Программные закладки как источники распространения вредоносных программ

Образовательное учреждение

Московская  банковская школа (колледж)

Банка России 
 
 
 

Доклад  по дисциплине

«Безопасность банковской деятельности»

на тему: «Программные закладки как источники распространения вредоносных программ» 
 
 
 
 
 

  Подготовила: 

студентка группы 211-П

Дроздова  Н.А.                                                                                                  

    Руководитель: Кравченко М.Ю. 
 
 
 
 

Москва, 2012 г.

Содержание:

1. Общее понятие программной закладки………………………………………...3
2. Классификация программных закладок………………………………………...3
3. Модели воздействия программных закладок на компьютеры………………...5
4. Защита от программных закладок…………………………………………….....7
5. Список литературы……………………………………………………………...10

 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 

1. Общее понятие программной  закладки

   Основным  условием правильного функционирования такой компьютерной системы является обеспечение защиты от вмешательства в процесс обработки информации тех программ, присутствие которых в компьютерной системе не обязательно. Среди подобных программ, в первую очередь, следует упомянуть компьютерные вирусы. Однако имеются вредоносные программы еще одного класса. От них, как и от вирусов, следует с особой тщательностью очищать свои компьютерные системы - это так называемые программные закладки , которые могут выполнять хотя бы одно из перечисленных ниже действий:

• вносить произвольные искажения в коды программ, находящихся в оперативной памяти компьютера (программная закладка первого типа);
• переносить фрагменты информации из одних областей оперативной или внешней памяти компьютера в другие (программная закладка второго типа);
• искажать выводимую на внешние компьютерные устройства или в канал, связи информацию, полученную в результате работы других программ (программная закладка третьего типа).

 

2. Классификация программных закладок

   Программные закладки по методу их внедрения в  компьютерную систему классифицируются на:

• программно-аппаратные закладки, ассоциированные с аппаратными средствами компьютера (их средой обитания, как правило, является BIOS — набор программ, записанных в виде машинного кода в постоянном запоминающем устройстве — ПЗУ);
• загрузочные закладки, ассоциированные с программами начальной загрузки, которые располагаются в загрузочных секторах (из этих секторов в процессе выполнения начальной загрузки компьютер считывает программу, берущую на себя управление для последующей загрузки самой операционной системы);
• драйверные закладки, ассоциированные с драйверами (файлами, в которых содержится информация, необходимая операционной системе для управления подключенными к компьютеру периферийными устройствами);
• прикладные закладки, ассоциированные с прикладным программным обеспечением общего назначения (текстовые редакторы, утилиты, антивирусные мониторы и программные оболочки);
• исполняемые закладки, ассоциированные с исполняемыми программными модулями, содержащими код этой закладки (чаще всего эти модули представляют собой пакетные файлы, т. е. файлы, которые состоят из команд операционной системы, выполняемых одна за одной, как если бы их набирали на клавиатуре компьютера);
• закладки-имитаторы, интерфейс которых совпадает с интерфейсом некоторых служебных программ, требующих ввод конфиденциальной информации (паролей, криптографических ключей, номеров кредитных карточек);
• замаскированные закладки, которые маскируются под программные средства оптимизации работы компьютера (файловые архиваторы, дисковые дефрагментаторы) или под программы игрового и развлекательного назначения.

   Для того чтобы программная закладка могла произвести какие-либо действия по отношению к другим программам или по отношению к данным, процессор должен приступить к исполнению команд, входящих в состав кода программной закладки. Для этого требуется выполнить следующие условия:

1. программная закладка должна попасть в оперативную память компьютера (если закладка относится к первому типу, то она должна быть загружена до начала работы другой программы, которая является целью воздействия закладки, или во время работы этой программы);
2. работа закладки, находящейся в оперативной памяти, начинается при выполнении ряда условий, которые называются активизирующими.

   Программная закладка должна быть обязательно загружена в оперативную память компьютера, можно выделить резидентные закладки (они находятся в оперативной памяти постоянно, начиная с некоторого момента и до окончания сеанса работы компьютера, т. е. до его перезагрузки или до выключения питания) и нерезидентные (такие закладки попадают в оперативную память компьютера аналогично резидентным, однако, в отличие от последних, выгружаются по истечении некоторого времени или при выполнении особых условий).

   Три основные группы деструктивных действий, которые могут осуществляться программными закладками:

1. копирование информации пользователя компьютерной системы (паролей, криптографических ключей, кодов доступа, конфиденциальных электронных документов), находящейся в оперативной или внешней памяти этой системы либо в памяти другой компьютерной системы, подключенной к ней через локальную или глобальную компьютерную сеть;
2. изменение алгоритмов функционирования системных, прикладных и служебных программ (например, внесение изменений в программу разграничения доступа может привести к тому, что она разрешит вход в систему всем без исключения пользователям вне зависимости от правильности введенного пароля);
3. навязывание определенных режимов работы (например, блокирование записи на диск при удалении информации, при этом информация, которую требуется удалить, не уничтожается и может быть впоследствии скопирована хакером).

   Программные закладки имеют одну важную  общую черту: они обязательно выполняют операцию записи в оперативную или внешнюю память системы. При отсутствии данной операции никакого негативного влияния программная закладка оказать не может. Ясно, что для целенаправленного воздействия она должна выполнять и операцию чтения, иначе в ней может быть реализована только функция разрушения. 

3. Модели  воздействия программных  закладок на компьютеры

   В модели перехват программная закладка внедряется в ПЗУ, системное или  прикладное программное обеспечение  и сохраняет всю или выбранную  информацию, вводимую с внешних устройств  компьютерной системы или выводимую  на эти устройства, в скрытой области  памяти локальной или удаленной компьютерной системы. Объектом сохранения, например, могут служить символы, введенные с клавиатуры (все повторяемые два раза последовательности символов), или электронные документы, распечатываемые на принтере.

   Данная  модель может быть двухступенчатой. На первом этапе сохраняются только, например, имена или начала файлов. На втором накопленные данные анализируются  злоумышленником с целью принятия решения о конкретных объектах дальнейшей атаки.

   В модели искажение программная закладка изменяет информацию, которая записывается в память компьютерной системы в  результате работы программ, либо подавляет/инициирует возникновение ошибочных ситуаций в компьютерной системе.

   Можно выделить статическое и динамическое искажение. Статическое искажение  происходит всего один раз. При этом модифицируются параметры программной  среды компьютерной системы, чтобы  впоследствии в ней выполнялись  нужные злоумышленнику действия.

   Динамическое  искажение заключается в изменении  каких-либо параметров системных или  прикладных процессов при помощи заранее активизированных закладок. Динамическое искажение можно условно  разделить так: искажение на входе (когда на обработку попадает уже  искаженный документ) и искажение  на выходе (когда искажается информация, отображаемая для восприятия человеком, или предназначенная для работы других программ).

   В рамках модели "искажение" также  реализуются программные закладки, действие которых основывается на инициировании  или подавлении сигнала о возникновении  ошибочных ситуаций в компьютерной системе, т. е. тех, которые приводят к отличному от нормального завершению исполняемой программы (предписанного  соответствующей документацией).

   Как известно, при хранении компьютерных данных на внешних носителях прямого  доступа выделяется несколько уровней  иерархии: сектора, кластеры и файлы. Сектора являются единицами хранения информации на аппаратном i уровне. Кластеры состоят из одного или нескольких подряд идущих секторов. Файл — это  множество кластеров, связанных  по определенному закону.

   Работа  с конфиденциальными электронными документами обычно сводится к последовательности следующих манипуляций с файлами:

• создание;
• хранение;
• коррекция;
• уничтожение.

   Для защиты конфиденциальной информации обычно используется шифрование. Основная угроза исходит отнюдь не от использования  нестойких алгоритмов шифрования и "плохих" криптографических ключей (как это может показаться на первый взгляд), а от обыкновенных текстовых редакторов и баз данных, применяемых для создания и коррекции конфиденциальных документов.

   Программные средства в процессе функционирования создают в оперативной или внешней памяти компьютерной системы временные копии документов, с которыми они работают Естественно, все эти временные файлы выпадают из поля зрения любых программ шифрования и могут быть использованы злоумышленником для того, чтобы составить представление о содержании хранимых в зашифрованном виде конфиденциальных документов.

   При записи отредактированной информации меньшего объема в тот же файл, где хранилась исходная информация до начала сеанса ее редактирования, образуются так называемые "хвостовые" кластеры, в которых эта исходная информация полностью сохраняется. И тогда "хвостовые" кластеры не только не подвергаются воздействию программ шифрования, но и остаются незатронутыми даже средствами гарантированного стирания информации. Конечно, рано или поздно информация и: "хвостовых" кластеров затирается данными из других файлов, однако по оценкам специалистов ФАПСИ из "хвостовых" кластеров через сутки можно извлечь до 85%, а через десять суток — до 25—40% исходной информации. 

4. Защита  от программных закладок

   Задача  защиты от программных закладок может  рассматриваться в трех принципиально  различных вариантах:

1. не допустить внедрения программной закладки в компьютерную систему;
2. выявить внедренную программную закладку;
3. удалить внедренную программную закладку.

   Задача  по борьбе с программными закладками решается с помощью средств контроля за целостностью запускаемых системных и прикладных программ, а также за целостностью информации, хранимой в компьютерной системе и за критическими для функционирования системы событиями. Однако данные средства действенны только тогда, когда сами они не подвержены влиянию программных закладок, которые могут:

• навязывать конечные результаты контрольных проверок;
• влиять на процесс считывания информации и запуск программ, за которыми осуществляется контроль;
• изменять алгоритмы функционирования средств контроля.

   При этом важно, чтобы включение средств  контроля выполнялось до начала воздействия  программной закладки либо когда  контроль осуществлялся только с  использованием программ управления, находящихся в ПЗУ компьютерной системы.