- •Квалификационная характеристика специалиста по защите информации специальности 090104. Объекты и виды профессиональной деятельности, состав решаемых задач.
- •Требования к профессиональной подготовленности, что должен профессионально знать и уметь использовать специалист.
- •Современная государственная политика в области защиты информации.
- •Критерии, условия и принципы отнесения информации к защищаемой
- •Подчиненность ведомственных мероприятий по засекречиванию информации общегосударственным интересам
- •Назначение и структура систем защиты
- •Классификация носителей защищаемой информации, порядок нанесения информации.
- •Классификация видов, методов и средств защиты
- •Понятие и структура угроз информации
- •Виды тайн. Источники угроз. Способы воздействия угроз.
- •Меры защиты информации: законодательного, административного, процедурного, программно-технического уровней.
- •Нормативно-правовая база организационной защиты. Источники права в области информационной безопасности. Типы нормативных документов. Примеры отечественных и зарубежных законодательных документов.
- •Уровни политики безопасности: верхний, средний и нижний.
- •Работа с персоналом: виды угроз информационным ресурсам, связанные с персоналом, подбор персонала.
- •Состояние проблемы обеспечения безопасности. Угрозы экономической, физической, информационной и материальной безопасности.
- •Структура Службы безопасности.
- •Формирование информационных ресурсов и их классификация.
- •Правовые основы защиты государственной, коммерческой и профессиональной тайны.
- •Правовое регулирование взаимоотношений администрации и персонала предприятия в области защиты информации.
- •Правовые формы защиты интеллектуальной собственности.
- •Система правовой ответственности за разглашение, утечку информации.
- •Правовая защита от компьютерных преступлений.
- •Основные задачи и типовая структура системы радиоразведки. Основные этапы и процессы добывания информации техническими средствами.
- •Что такое канал утечки информации, технический канал утечки информации? Структура технического канала утечки информации?
- •Сущность информационного и энергетического скрытия информации. Способы повышения помехозащищенности технических средств. Применение шумоподобных сигналов.
- •Промышленная разведка. Коммерческая разведка. Система корпоративной разведки. Циклы разведки.
- •Этапы добывания информации. Вероятность обнаружения и распознавания объектов. Информационная работа.
- •Сущность методов пеленгования источников излучений (фазовый, амплитудный, частотный).
- •Содержание работ по моделированию объектов защиты и каналов утечки информации.
- •Моделирование угроз информации
- •Моделирование каналов несанкционированного доступа к информации
- •Моделирование каналов утечки информации
- •Классификации информации и документов. Свойства различных видов документов.
- •Понятия, определения и особенности конфиденциального документооборота.
- •Принципы обработки конфиденциальных документов.
- •Назначение, состав, этапы организации бумажного защищенного делопроизводства.
- •Технологические основы обработки электронных документов. Электронное защищенное делопроизводство. Состав. Функции.
- •Разработка проекта комплексной системы защиты объекта информатизации (ои). Согласно гост р 51275-99: информационные ресурсы, средства обеспечения, помещения и выделенные объекты.
- •5.6. Защита информации при использовании съемных накопителей информации большой емкости для автоматизированных рабочих мест на базе автономных пэвм
- •5.7. Защита информации в локальных вычислительных сетях
- •5.8. Защита информации при межсетевом взаимодействии
- •5.9. Защита информации при работе с системами управления базами данных
- •Идентификация/аутентификация
- •Разграничение доступа
- •Протоколирование/аудит
- •Экранирование
- •Туннелирование
- •Шифрование
- •Контроль целостности
- •Контроль защищенности
- •Обнаружение отказов и оперативное восстановление
- •Управление
- •Место сервисов безопасности в архитектуре информационных систем
- •Симметричные криптосистемы. Принципы работы современных блочных шифров. Современные методы криптоанализа. Поточные шифры.
- •Асимметричные системы шифрования. Основные этапы реализации электронной цифровой подписи.
- •Общая схема подписывания и проверки подписи с использованием хэш-функции. Основные свойства хэш-функций. Схема вычисления хэш-функции.
- •Системы аутентификации. Схемы аутентификации с применением паролей. Обеспечение подлинности сеанса связи с использованием механизмов запроса-ответа, отметок времени.
- •Защита программ от изучения, отладки и дизассемблирования, защита от трассировки по прерываниям; защита от разрушающих программных воздействий.
- •Общие положения защиты информации техническими средствами. Активные, пассивные и комбинированные технические средства защиты информации.
- •Защита информации от перехвата по побочным каналам утечки.
- •Защиты информации от подслушивания. Способы и средства защиты.
- •Методы защиты информации техническими средствами в учреждениях и предприятиях.
- •Аппаратные средства защиты информации
- •Технические средства защиты информации
- •Модели и методы оценки эффективности защиты информации
- •Контроль эффективности мер по защите информации техническими средствами.
- •Защита внутриобъектовых и межобъектовых линий связи.
- •Основные характеристики и параметры современных видеокамер, видеорегистраторов.
- •Технические средства автоматизированного проектирования систем охранно-пожарной сигнализации и видеонаблюдения.
- •Сущность методов оценки дальности (фазовый, импульсный, частотный) до объектов вторжения на охраняемую территорию, применяемых в системах охранных сигнализаций.
- •Источники питания электронной аппаратуры (выпрямители, стабилизаторы, принципы построения).
- •Способы передачи цифровой информации (преимущества и ограничения, скорость передачи информации, модемы, организация связи с помощью эвм).
- •Системы телефонной связи (принципы телефонной связи, телефонная сеть, офисные атс, радиотелефоны, сотовая связь).
Защита программ от изучения, отладки и дизассемблирования, защита от трассировки по прерываниям; защита от разрушающих программных воздействий.
В ОСНОВЕ каждого программного продукта лежит интеллектуальная собственность его разработчиков. Хочется, чтобы при коммерческом релизе уникальный продукт не был изучен, скопирован и модифицирован конкурентами, а для этого программы необходимо защищать от статического и динамического анализа. Под статическим анализом понимается исследование исполняемого кода приложения без запуска программы (дизассемблирование). Под динамическим -изучение алгоритмов работы программы при запуске приложения (инструкции проходятся пошагово). Именно на предотвращение этих видов анализа и направлена защита программ от исследования.
Для того чтобы модернизировать исследуемую программу или сделать на основе программы конкурентов новый продукт, нужно досконально изучить исполняемый код приложения, то есть провести реверс-инжиниринг. Чаще всего для этого используются специальные инструменты - дизассемблеры и отладчики. Первые используются для того, чтобы преобразовать исходный машинный код программы в удобочитаемый код на низком языке программирования - ассемблере. Отладчики же информируют о каждом действии в недрах компьютера и позволяют отследить каждый шаг программы таким образом, чтобы можно было понять суть всех операций.
Защита программы от иследования:
Наиболее часто встречающийся метод защиты ПО от исследования - обфускация, или запутывание кода. Под этим термином подразумевается приведение исполняемого кода к виду, сохраняющему функциональность программы, но затрудняющему анализ и понимание алгоритмов работы. Другими словами, запутывание так изменяет программу, что ее обратное преобразование будет экономически невыгодным (а физически очень трудновыполнимым). В основном этот способ защиты приложения используется для защиты программ от воссоздания исходного кода (декомпиляции) и незаконного использования, нарушения авторских прав программистов. Основная функция защиты программного обеспечения заключается не только в том, чтобы приложение нельзя было незаконно использовать, копировать или модифицировать, но и в том, чтобы не дать хакеру возможности изучить эту программу, применив излюбленный метод - пошаговый режим отладки. Тут уже может помочь нетипичное расположение стека (область памяти, где хранятся данные программы), его размер или варианты применения. Ведь при анализе с помощью специальных программ хакер может отбросить ненужный кусок кода или данных, в результате функционирование программы может оказаться невозможным или неправильным.
С помощью запутывания можно перемешать в программе куски кода или действия так, что логика работы становится совершенно непонятной. Кроме того, при запутывании могут вставляться новые куски неисполняемого (неиспользуемого) кода, а существующие блоки кода могут быть модифицированы таким образом, чтобы они использовались в нескольких частях программы одновременно.
Иногда при защите программного продукта используется архивация данных программы, которые находятся в стеке. Для усложнения работы взломщиков в исполняемый код встраиваются "пустышки", которые выполняют некоторую сложную и на первый взгляд важную работу, но на самом деле не имеют никакого отношения к логике работы. Иногда используется такой метод, как "общая переменная", когда одна и та же переменная в разных частях алгоритма может употребляться для разных нужд (в разных функциях). Другой похожий метод - "разделяемая переменная" (для усложнения исследования программы одну переменную заменяют функцией от набора других переменных). В последнем случае при изменении одной из переменных, входящих в набор, меняется значение функции, а следовательно, и искомой переменной. Обычно в набор включают константы, другие переменные, адреса памяти, а также контрольные суммы отдельных блоков кода. Таким образом, меняя одну произвольную инструкцию в одном из блоков кода, можно повлиять на функциональность совершенно других частей программы. Также используется шифрование содержимого файлов данных, при котором защищенные файлы переносятся в защищенный контейнер. Особенностью защищенного контейнера является то, что к нему можно обращаться только из защищенного приложения.
В некоторых случаях применяется метод самогенерируемого кода, когда массив данных может быть сам по себе исполняемым кодом или смысловым текстом, но после некоторых операций он становится участком программы, выполняющим важные функции. Также используется полиморфный код, который при исполнении может изменять сам себя. Шифрование же позволяет изменить исполняемый код до полной неузнаваемости.
Используя защиту программного обеспечения от исследований, нужно иметь в виду, что лучше не только запутывать отдельные части кода, но и защищать всю программу целиком. Ведь защиту исполняемого кода можно дополнять другими видами защиты, например, при распространении приложения на дисках или через Интернет и т.п. Кроме того, защита кода должна быть максимально незаметной, замаскированной, запутывание не должно иметь регулярную структуру (иначе можно будет изучить алгоритм запутывания и разработать программу, выполняющую обратные преобразования).
Дизассемблирование
Для затруднения дизассемблирования лучше всего подходит шифрование отдельных участков программ или всей программы целиком. После загрузки программу следует расшифровать в оперативной памяти и передать ей управление. Еще лучше выполнять динамическое расшифровывание программы по мере ее выполнения, когда участки программы расшифровываются непосредственно перед использованием и после использования сразу же уничтожаются.
При расшифровывании можно копировать участки программы в другое место оперативной памяти.
Пусть, например, программа состоит из нескольких частей. После ее загрузки в оперативную память управление передается первой части программы. Эта часть предназначена для расшифровки второй части, которая находится в памяти вслед за первой.
Задача второй части - перемещение третьей части программы на место уже использованной первой части и расшифровка ее там.
Третья часть, получив управление, может проверить свое расположение относительно префикса программного сегмента и, в случае правильного расположения (сразу вслед за PSP), начать загрузку сегментных регистров такими значениями, которые необходимы для выполнения четвертой (установочной) части программы.
Если попытаться дизассемблировать программу, составленную подобным образом, то из этого ничего не получится.
Трассировка
Можно предложить две группы средств защиты от трассировки. В первую группу входят средства блокировки работы самих отладчиков, делающие невозможным трассировку программы. Вторая группа средств направлена на определение факта работы программы под управлением отладчика.
К первой группе средств относится:
блокировка специальных "отладочных" прерываний процессора;
блокировка прерываний от клавиатуры;
измерение времени выполнения контрольных участков программы;
использование прерывания таймера.
Напомним, что прерывание INT 1 и INT 3 (соответственно, прерывание для пошаговой работы и прерывание по однобайтовой команде INT) интенсивно используются отладчиками. Первое прерывание позволяет отладчику получать управление после выполнения каждой команды трассируемой программы. С помощью второго прерывания отладчик может устанавливать точки останова, заменяя байты программы на команду однобайтового прерывания.
Защищенная от трассировки программа должна подготовить свои собственные обработчики для этих прерываний и "незаметно" для человека, занимающегося трассировкой, записать их адреса в таблицу векторов прерываний.
Эти обработчики прерываний могут не делать ничего, то есть состоять из одной команды IRET, или выполнять какие-либо действия, фиксирующие факт работы программы под контролем отладчика.
В ходе трассировки программы (при ее пошаговом выполнении) вам необходимо нажимать на клавиши - для перехода к очередной команде. Это можно использовать для блокировки отладчика.
Запретив прерывания командой CLI и переназначив прерывание от клавиатуры на себя, программа установки может выполнять какие-либо действия, не требующие работы оператора с клавиатурой. Обработчик клавиатурного прерывания защищенной от трассировки программы должен фиксировать прерывания, например, установкой флага.
Если программа работает не под контролем отладчика, прерывания во время этого участка программы невозможны (они запрещены командой CLI).
Если же используется режим пошагового выполнения программы под управлением отладчика, отладчик разрешает клавиатурные прерывания, невзирая на то, что была выдана команда CLI. Наш обработчик клавиатурного прерывания в этом случае зафиксирует работу в режиме трассировки.
Аналогично можно воспользоваться прерыванием таймера.
Защищенная программа устанавливает свой обработчик для прерывания таймера, который устанавливает флаг в случае появления прерывания от таймера. В подходящий момент времени она запрещает прерывания и выполняет какую-либо работу, периодически проверяя флаг.
Если программа работает в пошаговом режиме, команда запрета прерываний CLI не работает, и флаг будет взведен, сигнализируя работу под контролем отладчика.