Люки могут появиться в программном продукте следующими путями

а) люки чаще всего являются результатом забывчивости разработчиков. В процессе разработки программы создаются временные механизмы, облегчающие ведение отладки за счет прямого доступа к продукту.

Одним из примеров использования забытых люков является инцидент с вирусом Морриса [31]. Одной из причин обусловившей распространение этого вируса, являлась ошибка разработчика программы электронной почты, входящей в состав одной из версий ОС UNIX, приведшая к появлению малозаметного люка.

6) люки могут образоваться также в результате часто практикуемой технологии разработки программных продуктов «сверху—вниз». При этом программист приступает к написанию управляющей программы, заменяя предполагаемые в будущем подпрограммы так называемыми «заглушками» — группами команд, имитирующими или обозначающими место присоединения будущих подпрограмм. В процессе работы эти заглушки заменяются реальными подпрограммами.

На момент замены последней заглушки реальной подпрограммой, программа считается законченной. Но на практике подобная замена выполняется не всегда. Во-первых, из-за нарушения сроков разработки и сдачи в эксплуатацию и, во-вторых, из-за невостребованности данной подпрограммы. Таким образом, заглушка остается, представляя собой слабое место системы с точки зрения информационной безопасности.

в) программист пишет программу, которой можно управлять с помощью определенных команд, или, например, путем ввода «Y» («Да») или «N» («Нет»). А что произойдет, если в ответ на запрос будет вводиться «А» или «В» и т. д. Если программа написана правильно, то на экране должно появиться сообщение типа «Неправильный ввод» и повтор запроса. Однако может быть ситуация, когда программа не учитывает такое, предполагая, что пользователь будет действовать правильно. В таком случае реакция программы на неопределенный ввод может быть непредсказуемой. Такую ситуацию в программе можно специально создать для того, чтобы получить доступ к определенным ресурсам и данным.

Таким образом, люк может присутствовать в программном продукте вследствие умышленных или неумышленных действий со стороны программиста для обеспечения:

тестирования и отладки программного продукта;

окончательной сборки конечной программы; скрытого средства доступа к программному продукту и данным.

В первом случае люк — это неумышленная, но серьезная брешь в безопасности системы. Во втором — серьезная экспозиция безопасности системы. В третьем случае — первый шаг к атаке системы.

Такие виды нарушений называются trap doors или back doors (в литературе за данными программными злоупотреблениями закрепилось на66звание «задние ворота»). Пример встроенного люка в операционную систему MS-DOS приводится в [32].

3. Логические бомбы (logic bomb) — программный код, который является безвредным до выполнения определенного условия, после которого реализуется логический механизм [29]. Логические бомбы, в которых срабатывание скрытого модуля определяется временем (текущий датой), называют бомбами с часовым механизмом (time bomb). Подобные программы, реализующие свой механизм после конкретного числа исполнении, при наличии или, наоборот, отсутствии определенного файла, а также соответствующей записи в файле, получили название логической бомбы (logic bomb).

В связи с тем, что подобные программы имеют ограниченный доступ к ресурсам системы, разрушительный эффект остается достаточно низким. Опасность может значительно увеличиться, если логическая бомба будет встроена в системное программное обеспечение, что приведет к уничтожению файлов, переформатированию машинных носителей или к другим разрушающим последствиям. Основной целью функционирования программ типа логической бомбы следует считать нарушение нормальной работы компьютерной системы.

4. «Троянский конь» — программа, которая кроме своей основной деятельности выполняет некоторые дополнительные (разрушительные), Не описанные в документации функции, о чем пользователь не подозревает [1, 7, 2, 9 и др.].

Реализация дополнительных функций выполняется скрытым от пользователя модулем, который может встраиваться в системное и прикладное программное обеспечение. При реализации пораженной программы троянский конь получает доступ к ресурсам вместе с пользователем.

Троянские кони значительно опаснее ПЗ, рассмотренных ранее, поскольку чаще всего они встраиваются в хоро55шо зарекомендовавшие себя программные продукты — инструментальные средства, пакеты прикладных программ, текстовые редакторы, компьютерные игры и т. д., и выступают в качестве средства несанкционированного доступа к содержащейся в системе информации. В некоторых случаях термином «троянские программы» ошибочно называли программы, содержащие ошибки или плохо спроектированный интерфейс с пользователем.

Компьютерные системы, использующий дескрипторные методы управления доступом (и том числе такие, как полномочия, списки управления доступом и др.), становятся практически беззащитными против программ типа троянский конь.

• 5. Репликаторы— могут создавать одну, или более своих копий в компьютерной системе. Это приводит к быстрому переполнению памяти компьютера, но данные действия могут быть обнаружены опытным пользователем и достаточно легко устранены. Устранение0программы репликатора усложняется в тех случаях, когда репликация выполняется с модификацией исходного текста: программы, что затрудняет распознавание ее новых копий. Репликаторные программы становятся особенно опасными, когда к функции размножения будут добавлены другие разрушающие воздействие.
• 6. Программные закладки — программы, которые сохраняют вводимую с клавиатуры информацию (в том числе и пароли) в некоторой зарезервированной для этого области.

Данный тип программных злоупотреблений включает:

закладки, ассоциируемые с программно-аппаратной средой (BIOS);

закладки, ассоциируемые с программами первичной загрузки, находящимися в Master Boot Record или Root секторов активных разделов;

закладки, ассоциируемые с загрузкой драйверов DOS, командного интерпретатора, сетевых драйверов;

закладки, ассоциируемые с прикладным программным обеспечением общего назначения (встроенные в клавиатурные или экранные драйверы, программы тестирования, утилиты и оболочки типа Norton Commander);

исполняемые модули, содержащие только код закладки (как правило, внедряемые в пакетные файлы типа ВАТ);

модули-имитаторы, совпадающие по внешнему: виду с программами, требующими ввода конфиденциальной информации;

Закладки, маскируемые под ПС оптимизационного назначения (архиваторы, ускорители и т. д.);

закладки, маскируемые под ПС игрового и развлекательного назначения (как правило, используются для первичного внедрения закладок типа: «исследователь»).

• 7. Атаки «салями» — характерны для финансовыми банковских информационных систем, где ежедневно проводятся тысячи операций, связанных с безналичными расчетами, переводами сумм, начислениями и т. д. [17, 30, 34]. При реализации расчетов вычисляются различного рода доли, которые округляются в большую или меньшую сторону. Атака «салями» состоит в накоплении на отдельном счете этих долей денежной единицы. Практика доказала, что эксплуатация такой программы обеспечивает накопление значительных сумм.
• 8. Скрытые каналы — это программы, передающие информацию лицам, которые в обычных условиях эту информацию получать не должен. Злоумышленник не всегда имеет непосредственный доступ к компьютерной системе. Для скрытой передачи информации используют различные элементы, форматы «безобидных» отчетов, например, разную длину строк, пропуски между строками, наличие или отсутствие служебных заголовков, управляемый вывод незначащих цифр в выводимых величинах, количество пробелов или других символов в определенных местах отчета и т. д.;

При использовании скрытых каналов для получения относительно небольших объемов информации захватчик вынужден проделать достаточно большую работу. Поэтому скрытые каналы более приемлемы в ситуациях, когда нарушителя интересует не сама информация, а факт ее наличия.

Может возникнуть ситуация, когда скрытый канал сообщает о наличии в системе определенной информации, что в свою очередь служит признаком работы в системе определенного процесса, позволяющего провести атаку иного типа.

9. Компьютерные вирусы (KB) — представляют собой программные разработки, способные проникать в среду компьютерных систем и наносить разного рода повреждения.

Вирусы представляют собой наиболее полно исследованный класс программных злоупотреблений превосходящий по разрушающим возможностям все другие.

Интересным является определение компьютерного вируса в законодательстве штата Техас (США), как посторонняя (нежелательная) компьютерная программа или другой набор инструкций, внесенных в память компьютера, операционную систему или программу, при разработке которых они были специально снабжены способностью к воспроизведению или к воздействию на другие программы и файлы, находящиеся в компьютере, путем присоединения дубликата такой посторонней (нежелательной) программы к одной или более компьютерным программам или файлам.

С развитием технологий обработки информации получили распространение и другие виды злоупотреблений. Самыми распространенными можно считать:

" Отказы в обслуживании «— несанкционированное использование компьютерной системы в своих целях (например, для бесплатного решения своих задач), либо блокирование системы для отказа в обслуживании другим пользователям. Для реализации такого злоупотребления используются так на зываемые «жадные программы» — программы, способные захватить монопольно определенный ресурс системы (причем необязательно центральный процессор). Следует отметить, что отказ в обслуживании пользователю, обладающему действительными правами доступа, может явиться одним из результатов функционирования таких программ, как «троянские кони», «люки» и другие.

Работа между строк (between lines) — подключение к линиям связи и внедрение в компьютерную систему с использованием промежутков в действиях законного пользователя [16, 28 и др.]. При интерактивной работе пользователя образуются своеобразные «окна» (например, отклик системы опережает действия пользователя, которому необходимо время для обдумывания последующих действий). Эти «окна» вполне могут быть использованы нарушителем для работы с системой под маской пользователя.

Анализ трафика (trafic analysis) — захватчик анализирует частоту и методы контактов пользователей в системе. При этом можно выяснить правила вступления в связь, после чего производится попытка вступить в контакт подвидом законного пользователя.

Маскарад (masquerade) — захватчик использует для входа в систему ставшую ему известной идентификацию законного пользователя.

" Подкладывание свиньи" (piggback) — нарушитель подключается к линиям связи и имитирует работу системы с целью осуществления незаконных манипуляций. Например, он может имитировать сеанс связи и получить данные под видом легального пользователя. Пользователь, не подозревая об этом, передает информацию и/или получает ее. Таким образом, может осуществляться не только шпионаж, но и Дезинформация, что также отрицательно сказывается на работе АИС и объекта управления в целом.

Повторное использование объектов (object reutilization) — состоит в восстановлении и повторном использовании удаленных объектов системы.

Примером реализации подобного злоупотребления служит удаление файлов операционной системой. Когда ОС выдает сообщение, что, некоторый файл удален, то это не означает, что информация, содержащаяся в дан69ном файле уничтожена в прямом смысле слова. Данное сообщение означает, что система пометила блоки памяти, ранее составлявшие содержимое файла, специальным флажком, говорящим о том, что данный блок не входит в состав какого-либо файла и может быть использован для размещения в нем другой информации. Но информация, которая была в данном блоке, никуда не исчезает до момента записи на это место другой информации. Таким образом, если прочесть содержание блока, можно получить доступ к «удаленной «информации (даже средствами ОС). Одной из разновидностей повторного использования объектов является работа с компьютерным «мусором». Компьютерным «мусором» являются данные, оставшиеся в памяти компьютера после завершения работы. Осуществляя сбор компьютерного «мусора» с помощью специальных программных средств, нарушитель имеет возможность проанализировать содержание информационной деятельности пользователей.

Запуск «воздушного змея». Для реализации подобного программного злоупотребления/используется такая последовательность действий. В двух или более банках открываются счета. Денежные средства переводятся из одного банка в другой с повышающимися размерами. Суть злоупотребления заключается в том, чтобы замаскировать необеспеченный денежными средствами перевод. Данный цикл повторяется многократно, пока на конкретном счете не осядет значительная сумма [39]. После этого денежные средства снимаются и операции прекращаются. Следует отметить, что данное злоупотребление требует точного расчета и синхронизации последовательности действий нарушителей.

Несмотря на то, что данное злоупотребление не относится к «чисто» компьютерным, оно подготавливается и реализуется с помощью компьютера и программного обеспечения. В данном случае компоненты информационных и коммуникационных технологий используются в качестве средства подготовки и средства реализации преступления.

" Раздеватели". С развитием рынка «персональных» технологий, получило широкое распространение такое злоупотребление, как нелегальное распространение, использование и/или изменение программных средств .

Под нелегальным распространением понимается продажа, обмен или бесплатное распространение программного продукта, авторские права на который принадлежат третьему лицу, без его Согласия.

Нелегальное использование — это использование программного продукта без согласия владельца авторских прав.

Нелегальное изменение — это внесение в код программы или внешний вид (интерфейс) изменений, не оговоренных с владельцем авторских прав, с тем, чтобы измененный продукт не попадал под действие авторских прав.

Следует отметить, что проблема нелегального копирования и распространения программного обеспечения является актуальной. Это вызвано влиянием ряда объективных и субъективных факторов (социальных, экономических и др.). В условиях зарождения рынка сформировались группы специалистов, выполняющих работы по вскрытию средств защиты программных продуктов и нелегальному их распространению. Кроме того, некоторая часть программного обеспечения не обладает средствами защиты или они настолько слабы, что их устранение требует минимальных знаний в области информационных технологий.

Группа специальных средств, который предназначены для реализации НСК и снятия защиты в [4, 1] названа «раздевателем». Раздеватель — комплекс специально разработанных программных средств, ориентированных на исследование защитного механизма программного продукта от НСК и его преодоление. В данную группу входят следующие программные разработки, используемые для «вскрытия» защиты:

• * эмуляторы среды, предназначенные для подделки среды, в которой работает защищаемая программа;
• * симулятор микропроцессора 8088;
• * специальные отладчики для работы в защищенном режиме для 386-го микропроцессора.

Развитие средств связи и электронной почты выделило злоупотребление, которое относится к классу «компьютерного хулиганства» и в литературе получило название «пинание» (pinging) [2, 8]. Суть данного злоупотребления заключается в том, что, используя стандартные или специально разработанные программные средства, злоумышленник; может вывести из строя электронный адрес, бомбардируя его многочисленными почтовыми сообщениями. Следствием «пинания» могут стать осложнения и возможность непреднамеренного игнорирования полученной электронной почты. Необходимо отметить, что при планировании и разработке злоупотреблений нарушителями могут создаваться новые, не приведенные в данной классификации, а также применяться любые сочетания описанных злоупотреблений.