Minacce di lancio di applicazioni remote

L'influenza programma-matematica è un'influenza che utilizza malware. Un programma con potenziale conseguenze pericolose o un programma dannoso è un programma indipendente (insieme di istruzioni) in grado di eseguire qualsiasi sottoinsieme non vuoto delle seguenti funzioni: · nascondere segni della sua presenza nell'ambiente software del computer; · avere la capacità di autoduplicarsi, associare stesso con altri programmi e (o) trasferire i suoi frammenti in altre aree RAM o memoria esterna; · distruggere (distorcere in modo arbitrario) il codice dei programmi RAM; · eseguire funzioni distruttive (copiare, distruggere, bloccare, ecc.) senza iniziativa dall'utente (programma utente nella sua normale modalità di esecuzione); · salvare frammenti di informazione dalla RAM in alcune aree della memoria esterna ad accesso diretto (locale o remota); · distorcere in modo arbitrario, bloccare e (o) sostituire un array di informazioni in uscita verso una memoria esterna o un canale di comunicazione, formato come un risultato del funzionamento di programmi applicativi o di array di dati già posizionati nella memoria esterna.

Programmi dannosi possono essere introdotti (introdotti) sia intenzionalmente che accidentalmente nel software utilizzato nell'ISPD durante il suo sviluppo, manutenzione, modifica e configurazione. Inoltre, durante il funzionamento dell'ISPD possono essere introdotti programmi dannosi da supporti di memorizzazione esterni o attraverso l'interazione di rete, sia a seguito di accessi non autorizzati che accidentalmente da parte di utenti ISPD.

Il malware moderno si basa sull'utilizzo di vulnerabilità in vari tipi di software (di sistema, generali, applicativi) e varie tecnologie di rete, ha un'ampia gamma di capacità distruttive (dall'esame non autorizzato dei parametri ISPD senza interferire con il funzionamento dell'ISPD, alla distruzione di software PD e ISPD) e può agire su tutti i tipi di software (sistema, applicazione, driver hardware, ecc.).

La presenza di programmi dannosi nell'ISPD può contribuire all'emergere di canali di accesso alle informazioni nascosti, anche non tradizionali, che consentono di aprire, aggirare o bloccare i meccanismi di sicurezza forniti nel sistema, comprese password e protezione crittografica.

I principali tipi di malware sono:

· segnalibri software;

· virus software (informatici) classici;

· malware che si diffonde nella rete (worm di rete);

· altri programmi dannosi progettati per svolgere attività illegali.

I segnalibri software includono programmi, frammenti di codice e istruzioni che costituiscono funzionalità software non dichiarate. I programmi dannosi possono cambiare da un tipo all'altro, ad esempio un segnalibro software può generare un virus software che, a sua volta, se esposto alle condizioni della rete, può formare un worm di rete o un altro programma dannoso progettato per eseguire accessi non autorizzati.

una breve descrizione di Il malware principale si riduce a quanto segue. I virus di avvio si scrivono nel settore di avvio del disco (settore di avvio) o nel settore contenente il boot loader del sistema del disco rigido (Master Boot Record) oppure modificano il puntatore al settore di avvio attivo. Sono incorporati nella memoria del computer quando vengono avviati da un disco infetto. In questo caso, il boot loader del sistema legge il contenuto del primo settore del disco da cui viene effettuato l'avvio, inserisce le informazioni lette in memoria e trasferisce ad esso (cioè al virus) il controllo. Successivamente, iniziano ad essere eseguite le istruzioni del virus, che, di norma, riduce la quantità di memoria libera, copia il suo codice nello spazio libero e legge la sua continuazione dal disco (se presente), intercetta i vettori di interruzione necessari (solitamente INT 13H), legge il settore di avvio originale e trasferisce ad esso il controllo.

Successivamente, un virus di avvio si comporta allo stesso modo di un virus di file: intercetta le chiamate dal sistema operativo ai dischi e le infetta, a seconda di determinate condizioni, esegue azioni distruttive, provoca effetti sonori o effetti video.

Le principali azioni distruttive compiute da questi virus sono:

· distruzione di informazioni in settori di floppy disk e dischi rigidi;

· eliminando la possibilità di caricare il sistema operativo (il computer si blocca);

· distorsione del codice del bootloader;

· formattare floppy disk o unità logiche di un disco rigido;

· blocco dell'accesso alle porte COM e LPT;

· sostituzione dei caratteri durante la stampa dei testi;

· sbalzi dello schermo;

· cambiare l'etichetta di un dischetto o floppy disk;

· creazione di cluster di pseudo-fallimento;

· creare effetti sonori e/o visivi (ad esempio, cadute
lettere sullo schermo);

· corruzione di file di dati;

· visualizzazione di vari messaggi sullo schermo;

· disabilitazione delle periferiche (ad esempio tastiera);

· cambiare la tavolozza dello schermo;

· riempire lo schermo con caratteri o immagini estranei;

· oscuramento dello schermo e passaggio alla modalità standby per l'input da tastiera;

· crittografia dei settori del disco rigido;

· distruzione selettiva dei caratteri visualizzati sullo schermo durante la digitazione dalla tastiera;

Ridurre la quantità di RAM;

· chiamata per stampare il contenuto della schermata;

· blocco della scrittura su disco;

· distruzione della tabella delle partizioni del disco, dopodiché il computer potrà essere avviato solo da un floppy disk;

· bloccare l'avvio di file eseguibili;

· bloccare l'accesso al disco rigido.

noi

Figura 3. Classificazione dei virus software e dei worm di rete

La maggior parte dei virus di avvio si scrivono sui floppy disk.

Il metodo di infezione “sovrascrittura” è il più semplice: il virus scrive il proprio codice al posto del codice del file infetto, distruggendone il contenuto. Naturalmente in questo caso il file smette di funzionare e non viene ripristinato. Tali virus si manifestano molto rapidamente poiché il sistema operativo e le applicazioni smettono di funzionare abbastanza rapidamente.

La categoria "compagno" comprende virus che non modificano i file infetti. L'algoritmo operativo di questi virus prevede la creazione di un file duplicato per il file infetto e, quando il file infetto viene avviato, è questo duplicato, ovvero il virus, a ricevere il controllo. I virus compagni più comuni sono quelli che utilizzano la funzionalità DOS per eseguire prima i file con l'estensione .COM se nella stessa directory sono presenti due file con lo stesso nome ma estensioni di nome diverse: .COM e .EXE. Tali virus creano file satellite per file EXE che hanno lo stesso nome, ma con estensione .COM, ad esempio per il file XCOPY.EXE viene creato il file XCOPY.COM. Il virus si scrive in un file COM e non modifica in alcun modo il file EXE. Quando si esegue un file di questo tipo, DOS rileverà ed eseguirà prima il file COM, cioè il virus, che poi avvierà il file EXE. Il secondo gruppo è costituito da virus che, una volta infettati, rinominano un file con un altro nome, lo ricordano (per avviare successivamente il file host) e scrivono il loro codice su disco con il nome del file infetto. Ad esempio, il file XCOPY.EXE viene rinominato XCOPY.EXD e il virus viene registrato con il nome XCOPY.EXE. Una volta avviato, il controllo riceve il codice del virus, che poi esegue l'XCOPY originale, memorizzato con il nome XCOPY.EXD. Un fatto interessante è che questo metodo sembra funzionare in tutti sistemi operativi OH. Il terzo gruppo comprende i cosiddetti virus “Path-companion”. O scrivono il loro codice sotto il nome del file infetto, ma "più in alto" di un livello nei percorsi prescritti (il DOS sarà quindi il primo a rilevare e lanciare il file del virus), oppure spostano il file della vittima in una sottodirectory più in alto, ecc. .

Potrebbero esserci altri tipi di virus compagni che utilizzano virus diversi idee originali o funzionalità di altri sistemi operativi.

I worm di file sono, in un certo senso, un tipo di virus compagno, ma non associano in alcun modo la loro presenza ad alcun file eseguibile. Quando si riproducono, copiano semplicemente il loro codice in alcune directory del disco nella speranza che un giorno queste nuove copie vengano lanciate dall'utente. A volte questi virus danno alle loro copie nomi "speciali" per incoraggiare l'utente a eseguire la copia, ad esempio INSTALL.EXE o WINSTART.BAT. Esistono virus worm che utilizzano tecniche piuttosto insolite, ad esempio scrivendo copie di se stessi negli archivi (ARJ, ZIP e altri). Alcuni virus scrivono il comando per eseguire il file infetto nei file BAT. I worm di file non devono essere confusi con i worm di rete. I primi utilizzano solo le funzioni file di un qualsiasi sistema operativo, mentre i secondi utilizzano i protocolli di rete per la loro riproduzione.

I virus di collegamento, come i virus compagni, non modificano il contenuto fisico dei file, ma quando viene avviato un file infetto, “forzano” il sistema operativo a eseguirne il codice. Raggiungono questo obiettivo modificando i campi necessari del file system.

I virus che infettano le librerie del compilatore, i moduli oggetto e i codici sorgente dei programmi sono piuttosto esotici e praticamente rari. I virus che infettano i file OBJ e LIB scrivono il loro codice al loro interno nel formato di un modulo oggetto o di una libreria. Il file infetto non è quindi eseguibile e non è in grado di diffondere ulteriormente il virus nel suo stato attuale. Il portatore del virus “live” diventa un file COM o EXE.

Dopo aver preso il controllo, il file virus esegue le seguenti azioni generali:

· controlla la RAM per la presenza della sua copia e infetta

la memoria del computer, se non viene trovata una copia del virus (se il virus è residente), cerca file non infetti nella directory corrente e (o) root scansionando l'albero delle directory delle unità logiche, quindi infetta i file rilevati;

· svolge funzioni aggiuntive (se presenti): distruttive

azioni, effetti grafici o sonori, ecc. ( funzioni aggiuntive i virus residenti possono essere richiamati qualche tempo dopo l'attivazione a seconda dell'ora corrente, della configurazione del sistema, dei contatori virus interni o di altre condizioni; in questo caso, quando attivato, il virus elabora lo stato dell'orologio del sistema, imposta i suoi contatori, ecc.);

· restituisce il controllo al programma principale (se presente).

Va notato che più velocemente un virus si diffonde, più è probabile che si verifichi un’epidemia di questo virus; più lentamente il virus si diffonde, più difficile è rilevarlo (a meno che, ovviamente, questo virus non sia sconosciuto). I virus non residenti sono spesso "lenti": la maggior parte di essi infetta uno o due o tre file quando vengono avviati e non hanno il tempo di infestare il computer prima che venga avviato il programma antivirus (o venga visualizzata una nuova versione dell'antivirus configurato per questo virus ). Esistono, ovviamente, virus "veloci" non residenti che, una volta avviati, cercano e infettano tutti i file eseguibili, ma tali virus sono molto evidenti: quando viene avviato ciascun file infetto, il computer funziona attivamente con il disco rigido per alcuni (a volte piuttosto lungo) tempo, che smaschera il virus. Il tasso di diffusione (infezione) dei virus residenti è generalmente superiore a quello dei virus non residenti: infettano i file quando viene effettuato l'accesso ad essi. Di conseguenza, tutti o quasi tutti i file sul disco che vengono costantemente utilizzati durante il lavoro vengono infettati. Il tasso di diffusione (infezione) dei virus di file residenti che infettano i file solo quando vengono avviati per l'esecuzione sarà inferiore a quello dei virus che infettano i file anche quando vengono aperti, rinominati, modificati gli attributi dei file, ecc.

Pertanto, le principali azioni distruttive eseguite dai virus dei file sono associate al danneggiamento dei file (solitamente file eseguibili o di dati), al lancio non autorizzato di vari comandi (inclusi formattazione, distruzione, copia di comandi, ecc.), alla modifica della tabella dei vettori di interruzione, ecc. Allo stesso tempo possono essere eseguite anche molte azioni distruttive simili a quelle indicate per i virus di avvio.

I macro virus sono programmi in linguaggi (macrolinguaggi) integrati in alcuni sistemi di elaborazione dati (editor di testo, fogli di calcolo, ecc.). Per riprodursi, tali virus utilizzano le capacità dei linguaggi macro e, con il loro aiuto, si trasferiscono da un file infetto (documento o tabella) ad altri. I virus macro più diffusi sono quelli del pacchetto applicativo Microsoft Office.

Affinché i virus esistano in un sistema specifico (editor), è necessario che nel sistema sia integrato un linguaggio macro con le seguenti funzionalità:

1) collegare un programma in un linguaggio macro a un file specifico;

2) copiare i programmi macro da un file all'altro;

3) ottenere il controllo di un programma macro senza l'intervento dell'utente (macro automatiche o standard).

Queste condizioni sono soddisfatte dai programmi applicativi Microsoft Word, Excel e Microsoft Access. Contengono linguaggi macro: Word Basic, Visual Basic for Applications. In cui:

1) i programmi macro sono legati a un file specifico o si trovano all'interno di un file;

2) il linguaggio macro consente di copiare file o spostare programmi macro in file di servizio di sistema e file modificabili;

3) quando si lavora con un file in determinate condizioni (apertura, chiusura, ecc.), vengono chiamati programmi macro (se presenti), che sono definiti in modo speciale o hanno nomi standard.

Questa caratteristica i linguaggi macro sono progettati per l'elaborazione automatica dei dati in grandi organizzazioni o in reti globali e consentono di organizzare il cosiddetto "flusso automatizzato di documenti". D'altro canto, le funzionalità del linguaggio macro di tali sistemi consentono al virus di trasferire il proprio codice su altri file e quindi di infettarli.

La maggior parte dei virus macro sono attivi non solo nel momento in cui il file viene aperto (chiuso), ma finché l'editor stesso è attivo. Contengono tutte le funzioni come macro standard di Word/Excel/Office. Esistono, tuttavia, virus che utilizzano tecniche per nascondere il proprio codice e archiviarlo sotto forma di non macro. Esistono tre tecniche conosciute, tutte che utilizzano la capacità delle macro di creare, modificare ed eseguire altre macro. Di norma, tali virus hanno un piccolo caricatore di macro di virus (a volte polimorfico), che richiama l'editor di macro integrato, crea una nuova macro, la riempie con il codice del virus principale, la esegue e quindi, di regola, la distrugge (per nascondere le tracce del virus). Il codice principale di tali virus è presente nella macro del virus stessa sotto forma di stringhe di testo (a volte crittografate) oppure è memorizzato nell'area variabile del documento.

I virus di rete includono virus che utilizzano attivamente i protocolli e le capacità delle reti locali e globali per diffondersi. Il principio operativo principale di un virus di rete è la capacità di trasferire autonomamente il proprio codice a un server o workstation remota. I virus di rete “veri e propri” hanno anche la capacità di eseguire il loro codice computer remoto o almeno "spingere" l'utente a eseguire il file infetto.

I programmi dannosi che consentono l'accesso non autorizzato possono essere:

· programmi per la selezione e l'apertura delle password;

· programmi che implementano minacce;

· programmi che dimostrano l'uso di capacità non dichiarate di software e hardware ISPD;

· programmi generatori di virus informatici;

· programmi che dimostrano vulnerabilità della sicurezza
informazioni, ecc.

Poiché il software diventa sempre più complesso e vario, il numero di malware è in rapido aumento. Oggi si conoscono più di 120mila firme di virus informatici. Tuttavia, non tutti rappresentano una minaccia reale. In molti casi, l'eliminazione delle vulnerabilità nel software di sistema o applicativo ha portato al fatto che numerosi programmi dannosi non sono più in grado di penetrarvi. Il nuovo malware rappresenta spesso la minaccia principale.

Classificazione dei trasgressori

In base alla loro affiliazione con l'ISPD, tutti i trasgressori sono divisi in due gruppi:

I trasgressori esterni sono individui che non hanno il diritto di soggiornare nel territorio della zona controllata all'interno della quale si trovano le apparecchiature ISPD;

I trasgressori interni sono individui che hanno il diritto di soggiornare nel territorio della zona controllata all'interno della quale si trovano le apparecchiature ISPD.

Intruso esterno

Come un intruso esterno informazioni di sicurezza, si considera intruso chi non ha accesso diretto ai mezzi tecnici e alle risorse dell'impianto ubicati all'interno dell'area controllata.

Si presuppone che un intruso esterno non possa influenzare le informazioni protette attraverso canali di fuga tecnica, poiché la quantità di informazioni archiviate ed elaborate nell'ISPD non è sufficiente per motivare eventualmente un intruso esterno a compiere azioni volte a far trapelare informazioni attraverso canali di fuga tecnica.

Si presuppone che un intruso esterno possa influenzare le informazioni protette solo durante la loro trasmissione sui canali di comunicazione.

Intruso all'interno

Le capacità di un violatore interno dipendono in modo significativo dai fattori restrittivi che operano all'interno della zona controllata, di cui il principale è l'attuazione di una serie di misure organizzative e tecniche, tra cui la selezione, il collocamento e la fornitura di alta formazione professionale del personale, la ammissione delle persone all'interno della zona controllata e controllo dell'ordine di esecuzione delle attività volte a prevenire e reprimere gli accessi non autorizzati.

Il sistema di controllo degli accessi ISPDn garantisce la differenziazione dei diritti degli utenti per l'accesso alle informazioni, al software, all'hardware e alle altre risorse ISPDn in conformità con la politica (regole) di sicurezza delle informazioni adottata. I trasgressori interni possono includere (tabella):

Amministratori di sottosistemi specifici o banche dati ISPD (categoria II);

Utenti esterni ad uno specifico AS (categoria IV);

Persone aventi capacità di accesso al sistema telematico (categoria V);

Dipendenti delle strutture sanitarie che hanno autorizzato l'accesso per scopi ufficiali ai locali in cui si trovano gli elementi dell'ISPD, ma non hanno diritto di accesso agli stessi (categoria VI);

Personale di servizio (operatori di sicurezza, ingegneria e servizi tecnici, ecc.) (categoria VII);

Personale autorizzato degli sviluppatori ISPD che, su base contrattuale, ha il diritto di mantenere e modificare i componenti ISPD (categoria VIII).

Alle persone delle categorie I e II sono affidati i compiti di amministrazione del software e dell'hardware e delle banche dati dell'ISPD per integrare e garantire l'interazione dei vari sottosistemi che fanno parte dell'ISPD. Gli amministratori possono potenzialmente implementare minacce alla sicurezza delle informazioni utilizzando le capacità di accesso diretto alle informazioni protette elaborate e archiviate nell'ISPD, nonché all'hardware e al software dell'ISPD, compresi gli strumenti di sicurezza utilizzati in specifici AS, in conformità con i poteri amministrativi stabilito per loro.

Queste persone hanno familiarità con gli algoritmi di base, i protocolli implementati e utilizzati in sottosistemi specifici e l'ISPD in generale, nonché con i principi e i concetti di sicurezza applicati.

Si presume che potrebbero utilizzare equipaggiamento standard sia per identificare vulnerabilità o per implementare minacce alla sicurezza delle informazioni. Questa attrezzatura può far parte dell'attrezzatura standard o può essere facilmente disponibile (ad esempio, software ottenuto da fonti esterne pubblicamente disponibili).

Inoltre, si presume che questi individui potrebbero avere attrezzature specializzate.

I soggetti delle categorie I e II, in considerazione del loro ruolo esclusivo nell'ISPD, dovrebbero essere soggetti ad un insieme di misure organizzative e di regime speciali per la loro selezione, assunzione, nomina all'incarico e monitoraggio dello svolgimento delle funzioni funzionali.

Si presuppone che nel numero delle persone delle categorie I e II siano incluse solo le persone di fiducia e pertanto queste persone siano escluse dall'elenco dei probabili trasgressori.

Si presuppone che le persone delle categorie III-VIII possano essere dei trasgressori.

Le capacità di un insider dipendono in modo significativo da
dalle forze di sicurezza che operano all’interno della zona controllata
e misure di protezione organizzative e tecniche, compreso l'accesso delle persone ai dati personali e il controllo della procedura di esecuzione del lavoro.

I potenziali trasgressori interni sono suddivisi in otto categorie a seconda della modalità di accesso e dei poteri di accesso ai dati personali.

Questo articolo è dedicato all'analisi tecnologie moderne che rappresentano una minaccia per la sicurezza informatica e le principali tendenze nello sviluppo di malware nel 2006.

Tendenze generali nello sviluppo di malware

Nel corso del 2006, l'autore ha scoperto e analizzato 49.697 varietà uniche di malware, di cui 47.907 appartenenti alle principali famiglie. Sulla base dei risultati della loro analisi, è stato costruito un diagramma che mostra la composizione percentuale del malware per famiglia per l'anno (Fig. 1).

Riso. 1. Composizione percentuale dei campioni ITW per famiglia

Come si può vedere dal grafico, il 37% di tutti i programmi studiati sono malware del tipo Trojan-Downloader. Si tratta di una tendenza stabile che risale al 2005 ed è dovuta al fatto che i Trojan-Downloader vengono utilizzati per installare malware, aggiornare le loro versioni e ripristinarle in caso di rimozione da parte di un antivirus. La maggior parte dei casi studiati di danni informatici causati da malware comportano il lancio di Trojan-Downloader, come risultato dell'utilizzo di un exploit o di metodi di ingegneria sociale. I successivi più comuni sono i worm di posta elettronica e di rete, i trojan di vario tipo e i programmi di tipo Dialer.

L'analisi statistica delle dinamiche di rilevamento dei campioni ITW (in the Wild) mostra che gli sviluppatori di malware hanno adottato e stanno utilizzando attivamente nuove tecnologie per combattere gli scanner di firme. La sua tecnica è estremamente semplice e prevede che lo sviluppatore crei centinaia di varianti dello stesso programma dannoso in un breve periodo di tempo. Maggior parte metodi semplici ottenendo diverse opzioni sono le seguenti:

• repacking da parte di vari packer e crypter - può essere eseguito periodicamente o al momento di una richiesta di file; l'insieme di packer e i loro parametri possono variare in modo casuale. Gli autori di malware utilizzano spesso packer e crypter modificati, il che li rende difficili da scansionare;
• ricompilare il file con modifiche sufficienti a cambiare le firme dei file utilizzate per rilevarlo;
• inserendo un file dannoso in un pacchetto di installazione creato utilizzando i programmi di installazione NSIS (Scriptable Installation System). Il codice open source del programma di installazione consente di modificarlo leggermente, il che renderà impossibile il disimballaggio e l'analisi automatica durante una scansione antivirus.

Le tecniche elencate sono note da tempo e possono essere utilizzate in varie combinazioni, il che consente all'autore di un programma dannoso di creare facilmente centinaia di varianti dello stesso programma senza utilizzare le classiche tecniche polimorfiche. Questo può essere visto usando Trojan-Downloader come esempio. Win32.Zlob. Diamo un'occhiata alle statistiche dei suoi rilevamenti negli ultimi 40 giorni (Fig. 2).

Riso. 2. Dinamica di rilevamento del Trojan-Downloader.Win32.Zlob nell'arco di 40 giorni

Durante questo periodo l'autore ha scoperto 2198 campioni ITW di Trojan-Downloader.Win32. Zlob, di cui 1213 unici. Il grafico mostra due curve: il numero di rilevamenti al giorno e il numero di varietà di file univoche. Il grafico mostra che circa ogni secondo campione ITW rilevato è un file unico e questa dipendenza rimane stabile per tutto il mese. Secondo la classificazione di Kaspersky Lab, i 1.213 campioni esaminati appartengono a 169 sottovarianti di questo malware. Tali statistiche sono molto indicative: ci sono molti programmi dannosi di cui ogni giorno vengono scoperte decine di nuove modifiche.

Un'altra tendenza caratteristica può essere osservata nell'esempio del worm e-mail Warezov. Nel corso di un mese, l’autore ha registrato 5333 campioni ITW, di cui 459 unici. Il grafico della distribuzione delle attività è mostrato in Fig. 3.

Riso. 3. Attività del worm di posta Warezov

Le tacche sul grafico rappresentano periodi di epidemie associati alla comparsa di nuove varietà di worm (in questo caso: Email-Worm.Win32.Warezov.gj, Email-Worm.Win32. Warezov.fb, Email-Worm. Win32.Warezov.hb) . Il grafico mostra che l'epidemia attiva dura in media 2-5 giorni, dopodiché il numero di rilevamenti di Warezov scende al livello "di fondo" - 10-30 campioni al giorno. La comparsa di tali epidemie è abbastanza comprensibile: una nuova varietà di worm non viene rilevata dagli antivirus, di conseguenza il worm infetta molti PC e inizia un'epidemia. Si sviluppa rapidamente, ma nel giro di un giorno le firme del worm finiscono nei database degli antivirus e l'epidemia diminuisce rapidamente.

Separatamente, va notato la distribuzione attiva di programmi Trojan della categoria Trojan-SPY: spie che rubano i dati personali degli utenti. Tra questi spicca il famoso Goldun, che ruba informazioni sugli account del sistema e-gold. Le versioni più recenti di questo programma trojan utilizzano attivamente le tecnologie rootkit per il travestimento e lo spionaggio (figura 4).

Riso. 4. Grafico delle attività Trojan-SPY dell'ultimo mese

Un'analisi delle tecnologie utilizzate dai creatori di malware mostra che nel 2006 non è stata inventata alcuna nuova tecnologia rivoluzionaria: gli sviluppatori di malware si affidano alla quantità, non alla qualità. Tuttavia, sono emersi diversi nuovi prodotti che meritano una discussione più dettagliata.

In conclusione, diamo un’occhiata al grafico medio riassuntivo costruito utilizzando i dati del sistema di monitoraggio automatico dell’autore per l’attività virale (Fig. 5).

Riso. 5. Statistiche del sistema di ricerca automatica del malware negli ultimi 40 giorni

Il grafico mostra che il sistema automatico registra in media circa 400 nuove varietà uniche di malware al giorno.

Tecnologie rootkit

Il 2006 ha visto lo sviluppo e il miglioramento di vari tipi di rootkit e di tecnologie rootkit. Queste tecnologie sono utilizzate da molti malware e ne esistono di diversi tipi:

• Tecnologie rootkit per il camuffamento, il cui scopo principale è mascherare la presenza di un programma dannoso e dei suoi componenti sul disco e in memoria, nonché mascherare le chiavi nel registro. Per risolvere questo problema, viene spesso utilizzata l'intercettazione delle funzioni API e i rootkit moderni utilizzano tecniche di intercettazione molto sofisticate, ad esempio inserendo codice in funzioni del kernel non esportate, intercettando l'interrupt Int2E e modificando SYSENTER. Una menzione speciale meritano i rootkit DKOM (Direct Kernel Object Manipulation), che stanno diventando sempre più popolari;
• Tecnologie rootkit per lo spionaggio: come suggerisce il nome, vengono utilizzate per monitorare l'attività degli utenti e raccogliere informazioni riservate. L'esempio più tipico è Trojan-Spy.Win32.Goldun che, sfruttando il principio del rootkit, intercetta lo scambio di applicazioni con Internet per cercare i dati della carta di credito dell'utente nel flusso di informazioni trasmesse.

Diamo uno sguardo più da vicino ai rootkit DKOM. Il principio del loro funzionamento si basa sulla modifica delle strutture del sistema che descrivono processi, driver, thread e descrittori. Tale interferenza nelle strutture del sistema, ovviamente, è un'operazione non documentata e molto errata, ma il sistema dopo tale interferenza continua a funzionare più o meno stabilmente. La conseguenza pratica di tale interferenza è che un utente malintenzionato ha la capacità di manipolare le strutture del kernel per i propri scopi. Ad esempio, per ciascuno dei processi in esecuzione, nel kernel viene creata una struttura EPROCESS, che memorizza molte informazioni sul processo, in particolare il suo identificatore (PID) e il nome del processo. Queste strutture formano un elenco doppiamente collegato e vengono utilizzate dalle funzioni API che restituiscono informazioni sui processi in esecuzione. Per mascherare un processo, un rootkit DKOM deve solo rimuovere la sua struttura EPROCESS dall'elenco. L'implementazione di tale travestimento è estremamente semplice e su Internet puoi trovare dozzine di implementazioni già pronte con il codice sorgente. I rootkit più complessi non si limitano a rimuovere la struttura dell'oggetto mascherato dall'elenco, ma distorcono i dati in esso contenuti. Di conseguenza, anche se l'antirootkit riesce a trovare un processo o un driver mascherato, riceverà informazioni errate al riguardo. Grazie alla facilità di implementazione, tali rootkit stanno diventando sempre più popolari e diventa sempre più difficile combatterli. La ricerca ha dimostrato che il metodo più efficace per contrastarli è installare nel sistema un monitor che controlli l'avvio/arresto dei processi e il caricamento/scaricamento dei driver. Confrontando le informazioni raccolte da tale monitor con i dati restituiti dal sistema è possibile rilevare le modifiche apportate dal rootkit DKOM, comprenderne la natura e rilevare processi e driver mascherati.

Programmi bufala

Il software Hoax continua a svilupparsi rapidamente, quindi possiamo prevedere con sicurezza la crescita di questa famiglia nel 2007. Tradotto letteralmente, Hoax è inganno; menzogna, bufala, falsità. L'idea dei programmi Hoax è ingannare l'utente, molto spesso allo scopo di realizzare un profitto o rubare informazioni riservate. Recentemente si è registrata una tendenza alla criminalizzazione di questo settore: se un anno fa la maggior parte dei programmi Hoax eseguivano azioni relativamente innocue, simulando l'infezione di un computer con virus o codice SpyWare, quelli moderni mirano sempre più a rubare password o informazioni riservate. Un esempio di tale programma è mostrato in Fig. 6.

Riso. 6. Finestra del programma Hoax.Win32.Delf

Come risulta dalla finestra del programma e dalla sua descrizione, questo è un generatore di licenze per Kaspersky Anti-Virus. Il programma ti chiede di inserire il tuo indirizzo email e la password per accedere alla tua casella di posta e ricevere la licenza generata. Se un utente fiducioso fa questo e fa clic sul pulsante “Ottieni Cipher”, i dati da lui inseriti verranno trasferiti all’aggressore tramite e-mail. Nell'ultimo anno sono stati scoperti più di un centinaio di programmi simili: si tratta di varie "crack", generatori di carte di pagamento per operatori di telefonia mobile, generatori di numeri di carte di credito, mezzi per "hackerare" le caselle di posta, ecc. Una caratteristica comune di tali programmi è l'inganno dell'utente, volto a indurlo a inserire autonomamente alcune informazioni riservate. Secondo caratteristica Le applicazioni hoax sono primitive: contengono molti errori e imprecisioni nel codice del programma. Tali programmi sono spesso creati da autori di virus alle prime armi.

Il trend di sviluppo dei programmi Hoax può essere visto usando l'esempio di Hoax.Win32.Renos (Fig. 7).

Riso. 7. Dinamica del rilevamento di Hoax.Win32.Renos negli ultimi 30 giorni

Il grafico mostra che l'autore scopre almeno una nuova variante unica di questo malware al giorno e in appena un mese vengono osservate 60 nuove varianti uniche, incluse in 18 sottovarietà secondo la classificazione di Kaspersky Lab.

Programmi trojan per ricatto ed estorsione

Programmi di questo tipo sono apparsi per la prima volta un paio di anni fa. Il loro obiettivo principale è ricattare direttamente l'utente ed estorcergli denaro per ripristinare la funzionalità del computer o decrittografare le informazioni codificate da un programma Trojan. Molto spesso l'autore riceve segnalazioni e richieste di aiuto da parte di utenti colpiti dal trojan Trojan.Win32.Krotten, che ha estorto 25 WMZ per ripristinare la funzionalità del computer. Questo programma trojan è estremamente primitivo nel design e tutto il suo lavoro si riduce alla modifica di centinaia di chiavi nel registro (una descrizione dettagliata di una delle sue varietà può essere trovata all'indirizzo: http://www.z-oleg.com/secur /virlist/vir1180.php). La particolarità dei programmi Trojan di questa famiglia è che per curare un computer non è sufficiente cercare e distruggere il Trojan, è anche necessario ripristinare il danno che ha causato al sistema. Mentre il danno al registro causato dal Trojan Krotten è abbastanza semplice da eliminare, le informazioni crittografate sono molto più difficili da recuperare. Ad esempio, l'ideatore del programma trojan Gpcode, che crittografa i dati degli utenti, aumenta gradualmente la lunghezza della chiave di crittografia, mettendo così in difficoltà le società di antivirus. Potete leggere ulteriori informazioni su questo Trojan nell'articolo “Blackmailer” all'indirizzo: http://www.viruslist.com/ru/analysis?pubid=188790045.

Iniezione di codice come metodo di lancio nascosto

Questa tecnologia è più chiaramente visibile nei moderni Trojan-Downloader, ma sta gradualmente iniziando ad essere implementata in altri programmi dannosi. La sua tecnica è relativamente semplice: il programma dannoso è convenzionalmente composto da due parti: un "iniettore" e un codice Trojan. Il compito dell'"iniettore" è decomprimere e decrittografare il codice Trojan e implementarlo in un determinato processo di sistema. In questa fase, il malware studiato differisce nel metodo di introduzione del codice Trojan:

• iniezione mediante sostituzione del contesto: il principio di tale iniezione prevede la preparazione e la decrittografia del codice Trojan (passaggio 1), l'avvio di qualsiasi processo di sistema e, durante la creazione di un processo, viene creato in modalità "sleep" (sospeso) (passaggio 2). Successivamente, l'iniettore inietta il codice Trojan nella memoria del processo (e tale iniezione può essere eseguita sopra il codice macchina del processo), dopodiché modifica il contesto del thread principale in modo che il codice Trojan riceva il controllo (passaggio 3 ). Successivamente viene avviato il thread principale e viene eseguito il codice Trojan. Questo metodo è interessante in quanto qualsiasi gestore di processo mostrerà l'esecuzione di un programma legittimo (ad esempio, svchost.exe), ma invece del codice macchina del programma legittimo, verrà individuato ed eseguito in memoria il codice Trojan. Questo metodo consente di aggirare i firewall che non hanno controlli sulla modifica della memoria del processo e del contesto dei suoi thread (Fig. 8);

Riso. 8. Iniezione mediante sostituzione del contesto

• iniezione di thread Trojan - questo metodo è ideologicamente simile al precedente, ma invece di sostituire il codice macchina del processo con un Trojan ed eseguirlo nel thread principale, viene creato un thread aggiuntivo in cui viene eseguito il codice Trojan (passaggio 2). Questo metodo viene spesso utilizzato per inserire codice Trojan in un processo esistente senza interromperne il funzionamento (Fig. 9).

Riso. 9. Iniezione mediante la creazione di un flusso di Trojan

Nuovi metodi di furto WebMoney

Alla fine del 2006 è stato scoperto un metodo nuovo e piuttosto originale per rubare denaro nel sistema WebMoney. Si basa sull'introduzione nel computer dell'utente di un piccolo programma trojan che controlla se la finestra del programma WebMoney è aperta. Se è aperto, gli appunti vengono monitorati. Quando rileva negli appunti del testo che inizia con "Z", "R" o "E", il programma trojan ritiene che si tratti del numero del portafoglio del destinatario, che l'utente ha copiato negli appunti per inserirlo nella finestra WebMoney. Questo numero viene rimosso dal buffer e sostituito con il numero “Z”, “R” o “E” del portafoglio dell’aggressore. Il metodo è estremamente semplice da implementare e può essere abbastanza efficace, poiché molto spesso i numeri del portafoglio non vengono inseriti, ma copiati attraverso un buffer, e non tutti gli utenti controllano attentamente se il numero del portafoglio è stato inserito dal buffer. Questo Trojan è una chiara dimostrazione dell'ingegnosità degli sviluppatori di programmi Trojan.

Rilevamento di debugger e PC virtuali

I metodi per combattere debugger, emulatori e computer virtuali sono noti da molto tempo. Il loro utilizzo rende difficile per uno specialista alle prime armi analizzare un programma dannoso, motivo per cui tali tecnologie sono state utilizzate con successo dagli sviluppatori di malware per molto tempo. Tuttavia, nell'ultimo anno, è emersa una nuova tendenza: i malware hanno iniziato a cercare di determinare il tipo di computer, se si tratta di hardware reale o di emulazione creata da programmi come Virtual PC o VMWare. Tali PC virtuali sono stati e vengono utilizzati attivamente dagli amministratori per studiare programmi sospetti. Se viene effettuato un controllo, se viene avviato su un PC virtuale (o, in alternativa, sotto un debugger), il programma dannoso potrebbe semplicemente terminare il suo lavoro in modo anomalo, impedendo così che venga studiato. Inoltre, un simile controllo sarebbe un duro colpo per sistemi come Norman Sandbox, poiché il loro principio di analisi euristica consiste essenzialmente nell'eseguire il programma in studio su un emulatore ed esaminarne il funzionamento. Alla fine dell'anno, gli specialisti del SANS Institute Tom Liston e Ed Skoudis hanno pubblicato un rapporto molto interessante che descrive le tecniche di rilevamento delle macchine virtuali e la lotta contro i metodi di rilevamento. Il documento può essere scaricato dal sito web SANS - http://handlers.sans.org/tliston/ThwartingVMDetection_Liston_Skoudis.pdf.

Bot spam e proxy Trojan

Uno spambot è un programma Trojan autonomo progettato per inviare automaticamente spam da un computer interessato. Un proxy Trojan è un programma dannoso con le funzioni di un server proxy; il suo funzionamento sul computer interessato consente a un utente malintenzionato di utilizzarlo come server proxy per inviare spam, sferrare attacchi ad altri computer e commettere altre azioni illegali. Molti bot spam moderni mascherano attivamente la loro presenza utilizzando tecnologie rootkit e si proteggono dall'eliminazione. Le statistiche mostrano che ogni mese vengono scoperte più di 400 varietà ITW di tali programmi, di cui circa 130 sono nuove e uniche.

Uno spambot rappresenta una grave minaccia per le reti aziendali, poiché il suo funzionamento porta alle seguenti conseguenze:

• elevato consumo di traffico di rete: nella maggior parte delle città russe non esistono ancora tariffe illimitate, quindi la presenza di numerosi computer interessati sulla rete può portare a significative perdite finanziarie dovute al consumo di traffico;
• molti reti aziendali Per accedere a Internet utilizzano indirizzi IP statici e i propri server di posta. Di conseguenza, a causa dell'attività dei bot spam, questi indirizzi IP verranno rapidamente inseriti nella lista nera dei filtri anti-spam, il che significa che i server di posta su Internet non accetteranno più la posta dal server di posta aziendale dell'azienda. È possibile escludere il tuo indirizzo IP dalla lista nera, ma è abbastanza difficile e se sulla rete sono presenti bot spam funzionanti, questa sarà una misura temporanea.

I metodi per contrastare i bot spam e i proxy Trojan sono molto semplici: è necessario bloccare la porta 25 per tutti gli utenti e, idealmente, vietare loro completamente la comunicazione diretta con Internet, sostituendola con il lavoro tramite server proxy. Ad esempio, a Smolenskenergo, tutti gli utenti accedono a Internet solo tramite un proxy con un sistema di filtro e quotidianamente viene effettuato uno studio semiautomatico dei protocolli, eseguito dall'amministratore di sistema di turno. L'analizzatore utilizzato semplifica il rilevamento di anomalie nel traffico degli utenti e l'adozione di misure tempestive per bloccare attività sospette. Inoltre i sistemi IDS (Intrusion Detection System) che studiano il traffico di rete degli utenti forniscono ottimi risultati.

Distribuzione di malware tramite messaggistica Internet

Secondo le statistiche raccolte nel corso dell’anno, i cercapersone Internet vengono sempre più utilizzati per iniettare malware nei computer degli utenti. La tecnica di implementazione è l’ingegneria sociale classica. Dal computer infetto, il programma dannoso invia messaggi per conto dell'ICQ del suo proprietario, chiedendo con un pretesto o con l'altro di aprire il collegamento specificato. Il collegamento porta a un programma trojan (di solito con un nome significativo come picture.pif o flash_movie.exe) o a un sito Web le cui pagine contengono exploit. Va notato in particolare che vengono distribuiti collegamenti a programmi dannosi e non i loro corpi.

Nell’ultimo anno si sono registrate diverse epidemie basate su questo principio. In Russia, le vittime erano principalmente utenti ICQ e molto spesso venivano distribuiti in questo modo programmi della categoria Trojan-PSW: programmi Trojan che rubano le password degli utenti. In media l'autore riceve da uno a dieci messaggi al giorno, ed entro la fine dell'anno si registra un aumento di tali invii.

La protezione contro questo tipo di malware è estremamente semplice: non dovresti aprire tali collegamenti. Tuttavia, le statistiche mostrano che la curiosità degli utenti spesso supera questa, soprattutto se i messaggi arrivano per conto di una persona a loro ben nota. In un ambiente aziendale, una misura efficace è vietare l'uso dei cercapersone Internet, poiché in termini di sicurezza rappresentano un canale ideale per la fuga di informazioni.

Supporto flash USB

Un calo significativo dei prezzi dei media flash (nonché un aumento del loro volume e velocità) ha portato a un effetto naturale: un rapido aumento della loro popolarità tra gli utenti. Di conseguenza, gli sviluppatori di malware hanno iniziato a creare programmi che infettano le unità flash. Il principio di funzionamento di tali programmi è estremamente semplice: nella radice del disco vengono creati due file: il file di testo autorun.inf e una copia del programma dannoso. Il file di esecuzione automatica viene utilizzato per eseguire automaticamente il programma dannoso quando l'unità è collegata. Un classico esempio di questo tipo di malware è il worm email Rays. È importante notare che una fotocamera digitale, molti telefoni cellulari, lettori MP3 e PDA possono fungere da portatori del virus: dal punto di vista del computer (e, di conseguenza, del worm), sono indistinguibili da un flash guidare. Tuttavia, la presenza di malware non pregiudica in alcun modo il funzionamento di questi dispositivi.

Una misura di protezione contro tali programmi può essere la disabilitazione dell'esecuzione automatica e l'utilizzo di monitor antivirus per il rilevamento e la rimozione tempestivi del virus. Di fronte alla minaccia di un afflusso di virus e fughe di informazioni, molte aziende stanno adottando misure più rigorose, bloccando la possibilità di connettere dispositivi USB utilizzando software specializzato o bloccando i driver USB nelle impostazioni di sistema.

Conclusione

Questo articolo ha esaminato le principali direzioni di sviluppo del malware. La loro analisi ci permette di fare diverse previsioni:

• Si può presumere che l'area del camuffamento degli scanner di firma e della protezione dal lancio su computer virtuali ed emulatori verrà sviluppata attivamente. Di conseguenza, per combattere questo tipo di malware intervengono innanzitutto diversi analizzatori euristici, firewall e sistemi di difesa proattivi;
• Esiste una chiara criminalizzazione del settore dello sviluppo di malware; la quota di bot spam, proxy Trojan e programmi Trojan volti a rubare password e dati personali degli utenti è in crescita. A differenza dei virus e dei worm, questi programmi possono causare notevoli danni materiali agli utenti. Lo sviluppo dell'industria dei programmi Trojan che crittografano i dati degli utenti ci fa riflettere sull'opportunità di backup periodici, che riducono praticamente a zero i danni di un simile Trojan;
• Dall'analisi dei casi di infezione dei computer emerge che spesso gli aggressori penetrano nei server web per inserirvi programmi dannosi. Un hack di questo tipo è molto più pericoloso del cosiddetto defacement (sostituzione della pagina iniziale di una pagina), poiché i computer dei visitatori della pagina possono essere infettati. Si può presumere che quest'area si svilupperà molto attivamente;
• Le unità flash, le fotocamere digitali, i lettori MP3 e i PDA stanno diventando una minaccia crescente per la sicurezza perché possono trasportare virus. Molti utenti sottovalutano il pericolo rappresentato, ad esempio, da una fotocamera digitale, ma l'autore è riuscito a studiare almeno 30 incidenti che hanno coinvolto tali dispositivi nel 2006;
• Un'analisi della struttura e dei principi di funzionamento dei malware mostra che è possibile proteggersi senza un antivirus: semplicemente non saranno in grado di funzionare in un sistema configurato correttamente. La regola base di protezione è che l'utente lavori con un account limitato, che, in particolare, non ha i privilegi per scrivere nelle cartelle di sistema, per gestire servizi e driver o per modificare le chiavi del registro di sistema.

Valido Editoriale da 15.02.2008

"MODELLO BASE DELLE MINACCE ALLA SICUREZZA DEI DATI PERSONALI DURANTE IL LORO TRATTAMENTO NEI SISTEMI INFORMATIVI DEI DATI PERSONALI" (approvato il 15 febbraio 2008 dal FSTEC della Federazione Russa)

5. Minacce di accesso non autorizzato alle informazioni contenute nel sistema informativo dei dati personali

Le minacce ai dati personali nei sistemi di informazione dei dati personali che utilizzano software e hardware vengono implementate quando viene effettuato un accesso non autorizzato, anche accidentale, con conseguente violazione della riservatezza (copia, distribuzione non autorizzata), integrità (distruzione, modifica) e disponibilità (blocco ) di dati personali, e comprendono:

minacce di accesso (penetrazione) nell'ambiente operativo del computer utilizzando software standard (strumenti del sistema operativo o programmi applicativi generali);

Minacce di creazione di modalità operative anomale del software (hardware e software) a causa di cambiamenti deliberati nei dati di servizio, ignorando le restrizioni sulla composizione e sulle caratteristiche delle informazioni elaborate previste in condizioni standard, distorsione (modifica) dei dati stessi, ecc. ;

minacce di introduzione di programmi dannosi (software e influenza matematica).

La composizione degli elementi per descrivere le minacce alle informazioni nel sistema di gestione delle informazioni nell'ISPD è mostrata nella Figura 3.

Inoltre, sono possibili minacce combinate, che rappresentano una combinazione di queste minacce. Ad esempio, attraverso l'introduzione di programmi dannosi si possono creare le condizioni per l'accesso non autorizzato all'ambiente operativo del computer, anche attraverso la formazione di canali di accesso alle informazioni non tradizionali.

Le minacce di accesso (penetrazione) nell'ambiente operativo ISDN tramite software standard si suddividono in minacce di accesso diretto e remoto. Le minacce ad accesso diretto vengono eseguite utilizzando software per computer e strumenti di input/output hardware. Le minacce di accesso remoto vengono implementate utilizzando protocolli di comunicazione di rete.

Queste minacce vengono realizzate nei confronti dell'ISPD sia sulla base di una postazione di lavoro automatizzata non inclusa nella rete di comunicazione pubblica, sia in relazione a tutti gli ISPD che sono collegati alle reti di comunicazione pubblica e alle reti internazionali di scambio di informazioni.

La descrizione delle minacce di accesso (penetrazione) nell'ambiente operativo di un computer può essere presentata formalmente come segue:

minaccia di NSD nell'ISPDn: =<источник угрозы>, <уязвимость ИСПДн>, <способ реализации угрозы>, <объект воздействия (программа, протокол, данные и др.)>, <деструктивное действие>.

Figura 3. Elementi della descrizione delle minacce di accesso non autorizzato alle informazioni nell'ISDN

Le minacce di creare modalità operative anomale degli strumenti software (software e hardware) sono minacce di tipo “Denial of Service”. Di norma, queste minacce vengono considerate in relazione all'ISDN basato su sistemi informativi locali e distribuiti, indipendentemente dal collegamento dello scambio di informazioni. La loro implementazione è dovuta al fatto che nello sviluppo di software di sistema o applicativo non viene presa in considerazione la possibilità di azioni deliberate per modifiche mirate:

condizioni di elaborazione dei dati (ad esempio, ignorare le restrizioni sulla lunghezza di un pacchetto di messaggi);

Formati di presentazione dei dati (con incoerenza dei formati modificati stabiliti per l'elaborazione utilizzando i protocolli di comunicazione di rete);

Software di elaborazione dati.

Come risultato dell'implementazione delle minacce Denial of Service, i buffer vengono sovraccaricati e le procedure di elaborazione vengono bloccate, le procedure di elaborazione vengono ripetute in loop e il computer si blocca, i pacchetti di messaggi vengono eliminati, ecc. La descrizione di tali minacce può essere presentata formalmente come segue:

Minaccia di negazione del servizio: =<источник угрозы>, <уязвимость ИСПДн>, <способ реализации угрозы>, <объект воздействия (носитель ПДн)>, <непосредственный результат реализации угрозы (переполнение буфера, блокирование процедуры обработки, "зацикливание" обработки и т.п.)>.

Non è appropriato descrivere le minacce derivanti dall'introduzione di programmi dannosi (software e influenza matematica) con gli stessi dettagli delle minacce di cui sopra. Ciò è dovuto al fatto che, in primo luogo, il numero di programmi dannosi oggi supera già significativamente i centomila. In secondo luogo, quando si organizza in pratica la protezione delle informazioni, di norma è sufficiente conoscere la classe del programma dannoso, i metodi e le conseguenze della sua implementazione (infezione). A questo proposito, le minacce derivanti dall’influenza matematica del software (PMI) possono essere formalmente presentate come segue:

Minaccia della prima guerra mondiale nell'ISPDn: =<класс вредоносной программы (с указанием среды обитания)>, <источник угрозы (носитель вредоносной программы)>, <способ инфицирования>, <объект воздействия (загрузочный сектор, файл и т.п.)>, <описание возможных деструктивных действий>, <дополнительная информация об угрозе (резидентность, скорость распространения, полиморфичность и др.)>.

Di seguito è riportata una descrizione generale delle fonti delle minacce alla sicurezza delle informazioni, delle vulnerabilità che possono essere utilizzate nell'implementazione di minacce di accesso non autorizzato e una descrizione dei risultati dell'accesso non autorizzato o accidentale. Le caratteristiche dei metodi di implementazione delle minacce vengono fornite quando si descrivono le minacce di accesso (penetrazione) nell'ambiente operativo di un computer, le minacce di negazione del servizio e le minacce di PMV.

Le fonti delle minacce NSD nell’ISPD possono essere:

intruso;

vettore di malware;

segnalibro hardware.

Le minacce alla sicurezza dei dati personali associate all'implementazione dei segnalibri hardware sono determinate in conformità con i documenti normativi Servizio federale sicurezza Federazione Russa secondo le modalità da esso prescritte.

Sulla base del diritto di accesso permanente o una tantum all'area controllata (CA) dell'ISPD, i trasgressori si dividono in due tipologie:

i trasgressori che non hanno accesso all'ISPD e mettono in atto minacce da reti di comunicazione pubbliche esterne e (o) reti internazionali di scambio di informazioni sono trasgressori esterni;

I trasgressori che hanno accesso all’ISPD, compresi gli utenti dell’ISPD, che implementano le minacce direttamente nell’ISPD sono trasgressori interni.

Gli intrusi esterni possono essere:

servizi di intelligence degli Stati;

Strutture criminali;

concorrenti (organizzazioni concorrenti);

partner senza scrupoli;

entità esterne (individui).

Un intruso esterno ha le seguenti capacità:

effettuare accessi non autorizzati ai canali di comunicazione esterni ai locali;

esercitare accessi non autorizzati attraverso postazioni automatizzate connesse a reti pubbliche di comunicazione e (o) reti internazionali di scambio di informazioni;

effettuare l'accesso non autorizzato alle informazioni utilizzando speciali influenze software attraverso virus software, malware, segnalibri algoritmici o software;

Eseguire l'accesso non autorizzato attraverso elementi dell'infrastruttura informativa dell'ISPD, che nel processo di ciclo vitale(ammodernamenti, manutenzioni, riparazioni, smaltimento) finiscono fuori dall'area controllata;

esercitare un accesso non autorizzato attraverso i sistemi informativi di dipartimenti, organizzazioni e istituzioni interagenti quando sono collegati all'ISPD.

Le capacità di un violatore interno dipendono in modo significativo dalle misure di sicurezza, organizzative e di protezione tecnica in vigore all'interno della zona controllata, compreso l'accesso delle persone ai dati personali e il controllo della procedura di esecuzione del lavoro.

I potenziali trasgressori interni sono suddivisi in otto categorie a seconda della modalità di accesso e dei poteri di accesso ai dati personali.

La prima categoria comprende le persone che hanno accesso autorizzato all'ISPD, ma non hanno accesso al PD. Questa tipologia di trasgressori comprende i funzionari che garantiscono il normale funzionamento dell'ISPD.

avere accesso a frammenti di informazioni contenenti dati personali e diffuse attraverso i canali di comunicazione interna dell'ISPD;

Avere informazioni sulla topologia dell'ISPD (parte di comunicazione della sottorete) e sui protocolli di comunicazione utilizzati e sui loro servizi;

Avere nomi e identificare le password degli utenti registrati;

modificare la configurazione mezzi tecnici ISPDn, aggiunge segnalibri software e hardware e garantisce il recupero delle informazioni utilizzando una connessione diretta ai mezzi tecnici di ISPDn.

ha tutte le capacità delle persone della prima categoria;

Conosce almeno un nome di accesso legale;

Possiede tutti gli attributi necessari (ad esempio una password) che forniscono l'accesso a un determinato sottoinsieme di dati personali;

dispone di dati riservati a cui ha accesso.

Il suo accesso, autenticazione e diritti di accesso a un determinato sottoinsieme di dati personali devono essere regolati da apposite norme di controllo degli accessi.

ha tutte le capacità delle persone della prima e della seconda categoria;

Dispone di informazioni sulla topologia dell'ISPD basata sul sistema informativo locale e (o) distribuito attraverso il quale viene fornito l'accesso e sulla composizione dei mezzi tecnici dell'ISPD;

ha la capacità di dirigere l'accesso (fisico) a frammenti dei mezzi tecnici ISPD.

Dispone di informazioni complete sul sistema e sul software applicativo utilizzato nel segmento ISPD (frammento);

Dispone di informazioni complete sui mezzi tecnici e sulla configurazione del segmento ISPD (frammento);

ha accesso agli strumenti di sicurezza e registrazione delle informazioni, nonché ai singoli elementi utilizzati nel segmento ISPD (frammento);

ha accesso a tutti i mezzi tecnici del segmento (frammento) dell'ISPD;

ha il diritto di configurare e impostare amministrativamente un certo sottoinsieme di mezzi tecnici di un segmento (frammento) di un ISPD.

Ha tutte le capacità delle persone delle categorie precedenti;

dispone di informazioni complete sul sistema e sul software applicativo dell'ISPD;

dispone di informazioni complete sui mezzi tecnici e sulla configurazione dell'ISPD;

ha accesso a tutti gli strumenti tecnici di elaborazione delle informazioni e dei dati ISPD;

ha il diritto di configurare e istituire amministrativamente i mezzi tecnici dell'ISPD.

L'amministratore di sistema configura e gestisce software e apparecchiature, comprese le apparecchiature responsabili della sicurezza dell'oggetto protetto: mezzi di protezione crittografica delle informazioni, monitoraggio, registrazione, archiviazione, protezione contro l'accesso non autorizzato.

ha tutte le capacità delle persone delle categorie precedenti;

dispone di informazioni complete sull'ISPD;

ha accesso agli strumenti di sicurezza e registrazione delle informazioni e ad alcuni degli elementi chiave dell'ISPD;

Non ha diritti di accesso per configurare le apparecchiature tecniche di rete, ad eccezione di quelle di controllo (ispezione).

L'amministratore della sicurezza è responsabile del rispetto delle regole di controllo degli accessi, della generazione di elementi chiave e della modifica delle password. L'amministratore della sicurezza controlla gli stessi controlli di sicurezza degli oggetti dell'amministratore di sistema.

dispone di informazioni su algoritmi e programmi per l'elaborazione delle informazioni sull'ISPD;

Ha la capacità di introdurre errori, funzionalità non dichiarate, segnalibri software, malware nel software ISPD nella fase di sviluppo, implementazione e manutenzione;

può avere informazioni sulla topologia dell'ISPD e sui mezzi tecnici di elaborazione e protezione della PD elaborata nell'ISPD.

ha la possibilità di aggiungere segnalibri agli strumenti tecnici ISPD nella fase del loro sviluppo, implementazione e manutenzione;

Può avere informazioni sulla topologia dell'ISPD e sui mezzi tecnici di elaborazione e protezione delle informazioni nell'ISPD.

Il vettore del malware può essere un elemento hardware del computer o un contenitore di software. Se il programma dannoso non è associato ad alcun programma applicativo, ne vengono considerati portatori:

Supporti alienabili, ovvero floppy disk, dischi ottici (CD-R, CD-RW), memorie flash, dischi rigidi alienabili, ecc.;

Supporti di memorizzazione integrati (dischi rigidi, chip RAM, processore, microcircuiti scheda madre, chip per dispositivi integrati nell'unità di sistema: adattatore video, scheda di rete, scheda audio, modem, dispositivi di input/output per unità ottiche e rigide magnetiche, alimentatore, ecc., chip per l'accesso diretto alla memoria, bus dati, porte di input / produzione);

microcircuiti di dispositivi esterni (monitor, tastiera, stampante, modem, scanner, ecc.).

Se un programma dannoso è associato a qualsiasi programma applicativo, a file con determinate estensioni o altri attributi, a messaggi trasmessi in rete, i suoi vettori sono:

pacchetti di messaggi trasmessi su una rete informatica;

file (testo, grafica, eseguibile, ecc.).

5.2. Caratteristiche generali delle vulnerabilità del sistema informativo dei dati personali

Vulnerabilità del sistema informativo dei dati personali - carenza o debolezza nel software di sistema o applicativo (hardware e software) di un sistema informativo automatizzato, che può essere utilizzato per mettere in atto una minaccia alla sicurezza dei dati personali.

Le cause delle vulnerabilità sono:

errori nella progettazione e nello sviluppo del software (hardware e software);

azioni deliberate per introdurre vulnerabilità durante la progettazione e lo sviluppo del software (hardware e software);

impostazioni software errate, modifiche illegali nelle modalità operative di dispositivi e programmi;

Implementazione e utilizzo non autorizzati di programmi non contabilizzati con conseguente consumo irragionevole di risorse (carico del processore, sequestro di RAM e memoria su supporti esterni);

introduzione di malware che creano vulnerabilità nel software e nell'hardware;

azioni involontarie non autorizzate degli utenti che portano a vulnerabilità;

guasti nel funzionamento dell'hardware e del software (causati da interruzioni di corrente, guasti degli elementi hardware a causa dell'invecchiamento e della ridotta affidabilità, influenze esterne dei campi elettromagnetici dei dispositivi tecnici, ecc.).

La classificazione delle principali vulnerabilità ISDN è mostrata nella Figura 4.

Figura 4. Classificazione delle vulnerabilità del software

Di seguito è riportata una descrizione generale dei principali gruppi di vulnerabilità ISDN, tra cui:

vulnerabilità del software di sistema (compresi i protocolli di comunicazione di rete);

vulnerabilità del software applicativo (compresi gli strumenti di sicurezza delle informazioni).

5.2.1. Caratteristiche generali delle vulnerabilità del software di sistema

Le vulnerabilità del software di sistema devono essere considerate in relazione all'architettura dei sistemi informatici.

Esistono possibili vulnerabilità:

nei microprogrammi, nella ROM, nel firmware PROM;

negli strumenti del sistema operativo progettati per gestire le risorse ISPD locali (fornendo funzioni per la gestione di processi, memoria, dispositivi di input/output, interfaccia utente, ecc.), driver, utilità;

Negli strumenti del sistema operativo progettati per eseguire funzioni ausiliarie: utilità (archiviazione, deframmentazione, ecc.), programmi di elaborazione del sistema (compilatori, linker, debugger, ecc.), programmi che forniscono all'utente servizi aggiuntivi (opzioni speciali di interfaccia, calcolatrici, giochi , ecc.), librerie di procedure per scopi vari (librerie di funzioni matematiche, funzioni di input/output, ecc.);

nei mezzi di interazione comunicativa (mezzi di rete) del sistema operativo.

Le vulnerabilità nel firmware e negli strumenti del sistema operativo progettati per gestire le risorse locali e le funzioni ausiliarie possono includere:

Funzioni, procedure, la cui modifica dei parametri in un certo modo consente loro di essere utilizzate per accessi non autorizzati senza che il sistema operativo rilevi tali modifiche;

frammenti di codice del programma ("buchi", "trappole") introdotti dallo sviluppatore, che consentono di aggirare le procedure di identificazione, autenticazione, controllo di integrità, ecc.;

Errori nei programmi (nella dichiarazione di variabili, funzioni e procedure, nei codici di programma), che in determinate condizioni (ad esempio, durante l'esecuzione di transizioni logiche) portano a guasti, inclusi guasti nel funzionamento di strumenti e sistemi di sicurezza delle informazioni.

Le vulnerabilità nei protocolli di comunicazione di rete sono associate alle caratteristiche della loro implementazione software e sono causate da restrizioni sulla dimensione del buffer utilizzato, carenze nella procedura di autenticazione, mancanza di controlli sulla correttezza delle informazioni di servizio, ecc. Una breve descrizione di queste le vulnerabilità in relazione ai protocolli sono riportate nella Tabella 2.

Tavolo 2

Vulnerabilità dei singoli protocolli dello stack protocollo TCP/IP, sulla base del quale operano le reti pubbliche globali

Nome del protocollo	Livello dello stack del protocollo	Nome (caratteristica) della vulnerabilità	Contenuto di una violazione della sicurezza delle informazioni
FTP (File Transfer Protocol) - protocollo per il trasferimento di file su una rete		1. Autenticazione in testo normale (le password vengono inviate non crittografate) 2. Accesso predefinito 3. Avere due porte aperte	Possibilità di intercettazione dati account(nomi utente registrati, password). Ottenere l'accesso remoto agli host
telnet - protocollo di controllo del terminale remoto	Domanda, rappresentante, sessione	Autenticazione in testo normale (le password vengono inviate non crittografate)	Possibilità di intercettare i dati dell'account utente. Ottenere l'accesso remoto agli host
UDP: protocollo di trasferimento dati senza connessione	Trasporto	Nessun meccanismo per prevenire i sovraccarichi del buffer	Possibilità di implementare UDP Storm. Come risultato dello scambio di pacchetti, si verifica una significativa diminuzione delle prestazioni del server
ARP: protocollo da indirizzo IP a indirizzo fisico	Rete	Autenticazione in testo normale (le informazioni vengono inviate non crittografate)	Possibilità di intercettazione del traffico degli utenti da parte di un utente malintenzionato
RIP: protocollo di informazione di routing	Trasporto	Mancanza di autenticazione dei messaggi di controllo della modifica del percorso	Capacità di reindirizzare il traffico attraverso l'host dell'aggressore
TCP: protocollo di controllo della trasmissione	Trasporto	Mancanza di un meccanismo per verificare il corretto riempimento delle intestazioni dei servizi a pacchetto	Riduzione significativa della velocità di comunicazione e persino interruzione completa delle connessioni arbitrarie tramite il protocollo TCP
DNS - protocollo per stabilire la corrispondenza tra nomi mnemonici e indirizzi di rete	Domanda, rappresentante, sessione	Mancanza di mezzi per verificare l'autenticazione dei dati ricevuti dalla fonte	Manomissione della risposta del server DNS
IGMP - Protocollo di messaggio di instradamento	Rete	Mancanza di autenticazione dei messaggi sulla modifica dei parametri del percorso	I sistemi Win 9x/NT/200 si bloccano
SMTP: protocollo per fornire il servizio di recapito dei messaggi di posta elettronica	Domanda, rappresentante, sessione		Possibilità di falsificare i messaggi di posta elettronica, nonché l'indirizzo del mittente del messaggio
SNMP - protocollo per la gestione dei router nelle reti	Domanda, rappresentante, sessione	Nessun supporto per l'autenticazione dell'intestazione del messaggio	Possibilità di sovraccarico della larghezza di banda della rete

Per sistematizzare la descrizione di molte vulnerabilità, viene utilizzato un unico database di vulnerabilità CVE (Common Vulnerabilities and Exposures), nello sviluppo del quale specialisti di molti paesi aziende famose e organizzazioni come MItrE, ISS, Cisco, BindView, Axent, NFR, L-3, CyberSafe, CERT, Carnegie Mellon University, SANS Institute, ecc. Questo database viene costantemente aggiornato e viene utilizzato per creare database di numerosi strumenti software di analisi della sicurezza e, soprattutto, scanner di rete.

5.2.2. Caratteristiche generali delle vulnerabilità dei software applicativi

Il software applicativo comprende programmi applicativi di uso generale e programmi applicativi speciali.

Programmi applicativi di uso generale - editor di testo e grafici, programmi multimediali (lettori audio e video, software per ricevere programmi televisivi, ecc.), sistemi di gestione di database, piattaforme software di uso generale per lo sviluppo di prodotti software (come Delphi, Visual Basic), significa della protezione delle informazioni pubbliche, ecc.

I programmi applicativi speciali sono programmi sviluppati nell'interesse di risolvere problemi applicativi specifici in un dato ISPD (compreso il software di sicurezza delle informazioni sviluppato per uno specifico ISPD).

Le vulnerabilità del software applicativo possono includere:

funzioni e procedure che appartengono a programmi applicativi diversi e sono incompatibili tra loro (non funzionanti nello stesso ambiente operativo) a causa di conflitti legati alla distribuzione delle risorse di sistema;

Funzioni, procedure, la cui modifica dei parametri in un certo modo consente loro di essere utilizzate per penetrare nell'ambiente operativo dell'ISPD e richiamare funzioni standard del sistema operativo, eseguendo un accesso non autorizzato senza rilevamento di tali modifiche da parte del sistema operativo;

frammenti di codice del programma ("buchi", "trappole") introdotti dallo sviluppatore che consentono di aggirare le procedure di identificazione, autenticazione, controllo di integrità, ecc. previste nel sistema operativo;

mancanza delle necessarie misure di sicurezza (autenticazione, controllo dell'integrità, controllo dei formati dei messaggi, blocco delle funzioni modificate non autorizzate, ecc.);

Errori nei programmi (nella dichiarazione di variabili, funzioni e procedure, nei codici di programma), che in determinate condizioni (ad esempio, durante l'esecuzione di transizioni logiche) portano a guasti, inclusi guasti nel funzionamento di strumenti e sistemi di sicurezza delle informazioni, e il possibilità di accesso non autorizzato alle informazioni.

I dati sulle vulnerabilità del software applicativo sviluppato e distribuito su base commerciale vengono raccolti, compilati e analizzati nel database CVE<*>.

<*>Condotto dalla società straniera CERT su base commerciale.

5.3. Caratteristiche generali delle minacce di accesso diretto all'ambiente operativo di un sistema informativo di dati personali

Minacce di accesso (penetrazione) nell'ambiente operativo del computer e accesso non autorizzato ai dati personali sono associate all'accesso a:

alle informazioni e ai comandi memorizzati nel sistema di input/output di base (BIOS) dell'ISPD, con la capacità di intercettare il controllo del caricamento del sistema operativo e ottenere diritti di utente attendibili;

nell'ambiente operativo, cioè nell'ambiente operativo del sistema operativo locale di uno strumento tecnico ISPD separato con la capacità di eseguire accessi non autorizzati richiamando programmi del sistema operativo standard o avviando programmi appositamente progettati che implementano tali azioni;

nell'ambiente operativo dei programmi applicativi (ad esempio, in un sistema di gestione di database locale);

direttamente alle informazioni dell'utente (file, testo, audio e informazioni grafiche, campi e registrazioni in banche dati elettroniche) e sono causati dalla possibilità di violazione della sua riservatezza, integrità e disponibilità.

Queste minacce possono realizzarsi se si ottiene l’accesso fisico all’ISPD, o almeno ai mezzi per inserire informazioni nell’ISPD. Possono essere combinati in tre gruppi a seconda delle condizioni di attuazione.

Il primo gruppo comprende le minacce implementate durante il caricamento del sistema operativo. Queste minacce alla sicurezza delle informazioni mirano a intercettare password o identificatori, modificare il software del BIOS (Basic Input/Output System), intercettare il controllo di avvio modificando le informazioni tecnologiche necessarie per ottenere l'NSD nell'ambiente operativo ISDN. Molto spesso, tali minacce vengono implementate utilizzando media alienati.

Il secondo gruppo è costituito dalle minacce che vengono implementate dopo il caricamento dell'ambiente operativo, indipendentemente dal programma applicativo avviato dall'utente. Queste minacce mirano solitamente all'accesso diretto e non autorizzato alle informazioni. Quando accede all'ambiente operativo, l'intruso può utilizzare sia le funzioni standard del sistema operativo o qualsiasi programma applicativo pubblico (ad esempio un sistema di gestione di database), sia programmi creati appositamente per eseguire accessi non autorizzati, ad esempio:

programmi per la visualizzazione e la modifica del registro;

Programmi per cercare testi in file di testo utilizzando parole chiave e copiandoli;

programmi speciali per visualizzare e copiare record in database;

programmi per visualizzare rapidamente file grafici, modificarli o copiarli;

programmi volti a supportare la capacità di riconfigurazione dell'ambiente software (impostazioni ISPD nell'interesse dell'autore del reato), ecc.

Infine, il terzo gruppo comprende le minacce, la cui attuazione è determinata da quale programma applicativo viene avviato dall'utente o dal fatto di avviare uno qualsiasi dei programmi applicativi. La maggior parte Tali minacce sono minacce derivanti dall'introduzione di malware.

5.4. Caratteristiche generali delle minacce alla sicurezza dei dati personali implementate utilizzando protocolli di internetworking

Se un ISPD viene implementato sulla base di un sistema informativo locale o distribuito, in esso possono essere implementate minacce alla sicurezza delle informazioni attraverso l'uso di protocolli di internetworking. In questo caso può essere fornita la NSD al PD oppure può realizzarsi la minaccia di negazione del servizio. Le minacce sono particolarmente pericolose quando l'ISPD è distribuito sistema informativo connessi a reti pubbliche e (o) reti internazionali di scambio di informazioni. Lo schema di classificazione delle minacce implementato sulla rete è mostrato nella Figura 5. Si basa sui seguenti sette criteri di classificazione principali.

1. Natura della minaccia. Secondo questo criterio le minacce possono essere passive o attive. Una minaccia passiva è una minaccia la cui attuazione non influisce direttamente sul funzionamento del sistema informativo, ma può violare le regole stabilite per limitare l'accesso ai dati personali o alle risorse di rete. Un esempio di tali minacce è la minaccia “Network Traffic Analysis”, mirata ad ascoltare i canali di comunicazione e a intercettare le informazioni trasmesse.

Una minaccia attiva è una minaccia associata a un impatto sulle risorse PDIS, la cui implementazione ha un impatto diretto sul funzionamento del sistema (modifiche alla configurazione, interruzioni, ecc.) E con una violazione delle regole stabilite per limitare l'accesso a PD o risorse di rete. Un esempio di tali minacce è la minaccia Denial of Service implementata come “tempesta di richieste TCP”.

2. Lo scopo di implementare la minaccia. Secondo questo criterio, le minacce possono essere mirate a violare la riservatezza, l'integrità e la disponibilità delle informazioni (inclusa l'interruzione della funzionalità dell'ISPD o dei suoi elementi).

3. Condizione per avviare il processo di attuazione della minaccia. Sulla base di questa funzionalità, è possibile realizzare una minaccia:

su richiesta dell'oggetto contro il quale viene attuata la minaccia. In questo caso, l'intruso si aspetta la trasmissione di una richiesta di un certo tipo, che sarà la condizione per l'avvio di un accesso non autorizzato;

Figura 5. Schema di classificazione delle minacce utilizzando i protocolli di internetworking

Al verificarsi di un evento atteso presso la struttura in relazione alla quale si sta attuando la minaccia. In questo caso, l'intruso monitora costantemente lo stato del sistema operativo ISPD e, quando si verifica un determinato evento in questo sistema, inizia l'accesso non autorizzato;

impatto incondizionato. In questo caso l'inizio dell'accesso non autorizzato è incondizionato rispetto allo scopo dell'accesso, ovvero la minaccia si realizza immediatamente e indipendentemente dallo stato del sistema.

4. Disponibilità di feedback da parte dell'ISPD. Secondo questa funzionalità, il processo di implementazione di una minaccia può avvenire con o senza feedback. La minaccia, posta in essere in presenza di riscontro da parte dell'ISPD, è caratterizzata dal fatto che l'autore del reato necessita di ricevere risposta ad alcune richieste trasmesse all'ISPD. Di conseguenza, esiste un feedback tra il violatore e l'ISPD, che consente al violatore di rispondere adeguatamente a tutti i cambiamenti che si verificano nell'ISPD. A differenza delle minacce implementate in presenza di feedback da parte dell’ISPD, quando le minacce vengono implementate senza feedback, non è necessario rispondere ad eventuali cambiamenti avvenuti nell’ISPD.

5. Ubicazione dell'autore del reato rispetto all'ISPD. In conformità con questa caratteristica, la minaccia viene implementata sia a livello intrasegmentale che intersegmentale. Un segmento di rete è un'associazione fisica di host (hardware ISPD o elementi di comunicazione con un indirizzo di rete). Ad esempio, un segmento ISPD forma una raccolta di host connessi al server utilizzando uno schema di "bus comune". Nel caso in cui vi sia una minaccia intra-segmento, l'intruso ha accesso fisico agli elementi hardware dell'ISPD. Se esiste una minaccia intersegmento, l'intruso si trova all'esterno dell'ISPD, implementando la minaccia da un'altra rete o da un altro segmento dell'ISPD.

6. Livello del modello di riferimento di interazione dei sistemi aperti<*>(ISO/OSI) su cui è implementata la minaccia. Secondo questa caratteristica, la minaccia può essere implementata a livello fisico, di canale, di rete, di trasporto, di sessione, di presentazione e di applicazione del modello ISO/OSI.

<*>L'Organizzazione internazionale per la standardizzazione (ISO) ha adottato lo standard ISO 7498, che descrive l'Interconnessione dei sistemi aperti (OSI).

7. Il rapporto tra il numero di trasgressori e gli elementi ISPD contro i quali si realizza la minaccia. Sulla base di questo criterio, la minaccia può essere classificata come una minaccia messa in atto da un trasgressore contro un mezzo tecnico dell’ISPD (una minaccia “uno a uno”), contro diversi mezzi tecnici dell’ISPD contemporaneamente (una minaccia “uno a uno”). molti” minaccia), o da parte di più violatori provenienti da diversi computer contro uno o più mezzi tecnici dell’ISPD (minacce distribuite o combinate).

Tenendo conto della classificazione effettuata, possiamo identificare le sette minacce attualmente implementate più frequentemente.

1. Analisi del traffico di rete (Figura 6).

Figura 6. Schema di attuazione della minaccia “Analisi del traffico di rete”.

Questa minaccia viene implementata utilizzando uno speciale programma di analisi dei pacchetti (sniffer), che intercetta tutti i pacchetti trasmessi su un segmento di rete e identifica tra essi quelli che contengono un ID utente e una password. Durante l'attuazione della minaccia, l'intruso studia la logica della rete, cioè si sforza di ottenere una corrispondenza biunivoca tra gli eventi che si verificano nel sistema e i comandi inviati dagli host nel momento in cui si verificano questi eventi. . In futuro, ciò consentirà a un utente malintenzionato, in base all'impostazione dei comandi appropriati, di ottenere, ad esempio, diritti privilegiati per agire nel sistema o espandere i propri poteri al suo interno, intercettare il flusso di dati trasmessi scambiati tra i componenti di un sistema operativo di rete , per estrarre informazioni riservate o identificative (ad esempio, password statiche degli utenti per accedere a host remoti tramite protocolli FTP e TELNET, che non forniscono crittografia), la loro sostituzione, modifica, ecc.

2. Scansione di rete.

L'essenza del processo di implementazione delle minacce è trasmettere le richieste ai servizi di rete degli host ISDN e analizzare le loro risposte. L'obiettivo è identificare i protocolli utilizzati, le porte disponibili dei servizi di rete, le leggi per la formazione degli identificatori di connessione, la determinazione dei servizi di rete attivi, la selezione degli identificatori utente e delle password.

3. Minaccia di rivelazione della password.

L'obiettivo della minaccia è ottenere dati di accesso non autorizzati superando la protezione tramite password. Un utente malintenzionato può implementare una minaccia utilizzando una serie di metodi, come la semplice forza bruta o l'uso della forza bruta dizionari speciali, installazione di un programma dannoso per intercettare una password, sostituzione di un oggetto di rete attendibile (spoofing IP) e intercettazione di pacchetti (sniffing). Fondamentalmente, per implementare la minaccia vengono utilizzati programmi speciali che tentano di accedere all'host indovinando in sequenza le password. In caso di successo, l'aggressore può creare un "pass" per accessi futuri, che rimarrà valido anche se la password di accesso viene modificata sull'host.

4. Sostituzione di un oggetto di rete fidato e trasmissione di messaggi tramite canali di comunicazione per suo conto con assegnazione dei suoi diritti di accesso (Figura 7).

Figura 7. Schema di attuazione della minaccia “Sostituzione di un oggetto di rete affidabile”

Questa minaccia è effettivamente implementata nei sistemi che utilizzano algoritmi deboli per identificare e autenticare host, utenti, ecc. Un oggetto attendibile è un oggetto di rete (computer, firewall, router, ecc.) legalmente connesso al server.

Si possono distinguere due tipi di processo di implementazione di questa minaccia: con e senza stabilire una connessione virtuale.

Il processo di implementazione con l'instaurazione di una connessione virtuale consiste nell'assegnazione dei diritti di un soggetto di interazione fidato, che consente a un intruso di condurre una sessione con un oggetto di rete per conto di un soggetto di fiducia. L'implementazione di una minaccia di questo tipo richiede il superamento del sistema di identificazione e autenticazione dei messaggi (ad esempio, un attacco al servizio rsh di un host UNIX).

Il processo di implementazione di una minaccia senza stabilire una connessione virtuale può avvenire in reti che identificano i messaggi trasmessi solo tramite l’indirizzo di rete del mittente. L'essenza è la trasmissione di messaggi di servizio per conto dei dispositivi di controllo della rete (ad esempio, per conto dei router) sulle modifiche ai dati dell'indirizzo di instradamento. Va tenuto presente che gli unici identificatori di abbonati e connessioni (su TCP) sono due parametri a 32 bit Numero di sequenza iniziale - ISS (numero di sequenza) e Numero di riconoscimento - ACK (numero di riconoscimento). Pertanto, per generare un pacchetto TCP falso, l'aggressore deve conoscere gli identificatori attuali per questa connessione: ISSa e ISSb, dove:

ISSa è un certo valore numerico che caratterizza il numero di sequenza del pacchetto TCP inviato, la connessione TCP stabilita avviata dall'host A;

ISSb è un determinato valore numerico che caratterizza il numero di sequenza del pacchetto TCP inviato, la connessione TCP stabilita avviata dall'host B.

Il valore di ACK (TCP Connection Acknowledgment Number) è definito come il valore del numero ricevuto dal risponditore ISS (Sequence Number) più l'unità ACKb = ISSa + 1.

In seguito all'attuazione della minaccia, l'intruso riceve i diritti di accesso stabiliti dal suo utente per l'abbonato fidato allo strumento tecnico ISPD, bersaglio delle minacce.

5. Imporre un falso percorso di rete.

Questa minaccia si realizza in due modi: attraverso l’imposizione intra-segmento o inter-segmento. La possibilità di imporre un falso percorso è dovuta alle carenze inerenti agli algoritmi di routing (in particolare, a causa del problema dell'identificazione dei dispositivi di controllo della rete), per cui è possibile arrivare, ad esempio, all'host o alla rete di un aggressore, dove è possibile entrare nell'ambiente operativo di un dispositivo tecnico come parte di un ISPD. La minaccia si basa sull'uso non autorizzato dei protocolli di routing (RIP, OSPF, LSP) e dei protocolli di gestione della rete (ICMP, SNMP) per apportare modifiche alle tabelle degli indirizzi di routing. In questo caso, l’aggressore deve inviare un messaggio di controllo per conto del dispositivo di controllo della rete (ad esempio un router) (figure 8 e 9).

Figura 8. Schema di attuazione dell’attacco “False route imposition” (intra-segmento) utilizzando il protocollo ICMP per interrompere la comunicazione

Figura 9. Schema di attuazione della minaccia “Imposizione di un falso percorso” (intersegmento) allo scopo di intercettare il traffico

6. Iniezione di un falso oggetto di rete.

Questa minaccia si basa sullo sfruttamento dei difetti negli algoritmi di ricerca remota. Se inizialmente gli oggetti di rete non dispongono reciprocamente di informazioni sugli indirizzi, vengono utilizzati diversi protocolli di ricerca remota (ad esempio SAP nelle reti Novell NetWare; ARP, DNS, WINS nelle reti con stack di protocolli TCP/IP), che consistono nella trasmissione di speciali richieste e ricevere risposte alle stesse con le informazioni richieste. In questo caso un utente malintenzionato può intercettare una richiesta di ricerca e fornirle una risposta falsa, il cui utilizzo comporterà la necessaria modifica dei dati di routing e di indirizzo. In futuro, l'intero flusso di informazioni associato all'oggetto vittima passerà attraverso il falso oggetto di rete (Figure 10 - 13).

Figura 10. Schema di attuazione della minaccia “False ARP server injection”.

Figura 11. Schema di attuazione della minaccia “Iniezione di un server DNS falso” intercettando una richiesta DNS

Figura 12. Schema di attuazione della minaccia “iniezione di un falso server DNS” tramite l’assalto alle risposte DNS su un computer della rete

Figura 13. Schema di attuazione della minaccia “Iniezione di un falso server DNS” mediante storming delle risposte DNS al server DNS

7. Negazione del servizio.

Queste minacce si basano su difetti nel software di rete, le sue vulnerabilità che consentono a un utente malintenzionato di creare condizioni in cui il sistema operativo non è in grado di elaborare i pacchetti in arrivo.

Si possono distinguere diversi tipi di tali minacce:

a) Denial of Service nascosto causato dall'utilizzo di parte delle risorse ISDN per elaborare i pacchetti trasmessi dall'aggressore, riducendo la capacità dei canali di comunicazione, le prestazioni dei dispositivi di rete e violando i requisiti relativi ai tempi di elaborazione delle richieste. Esempi di implementazione di tali minacce includono: una tempesta diretta di richieste echo tramite il protocollo ICMP (Ping Flooding), una tempesta di richieste per stabilire connessioni TCP (SYN-flooding), una tempesta di richieste al server FTP;

b) un evidente denial of service causato dall'esaurimento delle risorse ISDN durante l'elaborazione dei pacchetti trasmessi da un utente malintenzionato (occupazione dell'intera larghezza di banda dei canali di comunicazione, code di richieste di servizio traboccanti), in cui le richieste legittime non possono essere trasmesse attraverso la rete a causa del inaccessibilità del mezzo trasmissivo o si ricevono negazioni di servizio dovute a overflow delle code di richieste, dello spazio su disco, ecc. Esempi di minacce di questo tipo includono una tempesta di richieste echo ICMP trasmesse (Smurf), una tempesta diretta (SYN-flooding), una tempesta di messaggi su un server di posta (Spam);

c) un evidente diniego di servizio causato da una violazione della connettività logica tra i mezzi tecnici ISDN quando l'autore del reato trasmette messaggi di controllo per conto dei dispositivi di rete, con conseguente modifica dei dati di routing e di indirizzo (ad esempio, ICMP Redirect Host, DNS-flooding) o informazioni di identificazione e autenticazione;

D) un evidente rifiuto di servizio causato da un utente malintenzionato che trasmette pacchetti con attributi non standard (minacce come "Land", "TearDrop", "Bonk", "Nuke", "UDP-bomb") o con una lunghezza superiore a quella massima dimensione consentita (minaccia come "Ping Death"), che può portare al guasto dei dispositivi di rete coinvolti nell'elaborazione delle richieste, a condizione che siano presenti errori nei programmi che implementano i protocolli di comunicazione di rete.

Il risultato dell'attuazione di questa minaccia potrebbe essere un'interruzione della funzionalità del servizio corrispondente per fornire l'accesso remoto ai dati personali nell'ISPD, la trasmissione da un indirizzo di un tale numero di richieste di connessione a una struttura tecnica come parte di l’ISPD che il traffico massimo può “accogliere” (diretta “request storm”), che comporta un overflow della coda delle richieste e il guasto di uno dei servizi di rete o l’arresto completo del computer per l’incapacità del sistema di fare qualsiasi cosa diversa dalle richieste di elaborazione.

8. Lancio dell'applicazione remota.

La minaccia sta nel desiderio di lanciare vari programmi dannosi pre-iniettati sull'host ISPD: programmi bookmark, virus, "spie di rete", il cui scopo principale è violare la riservatezza, l'integrità, la disponibilità delle informazioni e il controllo completo sulla funzionamento dell'host. Inoltre, è possibile l'avvio non autorizzato dei programmi applicativi dell'utente per ottenere dati non autorizzati necessari all'intruso, per avviare processi controllati dal programma applicativo, ecc.

Esistono tre sottoclassi di queste minacce:

1) distribuzione di file contenenti codice eseguibile non autorizzato;

2) avvio remoto dell'applicazione sovraccaricando il buffer del server dell'applicazione;

3) avvio remoto dell'applicazione utilizzando le funzionalità di controllo remoto del sistema fornite da segnalibri software e hardware nascosti o strumenti standard utilizzati.

Le minacce tipiche della prima di queste sottoclassi si basano sull'attivazione di file distribuiti quando vi si accede accidentalmente. Esempi di tali file includono: file contenenti codice eseguibile sotto forma di comandi macro (documenti Microsoft Word, Excel, ecc.); documenti html contenenti codice eseguibile sotto forma di elementi ActiveX, applet Java, script interpretati (ad esempio testi JavaScript); file contenenti codici di programma eseguibili. Per distribuire i file è possibile utilizzare i servizi di posta elettronica, trasferimento file e file system di rete.

Le minacce della seconda sottoclasse sfruttano le carenze dei programmi che implementano i servizi di rete (in particolare, la mancanza di controllo del buffer overflow). Regolando i registri di sistema, a volte è possibile cambiare il processore dopo un'interruzione causata da un overflow del buffer per eseguire il codice contenuto all'esterno dei limiti del buffer. Un esempio dell’attuazione di tale minaccia è l’introduzione del noto “virus Morris”.

Con le minacce della terza sottoclasse, l'intruso utilizza le capacità di controllo remoto del sistema fornite da componenti nascosti (ad esempio, programmi Trojan come Back Orifice, Net Bus) o strumenti standard di gestione e amministrazione della rete di computer (Landesk Management Suite, Managewise, Back Orifizio, ecc.). ). Grazie al loro utilizzo è possibile ottenere il controllo remoto di una stazione della rete.

Schematicamente, le fasi principali del lavoro di questi programmi sono le seguenti:

installazione in memoria;

attendere una richiesta da un host remoto su cui è in esecuzione il programma client e scambiare con esso messaggi di disponibilità;

Trasferire le informazioni intercettate al client o dargli il controllo sul computer attaccato.

Le possibili conseguenze derivanti dall'implementazione di minacce di varie classi sono mostrate nella Tabella 3.

Tabella 3

Possibili conseguenze dell'implementazione di minacce di varie classi

N pag	Tipo di attacco		Possibili conseguenze
1	Analisi del traffico di rete		Ricerca delle caratteristiche del traffico di rete, intercettazione dei dati trasmessi, inclusi ID utente e password
2	Scansione di rete		Determinazione di protocolli, porte disponibili di servizi di rete, leggi per la formazione di identificatori di connessione, servizi di rete attivi, ID utente e password
3	Attacco "password".		Esecuzione di qualsiasi azione distruttiva correlata all'ottenimento di accesso non autorizzato
4	Sostituzione di un oggetto di rete attendibile		Modifica del percorso dei messaggi, modifica non autorizzata del routing e dei dati degli indirizzi. Accesso non autorizzato alle risorse di rete, imposizione di informazioni false
5	Imporre una falsa rotta		Modifica non autorizzata dei dati di instradamento e indirizzo, analisi e modifica dei dati trasmessi, imposizione di messaggi falsi
6	Iniezione di oggetti di rete falsi		Intercettazione e visualizzazione del traffico. Accesso non autorizzato alle risorse di rete, imposizione di informazioni false
7	Negazione del servizio	Esaurimento parziale delle risorse	Capacità del canale di comunicazione e prestazioni dei dispositivi di rete ridotte. Diminuzione delle prestazioni delle applicazioni server
		Completo esaurimento delle risorse	Impossibilità di trasmettere messaggi per mancanza di accesso al mezzo di trasmissione, rifiuto di stabilire una connessione. Rifiuto di fornire il servizio (e-mail, file, ecc.)
		Violazione della connettività logica tra attributi, dati, oggetti	Impossibilità di trasmettere messaggi a causa della mancanza di dati di instradamento e indirizzo corretti. Impossibilità di ricevere servizi a causa di modifica non autorizzata di identificatori, password, ecc.
		Utilizzo degli errori nei programmi	Malfunzionamento dei dispositivi di rete
8	Lancio dell'applicazione remota	Inviando file contenenti codice eseguibile distruttivo, infezione da virus	Violazione della riservatezza, dell'integrità, della disponibilità delle informazioni
		Traboccando il buffer dell'applicazione server
		Utilizzando le funzionalità di controllo remoto del sistema fornite da segnalibri software e hardware nascosti o da strumenti standard utilizzati	Controllo del sistema nascosto

Il processo di implementazione di una minaccia caso generale si compone di quattro fasi:

raccogliere informazioni;

intrusioni (penetrazione nell'ambiente operativo);

attuazione di accessi non autorizzati;

eliminando le tracce di accessi non autorizzati.

Nella fase di raccolta delle informazioni, l'autore del reato potrebbe essere interessato a varie informazioni sull'ISPD, tra cui:

a) sulla topologia della rete in cui opera il sistema. In questo caso è possibile esaminare l'area attorno alla rete (ad esempio, l'aggressore potrebbe essere interessato agli indirizzi di host fidati, ma meno sicuri). Per determinare la disponibilità di un host, è possibile utilizzare semplici comandi (ad esempio, il comando ping per inviare richieste ICMP ECHO_REQUEST e attendere le risposte ICMP ECHO_REPLY). Esistono utilità parallele per la disponibilità dell'host (come fping) che possono scansionare un'ampia area dello spazio degli indirizzi per verificare la disponibilità dell'host in un breve periodo di tempo. La topologia della rete viene spesso determinata in base al "conteggio dei nodi" (la distanza tra gli host). Possono essere utilizzate tecniche come “modulazioni ttL” e registrazioni del percorso.

Il metodo "modulazione ttL" è implementato dal programma traceroute (per Windows NT - tracert.exe) e consiste nel modulare il campo ttL dei pacchetti IP. I pacchetti ICMP generati dal comando ping possono essere utilizzati per registrare un percorso.

La raccolta delle informazioni può avvenire anche in base a richieste:

al server DNS circa l'elenco degli host registrati (e probabilmente attivi);

al router basato sul protocollo RIP su percorsi conosciuti (informazioni sulla topologia della rete);

Ai dispositivi configurati in modo errato che supportano il protocollo SNMP (informazioni sulla topologia di rete).

Se l'ISPD si trova dietro un firewall (FW), è possibile raccogliere informazioni sulla configurazione del firewall e sulla topologia dell'ISPD dietro il firewall, anche inviando pacchetti a tutte le porte di tutti i presunti host del sistema interno (protetto ) rete;

b) sul tipo di sistema operativo (OS) nell'ISPD. Il modo più famoso per determinare il tipo di sistema operativo host si basa sul fatto che Vari tipi I sistemi operativi implementano gli standard RFC per lo stack TCP/IP in diversi modi. Ciò consente a un utente malintenzionato di identificare in remoto il tipo di sistema operativo installato sull'host ISPD inviando richieste appositamente predisposte e analizzando le risposte ricevute.

Esistere mezzi speciali, implementando questi metodi, in particolare, Nmap e QueSO. Puoi anche notare questo metodo per determinare il tipo di sistema operativo come la richiesta più semplice per stabilire una connessione utilizzando il protocollo di accesso remoto telnet (connessioni telnet), a seguito della quale " aspetto" risposta, è possibile determinare il tipo di sistema operativo host. La presenza di determinati servizi può anche servire come segno aggiuntivo per determinare il tipo di sistema operativo host;

C) sui servizi in esecuzione sugli host. Determinare quali servizi sono in esecuzione su un host si basa su una tecnica di "porta aperta" che raccoglie informazioni sulla disponibilità dell'host. Ad esempio, per determinare la disponibilità di una porta UDP, è necessario ricevere una risposta in risposta all'invio di un pacchetto UDP alla porta corrispondente:

se la risposta è un messaggio ICMP PORT UNREACHEBLE, il servizio corrispondente non è disponibile;

se questo messaggio non viene ricevuto la porta è “aperta”.

Esistono variazioni molto diverse nell'uso di questo metodo a seconda del protocollo utilizzato nello stack di protocolli TCP/IP.

Per automatizzare la raccolta di informazioni sull'ISPD sono stati sviluppati numerosi strumenti software. A titolo esemplificativo si può notare quanto segue:

1) Strobe, Portscanner: strumenti ottimizzati per determinare i servizi disponibili in base al polling delle porte TCP;

2) Nmap - uno strumento per la scansione dei servizi disponibili, progettato per Linux, FreeBSD, Open BSD, Solaris, Windows NT. Attualmente è lo strumento più popolare per la scansione dei servizi di rete;

3) Queso è uno strumento estremamente accurato per determinare il sistema operativo di un host di rete basato sull'invio di una catena di pacchetti TCP corretti e errati, analizzando la risposta e confrontandola con molte risposte note di diversi sistemi operativi. Questo strumento è anche uno strumento di scansione popolare oggi;

4) Cheops: lo scanner della topologia di rete consente di ottenere la topologia della rete, inclusa un'immagine del dominio, delle aree degli indirizzi IP, ecc. Ciò determina il sistema operativo host, nonché i possibili dispositivi di rete (stampanti, router, ecc.);

5) Firewalk - uno scanner che utilizza i metodi del programma traceroute per analizzare la risposta ai pacchetti IP per determinare la configurazione del firewall e costruire la topologia di rete.

Nella fase di invasione viene indagata la presenza di vulnerabilità tipiche nei servizi di sistema o errori nell'amministrazione del sistema. Lo sfruttamento riuscito delle vulnerabilità in genere fa sì che il processo dell'aggressore ottenga una modalità di esecuzione privilegiata (accesso alla modalità di esecuzione privilegiata del processore dei comandi), introduca un account utente illegale nel sistema, ottenga un file di password o interrompa la funzionalità dell'host attaccato.

Questa fase di sviluppo della minaccia è solitamente multifase. Le fasi del processo di realizzazione della minaccia possono includere, ad esempio:

stabilire una connessione con l'host contro il quale viene attuata la minaccia;

Identificazione delle vulnerabilità;

introduzione di un programma dannoso nell'interesse dell'espansione dei diritti, ecc.

Le minacce implementate nella fase di intrusione sono suddivise in livelli dello stack del protocollo TCP/IP, poiché si formano a livello di rete, di trasporto o di applicazione, a seconda del meccanismo di intrusione utilizzato.

Le minacce tipiche implementate a livello di rete e di trasporto includono quanto segue:

a) una minaccia volta a sostituire un oggetto fidato;

b) una minaccia volta a creare un falso percorso nella rete;

C) minacce volte a creare un oggetto falso sfruttando le carenze degli algoritmi di ricerca remota;

D) minacce di negazione del servizio basate sulla deframmentazione IP, sulla formazione di richieste ICMP errate (ad esempio, gli attacchi “Ping of Death” e “Smurf”), sulla formazione di richieste TCP errate (l'attacco “Land”), sulla creazione di una “tempesta” di pacchetti con richieste di connessione (attacchi “SYN Flood”), ecc.

Le minacce tipiche implementate a livello applicativo includono minacce volte all'avvio non autorizzato di applicazioni, minacce la cui implementazione è associata all'introduzione di segnalibri software (come un cavallo di Troia), all'identificazione delle password di accesso a una rete o a un host specifico, ecc. .

Se l'attuazione di una minaccia non conferisce all'intruso i massimi diritti di accesso al sistema, si possono tentare di espandere questi diritti al massimo livello possibile. A questo scopo possono essere sfruttate non solo le vulnerabilità dei servizi di rete, ma anche le vulnerabilità del software di sistema degli host ISDN.

Nella fase di implementazione dell'accesso non autorizzato, viene raggiunto l'obiettivo effettivo dell'implementazione della minaccia:

violazione della riservatezza (copia, distribuzione non autorizzata);

Violazione dell'integrità (distruzione, modifica);

violazione dell'accessibilità (blocco).

Nella stessa fase, dopo queste azioni, di regola, si forma una cosiddetta "backdoor" sotto forma di uno dei servizi (demoni) che servono una determinata porta ed eseguono i comandi dell'intruso. Nel sistema viene lasciata la "backdoor" per garantire:

la capacità di accedere all'host, anche se l'amministratore elimina la vulnerabilità utilizzata per implementare con successo la minaccia;

la possibilità di accedere all'host nel modo più segreto possibile;

Capacità di accedere rapidamente all'host (senza ripetere nuovamente il processo di implementazione della minaccia).

Una "backdoor" consente a un utente malintenzionato di introdurre un programma dannoso in una rete o su un host specifico, ad esempio uno "sniffer di password", un programma che estrae ID utente e password dal traffico di rete durante l'esecuzione di protocolli di alto livello (ftp, telnet, rlogin, ecc.) .d.). Gli oggetti dell'iniezione di malware possono essere programmi di autenticazione e identificazione, servizi di rete, kernel del sistema operativo, file system, librerie, ecc.

Infine, nella fase di eliminazione delle tracce della minaccia, si tenta di distruggere le tracce delle azioni dell'intruso. In questo caso, le voci corrispondenti vengono cancellate da tutti i possibili registri di controllo, comprese le voci relative alla raccolta delle informazioni.

5.5. Caratteristiche generali delle minacce provenienti dal software e influenze matematiche

L'influenza matematica-software è l'influenza che utilizza programmi dannosi. Un programma con conseguenze potenzialmente pericolose o un programma dannoso è un programma indipendente (insieme di istruzioni) in grado di eseguire qualsiasi sottoinsieme non vuoto delle seguenti funzioni:

Nascondere i segni della tua presenza nell'ambiente software del computer;

Avere la capacità di autoduplicarsi, associarsi ad altri programmi e (o) trasferire i propri frammenti in altre aree della RAM o della memoria esterna;

distruggere (distorcere in qualsiasi modo) il codice dei programmi presenti nella RAM;

eseguire funzioni distruttive (copiare, distruggere, bloccare, ecc.) senza iniziativa da parte dell'utente (il programma utente nella sua normale modalità di esecuzione);

Memorizzare informazioni dalla RAM in alcune aree della memoria esterna ad accesso diretto (locale o remota);

Distorcere arbitrariamente, bloccare e (o) sostituire una matrice di informazioni inviate alla memoria esterna o un canale di comunicazione, formata come risultato del funzionamento di programmi applicativi, o matrici di dati già posizionate nella memoria esterna.

Programmi dannosi possono essere introdotti (introdotti) sia intenzionalmente che accidentalmente nel software utilizzato nell'ISPD durante il suo sviluppo, manutenzione, modifica e configurazione. Inoltre, durante il funzionamento dell'ISPD possono essere introdotti programmi dannosi da supporti di memorizzazione esterni o attraverso l'interazione di rete, sia a seguito di accessi non autorizzati che accidentalmente da parte di utenti ISPD.

Il malware moderno si basa sull'utilizzo di vulnerabilità in vari tipi di software (di sistema, generali, applicativi) e varie tecnologie di rete, ha un'ampia gamma di capacità distruttive (dall'esame non autorizzato dei parametri ISPD senza interferire con il funzionamento dell'ISPD, alla distruzione di software PD e ISPD) e può agire su tutti i tipi di software (sistema, applicazione, driver hardware, ecc.).

La presenza di programmi dannosi nell'ISPD può contribuire all'emergere di canali di accesso alle informazioni nascosti, anche non tradizionali, che consentono di aprire, aggirare o bloccare i meccanismi di sicurezza forniti nel sistema, comprese password e protezione crittografica.

I principali tipi di malware sono:

segnalibri software;

Virus software classici (informatici);

programmi dannosi che si diffondono nella rete (worm di rete);

Altri programmi dannosi progettati per svolgere attività illegali.

I segnalibri software includono programmi, frammenti di codice e istruzioni che costituiscono funzionalità software non dichiarate. I programmi dannosi possono cambiare da un tipo all'altro, ad esempio un segnalibro software può generare un virus software che, a sua volta, se esposto alle condizioni della rete, può formare un worm di rete o un altro programma dannoso progettato per eseguire accessi non autorizzati.

La classificazione dei virus software e dei worm di rete è presentata nella Figura 14. Di seguito è riportata una breve descrizione dei principali programmi dannosi. I virus di avvio si scrivono nel settore di avvio del disco (settore di avvio) o nel settore contenente il boot loader del sistema del disco rigido (Master Boot Record) oppure modificano il puntatore al settore di avvio attivo. Sono incorporati nella memoria del computer quando vengono avviati da un disco infetto. In questo caso, il boot loader del sistema legge il contenuto del primo settore del disco da cui viene effettuato l'avvio, inserisce le informazioni lette in memoria e trasferisce ad esso (cioè al virus) il controllo. Successivamente, iniziano ad essere eseguite le istruzioni del virus, che, di norma, riduce la quantità di memoria libera, copia il suo codice nello spazio libero e legge la sua continuazione dal disco (se presente), intercetta i vettori di interruzione necessari (solitamente INT 13H), legge il settore di avvio originale e trasferisce ad esso il controllo.

Successivamente, un virus di avvio si comporta allo stesso modo di un virus di file: intercetta le chiamate dal sistema operativo ai dischi e le infetta, a seconda di determinate condizioni, esegue azioni distruttive, provoca effetti sonori o effetti video.

Le principali azioni distruttive compiute da questi virus sono:

distruzione di informazioni in settori di floppy disk e dischi rigidi;

Eliminazione della possibilità di caricare il sistema operativo (il computer si blocca);

corruzione del codice del bootloader;

formattare floppy disk o unità logiche di un disco rigido;

blocco dell'accesso alle porte COM e LPT;

sostituzione dei caratteri durante la stampa di testi;

contrazione dello schermo;

cambiare l'etichetta di un disco o floppy disk;

creazione di cluster di pseudo-fallimento;

creazione di effetti sonori e/o visivi (ad esempio, lettere che cadono sullo schermo);

corruzione di file di dati;

visualizzare vari messaggi sullo schermo;

Disattivazione delle periferiche (ad esempio tastiera);

cambiare la tavolozza dello schermo;

Riempire lo schermo con caratteri o immagini estranei;

spegnere lo schermo e passare alla modalità standby per l'input da tastiera;

crittografia dei settori del disco rigido;

distruzione selettiva dei caratteri visualizzati sullo schermo durante la digitazione dalla tastiera;

ridurre la quantità di RAM;

chiamata per stampare il contenuto dello schermo;

blocco delle scritture su disco;

distruzione della tabella delle partizioni (Disk Partition Table), dopodiché il computer può essere avviato solo da un floppy disk;

bloccare l'avvio di file eseguibili;

Bloccare l'accesso al disco rigido.

Figura 14. Classificazione dei virus software e dei worm di rete

La maggior parte dei virus di avvio si scrivono sui floppy disk.

Il metodo di infezione "sovrascrittura" è il più semplice: il virus scrive il proprio codice al posto del codice del file infetto, distruggendone il contenuto. Naturalmente in questo caso il file smette di funzionare e non viene ripristinato. Tali virus si manifestano molto rapidamente poiché il sistema operativo e le applicazioni smettono di funzionare abbastanza rapidamente.

La categoria "compagno" comprende virus che non modificano i file infetti. L'algoritmo operativo di questi virus prevede la creazione di un file duplicato per il file infetto e, quando il file infetto viene avviato, è questo duplicato, ovvero il virus, a ricevere il controllo. I virus compagni più comuni sono quelli che utilizzano la funzionalità DOS per eseguire prima i file con l'estensione .COM se nella stessa directory sono presenti due file con lo stesso nome ma estensioni di nome diverse: .COM e .EXE. Tali virus creano file satellite per file EXE che hanno lo stesso nome, ma con estensione .COM, ad esempio per il file XCOPY.EXE viene creato il file XCOPY.COM. Il virus si scrive in un file COM e non modifica in alcun modo il file EXE. Quando si esegue un file di questo tipo, DOS rileverà ed eseguirà prima il file COM, cioè il virus, che poi avvierà il file EXE. Il secondo gruppo è costituito da virus che, una volta infettati, rinominano un file con un altro nome, lo ricordano (per avviare successivamente il file host) e scrivono il loro codice su disco con il nome del file infetto. Ad esempio, il file XCOPY.EXE viene rinominato XCOPY.EXD e il virus viene registrato con il nome XCOPY.EXE. Una volta avviato, il controllo riceve il codice del virus, che poi esegue l'XCOPY originale, memorizzato con il nome XCOPY.EXD. Un fatto interessante è che questo metodo sembra funzionare su tutti i sistemi operativi. Il terzo gruppo comprende i cosiddetti virus "Path-companion". O scrivono il loro codice sotto il nome del file infetto, ma "più in alto" di un livello nei percorsi prescritti (il DOS sarà quindi il primo a rilevare e lanciare il file del virus), oppure spostano il file della vittima in una sottodirectory più in alto, ecc. .

Potrebbero esserci altri tipi di virus compagni che utilizzano idee o funzionalità originali di altri sistemi operativi.

I worm di file sono, in un certo senso, un tipo di virus compagno, ma non associano in alcun modo la loro presenza ad alcun file eseguibile. Quando si riproducono, copiano semplicemente il loro codice in alcune directory del disco nella speranza che un giorno queste nuove copie vengano lanciate dall'utente. A volte questi virus danno alle loro copie nomi "speciali" per incoraggiare l'utente a eseguire la copia, ad esempio INSTALL.EXE o WINSTART.BAT. Esistono virus worm che utilizzano tecniche piuttosto insolite, ad esempio scrivendo copie di se stessi negli archivi (ARJ, ZIP e altri). Alcuni virus scrivono il comando per eseguire il file infetto nei file BAT. I worm di file non devono essere confusi con i worm di rete. I primi utilizzano solo le funzioni file di un qualsiasi sistema operativo, mentre i secondi utilizzano i protocolli di rete per la loro riproduzione.

I virus di collegamento, come i virus compagni, non modificano il contenuto fisico dei file, ma quando viene avviato un file infetto, “forzano” il sistema operativo a eseguirne il codice. Raggiungono questo obiettivo modificando i campi necessari del file system.

I virus che infettano le librerie del compilatore, i moduli oggetto e i codici sorgente dei programmi sono piuttosto esotici e praticamente rari. I virus che infettano i file OBJ e LIB scrivono il loro codice al loro interno nel formato di un modulo oggetto o di una libreria. Il file infetto non è quindi eseguibile e non è in grado di diffondere ulteriormente il virus nel suo stato attuale. Il portatore del virus “live” diventa un file COM o EXE.

Dopo aver preso il controllo, il file virus esegue le seguenti azioni generali:

Controlla la RAM per la presenza della sua copia e infetta la memoria del computer se non viene trovata una copia del virus (se il virus è residente), cerca file non infetti nella directory corrente e (o) root eseguendo la scansione dell'albero delle directory del sistema logico unità e quindi infetta i file rilevati;

esegue funzioni aggiuntive (se presenti): azioni distruttive, effetti grafici o sonori, ecc. (funzioni aggiuntive del virus residente possono essere richiamate qualche tempo dopo l'attivazione, a seconda dell'ora corrente, della configurazione del sistema, dei contatori virus interni o di altre condizioni; in questo caso, quando attivato, il virus elabora lo stato dell'orologio del sistema, imposta il suo contatori, ecc.);

Va notato che più velocemente un virus si diffonde, più è probabile che si verifichi un’epidemia di questo virus; più lentamente il virus si diffonde, più difficile è rilevarlo (a meno che, ovviamente, questo virus non sia sconosciuto). I virus non residenti sono spesso "lenti": la maggior parte di essi infetta uno o due o tre file quando vengono avviati e non hanno il tempo di infestare il computer prima che venga avviato il programma antivirus (o venga visualizzata una nuova versione dell'antivirus configurato per questo virus ). Esistono, ovviamente, virus "veloci" non residenti che, una volta avviati, cercano e infettano tutti i file eseguibili, ma tali virus sono molto evidenti: quando viene avviato ciascun file infetto, il computer funziona attivamente con il disco rigido per alcuni (a volte piuttosto lungo) tempo, che smaschera il virus. Il tasso di diffusione (infezione) dei virus residenti è generalmente superiore a quello dei virus non residenti: infettano i file quando viene effettuato l'accesso ad essi. Di conseguenza, tutti o quasi tutti i file sul disco che vengono costantemente utilizzati durante il lavoro vengono infettati. Il tasso di diffusione (infezione) dei virus di file residenti che infettano i file solo quando vengono avviati per l'esecuzione sarà inferiore a quello dei virus che infettano i file anche quando vengono aperti, rinominati, modificati gli attributi dei file, ecc.

Pertanto, le principali azioni distruttive eseguite dai virus dei file sono associate al danneggiamento dei file (solitamente file eseguibili o di dati), al lancio non autorizzato di vari comandi (inclusi formattazione, distruzione, copia di comandi, ecc.), alla modifica della tabella dei vettori di interruzione, ecc. Allo stesso tempo possono essere eseguite anche molte azioni distruttive simili a quelle indicate per i virus di avvio.

I macro virus sono programmi in linguaggi (macrolinguaggi) integrati in alcuni sistemi di elaborazione dati (editor di testo, fogli di calcolo, ecc.). Per riprodursi, tali virus utilizzano le capacità dei linguaggi macro e, con il loro aiuto, si trasferiscono da un file infetto (documento o tabella) ad altri. I virus macro più diffusi sono quelli del pacchetto applicativo Microsoft Office.

Affinché i virus esistano in un sistema specifico (editor), è necessario che nel sistema sia integrato un linguaggio macro con le seguenti funzionalità:

1) collegare un programma in un linguaggio macro a un file specifico;

2) copiare i programmi macro da un file all'altro;

3) ottenere il controllo di un programma macro senza l'intervento dell'utente (macro automatiche o standard).

Queste condizioni sono soddisfatte dai programmi applicativi Microsoft Word, Excel e Microsoft Access. Contengono linguaggi macro: Word Basic, Visual Basic for Applications. In cui:

1) i programmi macro sono legati a un file specifico o si trovano all'interno di un file;

2) il linguaggio macro consente di copiare file o spostare programmi macro in file di servizio di sistema e file modificabili;

3) quando si lavora con un file in determinate condizioni (apertura, chiusura, ecc.), vengono chiamati programmi macro (se presenti), che sono definiti in modo speciale o hanno nomi standard.

Questa caratteristica dei macrolinguaggi è destinata all'elaborazione automatica dei dati in grandi organizzazioni o reti globali e consente di organizzare il cosiddetto "flusso automatizzato di documenti". D'altro canto, le funzionalità del linguaggio macro di tali sistemi consentono al virus di trasferire il proprio codice su altri file e quindi di infettarli.

La maggior parte dei virus macro sono attivi non solo nel momento in cui il file viene aperto (chiuso), ma finché l'editor stesso è attivo. Contengono tutte le funzioni come macro standard di Word/Excel/Office. Esistono, tuttavia, virus che utilizzano tecniche per nascondere il proprio codice e archiviarlo sotto forma di non macro. Esistono tre tecniche conosciute, tutte che utilizzano la capacità delle macro di creare, modificare ed eseguire altre macro. Di norma, tali virus hanno un piccolo caricatore di macro di virus (a volte polimorfico), che richiama l'editor di macro integrato, crea una nuova macro, la riempie con il codice del virus principale, la esegue e quindi, di regola, la distrugge (per nascondere le tracce del virus). Il codice principale di tali virus è presente nella macro del virus stessa sotto forma di stringhe di testo (a volte crittografate) oppure è memorizzato nell'area variabile del documento.

I virus di rete includono virus che utilizzano attivamente i protocolli e le capacità delle reti locali e globali per diffondersi. Il principio operativo principale di un virus di rete è la capacità di trasferire autonomamente il proprio codice a un server o workstation remota. I virus di rete "a tutti gli effetti" hanno anche la capacità di eseguire il proprio codice su un computer remoto o, almeno, di "spingere" l'utente a eseguire un file infetto.

I programmi dannosi che consentono l'accesso non autorizzato possono essere:

programmi per la selezione e l'apertura di password;

programmi che implementano minacce;

Programmi che dimostrano l'uso di capacità non dichiarate di software e hardware ISPD;

Programmi per la generazione di virus informatici;

programmi che dimostrano le vulnerabilità degli strumenti di sicurezza delle informazioni, ecc.

Poiché il software diventa sempre più complesso e vario, il numero di malware è in rapido aumento. Oggi si conoscono più di 120mila firme di virus informatici. Tuttavia, non tutti rappresentano una minaccia reale. In molti casi, l'eliminazione delle vulnerabilità nel software di sistema o applicativo ha portato al fatto che numerosi programmi dannosi non sono più in grado di penetrarvi. Il nuovo malware rappresenta spesso la minaccia principale.

5.6. Caratteristiche generali dei canali informativi non tradizionali

Un canale di informazione non tradizionale è un canale per la trasmissione segreta di informazioni che utilizza canali di comunicazione tradizionali e trasformazioni speciali delle informazioni trasmesse, non correlate a quelle crittografiche.

I metodi che possono essere utilizzati per formare canali non tradizionali sono:

steganografia computerizzata;

Basato sulla manipolazione di varie caratteristiche ISPD che possono essere ottenute in modo autorizzato (ad esempio, il tempo di elaborazione delle varie richieste, la quantità di memoria disponibile o identificatori di file o processi leggibili, ecc.).

I metodi di steganografia informatica sono progettati per nascondere il fatto della trasmissione di messaggi incorporando informazioni nascoste in dati apparentemente innocui (testo, grafica, file audio o video) e comprendono due gruppi di metodi basati su:

Sull'uso di proprietà speciali dei formati informatici per l'archiviazione e la trasmissione dei dati;

Sulla ridondanza delle informazioni audio, visive o testuali dal punto di vista delle caratteristiche psicofisiologiche della percezione umana.

La classificazione dei metodi di steganografia computerizzata è mostrata nella Figura 15. Le loro caratteristiche comparative sono riportate nella Tabella 4.

I metodi per nascondere le informazioni negli stegocontenitori grafici sono attualmente quelli più sviluppati e utilizzati. Ciò è dovuto alla quantità relativamente grande di informazioni che possono essere inserite in tali contenitori senza distorsioni evidenti dell'immagine, alla presenza di informazioni a priori sulla dimensione del contenitore, all'esistenza nella maggior parte delle immagini reali di aree di texture che presentano un rumore struttura e sono adatti per incorporare informazioni, la sofisticazione dell'elaborazione delle immagini digitali e i formati di presentazione delle immagini digitali. Attualmente, sono disponibili per l'utente medio numerosi prodotti software sia commerciali che gratuiti che implementano metodi steganografici ben noti per nascondere le informazioni. In questo caso vengono utilizzati principalmente contenitori grafici e audio.

Figura 15. Classificazione dei metodi per la trasformazione steganografica dell'informazione (STI)

Tabella 4

Caratteristiche comparative dei metodi steganografici per la conversione delle informazioni

Metodo steganografico	Breve descrizione del metodo	Screpolatura	Vantaggi
Metodi per nascondere le informazioni nei contenitori audio
	Basato sulla scrittura di un messaggio sui bit meno significativi del segnale originale. Di norma, come contenitore viene utilizzato un segnale audio non compresso.	Bassa segretezza nella trasmissione dei messaggi. Bassa resistenza alla distorsione. Utilizzato solo per determinati formati di file audio
Metodo di occultamento basato sulla distribuzione dello spettro	Si basa sulla generazione di rumore pseudo-casuale, che è una funzione del messaggio incorporato, e sulla miscelazione del rumore risultante nel segnale del contenitore principale come componente additivo. Codifica dei flussi di informazioni mediante la dispersione dei dati codificati su uno spettro di frequenze
Metodo di occultamento basato sul segnale eco	Basato sull'utilizzo del segnale audio stesso come segnale simile al rumore, ritardato per vari periodi di tempo a seconda del messaggio incorporato ("eco dial-up")	Basso tasso di utilizzo dei contenitori. Costi computazionali significativi	Segretezza del messaggio relativamente elevata
Metodo di occultamento nella fase del segnale	Basato sul fatto che l'orecchio umano è insensibile al valore assoluto della fase armonica. Il segnale audio viene suddiviso in una sequenza di segmenti, il messaggio viene incorporato modificando la fase del primo segmento	Basso tasso di utilizzo dei contenitori	Ha una segretezza significativamente più elevata rispetto ai metodi di occultamento NZB
Metodi per nascondere le informazioni nei contenitori di testo
Metodo di nascondimento basato sullo spazio	Basato sull'inserimento di spazi alla fine delle righe, dopo i segni di punteggiatura, tra le parole durante l'allineamento della lunghezza delle righe	I metodi sono sensibili al trasferimento del testo da un formato all'altro. Il messaggio potrebbe andare perso. Bassa azione furtiva	Portata sufficientemente ampia
Metodo per nascondere in base alle caratteristiche sintattiche del testo	Basato sul fatto che le regole di punteggiatura consentono ambiguità nel posizionamento dei segni di punteggiatura	Portata molto bassa. Difficoltà nel rilevare un messaggio	Esiste la possibilità di selezionare un metodo che richiederebbe procedure molto complesse per risolvere il messaggio.
Metodo per nascondere basato sui sinonimi	Basato sull'inserimento di informazioni nel testo alternando parole di qualsiasi gruppo di sinonimi	Complesso rispetto alla lingua russa a causa dell'ampia varietà di sfumature in diversi sinonimi	Uno dei metodi più promettenti. Ha una segretezza dei messaggi relativamente elevata
Metodo per nascondere gli errori	Si basa sul mascheramento di informazioni come errori naturali, errori di battitura, violazione delle regole per scrivere combinazioni di vocali e consonanti, sostituzione dell'alfabeto cirillico con lettere latine simili nell'aspetto, ecc.	Basso rendimento. Rivelato rapidamente dall'analisi statistica	Molto facile da usare. Elevata segretezza quando analizzato da esseri umani
Metodo per nascondere basato sulla generazione di quasi-testo	Basato sulla generazione di un contenitore di testo utilizzando un insieme di regole per costruire frasi. Utilizza la crittografia simmetrica	Basso rendimento. L'insensatezza del testo creato	La segretezza è determinata dai metodi di crittografia e, di norma, è molto elevata
Metodo per nascondere in base alle caratteristiche del carattere	Basato sull'inserimento di informazioni modificando il tipo di carattere e la dimensione delle lettere, nonché sulla possibilità di incorporare informazioni in blocchi con identificatori sconosciuti al browser	Facilmente identificabile durante la trasformazione della scala del documento, durante la steganalisi statistica	Elevato tasso di utilizzo dei contenitori
Metodo per nascondere in base al codice del documento e del file	Basato sull'inserimento delle informazioni nei campi di lunghezza variabile riservati e non utilizzati	Bassa segretezza con formato di file noto	Facile da usare
Metodo di occultamento basato sull'uso del gergo	Basato sul cambiamento del significato delle parole	Bassa larghezza di banda. Strettamente specializzato. Bassa azione furtiva	Facile da usare
Metodo per nascondere basato sull'alternanza della lunghezza delle parole	Basato sulla generazione di un contenitore testuale con la formazione di parole di una certa lunghezza secondo una regola di codifica nota	Complessità nel formare un contenitore e un messaggio	Segretezza sufficientemente elevata quando analizzato da esseri umani
Metodo per nascondere basato sull'uso delle prime lettere	Basato sull'introduzione di un messaggio nelle prime lettere delle parole del testo con una selezione di parole	Difficoltà nel comporre un messaggio. Privacy dei messaggi bassa	Dà maggiore libertà di scelta all'operatore nell'elaborazione del messaggio
Metodi per nascondere informazioni nei contenitori grafici
Metodo per nascondere i bit meno significativi	Basato sulla scrittura di un messaggio nelle parti meno significative dell'immagine originale	Bassa segretezza nella trasmissione dei messaggi. Bassa resistenza alla distorsione	Capacità del contenitore sufficientemente elevata (fino al 25%)
Metodo di occultamento basato sulla modifica del formato di rappresentazione dell'indice	Basato sulla riduzione (sostituzione) della tavolozza dei colori e sull'ordinamento dei colori in pixel con numeri adiacenti	Si applica principalmente alle immagini compresse. Bassa segretezza nella trasmissione dei messaggi	Capacità del contenitore relativamente elevata
Metodo di occultamento basato sull'uso della funzione di autocorrelazione	Basato su una ricerca utilizzando una funzione di autocorrelazione per aree contenenti dati simili	Complessità dei calcoli	Resistente alla maggior parte delle trasformazioni non lineari dei contenitori
Metodo di occultamento basato sull'utilizzo della modulazione non lineare del messaggio incorporato	Basato sulla modulazione di un segnale pseudo-casuale da parte di un segnale contenente informazioni nascoste
Metodo di occultamento basato sull'uso della modulazione del segno del messaggio incorporato	Basato sulla modulazione di un segnale pseudo-casuale da parte di un segnale bipolare contenente informazioni nascoste	Bassa precisione di rilevamento. Distorsioni	Segretezza del messaggio piuttosto elevata
Metodo di occultamento basato sulla trasformata wavelet	Basato sulle caratteristiche delle trasformate wavelet	Complessità dei calcoli	Elevata azione furtiva
Metodo di occultamento basato sulla trasformata discreta del coseno	Basato sulle caratteristiche della trasformata discreta del coseno	Calcolo della difficoltà	Elevata azione furtiva

Nei canali informativi non tradizionali, basati sulla manipolazione di diverse caratteristiche delle risorse ISDN, per trasmettere i dati vengono utilizzate alcune risorse condivise. Allo stesso tempo, nei canali che utilizzano caratteristiche di temporizzazione, la modulazione viene effettuata in base al tempo di occupazione della risorsa condivisa (ad esempio, modulando il tempo di occupazione del processore, le applicazioni possono scambiare dati).

Nei canali di memoria, la risorsa viene utilizzata come buffer intermedio (ad esempio, le applicazioni possono scambiare dati inserendoli nei nomi dei file e delle directory creati). I feed di database e conoscenza utilizzano le dipendenze tra i dati che si presentano nei database relazionali e nella conoscenza.

Canali informativi non tradizionali possono formarsi a vari livelli di funzionamento dell’ISPD:

a livello hardware;

a livello di microcodici e driver di dispositivo;

a livello del sistema operativo;

a livello di software applicativo;

a livello di funzionamento dei canali di trasmissione dati e delle linee di comunicazione.

Questi canali possono essere utilizzati sia per la trasmissione segreta di informazioni copiate, sia per la trasmissione segreta di comandi per eseguire azioni distruttive, avviare applicazioni, ecc.

Per implementare i canali, di norma, è necessario introdurre nel sistema automatizzato un componente software o hardware-software che garantisca la formazione di un canale non tradizionale.

Un canale informativo non tradizionale può esistere nel sistema in modo continuo o essere attivato una tantum o in condizioni specifiche. In questo caso è possibile che vi sia un riscontro da parte dell'oggetto della NSD.

5.7. Caratteristiche generali dei risultati di accessi non autorizzati o accidentali

L'implementazione di minacce di accesso non autorizzato alle informazioni può portare ai seguenti tipi di violazione della sicurezza:

violazione della riservatezza (copia, distribuzione non autorizzata);

Violazione dell'integrità (distruzione, modifica);

violazione dell'accessibilità (blocco).

Una violazione della riservatezza può verificarsi in caso di fuga di informazioni:

copiarlo su supporti di memorizzazione alienabili;

trasmetterlo tramite canali dati;

durante la visualizzazione o la copia durante la riparazione, la modifica e lo smaltimento di software e hardware;

durante la “raccolta dei rifiuti” da parte del trasgressore durante l'operazione dell'ISPD.

La violazione dell'integrità delle informazioni viene effettuata a causa dell'impatto (modifica) dei programmi e dei dati dell'utente, nonché delle informazioni tecnologiche (di sistema), tra cui:

firmware, dati e driver di dispositivi del sistema informatico;

programmi, dati e driver di dispositivi che consentono il caricamento del sistema operativo;

programmi e dati (handle, descrittori, strutture, tabelle, ecc.) del sistema operativo;

Programmi e dati software applicativi;

Programmi software e dati speciali;

Valori intermedi (operativi) di programmi e dati durante la loro elaborazione (lettura/scrittura, ricezione/trasmissione) mediante mezzi e dispositivi della tecnologia informatica.

La violazione dell'integrità delle informazioni in un sistema di sicurezza delle informazioni può anche essere causata dall'introduzione di un programma software e hardware dannoso al suo interno o da un impatto sul sistema di sicurezza delle informazioni o sui suoi elementi.

Inoltre, nell'ISPD è possibile influenzare le informazioni della rete tecnologica che possono garantirne il funzionamento vari mezzi gestione della rete informatica:

configurazione di rete;

indirizzi e instradamento della trasmissione dei dati in rete;

controllo funzionale della rete;

sicurezza delle informazioni in rete.

La violazione della disponibilità delle informazioni è assicurata dalla formazione (modifica) dei dati di origine che, una volta elaborati, provocano un funzionamento errato, guasti hardware o la cattura (caricamento) delle risorse informatiche del sistema, necessarie per l'esecuzione di programmi e il funzionamento delle apparecchiature.

Le azioni indicate possono portare all'interruzione o al fallimento del funzionamento di quasi tutti i mezzi tecnici dell'ISPD:

strutture per l'elaborazione delle informazioni;

mezzi di input/output di informazioni;

mezzi di archiviazione delle informazioni;

Apparecchiature e canali di trasmissione;

strumenti di sicurezza delle informazioni.

La minaccia sta nel desiderio di lanciare vari programmi dannosi preinstallati sull'host ISPD: programmi bookmark, virus, "spie di rete", il cui scopo principale è violare la riservatezza, l'integrità, la disponibilità delle informazioni e il controllo completo sulla funzionamento dell'host. Inoltre, è possibile l'avvio non autorizzato dei programmi applicativi dell'utente per ottenere dati non autorizzati necessari all'intruso, per avviare processi controllati dal programma applicativo, ecc.

Esistono tre sottoclassi di queste minacce:

distribuzione di file contenenti codice eseguibile non autorizzato;

avvio di applicazioni remote tramite buffer overflow dei server delle applicazioni;

avvio remoto di un'applicazione utilizzando le funzionalità di controllo remoto del sistema fornite da segnalibri software e hardware nascosti o da strumenti standard.

Le minacce tipiche della prima di queste sottoclassi si basano sull'attivazione di file distribuiti quando vi si accede accidentalmente. Esempi di tali file includono: file contenenti codice eseguibile sotto forma di documenti contenenti codice eseguibile sotto forma di elementi ActiveX, applet Java, script interpretati (ad esempio testi JavaScript); file contenenti codici di programma eseguibili. Per distribuire i file è possibile utilizzare i servizi di posta elettronica, trasferimento file e file system di rete.

Le minacce della seconda sottoclasse sfruttano le carenze dei programmi che implementano i servizi di rete (in particolare, la mancanza di controllo sul buffer overflow). Regolando i registri di sistema, a volte è possibile cambiare il processore dopo un'interruzione causata da un overflow del buffer per eseguire il codice contenuto all'esterno dei limiti del buffer. Un esempio dell’attuazione di tale minaccia è l’introduzione del noto “virus Morris”.

Con le minacce della terza sottoclasse, l'intruso utilizza le capacità di controllo remoto del sistema fornite da componenti nascosti (ad esempio, programmi Trojan come Back. Orifice, Net Bus) o strumenti standard per la gestione e l'amministrazione delle reti di computer (Landesk Management Suite, Managewise, Back Orifice, ecc.). P.). Grazie al loro utilizzo è possibile ottenere il controllo remoto di una stazione della rete.

Se l'Istituzione tratta i dati personali non vengono inviati su reti di scambio pubbliche e internazionali ed è installata una protezione antivirus, la probabilità che la minaccia si realizzi è è improbabile.

In tutti gli altri casi occorre valutare la probabilità che la minaccia si realizzi.

Un elenco generalizzato della probabilità che le minacce si realizzino per diversi tipi di sistemi informativi è presentato nella Tabella 12.

Tabella 12

Tipo ISPDn	Probabilità di implementazione della minaccia	Coeff. probabilità che l’intruso si renda conto della minaccia
IC autonomo di tipo I	improbabile
IC autonomo di tipo II
Circuito integrato autonomo di tipo III	improbabile
IC autonomo di tipo IV
Tipo V IC autonomo	improbabile
IC autonomo tipo VI
LIS tipo I	improbabile
LIS tipo II
IS distribuito di tipo I	improbabile
IS distribuito di tipo II

La minaccia sta nel desiderio di lanciare vari programmi dannosi preinstallati sull'host ISPD: programmi bookmark, virus, "spie di rete", il cui scopo principale è violare la riservatezza, l'integrità, la disponibilità delle informazioni e il controllo completo sulla funzionamento dell'host. Inoltre, è possibile l'avvio non autorizzato dei programmi applicativi dell'utente per ottenere dati non autorizzati necessari all'intruso, per avviare processi controllati dal programma applicativo, ecc.

Esistono tre sottoclassi di queste minacce:

Distribuzione di file contenenti codice eseguibile non autorizzato;

Avvio remoto dell'applicazione tramite buffer overflow dei server delle applicazioni;

Avvio remoto dell'applicazione utilizzando le funzionalità di controllo remoto del sistema fornite da segnalibri software e hardware nascosti o da strumenti standard.

Le minacce tipiche della prima di queste sottoclassi si basano sull'attivazione di file distribuiti quando vi si accede accidentalmente. Esempi di tali file includono: file contenenti codice eseguibile sotto forma di documenti contenenti codice eseguibile sotto forma di elementi ActiveX, applet Java, script interpretati (ad esempio testi JavaScript); file contenenti codici di programma eseguibili. Per distribuire i file è possibile utilizzare i servizi di posta elettronica, trasferimento file e file system di rete.

Le minacce della seconda sottoclasse sfruttano le carenze dei programmi che implementano i servizi di rete (in particolare, la mancanza di controllo sul buffer overflow). Regolando i registri di sistema, a volte è possibile cambiare il processore dopo un'interruzione causata da un overflow del buffer per eseguire il codice contenuto all'esterno dei limiti del buffer. Un esempio dell’attuazione di tale minaccia è l’introduzione del noto “virus Morris”.

Con le minacce della terza sottoclasse, l'intruso utilizza le capacità di controllo remoto del sistema fornite da componenti nascosti (ad esempio, programmi Trojan come Back. Orifice, Net Bus) o strumenti standard per la gestione e l'amministrazione delle reti di computer (Landesk Management Suite, Managewise, Back Orifice, ecc.). P.). Grazie al loro utilizzo è possibile ottenere il controllo remoto di una stazione della rete.

è improbabile.

Un elenco generalizzato della probabilità che le minacce si realizzino per diversi tipi di sistemi informativi è presentato nella Tabella 12.

Tabella 12

Minacce di programmi dannosi introdotti tramite le reti

I programmi dannosi introdotti in rete includono virus che utilizzano attivamente i protocolli e le funzionalità delle reti locali e globali per diffondersi. Il principio operativo principale di un virus di rete è la capacità di trasferire autonomamente il proprio codice a un server o workstation remota. I virus di rete "a tutti gli effetti" hanno anche la capacità di eseguire il proprio codice su un computer remoto o, almeno, di "spingere" l'utente a eseguire un file infetto.

I programmi dannosi che consentono l'accesso non autorizzato possono essere:

Programmi per la selezione e l'apertura delle password;

Programmi che implementano minacce;

Programmi che dimostrano l'uso di capacità non dichiarate di software e hardware ISPD;

Programmi per la generazione di virus informatici;

Programmi che dimostrano le vulnerabilità degli strumenti di sicurezza delle informazioni, ecc.

Se l'Istituzione tratta i dati personali non vengono inviati su reti di scambio pubbliche e internazionali ed è installata una protezione antivirus, la probabilità che la minaccia si realizzi è è improbabile.

In tutti gli altri casi occorre valutare la probabilità che la minaccia si realizzi.

Un elenco generalizzato della probabilità che le minacce si realizzino per diversi tipi di sistemi informativi è presentato nella Tabella 13.

Tabella 13

Fattibilità delle minacce

Sulla base dei risultati della valutazione del livello di sicurezza (Y 1) (sezione 7) e della probabilità che la minaccia si realizzi (Y 2) (sezione 9), viene calcolato il coefficiente di fattibilità della minaccia (Y) e la possibilità che la minaccia viene determinata la realizzazione (Tabella 4). Il coefficiente di fattibilità della minaccia Y sarà determinato dal rapporto Y = (Y 1 + Y 2)/20

La fattibilità delle minacce viene determinata sulla base del Rapporto sui risultati dell'audit interno.

Un elenco generalizzato di valutazioni della fattibilità dell'UBPDn per diversi tipi di ISPDn è presentato nelle Tabelle 14-23.

Tabella 14 – IC autonomo di tipo I

Tipo di minacce alla sicurezza PD		Possibilità di implementazione
	0,25	Basso
	0,25	Basso
	0,25	Basso
2.1.1. Furto di computer	0,25	Basso
	0,25	Basso
	0,25	Basso
	0,25	Basso
	0,25	Basso
	0,25	Basso
	0,25	Basso
	0,35	media
	0,25	Basso
	0,25	Basso
	0,35	media
	0,25	Basso
	0,25	Basso
	0,25	Basso
	0,25	Basso
2.3.6. Disastro	0,25	Basso
	0,25	Basso
	0,35	media
	0,25	Basso
	0,25	Basso
	0,25	Basso
	0,25	Basso
	0,25	Basso
	0,25	Basso
	0,25	Basso
	0,25	Basso
	0,25	Basso
	0,25	Basso
	0,25	Basso

Tabella 15 - IC autonomo di tipo II

Tipo di minacce alla sicurezza PD	Fattore di fattibilità della minaccia (Y)	Possibilità di implementazione
1. Minacce derivanti da fughe di notizie attraverso canali tecnici.
1.1. Minacce di fuga di informazioni acustiche	0,25	Basso
1.2. Minacce di fuga di informazioni sulle specie	0,25	Basso
1.3. Minacce di fuga di informazioni attraverso i canali PEMIN	0,25	Basso
2. Minacce di accesso non autorizzato alle informazioni.
2.1. Minacce di distruzione, furto di hardware e supporti di informazione dell'ISPD attraverso l'accesso fisico agli elementi dell'ISPD
2.1.1. Furto di computer	0,25	Basso
2.1.2. Furto multimediale	0,25	Basso
2.1.3. Furto di chiavi e attributi di accesso	0,25	Basso
2.1.4. Furto, modificazione, distruzione di informazioni	0,25	Basso
2.1.5. Guasto dei nodi PC e dei canali di comunicazione	0,25	Basso
2.1.6. Accesso non autorizzato alle informazioni durante la manutenzione (riparazione, distruzione) dei nodi PC	0,25	Basso
2.1.7. Disattivazione non autorizzata delle misure di sicurezza	0,25	Basso
2.2. Minacce di furto, modifica non autorizzata o blocco delle informazioni a causa di accesso non autorizzato (UNA) tramite software, hardware e software (inclusi software e influenze matematiche).
2.2.1. Azioni di malware (virus)	0,35	media
2.2.2. Funzionalità non dichiarate del software di sistema e del software per l'elaborazione dei dati personali	0,25	Basso
2.2.3. Installazione di software non correlato all'esercizio delle funzioni ufficiali	0,25	Basso
2.3. Minacce di azioni involontarie da parte degli utenti e violazioni della sicurezza del funzionamento di ISPDn e SZPDn nella sua composizione a causa di guasti nel software, nonché da minacce non antropiche (guasti hardware dovuti a inaffidabilità di elementi, interruzioni di corrente) e naturali ( fulmini, incendi, inondazioni, ecc.).
2.3.1. Perdita di chiavi e attributi di accesso	0,35	media
2.3.2. Modifica (distruzione) involontaria delle informazioni da parte dei dipendenti	0,25	Basso
2.3.3. Disattivazione involontaria delle funzionalità di sicurezza	0,25	Basso
2.3.4. Guasto dell'hardware e del software	0,25	Basso
2.3.5. Mancanza di corrente	0,25	Basso
2.3.6. Disastro	0,25	Basso
2.4. Minacce di azioni deliberate da parte di addetti ai lavori
2.4.1. Accesso alle informazioni, modifica, distruzione delle persone non autorizzate al trattamento	0,25	Basso
2.4.2. Divulgazione delle informazioni, modificazione, distruzione da parte dei dipendenti autorizzati al trattamento	0,35	media
2.5 Minacce di accesso non autorizzato tramite canali di comunicazione.
2.5.1 Minaccia “Analisi del traffico di rete” con intercettazione delle informazioni trasmesse dall'ISPD e ricevute da reti esterne:
2.5.1.1. Intercettazione al di fuori dell'area controllata	0,35	media
2.5.1.2. Intercettazione all'interno dell'area controllata da parte di intrusi esterni	0,25	Basso
2.5.1.3 Intercettazione all'interno dell'area controllata da parte di trasgressori interni.	0,25	Basso
2.5.2 Scansione delle minacce volta a identificare il tipo o i tipi di sistemi operativi utilizzati, indirizzi di rete delle postazioni ISPD, topologia di rete, porte e servizi aperti, connessioni aperte, ecc.	0,25	Basso
2.5.3 Minacce di rivelazione di password sulla rete	0,35	media
2.5.4 Minacce di imporre un falso percorso di rete	0,25	Basso
2.5.5 Minacce di sostituzione di un oggetto attendibile sulla rete	0,25	Basso
2.5.6 Minacce di introduzione di un oggetto falso sia nella ISDN che nelle reti esterne	0,25	Basso
2.5.7.Minacce di negazione del servizio	0,25	Basso
2.5.8.Minacce legate al lancio di applicazioni remote	0,35	media
2.5.9 Minacce di programmi dannosi introdotti nella rete	0,35	media

Tabella 16 - IC autonomo di tipo III

Tipo di minacce alla sicurezza PD	Fattore di fattibilità della minaccia (Y)	Possibilità di implementazione
1. Minacce derivanti da fughe di notizie attraverso canali tecnici.
1.1. Minacce di fuga di informazioni acustiche	0,25	Basso
1.2. Minacce di fuga di informazioni sulle specie	0,25	Basso
1.3. Minacce di fuga di informazioni attraverso i canali PEMIN	0,25	Basso
2. Minacce di accesso non autorizzato alle informazioni.
2.1. Minacce di distruzione, furto di hardware e supporti di informazione dell'ISPD attraverso l'accesso fisico agli elementi dell'ISPD
2.1.1. Furto di computer	0,25	Basso
2.1.2. Furto multimediale	0,25	Basso
2.1.3. Furto di chiavi e attributi di accesso	0,25	Basso
2.1.4. Furto, modificazione, distruzione di informazioni	0,25	Basso
2.1.5. Guasto dei nodi PC e dei canali di comunicazione	0,25	Basso
2.1.6. Accesso non autorizzato alle informazioni durante la manutenzione (riparazione, distruzione) dei nodi PC	0,25	Basso
2.1.7. Disattivazione non autorizzata delle misure di sicurezza	0,25	Basso
2.2. Minacce di furto, modifica non autorizzata o blocco delle informazioni a causa di accesso non autorizzato (UNA) tramite software, hardware e software (inclusi software e influenze matematiche).
2.2.1. Azioni di malware (virus)	0,35	media
2.2.2. Funzionalità non dichiarate del software di sistema e del software per l'elaborazione dei dati personali	0,25	Basso
2.2.3. Installazione di software non correlato all'esercizio delle funzioni ufficiali	0,25	Basso
2.3. Minacce di azioni involontarie da parte degli utenti e violazioni della sicurezza del funzionamento di ISPDn e SZPDn nella sua composizione a causa di guasti nel software, nonché da minacce non antropiche (guasti hardware dovuti a inaffidabilità di elementi, interruzioni di corrente) e naturali ( fulmini, incendi, inondazioni, ecc.).
2.3.1. Perdita di chiavi e attributi di accesso	0,35	media
2.3.2. Modifica (distruzione) involontaria delle informazioni da parte dei dipendenti	0,25	Basso
2.3.3. Disattivazione involontaria delle funzionalità di sicurezza	0,25	Basso
2.3.4. Guasto dell'hardware e del software	0,25	Basso
2.3.5. Mancanza di corrente	0,25	Basso
2.3.6. Disastro	0,25	Basso
2.4. Minacce di azioni deliberate da parte di addetti ai lavori
2.4.1. Accesso alle informazioni, modifica, distruzione delle persone non autorizzate al trattamento	0,25	Basso
2.4.2. Divulgazione delle informazioni, modificazione, distruzione da parte dei dipendenti autorizzati al trattamento	0,35	media
2.5 Minacce di accesso non autorizzato tramite canali di comunicazione.
2.5.1 Minaccia “Analisi del traffico di rete” con intercettazione delle informazioni trasmesse dall'ISPD e ricevute da reti esterne:
2.5.1.1. Intercettazione al di fuori dell'area controllata	0,25	Basso
2.5.1.2. Intercettazione all'interno dell'area controllata da parte di intrusi esterni	0,25	Basso
2.5.1.3 Intercettazione all'interno dell'area controllata da parte di trasgressori interni.	0,25	Basso
2.5.2 Scansione delle minacce volta a identificare il tipo o i tipi di sistemi operativi utilizzati, indirizzi di rete delle postazioni ISPD, topologia di rete, porte e servizi aperti, connessioni aperte, ecc.	0,25	Basso
2.5.3 Minacce di rivelazione di password sulla rete	0,25	Basso
2.5.4 Minacce di imporre un falso percorso di rete	0,25	Basso
2.5.5 Minacce di sostituzione di un oggetto attendibile sulla rete	0,25	Basso
2.5.6 Minacce di introduzione di un oggetto falso sia nella ISDN che nelle reti esterne	0,25	Basso
2.5.7.Minacce di negazione del servizio	0,25	Basso
2.5.8.Minacce legate al lancio di applicazioni remote	0,25	Basso
2.5.9 Minacce di programmi dannosi introdotti nella rete	0,25	Basso

Tabella 17 - IC autonomo tipo IV

Tipo di minacce alla sicurezza PD	Fattore di fattibilità della minaccia (Y)	Possibilità di implementazione
1. Minacce derivanti da fughe di notizie attraverso canali tecnici.
1.1. Minacce di fuga di informazioni acustiche	0,25	Basso
1.2. Minacce di fuga di informazioni sulle specie	0,25	Basso
1.3. Minacce di fuga di informazioni attraverso i canali PEMIN	0,25	Basso
2. Minacce di accesso non autorizzato alle informazioni.
2.1. Minacce di distruzione, furto di hardware e supporti di informazione dell'ISPD attraverso l'accesso fisico agli elementi dell'ISPD
2.1.1. Furto di computer	0,25	Basso
2.1.2. Furto multimediale	0,25	Basso
2.1.3. Furto di chiavi e attributi di accesso	0,25	Basso
2.1.4. Furto, modificazione, distruzione di informazioni	0,25	Basso
2.1.5. Guasto dei nodi PC e dei canali di comunicazione	0,25	Basso
2.1.6. Accesso non autorizzato alle informazioni durante la manutenzione (riparazione, distruzione) dei nodi PC	0,25	Basso
2.1.7. Disattivazione non autorizzata delle misure di sicurezza	0,25	Basso
2.2. Minacce di furto, modifica non autorizzata o blocco delle informazioni a causa di accesso non autorizzato (UNA) tramite software, hardware e software (inclusi software e influenze matematiche).
2.2.1. Azioni di malware (virus)	0,35	media
2.2.2. Funzionalità non dichiarate del software di sistema e del software per l'elaborazione dei dati personali	0,25	Basso
2.2.3. Installazione di software non correlato all'esercizio delle funzioni ufficiali	0,25	Basso
2.3. Minacce di azioni involontarie da parte degli utenti e violazioni della sicurezza del funzionamento di ISPDn e SZPDn nella sua composizione a causa di guasti nel software, nonché da minacce non antropiche (guasti hardware dovuti a inaffidabilità di elementi, interruzioni di corrente) e naturali ( fulmini, incendi, inondazioni, ecc.).
2.3.1. Perdita di chiavi e attributi di accesso	0,35	media
2.3.2. Modifica (distruzione) involontaria delle informazioni da parte dei dipendenti	0,25	Basso
2.3.3. Disattivazione involontaria delle funzionalità di sicurezza	0,25	Basso
2.3.4. Guasto dell'hardware e del software	0,25	Basso
2.3.5. Mancanza di corrente	0,25	Basso
2.3.6. Disastro	0,25	Basso
2.4. Minacce di azioni deliberate da parte di addetti ai lavori
2.4.1. Accesso alle informazioni, modifica, distruzione delle persone non autorizzate al trattamento	0,25	Basso
2.4.2. Divulgazione delle informazioni, modificazione, distruzione da parte dei dipendenti autorizzati al trattamento	0,35	media
2.5 Minacce di accesso non autorizzato tramite canali di comunicazione.
2.5.1 Minaccia “Analisi del traffico di rete” con intercettazione delle informazioni trasmesse dall'ISPD e ricevute da reti esterne:
2.5.1.1. Intercettazione al di fuori dell'area controllata	0,35	media
2.5.1.2. Intercettazione all'interno dell'area controllata da parte di intrusi esterni	0,25	Basso
2.5.1.3 Intercettazione all'interno dell'area controllata da parte di trasgressori interni.	0,25	Basso
2.5.2 Scansione delle minacce volta a identificare il tipo o i tipi di sistemi operativi utilizzati, indirizzi di rete delle postazioni ISPD, topologia di rete, porte e servizi aperti, connessioni aperte, ecc.	0,25	Basso
2.5.3 Minacce di rivelazione di password sulla rete	0,35	media
2.5.4 Minacce di imporre un falso percorso di rete	0,25	Basso
2.5.5 Minacce di sostituzione di un oggetto attendibile sulla rete	0,25	Basso
2.5.6 Minacce di introduzione di un oggetto falso sia nella ISDN che nelle reti esterne	0,25	Basso
2.5.7.Minacce di negazione del servizio	0,25	Basso
2.5.8.Minacce legate al lancio di applicazioni remote	0,35	media
2.5.9 Minacce di programmi dannosi introdotti nella rete	0,35	media

Tabella 18 – IC autonomo tipo V

Tipo di minacce alla sicurezza PD	Fattore di fattibilità della minaccia (Y)	Possibilità di implementazione
1. Minacce derivanti da fughe di notizie attraverso canali tecnici.
1.1. Minacce di fuga di informazioni acustiche	0,25	Basso
1.2. Minacce di fuga di informazioni sulle specie	0,25	Basso
1.3. Minacce di fuga di informazioni attraverso i canali PEMIN	0,25	Basso
2. Minacce di accesso non autorizzato alle informazioni.
2.1. Minacce di distruzione, furto di hardware e supporti di informazione dell'ISPD attraverso l'accesso fisico agli elementi dell'ISPD
2.1.1. Furto di computer	0,25	Basso
2.1.2. Furto multimediale	0,25	Basso
2.1.3. Furto di chiavi e attributi di accesso	0,25	Basso
2.1.4. Furto, modificazione, distruzione di informazioni	0,25	Basso
2.1.5. Guasto dei nodi PC e dei canali di comunicazione	0,25	Basso
2.1.6. Accesso non autorizzato alle informazioni durante la manutenzione (riparazione, distruzione) dei nodi PC	0,25	Basso
2.1.7. Disattivazione non autorizzata delle misure di sicurezza	0,25	Basso
2.2. Minacce di furto, modifica non autorizzata o blocco delle informazioni a causa di accesso non autorizzato (UNA) tramite software, hardware e software (inclusi software e influenze matematiche).
2.2.1. Azioni di malware (virus)	0,35	media
2.2.2. Funzionalità non dichiarate del software di sistema e del software per l'elaborazione dei dati personali	0,25	Basso
2.2.3. Installazione di software non correlato all'esercizio delle funzioni ufficiali	0,25	Basso
2.3. Minacce di azioni involontarie da parte degli utenti e violazioni della sicurezza del funzionamento di ISPDn e SZPDn nella sua composizione a causa di guasti nel software, nonché da minacce non antropiche (guasti hardware dovuti a inaffidabilità di elementi, interruzioni di corrente) e naturali ( fulmini, incendi, inondazioni, ecc.).
2.3.1. Perdita di chiavi e attributi di accesso	0,35	media
2.3.2. Modifica (distruzione) involontaria delle informazioni da parte dei dipendenti	0,25	Basso
2.3.3. Disattivazione involontaria delle funzionalità di sicurezza	0,25	Basso
2.3.4. Guasto dell'hardware e del software	0,25	Basso
2.3.5. Mancanza di corrente	0,25	Basso
2.3.6. Disastro	0,25	Basso
2.4. Minacce di azioni deliberate da parte di addetti ai lavori
2.4.1. Accesso alle informazioni, modifica, distruzione delle persone non autorizzate al trattamento	0,25	Basso
2.4.2. Divulgazione delle informazioni, modificazione, distruzione da parte dei dipendenti autorizzati al trattamento	0,35	media
2.5 Minacce di accesso non autorizzato tramite canali di comunicazione.
2.5.1 Minaccia “Analisi del traffico di rete” con intercettazione delle informazioni trasmesse dall'ISPD e ricevute da reti esterne:
2.5.1.1. Intercettazione al di fuori dell'area controllata	0,25	Basso
2.5.1.2. Intercettazione all'interno dell'area controllata da parte di intrusi esterni	0,25	Basso
2.5.1.3 Intercettazione all'interno dell'area controllata da parte di trasgressori interni.	0,25	Basso
2.5.2 Scansione delle minacce volta a identificare il tipo o i tipi di sistemi operativi utilizzati, indirizzi di rete delle postazioni ISPD, topologia di rete, porte e servizi aperti, connessioni aperte, ecc.	0,25	Basso
2.5.3 Minacce di rivelazione di password sulla rete	0,25	Basso
2.5.4 Minacce di imporre un falso percorso di rete	0,25	Basso
2.5.5 Minacce di sostituzione di un oggetto attendibile sulla rete	0,25	Basso
2.5.6 Minacce di introduzione di un oggetto falso sia nella ISDN che nelle reti esterne	0,25	Basso
2.5.7.Minacce di negazione del servizio	0,25	Basso
2.5.8.Minacce legate al lancio di applicazioni remote	0,25	Basso
2.5.9 Minacce di programmi dannosi introdotti nella rete	0,25	Basso

Tabella 19 – CI autonomo di tipo VI

Tipo di minacce alla sicurezza PD	Fattore di fattibilità della minaccia (Y)	Possibilità di implementazione
1. Minacce derivanti da fughe di notizie attraverso canali tecnici.
1.1. Minacce di fuga di informazioni acustiche	0,25	Basso
1.2. Minacce di fuga di informazioni sulle specie	0,25	Basso
1.3. Minacce di fuga di informazioni attraverso i canali PEMIN	0,25	Basso
2. Minacce di accesso non autorizzato alle informazioni.
2.1. Minacce di distruzione, furto di hardware e supporti di informazione dell'ISPD attraverso l'accesso fisico agli elementi dell'ISPD
2.1.1. Furto di computer	0,25	Basso
2.1.2. Furto multimediale	0,25	Basso
2.1.3. Furto di chiavi e attributi di accesso	0,25	Basso
2.1.4. Furto, modificazione, distruzione di informazioni	0,25	Basso
2.1.5. Guasto dei nodi PC e dei canali di comunicazione	0,25	Basso
2.1.6. Accesso non autorizzato alle informazioni durante la manutenzione (riparazione, distruzione) dei nodi PC	0,25	Basso
2.1.7. Disattivazione non autorizzata delle misure di sicurezza	0,25	Basso
2.2. Minacce di furto, modifica non autorizzata o blocco delle informazioni a causa di accesso non autorizzato (UNA) tramite software, hardware e software (inclusi software e influenze matematiche).
2.2.1. Azioni di malware (virus)	0,35	media
2.2.2. Funzionalità non dichiarate del software di sistema e del software per l'elaborazione dei dati personali	0,25	Basso
2.2.3. Installazione di software non correlato all'esercizio delle funzioni ufficiali	0,25	Basso
2.3. Minacce di azioni involontarie da parte degli utenti e violazioni della sicurezza del funzionamento di ISPDn e SZPDn nella sua composizione a causa di guasti nel software, nonché da minacce non antropiche (guasti hardware dovuti a inaffidabilità di elementi, interruzioni di corrente) e naturali ( fulmini, incendi, inondazioni, ecc.).
2.3.1. Perdita di chiavi e attributi di accesso	0,35	media
2.3.2. Modifica (distruzione) involontaria delle informazioni da parte dei dipendenti	0,25	Basso
2.3.3. Disattivazione involontaria delle funzionalità di sicurezza	0,25	Basso
2.3.4. Guasto dell'hardware e del software	0,25	Basso
2.3.5. Mancanza di corrente	0,25	Basso
2.3.6. Disastro	0,25	Basso
2.4. Minacce di azioni deliberate da parte di addetti ai lavori
2.4.1. Accesso alle informazioni, modifica, distruzione delle persone non autorizzate al trattamento	0,25	Basso
2.4.2. Divulgazione delle informazioni, modificazione, distruzione da parte dei dipendenti autorizzati al trattamento	0,35	media
2.5 Minacce di accesso non autorizzato tramite canali di comunicazione.
2.5.1 Minaccia “Analisi del traffico di rete” con intercettazione delle informazioni trasmesse dall'ISPD e ricevute da reti esterne:
2.5.1.1. Intercettazione al di fuori dell'area controllata	0,35	media
2.5.1.2. Intercettazione all'interno dell'area controllata da parte di intrusi esterni	0,25	Basso
2.5.1.3 Intercettazione all'interno dell'area controllata da parte di trasgressori interni.	0,25	Basso
2.5.2 Scansione delle minacce volta a identificare il tipo o i tipi di sistemi operativi utilizzati, indirizzi di rete delle postazioni ISPD, topologia di rete, porte e servizi aperti, connessioni aperte, ecc.	0,25	Basso
2.5.3 Minacce di rivelazione di password sulla rete	0,35	media
2.5.4 Minacce di imporre un falso percorso di rete	0,25	Basso
2.5.5 Minacce di sostituzione di un oggetto attendibile sulla rete	0,25	Basso
2.5.6 Minacce di introduzione di un oggetto falso sia nella ISDN che nelle reti esterne	0,25	Basso
2.5.7.Minacce di negazione del servizio	0,25	Basso
2.5.8.Minacce legate al lancio di applicazioni remote	0,35	media
2.5.9 Minacce di programmi dannosi introdotti nella rete	0,35	media

Tabella 20 – LIS di tipo I