Понятие и классификация видов и методов несанкционированного доступа. Определение и модель злоумышленника
несанкционированный доступ компьютерный защита
Несанкционированный доступ - доступ к информации в нарушение должностных полномочий работника, доступ к закрытой для публичного доступа информации со стороны лиц, имеющих запрет на доступ к этой информации. Кроме того, иногда неавторизованный доступ относится к получению доступа к информации лицом, имеющим право доступа к этой информации.
Несанкционированный доступ к информации (НСД) - Доступ к информации, которая нарушает правила делимитации доступа с использованием стандартных средств, предоставляемых компьютерными средствами или автоматическими системами.
Причины несанкционированного доступа к информации:
• ошибки конфигурации
• слабая защита средств авторизации (кража паролей, смарт-карт, физический доступ к плохо защищенному оборудованию, доступ к разблокированным рабочим местам сотрудников при отсутствии сотрудников)
• ошибки в программном обеспечении
• злоупотребление служебными полномочиями (воровство резервных копий, копирование информации на внешние носители при праве доступа к информации)
• прослушивание каналов связи при использовании незащищённых соединений внутри ЛВС
• использование клавиатурных шпионов, вирусов и троянов на ЭВМ сотрудников для имперсонализации.
Методы несанкционированного доступа. С развитием технологий обработки информации получили распространение методы несанкционированного доступа к информации. Наибольшее распространение получили следующие методы:
• Работа между строк - подключение к линиям связи и внедрение в компьютерную систему с использованием промежутков в действиях законного пользователя.
• «Отказы в обслуживании» - несанкционированное использование компьютерной системы в своих целях (например, для бесплатного решения своих задач), либо блокирование системы для отказа в обслуживании другим пользователям. Для реализации такого злоупотребления используются так называемые «жадные программы» - программы, способные захватить монопольно определенный ресурс системы.
• Повторное использование объектов - это восстановление и повторное использование удаленных объектов системы. Примером такого злоупотребления является удаление файлов операционной системой. Когда ОС выдает сообщение, которое в буквальном смысле слова. Информация, которая была в этом блоке. Одним из видов повторного использования объектов является работа с компьютерным «мусором»
.• Маскарад - захватчик использует для входа в систему ставшую ему известной идентификацию законного пользователя.
• «Подкладывание свиньи» - злоумышленник подключается к линии связи и имитирует работу системы с целью осуществления незаконных манипуляций. Например, он может имитировать сеанс и получать данные под видом законного пользователя
.• Анализ трафика - захватчик анализирует частоту и методы контактов пользователя в системе. В этом случае можно узнать правила присоединения, после чего делается попытка связаться с подвидом легитимного пользователя.
• «Раздеватели» - набор специально разработанных программных средств, направленных на исследование механизма защиты программного продукта от неразрушающего контроля и его преодоления.
Развитие коммуникации и электронной почты высветило злоупотребления, которые в литературе получили название "пинг" (pinging). Суть этого злоупотребления заключается в том, что, используя стандартное или специально разработанное программное обеспечение, злоумышленник может отключить адрес электронной почты, забросив его многочисленными сообщениями электронной почты. Следствием "пинков" могут стать осложнения и возможность непреднамеренного игнорирования полученной электронной почты.
Следует отметить, что при планировании и разработке злоупотреблений могут быть созданы новые, не перечисленные в данной классификации, и может быть использована любая комбинация описанных злоупотреблений.
Виды несанкционированного доступа
Угроза информации - пути реализации воздействий, которые считаются опасными для информационной системы. По характеру возникновения их можно разделить на 2 вида:
• преднамеренные и непреднамеренные.
Непреднамеренные угрозы - это случайный акт, выражающийся в неадекватной поддержке механизмов защиты и ошибками в управлении. А умышленное-это несанкционированное получение информации и самовольное манипулирование данными, ресурсами, системами.
По типу реализации угрозы можно различать:
• программные
• непрограммные
Программное обеспечение включает в себя те, которые реализованы в виде отдельного программного модуля или модуля в программном обеспечении. К непрограммным относятся злоупотребления, которые основываются на использовании технических средств информационной системы (ИС) для подготовки и осуществления компьютерных преступлений (например, несанкционированное подключение к сетям связи, поиск информации с использованием специального оборудования и т.д.).
Преследуя различные цели, компьютерные злоумышленники используют широкий набор программных средств. Исходя из этого, представляется возможным объединение программных средств в две группы:
• тактические
• стратегические.
К тактическим относятся те, кто стремится к достижению ближайшей цели (например, получение пароля, уничтожения данных и т. д.). Они обычно используются для подготовки и реализации стратегических инструментов, направленных на реализацию амбициозных целей и сопряженных с большими финансовыми потерями для ИС. В стратегическую группу входят средства, реализация которых обеспечивает возможность получения контроля над технологическими операциями преобразования информации, влияние на функционирование компонентов ИС (например, мониторинг системы, отключение программно-аппаратной среды и др.).
Потенциальными программными злоупотреблениями можно считать программные средства, которые обладают следующими функциональными возможностями:
• искажения произвольным образом, блокировки и / или подмены вывода информации из приложений или наборов данных уже во внешней памяти, которые выводятся во внешнюю память или канал связи.
• сокрытие признаков своего присутствия в программной среде ЭВМ;
• разрушение (искажение произвольным образом) кодов программ в оперативной памяти;
• сохранение фрагментов информации из оперативной памяти в некоторых областях внешней памяти прямого доступа (локальных или удаленных);
• обладая способностью самостоятельно дублировать, ассоциировать себя с другими программами и / или переносить их фрагменты в другие области оперативной или внешней памяти;
Рассмотрев основные методы и виды несанкционированного доступа обратимся к определению модели нарушителя, совершающего вышеперечисленные действия.
При разработке модели нарушителя, следующие определяются: 1) предположения о категориях лиц, к которым может принадлежать нарушитель; 2) предположения о мотивах действий нарушителя (цели нарушителя); 3) предположения о квалификации нарушителя и его технической оснащенности (методах и средствах, используемых для совершения нарушения); 4) ограничения и предположения о характере возможных действий нарушителя.
В отношении автоматизированных технологий управления информацией (АИТУ) нарушители могут быть внутренними (из числа персонала системы) или внешними (посторонними). Внутренними нарушителями могут быть лица из следующих категорий персонала:
• пользователи (операторы) системы;
• персонал, обслуживающий технические средства (инженеры, техники);
• сотрудники отделов разработки и сопровождения программного обеспечения (прикладные и системные программисты);
• технический персонал, обслуживающий здания (уборщики, электрики, сантехники и другие сотрудники, имеющие доступ в здание и помещения, где расположены компоненты АИТУ);
• сотрудники службы безопасности АИТУ;
• руководители различного уровня должностной иерархии.
• Посторонние лица, которые могут быть внешними нарушителями:
• клиенты (представители организаций, граждане);
• посетители (приглашенные по какому-либо поводу);
• представители организаций, взаимодействующих по вопросам обеспечения жизнедеятельности организации (энерго-, водо-, теплоснабжение и т.п.);
• представители конкурирующих организаций (иностранных спецслужб) или лица, действующие по их заданию;
• лица, случайно или умышленно нарушившие пропускной режим (без цели нарушения безопасности АИТУ);
• любые лица за пределами контролируемой территории.
Есть три основных мотива нарушений: а) безответственность; б) самоутверждение; в) корыстный интерес. В случае нарушений, вызванных безответственностью, пользователь целенаправленно или случайно производит какие-либо разрушающие действия, не связанные, впрочем, со злым умыслом. В большинстве случаев это результат некомпетентности или небрежности.
Некоторые пользователи считают доступ к системным наборам данных большим успехом, запуская своего рода игру "пользователь против системы" ради самоутверждения либо в собственных глазах, либо в глазах коллег.
Нарушение безопасности может быть вызвано и корыстным интересом пользователя системы. В этом случае он будет целенаправленно пытаться преодолеть систему защиты для доступа к информации, хранящейся, передаваемой и обрабатываемой в АИТУ. Даже если у AITU есть средства, чтобы сделать такое проникновение чрезвычайно трудным, почти невозможно полностью защитить его от проникновения. Всех нарушителей можно классифицировать по четырем параметрам (уровень знаний об АИТУ, уровень возможностей, время и способ действия). 1. С точки зрения знаний АЙТУ, нарушители выделяются:
• знающих функциональные особенности АИТУ, основные закономерности формирования в ней массивов данных и потоков запросов к ним, умеющих пользоваться штатными средствами;
• обладающих высоким уровнем знаний и опытом работы с техническими средствами системы и их обслуживания;
• обладая высоким уровнем знаний в области программирования и компьютерных технологий, проектирования и эксплуатации автоматизированных информационных систем;
• знающих структуру, функции и механизм действия средств защиты, их сильные и слабые стороны.
. По уровню возможностей (используемым методам и средствам) нарушителями могут быть:
• применяющие чисто агентурные методы получения сведений;
• применяющие пассивные средства (технические средства перехвата без модификации компонентов системы);
• использование только стандартных средств и недостатков систем защиты для ее преодоления (несанкционированные действия с использованием разрешенных средств), а также компактных магнитных носителей информации, которые могут тайно переноситься через посты охраны;
• применяющие методы и средства активного воздействия (модификация и подключение дополнительных механических средств, подключение к каналам передачи данных, внедрение программных "закладок" и использование специальных инструментальных и технологических программ).
. По времени действия различают нарушителей, действующих:
• в процессе функционирования АИТУ (во время работы компонентов системы);
• в период неактивности компонентов системы (в нерабочее время, во время плановых перерывов в ее работе, перерывов для обслуживания и ремонта и т.п.);
• как в процессе функционирования АИТУ, так и в период неактивности компонентов системы.
