Розділ «15.5. Електронне "сміття" та взаємодія програмних закладок»

При зберіганні даних на зовнішніх носіях прямого доступу використовується декілька рівнів ієрархії: сектори, кластери і файли. Сектор - одиниця зберігання інформації на апаратному рівні. Кластер складається з одного чи декількох секторів, що знаходяться поруч. Файл - множина кластерів, що є зв'язаними за відповідним правилом. Робота із будь-якими електронними документами, як правило, представляє собою послідовність наступних дій:

o створення;

o зберігання;

o модифікація;

o знищення.

Програмні засоби (наприклад, текстові редактори), які використовуються для створення та модифікації документів, створюють в ОП комп'ютерної системи їх тимчасові копії. Звісно, ця тимчасова інформація не враховується, коли файл, скажімо, шифрують для збереження секретності. І абсолютно вільна за доступом копія знаходиться в ОП до моменту перезавантаження системи.

Також при запису відредагованої інформації меншого обсягу в той самий файл утворюються так звані "хвостові кластери", в яких вихідна інформація є повністю збереженою. Ці кластери не тільки не шифруються (навіть якщо файл буде зашифровано), але і не знищуються засобами витирання інформації. Звичайно, пізніше вони будуть затерті даними з інших файлів, але за оцінками спеціалістів, з "хвостових кластерів" через добу можна прочитати до 85% інформації, а через 10 діб - 25- 40% вихідної інформації.

Також команда видалення файлів "DELETE" не змінює вмісту файлу і він може бути відновлений в будь-який момент, якщо зверху не було записано нову інформацію. Поширені засоби гарантованого затирання інформації попередньо записують у файл випадкові числа, і тільки після того - видаляють.

Але бувають такі програмні закладки, які призначені для збільшення кількості подібного "сміття". Вони відмічають декілька кластерів файлу як "пошкоджені", і тоді інформація в них залишиться в первісному вигляді, навіть якщо весь файл буде гарантовано видалено.

Спостереження та компрометування

Імітатори

Фільтри

Ці програмні шпигуни збирають усі дані, що вводяться користувачем з клавіатури. Найпримітивніші фільтри записують все перехоплене в один файл на ЖД або в інше місце, до якого має доступ зловмисник. Більш складні фільтри перевіряють зібрану інформацію на наявність в ній паролів та інших секретних даних, і тільки тоді передають "господарю".

Фільтри представляють собою резидентні програми, що перехоплюють одне чи декілька переривань, що пов'язані з обробкою сигналів від клавіатури. Прикладом легального фільтру може служити програма, що призначена для українізації клавіатури - наприклад, якщо в режимі української мови натиснути букву "W", то програма проаналізує, яку клавішу було натиснуто і видасть на екран відповідний український клавіатурний аналог - букву "Ц".

Загалом, можна сказати, що якщо в ОС при введені користувачем паролю дозволяється зміна розкладки клавіатури (працюють клавіші <Ctrl> +<Shift>), то в такій системі можна встановити фільтр-шпигун.

Замінники