Каналы утечки информации.docx

Каналы утечки информации

Наиболее вероятны следующие каналы утечки информации.

A)    Косвенные каналы, т.е. без физического доступа злоумышленника к ИВС:

1.      Подслушивающие устройства.

2.      Дистанционное фотографирование экрана дисплея.

3.      Перехват электромагнитных излучений.

B)    Прямые каналы, т.е. с доступом к ИВС:

1.      Хищение носителей информации.

2.      Копирование  носителей информации.

3.      Хищение  производственных отходов.

4.      Считывание данных в массивах других пользователей.

5.      Чтение     остаточной     информации     в     ЗУ     системы     после     выполнения санкционированных запросов.

6.      Несанкционированное       использование       терминалов       зарегистрированных пользователей.

7.      Маскировка под зарегистрированного пользователя с помощью хищений паролей и других реквизитов разграничения доступа.

8.      Маскировка несанкционированных запросов под запросы операционной системы

(мистификация).

9.      Использование программных ловушек.

10.  Получение защищенных данных с помощью серии разрешенных запросов.

11.  Использование недостатков языков программирования и ОС.

C)    Каналы с изменением структуры ИВС или ее компонентов.

1.      Незаконное подключение к аппаратуре или линии связи ИВС.

2.      Злоумышленный вывод из строя механизмов защиты. Например, злоумышленник может воспользоваться тем, что:

·        В некоторых ОС и системах управления базами данных не предусматривается уничтожение данных, остающихся в ЗУ после удовлетворения санкционированных запросов.

·        При отсутствии средств проверки правильности чужих программ в них могут быть встроены блоки «троянский конь» (вирус), которые не нужны для осуществления заявленных функций программы, но позволяют скрыто и несанкционированно регистрировать обрабатываемую информацию в интересах злоумышленника.

Но, заметим, и зарегистрированный пользователь может запустить в систему своего

«троянского коня».

·        Если идентификация пользователя по паролю осуществляется только при первоначальном его включении в работу, то злоумышленная подмена пользователя в процессе выполнения задачи оказывается незамеченной.

·        Если пароли удаленного пользователя передаются в систему по линии связи в открытом виде или остаются в ЗУ после идентификации, то создаются реальные предпосылки их хищения.

·        Недостатки и неоднозначности (с позиции защиты информации) в языках программирования позволяют искусному программисту войти в супервизорные области или области, выделенные другим программам. Например, в языке Pascal можно использовать некоторую двусмысленность в установлении типов переменных, вследствие чего в процессе компиляции их сфера действия будет воспринята неоднозначно. Можно воспользоваться тем, что в Pascal’е не определены точные правила для относительного расположения идентификаторов и деклараций. При использовании в качестве формальных параметров функций и процедур правила Pascal’я позволяют программисту не указывать в явном виде число и тип параметров. Эти «ошибки» не выявляются при компиляции и могут создавать лазейки для неконтролируемых несанкционированных действий.

Кроме того, Pascal (как и многие другие языки) не защищен от ухода индексов элементов массива за установленные границы, когда номер используемого элемента вычислялся в процессе исполнения программы. Специалисты утверждают, что с позиции защиты информации Pascal имеет и другие недостатки.