Каналы утечки информации

Программные ЗЭ могут быть представлены в виде модификации компьютерной программы, в результате которой данная программа способна выполняться несколькими способами в зависимости от определенных обстоятельств. При работе программные ЗЭ могут никак не проявляться, однако при определенных условиях программа работает по алгоритму, отличному от заданного (подобно компьютерным вирусам). В литературе описан пример внесения программистом в программу начисления заработной платы предприятия нежелательных изменений, работа которых началась после его увольнения, т. е. когда фамилия программиста исчезла из базы данных персонала.

Существует классификация ЗЭ по следующим критериям:

способ у размещения ЗЭ;

способу активизации ЗЭ;

пути внедрения ЗЭ в систему;

разрушающему  действию ЗЭ.

Утечки за счет перехвата  побочного электромагнитного излучении  и наводок (ПЭМИН). При функционировании СКТ возникают побочные электромагнитные излучения и наводки, несущие обрабатываемую информацию. ПЭМИН излучаются в пространство клавиатурой, принтером, монитором, накопителями на магнитных дисках, кабелями. Утечка данных обусловлена лишь излучением сигналов при перемене данных.  Все прочие излучения сигналов от разных блоков СКТ являются взаимными помехами.

Перехват ПЭМИН  осуществляется радиоприемными устройствами, средствами анализа и регистрации  информации. При благоприятных условиях с помощью направленной антенны можно осуществлять перехват на расстоянии до 1-1,5 км. В. И. Ярочкин отмечает, что перехват информации за счет ПЭМИН обладает рядом особенностей:

информация добывается без непосредственного контакта с источником;

на прием сигналов не влияет ни время года, ни время  суток;

информация получается в реальном масштабе времени, в момент ее передачи или излучения;

реализуется скрытно;

дальность перехвата  ограничивается только особенностями  распространения радиоволн соответствующих  диапазонов.

Утечки за счет съема информации с принтера и клавиатуры по акустическому каналу. Наличие указанного канала утечки позволяет перехватывать и декодировать акустические колебания, средой распространения которых является воздушная среда. Источником данных колебаний являются соответствующие устройства СКТ. Технически возможен перехват и декодирование кодов клавиш клавиатуры. Дальность действия подобных перехватов ограничена мощностью источника акустических и электромагнитных колебаний.

Утечка, модификация, уничтожение или блокирование информации с использованием компьютерных вирусов. Существует множество типов! вирусов, каждый из которых обладает собственными отличительными при-1 знаками. Анализ специальной научной литературы дает нам основание утверждать, что все вирусы изменяют либо файлы с данными, либо програм-1 мы внутри компьютера, либо разрушают сами компьютеры¹. Большинство! из них представляют собой опасность только для IBM-совместимых компьютеров, однако именно этот тип компьютеров распространен в наибольшей! степени.

Последствия вирусной модификации  могут быть различными - от нее значительных помех до полного уничтожения  данных и программ. Вирусы, использующиеся правонарушителями для программного уничтожения, разрушают информацию в зависимости от определенных логических или временных условий.

Попадание вирусов в компьютерную систему может быть спровоцировано различными способами от высокотехнологичного несанкционированного подключения до основанного на личном доверии обмана оператора

системы путем переписывания заранее зараженных игр и сервисных программ с умыслом на вывод компьютерной системы из строя. Вирус может попасть в систему и при неумышленных действиях операторов ЭВМ — при обмене дискетами, CD-ROM-дисками, файлами.

В настоящее время «рассадником»  компьютерных вирусов стала глобальная сеть Internet. Особенно активно распространяются в этой сети так называемые макровирусы, которые передаются вместе с файлами документов MS-Word и файлами рабочих книг MS-Excel. Целесообразно привести краткий анализ традиционных воздействий компьютерных вирусов на СКТ, которые известны из специальной научной литературы. На рис. 5 приведена примерная видовая классификация компьютерных вирусов.

«Троянский конь» — специальная  программа, которая разрешает действия, отличные от определенных в спецификации программы.

«Червь» - программа, которая создается  для распространения своих копий в другие компьютерные системы по компьютерным сетям путем поиска уязвимых мест в операционных системах.

«Логическая бомба» - программа, выполняемая  периодически или в определенный момент с целью исказить, уничтожить или модифицировать данные. Наступление разрушающего эффекта, как правило, программируется на заранее установленную календарную дату, время суток или иного значимого события.

Рис.5

 

 

 

 

 

 

 

 

Файл-инфекторы изменяют содержимое управляющих программ путем добавления нового кода в существующие файлы. Такой  тип вируса поражает файлы, которые обозначены как COM, EXE, SYS, DLL. Файл-инфекторы распространяются через любой носитель данных, используемый для хранения и передачи управляемого кода. Вирус может храниться на хранения информации либо передаваться по сетям и через модемы.

Вирусы сектора начальной загрузки заражают основную загрузочную область  на жестких дисках или загрузочный  сектор на дискетах. Оригинальная версия обычно, но не всегда, хранится где-нибудь на диске. В результате вирус запустится перед загрузкой компьютера. Вирусы такого типа обычно остаются в секторе памяти до тех пор, пока пользователь не выйдет из системы.

Вирусы, результаты воздействия которых на компьютерные системы) их сети могут проявляться как применение нескольких отдельных вирусов, называются комбинированными (составными) вирусами. Вирус, который проникает как в сектор начальной загрузки, так и в файлы, имеет больше возможностей для размножения. В результате способности вируса проникать как в сектор начальной загрузки, так и в файлы, компьютерная система заражается вирусом независимо от того, была ли она загружена с зараженного диска или в результате запуска зараженной программы.

Парные вирусы поражают операционную систему таким образом, что нарушается последовательность выполнения файлов СОМ и ЕХЕ с одним именем. Этот тип вируса создает копию  файла СОМ, но в размере файла  ЕХЕ. Имя файла остается прежним. При запуске пользователем программы операционная система выполнит вновь созданный файл СОМ, в котором содержится код вируса, после чего загружает и выполняет файл ЕХЕ.

Цепными называются вирусы, модифицирующие таблицы расположения файлов и директорий таким образом, что вирус загружается и запускается до того, как запускается желаемая программа. Они связывают элементы таблицы расположения директорий с отдельным кластером, содержащим код вируса. Оригинальный номер первого кластера сохраняется в неиспользуемой части элемента таблицы директорий. Сама по себе программа физически не изменяется, изменяется только элемент таблицы расположения директорий. Подобные вирусы также известны как вирусы системных файлов, секторные вирусы или вирусы таблиц расположения файлов.

Полиморфные вирусы производят копии самих себя. Эти копии различны для каждого из незараженных файлов. Код вируса меняется после каждого нового заражения, но принцип его действия всякий раз остается неизменным. Известны, например, две так называемые утилиты мутации вируса: Mutation Engine и Polymorphic Trident Engine. При использовании этих утилит любой вирус становится полиморфным, так как утилиты добавляют в его код определенные команды в произвольной последовательности.

По деструктивным возможностям компьютерные вирусы можно разделить на следующие 4 группы (рис. 6):

 

 

 

Рис. 6

1.   Безвредные - никак не влияющие на работу компьютерной системы, 
   кроме уменьшения количества свободной памяти, указанной в результате 
   своего распространения.
2.   Неопасные - влияние которых ограничивается уменьшением свобод 
   ной памяти, а также графическими, звуковыми и прочими эффектами.
3.   Опасные - которые могут привести к серьезным сбоям в работе компьютерных систем.
4.   Очень опасные — в алгоритм их работы введены процедуры, которые 
   могут вызвать потерю программ, уничтожить данные, стереть необходимую 
   для работы компьютера информацию, записанную в системных областях 
   памяти, способствовать быстрому износу движущихся частей механизмов 
   (например, вводить в резонанс и разрушать головки некоторых типов жестких дисков) и т. д.

Необходимо отметить, что существуют и другие классификации компьютерных вирусов, например по способу их воздействия на СКТ и обслуживающий их персонал.

1.Компьютерные вирусы, не повреждающие  файловую структуру:

размножающиеся в оперативных запоминающих устройствах (ОЗУ);

раздражающие оператора (имитирующие  неисправность аппаратуры; формирующие  сообщения на терминале; формирующие  звуковые эффекты; переключающие режимы настройки и др.);

сетевые.

2. Компьютерные вирусы, повреждающие файловую структуру:

повреждающие программы и данные пользователя;

повреждающие системную информацию (области диска, форматирующие носители, файлы операционной системы).

3. Компьютерные вирусы, воздействующие  на аппаратуру и оператора:

повреждающие аппаратуру (микросхемы, диски, принтеры; выжигающие люминофор);

воздействующие на оператора (в  том числе на зрение, психику и  др.).

Утеря носителей информации. Может произойти в результате:

хищения с полным или частичным  разрушением места хранения;

физического  уничтожения  из-за  умышленных  несанкционированны действий персонала;

пожара либо воздействия на носитель высокой температуры, ионизирующего  излучения, химических веществ, сильного электромагнитного поля;

стихийных бедствий (землетрясение, наводнение, ураган и др.);

иных форс-мажорных обстоятельств.

Инициализация злоумышленником каналов  утечки, вызванных несовершенством  программного либо аппаратного обеспечения, а такою систем защиты, как правило, производится на этапе подготовки к  совершению информационного компьютерного преступления, реже - непосредственно при его совершении. Речь идет о так называемых атаках на информационные системы. Под атакой подразумевается любая попытка преодоления систем защиты

 

2. Система технической защиты, компьютерные преступления.

Проблемы защиты информации и создания необходимых средств для ее сбережения, обработки, хранения и распространения  существуют ровно столько же лет, сколько и само понятие «информация». С ростом роли информации в обществе, в деятельности организаций, предприятий и отдельных лиц растет и стремление их конкурентов получить эту информацию и использовать ее в своих целях. При этом меняется характер средств несанкционированного получения и способов использования информации: от примитивного «подглядывания» к современным средствам и методам ведения «информационных войн». Понятно, что соответственно должны эволюционировать как виды средств и методов защиты, так и требования к их функциональным возможностям и характеристикам.

І Комплексная система ТЗИ

 

Системы защиты информации в автоматизированных системах, общих и корпоративных  сетях предназначены для обеспечения  безопасной информационной технологии, т. е. обеспечения доступности и  конфиденциальности информации, целостности  информационных и других ресурсов и обеспечения наблюдаемости.

Для предотвращения возможности реализации угроз ресурсам АС необходима разработка и использование в АС комплексной  системы технической защиты информации (ТЗИ). Требования к такой системе  предусматривают централизованное управление средствами и механизмами защиты на основе определенной владельцем АС политики информационной безопасности и реализующего ее плана технической защиты информации.

Комплексной системой технической  защиты информации [4] принято называть совокупность организационно-правовых и инженерных мероприятий, а также программно - аппаратурных средств, которые обеспечивают ТЗИ в АС. Именно на нее нормативными документами Системы ТЗИ возлагается задача обеспечения уже упомянутых функциональных свойств защищенных АС. Эта задача решается как техническими, так и программными средствами базового и прикладного программного обеспечения, а также с использованием специально разрабатываемых программных и аппаратурных средств ТЗИ.

Организационно-правовыми мероприятиями реализуется комплекс соответствующих нормативно-правовой базе государства административных и ограничительных мер, направленных на оперативное решение задач защиты путем анализа угроз, регламентации деятельности персонала и определения порядка функционирования средств обеспечения информационной деятельности и средств ТЗИ, а также путем создания служб (или назначения администраторов ТЗИ), ответственных за их реализацию. К таким мероприятиям относятся также определение контролируемых зон и организация контроля доступа в эти зоны. Для реализации мероприятий этой группы в большинстве случаев нет необходимости использования средств, являющихся компонентами АС.

 

Основной задачей технических  мероприятий является обеспечение  физической и информационной безопасности.

Физическая безопасность достигается  за счет:

• выбора инженерно-технических средств, исключающих несанкционированный  доступ к объектам и техническим  средствам;

• блокирования каналов утечки информации, включая использование процедур контролируемой ликвидации данных;

• блокирования несанкционированного физического доступа к активным компонентам АС (информации или ресурсам ИС), находящимся в контролируемой зоне;

• выявления электронных устройств  перехвата информации;

• выбор и проверки исправности  и работоспособности технических средств обеспечения информационной деятельности.

Для реализации мероприятий этой группы используются устройства, чаще всего  не являющиеся элементами АС и относящиеся  к достаточно автономным первичным  техническим средствам ТЗИ (например, устройства защиты информации от утечки по каналам побочных электромагнитных излучений). Среди немногочисленных исключений – автоматизированные средства управления физическим доступом, системы охранной и пожарной сигнализации, которые могут быть интегрированы в состав основных средств ТЗИ.