2018-02-13
682
Одним з найнебезпечніших способів проведення атак є впровадження в системи, що атакуються, шкідливого програмного забезпечення.
Ми виділимо наступні межі шкідливого ПЗ:
· шкідлива функція;
· спосіб поширення;
· зовнішнє уявлення.
Частина, що здійснює руйнівну функцію, будемо називати "бомбою" (хоча, можливо, більш вдалими термінами були б "заряд" або "боєголовка"). Взагалі кажучи, спектр шкідливих функцій необмежений, оскільки " бомба", як і будь-яка інша програма, може володіти як завгодно складною логікою, але зазвичай "бомби" призначаються для:
· впровадження іншого шкідливого ПЗ;
· отримання контролю над системою, що атакується;
· агресивного споживання ресурсів;
· зміни чи руйнування програм і / або даних.
По механізму поширення розрізняють:
· віруси - код, що володіє здатністю до поширення (можливо, із змінами) шляхом впровадження в інші програми;
· "черв'яки" - код, здатний самостійно, тобто без впровадження в інші програми, викликати поширення своїх копій по ІС та їх виконання (для активізації вірусу потрібно запуск зараженої програми).
|
|
|
Віруси зазвичай поширюються локально, в межах вузла мережі;для передачі по мережі їм потрібна зовнішня допомога, така як пересилка зараженого файлу. "Черв'яки", навпаки, орієнтовані в першу чергу на подорожі по мережі.
Іноді саме поширення шкідливого ПЗ викликає агресивне споживання ресурсів і, отже, є шкідливою функцією. Наприклад, "черв'яки" "з'їдають" смугу пропускання мережі і ресурси поштових систем. З цієї причини для атак на доступність вони не потребують у вбудовуванні спеціальних " бомб".
Шкідливий код, який виглядає як функціонально корисна програма, називається троянським. Наприклад, звичайна програма, будучи ураженої вірусом, стає троянської; часом троянські програми виготовляють вручну і підсовують довірливим користувачам у будь-якій привабливій упаковці.
Відзначимо, що дані нами визначення і наведена класифікація шкідливого ПЗ відрізняються від загальноприйнятих. Наприклад, у російському ГОСТ Р 51275-99 "Захист інформації. Об'єкт інформатизації. Фактори, що впливають на інформацію. Загальні положення" міститься наступне визначення:
"Програмний вірус - це виконуваний або інтерпретується програмний код, що володіє властивістю несанкціонованого поширення та самовідтворення в автоматизованих системах чи телекомунікаційних мережах з метою змінити або знищити програмне забезпечення та / або дані,зберігаються в автоматизованих системах ".
На наш погляд, подібне визначення невдало, оскільки в ньому змішані функціональні та транспортні аспекти.
|
|
|
Вікно небезпеки для шкідливого ПЗ з'являється з випуском нового різновиду "бомб", вірусів та / або " черв'яків" і перестає існувати з оновленням бази даних антивірусних програм і накладенням інших необхідних латок.
За традицією з всього шкідливого ПЗ найбільшу увагу громадськості припадає на частку вірусів. Однак до березня 1999 року з повним правом можна було стверджувати, що "незважаючи на експонентний зростання числа відомих вірусів, аналогічного зростання кількості інцидентів, викликаних ними, не зареєстровано. Дотримання нескладних правил "комп'ютерної гігієни" практично зводить ризик зараження до нуля. Там, де працюють, а не грають, число заражених комп'ютерів складає лише долі відсотка ".
У березні 1999 року, з появою вірусу "Melissa", ситуація кардинальним чином змінилася."Melissa" - це макро вірус для файлів MS-Word, що поширюється за допомогою електронної пошти в приєднаних файлах. Коли такий (заражений) приєднаний файл відкривають, він розсилає свої копії по перших 50 адресами з адресної книги Microsoft Outlook. У результаті поштові сервери піддаються атаці на доступність.
У даному випадку нам хотілося б відзначити два моменти.
1. Як вже говорилося, пасивні об'єкти відходять у минуле; так зване активний вміст стає нормою. Файли, які за всіма ознаками повинні були б ставитися до даних (наприклад, документи у форматах MS-Word або Postscript, тексти листів), здатні містити інтерпретовані компоненти, які можуть запускатися неявним чином при відкритті файлу. Як і всяке в цілому прогресивне явище, таке "підвищення активності даних" має свій зворотний бік (в даному випадку - відставання у розробці механізмів безпеки і помилки в їх реалізації). Звичайні користувачі ще не скоро навчаться застосовувати інтерпретовані компоненти "в мирних цілях" (або хоча б дізнаються про їх існування), а перед зловмисниками відкрилося по суті необмежене поле діяльності. Як не банально це звучить, але якщо для стрільби по горобцях викочується гармата, то постраждає в основному стріляє.
2. Інтеграція різних сервісів, наявність серед них мережевих, загальна зв'язність багато разів збільшують потенціал для атак на доступність, полегшують поширення шкідливого ПЗ (вірус "Melissa" - класичний тому приклад).Образно кажучи, багато інформаційних системи, якщо не вжити захисних заходів, виявляються "в одному човні" (точніше - в кораблі без перегородок), так що достатньо однієї пробоїни, щоб "човен" тут же пішла на дно.
Як це часто буває, услід за "Melissa" з'явилася на світ ціла серія вірусів, "черв’яків " та їх комбінацій: "Explorer.zip" (червень 1999), "Bubble Boy" (листопад 1999), "ILOVEYOU" (травень 2000) і т.д. Не те що б від них був особливо великий збиток, але суспільний резонанс вони викликали чималий.
Активний вміст, крім інтерпретованих компонентів документів та інших файлів даних, має ще одне популярне образі - так звані мобільні агенти. Це програми, які завантажуються на інші комп'ютери і там виконуються. Найбільш відомі приклади мобільних агентів - Java-аплети, що завантажуються на комп'ютер користувача й інтерпретовані Internet-навігаторами. Виявилося, що розробити для них модель безпеки, що залишає достатньо можливостей для корисних дій, не так-то просто;ще складніше реалізувати таку модель без помилок. У серпні 1999 року стали відомі недоліки в реалізації технологій ActiveX і Java в рамках Microsoft Internet Explorer, які давали можливість розміщувати на Web-серверах шкідливі аплети, що дозволяють отримувати повний контроль над системою-візитером.
Для впровадження "бомб" часто використовуються помилки типу " переповнювання буфера", коли програма, працюючи з областю пам'яті, виходить за межі допустимого і записує в потрібні зловмиснику місця певні дані. Так діяв ще в 1988 році знаменитий "черв'як Моріса";у червні 1999 року хакери знайшли спосіб використовувати аналогічний метод по відношенню до Microsoft Internet Information Server (IIS), щоб отримати контроль над Web-сервером. Вікно небезпеки охопило відразу близько півтора мільйонів серверних систем...
|
|
|
Не забуті сучасними зловмисниками і випробувані троянські програми. Наприклад, "троянці " Back Orifice і Netbus дозволяють отримати контроль над користувацькими системами з різними варіантами MS-Windows.
Таким чином, дія шкідливого ПЗ може бути спрямована не тільки проти доступності, а й проти інших основних аспектів інформаційної безпеки.
