Воздействия вредоносных программ

Программы с потенциально опасными последствиями ("вредные программы", badware) названы в Уголовном кодексе РФ "вредоносные программы".

Такая программа (осмысленный набор инструкций для какого-либо процессора) может выполнять следующие функции:

· скрывать признаки своего присутствия в программной среде ОИ;

· обладает способностью к самодублированию, ассоциированию себя с другими программами и/или переносу своих фрагментов в иные (не занимаемые изначально указанной программой) области оперативной или внешней памяти;

· обладает способностью разрушать (искажать произвольным образом) код программ (отличных от нее) в оперативной памяти ОИ;

· обладает способностью переносить (сохранять) фрагменты информации из оперативной памяти в некоторых областях оперативной или внешней памяти прямого доступа (локальных или удаленных);

· имеет потенциальную возможность искажать произвольным образом, блокировать и/или подменять выводимой во внешнюю память или в канал связи массив информации, образовавшийся в результате работы прикладных программ или уже находящиеся во внешней памяти массивы данных, либо изменять их параметры.

Вредоносные программы можно условно разделить на:

· компьютерные "вирусы";

· программы типа "программный червь " или "троянский конь" и фрагменты программ типа "логический люк";

· программные закладки или разрушающие программные воздействия (РПВ) – обобщенный класс программ (в смысле отсутствия конкретных признаков) с потенциально опасными последствиями.

Кроме того, программные закладки можно классифицировать по методу и месту их внедрения и применения (то есть, по "способу доставки" в систему):

· закладки, ассоциированные с программно - аппаратной средой ОИ (основной или расширенные BIOS ПЭВМ);

· закладки, ассоциированные с программами первичной загрузки (находящиеся в Master Boot Record или BOOT – секторах активных разделов) – загрузочные закладки;

· закладки, ассоциированные с загрузкой драйверов операционной среды, командного интерпретатора, сетевых драйверов т.е. c загрузкой операционной среды;

· закладки, ассоциированные с прикладным программным обеспечением общего назначения (встроенные в клавиатурные и экранные драйверы, программы тестирования ПЭВМ, утилиты и оболочки типа NORTON);

· исполняемые модули, содержащие только код закладки (как правило, внедряемые в файлы пакетной обработки типа.BAT);

· модули-имитаторы, совпадающие с некоторыми программами, требующими ввода конфиденциальной информации, по внешнему виду) – наиболее характерны для Unix-систем;

· закладки, маскируемые под программные средства оптимизационного назначения (архиваторы, ускорители обмена с диском и т.д.);

· закладки, маскируемые под программные средства игрового и развлекательного назначения (как правило, используются для первичного внедрения закладок).

Программные закладки имеют много общего с классическими вирусами, особенно в части ассоциирования себя с исполняемым кодом (загрузочные вирусы, вирусы-драйверы, файловые вирусы).

Кроме того, программные закладки, как и многие известные вирусы классического типа, имеют развитые средства борьбы с отладчиками и дисассемблерами.

Нельзя упускать из вида, что доставка закладок с развлекательным программами в автоматизированную систему организации – путь более чем реальный.

Для того, чтобы закладка смогла выполнить какие-либо действия по отношении к прикладной программе или данным, она должна получить управление на себя т.е. процессор должен начать выполнять инструкции (команды), относящиеся к коду закладки.

Это возможно только при одновременном выполнении 2-х условий:

· закладка должна находиться в оперативной памяти до начала работы программы, которая является целью воздействия закладки – следовательно, она должна быть загружена раньше или одновременно с этой программой;

· закладка должна активизироваться по некоторому общему как для закладки, так и для программы событию, т.е. при выполнении ряда условий в программно-аппаратной среде управление должно быть передано на программу-"закладку".

Данное событие называется активизирующим.

Обычно выполнение указанных условий достигается путем анализа и обработки "закладкой" общих относительно "закладки" и прикладной программы воздействий – как правило, прерываний или сообщений.

Типовой характер опосредованного НСД для информационной системы организации таков: нарушитель производит первичную модификацию "штатной" программно-аппаратной среды платежной системы.

В принципе на этом атака может закончиться (так, неоднократно фиксировались попытки статической коррекции программ электронной цифровой подписи (ЭЦП), так чтобы при проверке подписи под документами она всегда оставалась либо верной, либо неверной).

Однако чаще всего на первом этапе нарушитель устанавливает в систему некоторый модуль накопления или анализа циркулирующей в банковской системе информации т.е. фактически перехватывает некоторую информацию.

Нарушитель может накапливать конфиденциальную информацию на двух уровнях:

· информация непосредственно клиентов (пароли, (для пластиковых карт ПИН-коды), номера счетов и суммы счетов и т.д.);

· персональная информация ответственных исполнителей (ключи ЭЦП, личные пароли, содержание карт или персональных устройств доступа).

После получения интересующей информации злоумышленник восстанавливает рабочую среду в исходное состояние, а перехваченную информацию использует сам, либо передает третьим лицам.

Таким образом, осуществление опосредованного НСД (с применение закладок, либо путем коррекции рабочей среды) требует нескольких условий, а именно: физический доступ к аппаратным компонентам банковской системы (в ряде условий возможно удаленное воздействие по сети телекоммуникации), достаточное время, высокая квалификация нарушителя.

Из этого следует, что нарушителем может быть сотрудник самой организации, имеющий доступ к ее программному обеспечению и ПЭВМ, либо сотрудник служб информатизации и телекоммуникации, технического обслуживания и ремонта.

Возможна ситуация, когда нарушитель уже не имеет доступа к базам данных организации, но знает (будучи разработчиком каких-либо подсистем) конкретные его особенности и поддерживает контакт с действующим персоналом.

Присутствующая в системе закладка может искажать параметры каких-либо операций, при этом выделяют статическое и динамическое искажение.

Статическое искажение заключается в изменении параметров программной среды.

Например, редактирование файла AUTOEXEC.BAT так, чтобы первой запускалась заданная злоумышленником программа. Изменение исполняемых модулей (редактирование кода или данных) с целью последующего выполнения нужных злоумышленнику действий.

Динамическое искажение заключается в изменении каких-либо параметров процессов при помощи ранее активизированной закладки.

Статическое искажение, как правило, проводится один раз. Вообще говоря, разделить эти процессы трудно – так, например, внедрение закладки по вирусному механизму в исполняемый файл сопряжено со статическим искажением программы, а ее дальнейшая работа может быть связана с тем, что код закладки будет резидентным и станет влиять на файловые операции уже динамически.