Современные угрозы и каналы утечки информации в компьютерных сетях
Современные угрозы и каналы утечки информации в компьютерных сетях
Введение. Информация, её жизненный цикл.
Информация является результатом отображения и обработки в человеческом сознании многообразия окружающего мира, представляет собой сведения об окружающих человека предметах, явлениях природы, деятельности других людей.
Когда используется термин данные, то речь идет об информации, предоставленной в формализованном виде, пригодном для автоматической обработки при возможном участии человека. Данные, которыми обменивается человек через машину с другим человеком или с машиной, является объектом защиты. Однако защите подлежат не всякие данные, которые имеют цену.
Под защитой информации в настоящее время понимается область науки и техники, которая включает совокупность средств, методов и способов человеческой деятельности, направленных на обеспечение защиты всех видов информации в организациях и предприятиях различных направлений деятельности и различных форм собственности.
Информация, которая подлежит защите, может быть представлена на любых носителях, может храниться, обрабатываться и передаваться различными способами и средствами.
Ценность информации является критерием при принятии любого решения о ее защите. Существуют различные подходы к определению ценности информации. Одна из известных классификаций видов информации учитывает различные градации ее важности. При этом выделяются следующие уровни важности информации:
жизненно важная незаменимая информация, наличие которой необходимо для функционирования организации;
важная информация – информация, которая может быть заменена или восстановлена, но процесс восстановления очень труден и связан с большими затратами;
полезная информация – информация, которую трудно восстановить, однако, организация может эффективно функционировать и без нее;
персональная информация – информация, которая представляет ценность только для какого – нибудь одного человека;
несущественная информация – информация, которая больше не нужна организации.
Уровень важности может измениться на различных этапах ее жизненного цикла.
Начало жизненного цикла информации связано с ее получением (этап 1). Далее происходит оценка информации (этап 2), и в зависимости от результата оценки часть информации может уничтожаться (этап завершающий) или готовиться к хранению (этап 3) и затем храниться (этап 4) в соответствующем хранилище. Информация, необходимая пользователю в данный момент подлежит выборке (этап 5) и дальнейшей обработке (этап 6) в определенных целях. Информация, полученная в ходе формирования отчета (этап 8), проходит тот же цикл (этапы 2-7). На этапе 5 (выборке) данные могут вновь подвергаться оценке, и старые сведения подлежат уничтожению.
Основные этапы жизненного цикла информации можно наглядно изобразить с помощью схемы, представленной на рис. 1.
Время жизненного цикла информации определяется многими факторами, но, как правило, зависит от лица, которое является ее пользователем или владельцем.
1 ИНФОРМАЦИЯ КАК ОБЪЕКТ ПРАВА СОБСТВЕННОСТИ
Комплекс проблем, связанных с информационной безопасностью, включает в себя не только технические, программные и технологические аспекты защиты информации, но и вопросы защиты прав на нее. Таким образом, информация может рассматриваться как объект права собственности. С этой точки зрения можно выделить следующие особенности информационной собственности:
информация не является материальным объектом;
информация копируется с помощью материального носителя, т.е. является перемещаемой;
информация является отчуждаемой от собственника.
Право собственности на информацию включает правомочия собственника, составляющие содержание (элементы) права собственности, к которым относятся:
право распоряжения;
право владения;
право пользования.
В рассматриваемом случае информационной собственности закон должен регулировать отношения субъектов и объектов права собственности на информацию в целях защиты информационной собственности от разглашения, утечки и несанкционированной обработки.
Правовое обеспечение защиты информации включает:
правовые нормы, методы и средства защиты охраняемой информации в Российской Федерации;
правовые основы выявления и предупреждения утечки охраняемой информации;
правовое регулирование организации и проведения административного расследования к фактам нарушения порядка защиты информации.
Существует ряд документов, которые регламентируют информацию в качестве объекта права. В первую очередь здесь следует указать на первую часть гражданского кодекса Российской Федерации ( ст. 128, 18, 139, 209 ), принятого 21.04.94.
Среди законов Российской Федерации, относящихся к рассматриваемой проблеме, можно выделить Федеральный закон « Об информации, информатизации и защите информации» от 20.01.95, а также закон Российской Федерации « О государственной тайне». Эти вопросы нашли также частичное отражение в законе Российской Федерации от 2.11.90 «О банках и банковской деятельности».
Среди перечня документов, которые регламентируют вопросы защиты информации можно упомянуть также Постановление Правительства РСФСР №35 от 05.12091 « О передаче сведений, которые не могут составлять коммерческую тайну».
2 КАНАЛЫ УТЕЧКИ ИНФОРМАЦИИ
Интегральная защита это монолитная непроницаемая защита. Аналогом ее может служить монолитные забор по периметру зоны безопасности. В реальной же жизни обычно строятся мощные ворота на дорогах, объехать которые по бездорожью «нет проблем». Реальная система безопасности сегодняшнего дня больше напоминает изгородь на отдельных участках с сияющими в ней дырами.
Ярким примером подобной реальной системы безопасности может служить, например, организация с мощной системой контроля доступа, системой видионаблюдения, криптозащитой и т.п., но без блокирования каналов утечки, например за счет побочных излучений мониторов компьютеров. В этом случае все конкуренты, расположенные в радиусе до 1,5 км., имеют реальную возможность, использовать соответствующие технические средства, читать всю информацию с экрана дисплеев конкурентов, не покидая своих офисов. При интегральном подходе к созданию системы безопасности подобные казусы исключены.
Одним из основных требований интегральной защиты является системный подход, поэтому при выявлении технических каналов утечки информации необходимо рассматривать всю совокупность элементов защиты, включающую основное оборудование технических средств обработки информации (ТСОИ), соединительные линии, распределительные и коммунитационные устройства, системы электропитания, системы заземления и т.п.
Наряду с основными техническими средствами, непосредственно связанными с обработкой и передачей конфиденциальной информации, необходимо учитывать и вспомогательные технические средства и системы (ВТСС), такие, как технические средства открытой телефонной, факсимальной, громкоговорящей связи, системы охранной о пожарной сигнализации, радиофикации, электробытовые приборы и другое.
В качестве каналов утечки большой интерес представляют вспомогательные средства, выходящие за пределы контролируемой зоны, а также посторонние провода и кабели, к ним не относящиеся, но проходящие через помещение, где установлены основные и вспомогательные технические средства, металлические трубы систем отопления, водоснабжения и другие токопроводящие металлоконструкции.
В зависимости от способа перехвата, от физической природы возникновения сигналов, а также среды их распространения технические каналы утечки информации можно разделить на электромагнитные, электрические и параметрические.
2.1 Электромагнитные каналы
Для электромагнитных каналов характерными являются побочные излучения:
электромагнитные излучения технических средств обработки информации. Носителем информации является электрический ток. Сила тока, напряжение, частота или фаза которого изменяется по закону информационного сигнала;
электромагнитные излучения на частотах работы высокочастотных генераторов технических средств обработки информации, вспомогательных средств обработки информации. В результате внешних воздействий информационного сигнала на элементах генераторов наводятся электрические сигналы, которые могут вызвать непреднамеренную модуляцию собственных высокочастотных колебаний генераторов и излучение в окружающее пространство.
электромагнитные излучения на частотах самовозбуждения усилителей низкой частоты ТСПИ. Самовозбуждение возможно за счет случайных преобразований отрицательных обратных связей в паразитные положительные, что приводит к переводу усилителя из режима усиления в режим автогенерации сигналов, причем сигнал на частотах самовозбуждения, как правило, оказывается промодулированным информационным сигналом.
2.2 Электрические каналы
Возможными причинами возникновения электрических каналов утечки могут быть:
наводки электромагнитных технических средств обработки информации. Возникают при излучении элемента технических средств обработки информации информационных сигналов, а также при наличии гальванической связи, где есть соединительные линии технических средств обработки информации и посторонних проводников или линии вспомогательных средств обработки информации;
просачивание электромагнитных сигналов в цепи электропитания. Возможно при наличии магнитной связи между выходными трансформатором усилителя и трансформатором электропитания, а также за счет неравномерной нагрузки на выпрямитель, что приводит к изменению потребляемого тока по закону изменения информационного сигнала;
просачивание информационных сигналов в цепи заземления. Образуется за счет гальванической связи с землей различных проводников, выходящих за пределы контролируемой зоны, в том числе нулевого провода сети электропитания, экранов, металлических труб систем отопления и водоснабжения, металлической арматуры и т.п.;
съем информации с использованием закладных устройств. Представляют собой минипередатчики, устанавливаемые в технических средствах обработки информации, излучение которых модулируется информационным сигналов и принимаются за пределами контролируемой зоны.
2.3 Параметрические каналы
Параметрические каналы утечки информации формируются путем «высокочастотного облучения» технических средств обработки информации, при взаимодействии электромагнитного поля с элементами технических средств обработки информации происходит переизлучение электромагнитного поля, промодулированного информационным сигналом.
Анализ возможных каналов утечки и несанкционированного доступа, показывает, что существенную их часть составляют технические каналы утечки акустической информации, носителем которой являются акустические сигналы. В зависимости от среды распространения акустических колебаний, способов их перехвата и физической природы возникновения информационных сигналов технические каналы утечки акустической информации можно разделить на воздушные, вибрационные, электроакустические, оптико-электронные и параметрические.
2.3.1 Воздушные технические каналы
В воздушных технических каналах утечки информации средой распространения акустических сигналов является воздух, и для их перехвата используются миниатюрные высокочувствительные и направленные микрофоны, которые соединяются с диктофонами или специальными минипередатчиками. Подобные автономные устройства, объединяющие микрофоны и передатчики, обычно называют закладными устройствами или акустическими закладками. Перехваченная этими устройствами акустическая информация может передаваться по радиоканалу, по сети переменного тока, соединительным линиям, посторонним проводникам, трубам и т.п.
Особого внимания заслуживают закладные устройства, прием информации с которых можно осуществлять с обычного телефонного аппарата. Для этого их устанавливают либо непосредственно в корпусе телефонного аппарата, либо подключают к телефонной линии в телефонной розетке. Подобные устройства, конструктивно объединяющие микрофон и специальный блок коммутации, часто называют «телефонным ухом». При подаче в линию кодированного сигнала или при дозвоне к контролируемому телефону по специальной схеме блок коммутации подключает микрофон к телефонной линии и осуществляет передачу акустической (обычно речевой) информации по линии практически на неограниченное расстояние.
2.3.2 Вибрационные каналы
В отличие от рассмотренных выше каналов в вибрационных, или структурных, каналах утечки информации средой распространения акустических сигналов является не воздух, конструкции зданий (стены, потолки, полы), трубы водо- и теплоснабжения, канализации и другие твердые тела. В этом случае доля перехвата акустических сигналов используются контактные, электронные (с усилителем) и радиостетоскопы (при передаче по радиоканалу).
2.3.3 Электроакустические каналы
Электроакустические каналы утечки информации обычно образуются за счет электроакустических преобразований акустических сигналов в электрические по двум основным направлениям: путем «высокочастотного навязывания» и путем перехвата через дополнительные технические средства и системы. Технический канал утечки информации путем высокочастотного навязывания образуется путем несанкционированного контактного введения токов высокой частоты от ВЧ - генераторов в линии, имеющие функциональные связи с элементами вспомогательных технических средств и систем, на которых происходит модуляция ВЧ - сигнала информационным. Наиболее часто подобный канал утечки информации используют для перехвата разговоров, ведущихся в помещении, через телефонный аппарат, имеющий выход за пределы контролируемой зоны. С другой стороны, вспомогательные технические средства и системы могут сами содержать электроакустические преобразования. К таким вспомогательным техническим средствам и системам относятся некоторые датчики пожарной сигнализации, громкоговорители ретрансляции сети и т.д. Используемый в них эффект обычно называют микрофонным эффектом.
Перехват акустических колебаний в этом случае осуществляется исключительно просто. Например, подключая рассмотренные средства к соединительным линиям телефонных аппаратов с электромеханическими звонками, можно при положенной трубке прослушивать разговоры, ведущиеся в помещениях, где установлены эти телефоны.
2.3.4 Оптико-электронный канал
При облучении лазерным лучом вибрирующих в акустическом поле тонких отражающих поверхностей, таких, как стекла окон, зеркал, картин и т.п., создается оптико-электронный, или лазерный, канал утечки акустической информации. Отраженное лазерное излучение модулируется по амплитуде и фазе, и принимаются приемником оптического излучения, при демодуляции которого выделяется речевая информация. Для перехвата речевой информации по данному каналу используются локационные системы, работающие, как правило, в ближнем инфракрасном диапазоне волн и известных как «лазерные микрофоны». Дальность перехвата составляет несколько сотен метров.
2.3.5 Параметрический канал
Параметрический канал утечки информации образуется в результате воздействия акустического поля на элементы высокочастотных генераторов и изменения взаимного расположения элементов схем, проводов, дросселей и т.п., что приводит к изменениям параметров сигнала, например модуляции его информационным сигналом. Промодуливанные высокочастотные колебания излучаются в окружающее пространство и могут быть перехвачены и детектированы соответствующими средствами. Параметрический канал утечки информации может быть создан и путем «высокочастотного облучения» помещения, где установлены полуактивные закладные устройства, имеющие элементы, параметры которых (добротность, частота и т.п.) изменяются по закону изменения акустического (речевого) сигнала.
Необходимо отметить, что акустический канал может быть источником утечки не только речевой информации. В литературе описаны случаи, когда с помощью статистической обработки акустической информации с принтера или клавиатуры удавалось перехватывать компьютерную текстовую информацию, в том числе осуществлять съем информации по системе централизованной вентиляции.
Особый интерес представляет перехват информации при ее передаче по каналам связи, Это вызвано тем, что в этом случае обеспечивается свободный несанкционированный доступ к передаваемым сигналам. Единственным гарантированным методом защиты информации в этом случае является криптографическая защита. В зависимости от вида каналов связи технические каналы перехвата информации можно разделить на электромагнитные, электрические и индукционные.
Электромагнитные излучения передатчиков средств связи, модулированные информационным сигналом, могут перехватываться естественным образом с использованием стандартных технических средств. Этот электромагнитный канал перехвата информации широко используются для прослушивания телефонных разговоров, ведущихся по радиотелефонам, сотовым телефонам или по радиорелейным и спутниковым линиям связи.
Электрический канал перехвата информации, передаваемой по кабельным линиям связи, предполагает контактное подключение к этим линиям. Этот канал наиболее часто используется для перехвата телефонных разговоров, при этом перехватываемая информация может быть записана на диктофон или передана по радиоканалу. Подобные устройства, подключаемые к телефонным линиям связи и содержащие радиопередатчики для ретрансляции перехваченной информации, обычно называются телефонными закладками.
Однако непосредственное электрическое подключение аппаратуры перехвата является компрометирующем признаком. Поэтому чаще используется индукционный канал перехвата, не требующий контактного подключения к каналам связи. Современные индукционные датчики способны снимать информацию с кабелей, защищенных не только изоляцией, но и двойной броней из стальной ленты и стальной проволоки, плотно обвивающих кабель.
В последнее время стало уделяться большое внимание утечки видовой информации, получаемой техническими средствами в виде изображений объектов или копий документов путем наблюдения за объектом, съемки объекта и съемки (копирования) документов. В зависимости от условий наблюдения обычно используются соответствующие технические средства, например оптика.
Для документирования результатов наблюдения проводится съемка объектов, для чего используются фотографические и телевизионные средства, соответствующие условиям съемки. Для снятия копий документов используются электронные и специальные (закамуфлированные) фотоаппараты, Для дистанционного съема видовой информации используют видеозакладки.
Наиболее динамично развиваются в последнее время методы съема компьютерной информации. Основные возможности несанкционированного доступа обеспечиваются специальным математическим обеспечение, включающим в себя такие составляющие, как компьютерные вирусы, «логические бомбы», «троянские кони», программные закладки.
Рассмотренные выше методы получения информации основаны на использовании внешних каналов утечки. Однако необходимо остановиться и на внутренних каналах утечки информации. Внутренние каналы утечки связаны, как правило, с администрацией и обслуживающим персоналом, с качеством организации режима работы. Из них в первую очередь можно отметить такие каналы утечки, как хищение носителей информации, съем информации с ленты принтера и плохо стертых дискет, использование производственных и технологических отходов, визуальный съем информации с дисплея и принтера, несанкционированного копирования и т.п.
3 ПРОГРАММНЫЕ ЗАКЛАДКИ
Программные закладки класс программ с потенциально опасными последствиями, обязательно выполняющие следующие функции:
разрушают код программы в памяти;
сохраняют фрагменты информации из оперативной памяти в некоторой области внешней памяти прямого доступа;
искажает произвольным образом, блокирует или подменяет выводимые во внешнюю память или в канал связи массив информации, образовавшийся в результате работы прикладных программ.
Программная реализация несанкционированного доступа к информации на основе использование программных закладок. Под несанкционированным доступом (НСД) к ресурсам компьютерной системы понимаются по использованию, изменению и уничтожению используемых данных указанной системы, производимые субъектом, не имеющие права на такие действия. Если компьютерная система содержит механизмы защиты от несанкционированного доступа, то несанкционированные действия могут быть вызваны:
отключением или видоизменением защитных механизмов нелегальным пользователям;
входом в систему под именем и с полномочиями реального пользователя.
В первом случае злоумышленник должен видоизменить программу, защитные механизмы в системе (например, отключить программу запросов пользователей), во втором – каким-либо образом выяснить или подделать идентификатор реального пользователя (например, подсмотреть или вычислить пароль, вводимый с клавиатуры).
В обоих случаях несанкционированный доступ можно представить моделью опосредованного доступа, когда проникновение в систему осуществляется на основе некоторого воздействия, произведенного предварительно внедренной в систему программой или несколькими программами.
Особый интерес представляют уязвимые места компьютерных систем, используемые для внедрения программных закладок. Основные известные способы внедрения программных закладок приведены в таблице 1.
Таблица 1 Способы внедрения программных закладок
Способы внедрения Характеристика
Внесение программных дефектов вирусного типа Внедрение возможно на всех участках жизненного цикла программного обеспечения:
эскизного и технического проектирования;
рабочего проектирования;
внедрения;
эксплуатации, включая сопровождение и модернизацию.
Несанкционированный доступ к ресурсам компьютерной системы Несанкционированный доступ к ресурсам компьютерной системы – действия по использованию, изменению и уничтожению используемых модулей и массивов данных, производимые субъектом, не имеющим права на такие действия
Несанкционированное вмешательство в процесс обмена сообщениями между узлами связи локально вычислительных сетей. Осуществляется путем передачи следующих сообщений:
разрушающих;
искажающих;
имитирующих;
хаотических.
Под уязвимостью компьютерной системы понимается некоторая слабость системы безопасности, которая может послужить причиной нанесения компьютерной системе ущерба. Обычно слабые (уязвимые) места в компьютерной системе называются дырами, люками, брешами.
Люк механизм внутри операционной системы (программное обеспечение), позволяющий программе злоумышленника получить привилегированную функцию. Умышленный люк может присутствовать в программе из-за того, что программист умышленно оставил его в программе, например:
для обеспечения тестирования или выполнения оставшейся части отладки;
в интересах облегчения окончательной сборки конечного программного продукта;
с тем, чтобы иметь скрытое средство доступа к программе уже после того, как она вошла в состав конечного продукта.
В найденной бреши программа «разрывается, и туда дополнительно вставляют одну или несколько команд. Этот люк «открывается» по мере необходимости, а встроенные команды автоматически осуществляют свою задачу. Люк это возможность получить управление системой в обход защиты.
Изо всех известных угроз наиболее часто встречаются программные закладки типа «троянского коня» и «компьютерного червя».
«Троянский конь» программа, имеющая законный доступ к системе. Но выполняющая и скрытые функции. Закладки типа «троянский конь» проявляют себя в различных в определенных условиях (по времени, ключевым сообщениям) и могут разрушать (искажать) информацию, копировать фрагменты конфиденциальной информации или пароли (ключи), засылать сообщения не по адресу или блокировать прием (отправку) сообщений.
В последние годы наиболее распространенным способом получения приватной информации стало использование программ – троянов – программ, выполняющих помимо заявленных некоторые дополнительные не афишируемых функции, направленные, например, на получение личной информации пользователя. Конечный пользователь получает их, как правило, по системе электронной почты под видом важного документа или давно разыскиваемой программы. После запуска программа прописывается в системном реестре для запуска при загрузке операционной системы и начинает собирать информацию. Ее целью могут быть файлы учетной записи пользователя, содержащие его пароль, скрипты удаленного доступа к Интернет или пароли электронной почты.
Возможна также ее работа в режиме подслушивания – в этом случае, например, все вводимые с клавиатуры символы записываются в отдельный файл, кроме того, «прослушиваться» может и передаваемая по сети информация. Далее вся собранная информация отправляется атакующему для дальнейшего анализа на предмет содержания ценной информации, такой как пароли или личная пользовательская информация.
Возможен также и самый простой способ: при работе пользователя на компьютере программа выводит на экран системное окно с предложением ввести имя пользователя и пароль, маскируясь под работу операционной системы. В результате пользователь «добровольно» сообщает злоумышленнику свой пароль, даже не подозревая о происшедшем. А если этим пользователем окажется ответственный сотрудник, то перед атакующим откроются огромные возможности.
«Программный червь» программа, маскирующаяся под системные средства поиска свободных вычислительных ресурсов в сети. Закладки типа компьютерного червя нацелены на проникновение в системы разграниченного доступа пользователей к ресурсам сети, к наущению работы всей сети в целом и системы разграничения доступа в частности.
Для того чтобы закладка смогла выполнить какие – либо функции по отношению к прикладной программе, она должна, получить управление на себя, т.е. процессор должен начать выполнять инструкции (команды), относящиеся к коду закладки. Это возможно только при одновременном выполнении двух условий:
закладка должна находиться в оперативной памяти до начала работы программы, которая является целью воздействия закладки; следовательно, она должна быть загружена раньше или одновременно с этой программой;
закладка должна активизироваться по некоторому общему как для закладки, так и доя программы событию, т.е. при выполнении ряда условий в программно-аппаратной среде управление должно быть, передано на программу – закладку.
К способам задействования программных закладок можно отнести:
1. запуск программы;
2. прерывания;
3. определенное сочетание входных данных;
4. определенное сочетание условий применения системы.
По времени пребывания программной закладки в оперативной памяти можно выделить следующие типы закладок:
резидентного вида – находятся постоянно с некоторого момента до окончания сеанса работы персонального компьютера (включения питание или перезагрузке). Закладка может быть загружена в память при начальной загрузке ПЭВМ, загрузке операционной среды или запуске некоторой программы (которая по традиции называется вирусоносителем), а также запущена отдельно;
нерезидентного вида – начинают работу по аналогичному событию, но заканчивают ее самостоятельно по истечении некоторого промежутка времени или некоторому событию, при этом выгружая себя из памяти целиком.
Помимо классификации программных закладок по времени пребывания в оперативной памяти их можно классифицировать еще по методу их внедрения и по типам вредоносного воздействия. Представленная на рисунке 2 классификация выполнена достаточно наглядно и дополнительного пояснения не требует.
Таким образом, программные закладки в настоящее время являются наиболее мощным и эффективным инструментом в реализации компьютерных угроз, защита от которых должна быть динамичной и постоянно совершенствования. Одним из наиболее эффективных способов борьбы с сетевыми угрозами, в том числе с программными закладками, является совершенствования методов и средств контроля доступа к сети.
4 ВИРУСЫ
Компьютерный вирус это программа, обладающая способностью к скрытому размножению в среде используемой операционной системы путем включения в исполняемые или хранящиеся программы своей, возможно модифицированной копии, которая сохраняет способность к дальнейшему размножению.
Компьютерные вирусы способны размножаться, внедряться в программы, передаваться по линиям связи, сетям обмена информации, выводить из строя системы управления.
В принципе, не все вредоносные программы являются вирусами. Строго определения компьютерного вируса не существует. Разнообразие вирусов столь велико, что дать достаточное условие(перечислить набор признаков, при выполнении которых программу можно однозначно отнести к вирусам) просто невозможно – всегда найдется класс программ с данными признаками, не являющихся при этом вирусом.
При этом большинство определений необходимого условия сходятся на том, что компьютерные вирусы – это программы, которые умеют размножаться и внедрять свои копии в другие программы. То есть заражают уже существующие файлы.
Необходимо отметить, что компьютерные вирусы, или, как более правильно, программные вирусы, являются в настоящее время наиболее эффективным средством доставки внедрения различных разведывательных программ. Под программные вирусом понимается автономно функционирующая программа, обладающая способностью к самовключению в тела других программ и последующему самовоспроизведению и самораспространению в информационно – вычислительных сетях и отдельных ЭВМ. Программные вирусы представляют собой весьма эффективное средство реализации практически всех угроз безопасности информационно-вычислительных сетях. Поэтому вопросы анализа возможностей программных вирусов и разработки способов противодействия вирусам в настоящее время приобрели значительную актуальность и образовали одно из наиболее приоритетных направлений работ по обеспечению безопасности информационно вычислительных сетях.
Предшественниками программных вирусов принято считать так называемые троянские программы, тела которых содержат скрытые последовательности команд, выполняющие действия, наносящие вред пользователям. Наиболее распространенной разновидностью троянских программ являются широкоизвестные программы массового применения (редакторы, игры, трансляторы), в которых встроены так называемые логические бомбы, срабатывающие по наступлению некоторого события. В свою очередь, разновидностью логической бомбы являет «бомба с часовым механизмом», запускаемая в моменты времени. Следует отметить, что троянские программы не являются саморазмножающимися и распространяются по информационно – вычислительным сетям самими программистами, в частности посредством общедоступных банков данных и программ.
Принципиальное отличие вируса от троянской программы состоит в том, что вирус после запуска его в информационно- вычислительные сети существуют самостоятельно и в процессе своего функционирования заражает программы путем включения в них своего текста. Таким образом, вирус представляет собой своеобразный генератор троянских программ. Программы, зараженные вирусом, называют также вирусоносителем.
Заражение программы, как правило, выполняется таким образом, чтобы вирус получил управление раньше самой программы, либо имплантируется в ее тело так, что первой командой зараженной программы является безусловный переход на вирус, тест заканчивается аналогичной командой безусловного перехода на команду вирусоносителя, бывшую первой до заражения. Получив управление, вирус выбирает следующий файл, заражает его, возможно, выполняет какие – либо другие действия, после чего отдает управление вирусоносителю.
«Первичное заражение» происходит в процессе поступления инфицированных программ из памяти одной машины в память другой, причем в качестве средства перемещения этих программ могут использоваться как магнитные носители (дискеты), так и каналы информационно – вычислительных сетей. Вирусы, использующие для размножения каналы информационно – вычислительных сетей, принято называть сетевыми.
Вероятные пути проникновения вирусов, в течение многих лет наиболее распространенным способом заражения компьютера являлась дискета. С ростом глобальных сетей пальма первенства перешла к сети Internet и системе электронной почты.
Вирус может попасть на локальный компьютер пользователя следующими способами:
напрямую через дискету, компакт – диск, удаленный почтовый ящик – классический способ;
через корпоративную систему электронной почты;
через корпоративный канал доступа в систему Internet;
с корпоративного сервера.
Цикл жизни вируса обычно включает следующие периоды: внедрение, инкубационный, репликация (самозаражение) и проявление. В течение инкубационного периода вирус пассивен. Что усложняет задачу поиска и нейтрализации. На этапе проявления вирус выполняет свойственные ему целевые функции, например необратимую коррекцию информации на магнитных носителях.
Физическая структура вируса достаточно проста. Он состоит из головы и, возможно, хвоста. Под головой вируса понимается его компонент, получающий управление первым. Хвост – это часть вируса,, расположенная в тексте зараженной программы отдельно от головы. Вирусы, состоящие из одной головы, называются несегментированными, тогда как вирусы, содержащие голову и хвост – сегментированными. В таблице 2 даны характеристики компьютерных вирусов.
Таблица 2 Характеристики компьютерных вирусов
Класс вируса Виды вируса Характер воздействия
Не повреждающие файловую структуру Размножающиеся в ОЗУ
Раздражающие оператора
Сетевые. Имитация неисправности процессора, памяти, НМД, НГМД, принтера, портов, дисплея, клавиатуры
Формирование на терминале текстовых и графических сообщений. Синтез речи, формирование мелодии и звуковых спецэффектов
Переключение режимов настройки клавиатуры, дисплея, принтера, портов.
Повреждающие файловую структуру Повреждающие пользовательские программы и данные
Разрушающие системную информацию (в том числе криптовирусы) Разрушение исходных текстов программ, библиотек компьютеров, искажений без данных, текстовых документов, графических изображений и электронных таблиц.
Разрушение логической системы диска, искажение структуры заполнения носителя, формирование носителей, повреждение файлов операционной системы.
Действующие на аппаратуру оператора Выводящие из строя аппаратуру
Действующие на оператора Выжигание люминофора, повреждение микросхем, магнитных дисков, принтера.
Воздействие на психику оператора и т.п.
Современные компьютерные вирусы обладают широкими возможностями враждебного воздействия, начиная от безобидных шуток и кончая серьезными повреждениями аппаратуры. В этом направлении самым свежим примером может служить вирус Win95. CIH, он разрушает память BIOS (Basic InputOutput System), определяющий саму рабочею логику компьютера. При этом наносимые повреждения достаточно легко исправляются, профилактика деструктивной функции довольна, проста – достаточно в программе Setup установить запрет на обновление BIOS.
4.1 Файловые вирусы
Файловые вирусы – это вирусы, которые при размножении используют систему, какой – либо операционной системы. Внедрение файлового вируса возможно во все исполняемые файлы всех популярных операционных систем – DOS, Windows, OS2, Macintosh, UNIX и т.д.
По способу заражения файлов файловые вирусы делятся на обычные, которые встраивают свой код в файл, по возможности не нарушая его функциональности, а также на overwriting, паразитические (parasitic), компаньон-вирусы (companion), link-вирусы, вирусы-черви, заражающие объектные модули (OBJ), библиотеки компиляров (LIB) и исходные тексты программ.
4.1.1 Файловый нерезидентный вирус
Файловый нерезидентный вирус целиком размещается в исполняемом файле, в связи, с чем он активизируется только в случае активизации вирусоносителя, а по выполнении необходимых действий возвращает управление самой программе. При этом выбор очередного файла для заражения осуществляется вирусом посредством поиска по каталогу.
4.1.2 Файловый резидентный вирус
Файловый резидентный вирус отличается от нерезидентного тем, что заражает не только исполняемые файлы, находящиеся во внешней памяти, но и оперативную память ПЭВМ.
Резидентный вирус состоит из так называемого инсталлятора и программ обработки прерываний. Инсталлятор получает управление при активизации вирусоносителя и инфицирует оперативную память путем размещения в ней управляющей части вируса и замены адресов в элементах вектора прерываний на адреса своих программ, обрабатывающих эти прерывания. На так называемой фазе слежения, следующей за описанной фазой инсталляции, при возникновении какого-либо прерывания управление получает соответствующая программа вируса.
В связи с существенно более универсальной по сравнению с нерезидентными вирусами обще схемой функционирования, резидентные вирусы могут реализовать самые разные способы инфицирования. Наиболее распространенными способами являются инфицирование запускаемых программ, а так же файлов при их открытии или чтении.
4.1.3Overwriting-вирусы
Overwriting-вирус записывает свой код вместо кода заражаемого файла, уничтожая его содержимое, после чего файл перестает работать и не восстанавливается. Такие вирусы быстро обнаруживают себя, так как операционная система и приложения быстро перестают работать.
4.1.4 Parasitic-вирусы
Parasitic-вирусы изменяют содержимое файлов, оставляя при этом сами файлы полностью или частично работоспособными. Такие вирусы подразделяются на вирусы, записывающиеся в начало, в конец и в середину файлов.
4.1.5 Companion-вирусы
Companion-вирусы не изменяют заражаемых файлов, а создают для заражаемого файла файл – двойник, причем при запуске зараженного файла управление получает именно этот двойник, то есть вирус.
4.1.6 Файловые черви
Файловые черви (worms) являются разновидностью компаньон – вирусов, однако не связывают свое присутствие с каким – либо выполняемым файлом. При размножении они всего копируют свой код в какие – либо каталоги дисков в надежде, что эти новые копии будут когда – либо запущены пользователем.
4.1.7 Link-вирусы
Link-вирусы используют особенно организации файловой системы. Они, как и компаньон – вирусы, не изменяют физического содержимого файлов, однако при запуске зараженного файла «заставляют» операционную систему выполнить свой код за счет модификации необходимых полей файловой системы.
4.1.8 OBJ, LIB и вирусы в исходных текстах
Вирусы, заражающие библиотеки компиляторов, объектные модули и исходные тексты программ. Вирусы, заражающие OBJ- и LIB- файлы, записывают в них свой код в формате объектного модуля или библиотеки. Зараженный файл не является выполняемым и не способен на дальнейшее распространение вируса в текущем состоянии. Носителем же «живого» вируса становится СОМ - или ЕХЕ-файл, получаемый в процессе линковки зараженного OBJ/LIB – файла с другими объектными модулями и библиотеками. Таким образом, вирус распространяется в два этапа: на первом заражаются OBJ/LIB
файлы, на втором этапе (линковка) получается работоспособный вирус.
4.2 Макровирусы
Макровирусы являются программами на макроязыках, встроенные в некоторые системные обработки данных (текстовые редакторы, электронные таблицы и т.д.). Они заражают документы и электронные таблицы ряда офисных редакторов.
Для размножения они используют возможности макроязыков и при их помощи переносят себя из одного зараженного файла в другие. Наибольшее распространение получили Макровирусы для Microsoft Word, Excel и Office 97. Вирусы этого типа получают управление при открытии зараженного файла и идентифицируют файлы, к которым впоследствии идет обращение из соответствующего офисного приложения – Word, Excel и пр.
4.3 Скрипт-вирусы
Скрипт-вирусы – это вирусы, написанные на скрипт-языках, таких как Visual Basic script, Java Script и др. Они, в свою очередь, делятся на вирусы для DOS, для Windows, для других систем.
Помимо описанных классов существует большое количество сочетаний: например файлово - загрузочный вирус, заражающий как файлы, так и загрузочные сектора дисков, или сетевой макровирус, который не только заражает редактируемые документы, но и рассылает свои копии по электронной почте.
4.4 Резидентные вирусы
Вирус находится в оперативной памяти и перехватывает сообщения ОС. Если нерезидентные вирусы активны только в момент запуска зараженной программы, то резидентные вирусы находятся в памяти и остаются активными вплоть до выключения компьютера или перезагрузки операционной системы. Резидентные вирусы находятся в оперативной памяти, перехватывают обращения операционной системы к тем или иным объектам и внедряются в них. Такие вирусы активны не только в момент работы зараженной программы, но и после завершения работы.
4.4.1 Бутовые вирусы
Одной из разновидностей резидентных вирусов являются так называемые бутовые вирусы. Отличительной особенностью последних является инфицирование загрузочного (бут - сектора) магнитного носителя (гибкого или жесткого диска). При этом инфицированным могут быть как загружаемые, так и не загружаемые дискеты.
Голова бутового вируса всегда находится в бут - секторе (единственном для гибких дисков и одном из двух – для жестких), а хвост – в любой другой области носителя.
Хвост бутового вируса всегда содержит копию оригинального бут сектора. Механизм инфицирования, реализуемый бутовыми вирусами таков. При загрузке MS DOS с инфицированного диска вирус в силу своего положения на нем (независимо от того, с дискеты или винчестера производится загрузка) получает управление и копирует себя в оперативную память. Затем он моделирует вектор прерываний таким образом, чтобы прерывания по обращении к диску обрабатывались собственным обработчиком прерываний вируса, и запускает загрузчик операционной системы. Благодаря перехвату прерываний бутовые вирусы могут реализовать столь же широкий набор способов инфицирования и целевых функций, сколь и файловые резидентные вирусы.
Близость механизмов функционирования бутовых и файловых резидентных вирусов сделала возможным и естественным появление файлово - бутовых, или гибридных, вирусов, инфицирующих как файлы, так и бут секторы. Особенностью пакетного вируса является размещение его головы в пакетном файле. При этом голова представляет собой строку или программу на языке управления заданиями операционной системы.
4.5 Стелс-вирусы
Стелс-вирусы (невидимки) скрывают факт своего присутствия в системе. Они изменяют информацию таким образом, что файл появляется перед пользователем в незараженном виде, например, временно лечат зараженные файлы.
4.6 Полиморфик - вирусы
Полиморфик-вирусы используют шифрование для усложнения процедуры определения вируса. Данные вируса не содержат постоянных участков кода, что достигается шифрованием основного тела вируса и модификациями программы-расшифровщика. В большинстве случаев два образца одного и того же полиморфик - вируса не будут иметь ни одного совпадения. Именно поэтому полиморфик - вирус невозможно обнаружить при помощи выявления участков постоянного кода, специфичных для конкретного вируса. Полиморфизм встречается в вирусах всех типов – от загрузочных и файловых DOS – вирусов до Windows – вирусов и даже макровирусов.
Как видно из рисунка 3, современные компьютерные вирусы обладают широкими возможностями враждебного воздействия, начиная от безобидных шуток и кончая серьезными повреждениями аппаратуры.
4.7 Хронология событий. История компьютерных вирусов от древности до наших дней.
Конец 1960 - начало 1970-х
На мейнфреймах этого времени периодически появлялись программы, которые получили название «кролик» (the rabbit). Эти программы клонировали себя, занимали системные ресурсы и таким образом снижали производительность системы. Скорее всего «кролики» не передавались от системы к системе и являлись сугубо местными явлениями - ошибками или шалостями системных программистов, обслуживавших компьютер. Первый же инцидент, который смело можно назвать эпидемией «компьютерного вируса», произошел на системе Univax 1108. Вирус, получивший название «Pervading Animal», дописывал себя к выполняемым файлам - делал практически то же самое, что тысячи современных компьютерных вирусов.
Первая половина 1970-х годов
Под операционную систему Tenex создан вирус «The Creeper», использовавший для своего распространения глобальные компьютерные сети. Вирус был в состоянии самостоятельно войти в сеть через модем и передать свою копию удаленной системе. Для борьбы с этим вирусом была создана программа «The Reeper» - первая известная антивирусная программа. Начало 1980-хКомпьютеры становятся все более и более популярными. Появляется все больше и больше программ, авторами которых являются не софтверные фирмы, а частные лица, причем эти программы имеют возможность свободного хождения по различным серверам общего доступа - BBS. Результатом этого является появление большого числа разнообразных «троянских коней» - программ, которые при их запуске наносят системе какой-либо вред.
1981 год
Эпидемия загрузочного вируса «Elk Cloner» на компьютерах Apple II. Вирус записывался в загрузочные сектора дискет, к которым шло обращение. Проявлял он себя весьма многосторонне - переворачивал экран, заставлял мигать текст на экране и выводил разнообразные сообщения.
1986 год
Пандемия первого IBM-PC вируса «Brain». Вирус, заражающий 360Kб дискеты, практически мгновенно разошелся по всему миру. Причиной такого «успеха» являлась скорее всего неготовность компьютерного общества к встрече с таким явлением, как компьютерный вирус.
Вирус был написан в Пакистане братьями Basit и Amjad Farooq Alvi, оставившими в вирусе текстовое сообщение, содержащее их имена, адрес и телефонный номер. Как утверждали авторы вируса, они являлись владельцами компании по продаже программных продуктов и решили выяснить уровень пиратского копирования в их стране. К сожалению, их эксперимент вышел за границы Пакистана.
Интересно, что вирус «Brain» являлся также и первым стелс - вирусом - при попытке чтения зараженного сектора он «подставлял» его незараженный оригинал.
В том же 1986 году программист по имени Ральф Бюргер (Ralf Burger) обнаружил, что программа может делать собственные копии путем добавления своего кода к выполняемым DOS-файлам. Его первый вирус, названный «WirDem» демонстрировал эту возможность. Этот вирус был проаннонсирован в декабре 1986 на форуме компьютерного «андеграунда» - хакеров, специализировавшихся в то время на взломе VAX/VMS-систем ( Chaos Computer Club in Hamburg ).
1987 год
Появление вируса «Vlekka», копия этого вируса попадает в руки все того же Ральфа Бюргера, который дизассемблирует вирус и помещает результат в свою книгу «Computer Viruses: A High Tech Desease» (русский аналог – «Пишем вирус и антивирус» г. Хижняка). Книга Бюргера популяризовала идею написания вирусов, объясняла как это происходит и служила таким образом толчком к написению сотен или даже тысяч компьютерных вирусов, частично использовавших идеи из этой книги.
В том же году независимо друг от друга появляется еще несколько вирусов для IBM-PC. Это знаменитые в прошлом «Leklgk», заражающий только COMMAND.COM, «Surlu 1» (другое название – «April1st»), заражающий COM - файлы, «Surlu 2» , заражающий (впервые) EXE-файлы, и «Surlu 3» заражающий как COM-, так и EXE-файлы. Появляются также несколько загрузочных вирусов («Yale»в США, «Cascade» в Новой Зеландии и «PingPong» в Италии) и первый самошифрующийся файловый вирус «Cascade».
Не остались в стороне и не – IBM - компьютеры: было обнаружено несколько вирусов для Apple Macintosh, Commodore Amiga и Atari ST.
В декабре 1987 произошла первая известная повальная эпидемия сетевого вируса «Cristmas», написанного на языке REXX и распространявшего себя в операционной среде VM/CMS. 9-го декабря вирус был запущен в сеть Bitnet в одном из университетов Западной Германии, проник через шлюз в European Academic Research Network (EARN) и затем - в сеть IBM VNet. Через четыре дня (13 декабря) вирус парализовал сеть - она была забита его копиями (см. пример про клерка несколькими страницами выше). При запуске вирус выводил на экран изображение новогодней (вернее, рождественской) елочки и рассылал свои копии всем пользователям сети, чьи адреса присутствовали в соответствующих системных файлах NAMES и NETLOG.
1988 год
В пятницу 13-го мая 1988-го года сразу несколько фирм и университетов нескольких стран мира «познакомились» с вирусом «Serusalem»- в этот день вирус уничтожал файлы при их запуске. Это, пожалуй, один из первых MS-DOS-вирусов, ставший причиной настоящей пандемии - сообщения о зараженных компьютерах поступали из Европы, Америки и Ближнего Востока. Название, кстати, вирус получил по месту одного из инцидентов - университета в Иерусалиме.
Вместе с несколькими другими вирусами («cascad», «sloked», «vienna») вирус «Jerusalem» распространился по тысячам компьютеров, оставаясь незамеченным - антивирусные программы еще не были распространены в то время так же широко как сегодня, а многие пользователи и даже профессионалы еще не верили в существование компьютерных вирусов. Показателен тот факт, что в том же году компьютерный гуру и человек - легенда Питер Нортон высказался против существования вирусов. Он объявил их несуществующим мифом и сравнил со сказками о крокодилах, живущих в канализации Нью-Йорка. Этот казус, однако, не помешал фирме Symantec через некоторое время начать собственный антивирусный проект - Norton AntiVirus.
Начали появляться заведомо ложные сообщения о компьютерных вирусах, никакой реальной информации не содержащие, но вносившие панику в стройные ряды компьютерных пользователей. Одна из первых таких «злых шуток» (современный термин – «virus hoax») принадлежит некому Mike RoChenle (псевдоним похож на «Microchannel»), который разослал на станции BBS большое количество сообщений о якобы существующем вирусе, который передается от модема к модему и использует для этого скорость 2400 бод. Как это ни смешно, многие пользователи отказались от стандарта тех дней 2400 и снизили скорость своих модемов до 1200 бод. Подобные «hoax»-ы появляются и сейчас. Наиболее известны на сегодняшний день – GoodTimes и RoldFree.
Ноябрь 1988: повальная эпидемия сетевого вируса Морриса (другое название - Internet Worm). Вирус заразил более 6000 компьютерных систем в США (включая NASA Research Institute) и практически парализовал их работу. По причине ошибки в коде вируса он, как и вирус-червь «Cristmas Tree», неограниченно рассылал свои копии по другим компьютерам сети и, таким образом, полностью забрал под себя ее ресурсы. Общие убытки от вируса Морриса были оценены в 96 миллионов долларов.
Вирус использовал для своего размножения ошибки в операционной системе Unix для VAX и Sun Microsystems. Помимо ошибок в Unix вирус использовал несколько других оригинальных идей, например, подбор паролей пользователей. Подробнее об этом вирусе и связанным с ним инцидентом можно прочитать в достаточно подробной и интересной статье Игоря Моисеева в журнале КомпьютерПресс, 1991, N 8, 9.
Декабрь 1988: сезон вирусов-червей продолжается, на этот раз в сети DECNet. Вирус-червь Hi.Com выводил на экран изображение елочки и извещал пользователей, что им следует «stop computing and have a good time at home!!!».
Появляются новые антивирусные программы, например, Dr.Solomon's AntiVirus Toolkit, являющийся на сегодняшний день одним из самых мощных антивирусов.
1989 год
Появляются новые вирусы – «FuManchu» и целые семейства – «Vacsina» и «Yankee». Первый имел крайне опасное проявление - с 13 октября по 31 декабря он форматировал винчестер. Этот вирус вырвался «на свободу» и вызвал повальную истерию в средствах массовой информации в Голландии и Великобритании.
Сентябрь 1989: на рынок выходит еще одна антивирусная программа - IBM AntiVirus.
Октябрь 1989: в сети DECNet зафиксирована еще одна эпидемия вируса-червя – «WANK Worm».
Декабрь 1989: инцидент с «троянским конем» «Aids». Было разослано 20.000 его копий на дискетах, помеченных как «AIDS Information Diskette Version 2.0». После 90 загрузок системы «троянец» шифровал имена всех файлов на диске, делал их невидимыми (атрибут «hidden») и оставлял на диске только один читаемый файл - счет на 189 долларов, который следовало послать по адресу PO Box 7, Panama. Автор «троянца» был пойман и приговорен к тюремному заключению.
Следует отметить тот факт, что 1989 год являлся началом повальной эпидемии компьютерных вирусов в России - все те же вирусы «Cascade», «Jerusalem» и «Vienna» заполонили компьютеры российских пользователей. К счастью, российские программисты довольно быстро разобрались с принципами их работы и практически сразу появилось несколько отечественных противоядий-антивирусов.
Мое первое знакомство с вирусом (это был вирус «Cascade») произошло в октябре 1989 года - вирус оказался обнаруженным на моем рабочем компьютере. Именно это и послужило толчком для моей профессиональной переориентации на создание программ-антивирусов. Кстати, тот первый вирус я вылечил популярной в те времена антивирусной программой ANTI-KOT Олега Котика. Месяцем позже второй инцидент (вирус «Vacsina») был закрыт при помощи первой версии моего антивируса -V (который несколькими годами позже был переименован в AVP - AntiViral Toolkit Pro). К концу 1989 года на просторах России паслось уже около десятка вирусов (перечислены в порядке их появления): две версии «Cascade», несколько вирусов «Vacsina» и «Yankee», «Jerusalem», «Vienna», «Eddie», «PingPong».
1990 год
Этот год принес несколько довольно заметных событий. Первым из них является появление первых полиморфик - вирусов «Chameleon» (другое название – «V2P1», «V2P2» и «V2P6»). До этого момента антивирусные программы для поиска вирусов пользовались так называемыми «масками» - кусками вирусного кода. После появления вирусов «Chameleon» разработчики антивирусных программ были вынуждены искать другие методы их обнаружения.
Вторым событием являлось появление болгарского «завода по производству вирусов»: огромное количество новых вирусов имели болгарское происхождение. Это были целые семейства вирусов «Murphy», «Nomenclatura», «Beast» (или «512», «Number-of-Beast»), новые модификации вируса «Eddie» и др. Особенную активность проявлял некто Dark Avenger, выпускавший в год по несколько новых вирусов, использовавших принципиально новые алгоритмы заражения и скрытия себя в системе. В Болгарии же впервые появилась и первая BBS, ориентированная на обмен вирусами и информацией для вирусописателей.
В июле 1990 произошел инцидент с компьютерным журналом PC Today (Великобритания). Он содержал флоппи-диск, зараженный вирусом «DiskKiller». Было продано более 50.000 копий журнала.
Во второй половине 1990-го появились два стелс - монстра – «Frodo» и «Whale». Оба вируса использовали крайне сложные стелс - алгоритмы, а девятикилобайтный «Whale» к тому же применял несколько уровней шифровки и анти-отладочных приемов.
Появились и первые известные мне отечественные вирусы: «Peterburg», «Voronesh» и ростовский «LoveChild».
1991 год
Популяция компьютерных вирусов непрерывно растет, достигая уже нескольких сотен. Растет и антивирусная активность: сразу два софтверных монстра (Symantec и Central Point) выпускают собственные антивирусные программы - Norton AntiVirus и Central Point AntiVirus. Следом появляются менее известные антивирусы от Xtree и Fifth Generation.
В апреле разразилась настоящая эпидемия файлово - загрузочного полиморфик - вируса «Tequila», а в сентябре подобная же «история» произошла с вирусом «Amoeda». Россию эти события практически не затронули.
Лето 1991: эпидемия вируса «Dir ll», использовавшего принципиально новые способы заражения файлов (link-вирус).
В целом, год 1991 был достаточно спокойным - этакое затишье перед бурей, разразившейся в 1992-м.
1992 год
Вирусы для не – IBM-PC и не – MS-DOS практически забыты: «дыры» в глобальных сетях закрыть, ошибки исправлены, и сетевые вирусы-черви потеряли возможность для распространения. Все большую и большую значимость начинают приобретать файловые, загрузочные и файлово-загрузочные вирусы для наиболее распространенной операционной системы (MS-DOS) на самом популярном компьютере (IBM-PC). Количество вирусов растет в геометрической прогрессии, различные инциденты с вирусами происходят чуть ли не ежедневно. Развиваются различные антивирусные программы, выходят десятки книг и несколько регулярных журналов, посвященных вирусам. На этом фоне выделяются несколько основных моментов:
Начало 1992: первый полиморфик – генератор VtE, на базе которого через некоторое время появляется сразу несколько полиморфик - вирусов. MtE явился также прообразом нескольких последующих полиморфик - генераторов.
Март 1992: эпидемия вируса «Michelangelo» («March6») и связанная с этим истерия. Наверное, это первый известный случай, когда антивирусные компании раздували шумиху вокруг вируса не для того, чтобы защитить пользователей от какой-либо опасности, а для того, чтобы привлечь внимание к своему продукту, т.е. в целях извлечения коммерческой выгоды. Так одна американская антивирусная компания заявила, что 6-го марта будет разрушена информация более чем на пяти миллионах компьютеров. В результате поднявшейся после этого шумихи прибыли различных антивирусных фирм поднялись в несколько раз, а от вируса в действительности пострадали всего около 10.000 машин.
Июль 1992: появление первых конструкторов вирусов VCL и PS-MPS, которые увеличили и без того немаленький поток новых вирусов и, как и MtE в своей области, подтолкнули вирусописателей к созданию других, более мощных конструкторов.
Конец 1992: первый вирус для Windows, заражающий выполняемые файлы этой операционной системы, открыл новую страницу в вирусописательстве.
1993 год
Вирусописатели серьезно взялись за работу: помимо сотен рядовых вирусов, принципиально не отличающихся от своих собратьев, помимо целого ряда новых полиморфик - генераторов и конструкторов, помимо новых электронных изданий врусописателей появляется все больше и больше вирусов, использующих крайне необычные способы заражения файлов, проникновения в систему и т.д. Основными примерами являются:
«PMBS», работающий в защищенном режиме процессора Intel 80386.
«Strange» (или «Hmm») - сольное выступление на тему «стелс-вирус», однако выполненное на уровне аппаратных прерываний INT 0Dh и INT 76h.
«Shadowgard» и «Carbuncle», значительно расширившие диапазон алгоритмов компаньон - вирусов;
«Emmie», «Metallica», «Bomber», «Urugyay» и «Cruncher» - использование принципиально новых приемов «спрятывания» своего кода в зараженных файлах.
Весной 1993 Microsoft выпустил свой собственный антивирус MSAV, основой которого послужил CPAV от Central Point.
1994 год
Все большее значение приобретает проблема вирусов на компакт-дисках. Быстро став популярными, эти диски оказались одним из основных путей распространения вирусов. Зафиксировано сразу несколько инцидентов, когда вирус попадал на мастер - диск при подготовке партии компакт-дисков. В результате на компьютерный рынок были выпущены довольно большие тиражи (десятки тысяч) зараженных дисков. Естественно, что об их лечении говорить не приходится - их придется просто уничтожить.
В начале года в Великобритании появились два крайне сложных полиморфик-вируса – «SMEG Pathogen» и «SMEG Queeg» (до сих пор не все антивирусные программы в состоянии достичь 100%-го результата при их детектировании). Автор вирусов помещал зараженные файлы на станции BBS, что явилось причиной настоящей эпидемии и паники в средствах массовой информации.
Еще одну волну паники вызвало сообщение о якобы существующем вирусе «GoodTimes», распространяющем себя по сети Интернет и заражающем компьютер при получении электронной почты. На какого такого вируса на самом деле не существовало, однако через некоторое время появился обычный DOS-вирус с текстом «Good Times», вирус этот получил название «GT - Spoof».
Активизируются правоохранительные органы: летом 1994 автор SMEG был «вычислен» и арестован. Примерно в то же самое время в той же Великобритании арестована целая группа вирусописателей, называвшая себя ARCV (Assotiation for Really Cruel Viruses). Некоторое время спустя еще один автор вирусов был арестован в Норвегии.
Появляются несколько новых достаточно необычных вирусов:
Январь 1994: «Shifter» - первый вирус, заражающий объектные модули OBJ-файлы «Phantom1» - эпидемия первого полиморфик-вируса в Москве.
Апрель 1994: «SrcVir» - семейство вирусов, заражающих исходные тексты программ (C и Pascal).
Июнь 1994: «OneHalf» - начало повальной эпидемии вируса, до сих пор являющегося самым популярным вирусом в России.
Сентябрь 1994: «Зараза» - эпидемия файлово - загрузочного вируса, использующего крайне необычный способ внедрения в MS-DOS. Ни один антивирус не оказался готовым к встрече с подобного типа монстром.
В 1994 году (весна) перестал существовать один из антивирусных лидеров того времени - Central Point. Он был приобретен фирмой Симантек, которая до того уже успела «проглотить» несколько небольших фирм, занимавшихся антивирусными разработками - Peter Norton Computing, Certus International и Fifth Generation Systems.
1995 год
Ничего действительно заметного в области DOS-вирусами не произошло, хотя появляется несколько достаточно сложных вирусов-монстров типа «NightFall», «Nostradamys», «Nutcracker» и таких забавных вирусов, как «двуполый» вирус «RMNS» и BAT-вирус «Winstart». Широкое распространение получили вирусы «ByWay» и «DieHard2» - сообщения о зараженных компьютерах были получены практически со всего мира.
Февраль 1995: произошел инцидент с Microsoft: на диске, содержащем демонстрационную версию Windows95, обнаружен вирус «Form». Копии этого диска Microsoft разослал бета-тестерам, один из которых не поленился проверить диск на вирусы.
Весна 1995: аннонсирован альянс двух антивирусных компаний - ESaSS (ThunderBYTE anti-virus) и Norman Data Defence (Norman Virus Control). Эти компании, выпускающие достаточно сильные антивирусы, объединили усилия и приступили к разработке единой антивирусной системы.
Август 1995: один из поворотных моментов в истории вирусов и антивирусов: в «живом виде» обнаружен первый вирус для Microsoft Word («Concept»). Буквально за месяц вирус «облетел» весь земной шар, заполонил компьютеры пользователей MS - Word и прочно занял первое место в статистических исследованиях, проводимых различными компьютерными изданиями.
1996 год
Январь 1996: два достаточно заметных события - появился первый вирус для Windows95 («Win95.Boza») и эпидемия крайне сложного полиморфик-вируса «Zhengxi» в Санкт-Петербурге.
Март 1996: первая эпидемия вируса для Windows 3.x. Его имя – «Win.Tentacle». Этот вирус заразил компьютерную сеть в госпитале и нескольких других учреждениях во Франции. Интересность этого события состояла в том, что это был ПЕРВЫЙ Windows-вирус, вырвавшийся на свободу. До той поры (насколько мне известно) все Windows-вирусы жили только в коллекциях и электронных журналах вирусописателей, а в «живом виде» встречались только загрузочные, DOS- и Macro-вирусы.
Июнь 1996: «OS2.AEP» - первый вирус для OS/2, корректно заражающий EXE-файлы этой операционной системы. До этого в OS/2 встречались только вирусы, которые записывались вместо файла, уничтожая его или действуя методом «компаньон».
Июль 1996: «Laroux» - первый вирус для Microsoft Excel, к тому же пойманный в «живом виде» (практически одновременно в двух нефтедобывающих компаниях на Аляске и в ЮАР). Как и у MS-Word-вирусов, принцип действия «Laroux» основывается на наличии в файлах так называемых макросов - программ на языке Basic. Такие программы могут быть включены в электронные таблицы Excel так же, как и в документы MS - Word. Как оказалось, встроенный в Excel язык Basic также позволяет создавать вирусы. Этот же вирус в апреле 1997 стал причиной эпидемии в компьютерных фирмах Москвы.
Декабрь 1996: «Win95.Punch» - первый «резидентный» вирус для Win95. Загружается в систему как VxD-драйвер, перехватывает обращения к файлам и заражает их.
В целом год 1996 можно считать началом широкомасштабного наступления компьютерного андеграунда на операционную систему Windows32 (Windows95 и Windows NT) и на приложения Microsoft Office. За этот и следующий год появилось несколько десятков вирусов для Windows95/NT и несколько сотен макро-вирусов. Во многих их них вирусописатели применяли совершенно новые приемы и методы заражения, добавляли стелс - и полиморфик - механизмы и т.п. Таким образом, компьютерные вирусы вышли на новый виток своего развития - на уровень 32-битных операционных систем. За два года вирусы для Windows32 повторили примерно все те же стадии, что ровно 10 лет до того прошли DOS-вирусы, однако на совершенно новом технологическом уровне.
1997 год
Февраль 1997: «Linux.Bliss» - первый вирус для Linux (разновидность юникса). Так вирусы заняли еще одну «биологическую» нишу.
Февраль-апрель 1997: Макро-вирусы перебрались и в Office97. Первые из них оказались всего лишь «отконвертированными» в новый формат макро-вирусами для Word 6/7, однако практически сразу появились вирусы, ориентированные только на документы Office97.
Март 1997: «ShareFun» - макро-вирус, поражающий MS Word 6/7. Для своего размножения использует не только стандартные возможности MS Word, но также рассылает свои копии по электронной почте MS - Mail.
Апрель 1997: «Homer» - первый сетевой вирус-червь, использующий для своего размножения File Transfer Protocol (ftp).
Июнь 1997: Появление первого самошифрующегося вируса для Windows95. Вирус, имеющий российское происхождение, был разослан на несколько BBS в Москве, что стало причиной эпидемии.
Ноябрь 1997: Вирус “Esperanto”. Попытка создания (к счастью, неудачная) многоплатформенного вируса, который работает не только под DOS и Windows, но в состоянии заражать и файлы Mac OS (Макинтош).
Декабрь 1997: появилась новая форма вируса - черви mIRC. Оказалось, что наиболее популярная утилита Windows IRC (Internet Relay Chat), известная как mIRC, содержала «дыру», позволяющую вирусным скриптам передавать себя по IRC-каналам. В очередной версии IRC дыра была закрыта, и mIRC-черви канули в лету.
Основным антивирусным событием в 1997 году стало, конечно же, отделение антивирусного подразделения фирмы КАМИ в независимую компанию «Лаборатория Касперского», зарекомендовавшую себя на сегодняшний день как признанный технический лидер антивирусной индустрии. Начиная с 1994 года основной продукт компании - антивирусный сканер AntiViral Toolkit Pro (AVP) - стабильно показывает высокие результаты в многочисленных тестах, проводимых различными тестовыми лабораториями всего мира. Отделение в независимую компанию позволило по началу небольшой группе разработчиков стать первой по значимости антивирусной компанией на отечественном рынке и достаточно заметной фигурой на ринке мировом. За короткие сроки были разработаны и выпущены версии для практически всех популярных платформ, предложены новые антивирусные решения, создана сеть международной дистрибуции и технической поддержки.
В октябре 1997 года было подписано соглашение о лицензировании технологий AVP финской компанией DataFellows для использования в своей новой разработке FSAV (F-Secure Anti-Virus). До этого компания DataFellows была известна как производитель антивируса F-PROT.
Год 1997 также заметен по нескольким скандалам, разразившимся между основными производителями антивирусов в США и Европе. В начале года фирма McAfee объявила о том, что ее специалисты обнаружили «закладку» в программах одного из своих основных конкурентов - в антивирусе фирмы Dr.Solomon. Заявление от McAfee гласило, что если антивирус Dr.Solomon при сканировании обнаруживает несколько вирусов различных типов, то дальнейшая его работа происходит в усиленном режима. То есть если в обычных условиях на незараженных компьютерах антивирус от Dr.Solomon работает в обычном режиме, то при тестировании коллекций вирусов переключается в усиленный режим (по терминологии McAfee «cheat mode» – «режим обмана»), позволяющий детектировать вирусы, невидимые для Dr.Solomon при сканировании в обычном режиме. В результате при тестировании на незараженных дисках антивирус от Dr.Solomon показывает хорошие скоростные результаты, а при тестировании вирусных коллекций показывает неплохие результаты детектирования.
Через некоторое время Dr.Solomon нанес ответный удар, пришедшийся на некорректно построенную рекламную кампанию McAfee. Конкретно претензии предъявлялись тексту «The Number One Choice Worldwide. No Wonder The Doctor's Left Town». Одновременно с этим компания McAfee вела юридические тяжбы с другой антивирусной компанией Trend Micro по поводу нарушения патента на технологию сканирования данных, передаваемых по Интернет и электронной почте. В этот же конфликт c Trend Micro оказалась втянута фирма Symantec. Затем Symantec предъявил иск McAfee по обвинению в использовании кодов Symantec в продуктах McAfee. Ну и т.д.
Закончился год еще одним заметным событием, связанным с именем McAfee: фирмы McAfee Associates и Network General объявили об объединении в единую компанию Network Assotiates и о позиционировании усилий не только в области антивирусных защит, но и в разработке универсальных систем компьютерной безопасности, шифрования и сетевого администрирования. Начиная с этого момента вирусной и антивирусной истории McAfee следует читать как NAI.
1998 год
Вирусная атака на MS Windows, MS Office и сетевые приложения не ослабевает. Появляются вирусы, использующие все более сложные приемы заражения компьютеров и новые методы проникновения через компьютерные сети. Помимо вирусов на арену выходят также многочисленные троянские программы, ворующие пароли доступа в Интернет, и несколько утилит скрытого администрирования. Зафиксированы инциденты с зараженными CD-дисками: несколько компьютерных журналов распространяли на своей обложке диски с программами, зараженными Windows-вирусами «CIH» и «Marburg».
Начало года: Эпидемия целого семейства вирусов «Win32.HLLP.DeTroie», не только заражающих выполняемые файлы Windows32, но и способные передать своему «хозяину» информацию о зараженном компьютере. По причине использования специфических библиотек, присутствующих только во французской версии Windows, эпидемия затронула только франко - говорящие страны.
Февраль 1998: обнаружен еще один тип вируса, заражающий таблицы Excel – «Excel4.Paix» (или «Formula.Paix»). Данный тип макро-вируса для своего внедрения в таблицы Excel использует не обычную для вирусов область макросов, а формулы, которые, как оказалось, также могут содержать саморазмножающийся код.
Февраль-март 1998: «Win95.HPS» и «Win95.Marburg» - первые полиморфные Windows32-вирусы, обнаруженные к тому же "в живом виде". Разработчикам антивирусных программ пришлось спешно адаптировать к новым условиям методики детектирования полиморфных вирусов, рассчитанных до того только на DOS-вирусы.
Март 1998: “AccessiV” - первый вирус для Microsoft Access. Причиной шумихи, как это было с вирусами “Word.Concept» и «Excel.Laroux», он не стал, поскольку все уже привыкли к тому, что приложения MS Office падают одно за другим.
Март 1998: Макро-вирус «Cross» - первый вирус, заражающий два различных приложения MS Office: Access и Word. Следом за ним появились еще несколько макро-вирусов, переносящих свой код из одного Office-проложения в другое.
Май 1998: вирус «RedTeam». Заражает EXE-файлы Windows, рассылает зараженные файлы при помощи электронной почты Eudora.
Июнь: эпидемия вируса «Win95.CIH», ставшая сначала массовой, затем глобальной, а затем повальной - сообщения о заражении компьютерных сетей и домашних персональных компьютеров исчислялись сотнями, если не тысячами. Начало эпидемии зарегистрировано на Тайване, где неизвестный хакер заслал зараженные файлы в местные Интернет - конференции. Оттуда вирус пробрался в США, где по недосмотру зараженными оказались сразу несколько популярных Web-серверов - они распространяли зараженные вирусом игровые программы. Скорее всего, именно эти зараженные файлы на игровых серверах и послужили причиной повальной эпидемии вируса, не ослабевавшей в течении всего года. По результатам рейтингов «популярности» вирус «подвинул» таких вирусных суперзвезд, как «Word.CAP» и «Excel.Laroux». Следует обратить внимание также на опасное проявление вируса: в зависимости от текущей даты вирус стирал Flash BIOS, что в некоторых случаях могло привести к необходимости замены материнской платы.
Август 1998: появление нашумевшего «BackOrifice» («Backdoor.BO») - утилиты скрытого (хакерского) администрирования удаленных компьютеров и сетей. Следом за «BackOrifice» появились несколько других аналогичных программ: «NetBus», «Phase» и прочие.
Также в августе появился первый вирус, заражающий выполняемые модули Java – «Java.StangeBrew». Данный вирус не представлял какой - либо опасности для пользователей Интернет, поскольку на удаленном компьтере невозможно использовать необходимые для размножения функции. Однако он проиллюстрировал тот факт, что атакованы вирусами также могут быть и приложения, активно используемые при просмотре Web-серверов.
Ноябрь 1998: «VBScript.Rabbit» – интернетэкспансия компьютерных паразитов продолжилась тремя вирусами, заражающими скрипты VisualBasic (VBS-файлы), которые активно применяются при написании Web-страниц. Как логическое следствие VBScript-вирусов стало появление полноценного HTML-вируса («HTML.Internal»). Становится достаточно очевидным, что усилия вирусописателей начинают концентрироваться вокруг сетевых приложений, и дело идет к появлению полноценного сетевого вируса-червя, использующего возможности MS Windows, Office и заражающего удаленные компьютеры, Web-сервера и/или активно распространяющегося по электронной почте.
Произошли также заметные перестановки в антивирусном мире. В мае 1998 компании Symantec и IBM объявили об объединении своих усилий на антивирусном фронте: совместный продукт при этом распространяется фирмой Symantec под той же маркой Norton Anti-Virus, а IBM Anti-Virus (IBMAV) прекращает свое существование. На это моментально отреагировали основные конкуренты: Dr.Solomon и NAI (ранее - McAfee) тут же выпустили пресс-релизы с предложениями о льготном опдейте бывших пользователей IBMAV своими собственными антивирусами.
Не прошло и месяца, как прекратил свое существование и сам Dr.Solomon. Он был куплен компанией NAI (McAfee) за 640 миллионов долларов путем обмена акций. Данное событие вызвало шок в антивирусном мире: конфликт между двумя крупнейшими игроками антивирусного бизнеса закончился куплей/продажей, в результате которой с рынка исчез один из наиболее заметных и технологически сильных производителей антивирусного программного обеспечения.
4.8 Вирусописание как психологический феномен
Говорят, что компьютерные вирусы – это первый удачный эксперимент по созданию искусственной жизни с неудачным выбором формы ее жизнедеятельности.
Специфика этой формы жизни состоит в том, что вирусы выступают в роли арены борьбы одной части человечества с другой (программистов – вирусописателей и создателей антивирусов), причем именно эта борьба приводит к эволюции данной формы жизни. Аналогом с обычными формами вирусов и бактерий предостаточно. Ученые придумывают противоядия для борьбы с тем или иным штаммом, а микроорганизмы, в свою очередь, приспосабливаются, эволюционируют, становясь в определенном смысле более совершенными. Примерно то же происходит и с компьютерными вредоносными программами.
Вероятно, многие задумывались над вопросом, какие же качества человеческой психики приводят к такому парадоксальному феномену, как вирусописание? С точки зрения формальной логики это явление объяснить довольно сложно. Вирусописатели не получают за свой труд денег, преследуются по закон, сами страдают от вирусных атак и тем не менее продолжают свою деятельность. Более того, на «содержании» вирусописателей находятся десятки компаний, которые успешно продают антивирусные программы, имеют и признание и деньги. И тем не менее в стан программистов, занятых созданием антивирусов, не перебегают все те, кто профессионально занимается созданием вирусов, а ведь они подчас обладают очень высокой квалификацией.
Весьма точное объяснение данного парадокса заключается в гениальном высказывании, которое принадлежит перу Ларошфуко: « самая чистая форма радости – это злорадство». Действительно, какая «прибыль» от того, что у соседа «повис» компьютер? Никакой. А если это произошло с тысячей компьютеров?
Желание разрушить великое творение рук человеческих и тем самым как бы возвыситься над его создателем известно со времен Герострата. Видимо, перспектива вывода из строя такого чуда разума, как компьютерная система, и дает современным геростратам надежду на то, что они войдут в историю.Выбор не случаен.
Вирусописателей можно разделить на три категории: первые пишут вирусы и пытаются их внедрить в компьютерные системы собственными силами.
Вторая категория – это те, кто создает конструкторы для написания вирусов. Сами по себе авторы подобных разработок не запускают вредоносных программ, однако рассчитывают на то, что сделают это чужими руками.
Третья категория – исследователи – вообще не стремятся к распространению вирусов, ими движут чисто научные вопросы, например «какие существуют принципиально новые методы внедрения вирусов в новые операционные системы» и т.п. Но, как говориться, то, что придумано светлыми головами, нередко попадает в нечистые руки.
Интересно отметить, что причины многих вирусных эпидемий кроются не только в действиях вирусописателей, но и в психологии вирусополучателей. Известно, что почтовые вирусы должны заставить получателя открыть приложение от неизвестного посланника, что в принципе не так просто сделать, особенно сейчас, когда всем отлично известно, насколько это опасно. И здесь авторы вирусов (тонкие психологи) используют слабые места человеческой натуры. Так, любопытство переопределило успех вируса, в котором все искали фото Курниковой, чувство одиночества и дефицит любви проложили путь вирусу «I love you», жадность заставляет читать незнакомые письма, если там написано, что вы должны оплатить счет за сервис, которым вы никогда не пользовались, и т.д.
Воистину, человек интересное создание, мотивация его поступков нетривиальна. Остается только удивляться его способности разрушать природу, которая обеспечивает его жизнь, и желанию разрушать компьютерные системы, от которых зависит его безопасность.
Однако на проблему можно посмотреть и с другой стороны. Результатом борьбы с вирусами является эволюция не только вирусов, но и систем безопасности. Вирусы находятся находят все новые и новые «дыры» в этих системах и тем самым становятся стимулом для их совершенствования.
5 АНТИВИРУСЫ
Наиболее распространенным средством нейтрализации вирусов являются программные антивирусы. Антивирусы появились более десяти лет назад, в первое время они распространялись как бесплатное противоядие. Не было должной поддержки сервиса, поскольку проекты были не коммерческие. Как индустрия служба создания и предоставления антивирусных программ оформилась примерно в 1992 году.
Антивирусы, исходя из реализованного в них подхода к выявлению и нейтрализации вирусов, принято делит на следующие группы: детекторы, фаги, вакцины, прививки, ревизоры, мониторы.
5.1 Детекторы
Детекторы обеспечивают выявление вирусов посредством просмотра исполняемых файлов и поиска так называемых – сигнатур – устойчивых последовательностей байтов, имеющихся в телах известных вирусов. Наличие сигнатуры в каком-либо файле свидетельствует о его заражении соответствующим вирусом. Антивирус, обеспечивающий возможность поиска различных сигнатур, называют полидетектором.
5.2 Фаги
Фаги выполняют функции, свойственные детекторам, но, кроме того, «излечивают» инфицированные программы посредством «выкусывания» («пожирания») вирусов из их тел. По аналогии с полидетекторами фаги, ориентированные на нейтрализацию различных вирусов, именуют полифагами.
5.3 Вакцины
В отличие от детекторов и фагов, вакцины по своему принципу действия напоминают сами вирусы. Вакцина имплантируется в защищаемую программу и запоминает ряд количественных и структурных характеристик последней.
Если вакцинированная программа не была к моменту вакцинации инфицированной, то при первом же после заражения запуске произойдет следующее.
Активизация вирусоносителя приведет к получению управления вирусом, который, выполнив свои целевые функции, передаст управление вакцинированной программе.
В последней, в свою очередь, сначала управление получит вакцина, которая выполнит проверку соответствия заполненных ею характеристик аналогичным характеристикам, полученным в текущий момент. Если указанные наборы характеристик не совпадают, то делается вывод об изменении текста вакцинированной программы вирусом. Характеристиками, используемыми вакцинами, могут быть длина программ, ее контрольная сумма и т.п.
5.4 Прививки
Принцип действия прививок основан на учете того обстоятельства, что любой вирус, как правило, помечает инфицированные программы каким-либо признаком с тем, чтобы не выполнять их повторное заражение. В ином случае имело бы место многократное инфицирование, сопровождаемое существенным и поэтому легко обнаруживаемым увеличением объема зараженных программ.
Прививка, не внося никаких других изменений в текст защищаемой программы, помечает ее тем же признаком, что и вирус, который, таким образом, после активизации и проверки наличия указанного признака считает ее инфицированной и «оставляет в покое».
5.5 Ревизоры
Ревизоры обеспечивают слежение за состоянием файловой системы, используя для этого подход, аналогичный реализованному в вакцинах. Программа-ревизор в процессе своего функционирования выполняет применительно к каждому исполняющему файлу сравнение его текущих характеристик с аналогичными характеристиками, полученными в ходе предшествующего просмотра файлов.
Если при этом обнаруживается, что согласно имеющейся системной информации файл с момента предшествующего просмотра не обновлялся пользователем, а сравниваемые наборы характеристик не совпадают, то файл считается инфицированным.
Характеристики исполняемых файлов, получаемые в ходе очередного просмотра, запоминаются в отдельном файле, в связи с чем увеличение длин исполняемых файлов, имеющего место при вакцинировании, в данном случае не происходит. Другое отличие ревизоров от вакцин состоит в том, что каждый просмотр исполняемых файлов ревизором требует повторного запуска.
5.6 Монитор
Монитор представляет собой резидентную программу, обеспечивающую перехват потенциально опасных прерываний, характерных для вирусов, и запрашивающую у пользователей подтверждение на выполнение операций, следующих за прерыванием. В случае запрета или отсутствия подтверждения монитор блокирует выполнение пользовательской программы.
Антивирусы рассмотренных типов существенно повышают вирусозащитность отдельных ПЭВМ и информационно-вычислительных сетей в целом, однако в связи со свойственными им ограничениями, естественно, не являются панацеей. Так, для разработки детекторов, фагов и прививок нужно иметь тексты вирусов, что возможно только для выявленных вирусов.
Вакцины обладают потенциальной способностью защиты программ не только от известных, но и от новых вирусов, однако обнаруживают факт заражения только в тех случаях, если сами были имплантированы в защищаемую программу раньше вируса.
Результативность применения ревизоров зависит от частоты их запуска, которая не может быть выше 1-2 раз в день в связи со значительными затратами времени на просмотр файлов.
Мониторы контролируют процесс функционирования пользовательских программ постоянно, однако характеризуются чрезмерной интенсивностью ложных срабатываний, которые развивают у оператора «рефлекс подтверждения» и тем самым по существу минимизируют эффект от такого контроля.
Анализ современных антивирусных программ показывает, что в последнее время наметилось явно выраженная тенденция к интеграции различных видов программ в единое программное средство с функциями детектора – ревизора - доктора, что делает это средство удобным для пользователя. Однако приходится констатировать, что в настоящее время абсолютной защиты от неизвестных вирусов не существует, поэтому антивирусные программы постоянно обновляются, как правило не реже одного раза в месяц.
5.7 Классификация антивирусов по способу воздействия на вирусы
Все антивирусы можно разделить на два больших класса: чистые антивирусы и антивирусы двойного назначения.
5.7.1 Чистый антивирус
Чистый антивирус отличается наличием антивирусного ядра, которое выполняет функцию сканирования по образцам. Принципиальная особенность в этом случае заключается в возможности лечения. Далее чистые антивирусы подразделяются по типу доступа к файлам на две категории – on access и on demand, которые соответственно осуществляют контроль по доступу или проверку по требованию.
Например, в терминологии продуктов «Лаборатории Касперского» on access – продукт – это «Монитор», а on demand – продукт – это «Сканер».
On demand – продукт работает по следующей схеме: пользователь хочет что-либо проверить и выдает запрос (demand), после чего осуществляется проверка.
On access – продукт – это резидентная программа, которая отслеживает доступ и в момент доступа осуществляет проверку.
5.7.2 Программа двойного назначения
Программа двойного назначения – это программы, используемые и в антивирусах и в ПО, которое не является антивирусом.
Разновидностью программ двойного назначения являются поведенческие блокираторы, которые анализируют поведение других программ и при обнаружении подозрительных действий блокируют их.
От классического антивируса с антивирусным ядром, «узнающим» и лечащим от вирусов, которые анализировались в лаборатории и к которым был прописан алгоритм лечения, поведенческие блокираторы отличаются тем, что лечить от вирусов не умеют, поскольку ничего о них не знают. Это свойство блокираторов полезно тем, что они могут работать с любыми вирусами, в том числе и с неизвестными. Это сегодня особенно актуально, поскольку распространители вирусов и антивирусов используют одни и те же каналы передача данных, то есть Интернет. При этом вирус всегда имеет некоторую фору (время задержки), поскольку антивирусной компании всегда нужно время на то, чтобы получить сам вирус, проанализировать его и написать соответствующие лечебные модули.
Программы из группы двойного назначения как раз и позволяют блокировать распространение вируса до того момента, пока компания не напишет лечебный модуль.
На российском рынке в настоящее время присутствуют программные средства обнаружения и обезвреживания компьютерных вирусов, представлены в таблице 3.
Таблица 3 Современные антивирусные программные средства
Средство защиты Назначение Принцип действия
Детектор Обнаружение зараженных вирусом файлов Поиск участка кода, принадлежащего известному вирусу
Фильтр Перехват «подозрительных» обращений к операционной системе и сообщение о них пользователю Контроль действий, характерных для поведения вируса
Доктор (фаг) «Лечение» зараженных программы или дисков Уничтожение тела вируса
Ревизор Постоянная ревизия целостности файлов Запоминание сведений о состоянии программ и системных областей дисков, сравнение их состояния с исходным
Доктор - ревизор Обнаружение и «лечение» зараженных файлов Обнаружение изменений в файлах и дисках и возврат их в исходное состояние
Анализ современных антивирусных программ показывает, что в последнее время наметилась явно выраженная тенденция к интеграции различных видов программ в единое программное средство с функциями детектора- ревизора – доктора, что делает это средство удобным для пользователя. Однако приходится констатировать, что в настоящее время абсолютной защиты от неизвестных вирусов не существует, поэтому антивирусные программы постоянно обновляются, как правило не реже одного раза в месяц. Надежно защитить компьютер от вирусов может только сам пользователь. В первую очередь необходимо правильно организовать работу и избегать бесконтрольной переписи программ с других компьютеров. Далее, особу бдительность необходимо проявлять при работе с выходом в компьютерную сеть, где вероятность внедрения компьютерных вирусов резко возрастает. Учитывая то, что в основе большинства вредоносных программ присутствуют программные вирусы, последние всегда должны быть в поле зрения пользователя.
Далее рассмотрим наиболее популярные антивирусные программы представленные на российском рынке и их производителей.
5.8 Производители антивирусных программ
5.8.1 Российские производители антивирусных программ
5.8.1.1 «Лаборатория Касперского»
«Лаборатория Касперского» является крупнейшим российским разработчиком антивирусных систем безопасности. Как независимое юридическое лицо компания была образована в июне 1997 года. Разработка основного продукта «Лаборатории Касперского» - антивирусного комплекса «Антивирус Касперского» началась в 1989 году.
В России и странах бывшего СССР компанию представляют более 100 дилеров и дистрибьюторов. Свыше 30 российских производителей устанавливают продукты «Лаборатории Касперского» на компьютеры своей сборки.
Клиенты компании: Администрация Президента РФ; Федеральное агентство правительственной связи и информации при Президенте РФ; Конституционный суд РФ; Центральный банк РФ; Государственная налоговая полиция РФ; Российские представительства зарубежных банков и фирм Credit Swiss, Microsoft, Daimler Chrysler и многие другие.
AVP. Это российский программный пакет уже завоевал большую популярность в России. В нем присутствуют все мыслимые антивирусные модули, многочисленные настройки и варианты конфигураций. Программа хорошо зарекомендовала себя на многих предприятиях, однако даже ориентированный на индивидуального пользователя вариант явно предполагает достаточно высокую квалификацию владельца компьютера. Иначе говоря, не все пользователи смогут оценить некоторые особенности программного пакета:
Огромное количество кнопок, окошек и настроек может поставить в тупик, а несколько запутанные системные сообщения способны сбить с толку неопытного пользователя;
У автора имели место проблемы с установкой пакета в операционную систему Windows 2000 SP – 2, подобные случаи наблюдались и с операционной системой Windows NT;
В программе отсутствует собственный деинсталятор (есть только стандартный Windows), что затрудняет пользователю общение с компьютером при возникновении непонятных ситуации и конфликтов с другими ПО.
Разработка группы Евгения Касперского (1993 год). Прославилась своей способностью восстанавливать абсолютное большинство зараженных файлов, в том числе и таких, от восстановления которых отказывались российские и зарубежные аналоги.
5.8.1.2.«Диалог Наука»
ЗАО «Диалог Наука» создано 31 января 1992 года. Учредители – СП «Диалог» и Вычислительный центр Российской Академии наук. До этого 2 года коллектив был известен как Научный центр СП «Диалог» при Вычислительном центре РАН. В «Диалог Науке» работают 30 сотрудников, в основном выпускники МГУ, МФТИ, МИФИ, МАИ и других ведущих российских вузов.
ЗАО «Диалог Наука» ежегодно поставляет на рынок новые антивирусные программы и услуги, многие из которых не имеют аналогов в мире. Программы, созданные в «Диалог Науке», уже много лет являются самыми популярными антивирусами в России и других странах СНГ.
Сканер Doctor Web с 1966 года неизменно показывает высокие результаты в международных тестах журнала Virus Bulletin (Великобритания) и центра VTC (Германия). Программа Doctor Web многократно получала престижную награду «100% Virus Bulletin». В ней впервые в мире реализована полная проверка всей памяти Windows 9х, что позволяет непосредственно в памяти находить и обезвреживать сложные троянские программы и вирусы типа Back Orifice, Win.95.CIH («Чернобыль»), Win.32.Kriz, Code Red Worm и др. В резидентном стороже SpiDer Guard впервые в мире была реализована интеллектуальная технология контроля вирусной активности. Dos – версия этой программы хорошо знакома большому числу пользователей. Продукция компании «ДиалогНаука» уже несколько лет используется во многих государственных и образовательных учреждениях России, однако индивидуальный пользователь начал было постепенно отвыкать от знакомого паучка в углу экрана. Несмотря на традиционно сильный антивирусный сканер и блок эвристического анализа программы, те, кто отдавал предпочтение Windows– интерфейсу, до недавнего времени были склоны выбирать внешнее более привлекательные графические интерфейсы пакетов AVPили Norton Antivirus.
Первая версия Doctor Web с графическим интерфейсом появилась в апреле 1998 г., после чего пакет постоянно развивался и дополнялся, в том числе и резидентным монитором (сторожем)SpIDer Guard. Сегодняшняя версия пакета обрела удобную, интуитивно понятую и наглядную графическую оболочку. Что же касается его возможностей по поиску вирусов и рабочих характеристик, то их высокая оценка подтверждается победами в тестах авторитетного журнала Virus Bulletin. Так, например, этот антивирусный пакет оказался единственным в мире, способным обнаружить в памяти компьютера и обезвредить вирус – невидимку нового поколения, «прославившийся» под именем Code Red Worm в августе 2001 года. Идеальных программных продуктов не существует, но некоторое своеобразие поведения Doctor Web, возможно, в определенной степени связано с особенностями работы программы:
несколько замедленный (до 30 секунд) запуск программной оболочки (использование фирменной технологии полномасштабного сканирования системной памяти при каждом старте программы);
с настройками «по умолчанию» программа при обнаружении вируса сама не предлагает вариантов решений, ожидая реакции пользователя.
Абсолютно уникальные и высокоэффективные антивирусные механизмы впервые в мире были реализованы в ревизоре Adinf и универсальном лекаре Adinf Cure Module. Созданный в декабре 1996 года сервис «Скорая антивирусная помощь» в виде антивирусной online-помощи явился первой бесплатной и свободной услугой, представленной на мировом рынке антивирусного обслуживания в рамках глобальной сети Интернет.
ЗАО «Диалог Наука» имеет лицензию на деятельность в области защиты информации и сертификат на производство комплекта антивирусных программ от Государственной технической комиссии при Президенте Российской Федерации, а так же сертификат на антивирусные программы от Министерства обороны РФ.
Потребителями антивирусных программ и услуг ЗАО «Диалог Наука» являются более двух тысяч корпоративных клиентов в России и СНГ, в том числе такие общенациональные отечественные структуры, как Администрация Президента РФ, ГАС «Выборы», ГУИР ФАПСИ, министерства обороны, экономики и развития, финансов, промышленности, науки и технологий, образования, ФСН, РФФИ, Пенсионный фонд и др.
К сожалению, многие пользователи компьютеров не используют лицензионные версии антивирусных программ и на регулярной основе, что зачастую приводит к печальным последствиям. После каждой глобальной эпидемии какого-либо нового «шумного» компьютерного вируса, что пострадали именно те и только те, кто или вообще не использует антивирусные программы, или использует их очень старые (годовой давности) версии.
5.8.2 Западные производители антивирусных программ
5.8.2.1 Symantec
Norton antivirus является программой разработанной компанией Symanteс начиная с версии 3.0 продукт с каждой новой версией приобретает новые возможности, расширяя и совершенствуя уже имеющиеся. Именно в нем были впервые применены такие революционные возможности, как механизм эвристического анализа данных на предмет «вирусоподобных» инструкций и обновление антивирусной базы по сети Internet (Live Update). Именно Symantec первым добился в своем комплексе практически полного снятия необходимости контроля его работы. Все что требовалось от пользователя, - это канал доступа в Internet для автоматического получения обновлений. Этот серьезный и качественный продукт достаточно популярен во всем мире, в том числе и России. Присутствуют все самые современные функции, в том числе интеграция с офисным пакетом Microsoft Office 2000 (любой открываемый документ автоматически проверяется на наличие макровирусов). Настройки удобны и понятны, но при этом как бы «спрятаны за ширмой»: не очень квалифицированный пользователь может даже не догадываться об их существовании. Помимо обновлений антивирусной базы этот программный пакет получает по сети Интернет все обновления собственно антивирусных программ, а потому независимо от сроков приобретения данной системы защиты у пользователя всегда будет самая последняя ее версия.
Правда, здесь имеются свои «но»:
последние версии пакета существуют на нескольких языках, но русский в их§ число не входит;
по истечение года с момента регистрации потребуется внести абонементную§ плату за пользование постоянно обновляемой базой данных – в российских условиях оплачивать данную подписку непросто по разным, в том числе и по техническим причинам;
возникают определенные трудности (в том числе географические и языковые) с§ получением технической поддержке.
6 СОВРЕМЕННЫЕ УГРОЗЫ УТЕЧКИ ИНФОРМАЦИИ
Для защиты от разного рода атак можно применить две стратегии. Первая заключается в приобретении самых расхваливаемых (хотя не всегда самых лучших) систем защиты от всех возможных видов атак. Вторая стратегия, заключающаяся в предварительном анализе вероятных угроз и последующем выборе средств защиты от них.
Анализ угроз, или анализ риска, также может осуществляться двумя путями. Сложный, однако, более эффективный способ заключается в том, что прежде, чем выбирать наиболее вероятные угрозы, осуществляется анализ информационной системы, обрабатываемой в ней информации, используемого программно-аппаратного обеспечения и т.д. Это позволит существенно сузить спектр потенциальных атак и тем самым повысить эффективность вложения денег в приобретаемые средства защиты. Однако такой анализ требует времени, средств и, что самое главное, высокой квалификации специалистов, проводящих инвентаризацию анализируемой сети. Можно сделать выбор средств защиты на основе так называемых стандартных угроз, то есть тех, которые распространены больше всего.
Какие же виды угроз и атак являются самыми распространенными? Кто же чаще всего совершает компьютерные преступления и реализует различные атаки? Какие угрозы самые распространенные? Данные, полученные самым авторитетным в этой области источником – Институт компьютерной безопасности (CSI) и группой компьютерных нападений отделения ФБР в Сан-Франциско, в марте 2000 года в ежегодном отчете «2000 CSI/FBI Computer Crime and Security Survey» согласно этим данным:
90% респондентов (крупные корпорации и государственные организации) зафиксировали различные атаки на свои информационные ресурсы;
70% респондентов зафиксировали серьезные нарушения политики безопасности, например вирусы, атаки типа «отказ в обслуживании», злоупотребления со стороны сотрудников т.д.;
74% респондентов понесли немалые финансовые потери вследствие этих нарушений.
Таблица 4. Источники атак
Наименование %
Недобросовестные сотрудники 81
Хакеры 77
Конкуренты (на территории США) 44
Зарубежные компании 26
Зарубежные правительства 21
Таблица 5. Частота обнаружения атак
Тип атаки %
Вирусы 85
Злоупотребления в Internet
со стороны сотрудников 79
Несанкционированный доступ
со стороны сотрудников 71
Отказ в обслуживании 27
Атаки внешних злоумышленников 25
Кража конфиденциальной информации 20
Саботаж 17
Финансовые мошенничества 11
Мошенничества с телекоммуникационными
устройствами 11
Таблица 6. Размер потерь от атак (млн. долл.).
Тип атаки 1988 1999 2000
Вирусы 7,9 5,3 29,2
Злоупотребления в Internet со стороны
Сотрудников 3,7 7,6 28,0
Несанкционированный доступ
со стороны сотрудников 50,6 3,6 22,6
Отказ в обслуживании 2,8 3,3 8,2
Атаки внешних злоумышленников 1,6 2,9 7,1
Кража конфиденциальной информации 33,6 42,5 66,7
Саботаж 2,1 4,4 27,1
Финансовые мошенничества 11,2 42,5 56,0
Мошенничества с телекоммуникационными
устройствами 17,3 0,8 4,0
За последние несколько лет также возрос объем потерь вследствие нарушений политики безопасности. Если в 1997 году сумма потерь равнялась 100 млн. долл., в 1999-м 124 млн., то в 2000-м эта цифра возросла до 266 млн. долл.. Размер потерь от атак типа «отказ в обслуживании» достиг 8,2 млн. долл. К другим интересным данным можно отнести источник атак (табл. 4), типы распространенных атак (таблица 5) и размеры потерь от них (табл. 6).
Другой авторитетный источник – координационный центр CERT – также подтверждает эти данные. Кроме того, согласно собранным им данным (http:/www.cert.org/stats/cert-stats.html), рост числа инцидентов, связанных с безопасностью, совпадает с распространением internet.
В 80-е – начале 90-х годов внешние злоумышленники атаковали узлы internet из любопытства или для демонстрации своей квалификации. Сейчас атаки чаще всего преследуют финансовые или политические цели. Число успешных проникновений в информационные системы только в 1999 году возросло вдвое по сравнению с предыдущим годом (с 12 до 23%). И в 2000-м, и 2001-м годах эта тенденция сохраняется.
В данной области существует и российская статистика. За 2000 год, согласно данным МВД, было зарегистрировано 1375 компьютерных преступлений. По сравнению с 1999 годом эта цифра выросла более чем в 1,6 раза. Данные управления по борьбе с преступлениями в сфере высоких технологий МВД РФ (Управление «Р») показывают, что больше всего преступлений – 584 от общего количества – относиться к неправомерному доступу к компьютерной информации; 258 случаев – это причинение имущественного ущерба с использованием компьютерных средств; 172 преступления связано с созданием и распространением различных вирусов, а вернее, «вредоносных программ для ЭВМ»; 101 преступление – из серии «незаконное производство или приобретение с целью сбыта технических средств для незаконного получения информации», 210 – мошенничество с применением компьютерных и телекоммуникационных сетей; 44 – нарушение правил эксплуатации ЭВМ и их сетей.
Существенную роль в реализации несанкционированного доступа к информации играет компьютерная сеть Интернет, являясь чуть ли самым популярным каналом утечки информации. Поэтому на ее примере целесообразно рассмотреть современные угрозы безопасности и методы защиты от них, используемые средства защиты и услуги безопасности.
Интернет действительно становится всемирной глобальной магистралью. В сеть Интернет можно входить не только по проводным телефонным линиям, но и по радиоканалу. Используя оптико-волоконные и спутниковые линии связи, как со стационарных, так и с мобильных объектов, как с суши, так и с моря, с воздуха, из космоса. Новая прогрессивная технология DirecPC обеспечивает прямой (непосредственный) доступ к Интернету с использованием бытового телевизионного приемника и т.д. и т.п. Необычайно широкие возможности Интернета как магнит притягивают к нему все больше и больше пользователей, и он растет как снежный ком. Концепция «открытых дверей», провозглашенная в Интернете, с одной стороны, способствует ее невероятным темпам роста, а с другой стороны, существенно обостряет проблемы обеспечения безопасности в сети.
Магистраль – это большая дорога. И сегодня, следуя традициям, на ней появились и разбойники; это в первую очередь хакеры, различные криминальные элементы, любители быстрой наживы, просто любители острых ощущений и т.п.
Можно сделать вывод о достаточно высокой эффективности хакерского программного обеспечения и необходимости поиска методов и средств активного противодействия. Результаты исследования показывают, что даже хорошо оснащенные современные банковские системы в настоящее время являются практически беззащитными против хорошо подготовленной атаки. Это же самое можно сказать и о важных военных и научных центрах, даже имеющих защищенный выход в компьютерную (телекоммуникационную) сеть.
Обобщив рассмотренные выше результаты, можно провести классификацию возможных угроз безопасности автоматизированных сетей обработки информации (АСОИ), которая представлена на рис.4.
Представленная классификация угроз безопасности является достаточно полной, понятной и не требует особых пояснений.
Одной из важнейших составляющих политики безопасности является поиск потенциально опасных мест в системе защиты. Обнаружение угрозы уже процентов на семьдесят предопределяет ее уничтожение (ликвидацию).
Установлено, что наибольшие угрозы в сети исходят от специальных программ несанкционированного доступа, компьютерных вирусов и программных закладок, которые представляют угрозу для всех основных объектов сети ЭВМ, в том числе абонентских пунктов, серверов, коммутационных машин и каналов связи.
Принципиальная открытость сети Интернет делает ее не только уникальной по масштабам, но и создает существенные трудности в обеспечении безопасности. Являясь исключительно динамичной сетью, Интернет постоянно испытывает воздействия с использованием несанкционированного доступа. В недрах сети постоянно идут невидимые миру войны в полном соответствии с требованиями современной войны. Имеется эффективное информационное оружие (как нападения, так и защиты). Имеются серьезные трофеи (например, большие суммы денег, переведенные на соответствующие счета банков). Имеются убитые и раненные (например, от инфарктов, полученных после проведения очередной «операции») и т.п. Однако нет самого главного: нет конкретного физического противника, а есть виртуальный противник, которого нельзя физически наблюдать, чувствовать, слышать и т.п. Его наличие можно определить лишь по косвенным признакам, по результатам его деятельности, которые также тщательно скрываются. Однако результаты являются самыми что ни на есть реальными, иногда даже роковыми.
Типовая операция враждебного воздействия в общем случае содержит следующие этапы:
1. подготовительный;
2. несанкционированный доступ;
3. основной (разведывательный или диверсионный);
4. скрытая передача информации (основной или вспомогательной);
5. сокрытие следов воздействия.
7 ТЕХНИЧЕСКИЕ СРЕДСТВА ОБНАРУЖЕНИЯ УГРОЗ
Угрозы безопасности (личной, имущества и информации) окружают нас на каждом шагу. Специалисты утверждают, что надежное обнаружение угрозы – это уже процентов на семьдесят решение задачи ликвидации угрозы. Вот почему в последнее время внимание к техническим средствам поиска и обнаружения угроз безопасности значительно усилилось. Детекторы и обнаружители являются сегодня основными элементами большинства систем безопасности.
Что представляют собой современные обнаружители угроз безопасности? На рисунке 5 в соответствии с классификацией по видам обеспечения безопасности приведены основные технические средства обнаружения угроз безопасности, предлагаемые сегодня российским коммерческим рынком.
Как видно из рисунка, на сегодняшний день не существует универсальных обнаружителей, причем каждый вид обнаружителей рассчитан на использование при решение определенного класса задач.
Наиболее обширную группу образуют технические средства, используемые для обеспечения информационной безопасности, в частности для обнаружения радио-, видео- и телефонных закладок (жучков). Для более полного анализа рынка рассмотрим кратко назначение и основные возможности устройств поиска и обнаружения, в наибольшей степени представленных на рынке. Прежде всего это устройства поиска по электромагнитному излучению: приемники, сканеры, шумометры, детекторы инфракрасного излучения, анализаторы спектра, частотомеры, панорамные приемники, селективные микровольтметры и т.д. Общим для всех этих устройств является задача обнаружения сигнала.
Специальные приемники для поиска работающих передатчиков в широком диапазоне частот на российском рынке представлены рядом фирм США, Германии и Японии. Подобные широкополосные приемники (сканеры), как правило, обладают частотным диапазоном не менее 30…1500МГц и чувствительностью порядка 1 мкВ. Поэтому сканеры – довольно сложные и дорогие устройства. Так, самый дешевый компактный японский сканер AR-8000 стоит порядка 700 долларов, а самый дорогой IC-R9000 – порядка 7500 долларов.
Как правило, современные сканеры имеют возможность подключения к компьютеру. В этом случае специально разработанные программы позволяют автоматически управлять всеми режимами, отображать результаты работы на мониторе, записывать и хранить эти результаты в памяти компьютера, отображать на мониторе спектр в текущем времени и сравнивать его с предыдущим, выводить материалы на печать и т.д.
Процесс обнаружения закладок методом радиомониторинга еще более упрощается при использовании сканеров, реализующих дополнительную функцию измерения частоты (так называемых частотомеров).
Отдельную группу составляют приборы на основе приемников-сканеров, реализующие одновременно несколько функций по поиску закладок, ярким представителем которых является комплекс OSCOR-5000. Этот комплекс автоматически проводит мониторинг источников опасности 24 ч. в сутки. Имеется возможность перехода от обзора широкого спектра к детальному анализу индивидуального сигнала с его демодуляцией и построением графика. Радиоприемник построен по схеме супергетеродина с четырьмя преобразованиями частоты и тремя синтезаторами фазовой подстройки частоты. Предусмотрена демодуляция сигналов в режимах: АМ, FM, FMW, FMSC, SSB CW. Имеется жидкокристаллический дисплей и термопринтер. Конструктивно прибор выполнен в корпусе кейса, общий вес комплекса составляет 12,7 кг.
Существенно облегчить просмотр радиоапазона позволяют анализаторы спектра, среди которых можно отметить отечественные разработки анализаторов СМ-4-2 и СМ-4-21.
Для решения задач скрытного выявления радиопередатчиков в ближней зоне (вблизи носимого радиопередатчика, на малоразмерных объектах) успешно используются детекторы электромагнитного поля. Операция выявления в этом случае заключается в обнаружении радиопередатчика по увеличению напряженности электромагнитного поля в ближней зоне антенны передатчика. Детекторы поля, как правило, изготовляются и используются в носимом варианте с размещением их в часах (Ej-6), в авторучке (PK 860), в пачке сигарет (PK 865), на теле оператора (DM-19), в кейсе (VL-22H) или в книге (VL-34), но могут использоваться и в стационарном варианте с размещением их в коробке сигар (PK 865-3), в цифровых часах (V-4330) и т.п. Характерной особенностью детекторов поля является широкая полоса тракта приема и отсутствие настройки на частоты сигналов. Недостаточная чувствительность детекторов поля и наличие ложных срабатываний приводят к снижению надежности обнаружения и увеличения времени поиска. Кроме того, подобные устройства не обнаруживают передатчиков с программным и дистанционным управлением.
Свободными от указанных недостатков являются обнаружители, принципы работы которых основаны на эффекте «нелинейной радиолокации». Принцип действия таких устройств (нелинейных радиолокаторов) основан на том факте, что при облучении радиоэлектронных устройств, содержащих нелинейные элементы, такие, как диоды, транзисторы и т.д., происходит отражение сигнала на высших кратных гармониках. Отраженные сигналы регистрируются локатором независимо от режима работы радиоэлектронного устройства (включено выключено).
В настоящее время нелинейные локаторы в России активно совершенствуются и находят применение в следующих областях:
обнаружение и определение местоположения скрытых электронных средств§ промышленного шпионажа (объекты обнаружения – приемопередающие устройства подслушивания и передачи данных, магнитофоны);
обнаружение электронных компонентов и радиоаппаратуры при попытке скрытно§ провести их через контрольно – пропускные пункты заводов, складов и таможен;
обнаружение несанкционированного выноса маркированных предметов из§ служебных помещений (объекты обнаружения – материальные и культурные ценности, снабженные пассивными нелинейными маркерами);
дистанционный контроль багажа авиапассажиров (объекты контроля –§ радиоэлектронные системы, входящие в состав взрывных устройств, размещенные в багаже);
поиск маркированных нелинейных пассивными маркерами людей в снежных§ завалах, разрушенных зданиях и др.
Особое место среди обнаружителей угроз безопасности занимают детекторы паразитных излучений аппаратуры, предназначенные для выявления работающих средств приема и регистрации аудио-, видео- и иной информации. Среди них на практике в основном используются детекторы магнитофонов и обнаружители телекамер. Детекторы магнитофонов применяются, как правило, для скрытного выявления носимых магнитофонов и конструктивно выполняются как в носимом, так и в стационарном варианте. Операция выявления заключается в обнаружении паразитного излучения генераторов стирания, двигателей магнитофонов, электронных схем и т.п.
7.1 Методы и средства блокирования каналов утечки информации
В настоящее время номенклатура технических средств коммерческой разведки весьма обширна, что делает задачу надежного блокирования каналов утечки и несанкционированного доступа к информации исключительно сложной.
Таблица 7 Основные методы и средства несанкционированного получения информации и возможная защита от них
№ Действие человека (типовая ситуация) Каналы утечки информации Методы и средства получения информации Методы
и
средства защиты информации
1 Разговор в помещении или на улице Акустика
Виброакустика
Гидроакустика Подслушивание,
Стетоскоп, вибродатчик
Гидроакустический датчик Шумовые генераторы, поиск
закладок, ограничение доступа
2 Разговор по проводному телефону Акустика
Электросигнал
в линии
Наводки Параллельный телефон,
прямое подключение,
диктофон,
телефонная закладка Маскирование, шифрование
Спецтехника
3 Документ на бумажном носителе Наличие Кража, копирование, фотографирование Ограничение доступа, спецтехника
4 Изготовление документа на небумажном носителе Изображение на дисплее копирование, фотографирование
Специальные радиотехнические устройства Контроль доступа, криптозащита
5 Передача документа
по каналу связи Электрические и оптические сигналы Несанкционированное подключение, имитация зарегистрированного пользователя Криптозащита
Решение подобной задачи возможно только с использованием профессиональных технических средств и с привлечением квалифицированных специалистов. В таблице 7 рассмотренные каналы утечки информации и возможные методы их блокирования.
Таким образом, основным направлением противодействия утечке информации является обеспечение физической (технические средства, линии связи, персонал) и логической (операционная система, прикладные программы и данные) защиты информационных ресурсов. При этом безопасность достигается комплексным применением аппаратных, программных и криптографических методов и средств защиты, а также организационных мероприятий.
ЗАКЛЮЧЕНИЕ
Проблема защиты от несанкционированного доступа к информации посвящено огромное количество методических, академических и правовых исследований. Отличительной особенностью хищения информации стала скрытность этого процесса, в результате чего жертва может не догадываться о происшедшем.
Всего несколько лет назад для обеспечения безопасности своих документов и предохранения самого компьютера от вируса достаточно было соблюдать ряд в общем – то несложных правил и мер предосторожности. Хотя во всех приличных компьютерных изданиях, учебниках и руководствах пользователя антивирусные рекомендации можно встретить многократно, однако по – прежнему немало компьютеров оказываются зараженными из – за элементарной неосведомленности пользователя.
Напомним некоторые аксиомы обращения с файлами, получаемыми на съемном носителе или по электронной почте:
даже просмотр содержимого вставленной в дисковод дискеты может вызвать§ заражение компьютера так называемым Boot – вирусом, находящимся в загрузочном секторе дискеты. Сегодня вирусы такого типа в мире встречаются не часто (программы и документы все реже передаются на дискетах), однако в России иногда всплывают вирусы и двух-, и пяти летней «свежести». Соответственно любые приносимые дискеты, диски должны обязательно проверятся антивирусной программой;
не стоит спешить сразу, открывать файл, полученный по электронной почте§ даже от знакомого адресата, но с необычным текстом письма, и тем более уж от незнакомого. Многие современные вирусы умеют сами себя рассылать по всем адресам из адресной книги (найденной в очередном компьютере), вставляя при этом в письмо определенный текст. Создатели вирусов справедливо полагают, что, получив письмо типа «Посмотри, какую замечательную картинку я нашел в сети! » от хорошо известного корреспондента, человек, не задумываясь, щелкнет мышкой по прикрепленному файлу. Вполне возможно, что одновременно с запуском программы, заражающей компьютер, вам действительно покажут картинку;
следует воздержатся от «украшательства» своего компьютера всякими с виду§ безвредными «развлекалочками» «с гуляющими по экрану овечками, распускающими звездочками, красочными фейерверками и т.п.) – такие небольшие забавные программки часто пишутся для того, чтобы замаскировать вирус. Воистину волк в овечьей шкуре! Например, по России уже второй год ходит небольшая программа под названием «Новорусские Windows» – многие ее поставили и через неделю – две удалили, не подозревая о том, что вирус уже успел похозяйничать в их компьютере. Программа, кстати, всего-навсего меняла названия кнопок в диалоговых окнах, превращая «Нет» в «Нафиг», а «Да» - в «Пофиг».
не пользуйтесь «пиратскими» сборниками программного обеспечения;§
самое важное установите и регулярно обновляйте антивирусный комплект§ программ, так как, несмотря на развитый интеллект современных средств защиты, гарантированно будут определяться только вирусы, уже включенные в базу данных программы.
Это сегодня особенно актуально, поскольку распространители вирусов и антивирусов используют одни и те же каналы передачи данных, то есть Internet. При этом вирус всегда имеет некоторую фору, поскольку антивирусной компании всегда нужно время на то, чтобы получить сам вирус, проанализировать его и написать соответствующие лечебные модули.
Необходимо помнить, что все выше приведенные враждебные (реальные и возможные) воздействия на информацию могут иметь не шуточные последствия. Можно привести массу примеров воздействия компьютерных вирусов, программных закладок на информацию, и не только, к ним можно с уверенностью добавить действия хакеров и, даже, персонала компании.
Враждебное воздействие на информацию программных закладок. Они способны уничтожать или искажать информацию, нарушать сеансы работы. Наиболее часто встречаются программные закладки типа «троянского коня» и «компьютерного червя». Пользователь получает их, как правило, по системе электронной почты под видом важного документа или давно разыскиваемой программы. «Троянский конь» может нанести немалый ущерб компании. Он собирает информацию, которая отправляется злоумышленнику по системе электронной почты для анализа на предмет содержания ценной информации, такой как пароли или пользовательская информация. Таким образом, злоумышленник, может получать важную или, даже конфиденциальную информацию, не выходя из дома, а ваша компания или фирма будет нести немалые убытки, необходимо понимать и то, что злоумышленником может быть и конкурирующая фирма, которая может преднамеренно отправить вам по электронной почте «троянского коня» с целью завладеть информацией.
«Компьютерный червь» может распространяться по сети Интернет, по локальной сети. Он нацелен на проникновение в системы разграничения доступа пользователей к ресурсам сети, могут приводить к утере матриц установления полномочий пользователей, к нарушению работы сети в целом и системы разграничения доступа в частности. Самым распространенным является червь, который распространяется по сети Интернет. И даже если на предприятии есть только один компьютер, подключенный к сети, но при этом существует локально – вычислительная сеть, возможна вероятность проникновения червя на компьютер, содержащий ценную информацию.
Не последнее место занимают компьютерные вирусы. Они могут искажать, разрушать исходные тексты программ, искажать базы данных, текстовые документы, повреждать микросхемы, магнитные диски и воздействуют на психику. Существуют вирусы, которые не причиняют особого вреда, но не стоит забывать о тех вирусах, которые могут нарушить работу всего компьютера и программного обеспечения, но даже разрушать микросхему материнской платы. Представьте, что будет если в один миг вами будет утеряна вся конфиденциальная информация, база данных, которая содержит всю информацию о вашем предприятии. А, если этой информацией завладеет конкурирующая фирма, ущерб можно только представить. И все это из – того, что вы должным образом не уделили внимание защите информации от компьютерных вирусов.
Огромные убытки корпорациям нанесли вирус типа I Love You и его штаммы. Так, например, 5 мая 2000 г. компьютерная скорая помощь университета Карнеги – «Мелона» (США) зафиксировала заражение 270 тыс. компьютеров. Среди пострадавших – компания «Форд», ЦРУ, конгресс США.
Необходимо отметить, что новые вирусы становятся все более изощренными и опасными. Так, если появившийся в 1999 г. вирус Melissa поразил около 20% компьютеров США, то вирус I love you – свыше 50%. Для борьбы с вирусами разработаны отечественные антивирусные программы в пакетах Dr.Web 4.01 («Диалог Наука») и AVP («Лаборатория Касперского»).
На российском рынке в настоящее время присутствуют также зарубежные программные средства обнаружения и обезвреживания компьютерных вирусов.
Не стоит забывать и о хакерах. Это раньше они взламывали ради любопытства, сейчас чаще всего они преследуют финансовые или политические цели. Число успешных проникновений возросло в двое по сравнению предыдущим годом. Не сложно представить, что будет, если в вашу базу данных проникнет хакер, вы можете распрощаться с деньгами, заработанными вашим предприятием, которые лежат на банковском счете, если хакеру удастся получить всю информацию касающеюся финансового состояния вашего предприятия. Подумайте, что на сегодняшний день существуют умельцы, которые могут обойти систему защиты Министерства Обороны США и получить конфиденциальную информацию. Минимум, что может хакер, взломав вашу систему защиты, это удалить или исказить ценную информацию, базу данных, сколько времени понадобиться чтобы восстановить утерянные файлы. Получив информацию о вашем предприятии, хакер может продать ее другой фирме заинтересованной в ее получении, цена информации зависит от ее ценности.
Помните, что защитить информацию может только сам пользователь или владелец. Для этого нужно правильно организовать работу и ограничить доступ к ценной информации. И принять все меры для предотвращения ее утечки.
Число уязвимостей и использующих их атак растет с каждым годом. Злоумышленники постоянно ищут новые способы проникновения в информационные системы, и пользователи должны понимать, что недооценка способностей хакеров может привести к очень печальным последствиям.
Список литературы
В.С.Барсуков «Безопасность: технологии, средства, услуги» М. Кудиц - образ 2001
М. Бэнкс «Психи и маньяки в Интернете: Руководство по выживанию в кибернетическом пространстве» СПБ «Символ» 1998
С.Н. Гриняев «Интеллектуальное противодействие информационному оружию» М «Синтег» 1999
М.Б. Зуев «INTERNET: Советы бывалого чайника» М. ООО «Лаборатория Базовых Знаний» 1998
Н.И. Юсупова «Защита информации в вычислительных системах» Уфа 2000
Журнал «Компьютерра» № 35, 36, 37, 40 2001 год
Журнал «Компьютер - Пресс» № 1, 2, 3, 4, 5, 6, 7, 8, 9, 10 2001 год
Журнал «Мир INTERNET» № 4, 5, 6, 7, 8
Журнал «Компьютер и бухгалтер» № 9, 10 2001 год
Для подготовки данной применялись материалы сети Интернет из общего доступа