ше в ній може бути реалізована тільки функція руйнування (наприклад, видалення або заміна інформації в певних секторах жорсткого диска).
3. Моделі впливу програмних закладок на комп'ютери
.1 Перехоплення
У моделі перехоплення програмна закладка впроваджується на HDD (Hard Disk Drive - накопичувач на жорсткому диску) системне або прикладне програмне забезпечення і зберігає всю або обрану інформацію, вводимую з зовнішніх пристроїв комп'ютерної системи або виведену на ці пристрої, в прихованій області пам'яті локальної або віддаленої комп'ютерної системи. Об'єктом збереження, наприклад, можуть служити символи, введені з клавіатури (всі повторювані два рази послідовності символів), або електронні документи, роздруковуються на принтері.
Дана модель може бути двоступеневою. На першому етапі зберігаються тільки, наприклад, імена або початку файлів. На другому накопичені дані аналізуються зловмисником з метою прийняття рішення про конкретні об'єкти подальшої атаки.
Модель типу перехоплення може бути ефективно використана при атаці на захищену операційну систему Windows. Після старту Windows на екрані комп'ютерної системи з'являється запрошення натиснути клавіші Ctrl + Alt + Del. Після їх натискання завантажується динамічна бібліотека MSGINA.DLL, що здійснює прийом вводиться пароля і виконання процедури його перевірки (аутентифікації). Опис всіх функцій цієї бібліотеки можна знайти у файлі Winwlx.h. Також існує простий механізм заміни початковій бібліотеки MSGINA.DLL на користувальницьку (для цього необхідно просто додати спеціальну рядок до реєстру операційної системи Windows і вказати місце розташування користувача бібліотеки). У результаті зловмисник може модифікувати процедуру контролю над доступом до комп'ютерної системи, що працює під управлінням ОС сімейства Windows.
.2 Спотворення
У моделі спотворення програмна закладка змінює інформацію, яка записується в пам'ять комп'ютерної системи в результаті роботи програм, або придушує/ініціює виникнення помилкових ситуацій в комп'ютерній системі.
Можна виділити статичну і динамічне спотворення. Статична спотворення відбувається всього один раз. При цьому модифікуються параметри програмного середовища комп'ютерної системи, щоб згодом у ній виконувалися потрібні зловмисникові дії. До статичному спотворення відноситься, наприклад, внесення змін у файл AUTOEXEC.BAT ОС Windows або DOS, які призводять до запуску заданої програми, перш ніж будуть запущені всі інші, перелічені в цьому файлі.
Фахівцям російського Федерального агентства урядового зв'язку та інформації (далі ФАПСИ) вдалося виявити при аналізі однієї з російських систем цифрового підпису цікаве статистичне спотворення Зловмисник (співробітник відділу інформатизації фінансової організації, в якій була впроваджена дана система) виправив в исполняемом ЕХЕ-модулі програми перевірки правильності цифрового підпису символьну рядок ПІДПИС некоректні на символьну рядок ПІДПИС коректно raquo ;. У результаті взагалі перестали фіксуватися документи з невірними цифровими підписами, і, отже, в електронні документи стало можна вносити довільні зміни вже після їх підписання електронним цифровим підписом.
Динамічне спотворення полягає в зміні будь-яких параметром системних або прикладних процесів за допомогою заздалегідь активізованих закладок. Динамічне спотворення можна умовно розділити так: спотворення на вході (коли на обробку потрапляє вже спотворений документ) та спотворення на виході (коли спотворюється інформація, яка відображається для сприйняття людиною, або призначена для роботи інших програм).
Практика застосування цифрового підпису в системах автоматизованого документообігу показала, що саме програмна реалізація цифрового підпису особливо схильна до впливу програмних закладок типу динамічне спотворення raquo ;, які дозволяють здійснювати проводки фальшивих фінансових документів і втручатися в процес вирішення спорів за фактам неправомірного застосування цифрового підпису. Наприклад, в одній із програмних реалізацій широко відомої криптосистеми PGP електронний документ, під яким вимагалося поставити цифровий підпис, зчитувався блоками по 512 байт, причому процес зчитування вважався завершеним, якщо в прочитаному блоці дані займали менше 512 байт. Робота однієї програмної закладки, виявленої фахівцями ФАПСИ, грунтувалася на нав'язуванні довжини файлу. Ця закладка дозволяла зчитувати тільки перші 512 байт документа, і в результаті цифровий підпис визначалася на основі тільки цих 512 байт. Т...
