Наиболее вероятны следующие каналы утечки информации.
A) Косвенные каналы, т.е. без физического доступа злоумышленника к ИВС:
1. Подслушивающие устройства.
2. Дистанционное фотографирование экрана дисплея.
3. Перехват электромагнитных излучений.
B) Прямые каналы, т.е. с доступом к ИВС:
1. Хищение носителей информации.
2. Копирование носителей информации.
3. Хищение производственных отходов.
4. Считывание данных в массивах других пользователей.
5. Чтение остаточной информации в ЗУ системы после выполнения санкционированных запросов.
6. Несанкционированное использование терминалов зарегистрированных пользователей.
7. Маскировка под зарегистрированного пользователя с помощью хищений паролей и других реквизитов разграничения доступа.
8. Маскировка несанкционированных запросов под запросы операционной системы
(мистификация).
9. Использование программных ловушек.
10. Получение защищенных данных с помощью серии разрешенных запросов.
11. Использование недостатков языков программирования и ОС.
C) Каналы с изменением структуры ИВС или ее компонентов.
1. Незаконное подключение к аппаратуре или линии связи ИВС.
2. Злоумышленный вывод из строя механизмов защиты. Например, злоумышленник может воспользоваться тем, что:
· В некоторых ОС и системах управления базами данных не предусматривается уничтожение данных, остающихся в ЗУ после удовлетворения санкционированных запросов.
· При отсутствии средств проверки правильности чужих программ в них могут быть встроены блоки «троянский конь» (вирус), которые не нужны для осуществления заявленных функций программы, но позволяют скрыто и несанкционированно регистрировать обрабатываемую информацию в интересах злоумышленника.
Но, заметим, и зарегистрированный пользователь может запустить в систему своего
«троянского коня».
· Если идентификация пользователя по паролю осуществляется только при первоначальном его включении в работу, то злоумышленная подмена пользователя в процессе выполнения задачи оказывается незамеченной.
· Если пароли удаленного пользователя передаются в систему по линии связи в открытом виде или остаются в ЗУ после идентификации, то создаются реальные предпосылки их хищения.
· Недостатки и неоднозначности (с позиции защиты информации) в языках программирования позволяют искусному программисту войти в супервизорные области или области, выделенные другим программам. Например, в языке Pascal можно использовать некоторую двусмысленность в установлении типов переменных, вследствие чего в процессе компиляции их сфера действия будет воспринята неоднозначно. Можно воспользоваться тем, что в Pascal’е не определены точные правила для относительного расположения идентификаторов и деклараций. При использовании в качестве формальных параметров функций и процедур правила Pascal’я позволяют программисту не указывать в явном виде число и тип параметров. Эти «ошибки» не выявляются при компиляции и могут создавать лазейки для неконтролируемых несанкционированных действий.
Кроме того, Pascal (как и многие другие языки) не защищен от ухода индексов элементов массива за установленные границы, когда номер используемого элемента вычислялся в процессе исполнения программы. Специалисты утверждают, что с позиции защиты информации Pascal имеет и другие недостатки.
Материалы на данной страницы взяты из открытых источников либо размещены пользователем в соответствии с договором-офертой сайта. Вы можете сообщить о нарушении.