ПЗ – 5. Изучение действия деструктивных программных воздействий (компьютерных вирусов и программных закладок)

Понятие деструктивного (разрушающего)  программного воздействия

Напомним, что под несанкционированным доступом (НСД) к ресурсам защищенной ИС понимают действия по использованию, изменению и уничтожению программ и данных, производимые субъектом, не имеющим права на такие действия. Данного субъекта будем называть злоумышленником (нарушителем). Остальные субъекты именуются легальными пользователями.

НСД можно представить моделью опосредованного несанкци-онированного доступа, когда проникновение в систему осуществляется на основе некоторого воздействия, произведенного предварительно внедренной в систему программой.

Программой с потенциально опасными последствиями называется некоторая программа, которая способна выполнить какие-либо из перечисленных ниже функций:

1)   скрыть признаки своего присутствия в программной среде КС;

2)   реализовать самодублирование, ассоциирование себя с другими программами и (или) перенос своих фрагментов в иные (не занимаемые изначально указанной программой) области оперативной или внешней памяти;

3)  разрушить (исказить произвольным образом) код программ в оперативной памяти КС;

4)  перенести (сохранить) фрагменты информации из оперативной памяти в некоторые области оперативной или внешней памяти;

5)   изменить произвольным образом, заблокировать и (или) подменить вы водимый во внешнюю память или в канал связи массив информации либо изменить его параметры.

Программы с потенциально опасными последствиями можно условно разделить на три класса.

1. Классические программы-вирусы. Особенность данного класса вредных программ заключается в ненаправленности их воздействия на конкретные типы прикладных программы, а также в том, что во главу угла ставится самодублирование вируса.

2. Программы типа «программный червь» или «троянский конь» и фрагменты программ типа «логический люк». В данном случае имеет место обратная ситуация: самодублирование не всегда присуще такого рода программам или фрагментам программ, но они обладают возможностью перехвата конфиденциальной информации, или извлечения информации из сегментов систем безопасности, или разграничения доступа.

3. Программные закладки, или разрушающие программные воздействия (РПВ), — обобщенный класс программ (в смысле отсутствия конкретных признаков) с потенциально опасными последствиями, обязательно реализующие хотя бы один из пунктов 3—5 определения программы с потенциально опасными последствиями.

Далее наряду с термином «программа с потенциально опасными последствиями» будут использоваться термины «закладка», «программная закладка» либо сокращение РПВ.

Для того чтобы закладка смогла выполнить какие-либо действия по отношению к прикладной программе или данным, она должна получить управление, т. е. процессор должен начать выполнять инструкции, относящиеся к коду закладки. Это возможно только при одновременном выполнении двух условий:

1) закладка должна находиться в оперативной памяти до начала работы программы, которая является целью воздействия закладки, следовательно, она должна быть загружена раньше или одновременно с этой программой;

2) закладка должна активизироваться по некоторому общему как для закладки, так и для программы событию, т. е. при выполнении ряда условий в программно-аппаратной среде управление должно быть передано программе-закладке.

1.2. Модели взаимодействия прикладной программы и программной закладки

Определим области воздействия программных закладок на компьютерные системы. Для этого рассмотрим определенные модели закладок.

1. Модель «перехват». Программная закладка встраивается в ПЗУ, ОС или прикладное программное обеспечение и сохраняет все или избранные фрагменты обрабатываемой информации в скрытой области локальной или удаленной внешней памяти. Для данной модели существенно наличие во внешней памяти места хранения информации, которое должно быть организовано таким образом, чтобы обеспечить ее сохранность на протяжении заданного промежутка времени и возможность последующего съема.

2. Модель «троянский конь». Закладка встраивается в постоянно используемое ПО и по некоторому активизирующему событию моделирует сбойную ситуацию на средствах хранения информации или в оборудовании компьютера (сети). Тем самым могут быть достигнуты две цели: во-первых, парализована нормальная работа компьютерной системы и, во-вторых, злоумышленник (под видом ремонта) может ознакомиться с имеющейся в системе или накопленной по модели «перехват» информацией. Событиями, активизирующими закладку, могут быть некоторый момент