Найпоширеніші загрози.

Основні визначення і класифікація загроз

Загроза – це потенційна можливість певним чином порушити інформаційну
безпеку.
Спроба реалізації загрози називається атакою, а той, хто вчиняє таку спробу,
– зловмисником.
Найчастіше загроза є наслідком наявності уразливих місць у захисті
автоматизованих систем (таких, наприклад, як можливість доступу сторонніх осіб
до критично важливого устаткування або помилки в програмному забезпеченні).
Проміжок часу від моменту, коли з'являється можливість використати слабке
місце, і до моменту, коли прогалина ліквідується, називається вікном небезпеки,
асоційованим з даним уразливим місцем. Поки існує вікно небезпеки, можливі
успішні атаки на АС.
Якщо мова йде про помилки в ПЗ, то вікно небезпеки "відкривається" з
появою засобів використання помилки й ліквідується при накладенні латок, які
її виправляють.
Для більшості уразливих місць вікно небезпеки існує порівняно довго
(кілька днів, іноді – тижнів), оскільки за цей час повинні відбутися наступні
події:
• повинно стати відомо про засоби використання прогалини в захисті;
• повинні бути випущені відповідні латки;
• латки повинні бути встановлені в захищуваній АС.
Нові уразливі місця й засоби їхнього використання з'являються постійно; це
значить, по-перше, що майже завжди існують вікна небезпеки й, по-друге, що
відстеження таких вікон повинне провадитися постійно, а випуск і накладення
латок – якомога оперативніше.
Відзначимо, що деякі загрози не можна вважати наслідком якихось помилок
або прорахунків; їх існування визначається самою природою сучасних АС.
Наприклад, загроза відключення електрики або виходу його параметрів за
припустимі границі існує внаслідок залежності апаратного забезпечення АС від
якісного електроживлення.
Розглянемо найпоширеніші загрози, яким піддаються сучасні автоматизовані
системи. Мати уявлення про можливі загрози, а також про уразливі місця, які ці
загрози зазвичай експлуатують, необхідно для того, щоб вибирати найекономіч
-ніші засоби забезпечення безпеки. Незнання в цьому випадку веде до
перевитрати коштів й, що ще гірше, до концентрації ресурсів там, де вони не
дуже потрібні, за рахунок ослаблення дійсно уразливих напрямків.
Підкреслимо, що саме поняття "загроза" у різних ситуаціях найчастіше
трактується по-різному. Наприклад, для підкреслено відкритої організації
загроз конфіденційності може просто не існувати – вся інформація вважається
загальнодоступною; однак у більшості випадків нелегальний доступ є
серйозною небезпекою. Іншими словами, загрози, як і все в ІБ, залежать від
інтересів суб'єктів інформаційних відносин (і від того, який збиток є для них
неприйнятним).
Спробуємо подивитися на предмет з погляду типової організації. Втім, багато
загроз (наприклад, пожежа) небезпечні для всіх. Загрози можна класифікувати
за декількома критеріями:
• за аспектом інформаційної безпеки (доступність, цілісність,
конфіденційність), проти якого загрози спрямовані в першу чергу;
• за компонентами автоматизованих систем, на які загрози націлені (дані,
програми, апаратура, підтримуюча інфраструктура);
• за способом здійснення (випадкові/навмисні дії природного/техногенного
характеру);
• за розташуванням джерела загроз (усередині/поза АС).
Як основний критерій ми будемо використовувати перший (за аспектом ІБ),
залучаючи за необхідності інші.
3.2. Найпоширеніші загрози доступності
Найчастішими й найнебезпечнішими (з погляду розміру збитків) є
ненавмисні помилки штатних користувачів, операторів, системних адміністра-
торів й інших осіб, що обслуговують інформаційні системи.
Іноді такі помилки і є властиво загрозами (неправильно уведені дані або
помилка в програмі, що викликала крах системи), іноді вони створюють
уразливі місця, якими можуть скористатися зловмисники (такими є помилки
адміністрування). За деякими даними, до 65% втрат – наслідок ненавмисних
помилок.
Пожежі й повені не приносять стільки лих, скільки безграмотність і
недбалість у роботі.
Очевидно, найрадикальнішим засобом боротьби з ненавмисними помилками
є максимальна автоматизація й строгий контроль.
Інші загрози доступності класифікуємо за компонентами ІС, на які націлено
загрози:
• відмова користувачів;
• внутрішня відмова інформаційної системи;
• відмова підтримуючої інфраструктури.
Звичайно стосовно користувачів розглядаються наступні загрози:
• небажання працювати з автоматизованою системою (найчастіше
проявляється за необхідності освоювати нові можливості й при розбіжності
між запитами користувачів і фактичних можливостей і технічних
характеристик);
• неможливість працювати із системою через відсутність відповідної
підготовки (недостатність загальної комп'ютерної грамотності, невміння
інтерпретувати діагностичні повідомлення, невміння працювати з
документацією, тощо);
• неможливість працювати із системою через відсутність технічної
підтримки (неповнота документації, недостатність довідкової інформації,
тощо).
Основними джерелами внутрішніх відмов є:
• порушення (випадкове або навмисне) установлених правил експлуатації;
 • вихід системи зі штатного режиму експлуатації внаслідок випадкових або
навмисних дій користувачів або обслуговуючого персоналу (перевищення
розрахункового числа запитів, надмірний обсяг оброблюваної інформації,
тощо);
• помилки при переконфігуруванні системи;
• відмови програмного й апаратного забезпечення;
• руйнування даних;
• руйнування або ушкодження апаратури.
Стосовно підтримуючої інфраструктури рекомендується розглядати наступні
загрози:
• порушення роботи (випадково або навмисне) систем зв'язку,
електроживлення, водо- і/або теплопостачання, кондиціонування;
• руйнування або ушкодження приміщень;
• неможливість або небажання обслуговуючого персоналу й/або користувачів
виконувати свої обов'язки (громадські заворушення, аварії на транспорті,
терористичний акт або його загроза, страйк, тощо).
Досить небезпечними є так звані "скривджені" співробітники – нинішні й
колишні. Як правило, вони прагнуть завдати шкоди, організації-"кривдникові",
наприклад:
• зіпсувати устаткування;
• вмонтувати логічну бомбу, що згодом зруйнує програми й/або дані;
• видалити дані.
Скривджені співробітники, навіть колишні, що були знайомі з порядками в
організації, здатні завдати чималої шкоди. Необхідно стежити за тим, щоб при
звільненні співробітника його права доступу (логічного і фізичного) до
інформаційних ресурсів анулювалися.
Небезпечними є, зрозуміло, стихійні лиха й події, які сприймаються як
стихійні лиха: пожежі, повені, землетруси, урагани. За статистикою, на частку
вогню, води й тому подібних "зловмисників" (серед яких найнебезпечнішими є
перебої електроживлення) припадає 13% втрат, нанесених автоматизованим
системам.
3.3. Деякі приклади загроз доступності
Загрози доступності можуть виглядати грубо - як ушкодження або навіть
руйнування устаткування (у тому числі носіїв даних). Таке ушкодження може
викликатися природними причинами (найчастіше – грозами). На жаль, джерела
безперебійного живлення, що перебувають у масовому використанні не
захищають від потужних короткочасних імпульсів, і випадки вигоряння
устаткування – не рідкість.
У принципі, потужний короткочасний імпульс, здатний зруйнувати дані на
магнітних носіях, можна згенерувати й штучно – за допомогою так званих
високоенергетичних радіочастотних гармат. Але, напевно, у наших умовах
подібну загрозу потрібно все-таки визнати надуманою.
Дійсно небезпечні – протікання водопроводу й опалювальної системи. Часто
організації, щоб заощадити на орендній платі, знімають приміщення в будинках
старої будови, роблять косметичний ремонт, але не міняють старі труби.
Відомою є ситуація, коли прорвало трубу з гарячою водою, і системний блок
комп'ютера (це була робоча станція виробництва Sun Microsystems) виявився
заповнений окропом. Коли окріп вилили, а комп'ютер просушили, він відновив
нормальну роботу, але краще таких дослідів не проводити...
Влітку, під час сильної спеки, можуть ламатися кондиціонери, установлені в
серверних залах, набитих дорогим устаткуванням. У результаті значні збитки
наносяться й репутації, і гаманцю організації.
Загальновідомо, що періодично необхідно провадити резервне копіювання
даних. Однак навіть якщо ця пропозиція виконується, резервні носії найчастіше
зберігають недбало (до цього ми ще повернемося під час обговорення загроз
конфіденційності), не забезпечуючи їхнього захисту від шкідливого впливу
навколишнього середовища. І коли потрібно відновити дані, виявляється, що ці
самі носії ніяк не бажають читатися.
Перейдемо тепер до істотніших загроз доступності. Мова йтиме про
програмні атаки на доступність.
Для виводу системи зі штатного режиму експлуатації може використатися
агресивне споживання ресурсів (звичайно – смуги пропускання мереж,
обчислювальних можливостей процесорів або оперативної пам'яті). За
розташуванням джерела загрози таке споживання підрозділяється на локальне й
віддалене. При прорахунках у конфігурації системи, локальна програма здатна
практично монополізувати процесор й/або фізичну пам'ять, звівши швидкість
виконання інших програм до нуля.
Віддалене споживання ресурсів останнім часом проявляється в особливо
небезпечній формі – як скоординовані розподілені атаки, коли на сервер з
багатьох різних адрес із максимальною швидкістю направляються цілком
легальні запити на з'єднання й/або обслуговування. Часом початку "моди" на
подібні атаки можна вважати лютий 2000 року, коли жертвами виявилися
кілька найбільших систем електронної комерції (точніше – власники й користу-
вачі систем). Відзначимо, що якщо має місце архітектурний прорахунок у
вигляді розбалансованості між пропускною здатністю мережі й продуктивністю
сервера, то захиститися від розподілених атак на доступність украй важко.
Атака на відмову в обслуговуванні, розподілена атака на відмову в
обслуговуванні (англ. DoS attack, DDoS attack, (Distributed) Denial-of-service
attack) — напад на комп'ютерну систему з наміром зробити комп'ютерні
ресурси недоступними до користувачів, для яких комп'ютерна система була
призначена.
Для виведення систем зі штатного режиму експлуатації можуть
використовуватися уразливі місця у вигляді програмних й апаратних помилок.
Наприклад, відома помилка в процесорі Pentium І дає можливість локальному
користувачеві шляхом виконання певної команди "підвісити" комп'ютер, так
що допомагає лише апаратний RESET.
3.4. Шкідливе програмне забезпечення
Одним з найнебезпечніших способів проведення атак є впровадження в
системи, які атакують, шкідливого програмного забезпечення. Ми виділимо
наступні грані шкідливого ПЗ:
• шкідлива функція;
• спосіб поширення;
• зовнішнє подання.
Частину, що здійснює руйнівну функцію, будемо називати "бомбою".
Спектр шкідливих функцій є практично необмеженим, оскільки "бомба", як і
будь-яка інша програма, може мати яку завгодно складну логіку, але звичайно
"бомби" призначаються для:
• впровадження іншого шкідливого ПЗ;
• отримання контролю над системою, яку атакують;
• агресивного споживання ресурсів;
• зміни або руйнування програм й/або даних.
За механізмом поширення розрізняють:
• віруси – код, що володіє здатністю до поширення (можливо, зі змінами)
шляхом впровадження в інші програми;
• "хробаки" – код, здатний самостійно, тобто без впровадження в інші
програми, викликати поширення своїх копій по АС й їхнє виконання (для
активізації вірусу потрібен запуск зараженої програми).
Віруси звичайно поширюються локально, у межах вузла мережі; для передачі
по мережі їм потрібна зовнішня допомога, така як пересилання зараженого
файла. "Хробаки", навпаки, орієнтовані з першу чергу на подорожі по мережі.
Іноді саме поширення шкідливого ПЗ викликає агресивне споживання
ресурсів і, отже, є шкідливою функцією. Наприклад, "хробаки" "з'їдають"
пропускні шляхи мережі й ресурси поштових систем. Із цієї причини для атак
на доступність вони не мають потреби у вбудовуванні спеціальних "бомб".
Шкідливий, код що виглядає як функціонально корисна програма,
називається троянським. Наприклад, звичайна програма, будучи ураженою
вірусом, стає троянською; часом троянські програми виготовляють вручну й
підсувають довірливим користувачам у якому-небудь привабливому пакунку.
Вікно небезпеки для шкідливого ПЗ з'являється з випуском нового різновиду
"бомб", вірусів і/або "хробаків" і перестає існувати з відновленням бази даних
антивірусних програм і накладенням інших необхідних латок.
За традицією із усього шкідливого ПЗ найбільша увага громадськості
зосереджується на частку вірусів. Однак до березня 1999 року з повним правом
можна було стверджувати, що "незважаючи на експонентний ріст числа
відомих вірусів, аналогічного росту кількості інцидентів, викликаних ними, не
зареєстровано. Дотримання нескладних правил "комп'ютерної гігієни"
практично зводить ризик зараження до нуля. Там, де працюють, а не грають,
число заражених комп'ютерів становить лише частки відсотка".
 У березні 1999 року, з появою вірусу "Melissa", ситуація кардинальним
чином змінилася. "Melissa" – це макровірус для файлів MS-Word, що поши-
рюється за допомогою електронної пошти в приєднаних файлах. Коли такий
(заражений) приєднаний файл відкривають, він розсилає свої копії по перших
50 адресах задресної книги Microsoft Outlook. У результаті поштові сервери
піддаються атаці на доступність.
3.5. Основні загрози цілісності
На другому місці за масштабом збитків (після ненавмисних помилок і
недоглядів) стоять крадіжки й підробки. За даними газети USA Today, ще в
1992 році в результаті подібних протиправних дій з використанням
персональних комп'ютерів американським організаціям був нанесений
загальний збиток у розмірі 882 мільйонів доларів. Можна припустити, що
реальний збиток був набагато більше, оскільки багато організацій за
зрозумілими причинами приховують такі інциденти; не викликає сумнівів, що в
наші дні збитки від такого роду дій виріс багаторазово.
У більшості випадків винуватцями виявлялися штатні співробітники
організацій, відмінно знайомі з режимом роботи й заходами захисту. Це ще раз
підтверджує небезпеку внутрішніх загроз, хоча говорять і пишуть про них
значно менше, ніж про зовнішні.
3 метою порушення цілісності зловмисник (як правило, штатний
співробітник) може:
• ввести неправильні дані;
• змінити дані.
Іноді змінюються змістовні дані, іноді - службова інформація. Показовий
випадок порушення цілісності мав місце в 1996 році. Службовець Oracle
(особистий секретар віце-президента) пред'явила судовий позов,
обвинувачуючи президента корпорації в незаконному звільненні після того, як
вона відкинула його залицяння. На доказ своєї правоти жінка показала
електронний лист, ніби-то відправлений її начальником президентові. Зміст
листа для нас зараз не важливий; важливий час відправлення. Справа в тому,що
віце-президент пред'явив, у свою чергу, файл із реєстраційною інформацією
компанії стільникового зв'язку, з якого виявлялося, що в зазначений час він
розмовляв по мобільному телефону, перебуваючи далеко від свого робочого
місця. Таким чином, у суді відбулося протистояння "файл проти файлу".
Очевидно, один з них був фальсифікований або змінений, тобто була порушена
його цілісність. Суд вирішив, що підробили електронний лист (секретарка зна-
ла пароль віце-президента, оскільки їй було доручено його міняти), і позов був
відхилений...
З наведеного випадку можна зробити висновок не тільки про загрози
порушення цілісності, але й про небезпеку сліпої довіри комп'ютерної
інформації. Заголовки електронного листа можуть бути підроблені; лист у
цілому може бути фальсифікований особою, що знає пароль відправника.
Відзначимо, що останнє можливо навіть тоді, коли цілісність контролюється
криптографічними засобами. Тут має місце взаємодія різних аспектів інформа-
ційної безпеки: якщо порушено конфіденційність, може постраждати цілісність.
 Ще один урок: загрозою цілісності є не тільки фальсифікація або зміна
даних, але й відмова від зроблених дій. Якщо немає засобів забезпечити
"безвідмовність", комп'ютерні дані не можуть розглядатися як доказ.
Потенційно уразливі з погляду порушення цілісності не тільки дані, але й
програми. Впровадження розглянутого вище шкідливого ПЗ - приклад
подібного порушення.
Загрозами динамічної цілісності є порушення атомарності транзакцій,
перевпорядкування, крадіжка, дублювання даних або внесення додаткових
повідомлень. Відповідні дії в мережевому середовищі називаються активним
прослуховуванням.
3.6. Основні загрози конфіденційності
Конфіденційну інформацію можна розділити на предметну й службову.
Службова інформація (наприклад, паролі користувачів) не відноситься до
певної предметної області, в інформаційній системі вона відіграє технічну роль,
але її розкриття є особливо небезпечним, оскільки воно несе в собі одержання
несанкціонованого доступу до всієї інформації, у тому числі предметної.
Навіть якщо інформація зберігається в комп'ютері або призначена для
комп'ютерного використання, загрози її конфіденційності можуть носити
некомп'ютерний і взагалі нетехнічний характер.
Багатьом людям доводиться виконувати ролі користувачів не однієї, а цілого
ряду систем (інформаційних сервісів). Якщо для доступу до таких систем
використовуються багаторазові паролі або інша конфіденційна інформація, то
напевно ці дані будуть зберігатися не тільки в голові, але й у записнику або на
листках паперу, які користувач часто залишає на робочому столі, а іноді просто
губить. І справа тут не в неорганізованості людей, а в споконвічній непридатно-
сті парольної схеми. Неможливо пам'ятати багато різних паролів; рекомендації
з їх регулярного (по можливості – частої) зміні тільки ускладнюють положення,
змушуючи застосовувати нескладні схеми чергування або взагалі намагатися
звести справу до двох-трьох легких запам'ятовувань (і настільки ж легко
вгадуваних) паролів.
Описаний клас уразливих місць можна назвати розміщенням конфіденційних
даних у середовищі, де їм не забезпечено (найчастіше – і не може бути
забезпечено) необхідний захист. Загроза ж полягає в тому, що хтось не
відмовиться довідатися секрети, які самі просяться до рук. Крім паролів, що
зберігаються в записниках користувачів, у цей клас потрапляє передача
конфіденційних даних у відкритому вигляді (у розмові, у листі, по мережі), що
уможливлює перехоплення даних. Для атаки можуть використовуватися різні
технічні засоби (підслуховування або прослуховування розмов, пасивне
прослуховування мережі, тощо), але ідея одна й та сама – здійснити доступ до
даних у той момент, коли вони є найменш захищеними.
Загрозу перехоплення даних варто брати до уваги не тільки при початковому
конфігуруванні АС, але й, що дуже важливо, при всіх змінах. Досить небезпеч-
ною загрозою є, виставки, на які багато організацій, недовго думаючи, відправ-
ляють устаткування з виробничої мережі, з усіма даними, що зберігаються на
них.Залишаються попередніми паролі, при вилученому доступі вони продов-
жують передаватися у відкритому вигляді. Це погано навіть у межах захищеної
мережі організації; в об’єднаній мережі виставки – це занадто суворе випробу-
вання чесності всіх учасників.
Ще один приклад зміни, про яку часто забувають, – зберігання даних на
резервних носіях. Для захисту даних на основних носіях застосовуються
розвинені системи керування доступом; копії ж нерідко просто лежать у шафах
й одержати доступ до них може багато хто.
Перехоплення даних – дуже серйозна загроза, і якщо конфіденційність
дійсно є критичною, а дані передаються по багатьох каналах, їхній захист може
виявитися досить складним та дорогим. Технічні засоби перехоплення добре
пророблені, доступні, прості в експлуатації, а встановити їх, наприклад, на
кабельну мережу, може будь-хто, так що цю загрозу потрібно брати до уваги по
відношенню не тільки до зовнішніх, але й до внутрішніх комунікацій.
Крадіжки устаткування є загрозою не тільки для резервних носіїв, але й для
комп’ютерів, особливо портативних. Часто ноутбуки залишають без догляду на
роботі або в автомобілі, іноді просто гублять.
Небезпечною нетехнічною загрозою конфіденційності є методи морально-
психологічного впливу, такі як “маскарад” – виконання дій під виглядом особи,
що володіє повноваженнями для доступу до даних.
До неприємних загроз, від яких важко захищатися, можна віднести
зловживання повноваженнями. У багатьох типах систем привілейований
користувач (наприклад системний адміністратор) здатний прочитати кожен
(незашифрований) файл, одержати доступ до пошти будь-якого користувача,
тощо. Інший приклад – завдання збитків при сервісному обслуговуванні.
Звичайно сервісний інженер одержує необмежений доступ до устаткування й
має можливість діяти в обхід програмних захисних механізмів.
Такими є основні загрози, які завдають найбільшої шкоди суб'єктам
інформаційних відносин.

Контрольні питання:
1. Що таке вікно небезпеки?
2. Якою може бути тривалість вікна небезпеки?
3. Які події є необхідними для ліквідації вікна небезпеки?
4. За якими критеріями можна класифікувати загрози?
5. Класифікація загрози доступності за компонентами ІС, на які їх націлено.
6. Що є джерелами внутрішніх відмов АС?
7. Якими є загрози стосовно підтримуючої інфраструктури ?
8. Якими є загрози стосовно "скривджених" співробітників?
9. Що таке програмні атаки на доступність?
10. Для чого призначаються руйнівні функції "бомби"?
11. Як розрізняють руйнівні функції за механізмом поширення?
12. Як поширюється шкідливе програмне забезпечення мережею?
13. Який код називається троянським?
14. Коли перестає існувати вікно небезпеки для шкідливого програмного
забезпечення?
15. Які дії може здійснювати зловмисник з метою порушення цілісності?
16. Чому небезпечною є загроз перехоплення даних?