· Перехват
· Троянский конь
· Наблюдатель
· Компрометация
· Искажение или инициатор ошибок
· Уборка мусора
1. Модель «перехват»
Программная закладка встраивается (внедряется) в ПЗУ, оперативную систему или прикладное программное обеспечение и сохраняет все или избранные фрагменты вводимой или выводимой информации в скрытой области локальной или удаленной внешней памяти прямого доступа. Объектом сохранения может быть клавиатурный ввод, документы, выводимые на принтер, или уничтожаемые файлы-документы. Для данной модели существенно наличие во внешней памяти места хранения информации, которое должно быть организовано таким образом, чтобы обеспечить ее сохранность на протяжении заданного промежутка времени и возможность последующего съема. Важно также, чтобы сохраняемая информация была каким-либо образом замаскирована от просмотра легальными пользователями.
2. Модель «троянский конь»
Закладка встраивается в постоянно используемое программное обеспечение и по некоторому активизирующему событию моделирует сбойную ситуацию на средствах хранения информации или в оборудовании компьютера (сети). Тем самым могут быть достигнуты две различные цели: во-первых, парализована нормальная работа компьютерной системы и, во-вторых, злоумышленник (например, под видом обслуживания или ремонта) может ознакомиться с имеющейся в системе или накопленной посредством использования модели «перехват» информацией. Событием, активизирующим закладку, может быть некоторый момент времени, либо сигнал из канала модемной связи (явный или замаскированный), либо состояние некоторых счетчиков (например, число запусков программ).
3. Модель «наблюдатель»
Закладка встраивается в сетевое или телекоммуникационное программное обеспечение. Пользуясь тем, что данное программное обеспечение, как правило, всегда активно, программная закладка осуществляет контроль за процессами обработки информации на данном компьютере, установку и удаление закладок, а также съем накопленной информации. Закладка может инициировать события для ранее внедренных закладок, действующих по модели «троянский конь».
4. Модель «компрометация»
Закладка либо передает заданную злоумышленником информацию (например, клавиатурный ввод) в канал связи, либо сохраняет ее, не полагаясь на гарантированную возможность последующего приема или снятия. Более экзотический случай – закладка инициирует постоянное обращение к информации, приводящее к росту отношения сигнал/шум при перехвате побочных излучений.
5. Модель «искажение или инициатор ошибок»
Программная закладка искажает потоки данных, возникающие при работе прикладных программ (выходные потоки), либо искажает входные потоки информации, либо инициирует (или подавляет) возникающие при работе прикладных программ ошибки.
6. Модель «сборка мусора»
В данном случае прямого воздействия разрушающего программного средства может и не быть; изучаются «остатки» информации. В случае применения программной закладки навязывается такой порядок работы, чтобы максимизировать количество остающихся фрагментов ценной информации. Злоумышленник получает либо данные фрагменты, используя закладки моделей 2 и 3, либо непосредственный доступ к компьютеру под видом ремонта или профилактики.
Созданием программной закладки или вируса еще не решается задача, поставленная при их написании. Вторая, не менее сложная, заключается во внедрении программного продукта. О важности и сложности этой последней задачи говорит тот факт, что ее решением в рамках информационной борьбы занимаются даже государственные структуры ряда стран. Такой «государственный» подход не оставляет сомнений в том, что самые новейшие достижения в области «имплантации» уже в скором времени станут достоянием промышленного шпионажа.
На сегодняшний день можно выделить три основные группы способов внедрения программных закладок и компьютерных вирусов:
· на этапе создания аппаратуры и программного обеспечения;
· через системы информационного обмена;
· силовым или высокочастотным навязыванием.
Наиболее просто ввести вирус на этапе создания элементов компьютерных систем. Ведь ни для кого не секрет, что современные программные продукты содержат примерно до полумиллиона строк, и никто лучше авторов-программистов их не знает, и поэтому эффективно проверить не может. В связи с этим создатели программного обеспечения являются потенциальными объектами для определенных служб и компаний. Однако более перспективным направлением, по сравнению с вербовкой программистов, эксперты считают инфицирование (модификацию) систем искусственного интеллекта, помогающих создавать это программное обеспечение.
Другим направлением внедрения является использование систем информационного обмена. Здесь существует два способа — непосредственное и косвенное подключение.
Непосредственное подключение (front-door coupling) бывает прямое и непрямое.
Прямое заключается в повторяющейся трансляции вирусного сигнала или программной закладки в период получения приемником конкурента предназначенной ему полезной информации. При этом можно рассчитывать, что в какой-то момент времени, смешанный с основной информацией указанный программный продукт попадет в систему. Недостаток такого способа — необходимость знания используемых алгоритмов шифрования и ключей при передаче в канале закрытой информации.
В связи с последним обстоятельством более предпочтительным считается использование непрямого подключения. Проникновение в информационную систему в этом случае происходит в самом незащищенном месте, откуда вирус или программная закладка могут добраться до назначенного узла. Благодаря широкому внедрению глобальных сетей такие места всегда могут быть найдены.
Косвенное подключение (back-door) представляет из себя целый спектр способов: от воздействия на систему через элементы, непосредственно не служащие основному назначению (например, через цепи электропитания), до умышленной передачи конкуренту инфицированной техники или программных продуктов.
Перспективным направлением внедрения программных закладок или вирусов в информационные системы представляется и использованием методов силового или высокочастотного навязывания.
Разработкой соответствующих средств, по сообщениям зарубежной печати, занимается целый ряд компаний, например. Defense Advanced Research Projects Agency (США), Toshiba (Япония) и др. Ожидается, что благодаря их усилиям уже через пять лет окажется возможным внедрять программные продукты именно таким способом.
В наиболее простом виде процесс ВЧ-навязывания закладок и вирусов выглядит примерно следующим образом. Мощное высокочастотное излучение, промодулированное информационным сигналом, облучает объект электронно-вычислительной техники. В цепях компьютера или линии связи наводятся соответствующие напряжения и токи, которые определенным образом детектируются на полупроводниковых элементах схемы вычислительного средства. В результате вирус или закладка оказываются внедренными в компьютер.
Далее, по заранее намеченной программе они осуществляют сбор, первичную обработку данных и передачу их в заданный адрес по сети, либо уничтожение или модификацию определенной информации.
Наиболее узким местом такого способа внедрения является подбор мощности, частоты, вида модуляции и других параметров зондирующего сигнала в каждом конкретном случае.
Программные закладки имеют широкий спектр воздействий на данные, обрабатываемые информационной системой. Следовательно, при контроле за технологической безопасностью программного обеспечения необходимо учитывать его назначение и состав программно-аппаратной среды информационной системы.
В табл. 1 расположены некоторые сценарии, которые могут приводить к реализации злоумышленных угроз и, соответственно, к нарушениям технологической безопасности информации на различных этапах жизненного цикла программного обеспечения.
Типичным для всех этапов сценарием является поставка и внедрение информационных технологий или их элементов, содержащих программные, аппаратные или программно-аппаратные закладки.
Табл.1. Сценарии внедрения программных закладок на этапах жизненного цикла программного обеспечения
| Этапы | Сценарии |
| Этап проектирования | · Внедрение злоумышленников в коллективы разработчиков программных и аппаратных средств и наиболее ответственных частей ПО. · Внедрение злоумышленников, в совершенстве знающих «слабые» места и особенности используемых технологий. |
| Этап кодирования | · Организация динамически формируемых команд или параллельных вычислительных процессов. · Организация переадресации команд, запись злоумышленной информации в используемые информационной системой или другими программами ячейки памяти. · Формирование программной закладки, воздействующей на другие части программной среды или изменяющей ее структуру. · Организация замаскированного пускового механизма программной закладки. |
| Этап испытания и отладки | · Встраивание программной закладки как в отдельные подпрограммы, так и в управляющую программу. · Формирование программной закладки с динамически формируемыми командами. · Формирование набора тестовых данных, не позволяющих выявить программную закладку. · Формирование программной закладки, не обнаруживаемой с помощью используемой модели объекта в силу ее неадекватности описываемому объекту. |
| Контроль | · Формирование пускового механизма программной закладки, не включающего ее при контроле на безопасность. · Маскировка программной закладки путем внесения в программную среду ложных «непреднамеренных» дефектов. · Формирование программной закладки в ветвях программной среды, не проверяемых при контроле. · Формирование «вирусных» программ, не позволяющих выявить их внедрение в программную среду путем контрольного суммирования. |
| Эксплуатация | · Внедрение злоумышленников в контролирующее подразделение. · Вербовка сотрудников контролирующего подразделения. · Сбор информации об испытываемой программной системе. · Разработка новых программных закладок при доработке программной среды. |
Нарушитель - это лицо, предпринявшее попытку выполнения запрещенных операций (действий) по ошибке, незнанию или осознанно со злым умыслом (из корыстных интересов) или без такового (ради игры или удовольствия, с целью самоутверждения и т.п.) и использующее для этого различные возможности, методы и средства