Záložka programu
Záložka ( softwarová záložka [1] ) je program tajně vložený do chráněného systému, nebo záměrně upravený fragment programu, který umožňuje útočníkovi získat neoprávněný přístup k systémovým prostředkům na základě změn vlastností systému ochrany [2] . Záložku může implementovat sám vývojář softwaru.
Softwarové záložky často fungují jako zachycovače hesel, provozu a také slouží jako vodiče počítačových virů . Softwarové záložky nelze detekovat pomocí standardních antivirových nástrojů, jejich detekce je možná pouze pomocí speciálních testovacích programů. Tyto programy jsou dostupné u specializovaných společností, které certifikují a standardizují počítačový software [3] .
Klasifikace
Podle způsobu implementace
Podle způsobu zavedení do počítačového systému se softwarové záložky dělí na:
- karty firmwaru , které jsou přidruženy k hardwaru . Jejich stanovištěm je BIOS ;
- spouštěcí karty, které jsou spojeny se spouštěcími programy umístěnými v zaváděcích sektorech pevného disku;
- karty ovladačů, které jsou spojeny s ovladači periferních zařízení osobního počítače ;
- záložky aplikací, které jsou spojeny s aplikačním softwarem ;
- spustitelné záložky, které jsou spojeny s programovými moduly obsahujícími kód programové záložky;
- imitátor záložky napodobující rozhraní obslužných programů, jejichž provádění zahrnuje vkládání důvěrných informací ;
- skryté záložky, které se maskují jako programy optimalizující výkon osobního počítače, počítačové hry a další zábavní programy.
Po domluvě
Podle hlavních akcí destruktivní povahy prováděných v počítačovém systému se záložky dělí na:
- záložky, které kopírují důvěrné informace uživatele , které jsou umístěny v paměti RAM , externí paměti systému nebo v paměti jiného systému připojeného prostřednictvím místní nebo globální sítě;
- záložky, které mění algoritmy pro fungování systémových, aplikačních a servisních programů;
- záložky, které mění provozní režimy softwaru.
Provozní podmínky
Aby softwarová záložka mohla začít fungovat, tedy provádět akce ve vztahu k jiným počítačovým programům nebo datům, je nutné současně splnit určité podmínky, které nutí procesor provádět příkazy obsažené v kódu softwarové záložky. :
- softwarová záložka se musí dostat do RAM ;
- musí být splněna řada aktivačních podmínek v závislosti na typu záložky programu.
Podle podmínek v paměti RAM počítače se záložky programu dělí na:
- rezidentní záložky, které jsou trvale v paměti RAM , dokud se počítač nerestartuje nebo nevypne;
- nerezidentní záložky, které se po uplynutí určité doby nebo při splnění určitých podmínek uvolní z paměti RAM [4] .
Ochrana proti softwarovým záložkám
Ochrana před softwarovými záložkami se provádí v následujících možnostech:
- ochrana před zavedením záložek do systému;
- identifikace vložené záložky;
- odstranění vložené záložky.
Ochrana vstřikování záložky
Ochrana před zavedením softwarových záložek se ve většině případů provádí vytvořením izolovaného osobního počítače chráněného před pronikáním softwarových záložek zvenčí. Aby byl počítač považován za izolovaný, musí splňovat následující podmínky:
- BIOS by neměl obsahovat softwarové záložky;
- nainstalovaný operační systém musí být zkontrolován na softwarové záložky;
- musí být nastavena neměnnost BIOSu a operačního systému ;
- programy, které nebyly zkontrolovány na přítomnost softwarových záložek, by se neměly spouštět a nespouštějí se na osobním počítači ;
- spouštění ověřených programů mimo osobní počítač by mělo být vyloučeno .
Embedded Bookmark Detection
Identifikace záložek vestavěného softwaru se provádí detekcí známek jejich přítomnosti v systému, které se dělí na:
- kvalita a vizuální;
- detekované diagnostickými nástroji.
Mezi kvalitativní a vizuální vlastnosti patří vlastnosti, které může uživatel identifikovat při práci se systémem. Mohou to být jak odchylky od obvyklého provozu systému, tak změny v uživatelských a systémových souborech . Přítomnost těchto znaků naznačuje, že je třeba zkontrolovat přítomnost softwarových záložek v systému.
Příznaky zjištěné diagnostickými nástroji jsou identifikovány speciálním testovacím softwarem, který indikuje přítomnost škodlivého kódu v systému.
Mazání vložených záložek
Způsob odstranění záložek vloženého softwaru závisí na způsobu jejich zavedení do systému. Pokud je nalezena softwarová a hardwarová záložka, je nutné přeprogramovat ROM počítače . Pokud je nalezen boot, ovladač, aplikace, maskovaná záložka nebo záložka imitátoru, je nutné je nahradit odpovídajícími z důvěryhodných zdrojů. Pokud je nalezena spustitelná záložka, text záložky by měl být odstraněn ze zdrojového kódu programového modulu a modul znovu zkompilován [ 5] .
V populární kultuře
Viz také
Poznámky
- ↑ GOST R 51275-2006 str 3.7
- ↑ Softwarové záložky Archivovány 29. listopadu 2011 na Wayback Machine Softwarové záložky v zabezpečených systémech
- ↑ Softwarové záložky archivovány 2. února 2013 na Wayback Machine Co jsou softwarové záložky? Stupeň nebezpečí a způsoby detekce
- ↑ Záložky programu Archivováno 15. února 2016 v technické knihovně Wayback Machine na lib.qrz.ru
- ↑ Ochrana proti softwarovým záložkám Archivováno 3. února 2016 v technické knihovně Wayback Machine na lib.qrz.ru