Особенности закладок и защита от воздействия закладок. Пакеты антивирусных программ

    Практическая  работа №2

    Особенности закладок и защита от воздействия закладок. Пакеты антивирусных программ. 

    Цель  работы: изучить принцип  построения программных  закладок и методы защиты от воздействия  закладок, изучить  разновидности пакетов  по защите ПК.

     

    Задачи: 1. Научить студентов процессу подготовки и отладки программы с программными прерываниями на языке ассемблера, включая этапы подготовки исходного текста, трансляции, компоновки и отладки программы, а также процессу установки программ защиты.

                2. Формировать умения работать с текстовым редактором, программами пакета TASM 5.0. Формировать умения работать с лазерными дисками по обеспечению защиты ПК. Отрабатывать умения работать с пакетами защиты ПК.  

    Базовые понятия: программная закладка, программное прерывание, отладка, трансляция и компоновка файла, антивирусная программа, установка программы, тестирование ПК.

    Требуемое время: 2 часа. 

    Предварительное домашнее задание: учебник Партыка Т.Л., Попов И.И. Информационная безопасность. Учебное пособие для студентов учреждений среднего специального образования. -  М.: ФОРУМ : ИНФРА-М, 2002., с.197-248 

    Оборудование: 

1. Персональный компьютер

2.Операционная  система MS DOS или Windows 9х/2000/ХР

3. Электронные  пакеты программ «Защита от  хакеров»,  «Все для безопасности вашего компьютера, «Безопасность сети 2005», «Безопасность ПК-ДиалогНаука»

    Пояснения к работе

 

    Программной закладкой называется программа или фрагмент программы, скрытно внедряемый в атакуемую компьютерную систему с целью осуществления НСД к ее ресурсам. Несанкционированные действия, выполняемые в атакованной системе программными закладками, часто называется в литературе разрушающими программными воздействиями (РПВ).

    Принципиальным  отличием РПВ от других форм НСД, является то, что программная закладка, являясь автономно функционирующим субъектом, способна выполнять действия, невыполнимые для традиционных средств и методов НСД, в том числе:

    - выполнять воздействия на компьютерную  систему, требующие постоянного  присутствия в системе субъекта, осуществляющего НСД (например, перехват тех или иных информационных потоков);

    - скрывать следы своего присутствия  в системе путем модификации информационных потоков, которые могут быть использованы для выявления закладки. 

    Функционирование  распространенных программных закладок укладывается в четыре основные теоретические модели. 

Модель  «наблюдатель»

    Программная закладка встраивается в систему  в качестве отдельного субъекта доступа. Получив кодированный сигнал специального вида от клиентской программы злоумышленника, закладка инициирует выполнение НСД к тем или иным ресурсам атакованной системы.

    На  практике данная модель чаще всего  применяется для организации скрытного удаленного контроля операционной системы. Как правило, закладки данной модели поддерживают следующие функции удаленного контроля:

- управление файловыми  системами;

- управление конфигурацией  операционной системы;

- управление процессами.

    В частности, при использовании модели типа наблюдение программная закладка встраивается в сетевое или телекоммуникационное программное обеспечение. Пользуясь тем, что подобное программное обеспечение всегда находится в состоянии активности, внедренная в него программная закладка может следить за всеми процессами обработки информации в компьютерной системе, а также осуществлять установку и удаление других программных закладок. Модель типа компрометация позволяет получать доступ к информации, перехваченной другими программными закладками.

    Модель  «перехват»

    Закладка  встраивается в программное обеспечение субъекта, обслуживающего информационные потоки определенного класса. Потоки, перехватываемые закладкой, полностью или частично дублируются.

    В роли объекта перехвата обычно выступают  объекты, связанные со следующими устройствами системы:

- клавиатура;

- файловые системы;

- физические и логические  устройства, осуществляющие  прием сетевого трафика. 

    В модели перехват программная закладка внедряется в ПЗУ. системное или  прикладное программное обеспечение  и сохраняет всю или выбранную  информацию, вводимую с внешних устройств компьютерной системы или выводимую на эти устройства, в скрытой области памяти локальной или удаленной компьютерной системы. Объектом сохранения, например, могут служить символы, введенные с клавиатуры (все повторяемые два раза последовательности символов), или электронные документы, распечатываемые на принтере. 

Данная  модель может быть двухступенчатой. На первом этапе сохраняются только, например, имена или начала файлов. На втором накопленные данные анализируются  злоумышленником с целью принятия решения о конкретных объектах дальнейшей атаки. 

Модель  типа "перехват" может быть эффективно использована при атаке на защищенную операционную систему Windows NT. После  старта Windows NT на экране компьютерной системы  появляется приглашение нажать клавиши <Ctrl>+<Alt>+<Del>. После их нажатия загружается динамическая библиотека MSGINA.DLL, осуществляющая прием вводимого пароля и выполнение процедуры его проверки (аутентификации). Описание всех функций этой библиотеки можно найти в файле Winwlx.h. Также существует простой механизм замены исходной библиотеки MSGINA.DLL на пользовательскую (для этого необходимо просто добавить специальную строку в реестр операционной системы Windows NT и указать местоположение пользовательской библиотеки). В результате злоумышленник может модифицировать процедуру контроля за доступом к компьютерной системе, работающей под управлением Windows NT. 

Модель  «искажение»

    Закладка  встраивается в программное обеспечение, обслуживающее информационные потоки определенного класса. Потоки информации, проходящие через программную закладку, полностью или частично искажаются. Наибольший практический интерес представляет частный случай, когда искажения, вносимые закладкой в систему, затрагивают политику безопасности, что приводит к несанкционированному повышению полномочий пользователя, внедрившего закладку.

    К основным методам несанкционированного повышения полномочий пользователей относятся следующие:

- несанкционированное  использование встроенных  в систему средств  динамического повышения полномочий;

-несанкционированное  порождение дочернего  процесса высоко  привилегированным  процессом;

-  непосредственная  модификация критичных  фрагментов машинного  кода подсистемы  защиты атакуемой  системы.

    В модели искажение программная закладка изменяет информацию, которая записывается в память компьютерной системы в результате работы программ, либо подавляет/инициирует возникновение ошибочных ситуаций в компьютерной системе. 

    Можно выделить статическое и динамическое искажение.

    Статическое искажение происходит всего один раз. При этом модифицируются параметры программной среды компьютерной системы, чтобы впоследствии в ней выполнялись нужные злоумышленнику действия. К статическому искажению относится, например, внесение изменений в файл AUTOEXEC.BAT операционной системы Windows 95/98, которые приводят к запуску заданной программы, прежде чем будут запущены все другие, перечисленные в этом файле.

    Динамическое  искажение заключается в изменении  каких-либо параметром системных или  прикладных процессов при помощи заранее активизированных закладок. Динамическое искажение можно условно разделить так: искажение на входе (когда на обработку попадает уже искаженный документ) и искажение на выходе (когда искажается информация, отображаемая для восприятия человеком, или предназначенная для работы других программ).

    Практика  применения цифровой подписи в системах автоматизированного документооборота показала, что именно программная  реализация цифровой подписи особенно подвержена влиянию программных  закладок типа "динамическое искажение", которые позволяют осуществлять проводки фальшивых финансовых документов и вмешиваться в процесс разрешения споров по фактам неправомерного применения цифровой подписи.

    Существуют 4 основных способа воздействия программных  закладок на цифровую подпись:

    искажение входной информации (изменяется поступающий  на подпись электронный документ);

    искажение результата проверки истинности цифровой подписи (вне зависимости от результатов  работы программы цифровая подпись  объявляется подлинной);

    навязывание длины электронного документа (программе цифровой подписи предъявляется документ меньшей длины, чем на самом деле, и в результате цифровая полнись ставится только под частью исходною документа);

    искажение программы цифровой подписи (вносятся изменения в исполняемый код программы с целью модификации реализованного алгоритма).

    В рамках модели "искажение" также  реализуются программные закладки. действие которых основывается на инициировании  или подавлении сигнала о возникновении  ошибочных ситуаций в компьютерной системе, т. е. тех, которые приводят к отличному от нормального завершению исполняемой программы (предписанного соответствующей документацией).

    Для инициирования статической ошибки на устройствах хранения информации создается область, при обращении  к которой (чтение, запись, форматирование и т. п.) возникает ошибка, что может затруднить или блокировать некоторые нежелательные для злоумышленника действия системных пли прикладных программ (например, не позволять осуществлять корректно уничтожить конфиденциальную информацию на жестком диске). 

    «Уборка мусора» 

Как известно, при хранении компьютерных данных на внешних носителях прямого доступа  выделяется несколько уровней иерархии: сектора, кластеры и файлы. Сектора  являются единицами хранения информации на аппаратном уровне. Кластеры состоят из одного или нескольких подряд идущих секторов. Файл — это множество кластеров, связанных по определенному закону. 

Работа  с конфиденциальными электронными документами обычно сводится к последовательности следующих манипуляций с файлами: 

создание;

хранение;

коррекция;

уничтожение.

Для защиты конфиденциальной информации обычно используется шифрование. Основная угроза исходит отнюдь не от использования нестойких алгоритмов шифрования и "плохих" криптографических ключей (как это может показаться на первый взгляд), а от обыкновенных текстовых редакторов и баз данных, применяемых для создания и коррекции конфиденциальных документов! 

Дело  в том, что подобные программные  средства, как правило, в процессе функционирования создают в оперативной или внешней памяти компьютерной системы временные копии документов, с которыми они работают. Естественно, все эти временные файлы выпадают из поля зрения любых программ шифрования и могут быть использованы злоумышленником для того, чтобы составить представление о содержании хранимых в зашифрованном виде конфиденциальных документов. 

Важно помнить и о том, что при  записи отредактированной информации меньшего объема в тот же файл, где  хранилась исходная информация до начала сеанса ее редактирования, образуются так называемые "хвостовые" кластеры, в которых эта исходная информация полностью сохраняется. И тогда "хвостовые" кластеры не только не подвергаются воздействию программ шифрования, но и остаются незатронутыми даже средствами гарантированного стирания информации. Конечно, рано или поздно информация из "хвостовых" кластеров затирается данными из других файлов, однако по оценкам специалистов ФАПСИ из "хвостовых" кластеров через сутки можно извлечь до 85%, а через десять суток — до 25—40% исходной информации.