Информационные инфекции как разновидность угроз

Вредоносные программы классифицируются следующим образом:

«Логические бомбы» используются для искажения или уничтожения информации; реже с их помощью совершается кража или мошенничество. Манипуляциями с логическими бомбами обычно занимаются чем-то недовольные служащие, собирающиеся покинуть данную организацию, но это могут быть и консультанты, служащие с определенными политическими убеждениями.

Реальный пример «логической бомбы»: программист, предвидя свое увольнение, вносит в программу расчета заработной платы определенные изменения, работа которых начнется после удаления его фамилии из набора данных о персонале фирмы.

«Троянский конь» - программа, выполняющая в дополнение к основным, т.е. запроектированным и документированным, действиям действия дополнительные, но не описанные в документации. «Троянский конь» представляет собой дополнительный блок команд, тем или иным образом вставленный в исходную безвредную программу, которая затем передается (дарится, продается, подменяется) пользователям ИС. Этот блок программ может срабатывать при наступлении некоторого условия (даты, времени, по команде извне). Запустивший такую программу подвергает опасности как свои файлы, так и всю ИС в целом. «Троянский конь» действует обычно в рамках полномочий одного пользователя, но в интересах другого пользователя или вообще постороннего человека, установить личность которого порой невозможно.

Наиболее опасные действия «троянский конь» может выполнить, если запустивший его пользователь обладает расширенным набором привилегий. В таком случае злоумышленник, составивший и внедривший «троянского коня», и сам этими привилегиями не обладающий, может выполнить несанкционированные привилегированные функции чужими руками.

Известен случай, когда преступная группа смогла договориться с программистом фирмы, работающей над созданием банковского ПО о том, чтобы он ввел подпрограмму, которая предоставит преступникам доступ в систему после ее установки с целью перемещения денежных вкладов.

Для защиты от этой угрозы желательно, чтобы привилегированные и непривилегированные пользователи работали с различными экземплярами прикладных программ, которые должны храниться и защищаться индивидуально. А радикальным способом защиты от этой угрозы является создание замкнутой среды использования программ.

Определение. «Вирус» - программа, которая может заражать другие программы путем включения в них модифицированной копии, которая в свою очередь сохраняет способность к дальнейшему размножению.

Считается, что вирус характеризуется двумя основными особенностями:

1) способностью к саморазмножению;

2) способностью к вмешательству в вычислительный процесс (к получению возможности управления).

«Червь» - программа, распространяющаяся через сеть и не оставляющая своей копии на магнитном носителе. «Червь» использует механизмы (протоколы и возможности локальных и глобальных сетей) поддержки сети для определения узла, который может быть заражен. Затем с помощью тех же механизмов передает свое тело или его часть на этот узел и либо активизируется, либо ждет для этого подходящих условий. Наиболее известный представитель этого класса – вирус Мориса, поразивший сеть Интернет в 1988 г.

«Захватчик паролей» - это программы, специально предназначенные для воровства паролей. Одна из характерных картин этой процедуры такая. При попытке обращения пользователя к терминалу системы на экран терминала выводится информация, необходимая для окончания сеанса работы. Пытаясь организовать вход, пользователь вводит имя и пароль, которые пересылаются владельцу программы-захватчика, после чего выводится сообщение об ошибке ввода и управление возвращается к операционной системе. Пользователь, думающий, что допустил ошибку при наборе пароля, повторяет вход и получает доступ к системе. Однако его имя и пароль уже известны владельцу программы-захватчика. Для предотвращения этой угрозы перед входом в систему необходимо убедиться, что имя и пароль вы вводите именно системной программе, а не какой-нибудь другой.

Компрометация информации (один из видов информационных инфекций). Реализуется посредством несанкционированных изменений в базе данных, в результате чего ее потребитель вынужден либо отказаться от нее, либо предпринимать дополнительные усилия для выявления изменений и восстановления истинных сведений.