Преднамеренные угрозы

Второй класс угроз безопасности информации в ИС составляют преднамеренно создаваемые угрозы. Природу этих угроз характеризует несимметричность. С позиций злоумышленника угрозы, как правило, имеют признаки как детерминированных, так и случайных событий. Так, время и алгоритм реализации чаще всего являются детерминированными, а последствия реализации угроз обычно носят случайный характер. Для субъекта, против которого направлены действия злоумышленника, угрозы безопасности информации полностью связаны со случайными событиями.

Данный класс угроз изучен недостаточно, очень динамичен и постоянно пополняется новыми угрозами. Угрозы этого класса в соответствии с их физической сущностью и механизмами реализации могут быть распределены по пяти группам (см. рис. 13.1).

К методам традиционного шпионажа и диверсий отнесены угрозы, которые не связаны напрямую с использованием компьютерных технологий в ИС. Они использовались еще до появления современных информационных технологий, но по-прежнему остаются актуальными и эффективными. Методы традиционного шпионажа и диверсий, опираясь на новые технологические возможности, используются как для непосредственного получения конфиденциальной информации и навязывания ложной информации, так и для негативного воздействия на компоненты ИС. Эти методы могут использоваться также совместно с методами воздействия на компьютерные системы.

Целью несанкционированного воздействия являются получение контроля над ИС и (или) сотрудниками, а также нарушение работоспособности системы.

К методам шпионажа и диверсий относятся:

• подслушивание;

• визуальное наблюдение;

• дезинформация;

• хищение документов и машинных носителей информации;

• хищение программ и атрибутов системы защиты;

• сбор и анализ отходов машинных носителей информации;

• подкуп и шантаж сотрудников;

• поджоги;

• взрывы.

Для подслушивания злоумышленнику необязательно проникать на объект. Современные средства позволяют прослушивать разговоры с расстояния нескольких сотен метров. В помещениях аудиоинформация может прослушиваться с расстояния от нескольких сотен до нескольких десятков метров. Для этого могут использоваться устройства, принцип действия которых основан на анализе отраженного луча лазера от стекла окна помещения, которое колеблется от звуковых волн.

Вне помещений подслушивание ведется с помощью сверхчувствительных направленных микрофонов. Реальное расстояние прослушивания с помощью направленных микрофонов в городе составляет 50–150 м, а за городом – до 500 м.

Разговоры в соседних помещениях, за стенами зданий могут контролироваться с помощью стетоскопных микрофонов. Стетоскопы преобразуют акустические колебания в электрические. Такие микрофоны позволяют прослушивать разговоры при толщине стен до 50–100 см.

Одним из возможных каналов утечки звуковой информации может быть прослушивание переговоров, ведущихся с помощью средств связи. Контролироваться могут как проводные каналы связи, так и радиоканалы. Прослушивание переговоров по проводным и радиоканалам не требует дорогостоящего оборудования и высокой квалификации злоумышленника.

Дистанционная видеоразведка для получения информации в ИС малопригодна и носит, как правило, вспомогательный характер. Видеоразведка организуется в основном для выявления режимов работы и расположения механизмов защиты информации.

Для аудио- и видеоконтроля помещений при отсутствии в них злоумышленника могут использоваться закладные устройства, или "жучки". Закладные устройства делятся на проводные и излучающие.

Ущерб организации может быть нанесен с помощью дезинформации. В конкурентной борьбе довольно часто прибегают к распространению ложной или искаженной информации с целью введения в заблуждение соперника относительно своих намерений, состояния рынка, проводимых переговоров и т.п.

По-прежнему весьма эффективным способом воздействия на объекты ИС является хищение документов, машинных носителей информации, атрибутов систем защиты.

Анализ сведений, содержащихся на отходах информационных носителей, может позволить определить по крайней мере назначение организации, отдельные сведения о сотрудниках, смежных организациях (партнерах по бизнесу), продукции и многое другое.

Вербовка сотрудников и физическое уничтожение объектов КС могут осуществляться без непосредственного доступа на объект.

Для некоторых объектов ИС существует угроза вооруженного нападения террористических или диверсионных групп. Целями нападения могут быть уничтожение отдельных элементов ИС или всего объекта, захват документации, машинных носителей, а также лиц из числа обслуживающего персонала.

Термин "несанкционированный доступ к информации" (НСДИ) определен как доступ к информации, нарушающий правила разграничения доступа с использованием штатных средств вычислительной техники или автоматизированных систем.

Под правилами разграничения доступа понимается совокупность положений, регламентирующих права доступа лиц или процессов (субъектов доступа) к единицам информации (объектам доступа). Право доступа к ресурсам ИС определяется руководством организации для каждого сотрудника в соответствии с его функциональными обязанностями.

Выполнение установленных правил разграничения доступа в КС реализуется за счет создания системы разграничения доступа (СРД). Несанкционированный доступ к информации возможен только с использованием штатных аппаратных и программных средств в следующих случаях:

• отсутствует система разграничения доступа;

• стихийные бедствия и аварии;

• сбой или отказ в КС;

• ошибочные действия пользователей или обслуживающего персонала КС;

• ошибки в СРД, в программном обеспечении;

• фальсификация полномочий.

Процесс обработки и передачи информации техническими средствами КС сопровождается электромагнитными излучениями в окружающее пространство, а также наведением электрических сигналов в линиях связи, сигнализации, заземлении и других проводниках, находящихся в непосредственной близости с проводящими линиями передачи электрических сигналов КС. Они получили соответственно названия побочных электромагнитных излучений и наводок (ПЭМИН).

С помощью специального оборудования сигналы электромагнитных излучений принимаются на расстояниях до нескольких сотен метров, выделяются, усиливаются и могут либо просматриваться, либо записываться в запоминающих устройствах.

Наведенные в проводниках электрические сигналы могут выделяться и фиксироваться с помощью оборудования, подключаемого к этим проводникам на расстоянии в сотни метров от источника сигналов.

Электромагнитные излучения используются противоборствующими сторонами не только для получения информации, но и для ее уничтожения. Электромагнитные импульсы способны уничтожить информацию на магнитных носителях. Для такого уничтожения с расстояния нескольких десятков метров может быть использовано устройство, помещающееся в портфель.

Мощные высокочастотные электромагнитные излучения могут вывести из строя электронные блоки ИС. В отличие от ПЭМИН эта угроза реализуется сравнительно просто.

Большую угрозу безопасности информации в КС представляет несанкционированная модификация программной и технической (аппаратной) структур системы, которая приводит к изменению алгоритмов функционирования систем. Модификация структуры КС заключается в изменении элементов системы (программ, устройств, блоков), их состава (удаление, добавление и подмена элементов), а также в изменении связей между элементами КС.

Аппаратные закладки могут в определенный момент времени подавать высокое напряжение в цепи питания микросхем, передавать по радиоканалу информацию, пересылаемую внутри компьютера между устройствами, изменять алгоритм функционирования, дублировать информацию в открытые разделы памяти и многое другое. В микросхемах, насчитывающих десятки миллионов электронных элементов (транзисторов и др.), очень сложно обнаружить "закладку".

Программные закладки функционируют самостоятельно, изменяя алгоритм работы системы, или обеспечивают работу аппаратных закладок. Программные закладки представляют собой измененный, добавленный или удаленный функциональный блок (программный код) существующей программы. Реже закладки создаются как отдельные программы. Функциональным блоком является процедура, функция, ветвь или оператор.

Программные и аппаратные закладки используются либо для непосредственного вредительского воздействия на ИС, либо для обеспечения неконтролируемого входа в систему. Вредительские воздействия закладок на ИС осуществляются при получении соответствующей команды извне или при наступлении определенных событий в системе. Такими событиями могут быть следующие: переход на определенный режим работы (например, боевой режим системы управления оружием или режим устранения аварийной ситуации на атомной электростанции и т.п.), наступление установленной даты, достижение определенной наработки и т.д.

Программная структура несанкционированно изменяется чаще всего на этапе эксплуатации ИС. Одним из основных источников угроз безопасности информации в КС является использование специальных программ, получивших общее название "вредительские программы" (Malware, зловреды). К этим программам относятся все программы, которые способны выполнять недекларированные действия или препятствовать выполнению штатных действий, независимо от последствий наличия таких программ в ИС.

Создатели вредительских программ преследуют различные цели. Поэтому последствия выполнения таких программ для информационных ресурсов ИС находятся в очень широком диапазоне. Тем не менее любая программа, наличие которой не предусмотрено штатной структурой, снижает эффективность работы ИС. Даже если программа не наносит явный ущерб информационным ресурсам, то она по крайней мере расходует ресурсы ИС для своего хранения и выполнения.

По данным фирмы Panda Security, ежедневно в мире фиксируется появление более 50 000 новых вредительских программ. Существует много различных классификаций таких программ. Одна из классификаций выполнена специалистами Лаборатории Касперского по признаку наличия деструктивной функции, выполняемой вредительской программой на зараженном компьютере.

1. Программы, непосредственно выполняющие деструктивную функцию (собственно вредительские программы):

• вирусы;

• черви;

• троянские программы.

2. Программы, обеспечивающие выполнение программ с деструктивной функцией:

• подозрительные упаковщики;

• вредоносные утилиты;

• условно нежелательные программы (Adware и Riskware).

Вирусные программы способны создавать свои копии

(репликации) в пределах зараженного компьютера, заражая в том числе и съемные носители информации. Черви создают копии и распространяются в компьютерных сетях. Троянские программы не создают своих копий. В разные периоды количественное соотношение между этими видами вредительских программ изменялось. В настоящее время более 70% вредительских программ относятся к троянским программам и только 2% – к вирусам. Объясняется это направленностью действий современных злоумышленников на заражение конкретных компьютеров или сетей.

Подозрительные упаковщики используют для скрытного размещения вредительских программ. Достигается это путем преобразования кодов программ, после которого затрудняется идентификация таких программ антивирусными средствами.

Вредоносные утилиты применяются для автоматизации создания других вирусов, червей или троянских программ, организации атак на удаленные серверы, взлома других компьютеров и т.п. В отличие от вирусов, червей и троянских программ, представители данной категории не представляют угрозы компьютеру, на котором исполняются.

К группе условно нежелательных программ относятся рекламные программы (Adware), которые используют для распространения и работы технологии вредительских программ (скрытое размещение на компьютере, блокирование механизмов удаления и т.п.). К этой же группе следует отнести программы, которые можно характеризовать как программы двойного применения (Riskware). Они могут быть использованы как для получения положительного эффекта, так и для нанесения ущерба. К ним относятся программы удаленного администрирования, сканирования защищенности системы от сетевых атак и т.п.

Вредительские программы могут классифицироваться и по другим признакам. По своему назначению вредитель

ские программы могут разделяться на следующие основные группы:

• шпионские программы (Spyware);

• программы рассылки спама (Adware);

• программы перехвата сообщений в сети;

• программы скрытого удаленного администрирования (Rootkit, Backdoor).

Шпионские программы предназначены для сбора информации, интересующей злоумышленников. Такие программы используются чаще всего для получения сетевых имен и паролей, ключей шифрования информации, банковских реквизитов, ноу-хау, конфиденциальной и другой важной информации. Примером могут служить программы, получившие общее название "клавиатурный шпион" (Keylogger). Программа запоминает информацию, вводимую с помощью клавиатуры, а затем передает по определенному адресу в сети. Назначение программ рассылки спама и перехвата сообщений в сети очевидно.

Программы скрытого удаленного администрирования или управления могут использоваться для различных конечных целей злоумышленника. С помощью таких программ осуществляются скрытая установка других вредительских программ, изменение алгоритма выполнения легитимно установленных на компьютере программ, создание сетей из зараженных компьютеров (Botnets).

Современным вредительским программам присущи следующие особенности:

• используются, как правило, в корыстных целях;

• появление совершенных программ, поражающих ИС управления промышленными предприятиями (например, вирус Stuxnet, внедренный в систему управления АЭС в Иране);

• работу вредительских программ могут обеспечивать другие вспомогательные программы;

• часто используются ошибки в программах, не входящих в состав операционных систем;

• применяются в отношении информационных систем определенных организаций, что затрудняет их идентификацию антивирусными лабораториями, по сравнению с массовым распространением вредительских программ;

• основным каналом распространения вредительских программ является сеть Интернет.