Концепция безопасности. обнаружение и защита от вирусов

ГЛАВА I. Концепция  безопасности.

 

ГЛАВА  II. Обнаружение  и защита от вирусов

2.1. Компьютерные вирусы, их свойства и классификация.

2.2. Методы защиты от  компьютерных вирусов.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

1.1. Методы обеспечения информационной безопасности

По убеждению экспертов "Лаборатории Касперского", задача обеспечения информационной безопасности должна решаться системно. Это означает, что различные средства защиты (аппаратные, программные, физические, организационные и т. д.) должны применяться одновременно и под централизованным управлением. При этом компоненты системы должны "знать" о существовании друг друга, взаимодействовать и обеспечивать защиту как от внешних, так и от внутренних угроз.

На сегодняшний день существует большой арсенал методов обеспечения  информационной безопасности:

· средства идентификации и аутентификации пользователей (так называемый комплекс 3А);

· средства шифрования информации, хранящейся на компьютерах и передаваемой по сетям;

· межсетевые экраны;

· виртуальные частные  сети;

· средства контентной фильтрации;

· инструменты проверки целостности  содержимого дисков;

· средства антивирусной защиты;

· системы обнаружения  уязвимостей сетей и анализаторы  сетевых атак.

Каждое из перечисленных  средств может быть использовано как самостоятельно, так и в  интеграции с другими. Это делает возможным создание систем информационной защиты для сетей любой сложности  и конфигурации, не зависящих от используемых платформ.

"Комплекс 3А" включает аутентификацию (или идентификацию), авторизацию иадминистрирование. Идентификация и авторизация - это ключевые элементы информационной безопасности. При попытке доступа к информационным активам функция идентификации дает ответ на вопрос: "Кто вы?" и "Где вы?" - являетесь ли вы авторизованным пользователем сети. Функция авторизации отвечает за то, к каким ресурсам конкретный пользователь имеет доступ. Функция администрирования заключается в наделении пользователя определенными идентификационными особенностями в рамках данной сети и определении объема допустимых для него действий.

Системы шифрования позволяют минимизировать потери в случае несанкционированного доступа к данным, хранящимся на жестком диске или ином носителе, а также перехвата информации при ее пересылке по электронной почте или передаче по сетевым протоколам. Задача данного средства защиты - обеспечение конфиденциальности. Основные требования, предъявляемые к системам шифрования - высокий уровень криптостойкости и легальность использования на территории России (или других государств).

Межсетевой экран представляет собой систему или комбинацию систем, образующую между двумя или более сетями защитный барьер, предохраняющий от несанкционированного попадания в сеть или выхода из нее пакетов данных.

Основной принцип действия межсетевых экранов - проверка каждого  пакета данных на соответствие входящего  и исходящего IP-адреса базе разрешенных  адресов. Таким образом, межсетевые экраны значительно расширяют возможности  сегментирования информационных сетей  и контроля за циркулированием данных.

Говоря о криптографии и межсетевых экранах, следует упомянуть  о защищенных виртуальных частных сетях (Virtual Private Network - VPN). Их использование позволяет решить проблемы конфиденциальности и целостности данных при их передаче по открытым коммуникационным каналам. Использование VPN можно свести к решению трех основных задач:

· защита информационных потоков  между различными офисами компании (шифрование информации производится только на выходе во внешнюю сеть);

· защищенный доступ удаленных  пользователей сети к информационным ресурсам компании, как правило, осуществляемый через интернет;

· защита информационных потоков  между отдельными приложениями внутри корпоративных сетей (этот аспект также  очень важен, поскольку большинство  атак осуществляется из внутренних сетей).

Эффективное средство защиты от потери конфиденциальной информации - фильтрациясодержимого входящей и исходящей электронной почты. Проверка самих почтовых сообщений и вложений в них на основе правил, установленных в организации, позволяет также обезопасить компании от ответственности по судебным искам и защитить их сотрудников от спама. Средства контентной фильтрации позволяют проверять файлы всех распространенных форматов, в том числе сжатые и графические. При этом пропускная способность сети практически не меняется.

Все изменения на рабочей  станции или на сервере могут  быть отслежены администратором  сети или другим авторизованным пользователем  благодаря технологии проверки целостности содержимого жесткого диска (integrity checking). Это позволяет обнаруживать любые действия с файлами (изменение, удаление или же просто открытие) и идентифицировать активность вирусов, несанкционированный доступ или кражу данных авторизованными пользователями. Контроль осуществляется на основе анализа контрольных сумм файлов (CRC-сумм).

Современные антивирусные технологии позволяют выявить практически все уже известные вирусные программы через сравнение кода подозрительного файла с образцами, хранящимися в антивирусной базе. Кроме того, разработаны технологии моделирования поведения, позволяющие обнаруживать вновь создаваемые вирусные программы. Обнаруживаемые объекты могут подвергаться лечению, изолироваться (помещаться в карантин) или удаляться. Защита от вирусов может быть установлена на рабочие станции, файловые и почтовые сервера, межсетевые экраны, работающие под практически любой из распространенных операционных систем (Windows, Unix- и Linux-системы, Novell) на процессорах различных типов.

Фильтры спама значительно уменьшают непроизводительные трудозатраты, связанные с разбором спама, снижают трафик и загрузку серверов, улучшают психологический фон в коллективе и уменьшают риск вовлечения сотрудников компании в мошеннические операции. Кроме того, фильтры спама уменьшают риск заражения новыми вирусами, поскольку сообщения, содержащие вирусы (даже еще не вошедшие в базы антивирусных программ) часто имеют признаки спама и отфильтровываются. Правда, положительный эффект от фильтрации спама может быть перечеркнут, если фильтр наряду с мусорными удаляет или маркирует как спам и полезные сообщения, деловые или личные.

Тот огромный урон, который  был нанесен сетям компаний в 2003 году вирусами и хакерскими атаками, - в большой мере следствие слабых мест в используемом программном  обеспечении. Определить их можно заблаговременно, не дожидаясь реального нападения, с помощью систем обнаружения уязвимостей компьютерных сетей и анализаторов сетевых атак. Подобные программные средства безопасно моделируют распространенные атаки и способы вторжения и определяют, что именно хакер может увидеть в сети и как он может использовать ее ресурсы.

Для противодействия естественным угрозам информационной безопасности в компании должен быть разработан и реализован набор процедур по предотвращению чрезвычайных ситуаций (например, по обеспечению  физической защиты данных от пожара) и  минимизации ущерба в том случае, если такая ситуация всё-таки возникнет. Один из основных методов защиты от потери данных - резервное копирование с четким соблюдением установленных процедур (регулярность, типы носителей, методы хранения копий и т. д.).

 

 

Свойства компьютерных вирусов

Сейчас  применяются персональные компьютеры, в которых пользователь имеет  свободный доступ ко всем ресурсам машины. Именно это открыло возможность  для опасности, которая получила название компьютерного вируса.

Что такое компьютерный вирус? Формальное определение этого понятия до сих пор не придумано, и есть серьезные  сомнения, что оно вообще может  быть дано. Многочисленные попытки  дать "современное" определение  вируса не привели к успеху. Чтобы  почувствовать всю сложность  проблемы, попробуйте, к примеру, дать определение понятия "редактор". Вы либо придумаете нечто очень общее, либо начнете перечислять все  известные типы редакторов. И то и другое вряд ли можно считать  приемлемым. Поэтому мы ограничимся  рассмотрением некоторых свойств  компьютерных вирусов, которые позволяют  говорить о них как о некотором  определенном классе программ.

Прежде  всего, вирус - это программа. Такое  простое утверждение само по себе способно развеять множество легенд о необыкновенных возможностях компьютерных вирусов. Вирус может перевернуть  изображение на вашем мониторе, но не может перевернуть сам монитор. К легендам о вирусах-убийцах, "уничтожающих операторов посредством вывода на экран  смертельной цветовой гаммы 25-м кадром" также не стоит относиться серьезно. К сожалению, некоторые авторитетные издания время от времени публикуют "самые свежие новости с компьютерных фронтов", которые при ближайшем  рассмотрении оказываются следствием не вполне ясного понимания предмета.

Вирус - программа, обладающая способностью к самовоспроизведению. Такая способность  является единственным средством, присущим всем типам вирусов. Но не только вирусы способны к самовоспроизведению. Любая  операционная система и еще множество  программ способны создавать собственные  копии. Копии же вируса не только не обязаны полностью совпадать  с оригиналом, но, и могут вообще с ним не совпадать!

Вирус не может существовать в "полной изоляции": сегодня нельзя представить  себе вирус, который не использует код  других программ, информацию о файловой структуре или даже просто имена  других программ. Причина понятна: вирус  должен каким-нибудь способом обеспечить передачу себе управления.

Классификация вирусов

В настоящее время известно более 5000 программных вирусов, их можно  классифицировать по следующим признакам:

· среде обитания

· способу заражения среды обитания

· воздействию

· особенностям алгоритма

В зависимости от среды обитания вирусы можно разделить на сетевые, файловые, загрузочные и файлово-загрузочные. Сетевые вирусы распространяются по различным компьютерным сетям. Файловые вирусы внедряются главным образом в исполняемые модули, т. е. В файлы, имеющие расширения COM и EXE. Файловые вирусы могут внедряться и в другие типы файлов, но, как правило, записанные в таких файлах, они никогда не получают управление и, следовательно, теряют способность к размножению. Загрузочные вирусы внедряются в загрузочный сектор диска (Boot-сектор) или в сектор, содержащий программу загрузки системного диска (Master Boot Re-cord). Файлово-загрузочные вирусы заражают как файлы, так и загрузочные сектора дисков.

По  способу заражения вирусы делятся  на резидентные и нерезидентные. Резидентный вирус при заражении (инфицировании) компьютера оставляет в оперативной памяти свою резидентную часть, которая потом перехватывает обращение операционной системы к объектам заражения (файлам, загрузочным секторам дисков и т. п.) и внедряется в них. Резидентные вирусы находятся в памяти и являются активными вплоть до выключения или перезагрузки компьютера. Нерезидентные вирусы не заражают память компьютера и являются активными ограниченное время.

По  степени воздействия вирусы можно  разделить на следующие виды:

· неопасные, не мешающие работе компьютера, но уменьшающие объем свободной  оперативной памяти и памяти на дисках, действия таких вирусов проявляются  в каких-либо графических или  звуковых эффектах

· опасные вирусы, которые могут  привести к различным нарушениям в работе компьютера

· очень опасные, воздействие которых  может привести к потере программ, уничтожению данных, стиранию информации в системных областях диска.

По  особенностям алгоритма вирусы трудно классифицировать из-за большого разнообразия. Простейшие вирусы - паразитические, они  изменяют содержимое файлов и секторов диска и могут быть достаточно легко обнаружены и уничтожены. Можно  отметить вирусы-репликаторы, называемые червями, которые распространяются по компьютерным сетям, вычисляют адреса сетевых компьютеров и записывают по этим адресам свои копии.

Известны  вирусы-невидимки, называемые стелс-вирусами, которые очень трудно обнаружить и обезвредить, так как они перехватывают обращения операционной системы к пораженным файлам и секторам дисков и подставляют вместо своего тела незараженные участки диска. Наиболее трудно обнаружить вирусы-мутанты, содержащие алгоритмы шифровки-расшифровки, благодаря которым копии одного и того же вируса не имеют ни одной повторяющейся цепочки байтов. Имеются и так называемые квазивирусные или "троянские" программы, которые хотя и не способны к самораспространению, но очень опасны, так как, маскируясь под полезную программу, разрушают загрузочный сектор и файловую систему дисков.

Теперь  поподробнее о некоторых из этих групп.

Загрузочные вирусы

Рассмотрим  схему функционирования очень простого загрузочного вируса, заражающего дискеты.

Что происходит, когда вы включаете компьютер? Первым делом управление передается программе начальной загрузки, которая  хранится в постоянно запоминающем устройстве (ПЗУ) т.е. ПНЗ ПЗУ.

Эта программа тестирует оборудование и при успешном завершении проверок пытается найти дискету в дисководе А:

Всякая  дискета размечена на т.н. секторы  и дорожки. Секторы объединяются в кластеры, но это для нас несущественно.

Среди секторов есть несколько служебных, используемых операционной системой для  собственных нужд (в этих секторах не могут размещаться ваши данные). Среди служебных секторов нас  интересует сектор начальной загрузки (boot-sector).

В секторе начальной загрузки хранится информация о дискете - количество поверхностей, количество дорожек, количество секторов и пр. Но нас сейчас интересует не эта информация, а небольшая программа  начальной загрузки (ПНЗ), которая  должна загрузить саму операционную систему и передать ей управление.

Таким образом, нормальная схема начальной  загрузки следующая:

ПНЗ (ПЗУ) - ПНЗ (диск) - СИСТЕМА

Теперь  рассмотрим вирус. В загрузочных  вирусах выделяют две части: голову и т.н. хвост. Хвост может быть пустым.

Пусть у вас имеются чистая дискета  и зараженный компьютер, под которым  мы понимаем компьютер с активным резидентным вирусом. Как только этот вирус обнаружит, что в дисководе  появилась подходящая жертва - в  нашем случае не защищенная от записи и еще не зараженная дискета, он приступает к заражению. Заражая дискету, вирус  производит следующие действия: