logo search
Программа ГЭ_спец_2012 ответы light

Безопасность современных ос и программных комплексов, вредоносные программы, системы обнаружения вторжений, комплексный подход к проектированию и анализу защищенных ис.

Среди наиболее уязвимых мест в Windows можно выделить следующие. Уязвимость Unicode в Microsoft Internet Information Server. Если клиент направляет IIS специально сформированный URL с нештатными Unicode-символами, он может перемещаться по директориям сервера за пределами разрешенной для него области и выполнять определенные скрипты. Переполнение буфера в расширении ISAPI. Вместе с установкой на сервер ПО IIS автоматически устанавливаются прикладные программные интерфейсы ISAPI, обеспечивающие разработчикам возможность расширения функциональности Веб-сервера с помощью DLL. Некоторые стандартные библиотеки, такие как idq.dll содержат ошибки, например, отсутствие контроля длины входящей строки данных. Специфика работы протокола SMB или CIFS, обеспечивающего пользовательское разделение файлов по NetBIOS, позволяет злоумышленнику получить доступ не только к ресурсам, определенным пользователем при разделении файлов, но и к другой информации, такой, как данные по бюджетам пользователей, ключам реестра и т.д. Слабое хеширование в базе данных SAM. Для обеспечения обратной совместимости с предыдущими версиями Windows ОС сохраняет пароли в базе данных SAM в устаревшем и уязвимом формате LM.

Под компьютерным вирусом (или просто вирусом) понимается автономно функционирующая программа, обладающая способностью к самостоятельному внедрению в тела других программ и последующему самовоспроизведению и самораспространению в информационно-вычислительных сетях и отдельных ЭВМ. Предшественниками вирусов принято считать так называемые троянские программы, тела которых содержат скрытые последовательности команд (модули), выполняющие действия, наносящие вред пользователям. Следует отметить, что троянские программы не являются саморазмножающимися. Принципиальное отличие вируса от троянской программы состоит в том, что вирус после его активизации существует самостоятельно (автономно) и в процессе своего функционирования заражает (инфицирует) программы путем включения (имплантации) в них своего текста. Таким образом, компьютерный вирус можно рассматривать как своеобразный "генератор троянских программ". Программы, зараженные вирусом, называются вирусоносителями. "Первичное" заражение происходит в процессе поступления инфицированных программ из памяти одной машины в память другой, причем в качестве средства перемещения этих программ могут использоваться как магнитные носители (дискеты), так и каналы вычислительных сетей. Вирусы, использующие для размножения сетевые средства, принято называть сетевыми. Цикл жизни вируса обычно включает следующие периоды: внедрение, инкубационный, репликации (саморазмножения) и проявления. В течение инкубационного периода вирус пассивен, что усложняет задачу его поиска и нейтрализации. На этапе проявления вирус выполняет свойственные ему целевые функции, например необратимую коррекцию информации в компьютере или на магнитных носителях. Физическая структура компьютерного вируса достаточно проста. Он состоит из головы и, возможно, хвоста. Под головой вируса понимается его компонента, получающая управление первой. Хвост - это часть вируса, расположенная в тексте зараженной программы отдельно от головы. Вирусы, состоящие из одной головы, называют несегментированными, тогда как вирусы, содержащие голову и хвост - сегментированными.По режиму функционирования вирусы делятся на:

резидентные вирусы - вирусы, которые после активизации постоянно находятся в оперативной памяти компьютера и контролируют доступ к его ресурсам;

транзитные вирусы - вирусы, которые выполняются только в момент запуска зараженной программы.

По объекту внедрения:

файловые вирусы - вирусы, заражающие файлы с программами;

загрузочные (бутовые) вирусы - вирусы, заражающие программы, хранящиеся в системных областях дисков.

Принцип работы систем обнаружения атак (СОА) заключается в постоянном анализе (в режиме реального времени) активности, происходящей в информационной системе, и при обнаружении подозрительного информационного потока предпринимать действия по его предотвращению и информированию уполномоченных субъектов системы. СОА используют различные механизмы в своей работе. Технология сравнения с образцами подразумевает анализ наличия в пакете некоторой фиксированной последовательности байтов – шаблона или сигнатуры. Обычно производится анализ пакетов, предназначенных определенному сервису (порту), таким образом, снижается количество пакетов и шаблонов для анализа. Соответственно, пакеты, предназначенные нестандартным портам или пакеты непредопределенных протоколов могут не подлежать анализу и пропускаться. Технология соответствия состояния работает с потоком данных. Производится проверка ряда пакетов из каждого текущего соединения, прежде чем принимается решение о наличии или отсутствии атаки. Анализ с расшифровкой протокола предполагает анализ атак применительно к отдельным протоколам с учетом их специфики. После того, как ил протокола определен, применяются правила существующих стандартов для протокола с учетом обнаружения несоответствия этим правилам, таких, например, как значений специфических полей протокола, длины полей, числа аргументов и т.п. Статистический анализ использует алгоритмизированную логику для определения атаки. Применяются статистические данные для оценки трафика. Анализ на основе аномалий предназначен не для четкого выявления атак, а для определения подозрительной активности, отличающейся от нормальной. Необходимо определить критерий нормальной активности и также установить допустимые отклонения от нормального трафика, которые еще не будут считаться атакой. По топологии размещения в защищаемой сети СОА обычно разделяются на два вида: СОА на хосте (СОАХ) и СОА на сети (СОАС). В СОАХ агент размещается прямо на защищаемом хосте, его не интересуют другие хосты сети. В данном случае агент занят работой с сетевой и локальной активностью, специфической именно для данного хоста – сетевые атаки на данную ОС, подозрительные попытки работы с консоли хоста. В СОАС агент будет размещаться в некотором сегменте сети, подлежащем защите, на отдельном сетевом устройстве или на рабочей станции пользователя. Агент перехватывает и анализирует все кадры, поступающие на сетевой интерфейс устройства, на котором он установлен. В этом случае агент нацелен на работу с информацией, специфичной для сетевых протоколов.

Контроль жизненного цикла программного обеспечения необходим для того, чтобы обеспечить уверенность в том, что информационная система на основе данного ПО функционирует точно так, как предполагалось в ТЗ и не имеет недокум-ых возм-тей. Возникает термин инф-ой без-ти, как программная закладка. Для избежания этих закладок примен-ся принципы безоп-ти минимальных привилегий и разделения обязанности при разработке ПО. В орг-ях создаются отделбные службы: разработки -(исх текст ПО)->хранения эталонных копий-(скомпилир модули)-> внедрения и поддержки (проверка рабочих копий системы на целостность).