следы в файле аудита которые могут быть обнаружены аудитором
Работа добавлена на сайт samzan.net: 2015-07-05
Поможем написать учебную работу
Если у вас возникли сложности с курсовой, контрольной, дипломной, рефератом, отчетом по практике, научно-исследовательской и любой другой работой - мы готовы помочь.
Предоплата всего
от 25%
Подписываем
договор
сталляция закладки может быть выполнена и пользователем с обычными полномочиями (будет обеспечена возможность автоматического запуска закладки при любой загрузке операционной системы). При правильном определении политики аудита (см. под-разд. 3.4) действия закладки могут оставлять «следы» в файле аудита, которые могут быть обнаружены аудитором.
Для усложнения обнаружения присутствия закладки в КС ее инсталлятор может использовать следующие приемы:
подмена модулей операционной системы или популярных
прикладных программ (например, программ из пакета Microsoft
Office) — требуется полная реализация в закладке всех функций
подменяемого модуля, что возможно только при наличии полной
документации на подменяемый модуль, а также (при использова
нии разграничения доступа к объектам КС) и полномочия адми
нистратора;
прямое ассоциирование (внедрение) с уже установленными
модулями системных или прикладных программ — не требуется
полная реализация в закладке их функций, но может потребо
ваться наличие полномочий администратора КС;
косвенное ассоциирование (внедрение) с кодом модулей, уже
загруженных в оперативную память, — требуется присутствие в
оперативной памяти инсталлирующей части закладки, выполня
ющейся, возможно, в привилегированном режиме, для получе
ния доступа к модулям ядра операционной системы;
применение методов компьютерной стеганографии (см. под-
разд. 4.9) для скрытия программной закладки в файлах-контейне
рах (например, с графическими изображениями) — может ис
пользоваться в комбинации с другими приемами.
Рассмотрим возможные модели взаимодействия нарушителя с внедренной в КС программной закладкой:
сохранение всей вводимой или выводимой в КС информации
(«перехват»);
создание условий для ознакомления с ранее накопленной зак
ладкой конфиденциальной информацией или отключения средств
защиты информации в КС («троянский конь»);
перехват всей передаваемой по сети информации («наблюда
тель»);
создание условий для облегчения несанкционированного до
ступа к конфиденциальной информации по различным каналам
утечки, например путем постоянного обращения к конфиден
циальным данным для последующего их перехвата по каналам
ПЭМИН («компрометация»);
искажение входных или выходных потоков данных при работе
прикладного или системного программного обеспечения, иници
ация ошибок при его работе («искажение», или «инициатор оши
бок»);
�• изучение остаточной информации после работы программ,
максимизация числа фрагментов с конфиденциальной информа
цией («уборка мусора»).
Примером использования модели «перехват» является замена провайдера аутентификации защищенных версий операционной системы Windows (см. подразд. 3.3). Прототипы функций, экспортируемых этим модулем операционной системы, содержатся в файле winwlx.h, входящем в состав любой системы программирования на языке С для операционной системы Windows.
Примером использования модели «искажение» является ограничение длины хешируемых данных в программах получения и проверки электронной цифровой подписи для создания возможности подмены защищаемого сообщения или файла.
Примерами наиболее известных программных закладок для удаленного управления объектами атакуемой КС являются Back Orifice, Net Bus, DIRT (Data Interception by Remote Transmission), Paparazzi. Особенностью программы Paparazzi является сохранение в специальном формате, использующем сжатие данных, получаемых с задаваемой периодичностью копий экрана компьютера пользователя. Заметим, что часть из этих программ могут называться их авторами не закладками, а средствами для удаленного доступа, контроля несанкционированного использования ресурсов КС и других благовидных действий.
Для обнаружения присутствия в системе программной закладки могут применяться следующие способы:
просмотр списка активных процессов с помощью диспетчера
задач операционной системы;
просмотр состояния IP-портов с помощью системной про
граммы netstat;
просмотр разделов реестра для обнаружения дополнительно
установленных программ, которые автоматически выполняются
при загрузке операционной системы;
просмотр файла аудита для поиска попыток доступа неизвест
ных процессов к критичным объектам КС или объектам с конфи
денциальной информацией;
контроль обращений процессов к объектам файловой систе
мы, разделам реестра и используемым сетевыми программами
портам (например, с помощью известных программ FileMon,
RegMpn и PortMon) и др.
Мбгут быть разработаны программы для автоматизации действий по обнаружению программных закладок с использованием всех или части указанных способов. В частности, некоторые антивирусные программы (сканеры и мониторы) могут обнаруживать инсталляторы закладок и сами закладки. Однако новые разновидности закладок могут преодолевать защиту, обеспечиваемую данными автоматизированными средствами. Например, для обеспе-