Вопросы компьютерной безопасности (антивирусы)

Вопросы компьютерной безопасности

Реферат по информатики

Ученика 8 класса “Г”

Средней школы №18

Мариза Александра.

Введение

Интернет стремительно входит в нашу жизнь. Сегодня это уже не только всемирная справочная система, но и средство связи, которое с каждым днём всё шире и шире используется не только для личного, но и для делового общения и даже для коммерции.

Пока вопросами безопасности в Интернете занимаются в основном специалисты, но всего лишь через несколько лет коммерциализация Интернета достигнет таково уровня, что эти вопросы станут обычным делом для рядовых граждан. К этому надо готовиться уже сегодня, и полезно знать основные понятия компьютерной безопасности, понимать, о чём идёт речь, и знать простейшие приёмы самозащиты.

Понятия о компьютерной безопасности

В вычислительной технике понятие безопасности является весьма широким. Оно подразумевает и надежность работы компьютера, и сохранность ценных данных, и защиту информации от внесения в неё изменений неуполномоченными лицами, и сохранение тайны переписки электронной связи. Разумеется, во всех цивилизованных странах на страже безопасности граждан стоят законы, но в сфере вычислительной технике правоприменительная практика пока не развита, а законотворческий процесс не успевает за развитием технологий, поэтому надежность работы компьютерных систем во многом опирается на меры самозащиты.

В этом реферате я расскажу о компьютерных вирусах, о методах и средствах защиты от компьютерных вирусах.

Компьютерные вирусы

Компьютерный вирус – это программный код, встроенный в другую программу или в документ, или в определенные области носителя данных и предназначенный для выполнения несанкционированных действий на несущем компьютере.

Основными типами компьютерных вирусов являются:

    Программные вирусы,

    Загрузочные вирусы;

    Макро вирусы.

Программные вирусы

Программные вирусы – это блоки программного кода, целенаправленно внедрённые внутрь других прикладных программ. При запуске программы, несущей вирус, происходит запуск имплантированного в неё вирусного кода. Работа этого кода вызывает скрытые от пользователя изменения в файловой структуре жестких дисков и/или в содержании других программ. Так, например, вирусный код может воспроизводить себя в теле других программ – этот процесс называется размножением. По происшествие определенного времени, создав достаточное количество копий, программный вирус может перейти к разрушительным действиям – нарушению работы зараженных программ, нарушению работы операционной системы, удалению информации, хранящейся на жестком диске. Этот процесс называется вирусной атакой.

Самые разрушительные вирусы могут инициировать форматирование жестких дисков. Поскольку форматирование диска – достаточно продолжительный процесс, который не должен пройти незамеченным со стороны пользователя, во многих случаях программные вирусы ограничиваются уничтожением данных только в системных секторах жесткого диска, что эквивалентно потере таблиц файловой системы. В этом случае данные жесткого диска остаются нетронутыми, но воспользоваться ими нельзя, поскольку неизвестно, какие сектора каким файлам принадлежит. Теоретически восстановить данные в этом случае возможно, но практически трудоёмкость этих работ исключительно высока.

Считается, что такой вирус не в состояние вывести из строя аппаратное обеспечение компьютера. Однако бывают случаи, когда аппаратное и программное обеспечения настолько взаимосвязаны, что программные повреждения приходится устранять заменой программных средств. Так, например, в большинстве современных материнских плат базовая система ввода-вывода (BIOS) хранится в постоянно запоминающих перезаписываемых устройствах (так называемая флэш-память). Возможность перезаписи информации в микросхеме флэш-памяти используют некоторые программные вирусы для уничтожения данных BIOS. В этом случае для восстановления работоспособности компьютера требуется либо замена микросхемы, хранящей BIOS, либо ее перепрограммирование на специальных устройствах, называемых программаторами.

Программные вирусы поступают на компьютер при запуске непроверенных программ, полученных на внешнем носителе (гибкий диск, диск CD-ROM и т.п.) или принятых по каналам компьютерных сетей. Прошу обратить особое внимание на слова

при запуске. При обычном копировании зараженных файлов заражение компьютера происходить не может.

Загрузочные вирусы

От программных вирусов загрузочные вирусы отличаются методом распространения. Оно поражают не программные файлы, а определенные системные области магнитных носителей (гибких и жестких дисков). Кроме того, на включенном компьютере они могут временно располагаться в оперативной памяти.

Обычно заражение компьютера происходит при попытке загрузить компьютер с магнитного носителя, системная область которого содержит загрузочный вирус. Так, например, при попытке загрузить компьютер с гибкого диска происходит сначала проникновение вируса в оперативную память, а затем в загрузочные сектора жестких дисков. Далее этот компьютер сам становится источником загрузочного вируса – он автоматически переносится в системные области всех гибких дисков, записываемых на данном компьютере.

Макро вирусы

Эта особая разновидность вирусов поражает документы, выполненных в некоторых прикладных программах, имеющих средства для исполнения так называемых макрокоманд. В частности, к таким документам относятся документы текстового процессора Microsoft Word (они имеют расширение .DOC). Заражение происходит при открытии файла документа в окне родительской программы, если в самой программе не отключена возможность исполнения макрокоманд. Как и для других типов вирусов, результат атаки может быть как относительно безобидным, так и разрушительным.

Методы защиты от компьютерных вирусов

Существует три рубежа защиты от компьютерных вирусов:

    Предотвращение поступления компьютерных вирусов;

    Предотвращения вирусной атаки, если вирус всё-таки поступил на компьютер;

    Предотвращение разрушительных последствий, если атака всё-таки произошла.

Существует три метода реализации рубежей обороны:

    Программные методы защиты;

    Аппаратные методы защиты;

    Организационные методы защиты.

В вопросе защиты ценных данных часто используют бытовой подход: болезнь лучше предотвратить, чем лечить. К сожалению, именно он вызывает наиболее разрушительные последствия. Создавая бастионы на пути проникновения вирусов в компьютер нельзя полагаться на их прочность и остаться не готовым к тому, что надо делать, когда вирусная атака всё-таки произойдет. К тому же вирусная атака – далеко не единственная возможность полной утраты информации.

Существуют программные сбои, которые могут вывести из строя операционную систему, аппаратные сбои, способные сделать жесткий диск нечитаемым. Всегда существует вероятность того, что компьютер вместе с ценными данными может быть утрачен в результате кражи, пожара или иного стихийного бедствия.

Поэтому создавать систему защиты следует в первую очередь “с конца” – с предотвращения разрушительных последствий любого воздействия, будь то вирусная атака, кража в помещении или физический выход жесткого диска из строя. Надежная и безопасная работа с компьютером достигается тогда, когда любое неожиданное событие, в том числе и полное уничтожение данных на жестком диске, не приведет к ощутимым потерям (потеря нескольких часов на восстановление работоспособности компьютерной системы в данном случае считается незначительной).

Средства антивирусной защиты

Основным средством защиты информации является резервное копирование наиболее ценных данных. В случае утраты информации по любой из выше перечисленных причин жесткие диски переформатируют и подготавливают к новой эксплуатации. На “чистый” отформатированный диск устанавливают операционную систему с дистрибутивного компакт-диска, затем под её управлением устанавливают всё необходимое программное обеспечение, которое тоже берут с дистребутивных носителей. Восстановление компьютера завершается восстановлением данных, которые берут с резервных носителей.

При резервирование данных следует иметь в виду и то, что надо отдельно сохранять всю регистрационную и парольную информацию для доступа к сетевым службам Интернета. Её можно хранить, например, в записной книжке.

Создавая план мероприятий по резервному копированию информации, необходимо учитывать, что резервные копии должны храниться отдельно от компьютера. То есть, например, резервирование информации на отдельном жестком диске того же компьютера только создает иллюзию безопасности. Относительно новым и достаточно надежным методом хранения данных является хранение их на удаленных серверах в Интернете. Есть службы, бесплатно предоставляющие пространство (до нескольких Мбайт) для хранения данных пользователя.

Вспомогательными средствами защиты информации являются антивирусные программы и средства аппаратной защиты. Так, например, простое отключение перемычки на материнской плате не позволит осуществить стирание перепрограммируемой микросхемы ПЗУ (флэш-BIOS), независимо от того, кто будет пытаться это сделать: компьютерный вирус или неаккуратный пользователь.

Существует достаточно много программных средств антивирусной защиты. Они предоставляют следующие возможности.

    Создание образа жесткого диска на внешний носителях (например, гибких дисках). В случае выхода из строя информации в системны областях жесткого диска сохранённый “образ диска” может позволить восстановить если и не всю информацию, то, по крайней мере, её большую часть. Это же средство может защитить от утраты информации при аппаратных сбоях и при неаккуратном форматирование жесткого диска.

    Регулярное сканирование жестких дисков в поисках компьютерных вирусов. Сканирование обычно выполняется автоматически при каждом включение компьютера и при размещении внешнего диска в считывающем устройстве. При сканировании следует иметь в виду, что антивирусная программа ищет вирус путем сравнения кода программ с кодами известных ей вирусов, хранящимися в базе данных. Если база данных устарела, а вирус является новым, сканирующая программа его не обнаружит. Для надежной работы следует регулярно обновлять антивирусную программу. Желательная периодичность обновления – 1 раз в две недели; допустимая – один раз в три месяца. Для примера скажу, что разрушительные последствия атаки вируса W95.CHI.1075 (“Чернобыль”), вызвавшего уничтожение информации на сотнях тысяч компьютеров 26 апреля 1999 года, было связано не с отсутствием средств защиты от него, а с длительной задержкой (более года) в обновление этих средств.

    Контроль за изменением размеров и других атрибутов файлов. Поскольку некоторые компьютерные вирусы на этапе размножения изменяют параметры зараженных файлов, контролирующая программа может обнаружить их деятельность и предупредить пользователя.

    Контроль за обращением к жесткому диску. Поскольку наиболее опасные операции, связанные с работой компьютерных вирусов, так или иначе, обращены на модификацию данных, записанных на жестком диске, антивирусные программы могут контролировать обращения к нему и предупреждать пользователя о подозрительной активности.

Какой антивирус лучше?

Какой антивирус самый лучший? Ответ будет - "любой", если на вашем компьютере вирусы не водятся, и вы не пользуетесь вирусоопасными источниками информации. Если же вы любитель новых программ, игрушек, ведете активную переписку по электронной почте и используете при этом Word или обмениваетесь таблицами Excel, то вам все-таки следует использовать какой-либо антивирус. Какой именно - решайте сами, однако, есть несколько позиций, по которым различные антивирусы можно сравнить между собой.

Качество антивирусной программы определяется, на мой взгляд, по следующим позициям, приведенным в порядке убывания их важности:

Надежность и удобство работы - отсутствие "зависаний" антивируса и прочих технических проблем, требующих от пользователя специальной подготовки.

Качество обнаружения вирусов всех распространенных типов, сканирование внутри файлов-документов/таблиц (MS Word, Excel, Office97), упакованных и архивированных файлов. Отсутствие "ложных срабатываний". Возможность лечения зараженных объектов. Для сканеров (см. ниже), как следствие, важной является также периодичность появления новых версий (апдейтов), т.е. скорость настройки сканера на новые вирусы.

Существование версий антивируса под все популярные платформы (DOS, Windows, Windows95, Windows NT, Novell NetWare, OS/2, Alpha, Linux и т.д.), присутствие не только режима "сканирование по запросу", но и "сканирование на лету", существование серверных версий с возможностью администрирования сети.

Скорость работы и прочие полезные особенности, функции, "припарки" и "вкусности".

Надежность работы антивируса является наиболее важным критерием, поскольку даже "абсолютный антивирус" может оказаться бесполезным, если он будет не в состоянии довести процесс сканирования до конца - "повиснет" и не проверит часть дисков и файлов и, таким образом, оставит вирус незамеченным в системе. Если же антивирус требует от пользователя специальных знаний, то он также окажется бесполезным - большинство пользователей просто проигнорирует сообщения антивируса и нажмут [OK] либо [Cancel] случайным образом, в зависимости от того, к какой кнопке ближе находится курсор мыши в данный момент. Ну а если антивирус будет чересчур часто задавать сложные вопросы рядовому пользователю, то, скорее всего, он (пользователь) перестанет запускать такой антивирус или даже удалит его с диска.

Качество детектирования вирусов стоит следующим пунктом по вполне естественной причине. Антивирусные программы потому и называются антивирусными, что их прямая обязанность - ловить и лечить вирусы. Любой самый "навороченный" по своим возможностям антивирус бесполезен, если он не в состоянии ловить вирусы или делает это не вполне качественно. Например, если антивирус не детектирует 100% какого-либо полиморфного вируса, то при заражении системы этим вирусом такой антивирус обнаружит только часть (допустим 99%) зараженных на диске файлов. Необнаруженными останется всего 1%, но когда вирус снова проникнет в компьютер, то антивирус опять обнаружит 99%, но уже не от всех файлов, а только от вновь зараженных. В результате заражено на диске будет уже 1.99%. И так далее, пока все файлы на диске не будут заражены при полном молчании антивируса.

Поэтому качество детектирования вирусов является вторым по важности критерием "лучшести" антивирусной программы, более важным, чем "многоплатформенность", наличие разнообразного сервиса и т.д. Однако если при этом антивирус с высоким качеством детектирования вирусов вызывает большое количество "ложных срабатываний", то его "уровень полезности" резко падает, поскольку пользователь вынужден либо уничтожать незараженные файлы, либо самостоятельно производить анализ подозрительных файлов, либо привыкает к частым "ложным срабатываниям", перестает обращать внимание на сообщения антивируса и в результате пропускает сообщение о реальном вирусе.

"Многоплатформенность" антивируса является следующим пунктом в списке, поскольку только программа, рассчитанная на конкретную операционную систему, может полностью использовать функции этой системы. "Неродные" же антивирусы часто оказываются неработоспособными, а иногда даже разрушительными. Например, вирус "OneHalf" поразил компьютер с установленными на нем Windows95 или WindowsNT. Если для расшифрования диска (данный вирус шифрует сектора диска) воспользоваться DOS-антивирусом, то результат может оказаться плачевным: информация на диске окажется безнадежно испорченной, поскольку Windows 95/NT не позволит антивирусу пользоваться прямыми вызовами чтения/записи секторов при расшифровке секторов. Антивирус же, являющийся Windows-программой, справляется с этой задачей без проблем.

Возможность проверки файлов "на лету" также является достаточно важной чертой антивируса. Моментальная и принудительная проверка приходящих на компьютер файлов и вставляемых дискет является практически 100%-й гарантией от заражения вирусом, если, конечно, антивирус в состоянии детектировать этот вирус. Очень полезными являются антивирусы, способные постоянно следить за "здоровьем" серверов - Novell NetWare, Windows NT, а в последнее время, после массового распространения макро-вирусов, и за почтовыми серверами, сканируя входящую/исходящую почту. Если же в серверном варианте антивируса присутствуют возможность антивирусного администрирования сети, то его ценность еще более возрастает.

Следующим по важности критерием является скорость работы. Если на полную проверку компьютера требуется несколько часов, то вряд ли большинство пользователей будут запускать его достаточно часто. При этом медленность антивируса совсем не говорит о том, что он ловит вирусов больше и делает это лучше, чем более быстрый антивирус. В разных антивирусах используются различные алгоритмы поиска вирусов, один алгоритм может оказаться более быстрым и качественным, другой - медленным и менее качественным. Все зависит от способностей и профессионализма разработчиков конкретного антивируса.

Наличие всяческих дополнительных функций и возможностей стоит в списке качеств антивируса на последнем месте, поскольку очень часто эти функции никак не сказываются на уровне "полезности" антивируса. Однако эти дополнительные функции значительно упрощают жизнь пользователя, и, может быть, даже подталкивают его запускать антивирус почаще.

Автоматизация производства и конструкторы вирусов

Лень - движущая сила прогресса. Эта народная мудрость не нуждается в комментариях. Но только в середине 1992 года прогресс в виде автоматизации производства дошел и до вирусов. Пятого июля 1992 года объявлен к выпуску в свет первый конструктор вирусного кода для IBM-PC совместимых компьютеров - пакет VCL (Virus Creation Laboratory) версии 1.00.

Этот конструктор позволяет генерировать исходные и хорошо откомментированные тексты вирусов (файлы, содержащие ассемблерный текст), объектные модули и непосредственно зараженные файлы. VCL снабжен стандартным оконным интерфейсом. При помощи системы меню можно выбрать тип вируса, поражаемые объекты (COM и/или EXE), наличие или отсутствие самошифровки, противодействие отладчику, внутренние текстовые строки, подключить до десяти эффектов, сопровождающих работу вируса и т.п. Вирусы могут использовать стандартный способ поражения файлов в их конец, или записывать себя вместо файлов, уничтожая их первоначальное содержимое, или являться вирусами-спутниками (международный термин - компаньон вирусы [companion]).

И все сразу стало значительно проще: захотел напакостить ближнему - садись за VCL и, за 10-15 минут настрогав 30-40 разных вирусов, запусти их на неприятельском компьютере (ах). Каждому компьютеру - отдельный вирус!

Дальше - больше. 27 июля появилась первая версия конструктора PS-MPC (Phalcon/Skism Mass-Produced Code Generator). Этот конструктор не содержит в себе оконного интерфейса и генерирует исходные тексты вирусов по файлу конфигурации. Этот файл содержит в себе описание вируса: тип поражаемых файлов (COM или EXE); резидентность (PS-MPC создает также и резидентные вирусы, чего не позволяет конструктор VCL); способ инсталляции резидентной копии вируса; возможность использования само шифрования; возможность поражения COMMAND.COM и массу другой полезной информации.

На основе PS-MPC был создан конструктор G2 (Phalcon/Skism's G2 0.70 beta), который поддерживает файлы конфигурации стандарта PS-MPC, однако при генерации вируса использует большее количество вариантов кодирования одних и тех же функций.

Имеющаяся у меня версия G2 помечена первым января 1993 года. Видимо, новогоднюю ночь авторы G2 провели за компьютерами. Лучше бы они вместо этого попили шампанского, хотя одно другому не мешает.

Итак, каким же образом повлияли конструкторы вирусов на электронную фауну? В коллекции вирусов, которая хранится на моем "складе", количество "сконструированных" вирусов следующее:

    на базе VCL и G2 - по несколько сотен;

    на базе PS-MPC - более тысячи.

Так проявилась еще одна тенденция в развитии компьютерных вирусов: все большую часть в коллекциях начинают занимать "сконструированные" вирусы, а в ряды их авторов начинают вливаться откровенно ленивые люди, которые сводят творческую и уважаемую профессию вирусописания к весьма заурядному ремеслу.