TextBook Розглянемо види загроз детальніше.
16.2. Загрози доступності
За означенням, доступність - це властивість інформації при її обробці технічними засобами, що забезпечує безперешкодний доступ до неї для проведення санкціонованих операцій ознайомлення, модифікації або знищення.
В комп'ютерній системі доступності загрожують наступні події:
апаратні відмови
Як правило, при відмові однієї ланки системи припиняє функціонувати система загалом. В такому випадку, отримати доступ до потрібної інформації в системи неможливо.
віруси та інші шкідливі програми
Віруси та хробаки (хробак не залишає своєї копії на носіях інформації) посідають чільне місце серед засобів здійснення загроз інформації. Є різноманітні шкідливі програми, одні з яких можуть і не перешкоджати роботі системи, інші зроблять її роботу повільною, а є й такі, що здатні призвести до відмови цілої системи. Іноді вони "воюють" між собою за право керувати роботою тої чи іншої інформаційної системи, чим спричиняють ще більші проблеми. Зазначимо, що принципи надійного функціонування ІС забороняють запуск на ПК неперевірених антивірусом програм та вимагають негайного знищення (не відкриваючи) електронних листів від невідомих дописувачів (після знищення необхідно стиснути всі теки - для остаточного видалення всієї непотрібної інформації).
логічні бомби
Програма модифікується таким чином, що за певних обставин її алгоритм функціонування є відмінним від звичайного. Наприклад, програма по нарахуванню зарплатні весь рік працює нормально, а от 1 квітня затирає всі дані. Іноді логічні бомби вбудовують в свої програми самі автори - на випадок, якщо із замовником не будуть узгоджені фінансові питання.
неуважність користувачів
Іноді найдосконаліша із надійних систем обробки інформації може бути зіпсована через те, що неуважний користувач не потурбувався про збереження своєї секретної інформації (пароля, ключа) в надійному місці. Довірливість (і бажання легкого виграшу) користувачів мобільних телефонів також може принести їм збитки. На мобільний телефон надходить SMS-повідомлення (ніби від оператора), в якому є прохання повідомити код наступного поповнення за таким-то номером. Повідомивши цифри коду, користувач дозволяє зловмиснику поповнити чужий рахунок. Другий варіант - різноманітні акції. Надходить повідомлення з пропозицією УНІКАЛЬНОЇ можливості виграти щось-там надзвичайне - популярну модель мобільного телефону, тощо. Для цього треба ЛИШЕ подзвонити за вказаним номером. Користувач телефонує і слухає автовідповідач з умовами акції. І все би було добре, якби не вартість дзвінка - з'єднання і/ або часу розмови, яке істотно перевищує існуючі тарифи.
помилки програмування (bugs)
За статистикою, на 50-100 рядків коду, що написані програмістом, припадає як мінімум, одна помилка. Процес виявлення та видалення таких помилок (debugging) дозволяє позбутись більшості з них. Проте, ніколи не можна бути впевненим, що помилки були виявлені всі.
перевантаженість системи
Однією з видів атак на систему з метою її перевантаження є передача зловмисниками беззмістовних файлів величезного обсягу. Наприклад, спроба при домашньому (dial-up) підключенні до Інтернету завантажити фільм на 700 Mb та намагання під час того зайти на декілька сайтів, скоріше за все, закінчаться невдачею. Виникне перевантаженість системи, і ОС просто "зависне".
Ще зловмисниками використовується спосіб переповнення системного журналу на сервері, в якому зберігаються повідомлення про наявні помилки у роботі. Якщо на сервер надходить велика кількість помилкових повідомлень, це призводить до браку місця на дискових накопичувачах і до "падіння" системи.
таємні шляхи доступу
Це так звані " люки", що розробник створює для зручності своєї роботи - відлагодження, тестування, підтримки. Натиснувши в потрібний момент потрібну клавішу, можна обійти захист. Перед остаточною компіляцією команду вилучають з коду. Іноді розробники забувають (випадково чи навмисно) про нього, і залишають.
Приклад - деяка функція (якою користувались не часто), що була передбачена в програмі, не була робочою. Користувач, що мало що розумів в програмному забезпеченні, викликав розробника та просив виправити помилку. Розробник посилався на конфлікти з іншим ПЗ користувача, і нібито виправляв їх. А насправді він натискав таємну комбінацію клавіш - і все працювало. В результаті вдячний користувач з радістю оплачував рахунок розробника за його фальшиві зусилля.
Сторінки
В нашій електронній бібліотеці ви можете безкоштовно і без реєстрації прочитати «Інформаційні технології та моделювання бізнес-процесів» автора Томашевський О.М. на телефоні, Android, iPhone, iPads. Зараз ви знаходитесь в розділі „16. Технології забезпечення безпеки інформаційних систем“ на сторінці 3. Приємного читання.