Информационная безопасность. Макаренко С.И. - 204 стр.

UptoLike

ВУЗ: 

МГГУ им. Шолохова | Москва

Составители: 

Рубрика: 

204
передаваемых файлов (исполняемый или текстовый). Соответственно, в
случае обнаружения текстового файла или файла данных появляется
возможность модифицировать проходящие через ложный объект данные.
Особую угрозу эта функция представляет для сетей обработки
конфиденциальной информации.
2. Модификация передаваемого кода. Ложный объект РВС, проводя
семантический анализ проходящей через него информации, может выделять
из потока данных исполняемый код. Известный принцип неймановской
архитектуры гласит, что не существует различий между данными и
командами. Следовательно, для того, чтобы определить, что передается по
сети - код или данные, необходимо использовать определенные особенности,
свойственные реализации сетевого обмена в конкретной распределенной ВС
или некоторые особенности, присущие конкретным типам исполняемых
файлов в данной локальной ОС.
Представляется возможным выделить два различных по цели вида
модификации кода:
2.1 Внедрение в РПС разрушающих программных средств - при
передачи в РПС исполняемый файл модифицируется по вирусной
технологии: к исполняемому файлу одним из известных способов
дописывается тело РПС, а также одним из известных способов изменяется
точка входа так, чтобы она указывала на начало внедренного кода РПС.
Описанный способ, в принципе, ничем не отличается от стандартного
заражения исполняемого файла вирусом, за исключением того, что файл
оказался поражен вирусом или РПС в момент передачи его по сети!
Такое возможно лишь при использовании системы воздействия, построенной
по принципу «ложный объект».
2.2 Изменение логики работы исполняемого файла - происходит
модификация исполняемого кода с целью изменения логики его работы.
Данное воздействие требует предварительного исследования работы
исполняемого файла.
15.3.4.3 Подмена информации
Ложный объект позволяет не только модифицировать, но и подменять
перехваченную им информацию. При возникновении в сети определенного
контролируемого ложным объектом события одному из участников обмена
посылается заранее подготовленная дезинформация. При этом такая
дезинформация в зависимости от контролируемого события может быть
воспринята либо как исполняемый код, либо как данные.
Рассмотрим пример подобного рода дезинформации. Предположим,
что ложный объект контролирует событие, которое состоит в подключении
пользователя к серверу. В этом случае он ожидает, например, запуска
соответствующей программы входа в систему. В случае, если эта программа
находится на сервере, то при ее запуске исполняемый файл передается на 
передаваемых файлов (исполняемый или текстовый). Соответственно, в
случае обнаружения текстового файла или файла данных появляется
возможность модифицировать проходящие через ложный объект данные.
Особую угрозу эта функция представляет для сетей обработки
конфиденциальной информации.
      2. Модификация передаваемого кода. Ложный объект РВС, проводя
семантический анализ проходящей через него информации, может выделять
из потока данных исполняемый код. Известный принцип неймановской
архитектуры гласит, что не существует различий между данными и
командами. Следовательно, для того, чтобы определить, что передается по
сети - код или данные, необходимо использовать определенные особенности,
свойственные реализации сетевого обмена в конкретной распределенной ВС
или некоторые особенности, присущие конкретным типам исполняемых
файлов в данной локальной ОС.
      Представляется возможным выделить два различных по цели вида
модификации кода:
      2.1 Внедрение в РПС разрушающих программных средств - при
передачи в РПС исполняемый файл модифицируется по вирусной
технологии: к исполняемому файлу одним из известных способов
дописывается тело РПС, а также одним из известных способов изменяется
точка входа так, чтобы она указывала на начало внедренного кода РПС.
Описанный способ, в принципе, ничем не отличается от стандартного
заражения исполняемого файла вирусом, за исключением того, что файл
оказался поражен вирусом или РПС в момент передачи его по сети!
Такое возможно лишь при использовании системы воздействия, построенной
по принципу «ложный объект».
      2.2 Изменение логики работы исполняемого файла - происходит
модификация исполняемого кода с целью изменения логики его работы.
Данное воздействие требует предварительного исследования работы
исполняемого файла.

                     15.3.4.3 Подмена информации

      Ложный объект позволяет не только модифицировать, но и подменять
перехваченную им информацию. При возникновении в сети определенного
контролируемого ложным объектом события одному из участников обмена
посылается заранее подготовленная дезинформация. При этом такая
дезинформация в зависимости от контролируемого события может быть
воспринята либо как исполняемый код, либо как данные.
      Рассмотрим пример подобного рода дезинформации. Предположим,
что ложный объект контролирует событие, которое состоит в подключении
пользователя к серверу. В этом случае он ожидает, например, запуска
соответствующей программы входа в систему. В случае, если эта программа
находится на сервере, то при ее запуске исполняемый файл передается на


                                  204

Страницы