Архитектура ПК и программное обеспечение

 

Утилиты для проведения DDoS-атак (Distributed Denial of Service - распределенные атаки типа отказ в обслуживании);

 

Шпионские и рекламные программы, а также программы дозвона;

 
Серверы рассылки спама;

 

Многокомпонентные "троянцы»-загрузчики (переписывают из Интернета и внедряют в систему другие вредоносные коды или вредоносные дополнительные компоненты).

 

На практике часто встречаются  программы-"троянцы", относящиеся  сразу к нескольким перечисленным  выше видам.

Утилиты несанкционированного удаленного администрирования

 

Удаленное управление компьютером  часто используется в крупных  и средних компаниях, а также в тех случаях, когда необходимо оказать техническую помощь пользователю, находящемуся на значительном расстоянии. С помощью средств удаленного управления системный администратор может настроить каждый компьютер в организации, не вставая со своего рабочего места. Однако эта полезная функциональность в руках злоумышленника превращается в грозное оружие. "Троянские кони" часто представляют собой вполне легальные утилиты удаленного управления, адаптированные под нужды хакеров. Если злоумышленнику удастся внедрить такого "троянца" в чужую систему, он сможет незаметно управлять этим компьютером втайне от его настоящего владельца.

 

Управление зараженным компьютером  обычно осуществляется через Интернет. Вот лишь небольшая часть того, что может сделать злоумышленник на инфицированном ПК: выкрасть любую информацию с компьютера-жертвы (файлы, пароли, реквизиты и т.д.), провести любую файловую операцию (отформатировать жесткий диск, стереть или переименовать какие-то файлы и т.д.), перезагрузить компьютер, подключиться к сетевым ресурсам, использовать зараженный компьютер для атаки на какой-то третий компьютер или сервер в Интернете.

Утилиты для проведения DDoS-атак

 

Цель DoS-атаки, или атаки типа отказ  в обслуживании, - исчерпать ресурсы  информационной системы. В случае успешного проведения DoS-атаки система перестает выполнять свои функции, становится недоступной и иногда непредсказуемой. Чаще всего объектом атаки типа отказ в обслуживании является web-сервер, например Интернет-магазин.

 

DDoS-атака, или распределенная атака типа отказ в обслуживании, отличается от DoS-атаки тем, что в ней один и тот же узел атакуют сразу несколько компьютеров.

 

Для того чтобы исчерпать ресурсы web-сервера, злоумышленник должен искусственно создать повышенную нагрузку на него. Каждый web-сервер тратит определенные ресурсы (память, вычислительные мощности и т.д.) на обработку входящих запросов. Если большое число компьютеров, на которых установлена утилита для проведения DDoS-атак, одновременно начнут посылать свои запросы web-серверу, то велика вероятность, что ресурсы web-сервера быстро исчерпаются, а сам сервер не сможет обслуживать легальных пользователей.

 

Технология DDoS-атак изначально была разработана  отнюдь не для преступных целей. Напротив, она использовалась для тестирования пропускной способности каналов передачи данных и максимальной нагрузки, с которой узел сети может справиться.

Шпионское и рекламное ПО, программы  дозвона

 

Шпионские программы втайне наблюдают  за действиями пользователя и записывают в свой журнал интересующие злоумышленника события. Существует класс программ - клавиатурные шпионы. Эти вредители следят за пользователем и записывают каждое нажатие клавиши. По команде хакера или через определенное время клавиатурный шпион отсылает собранные сведения на компьютер злоумышленника. Существуют также "троянцы"-шпионы, которые отсылают на удаленный компьютер пароли и другую личную информацию пользователя.

 

Суть рекламных программ вытекает из их названия: эти компьютерные паразиты любым способом пытаются рекламировать продукты или услуги каких-то третьих компаний. Чтобы добиться своего, рекламные программы могут встроить рекламные объявления в какое-нибудь наиболее часто используемое приложение, например в web-браузер. Рекламные программы также используют всплывающие окна, в которых либо показывается объявление, либо сразу же загружается рекламная страница из Интернета. Наиболее недобросовестным и трудноопределяемым способом рекламы является подтасовывание результатов поиска в Интернете. Когда пользователь ищет что-то в поисковой машине, рекламная программа изменяет результаты поиска таким способом, чтобы наверху оказались ее собственные рекламные ссылки и объявления.

 

Программы дозвона - это компьютерные паразиты, которые пытаются с помощью  модема и телефонной линии дозвониться до платного сервера, находящегося чаще всего в другой стране. Такие серверы обычно предоставляют различные услуги порнографического характера и берут со своих пользователей поминутную оплату. Если вредоносной программе дозвона удастся соединиться с таким удаленным сервером и продержать соединение несколько минут, то пользователю потом придет счет на оплату услуг порнографического сервера и международные переговоры.

Серверы рассылки спама

 

Спам, или нежелательные электронные  сообщения, будет подробно рассматриваться дальше. Здесь мы остановимся лишь на средствах рассылки непрошеных сообщений.

 

Чтобы избежать ответственности за рассылку спама, злоумышленники не рассылают  письма со своего компьютера. Они предпочитают заразить компьютеры других пользователей Интернета специальным "троянцем", который превратит чужой ПК в сервер рассылки спама. Злоумышленнику останется лишь указать троянской программе, какое письмо и по каким адресам следует рассылать. Ответственность за эти незаконные действия будет нести легальный пользователь зараженного компьютера.

 

 

Говоря об антивирусной защите, требуется  разделять корпоративные и частные  системы. Если речь идет об информационной безопасности организации, то необходимо позаботиться не только о технических (программных и аппаратных) средствах, но и об административных.

 

Если в некоторой компании есть сеть, не связанная с Интернетом, то вирус извне туда не проникнет, а чтобы вирус случайно не попал  в корпоративную сеть изнутри, можно  просто не давать пользователям возможности самостоятельно считывать носители информации, такие как CD-диски, USB-флэш или выходящие из употребления дискеты. Например, если кому-то из сотрудников необходимо считать что-либо с CD, он должен обратиться к администратору, который имеет право установить CD и считать данные. При этом за проникновение вирусов с этого CD уже несет ответственность администратор.

 

При нормальной организации безопасности в офисе именно администратор  контролирует установку любого ПО; там же, где сотрудники бесконтрольно  устанавливают софт, в сети рано или поздно появляются вирусы.

 

Большинство случаев проникновения  вирусов в корпоративную сеть связано с выходом в Интернет с рабочей станции. Существуют режимные организации, где доступ к Интернету  имеют только неподключенные к корпоративной сети станции. В коммерческих организациях такая система неоправданна. Там Интернет-канал защищается межсетевым экраном и прокси-сервером. Во многих организациях разрабатывается политика, при которой пользователи имеют доступ лишь к тем ресурсам Интернета, которые нужны им для работы.

 

Конечно, поддержка политики жесткого разграничения прав доступа требует  дополнительных инвестиций, а в ряде случаев приводит к замедлению выполнения некоторых работ. Поэтому каждая компания должна искать для себя разумный компромисс, сопоставляя финансовые потери от порчи информации и замедления бизнес-процессов. В ситуации, когда документы содержат важные стратегические данные, например государственную тайну, именно степень ущерба в случае разглашения тайны определяет бюджет на меры безопасности.

 

Помимо антивирусной защиты важно  не забывать о таком важном средстве защиты данных, как резервное копирование. Резервное копирование является стратегическим компонентом защиты данных. Если данные уничтожены вирусом, но у администратора есть вовремя сделанная резервная копия, потери будут минимальными.

 

При заражении компьютера вирусом  важно его обнаружить. Для этого  следует знать об основных признаках  проявления вирусов. К ним можно  отнести следующие:

 

 прекращение работы или неправильная работа ранее успешно функционировавших программ;

 медленная работа компьютера;

   невозможность загрузки  операционной системы;

 

   исчезновение файлов и  каталогов или искажение их  содержимого;

  изменение даты и времени  модификации файлов;

 

   изменение размеров файлов;

 

   неожиданное значительное  увеличение количества файлов  на диске;

 

   существенное уменьшение  размера свободной оперативной  памяти;

 

   вывод на экран непредусмотренных  сообщений или изображений;

 

   подача непредусмотренных звуковых сигналов;

 

   частые зависания и сбои  в работе компьютера.

 

Следует отметить, что вышеперечисленные  явления не обязательно вызываются присутствием вируса, а могут быть следствием других причин. Поэтому  всегда затруднена правильная диагностика состояния компьютера.

5.5. Антивирусы.

AVP (Antiviral Toolkit Pro, Kaspersky Antivirus, www.kaspersky.ru) - с помощью программ лаборатории  Касперского пресекаются все  возможные пути проникновения  вирусов в компьютер пользователя, включая Интернет, электронную почту, дискеты и т.д. Здесь используются все типы антивирусной защиты – сканеры (AVP сканер), мониторы (AVP монитор), поведенческие блокираторы и ревизоры изменений.

 

Dr. WEB (www.drweb.ru) - не менее известный  пакет от лаборатории Данилова. Это в первую очередь программа-полифаг, предназначенная для поиска и обезвреживания файловых, загрузочных и файлово-загрузочных вирусов. Ее отличает эвристический анализ (позволяет обнаружить вирусы, не известные ранее). Другие типы антивирусных средств (монитор, модуль для электронной почты) реализованы в виде отдельных программ.

 

Norton Antivirus (www.symantec.com) - мощнейший антивирусный  пакет фирмы Symantec, включающий  в себя все типы антивирусных  средств. Особенно надежную защиту  пакет представляет от сетевых вирусов. Также достаточно хорошо развиты эвристические возможности программы и удобный и быстрый способ обновления антивирусных баз.

 

Совершенный механизм обновлений антивирусных баз значительно укрепляет защиту персонального компьютера. Пользователи антивирусных программ могут получать круглосуточную техническую поддержку на сайте производителя.

5.6. Архиваторы

 

Архиваторы - это программы, позволяющие  создавать, за счет специальных методов  сжатия, копии файлов меньшего размера  и объединять копии нескольких файлов в один архивный файл, а также распаковывать архивы (извлекать файлы из архива).

 

Существуют различные алгоритмы  архивации данных без потери информации, т.е. при разархивации данные будут  восстановлены в исходном виде.

 

Самый простой алгоритм сжатия данных основан на замене повторяющихся битов (в тексте может иметься последовательность одинаковых символов, в графическом файле – закрашенная одним цветом область и т.д.). Например, в тексте подряд идут 10 пробелов, которые кодируются 10-тью байтами. При архивации они заменяются 3-мя байтами (первый байт – кодирует заменяемый символ; второй байт – специальный байт "флажка" архивации, который указывает на необходимость развернуть первый байт в последовательность байтов; третий байт указывает количество повторяющихся байтов).

 

Алгоритм кодирования одинаковых последовательностей символов ищет в текстовых файлах одинаковые слова, а в графических - одинаковые «узоры». Каждый такой фрагмент файла представляется определенным кодом (последовательностью  бит) и в процессе архивации при повторных появлениях заменяется ссылкой на первичный код.

 

Наиболее популярные форматы архивов

 

ZIP - еще со времен ОС DOS один  из самых популярных и распространенных  архивных форматов, основанный на  алгоритмах сжатия предложенных в 80-х годах прошлого столетия израильскими математиками Лемпелем и Зивом. Он отличается приемлемой степенью сжатия информации и достаточно высоким быстродействием. Сегодня он является стандартом де-факто в Интернете, и его поддерживают практически все программы-архиваторы.

 

RAR - разработан российским программистом  Евгением Рошалем и позволяет  получить размер сжатого файла  гораздо меньший, чем ZIP, ценой  этому является более продолжительный  процесс обработки архива. В целом  формат RAR значительно лучше других оптимизирован для решения сложных задач с использованием большого количества файлов и гигабайтных дисковых пространств.

 

CAB - применяется в продуктах  Microsoft как стандартный для упаковки  файлов, причем его алгоритм, нигде  не опубликованный, представляет собой достаточно совершенный продукт, имеющий высокий коэффициент сжатия.

 

GZIP, TAR - получили наибольшее распространение  в системах на базе Unix и ее  самой популярной разновидности  Linux.

 

ACE - достаточно новый формат  с высокой степенью сжатия, завоевывающий все большую популярность.

 

Многие программы, являющиеся достаточно популярными в мире архиваторов  базируются на том или ином формате  и носят аналогичные названия. Например, для ОС Windows наиболее популярными  являются архиваторы WinRAR, WinZIP, WinACE. Кроме этого все они имеют инструменты для работы с другими форматами архивов. Несмотря на это, могут возникнуть проблемы с совместимостью форматов архивов в различных программах. Во многих случаях удачным решением проблемы совместимости архивов различных типов является создание архивов в виде самораспаковывающихся программ (EXE-файлов), в состав которых входят все необходимые механизмы для извлечения информации из архива, таким образом, отпадает необходимость иметь на компьютере соответствующую программу-распаковщик архива.

5.7. Программы обслуживания жестких дисков

 

Основные операции, которые необходимо иногда проводить с жесткими дисками:

 

Разбиение на разделы. На жесткий диск может быть установлено одновременно несколько операционных систем. Для этого жесткий диск должен быть разбит на разделы, т.е. независимые области на диске, в каждом из которых может быть создана своя файловая система. Наиболее простой и традиционно используемой программой для этих целей в Windows является программа FDisk. ОС Windows 2000/XP имеют встроенную программу разбиения жестких дисков на разделы.