Современные информационные технологии и кризис безопасности презентация

Вступительная лекция. Часть 2. Особенности современных информационных технологий и кризис безопасности

сфере, определяющих совокупность сбалансированных интересов личности, общества и государства

обработке и хранению информации с целью достижения некоторого промышленного или исследовательского результата.
Входные данные процесса - информация, получаемая от внешних структур или аналогичных систем.
Выход системы – информация в преобразованном виде или результаты ее обработки, представленные в требуемом формате для передачи другим системам или хранение в стандартизованной базе данных (знаний).

параметров отражения вход-выход.
Для системы установлен ряд общих показателей качества (производительность, пропускная способность, максимальное количество обрабатываемой информации, устойчивость к внешним воздействиям и т.д.).

информации той категории, которая определена его полномочиями и одновременно не имеет доступа к информации других категорий.
Взаимоотношения пользователя в виде субъектов , порождаемых на графе системы и объектов , представляющих информацию заданной категории, образуют алгебру , определяемую моделью политики безопасности. Реализация требований политики безопасности ограничивает связи на графе и задает множество допустимых маршрутов, а значит множество безопасных состояний системы.

условии:
сохранения значений параметров информационного процесса в диапазоне, установленном для заданной системы;
отражения негативных или разрушающих воздействий в пределах установленных угроз или заданного уровня риска.

значений показателей информационного процесса в условиях случайного и/или целенаправленного воздействия или искажения.
Данные определения могут быть формализованы с использованием предложенной графовой модели .

вход-выход в заданном диапазоне параметров в условиях внешнего деструктивного воздействия, направленного на изменение логической и технической структуры IT.

в компьютере;
невозможно определить место или область памяти, где хранится информация;
невозможно или очень трудно проследить за движением информации в компьютерной системе;
невозможно или очень сложно учесть количество копий электронного документа;
в современных информационных технологиях обработка информации идет без доступа к ней (технология мобильных агентов);
обработка информации идёт в агрессивной среде и с агрессивными свойствами.

Вывод: сегодняшняя инфраструктура общества отстаёт от возможностей информационных технологий.

служить каналом съема информации;
Зависимость перехвата передаваемой информации через каналы связи, как проводные, так и беспроводные;
Зависимость от производителя и возможность аппаратных закладок;
Недостаток информации об архитектуре импортных процессоров.

Western Digital, Seagate, Samsung, IBM и других
Компьютеры с этими программами > чем 30 странах (Россия, Иран, Пакистан, Китай и т.д.)

ВРЕДОНОСНОЕ ПО В ЖЕСТКИХ ДИСКАХ

По данным Лаборатории Касперского

и другим электронным устройствам для размещения на них шпионского ПО, используя аппаратные уязвимости
2015: Аппаратная уязвимость Rowhammer позволяет злоумышленникам получить низкоуровневый доступ к целевым машинам

РОСТ КОЛИЧЕСТВА АППАРАТНЫХ ЭКСПЛОЙТОВ

организация сложных автоматов» (теория самовоспроизводящихся автоматов).
1961 - игра Darwin, в которой несколько ассемблерных программ, названных «организмами», загружались в память компьютера и «сражались» за ресурсы.
1983 - Фред Коэн написал демонстрационный вирус для VAX 11/750 под управлением Unix.
1983 г. Тьюринговская лекция Кена Томпсона
1987 первые вирусы для IBM PC – Brain, Иерусалимский вирус

ИСТОРИЯ СОЗДАНИЯ ВИРУСОВ

текста и исследований не защитит вас от использования ненадежного (untrusted) кода. По мере того как уровень языка, на котором написана программа, снижается, находить эти ошибки становится все труднее и труднее. "Хорошо продуманную" (well installed) ошибку в микрокоде найти почти невозможно.

компилятор может быть модифицирован так, чтобы при компиляции добавлять в скомпилированный код трояна, при этом изменения исходного кода компилятора будет невозможно обнаружить...

ИЗ ЛЕКЦИИ ТОМПСОНА

)
1992 - Вирус Michelangelo (вирус с активацией по дате)
1994 - эпидемия OneHalf (полиморфный файлово-загрузочный компьютерный вирус).
1995 – первый макровирус
1998 – эпидемия Win95.CIH, первый вирус для Java
1999 – червь Мелисса (заметная эпидемия)
2000 – червь I love YOU (10 млрд $)

ИСТОРИЯ СОЗДАНИЯ ВИРУСОВ

распространял свои копии по сети Internet, получая привилегированные права доступа на хостах сети за счет использования уязвимостей в операционной системе.
уязвимая версия программы Sendmail (нарушение безопасности было связано с использованием нестандартной команды)
программа Fingerd (в ней содержалась ошибка переполнения буфера).
Для поражения систем червь использовал уязвимость команд rexec и rsh, а также неверно выбранные пользовательские пароли.

ЧЕРВЬ МОРРИСА

Code Red II и Sadmind), червь Code Red (IIS), червь Ramen (Linux)
2003 - червь SQL Slammer (уязвимости в Microsoft SQL Server), Blaster (DoS-атака на сервер обновления ОС Windows), Sobig (ресурсы, открытые для коллективного доступа в локальных сетях)
2004 - червь Mydoom, червь Sasser
2007 - ZeuS - троянский конь, ворует денежные средства пользователя, Storm формирует Сеть, которая в сентябре достигла размера от 1 до 10 миллионов компьютеров.

ИСТОРИЯ СОЗДАНИЯ ВИРУСОВ

Бушере)
2011 - Duqu — компьютерный червь (похож на Stuxnet)
2012 – Flame, Маади, Гаусс (похож на Stuxnet и Duqu)

ИСТОРИЯ СОЗДАНИЯ ВИРУСОВ

XP, 7, Vista.
Наиболее пострадавшими странами являются Иран, Израиль, Судан, Сирия, Ливан, Саудовская Аравия и Египет.

Вирус способен собирать файлы данных, удалённо менять параметры компьютера, записывать звук, скриншоты и подключаться к чатам.
Код Flame имеет объём 20 МБ и использует библиотеки zlib, libbz2, ppmd для сжатия, встроенную СУБД sqlite3, виртуальную машину Lua.

Некоторые части вируса имели цифровую подпись из иерархии Microsoft.

FLAME

Основные свойства вирусов:
а) саморазмножение;
б) отражение и анализ среды;
в) самосохранение, маскировка дают основание для биологических аналогий.
3) Наличие средств автоматической генерации вирусов.
4) Наличие сайтов, содержащих вирусы и средства взлома.
5) Использование Internet как средства бесконтрольного распространения программ.

данных в компьютере фоннеймановской архитектуры. Поэтому всегда имеется возможность вместе с данными внести в компьютерную систему исполняемый код, выполнение которого в последствии непредсказуемо.
Невозможно указать формальные признаки, по которым РПС отличается от пользовательской программы. Многие пользовательские программы совершают действия сканирования или разрушения других программ, например, дизассемблеры, анализаторы трафика в распределённых сетях, системы сканирования защиты).
Наличие во всех сложных программных комплексах встроенных отладчиков. Вызов такого отладчика позволяет нарушителю отключить системы защиты, полностью разрушить систему или изменить права доступа.
Большинство сложных программных систем содержат встроенные интерпретаторы других языков (машинных). Фактически это приводит к тому, что внутри вычислительной системы строится другая вычислительная система. Защита должна быть на всех уровнях.
Наличие уязвимостей и ошибок, т.е. непредсказуемых свойств программной системы.

защиты

Наблюдатели

Программы-взломщики

РПС

a Service).

2. Объектами целенаправленных атак становятся государственные учреждения и компании, имеющие стратегическое значение.

3. Рост доли мобильных устройств –участников масштабных бот-сетей создает потенциал для нелинейного роста бот-сетей за счет физического перемещения мобильных устройств между различными сетями.

4. Новые объекты воздействия – широкий класс устройств , составляющих Internet of Things

5. Использование вредоносным ПО функциональных возможностей публичных Интернет –сервисов для повышения надежности своей работы.

способность ВПО к самосохранению и защите.

8. Разработка новых механизмов распространения ВПО (соц. инженерия).

9. Возможности вредоносного ПО опережают возможности защиты.

10. Осуществление целевых атак на основе разработки ВПО для выбранных объектов.

11. Использование ВПО для достижения социальных, технических, военных и политических целей (перенос конфликтов в инфосферу).

ТЕНДЕНЦИИ РАЗВИТИЯ ВРЕДОНОСНОГО ПО [продолжение]

анонимность рассылки.
Возможность автоматизации генерации вирусов.
Наличие уязвимостей – предпосылка для существования РПС.
РПС – средство ведения информационной войны в киберпространстве.
Свойства РПС:
саморазмножение;
анализ среды окружения;
самомаскирование, полиморфоризм
биологические аналогии

ОТЛИЧИТЕЛЬНЫЕ ОСОБЕННОСТИ РПС

изучать механизмы атак и воздействий;
- проектировать, создавать, испытывать и применять средства защиты и обеспечение требуемого уровня безопасности информационно-телекоммуникационных систем;
- анализировать уровень безопасности информационно-телекоммуникационных систем, управлять информационной безопасностью;
-развивать теоретические основы ИБ систем обработки информации, создавать новые принципы систем защиты и управления ИБ;
- принимать участие в проведении НИР и ОКР по исследованию и разработке средств защиты и управления ИБ.

классификация нарушителей, атаки, модели атак, систематизация видов вредоносного кода, функции защиты.
Критерии оценки ИБ. Документы ФСТЭК, нападение критерии, единые критерии, сертификация и аттестация.
Принципы создания защищенных систем. Роль защищенных ОС, общий процесс проектирования и жизненный цикл защищенных ИС.
Защита распределенных систем и безопасность Internet. Классификация атак, методы обнаружения аномалий, вторжений, атак.
Методы анализа безопасности ПО, контрольно-испытательные методы, логико-аналитические. Общая модель анализа. Поиск уязвимостей.
Понятие кибербезопасности, новые виды кибератак, понятие киберпространство. Связь ИБ и кибербезопасности.