Безопасность и защита информационных систем

Рассмотрим наиболее распространенные угрозы, которым подвержены современные информационные системы. Иметь представление о возможных угрозах, а также об уязвимых местах, которые эти угрозы обычно эксплуатируют, необходимо для того, чтобы выбирать наиболее экономичные средства обеспечения безопасности.

Угрозы бывают случайные (непреднамеренными) и умышленные (преднамеренные).

Случайные угрозы:

- ошибки обслуживающего  персонала и пользователей;

- случайное уничтожение  или изменение данных;

- сбои оборудования и  электропитания;

- сбои кабельной системы;

- сбои дисковых систем;

- сбои систем архивирования  данных;

- сбои работы серверов, рабочих станций, сетевого оборудования;

- некорректная работа  программного обеспечения;

- заражение системы компьютерными  вирусами;

- неправильное хранение  конфиденциальной информации.

Из случайных угроз  самыми частыми и самыми опасными (с точки зрения размера ущерба) является пресловутый «человеческий  фактор» - непреднамеренные ошибки штатных  пользователей, операторов, системных  администраторов и других лиц, обслуживающих  информационные системы. По опубликованным данным до 65% информации бесследно исчезает именно из-за этого.

Трудно предсказуемыми источниками  угроз информации являются аварии и  стихийные бедствия. На безопасность ИС существенное влияние оказывает  тот факт, что безошибочных программ, в принципе не существует. Это касается не только отдельных программ, но и  целого ряда программных продуктов  фирм, известных во всем мире, например, Microsoft.  Информационно-аналитический сайт www.securitylab.ru постоянно публикует информацию об уязвимостях, найденных в операционных системах и приложениях. По данным этого источника, ежедневно обнаруживаются в среднем 5-10 новых уязвимостей.

Преднамеренные угрозы:

- несанкционированный доступ  к информации и сетевым ресурсам;

- раскрытие и модификация  данных и программ, их копирование;

- раскрытие, модификация  или подмена трафика вычислительной  сети;

- разработка и распространение  компьютерных вирусов, ввод в  программное обеспечение логических  бомб;

- кража магнитных носителей  и технической документации;

- разрушение архивной  информации или умышленное ее  уничтожение;

- фальсификация сообщений,  отказ от факта получения информации  или изменение времени ее приема;

- перехват и ознакомление  с информацией, передаваемой по  каналам связи;

- незаконное использование  привилегий;

- несанкционированное использование  информационных ресурсов.

Несанкционированный доступ ( НСД ) - наиболее распространенный вид компьютерных нарушений. Он заключается в получении пользователем доступа к объекту, на который у него нет разрешения в соответствии с принятой в организации политикой безопасности. Обычно целью злоумышленника является нарушение конфиденциальности данных. Самое сложное - определить, кто и к каким данным может иметь доступ, а кто - нет. Наиболее распространенными путями несанкционированного доступа к информации являются:

- применения подслушивающих  устройств (закладок);

- перехват электронных  излучений;

- дистанционное фотографирование;

- перехват акустических  излучений и восстановление текста  принтера;

- чтение остаточной информации  в памяти системы после выполнения  санкционированных запросов;

- копирование носителей  информации с преодолением мер  защиты;

- маскировка под зарегистрированного  пользователя;

- маскировка под запросы  системы;

- использование программных  ловушек;

- использование недостатков  языков программирования;

- незаконное подключение  к аппаратуре и линиям связи  специально разработанных аппаратных  средств, обеспечивающих доступ  к информации;

- злоумышленный вывод  из строя механизмов защиты;

- информационные инфекции.

Перечисленные выше пути несанкционированного доступа требуют специальных  технических знаний и соответствующих  аппаратных и программных разработок. Однако есть и достаточно примитивные  пути несанкционированного доступа:

- хищение носителей информации  и документальных отходов;

- склонение к сотрудничеству  со стороны взломщиков;

- подслушивание,

- наблюдение и т.д.

Любые способы утечки конфиденциальной информации могут привести к значительному  материальному и моральному ущербу, как для организации, так и  для пользователей. Большинство  из перечисленных путей несанкционированного доступа поддаются надежной блокировке при правильно разработанной  и реализуемой на практике системе  обеспечения безопасности.

2.4.Вредоносное программное обеспечение

Анализируя возможные  угрозы с точки зрения наибольшей опасности, изощренности и разрушительности, следует выделить вредоносное программное  обеспечение. Вредоносное программное  обеспечение - это любая программа, написанная с целью нанесения  ущерба или для использования  ресурсов атакуемого компьютера. О  вредоносном программном обеспечении  известно больше, чем о каких-либо других опасностях и повреждениях компьютерной техники. Вредоносное программное  обеспечение можно разделить  на три группы: Компьютерные вирусы, хакерское ПО и спам.

Вирусы - самое старое вредоносное ПО, существует уже более 20 лет. Подробная классификация вирусов и их характеристика даны в курсе «Экономическая информатика»

Вредоносное действие вируса может проявиться в следующем:

-появление в процессе  работы компьютера неожиданных  эффектов (падение символов на  экране, неожиданные звуковые эффекты,  появление неожиданных картинок  и т.п.);

-замедление работы компьютера;

-сбои и отказы в  работе прикладных программ;

-порча исчезновение файлов  с магнитного диска;

-вывод из строя операционной  системы;

-разрушение файловой  системы компьютера;

-вывод из строя аппаратуры  компьютера.

Исторически сначала появились  вирусы , поражающие программные файлы, потом загрузочные вирусы, распространяющиеся через загрузочные области магнитных дисков. Основным средством распространения являются дискеты. Позднее появились макровирусы, распространяющиеся с документами офисных приложений, таких, как Microsoft Ехсе1. Для запуска вирусов этого вида достаточно открыть зараженный документ.

Наряду с совершенствованием механизмов распространения вирусов  авторы-вирусописатели улучшали и улучшают скрытность вирусов. Один из способов повышения скрытности вируса, затрудняющий его обнаружение, - это использование  шифрования. Шифрующиеся вирусы шифруют собственный код, используя различные ключи и алгоритмы шифрования. В результате каждая новая копия вируса приобретает новый вид. Внедрение ЛВС облегчило процедуру распространения вирусов. Достаточно заразить один компьютер и вирус начнет распространяться по сети, заражая все доступные сетевые диски.

Еще более благоприятную  почву для распространения вирусов  предоставляют Интернет и электронная  почта. Зараженную программу (почтовый вирус) можно получить как приложение к электронному письму. Существуют вирусы, которые могут распространяться через электронную почту без  использования приложений, так называемые черви. Для заражения машины не требуется  запускать какой-либо приложенный  файл, достаточно лишь просмотреть  письмо. В его html-коде содержится автоматически запускающийся скрипт, выполняющий вредоносное действие. После активации червь рассылает письмо-ловушку по всем записям, находящимся в адресной книге на зараженном компьютере.

Сеть Интернет предоставляет  дополнительные возможности для  распространения вирусов. Использование  технологии объектов Active Х создает потенциальную угрозу проникновения вирусов. Такой объект размещается на сервере WWW и при обращении к нему загружается в память удаленного компьютера. Объект Active Х представляет собой программу, которая автоматически запускается на компьютере удаленного пользователя и может делать там практически все что угодно. В частности, не исключено, что она может получить доступ к файловой системе и заразить компьютер вирусом.

Программы, составленные на языке Java, не представляют угрозу для распространения вирусов, так как они не имеют доступа к файловой системе удаленного компьютера. Плата за безопасность - меньшая функциональность по сравнению с объектами Active Х.

Хакерское ПО - это инструмент для взлома и хищения конфиденциальных данных. Существуют инструменты для сбора данных о потенциальных жертвах и поиска уязвимостей в компьютерных сетях. К ним относятся программы для сканирования сети с целью определения IР-адресов компьютеров и «открытых» портов. Программы «прослушивания» сетевого трафика незаметно перехватывают IР-пакеты в сети и анализируют их в целях определения адресов отправителей и получателей и, может быть, выявления секретных данных типа имен и паролей, передаваемых в открытом виде. Формат почтовых сообщений является открытым, следовательно, электронное письмо может быть легко прочитано.

Есть инструменты хакеров, предназначенные для взлома компьютеров  и сетей. К ним относятся программы  подбора паролей, фальсификации  IР-пакетов путем подмены адреса отправителя/ получателя. Отдельного рассмотрения требуют программы-троянцы (трояны), представляющие в настоящее время главную угрозу и занимающие лидирующее положение среди вредоносного ПО.

Название «троян» («троянский конь») возникло из-за того, что вначале  вредоносный код маскировался в  некоторой полезной или интересной программе, которую пользователь по доброй воле устанавливал на компьютер. Это могла быть какая-либо утилита, повышающая удобство работы на компьютере, или компьютерная игра. Сейчас троянцы распространяются и по электронной почте, также их можно загрузить на рабочий компьютер с какого-нибудь сайта, просматривая интересные страницы.

Троян незаметно для пользователя (под «прикрытием» полезной программы  или будучи внедренным в операционную систему) выполняет ряд действий в интересах хакера:

- соединение с сервером  хакера и пересылка на него  всех вводимых с клавиатуры  данных, адресов электронной почты;

- рассылка электронной  почты по заданным адресам;

- выполнение команд, получаемых  с хакерского сервера.

Таким образом, троян «открывает»  компьютерную сеть или отдельный  компьютер для хакера.

Спам заслуженно считается одной из важных проблем Интернета. Более 80% всех получаемых электронных писем являются спамом, т.е. ненужными пользователю. Природа спама такая же, как у телевизионной рекламы, и пока рассылка спама приносит деньги, вряд ли он может быть искоренен. Пользователю спам причиняет гораздо меньший вред, чем ранее рассмотренные вредоносные программы. В конечном итоге, удаление ненужных писем занимает не очень много времени - обычно несколько минут. Побочный эффект спама - удаление в общей массе мусора «нужных» писем. Но методы рассылки спама заслуживают внимания, так как в этот процесс может быть непроизвольно вовлечен компьютер пользователя.

Если раньше спамеры осуществляли рассылку писем со своих компьютеров и самостоятельно формировали списки рассылки, то теперь для этого используется вредоносное ПО. В качестве примера приведем схему работы спам-бота. Спам-бот - это троянская программа, осуществляющая рассылку спама с зараженного компьютера. Для распространения спам-ботов применяются почтовые и сетевые черви. После своего внедрения спам-бот устанавливает соединение с одним из заранее ему известных серверов, принадлежащих спамеру, и получает информацию об адресах серверов, с которых он должен запрашивать данные для рассылки. Далее он связывается с этими серверами, получает е-mail-адреса и шаблоны для писем и производит рассылку. В дополнение спам-бот отправит на сервер спамера отчет о недоставленных письмах и адреса из адресной книги зараженного компьютера для актуализации списков рассылки, используемых спамером.

Помимо специального ПО для  взлома компьютерных сетей и внедрения  вредоносного ПО хакеры активно применяют  методы социальной инженерии. Самый простой пример - рассылка зараженных писем, в которых указана тема, интересующая получателя ели вызывающая у него любопытство (поздравительная открытка, приглашение куда-нибудь и т.п.). Главная задача - спровоцировать получателя открыть письмо.

Метод фишинга используется для того, чтобы «выудить» у пользователя сведения для доступа к каким-либо ресурсам. Например, можно получить письмо, адрес отправителя в котором очень похож на адрес провайдера услуг Интернета, содержащее просьбу администратора подтвердить login и пароль. Серьезную угрозу фишинг представляет для клиентов интернет-банков. Злоумышленник посылает письмо с подделанным обратным адресом, т.е. внешне письмо выглядит как посланное из банка. В письме сообщается, что требуется сменить пароль, и указан адрес сайта, на котором необходимо выполнить это действие. Перейдя по этой ссылке, клиент попадает на сайт, внешне не отличающийся от настоящего, и благополучно раскрывает свои персональные данные.