Защита от программных закладок

3.4.      Способы взаимодействия между программной закладкой и нарушителем

3.4.1.            Определение понятия нарушителя

 
Нарушитель - это лицо, предпринявшее попытку выполнения запрещенных операций (действий) по ошибке, незнанию или осознанно со злым умыслом (из корыстных интересов) или без такового (ради игры или удовольствия, с целью самоутверждения и т.п.) и использующее для этого различные возможности, методы и средства 
 
Злоумышленником  называют нарушителя, намеренно идущего на нарушение из корыстных побуждений. 
 
При разработке модели нарушителя определяются: 
 
•         предположения о категориях лиц, к которым может принадлежать нарушитель; 
 
•         предположения о мотивах действий нарушителя (преследуемых нарушителем целях); 
 
•         предположения о квалификации нарушителя и его технической оснащенности (об используемых для совершения нарушения методах и средствах); 
 
•         ограничения и предположения о характере возможных действий нарушителей. 
 
Нарушители могут быть внутренними (из числа персонала и пользователей системы) или внешними (посторонними лицами). 
 
Внутренним нарушителем может быть лицо из следующих категорий сотрудников: 
 
•         конечные пользователи (операторы) системы; 
 
•         персонал, обслуживающий технические средства (инженеры, техники); 
 
•         сотрудники отделов разработки и сопровождения программного обеспечения (прикладные и системные программисты); 
 
•         сотрудники службы безопасности автоматизированной системы; 
 
•         руководители различных уровней. 
 
Посторонние лица, которые могут быть нарушителями: 
 
•         технический персонал, обслуживающий здания (уборщики, электрики, сантехники и другие сотрудники, имеющие доступ в здания и помещения, где расположены компоненты автоматизированной системы); 
 
•         клиенты (представители организаций, граждане); 
 
•         посетители (приглашенные по какому-либо поводу); 
 
•         представители организаций, взаимодействующих по вопросам обеспечения жизнедеятельности организации (энерго-, водо-, теплоснабжения и т.п.); 
 
•         представители конкурирующих организаций (иностранных спецслужб) или лица, действующие по их заданию; 
 
•         лица, случайно или умышленно нарушившие пропускной режим (без цели нарушить безопасность автоматизированной системы); 
 
•         любые лица за пределами контролируемой территории 
Развитие современных компьютерных технологий и средств связи дает возможность злоумышленникам использовать различные источники распространения угроз и получения информации.  
 
Рассмотрим их подробнее:  

3.4.2.            Интернет

 
Глобальная сеть Интернет уникальна  тем, что не является чьей-то собственностью и не имеет территориальных границ. Это во многом способствует развитию многочисленных веб-ресурсов и обмену информацией. Сейчас любой человек может получить доступ к данным, хранящимся в интернете, или создать свой собственный веб-ресурс.  
 
Однако эти же особенности глобальной сети предоставляют злоумышленникам возможность совершения преступлений в интернете, при этом затрудняя их обнаружение и наказание.  
 
Злоумышленники размещают вирусы и другие вредоносные программы на веб-ресурсах, «маскируют» их под полезное и бесплатное программное обеспечение. Кроме того, скрипты, автоматически запускаемые при открытии веб-страницы, могут выполнять вредоносные действия на вашем компьютере, включая изменение системного реестра, кражу личных данных и установку вредоносного программного обеспечения.  
 
Используя сетевые технологии, злоумышленники реализуют атаки на удаленные частные компьютеры и серверы компаний. Результатом таких атак может являться выведение ресурса из строя, получение полного доступа к ресурсу, а, следовательно, к информации, хранящемся на нем, которая передается также в Интернет, где ее и найдет нарушитель.  
 
В связи с появлением кредитных карт, электронных денег и возможностью их использования через интернет (интернет-магазины, аукционы, персональные страницы банков и т.д.) интернет-мошенничество стало одним из наиболее распространенных преступлений. 

3.4.3.            Интранет

 
Интранет - это внутренняя сеть, специально разработанная для управления информацией внутри компании или, например, частной домашней сети. Интранет является единым пространством для хранения, обмена и доступа к информации для всех компьютеров сети. Поэтому, если какой-либо из компьютеров сети заражен, остальные компьютеры подвергаются огромному риску заражения. Во избежание возникновения таких ситуаций необходимо защищать не только периметр сети, но и каждый отдельный компьютер.  
 
Нарушитель может получить информацию, только если он имеет доступ к этой локальной сети, так как введенная закладка выкачивает информацию именно в локальную сеть. 

3.4.4.            Электронная почта

 
Наличие почтовых приложений практически  на каждом компьютере, а также то, что вредоносные программы полностью  используют содержимое электронных  адресных книг для выявления новых  жертв, обеспечивает благоприятные  условия для распространения  вредоносных программ. Пользователь зараженного компьютера, сам того не подозревая, рассылает зараженные письма адресатам, которые в свою очередь отправляют новые зараженные письма и т.д. Нередки случаи, когда  зараженный файл-документ по причине  недосмотра попадает в списки рассылки коммерческой информации какой-либо крупной  компании. В этом случае страдают не пять, а сотни или даже тысячи абонентов таких рассылок, которые  затем разошлют зараженные файлы  десяткам тысяч своих абонентов.  
 
Электронная почта - один из самых распространенных видов взаимодействия нарушителя и программных закладок, т.к. информация, полученная в результате работы закладки, передается в электронном письме нарушителю без участия жертвы. 
 

4. Защита от программных закладок

 
 
 
Задача защиты от программных закладок может рассматриваться в трех принципиально различных вариантах: 
 
·        не допустить внедрения программной закладки в компьютерную систему;  
 
·        выявить внедренную программную закладку;  
 
·        удалить внедренную программную закладку. 
 
При рассмотрении этих вариантов решение задачи защиты от программных закладок сходно с решением проблемы защиты компьютерных систем от вирусов. Как и в случае борьбы с вирусами, задача решается с помощью средств контроля за целостностью запускаемых системных и прикладных программ, а также за целостностью информации, хранимой в компьютерной системе и за критическими для функционирования системы событиями. Например, чтобы обеспечить защиту от клавиатурных шпионов необходимо ввести контроль целостности системных файлов и интерфейсных связей подсистемы аутентификации. Кроме того, для надежной защиты от них администратор операционной системы должен соблюдать политику безопасности, при которой только администратор может конфигурировать цепочки программных модулей, участвующих в процессе аутентификации пользователей, осуществлять доступ к файлам этих программных модулей и конфигурировать саму подсистему аутентификации. Все эти меры должны осуществляться в комплексе. 
 
Однако данные средства действенны только тогда, когда сами они не подвержены влиянию программных закладок которые могут: 
 
·        навязывать конечные результаты контрольных проверок; 
 
·        влиять на процесс считывания информации и запуск программ, за которыми осуществляется контроль; 
 
·        изменять алгоритмы функционирования средств контроля. 
 
При этом чрезвычайно важно, чтобы включение средств контроля выполнялось до начала воздействия программной закладки либо когда контроль осуществлялся только с использованием программ управления, находящихся в ПЗУ компьютерной системы. 

4.1.      Защита от внедрения программных закладок

 
Универсальным средством защиты от внедрения программных закладок является создание изолированного компьютера. Компьютер называется изолированным, если выполнены следующие условия: 
 
·        в нем установлена система BIOS, не содержащая программных закладок;  
 
·        операционная система проверена на наличие в ней закладок; 
 
·        достоверно установлена неизменность BIOS и операционной системы для данного сеанса; 
 
·        на компьютере не запускалось и не запускается никаких иных программ, кроме уже прошедших проверку на присутствие в них закладок; 
 
·        исключен запуск проверенных программ в каких-либо иных условиях, кроме перечисленных выше, т. е. вне изолированного компьютера. 
 
Для определения степени изолированности компьютера может использоваться модель ступенчатого контроля. Сначала проверяется, нет ли изменений в BIOS. Затем, если все в порядке, считывается загрузочный сектор диска и драйверы операционной системы, которые, в свою очередь, также анализируются на предмет внесения в них несанкционированных изменений. И наконец, с помощью операционной системы запускается драйвер контроля вызовов программ, который следит за тем, чтобы в компьютере запускались только проверенные программы. 
 
Интересный метод борьбы с внедрением программных закладок может быть использован в информационной банковской системе, в которой циркулируют исключительно файлы-документы. Чтобы не допустить проникновения программной закладки через каналы связи, в этой системе не допускается прием никакого исполняемого кода. Для распознавания событий типа “ПОЛУЧЕН ИСПОЛНЯЕМЫЙ КОД” и “ПОЛУЧЕН ФАЙЛ-ДОКУМЕНТ” применяется контроль за наличием в файле запрещенных символов: файл признается содержащим исполняемый код, если в нем присутствуют символы, которые никогда не встречаются в файлах-документах. 

4.2.      Выявление внедренной программной закладки

 
Выявление внедренного кода программной  закладки заключается в обнаружении  признаков его присутствия в  компьютерной системе. Эти признаки можно разделить на следующие  два класса: 
 
·        качественные и визуальные; 
 
·        обнаруживаемые средствами тестирования и диагностики. 
 
К качественным и визуальным признакам относятся ощущения и наблюдения пользователя компьютерной системы, который отмечает определенные отклонения в ее работе (изменяется состав и длины файлов, старые файлы куда-то пропадают, а вместо них появляются новые, программы начинают работать медленнее, или заканчивают свою работу слишком быстро, или вообще перестают запускаться). Несмотря на то что суждение о наличии признаков этого класса кажется слишком субъективным, тем не менее, они часто свидетельствуют о наличии неполадок в компьютерной системе и, в частности, о необходимости проведения дополнительных проверок присутствия программных закладок. Например, пользователи пакета шифрования и цифровой подписи “Криптоцентр” с некоторых пор стали замечать, что цифровая подпись под электронными документами ставится слишком быстро. Исследование, проведенное специалистами Федерального агентства правительственной связи и информации, показало присутствие программной закладки, работа которой основывалась на навязывании длины файла. В другом случае тревогу забили пользователи пакета шифрования и цифровой подписи “Криптон”, которые с удивлением отметили, что скорость шифрования по криптографическому алгоритму ГОСТ 28147-89 вдруг возросла в 30 раз. А в третьем случае программная закладка обнаружила свое присутствие в программе клавиатурного ввода тем, что пораженная ею программа перестала нормально работать. 
 
Признаки, выявляемые с помощью средств тестирования и диагностики, характерны как для программных закладок, так и для компьютерных вирусов. Например, загрузочные закладки успешно обнаруживаются антивирусными программами, которые сигнализируют о наличии подозрительного кода в загрузочном секторе диска. С инициированием статической ошибки на дисках хорошо справляется Disk Doctor, входящий в распространенный комплект утилит Norton Utilities. А средства проверки целостности данных на диске типа Adinf позволяют успешно выявлять изменения, вносимые в файлы программными закладками. Кроме того, эффективен поиск фрагментов кода программных закладок по характерным для них последовательностям нулей и единиц (сигнатурам), а также разрешение выполнения только программ с известными сигнатурами. 

4.3.      Удаление внедренной программной закладки

 
Конкретный способ удаления внедренной программной закладки зависит от метода ее внедрения в компьютерную систему. Если это программно-аппаратная закладка, то следует перепрограммировать  ПЗУ компьютера. Если это загрузочная, драйверная, прикладная, замаскированная  закладка или закладка-имитатор, то можно заменить их на соответствующую загрузочную запись, драйвер, утилиту, прикладную или служебную программу, полученную от источника, заслуживающего доверия. Наконец, если это исполняемый программный модуль, то можно попытаться добыть его исходный текст, убрать из него имеющиеся закладки или подозрительные фрагменты, а затем заново откомпилировать. 
 

Заключение

 
 
 
Проблема защиты от несанкционированного доступа к информации посвящено  огромное количество методических, академических  и правовых исследований. Отличительной  особенностью хищения информации стала  скрытность этого процесса, в результате чего жертва может не догадываться о происшедшем. 
 
Для обеспечения безопасности своих документов и предохранения самого компьютера от закладки достаточно соблюдать ряд правил и мер предосторожности, однако  много компьютеров оказываются зараженными из-за элементарной неосведомленности пользователя. 
 
Программные закладки способны уничтожать или искажать информацию, нарушать сеансы работы. Пользователь получает их, как правило, по системе электронной почты под видом важного документа или давно разыскиваемой программы. Закладки могут нанести немалый ущерб компании. Они собирают информацию, которая отправляется злоумышленнику по системе электронной почты для анализа на предмет содержания ценной информации, такой как пароли или пользовательская информация. Таким образом, злоумышленник, может получать важную или, даже конфиденциальную информацию, не выходя из дома, а компания или фирма будет нести немалые убытки, необходимо понимать и то, что злоумышленником может быть и конкурирующая фирма, которая может преднамеренно отправить вам по электронной почте закладку с целью завладеть информацией. 
 
Также закладки могут распространяться по сети Интернет, по локальной сети. Они нацелены на проникновение в системы разграничения доступа пользователей к ресурсам сети, могут приводить к утере полномочий пользователей, к нарушению работы сети в целом и системы разграничения доступа в частности. Самым распространенным способом внедрения закладки является внедрение с помощью сети Интернет. И даже если на предприятии есть только один компьютер, подключенный к сети, но при этом существует локально – вычислительная сеть, возможна вероятность проникновения программной закладки на компьютер, содержащий ценную информацию. 
 
Защитить информацию может только сам пользователь или владелец. Для этого нужно правильно организовать работу и ограничить доступ к ценной информации. И принять все меры для предотвращения ее утечки. 
 
Число уязвимостей и использующих их атак растет с каждым годом. Злоумышленники постоянно ищут новые способы проникновения в информационные системы, и пользователи должны понимать, что недооценка способностей злоумышленников может привести к очень печальным последствиям.