Інформаційні технології та моделювання бізнес-процесів - Томашевський О.М. - 15.4. Програми шкідливої дії. Програмні закладки

Програмні закладки виконують принаймні одну з наступних дій:

o вносять довільні спотворення в коди програм, що є в оперативній пам'яті комп'ютера (закладка першого типу);

o переносять фрагменти інформації з одних областей пам'яті (оперативної або зовнішньої) комп'ютера в інші (другого типу);

o спотворюють інформацію, отриману в результаті роботи інших програм (третього типу).

Закладки можна класифікувати і за методом їх проникнення в комп'ютерну систему:

o програмно-апаратні (життєве середовище - в BIOS);

o закладки-завантажувачі (в секторах завантаження);

o драйверні закладки (у файлах драйверів);

o прикладні закладки (в текстових редакторах, утилітах, антивірусних моніторах, програмних оболонках, тощо);

o закладки на виконання (в програмних модулях та пакетних файлах /набір команд ОС, що виконуються послідовно/);

o закладки-імітатори (замінюють інтерфейси службових програм, що потребують введення конфіденційної інформації -пароля, ключа чи номера кредитної картки);

o замасковані закладки (маскуються під програми-оптимізатори роботи комп'ютера /дефрагментатори, архіватори/ або під програми ігрового призначення).

Для того, щоби програмна закладка почала діяти, процесор комп'ютера повинен виконати команди, що є в коді закладки. Це можливо тільки при одночасному дотриманні таких умов:

1) програмна закладка повинна потрапити в ОП комп'ютера;

2) фактори активізації присутні (набір спеціальних умов для кожної програми-закладки. Наприклад, програма активізується тільки щосереди о 13:33).

Програмні закладки бувають:

резидентні - знаходяться в ОП постійно, починаючи з деякого моменту і до завершення сеансу роботи комп'ютера, тобто до перевантаження або вимкнення живлення;

нерезидентні - потрапляють в ОП аналогічно до резидентних, проте вивантажуються через певний час чи при виконанні певних умов.

Існує три групи шкідливих (деструктивних) дій, що можуть бути виконані програмними закладками:

1) копіювання інформації користувача комп'ютерної системи, що знаходиться в ОП або зовнішній пам'яті цієї чи підключеної до неї комп'ютерної системи (наприклад, секретні особисті дані);

2) зміни в алгоритмах функціонування системних, прикладних та службових програм (наприклад, програмна закладка може всім дозволити вхід у систему, змінивши алгоритм програми розмежування доступу);

3) нав'язування певних режимів роботи (наприклад, блокування запису на диск при спробі видаленні інформації).

У всіх програмних закладок є одна важлива спільна риса - вони обов'язково виконують операцію запису в оперативну або зовнішню пам'ять системи. При відсутності цієї операції ніякої шкоди завдано бути не може. Відповідно, закладка виконує також і операцію читання.

Розглянемо моделі впливу програмних закладок:

Перехоплення

Програмна закладка розміщується в постійний запам'ятовуючий пристрій (ПЗП), системне чи прикладне програмне забезпечення та зберігає всю або частину інформації, що вводиться з зовнішніх пристроїв або виводиться на них. Наприклад, символи, що вводяться з клавіатури або документи, що виводяться на друк. Модель типу перехоплення може бути ефективно використана для зламу захищеної ОС Windows NT. Після старту системи на екрані з'являється запрошення натиснути клавіші <Ctrl>+<Alt>+<Del>. Тоді завантажується динамічна бібліотека MSGINA.DLL, яка приймає введений пароль і перевіряє його. Методом заміни цієї бібліотеки на бібліотеку користувача (вказується в реєстрі ОС шлях до неї) модифікується процедура аутентифікації і механізм контролю за доступом до ОС.

Спотворення

В цій моделі закладка або змінює інформацію, яка записується в пам'ять в результаті роботи інших програм або ініціює виникнення помилкових ситуацій в комп'ютерній системі, змінюючи системні повідомлення. Наприклад, зміна в exe-модулі програми перевірки вірності цифрового підпису символьного рядка "Некоректний підпис" на "Коректний підпис" призводить до хибного функціонування системи аутентифікації.

Спотворення бувають статичні та динамічні. Статичне спотворення відбувається лише одноразово, коли модифікуються параметри програмного середовища комп'ютерної системи для того, щоби надалі в ній виконувались потрібні зловмиснику дії. До статичних спотворень можна віднести, наприклад, внесення змін у файл AUTOEXEC.BAT - додана команда запускати певну програму буде виконуватись при кожному завантаженні ОС.

Динамічне спотворення полягає у зміні параметрів системних чи прикладних процесів за допомогою попередньо активованих програмних закладок. Динамічні спотворення умовно розділяють на:

o спотворення на вході - на обробку надходить вже спотворений документ;

o спотворення на виході - модифікується інформація, що призначена для сприйняття користувачем або використовується іншими програмами.

Для перешкоджання роботі системи деякі програмні закладки генерують помилкові системні повідомлення, наприклад " Модем зайнятий". Або, при прочитанні перших 512 байтів (першого блоку) повідомлення встановлюють відповідний прапорець і прочитати наступні блоки стає неможливим. Протилежна дія програмної закладки полягає у перехопленні системних повідомлень про помилку. Тоді комп'ютерна система не зможе розпізнати - чи відбулась помилка при обробці інформації, чи ні. Різновидом спотворення є модель типу троянського коня.

Перехоплення
Спотворення
15.5. Електронне "сміття" та взаємодія програмних закладок
Спостереження та компрометування
Імітатори
Фільтри
Замінники
16. Технології забезпечення безпеки інформаційних систем
16.1. Складові безпеки. Поняття загрози і атаки
16.2. Загрози доступності
© Westudents.com.ua Всі права захищені.
Бібліотека українських підручників 2010 - 2020
Всі матеріалі представлені лише для ознайомлення і не несуть ніякої комерційної цінностію
Электронна пошта: site7smile@yandex.ru