Каналы утечки информации

Наиболее вероятны следующие каналы утечки информации.

1. Косвенные каналы,т.е. без физического доступа злоумышленника к ИВС:

   1. Подслушивающие устройства.

   2. Дистанционное фотографирование экрана дисплея.

   3. Перехват электромагнитных излучений.

2. Прямые каналы, т.е. с доступом к ИВС:

   1. Хищение носителей информации.

   2. Копирование носителей информации.

   3. Хищение производственных отходов.

   4. Считывание данных в массивах других пользователей.

   5. Чтение остаточной информации в ЗУ системы после выполнения санкционированных запросов.

   6. Несанкционированное использование терминалов зарегистрированных пользователей.

   7. Маскировка под зарегистрированного пользователя с помощью хищений паролей и других реквизитов разграничения доступа.

   8. Маскировка несанкционированных запросов под запросы операционной системы (мистификация).

   9. Использование программных ловушек.

   10. Получение защищенных данных с помощью серии разрешенных запросов.

   11. Использование недостатков языков программирования и ОС.

3. Каналы с изменением структуры ИВС или ее компонентов.

   1. Незаконное подключение к аппаратуре или линии связи ИВС.

   2. Злоумышленный вывод из строя механизмов защиты.

Например, злоумышленник может воспользоваться тем, что:

• В некоторых ОС и системах управления базами данных не предусматривается уничтожение данных, остающихся в ЗУ после удовлетворения санкционированных запросов.

• При отсутствии средств проверки правильности чужих программ в них могут быть встроены блоки «троянский конь» (вирус), которые не нужны для осуществления заявленных функций программы, но позволяют скрыто и несанкционированно регистрировать обрабатываемую информацию в интересах злоумышленника.

Но, заметим, и зарегистрированный пользователь может запустить в систему своего «троянского коня».

• Если идентификация пользователя по паролю осуществляется только при первоначальном его включении в работу, то злоумышленная подмена пользователя в процессе выполнения задачи оказывается незамеченной.

• Если пароли удаленного пользователя передаются в систему по линии связи в открытом виде или остаются в ЗУ после идентификации, то создаются реальные предпосылки их хищения.

• Недостатки и неоднозначности (с позиции защиты информации) в языках программирования позволяют искусному программисту войти в супервизорные области или области, выделенные другим программам. Например, в языке Pascalможно использовать некоторую двусмысленность в установлении типов переменных, вследствие чего в процессе компиляции их сфера действия будет воспринята неоднозначно. Можно воспользоваться тем, что вPascal’е не определены точные правила для относительного расположения идентификаторов и деклараций. При использовании в качестве формальных параметров функций и процедур правилаPascal’я позволяют программисту не указывать в явном виде число и тип параметров. Эти «ошибки» не выявляются при компиляции и могут создавать лазейки для неконтролируемых несанкционированных действий.

Кроме того, Pascal(как и многие другие языки) не защищен от ухода индексов элементов массива за установленные границы, когда номер используемого элемента вычислялся в процессе исполнения программы. Специалисты утверждают, что с позиции защиты информацииPascalимеет и другие недостатки.