Модифікація інформації

Одній з особливостей будь-якої системи дії, побудованої за принципом помилкового об'єкту, є те, що вона здатна модифікувати перехоплену інформацію. Слід особливо відзначити, що це один із способів, що дозволяють програмно модифікувати потік інформації між об'єктами РВС з іншого об'єкту. Адже для реалізації перехоплення інформації в мережі необов'язково атакувати розподілену ВС по схемі "помилковий об'єкт". Ефективніше буде атака, що здійснює аналіз мережевого трафіку (п. 3.2.1), дозволяє отримувати всі пакети, що проходять по каналу зв'язку, але, на відміну від видаленої атаки по схемі "помилковий об'єкт", вона не здібна до модифікації інформації.

Далі розгледимо два види модифікації інформації:

• модифікація передаваних даних;
• модифікація передаваної коди.

Одній з функцій, якою може володіти система дії, побудована за принципом "помилковий об'єкт", є модифікація передаваних даних. В результаті селекції потоку перехопленої інформації і його аналізу система може розпізнавати типа передаваних файлів (виконуваний або текстовий). Відповідно, в разі виявлення текстового файлу або файлу даних з'являється можливість модифікувати що проходять через помилковий об'єкт дані. Особливу загрозу ця функція представляє для мереж обробки конфіденційної інформації.

Іншим видом модифікації може бути модифікація передаваної коди. Помилковий об'єкт, проводячи семантичний аналіз інформації, що проходить через нього, може виділяти з потоку даних виконуваний код. Відомий принцип нейманівської архітектури свідчить, що не існує відмінностей між даними і командами. Отже, для того, щоб визначити, що передається по мережі - код або дані, необхідно використовувати певні особливості, властиві реалізації мережевого обміну в конкретній розподіленій ВС або деякі особливості, властиві конкретним типам виконуваних файлів в даній локальній ОС.

Представляється можливим виділити два різних по меті виду модифікації коди:

• впровадження РПС (руйнівних програмних засобів);
• зміна логіки роботи виконуваного файлу.

У першому випадку при впровадженні РПС виконуваний файл модифікується за вірусною технологією: до виконуваного файлу одним з відомих способів дописується тіло РПС,а також одним з відомих способів змінюється точка входу так, щоб вона вказувала на початок упровадженої коди РПС. Описаний спосіб, в прин-ципе, нічим не відрізняється від стандартного зараження виконуваного файлу вірусом, за винятком того, що файл опинився уражений вірусом або РПС у момент передачі його по мережі! Таке можливе лише при використанні системи дії, побудованої за принципом "помилковий об'єкт".Конкретний вид РПС, його цілі і завдання в даному випадку не мають значення, але можна розгледіти, наприклад, варіант використання помилкового об'єкту для створення мережевого черв'яка - найбільш складної на практиці видаленої дії в мережах, або як РПС використовувати мережеві шпигуни.

У другому випадку відбувається модифікація виконуваної коди з метою зміни логіки його роботи. Дана дія вимагає попереднього дослідження роботи виконуваного файлу і, в разі його проведення, може принести найнесподіваніші результати. Наприклад, при запуску на сервері (наприклад, в ОС Novell NetWare) програми ідентифікації користувачів розподіленої бази даних помилковий об'єкт може так модифікувати код цієї програми, що з'явиться можливість беспарольного входу з найвищими привілеями в базу даних.