Kurus ražotājs nav paredzējis vai apzināti slēpis (piemēram, daži patentētu OS ražotāji to dara negodīgas konkurences nolūkos). Vēlāk tos varētu atklāt lietotāji vai trešo pušu speciālisti.

Līdzīgā nozīmē mēs varam runāt par nedokumentētas funkcijas.

Gadījumos, kad ražotājs ir atbildīgs par preces darbību vai apņemas to darīt tehniskā palīdzība, attiecīgie pienākumi parasti attiecas tikai uz to, kas aprakstīts pavaddokumentācijā. Tas var būt vēl viens iemesls, kāpēc daži dokumenti nav minēti. noderīgas funkcijas. Tas jo īpaši ļauj jums atbrīvoties no tiem nākamajās produkta versijās, nebrīdinot lietotājus par to. Tas rada noteiktus riskus lietotājiem, kuri paļaujas uz nedokumentētām funkcijām.

Īpaši interesanti, it īpaši gadījumā programmatūra, apzīmē nedokumentētas iespējas, kuras var apdraudēt pareizs darbs, programmatūras vai informācijas sistēmas integritāte, konfidencialitāte, citiem vārdiem sakot, drošība. Šajā kontekstā termins parasti tiek lietots ievainojamība(tulkojums angļu valodā) ievainojamība) (arī profesionālajā datoru žargonā kļūda, « caurums"), un dažos oficiālajos dokumentos jēdzieni "" un " nedeklarētās spējas"(skatiet sadaļu " ").

Šādas iespējas var izmantot, piemēram, strādājot šādās jomās:

• skaitļošanas tehnika un cita aparatūra: datori, datoru komponenti, perifērijas ierīces un piederumi, kā arī dažāda elektronika (signalizācijas, mp3 atskaņotāji) u.c.;
• saziņas līdzekļi: mobilie tālruņi, GPS navigatori, domofoni, komunikatori utt.;
• programmatūra: operētājsistēmas, programmēšanas valodas, dažādas programmatūras, spēles utt.;

Nedokumentētas iespējas dažādās jomās

Aprīkojumā

Programmatūrā

Datorspēlēs un elektroniskajās spēlēs

Nedeklarētas iespējas (informācijas drošība)

Kontekstā informācijas drošība Galvenā uzmanība tiek pievērsta programmatūras funkcionalitātei, kuras izmantošana var apdraudēt tās pareizu darbību, kā arī informācijas integritāti vai konfidencialitāti. Vietējie informācijas drošības standarti šādām nedokumentētām iespējām ievieš īpašu koncepciju - nedeklarētās spējas, ko jo īpaši izmanto programmatūras sertifikācijai.

Piemēram, ir Valsts tehniskās komisijas pie Valsts prezidenta apstiprināts vadošais dokuments, kas īpaši veltīts informācijas drošības programmatūras klasifikācijai pēc nedeklarētu spēju neesamības kontroles līmeņa, kas tās definē kā šādi:

2.1. Nedeklarētas iespējas- programmatūras funkcionalitāte, kas nav aprakstīta vai neatbilst dokumentācijā aprakstītajai, kuras izmantošana var pārkāpt apstrādātās informācijas konfidencialitāti, pieejamību vai integritāti.

Tiek izsaukti funkcionālie objekti, kas apzināti iekļauti programmatūrā un kuriem ir šādas iespējas programmatūras grāmatzīmes. Šos terminus izmanto arī GOST R 51275-2006. Dažreiz saīsinājums " NDV».

Literatūrā biežāk sastopams jēdziens, kas pēc nozīmes ir līdzīgs, bet mazāk definēts ievainojamība(tulkojums angļu valodā) ievainojamība).

Programmatūras grāmatzīmes ir jānošķir no nedeklarētām funkcijām, kas parādās programmas kļūdu rezultātā (dažreiz sauktas par kļūdām un “caurumiem”).

Krievijas Federācijas Informācijas drošības doktrīna starp draudiem "informācijas un telekomunikāciju līdzekļu un sistēmu drošībai" arī uzskaita "komponentu ieviešanu aparatūras un programmatūras produktos, kas īsteno funkcijas, kas nav paredzētas šo produktu dokumentācijā".

Piemēri

Tehniskās ierīces un programmatūra

Nedokumentētu iespēju un komandu piemēri:

Masu kultūra

• Pāreju no “matricas” uz “realitāti” filmā “Matrica” veica galvenie varoņi, “matricā” virtuālā taksofona kabīnē ievadot nedokumentētu kodu.
• seriāla “Lost” 3.11. sērijā “Enter 77” pāreju uz pamata iespēju režīmu, ko seriāla varoņi nezināja, nejauši realizēja kāds no varoņiem, uzvarot datoršahā.

Skatīt arī

Piezīmes

Literatūra

Angliski

• Gupta G. Datori inženierzinātnēs. Amerikas Mašīnbūves inženieru biedrība, 1991. ISBN 0791806227, ISBN 9780791806227, ISBN 0-7918-0622-7 (īpaši sadaļa “Dokumentētās un nedokumentētās funkcijas”, 78. lpp.)
• Šiperskis C., Grunts D., Mērers S.. Komponentu programmatūra: ārpus objektorientētās programmēšanas. Pearson Education Publishers, 2003. ISBN 9780201178883 (īpaši sadaļa 5.1.5. Nedokumentētas “funkcijas”, 54. lpp.)
• Smits Šons V. Uzticamas skaitļošanas platformas: dizains un lietojumprogrammas. 2005, XX, 244 lpp. 28 ilustr., Cietajos vākos. ISBN 978-0-387-23916-3 (īpaši sadaļa 3.4. Nedokumentēta funkcionalitāte, 35. lpp.)

Krieviski

• Adamenko M.V.. Noslēpumi mobilos tālruņus: pakalpojumu kodi Mobilie tālruņi; nedokumentētas pazīmes; mainiet zvana signālu; tālruņu atbloķēšana. Ed. 2. M.: "DMK Press, "SOLON-Press", 2002, 240 lpp. - ISBN 5-98003-026-3, ISBN 5-94074-191-6
• Bukins M.S.. Mobilo tālruņu noslēpumi. Sanktpēterburga: “Pēteris”, 2005, 208 lpp. - ISBN 5-469-00638-7
• Zikovs N.K.. Nedokumentētas Windows funkcijas: rokasgrāmata praktizējošam programmētājam. M.: “Radio un sakari”, 1994, 176 lpp. - ISBN 5-256-01212-6, ISBN 5-256-01212-6
• Kingslija-Hagisa K. Nedokumentētas GPS iespējas. Sanktpēterburga: “Pēteris”, 2007, 304 lpp. - ISBN 978-5-469-01410-2
• Koberničenko A.V.. Nedokumentēti Windows NT līdzekļi. M.: Zināšanas, 287 lpp. - ISBN 5-89251-048-4
• Svens Šreibers. Nedokumentētas Windows 2000 iespējas. Sanktpēterburga, 2002, 544 lpp - ISBN 5-318-00487-3
• Fļenovs M.. Programmēšana Delfos ar hakera acīm. Izdevējs: "BHV-Petersburg", 2007. ISBN 978-5-9775-0081-4

Saites

Wikimedia fonds. 2010. gads.

Skatiet, kas ir “nedokumentētas iespējas” citās vārdnīcās:

Elektronika MK 52 ar ziņojumu “ERROR” (sakarā ar īpašo burta r attēlojumu bieži tika lasīts kā “EGGOG”) Eggogology & ... Wikipedia

Elektronika MK 52 ar ziņojumu ERROR (sakarā ar r burta īpašo displeju bieži tika lasīts kā “EGGOG” Eggology pētījums slēptās iespējas mikro kalkulatori. Saturs 1 Izcelsme ... Wikipedia

- (Windows) ... Wikipedia

Microsoft Word(Windows) Ekrānuzņēmums Microsoft Word 2007 Type Vārdu procesors Microsoft izstrādātājs ... Wikipedia

Microsoft Word (Windows) ekrānuzņēmums Microsoft Word 2007 Tips Word procesors Izstrādātājs Microsoft ... Wikipedia

Microsoft Word (Windows) ekrānuzņēmums Microsoft Word 2007 Tips Word procesors Izstrādātājs Microsoft ... Wikipedia

Microsoft Word (Windows) ekrānuzņēmums Microsoft Word 2007 Tips Word procesors Izstrādātājs Microsoft ... Wikipedia

Vai ir iespējams izveidot reģistra atslēgu, kas būs redzama sistēmā Windows kā daļa no aktīvā (savienotā) reģistra, bet nebūs redzama programmām, kas strādā ar neaktīvo (atvienoto) reģistru? Izrādās, ja jums ir iespēja mainīt tikai vienu kodola mainīgo (piemēram, izmantojot draiveri), tad jā, ir veids.

Kāpēc tas ir vajadzīgs?

Reģistra atslēgu slēpšana no programmām, kas darbojas ar neaktīvu reģistru, vienlaikus saglabājot spēju normāli strādāt ar šīm atslēgām standarta līdzekļi Windows operētājsistēmu (kā aktīvā reģistra daļu) var izmantot, lai sasniegtu divus mērķus:

1. slēpt reģistrā veiktās izmaiņas no kriminālistikas (piemēram, slēpt noteikta pakalpojuma atslēgas, kuras sāknēšanas procesa laikā pareizi nolasīs un izmantos operētājsistēma Windows, bet nebūs redzamas trešo pušu programmām, kas darbojas ar neaktīvo reģistru piedziņas pārbaudes laikā);
2. slēpt reģistrā veiktās izmaiņas no integritātes uzraudzības pirms sāknēšanas (piemēram, veicot izmaiņas reģistra atslēgās, kuras integritātes uzraudzības laikā nebūs redzamas uzticamiem sāknēšanas moduļiem, bet būs redzamas pašai Windows operētājsistēmai).

Kā tas notiek?

Windows reģistrs sastāv no divām daļām: nepastāvīgās daļas (reģistra atslēgas un vērtības, kas tiks zaudētas pēc stropa atspējošanas, jo tās netiek saglabātas failā; piemērs: SISTĒMAS atslēgas “CurrentControlSet” strops), nepastāvīgā daļa (sinhronizēta ar reģistra stropa failu).

Tā kā, ierakstot nepastāvīgo daļu stropa failā, ir jānodrošina saglabāto datu integritāte (piemēram, strāvas padeves pārtraukuma gadījumā, kas pārtrauc datu rakstīšanas darbības), Windows kodols izmanto reģistra reģistrēšanu - dati tiek write vispirms tiek saglabāts žurnāla failā (šis fails atrodas tajā pašā direktorijā kā galvenais fails un tam ir paplašinājums “.LOG”, “.LOG1” vai “.LOG2”) un tikai pēc tam stropa galvenajā failā ( ja ierakstīšana žurnālfailā netiek veiksmīgi pabeigta, galvenais fails paliks neskarts un neskarts, un, ja rakstīšana uz Ja galvenais fails netiek veiksmīgi pabeigts, tā integritāti var atjaunot, izmantojot žurnāldatus, kas tika veiksmīgi ierakstīti pirms kļūmes) .

Ieteicamais veids, kā paslēpt atslēgas (un to vērtības, kā arī citus elementus), ir saglabāt atbilstošos datus tikai žurnālā, nevis galvenajā reģistra stropa failā. Trešo pušu programmas, kas strādā ar neaktīvu reģistru, lielākoties ignorēs žurnālfailu(-us), un tāpēc reģistra atslēgas, kas saglabātas žurnālā, bet ne galvenajā failā, šīm programmām būs neredzamas. Savukārt Windows kodols izmanto žurnālu, lai atjaunotu stropa integritāti, kad tas ir uzstādīts, un tāpēc apspriestās atslēgas būs redzamas kodolam un attiecīgi citām darbojošām programmām.

Lai bloķētu rakstīšanu galvenajā stropa failā, varat izmantot atkļūdošanas mehānismu, kas parādījās Windows Vista. Lai saprastu šī mehānisma būtību, ir jāņem vērā reģistrēšanas shēma, kas parādījās operētājsistēmā Windows Vista.

Reģistrācija pirms Windows Vista

Operētājsistēmā Windows XP un vecākas versijas Windows versijas Katrs nepastāvīgs reģistra strops atbilst vienam galvenajam failam un vienam žurnālfailam. Izņēmums šim noteikumam ir SISTĒMAS strops operētājsistēmā Windows 2000 un iepriekšējās Windows versijās, kas tiek atspoguļots (failā ar nosaukumu "system.alt"), nevis reģistrēts, lai vienkāršotu sāknēšanas ielādētāja kodu (kam ir jāielādē norādītais strops atmiņā). un nepievienot to atbalsta atkopšanu no žurnāla (spoguļošana nozīmē pārmaiņus rakstīt datus divos galvenajos failos, kuriem rezultātā būs tāda pati atslēgu, vērtību un citu elementu loģiskā struktūra).

Žurnālu ierakstīšana notiek, kompakti (bez nobīdes izlīdzināšanas) saglabājot žurnālfailā galvenajā failā ierakstāmos datus kopā ar struktūru - galvenā faila sektoru bitkarti, kas ļauj noteikt, pie kurām nobīdēm datu bloki no log fails ir jāieraksta galvenajā failā. Ja, pieslēdzot stropu, tiek konstatēts, ka dati nav pabeigti, ierakstot to galvenajā failā, tad no žurnālfaila tiks nolasīti bloki, tiks noteiktas šo bloku nobīdes galvenajā failā (izmantojot bitkarti), un tad tie bloki tiks ierakstīti galvenajā failā.tādējādi pabeidzot iepriekš neveiksmes dēļ pārtraukto ierakstu.

Šai shēmai ir būtisks trūkums - ja, rakstot galvenajā failā, rodas ievades/izvades kļūda (piemēram, mēģinājuma rakstīt uz slikto sektoru), turpmākās stropa sinhronizācijas darbības ar galveno failu nebūs iespējamas. līdz dators tiek atsāknēts (pat ja sliktais sektors tiks neitralizēts, pāršķirot sektorus draivera līmenī failu sistēma vai uzglabāšanas telpas). Tas ir saistīts ar faktu, ka reģistrēšana katru reizi izdzēš žurnāla failu no vecajiem datiem, kas nozīmē, ka kļūda, rakstot uz galveno failu, novedīs pie šī faila integritātes pārkāpuma, un jauns mēģinājums sinhronizēt stropu pieprasīt dzēst datus no atlikušā žurnāla vienīgais ceļš atjaunot jau bojāto galvenā faila integritāti.

Tāpēc, ja šāda žurnāla dzēšana ir atļauta, var rasties situācija, kad jauna kļūme izraisa viena žurnāla faila integritāti, bet galvenā faila integritāti apdraudēja iepriekšēja kļūme.

Reģistrēšanās no Windows Vista (līdz Windows 8.1)

Lai atrisinātu problēmu, kas saistīta ar stropa sinhronizēšanu ar galveno failu atkārtotu kļūmju gadījumā, tika ieviesta dubultās reģistrēšanas shēma. Šajā shēmā katrs galvenais fails atbilst diviem žurnālfailiem (ar paplašinājumiem “.LOG1” un “.LOG2”). Pēc noklusējuma tiek izmantots pirmais žurnālfails (".LOG1").

Ja, rakstot galvenajā failā, rodas kļūda, žurnāla fails tiek mainīts (no “.LOG1” uz “.LOG2” un otrādi). Šī pieeja nodrošina pastāvīga pieejamība derīgs žurnālfails, kurā ir dati no iepriekšējā sinhronizācijas mēģinājuma. Rezultātā kļūme, rakstot žurnāla failā (pēc kļūmes, rakstot galvenajā failā), neizraisīs neatgriezenisku reģistra stropa integritātes pārkāpumu (starp citu, ja šāda situācija tomēr rodas, Windows kodolam ir pašatjaunošanās mehānismi, kas novērš acīmredzamas kļūdas loģiskā struktūra krūms).

Bet šī reģistrēšanas shēma ir jāatkļūdo, un tāpēc Windows kodolā tika ieviests mainīgais, kas ļauj simulēt atkārtotas rakstīšanas kļūdas visu reģistra stropu galvenajos failos - CmpFailPrimarySave. Nezināmu iemeslu dēļ šis mainīgais ir pieejams arī parastajās kodola versijās (un ne tikai atkļūdošanas versijās). Ja šim mainīgajam ierakstāt kādu vērtību, kas atšķiras no nulles, datu ierakstīšanas funkcija galvenajā failā simulēs kļūdu dažādos šādas rakstīšanas posmos.

Jāņem vērā, ka reģistra stropa montāžas procesā kodolam ir jāizvēlas, kuru no diviem žurnālfailiem izmantot atkopšanai, kas realizē salīdzinoši sarežģītu algoritmu, lai noteiktu, kurš no žurnālfailiem ir saglabājis integritāti, kurš no tiem satur vairāk rakstīto datu jaunākā versija utt. e. Pirms operētājsistēmas Windows 8 šajā algoritmā bija nopietna kļūda, kuras rezultātā gandrīz visos gadījumos neatkarīgi no konkrētām detaļām tika atlasīts pirmais žurnālfails (.LOG1). Jo īpaši operētājsistēmai Windows 7 atbilstošie algoritmu labojumi tika izlaisti tikai 2016. gada martā (tātad šajā laikā dubultā reģistrēšana operētājsistēmā Windows 7 nenodrošināja labāku integritātes aizsardzību nekā Windows XP). Lai pārvarētu aprakstīto kļūdu, nepieciešams ne tikai bloķēt rakstīšanu galvenajā stropa failā, bet arī neveiksmes gadījumā bloķēt pāreju uz otro žurnālfailu (.LOG2) (lai pirmajā žurnālfailā vienmēr būtu visjaunākos datus, pat uz integritātes rēķina notikuma kļūmes gadījumā; pretējā gadījumā nākamajā palaišanas reizē sistēmas reģistra stropi var tikt atjaunoti stāvoklī negaidīti agrāk nekā tad, kad dators tika izslēgts). Par laimi, tālāk norādītā attiecīgā mainīgā vērtība ļauj sasniegt vēlamo efektu, nemainot žurnāla failu - 3.

Šis pats mainīgais darbosies tāpat arī jaunākās Windows versijās (8.1 un 10), kurās tiek izmantota cita reģistrēšanas metode (ārpus šī raksta darbības jomas).

Eksperimentējiet

Eksperimenta kārtā izveidosim neredzamo atslēgu un tās vērtību operāciju zālē Windows sistēma 7 (1. servisa pakotne). Lai to izdarītu, darbojošā operētājsistēmā mainiet (rediģējot atmiņu) kodola mainīgā CmpFailPrimarySave vērtību no 0 uz 3 un pēc tam izveidojiet reģistra atslēgu “HKEY_LOCAL_MACHINE\SYSTEM\invisible_key” ar vērtību “invisible_value”, kas satur virkne “123456”. Pēc tam izslēdzam operētājsistēmu parastajā veidā un eksportējam SISTĒMAS reģistra stropa failus.

Pēc operētājsistēmas atkārtotas ieslēgšanas palaidiet reģistra redaktoru un ņemiet vērā, ka tajā ir redzama meklētā atslēga un vērtība (1. att.).

Rīsi. 1: Windows reģistra redaktors

Tajā pašā laikā eksportētajos reģistra failos meklētā atslēga un vērtība trešo pušu programmas(piemēram, Windows Registry Recovery un Registry Explorer) netiek rādīti (2. un 3. attēls).

Rīsi. 2: Windows reģistra atkopšana

Rīsi. 3: Registry Explorer

Secinājums

Informācijas drošības incidentu izmeklēšanas laikā, kā arī integritātes uzraudzības laikā nevajadzētu pārmērīgi paļauties uz programmām, kas strādā ar neaktīvu reģistru. Šajā rakstā tika parādīts viens no daudzajiem veidiem, kā no šādām programmām paslēpt reģistra atslēgu, tās vērtības un citus elementus.

Saskaņā ar 2012. gada 1. novembra PP 1119. Tiek ieviesti 3 veidu draudi vienā vai otrā veidā, kas saistīti ar nedokumentētu (nedeklarētu) iespēju klātbūtni programmatūrā.

Apsvērsim pasākumus, kas vērsti uz šo apdraudējumu neitralizāciju personas datu operatoriem, kuri neapstrādā valsts noslēpumam klasificētu informāciju.

Tātad mums ir divi draudu līmeņi:

1. Draudi, kas saistīti ar nedokumentētu (nedeklarētu) iespēju klātbūtni sistēmas programmatūrā.

2. Draudi, kas saistīti ar nedokumentētu (nedeklarētu) iespēju klātbūtni lietojumprogrammatūrā.

Pasākumi, kuru mērķis ir neitralizēt draudus, ir sadalīti četros galvenajos komponentos:

1. Pasākumi, kuru mērķis ir novērst draudu rašanos.

2. Pasākumi apdraudējuma identificēšanai.

3.Pasākumi, kuru mērķis ir neitralizēt identificētos draudus.

4. Pasākumi, kuru mērķis ir samazināt kaitējumu vai apdraudējuma efektivitāti.

Tagad izvērtēsim pasākumu īstenošanu, bet pirms tam ņemsim vērā vairākus svarīgus nosacījumus:

1. Mēs apsveram informācijas sistēmas (IS), kuras veido PD operatori. Jums jāsaprot, ka lielais skaits operatoru risina IS izveides problēmas, tikai izmantojot standarta produktus gan sistēmas, gan lietojumprogrammu līmenī ( operētājsistēmas, biroja datu apstrādes sistēmas, DBVS un programmatūra). Īpašu izstrāde Informācijas sistēmas un tehnoloģija ir reta parādība. Tas ir dārgi, un lielākoties operatoriem šāda uzdevuma nav, un to nevar atrisināt ar pieejamajiem resursiem.

2.Operators saņem programmatūras komponenti IP gatavā formā - bez projekta dokumentācijas, bez avota tekstiem utt. Tikai sadales komplekts un ekspluatācijas dokumentācija. Tajā pašā laikā ir svarīgi saprast, ka ievērojama daļa operatoru nevis veido IS, bet tikai to ekspluatē.

3. Galvenās metodes programmatūras drošas lietošanas nodrošināšanai ir šādas:

• programmatūras drošas projektēšanas, ieviešanas un lietošanas prasību ievērošanas veidošana un kontrole visos posmos dzīves cikls BY;
• programmatūras darbības vides analīze, kuras mērķis ir identificēt īpašības, kas tiek uzskatītas par bīstamām vai potenciāli bīstamām;
• programmatūras analīze, kuras mērķis ir identificēt funkcionalitāte un īpašības, kas tiek uzskatītas par bīstamām vai potenciāli bīstamām;
• metožu un līdzekļu izmantošana, kuru mērķis ir nodrošināt darbības vides stabilitāti no programmatūras negatīvās ietekmes;
• programmatūras darbības vides kontrole (dinamiska uzvedības kontrole, raksturlielumu izmaiņas utt.) IS darbības laikā;
• programmatūras kontrole tās darbības laikā.

Taču šīs metodes operatoram diez vai ir pieejamas.

Tagad mēģināsim izveidot reālus pasākumus, ko operators var izmantot, lai neitralizētu draudus.

(1. drauds, 1. pasākums) Apdraudējumu rašanās novēršana ir saistīta ar tehnoloģiju kontroli sistēmas programmatūras drošai izstrādei. Ja ņemam vērā draudus šajā līmenī, mēs parasti iegūstam sekojošo:

Draudu avoti sistēmas programmatūras prasību veidošanas stadijā

• prasību veidošana, kuras mērķis ir radīt apstākļus turpmākai programmatūras nedrošai lietošanai;
• kļūdaini aprēķini, veidojot programmatūras prasības.

Draudu avoti sistēmas programmatūras projektēšanas stadijā

• mērķtiecīga ievainojamības vai aizmugures durvju ieviešana programmatūras darbības arhitektūras un/vai algoritma līmenī;
• mērķtiecīga tādu testēšanas metožu izstrāde, kuru mērķis ir slēpt ievainojamības/aizmugures durvis;
• ievainojamību/grāmatzīmju ieviešana, izmantojot datorizētas programmatūras projektēšanas rīkus;
• arhitektūras risinājumu izmantošana, kas rada nepieciešamību izmantot resursietilpīgas metodes programmatūras testēšanai un atkļūdošanai.

Apdraudējumu avoti sistēmas programmatūras ieviešanas (kodēšanas/kompilācijas/montāžas) stadijā

• mērķtiecīga grāmatzīmju ieviešana;
• mērķtiecīga ievainojamības ieviešana;
• trešo pušu neuzticamu komponentu izmantošana;
• slēpta īpašu iestatījumu ieviešana, kas ļauj iespējot/iedarbināt grāmatzīmes vai programmatūras ievainojamības;
• pārmērīga programmatūras kompilēšana un montāža no “netīriem” pirmkodiem, kas satur dažādus “programmatūras atkritumus”;
• ievainojamību ieviešana, izmantojot programmatūras kompilācijas un montāžas rīkus;
• testu ieviešana, kas ļauj slēpt programmatūras ievainojamības un trūkumus.

Draudu avoti sistēmas programmatūras testēšanas stadijā, ko veic izstrādātājs

• Testēšanas veikšana, ko veic sistēmas programmatūras izstrādātājs vai klients

Sistēmas programmatūras testēšana neatkarīgā laboratorijā sertifikācijas vai citu testu laikā

• mērķtiecīga tādu testēšanas metožu izmantošana, kuru mērķis ir slēpt ievainojamības;
• pārbaude netiek veikta vai tiek veikta nepilnīgi;
• apzināta testa rezultātu slēpšana.

Draudu avoti sistēmas programmatūras ieviešanas stadijā

• sistēmas programmatūras komponentu nomaiņa;
• sistēmas programmatūras ieviešana, neņemot vērā gan pašas programmatūras, gan tās darbības vides ierobežojumus un darbības nosacījumus;
• lietojums slēptie iestatījumi sistēmas programmatūra grāmatzīmju vai ievainojamību iespējošanai/aktivizēšanai.

Ņemot vērā iepriekš minētos nosacījumus, ir acīmredzams, ka operatoram nav iespēju kontrolēt un nodrošināt nedokumentētu (nedeklarētu) iespēju neesamību sistēmas programmatūrā.
Secinājums: pasākumi 1.1. – operatoram nav pieejams.

(1. drauds, 2. pasākums) Ir pieejami pasākumi, kuru mērķis ir identificēt apdraudējumu operatoram. Lai to izdarītu, operators var patstāvīgi vai ar speciālistu palīdzību:

• uzraudzīt dažādus informācijas avotus par identificētajām ievainojamībām izmantotajā sistēmas programmatūrā;
• izmantot sistēmas programmatūrā iebūvētos paškontroles rīkus;
• izmantot dažādus drošības uzraudzības rīkus, tostarp tos, kas izstrādāti uzņēmumā.

(1. drauds, 3. pasākums) Ņemot vērā pasākumus (1. drauds, 2. pasākums), operators patstāvīgi vai ar speciālistu piesaisti var:

• instalēt servisa pakotnes un ielāpus, lai neitralizētu identificētās ievainojamības;
• izmantot papildu informāciju un aizsardzības rīkus, lai neitralizētu identificētās sistēmas programmatūras ievainojamības;

(1. drauds, 4. pasākums) operators var patstāvīgi vai ar speciālistu piesaisti veikt pasākumus, kuru mērķis ir samazināt kaitējumu vai sistēmas programmatūras ievainojamību (gan identificēto, gan vēl neapzināto) ieviešanas efektivitāti:

• veidojot IS, paredzēt iespējamo apdraudējumu klātbūtni un formulēt IS arhitektūru tā, lai iespējamā ievainojamību ieviešana nodarītu minimālu kaitējumu IS noteiktajiem mērķiem un uzdevumiem. Arhitektūras risinājumi ietver: personas datu apstrādes informācijas sistēmas lokalizāciju un segmentāciju, periodisko arhivēšanas rīku pieejamību, lietotāju piekļuves ierobežošanu, informācijas plūsmu kontroli, ārējo datu nesēju kontroli, depersonalizāciju, minimizēšanu. tehniskajiem līdzekļiem iesaistīti datu apstrādē, sistēmas programmatūras integritātes uzraudzības rīku un informācijas aizsardzības rīku izmantošanā, pretvīrusu rīku lietošanā utt... visu nevar uzskaitīt...
• pielietot papildu informācijas un aizsardzības sistēmas, lai neitralizētu iespējamās sistēmas programmatūras ievainojamības;
• piemērot papildu organizatoriskos un tehniskos pasākumus, kas saistīti ar izmaiņām IS arhitektūrā, sistēmas programmatūras iestatījumos u.c.

Jāpieņem, ka maksimālie draudi ir: - datu noplūde, informācijas sistēmas datu un informācijas resursu iznīcināšana, kontroles pār informācijas sistēmas resursiem zaudēšana.

Jānodrošina, lai saglabātos maksimālais apdraudējums IP: datu un programmatūras iznīcināšana, ko kompensē integritātes kontrole un sistēma ātra atveseļošanās IS veiktspēja.

Izpētot pirmā veida draudus, mēs redzam, ka tas pats attiecas uz lietojumprogrammatūru.

Vispārīgi secinājumi:

• operatori nevar piemērot pasākumus, kuru mērķis ir novērst draudu rašanos, kas saistīti ar nedokumentētu (nedeklarētu) iespēju klātbūtni programmatūrā.
• Operatoriem lielākoties nav iespēju patstāvīgi identificēt draudus, kas saistīti ar nedokumentētu (nedeklarētu) iespēju klātbūtni programmatūrā.
• operatoriem ir iespēja neatkarīgi vai ar trešo pušu speciālistu piesaisti uzraudzīt identificētās sistēmas un lietojumprogrammatūras ievainojamības un veikt pasākumus, kas vērsti uz to neitralizāciju, līdz minimumam samazinot iespējamo kaitējumu un/vai ievainojamību ieviešanas efektivitāti.
• operatoriem ir iespēja pieņemt arhitektoniskus lēmumus IS un informācijas drošības apakšsistēmu izbūves un darbības laikā, lai samazinātu iespējamais kaitējums un/vai draudu efektivitāte.
• operatoriem ir iespējas patstāvīgi vai ar trešo pušu speciālistu piesaisti, lai nodrošinātu nepārtrauktu PROCESU, kura mērķis ir...

Šeit es mēģināju sastādīt sarakstu ar dažādiem papildus iespējas abonentam šūnu sakari MTS uzņēmums - vai nu funkcionāli, vai izmaksu ietaupījumu ziņā. Visa informācija tiek iegūta no interneta; MTS servisa nodaļa to noliedz vai ignorē. Šī iemesla dēļ, kā arī tāpēc, ka visus šos pakalpojumus bez maksas nodrošina trešās puses, esmu tos sagrupējis zem virsraksta “bez dokumentiem”. Tas nozīmē, ka varat izmantot šīs funkcijas, taču neviens negarantē, ka kāds no tiem piedāvās pakalpojumus. turpināt strādāt, vai arī viņi paliks bez maksas un par tiem netiks iekasēta maksa. Visu risku par nedokumentētu funkciju izmantošanu un iespējamu “naudas iegūšanu” jūs uzliekat sev.

1. daļa. Mobilais telefons un internets

GSM mobilo tālruņu īpašniekiem ir iespēja nosūtīt un saņemt īsus isziņas(SMS) viens otram. Bet MTS, tāpat kā Beeline, oficiāli to var izdarīt tikai tā abonentu tīklā, tas ir, MTS abonents nevar nosūtīt ziņojumu Beeline abonentam un otrādi. Oficiāli nē, bet neoficiāli tā var būt. Turklāt tas var saņemt un nosūtīt ziņojumus, izmantojot e-pasts(e-pasts) un ICQ, izmantojot tālruni.

Starptautiskie SMS pakalpojumu centri

Milzīgs skaits GSM operatoru pasaulē ļauj nosūtīt SMS no viņu pakalpojumu centra ne tikai saviem abonentiem, bet visiem, tostarp MTS abonentiem. Reģistrējot tālrunī šāda servisa centra numuru, varat nosūtīt SMS jebkuram citam GSM tālruņa lietotājam. Savulaik šāda SMS sūtīšana bija bez maksas. Tagad – apmaksāts, pēc parastās likmes 0,12 USD (ar PVN). Vienīgais ierobežojums: jums tas ir jāaktivizē starptautiskā piekļuve, kas jau ir iekļauts visiem tarifiem ar prefiksu “Starptautiskais” un ir viegli savienojams ar visu pārējo tarifu abonentiem.

Kāpēc nepieciešami starptautiskie pakalpojumu centri? Pirmkārt, saskaņā ar atbildēm no “ uzticības tālrunis“Rietumu SMSC darbojas vidēji stabilāk, t.i. ziņojumu piegādes (nevis “buferizācijas”) procentuālais daudzums ir lielāks. Otrkārt, dažus cilvēkus kaitina piegādes paziņojums, kuru nevar atspējot. Un, treškārt, ja operatoram ir viesabonēšanas līgums ar MTS un Beeline, varat nosūtīt SMS uz Beeline GSM tālruni.

Ne visi Rietumu servisa centri sadarbojas ar Krieviju, taču lielākajai daļai ir vienalga, no kurienes nāk ziņa un kur tā jānosūta. Zemāk ir saraksts ar centriem, kas strādā ar SMS visā pasaulē.

Turkcell Turcija +90-5329010000
NetCom Norway +47-92001000
Sonera Finland +358-405202000
Mobilix Denmark +45-26265151
One2One Lielbritānijā +44-7958879879
Esat Ireland +353-868002000
E-Plus Vācija +49-1770620000
Telfort, Nīderlande +31-626000230
Proximus Belgium +32-75161612
PTT Luxembourg +352-021100003
Ziemeļrietumu Krievija +7-8129600096
IDEA Centertel Poland +48-501200777
Radiomobil Čehijas rep +420-603051
Globtel Slovakia +421-905303303
Westel900 Ungārija +36-309303100
TIM Itālija +39-338980000
Swisscom Switzerland +41-89191
Itineris France +33-689004581
Sprints ASV +1-7044100000

Kā nosūtīt e-pastu no mana tālruņa?

Patiesībā GSM standarts Atbalsta e-pasta sūtīšanu no tālruņa. Tomēr MTS šī funkcija nedarbojas - vai nu nav atbilstoša aprīkojuma, vai arī viņi nevar veikt atbilstošus iestatījumus. Par laimi, internetā ir pieejami neatkarīgi avoti ar diezgan labu pakalpojumu klāstu, kas ļauj sūtīt e-pastu tieši no tālruņa.

eXcell (Itālija) – sūti SMS uz tālruni +393388641732 ar tekstu, piemēram: EMAIL [aizsargāts ar e-pastu]ķermeni

Starp punktiem ir tēma, kas jums vispār nav jāraksta, ja esat slinks - šajā gadījumā jūs varat iztikt bez punktiem. Pēc tam ziņojumi izskatīsies apmēram šādi:
EMAIL [aizsargāts ar e-pastu] Sveiks Jāni!
Vārdu EMAIL ziņojuma sākumā var saīsināt līdz EMA, @ vietā var ierakstīt! vai *, un _ vietā varat ierakstīt: (kols). Rindas beigu vietā varat ierakstīt = vai &.
Piemērs:
EMA banzai*mail.ru.Alert From Provider.Vykhodi iz Ineta, zaraza! = Ne mogu do tebja dozvonitsja!!!

Jūsu tālruņa numurs tiks parādīts kā paraksts. Varat pielāgot jebkuru citu parakstu ( detalizētas instrukcijas– eXcell tīmekļa vietnē. Atcerieties, ka katra šādā veidā nosūtītā vēstule jums izmaksās 12 centus.

SgiC (somi) – vēl viena SMS – e-pasta vārteja. Slinkajiem īsumā: nosūtiet SMS uz tālruņa numuru +358 40 517 4761, pirmais vārds ir e-pasta adrese (@ vietā var lietot #). Pēc tam, atdalot to ar atstarpi, uzrakstiet īsto ziņojumu.

Piemēri:
[aizsargāts ar e-pastu]Šis ir pārbaudījums, ou! (Tieši somi ir tik laimīgi :)
evolving#oeoe.fi Šis ir vēl viens pārbaudījums, hopla!*
Katra šādā veidā nosūtītā vēstule jums arī izmaksās 12 centus.

Vai vēlaties e-pasts -> SMS vārteju? Uzrakstiet viņiem vēstuli. Vislabāk angļu valodā un uz adresi [aizsargāts ar e-pastu]. Un internetā tās var atrast šeit, tikai tur viss ir somu valodā.

Un tālāk. Lai būtu uzticamāki, vislabāk ir izmantot Rietumu SMS centrus, piemēram, Turkcell. Viņi piegādā pastu gandrīz uzreiz.

Kā nosūtīt ziņu no tālruņa uz ICQ?

Tieši tas pats, kas e-pasts, ar vienīgo atšķirību, ka adrese izskatīsies šādi: [aizsargāts ar e-pastu], kur ICQ_numurs ir jūsu abonenta ICQ identifikācijas numurs.

Piemērs:
EMAIL 1111111@ pager.icq.com.email ātrā ziņa. Vai jūs joprojām esat dzīvs?
Pārbaudīta metode: ziņojumi, izmantojot Turkcell, visātrāk sasniedz Somijas e-pasta vārtus.

Kā saņemt e-pastu savā mobilajā tālrunī?

SMS piegāde pa e-pastu darbojas testa režīmā. Nosūtiet e-pastu uz [aizsargāts ar e-pastu] Priekš tiešais numurs, [aizsargāts ar e-pastu] par "greizu". Jāatceras, ka krievu burti tiek pareizi transliterēti, ja vēstule tiek nosūtīta uz WIN kodējums, tāpēc, lai pārliecinātos, labāk uzreiz rakstīt latīņu valodā. “Pārbaude” nozīmē, ka MTS negarantē šī pakalpojuma darbību visu diennakti un bez traucējumiem. Par katru šādā veidā nosūtīto e-pastu jūs saņemat kvīti par SMS piegādi vai buferizāciju.

Mums ir arī viens uzņēmums, kas pagaidām ļauj to darīt bez maksas. Jūs varat reģistrēties šajā vietnē un izveidot savu Pastkaste laipns [aizsargāts ar e-pastu], un vietnes iestatījumos pierakstiet savu numuru Mobilais telefons. No šī brīža viss pasts tiks saņemts uz jūsu adresi [aizsargāts ar e-pastu] tiks nosūtīta kā SMS uz jūsu tālruni. Ierobežojums ir 160 rakstzīmes, tāpat kā jebkurai īsziņai. Pielikumi, protams, netiek rādīti.

Lai izmantotu šo iespēju praksē, ir jāiegādājas sev pastkastīte, kas ļautu vienlaikus atstāt ziņu un pārsūtīt to uz savu adresi over.ru, un tad, tiklīdz pasts pienāk, saņemsi paziņojumus savā tālrunī. Ja uzskatāt ziņu par svarīgu, bet nevarat to izlasīt (teiksim, izrādās, ka tas ir garāks par 160 rakstzīmēm vai ir pievienots fails), nekavējoties, pēc iespējas ātrāk, dodieties tiešsaistē un izlasiet ziņojumu parastajā cilvēciskā veidā.

Kā nosūtīt SMS no interneta?

To var nosūtīt no MTS servera. Bet neviens jums neko negarantē (arī naudu): " testa režīms" Numurs ir jāieraksta starptautiskajā formātā, bet bez “+”, piemēram, 70957601234, 79026801234

Atšķirība sūtot SMS no MTS servera no citiem tādā ziņā, ka viņš krievu burtus transliterē latīņu valodā un arī neķītrus vārdus aizpilda ar zvaigznītēm. Kādi vārdi, jūs jautājat? Man tādi ir :) Lamuvārdu vārdnīcu 2pac atrada mobilajā telekomā, un visticamāk tas pats filtrs ir uz MTS, jo Arī šis ir Ļebedeva kunga (kurš projektēja MTS serveri) rokdarbs. Šeit viņš ir

Pastāv arī nedokumentēta MTS servera iespēja nosūtīt SMS krievu valodā uz ierīcēm, kas atbalsta kirilicas alfabētu. Algoritms ir šāds: caur servisa centru +70957699800 nosūtiet ziņojumu uz numuru 0 (nulle) ar tekstu “UCS2” (protams, bez pēdiņām). Pēc tam ziņojumus no MTS vietnes var nosūtīt tieši krievu valodā. To visu var atcelt, nosūtot ziņu ar tekstu “DEFAULT”.

Internetā ir arī daudzas vietas, no kurām bez maksas var nosūtīt SMS uz MTS tālruni. Diemžēl daudzi labi zināmie bezmaksas SMS sūtītāji periodiski nedarbojas (vai nedarbojas Maskavā).

Pagergate 2.0 (Krievija) – periodiski nedarbojas.
sms.pagergate.ru - nez kāpēc darbojas labāk nekā PagerGate, lai gan tiek izmantots tas pats aprīkojums.
Golden Telecom (Ukraina) - lielisks pakalpojums, tas var nosūtīt SMS krievu valodā uz ierīcēm, kas atbalsta kirilicu. MTS kādu iemeslu dēļ īslaicīgi netiek apkalpots.
Vācu serveris - jāreģistrējas, pēc kura varēsiet sūtīt SMS visā pasaulē starptautiskā formātā.

2. daļa. Bezmaksas zvani

Ir zināms, ka MTS pirmās 20 sekundes ienākošo zvanu un pirmās 5 sekundes izejošo zvanu ir bezmaksas, taču tas ir oficiāli. Kā jūs varat runāt pa mobilo tālruni ilgāk, netērējot papildu naudu? Un vai tas vispār ir iespējams?

Kā bez maksas piezvanīt uz MTS tālruni, tostarp no pilsētas?

Izrādās, ka tas ir iespējams. Jums tikai rūpīgi, rūpīgi, līdz pēdējam burtam, jāizpēta visas instrukcijas, kuras saņēmāt, pērkot tālruni (atcerieties padomju produktu instrukcijas, līdz pat ķemmei, attīstītā sociālisma perioda "1. pozīcija. Tas ir stingri aizliegts lietot produktu, kamēr neesat izlasījis šo instrukciju un stingri ievērojat tos ”?) Iespējams, ka arī klientu apkalpošanas komanda nav pietiekami rūpīgi izlasījusi tās instrukcijas :)

Izrādās, ka tas atrodas divu pakalpojumu krustpunktā: GP (balss pasts) un SMS. Fakts ir tāds, ka, kad ģimenes ārsts saņem ziņojumu, tas nosūta jums SMS paziņojumu. Bet jūs varat ierakstīt ziņojumu ģimenes ārsta ne tikai pārsūtot, bet arī tieši caur pakalpojumu 7661 “klausoties ziņas balss pasts”.

Tātad, neliela darbnīca. Mēs zvanām 7661 - tas, protams, ir bez maksas. Klausīsimies 8. mājienu – uzmanīgi, līdz pēdējai skaņai. Jā, lai nosūtītu ziņojumu, mēs izsaucam ** — tā ir taustiņu kombinācija! Tagad viss ir vienkārši: tiešajam numuram zvanām 57601234, “greizam” numuram 26801234, noklausies sveicienu, pasaki ziņu, spied #. Otrais abonents saņem SMS, zvana 7661 - atkal bez maksas, noklausās ziņu.

No pilsētas ir vēl vieglāk. Zvanām 7661111, ejam uz toni, tad uz tiešo 57601234, par “greizo” 26801234, noklausāmies sveicienu, pasakām ziņu, noliekam klausuli. Papildu ieguvums no šīs metodes: sastādiet “šķību” numuru, nekautrējoties ar “astoņiem”.

Kā bez maksas sarunāties starp diviem tālruņiem?

Nu, ja var bez maksas zvanīt no viena telefona uz otru, tad kas liedz zvanīt no otrā uz pirmo?

Tas ir, tas ir pusdupleksais režīms: es jums saku ziņojumu, jūs klausāties; jūs runājat, es klausos, un nav nepieciešams pārtraukt savienojumu ar ģimenes ārstu: ziņojuma beigas #, izeja uz galveno izvēlni *. Vienīgais trūkums: katru reizi ir jāuzklausa sveiciens, bet kaut kas nav kārtībā :) Turklāt tas ir bezmaksas, un tas ir pūļu vērts.

Vai tā ir taisnība, ka iepriekš minētais tiešām ir tāds, kā aprakstīts? Es nespēju noticēt. Bet klientu serviss man atbildēja savādāk. Ko man darīt?

Pirmkārt: ja rodas šaubas, labāk to neizmantot. Šīs funkcijas ir paredzētas tikai apņēmīgiem un riskētiem cilvēkiem.

Otrkārt: par servisu un uzticamību/neuzticamību, maksas/bezmaksas – vēlreiz uzmanīgi izlasiet sadaļas priekšvārdu.

Un visbeidzot, trešais. Ko man darīt? Jā, ļoti vienkārši. Pasūtiet zvanu izdruku vienu dienu iepriekš, ja jums nav ikmēneša. Tas jums izmaksās 0,24 USD, citiem vārdiem sakot, apmēram 7 rubļus. “Maksā un guli labi” (ar) tu zini ar kuru :)

P.S. MTS Service Desk ziņojums: GP nesavienojas ar Šis brīdis ne arī abonentiem ar federālie numuri, ne arī abonentiem ar tiešajiem Maskavas numuriem. Diemžēl servisa dienestam nav informācijas par iespēju sākt pieslēgt šo pakalpojumu.

Rakstā izmantoti materiāli no MTS vietnes lapām