Спосіб зараження об'єкта

Н

езидентний вірус 1_

nonresident virus_________ j

— комп'ютерний вірус, який не залишається в оперативній пам'яті ЕОМ після завершення програ­ми — переносника вірусу і є активним обмежений час, а потім «гине»

\ Деструктивні можливості і

Г^ Безпечний вірус____ ]

і— комп'ютерний вірус, що не виконує деструктивних функцій

[ Вірус з деструктивними функціями і_

— комп югернии вірус г деструктивними можливостями

Рис. 3.6. Загальна характеристика комп'ютерних вірусів

Розділ 3. Основи інформаційного протиборства

раження може відбутися як випадково, наприклад, користувач сам, не підозрюючи про наявність вірусу на носії, запустив його в комп'ютерну систему, так і умисно, якщо зловмисник (злочинець) знав про його існування і наслідки, які настануть після запуску системи з вірусоносієм. Носій машинної інформації може і не бути системним, тобто не мати файлів операційної системи.

Файловий вірус [file virus] призначений для зараження ЕОМ із запущеної на ній програми,яка вже містить вірус. В цьому випадку можливе зараження інших виконавчих файлів, у тому числі СОЛІ, EXE, SYS, ВАТ-файли і деяких інших. Файлові віруси можуть бути резидентными та нерезидентными.

Макровіруси [macro virus] написані мовою програмування, щозастосовуєтьсядля написання макросів (наприкладЛУогсіВаБІс). Макровірус імітує натискання керуючих клавіш для деяких видів програм, котрі працюють із документами, що приводить до відси­лання документів, відкритих програмою, до випадкових (можливо несанкціонованих) адресатів.

Використання макровірусів як зброї інформаційної атаки дає змогу вибирати цілком конкретні адресати і функціонувати за точно заданою програмою, а також за допомогою зброї інфор­маційного забезпечення здійснювати транзит інформаційних ре­сурсів, одержаних несанкціонованим способом.

Застосування макровірусів у сполученні з іншими видами ін­формаційної зброї дає змогу досягнути таких ефектів:

• одержання доступу до конфіденційної інформації в мережах
обміну інформацією (МОЇ);

• руйнування важливої інформації в МОЇ;

• зниження ефективності роботи користувачів МОЇ.
Резидентний вірус [resident virus] (від лат. residens (residen-

tis) —той, що залишається на місці) залишає в оперативній пам'яті ЕОМ після завершення програми свою резидентну частину — пе­реносника вірусу, який потім перехоплює звернення операцій­ної системи до об'єктів зараження і впроваджується в них. Рези­дентний вірус знаходиться в пам'яті і є активним аж до виключен­ня або перезавантаження комп'ютерної системи. Він активізується після кожного ввімкнення комп'ютера.

Частина І. СУЧАСНІ ОСНОВИ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ ДЕРЖАВИ

Нерезидентний вірус [nonresident virus] не залишається в опе­ративній пам'яті після завершення програми-переносника вірусу і є активним обмежений час, а потім «гине».

Поліморфний вірус [polymorphic virus] (грец. ттОХіЗцОрфс, — той, що буває в кількох формах) має властивість змінювати свою структуру.

Вірус-невидимка [stealth virus] використовує спеціальні алго­ритми, які маскують його присутність на диску (в деяких випадках і в оперативній пам'яті).

Комбінований вірус [combiner virus] має окремі ознаки інших вірусів у певній алгоритмічній сукупності.

Особливістю комп'ютерних вірусів є їхня неспрямованість на конкретні програми та властивість самодублювання [self-<іоиЬ1іі^].Самодублюванняпрограмизпотенційнонебезпечни-ми наслідками — це процес відтворення програмою з потенційно небезпечними наслідками свого власного коду в оперативній або зовнішній пам'яті персональної ЕОМ.

Комп'ютерні віруси можуть розмножуватися, впроваджува­тися у програми, передаватися лініями зв'язку, мережами обміну інформацією, виводити з ладу системи управління і т.ін.

Засоби несанкціонованого доступу належать до класу прог-рамз потенційно небезпечними наслідками,для якихобов'язковим є виконання таких функцій:

• руйнування (спотворення довільним чином) кодів програм в
оперативній пам'яті;

• збереження фрагментів інформації з оперативної пам'яті в де­
якій ділянці зовнішньої пам'яті прямого доступу (локальної
або віддаленої);

• спотворення довільним чином, блокування і (або) підміни
масивів інформації, що виводиться у зовнішню пам'ять або
в канал зв'язку, утворених в результаті роботи прикладних
програм, або масивів даних, що уже знаходяться у зовнішній
пам'яті;

• нейтралізування роботи тестових програм і систем захисту ін­
формаційних ресурсів.

Розділ 3. Основи інформаційного протиборства

До засобів несанкціонованого доступу відноситься всіляке позаштатне програмне забезпечення МОЇ, яке противник може використати для порушення цілісності операційної системи або обчислювального середовища. Часто цей тип програ_Много забез­печення використовується для аналізу систем захисту з метоі<> їхнього подолання й реалізації несанкціонованого доступу до ін­формаційних ресурсів мереж обміну інформацією.

Відмітною ознакою (відносно програмних закладок) засобів несанкціонованого доступу є наявність функцій подолання за­хисту.

Програмнізакладки [programbag] належать до таких програв з потенційно небезпечними наслідками, для яких обов'язковий є виконання таких функцій:

• руйнування (спотворення довільним чином) коді_в програм 9
оперативній пам'яті;

• збереження фрагментів інформації з оперативної пам'яті в де'
якій ділянці зовнішньої пам'яті прямого доступу (локальної
або віддаленої);

• СПОТВОреННЯ ДОВІЛЬНИМ ЧИНОМ, блокування І (_ag_Q\ _під_Мі_н0

масивів інформації, що виводиться у зовнішню пам'ять або в канал зв'язку, утворених в результаті роботи прикладний програм, або масивів даних, що уже знаходяться у зовнішній пам'яті.

Відмітною ознакою (відносно засобів несанкціоц_{ованого} до­ступу) є відсутність функцій подолання захисту.

Виділяють декілька видів програмних закладок (р_ис з 7)-

• Троянські програми;

• логічні бомби;

• логічні люки;

• програмні пастки;

• програмні черв'яки.

До Троянських програм [Trojan program] належать програмні закладки.які мають законний доступ до системи, проте виконують також і приховані (неоголошені) функції. Так, прогр_ама «Троян­ський кінь» [trojan horse] в доповнення до основних (проектний і документованих) надає додаткові, але не описані в документації

Частина І. СУЧАСНІ ОСНОВИ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ ДЕРЖАВИ

Логічна бомба [logic bomb] (франц. bombe, від лат. bombus — шум, гул, з грец. p'ojip'Oc, — гуркіт) — це така програмна закладка, що здійснює зловмисні дії при виконанні низки певних логічних умов. Вноситься таємно в програмне забезпечення ЕОМ і вико­нується внаслідок збігу певних обставин або у визначений момент часу (часова бомба [time bomb]) з метою спотворення, знищення, модифікування або викрадення даних.

Логічний люк [trap door] (голл. luik — виріз, отвір) — ме­ханізм усередині операційної системи (програмного забезпечен­ня), який дозволяє програмі зловмисника одержати привілейова­ну функцію або режим роботи (які йому не були дозволені). Ло­гічними люками можуть бути різноманітні помилки, що свідомо вводяться зловмисником в програмне забезпечення об'єкта.

Програмна пастка (пастка — хитрий маневр, прийом для за­манювання противника в невигідне, небезпечне становище) ста­новить програмну закладку, яка використовує помилки або неод­нозначність у програмному забезпеченні.

Програмний черв'як [program worm] — це програмна заклад­ка, яка маскується під системні засоби пошуку вільних обчислю­вальних ресурсів у мережі.

Усі програмні закладки можна також класифікувати відпо­відно до мети створення та за способом доставки в систему.

За метою створення:

• програмні закладки класу «дослідник»;

• програмні закладки класу «перехоплювач»;

• програмні закладки класу «руйнівник»;

• програмні класу «активна завада».
За способом доставки в систему:

• закладки, асоційовані з програмно-апаратним середови­
щем (BIOS). У даному випадку асоціюванням [associate] (лат.
associatio — сполучення, з'єднання, від associo — з'єдную) ро­
зуміють інтеграцію коду програми з потенційно небезпечними
наслідками або її частини в код іншої програми таким чином,
щоб при деяких умовах управління передавалося на код про­
грами з потенційно небезпечними наслідками;

Розділ 3. Основи інформаційного протиборства

• закладки, асоційовані з програмами первинного завантажен­
ня (знаходяться в MasterBoot або Record BOOT — секторах ак­
тивних розділів);

• закладки, асоційовані із завантаженням драйверів, командно­
го інтерпретатора, мережних драйверів (завантаженням опе­
раційної системи);

• закладки, асоційовані з прикладним програмним забезпечен­
ням загального призначення (вбудовані в клавіатурні й екран­
ні драйвери, програми тестування ПЕОМ,утиліти й оболонки
типу NORTON);

• модулі, що виконуються, які містять тільки код закладки (як
правило, впроваджуються в пакетні файли типу ВАТ);

• модулі-імітатори, що збігаються з деякими програмами, котрі
потребують введення конфіденційної інформації, за зовніш­
нім виглядом;

• закладки.що маскуються під програмнізасобиоптимізаційно-
го призначення (архіватори, прискорювачі і т. ін.);

• закладки, що маскуються під програмні засоби ігрового й роз­
важального призначення (як правило використовуються для
первинного впровадження закладок типу «дослідник»).

Як засоби інформаційної зброї програмні закладки мають до­статньо специфічну форму реалізації процедури нападу, виконан­ня функцій і дослідження систем захисту (наприклад, паролів до­ступу) елементів обчислювального середовища.

Інформаційна апаратна зброя включає апаратні засоби, при­значені для виконання функцій інформаційної зброї. Прикладом інформаційної апаратної зброї можуть бути апаратні закладки,які впроваджуються в ПЕОМ, що готуються на експорт, та їхнє пери­ферійне обладнання. Апаратні закладки маскуються під звичайні пристроїмікроелектронікиізастосовуютьсядлязбирання.оброб-лення й передавання конфіденційної інформації.

Наприклад, так званий «Троянський кінь» в електронних ко­пах створюється на основі певних логічних зв'язків в електронних колах апаратних засобів комп'ютерної техніки для автоматичного

Частина І. СУЧАСНІ ОСНОВИ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ ДЕРЖАВИ

3.5. ОСНОВИ ТЕОРІЇ ІНФОРМАЦІЙНОЇ БОРОТЬБИ 3.5.1. Зміст теорії інформаційної боротьби

Основні визначення теорії інформаційної боротьби

Інформаційна боротьба [information struggle] — це боротьба з використанням спеціальних способів і засобів для впливу на ін­формаційну сферу (середовище) конфронтуючої сторони, а також для захисту власної інформаційної сфери в інтересах досягнення поставленої мети. Інформаційна боротьба може бути як самостій­ним видом, так і складовою частиною будь-якого іншого різновиду боротьби (з6ройної,ідеологічної,економічноїіт.ін.).Вонаведеться постійно як у мирний, так і у воєнний час. Масштаби інформацій­ної боротьби настільки великі, що її підготовка і ведення повинні мати плановий, систематичний характер, заснований на глибоких знаннях законів і закономірностей інформаційної боротьби [7,38, 40,41,45,64,73].

Теорія інформаційної боротьби [information struggle theory] представляє систему знань про характер, закони, закономірності, принципи, форми, способи підготовки і ведення інформаційної боротьби.

Мета інформаційної боротьби — забезпечення необхідного ступеня власної інформаційної безпеки і максимальне пониження рівня інформаційної безпеки конфронтуючої сторони. Досягнен­ня мети інформаційної боротьби здійснюється шляхом вирішення низки завдань, основними з яких є ураження об'єктів інформацій­ної сфери конфронтуючої сторони і захист власної інформації.

Мета і завдання інформаційної боротьби визначають її зміст, а також і структуру теорії інформаційної боротьби. При цьому на зміст інформаційної боротьби великий вплив справляє низкафак-торів, серед яких виділяють політичний, економічний, духовний, власне воєнний та інформаційний фактори.

Політичний фактор відіграє найважливішу рольу формуван­ні змісту інформаційної боротьби. Саме він припускає:

Поиск по сайту: