Модели взаимодействия прикладной программы и программной закладки
Общая модель РПС можно представить в виде совокупности моделей, каждая из которых соответствует описанным выше типам РПС и характеризует действия злоумышленника, исходя из его образа мыслей и возможностей [ПАС].
1. Модель «перехват». Программная закладка встраивается (внедряется) в ПЗУ, ОС или прикладное программное обеспечение и сохраняет все или избранные фрагменты вводимой или выводимой информации в скрытой области локальной или удаленной внешней памяти прямого доступа. Объектом сохранения может быть клавиатурный ввод, документы, выводимые на принтер, или уничтожаемые файлы-документы. Для данной модели существенно наличие во внешней памяти места хранения информации, которое должно быть организовано таким образом, чтобы обеспечить ее сохранность на протяжении заданного промежутка времени и возможность последующего съема. Важно также, чтобы сохраняемая информация была каким-либо образом замаскирована от просмотра легальными пользователями.
2. Модель «троянский конь». Закладка встраивается в постоянно используемое программное обеспечение и по некоторому активизирующему событию моделирует сбойную ситуацию на средствах хранения информации или в оборудовании компьютера (сети). Тем самым могут быть достигнуты две различные цели: во-первых, парализована нормальная работа компьютерной системы и, во-вторых, злоумышленник (например, под видом обслуживания или ремонта) может ознакомиться с имеющейся в системе или накопленной посредством использования модели «перехват» информацией. Событием, активизирующим закладку, может быть некоторый момент времени, либо сигнал из канала модемной связи (явный или замаскированный), либо состояние некоторых счетчиков (например, число запусков программ).
3. Модель «наблюдатель». Закладка встраивается в сетевое или телекоммуникационное программное обеспечение. Пользуясь тем, что данное ПО, как правило, всегда активно, программная закладка осуществляет контроль за процессами обработки информации на данном компьютере, установку и удаление закладок, а также съем накопленной информации.
Закладка может инициировать события для ранее внедренных закладок, действующих по модели «троянский конь».
4. Модель «компрометация». Закладка либо передает заданную злоумышленником информацию (например, клавиатурный ввод) в канал связи, либо сохраняет ее, не полагаясь на гарантированную возможность последующего приема или снятия. Более экзотический случай – закладка инициирует постоянное обращение к информации, приводящее к росту отношения сигнал/шум при перехвате побочных излучений.
5. Модель «искажение или инициатор ошибок». Программная закладка искажает потоки данных, возникающие при работе прикладных программ (выходные потоки), либо искажает входные потоки информации, либо инициирует (или подавляет) возникающие при работе прикладных программ ошибки.
6. Модель «сборка мусора». В данном случае прямого воздействия РПС может и не быть; изучаются «остатки» информации. В случае применения программной закладки навязывается такой порядок работы, чтобы максимизировать количество остающихся фрагментов ценной информации. Злоумышленник получает либо данные фрагменты, используя закладки моделей 2 и З, либо непосредственный доступ к компьютеру под видом ремонта или профилактики.
У рассмотренных различных по целям воздействия моделей закладок имеется важная общая черта - наличие операции записи, производимой закладкой (в оперативную или внешнюю память). При отсутствии данной операции никакое негативное влияние невозможно. Вполне понятно, что для направленного воздействия закладка должна также выполнять и операции чтения. Так, например, можно реализовать функцию целенаправленной модификации данных в каком-либо секторе жесткого диска, которая возможна только после их прочтения.
Таким образом, исполнение кода закладки может быть сопровождено операциями несанкционированной записи (НСЗ), например, для сохранения некоторых фрагментов информации, и несанкционированного считывания (НСЧ), которое может происходить отдельно от операций чтения прикладной программы или совместно с ними.
При этом операции считывания и записи могут быть не связаны с получением информации, например считывание параметров устройства или его инициализация - закладка может использовать для своей работы и такие операции, в частности, для инициирования сбойных ситуаций или переназначения ввода вывода.
Возможные комбинации несанкционированных действий (НСЧ и НСЗ), а также санкционированных действий прикладной программы или операционной среды по записи (СЗ) или считыванию (СЧ) приведены в табл. 1.2 [ПАС].
Ситуации 1 - 4 соответствуют нормальной работе прикладной программы, когда закладка не оказывает на нее никакого воздействия.
Ситуация 5 может быть связана либо с разрушением кода прикладной программы в оперативной памяти ЭВМ, поскольку прикладная программа не выполняет санкционированные действия по записи и считыванию, либо с сохранением уже накопленной в ОП информации.
Ситуация 6 связана с разрушением или с сохранением информации (искажение или сохранение выходного потока), записываемой прикладной программой.
Ситуация 7 связана с сохранением информации (сохранение входного потока) считываемой прикладной программой.
Ситуация 8 связана с сохранением информации закладкой при считывании или записи информации прикладной программой.
Ситуация 9 не связана с прямым негативным воздействием, поскольку прикладная программа не активна, а закладка производит только НСЧ (процесс «настройки»).
Ситуация 10 может быть связана с сохранением выводимой информации в оперативную память.
Ситуация 11 может быть связана с сохранением вводимой информации в оперативную память либо с изменением параметров процесса санкционированного чтения закладкой.
Ситуация 12 может быть связана с сохранением как вводимой, так и выводимой прикладной программой информации в оперативную память.
Ситуация 13 может быть связана с размножением закладки, сохранением накопленной в буферах ОП информации или с разрушением кода и данных в файлах, поскольку прикладная программа не активна.
Таблица 1.2
|
Номер ситуации |
НСЧ |
НСЗ |
Действия РПС |
СЧ |
СЗ |
|
1 |
0 |
0 |
Нет |
0 |
0 |
|
2 |
0 |
0 |
Нет |
0 |
1 |
|
3 |
0 |
0 |
Нет |
1 |
0 |
|
4 |
0 |
0 |
Нет |
1 |
1 |
|
5 |
0 |
1 |
Изменение (разрушение) кода прикладной программы в ОП |
0 |
0 |
|
6 |
0 |
1 |
Разрушение или сохранение выводимых прикладной программой данных |
0 |
1 |
|
7 |
0 |
1 |
Разрушение или сохранение вводимых прикладной программой данных |
1 |
0 |
|
8 |
0 |
1 |
Разрушение или сохранение вводимых и выводимых данных |
1 |
1 |
|
9 |
1 |
0 |
Нет |
0 |
0 |
|
10 |
1 |
0 |
Перенос выводимых прикладной программой данных в ОП |
0 |
1 |
|
11 |
1 |
0 |
Перенос вводимых прикладной программой данных в ОП |
1 |
0 |
|
12 |
1 |
0 |
Перенос вводимых и выводимых данных в ОП |
1 |
1 |
|
13 |
1 |
1 |
Процедуры типа «размножения вируса» (действия закладки независимо от операций прикладной программы) |
0 |
0 |
|
14 |
1 |
1 |
Те же действия, что и в процедурах 6 – 8 |
0 |
1 |
|
15 |
1 |
1 |
1 |
0 |
|
|
16 |
1 |
1 |
1 |
1 |
Ситуации 14 - 16 могут быть связаны как с сохранением, так и с разрушением данных или кода и аналогичны ситуациям 6 - 8.
Несанкционированная запись закладкой может происходить:
· в массив данных, не совпадающий с пользовательской информацией, - сохранение информации;
· в массив данных, совпадающий с пользовательской информацией или ее подмножеством, - искажение, уничтожение или навязывание информации закладкой.
Следовательно, можно рассматривать три основные группы деструктивных функций, которые могут выполняться РПС [ПАС]:
· сохранение фрагментов информации, возникающей при работе пользователя, прикладных программ, вводе/выводе данных, во внешней памяти (локальной или удаленной) в сети или выделенном компьютере, в том числе сохранение различных паролей, ключей и кодов доступа, собственно конфиденциальных документов в электронном виде, либо безадресная компрометация фрагментов ценной информации (модели «перехват», «компрометация»);
· изменение алгоритмов функционирования прикладных программ (т.е. целенаправленное воздействие во внешней или оперативной памяти) - происходит изменение собственно исходных алгоритмов работы программ, например, программа разграничения доступа станет пропускать пользователей по любому паролю (модели «искажение», «троянский конь»);
· навязывание некоторого режима работы (например, при уничтожении информации - блокирование записи на диск, при этом информация, естественно, не уничтожается) либо замена записываемой информации данными, навязанными закладкой.
Закладка может инициировать события для ранее внедренных закладок, действующих по модели «троянский конь».
4. Модель «компрометация». Закладка либо передает заданную злоумышленником информацию (например, клавиатурный ввод) в канал связи, либо сохраняет ее, не полагаясь на гарантированную возможность последующего приема или снятия. Более экзотический случай – закладка инициирует постоянное обращение к информации, приводящее к росту отношения сигнал/шум при перехвате побочных излучений.
5. Модель «искажение или инициатор ошибок». Программная закладка искажает потоки данных, возникающие при работе прикладных программ (выходные потоки), либо искажает входные потоки информации, либо инициирует (или подавляет) возникающие при работе прикладных программ ошибки.
6. Модель «сборка мусора». В данном случае прямого воздействия РПС может и не быть; изучаются «остатки» информации. В случае применения программной закладки навязывается такой порядок работы, чтобы максимизировать количество остающихся фрагментов ценной информации. Злоумышленник получает либо данные фрагменты, используя закладки моделей 2 и З, либо непосредственный доступ к компьютеру под видом ремонта или профилактики.
У рассмотренных различных по целям воздействия моделей закладок имеется важная общая черта - наличие операции записи, производимой закладкой (в оперативную или внешнюю память). При отсутствии данной операции никакое негативное влияние невозможно. Вполне понятно, что для направленного воздействия закладка должна также выполнять и операции чтения. Так, например, можно реализовать функцию целенаправленной модификации данных в каком-либо секторе жесткого диска, которая возможна только после их прочтения.
Таким образом, исполнение кода закладки может быть сопровождено операциями несанкционированной записи (НСЗ), например, для сохранения некоторых фрагментов информации, и несанкционированного считывания (НСЧ), которое может происходить отдельно от операций чтения прикладной программы или совместно с ними.
При этом операции считывания и записи могут быть не связаны с получением информации, например считывание параметров устройства или его инициализация - закладка может использовать для своей работы и такие операции, в частности, для инициирования сбойных ситуаций или переназначения ввода вывода.
Возможные комбинации несанкционированных действий (НСЧ и НСЗ), а также санкционированных действий прикладной программы или операционной среды по записи (СЗ) или считыванию (СЧ) приведены в табл. 1.2 [ПАС].
Ситуации 1 - 4 соответствуют нормальной работе прикладной программы, когда закладка не оказывает на нее никакого воздействия.
Ситуация 5 может быть связана либо с разрушением кода прикладной программы в оперативной памяти ЭВМ, поскольку прикладная программа не выполняет санкционированные действия по записи и считыванию, либо с сохранением уже накопленной в ОП информации.
Ситуация 6 связана с разрушением или с сохранением информации (искажение или сохранение выходного потока), записываемой прикладной программой.
Ситуация 7 связана с сохранением информации (сохранение входного потока) считываемой прикладной программой.
Ситуация 8 связана с сохранением информации закладкой при считывании или записи информации прикладной программой.
Ситуация 9 не связана с прямым негативным воздействием, поскольку прикладная программа не активна, а закладка производит только НСЧ (процесс «настройки»).
Ситуация 10 может быть связана с сохранением выводимой информации в оперативную память.
Ситуация 11 может быть связана с сохранением вводимой информации в оперативную память либо с изменением параметров процесса санкционированного чтения закладкой.
Ситуация 12 может быть связана с сохранением как вводимой, так и выводимой прикладной программой информации в оперативную память.
Ситуация 13 может быть связана с размножением закладки, сохранением накопленной в буферах ОП информации или с разрушением кода и данных в файлах, поскольку прикладная программа не активна.
Таблица 1.2
|
Номер ситуации |
НСЧ |
НСЗ |
Действия РПС |
СЧ |
СЗ |
|
1 |
0 |
0 |
Нет |
0 |
0 |
|
2 |
0 |
0 |
Нет |
0 |
1 |
|
3 |
0 |
0 |
Нет |
1 |
0 |
|
4 |
0 |
0 |
Нет |
1 |
1 |
|
5 |
0 |
1 |
Изменение (разрушение) кода прикладной программы в ОП |
0 |
0 |
|
6 |
0 |
1 |
Разрушение или сохранение выводимых прикладной программой данных |
0 |
1 |
|
7 |
0 |
1 |
Разрушение или сохранение вводимых прикладной программой данных |
1 |
0 |
|
8 |
0 |
1 |
Разрушение или сохранение вводимых и выводимых данных |
1 |
1 |
|
9 |
1 |
0 |
Нет |
0 |
0 |
|
10 |
1 |
0 |
Перенос выводимых прикладной программой данных в ОП |
0 |
1 |
|
11 |
1 |
0 |
Перенос вводимых прикладной программой данных в ОП |
1 |
0 |
|
12 |
1 |
0 |
Перенос вводимых и выводимых данных в ОП |
1 |
1 |
|
13 |
1 |
1 |
Процедуры типа «размножения вируса» (действия закладки независимо от операций прикладной программы) |
0 |
0 |
|
14 |
1 |
1 |
Те же действия, что и в процедурах 6 – 8 |
0 |
1 |
|
15 |
1 |
1 |
1 |
0 |
|
|
16 |
1 |
1 |
1 |
1 |
Ситуации 14 - 16 могут быть связаны как с сохранением, так и с разрушением данных или кода и аналогичны ситуациям 6 - 8.
Несанкционированная запись закладкой может происходить:
· в массив данных, не совпадающий с пользовательской информацией, - сохранение информации;
· в массив данных, совпадающий с пользовательской информацией или ее подмножеством, - искажение, уничтожение или навязывание информации закладкой.
Следовательно, можно рассматривать три основные группы деструктивных функций, которые могут выполняться РПС [ПАС]:
· сохранение фрагментов информации, возникающей при работе пользователя, прикладных программ, вводе/выводе данных, во внешней памяти (локальной или удаленной) в сети или выделенном компьютере, в том числе сохранение различных паролей, ключей и кодов доступа, собственно конфиденциальных документов в электронном виде, либо безадресная компрометация фрагментов ценной информации (модели «перехват», «компрометация»);
· изменение алгоритмов функционирования прикладных программ (т.е. целенаправленное воздействие во внешней или оперативной памяти) - происходит изменение собственно исходных алгоритмов работы программ, например, программа разграничения доступа станет пропускать пользователей по любому паролю (модели «искажение», «троянский конь»);
· навязывание некоторого режима работы (например, при уничтожении информации - блокирование записи на диск, при этом информация, естественно, не уничтожается) либо замена записываемой информации данными, навязанными закладкой.
