Короба.md 20 KB
Использование программных средств для НСД
Среди самых распространенных программных злоупотреблений следует выделить: программы поручения паролей, "люки", логические бомбы, троянские кони, репликаторы, компьютерные вирусы, программные закладки и др.
Программы получения паролей -- это две большие группы программ, которые предназначены для получения идентификаторов и паролей пользователей. С данным злоупотреблением связывается термин "взлом системы".
Программы открытия паролей последовательно генерируют все возможные варианты пароля и выдают их системе до тех пор, пока не будет определен необходимый пароль. Пароли являются основным средством идентификации пользователей в многопользовательских компьютерных системах, а открытие пароля и входного имени пользователя позволяет организовать доступ к конкретной информации.
Программы захвата паролей имитируют системный сбой в работе компьютера (например, перезагрузку операционной системы, отключение сети и др.), и запрашивают у пользователя идентификатор и пароль, после чего передают управление рабочей программе, операционной системе или другим программам.
«Люки» или «trap door» -- не описанные в документации возможности работы с программным продуктом.
Сущность использования люков состоит в том, что при реализации пользователем не описанных в документации действий, он получает доступ к ресурсам и данным, которые в обычных условиях для него закрыты (в частности, вход в привилегированный режим обслуживания).
Люки могут появиться в программном продукте следующими путями:
-Люки чаще всего являются результатом забывчивости разработчиков. В процессе разработки программы создаются временные механизмы, облегчающие ведение отладки за счет прямого доступа к продукту.
-Люки могут образоваться также в результате часто практикуемой технологии разработки программных продуктов "сверху--вниз". При этом программист приступает к написанию управляющей программы, заменяя предполагаемые в будущем подпрограммы так называемыми «заглушками» группами команд, имитирующими или обозначающими место присоединения будущих подпрограмм. В процессе работы эти заглушки заменяются реальными подпрограммами.
На момент замены последней заглушки реальной подпрограммой, программа считается законченной. Но на практике подобная замена выполняется не всегда. Во-первых, из-за нарушения сроков разработки и сдачи в эксплуатацию и, во-вторых, из-за невостребованности данной подпрограммы. Таким образом, заглушка остается, представляя собой слабое место системы с точки зрения информационной безопасности.
Программист пишет программу, которой можно управлять с помощью определенных команд, или, например, путем ввода "Y" ("Да") или N ("Нет"). В случае неправильного вода должно появляться сообщение типа «Неправильный ввод» и повтор запроса. Однако может быть ситуация, когда программа не учитывает такое, предполагая, что пользователь будет действовать правильно.В таком случае реакция программы на неопределенный ввод может быть непредсказуемой. Такую ситуацию в программе можно специально создать для того, чтобы получить доступ к определенным ресурсам и данным.
Таким образом, люк может присутствовать в программном продукте вследствие умышленных или неумышленных действий со стороны программиста для обеспечения: тестирования и отладки программного продукта; окончательной сборки конечной программы; скрытого средства доступа к программному продукту и данным.
«Логические бомбы» (logic bomb) -- программный код, который является безвредным до выполнения определенного условия, после которого реализуется логический механизм. Логические бомбы, в которых срабатывание скрытого модуля определяется временем (текущей датой), называют бомбами с часовым механизмом (time bomb). Подобные программы, реализующие свой механизм после конкретного числа исполнений, при наличии или, наоборот, отсутствии определенного файла, а также соответствующей записи в файле, получили название логической бомбы (logic bomb).
В связи с тем, что подобные программы имеют ограниченный доступ к ресурсам системы, разрушительный эффект остается достаточно низким. Опасность может значительно увеличиться, если логическая бомба будет встроена в системное программное обеспечение, что приведет к уничтожению файлов, переформатированию машинных носителей или к другим разрушающим последствиям.
Основной целью функционирования программ типа логической бомбы следует считать нарушение нормальной работы компьютерной системы.
«Троянский конь» -- программа, которая кроме своей основной деятельности выполняет некоторые дополнительные (разрушительные), не описанные в документации функции, о чем пользователь не подозревает.
Реализация дополнительных функций выполняется скрытым от пользователя модулем, который может встраиваться в системное и прикладное программное обеспечение. При реализации пораженной программы троянский конь получает доступ к ресурсам вместе с пользователем.
В чужое программное обеспечение тайно вводятся специально созданные программы, которые, попадая в информационно-вычислительные системы, начинают выполнять новые, не планировавшиеся законным владельцем действия, с одновременным сохранением прежних функций. По существу «троянский конь» -- это модернизация рассмотренного выше способа «люк» с той лишь разницей, что люк «открывается» не при помощи непосредственных действий преступника, а автоматически, с использованием специально подготовленной для этих целей программы и без непосредственного участия самого преступника.
Троянские кони опасны, поскольку чаще всего они встраиваются в хорошо зарекомендовавшие себя программные продукты -- инструментальные средства, пакеты прикладных программ, текстовые редакторы, компьютерные игры и т.д. Они выступают в качестве средства несанкционированного доступа к содержащейся в системе информации.
Компьютерные системы, использующий дескрипторные методы управления доступом (в том числе такие, как полномочия, списки управления доступом и др.), становятся практически беззащитными против программ типа троянский конь.
Репликаторы -- могут создавать одну, или более своих копий в компьютерной системе. Это приводит к быстрому переполнению памяти компьютера, но данные действия могут быть обнаружены опытным пользователем и достаточно легко устранены. Устранение программы репликатора усложняется в тех случаях, когда затрудняется распознавание ее новых копий. А когда к функции размножения добавляются другие разрушающие воздействия, репликаторные программы становятся особенно опасными.
Программные закладки -- программы, которые сохраняют вводимую с клавиатуры информацию (в том числе и пароли) в некоторой зарезервированной для этого области.
Атаки «салями» -- характерны для финансовых банковских информационных систем, где ежедневно проводятся тысячи операций, связанных с безналичными расчетами, переводами сумм, начислениями и т.д. При реализации расчетов вычисляются различного рода доли, которые округляются в большую или меньшую сторону. Атака «салями» состоит в накоплении на отдельном счете этих долей денежной единицы. Практика доказала, что эксплуатация такой программы обеспечивает накопление значительных сумм.
Скрытые каналы -- это программы, передающие информацию лицам, которые в обычных условиях эту информацию получать не должны. Злоумышленник не всегда имеет непосредственный доступ к компьютерной системе. Для скрытой передачи информации используют различные элементы, форматы «безобидных» отчетов, например, разную длину строк, пропуски между строками, наличие или отсутствие служебных заголовков, управляемый вывод незначащих цифр в выводимых величинах, количество пробелов или других символов в определенных местах отчета и т.д.
При использовании скрытых каналов для получения относительно небольших объемов информации захватчик вынужден проделать достаточно большую работу. Поэтому скрытые каналы более приемлемы в ситуациях, когда нарушителя интересует не сама информация, а факт её наличия.
Может возникнуть ситуация, когда скрытый канал сообщает о наличии в системе определенной информации, что в свою очередь служит признаком работы в системе определенного процесса, позволяющего провести атаку иного типа.
Компьютерные вирусы (KB) -- представляют собой программные разработки, способные проникать в среду компьютерных систем и наносить разного рода повреждения.
Вирусы представляют собой наиболее полно исследованный класс программных злоупотреблений, превосходящий по разрушающим возможностям все другие.
Компьютерный вирус -- это специально написанная программа, которая может «приписать» себя к другим программам (т.е. «заражать» их), размножаться и порождать новые вирусы для выполнения различных нежелательных действий на компьютере.
Пример программы для НСД
Elite keylogger
Скрытность:10
Удобство:9
Функциональность:8
Пожалуй, один из лучших когда-либо созданных кейлоггеров. В число его возможностей, помимо стандартного набора (перехват всех нажатий в контексте приложений / окон / сайтов), входит перехват сообщений мессенджеров, снимки с веб-камеры, а также - что ОЧЕНЬ важно! - перехват паролей службы WinLogon. Иными словами, он перехватывает пароли входа в Windows (включая доменные!). Это стало возможным благодаря его работе на уровне системного драйвера и запуску ещё на этапе загрузки ОС. В силу этой же особенности, данная программка остаётся абсолютно невидимой и для Каспероского, и для всего прочего анти-вредоносного ПО. Признаться, я не встречал ни одного кейлоггера, способного на такое.
Однако же не стоит обольщаться слишком уж сильно. Сам инсталлер распознаётся антивирусами очень легко и для его установки потребуются и админовские права и отключение всех антивирусных служб и сервисов. После установки всё будет работать идеально в любом случае.
Кроме того, описанная особенность (работа на уровне ядра ОС) вносит требования по версия ОС, на которых кейлоггеров будет работать. Версия 5-5.3 (ссылки на которую приведены чуть ниже) поддерживает всё до Windows 7, включительно. Win 8 / 10, а также windows семейства server (2003 / 2008 / 2012) уже не поддерживаются. Есть версия 6, прекрасно функционирующая в т.ч. на win 8 и 10, однако найти крякнутую версию на текущий момент не представляется возможным. Вероятно, в будущем она появится. А пока же скачать Elite keylogger 5.3 можно по ссылке выше.
Нет режима сетевой работы, посему для использования работодателями (для слежения за компьютерами своих сотрудников) или целой группы лиц не подойдёт.
Важным моментом является возможность создания установочного дистрибутива с предзаданными настройками (к примеру, с заданным адресом почты, куда нужно будет слать логи). При этом на выходе Вы получаете дистрибутив, которые при запуске не выдаёт абсолютно никаких предупреждений или окон, а после установки может даже уничтожить себя сам (если отметить соответствующую опцию).
Источники:
1.
2.
3.