Шпаргалка по "Информационной безопасности"

Способ  функционирования большинства вирусов - это такое изменение системных  файлов компьютера, чтобы вирус начинал  свою деятельность при каждой загрузке. Некоторые вирусы инфицируют файлы  загрузки системы, другие специализируются на ЕХЕ-, СОМ- и других программных файлах. Всякий раз, когда пользователь копирует файлы на гибкий диск или посылает инфицированные файлы по модему, переданная копия вируса пытается установить себя на новый диск.

Признаки  появления вируса

После того как вирус выполнит нужные ему  действия, он передает управление той  программе, в которой он находится, и ее работа некоторое время не отличается от работы незараженной. Все  действия вируса могут выполняться  достаточно быстро и без выдачи каких-либо сообщений, поэтому пользователь часто  и не замечает, что компьютер работает со «странностями». К признакам появления  вируса можно отнести:

• замедление работы компьютера;
• невозможность загрузки операционной системы;
• частые «зависания» и сбои в работе компьютера;
• прекращение работы или неправильную работу ранее успешно функционировавших программ;
• увеличение количества файлов на диске;
• изменение размеров файлов;
• периодическое появление на экране монитора неуместных сообщений;
• уменьшение объема свободной оперативной памяти;
• заметное возрастание времени доступа к жесткому диску;
• изменение даты и времени создания файлов;
• разрушение файловой структуры (исчезновение файлов, искажение каталогов и др.);
• загорание сигнальной лампочки дисковода, когда к нему нет обращения, и др.

Основными путями заражения компьютеров вирусами являются съемные диски и компьютерные сети.  

13.Классификация  компьютерных вирусов

                  По среде обитания:

1. Загрузочные вирусы внедряются в загрузочный сектор диска или в сектор, содержащий программу загрузки системного диска.

2. Файловые вирусы внедряются обычно в файлы с расширением .СОМ и .ЕХЕ.

3. Системные вирусы проникают в системные модули и драйверы периферийных устройств, таблицы размещения файлов и таблицы разделов.

4. Сетевые вирусы обитают в комп. сетях;

5.Файлово-загрузочные. Поражают загрузочные секторы дисков и файлы прикладных программ.

       По способу заражения среды обитания:

1. Резидентные вирусы при заражении ПК оставляют в оперативной памяти свою резидентную часть, которая затем перехватывает обращение ОС к др. объектам заражения, внедряется в них и выполняет свои разрушительные действия вплоть до выкл. или перезагрузки ПК.

2. Нерезидентные вирусы не заражают опер. память; активны- ограниченное время.

  По алгоритмической особенности построения:

1. Репликаторные. Быстро воспроизводятся, приводят к переполнению основной памяти, при этом их уничтожение усложняется, если воспроизводимые программы не являются точными копиями оригинала. Нпр, программы-черви вычисляют адреса сетевых ПК и рассылают по ним свои копии, поддерживая между собой связь. Если червь перестает сущ-ть на каком-либо ПК, то оставшиеся ищут свободный ПК и внедряют такую же программу.

2. Троянский конь. Маскируется под полезную прогу. Эта прога  либо разрушает файловую систему, либо выполняет какие-либо действия (нпр, собирает инфу об именах и паролях в спец. файл для создателя вируса).

3. Логическая бомба.  Встраивается в большой программный комплекс. Безвредна до наступления опр. события, после которого ее механизм реализуется.

4. Программы-мутанты, самовоспроизводясь, воссоздают копии, кот. отличаются от оригинала.

5. Вирусы-невидимки.  Перехватывают обращения ОС к пораженным файлам и подставляют вместо себя незараженные объекты.

6. Макровирусы используют возможности макроязыков, встроенных в офисные программы обработки данных (текстовые редакторы, электрон. таблицы и т.д.).

  По степени воздействия на ресурсы системы:

1. Безвредные вирусы. Разрушительного влияния нет, но могут переполнить опер. память из-за размножения.

2. Неопасные вирусы. Не разрушают файлы, но уменьшают свободную дисковую память, выводят на экран графические и звуковые эффекты и т.д.

3. Опасные вирусы. Приводят к серьезным нарушениям работы ПК;

4. Разрушительные. Приводят к стиранию инфы, нарушению работы прикладных программ. Любой файл, способный к загрузке и выполнению кода проги, - потенциальное место внедрения вируса.

      

14. Антивирусные программы(АВП)

-это  программы, позволяющих обнаруживать  и уничтожать и «лечить» зараженные  ресурсы. В основе работы многих  АВП лежит принцип поиска сигнатуры  вирусов. 

Вирусная  сигнатура - это уникальная характеристика вирусной программы, которая выдает ее присутствие. В АВП входит периодически обновляемая БД сигнатур вирусов. АВП просматривает комп. систему, проводя сравнение и отыскивая соответствие с сигнатурами в БД. Когда она находит соответствие, то вычищает вирус.

      По методу работы АВП делятся:

Программы-фильтры  ("сторожа"), находятся в опер. памяти, являясь резидентными, и перехватывают все подозрительные запросы к ОС (нпр., изменение атрибутов файлов, запись в загрузочные секторы диска и др.). При запросе на такое действие на экран ПК выдается сообщение о затребованном действии,  и какая программа желает его выполнить. Пользователь  либо разрешает, либо запрещает это действие. Недостатки программы: назойливость; занимают память; не «лечат» файлы и диски.

Программы-ревизоры. Они запоминают исходное состояние программ, когда комп еще не был заражен вирусом, а затем периодически сравнивают текущее состояние с исходным. При выявлении несоответствий (по длине файла, дате модификации и др.) сообщение об этом выдается пользователю.

Программы-доктора не только обнаруживают, но и "лечат" зараженные программы или диски, "выкусывая" из зараженных программ тело вируса. Эти программы делятся на фаги и полифаги. Полифаги служат для обнаружения и уничтожения большого количества. Также они постоянно обновляются для борьбы с новыми.

Программы-детекторы. Обнаруживают файлы, зараженные одним или несколькими известными вирусами.

Программы-вакцины  («иммунизаторы») – резидентные программы, которые модифицируют программы и диски так, что вирус, от которого произведена вакцинация, считает их уже зараженными и не внедряется в них. 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 

17) Методы идентификации и аутентификации пользователей

Идентификация пользователей информационной системы  заключается в установлении и  закреплении за каждым из них уникального  идентификатора в виде номера, шифра, кода и т.п. Аутентификация заключается  в проверке подлинности пользователя по предъявленному им идентификатор. Без проверки подлинности теряется смысл в самой идентификации пользователей.

Проверка  подлинности (аутентификация) может  проводиться различными методами и  средствами: 1) паролю или личному  идентифицирующему номеру (пользователь «знает»); 2) некоторому предмету, который  есть у пользователя (пользователь «имеет»); 3) каким-либо физиологическим  признакам, свойственным конкретным лицам (пользователь «есть»).

Аутентификация  на основе паролей

Каждому зарегистрированному пользователю выдается персональный пароль. Специальная  программа сравнивает введенный  пароль с эталоном в памяти.

Во время  аутентификации происходит сопоставление  пароля, введенного пользователем, и  значения, хранимого сервером. Если злоумышленник знает чужой пароль,  сервер не может отличить его от настоящего пользователя.

 
Рис. 3.  Аутентификация при помощи пароля

Атаки анализатора

Существует  несколько способов получения секретного пароля в сети. Злоумышленник может  использовать программу-анализатор, или  сниффер. Для перехвата пароля злоумышленник может даже не находиться в одном помещении с пользователем А и не иметь доступ к его компьютеру - ему достаточно лишь сетевого подключения к той же самой локальной сети.

Механизмы одноразовой аутентификации

Одноразовая аутентификация позволяет противостоять  атаке анализатора за счет использования  во время каждой попытки аутентификации нового секрета.

Аутентификация  «запрос-ответ»

Сервер  генерирует случайный запрос и отправляет его пользователю А. Пользователь А шифрует запрос при помощи ключа, известного только ему самому и серверу. Сервер выполняет такое же шифрование и сравнивает результат с шифртекстом, полученным от пользователя А.

Поскольку запрос генерируется случайным образом, злоумышленник не может повторно использовать шифртекст. Значение аутентифицирует идентичность только один раз.

 
Рис 4.  Аутентификация «запрос-ответ»

Механизм  усложняется, если пользователю А необходимо пройти аутентификацию на многих серверах: пользователь А должен иметь для каждого сервера свой ключ шифрования запроса и защищено хранить все эти ключи.

Неявный запрос на базе времени

В некоторых  случаях аутентификация типа "запрос-ответ" невозможна, потому что сервер не имеет  средств формирования запроса к  пользователю.

Пользователь А шифрует значение текущего времени на часах своего компьютера и отправляет свое имя и шифртекст на сервер. Сервер расшифровывает значение, присланное пользователем А. Сервер должен допускать несколько возможных значений времени (часы не синхронизированы, время на передачу).

Однако  если сервер признает допустимым слишком большой разброс значений времени, то злоумышленник может перехватить значение от А. Эта атака называется атакой воспроизведения.

  
Рис. 5.  Аутентификация при помощи неявного запроса

Этот  механизм с трудом поддерживает аутентификацию пользователя на многих серверах и  не обеспечивает взаимной аутентификации, уязвим для атак воспроизведения.

Аутентификация  с использованием хэш-функции

Лесли Лампорт  предложил использовать одноразовые пароли, генерируемые при помощи односторонней хэш-функции Эта идея нашла воплощение в системе одноразовых паролей S/Key One-Time Password System. Система S/Key (RFC 1760), применяя одностороннюю хэш-функцию, генерирует последовательность одноразовых паролей на основе стандартов MD4, МD5.

Начальное значение хэш-кода вычисляется путем хэширования секретного пароля пользователя, который сцеплен с несекретным случайным числом. Секретный пароль не менее 8 символов. Последовательность одноразовых паролей формируется в результате многократного применения секретной хэш-функции (от 500 до 1000).

Протокол  аутентификации состоит в следующем:

• Клиент отправляет серверу пакеты инициализации;
• сервер отправляет клиенту порядковый номер и случайное число (seed);
• клиент вводит пароль (не менее 8 знаков).
• Пароль соединяется со случайным числом и порядковым номером;
• от полученной в двоичном виде последовательности к раз вычисляется необратимая функция (хэш-функция), результатом вычисления является 64- битовое число. При каждом новом использовании процедуры аутентификации количество циклов вычисления хэш-функции уменьшается на 1;
• функция выхода переводит полученное 64-битовое число в читаемую форму, и это число используется в качестве одноразового пароля;
• пароль может вводиться следующими способами: с помощью программного обеспечения, включающего пароли в данные, с помощью специальной функции (cut and paste) или с помощью ручного ввода.