Троянские программы

Модели воздействия программных закладок на компьютеры

Перехват.В модели перехват программная закладка внедряется в ПЗУ, системное или прикладное программное обеспечение и сохраняет всю или выбранную информацию, вводимую с внешних устройств компьютерной системы или выводимую на эти устройства, в скрытой области локальной или удаленной компьютерной системы. Объектом сохранения, например, могут служить символы, вводимые с клавиатуры, или электронные документы распечатанные на принтере.

Данная модель может быть двухступенчатой. На первом этапе сохраняются только, например, имена или начала файлов. На втором накопленные данные анализируются злоумышленником с целью принятия решений о конкретных объектах дальнейшей атаки.

Искажение.В модели искажение программная закладка изменяет информацию, которая записывается в память компьютерной системы в результате работы программ, либо подавляет/инициирует возникновение ошибочных ситуаций в компьютерной системе.

Можно выделить статическое и динамическое искажение. Статическое искажение происходит всего один раз. При этом модифицируются параметры программной среды компьютерной системы, чтобы в последствии в ней выполнялись нужные злоумышленнику действия. Динамическое искажение заключается в изменении каких-либо параметров системных или прикладных процессов при помощи заранее активизированных закладок. Динамические искажения можно условно разделить так: искажение на входе, когда на обработку попадает уже искаженный документ и искажение на выходе - когда искажается информация, отображаемая для восприятия человеком, или предназначенная для работы других программ.

В рамках данной модели также реализуются программные закладки, действие которых основывается на инициировании или подавлении сигнала о возникновении ошибочных ситуаций в компьютерной системе, т.е. тех, которые приводят к отличному от нормального завершению исполняемой программы.

Разновидностью «искажения» является также модель типа «троянский конь». В этом случае программная закладка встраивается в постоянно используемое программное обеспечение и по некоторому активизирующему событию вызывает возникновение сбойной ситуации в компьютерной системе. Так достигается сразу две цели: парализуется ее нормальное функционирование, а злоумышленник, получив доступ к компьютерной системе для устранения неполадок, сможет, например, извлечь из нее информацию, перехваченную другими закладками.

Уборка мусора.Работа с конфиденциальными электронными документами обычно сводится к последовательности следующих манипуляций с файлами: создание; хранение; коррекция; уничтожение.

Для защиты конфиденциальной информации обычно используется шифрование. Основная угроза исходит отнюдь не от использования нестойких шифров, а от обыкновенных текстовых редакторов и баз данных, применяемых для создания и коррекции конфиденциальных документов. Подобные программные средства, как правило, в процессе функционирования создают в оперативной или внешней памяти компьютерной системы временные копии документов, с которыми они работают. Все эти временные файлы выпадают из поля зрения любых программ шифрования и могут быть использованы злоумышленником для того, чтобы составить представление о содержании хранимых в зашифрованном виде конфиденциальных документов.

Также, при записи отредактированной информации меньшего объема в тот же файл, где хранилась исходная информация до начала сеанса ее редактирования, образуются так называемые «хвостовые» кластеры (сектор, кластер, файл), в которых эта исходная информация полностью сохраняется. И тогда «хвостовые» кластеры не только не подвергаются воздействию программ шифрования, но и остаются незатронутыми даже средствами гарантированного стирания информации (конечно, со временем информация в таких кластерах затирается новой информацией, но по некоторым оценкам из хвостовых кластеров через сутки можно извлечь до 85%, а через десять суток- до 25-40% исходной информации).

Наблюдение и компрометация.При использовании модели типа «наблюдение» программная закладка встраивается в сетевое или телекоммуникационное программное обеспечение. Пользуясь тем, что подобное программное обеспечение всегда находится в состоянии активности, внедренная в него программная закладка может следить за всеми процессами обработки информации в компьютерной системе, а также осуществлять установку и удаление других программных закладок.

Модель типа «компрометация» позволяет получить доступ к информации, перехваченной другими программными закладками. Например, инициируется постоянное обращение к такой информации, приводящее к росту соотношения сигнал/шум. А это в свою очередь, значительно облегчает перехват побочных излучение данной компьютерной системы и позволяет эффективно выделять сигналы, сгенерированные закладкой типа «компрометация», из общего фона излучения, исходящего от оборудования.

Троянская программа это особая разновидность программной закладки. К ним относятся:

- программы, которые, являясь частью другой программы с известными пользователю функциями, способны втайне от него выполнять некоторые дополнительные действия с целью причинения ему определенного ущерба;

- программы с известными их пользователю функциями, в которые были внесены изменения, чтобы, помимо этих функций, она могла втайне от него выполнять некоторые другие (разрушительные) действия.

Т.о. троянской можно считать любую программу, которая втайне от пользователя выполняет какие-то нежелательные для него действия. Эти действия могут быть любыми – от определения регистрационных номеров программного обеспечения, установленного на компьютере, до составления списка каталогов на его жестком диске. А сама троянская программа может маскироваться под текстовый редактор, под сетевую утилиту или любую программу, которую пользователь пожелает установить на свой компьютер.