Тема 15. ЗАЩИТА ИНФОРМАЦИИ В КОМПЬЮТЕРАХ И СЕТЯХ
1.
Виды защищаемой
информации
2.
Основные
принципы защиты информации
3.
Классификация
вредоносных программ
Согласно ст. 16 п. 1
Федерального закона «Об информации, информационных технологиях и защите
информации» защита информации представляет собой принятие правовых,
организационных и технических мер, направленных:
1) на обеспечение защиты информации от
неправомерного доступа, уничтожения, модифицирования, блокирования,
копирования, предоставления, распространения, а также от иных неправомерных
действий в отношении такой информации;
2) соблюдение конфиденциальности информации
ограниченного доступа;
3) реализацию права на доступ к информации.
Три базовых принципа
защиты информации, которые должны соблюдаться (точнее — строго и совместно
выполняться) в информационной системе:
1. Конфиденциальность —
обязательное для выполнения лицом, получившим доступ к определенной информации,
требование не передавать такую информацию третьим лицам без согласия ее обладателя,
а также обеспечение невозможности доступа к информации лицам, не имеющим соответствующего
разрешения (на компьютерном языке — соответствующих прав доступа).
Определение понятия
дано в соответствии с ст. 2 п. 7 Федерального закона № 149-ФЗ «Об информации,
информационных технологиях и о защите информации». В соответствии с данным
определением конфиденциальность не является свойством информации, поэтому
словосочетание «конфиденциальная информация» без указания владельца или иных
квалифицирующих признаков некорректно.
2. Целостность
— отсутствие в защищаемой информации каких-либо несанкционированных изменений
(как случайных, так и преднамеренных).
3. Достоверность
— гарантия того, что информация получена из известного доверенного или из
надежного источника.
Нарушение хотя бы одного
из этих принципов свидетельствует о наличии утечки или искажении информации.
1. Виды защищаемой информации
В соответствии с ст. 5
п. 2 Федерального закона «Об информации, информационных технологиях и защите
информации» информация в зависимости от категории доступа к ней подразделяется
на общедоступную, а также на информацию, доступ к которой ограничен
федеральными законами (информация ограниченного доступа).
В ст. 7 п. 2 того же
Закона отмечается, что общедоступная информация может использоваться любыми
лицами по их усмотрению при соблюдении установленных федеральными законами
ограничений в отношении распространения такой информации.
В ст. 1 п. 2 говорится,
что действие данного Закона, в том числе в вопросах защиты информации, не
распространяется «...на отношения, возникающие при правовой охране результатов
интеллектуальной деятельности и приравненных к ним средств индивидуализации».
Следовательно, защита общедоступной информации должна осуществляться в соответствии
с требованиями части четвертой Гражданского кодекса РФ.
В ст. 16 уже не
подчеркивается, что защите подлежит только информация ограниченного доступа. В
отношении некоторых видов информации ограниченного доступа (государственной,
коммерческой, банковской, врачебной тайны, персональных данных и других общим
числом 36 видов) существуют законодательные акты, регламентирующие порядок
обращения с ней. На основании этого можно сделать вывод, что защите подлежит
как общедоступная информация, которая может подвергнуться подмене или
искажению, так и информация ограниченного доступа.
Угрозы потери, раскрытия или искажения
информации
Угроза
— потенциально возможное событие, действие, процесс или явление, которые могут
вызвать нанесение ущерба (материального, морального или иного), т.е. которые
могут нарушать политику безопасности.
Классификация
угроз информации
Утечка
информации — раскрытие информации неавторизованному пользователю или процессу.
При входе пользователей в операционную систему между ними происходят три
последовательных процесса. Сначала пользователь предоставляет системе свой
login (логин — имя пользователя), выполняется идентификация пользователя, т.е.
представление его системе. Как правило, система просит ввести еще один элемент
— пароль для проведения системой аутентификации пользователя. Если оба процесса
прошли удачно, т.е. пользователь признается легальным для данной системы, то
запускается авторизация, т.е. определение, какими правами обладает данный легальный
пользователь. Неавторизованным пользователем считается субъект, либо не прошедший
процесс идентификации/аутентификации, либо легальный пользователь, не прошедший
процесс авторизации, т.е. пытающийся превысить свои полномочия.
Нарушение целостности — компрометация
согласованности (непротиворечивости, достоверности) данных, как правило, путем
их целенаправленного создания, подмены и разрушения.
Отказ в услуге — преднамеренная
блокировка доступа легального пользователя к информации или другим ресурсам.
Незаконное использование — использование выделенных пользователю ресурсов
незаконным образом (можно только читать файл, а пользователь пытается его
изменить, скопировать, переместить или удалить) или неавторизированным
объектом/субъектом (хакером или программой, ранее им же установленной).
Маскарад
— маскировка пользователя (процесса, подсистемы) в целях выдать себя за
другого, обычно легального пользователя.
Обход
защиты — использование слабых мест системы безопасности с
целью получения законных прав и привилегий в обход защитных механизмов и
средств.
Нарушение полномочий —
использование ресурсов информационной системы не по назначению, обычно характерно
для внутренних нарушителей.
Троянский
конь
— применение программы, содержащей скрытый или явный программный код, при
исполнении которого нарушается функционирование системы защиты или
безопасности. Например, текстовый редактор с помощью макросов, скриптов или
иных «недозволенных вложений» тайно копирует пароль (файл, содержимое) документа
в другой файл, пересылаемый на удаленный компьютер хакеру-злоумышленнику.
Потайной
ход
— код, тайно встраиваемый в систему или ее компонент, в библиотеку программы,
нарушающий функционирование системы безопасности. Например, под- система
проверки логина не выдает запрос имени пользователя и не проводит проверку
вводимого пароля.
Доступ
к услуге обманным путем — получение незаконных привилегий
в системе путем обмана, подмены законного пользователя.
Приемы
хищения информации из офиса
В качестве носителей —
переносчиков «украденной» информации используют различные виды физических
полей. Акустические (звуковые) колебания можно регистрировать разнообразными
видами микрофонов: от обычных до специальных направленных, регистрирующих
колебания на расстояниях до сотен метров (около 500). Миниатюрные микрофоны
можно вмонтировать в телефон, компьютер, мебель, стены, электроприборы и др.
Так, «жучки» комплектуются радиопередатчиком для доставки «услышанной»
информации за пределы охраняемой зоны и устанавливаются вблизи систем электропитания.
Современные модификации акустической прослушки не требуют проникать в охраняемое
офисное помещение. С почти километровой дистанции можно лазером считывать
вибрацию стекол, стен, пола, крыши и записывать звуки в помещении.
Электрические сигналы
работающей электроаппаратуры, включая компьютеры и периферийное оборудование.
Обычно регистрация идет либо по цепям питания аппаратуры, либо по цепям
заземления.
Регистрация электромагнитного
излучения на расстоянии до нескольких сотен метров от «смога» монитора (электронно-лучевой
трубки) или незащищенных соединительных шнуров, кабелей. В пределах нескольких
метров можно зарегистрировать сигнал от некоторых типов процессоров и шин
материнской платы.
Регистрация оптических
излучений фото- и видеосъемкой. Фотоаппараты размещаются в сигаретах,
зажигалках, авторучках, часах; волоконно-оптические датчики внедряются через
стены, щели и т.п.; путем подглядывания в окна и открытые двери.
Утечки с каналов связи с
офисом. Телефонные утечки могут быть организованы в виде «жучков» в телефонном
аппарате, либо с помощью перехвата радиоизлучения радиотелефонов или сотовых
телефонов, либо с помощью параллельного подключения к аппарату или линии. К
линии можно подключиться и индукционно, бесконтактно. К волоконным линиям связи
возможно как контактное, так и бесконтактное подключение. Заметить подобное
подключение достаточно сложно, ведь с волокна снимается сигнал, составляющий
менее 0,1% мощности передаваемых по линии сигналов.
Аппаратные закладки в
компьютер, сервер или телекоммуникационную аппаратуру, клавиатурные шпионы. Иногда
это «жучок», фиксирующий нажатия на клавиши и передающий по радиоканалу либо
через Интернет собранную информацию. Широко используются программные клавиатурные
шпионы, выполняющие аналогичные функции, но позволяющие перехватывать не всю
информацию, а только необходимую — пароли, ключи к шифрам и т.п.
Бедствием становится
«лишняя периферия», устанавливаемая пользователями на компьютеры. Раньше это
был модем, подключенный к служебному телефону, сейчас — сотовый телефон,
подключенный к служебному компьютеру, который, в свою очередь, остается одним
из хостов локальной или сети Интернет. Сотрудник фирмы со служебного компьютера
через сотовый телефон выходит в Интернет и фактически открывает всю локальную
сеть компании злоумышленникам Интернета, минуя установленные защитные барьеры
(это и есть обход защиты).
Какими способами
можно «потерять» информацию в компьютере, включая в это
понятие и разглашение информации ограниченного доступа (т.е.
несанкционированный доступ к ней без ее копирования или изменения)
• Непосредственно с компьютера при наличии
физического доступа к нему.
• Опосредованно с компьютера при наличии
доступа к нему по сети.
• Непосредственно или опосредованно с
линии связи, иду- щей к компьютеру, при наличии необходимого доступа к ней.
• Непосредственно или опосредованно с
элементов компьютерных и информационных систем, а также сетей (сер- вера,
принтеры, банкоматы и т.п.) при наличии необходимого доступа к ним.
• Всевозможные комбинации перечисленных
выше способов.
Для защиты информации
(предотвращения утечки и потерь) существуют четыре группы мероприятий.
2. Основные принципы защиты информации
Классификация
мер защиты информации
Классификация мер по
защите информации в соответствии с ст. 16 п. 1 Федерального закона № 149-ФЗ
представляет собой сочетание правовых, организационных и технических мер. При
широкой трактовке понятия защита информации, которое в этом случае правильнее
заменить на сочетание информационная безопасность, в перечень мер защиты должны
быть включены и физические меры защиты.
Законодательные
меры
Уголовное преследование
за преступления в этой сфере осуществляется в соответствии с гл. 28 Уголовного
кодекса РФ «Преступления в сфере компьютерной информации», содержащей три
статьи.
1. Статья 272
— несанкционированный доступ к информации. Несанкционированный доступ к
информации — нарушение установленных правил разграничения доступа с
использованием штатных средств, предоставляемых ресурсами вычислительной
техники и автоматизированными системами (сетями). Отметим, что при решении
вопроса о санкционированности доступа к конкретной информации необходимо
наличие документа об установлении правил разграничения доступа, если эти
правила не прописаны законодательно.
2. Статья 273
— создание, использование и распространение (включая продажу зараженных
носителей) вредоносных программ для ЭВМ, хотя перечень и признаки их законодательно
не закреплены. Вредоносная программа — специально созданная или измененная существующая
программа, заведомо приводящая к несанкционированному уничтожению, блокированию,
модификации либо копированию информации, нарушению работы ЭВМ или их сети.
3. Статья 274 — нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети. Это — нарушение
работы программ, баз данных, выдача искаженной
информации, а также нештатное функционирование аппаратных средств и периферийных
устройств; нарушение нормального функционирования сети, прекращение
функционирования автоматизированной информационной систем в установленном
режиме; сбой в обработке компьютерной информации.
Уголовное
преследование за незаконные действия с общедоступной информацией осуществляется в соответствии со ст. 146 «Нарушение авторских
и смежных прав» и 147
«Нарушение изобретательских и патентных прав»
гл. 19
«Преступления против конституционных прав и свобод
человека и гражданина» Уголовного кодекса РФ.
Ответственность за соблюдением сотрудниками организации или компании
законодательных мер по защите ин-
формации лежит на каждом сотруднике организации или компании, а
контроль за их соблюдением — на
руководителе.
Физические
меры:
Выделяют
три основные макрофункции физической за щиты:
•
внешнюю защиту;
•
опознавание;
•
внутреннюю защиту.
Перечисленные средства
служат для обнаружения угроз и оповещения
сотрудников охраны или персонала объекта о появлении
и нарастании угроз.
Из 12
разбитых по функциональному признаку групп более детально рассмотрим четыре группы,
использующие в своей технической
реализации собственные компьютерные средства либо пригодные для защиты самих
рабочих помещений с компьютерами.
1.Охранная сигнализация. Основной элемент сигнализации — датчики, фиксирующие изменение одного или нескольких физических параметров, характеристик.
Датчики классифицируют по следующим группам:
объемные, позволяющие контролировать пространство помещений, например внутри
компьютерных классов;
линейные, или поверхностные, для контроля периметров
территорий, зданий, стен, проемов
(окна, двери);
локальные, или точечные, для контроля состояния отдельных элементов (закрыто
окно или дверь).
Датчики устанавливаются как открыто, так и скрытно.
Наиболее распространены:
выключатели (размыкатели), механически или магнитным способом
замыкающие (размыкающие) управляющую электрическую цепь при
появлении нарушителя. Бывают напольные, настенные,
на касание;
инфраакустические,
устанавливаемые на металлические ограждения для улавливания низкочастотных колебаний, возникающих во время их преодоления;
датчики электрического поля, состоящие из излучателя
и нескольких приемников. Выполняются в виде натянутых между столбами проводов кабелей. Изменение поля при появлении нарушителя
и фиксируется датчиком; инфракрасные датчики (излучатель
— диод либо лазер), используемые для сканирования поверхностей или объемов
помещений. Тепловая «фотография» запоминается
и сравнивается с последующей для выявления факта перемещения объекта
в защищаемом объеме; микроволновые —
сверхвысокочастотный передатчик и
приемник; датчики давления, реагирующие
на изменение механической нагрузки на среду, в которой они уложены или установлены;
магнитные датчики (в виде сетки), реагирующие
на металлические предметы, имеющиеся
у нарушителя; ультразвуковые
датчики, реагирующие на звуковые колебания
конструкций в области средних частот (до 30—
100 кГц); емкостные, реагирующие на изменение электрической емкости между полом помещения и
решетчатым внутренним ограждением при появлении инородного объекта.
2.Средства оповещения и связи.
Всевозможные сирены, звонки, лампы,
подающие постоянный или прерывистые сигналы
о том, что датчик зафиксировал появление
угрозы. На больших расстояниях используют радиосвязь, на
малых — специальную экранированную защищенную кабельную разводку. Обязательное требование — наличие автоматического резервирования электропитания средств сигнализации.
3.Охранное
телевидение. Распространенное физическое средство защиты. Главная особенность — возможность не только фиксировать визуально
факт нарушения режима
охраны объекта и контролировать
обстановку вокруг объекта, но и документировать факт нарушения, как правило, с
помощью видеомагнитофона.
В отличие
от обычного телевидения, в системах охранного
ТВ монитор принимает
изображение от одной или нескольких видеокамер, установленных в
известном только ограниченному кругу лиц месте (так
называемое закрытое ТВ).
Естественно, что кабельные линии для передачи сигналов охранного ТВ не должны
быть доступны иным лицам, кроме охраны. Мониторы располагаются в отдельных помещениях, доступ в которые
должен быть ограничен.
Рассмотренные выше три группы
относятся к категории
средств обнаружения вторжения
или угрозы.
4.Естественные средства противодействия вторжению. Сюда относятся естественные или искусственные барьеры
(водные преграды, сильно пересекающаяся местность, заборы спецограждения,
особые конструкции помещений, сейфы, запираемые металлические ящики для компьютеров и т.п.). Средства ограничения доступа, в состав которых входит компьютерная техника. Сюда относятся биометрические или иные, использующие внешние по отношению
к компьютеру носители паролей
или идентифицирующих кодов:
пластиковые карты, флешкарты, таблетки Touch Memory и другие средства
ограничения доступа.
Биометрические средства ограничения доступа. Особенность
биометрических методов допуска состоит в их статистической природе.
В процессе проверки
объекта при наличии
ранее запомненного кода устройство контроля выдает сообщение по принципу
«совпадает» или «не совпадает». В случае считывания копии биологического кода и его
сравнения с оригиналом речь идет о вероятности ошибки,
которая является функцией чувствительности, разрешающей способности
и программного обеспечения контролирующего доступ
прибора. Качество биометрической системы контроля доступа определяется следующими характеристиками:
вероятностью ошибочного допуска «чужого» — ошибка первого рода;
вероятностью ошибочного задержания (отказа
в допуске) «своего» легального пользователя — ошибка второго рода; временем доступа
или временем идентификации; стоимостью аппаратной и программной частей биометрической
системы контроля доступа, включая расходы на
обучение персонала,
установку, обслуживание и ремонт.
Бо´льшая часть биометрических средств защиты реализована на трех компонентах: сканер (датчик)
— преобразователь (сигналы
датчика в цифровой
код для компьютера) — компьютер
(хранитель базы биометрических кодов — характеристик объекта,
сравнение с принятой
от датчика ин- формацией,
принятие решения о допуске объекта или блокировании его доступа).
В
качестве уникального биологического кода человека в биометрии используются параметры двух групп.
Поведенческие, основанные на специфике действий человека, — это тембр
голоса, подпись, индивидуальная походка, клавиатурный почерк. Главный недостаток поведенческих характеристик — временна´я неустойчивость, т.е. возможность значительного изменения со временем.
Это в значительной степени
ограничивает применение поведенческих характеристик как средств ограничения доступа.
Однако на протяжении относительно короткого временно´го интервала они применимы как идентифицирующие личность средства. Пример — фиксация клавиатурного почерка работающего в процессе осуществления им сетевой атаки и последующий (после задержания злоумышленника) контрольный набор определенного текста желательно на
изъятой у него клавиатуре (лучше на его же компьютере).
Физиологические, использующие анатомическую уникальность каждого человека, — радужная оболочка
глаза, сетчатка глаза, отпечатки пальцев, отпечаток
ладони, геометрия кисти руки, геометрия лица, термограмма лица, структура кожи (эпителия)
на пальцах на основе ультразвукового цифрового
сканирования, форма ушной раковины, трехмерное изображение лица, структура
кровеносных сосудов руки, структура ДНК, анализ индивидуальных запахов.
Справедливости ради отметим, что бо´льшая часть перечисленных биометрических средств пока не производится в массовых масштабах.
Устройства биометрического контроля начали распространяться в России
еще до 2000
г. Однако из-за
высокой цены на
российских рынках (десятки тысяч долларов за устройство) подобная техника была экзотикой. Сегодня биометрические
средства доступны
и имеют устойчивый спрос в России. Иная причина — осознание
необходимости защиты от преступности
у нас в стране. Как показывает опыт, сложность применяемых устройств контроля допуска
растет. Раньше в России на режимных
предприятиях применялись замки с PIN-кодом, затем появились магнитные
пластиковые карты, которые необходимо было провести через
специальные устройства считывания, еще позднее — карточки дистанционного считывания. Опыт, в
том числе и российский, показывает, что данные средства эффективны только
от случайного посетителя и
слабы при жестких формах преступности, когда
похищаются и пароли входа в информационную систему,
и пластиковые карточки, оказывается давление на отдельных сотрудников служб охраны и безопасности.
Уровень современной биометрической защиты весьма высок: он
исключает возможность взлома даже в ситуации, когда злоумышленник пытается
использовать труп или изъятые органы. Возможность технического взлома базы эталонов или их подмены на этапе идентификации, как
правило, исключена: сканер и каналы связи сильно защищены, а компьютер дополнительно изолирован от сети и не имеет даже терминального доступа.
Известная
компания Identix, занимающаяся автоматизированным
дактилоскопическим оборудованием, прошла регистрацию в 52 странах. Ее серийно выпускаемое оборудование решает следующие идентификационные задачи:
1. контроль физического доступа
в здание, на стоянки автомашин и в другие помещения;
2. контроль компьютерных станций
(серверов, рабочих мест)
и систем телекоммуникаций;
3. контроль доступа к сейфам, складам
и т.п.;
4. идентификация в электронной коммерции;
5. контроль членства в различных организациях и клубах;
6. паспортный
контроль;
7. выдача и контроль
виз, лицензий;
8. контроль времени посещения;
9. контроль транспортных средств;
10.
идентификация кредитных и смарт-карт.
Ограничителем распространения биометрических средств контроля
доступа в ряде стран выступает действующее на
их территории законодательство. В России действует закон о персональных
данных (Федеральный закон от 27 июля 2006
г. № 152-ФЗ «О персональных данных», введен в действие с 26 января
2007 г.). Подобные
законы существуют в других странах,
а в некоторых отсутствуют. Статья
11
«Биометрические персональные
данные» указанного Закона не содержит
исчерпывающего перечня параметров, которые можно отнести к этим данным.
Несомненно, что создание пусть небольших, локальных
баз данных, содержащих идентифицирующую гражданина информацию, должно регулироваться законодательно с обязательными мерами ответственности за несанкционированное раскрытие или искажение подобной
информации. Пластиковые карты. Лидером среди переносных носителей
персональных идентификационных кодов
(PIN) и кодов физического доступа
остаются пластиковые карты.
Пластиковая
карта представляет собой пластину стандартных размеров (85,6×53,9×0,76 мм),
изготовленную из специальной устойчивой к механическим и термическим
воздействиям пластмассы. Основная функция пластиковой карты — обеспечение
идентификации владельца карты как субъекта
системы физического доступа
или платежной системы.
На пластиковую карту наносят:
•
логотип банка-эмитента (выпустившего карту);
•
логотип или
название платежной системы, обслуживающей карту;
•
имя держателя карты;
•
номер его счета;
•
срок действия.
Могут
присутствовать фотография, подпись владельца
и другие параметры.
Алфавитно-цифровые данные
— имя, номер счета и другие могут быть нанесены рельефным шрифтом (эмбоссированы), что позволяет при ручной обработке быстро перенести данные с карты на чек с помощью
им принтера, осуществляющего «прокатку» карты.
По
принципу действия карты делятся на две группы — пассивные и активные.
Пассивные карты только хранят информацию на носителе, но не
обеспечивают ее автономной обработки. Пример —
широко распространенные во всем мире карты с магнитной полосой
на обратной стороне (три дорожки). Две дорожки
хранят идентификационные записи. На третью можно записывать, например, текущее значение лимита дебетовой карты. Из-за невысокой надежности магнитного
покрытия обычно карты используют только в режиме чтения. При работе с картой необходимо установление связи между банком и банкоматом, что возможно только
там, где хорошо
развита инфраструктура связи. Данный вид карт уязвим для мошенничества, поэтому системы Visa и
MasterCard/Europay используют дополнительные средства защиты карт —
голограммы и нестандартные шрифты для эмбоссирования.
Активные пластиковые карты содержат встроенную микросхему и
допускают разную степень обработки информации
без участия банка,
обслуживающего платежную
систему. Типичный пример — карты-счетчики и карты с памятью. Но они уступают
место интеллектуальным или смарт-картам, в состав
которых входит не просто микросхема, а специализированный процессор. Сама карта представляет собой микрокомпьютер, способный при подключении к банкомату
самостоятельно (без участия
банка, т.е. в режиме offline)
проводить не только идентификацию клиента, но и выполнение ряда финансовых операций:
снятие денег со счета, безналичную оплату счетов и товаров.
Хотя имеются
случаи искажения информации, хранимой в смарт-картах, а также нарушения их работоспособности
за счет воздействия высокой или низкой температуры, ионизирующих излучений, данный
вид карт обладает высокой надежностью и вытесняет другие виды карт.
Организационные (административные) меры
Административные меры (доля 50—60%) включают:
·
разработку политики
безопасности применительно к конкретной информационной системе (какие
профили, какие пароли, какие атрибуты, какие права доступа);
·
разработку средств
управления безопасностью (кто, когда и в каком порядке изменяет
политику безопасности);
·
распределение
ответственности за безопасность (кто и за что отвечает при нарушении политики
безопасности);
·
обучение персонала
безопасной работе и периодический контроль за деятельностью сотрудников;
·
контроль
за соблюдением установленной политики безопасности;
·
разработку мер безопасности на случай природных
или техногенных катастроф
и террористических актов.
Ответственность за соблюдением в организации или компании организационных (административных) мер по защите информации лежит на руководителе, начальнике
службы безопасности (информационной безопасности), системном (сетевом) администраторе.
Технические меры
Под
техническими мерами (технологическими или программно-аппаратными) понимают
приемы защиты, которые реализуются непосредственно с использованием защищаемых объектов: одного или
группы компьютеров, а также средств телекоммуникации. Специфика мер заключается в том, что пользователь имеет с ними дело не только ежедневно
(как с физическими мерами), но и ежечасно, ежесекундно. Ошибки пользователя
(пользователей), связанные с нарушением
технических мер защиты или с пренебрежением ими, очень часты — по оценкам 75—90% всех
инцидентов в локальных сетях. Эти ошибки приводят к тяжелым последствиям,
так как в большинстве случаев «открывают», делают
сеть беззащитной сразу десяткам и сотням пользователей сети. Они своими
безграмотными действиями могут быстро по сети растиражировать (скопировать) ошибку или ее последствия.
Существуют
различные классификации вредоносных программ. Например, по способу
распространения — почтовые, сетевые и переносимые вместе с носителями. Чаще
применяется классификация, основанная на систематизации мест нахождения вредоносных
программ, объектов заражения и следов их действия в компьютере, на сервере, в
других устройствах.
1. Черви. Вредоносные программы, которые
несанкционированно (т.е. без ведома или без уведомления пользователя) создают
свои копии на доступных носителях информации, включая и сетевые диски,
постепенно занимая все свободное место. Этим способом они снижают скорость работы
компьютера, вплоть до полной неработоспособности операционной системы. Черви не
совершают деструктивных разрушительных действий и не проводят изменения хранимой
на носителе информации, но могут блокировать работу отдельной программы или
компьютера в целом. Лечение от червей сводится к поиску их или частей на
носителях информации с последующим их удалением.
2. Вирусы. Вредоносные программы, которые
несанкционированно создают свои копии, размещаемые, как правило, в объектах
файловой системы. Вирусы заражают эти объекты, внедряя свой машинный код внутрь
этих объектов, причем таким образом, чтобы код вируса исполнялся до начала
работы зараженного объекта. Вирусы обладают (хотя и не все, но большинство)
деструктивными действиями: нарушение работы операционной системы, прикладного
программного обеспечения, разрушение файлов, разрушение каталогов, уничтожение
файлов и папок, форматирование или шифрование носителей полностью или частично.
Лечение от вирусов сводится к поиску и удалению заранее известного кода вируса внутри
объектов файловой системы. После удаления вируса может потребоваться процедура
восстановления работоспособности объекта, особенно файла с документом или
программного файла. Удаление кода вируса, который способен шифровать код
заражаемого объекта, может приводить к невозможности расшифрования и,
следовательно, к потере «вылеченным» объектом работоспособности.
Вирусы
классифицируют по местам заражения и местам нахождения следов вредоносной
деятельности.
• Вирусы-спутники исполняемых файлов с
расширением *.exe. Создается одноименная копия *.com вируса, которая из-за
особенностей операционной системы всегда запускается раньше, чем основной *.exe
файл.
• Файловые вирусы. Поражают все виды
двоичных исполняемых файлов, драйверы, объектные модули и системные библиотеки,
записывая свое тело внутрь исполняемой программы таким образом, чтобы при
запуске зараженной программы первоначально «приступал к работе» вирус.
3.
Классификация
вредоносных программ
• Загрузочные вирусы. Записывают в
загрузочные сектора носителей информации головку вируса, размещая тело (большую
часть кода) внутри отдельных файлов или про- грамм, почти как файловые вирусы.
Загрузочные сектора носителей читаются всегда при обращении к носителю, это
позволяет активизировать вирус без открытия файла при вызове окна диска, выводе
списка файлов, просмотре структуры дерева каталогов.
• Dir-вирусы (от слова директорий —
каталог). Размещают свою «головку» таким образом, чтобы активизироваться при
просмотре зараженного каталога или структуры дерева каталогов.
• Макровирусы. Способны проникать и
заражать неисполняемые файлы, например файлы с документами и шаблонами,
подготовленные с помощью текстового редактора Word, табличного процессора
Excel. Переносятся и копируются вместе с зараженными документами.
3. Троянцы. Вредоносные программы, не осуществляющие
на зараженном компьютере деструктивных, разрушающих действий и, как правило,
проводящие шпионскую работу по сбору информации ограниченного доступа. Обычно,
в отличие от других вирусов, не занимаются несанкционированным копированием, а
стараются резидентно, т.е. постоянно во время каждого сеанса работы,
прописаться в опера- тивной памяти компьютера и отслеживать оттуда операции по
вводу паролей. При наличии подключения компьюте- ра к локальной или глобальной
сети троянцы пытаются несанкционированно и незаметно для пользователя переслать
перехваченные пароли хозяину, внедрившему его на компьютер.
Лечение
от троянцев аналогично лечению от червей, сводится к поиску и удалению файлов с
троянской программой.
4. Программы AdWare/SpyWare. Функционально похожи
на троянцев, но их интерес не информация ограниченного доступа, а «простое»
слежение за работой пользователя. Подобное слежение не наказуемо по российскому
законодательству, но приносит ощутимый вред пользователю: сильно замедляет
работу компьютера, занимает оперативную и дисковую память, увеличивает
интернет- трафик. Лечение схоже с лечением от червей или троянцев, но
осложняется скрытностью присутствия программ данного типа и их активным
противодействием как лечению, так и удалению.
5. Программы обманщики (Hoax). Еще одна
группа не наказуемых по российскому законодательству программ, которые
изображают (симулируют) работу легальных про- грамм, сообщая о наличии ошибок в
их работе и требуя платы реальными деньгами за якобы лицензионный ключ для устранения
ошибок и лечения. Например, Hoax.Renos подделывает работу антивирусной
программы, постоянно сообщая о наличии десятков вредоносных программ даже в
лицензионных версиях Windows. За лечение от псевдовирусов, создаваемых самим
Hoax, естественно, необходимо заплатить.
6. Root Kit. Программы, позволяющие прятать,
скрывать другие программы или процессы от операционной системы, файловых
менеджеров и антивирусных программ. Лечение от Root Kit программ аналогично
лечению от червей, сводится к поиску и удалению файлов. Сложность в том, что
Root Kit технология изначально предназначена для сокрытия своих действий и
действий других вредоносных программ от операционной системы и для противодействия
антивирусным программам. Положение осложняется тем, что программы этого класса
могут использоваться для благих целей — скрытному установлению и включению за-
щитных механизмов на конкретном компьютере. Ряд фирм работает над созданием
Root Kit программ, подключающих защиту до загрузки собственно операционной
системы. А если эти программы подправить так, чтобы они «вздумали» отключить
защиту или «включить» ненужные пользователю сервисы? Напомним, что антивирусные
программы работают только под управлением операционной системы и лечить «до
нее» не могут.
Прочие
вредоносные программы представляют собой комбинации вышеперечисленных программ.
Современные вредоносные программы практически все относятся именно к гибридным
вредоносным программам.
Классификация вредоносных программ по наносимому ущербу
Безопасные
— программы, которые не причиняют явного вреда операционной системе, файловой
системе, носителям информации. К этой группе, как ни покажется странным,
относятся почти все современные мошенники — AdWare/ SpyWare, Hoax и подобные
программы.
Программы,
уничтожающие и (или) изменяющие данные на носителях, — практически все вирусные
и отдельные троянские программы. Зашифруют, к примеру, половину винчестера и
требуют плату за возможность расшифровки. Программы, организующие утечку
конфиденциальной ин-
формации
с компьютера, — это, как правило, троянцы.
Программы,
взламывающие защиту компьютеров, — это shell-код для изменения уровня доступа
до администраторского; backdoor-программы, обеспечивающие скрытное управление
работой компьютера; killer-программы (убийцы), активно противодействующие
работе антивирусных программ и других защитных механизмов, вплоть до их полного
уничтожения.
Основные пути заражения
Когда
можно заразиться вредоносными программами?
Это
возможно при запуске на компьютере зараженной программы; загрузке операционной
системы с зараженного носителя; подключении к системе зараженного драйвера или
системной библиотеки; чтении зараженного документа или приложения к незнакомому
электронному письму; посещении сомнительного сайта в Интернете; скачивании новой
программы, игрушки или их обновления с незнакомого сайта.
Правила лечения
При
подозрении, что компьютер заражен, следует провести архивирование наиболее
существенной информации на случай, если в процессе лечения она будет
повреждена. Подобное случается при лечении устаревшими версиями антивирусных
программ. Только затем выключают компьютер (перезагружать нежелательно, так как
некоторые вирусы активизируются именно после перезагрузки).
По
возможности необходимо загрузить операционную систему с внешнего защищенного от
записи носителя информации (CD-ROM, DVD или вновь подключенного проверенного
винчестера).
Запустить
с защищенного от записи диска, CD-ROM или DVD самую свежую версию антивирусной
программы.
Проверить
работоспособность операционной системы или приложений после работы антивирусной
программы.
После завершения работы антивирусной
программы, ес- ли лечение прошло успешно (не осталось вирусов), жела- тельно
запустить программу ScanDisk для проверки каждо- го из логических дисков
винчестера.
Если
работоспособность системы или отдельных про- грамм не удалось восстановить
после работы антивирусных программ, провести инсталляцию (установку) этих про-
грамм заново.
Совет.
Все «приносимые извне» на компьютер материалы должны подвергаться немедленной,
до размещения на компьютере, антивирусной проверке или помещению в карантин.
Вы- полнить это требование, работая в Интернете, не просто. Следует сохранить в
отдельную папку все, что получено в текущем сеансе работы в Интернете. Сразу
после завершения работы в Интернете проверить эту папку и папку Temporary
Internet Files на наличие вирусов. Только после этого можно работать с
подобранными материалами, включая почтовые вложения.
Классификация антивирусных программ по типу действия
1. Сторожа. Не выявляют вредоносных программ
и тем более не проводят лечения. Сторожа контролируют выполнение некоторых
операций на диске, которые часто используют вредоносные программы, и сообщают
пользователю об этих операциях. Перечень операций, какая программа и когда их
«заставила» выполняться, записывается в журнал. Про- анализировав записи в
журнале, пользователь может сде- лать вывод о несанкционированности некоторых
операций, о возможном воздействии вредоносных программ.
2. Детекторы (сканеры). Программы, содержащие
внутри себя или в отдельных подключаемых библиотеках базы данных с цепочками
кодов (сигнатурами), присущими ранее выявленным вирусам. Проверяя файлы на
наличие таких цепочек, детекторы находят и, вырезая вредоносный код, убивают
вирусы. Недостаток детекторов — невозможность обнаружения и лечения новых,
незнакомых вирусов, вирусов-невидимок (стелс) и самомодифицирующихся (полиморфных)
вирусов. Сканеры, реализующие детектирующие функции, встроены во все
современные антивирусные программы.
3. Полиморфные детекторы. Программы, создающие
на основе одной сигнатуры полиморфного вируса базу данных, содержащую до
миллиона его модификаций, что позволяет
обнаружить
практически все полиморфные вирусы. Типичный представитель — программа Nod32.
4. Программы-мониторы, или модули
многофункциональных программ. Позволяют постоянно за счет размещения в
оперативной памяти компьютера контролировать все процессы в реальном времени, в
течение всего сеанса работы пользователя. Мониторы входят в состав практически
всех современных антивирусных программ.
5. Эвристические доктора. Программы,
способные находить группу вирусов по каким-либо общим признакам, даже если они
(вирусы) имеют разное внутреннее строение (разные сигнатуры). Типичный общий
признак для большинства вирусов — несанкционированное копирование, коорое
доктора и фиксируют. В сочетании с поиском и удалением известных сигнатур можно
найти ранее выявленные вирусы либо заподозрить новый неизвестный вирус. Эвристические
подходы используют большинство современных антивирусных программ, лучшими
являются отечествен- ные DrWeb, AVP Касперского.
6. На особо опасных участках заражения
используются карантинные доктора («виртуальные песочницы»). Они позволяют вновь
прибывшим на компьютер программам работать, но только в отдельной изолированной
области памяти. За ними в это время наблюдают программы-доктора. Если в течение
определенного времени «гости» не заявят о себе плохо, то карантин заканчивается
и они пускаются в «общую компанию». В противном случае при подозрении
«гости»
удаляются с компьютера. Типичные представители карантинных докторов — программы
семейства eSafeProtect, AVZ.
7. Проактивная защита. Представляется
программами, которые кроме эвристического анализа проводят мониторинг
системного реестра, работы приложений с оперативной памятью, контроль
целостности наиболее важных системных файлов. Пример — антивирусный пакет AVP
Касперского.
Приведем
перечень наиболее скачиваемых в 2012 г. антивирусных программ:
• Антивирус Касперского;
• ESET NOD32;
• Avast! Professional Edition;
• AVG
Anti-Virus Free Edition;
• Avira
AntiVir Personal Edition;
• DrWeb
Антивирус;
• F-Secure
Anti-Virus;
• Norton
AntiVirus;
• Panda
Antivirus;
• Sophos
Norman Virus Control;
• McAffee VirusScan.
Указать
лучшую из перечисленных антивирусных программ невозможно по двум причинам.
Во-первых,
у каждой программы свой принцип работы и свои «любимые типы» вредоносных
программ. Как и для всех болезней человека нет единого лекарства, так и нельзя
назвать универсальную антивирусную программу.
Во-вторых,
в отличие от вредоносных программ антивирусные программы, к сожалению,
несовместимы для одновременной установки на один компьютер и не могут работать
одновременно.
По данным
тестирования, проведенного многими группами программистов, можно условно
определить лучших в отдельных «антивирусных» группах:
• лучший (самый быстрый) сканер — ESET
NOD32;
• лучший эвристик — Avira AntiVir Personal Edition или DrWeb;
• лучший проактив — Антивирус Касперского.
