На главную | Содержание | Назад | Вперёд
Наши друзья

 

 

Шпионские программные закладки

Главным условием правильного функционирования любой компьютерной системы является обеспечение защиты от вмешательства в процесс обработки информации тех программ, присутствие которых в компьютерной системе не обязательно.
По мере развития средств защиты компьютерных систем совершенствуются и сред­ства нападения на них. Одной из самых больших угроз для этих систем является атака посредством использования программных закладок.
Программная закладка — это программа, скрытно внедренная в защищенную сис­тему (или дописанный фрагмент пользовательской программы), позволяющая зло­умышленнику путем модификации свойств системы защиты осуществлять несанкцио­нированный доступ к ресурсам системы (в частности, к конфиденциальной
информации). Если программная закладка написана грамотно, то после в систему обнаружить ее стандартными средствами администрирования практически не­возможно, она может функционировать неограниченно долгое время, и злоумышлен­ник, внедривший закладку, имеет практически неограниченный доступ к системным ресурсам. Деструктивные действия, осуществляемые программными закладками, пред­ставлены программных закладок заключается в том, что они, являясь частью за­щищенной системы, способны принимать активные меры для маскировки своего при­сутствия в системе. При внедрении закладки в защищенной системе создается скры­тый канал информационного обмена, который, как правило, остается незамеченным
администратором системы в течение длительного времени. Практически все извест­ные программные закладки, применявшиеся в разное время различными злоумыш­ленниками, были выявлены либо из-за ошибок, допущенных при программировании
закладки, либо чисто случайно.
Перспективным направлением является внедрение программных закладок. Их за­дачей может быть получение информации о паролях, кодовых комбинациях, обраба­тываемых данных, а также передача собранных сведений по заданному адресу в сети или по электронной почте. Эта угроза быстро может стать реальностью благодаря
возможности «доставки» подобных программ в требуемый компьютер. Собственно,
способы те же, что и для компьютерных вирусов, да и сами закладки, по существу, являются вирусами. Классификация программных закладок в соответствии с метода­ми их внедрения в компьютерную сеть представлена основные механизмы проникновения закладок: О непосредственное подключение; G косвенное подключение.
Непосредственное подключение — передача вирусов через средства обмена, используемые в атакуемой системе. ние закладок производится через наименее защищенные узлы системы либо установкой зараженного программного обеспече­ния.
Косвенное подключение — это проникновение в систему че­рез подсистемы, не служащие ее основному предназначению
(электропитание, стабилизация и т. д.). Один из приемов — вне­


Изменение алгоритмов ункционирования
программ работы сети
Деструктивные действия, осуществляемые программными закладками
дрение вирусов путем подачи электромагнитных импульсов в схему питания. Над этим работа­ют японцы и американцы.
Эксперты отмечают, что про­граммные закладки можно доста­точно эффективно применять в
военных целях как активный эле­мент
ческого противодействия. При
этом они подчеркивают, что чем выше степень компьютеризации систем военного назначения, тем больше вероятность появления закладок. По мнению западных специалистов, программная зак­ладка может быть реализована в виде нескольких команд и иметь
сложный механизм активизации, настроенный на условия реального боевого приме­нения системы информационного оружия либо на строго определенную комбинацию входных данных. Закладка может быть включена в состав как общего программного обеспечения вычислительной установки, так и специальных (прикладных) программ­ных средств.
Программные закладки разделяются на автоматические и управляемые. Первые, как правило, заранее настроены (прямо или косвенно) на условия реального боевого применения систем информационного оружия либо боевого управления, а вторые ак­тивизируются извне (например, посредством «электронной закладки»). Обнаружить программную закладку сложно, так как она может быть замаскирована.
В иностранной прессе в качестве иллюстрации такой ситуации приводится воен­ный конфликт в Персидском заливе. Система ПВО Ирака оказалась заблокированной по неизвестной причине во время проведения операции «Буря в пустыне». В результа­те иракская сторона была вынуждена оставить без ответа бомбовые удары по своей
территории. Несмотря на отсутствие исчерпывающей информации, многие иностран­ные специалисты высказывают предположение, что закупленные Ираком у Франции ЭВМ, входящие в комплекс технических средств системы ПВО, содержали специаль­ные управляемые электронные закладки, блокировавшие работу вычислительной сис­темы. Если они правильно оценивают события, это означает, что начался такой этап, когда при ведении боевых действий появилась возможность применять новое элект­ронно-информационное оружие.
Шпионские программные закладки могут выполнять хотя бы одно из перечислен­ных ниже действий:
□ вносить произвольные искажения в коды программ, находящихся в оперативной памяти компьютера (программная закладка первого типа);
□ переносить данные из одних областей оперативной или внешней памяти компь­ютера в другие (программная закладка второго типа);
□ искажать информацию, выводимую на внешние устройства или в канал связи, полученную в результате работы других программ (программная закладка тре­тьего типа).
Программные закладки можно классифицировать и по методу их внедрения в ком­пьютерную систему:
программно-аппаратные закладки, ассоциированные с аппаратными средствами компьютера (их средой обитания, как правило, является BIOS — набор про­грамм, записанных в виде машинного кода в ПЗУ);
загрузочные закладки, связанные с программами начальной загрузки, которые располагаются в загрузочных секторах (из этих секторов в процессе выполне­ния начальной загрузки компьютер считывает программу, берущую на себя уп­равление для последующей загрузки самой операционной системы);
закладки, ассоциированные с драйверами (файлами, в которых со­держится информация, необходимая операционной системе для управления под­ключенными к компьютеру периферийными устройствами); прикладные закладки в прикладном программном обеспечении общего назначе­ния (текстовые редакторы, утилиты, антивирусные мониторы и программные оболочки);
исполняемые закладки в исполняемых программных модулях, содержащих ее код (чаще всего эти модули представляют собой пакетные файлы, т. е. файлы, которые состоят из команд операционной системы, выполняемых одна за од­ной, как если бы их набирали на клавиатуре компьютера); закладки-имитаторы, интерфейс которых совпадает с интерфейсом некоторых
служебных программ, требующих ввести конфиденциальную информацию (па­роль, криптографический ключ, номер кредитной карточки);
О замаскированные закладки, которые маскируются под программные средства оптимизации работы компьютера (файловые архиваторы, дисковые дефрагмен­таторы) или под программы игрового и развлекательного назначения.


Все программные закладки (независимо от их назначения, метода внедрения в ком­пьютерную систему, а также срока пребывания в оперативной памяти) имеют одну
важную особенность: они обязательно выполняют операцию записи в оперативную или внешнюю память системы. Если бы они не делали этого, то не могли бы оказать никакого негативного влияния. Ясно, что для целенаправленного воздействия заклад­ка должна выполнять и операцию чтения, иначе в ней может быть реализована только
функция разрушения (например, удаление или замена информации в определенных
секторах жесткого диска).
С учетом замечания о том, что программная закладка должна быть обязательно загружена в оперативную память компьютера, можно подразделить закладки на:
резидентные;
нерезидентные.
Резидентные закладки находятся в оперативной памяти постоянно, начиная с неко­торого момента и до окончания сеанса работы компьютера, т. е. до его перезагрузки или до выключения питания.
Нерезидентные закладки попадают в оперативную память компьютера аналогично резидентным, однако, в отличие от резидентных, выгружаются по истечении некото­рого времени или при выполнении каких-либо условий.
Иногда сам пользователь провоцирует запуск исполняемого файла, содержащего код программной закладки. Известен такой случай. Среди пользователей свободно распространялся набор из архивированных файлов. Для извлечения файлов из него требовалось вызвать специальную утилиту, которая запускается после указания ее
имени в командной строке. Однако мало кто из пользователей замечал, что в получен­ном наборе файлов уже имелась программа с таким же именем что запускалась именно она. Кроме разархивирования файлов, эта программная закладка дополнительно про­изводила действия негативного характера.
Среди программистов популярны пословицы: «Каждая последняя ошибка в про­грамме на самом деле является предпоследней» и «Если программа работает без оши­бок, это - Hello world (простейшая программа, с которой начинается большинство учебников программирования)». Предполагать, что программное обеспечение систе­мы защиты не содержит ошибок, наивно: ошибки, позволяющие злоумышленникам осуществлять НСД к ресурсам системы, время от времени обнаруживаются практи­чески во всех системах защиты. И если такая ошибка в системе присутствует, зло­умышленник может использовать ее для внедрения программной закладки. Известно множество примеров использования злоумышленниками подобных ошибок, том числе и для внедрения программных закладок.
Даже если программное обеспечение системы защиты не содержит ошибок (что маловероятно), имеется реальная возможность внедрения программной закладки из-за неправильного проведения политики безопасности.
На самом деле указанный в сертификате класс защиты говорит всего лишь о верх­нем уровне защищенности программ и данных. Даже если система защиты сертифи­цирована по некоторому классу, это вовсе не означает, что она надежно защищена от программных закладок. Практически все конфигурации защищенных компьютер­ных систем, реально используемые на практике, уязвимы для программных закла­док.


Среди не очень опытных сетевых администраторов распространено мнение, что программные закладки опасны только для тех систем, в которых либо программное обеспечение содержит грубые ' ошибки, либо администраторы не способны поддержи­вать необходимую политику безопасности, которая включает в себя реализацию на­дежной защиты системы от НСД, в том числе к тем ее элементам, доступ к которым необходим для внедрения программной закладки. При этом считается, что если в орга­низации используются только сертифицированные средства защиты и ее администра­торы обладают высокой квалификацией, для сети этой организации программные зак­ладки не представляют угрозы. Другими словами, если защитой информации
занимаются умные люди, то закладок бояться нечего.
Но даже высококвалифицированные администраторы системы, как и все люди, иног­да совершают ошибки, и хотя ошибки достаточно быстро обнаруживаются и устраня­ются, для того чтобы программная закладка внедрилась в систему, бывает достаточно и 5—10 мин.
Чтобы программная закладка могла что-нибудь сделать с другими программами или с данными, процессор должен приступить к исполнению команд, входящих в со­став кода программной закладки. Это возможно только при одновременном соблюде­нии следующих условий:
О программная закладка должна попасть в оперативную память компьютера (если закладка относится к первому типу, то она должна быть загружена до начала
работы программы, являющейся целью воздействия закладки, или во время ра­боты этой программы);
□ работа закладки, находящейся в оперативной памяти, начинается при выполне­нии активизирующих условий.
Существуют три основные группы деструктивных воздействий программных зак­ладок:
□ копирование информации (паролей, криптографических ключей, кодов доступа, конфиденциальных электронных документов), находящейся в оперативной или
внешней памяти данной системы либо в памяти другой компьютерной системы,
подключенной к ней через локальную или глобальную компьютерную сеть; изменение алгоритмов функционирования системных, прикладных и служеб­ных программ внесение изменений в программу разграничения дос­тупа может привести к тому, что она разрешит вход в систему всем без чения пользователям вне зависимости от правильности введенного пароля);
□ навязывание определенных режимов работы (например, блокирование записи
на диск при удалении информации, при этом информация, которую требуется
удалить, не уничтожается и может быть впоследствии скопирована хакером). Можно выделить следующие характерные модели воздействия программных зак­ладок на компьютерную сеть:
□ перехват (перехватчики паролей, клавиатурные шпионы и т. д.);
□ искажение;
О уборка мусора;
□ наблюдение и компрометация.
Обобщенная модель воздействия программных закладок на компьютерную сеть представлена
В модели «перехват» программная закладка внедряется в ПЗУ, системное или при­кладное программное обеспечение и сохраняет всю или выбранную информацию, вво­димую с внешних устройств компьютерной системы или выводимую на эти устрой­ства, в скрытой области памяти локальной или удаленной компьютерной системы.
Объектом сохранения, например, могут служить символы, введенные с клавиатуры (все повторяемые два раза последовательности символов), или документы, распечаты­ваемые на принтере.
Данная модель может быть двухступенчатой. На первом этапе сохраняются толь­ко имена или начала файлов. На втором этапе злоумышленник анализирует накоплен­ные данные и выбирает конкретные объекты для следующей атаки.
В этой модели используются наиболее распространенные программные перехватывающие пароли пользователей операционных систем — перехватчики па­ролей. Перехватчики паролей были разработаны для операционных систем OS/370, MS DOS, Windows и UNIX. Внедренный в систему перехватчик паролей получает доступ к паролям, вводимым пользователями при входе в систему. Перехватив оче­редной пароль, закладка записывает его в специальный файл или в любое другое мес­то, доступное злоумышленнику, внедрившему закладку. Все перехватчики паролей можно подразделить на три основных
паролей первого вида действуют по следующему алгоритму. Зло­умышленник запускает программу, которая имитирует приглашение для входа в сис­тему, и ждет ввода. Когда пользователь вводит имя и пароль, закладка сохраняет их в доступном злоумышленнику месте, после чего ее работа завершается и злоумышлен­ник выходит из системы (из большинства операционных систем можно выйти про­граммным путем). По окончании работы закладки на экране появляется настоящее приглашение для входа пользователя в систему.
Пользователь, ставший жертвой закладки, видит, что он не вошел в систему, и что
ему снова предлагается ввести имя и пароль. Пользователь предполагает, что при вво­де пароля произошла ошибка, и вводит имя и пароль повторно. Он входит в систему и работает нормально. Некоторые закладки, функционирующие по данной схеме, перед завершением работы выдают на экран
правдоподобное сообщение об ошибке,
например: «Пароль введен неправильно.
Попробуйте еще раз».
Основным достоинством этого клас­са перехватчиков паролей является то,
что написание подобной программной
закладки не требует от злоумышленника никакой специальной квалификации. Лю­бой пользователь, умеющий программи­ровать хотя бы на языке BASIC, может написать такую программу за считанные
часы. Единственная проблема, которая
может здесь возникнуть, заключается в
выхода пользо­вателя из системы. Однако соответству-     И° за^адо^компьютерную сеть


ющий системный вызов документирован для всех многопользовательских операцион­ных систем. Если злоумышленник не поленится внимательно изучить документацию по операционной системе, то он решит данную проблему очень быстро.
Перехватчики паролей второго рода перехватывают все данные, вводимые с клави­атуры. Простейшие программные закладки этого типа просто сбрасывают данные на жесткий диск или в любое другое место, доступное злоумышленнику.
Такие программы еще называются клавиатурными шпионами. В специальном тек­стовом файле они запоминают, какие клавиши были нажаты в ваше отсутствие. Текст, набранный на компьютере, в каком-нибудь бизнес-центре или Internet-кафе, может без особых проблем стать достоянием владельца такого компьютера. Подобные програм­мы разработаны для разных операционных систем, они могут автоматически загру­жаться при включении компьютера и маскируются под резидентные антивирусы или
еще что-нибудь полезное.
Более совершенные закладки анализируют перехваченные данные и отсеивают информацию, заведомо не имеющую отношения к паролям. Несколько таких закладок
было написано в разное время для операционной системы MS DOS.
Эти закладки представляют собой резидентные программы, перехватывающие одно или несколько прерываний процессора, имеющих отношение к работе с клавиатурой. Информация о нажатой клавише и введенном символе, возвращаемая этими прерыва­ниями, используется закладками для своих целей.
Любой русификатор клавиатуры, работающий в среде Windows, перехватывает всю информацию, вводимую пользователем с клавиатуры, в том числе и пароли. Не­сложно написать русификатор так, чтобы он, помимо своих основных функций, вы­полнял бы и функции перехватчика паролей. Написать программу локализации кла­виатуры достаточно просто. Можно встроить перехватчик паролей в цепочку фильтров перед русификатором или после него, так что вся информация, вводимая с клавиатуры, проходит и через русификатор, и через перехватчик паролей. В этом
случае задача написания программной закладки, перехватывающей пароли пользо­вателей Windows, становится настолько простой, что не требуется специальная ква­лификация.
Если операционная система допускает переключение раскладки клавиатуры при вводе пароля, то для этой операционной системы можно написать перехватчик паро­лей второго рода.
К перехватчикам паролей третьего рода относятся программные закладки, полно­стью или частично подменяющие собой подсистему аутентификации операционной
системы. Поскольку задача создания такой программной закладки гораздо сложнее, чем создание перехватчика паролей первого или второго рода, этот класс программ­ных закладок появился совсем недавно.
Перехватчик паролей третьего рода может быть написан для любой многопользо­вательской операционной системы. Сложность создания такого перехватчика паролей зависит от сложности алгоритмов, реализуемых подсистемой аутентификации, слож­ности интерфейса между ее отдельными модулями, а также от степени документиро-ванности подсистемы аутентификации операционной системы.
В модели «искажение» программная закладка изменяет информацию, которая за­писывается в память компьютерной системы в результате работы программ, либо по­


давляет/инициирует возникновение ошибочных ситуаций в компьютерной системе.
Можно выделить два типа искажений, использующих данную модель:
□ статическое; О динамическое.
Статическое искажение происходит всего один раз. При этом модифицируются параметры программной среды компьютерной системы, чтобы впоследствии в ней
выполнялись нужные злоумышленнику действия. К статическому искажению отно­сится, например, внесение изменений в файл AUTOEXEC.BAT операционной систе­мы Windows 95/98, которые приводят к запуску заданной программы, прежде чем бу­дут запущены все другие, перечисленные в этом файле.
Специалистам российского Федерального агентства правительственной связи и информации (ФАПСИ), например, удалось выявить при анализе одной из отечествен­ных систем цифровой подписи интересное статистическое искажение. Злоумышлен­ник (сотрудник отдела информации финансовой организации, в которой была внедре­на данная система) исправил в ЕХЕ-модуле программы проверки правильности цифровой подписи символьную строку «ПОДПИСЬ НЕКОРРЕКТНА» на символь­ную строку «ПОДПИСЬ КОРРЕКТНА». В результате вообще перестали фиксироваться документы с неверными цифровыми подписями, и, следовательно, в электронные до­кументы стало можно вносить произвольные изменения уже после их подписания элек­тронной цифровой подписью.
Динамическое искажение заключается в изменении каких-либо параметров систем­ных или прикладных процессов при помощи заранее активизированных закладок. Ди­намическое искажение можно условно разделить так:
□ искажение на входе (когда на обработку попадает уже искаженный документ);
□ искажение на выходе (когда искажается информация, отображаемая для воспри­ятия человеком или предназначенная для работы других программ).
Практика применения цифровой подписи в системах автоматизированного доку­ментооборота показала, что именно программная реализация цифровой подписи осо­бенно подвержена влиянию программных закладок типа «динамическое искажение», которые позволяют проводить фальшивые финансовые документы и вмешиваться в процесс разрешения споров по фактам неправомерного применения цифровой подпи­си. Например, в одной из программных реализаций широко известной криптосистемы PGP электронный документ, под которым требовалось поставить цифровую подпись, считывался блоками по байт, причем процесс считывания считался завершенным, если в блоке данные занимали меньше 512 байт. Работа одной программной закладки, выявленной специалистами ФАПСИ, основывалась на навязывании длины файла. Эта закладка позволяла считывать только первые 512 байт документа, и в результате циф­ровая подпись определялась на основе этих 512 байт. Такая же схема действовала и
при проверке поставленной под документом цифровой подписи. Следовательно, ос­тавшаяся часть этого документа могла быть произвольным образом искажена, и циф­ровая подпись под ним продолжала оставаться «корректной».
Существуют следующие основные способы воздействия программных закладок на
цифровуюподпись:
□ искажение входной информации (изменяется поступающий на подпись элект-ронныйдокумент);


.
О искажение результата проверки истинности цифровой подписи (вне зависимости от результатов работы программы цифровая подпись объявляется подлинной);
□ навязывание длины электронного документа (программе цифровой подписи предъявляется документ меньшей длины, чем на самом деле, и в результате циф­ровая подпись ставится только под частью исходного документа);
□ искажение программы цифровой подписи (вносятся изменения в исполняемый
код программы с целью модификации алгоритма).
В рамках модели «искажение» также реализуются программные закладки, действие которых основывается на инициировании или подавлении сигнала о возникновении ошибочных ситуаций в компьютерной системе, т. е. тех, которые приводят к отлично­му от нормального завершению исполняемой программы (предписанного соответству­ющей документацией).
Для инициирования статической ошибки на устройствах хранения информации
создается область, при обращении к которой (чтение, запись, форматирование и т. п.)
возникает ошибка, что может затруднить или блокировать некоторые нежелатель­ные для злоумышленника действия системных или прикладных программ (напри­мер, не позволять корректно уничтожить конфиденциальную информацию на жест­ком диске).
При инициировании динамической ошибки для некоторой операции генерируется ложная ошибка из числа тех ошибок, которые могут возникать при выполнении дан­ной операции. Например, для блокирования приема или передачи информации в ком­пьютерной системе может постоянно инициироваться ошибочная ситуация «МОДЕМ ЗАНЯТ». Или при прочтении первого блока информации длиной 512 байт может уста­навливаться соответствующий флажок для того, чтобы не допустить прочтения второ­го и последующих блоков и в итоге подделать цифровую подпись.
Чтобы маскировать ошибочные ситуации, злоумышленники обычно используют подавление статической или динамической ошибки. Целью такого подавления часто
является стремление блокировать нормальное функционирование компьютерной сис­темы или желание заставить ее неправильно работать. Чрезвычайно важно, чтобы ком­пьютерная система адекватно реагировала на возникновение всех без исключения
ошибочных ситуаций, поскольку отсутствие должной реакции на любую ошибку эк­вивалентно ее подавлению и может быть использовано злоумышленником.
Известен случай успешной атаки пары аргентинских самолетов-торпедоносцев на английский эсминец «Шеффилд», закончившейся нанесением серьезных повреждений
этому кораблю. Из-за ошибок в программном обеспечении установленная на нем сис­тема противовоздушной обороны не смогла выбрать цель, которую полагалось сби­вать первой, поскольку атакующие самолеты летели слишком близко друг от друга.
Разновидностью искажения является также модель типа «троянский конь». В этом случае программная закладка встраивается в постоянно используемое программное обеспечение и по некоторому активизирующему событию вызывает возникновение сбойной ситуации в компьютерной системе. Тем самым достигаются сразу две цели: парализуется ее нормальное функционирование, а злоумышленник, получив доступ к компьютерной системе для устранения неполадок, сможет, например, извлечь из нее информацию, перехваченную другими программными закладками. В качестве активи­зирующего события обычно используется наступление определенного момента вре-


сигнал из канала модемной связи или состояние некоторых счетчиков (напри­мер, счетчика количества запусков программы).
Следующая модель программных закладок называется «уборка мусора». Интерес­но, почему? Как известно, для хранения данных на внешних носителях прямого досту­па выделяется несколько уровней иерархии: сектора, кластеры и файлы. Сектора яв­ляются единицами хранения информации на аппаратном уровне. Кластеры состоят из одного или нескольких подряд идущих секторов. Файл — это множество кластеров, связанных по определенному закону.
Работа с конфиденциальными электронными документами обычно сводится к пос­ледовательности следующих манипуляций с файлами: создание; хранение; коррекция; уничтожение.
Для защиты конфиденциальной информации обычно используется шифрование.
Основная угроза исходит отнюдь не от использования нестойких алгоритмов шифро­вания и «плохих» криптографических ключей (как это может показаться на первый
взгляд), а от обыкновенных текстовых редакторов и баз данных, применяемых для создания и коррекции конфиденциальных документов.
Дело в том, что подобные программные средства, как правило, в процессе функци­онирования создают в оперативной или внешней памяти компьютерной системы вре­менные копии документов, с которыми они работают. Естественно, все эти временные файлы выпадают из поля зрения любых программ шифрования и могут быть использо­ваны злоумышленником для того, чтобы составить представление о содержании хра­нимых в зашифрованном виде конфиденциальных документов.
Важно помнить и о том, что при записи отредактированной информации меньшего
объема в тот же файл, где хранилась исходная информация до начала сеанса ее редак­тирования, образуются так называемые «хвостовые» кластеры, в которых эта исход­ная информация полностью сохраняется. И тогда «хвостовые» кластеры не только не подвергаются воздействию программ шифрования, но и остаются незатронутыми даже средствами гарантированного удаления информации. Конечно, рано или поздно ин­формация из «хвостовых» кластеров затирается данными из других файлов, однако по оценкам специалистов ФАПСИ из «хвостовых» кластеров через сутки можно извлечь до 85%, а через десять суток - до 25—40% исходной информации.
Пользователям необходимо иметь в виду и то, что команда удаления файла (DEL) операционной системы DOS не изменяет содержания файла, и оно может быть в лю­бой момент восстановлено, если поверх него еще не был записан другой файл. Рас­пространенные средства гарантированного стирания файлов предварительно записы­вают на его место константы или случайные числа и только после этого удаляют файл стандартными средствами DOS. Однако даже такие мощные средства оказываются бессильными против программных закладок, которые нацелены на то, чтобы увели­чить количество остающихся в виде «мусора» фрагментов конфиденциальной инфор­мации. Например, программная закладка может инициировать статическую ошибку, пометив один или несколько кластеров из цепочки, входящей в файл, меткой «СБОЙ­НЫЙ». В результате при удалении файла средствами операционной системы или сред­


ствами гарантированного уничтожения та его часть, которая размещена в сбойных кластерах, останется нетронутой и впоследствии может быть восстановлена с помо­щью стандартных утилит.
И, наконец, последняя модель — наблюдение и компрометация. Помимо перечис­ленных, существуют и другие модели воздействия программных закладок на компью­теры. В частности, при использовании модели типа «наблюдение» программная зак­ладка встраивается в сетевое или телекоммуникационное программное обеспечение.
Пользуясь тем, что подобное программное обеспечение всегда находится в активном
состоянии, внедренная в него программная закладка может следить за всеми процес­сами обработки информации в компьютерной системе, а также устанавливать и уда­лять другие программные закладки.
Модель типа «компрометация» позволяет получать доступ к информации, пере­хваченной другими программными закладками. Например, инициируется постоянное обращение к такой информации, приводящее к росту соотношения сигнал/шум. А это, в свою очередь, значительно облегчает перехват побочных излучений данной компью­терной системы и позволяет эффективно выделять сигналы, сгенерированные заклад­кой типа «компрометация», из общего излучения, исходящего от оборудования.

 

На главную | Содержание | Назад | Вперёд
 
Яндекс.Метрика