 |
Пользователи и злоумышленники
|
|
|
|
Основные категории пользователей информации
Правительство защищает национальную безопасность и законодательные данные, используя передовые средства защиты (СЗ) информации, некоторые из которых не доступны широкой общественности.
Корпорации защищают корпоративную и рыночную информацию, используя дорогостоящие СЗ, разработанные специально для корпораций.
Общественные организации защищают пути доступа, малый бизнес и образовательные учреждения, используя СЗ среднего уровня, как коммерческие, так и свободно распространяемые в исследовательских центрах.
Частные лица защищают личные данные, используя или коммерческие СЗ или свободно распространяемые в Internet, многие из которых также получены из исследовательских центров.
В первых трех группах можно выделить шесть типов легальных пользователей Internet, которые умышленно или по неведению могут открыть доступ к интрасети:
1) руководство организации, как правило, получает доступ на правах привилегированного пользователя. Если руководитель не обладает достаточной квалификацией в области сетевых и информационных технологий, то такой пользователь может предоставить взломщикам дополнительный вход в интрасеть с секретной информацией;
2) секретари руководителей часто получают пароли от своих начальников и, следовательно, получают все права первых. Эта категория пользователей является в чистом виде информационными работниками (без знаний сетевых технологий) и здесь угрозы информационной безопасности интрасети аналогичны пункту 1);
3) среди сотрудников могут найтись шутники, которые любят разыграть своих товарищей. Часто такие шутки приводят к нарушению нормальной работы ПК объекта шутки, что, в свою очередь, может породить более серьезные проблемы во всей интрасети;
|
|
|
4) "мертвые души" - это пользователи, которые получили идентификатор на рабочей станции, но реально на ней не работают. В результате, пароли не обновляются, и вероятность их подбора увеличивается. Следует выявлять таких пользователей и, если в дальнейшем они не будут работать на ПК, уничтожать соответствующую идентификационную информацию и пароли;
5) сами системные администраторы могут создавать проблемы. Например, для завершения начатых на рабочем месте дел на домашнем ПК они могут скорректировать правила доступа в интрасеть на выходные, или даже на время ихпереезда с рабочего места в организации до дома;
6) уволенные и неудовлетворенные своей карьерой служащие, которые в отместку за незаконное с их точки зрение увольнение или не повышение по службе могут либо сами воспользоваться важной информацией (пароли, топология сети, используемые средства защиты), либо выгодно перепродать ее.
классификация злоумышленников по трем категориям:
хакер - лицо, проявляющее чрезмерный интерес к устройству сложных систем, как правило, компьютерных, и вследствие этого интереса обладающее большими познаниями по части архитектуры и принципов устройства вычислительной среды или технологии телекоммуникаций, что используется для похищения информации.
кракер - лицо, изучающее систему с целью ее взлома. Именно кракеры реализуют свои криминальные наклонности в похищении информации и написании вирусов разрушающих ПО. Они применяют различные способы атак на компьютерную систему, используя принципы построения протоколов сетевого обмена;
фракер - приверженец электронного журнала Рhrack, который с 1985 г. публикует материалы по ОС, сетевым технологиям и новости компьютерного андеграунда. Эти пользователи компьютерных сетей злоумышленниками в обычном понимании не являются, но "взламывая" интрасети, они получают информацию о топологии этих сетей, используемых в них программно- аппаратных средствах и информационных ресурсах, а также реализованных методах защиты. Эти ценные сведения могут тем или иным способом (покупка, хищение и т.п.), попасть к заинтересованным в них лицам.
|
|
|
факторы уязвимости Internet:
1) дизайн Internet как открытой и децентрализованной сети c изначальным отсутствием политики безопасности: при разработк принципов функционирования Internet основные усилия были направлены на достижение удобства обмена информацией и многие сети спроектированы без механизмов контроля доступа со стороны Internet;
2) уязвимость основных служб: базовым протоколом Internet является набор протоколов ТСР/IР, сервисные программы которого не гарантируют безопасности;
3) большая протяженность линий связи;
4) работа в Internet основана на модели клиент/сервер, не лишенной определенных слабостей и конкретных лазеек в продуктах различных производителей; данная модель объединяет разнообразное программное и nаппаратное обеспечение, которое может иметь "дыры" для проникновения злоумышленников или согласоваться в рамках одной сети с точки зрения обеспечения информационной безопасности не лучшим образом;
5) еще недостаточно организаций, занимающихся подготовкой профессионалов по защите в Internet;
6) внедрение различными компаниями собственного дизайна при создании Wеb-страниц (который может не соответствовать требованиям обеспечения определенного класса безопасности для Wеb-узла компании и скрывающейся далее, за ним сети)
7) "утечка" технологий высокого уровня из секретных источников при вскрытии представленных в сети Wеb-узлов и сетей организаций, занимающихся разработкой этих технологий, и доступность информации о средствах защиты;
8) незашифрованность большей части передаваемой через Internet информации, что дает возможность наблюдения за каналами передачи данных: электронная почта, пароли и передаваемые файлы могут быть легко перехвачены злоумышленником при помощи доступных программ;
9) работа в Internet обслуживается большим числом сервисов, информационных служб и сетевых протоколов, знание правильности и тонкостей использования всех или хотя бы большинства сервисов, служб и протоколов одному человеку в лице администратора сети не реально;
|
|
|
10) сложность конфигурирования средств защиты - средства управления доступом зачастую сложны в настройке и контроле за ними, что влечет за собой неправильную конфигурацию таковых средств и приводит к несанкционированному доступу;
11) человеческий фактор в лице:
а) каждого отдельного пользователя, сидящего за компьютером и, возможно, не отличающегося высокими моральными принципами в смысле защиты интересов своей фирмы-работодателя и готового за соответствующую плату либо найти секретную информацию или предоставить доступ в сеть этой организации злоумышленникам, которые сами найдут в ней то, что их более всего интересует;
б) пользователей - "любителей", которые считают, что средства защиты им вообще не нужны, или неправильно сконфигурируют эти средства; в) строго не определенного круга пользователей;
Классификация всех возможных угроз информационной безопасности АС может быть проведена по ряду базовых признаков
1. По природе возникновения.
1.1. Естественные угрозы. Это угрозы, вызванные воздействиями на АС и ее компоненты объективных физических процессов или стихийных природных явлений, независящих от человека. Например:
• отказы и сбои аппаратуры;
• помехи на линиях связи от воздействий внешней среды;
• аварийные ситуации;
• стихийные бедствия.
1.2. Искусственные угрозы. Это угрозы информационной безопасности АС, вызванные деятельностью человека. Например:
• ошибки человека как звена системы;
• схемные и системотехнические ошибки разработчиков;
• структурные, алгоритмические и программные ошибки;
• действия человека, направленные на несанкционированные воздействия на информацию.
2. По степени преднамеренности проявления.
2.1. Угрозы случайного действия и/или угрозы, вызванные ошибками или халатностью персонала. Например:
• проявление ошибок программно-аппаратных средств АС;
|
|
|
• некомпетентное использование, настройка или неправомерное отключение средств защиты персоналом службы безопасности;
• неумышленные действия, приводящие к частичному или полному отказу системы или разрушению аппаратных, программных, информационных
ресурсов системы (неумышленная порча оборудования, удаление, искажение файлов с важной информацией или программ, в том числе системных и т.п.);
• неправомерное включение оборудования или изменение режимов работы устройств и программ;
• неумышленная порча носителей информации;
• пересылка данных по ошибочному адресу абонента (устройства);
• ввод ошибочных данных;
• неумышленное повреждение каналов связи.
2.2. Угрозы преднамеренного действия. Например:
• несанкционированное чтение информации;
• несанкционированное изменение информации;
• несанкционированное уничтожение информации;
• полное или частичное разрушение операционной системы.
3. По непосредственному источнику угроз.
3.1. Угрозы, непосредственным источником которых является природная среда (стихийные бедствия, магнитные бури, радиоактивное излучение и т.п.).
3.2. Угрозы, непосредственным источником которых является человек. Например:
• внедрение агентов в число персонала системы (в том числе и в административную группу, отвечающую за безопасность);
• вербовка (путем подкупа, шантажа и т.п.) персонала или отдельных пользователей, имеющих определенные полномочия;
• угроза несанкционированного копирования секретных данных пользователем АС;
• разглашение, передача или утрата атрибутов разграничения доступа (паролей, ключей шифрования, идентификационных карточек, пропусков и т.п.).
3.3. Угрозы, непосредственным источником которых являются санкционированные программно-аппаратные средства. Например:
• запуск технологических программ, способных при некомпетентном использовании вызывать потерю работоспособности системы (зависания или зацикливания) или необратимые изменения в системе (форматирование или реструктуризацию носителей информации, удаление данных и т.п.);
• возникновение отказа в работе операционной системы.
3.4. Угрозы, непосредственным источником которых являются несанкционированные программно-аппаратные средства. Например:
• нелегальное внедрение и использование неучтенных программ (игровых, обучающих, технологических и др., не являющихся необходимыми для выполнения нарушителем своих служебных обязанностей) с последующим необоснованным расходованием ресурсов (загрузка процессора, захват оперативной памяти и памяти на внешних носителях);
|
|
|
• заражение компьютера вирусами с деструктивными функциями.
4. По положению источника угроз.
4.1 Угрозы, источник которых расположен вне контролируемой зоны территории (помещения), на которой находится АС. Например:
• перехват побочных электромагнитных, акустических и других излучений устройств и линий связи, а также наводок активных излучений на вспомогательные технические средства, непосредственно не участвующие в обработке информации (телефонные линии, сети питания, отопления и т.п.);
• перехват данных, передаваемых по каналам связи, и их анализ с целью выяснения протоколов обмена; правил вхождения в связь и авторизации пользователя и последующих попыток их имитации для проникновения в систему;
• дистанционная фото- и видеосъемка.
4.2. Угрозы, источник которых расположен в пределах контролируемой зоны территории (помещения), на которой находится АС. Например:
• хищение производственных отходов (распечаток, записей, списанных носителей информации и т.п.);
• отключение или вывод из строя подсистем обеспечения функционирования вычислительных систем (электропитания, охлаждения и вентиляции, линий связи и т.д.);
• применение подслушивающих устройств.
4.3. Угрозы, источник которых имеет доступ к периферийным устройствам АС (терминалам).
4.4. Угрозы, источник которых расположен в АС. Например:
• проектирование архитектуры системы и технологии обработки данных, разработка прикладных программ, которые представляют опасность для работоспособности системы и безопасности информации;
• некорректное использование ресурсов АС.
5. По степени зависимости от активности АС.
5.1. Угрозы, которые могут проявляться независимо от активности АС. Например:
• вскрытие шифров криптозащиты информации;
• хищение носителей информации (магнитных дисков, лент, микросхем памяти, запоминающих устройств и компьютерных систем).
5.2. Угрозы, которые могут проявляться только в процессе автоматизиро ванной обработки данных (например, угрозы выполнения и распространения программных вирусов).
6. По степени воздействия на АС.
6.1. Пассивные угрозы, которые при реализации ничего не меняют в структуре и содержании АС (например, угроза копирования секретных данных).
6.2. Активные угрозы, которые при воздействии вносят изменения в струк туру и содержание АС. Например:
• внедрение аппаратных спецвложений, программных "закладок" и "вирусов" ("троянских коней" и "жучков"), т.е. таких участков программ, которые не нужны для выполнения заявленных функций, но позволяют преодолеть систему защиты, скрытно и незаконно осуществить доступ к системным ресурсам с целью регистрации и передачи критической информации илидезорганизации функционирования системы;
• действия по дезорганизации функционирования системы (изменение режимов работы устройств или программ, забастовка, саботаж персонала, постановка мощных активных радиопомех на частотах работы устройств системы и т.п.);
• угроза умышленной модификации информации.
7. По этапам доступа пользователей или программ к ресурсам АС.
7.1. Угрозы, которые могут проявляться на этапе доступа к ресурсам АС (например, угрозы несанкционированного доступа в АС).
7.2. Угрозы, которые могут проявляться после разрешения доступа к ресурсам АС (например, угрозы несанкционированного или некорректного использования ресурсов АС).
8. По способу доступа к ресурсам АС.
8.1. Угрозы, направленные на использование прямого стандартного пути доступа к ресурсам АС. Например:
• незаконное получение паролей и других реквизитов разграничения доступа (агентурным путем, используя халатность пользователей, подбором, имитацией интерфейса системы и т.д.) с последующей маскировкой под зарегистрированного пользователя ("маскарад");
• несанкционированное использование терминалов пользователей, имеющих уникальные физические характеристики, такие как номер рабочей станции в сети, физический адрес, адрес в системе связи, аппаратный блок кодирования и т.п.
8.2. Угрозы, направленные на использование скрытого нестандартного пути доступа к ресурсам АС. Например:
• вход в систему в обход средств защиты (загрузка посторонней операционной системы со сменных магнитных носителей и т.п.);
• угроза несанкционированного доступа к ресурсам АС путем использования недокументированных возможностей ОС.
9. По текущему месту расположения информации, хранимой и обрабатываемой в АС.
9.1. Угрозы доступа к информации на внешних запоминающих устройствах (например, угроза несанкционированного копирования секретной информации с жесткого диска).
9.2. Угрозы доступа к информации в оперативной памяти. Например;
• чтение остаточной информации из оперативной памяти;
• чтение информации из областей оперативной памяти, используемых операционной системой (в том числе подсистемой защиты) или другими пользователями, в асинхронном режиме, используя недостатки мультизадачных АС и систем программирования;
• угроза доступа к системной области оперативной памяти со стороны прикладных программ.
9.3. Угрозы доступа к информации, циркулирующей в линиях связи.
• незаконное подключение к линиям связи с целью работы "между строк", с использованием пауз в действиях законного пользователя от его имени с последующим вводом ложных сообщений или модификацией передаваемых сообщений;
• незаконное подключение к линиям связи с целью прямой подмены законного пользователя путем его физического отключения после входа в систему и успешной аутентификации с последующим вводом дезинформации и навязыванием ложных сообщений;
• перехват всего потока данных с целью дальнейшего анализа не в реальном масштабе времени.
9.4. Угрозы доступа к информации, отображаемой на терминале или печатаемой на принтере (например, угроза записи отображаемой информации на скрытую видеокамеру).
|
|
|
