Вирусы и компьютерные закладки

Введение

Вопрос обеспечения сохранности информации от несанкционированного доступа или преднамеренного искажения достаточно остро стоит уже не одну тысячу лет. Однако с появлением ЭВМ, а также компьютерных сетей появляются новые проблемы, которые требуют новых решений. Точно также как не стоит на месте научно-технический прогресс, не стоят на месте и те, кто пытается получить доступ к информации на компьютерах, постоянно совершенствуя способы и методы НСД, используя любые каналы утечки. Поэтому администратор безопасности сети ЭВМ должен смотреть на шаг вперед и предпринимать превентивные меры для обеспечения безопасности информации.

В соответствии с этим, весьма актуальной и практически значимой является проблема разработки комплекса мероприятий для обеспечения всесторонней защиты информации в автоматизированных системах обработки данных (АСОД). Особенную значимость приобретают эти вопросы в автоматизированных системах управления войсками и оружием, которые представляют собой совокупность вычислительных комплексов (компьютеров) и периферийного оборудования объединенных сетью передачи данных, т.к. от устойчивой работы данных комплексов напрямую зависит успешность выполнения поставленных боевых задач.

Обеспечение необходимого уровня защиты информации требует не просто осуществления некоторой совокупности научно-технических и организационных мероприятий, а создания целостной системы организационных мероприятий и применения специальных средств и методов защиты информации.

Если рассмотреть проблему защиты информации в сетях в целом, то можно выделить множество способов и методов доступа к информации в АСОД. В противовес этим способам доступа существуют специальные средства защиты информации от несанкционированного доступа (НСД) (рис.1).

В настоящей работе проводится анализ известных программных средств НСД к информации. Из всего многообразия средств и способов защиты от НСД, в настоящей работе, в соответствии с заданием на дипломную работу, рассмотрены программные, аппаратные и организационные средства защиты от НСД.

Рис.1. Специальные средства защиты ПК от НСД

В общем случае программными средствами защиты называются специальные программы, которые включаются в состав программного обеспечения АСОД специально для осуществления функций защиты. Программные средства являются важнейшей и непременной частью механизма защиты современных АСОД, что обусловлено такими их достоинствами, как универсальность, простота реализации, гибкость, практически неограниченные возможности изменения и развития. К недостаткам программных средств относится необходимость расходования ресурсов процессора на их функционирование и возможность несанкционированного изменения.

Известные на сегодняшний день программы защиты в соответствии с выполняемыми ими функциями, можно разделить на следующие группы:

программы идентификации;

программы регулирования работы (технических средств, пользователей, функциональных задач, элементов баз данных и т.д.);

программы шифрования защищаемых данных;

программы защиты программ (операционных систем, систем управления базами данных, программ пользователей и др.);

вспомогательные программы (уничтожение остаточной информации, формирование грифа секретности выдаваемых документов, ведение регистрационных журналов, имитация работы с нарушителем, тестовый контроль механизма защиты и некоторые другие).

Ни одна система защиты данных не является неуязвимой. Защищая данные и создавая политику безопасности сети, необходимо задавать вопрос: является ли защищаемая информация более ценной для атакующего, чем стоимость атаки? Ответ необходимо знать, чтобы защитится от дешевых способов атаки и не беспокоиться о возможности более дорогой атаки. Это позволит со стороны материального обеспечения более рационально подойти к вопросу защиты информации.

Анализ возможных методов НСД и защита от них

Анализ программных средств несанкционированного доступа к информации в сетях ЭВМ и способов защиты от них

Вирусы и компьютерные закладки

Компьютерный вирус - это специально написанная небольшая по размерам программа, которая может "приписывать" себя к другим программам (т.е. "заражать" их), а также выполнять различные нежелательные действия на компьютере. Программа, внутри которой находится вирус, называется "зараженной". Когда такая программа начинает работу, то сначала, как правило, управление получает вирус. Вирус находит и "заражает" другие программы или выполняет какие-нибудь вредные функции:

портит файлы или таблицу размещения файлов на диске;

"засоряет" оперативную память;

изменяет адресацию обращений к внешним устройствам и т.д.;

Более того, зараженные программы могут быть перенесены на другой компьютер с помощью дискет или локальной сети.

В настоящее время известно более двадцати тысяч вирусов, которые условно подразделяются на классы по следующим признакам:

по среде обитания;

по способу заражения;

по возможностям;

Смысла рассматривать характеристику вирусов полностью нет, поэтому подробно остановимся только на очень опасных вирусах, которые могут привести к потере программ, уничтожению данных, стиранию информации в системных областях памяти, преждевременному выходу из строя периферийных устройств. К таким вирусам относятся:

"троянский конь";

"червь";

"захватчик паролей";

"Троянский конь (троянская программа)" - это программа, которая прописываются в автозагрузку ОС или подменяет собой системные компоненты (утилиты) ОС и выполняет несанкционированные действия. Для того, чтобы такая программа появилась в системе, пользователь должен сам (преднамеренно, либо нет) первоначально выполнить ее. Обычно такие программы распространяются под видом полезных утилит (в том числе они могут присутствовать и в некоммерческих средствах добавочной защиты информации), посылаются по почте в виде присоединяемых замаскированных исполняемых файлов, скриптов, устанавливаются злоумышленником на защищаемом компьютере вручную и т.п. После первого запуска программа заменяет собой часть системных файлов или просто добавляет себя в список загрузки и предоставляет нарушителю доступ к системе или защищаемым ресурсам. Программы такого типа являются серьезной угрозой безопасности автоматизированной системы (АС). По характеру угрозы "троянский конь" относится к активным угрозам, реализуемым программными средствами, работающими в пакетном режиме. Он может угрожать любому объекту АС. Наиболее опасным является воздействие, при котором "троянский конь" действует в рамках полномочий одного пользователя, но в интересах другого пользователя, установить которого порой невозможно. Опасность "троянского коня" заключается в том, что злоумышленник, составивший и внедривший "троянского коня может выполнить несанкционированные привилегированные функции чужими руками. Например, злоумышленника очень интересуют наборы данных пользователя, запустившего такую программу. Последний может даже не обладать расширенным набором привилегий - это не помешает выполнению несанкционированных действий.

"Троянский конь" - одна из наиболее опасных угроз безопасности АС. Радикальным способом защиты от этой угрозы является создание замкнутой среды исполнения программ. Желательно также, чтобы привилегированные и непривилегированные пользователи работали с разными экземплярами прикладных программ, которые должны храниться и защищаться индивидуально. При соблюдении этих мер вероятность внедрения программ подобного рода будет достаточно низкой.

Следует подчеркнуть, что "троянские программы" не являются саморазмножающимися, а распространяются по ЛВС самими программистами, посредством общедоступных банков данных и программ.

"Червь" - программа, распространяющаяся через сеть и не оставляющая своей копии на магнитном носителе. "Червь" использует механизмы поддержки сети для определения узла, который может быть заражен. Затем с помощью тех же механизмов передает свое тело или его часть на этот узел и либо активизируется, либо ждет для этого подходящих условий.

Наиболее подходящей средой распространения "червя" является сеть, все пользователи которой считаются дружественными и доверяют друг другу. Отсутствие защитных механизмов как нельзя больше способствует уязвимости сети.

Такой гипотетический вирус может перехватывать пароль, закрытый ключ или расшифрованное сообщение, а затем тайно сохранять их в файле или передавать по сети своему создателю. Вирус также может модифицировать некоторые программы шифрования.

Самым лучшим способом защиты от "червя" является принятие мер предосторожности против несанкционированного доступа к сети.

Захватчики паролей - это программы, специально предназначенные для воровства паролей. Они выводят на экран терминала (друг за другом) пустой экран, экран, появляющийся после крушения системы или сигнализирующий об окончании сеанса работы. При попытке входа имитируется ввод имени и пароля которые пересылаются владельцу программы-захватчика, после чего выводится сообщение об ошибке ввода и управление возвращается операционной системе. Пользователь, думающий, что допустил ошибку при наборе пароля, повторяет вход и получает доступ к системе. Однако его имя и пароль уже известны владельцу программы-захватчика. Перехват пароля может осуществляться и другим способом - с помощью воздействия на программу управляющую входом пользователей в систему и ее наборы данных. Для предотвращения этой угрозы, перед входом в систему необходимо убедиться, что вы вводите имя и пароль именно системной программе входа, а не какой-то другой.

Клавиатурные шпионы - это программы предоставляющие возможность записи того, что печатается на чужом компьютере, владельцем этого компьютера. Или, если смотреть на это с другой стороны, предоставляющие возможность посмотреть, что творилось на компьютере, пока хозяин компьютера отсутствовал.

И то, и другое делается одним методом: все, что набирается на клавиатуре, заносится в текстовый файл. Так что набранный текст на компьютере, например в интернет-кафе может легко стать достоянием владельца такого компьютера. Такие программы могут автоматически загружаться при включении компьютера и маскироваться под резидентные антивирусы или другие полезные утилиты.

1.1.2 Рекомендации по защите от вирусов и "закладок"

Для защиты от этих разновидностей вредоносных программ необходимо создание замкнутой среды исполнения программ, разграничение доступа к исполняемым файлам, контроль целостности исполняемых файлов и системных областей, тестирование приобретаемых программных средств. Кроме того, не записывать команды, содержащие пароль, в командные процедуры, избегать явного объявления пароля при запросе доступа по сети (эти ситуации можно отследить и захватить пароль), не использовать один и тот же пароль для доступа к разным узлам. Соблюдение правил использования паролей - необходимое условие надежной защиты. Поэтому при задании пароля необходимо руководствоваться следующими правилами:

1. Не использовать очевидные фразы, которые легко угадать, например, имена своих детей или супруги;

2. Использовать в пароле пробелы и комбинации цифр, символов и букв. Если пароль будет состоять из одного слова, его очень просто отгадать, заставив компьютер перебрать все слова в словаре. Именно поэтому фраза в качестве пароля гораздо лучше, чем слово;

3. Использовать творческий подход. Использовать фразу, которую легко запомнить, но трудно угадать: такая фраза может быть составлена из бессмысленных выражений или очень редких литературных цитат;

4. Использовать максимально длинные пароли. Чем длиннее пароль, тем труднее его угадать;

5. При генерации ключей всегда выбирать максимальный размер ключа. В Windows версии нужно выбирать ключ размером 4096 и более;

Также для защиты и борьбы с вирусами необходимо применять специальные антивирусные программы, которые можно разделить на несколько видов:

1. программы-детекторы (позволяют обнаружить файлы, зараженные вирусом. Работа детектора основывается на поиске участка кода, принадлежащего тому или иному известному вирусу, но, к сожалению, детекторы не гарантируют обнаружения "свежих" вирусов. Наиболее известными детекторами являются ViruScan, Norton Antivirus, NetScan, Антивирус Касперского. У нас в стране часто используется детектор Aidstest и Антивирус Касперского);

2. программы-доктора ("лечат" зараженные программы или диски, уничтожая тело вируса. При этом в ряде случаев ваша информация может быть утеряна, так как некоторые вирусы настолько искажают среду обитания, что ее исходное состояние не может быть восстановлено. Широко известными программами-докторами являются Clean-Up, M-Disk,Norton Antivirus, Антивирус Касперского, и уже упомянутый выше Aidstest);

3. программы-ревизоры (сначала запоминают сведения о состоянии программ и системных областей дисков, а в дальнейшем сравнивают их состояние с исходным. При выявлении несоответствий выдают сообщение пользователю. Работа этих программ основана на проверке целостности файлов путем подсчета контрольной суммы и ее сравнения с эталонной, вычисленной при первом запуске ревизора; возможно также использование контрольных сумм, включаемых в состав программных файлов изготовителями. К широко распространенным программам-ревизорам относятся: Adinf, AVP Inspector);

4. доктора-ревизоры (это программы, объединяющие свойства ревизоров и фагов, которые способны обнаружить изменения в файлах и системных областях дисков и при необходимости могут автоматически вернуть файл в исходное состояние. К широко распространенным докторам-ревизорам относятся: Adinf, Adext, AVP, Inspector);

5. программы-фильтры (располагаются резидентно в операми ной памяти компьютера, перехватывают те обращения к операционной системе, которые могут использоваться вирусами для размножения и нанесения вреда, и сообщают о них пользователю. Программы-фильтры контролируют действия, характерные для поведения вируса).

К широко распространенным программам-фильтрам относятся: Flu Shot Plus, Anti4Us, Flowered, AVP, Norton Antivirus, Disk Monitor. Это достаточно надежный метод защиты, но создающий существенные неудобства для пользователя.

Выпускаемые сегодня антивирусные программные продукты, как правило, объединяют основные функции детектора доктора и ревизора. Следует отметить, что антивирусные программы постоянно обновляются, не реже одного раза в месяц, и способны защитить компьютеры от вирусов, известных программе на данный момент. Прежде всего, необходимо подчеркнуть, что защитить компьютер от вирусов может только сам пользователь. Только правильное и своевременное применение антивирусных средств может гарантировать его от заражения или обеспечить минимальный ущерб, если заражение все-таки произошло. Необходимо правильно организовывать работу на ПК и избегать бесконтрольной переписи программ с других компьютеров.

На основе проведенного анализа можно сделать вывод, что в настоящий момент существует достаточно большое количество программных средств, способных либо несанкционированно уничтожить, либо предоставить несанкционированный доступ к конфиденциальной информации передающейся в сетях ЭВМ или хранящейся на компьютерах пользователей (должностных лиц), в том числе способных похитить пароли доступа к различным ресурсам. В связи с этим возникает необходимость в разработке методов защиты сетей ЭВМ и персональных компьютеров должностных лиц от НСД. Данные методы должны не только предотвращать НСД, но и предупреждать администратора и пользователей о попытках получить НСД, т.е. об атаках на сеть. А разработать и реализовать данные методы защиты можно при помощи программных средств защиты.