Понятие разрушающего программного воздействия

Защита от разрушающих программных воздействий

Алгоритм формирования ответа

1. Пароль, введенный пользователем, хэшируется на стороне клиента с помощью алгоритма хэширования LANMAN. В результате этого формируется 16-байтовая свертка пароля.

2. Полученный 16-байтовый хэш разбивается на 3 блока по 56 бит. Последний блок до 56 бит дополняется нулями.

Рис. 6.5. Разбивка хэша LANMAN на три блока

3.Пришедший от сервера 8-байтовый ответ шифруется 3 раза с помощью трех ключей шифрования (представляющих собой три полученных на шаге 2 блока хэша LANMAN) по алгоритму DES. В результате этого формируется 24-байтный ответ, отправляемый серверу (рис. 6.6).

ключ ключ ключ

ОТВЕТ СЕРВЕРУ

Рис. 6.6. Алгоритм формирования ответа серверу

Шаг 5.Сервер, получив ответ от клиента, может проверить его корректность, а по результатам проверки подтвердить либо отклонить аутентификацию.

Кроме рассмотренных выше протоколов безопасной удаленной аутентификации пользователей, широкое распространение получил также протокол аутентификации Kerberos.

Важным моментом при работе прикладных программ, и в особенности средств защиты информации, является необходимость обеспечения потенциального невмешательства иных, присутствующих в компьютерной системе прикладных или системных программ, в процесс обработки информации.

Под НСД понимают действия по использованию, изменению и уничтожению информации защищенной компьютерной системы, производимые субъектом, не имеющим права на такие действия.

Под опосредованным НСД понимают несанкционированный доступ злоумышленника к информации, произведенный посредством предварительно внедренной в систему программы (или нескольких программ).

Например, предварительно внедренная злоумышленником в компьютерную систему программа, может перехватывать пароли, вводимые с клавиатуры легальным пользователем, и сохранять их в заранее известном и доступном злоумышленнику месте. Затем злоумышленник использует эти пароли для несанкционированного входа в систему.

Опосредованный НСД, как правило, реализуется с использованием особого класса программ, которые способны выполнять любую из перечисленных ниже функций:

1) скрывать признаки своего присутствия в программной среде компьютерной системы;

2) реализовывать самодублирование или ассоциирование себя с другими программами и/или выполнять перенос своих фрагментов в иные области оперативной или внешней памяти.

При этом под самодублированием понимается процесс воспроизведения программой своего собственного кода в оперативной или внешней памяти компьютерной системы.

3) разрушать код иных программ в оперативной памяти компьютерной системы;

4) переносить фрагменты информации из оперативной памяти в некоторые области оперативной или внешней памяти прямого доступа;

5) иметь потенциальную возможность исказить, заблокировать и/или подменить выводимый во внешнюю память или в канал связи массив информации.

Такие программы нзываются программами с потенциально опасными последствиями (программными закладками, разрушающими программными воздействиями (РПВ)). Условно их можно разделить на три класса.

1.Вирусы. Особенностью данного класса программ является его ненаправленность на конкретные программы и также то, что во главу угла здесь ставится самодублирование вируса.

2. Программные черви, троянские кони и фрагменты программ типа логический люк. Для данного типа программ имеет место обратная ситуация - самодублирование не присуще данным программам, но они обладают возможностями перехвата конфиденциальной информации или извлечения информации из сегментов систем безопасности, или ограничения доступа.

3. Программные закладки или разрушающие программные воздействия (РПВ) Программы данного класса, как правило, скрывают себя, и самоликвидируются после совершения целевых действий.

Для того чтобы РПВ смогло выполнить действие по отношению к прикладной программе или данным, оно должно получить управление. Это возможно только при одновременном выполнении двух условий [20]:

1. РПВ должно находиться в оперативной памяти до начала работы программы, которая является целью его воздействия, следовательно, оно должно быть загружено раньше или одновременно с этой программой.

2. РПВ должно активизироваться по некоторому общему, как для него, так и для программы событию, т.е. при выполнении ряда условий в программно-аппаратной среде, управление должно быть передано РПВ. Данное событие называют активизирующим.

Наиболее распространенными видами активизирующих событий являются:

1. Общие системные прерывания: обращение к внешнему устройству,

запись в файл и др.

2. Ввод с клавиатуры (свойственно для клавиатурных шпионов).

3. Вывод информации на экран.

4. Операции с файлами (чтение, запись, открытие и т.п.).

5. Прерывание по таймеру.

Выделяют резидентные и нерезидентные РПВ

РПВ резидентного типа находятся в памяти постоянно с некоторого момента времени до окончания сеанса работы компьютерной системы (например, клавиатурный шпион).

РПВ нерезидентного типа заканчивает свою работу самостоятельно через некоторый промежуток времени или по некоторому событию, при этом выгружая себя из памяти целиком для затруднения своего обнаружения.