Методы защиты от компьютерных вирусов
Для решения задач антивирусной зашиты должен быть реализован комплекс известных и хорошо отработанных организационно- технических мероприятий:
использование сертифицированного программного обеспечения;
организация автономного испытательного стенда для проверки на вирусы нового программного обеспечения и данных. Это мероприятие эффективно для систем, обрабатывающих особо ценную информацию;
ограничение пользователей системы на ввод программ и данных с посторонних носителей информации — отключение пользовательских дисководов для магнитных и оптических носителей информации. Особенно эффективным это становится при переходе на технологию электронного документооборота;
запрет на использование инст рументальных средств для создания программ в самой системе;
резервное копирование рабочего программного обеспечения и данных. Для критических систем рекомендуется циклическая схема тройного копирования данных, когда рабочая копия файла хранится на диске рабочей станции, одна архивная копия в защищенной области на сервере и еще одна архивная копия на съемном носителе информации. При этом периодичность и порядок обновления архивных копий регламентируются специальной инструкцией;
подготовка администраторов безопасности и пользователей по вопросам антивирусной защиты. Низкая квалификация администраторов безопасности и пользователей по вопросам антивирусной защиты приводит к ошибочным действиям при настройке системы и в случае возникновения нештатных ситуаций.
|
|
7.4. Программы борьбы с компьютерными вирусами
Параллельно с общими средствами защиты информации применяются специализированные антивирусные программы, которые можно разделить на несколько видов: детекторы, доктора (фаги), ревизоры, доктора-ревизоры, фильтры и вакцины (иммуниза- торы).
Программы-детекторы позволяют обнаруживать файлы, зараженные одним из нескольких известных вирусов, на основе специфической комбинации байтов и выводить сообщение. Многие детекторы имеют режимы лечения или уничтожения зараженных файлов. Некоторые программы могут обучаться не только способам обнаружения, но и способам лечения новых вирусов.
Программы-ревизоры (ADINF с лечащим модулем Adinf Cure Module, лаборатория Касперского) сначала запоминают сведения о состоянии незараженных программ и системных областей и могут в любой момент сравнить это состояние с исходным. О выявленных несоответствиях сообщается пользователю. Чтобы проверка состояния проходила при каждой загрузке операционной системы, необходимо включить команду запуска программы-ревизора в командный файл autoexec.bat. Это позволяет обнаружить заражение компьютерным вирусом, когда он еще не успел нанести большого вреда.
|
|
Существуют полезные гибриды ревизоров и докторов, т. е. доктора-ревизоры (Adinf-Adinfxt, AVSP), — программы, которые moi ут обнаружить изменения в файлах и системных областях дисков и автоматически вернуть их в исходное состояние. Гакие программы более универсальны, поскольку при лечении они используют заранее сохраненную информацию о состоянии файлов и областей дисков. Это позволяет им лечить даже от новых вирусов, но лишь от тех, которые используют «стандартные» механизмы заражения файлов.
Программы-фильтры (антивирусный монитор-D, FluShol Plus) располагаются резидентно в оперативной памяти компьютера, перехватывают те обращения к операционной системе, которые используются вирусами для размножения и нанесения вреда, и сообщают о них пользователю. Пользователь может разрешить или запретить выполнение соответствующей операции. Использование фильтров вызывает замедление работы, однако позволяет обнаружить многие вирусы на самой ранней стадии и свести убытки от их действий к минимуму.
Программы-вакцины, или иммунизаторы, модифицируют программы и диски без изменения их принципов работы, но вирус, от которого производится вакцинация, считает их уже зараженными и обходит стороной. Эти программы иногда эффективны.
|
|
Рассмотренные мероприятия являются стандартными для рабочих станций. Вероятность вирусной атаки значительно возрастает при объединении компьютеров в сеть и становится неизбежной при подключении к информационно-вычислительным сетям общего пользования.
Компьютерные сети имеют архитектурные особенности, которые оказывают влияние на уязвимость компьютерных систем при воздействии программных вирусов:
поддержка различных сетевых информационных услуг и удаленных пользователей:
значительный объем обмена информацией между компьютерами;
наличие различных платформ и протоколов взаимодействия;
сложная конфигурация систем с большим количеством разнотипных узлов сети;
использование информационных ресурсов публичных компьютерных сетей.
Организация антивирусной защиты — сложная техническая и административная задача, требующая выработки политики антивирусной безопасности.
Полноту покрытия вирусного пространства проверяют в ходе тестовых испытаний, используя для этого коллекции вирусов, куда входят: набор примерно из 400 «живых» вирусов, встречающихся на практике в настоящее время; макровирусы, поражающие документы офисных приложений; полиморфные вирусы, меняющие свой код при генерации каждой новой копии; стандартные вирусы.
|
|
Периодически проводимые специализированными организациями испытания наиболее популярных антивирусных средств показывают, что они способны обнаруживать до 99,8% известных вирусов.
Защита от несанкционированного доступа • J«к информации
Современная концепция защиты информации предусматривает реализацию стратегии разграничения доступа пользователей к различным категориям информационных ресурсов с ограничением доступа к системе посторонних субъектов. Реализация стратегии разграничения доступа основана на применении административно-правовых, организационных, криптографических и физических методов.
Выделенные помещения, экраны, заземление и генераторы шума реализуют защиту информации на физическом уровне взаимодействия, ограничивая физический доступ посторонних лиц и технических устройств к носителям информации.
Криптографические методы реализуют защиту информации на синтаксическом уровне, используя уникальные знаковые системы для представления информации, а программно-аппаратные средства разграничения доступа — на семантическом уровне, регламентируя функциональные возможности пользователей по доступу к электронным файлам и функциям по их обработке.
Выбор оптимального набора средств защиты, объединение их в единую подсистему и интеграция в информационно-коммуника- пионную систему должны осуществляться специалистами по защите информации.
В зависимости от характеристик обрабатываемой информации, политики информационной безопасности, архитектуры и других параметров информационной системы могут использоваться средства разграничения доступа пользователей к информационным ресурсам различных категорий, контролировать локальный и удаленный вход в автоматизированную систему.
Разграничение доступа может быть реализовано механизмами операционной системы, специальными программными или программно-аппаратными средствами зашиты. В программно-аппаратных средствах защиты часть функций реализуется в аппаратных устройствах (специальных процессорах, электронных ключах, электронных устройствах идентификации и других). Аппаратная реализация обеспечивает более высокую устойчивость к попыткам обхода системы защиты нарушителем.
Требования к средствам защиты информации от несанкционированного доступа и порядок их использования в Российской Федерации определяются документами Гостехкомиссии.
7.6. Использование криптографии1
Защита сетевых ресурсов от несанкционированного доступа становится одной из наиболее острых проблем, особенно если учитывать тот факт, что Интернет в настоящее время повсеместно используется для транспортировки и хранения различных данных и конфиденциальной корпоративной информации.
Задача защиты информации особенно актуальна для владельцев онлайновых информационных баз данных, издателей электронных журналов и т. п.
Основные методы защиты информации базируются на методах криптографии — науки о принципах, средствах и методах преобразования информации для защиты ее от несанкционированного доступа и искажения. Переход на цифровые методы передачи и хранения информации позволяет применять унифицированные алгоритмы защиты дискретной (текст, факс, телекс) и непрерывной (речь) информации.
С помощью криптографических методов возможны:
шифрование информации;
реализация электронной подписи;
распределение ключей шифрования;
зашита от случайного или умышленного изменения информации.
К алгоритмам шифрования предъявляются определенные требования:
высокий уровень защиты данных против дешифрирования и возможной модификации;
1 По материалам [5].
защищенность информации должна основываться только на знании ключа и не зависеть от того, известен алгоритм или нет (правило Киркхоффа);
малое изменение исходного текста или ключа должно приводить к значительному изменению шифрованного текста (эффект «обвала»);
область значений ключа должна исключать возможность дешифрирования данных путем перебора значений ключа;
экономичность реализации алгоритма при достаточном быстродействии;
стоимость дешифрирования данных без знания ключа должна превышать стоимость данных.
Криптография — древняя наука. Обычно это подчеркивают рассказом о Юлии Цезаре (100—44 гг. до н. э.), переписка которого с Цицероном (106—43 гг. до н. э.) и другими «абонентами» в Древнем Риме шифровалась. Шифр Цезаря, иначе шифр циклических подстановок, состоит в замене каждой буквы в сообщении буквой алфавита, отстоящей от нее на фиксированное число букв. Алфавит считается циклическим, т. е. после Zследует Л. Цезарь заменял букву буквой, отстоящей от исходной на три позиции.
Сегодня в криптографии приня го оперировать символами не в виде букв, а в виде соответствующих им чисел. Так, в латинском алфавите можно использовать числа от 0 до 25 (Z). Обозначив число, соответствующее исходному символу, х, а закодированному — v\ можем записать правило применения подстановочного шлфра:
у = г (mod N),
где z — секретный ключ,
N — количество символов в алфавите, а сложение по модулю N — операция, аналогичная обычному сложению, с тем лишь отли -чием, что если обычное суммирование дает результат, больший или равный /V то значением суммы считается остаток от деления его на N.
Можно утверждал ь, ч го на протяжении веков дешифрованию криптограмм помогает частотный анализ появления отдельных символов и их сочетаний. Вероятности появления отдельных букв в тексте сильно разнятся (в русском языке, например, буква «о» появляется в 45 раз чаще буквы «ф»). Это, с одной стороны, служит основой как для раскрытия ключей, так и для анализа алгоритмов шифрова - ния, а с другой — является причиной значительной избыточности (в информационном смысле) текста на естественном языке.
В 1949 г. статья К. Шеннона «Теория связи в секретных системах» положила начало научной криптографии.
Алгоритмы шифрования реализуются программными или аппаратными средствами.
Существует множество программных реализаций различных алгоритмов. Из-за своей дешевизны (некоторые и вовсе бесплатны), а также все большего быстродействия процессоров ПК, простоты работы и безотказности эти программы весьма конкурентоспособны. Широко известна программа Diskreet из пакета Norton Utilities, а также пакет PGP (Pretty Good Privacy, Ф. Циммерман), в котором комплексно решены практически все проблемы защиты передаваемой информации. Публикации журнала «Монитор» с подробными описаниями различных алгоритмов и соответствующими листингами дают возможность каждому желающему написать свою программу (или воспользоваться готовым листингом).
Аппаратная реализация алгоритмов возможна с помощью специализированных микросхем или с использованием компонентов широкого назначения (например, цифровые сигнальные процессоры).
Для защиты информации, передаваемой по каналам связи, служат устройства канального шифрования, которые изготавливаются в виде интерфейсной карты или автономного модуля.
Однако шифрование следует рассматривать только как один из методов защиты информации и применять обязательно в сочетании с законодательными, организационными и другими мерами.
С 1999 г. появилась еще одна проблема информационной безопасности - спам. Это анонимная массовая непрошеная рассылка. Сейчас около 30% всех электронных писем являются спамом. Наводнение спама приводит к ежегодным убыткам, оцененным до 20 млрд долл. Спам в пределах одной компании приводит к убыткам от 600 до 1000 долларов ежегодно, из расчета на одного пользователя.
Также широко распространяется сейчас промышленный шпионаж - устройство стоимостью всего 10$, в случае его удачного размещения может привести фирму к банкротству.
В наше время злоумышленники могут получить доступ не только к открытой информации, но и к информации, содержащей государственную и коммерческую тайну (в 2003 г. ФСБ пресечено более 900 попыток проникновения в информационные ресурсы органов государственной власти России).
Интернет - это объединение в масштабе всей планеты группы сетей, которое использует единый протокол для передачи данных.
Интернет-злоумышленников классифицируют на две большие группы: шпионы и луддиты.
Шпионы занимаются кражей информации, а луддиты взламывают сети и управляют ею, засылая туда вирусы.
Эти группы подразделяются на: хакеров, фракеров, кракеров, фишеров, скамеров, спамеров.
Хакеры
Слово хакер (hacker) проникло в русский язык из английского. Хакерами в XIX веке называли плохих игроков в гольф, своего рода дилетантов. Потом это понятие перекочевало в обыденную жизнь и стало использоваться чопорными англичанами для обозначения непрофессионалов в любых сферах деятельности.
Хакеров тоже можно разделить на четыре группы.
Первая группа. Случайные люди и политические активисты.
К первой группе компьютерных хулиганов относятся те, кто иногда занимаются взломом чужих программ. Большинство из таких хакеров - вполне приличные люди, профессиональные программисты, которые используют свои знания и умения для удовлетворения собственного любопытства или самоутверждения. К этой же группе относятся и хакеры, мотивы деятельности которых лежат в области политики. Многие взломщики, провозглашающие себя борцами за политические идеалы, на самом деле подобным образом реализуют свои несколько наивные представления о том, что, совершая мелкие гадости по отношению, например, к сайтам ненавистного им политического течения, они творят правосудие. Некоторые из них проникают на сайты конкурирующих политических организаций, другие помогают диссидентам, проживающим в условиях тоталитарных режимов, обмениваться информацией с внешним миром.
Вторая группа. Собственные сотрудники компании.
Персонал и доверенные лица, к которым относятся консультанты, эксперты или поставщики, представляют собой наибольшую угрозу для корпоративной системы компьютерной безопасности. Вовлеченные в сложные бизнес-отношения, эти лица могут иметь собственные мотивы для совершения компьютерных правонарушений, причем мотивы эти бывают весьма курьезного свойства. Например, взлом корпоративного сервера может быть совершен из стремления удовлетворить собственное любопытство относительно заработной платы коллег по работе или из-за обиды на руководство.
Третья группа. Кибер-хакеры.
Последнюю категорию хакеров составляют программисты высочайшего уровня, для которых компьютерный взлом стал профессией.
Американские власти панически боятся киберпреступников и тратят огромные деньги на борьбу с ними. Только по официальным данным, в прошлом году жертвами компьютерных взломщиков стали около 85% коммерческих компаний и правительственных организаций.
Еще в июле Генпрокуратура США создала десять новых подразделений для борьбы с киберпреступлениями.
В ФБР считают, что инструменты и методы, используемые постоянно совершенствующимися в своем мастерстве хакерами, нацелены на разрушение экономики США и являются частью замысла террористов. Террористы нанимают хакеров и фишеров для зарабатывания денег, установления контроля над интересующими их объектами, а также в целях пропаганды своих идей и деятельности.
Четвертая группа. Легальные хакеры.
Это те, которые абсолютно легально работают на различные компании, пытаются взломать их сайты, а если им это удается, то показывают разработчикам на «дыры» в системе. Но здесь есть определенная опасность.
С одной стороны, компания, нанявшая такого специалиста, рискует потерять конфиденциальную информацию, ведь никто не знает, как воспользуется взломанной информацией такой работник.
Но существует и обратная угроза. За таким делом могут поймать и самого взломщика. Так в 2003 г. произошло с русским хакером Алексеем Ивановым, который был приговорен в США к четырем годам тюрьмы и трехлетнему нахождению под наблюдением.
Фракеры
Фракеры - приверженцы электронного журнала Phrack, осуществляют взлом интрасети в познавательных целях для получения информации о топологии сетей, используемых в них программно- аппаратных средствах и информационных ресурсах, а также реализованных методах защиты. Эти сведения могут тем или иным способом (покупка, хищение и т.п.) попасть к заинтересованным в них
лицам, которые и осуществят НСД. На руку хулиганам играют сами же работники компаний. Так, директора компаний или же секретари из-за незнания правил безопасности могут предоставить вход в ин- трасеть компании фракеров. Фракеры действуют только в сетях, где доступ в Интернет осуществляется на основе телефонных линий.
Кракеры
Кракер - лицо, изучающее систему с целью ее взлома. Именно кракеры реализуют свои криминальные наклонности в похищении информации и написании вирусов, разрушающих ПО. Они применяют различные способы атак на компьютерную систему, используя принципы построения протоколов сетевого обмена. Кракеры разрабатывают специальное программное обеспечение, засылая его на взломанную машину. Основная задача кракера состоит в непосредственном осуществлении взлома системы с целью получения несанкционированного доступа к чужой информации - иначе говоря, для ее кражи, подмены или для объявления факта взлома. Кракер, по своей сути, ничем не отличается от обычного вора, взламывающего чужие квартиры и крадущего вещи. Он взламывает вычислительные системы и крадет чужую информацию.
Фишеры
Фишеры (от английского fisher - рыбак) - сравнительно недавно появившаяся разновидность Интернет-мошенников, которые обманным путем выманивают у доверчивых пользователей сети конфиденциальную информацию: различные пароли, пин-коды, данные, используя фальшивые электронные адреса и поддельные веб-сайты и т.п.
Скамеры
Скамеры - это мошенники, рассылающие свои послания в надежде поймать на наживку наивных и жадных. Интернет-телефония становится все более популярной. На сегодня зарегистрировано уже довольно много случаев обращения мошенников к пользователям Skype-сервисом IP- телефонии, позволяющим пользователям связываться посредством компьютер-компьютер и компьютер-телефон.
Одним из первых схем обработки, использованной мошенниками в голосовом общении, - предложение клиенту выдать себя за наследника богатого клиента юридической компании, скончавшегося и не оставившего завещания. Сам мошенник при этом выступал в роли поверенного умершего богача и предлагал свои услуги человеку с якобы подходящими для такой аферы именем и фамилией. Предполагалось, что это может позволить тому выдать себя за внезапно нашедшегося наследника, а вырученные таким образом деньги мошенник предлагал разделить пополам.
Естественно, от будущего наследничка требуется заполнить некоторое количество бумаг (для отвода глаз и дабы не возбуждать подозрений), а затем перевести деньги. После чего ни наследства, ни денег, ни мошенника клиент уже не увидит.
Спамеры
Спамеры - это те, от кого приходят в наши почтовые ящики не запрошенные массовые рассылки. Спамеры бывают разных категорий и весьма неоднородны. Рынок спамерских услуг - это действительно рынок, скорее даже индустрия. Индустрия эта довольно зрелая, поэтому она делится на разные слои. Можно выделить как минимум четыре-пять основных слоев:
Рассыльные службы. Это собственно и есть спамеры - те, кто рассылает спам. Это что-то вроде фирм или просто организованных групп весьма квалифицированных людей, часто с программистским прошлым (и настоящим). Эти фирмы имеют довольно совершенное программное обеспечение, которое умеет рассылать большие количества писем в единицу времени (до 100 писем в секунду, то есть 200 тысяч в час) и заметать следы. Они предлагают рассылку по миллионам адресов и берут за нее относительно небольшие деньги. Бизнес этот довольно выгодный - успешная российская спамерская контора может зарабатывать несколько десятков тысяч евро в месяц.
Собиратели баз данных. Этот вид игроков обслуживает нужды рассыльщиков и собирает для них почтовые адреса, которые объединяет в базы адресов. Они используют разнообразное программное обеспечение, которое умеет собирать адреса в Интернете, проверять их работоспособность, помещать в базу. При этом применяются разнообразные методы - от кражи адресов у провайдера до подбора адресов (с помощью различных эвристических алгоритмов и так называемых словарных атак).
Производители ПО. Это те, кто производит программное обеспечение для спамеров - софт для сбора адресов с сайтов и форумов (сетевые пауки), софт для массовой быстрой рассылки, софт для проверки существования и работоспособности адресов, и т.д.
Начинающие спамеры. Такой спамер пытается организовать свой бизнес рассылки, пользуясь техническими негодными средствами, - покупает карточку провайдера, рассылка идет через модем и т.п. Рас-
ссылаемые таким способом письма составляют небольшую долю в общем количестве спамов - слишком много проблем (карточка быстро кончается, скорость рассылки очень низкая, база адресов устарела, провайдер может заметить и закрыть счет и т.д.). Такие спамеры обычно не очень хорошо заметают следы, от них в принципе можно ожидать рассылки письма с вирусом и т.п. Есть и другой вид спамера. Это чаще всего маркетинговые сотрудники обычных компаний, которые вдруг открыли для себя фантастические возможности рекламы электронной почты. Обычно адреса они берут просто с сайтов, честно указывают все свои координаты, обратный адрес, обычно настоящий, и т.д. Отрезвление происходит обычно быстро - провайдер замечает рассылку и отключает домен. Почта перестает ходить и приходится долго переписываться с провайдером, чтобы снова ее включить.
Дата добавления: 2016-01-03; просмотров: 18; Мы поможем в написании вашей работы! |
Мы поможем в написании ваших работ!