О безопасности программного
обеспечения
Жангисина Г.Д.,
зав.кафедрой «Вычислительная техника»
КазНТУ
им.К.И.Сатпаева, (РК, Алмтаы)
Нуржанкызы Ш.(РК, Алмты)
Различные нарушения
безопасности программного обеспечения безопасности компьютерных систем (преднамеренные
и непреднамеренные) большинство отечественных и зарубежных специалистов
связывают с деятельностью человека. При этом технические сбои аппаратных
средств КС, ошибки программного обеспечения и т.п. часто рассматриваются лишь
как второстепенные факторы, связанные с проявлением угроз безопасности.
С некоторой степенью
условности злоумышленников в данном случае можно разделить на два основных
класса:
злоумышленники-любители
(будем называть их хакерами);
злоумышленники-профессионалы.
Хакеры - это люди,
увлеченные компьютерной и телекоммуникационной техникой, имеющие хорошие навыки
в программировании и довольно любознательные. Их деятельность в большинстве
случаев не приносит особого вреда компьютерным системам. Ко второму классу
можно отнести отечественные, зарубежные и международные криминальные сообщества
и группы, а также правительственные организации и службы, которые осуществляют
свою деятельность в рамках концепции "информационной войны". К этому
же классу можно отнести и сотрудников самих предприятий и фирм, ведущих
разработку или эксплуатацию программного обеспечения. Хакеры часто образуют
небольшие группы. Иногда эти группы периодически собираются, а в больших
городах хакеры и группы хакеров встречаются регулярно. Но основная форма
взаимодействия осуществляется через Интернет, а ранее - через электронные доски
BBS. Как правило, каждая группа хакеров имеет свой определенный (часто
критический) взгляд на другие группы. Хакеры часто прячут свои изобретения от
хакеров других групп и даже от соперников в своей группе.
Существуют несколько
типов хакеров. Это хакеры, которые:
стремятся проникнуть во
множество различных компьютерных систем (маловероятно, что такой хакер
объявится снова после успешного проникновения в систему);
получают удовольствие,
оставляя явный след того, что он проник в систему;
желают воспользоваться
оборудованием, к которому ему запрещен доступ;
охотятся за
конфиденциальной информацией;
собираются
модифицировать определенный элемент данных, например баланс банка, криминальную
запись или экзаменационные оценки;
пытаются нанести ущерб
"вскрытой" (обезоруженной) системе.
Группы хакеров, с
некоторой степенью условности, можно разделить на следующие:
группы хакеров, которые
получают удовольствие от вторжения и исследования больших ЭВМ, а также ЭВМ,
которые используются в различных государственных учреждениях;
группы хакеров, которые
специализируются на телефонной системе;
группы хакеров -
коллекционеров кодов - это хакеры, запускающие перехватчики кода, которые ищут
карту вызовов (calling card) и номера PBX (private branch exchange - частная
телефонная станция с выходом в общую сеть);
группы хакеров, которые
специализируются на вычислениях. Они используют компьютеры для кражи денег,
вычисления номеров кредитных карточек и другой ценной информации, а затем
продают свои услуги и методы другим, включая членов организованной
преступности. Эти хакеры могут скупать у коллекционеров кодов номера PBX и
продавать их за 200-500$, и подобно другим видам информации неоднократно.
Архивы кредитных бюро, информационные срезы баз данных уголовного архива ФБР и
баз данных других государственных учреждений также представляют для них большой
интерес. Хакеры в этих группах, как правило, не находят взаимопонимания с
другими хакерами;
группы хакеров, которые
специализируются на сборе и торговле пиратским программным обеспечением.
В настоящее время за
рубежом в рамках создания новейших оборонных технологий и видов оружия активно
проводятся работы по созданию так называемых средств нелетального воздействия.
Эти средства позволяют без нанесения разрушающих ударов (например, современным
оружием массового поражения) по живой силе и технике вероятного противника
выводить из строя и/или блокировать его вооружение и военную технику, а также
нарушать заданные стратегии управления войсками. Одним из новых видов оружия
нелетального воздействия является информационное оружие, представляющее собой
совокупность средств поражающего воздействия на информационный ресурс
противника. Воздействию информационным оружием могут быть подвержены прежде
всего компьютерные и телекоммуникационные системы противника. При этом
центральными объектами воздействия являются программное обеспечение, структуры
данных, средства вычислительной техники и обработки информации, а также каналы
связи. Появление информационного оружия приводит к изменению сущности и
характера современных войн и появлению нового вида вооруженного конфликта -
информационная война. Несомненным является то, что информационная война,
включающая информационную борьбу в мирное и военное время, изменит и характер
военной доктрины ведущих государств мира. Многими зарубежными странами
привносится в доктрину концепция выигрывать войны, сохраняя жизни своих солдат,
за счет технического превосходства.
Ввиду того, что в
мировой практике нет прецедента ведения широкомасштабной информационной войны,
а имеются лишь некоторые прогнозы и зафиксированы отдельные случаи применения
информационного оружия в ходе вооруженных конфликтов и деятельности крупных
коммерческих организаций (см. таблицы данного раздела), анализ содержания
информационной войны за рубежом возможен по отдельным публикациям, так как, по
некоторым данным информация по этой проблеме за рубежом строго засекречена. Анализ
современных методов ведения информационной борьбы позволяет сделать вывод о
том, что к прогнозируемым формам информационной войны можно отнести
следующие:глобальная информационная война; информационные операции;
преднамеренное изменение замысла стратегической и тактической операции;
дезорганизация жизненно важных для страны систем; нарушение
телекоммуникационных систем; обнуление счетов в международной банковской
системе; уничтожение (искажение) баз данных и знаний важнейших государственных
и военных объектов.
К методам и средствам
информационной борьбы в настоящее время относят: воздействие боевых
компьютерных вирусов и преднамеренных дефектов диверсионного типа;
несанкционированный доступ к информации; проявление непреднамеренных ошибок ПО
и операторов компьютерных систем; использование средств
информационно-психологического воздействия на личный состав; воздействие радиоэлектронными
излучениями; физические разрушения систем обработки информации. Таким образом,
в большинстве развитых стран мира в рамках концепции информационной войны
разрабатывается совокупность разнородных средств, которые можно отнести к
информационному оружию. Такие средства могут использоваться в совокупности с
другими боевыми средствами во всех возможных формах ведения информационной
войны. Кроме существовавших ранее средств поражающего воздействия в настоящее
время разрабатываются принципиально новые средства информационной борьбы, а
именно бое вые компьютерные вирусы и преднамеренные программные дефекты
диверсионного типа. При создании высокоэффективных и надежных программ
(программных комплексов), отвечающих самым современным требованиям к их разработке,
эксплуатации и модернизации необходимо не только умело пользоваться
предоставляемой вычислительной и программной базой современных компьютеров, но
и учитывать интуицию и опыт разработчиков языков программирования и прикладных
систем. Помимо этого, целесообразно дополнять процесс разработки программ
экспериментальными исследованиями, которые основываются на применении концепции
психологии мышления при исследовании проблем вычислительной математики и
информатики. Такой союз вычислительных, информационных систем и
программирования принято называть психологией программирования.
Психология
программирования - это наука о действиях человека, имеющего дело с
вычислительными и информационными ресурсами автоматизированных систем, в
которой знания о возможностях и способностях человека как разработчика данных
систем могут быть углублены с помощью методов экспериментальной психологии,
анализа процессов мышления и восприятия, методов социальной, индивидуальной и
производственной психологии. К целям психологии программирования наряду с
улучшением использования компьютера, основанного на глубоком знании свойств
мышления человека, относится и определение, как правило, экспериментальным
путем, склонностей и способностей программиста как личности. Особенности
личности играют критическую роль в определении (исследовании) рабочего стиля
отдельного программиста, а также особенностей его поведения в коллективе
разработчиков программного обеспечения. Ниже приводится список характеристик
личности и их предполагаемых связей с программированием. При этом особое
внимание уделяется тем личным качествам программиста, которые могут, в той или
иной степени, оказать влияние на надежность и безопасность разрабатываемого им
программного обеспечения. Личности с выраженной внутренней управляемостью
стараются подчинять себе обстоятельства и убеждены в способности сделать это, а
также в способности повлиять на свое окружение и управлять событиями. Личности
с внешней управляемостью (наиболее уязвимы с точки зрения обеспечения
безопасности программного обеспечения) чувствуют себя жертвами не зависящих от
них обстоятельств и легко позволяют другим доминировать над ними. Личности с
высокой степенью мотивации способны разрабатывать очень сложные и сравнительно
надежные программы. Руководители, способные повысить уровень мотивации, в то же
время, могут стимулировать своих сотрудников к созданию программ с высоким
уровнем их безопасности.
На завершающих этапах
составления программ необходимо особое внимание уделять подробностям и
готовности проверить и учесть каждую деталь. Это позволит повысить вероятность
обнаружения программных дефектов как привнесенных в программу самим
программистом (когда нарушитель может ими воспользоваться в своих целях), так и
другими программистами (в случае, если некоторые из них могут быть
нарушителями) при создании сложных программных комплексов коллективом
разработчиков.
ЛИТЕРАТУРА
1.Зегжда Д.П., Шмаков
Э.М. Проблема анализа безопасности программного обеспечения// Безопасность
информационных технологий. - 1995.- №2.- С.28-33.
2. Казарин О.В.
Самотестирующиеся и самокорректирующиеся программы для систем защиты
информации// В кн.: Тезисы докл. конференции "Методы и средства
обеспечения безопасности информации", С.- Петербург. - 1996.- С.93-94.