Відмінності між версіями «Особливості безпеки комп'ютерних мереж»

Матеріал з Вікі ЦДУ
Перейти до: навігація, пошук
(Як діє комп'ютерний вірус?)
Рядок 50: Рядок 50:
  
 
Аналіз відкритих публікацій показує, що впродовж останніх десяти років в Росії і за рубежем ведеться активна бородьба за вирішення цих задач. Перша задача якраз і розв'язується самим вірусом. Друга задача розв'язується шляхом використовування для взаємодії нетрадиційних інформаційних (прихованих) каналів, які по своїй природі не можуть бути виявлені і/або блоковані існуючими засобами захисту.
 
Аналіз відкритих публікацій показує, що впродовж останніх десяти років в Росії і за рубежем ведеться активна бородьба за вирішення цих задач. Перша задача якраз і розв'язується самим вірусом. Друга задача розв'язується шляхом використовування для взаємодії нетрадиційних інформаційних (прихованих) каналів, які по своїй природі не можуть бути виявлені і/або блоковані існуючими засобами захисту.
 
== наступне ==
 

Версія за 18:44, 8 грудня 2011


Локальні та мережеві атаки

Основною особливістю будь-якої мереженої системи є те, що її компоненти розподілені в просторі, а зв'язок між ними здійснюється фізично, за допомогою мережних з'єднань (коаксіальний кабель, вита пара, оптоволокно і т. п.), і програмно, за допомогою механізму повідомлень. При цьому всі управляючі повідомлення і дані, що пересилаються між об'єктами розподіленої обчислювальної системи, передаються по мережевих з'єднаннях у вигляді пакетів обміну. До мережевих систем, разом із звичними (локальними) атаками, здійснюваними в межах однієї комп'ютерної системи, застосовний специфічний вид атак, обумовлений розподілом ресурсів і інформації в просторі, - так звані мережеві (або видалені) атаки (remote або network attacks). Вони характеризуються, по-перше, тим, що зловмисник може знаходитися за тисячі кілометрів від об'єкту, що атакується, і, по-друге, тим, що нападу може піддаватися не конкретний комп'ютер, а інформація, що передається по мережевих з'єднаннях. З розвитком локальних і глобальних мереж саме видалені атаки стають лідируючими як по кількості спроб, так і по успішності їх вживання, і, відповідно, забезпечення безпеки вс з погляду протистояння мережевим атакам набуває першорядне значення. Під видаленою атакою звичайно розуміється інформаційну руйнуючу дію на розподілену ВС, програмно здійснюване по каналах зв'язку. Таке визначення охоплює обидві особливості мережевих систем - розподіл комп'ютерів і розподіл інформації. Тому далі буде розглянуто два підвиди таких атак - це видалені атаки на інфраструктуру і протоколи мережі і видалені атаки на операційні системи та додатки. При цьому під інфраструктурою мережі ми розуміємо систему організації відносин між об'єктами мережі і сервісні служби, що використовуються в мережі, що склалася, а під операційними системами і додатками - все програмне забезпечення, що працює на видаленому комп'ютері, що тим або іншим чином забезпечує мережну взаємодію.


Чи можна зробити абсолютно безпечні локальні комп'ютерні мережі? Можливо, це нікому не потрібно?

Функціонування спеціальної системи безпеки комп'ютерної мережі, як правило, направлене на захист активів, що знаходяться усередині неї. Ці активи володіють певною вартістю і схильні до потенційної небезпеки (ризику) деструктивних дій певного типу. У зв'язку з цим побудова системи безпеки комп'ютерної мережі повинна проводитися з використанням результатів аналізу ризиків і прорахунку збитку, одержуваного при втраті активів, що захищаються. Причому очевидно, що вартість системи захисту не повинна перевищувати сукупну вартість активів, що захищаються.

Отже, якщо зробити спробу створення абсолютно безпечної комп'ютерної мережі, тобто захиститися від всіх ризиків (потенційних небезпек), то вартість такої мережі може виявитися нескінченно великою. Крім того, в умовах сучасної вітчизняної дійсності треба буде подолати ряд серйозних технологічних труднощів. Однією з них є, зокрема, недружнє відношення деяких виробників програмно-апаратних систем іноземного виробництва до побудови систем захисту інформації в інформаційних системах і мережах від супротивників деякого класу. До цього класу можна віднести супротивників, діючих від імені найбільших спецслужб. Оскільки основна частина програмно-апаратної підтримки інформаційної системи (мережі) вироблена в провідних західних країнах (розвідувальні служби яких очевидно допомагають один одному), то виробники, що знаходяться на території даних країн, цілком можуть здійснювати сприяння спеціальним службам цих країн. За ситуації, коли супротивниками є спецслужби провідних західних країн, фірми-виробники програмно-апаратної підтримки інформаційної системи є недружніми по відношенню до об'єкту атаки. Це означає, що всі «закладки», «діри», «Троянські коні», недокументовані можливості програмно-апаратної підтримки інформаційної системи, закладені фірмами-виробниками, можуть бути задіяні супротивником даного класу. І навпаки, служби інформаційної безпеки інформаційної системи, швидше за все, не одержать підтримки з боку фірми-виробника в питаннях віддзеркалення загроз з боку такого супротивника.

Виникає нове питання, чи можемо ми в таких умовах будувати досить надійні системи безпеки?


Як діє комп'ютерний вірус?

Комп'ютерні «віруси» – різновид комп'ютерних програм, які розповсюджуються та самовідтворюються, упроваджуючи себе у виконуваний код інших програм або в документи спеціального формату, що містять макрокоманди, такі, як MS Word. і Excel. Багато вірусів шкодять даним на заражених комп'ютерах, хоча іноді їх єдиною метою є лише зараження якомога більшої кількості комп'ютерів (див., наприклад, монографію: Безруков Н. Н. Компьютерные віруси. – М.: Наука, 1991).

Ознаки діяльності вірусів на комп'ютерах:
• відео та аудіо ефекти (на екрані монітора несподівано чи періодично з'являються певні графічні заставки, зображення на екрані може видозмінюватися або спотворюватися, комп'ютер може програвати музичні фрагменти);
• робота на комп'ютері істотно уповільнюється;
• деякі програми не працюють або працюють неправильно;
• комп'ютер «зависає» у звичайних ситуаціях;
• вміст деяких файлів на дисках виявляється спотвореним;
• інформація на дисках втрачається;
• втрачається доступ до робочих дисків тощо.
Віруси можуть проникати в обчислювальну систему двома шляхами: по-перше, з інфікованого комп'ютера при копіюванні з нього файлу, що містить вірус; по-друге, при запуску програми, розділеної між кількома комп'ютерами, в тому числі і при завантаженні операційної системи. Зазвичай віруси розміщуються у файлах, які здебільшого керують роботою. Це файли ОС, системних і прикладних програм, драйверів пристроїв, файли об'єктних модулів і бібліотек, дисковий і системний завантажувачі, початкові тексти програм мовами високого рівня.


Зараз основний «канал» розповсюдження вірусів – електронна пошта. Хакери і спамери використовують заражені комп'ютери користувачів для розсилки спама або розподілених атак на інформаційні системи.

Деякі виробники антивірусів стверджують, що зараз створення вірусів перетворилося з одиночного хуліганського заняття в серйозний бізнес, що має тісні зв'язки з бізнесом спама і іншими видами протизаконної діяльності. Також називають мільйонні і навіть мільярдні суми збитку від дій вірусів і «черв'яків». Згідно оцінкам західних експертів у сфері інформаційних технологій друге місце по числу інцидентів займають правопорушення пов'язані з порушенням конфіденційності інформації. При цьому значне число інцидентів зв'язано з використанням спеціального виду вірусів – spyware, впроваджуваного в інформаційні системи і являються агентом порушника. Як правило, в таких інцидентах йдеться про порушення комерційної таємниці. Програмні агенти, що використовуються порушниками, достатньо прості і, як правило, розраховані на атаку слабо захищених систем, проте подібні методики можна використовувати і для атак на інформаційні системи, що переробляють інформацію, яка містить службову і державну таємниці.

Для реалізації таких атак порушнику потрібно вирішити наступні задачі:

1. Упровадити «закладку» в інформаційну систему.

2. Забезпечити утруднення (виключення) виявлення взаємодії закладки з порушником.

Аналіз відкритих публікацій показує, що впродовж останніх десяти років в Росії і за рубежем ведеться активна бородьба за вирішення цих задач. Перша задача якраз і розв'язується самим вірусом. Друга задача розв'язується шляхом використовування для взаємодії нетрадиційних інформаційних (прихованих) каналів, які по своїй природі не можуть бути виявлені і/або блоковані існуючими засобами захисту.