счет несанкционированного доступа (НСД) с применением программно-аппаратных и программных средств (в том числе программно-математических воздействий).
2.2.1. Действия вредоносных программ (вирусов)
2.2.3. Установка ПО не связанного с исполнением служебных обязанностей
2.3. Угрозы не преднамеренных действий пользователей и нарушений безопасности функционирования ИСПДн и СЗПДн в ее составе из-за сбоев в программном обеспечении, а также от угроз неантропогенного (сбоев аппаратуры из-за ненадежности элементов, сбоев электропитания) и стихийного (ударов молний, пожаров, наводнений и т.п.) характера.
2.3.1. Утрата ключей и атрибутов доступа
2.3.2. Непреднамеренная модификация (уничтожение) информации сотрудниками
2.3.3. Непреднамеренное отключение средств защиты
2.3.4. Выход из строя аппаратно-программных средств
2.3.5. Сбой системы электроснабжения
2.3.6. Стихийное бедствие
2.4. Угрозы преднамеренных действий внутренних нарушителей
2.4.1. Доступ к информации, модификация, уничтожение лиц не допущенных к ее обработке
2.4.2. Разглашение информации, модификация, уничтожение сотрудниками допущенными к ее обработке
2.5.Угрозы несанкционированного доступа по каналам связи.
2.5.1.Угроза «Анализ сетевого трафика» с перехватом передаваемой из ИСПДн и принимаемой из внешних сетей информации:
2.5.1.1. Перехват за переделами с контролируемой зоны
2.5.1.2. Перехват в пределах контролируемой зоны внешними нарушителями
2.5.1.3.Перехват в пределах контролируемой зоны внутренними нарушителями.
2.5.2.Угрозы сканирования, направленные на выявление типа или типов используемых операционных систем, сетевых адресов рабочих станций ИСПДн, топологии сети, открытых портов и служб, открытых соединений и др.
2.5.3.Угрозы выявления паролей по сети
2.5.4.Угрозы навязывание ложного маршрута сети
2.5.5.Угрозы подмены доверенного объекта в сети
2.5.6.Угрозы внедрения ложного объекта как в ИСПДн, так и во внешних сетях
2.5.7.Угрозы типа «Отказ в обслуживании»
2.5.8.Угрозы удаленного запуска приложений
2.5.9.Угрозы внедрения по сети вредоносных программ

Таблица 20 – ЛИС Iтипа

Тип угроз безопасности ПДн	Коэффициент реализуемости угрозы (Y)	Возможность реализации
1. Угрозы от утечки по техническим каналам.
1.1. Угрозы утечки акустической информации
1.2. Угрозы утечки видовой информации
1.3. Угрозы утечки информации по каналам ПЭМИН
2. Угрозы несанкционированного доступа к информации.
2.1. Угрозы уничтожения, хищения аппаратных средств ИСПДн носителей информации путем физического доступа к элементам ИСПДн
2.1.1. Кража ПЭВМ
2.1.2. Кража носителей информации
2.1.3. Кража ключей и атрибутов доступа
2.1.4. Кражи, модификации, уничтожения информации
2.1.5. Вывод из строя узлов ПЭВМ, каналов связи
2.1.6. Несанкционированный доступ к информации при техническом обслуживании (ремонте, уничтожении) узлов ПЭВМ
2.1.7. Несанкционированное отключение средств защиты
2.2. Угрозы хищения, несанкционированной модификации или блокирования информации за счет несанкционированного доступа (НСД) с применением программно-аппаратных и программных средств (в том числе программно-математических воздействий).
2.2.1. Действия вредоносных программ (вирусов)
2.2.3. Установка ПО не связанного с исполнением служебных обязанностей
2.3. Угрозы не преднамеренных действий пользователей и нарушений безопасности функционирования ИСПДн и СЗПДн в ее составе из-за сбоев в программном обеспечении, а также от угроз неантропогенного (сбоев аппаратуры из-за ненадежности элементов, сбоев электропитания) и стихийного (ударов молний, пожаров, наводнений и т.п.) характера.
2.3.1. Утрата ключей и атрибутов доступа
2.3.2. Непреднамеренная модификация (уничтожение) информации сотрудниками
2.3.3. Непреднамеренное отключение средств защиты
2.3.4. Выход из строя аппаратно-программных средств
2.3.5. Сбой системы электроснабжения
2.3.6. Стихийное бедствие
2.4. Угрозы преднамеренных действий внутренних нарушителей
2.4.1. Доступ к информации, модификация, уничтожение лиц не допущенных к ее обработке
2.4.2. Разглашение информации, модификация, уничтожение сотрудниками допущенными к ее обработке
2.5.Угрозы несанкционированного доступа по каналам связи.
2.5.1.Угроза «Анализ сетевого трафика» с перехватом передаваемой из ИСПДн и принимаемой из внешних сетей информации:
2.5.1.1. Перехват за переделами с контролируемой зоны
2.5.1.2. Перехват в пределах контролируемой зоны внешними нарушителями
2.5.1.3.Перехват в пределах контролируемой зоны внутренними нарушителями.
2.5.2.Угрозы сканирования, направленные на выявление типа или типов используемых операционных систем, сетевых адресов рабочих станций ИСПДн, топологии сети, открытых портов и служб, открытых соединений и др.
2.5.3.Угрозы выявления паролей по сети
2.5.4.Угрозы навязывание ложного маршрута сети
2.5.5.Угрозы подмены доверенного объекта в сети
2.5.6.Угрозы внедрения ложного объекта как в ИСПДн, так и во внешних сетях
2.5.7.Угрозы типа «Отказ в обслуживании»
2.5.8.Угрозы удаленного запуска приложений
2.5.9.Угрозы внедрения по сети вредоносных программ

Таблица 21 – ЛИС IIтипа

Тип угроз безопасности ПДн	Коэффициент реализуемости угрозы (Y)	Возможность реализации
1. Угрозы от утечки по техническим каналам.
1.1. Угрозы утечки акустической информации
1.2. Угрозы утечки видовой информации
1.3. Угрозы утечки информации по каналам ПЭМИН
2. Угрозы несанкционированного доступа к информации.
2.1. Угрозы уничтожения, хищения аппаратных средств ИСПДн носителей информации путем физического доступа к элементам ИСПДн
2.1.1. Кража ПЭВМ
2.1.2. Кража носителей информации
2.1.3. Кража ключей и атрибутов доступа
2.1.4. Кражи, модификации, уничтожения информации
2.1.5. Вывод из строя узлов ПЭВМ, каналов связи
2.1.6. Несанкционированный доступ к информации при техническом обслуживании (ремонте, уничтожении) узлов ПЭВМ
2.1.7. Несанкционированное отключение средств защиты
2.2. Угрозы хищения, несанкционированной модификации или блокирования информации за счет несанкционированного доступа (НСД) с применением программно-аппаратных и программных средств (в том числе программно-математических воздействий).
2.2.1. Действия вредоносных программ (вирусов)
2.2.3. Установка ПО не связанного с исполнением служебных обязанностей
2.3. Угрозы не преднамеренных действий пользователей и нарушений безопасности функционирования ИСПДн и СЗПДн в ее составе из-за сбоев в программном обеспечении, а также от угроз неантропогенного (сбоев аппаратуры из-за ненадежности элементов, сбоев электропитания) и стихийного (ударов молний, пожаров, наводнений и т.п.) характера.
2.3.1. Утрата ключей и атрибутов доступа
2.3.2. Непреднамеренная модификация (уничтожение) информации сотрудниками
2.3.3. Непреднамеренное отключение средств защиты
2.3.4. Выход из строя аппаратно-программных средств
2.3.5. Сбой системы электроснабжения
2.3.6. Стихийное бедствие
2.4. Угрозы преднамеренных действий внутренних нарушителей
2.4.1. Доступ к информации, модификация, уничтожение лиц не допущенных к ее обработке
2.4.2. Разглашение информации, модификация, уничтожение сотрудниками допущенными к ее обработке
2.5.Угрозы несанкционированного доступа по каналам связи.
2.5.1.Угроза «Анализ сетевого трафика» с перехватом передаваемой из ИСПДн и принимаемой из внешних сетей информации:
2.5.1.1. Перехват за переделами с контролируемой зоны
2.5.1.2. Перехват в пределах контролируемой зоны внешними нарушителями
2.5.1.3.Перехват в пределах контролируемой зоны внутренними нарушителями.
2.5.2.Угрозы сканирования, направленные на выявление типа или типов используемых операционных систем, сетевых адресов рабочих станций ИСПДн, топологии сети, открытых портов и служб, открытых соединений и др.
2.5.3.Угрозы выявления паролей по сети
2.5.4.Угрозы навязывание ложного маршрута сети
2.5.5.Угрозы подмены доверенного объекта в сети
2.5.6.Угрозы внедрения ложного объекта как в ИСПДн, так и во внешних сетях
2.5.7.Угрозы типа «Отказ в обслуживании»
2.5.8.Угрозы удаленного запуска приложений
2.5.9.Угрозы внедрения по сети вредоносных программ

Таблица 22 – Распределенная ИС Iтипа

Тип угроз безопасности ПДн	Коэффициент реализуемости угрозы (Y)	Возможность реализации
1. Угрозы от утечки по техническим каналам.
1.1. Угрозы утечки акустической информации
1.2. Угрозы утечки видовой информации
1.3. Угрозы утечки информации по каналам ПЭМИН
2. Угрозы несанкционированного доступа к информации.
2.1. Угрозы уничтожения, хищения аппаратных средств ИСПДн носителей информации путем физического доступа к элементам ИСПДн
2.1.1. Кража ПЭВМ
2.1.2. Кража носителей информации
2.1.3. Кража ключей и атрибутов доступа
2.1.4. Кражи, модификации, уничтожения информации
2.1.5. Вывод из строя узлов ПЭВМ, каналов связи
2.1.6. Несанкционированный доступ к информации при техническом обслуживании (ремонте, уничтожении) узлов ПЭВМ
2.1.7. Несанкционированное отключение средств защиты
2.2. Угрозы хищения, несанкционированной модификации или блокирования информации за счет несанкционированного доступа (НСД) с применением программно-аппаратных и программных средств (в том числе программно-математических воздействий).
2.2.1. Действия вредоносных программ (вирусов)
2.2.3. Установка ПО не связанного с исполнением служебных обязанностей
2.3. Угрозы не преднамеренных действий пользователей и нарушений безопасности функционирования ИСПДн и СЗПДн в ее составе из-за сбоев в программном обеспечении, а также от угроз неантропогенного (сбоев аппаратуры из-за ненадежности элементов, сбоев электропитания) и стихийного (ударов молний, пожаров, наводнений и т.п.) характера.
2.3.1. Утрата ключей и атрибутов доступа
2.3.2. Непреднамеренная модификация (уничтожение) информации сотрудниками
2.3.3. Непреднамеренное отключение средств защиты
2.3.4. Выход из строя аппаратно-программных средств
2.3.5. Сбой системы электроснабжения
2.3.6. Стихийное бедствие
2.4. Угрозы преднамеренных действий внутренних нарушителей
2.4.1. Доступ к информации, модификация, уничтожение лиц не допущенных к ее обработке
2.4.2. Разглашение информации, модификация, уничтожение сотрудниками допущенными к ее обработке
2.5.Угрозы несанкционированного доступа по каналам связи.
2.5.1.Угроза «Анализ сетевого трафика» с перехватом передаваемой из ИСПДн и принимаемой из внешних сетей информации:
2.5.1.1. Перехват за переделами с контролируемой зоны
2.5.1.2. Перехват в пределах контролируемой зоны внешними нарушителями
2.5.1.3.Перехват в пределах контролируемой зоны внутренними нарушителями.
2.5.2.Угрозы сканирования, направленные на выявление типа или типов используемых операционных систем, сетевых адресов рабочих станций ИСПДн, топологии сети, открытых портов и служб, открытых соединений и др.
2.5.3.Угрозы выявления паролей по сети
2.5.4.Угрозы навязывание ложного маршрута сети
2.5.5.Угрозы подмены доверенного объекта в сети
2.5.6.Угрозы внедрения ложного объекта как в ИСПДн, так и во внешних сетях
2.5.7.Угрозы типа «Отказ в обслуживании»
2.5.8.Угрозы удаленного запуска приложений
2.5.9.Угрозы внедрения по сети вредоносных программ

Таблица 23 – Распределенная ИС IIтипа

Тип угроз безопасности ПДн	Коэффициент реализуемости угрозы (Y)	Возможность реализации
1. Угрозы от утечки по техническим каналам.
1.1. Угрозы утечки акустической информации
1.2. Угрозы утечки видовой информации
1.3. Угрозы утечки информации по каналам ПЭМИН
2. Угрозы несанкционированного доступа к информации.
2.1. Угрозы уничтожения, хищения аппаратных средств ИСПДн носителей информации путем физического доступа к элементам ИСПДн
2.1.1. Кража ПЭВМ
2.1.2. Кража носителей информации
2.1.3. Кража ключей и атрибутов доступа
2.1.4. Кражи, модификации, уничтожения информации
2.1.5. Вывод из строя узлов ПЭВМ, каналов связи
2.1.6. Несанкционированный доступ к информации при техническом обслуживании (ремонте, уничтожении) узлов ПЭВМ
2.1.7. Несанкционированное отключение средств защиты
2.2. Угрозы хищения, несанкционированной модификации или блокирования информации за счет несанкционированного доступа (НСД) с применением программно-аппаратных и программных средств (в том числе программно-математических воздействий).
2.2.1. Действия вредоносных программ (вирусов)
2.2.3. Установка ПО не связанного с исполнением служебных обязанностей
2.3. Угрозы не преднамеренных действий пользователей и нарушений безопасности функционирования ИСПДн и СЗПДн в ее составе из-за сбоев в программном обеспечении, а также от угроз неантропогенного (сбоев аппаратуры из-за ненадежности элементов, сбоев электропитания) и стихийного (ударов молний, пожаров, наводнений и т.п.) характера.
2.3.1. Утрата ключей и атрибутов доступа
2.3.2. Непреднамеренная модификация (уничтожение) информации сотрудниками
2.3.3. Непреднамеренное отключение средств защиты
2.3.4. Выход из строя аппаратно-программных средств
2.3.5. Сбой системы электроснабжения
2.3.6. Стихийное бедствие
2.4. Угрозы преднамеренных действий внутренних нарушителей
2.4.1. Доступ к информации, модификация, уничтожение лиц не допущенных к ее обработке
2.4.2. Разглашение информации, модификация, уничтожение сотрудниками допущенными к ее обработке
2.5.Угрозы несанкционированного доступа по каналам связи.
2.5.1.Угроза «Анализ сетевого трафика» с перехватом передаваемой из ИСПДн и принимаемой из внешних сетей информации:
2.5.1.1. Перехват за переделами с контролируемой зоны
2.5.1.2. Перехват в пределах контролируемой зоны внешними нарушителями
2.5.1.3.Перехват в пределах контролируемой зоны внутренними нарушителями.
2.5.2.Угрозы сканирования, направленные на выявление типа или типов используемых операционных систем, сетевых адресов рабочих станций ИСПДн, топологии сети, открытых портов и служб, открытых соединений и др.
2.5.3.Угрозы выявления паролей по сети
2.5.4.Угрозы навязывание ложного маршрута сети
2.5.5.Угрозы подмены доверенного объекта в сети
2.5.6.Угрозы внедрения ложного объекта как в ИСПДн, так и во внешних сетях
2.5.7.Угрозы типа «Отказ в обслуживании»

Действует Редакция от 15.02.2008

"БАЗОВАЯ МОДЕЛЬ УГРОЗ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ В ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ" (утв. 15.02.2008 ФСТЭК РФ)

5. Угрозы несанкционированного доступа к информации в информационной системе персональных данных

Угрозы НСД в ИСПДн с применением программных и программно-аппаратных средств реализуются при осуществлении несанкционированного, в том числе случайного, доступа, в результате которого осуществляется нарушение конфиденциальности (копирование, несанкционированное распространение), целостности (уничтожение, изменение) и доступности (блокирование) ПДн, и включают в себя:

угрозы доступа (проникновения) в операционную среду компьютера с использованием штатного программного обеспечения (средств операционной системы или прикладных программ общего применения);

Угрозы создания нештатных режимов работы программных (программно-аппаратных) средств за счет преднамеренных изменений служебных данных, игнорирования предусмотренных в штатных условиях ограничений на состав и характеристики обрабатываемой информации, искажения (модификации) самих данных и т.п.;

угрозы внедрения вредоносных программ (программно-математического воздействия).

Состав элементов описания угроз НСД к информации в ИСПДн приведен на рисунке 3.

Кроме этого, возможны комбинированные угрозы, представляющие собой сочетание указанных угроз. Например, за счет внедрения вредоносных программ могут создаваться условия для НСД в операционную среду компьютера, в том числе путем формирования нетрадиционных информационных каналов доступа.

Угрозы доступа (проникновения) в операционную среду ИСПДн с использованием штатного программного обеспечения разделяются на угрозы непосредственного и удаленного доступа. Угрозы непосредственного доступа осуществляются с использованием программных и программно-аппаратных средств ввода/вывода компьютера. Угрозы удаленного доступа реализуются с использованием протоколов сетевого взаимодействия.

Эти угрозы реализуются относительно ИСПДн как на базе автоматизированного рабочего места, не включенного в сети связи общего пользования, так и применительно ко всем ИСПДн, имеющим подключение к сетям связи общего пользования и сетям международного информационного обмена.

Описание угроз доступа (проникновения) в операционную среду компьютера формально может быть представлено следующим образом:

угроза НСД в ИСПДн: = <источник угрозы>, <уязвимость ИСПДн>, <способ реализации угрозы>, <объект воздействия (программа, протокол, данные и др.)>, <деструктивное действие>.

Рисунок 3. Элементы описания угроз НСД к информации в ИСПДн

Угрозы создания нештатных режимов работы программных (программно-аппаратных) средств - это угрозы "Отказа в обслуживании". Как правило, данные угрозы рассматриваются применительно к ИСПДн на базе локальных и распределенных информационных систем вне зависимости от подключения информационного обмена. Их реализация обусловлена тем, что при разработке системного или прикладного программного обеспечения не учитывается возможность преднамеренных действий по целенаправленному изменению:

условий обработки данных (например, игнорирование ограничений на длину пакета сообщения);

Форматов представления данных (с несоответствием измененных форматов, установленных для обработки по протоколам сетевого взаимодействия);

Программного обеспечения обработки данных.

В результате реализации угроз "Отказа в обслуживании" происходит переполнение буферов и блокирование процедур обработки, "зацикливание" процедур обработки и "зависание" компьютера, отбрасывание пакетов сообщений и др. Описание таких угроз формально может быть представлено следующим образом:

угроза "Отказа в обслуживании": = <источник угрозы>, <уязвимость ИСПДн>, <способ реализации угрозы>, <объект воздействия (носитель ПДн)>, <непосредственный результат реализации угрозы (переполнение буфера, блокирование процедуры обработки, "зацикливание" обработки и т.п.)>.

Угрозы внедрения вредоносных программ (программно-математического воздействия) нецелесообразно описывать с той же детальностью, что и вышеуказанные угрозы. Это обусловлено тем, что, во-первых, количество вредоносных программ сегодня уже значительно превышает сто тысяч. Во-вторых, при организации защиты информации на практике, как правило, достаточно лишь знать класс вредоносной программы, способы и последствия от ее внедрения (инфицирования). В связи с этим угрозы программно-математического воздействия (ПМВ) формально могут быть представлены следующим образом:

угроза ПМВ в ИСПДн: = <класс вредоносной программы (с указанием среды обитания)>, <источник угрозы (носитель вредоносной программы)>, <способ инфицирования>, <объект воздействия (загрузочный сектор, файл и т.п.)>, <описание возможных деструктивных действий>, <дополнительная информация об угрозе (резидентность, скорость распространения, полиморфичность и др.)>.

Ниже дается общая характеристика источников угроз безопасности информации, уязвимостей, которые могут быть использованы при реализации угроз НСД, и характеристика результатов несанкционированного или случайного доступа. Характеристика способов реализации угроз дается при описании угроз доступа (проникновения) в операционную среду компьютера, угроз отказа в обслуживании и угроз ПМВ.

Источниками угроз НСД в ИСПДн могут быть:

нарушитель;

носитель вредоносной программы;

аппаратная закладка.

Угрозы безопасности ПДн, связанные с внедрением аппаратных закладок, определяются в соответствии с нормативными документами Федеральной службы безопасности Российской Федерации в установленном ею порядке.

По наличию права постоянного или разового доступа в контролируемую зону (КЗ) ИСПДн нарушители подразделяются на два типа:

нарушители, не имеющие доступа к ИСПДн, реализующие угрозы из внешних сетей связи общего пользования и (или) сетей международного информационного обмена, - внешние нарушители;

нарушители, имеющие доступ к ИСПДн, включая пользователей ИСПДн, реализующие угрозы непосредственно в ИСПДн, - внутренние нарушители.

Внешними нарушителями могут быть:

разведывательные службы государств;

Криминальные структуры;

конкуренты (конкурирующие организации);

недобросовестные партнеры;

внешние субъекты (физические лица).

Внешний нарушитель имеет следующие возможности:

осуществлять несанкционированный доступ к каналам связи, выходящим за пределы служебных помещений;

осуществлять несанкционированный доступ через автоматизированные рабочие места, подключенные к сетям связи общего пользования и (или) сетям международного информационного обмена;

осуществлять несанкционированный доступ к информации с использованием специальных программных воздействий посредством программных вирусов, вредоносных программ, алгоритмических или программных закладок;

Осуществлять несанкционированный доступ через элементы информационной инфраструктуры ИСПДн, которые в процессе своего жизненного цикла (модернизации, сопровождения, ремонта, утилизации) оказываются за пределами контролируемой зоны;

осуществлять несанкционированный доступ через информационные системы взаимодействующих ведомств, организаций и учреждений при их подключении к ИСПДн.

Возможности внутреннего нарушителя существенным образом зависят от действующих в пределах контролируемой зоны режимных и организационно-технических мер защиты, в том числе по допуску физических лиц к ПДн и контролю порядка проведения работ.

Внутренние потенциальные нарушители подразделяются на восемь категорий в зависимости от способа доступа и полномочий доступа к ПДн.

К первой категории относятся лица, имеющие санкционированный доступ к ИСПДн, но не имеющие доступа к ПДн. К этому типу нарушителей относятся должностные лица, обеспечивающие нормальное функционирование ИСПДн.

иметь доступ к фрагментам информации, содержащей ПДн и распространяющейся по внутренним каналам связи ИСПДн;

Располагать фрагментами информации о топологии ИСПДн (коммуникационной части подсети) и об используемых коммуникационных протоколах и их сервисах;

Располагать именами и вести выявление паролей зарегистрированных пользователей;

изменять конфигурацию технических средств ИСПДн, вносить в нее программно-аппаратные закладки и обеспечивать съем информации, используя непосредственное подключение к техническим средствам ИСПДн.

обладает всеми возможностями лиц первой категории;

Знает, по меньшей мере, одно легальное имя доступа;

Обладает всеми необходимыми атрибутами (например, паролем), обеспечивающими доступ к некоторому подмножеству ПДн;

располагает конфиденциальными данными, к которым имеет доступ.

Его доступ, аутентификация и права по доступу к некоторому подмножеству ПДн должны регламентироваться соответствующими правилами разграничения доступа.

обладает всеми возможностями лиц первой и второй категорий;

Располагает информацией о топологии ИСПДн на базе локальной и (или) распределенной информационной системы, через которую осуществляется доступ, и о составе технических средств ИСПДн;

имеет возможность прямого (физического) доступа к фрагментам технических средств ИСПДн.

Обладает полной информацией о системном и прикладном программном обеспечении, используемом в сегменте (фрагменте) ИСПДн;

Обладает полной информацией о технических средствах и конфигурации сегмента (фрагмента) ИСПДн;

имеет доступ к средствам защиты информации и протоколирования, а также к отдельным элементам, используемым в сегменте (фрагменте) ИСПДн;

имеет доступ ко всем техническим средствам сегмента (фрагмента) ИСПДн;

обладает правами конфигурирования и административной настройки некоторого подмножества технических средств сегмента (фрагмента) ИСПДн.

Обладает всеми возможностями лиц предыдущих категорий;

обладает полной информацией о системном и прикладном программном обеспечении ИСПДн;

обладает полной информацией о технических средствах и конфигурации ИСПДн;

имеет доступ ко всем техническим средствам обработки информации и данным ИСПДн;

обладает правами конфигурирования и административной настройки технических средств ИСПДн.

Системный администратор выполняет конфигурирование и управление программным обеспечением (ПО) и оборудованием, включая оборудование, отвечающее за безопасность защищаемого объекта: средства криптографической защиты информации, мониторинга, регистрации, архивации, защиты от НСД.

обладает всеми возможностями лиц предыдущих категорий;

обладает полной информацией об ИСПДн;

имеет доступ к средствам защиты информации и протоколирования и к части ключевых элементов ИСПДн;

Не имеет прав доступа к конфигурированию технических средств сети, за исключением контрольных (инспекционных).

Администратор безопасности отвечает за соблюдение правил разграничения доступа, за генерацию ключевых элементов, смену паролей. Администратор безопасности осуществляет аудит тех же средств защиты объекта, что и системный администратор.

обладает информацией об алгоритмах и программах обработки информации на ИСПДн;

Обладает возможностями внесения ошибок, недекларированных возможностей, программных закладок, вредоносных программ в программное обеспечение ИСПДн на стадии ее разработки, внедрения и сопровождения;

может располагать любыми фрагментами информации о топологии ИСПДн и технических средствах обработки и защиты ПДн, обрабатываемых в ИСПДн.

обладает возможностями внесения закладок в технические средства ИСПДн на стадии их разработки, внедрения и сопровождения;

Может располагать любыми фрагментами информации о топологии ИСПДн и технических средствах обработки и защиты информации в ИСПДн.

Носителем вредоносной программы может быть аппаратный элемент компьютера или программный контейнер. Если вредоносная программа не ассоциируется с какой-либо прикладной программой, то в качестве ее носителя рассматриваются:

Отчуждаемый носитель, то есть дискета, оптический диск (CD-R, CD-RW), флэш-память, отчуждаемый винчестер и т.п.;

Встроенные носители информации (винчестеры, микросхемы оперативной памяти, процессор, микросхемы системной платы, микросхемы устройств, встраиваемых в системный блок, - видеоадаптера, сетевой платы, звуковой платы, модема, устройств ввода/вывода магнитных жестких и оптических дисков, блока питания и т.п., микросхемы прямого доступа к памяти, шин передачи данных, портов ввода/вывода);

микросхемы внешних устройств (монитора, клавиатуры, принтера, модема, сканера и т.п.).

Если вредоносная программа ассоциируется с какой-либо прикладной программой, с файлами, имеющими определенные расширения или иные атрибуты, с сообщениями, передаваемыми по сети, то ее носителями являются:

пакеты передаваемых по компьютерной сети сообщений;

файлы (текстовые, графические, исполняемые и т.д.).

5.2. Общая характеристика уязвимостей информационной системы персональных данных

Уязвимость информационной системы персональных данных - недостаток или слабое место в системном или прикладном программном (программно-аппаратном) обеспечении автоматизированной информационной системы, которые могут быть использованы для реализации угрозы безопасности персональных данным.

Причинами возникновения уязвимостей являются:

ошибки при проектировании и разработке программного (программно-аппаратного) обеспечения;

преднамеренные действия по внесению уязвимостей в ходе проектирования и разработки программного (программно-аппаратного) обеспечения;

неправильные настройки программного обеспечения, неправомерное изменение режимов работы устройств и программ;

Несанкционированное внедрение и использование неучтенных программ с последующим необоснованным расходованием ресурсов (загрузка процессора, захват оперативной памяти и памяти на внешних носителях);

внедрение вредоносных программ, создающих уязвимости в программном и программно-аппаратном обеспечении;

несанкционированные неумышленные действия пользователей, приводящие к возникновению уязвимостей;

сбои в работе аппаратного и программного обеспечения (вызванные сбоями в электропитании, выходом из строя аппаратных элементов в результате старения и снижения надежности, внешними воздействиями электромагнитных полей технических устройств и др.).

Классификация основных уязвимостей ИСПДн приведена на рисунке 4.

Рисунок 4. Классификация уязвимостей программного обеспечения

Ниже представлена общая характеристика основных групп уязвимостей ИСПДн, включающих:

уязвимости системного программного обеспечения (в том числе протоколов сетевого взаимодействия);

уязвимости прикладного программного обеспечения (в том числе средств защиты информации).

5.2.1. Общая характеристика уязвимостей системного программного обеспечения

Уязвимости системного программного обеспечения необходимо рассматривать с привязкой к архитектуре построения вычислительных систем.

При этом возможны уязвимости:

в микропрограммах, в прошивках ПЗУ, ППЗУ;

в средствах операционной системы, предназначенных для управления локальными ресурсами ИСПДн (обеспечивающих выполнение функций управления процессами, памятью, устройствами ввода/вывода, интерфейсом с пользователем и т.п.), драйверах, утилитах;

В средствах операционной системы, предназначенных для выполнения вспомогательных функций, - утилитах (архивирования, дефрагментации и др.), системных обрабатывающих программах (компиляторах, компоновщиках, отладчиках и т.п.), программах предоставления пользователю дополнительных услуг (специальных вариантах интерфейса, калькуляторах, играх и т.п.), библиотеках процедур различного назначения (библиотеках математических функций, функций ввода/вывода и т.д.);

в средствах коммуникационного взаимодействия (сетевых средствах) операционной системы.

Уязвимости в микропрограммах и в средствах операционной системы, предназначенных для управления локальными ресурсами и вспомогательными функциями, могут представлять собой:

Функции, процедуры, изменение параметров которых определенным образом позволяет использовать их для несанкционированного доступа без обнаружения таких изменений операционной системой;

фрагменты кода программ ("дыры", "люки"), введенные разработчиком, позволяющие обходить процедуры идентификации, аутентификации, проверки целостности и др.;

Ошибки в программах (в объявлении переменных, функций и процедур, в кодах программ), которые при определенных условиях (например, при выполнении логических переходов) приводят к сбоям, в том числе к сбоям функционирования средств и систем защиты информации.

Уязвимости протоколов сетевого взаимодействия связаны с особенностями их программной реализации и обусловлены ограничениями на размеры применяемого буфера, недостатками процедуры аутентификации, отсутствием проверок правильности служебной информации и др. Краткая характеристика этих уязвимостей применительно к протоколам приведена в таблице 2.

Таблица 2

Уязвимости отдельных протоколов стека протоколов TCP/IP, на базе которого функционируют глобальные сети общего пользования

Наименование протокола	Уровень стека протоколов	Наименование (характеристика) уязвимости	Содержание нарушения безопасности информации
FTP (File Transfer Protocol) - протокол передачи файлов по сети		1. Аутентификация на базе открытого текста (пароли пересылаются в незашифрованном виде) 2. Доступ по умолчанию 3. Наличие двух открытых портов	Возможность перехвата данных учетной записи (имен зарегистрированных пользователей, паролей). Получение удаленного доступа к хостам
telnet - протокол управления удаленным терминалом	Прикладной, представительный, сеансовый	Аутентификация на базе открытого текста (пароли пересылаются в незашифрованном виде)	Возможность перехвата данных учетной записи пользователя. Получение удаленного доступа к хостам
UDP - протокол передачи данных без установления соединения	Транспортный	Отсутствие механизма предотвращения перегрузок буфера	Возможность реализации UDP-шторма. В результате обмена пакетами происходит существенное снижение производительности сервера
ARP - протокол преобразования IP-адреса в физический адрес	Сетевой	Аутентификация на базе открытого текста (информация пересылается в незашифрованном виде)	Возможность перехвата трафика пользователя злоумышленником
RIP - протокол маршрутной информации	Транспортный	Отсутствие аутентификации управляющих сообщений об изменении маршрута	Возможность перенаправления трафика через хост злоумышленника
TCP - протокол управления передачей	Транспортный	Отсутствие механизма проверки корректности заполнения служебных заголовков пакета	Существенное снижение скорости обмена и даже полный разрыв произвольных соединений по протоколу TCP
DNS - протокол установления соответствия мнемонических имен и сетевых адресов	Прикладной, представительный, сеансовый	Отсутствие средств проверки аутентификации полученных данных от источника	Фальсификация ответа DNS-сервера
IGMP - протокол передачи сообщений о маршрутизации	Сетевой	Отсутствие аутентификации сообщений об изменении параметров маршрута	Зависание систем Win 9x/NT/200
SMTP - протокол обеспечения сервиса доставки сообщений по электронной почте	Прикладной, представительный, сеансовый		Возможность подделывания сообщений электронной почты, а также адреса отправителя сообщения
SNMP - протокол управления маршрутизаторами в сетях	Прикладной, представительный, сеансовый	Отсутствие поддержки аутентификации заголовков сообщений	Возможность переполнения пропускной способности сети

Для систематизации описания множества уязвимостей используется единая база данных уязвимостей CVE (Common Vulnerabilities and Exposures), в разработке которой принимали участие специалисты многих известных компаний и организаций, таких как MItrE, ISS, Cisco, BindView, Axent, NFR, L-3, CyberSafe, CERT, Carnegie Mellon University, институт SANS и т.д. Эта база данных постоянно пополняется и используется при формировании баз данных многочисленных программных средств анализа защищенности и, прежде всего, сетевых сканеров.

5.2.2. Общая характеристика уязвимостей прикладного программного обеспечения

К прикладному программному обеспечению относятся прикладные программы общего пользования и специальные прикладные программы.

Прикладные программы общего пользования - текстовые и графические редакторы, медиа-программы (аудио- и видеопроигрыватели, программные средства приема телевизионных программ и т.п.), системы управления базами данных, программные платформы общего пользования для разработки программных продуктов (типа Delphi, Visual Basic), средства защиты информации общего пользования и т.п.

Специальные прикладные программы - это программы, которые разрабатываются в интересах решения конкретных прикладных задач в данной ИСПДн (в том числе программные средства защиты информации, разработанные для конкретной ИСПДн).

Уязвимости прикладного программного обеспечения могут представлять собой:

функции и процедуры, относящиеся к разным прикладным программам и несовместимые между собой (не функционирующие в одной операционной среде) из-за конфликтов, связанных с распределением ресурсов системы;

Функции, процедуры, изменение определенным образом параметров которых позволяет использовать их для проникновения в операционную среду ИСПДн и вызова штатных функций операционной системы, выполнения несанкционированного доступа без обнаружения таких изменений операционной системой;

фрагменты кода программ ("дыры", "люки"), введенные разработчиком, позволяющие обходить процедуры идентификации, аутентификации, проверки целостности и др., предусмотренные в операционной системе;

отсутствие необходимых средств защиты (аутентификации, проверки целостности, проверки форматов сообщений, блокирования несанкционированно модифицированных функций и т.п.);

Ошибки в программах (в объявлении переменных, функций и процедур, в кодах программ), которые при определенных условиях (например, при выполнении логических переходов) приводят к сбоям, в том числе к сбоям функционирования средств и систем защиты информации, к возможности несанкционированного доступа к информации.

Данные об уязвимостях разрабатываемого и распространяемого на коммерческой основе прикладного программного обеспечения собираются, обобщаются и анализируются в базе данных CVE <*>.

<*> Ведется зарубежной фирмой CERT на коммерческой основе.

5.3. Общая характеристика угроз непосредственного доступа в операционную среду информационной системы персональных данных

Угрозы доступа (проникновения) в операционную среду компьютера и несанкционированного доступа к ПДн связаны с доступом:

к информации и командам, хранящимся в базовой системе ввода/вывода (BIOS) ИСПДн, с возможностью перехвата управления загрузкой операционной системы и получением прав доверенного пользователя;

в операционную среду, то есть в среду функционирования локальной операционной системы отдельного технического средства ИСПДн с возможностью выполнения несанкционированного доступа путем вызова штатных программ операционной системы или запуска специально разработанных программ, реализующих такие действия;

в среду функционирования прикладных программ (например, к локальной системе управления базами данных);

непосредственно к информации пользователя (к файлам, текстовой, аудио- и графической информации, полям и записям в электронных базах данных) и обусловлены возможностью нарушения ее конфиденциальности, целостности и доступности.

Эти угрозы могут быть реализованы в случае получения физического доступа к ИСПДн или, по крайней мере, к средствам ввода информации в ИСПДн. Их можно объединить по условиям реализации на три группы.

Первая группа включает в себя угрозы, реализуемые в ходе загрузки операционной системы. Эти угрозы безопасности информации направлены на перехват паролей или идентификаторов, модификацию программного обеспечения базовой системы ввода/вывода (BIOS), перехват управления загрузкой с изменением необходимой технологической информации для получения НСД в операционную среду ИСПДн. Чаще всего такие угрозы реализуются с использованием отчуждаемых носителей информации.

Вторая группа - угрозы, реализуемые после загрузки операционной среды независимо от того, какая прикладная программа запускается пользователем. Эти угрозы, как правило, направлены на выполнение непосредственно несанкционированного доступа к информации. При получении доступа в операционную среду нарушитель может воспользоваться как стандартными функциями операционной системы или какой-либо прикладной программы общего пользования (например, системы управления базами данных), так и специально созданными для выполнения несанкционированного доступа программами, например:

программами просмотра и модификации реестра;

Программами поиска текстов в текстовых файлах по ключевым словам и копирования;

специальными программами просмотра и копирования записей в базах данных;

программами быстрого просмотра графических файлов, их редактирования или копирования;

программами поддержки возможностей реконфигурации программной среды (настройки ИСПДн в интересах нарушителя) и др.

Наконец, третья группа включает в себя угрозы, реализация которых определяется тем, какая из прикладных программ запускается пользователем, или фактом запуска любой из прикладных программ. Большая часть таких угроз - это угрозы внедрения вредоносных программ.

5.4. Общая характеристика угроз безопасности персональных данных, реализуемых с использованием протоколов межсетевого взаимодействия

Если ИСПДн реализована на базе локальной или распределенной информационной системы, то в ней могут быть реализованы угрозы безопасности информации путем использования протоколов межсетевого взаимодействия. При этом может обеспечиваться НСД к ПДн или реализовываться угроза отказа в обслуживания. Особенно опасны угрозы, когда ИСПДн представляет собой распределенную информационную систему, подключенную к сетям общего пользования и (или) сетям международного информационного обмена. Классификационная схема угроз, реализуемых по сети, приведена на рисунке 5. В ее основу положено семь следующих первичных признаков классификации.

1. Характер угрозы. По этому признаку угрозы могут быть пассивные и активные. Пассивная угроза - это угроза, при реализации которой не оказывается непосредственное влияние на работу ИСПДн, но могут быть нарушены установленные правила разграничения доступа к ПДн или сетевым ресурсам. Примером таких угроз является угроза "Анализ сетевого трафика", направленная на прослушивание каналов связи и перехват передаваемой информации.

Активная угроза - это угроза, связанная с воздействием на ресурсы ИСПДн, при реализации которой оказывается непосредственное влияние на работу системы (изменение конфигурации, нарушение работоспособности и т.д.), и с нарушением установленных правил разграничения доступа к ПДн или сетевым ресурсам. Примером таких угроз является угроза "Отказ в обслуживании", реализуемая как "шторм TCP-запросов".

2. Цель реализации угрозы. По этому признаку угрозы могут быть направлены на нарушение конфиденциальности, целостности и доступности информации (в том числе на нарушение работоспособности ИСПДн или ее элементов).

3. Условие начала осуществления процесса реализации угрозы. По этому признаку может реализовываться угроза:

по запросу от объекта, относительно которого реализуется угроза. В этом случае нарушитель ожидает передачи запроса определенного типа, который и будет условием начала осуществления несанкционированного доступа;

Рисунок 5. Классификационная схема угроз с использованием протоколов межсетевого взаимодействия

По наступлению ожидаемого события на объекте, относительно которого реализуется угроза. В этом случае нарушитель осуществляет постоянное наблюдение за состоянием операционной системы ИСПДн и при возникновении определенного события в этой системе начинает несанкционированный доступ;

безусловное воздействие. В этом случае начало осуществления несанкционированного доступа безусловно по отношению к цели доступа, то есть угроза реализуется немедленно и безотносительно к состоянию системы.

4. Наличие обратной связи с ИСПДн. По этому признаку процесс реализации угрозы может быть с обратной связью и без обратной связи. Угроза, осуществляемая при наличии обратной связи с ИСПДн, характеризуется тем, что на некоторые запросы, переданные на ИСПДн, нарушителю требуется получить ответ. Следовательно, между нарушителем и ИСПДн существует обратная связь, которая позволяет нарушителю адекватно реагировать на все изменения, происходящие в ИСПДн. В отличие от угроз, реализуемых при наличии обратной связи с ИСПДн, при реализации угроз без обратной связи не требуется реагировать на какие-либо изменения, происходящие в ИСПДн.

5. Расположение нарушителя относительно ИСПДн. В соответствии с этим признаком угроза реализуется как внутрисегментно, так и межсегментно. Сегмент сети - физическое объединение хостов (технических средств ИСПДн или коммуникационных элементов, имеющих сетевой адрес). Например, сегмент ИСПДн образует совокупность хостов, подключенных к серверу по схеме "общая шина". В случае, когда имеет место внутрисегментная угроза, нарушитель имеет физический доступ к аппаратным элементам ИСПДн. Если имеет место межсегментная угроза, то нарушитель располагается вне ИСПДн, реализуя угрозу из другой сети или из другого сегмента ИСПДн.

6. Уровень эталонной модели взаимодействия открытых систем <*> (ISO/OSI), на котором реализуется угроза. По этому признаку угроза может реализовываться на физическом, канальном, сетевом, транспортном, сеансовом, представительном и прикладном уровне модели ISO/OSI.

<*> Международная Организация по Стандартизации (ISO) приняла стандарт ISO 7498, описывающий взаимодействие открытых систем (OSI).

7. Соотношение количества нарушителей и элементов ИСПДн, относительно которых реализуется угроза. По этому признаку угроза может быть отнесена к классу угроз, реализуемых одним нарушителем относительно одного технического средства ИСПДн (угроза "один к одному"), сразу относительно нескольких технических средств ИСПДн (угроза "один ко многим") или несколькими нарушителями с разных компьютеров относительно одного или нескольких технических средств ИСПДн (распределенные или комбинированные угрозы).

С учетом проведенной классификации можно выделить семь наиболее часто реализуемых в настоящее время угроз.

1. Анализ сетевого трафика (рисунок 6).

Рисунок 6. Схема реализации угрозы "Анализ сетевого трафика"

Эта угроза реализуется с помощью специальной программы-анализатора пакетов (sniffer), перехватывающей все пакеты, передаваемые по сегменту сети, и выделяющей среди них те, в которых передаются идентификатор пользователя и его пароль. В ходе реализации угрозы нарушитель изучает логику работы сети - то есть стремится получить однозначное соответствие событий, происходящих в системе, и команд, пересылаемых при этом хостами, в момент появления данных событий. В дальнейшем это позволяет злоумышленнику на основе задания соответствующих команд получить, например, привилегированные права на действия в системе или расширить свои полномочия в ней, перехватить поток передаваемых данных, которыми обмениваются компоненты сетевой операционной системы, для извлечения конфиденциальной или идентификационной информации (например, статических паролей пользователей для доступа к удаленным хостам по протоколам FTP и TELNET, не предусматривающим шифрование), ее подмены, модификации и т.п.

2. Сканирование сети.

Сущность процесса реализации угрозы заключается в передаче запросов сетевым службам хостов ИСПДн и анализе ответов от них. Цель - выявление используемых протоколов, доступных портов сетевых служб, законов формирования идентификаторов соединений, определение активных сетевых сервисов, подбор идентификаторов и паролей пользователей.

3. Угроза выявления пароля.

Цель реализации угрозы состоит в получении НСД путем преодоления парольной защиты. Злоумышленник может реализовывать угрозу с помощью целого ряда методов, таких как простой перебор, перебор с использованием специальных словарей, установка вредоносной программы для перехвата пароля, подмена доверенного объекта сети (IP-spoofing) и перехват пакетов (sniffing). В основном для реализации угрозы используются специальные программы, которые пытаются получить доступ к хосту путем последовательного подбора паролей. В случае успеха, злоумышленник может создать для себя "проход" для будущего доступа, который будет действовать, даже если на хосте изменить пароль доступа.

4. Подмена доверенного объекта сети и передача по каналам связи сообщений от его имени с присвоением его прав доступа (рисунок 7).

Рисунок 7. Схема реализации угрозы "Подмена доверенного объекта сети"

Такая угроза эффективно реализуется в системах, где применяются нестойкие алгоритмы идентификации и аутентификации хостов, пользователей и т.д. Под доверенным объектом понимается объект сети (компьютер, межсетевой экран, маршрутизатор и т.п.), легально подключенный к серверу.

Могут быть выделены две разновидности процесса реализации указанной угрозы: с установлением и без установления виртуального соединения.

Процесс реализации с установлением виртуального соединения состоит в присвоении прав доверенного субъекта взаимодействия, что позволяет нарушителю вести сеанс работы с объектом сети от имени доверенного субъекта. Реализация угрозы данного типа требует преодоления системы идентификации и аутентификации сообщений (например, атака rsh-службы UNIX-хоста).

Процесс реализации угрозы без установления виртуального соединения может иметь место в сетях, осуществляющих идентификацию передаваемых сообщений только по сетевому адресу отправителя. Сущность заключается в передаче служебных сообщений от имени сетевых управляющих устройств (например, от имени маршрутизаторов) об изменении маршрутно-адресных данных. При этом необходимо иметь в виду, что единственными идентификаторами абонентов и соединения (по протоколу TCP) являются два 32-битных параметра Initial Sequence Number - ISS (номер последовательности) и Acknowledgment Number - ACK (номер подтверждения). Следовательно, для формирования ложного TCP-пакета нарушителю необходимо знать текущие идентификаторы для данного соединения - ISSa и ISSb, где:

ISSa - некоторое численное значение, характеризующее порядковый номер отправляемого TCP-пакета, устанавливаемого TCP-соединения, инициированного хостом A;

ISSb - некоторое численное значение, характеризующее порядковый номер отправляемого TCP-пакета, устанавливаемого TCP-соединения, инициированного хостом B.

Значение ACK (номера подтверждения установления TCP-соединения) определяется как значение номера, полученного от респондента ISS (номер последовательности) плюс единица ACKb = ISSa + 1.

В результате реализации угрозы нарушитель получает права доступа, установленные его пользователем для доверенного абонента, к техническому средству ИСПДн - цели угроз.

5. Навязывание ложного маршрута сети.

Данная угроза реализуется одним из двух способов: путем внутрисегментного или межсегментного навязывания. Возможность навязывания ложного маршрута обусловлена недостатками, присущими алгоритмам маршрутизации (в частности, из-за проблемы идентификации сетевых управляющих устройств), в результате чего можно попасть, например, на хост или в сеть злоумышленника, где можно войти в операционную среду технического средства в составе ИСПДн. Реализация угрозы основывается на несанкционированном использовании протоколов маршрутизации (RIP, OSPF, LSP) и управления сетью (ICMP, SNMP) для внесения изменений в маршрутно-адресные таблицы. При этом нарушителю необходимо послать от имени сетевого управляющего устройства (например, маршрутизатора) управляющее сообщение (рисунки 8 и 9).

Рисунок 8. Схема реализации атаки "Навязывание ложного маршрута" (внутрисегментное) с использованием протокола ICMP с целью нарушения связи

Рисунок 9. Схема реализации угрозы "Навязывание ложного маршрута" (межсегментное) с целью перехвата трафика

6. Внедрение ложного объекта сети.

Эта угроза основана на использовании недостатков алгоритмов удаленного поиска. В случае, если объекты сети изначально не имеют адресной информации друг о друге, используются различные протоколы удаленного поиска (например, SAP в сетях Novell NetWare; ARP, DNS, WINS в сетях со стеком протоколов TCP/IP), заключающиеся в передаче по сети специальных запросов и получении на них ответов с искомой информацией. При этом существует возможность перехвата нарушителем поискового запроса и выдачи на него ложного ответа, использование которого приведет к требуемому изменению маршрутно-адресных данных. В дальнейшем весь поток информации, ассоциированный с объектом-жертвой, будет проходить через ложный объект сети (рисунки 10 - 13).

Рисунок 10. Схема реализации угрозы "Внедрение ложного ARP-сервера"

Рисунок 11. Схема реализации угрозы "Внедрение ложного DNS-сервера" путем перехвата DNS-запроса

Рисунок 12. Схема реализации угрозы "внедрение ложного DNS-сервера" путем шторма DNS-ответов на компьютер сети

Рисунок 13. Схема реализации угрозы "Внедрение ложного DNS-сервера" путем шторма DNS-ответов на DNS-сервер

7. Отказ в обслуживании.

Эти угрозы основаны на недостатках сетевого программного обеспечения, его уязвимостях, позволяющих нарушителю создавать условия, когда операционная система оказывается не в состоянии обрабатывать поступающие пакеты.

Могут быть выделены несколько разновидностей таких угроз:

а) скрытый отказ в обслуживании, вызванный привлечением части ресурсов ИСПДн на обработку пакетов, передаваемых злоумышленником со снижением пропускной способности каналов связи, производительности сетевых устройств, нарушением требований ко времени обработки запросов. Примерами реализации угроз подобного рода могут служить: направленный шторм эхо-запросов по протоколу ICMP (Ping flooding), шторм запросов на установление TCP-соединений (SYN-flooding), шторм запросов к FTP-серверу;

б) явный отказ в обслуживании, вызванный исчерпанием ресурсов ИСПДн при обработке пакетов, передаваемых злоумышленником (занятие всей полосы пропускания каналов связи, переполнение очередей запросов на обслуживание), при котором легальные запросы не могут быть переданы через сеть из-за недоступности среды передачи либо получают отказ в обслуживании ввиду переполнения очередей запросов, дискового пространства памяти и т.д. Примерами угроз данного типа могут служить шторм широковещательных ICMP-эхо-запросов (Smurf), направленный шторм (SYN-flooding), шторм сообщений почтовому серверу (Spam);

в) явный отказ в обслуживании, вызванный нарушением логической связности между техническими средствами ИСПДн при передаче нарушителем управляющих сообщений от имени сетевых устройств, приводящих к изменению маршрутно-адресных данных (например, ICMP Redirect Host, DNS-flooding) или идентификационной и аутентификационной информации;

Г) явный отказ в обслуживании, вызванный передачей злоумышленником пакетов с нестандартными атрибутами (угрозы типа "Land", "TearDrop", "Bonk", "Nuke", "UDP-bomb") или имеющих длину, превышающую максимально допустимый размер (угроза типа "Ping Death"), что может привести к сбою сетевых устройств, участвующих в обработке запросов, при условии наличия ошибок в программах, реализующих протоколы сетевого обмена.

Результатом реализации данной угрозы может стать нарушение работоспособности соответствующей службы предоставления удаленного доступа к ПДн в ИСПДн, передача с одного адреса такого количества запросов на подключение к техническому средству в составе ИСПДн, какое максимально может "вместить" трафик (направленный "шторм запросов"), что влечет за собой переполнение очереди запросов и отказ одной из сетевых служб или полную остановку компьютера из-за невозможности системы заниматься ничем другим, кроме обработки запросов.

8. Удаленный запуск приложений.

Угроза заключается в стремлении запустить на хосте ИСПДн различные предварительно внедренные вредоносные программы: программы-закладки, вирусы, "сетевые шпионы", основная цель которых - нарушение конфиденциальности, целостности, доступности информации и полный контроль за работой хоста. Кроме того, возможен несанкционированный запуск прикладных программ пользователей для несанкционированного получения необходимых нарушителю данных, для запуска управляемых прикладной программой процессов и др.

Выделяют три подкласса данных угроз:

1) распространение файлов, содержащих несанкционированный исполняемый код;

2) удаленный запуск приложения путем переполнения буфера приложений-серверов;

3) удаленный запуск приложения путем использования возможностей удаленного управления системой, предоставляемых скрытыми программными и аппаратными закладками либо используемыми штатными средствами.

Типовые угрозы первого из указанных подклассов основываются на активизации распространяемых файлов при случайном обращении к ним. Примерами таких файлов могут служить: файлы, содержащие исполняемый код в виде макрокоманд (документы Microsoft Word, Excel и т.п.); html-документы, содержащие исполняемый код в виде элементов ActiveX, Java-апплетов, интерпретируемых скриптов (например, тексты на JavaScript); файлы, содержащие исполняемые коды программ. Для распространения файлов могут использоваться службы электронной почты, передачи файлов, сетевой файловой системы.

При угрозах второго подкласса используются недостатки программ, реализующих сетевые сервисы (в частности, отсутствие контроля переполнения буфера). Настройкой системных регистров иногда удается переключить процессор после прерывания, вызванного переполнением буфера, на исполнение кода, содержащегося за границей буфера. Примером реализации такой угрозы может служить внедрение широко известного "вируса Морриса".

При угрозах третьего подкласса нарушитель использует возможности удаленного управления системой, предоставляемые скрытыми компонентами (например, "троянскими" программами типа Back Orifice, Net Bus) либо штатными средствами управления и администрирования компьютерных сетей (Landesk Management Suite, Managewise, Back Orifice и т.п.). В результате их использования удается добиться удаленного контроля над станцией в сети.

Схематично основные этапы работы этих программ выглядят следующим образом:

инсталляция в памяти;

ожидание запроса с удаленного хоста, на котором запущена клиент-программа, и обмен с ней сообщениями о готовности;

Передача перехваченной информации клиенту или предоставление ему контроля над атакуемым компьютером.

Возможные последствия от реализации угроз различных классов приведены в таблице 3.

Таблица 3

Возможные последствия реализации угроз различных классов

N п/п	Тип атаки		Возможные последствия
1	Анализ сетевого трафика		Исследование характеристик сетевого трафика, перехват передаваемых данных, в том числе идентификаторов и паролей пользователей
2	Сканирование сети		Определение протоколов, доступных портов сетевых служб, законов формирования идентификаторов соединений, активных сетевых сервисов, идентификаторов и паролей пользователей
3	"Парольная" атака		Выполнение любого деструктивного действия, связанного с получением несанкционированного доступа
4	Подмена доверенного объекта сети		Изменение трассы прохождения сообщений, несанкционированное изменение маршрутно-адресных данных. Несанкционированный доступ к сетевым ресурсам, навязывание ложной информации
5	Навязывание ложного маршрута		Несанкционированное изменение маршрутно-адресных данных, анализ и модификация передаваемых данных, навязывание ложных сообщений
6	Внедрение ложного объекта сети		Перехват и просмотр трафика. Несанкционированный доступ к сетевым ресурсам, навязывание ложной информации
7	Отказ в обслуживании	Частичное исчерпание ресурсов	Снижение пропускной способности каналов связи, производительности сетевых устройств. Снижение производительности серверных приложений
		Полное исчерпание ресурсов	Невозможность передачи сообщений из- за отсутствия доступа к среде передачи, отказ в установлении соединения. Отказ в предоставлении сервиса (электронной почты, файлового и т.д.)
		Нарушение логической связности между атрибутами, данными, объектами	Невозможность передачи, сообщений из- за отсутствия корректных маршрутно- адресных данных. Невозможность получения услуг ввиду несанкционированной модификации идентификаторов, паролей и т.п.
		Использование ошибок в программах	Нарушение работоспособности сетевых устройств
8	Удаленный запуск приложений	Путем рассылки файлов, содержащих деструктивный исполняемый код, вирусное заражение	Нарушение конфиденциальности, целостности, доступности информации
		Путем переполнения буфера серверного приложения
		Путем использования возможностей удаленного управления системой, предоставляемых скрытыми программными и аппаратными закладками либо используемыми штатными средствами	Скрытое управление системой

Процесс реализации угрозы в общем случае состоит из четырех этапов:

сбора информации;

вторжения (проникновения в операционную среду);

осуществления несанкционированного доступа;

ликвидации следов несанкционированного доступа.

На этапе сбора информации нарушителя могут интересовать различные сведения об ИСПДн, в том числе:

а) о топологии сети, в которой функционирует система. При этом может исследоваться область вокруг сети (например, нарушителя могут интересовать адреса доверенных, но менее защищенных хостов). Для определения доступности хоста могут использоваться простейшие команды (например, команда ping для посылки ICMP-запросов ECHO_REQUEST с ожиданием на них ICMP-ответов ECHO_REPLY). Существуют утилиты, осуществляющие параллельное определение доступности хостов (такие как fping), которые способны просканировать большую область адресного пространства на предмет доступности хостов за короткий промежуток времени. Топология сети часто определяется на основании "счетчика узлов" (дистанции между хостами). При этом могут применяться такие методы, как "модуляции ttL" и записи маршрута.

Метод "модуляции ttL" реализован программой traceroute (для Windows NT - tracert.exe) и заключается в модуляции поля ttL IP-пакетов. Для записи маршрута могут использоваться ICMP-пакеты, создаваемые командой ping.

Сбор информации может быть также основан на запросах:

к DNS-серверу о списке зарегистрированных (и, вероятно, активных) хостов;

к маршрутизатору на основе протокола RIP об известных маршрутах (информация о топологии сети);

К некорректно сконфигурированным устройствам, поддерживающим протокол SNMP (информация о топологии сети).

Если ИСПДн находится за межсетевым экраном (МЭ), возможен сбор информации о конфигурации МЭ и о топологии ИСПДн за МЭ, в том числе путем посылки пакетов на все порты всех предполагаемых хостов внутренней (защищаемой) сети;

б) о типе операционной системы (ОС) в ИСПДн. Самый известный способ определения типа ОС хоста основан на том, что различные типы ОС по-разному реализуют требования стандартов RFC к стеку TCP/IP. Это позволяет нарушителю удаленно идентифицировать тип ОС, установленной на хосте ИСПДн путем посылки специальным образом сформированных запросов и анализа полученных ответов.

Существуют специальные средства, реализующие данные методы, в частности, Nmap и QueSO. Можно отметить также такой метод определения типа ОС, как простейший запрос на установление соединения по протоколу удаленного доступа telnet (telnet-соединения), в результате которого по "внешнему виду" ответа можно определить тип ОС хоста. Наличие определенных сервисов также может служить дополнительным признаком для определения типа ОС хоста;

В) о функционирующих на хостах сервисах. Определение сервисов, исполняемых на хосте, основано на методе выявления "открытых портов", направленном на сбор информации о доступности хоста. Например, для определения доступности UDP-порта необходимо получить отклик в ответ на посылку UDP-пакета соответствующему порту:

если в ответ пришло сообщение ICMP PORT UNREACHEBLE, то соответствующий сервис недоступен;

если данное сообщение не поступило, то порт "открыт".

Возможны весьма разнообразные вариации использования этого метода в зависимости от используемого протокола в стеке протоколов TCP/IP.

Для автоматизации сбора информации об ИСПДн разработано множество программных средств. В качестве примера можно отметить следующие из них:

1) Strobe, Portscanner - оптимизированные средства определения доступных сервисов на основе опроса TCP-портов;

2) Nmap - средство сканирования доступных сервисов, предназначенное для ОС Linux, FreeBSD, Open BSD, Solaris, Windows NT. Является самым популярным в настоящее время средством сканирования сетевых сервисов;

3) Queso - высокоточное средство определения ОС хоста сети на основе посылки цепи корректных и некорректных TCP-пакетов, анализа отклика и сравнения его с множеством известных откликов различных ОС. Данное средство также является популярным на сегодняшний день средством сканирования;

4) Cheops - сканер топологии сети позволяет получить топологию сети, включая картину домена, области IP-адресов и т.д. При этом определяется ОС хоста, а также возможные сетевые устройства (принтеры, маршрутизаторы и т.д.);

5) Firewalk - сканер, использующий методы программы traceroute в интересах анализа отклика на IP-пакеты для определения конфигурации межсетевого экрана и построения топологии сети.

На этапе вторжения исследуется наличие типовых уязвимостей в системных сервисах или ошибок в администрировании системы. Успешным результатом использования уязвимостей обычно является получение процессом нарушителя привилегированного режима выполнения (доступа к привилегированному режиму выполнения командного процессора), внесение в систему учетной записи незаконного пользователя, получение файла паролей или нарушение работоспособности атакуемого хоста.

Этот этап развития угрозы, как правило, является многофазным. К фазам процесса реализации угрозы могут относиться, например:

установление связи с хостом, относительно которого реализуется угроза;

Выявление уязвимости;

внедрение вредоносной программы в интересах расширения прав и др.

Угрозы, реализуемые на этапе вторжения, подразделяются по уровням стека протоколов TCP/IP, поскольку формируются на сетевом, транспортном или прикладном уровне в зависимости от используемого механизма вторжения.

К типовым угрозам, реализуемым на сетевом и транспортном уровнях, относятся такие как:

а) угроза, направленная на подмену доверенного объекта;

б) угроза, направленная на создание в сети ложного маршрута;

В) угрозы, направленные на создание ложного объекта с использованием недостатков алгоритмов удаленного поиска;

Г) угрозы типа "отказ в обслуживании", основанные на IP-дефрагментации, на формировании некорректных ICMP-запросов (например, атака "Ping of Death" и "Smurf"), на формировании некорректных TCP-запросов (атака "Land"), на создании "шторма" пакетов с запросами на соединение (атаки "SYN Flood") и др.

К типовым угрозам, реализуемым на прикладном уровне, относятся угрозы, направленные на несанкционированный запуск приложений, угрозы, реализация которых связана с внедрением программных закладок (типа "троянский конь"), с выявлением паролей доступа в сеть или к определенному хосту и т.д.

Если реализация угрозы не принесла нарушителю наивысших прав доступа в системе, возможны попытки расширения этих прав до максимально возможного уровня. Для этого могут использоваться уязвимости не только сетевых сервисов, но и уязвимости системного программного обеспечения хостов ИСПдн.

На этапе реализации несанкционированного доступа осуществляется собственно достижение цели реализации угрозы:

нарушение конфиденциальности (копирование, неправомерное распространение);

Нарушение целостности (уничтожение, изменение);

нарушение доступности (блокирование).

На этом же этапе, после указанных действий, как правило, формируется так называемый "черный вход" в виде одного из сервисов (демонов), обслуживающих некоторый порт и выполняющих команды нарушителя. "Черный вход" оставляется в системе в интересах обеспечения:

возможности получить доступ к хосту, даже если администратор устранит использованную для успешной реализации угрозы уязвимость;

возможности получить доступ к хосту как можно более скрытно;

Возможности получить доступ к хосту быстро (не повторяя заново процесс реализации угрозы).

"Черный вход" позволяет нарушителю внедрить в сеть или на определенный хост вредоносную программу, например, "анализатор паролей" (password sniffer) - программу, выделяющую пользовательские идентификаторы и пароли из сетевого трафика при работе протоколов высокого уровня (ftp, telnet, rlogin и т.д.). Объектами внедрения вредоносных программ могут быть программы аутентификации и идентификации, сетевые сервисы, ядро операционной системы, файловая система, библиотеки и т.д.

Наконец, на этапе ликвидации следов реализации угрозы осуществляется попытка уничтожения следов действий нарушителя. При этом удаляются соответствующие записи из всех возможных журналов аудита, в том числе записи о факте сбора информации.

5.5. Общая характеристика угроз программно-математических воздействий

Программно-математическое воздействие - это воздействие с помощью вредоносных программ. Программой с потенциально опасными последствиями или вредоносной программой называют некоторую самостоятельную программу (набор инструкций), которая способна выполнять любое непустое подмножество следующих функций:

Скрывать признаки своего присутствия в программной среде компьютера;

Обладать способностью к самодублированию, ассоциированию себя с другими программами и (или) переносу своих фрагментов в иные области оперативной или внешней памяти;

разрушать (искажать произвольным образом) код программ в оперативной памяти;

выполнять без инициирования со стороны пользователя (пользовательской программы в штатном режиме ее выполнения) деструктивные функции (копирование, уничтожение, блокирование и т.п.);

Сохранять фрагменты информации из оперативной памяти в некоторых областях внешней памяти прямого доступа (локальных или удаленных);

Искажать произвольным образом, блокировать и (или) подменять выводимый во внешнюю память или в канал связи массив информации, образовавшийся в результате работы прикладных программ, или уже находящиеся во внешней памяти массивы данных.

Вредоносные программы могут быть внесены (внедрены) как преднамеренно, так и случайно в программное обеспечение, используемое в ИСПДн, в процессе его разработки, сопровождения, модификации и настройки. Кроме этого, вредоносные программы могут быть внесены в процессе эксплуатации ИСПДн с внешних носителей информации или посредством сетевого взаимодействия как в результате НСД, так и случайно пользователями ИСПДн.

Современные вредоносные программы основаны на использовании уязвимостей различного рода программного обеспечения (системного, общего, прикладного) и разнообразных сетевых технологий, обладают широким спектром деструктивных возможностей (от несанкционированного исследования параметров ИСПДн без вмешательства в функционирование ИСПДн, до уничтожения ПДн и программного обеспечения ИСПДн) и могут действовать во всех видах программного обеспечения (системного, прикладного, в драйверах аппаратного обеспечения и т.д.).

Наличие в ИСПДн вредоносных программ может способствовать возникновению скрытых, в том числе нетрадиционных каналов доступа к информации, позволяющих вскрывать, обходить или блокировать защитные механизмы, предусмотренные в системе, в том числе парольную и криптографическую защиту.

Основными видами вредоносных программ являются:

программные закладки;

классические программные (компьютерные) вирусы;

вредоносные программы, распространяющиеся по сети (сетевые черви);

Другие вредоносные программы, предназначенные для осуществления НСД.

К программным закладкам относятся программы, фрагменты кода, инструкции, формирующие недекларированные возможности программного обеспечения. Вредоносные программы могут переходить из одного вида в другой, например, программная закладка может сгенерировать программный вирус, который, в свою очередь, попав в условия сети, может сформировать сетевого червя или другую вредоносную программу, предназначенную для осуществления НСД.

Классификация программных вирусов и сетевых червей представлена на рисунке 14. Краткая характеристика основных вредоносных программ сводится к следующему. Загрузочные вирусы записывают себя либо в загрузочный сектор диска (boot-сектор), либо в сектор, содержащий системный загрузчик винчестера (Master Boot Record), либо меняют указатель на активный boot-сектор. Они внедряются в память компьютера при загрузке с инфицированного диска. При этом системный загрузчик считывает содержимое первого сектора диска, с которого производится загрузка, помещает считанную информацию в память и передает на нее (т.е. на вирус) управление. После этого начинают выполняться инструкции вируса, который, как правило, уменьшает объем свободной памяти, копирует в освободившееся место свой код и считывает с диска свое продолжение (если оно есть), перехватывает необходимые вектора прерываний (обычно - INT 13H), считывает в память оригинальный boot-сектор и передает на него управление.

В дальнейшем загрузочный вирус ведет себя так же, как файловый: перехватывает обращения операционной системы к дискам и инфицирует их, в зависимости от некоторых условий совершает деструктивные действия, вызывает звуковые эффекты или видеоэффекты.

Основными деструктивными действиями, выполняемыми этими вирусами, являются:

уничтожение информации в секторах дискет и винчестера;

Исключение возможности загрузки операционной системы (компьютер "зависает");

искажение кода загрузчика;

форматирование дискет или логических дисков винчестера;

закрытие доступа к COM- и LPT-портам;

замена символов при печати текстов;

подергивания экрана;

изменение метки диска или дискеты;

создание псевдосбойных кластеров;

создание звуковых и(или) визуальных эффектов (например, падение букв на экране);

порча файлов данных;

вывод на экран разнообразных сообщений;

Отключение периферийных устройств (например, клавиатуры);

изменение палитры экрана;

Заполнение экрана посторонними символами или изображениями;

погашение экрана и перевод в режим ожидания ввода с клавиатуры;

шифрование секторов винчестера;

выборочное уничтожение символов, выводимых на экран при наборе с клавиатуры;

уменьшение объема оперативной памяти;

вызов печати содержимого экрана;

блокирование записи на диск;

уничтожение таблицы разбиения (Disk Partition Table), после этого компьютер можно загрузить только с флоппи-диска;

блокирование запуска исполняемых файлов;

Блокирование доступа к винчестеру.

Рисунок 14. Классификация программных вирусов и сетевых червей

Большинство загрузочных вирусов перезаписывают себя на флоппи-диски.

Метод заражения "overwriting" является наиболее простым: вирус записывает свой код вместо кода заражаемого файла, уничтожая его содержимое. Естественно, что при этом файл перестает работать и не восстанавливается. Такие вирусы очень быстро обнаруживают себя, так как операционная система и приложения довольно быстро перестают работать.

К категории "компаньон" относятся вирусы, не изменяющие заражаемые файлы. Алгоритм работы этих вирусов состоит в том, что для заражаемого файла создается файл-двойник, причем при запуске зараженного файла управление получает именно этот двойник, то есть вирус. Наиболее распространены компаньон-вирусы, использующие особенность DOS первым выполнять файлы с расширением.COM, если в одном каталоге присутствуют два файла с одним и тем же именем, но различными расширениями имени - .COM и.EXE. Такие вирусы создают для EXE-файлов файлы-спутники, имеющие то же самое имя, но с расширением.COM, например, для файла XCOPY.EXE создается файл XCOPY.COM. Вирус записывается в COM-файл и никак не изменяет EXE-файл. При запуске такого файла DOS первым обнаружит и выполнит COM-файл, то есть вирус, который затем запустит и EXE-файл. Вторую группу составляют вирусы, которые при заражении переименовывают файл в какое-либо другое имя, запоминают его (для последующего запуска файла-хозяина) и записывают свой код на диск под именем заражаемого файла. Например, файл XCOPY.EXE переименовывается в XCOPY.EXD, а вирус записывается под именем XCOPY.EXE. При запуске управление получает код вируса, который затем запускает оригинальный XCOPY, хранящийся под именем XCOPY.EXD. Интересен тот факт, что данный метод работает, по-видимому, во всех операционных системах. В третью группу входят так называемые "Path-companion" вирусы. Они либо записывают свой код под именем заражаемого файла, но "выше" на один уровень в прописываемых путях (DOS, таким образом, первым обнаружит и запустит файл-вирус), либо переносят файл-жертву на один подкаталог выше и т.д.

Возможно существование и других типов компаньон-вирусов, использующих иные оригинальные идеи или особенности других операционных систем.

Файловые черви (worms) являются, в некотором смысле, разновидностью компаньон-вирусов, но при этом никоим образом не связывают свое присутствие с каким-либо выполняемым файлом. При размножении они всего лишь копируют свой код в какие-либо каталоги дисков в надежде, что эти новые копии будут когда-либо запущены пользователем. Иногда эти вирусы дают своим копиям "специальные" имена, чтобы подтолкнуть пользователя на запуск своей копии - например, INSTALL.EXE или WINSTART.BAT. Существуют вирусы-черви, использующие довольно необычные приемы, например, записывающие свои копии в архивы (ARJ, ZIP и прочие). Некоторые вирусы записывают команду запуска зараженного файла в BAT-файлы. Не следует путать файловые вирусы-черви с сетевыми червями. Первые используют только файловые функции какой-либо операционной системы, вторые же при своем размножении пользуются сетевыми протоколами.

Link-вирусы, как и компаньон-вирусы, не изменяют физического содержимого файлов, однако при запуске зараженного файла "заставляют" ОС выполнить свой код. Этой цели они достигают модификацией необходимых полей файловой системы.

Вирусы, заражающие библиотеки компиляторов, объектные модули и исходные тексты программ, достаточно экзотичны и практически не распространены. Вирусы, заражающие OBJ- и LIB-файлы, записывают в них свой код в формате объектного модуля или библиотеки. Зараженный файл, таким образом, не является выполняемым и не способен на дальнейшее распространение вируса в своем текущем состоянии. Носителем же "живого" вируса становится COM- или EXE-файл.

Получив управление, файловый вирус совершает следующие общие действия:

Проверяет оперативную память на наличие своей копии и инфицирует память компьютера, если копия вируса не найдена (в случае, если вирус является резидентным), ищет незараженные файлы в текущем и (или) корневом каталоге путем сканирования дерева каталогов логических дисков, а затем заражает обнаруженные файлы;

выполняет дополнительные (если они есть) функции: деструктивные действия, графические или звуковые эффекты и т.д. (дополнительные функции резидентного вируса могут вызываться спустя некоторое время после активизации в зависимости от текущего времени, конфигурации системы, внутренних счетчиков вируса или других условий, в этом случае вирус при активизации обрабатывает состояние системных часов, устанавливает свои счетчики и т.д.);

Необходимо отметить, что чем быстрее распространяется вирус, тем вероятнее возникновение эпидемии этого вируса, чем медленнее распространяется вирус, тем сложнее его обнаружить (если, конечно же, этот вирус неизвестен). Нерезидентные вирусы часто являются "медленными" - большинство из них при запуске заражает один или два-три файла и не успевает заполонить компьютер до запуска антивирусной программы (или появления новой версии антивируса, настроенной на данный вирус). Существуют, конечно же, нерезидентные "быстрые" вирусы, которые при запуске ищут и заражают все выполняемые файлы, однако такие вирусы очень заметны: при запуске каждого зараженного файла компьютер некоторое (иногда достаточно долгое) время активно работает с винчестером, что демаскирует вирус. Скорость распространения (инфицирования) у резидентных вирусов обычно выше, чем у нерезидентных - они заражают файлы при каких-либо обращениях к ним. В результате на диске оказываются зараженными все или почти все файлы, которые постоянно используются в работе. Скорость распространения (инфицирования) резидентных файловых вирусов, заражающих файлы только при их запуске на выполнение, будет ниже, чем у вирусов, заражающих файлы и при их открытии, переименовании, изменении атрибутов файла и т.д.

Таким образом, основные деструктивные действия, выполняемые файловыми вирусами, связаны с поражением файлов (чаще исполняемых или файлов данных), несанкционированным запуском различных команд (в том числе, команд форматирования, уничтожения, копирования и т.п.), изменением таблицы векторов прерываний и др. Вместе с тем, могут выполняться и многие деструктивные действия, сходные с теми, которые указывались для загрузочных вирусов.

Макровирусы (macro viruses) являются программами на языках (макроязыках), встроенных в некоторые системы обработки данных (текстовые редакторы, электронные таблицы и т.д.). Для своего размножения такие вирусы используют возможности макроязыков и при их помощи переносят себя из одного зараженного файла (документа или таблицы) в другие. Наибольшее распространение получили макровирусы для пакета прикладных программ Microsoft Office.

Для существования вирусов в конкретной системе (редакторе) необходимо наличие встроенного в систему макроязыка с возможностями:

1) привязки программы на макроязыке к конкретному файлу;

2) копирования макропрограмм из одного файла в другой;

3) получения управления макропрограммой без вмешательства пользователя (автоматические или стандартные макросы).

Данным условиям удовлетворяют прикладные программы Microsoft Word, Excel и Microsoft Access. Они содержат в себе макроязыки: Word Basic, Visual Basic for Applications. При этом:

1) макропрограммы привязаны к конкретному файлу или находятся внутри файла;

2) макроязык позволяет копировать файлы или перемещать макропрограммы в служебные файлы системы и редактируемые файлы;

3) при работе с файлом при определенных условиях (открытие, закрытие и т.д.) вызываются макропрограммы (если таковые есть), которые определены специальным образом или имеют стандартные имена.

Данная особенность макроязыков предназначена для автоматической обработки данных в больших организациях или в глобальных сетях и позволяет организовать так называемый "автоматизированный документооборот". С другой стороны, возможности макроязыков таких систем позволяют вирусу переносить свой код в другие файлы и таким образом заражать их.

Большинство макровирусов активны не только в момент открытия (закрытия) файла, но до тех пор, пока активен сам редактор. Они содержат все свои функции в виде стандартных макросов Word/Excel/Office. Существуют, однако, вирусы, использующие приемы скрытия своего кода и хранящие свой код в виде не макросов. Известно три подобных приема, все они используют возможность макросов создавать, редактировать и исполнять другие макросы. Как правило, подобные вирусы имеют небольшой (иногда - полиморфный) макрос-загрузчик вируса, который вызывает встроенный редактор макросов, создает новый макрос, заполняет его основным кодом вируса, выполняет и затем, как правило, уничтожает (чтобы скрыть следы присутствия вируса). Основной код таких вирусов присутствует либо в самом макросе вируса в виде текстовых строк (иногда - зашифрованных), либо хранится в области переменных документа.

К сетевым относятся вирусы, которые для своего распространения активно используют протоколы и возможности локальных и глобальных сетей. Основным принципом работы сетевого вируса является возможность самостоятельно передать свой код на удаленный сервер или рабочую станцию. "Полноценные" сетевые вирусы при этом обладают еще и возможностью запустить на выполнение свой код на удаленном компьютере или, по крайней мере, "подтолкнуть" пользователя к запуску зараженного файла.

Вредоносными программами, обеспечивающими осуществление НСД, могут быть:

программы подбора и вскрытия паролей;

программы, реализующие угрозы;

Программы, демонстрирующие использование недекларированных возможностей программного и программно-аппаратного обеспечения ИСПДн;

программы-генераторы компьютерных вирусов;

программы, демонстрирующие уязвимости средств защиты информации и др.

В связи с усложнением и возрастанием разнообразия программного обеспечения число вредоносных программ быстро возрастает. Сегодня известно более 120 тысяч сигнатур компьютерных вирусов. Вместе с тем, далеко не все из них представляют реальную угрозу. Во многих случаях устранение уязвимостей в системном или прикладном программном обеспечении привело к тому, что ряд вредоносных программ уже не способен внедриться в них. Часто основную опасность представляют новые вредоносные программы.

5.6. Общая характеристика нетрадиционных информационных каналов

Нетрадиционный информационный канал - это канал скрытной передачи информации с использованием традиционных каналов связи и специальных преобразований передаваемой информации, не относящихся к криптографическим.

Для формирования нетрадиционных каналов могут использоваться методы:

компьютерной стеганографии;

Основанные на манипуляции различных характеристик ИСПДн, которые можно получать санкционированно (например, времени обработки различных запросов, объемов доступной памяти или доступных для чтения идентификаторов файлов или процессов и т.п.).

Методы компьютерной стеганографии предназначены для скрытия факта передачи сообщения путем встраивания скрываемой информации во внешне безобидные данные (текстовые, графические, аудио- или видеофайлы) и включают в себя две группы методов, основанных:

На использовании специальных свойств компьютерных форматов хранения и передачи данных;

На избыточности аудио-, визуальной или текстовой информации с позиции психофизиологических особенностей восприятия человека.

Классификация методов компьютерной стеганографии приведена на рисунке 15. Их сравнительная характеристика приведена в таблице 4.

Наибольшее развитие и применение в настоящее время находят методы сокрытия информации в графических стегоконтейнерах. Это обусловлено сравнительно большим объемом информации, который можно разместить в таких контейнерах без заметного искажения изображения, наличием априорных сведений о размерах контейнера, существованием в большинстве реальных изображений текстурных областей, имеющих шумовую структуру и хорошо подходящих для встраивания информации, проработанностью методов цифровой обработки изображений и цифровых форматов представления изображений. В настоящее время существует целый ряд как коммерческих, так и бесплатных программных продуктов, доступных обычному пользователю, реализующих известные стеганографические методы сокрытия информации. При этом преимущественно используются графические и аудиоконтейнеры.

Рисунок 15. Классификация методов стеганографического преобразования информации (СПИ)

Таблица 4

Сравнительная характеристика стеганографических методов преобразования информации

Стеганографический метод	Краткая характеристика метода	Недостатки	Преимущества
Методы сокрытия информации в аудиоконтейнерах
	Основан на записи сообщения в наименьшие значащие биты исходного сигнала. В качестве контейнера используется, как правило, несжатый аудиосигнал	Невысокая скрытность передачи сообщения. Низкая устойчивость к искажениям. Используется только для определенных форматов аудиофайлов
Метод сокрытия на основе распределения по спектру	Основан на генерации псевдослучайного шума, являющегося функцией внедряемого сообщения, и подмешивании полученного шума к основному сигналу- контейнеру в качестве аддитивной составляющей. Кодирование потоков информации путем рассеяния кодированных данных по спектру частот
Метод сокрытия на основе использования эхо-сигнала	Основан на использовании в качестве шумоподобного сигнала самого аудиосигнала, задержанного на различные периоды времени в зависимости от внедряемого сообщения ("дозвоночного эха")	Низкий коэффициент использования контейнера. Значительные вычислительные затраты	Сравнительно высокая скрытность сообщения
Метод сокрытия в фазе сигнала	Основан на факте нечувствительности уха человека к абсолютному значению фазы гармоник. Аудиосигнал разбивается на последовательность сегментов, сообщение встраивается путем модификации фазы первого сегмента	Малый коэффициент использования контейнера	Обладает значительно более высокой скрытностью, чем методы сокрытия в НЗБ
Методы сокрытия информации в текстовых контейнерах
Метод сокрытия на основе пробелов	Основан на вставке пробелов в конце строчек, после знаков препинания, между словами при выравнивании длины строк	Методы чувствительны к переносу текста из одного формата в другой. Возможна потеря сообщения. Невысокая скрытность	Достаточно большая пропускная способность
Метод сокрытия на основе синтаксических особенностей текста	Основан на том, что правила пунктуации допускают неоднозначности при расстановке знаков препинания	Очень низкая пропускная способность. Сложность детектирования сообщения	Существует потенциальная возможность подобрать такой метод, при котором потребуются весьма сложные процедуры для раскрытия сообщения
Метод сокрытия на основе синонимов	Основан на вставке информации в текст при помощи чередования слов из какой-либо группы синонимов	Сложен применительно к русскому языку в связи с большим разнообразием оттенков в разных синонимах	Один из наиболее перспективных методов. Обладает сравнительно высокой скрытностью сообщения
Метод сокрытия на основе использования ошибок	Основан на маскировке информационных битов под естественные ошибки, опечатки, нарушения правил написания сочетаний гласных и согласных, замене кириллицы на аналогичные по внешнему виду латинские буквы и др.	Невысокая пропускная способность. Быстро вскрывается при статистическом анализе	Весьма прост в применении. Высокая скрытность при анализе человеком
Метод сокрытия на основе генерации квазитекста	Основан на генерации текстового контейнера с использованием набора правил построения предложений. Используется симметричная криптография	Невысокая пропускная способность. Бессмысленность созданного текста	Скрытность определяется методами шифрования и, как правило, весьма высока
Метод сокрытия на основе использования особенностей шрифта	Основан на вставке информации за счет изменения типа шрифта и размера букв, а также на возможности встраивания информации в блоки с неизвестными для браузера идентификаторами	Легко выявляется при преобразовании масштаба документа, при статистическом стегоанализе	Высокий коэффициент использования контейнера
Метод сокрытия на основе использования кода документа и файла	Основан на размещении информации в зарезервированных и неиспользуемых полях переменной длины	Низкая скрытность при известном формате файла	Прост в применении
Метод сокрытия на основе использования жаргона	Основан на изменении значений слов	Низкая пропускная способность. Узко специализирован. Низкая скрытность	Прост в применении
Метод сокрытия на основе использования чередования длины слов	Основан на генерации текста - контейнера с формированием слов определенной длины по известному правилу кодирования	Сложность формирования контейнера и сообщения	Достаточно высокая скрытность при анализе человеком
Метод сокрытия на основе использования первых букв	Основан на внедрении сообщения в первые буквы слов текста с подбором слов	Сложность составления сообщения. Низкая скрытность сообщения	Дает большую свободу выбора оператору, придумывающему сообщение
Методы сокрытия информации в графических контейнерах
Метод сокрытия в наименьших значащих битах	Основан на записи сообщения в наименьшие значащие биты исходного изображения	Невысокая скрытность передачи сообщения. Низкая устойчивость к искажениям	Достаточно высокая емкость контейнера (до 25%)
Метод сокрытия на основе модификации индексного формата представления	Основан на редукции (замене) цветовой палитры и упорядочивании цветов в пикселях с соседними номерами	Применяется преимущественно к сжатым изображениям. Невысокая скрытность передачи сообщения	Сравнительно высокая емкость контейнера
Метод сокрытия на основе использования автокорреляционной функции	Основан на поиске с применением автокорреляционной функции областей, содержащих сходные данные	Сложность расчетов	Устойчивость к большинству нелинейных преобразований контейнера
Метод сокрытия на основе использования нелинейной модуляции встраиваемого сообщения	Основан на модуляции псевдослучайного сигнала сигналом, содержащим скрываемую информацию
Метод сокрытия на основе использования знаковой модуляции встраиваемого сообщения	Основан на модуляции псевдослучайного сигнала биполярным сигналом, содержащим скрываемую информацию	Низкая точность детектирования. Искажения	Достаточно высокая скрытность сообщения
Метод сокрытия на основе вейвлет-преобразования	Основан на особенностях вейвлет-преобразований	Сложность расчетов	Высокая скрытность
Метод сокрытия на основе использования дискретного косинусного преобразования	Основан на особенностях дискретного косинусного преобразования	Сложность расчет	Высокая скрытность

В нетрадиционных информационных каналах, основанных на манипуляции различных характеристик ресурсов ИСПДн, используются для передачи данных некоторые разделяемые ресурсы. При этом в каналах, использующих временные характеристики, осуществляется модуляция по времени занятости разделяемого ресурса (например, модулируя время занятости процессора, приложения могут обмениваться данными).

В каналах памяти ресурс используется как промежуточный буфер (например, приложения могут обмениваться данными путем помещения их в имена создаваемых файлов и директорий). В каналах баз данных и знаний используют зависимости между данными, возникающими в реляционных базах данных и знаний.

Нетрадиционные информационные каналы могут быть сформированы на различных уровнях функционирования ИСПДн:

на аппаратном уровне;

на уровне микрокодов и драйверов устройств;

на уровне операционной системы;

на уровне прикладного программного обеспечения;

на уровне функционирования каналов передачи данных и линий связи.

Эти каналы могут использоваться как для скрытой передачи скопированной информации, так и для скрытной передачи команд на выполнение деструктивных действий, запуска приложений и т.п.

Для реализации каналов, как правило, необходимо внедрить в автоматизированную систему программную или программно-аппаратную закладку, обеспечивающую формирование нетрадиционного канала.

Нетрадиционный информационный канал может существовать в системе непрерывно или активизироваться одноразово или по заданным условиям. При этом возможно существование обратной связи с субъектом НСД.

5.7. Общая характеристика результатов несанкционированного или случайного доступа

Реализация угроз НСД к информации может приводить к следующим видам нарушения ее безопасности:

нарушению конфиденциальности (копирование, неправомерное распространение);

Нарушению целостности (уничтожение, изменение);

нарушению доступности (блокирование).

Нарушение конфиденциальности может быть осуществлено в случае утечки информации:

копирования ее на отчуждаемые носители информации;

передачи ее по каналам передачи данных;

при просмотре или копировании ее в ходе ремонта, модификации и утилизации программно-аппаратных средств;

при "сборке мусора" нарушителем в процессе эксплуатации ИСПДн.

Нарушение целостности информации осуществляется за счет воздействия (модификации) на программы и данные пользователя, а также технологическую (системную) информацию, включающую:

микропрограммы, данные и драйвера устройств вычислительной системы;

программы, данные и драйвера устройств, обеспечивающих загрузку операционной системы;

программы и данные (дескрипторы, описатели, структуры, таблицы и т.д.) операционной системы;

программы и данные прикладного программного обеспечения;

Программы и данные специального программного обеспечения;

Промежуточные (оперативные) значения программ и данных в процессе их обработки (чтения/записи, приема/передачи) средствами и устройствами вычислительной техники.

Нарушение целостности информации в ИСПДн может также быть вызвано внедрением в нее вредоносной программы программно-аппаратной закладки или воздействием на систему защиты информации или ее элементы.

Кроме этого, в ИСПДн возможно воздействие на технологическую сетевую информацию, которая может обеспечивать функционирование различных средств управления вычислительной сетью:

конфигурацией сети;

адресами и маршрутизацией передачи данных в сети;

функциональным контролем сети;

безопасностью информации в сети.

Нарушение доступности информации обеспечивается путем формирования (модификации) исходных данных, которые при обработке вызывают неправильное функционирование, отказы аппаратуры или захват (загрузку) вычислительных ресурсов системы, которые необходимы для выполнения программ и работы аппаратуры.

Указанные действия могут привести к нарушению или отказу функционирования практически любых технических средств ИСПДн:

средств обработки информации;

средств ввода/вывода информации;

средств хранения информации;

Аппаратуры и каналов передачи;

средств защиты информации.