При зберіганні даних на зовнішніх носіях прямого доступу використовується декілька рівнів ієрархії: сектори, кластери і файли. Сектор - одиниця зберігання інформації на апаратному рівні. Кластер складається з одного чи декількох секторів, що знаходяться поруч. Файл - множина кластерів, що є зв'язаними за відповідним правилом. Робота із будь-якими електронними документами, як правило, представляє собою послідовність наступних дій:
o створення;
o зберігання;
o модифікація;
o знищення.
Програмні засоби (наприклад, текстові редактори), які використовуються для створення та модифікації документів, створюють в ОП комп'ютерної системи їх тимчасові копії. Звісно, ця тимчасова інформація не враховується, коли файл, скажімо, шифрують для збереження секретності. І абсолютно вільна за доступом копія знаходиться в ОП до моменту перезавантаження системи.
Також при запису відредагованої інформації меншого обсягу в той самий файл утворюються так звані "хвостові кластери", в яких вихідна інформація є повністю збереженою. Ці кластери не тільки не шифруються (навіть якщо файл буде зашифровано), але і не знищуються засобами витирання інформації. Звичайно, пізніше вони будуть затерті даними з інших файлів, але за оцінками спеціалістів, з "хвостових кластерів" через добу можна прочитати до 85% інформації, а через 10 діб - 25- 40% вихідної інформації.
Також команда видалення файлів "DELETE" не змінює вмісту файлу і він може бути відновлений в будь-який момент, якщо зверху не було записано нову інформацію. Поширені засоби гарантованого затирання інформації попередньо записують у файл випадкові числа, і тільки після того - видаляють.
Але бувають такі програмні закладки, які призначені для збільшення кількості подібного "сміття". Вони відмічають декілька кластерів файлу як "пошкоджені", і тоді інформація в них залишиться в первісному вигляді, навіть якщо весь файл буде гарантовано видалено.
Спостереження та компрометування
Програмна закладка в цій моделі вбудовується в сіткове чи телекомунікаційне ПЗ. Оскільки подібне ПЗ постійно знаходиться в активному стані, закладка може спостерігати за усіма процесами що відбуваються у комп'ютерній системі. А також здійснювати установку та видалення інших програмних закладок. Програмна закладка може навіть видалити закладку конкурента або всі решта "чужі" шкідливі програми, встановивши своєрідну монополію. Зазначимо, що такий підхід використовується і вірусами.
Модель компрометування дозволяє отримувати доступ до інформації, що одержується іншими програмними закладками.
Інші шкідливі програми. Розробники програм зі шкідливим для користувача складом мислення створили ще один різновид програмних закладок, який з тим чи іншим успіхом може завдати шкоди інформаційному чи програмному продукту - клавіатурні шпигуни.
Вони призначені для перехоплення паролів користувачів ОС, а також для визначення їх легальних повноважень і прав доступу до комп'ютерних ресурсів. Типовий клавіатурний шпигун визначає секретну інформацію користувача і розміщує її там, де зловмисник може легко її скопіювати собі. Різниця між різновидами клавіатурних шпигунів полягає тільки в способах, які вони застосовують для перехоплення інформації користувачів. Відповідно, всі клавіатурні шпигуни поділяються на три види: імітатори, фільтри та замінники. Стисло розглянемо особливості кожного типу:
Імітатори
В ОС завантажується програмний модуль, який імітує запрошення для користувача ввести персональні ідентифікаційні дані для входу в систему. Після цього імітатор переходить в режим очікування вводу і зберігає отримані дані в зручному для зловмисника місці. Потім імітатор виходить з системи і користувач бачить ще одне, цього разу справжнє, вікно запрошення входу в систему. Зазвичай користувач вважає це нормальним (бо обидва вікна ідентичні) і думає, що в програмі сталась невеличка помилка. Або вважає, що він в попередньому вікні некоректно ввів пароль, і повторює все ще раз.
Деякі імітатори (для переконливості) перед своїм виходом з системи видають ще одне вікно:
Перехоплення пароля при вході в систему полегшують самі розробники ОС, оскільки не створюють складної форми запрошення. Це не стосується зовнішнього дизайну вікна запрошення, а самої процедури входу.
Єдиною системою, при вході в яку неможливо застосувати імітатор - це Windows NT. Його вікно входу представляє собою системний процес WinLogon, який має власний робочий стіл - сукупність вікон, що одночасно виводяться на екран монітора. Цей стіл називається столом ідентифікації. Жоден з процесів, в тому числі і імітатор, не має доступу до столу ідентифікації, і не може розташувати на ньому своє нелегальне вікно. Причому повідомлення про натискання клавіш клавіатури передається виключно системному процесу WinLogon, і не може бути перехоплене жодним чином.
Рис.15.2. Діалогове вікно програми-імітатора
Імітатори
Фільтри
Замінники
16. Технології забезпечення безпеки інформаційних систем
16.1. Складові безпеки. Поняття загрози і атаки
16.2. Загрози доступності
16.3. Комп'ютерні віруси і інші шкідливі програми
16.4. Програмні антивіруси
17. Проектування інформаційних систем. CASE - технології