Деятельность, направленная на обеспечение защищенного

http://ru.wikipedia.org/
http://www.mylect.ru/informatic/
http://dorlov.blogspot.com/2011/05/issp-10.html
http://infosecmd.narod.ru/gl4.html
Деятельность, направленная на обеспечение защищенного состояния объекта (в этом значении
чаще используется термин «защита информации»).
В то время как информационная безопасность — это состояние защищённости информационной
среды, защита информации представляет собой деятельность по предотвращению утечки
защищаемой информации, несанкционированных и непреднамеренных воздействий на
защищаемую информацию, то есть процесс, направленный на достижение этого состояния.
Информационная безопасность организации — целенаправленная деятельность ее органов и
должностных лиц с использованием разрешенных сил и средств по достижению состояния
защищённости информационной среды организации, обеспечивающее её нормальное
функционирование и динамичное развитие.
Кортеж защиты информации — это последовательность действий для достижения определённой
цели.
Информационная безопасность государства — состояние сохранности информационных ресурсов
государства и защищенности законных прав личности и общества в информационной сфере.
Программно-технические способы и средства обеспечения информационной безопасности
В литературе предлагается следующая классификация средств защиты информации.
Средства защиты от несанкционированного доступа (НСД): Средства авторизации;
Несанкционированный доступ — доступ к информации в нарушение должностных полномочий
сотрудника, доступ к закрытой для публичного доступа информации со стороны лиц, не имеющих
разрешения на доступ к этой информации. Так же иногда несанкционированным доступом
называют получение доступа к информации лицом, имеющим право на доступ к этой
информации в объёме, превышающем необходимый для выполнения служебных обязанностей.
Несанкционированный доступ к информации (НСД) - Доступ к информации, нарушающий
правила разграничения доступа с использованием штатных средств, предоставляемых средствами
вычислительной техники или автоматизированными системами.
Средства авторизации;
Средства авторизации ; применяемый по отношению к компьютерным процессам, данным и
системным устройствам и предназначенный для предотвращения их нежелательного
использования.
В информационных технологиях посредством авторизации устанавливаются и реализуются права
доступа к ресурсам и системам обработки данных.
В финансовой сфере авторизация проводится при использовании банковских платежных,
кредитных и иных карт.
В бизнесе — выдача лицензии (напр. авторизированный автомобильный дилер).
Мандатное управление доступом;
Мандатное управление доступом (англ. Mandatory access control, MAC) — разграничение доступа
субъектов к объектам, основанное на назначении метки конфиденциальности для информации,
содержащейся в объектах, и выдаче официальных разрешений (допуска) субъектам на обращение
к информации такого уровня конфиденциальности. Также иногда переводится как
Принудительный контроль доступа. Это способ, сочетающий защиту и ограничение прав,
применяемый по отношению к компьютерным процессам, данным и системным устройствам и
предназначенный для предотвращения их нежелательного использования.
Избирательное управление доступом;
Управление доступом на основе ролей;
Журналирование (так же называется Аудит).
Системы анализа и моделирования информационных потоков (CASE-системы).
Системы мониторинга сетей: Системы обнаружения и предотвращения вторжений (IDS/IPS).
Система обнаружения вторжений (СОВ) — программное или аппаратное средство,
предназначенное для выявления фактов неавторизованного доступа в компьютерную систему или
сеть либо несанкционированного управления ими в основном через Интернет. Соответствующий
английский термин — Intrusion Detection System (IDS). Системы обнаружения вторжений
обеспечивают дополнительный уровень защиты компьютерных систем.
Системы обнаружения вторжений используются для обнаружения некоторых типов вредоносной
активности, которая может нарушить безопасность компьютерной системы. К такой активности
относятся сетевые атаки против уязвимых сервисов, атаки, направленные на повышение
привилегий, неавторизованный доступ к важным файлам, а также действия вредоносного
программного обеспечения (компьютерных вирусов, троянов и червей)
Системы предотвращения утечек конфиденциальной информации (DLP-системы).
Предотвращение утечек (англ. Data Leak Prevention, DLP) — технологии предотвращения утечек
конфиденциальной информации из информационной системы вовне, а также технические
устройства (программные или программно-аппаратные) для такого предотвращения утечек.
DLP-системы строятся на анализе потоков данных, пересекающих периметр защищаемой
информационной системы. При детектировании в этом потоке конфиденциальной информации
срабатывает активная компонента системы, и передача сообщения (пакета, потока, сессии)
блокируется.
Анализаторы протоколов.
Антивирусные средства.
Межсетевые экраны.
Криптографические средства: Шифрование;
Цифровая подпись.
Системы резервного копирования.
Системы бесперебойного питания: Источники бесперебойного питания;
Резервирование нагрузки;
Генераторы напряжения.
Системы аутентификации:
Аутентифика́ция (англ. Authentication) — проверка принадлежности субъекту доступа
предъявленного им идентификатора; подтверждение подлинности.
Учитывая степень доверия и прочие свойства систем, проводимая проверка может быть
односторонней или взаимной. Обычно она проводится с помощью криптографической обработки,
позволяющей защитить передаваемые данные от злоумышленников.
Пароль;
Ключ доступа (физический или электронный);
Сертификат;
Биометрия.
Средства предотвращения взлома корпусов и краж оборудования.
Средства контроля доступа в помещения.
Инструментальные средства анализа систем защиты: Мониторинговый программный продукт.
Механизмы безопасности
Согласно "Оранжевой книге", политика безопасности должна обязательно включать в себя
следующие элементы:
произвольное управление доступом;
безопасность повторного использования объектов;
метки безопасности;
принудительное управление доступом.
Произвольное управление доступом (называемое иногда дискреционным) - это метод
разграничения доступа к объектам, основанный на учете личности субъекта или группы, в которую
субъект входит. Произвольность управления состоит в том, что некоторое лицо (обычно владелец
объекта) может по своему усмотрению предоставлять другим субъектам или отбирать у них права
доступа к объекту.
Безопасность повторного использования объектов - важное дополнение средств управления
доступом, предохраняющее от случайного или преднамеренного извлечения конфиденциальной
информации из "мусора". Безопасность повторного использования должна гарантироваться для
областей оперативной памяти (в частности, для буферов с образами экрана, расшифрованными
паролями и т.п.), для дисковых блоков и магнитных носителей в целом.
Метки безопасности состоят из двух частей - уровня секретности и списка категорий. Уровни
секретности образуют упорядоченное множество, категории - неупорядоченное. Назначение
последних - описать предметную область, к которой относятся данные. Для реализации
принудительного управления доступом с субъектами и объектами ассоциируются метки
безопасности. Метка субъекта описывает его благонадежность, метка объекта - степень
конфиденциальности содержащейся в нем информации.
Для реализации принудительного управления доступом с субъектами и объектами ассоциируются
метки безопасности. Метка субъекта описывает его благонадежность, метка объекта - степень
конфиденциальности содержащейся в нем информации.
Принудительное (или мандатное) управление доступом (зависит от воли субъектов) основано на
сопоставлении меток безопасности субъекта и объекта. После того, как зафиксированы метки
безопасности субъектов и объектов, оказываются зафиксированными и права доступа.
Субъект может читать информацию из объекта, если уровень секретности субъекта не ниже, чем у
объекта, а все категории, перечисленные в метке безопасности объекта, присутствуют в метке
субъекта. В таком случае говорят, что метка субъекта доминирует над меткой объекта.
Субъект может записывать информацию в объект, если метка безопасности объекта доминирует
над меткой субъекта. В частности, "конфиденциальный" субъект может записывать данные в
секретные файлы, но не может - в несекретные.
Если понимать политику безопасности как правила разграничения доступа, то механизм
подотчетности является дополнением подобной политики. Цель подотчетности - в каждый
момент времени знать, кто работает в системе и что делает. Средства подотчетности делятся на
три категории:
идентификация и аутентификация;
предоставление доверенного пути;
анализ регистрационной информации.
Обычный способ идентификации - ввод имени пользователя при входе в систему. Стандартное
средство проверки подлинности (аутентификации) пользователя - пароль.
Доверенный путь связывает пользователя непосредственно с доверенной вычислительной базой,
минуя другие, потенциально опасные компоненты ИС. Цель предоставления доверенного пути дать пользователю возможность убедиться в подлинности обслуживающей его системы.
"Оранжевая книга" предусматривает наличие средств выборочного протоколирования, как в
отношении пользователей, так и в отношении событий.
Классы безопасности
"Оранжевая книга" Министерства обороны США открыла путь к ранжированию информационных
систем по степени доверия безопасности.
В "Оранжевой книге" определяется четыре уровня доверия - D, C, B и A:
уровень C - произвольное управление доступом;
уровень B - принудительное управление доступом;
уровень A - верифицируемая безопасность.
Уровень D предназначен для систем, признанных неудовлетворительными. По мере перехода от
уровня C к A к системам предъявляются все более жесткие требования. Уровни C и B
подразделяются на классы (C1, C2, B1, B2, B3) с постепенным возрастанием степени доверия.
Всего имеется шесть классов безопасности - C1, C2, B1, B2, B3, A1. Чтобы в результате процедуры
сертификации систему можно было отнести к некоторому классу, ее политика безопасности и
уровень гарантированности должны удовлетворять заданным требованиям.
Например, требования к ИС согласно классу C1:
доверенная вычислительная база должна управлять доступом именованных пользователей к
именованным объектам;
пользователи должны идентифицировать себя, прежде чем выполнять какие-либо иные действия,
контролируемые доверенной вычислительной базой. Для аутентификации должен
использоваться какой-либо защитный механизм, например пароли. Аутентификационная
информация должна быть защищена от несанкционированного доступа;
доверенная вычислительная база должна поддерживать область для собственного выполнения,
защищенную от внешних воздействий (в частности, от изменения команд и/или данных) и от
попыток слежения за ходом работы;
должны быть в наличии аппаратные и/или программные средства, позволяющие периодически
проверять корректность функционирования аппаратных и микропрограммных компонентов
доверенной вычислительной базы;
защитные механизмы должны быть протестированы на предмет соответствия их поведения
системной документации. Тестирование должно подтвердить, что у неавторизованного
пользователя нет очевидных способов обойти или разрушить средства защиты доверенной
вычислительной базы;
должны быть описаны подход к безопасности, используемый производителем, и применение
этого подхода при реализации доверенной вычислительной базы.
Публикация "Оранжевой книги" стала событием в области информационной безопасности.
Появился общепризнанный понятийный базис, без которого даже обсуждение проблем ИБ было
бы затруднительным.
Информационная безопасность распределенных систем. Рекомендации X.800
Сетевые сервисы безопасности
Техническая спецификация X.800 появилась несколько позднее "Оранжевой книги", но весьма
полно и глубоко трактует вопросы информационной безопасности распределенных систем. В ней
можно выделить специфические сетевые функции (сервисы) безопасности, а также необходимые
для их реализации защитные механизмы.
Выделяют следующие сервисы безопасности и исполняемые ими роли:
1. Аутентификация. Данный сервис обеспечивает проверку подлинности партнеров по общению и
проверку подлинности источника данных. Аутентификация партнеров по общению используется
при установлении соединения и, быть может, периодически во время сеанса. Она служит для
предотвращения таких угроз, как маскарад и повтор предыдущего сеанса связи. Аутентификация
бывает односторонней (обычно клиент доказывает свою подлинность серверу) и двусторонней
(взаимной).
2. Управление доступом. Обеспечивает защиту от несанкционированного использования
ресурсов, доступных по сети.
3. Конфиденциальность данных. Обеспечивает защиту от несанкционированного получения
информации. Отдельно стоит упомянуть конфиденциальность трафика (это защита информации,
которую можно получить, анализируя сетевые потоки данных).
4. Целостность данных подразделяется на подвиды в зависимости от того, какой тип общения
используют партнеры - с установлением соединения или без него, защищаются ли все данные или
только отдельные поля, обеспечивается ли восстановление в случае нарушения целостности.
5. Неотказуемость (невозможность отказаться от совершенных действий) обеспечивает два вида
услуг: неотказуемость с подтверждением подлинности источника данных и неотказуемость с
подтверждением доставки. Побочным продуктом неотказуемости является аутентификация
источника данных.
Сетевые механизмы безопасности
Для реализации сервисов (функций) безопасности могут использоваться следующие механизмы и
их комбинации:
1. шифрование;
2. электронная цифровая подпись;
3. механизмы управления доступом. Могут располагаться на любой из участвующих в общении
сторон или в промежуточной точке;
4. механизмы контроля целостности данных. В рекомендациях X.800 различаются два аспекта
целостности: целостность отдельного сообщения или поля информации и целостность потока
сообщений или полей информации. Для проверки целостности потока сообщений (то есть для
защиты от кражи, переупорядочивания, дублирования и вставки сообщений) используются
порядковые номера, временные штампы, криптографическое связывание или иные аналогичные
приемы;
5. механизмы аутентификации. Согласно рекомендациям X.800, аутентификация может
достигаться за счет использования паролей, личных карточек или иных устройств аналогичного
назначения, криптографических методов, устройств измерения и анализа биометрических
характеристик;
6. механизмы дополнения трафика (выработка и поддержание правил, задающих характеристики
дополняющих сообщений - частоту отправки, размер и т.п.);
7. механизмы управления маршрутизацией. Маршруты могут выбираться статически или
динамически. Оконечная система, зафиксировав неоднократные атаки на определенном
маршруте, может отказаться от его использования. На выбор маршрута способна повлиять метка
безопасности, ассоциированная с передаваемыми данными;
8. механизмы нотаризации. Служат для заверения таких коммуникационных характеристик, как
целостность, время, личности отправителя и получателей. Заверение обеспечивается надежной
третьей стороной, обладающей достаточной информацией. Обычно нотаризация опирается на
механизм электронной подписи.
Взлом, кибервойны, хакеры, вирусы, черви, троянские кони и еще много страшных слов… Мы все
их слышим почти каждый день от наших коллег/друзей, читаем о них на новостных сайтах,
смотрим репортажи по телевиденью. Для решения проблем с компьютерами мы зовем человека,
именуемого «компьютерщиком», который за скромные деньги может установить «суперзащиту»
(как правило, это обычный антивирус) или переустановить операционную систему, если совсем
«ничего не помогает». Такова суровая действительность многих представителей малого бизнеса.
Цель этой статьи – рассказать руководителям компаний, что представляет собой
«информационная безопасность», зачем и как именно следует защищать компьютеры в ваших
компаниях.
Что такое «Информационная безопасность»?
Информационная безопасность – это состояние информационных систем, полученное вследствие
выполненных работ, направленных на обеспечение безопасности вашего бизнеса. Это состояние
продолжается до того момента, пока ваши системы не будут скомпрометированы.
Следует понимать, что не существует такого понятия, как «абсолютная безопасность», так как
любые средства защиты можно обойти тем или иным способом.
Зачем нужна безопасность?
Прежде чем что-либо защищать, необходимо понимать, что именно мы будем защищать и от
чего. Если в вашей компании есть несколько компьютеров, которые используются исключительно
для чтения анекдотов, просмотра погоды на неделю и игры в косынку, тогда вам безопасность
совершенно не нужна. Т.к. неработоспособность или взлом ваших систем никаким образом не
повлияет на ведение вашего бизнеса. Вы можете время от времени приглашать все того-же
«компьютерщика» для установки бесплатного антивируса или переустановки операционной
системы.
Но если ваши сотрудники используют компьютеры для доступа к платежным online
системам/системам управления банковским счетом, хранения базы ваших клиентов и другой
ценной информации, злоумышленник может потенциально похитить важные данные и
воспользоваться ими в личных целях или уничтожить их. В этом случае, для вас будет выгоднее
потратить определенные средства на обеспечение безопасности, чтобы максимально защититься
от злоумышленника и не дать ему возможность получить контроль над вашими счетами и
своровать у вас деньги/информацию.
Угрозы для бизнеса
Прежде чем рассказывать о различных угрозах для гипотетической компании я попрошу читателя
представить себе, что может произойти, если злоумышленник получит полный доступ ко всем
компьютерам в вашей компании и сможет незаметно для вас выполнять те же действия с
данными, которые хранятся на этих компьютерах, что и обычные сотрудники. Если вам стало
страшно, тогда читаем дальше.
Согласно исследованию компании Perimetrix , специализирующейся на расследованиях
инцидентов безопасности, самыми опасными угрозами ИБ в 2009 году были:
Утечка данных
Халатность служащих
Вирусы
Хакеры
Кража оборудования
Спам
Аппаратные и программные сбои
Саботаж
Правильным решением по борьбе с инцидентами безопасности является их предотвращение. Для
того, чтобы иметь возможность предотвратить потенциальные утечки данных, защитится от
вирусов и хакеров необходимо понимать, откуда исходят угрозы и что они из себя представляют.
Источники угроз
Условно все источники угроз можно разделить на следующие типы: атаки общей направленности
и целенаправленные атаки.
Атаки общей направленности
Если ваши компьютеры подключены к сети Интернет, они постоянно подвергаются различным
автоматизированным атакам. Цель этих атак – получить максимальный доступ к компьютерам
компании, найти на них потенциально важные данные (пароли к различным сервисам в Интернет,
социальным сетям, банковским счетам и пр.) и подключить компьютеры к своей бот-сети. Бот-сеть
– это сеть, состоящая из зараженных компьютеров, контролируемых злоумышленниками.
Зараженные системы могут использоваться для проведения атак на другие компании, рассылки
спама и прочего.
Этому типу атак подвергаются абсолютно все пользователи сети Интернет. Для защиты от этого
типа атак в большинстве случаев помогают общие рекомендации, описанные ниже в этой статье.
Источником утечек ценной информации могут стать также похищенные ноутбуки, телефоны,
накопители информации, документы и прочее.
Список основных угроз ИБ, которым ежедневно может подвергаться компания:
Вредоносное ПО
Это самая распространенная угроза. Вредоносные приложения проникают на компьютеры
компании, используя существующие бреши безопасности в используемом программном
обеспечении или используя недостаточную осведомленность сотрудников компании, которые
устанавливают вредоносное ПО самостоятельно.
Основные источники проникновения вредоносного ПО на компьютеры:
Web сайты
Многие пользователи считают, что вредоносное ПО может распространяться только через сайты
порнографической направленности и другие сомнительные ресурсы. Это не так. Источником
заражения компьютера может стать любой Web сайт. В последние годы злоумышленники
используют уязвимости на вполне легитимных сайтах для распространения вредоносного ПО. В
качестве примера можно привести инциденты, связанные с взломом сайта антивирусной
компании Trend Micro, взломом сайта проекта Microsoft DreamSpark
(http://www.securitylab.ru/news/387817.php).
Использование браузера, отличного от Internet Explorer на компьютерах компании не повысит
уровень защищенности от этой угрозы, т.к. большинство атак нацелены не на уязвимости в
браузерах, а на уязвимости в используемых браузерами компонентах. Например, Java, Adobe Flash
Player, Adobe Reader, различные мультимедийные плееры, которые устанавливают на систему
плагины для отображения видео непосредственно в браузере.
Flash накопители, сетевые папки
Огромное количество вредоносного ПО распространяется через внешние накопители. Как
правило, эти приложения используют функционал автозапуска и начинают свое проникновение на
систему, как только пользователь откроет Flash накопитель у себя на компьютере. Точно таким же
образом вредоносное ПО может попасть на компьютер через общедоступные сетевые папки.
Уязвимости операционных систем, сетевых приложений
Существует множество сетевых червей, которые используют уязвимости сетевых компонентов
операционных систем для проникновения на системы пользователей. Для того, чтобы
вредоносное ПО проникло на компьютер достаточно просто подключить этот компьютер к
общедоступной сети.
Социальная инженерия
Рассылка писем, сообщений по ICQ и в социальных сетях, ссылки на сайтах, призывающие
установить то или другое ПО, просмотреть видеоролик, для которого необходимо установить
специальный проигрыватель – все это способы обманом заставить пользователя посетить
потенциально опасный сайт или скачать и установить вредоносное ПО.
Email рассылки вредоносного ПО
Этот тип угроз уходит в прошлое, в настоящий момент очень редко email письма используются для
распространения вредоносного кода, т.к. большинство почтовых серверов оснащены фильтрами,
блокирующими исполняемые файлы, да и почтовые приложения уже давно и успешно помогают
пользователям справляться с подобной угрозой. Тем не менее, необходимо понимать, что файлы,
отправленные неизвестным отправителем, являются опасными и их не следует запускать на
системе.
Спам
Сложно представить пользователей, которые никогда не получали по электронной почте
рекламных сообщений. Подобные сообщения называются спамом. Большое количество таких
сообщений мешает сотрудникам компании качественно выполнять свою работу.
Фишинг атаки
Это атаки с использованием элементов социальной инженерии, с помощью которых
злоумышленники могут заполучить доступ к банковским счетам жертвы, к паролям для доступа к
почтовым учетным записям, социальным сетям и пр. Например, пользователю приходит письмо с
уведомлением о том, что его счет в Webmoney был заблокирован и, чтобы разблокировать его,
необходимо посетить ссылку в письме и изменить свои логин и пароль. Ссылка заведомо
указывает на сайт, контролируемый атакующим, который может выглядеть в точности как
настоящий сайт. После того, как пользователь вводит свои старые учетные данные, программное
обеспечение может автоматически воспользоваться имя для получения доступа к кошелькам, и,
например, осуществить денежные транзакции.
Пример фишинг атаки:
Рис.1 Фишинг атака с элементами социальной инженерии
Внимание, не посещайте ссылку, указанную в письме!
Это письмо было получено на почтовый ящик, защищенный спам-фильтром от Лаборатории
Касперского. Как видно по результату, злоумышленникам удалось обойти спам-фильтр. При
наведении курсора мыши на ссылку, присутствующую в письме, мы можем увидеть путь к сайту.
Поскольку я никогда не был на этом сайте, моей учетной записи на нем также нет. При нажатии на
ссылку мы попадем на скомпрометированный сайт, который запросит у нас учетные данные.
После ввода учетных данных, эти данные будут сохранены злоумышленником, а нас перенаправят
на сайт email.com. Это стандартный метод сбора учетных данных для проведения последующих
атак.
Целенаправленные атаки
Это атаки, направленные непосредственно на системы или сотрудников вашей компании. В
большинстве случаев целью подобных атак является доступ к данным и частичное или полное
нарушение нормальной работы компании. Не зависимо от мотивов атакующего, успешные атаки
приводят, как правило, к финансовым потерям компании. Защититься от подобных атак довольно
сложно и зачастую они оканчиваются успехом для опытного хакера. Для целенаправленных атак
характеры те же угрозы, что и для атак общей направленности, но в этом случае злоумышленник
владеет некоторой информацией о компании, которая может увеличить вероятность успешного
взлома.
Существенную угрозу для безопасности бизнеса представляют также недобросовестные
сотрудники. Согласно отчету E-Crime за 2007 год 37% успешных атак было осуществлено
сотрудниками компаний (далее, инсайдеры). В исследовании за 2010 год 64% компаний
опасались кражи важных данных инсайдерами или бывшими сотрудниками.
Рейтинг угроз безопасности от инсайдеров в 2008 году (по данным компании Perimetrix
(http://www.securitylab.ru/analytics/368176.php)):
Утечка данных – 55%
Искажение информации (включая несанкционированные бухгалтерские операции) – 54%
Кража оборудования – 25%
Саботаж – 21%
Утрата информации – 19%
Сбои в работе компьютерных систем – 12%
Общие рекомендации по улучшению состояния безопасности
Теперь, когда мы знаем, чего следует опасаться, мы может определиться с тем, как защищать
свой бизнес.
Рекомендации по защите от атак общей направленности
Защита ОС
Не зависимо от используемых операционных систем, на всех системах должны быть
установленные все исправления безопасности.
Не позволяйте сотрудникам компании работать с административными привилегиями на системе.
Чем выше привилегии у пользователя ОС, тем больше вероятность проникновения вредоносного
ПО на систему.
Всегда используйте логин/пароль для локального входа в систему.
Всегда используйте брендмауэр (встроенный или стороннего производителя).
Для защиты от обычных вредоносных приложений используйте антивирус известного вам
производителя. Не рекомендуется скачивать и устанавливать антивирусы неизвестных вам
компаний. Для защиты от вирусов подойдет как платное, так и бесплатное антивирусное решение.
У Microsoft также есть свой антивирус – Microsoft Security Essentials
(http://www.microsoft.com/security_essentials/), который бесплатно доступен для SMB компаний.
Также могу порекомендовать продукты от Лаборатории Касперского, Symantec, Trend Micro,
Panda Software, Eset.
Не предоставляйте пользователям доступ к документам, службам, которые им не требуются.
Защита паролей
Не используйте один и тот же логин/пароль для доступа к различным ресурсам.
Для хранения паролей пользуйтесь менеджерами паролей – приложениями, которые умеют
безопасно сохранять пароли для доступа к различным ресурсам.
Не храните пароли в браузерах! Современные браузеры не обеспечивают надежную защиту
учетных данных. Потому используйте специализированные менеджеры паролей для хранения
этой информации.
Защита приложений
Всегда устанавливайте исправления безопасности. Большинство производителей программного
обеспечения внедрили в свои продукты функционал автоматического обновления. Не забывайте
устанавливать исправления.
Для проверки наличия уязвимостей в программном обеспечении можно воспользоваться Secunia
PSI или Secunia OSI .
Чтобы оценить реальное состояние безопасности компьютеров от угроз, распространяемых через
Web сайты, можно воспользоваться следующими online ресурсами:
http://surfpatrol.ru/
http://www.mozilla.com/en-US/plugincheck/
Эти сайты позволяют обнаружить уязвимые компоненты на ваших системах и дать рекомендации
по устранению уязвимостей. Проверка осуществляется путем анализа информации, отправляемой
браузером.
Изолируйте важные приложения
Во всех современных операционных системах есть возможность запускать приложения от имени
другого пользователя. Если по какой-то причине вы работаете на системе с привилегиями
администратора или опытного пользователя, не обязательно запускать все приложения с этими
привилегиями. Вы можете запускать, например, браузер с привилегиями гостевой учетной записи.
Для доступа к банковским счетам или платежным online системам я рекомендую использовать
отдельные компьютеры или виртуальную ОС с ограниченным доступом к сети на рабочем месте и
к сети Интернет. Компания Microsoft выпустила Windows Virtual PC – это приложение, которое
позволяет запустить внутри себя любую операционную систему, работая в основной ОС. Из этой
системы вы можете, например, осуществлять платежи, управлять счетами. После окончания
работы с банковским приложением, вы останавливаете работу Virtual PC. Если на основной
системе присутствуют вредоносные приложения, они не смогут получить доступ к виртуальной
системе и похитить потенциально важные данные. Кроме того, многие вредоносные приложения
преднамеренно не запускаются в виртуальной среде. Это объясняется тем, что виртуальные
системы используются аналитиками антивирусных компаний для изучения поведения
вредоносного ПО. С точки зрения обеспечения безопасности личных данных, этот недостаток
можно использовать в своих полезных целях.
Защита информации
Не следует пользоваться бесплатными почтовыми сервисами (mail.ru, yandex.ru,gmail.com и пр.)
для обмена электронными сообщениями, содержащими конфиденциальные данные.
Не следует использоваться социальные сети для хранения коммерческих данных.
Не следует пересылать конфиденциальные данные по ICQ, Jabber и др. Например, QIP хранит всю
историю переписок свои пользователей у себя на серверах. В случае компрометации ресурса,
потенциально важные данные могут оказаться у ваших конкурентов.
Не используйте общедоступные сети/Интернет кафе для доступа к корпоративным ресурсам.
Если компания использует беспроводную сеть, доступ к ней должен быть защищен паролем.
Если сотрудники компании пользуются ноутбуками, на которых содержится важная для компании
информация, и выносят их за пределы офиса, необходимо шифровать данные, чтобы в случае
кражи ноутбука, злоумышленники не могли получить доступ к этой информации. Одним из
приложений, предназначенных для этих целей, является PGP Desktop .
Необходимо постоянно напоминать сотрудникам компании, какая информация является
конфиденциальной и какую информацию не следует распространять.
Также у Microsoft есть комплексное решение по защите от угроз, ориентированное на небольшие
компании – Microsoft Forefront Security Suite .
Рекомендации по защите от целенаправленных атак
После выполнения всех рекомендаций по защите от атак общей направленности, можно
приступить к защите от целенаправленных атак. Следует понимать, что от подобных атак
полностью защититься невозможно. Существует возможность лишь максимально увеличить
расходы атакующего на проведение самой атаки и тем самым сделать эту атаку нерентабельной.
Никто не будет тратить десятки тысяч долларов для того, чтобы получить информацию, которая
этих денег не стоит.
Утечка данных
Утечка данных (преднамеренная и случайная) исходит, как правило, от сотрудников компании.
Существуют средства противодействия утечкам информации или DLP (Data Leakage Prevention)
системы.
Ниже приведена обзорная таблица подобных решений от разных производителей.
Приложение Производитель
McAfee Host DLP
Стоимость
Примечание
McAfee 5400$ стоимость 100 рабочих мест без интеграции
Trend Micro DLP for Endpoint Trend Micro
Symantec DLP Symantec
4700$ стоимость 100 рабочих мест без интеграции
от 25000$
Дозор-Джет
от 25$/почтовый ящик
Check Point DLP
Check Point
от $3000
SearchInform SearchInform от 13000$
встраиваемое лезвие в устройства Check Point
Стоимость для 100 хостов
В случае корректно внедрения, эти приложения способны обнаружить и предотвратить утечку
данных.
В качестве обязательного превентивного средства является подписание соглашения о
неразглашении конфиденциальной информации с сотрудниками компании.
Разграничение доступа
Корректное разграничение доступа пользователей к информационным ресурсам позволяют
минимизировать потенциальный урон от атаки.
Защита периметра сети
Кроме стандартного набора антивируса и брендмауэра на каждой рабочей станции в сети должна
присутствовать система обнаружения/предотвращения вторжения (IDS/IPS). Наличие подобной
системы при условии ее корректного внедрения, позволит минимизировать риски, связанные с
хакерскими атаками и усложнить процесс взлома.
Резюмируя вышеизложенное, я бы хотел озвучить 2 самых главных правила информационной
безопасности:
Любую атаку можно отразить
Любую защиту можно обойти
Это две диаметрально противоположные аксиомы, которыми в настоящий момент
руководствуется индустрия информационной безопасности. Атака целесообразна тогда, когда
злоумышленнику будет выгодно потратить определенные средства на достижение своей цели.
Чем выше стоимость взлома – тем ниже вероятность его успеха.
Заключение
В этой статье была сделана попытка кратко изложить суть проблемы информационной
безопасности и дать общие рекомендации по защите от угроз ИБ.
Аппаратные средства защиты информационных систем — средства защиты информации и
информационных систем, реализованных на аппаратном уровне. Данные средства являются
необходимой частью безопасности информационной системы, хотя разработчики аппаратуры
обычно оставляют решение проблемы информационной безопасности программистам.
Для описания системы введем понятия



узел
ссылка
контекст программы
Узел — ячейка данных произвольного объема вместе со cсылкой на нее из
обрабатывающего устройства.
Cсылка не только описывает данные, но и содержит все права доступа к ним. Система
должна обеспечивать контроль над тем, чтобы в операциях, использующих ссылки, не
были использованы данные других типов а в операциях с аргументами других типов
ссылка не могла быть модифицирована.
Контекст программы — множество всех данных доступных для вычислений в
конкретном модуле.
Базовая функциональность модели защищенной информационной системы
Создание узла произвольного объема для хранения данных
После появления новый узел должен быть


пуст
доступен только данному обрабатывающему устройству и только через данную ссылку
Удаление узла.

попытка использования ссылок на удаленные узлы должна приводить к системным
прерываниям
Cмена контекста или смена процедуры исполняемой обрабатывающим устройством.
Новый контекст состоит из трех частей:



глобальные переменные, переданные по ссылке из старого контекста
часть, переданная копированием значения (параметры)
локальные данные, созданные в новом модуле
Общие методы и требования к переключению контекста:



Идентификация нового контекста (например, особая ссылка на него, позволяющая лишь
переключаться между контекстами)
Непосредственно переключение контекста(исполнение старого кода после переключения
контекста запрещено, исходя из принципов защищенности)
Операции формирования ссылки или другой структуры для идентификации и
переключения контекста
Реализации могут быть разными(в том числе и без особых ссылок), но должны быть
выдержаны основные принципы:



точки входа в контекст формируются внутри самого этого контекст
эта информация делается доступной другим контекстам
код и контекст переключаются одновременно
Анализ модели
1. Защищенность системы базируется на следующих принципах:
o доступ к узлу имеет только модуль, создавший его, если только он добровольно не
передаст ссылку кому-либо еще
o множество данных, доступных модулю, в любой момент времени строго
контролируется контекстом
2. Результирующая защита предельно строгая, но она не ограничивает возможности
программиста. Различные не пересекающиеся модули могут работать в одной программе,
вызывая друг друга и обмениваясь данными. Для этого достаточно, чтобы каждый из них
содержал особую ссылку для переключения контекста на другой.
3. Построенная система значительно упрощает поиск и иcправление ошибок благодаря
строгому контролю типов. Например, попытка изменить ссылку сразу приведет к
аппаратному прерыванию в месте ошибки. После чего ее легко можно отследить и
исправить.
4. Обеспечивается модульность программирования. Неправильная работа программы никак
не повлияет на другие. «Испорченный» модуль может лишь выдать неверные результаты.
5. Для использования системы от программиста не требуется дополнительных усилий. Кроме
того, при написании программы под такую модель уже нет необходимости дополнительно
оговаривать права доступа, способы их передачи и т. д.
Система регистрации
Программные средства защиты информации
Программными называются средства защиты данных, функционирующие в составе программного
обеспечения. Среди них можно выделить и подробнее рассмотреть следующие:

средства архивации данных;





антивирусные программы;
криптографические средства;
средства идентификации и аутентификации пользователей;
средства управления доступом;
протоколирование и аудит.
Как примеры комбинаций вышеперечисленных мер можно привести:


защиту баз данных;
защиту информации при работе в компьютерных сетях.

Средства архивации информации
Иногда резервные копии информации приходится выполнять при общей ограниченности ресурсов
размещения данных, например владельцам персональных компьютеров. В этих случаях используют
программную архивацию. Архивация это слияние нескольких файлов и даже каталогов в единый файл —
архив, одновременно с сокращением общего объема исходных файлов путем устранения избыточности, но
без потерь информации, т. е. с возможностью точного восстановления исходных файлов. Действие
большинства средств архивации основано на использовании алгоритмов сжатия, предложенных в 80-х гг.
Абрахамом Лемпелем и Якобом Зивом. Наиболее известны и популярны следующие архивные форматы:




ZIP, ARJ для операционных систем DOS и Windows;
TAR для операционной системы Unix;
межплатформный формат JAR (Java ARchive);
RAR (все время растет популярность этого нового формата, так как разработаны программы
позволяющие использовать его в операционных системах DOS, Windows и Unix).
Пользователю следует лишь выбрать для себя подходящую программу, обеспечивающую работу с
выбранным форматом, путем оценки ее характеристик – быстродействия, степени сжатия, совместимости с
большим количеством форматов, удобности интерфейса, выбора операционной системы и т.д.. Список
таких программ очень велик – PKZIP, PKUNZIP, ARJ, RAR, WinZip, WinArj, ZipMagic, WinRar и много
других. Большинство из этих программ не надо специально покупать, так как они предлагаются как
программы условно-бесплатные (Shareware) или свободного распространения (Freeware). Также очень
важно установить постоянный график проведения таких работ по архивации данных или выполнять их
после большого обновления данных.
Антивирусные программы
Это программы разработанные для защиты информации от вирусов. Неискушенные пользователи обычно
считают, что компьютерный вирус - это специально написанная небольшая по размерам программа, которая
может "приписывать" себя к другим программам (т.е. "заражать" их), а также выполнять нежелательные
различные действия на компьютере. Специалисты по компьютерной вирусологии определяют, что
ОБЯЗАТЕЛЬНЫМ (НЕОБХОДИМЫМ) СВОЙСТВОМ КОМПЬЮТЕРНОГО ВИРУСА является
возможность создавать свои дубликаты (не обязательно совпадающие с оригиналом) и внедрять их в
вычислительные сети и/или файлы, системные области компьютера и прочие выполняемые объекты. При
этом дубликаты сохраняют способность к дальнейшему распространению. Следует отметить, что это
условие не является достаточным т.е. окончательным. Вот почему точного определения вируса нет до сих
пор, и вряд ли оно появится в обозримом будущем. Следовательно, нет точно определенного закона, по
которому “хорошие” файлы можно отличить от “вирусов”. Более того, иногда даже для конкретного файла
довольно сложно определить, является он вирусом или нет.
Классификация компьютерных вирусов
Вирусы можно разделить на классы по следующим основным признакам:



деструктивные возможности;
особенности алгоритма работы;
среда обитания.
По ДЕСТРУКТИВНЫМ ВОЗМОЖНОСТЯМ вирусы можно разделить на:




безвредные, т.е. никак не влияющие на работу компьютера (кроме уменьшения свободной памяти
на диске в результате своего распространения);
неопасные, влияние которых ограничивается уменьшением свободной памяти на диске и
графическими, звуковыми и прочими эффектами;
опасные вирусы, которые могут привести к серьезным сбоям в работе компьютера;
очень опасные, в алгоритм работы которых заведомо заложены процедуры, которые могут
привести к потере программ, уничтожить данные, стереть необходимую для работы компьютера
информацию, записанную в системных областях памяти.
ОСОБЕННОСТИ АЛГОРИТМА РАБОТЫ вирусов можно охарактеризовать следующими свойствами:



резидентность;
использование стелс-алгоритмов;
самошифрование и полиморфичность.

Резидентные вирусы
Под термином "резидентность" (DOS'овский термин TSR - Terminate and Stay Resident) понимается
способность вирусов оставлять свои копии в системной памяти, перехватывать некоторые события
(например, обращения к файлам или дискам) и вызывать при этом процедуры заражения обнаруженных
объектов (файлов и секторов). Таким образом, резидентные вирусы активны не только в момент работы
зараженной программы, но и после того, как программа закончила свою работу. Резидентные копии таких
вирусов остаются жизнеспособными вплоть до очередной перезагрузки, даже если на диске уничтожены все
зараженные файлы. Часто от таких вирусов невозможно избавиться восстановлением всек копий файлов с
дистрибутивных дисков или backup-копий. Резидентная копия вируса остается активной и заражает вновь
создаваемые файлы. То же верно и для загрузочных вирусов — форматирование диска при наличии в
памяти резидентного вируса не всегда вылечивает диск, поскольку многие резидентные вирусы заражает
диск повторно после того, как он отформатирован.
Нерезидентные вирусы
Нерезидентные вирусы, напротив, активны довольно непродолжительное время — только в момент запуска
зараженной программы. Для своего распространения они ищут на диске незараженные файлы и
записываются в них. После того, как код вируса передает управление программе-носителю, влияние вируса
на работу операционной системы сводится к нулю вплоть до очередного запуска какой-либо зараженной
программы. Поэтому файлы, зараженные нерезидентными вирусами значительно проще удалить с диска и
при этом не позволить вирусу заразить их повторно.
Стелс-вирусы
Стелс-вирусы теми или иными способами скрывают факт своего присутствия в системе.
Использование СТЕЛС-алгоритмов позволяет вирусам полностью или частично скрыть себя в системе.
Наиболее распространенным стелс-алгоритмом является перехват запросов OC на чтение/запись
зараженных объектов. Стелс-вирусы при этом либо временно лечат их, либо “подставляют” вместо себя
незараженные участки информации. В случае макро-вирусов наиболее популярный способ — запрет
вызовов меню просмотра макросов. Известны стелс-вирусы всех типов, за исключением Windows-вирусов
— загрузочные вирусы, файловые DOS-вирусы и даже макро-вирусы. Появление стелс-вирусов,
заражающих файлы Windows, является скорее всего делом времени.
Полиморфик-вирусы
САМОШИФРОВАНИЕ и ПОЛИМОРФИЧНОСТЬ используются практически всеми типами вирусов для
того, чтобы максимально усложнить процедуру детектирования вируса. Полиморфик - вирусы (polymorphic)
- это достаточно трудно обнаружимые вирусы, не имеющие сигнатур, т.е. не содержащие ни одного
постоянного участка кода. В большинстве случаев два образца одного и того же полиморфик-вируса не
будут иметь ни одного совпадения. Это достигается шифрованием основного тела вируса и модификациями
программы-расшифровщика.
К полиморфик-вирусам относятся те из них, детектирование которых невозможно (или крайне
затруднительно) осуществить при помощи так называемых вирусных масок - участков постоянного кода,
специфичных для конкретного вируса. Достигается это двумя основными способами - шифрованием
основного кода вируса с непостоянным ключем и случаным набором команд расшифровщика или
изменением самого выполняемого кода вируса. Полиморфизм различной степени сложности встречается в
вирусах всех типов - от загрузочных и файловых DOS-вирусов до Windows-вирусов.
По СРЕДЕ ОБИТАНИЯ вирусы можно разделить на:




файловые;
загрузочные;
макровирусы;
сетевые.
Файловые вирусы
Файловые вирусы либо различными способами внедряются в выполняемые файлы (наиболее
распространенный тип вирусов), либо создают файлы-двойники (компаньон-вирусы), либо используют
особенности организации файловой системы (link-вирусы).
Внедрение файлового вируса возможно практически во все исполняемые файлы всех популярных ОС. На
сегодняшний день известны вирусы, поражающие все типы выполняемых объектов стандартной DOS:
командные файлы (BAT), загружаемые драйверы (SYS, в том числе специальные файлы IO.SYS и
MSDOS.SYS) и выполняемые двоичные файлы (EXE, COM). Существуют вирусы, поражающие
исполняемые файлы других операционных систем - Windows 3.x, Windows95/NT, OS/2, Macintosh, UNIX,
включая VxD-драйвера Windows 3.x и Windows95.
Существуют вирусы, заражающие файлы, которые содержат исходные тексты программ, библиотечные или
объектные модули. Возможна запись вируса и в файлы данных, но это случается либо в результате ошибки
вируса, либо при проявлении его агрессивных свойств. Макро-вирусы также записывают свой код в файлы
данных - документы или электронные таблицы, - однако эти вирусы настолько специфичны, что вынесены в
отдельную группу.
Загрузочные вирусы
Загрузочные вирусы заражают загрузочный (boot) сектор флоппи-диска и boot-сектор или Master Boot
Record (MBR) винчестера. Принцип действия загрузочных вирусов основан на алгоритмах запуска
операционной системы при включении или перезагрузке компьютера - после необходимых тестов
установленного оборудования (памяти, дисков и т.д.) программа системной загрузки считывает первый
физический сектор загрузочного диска (A:, C: или CD-ROM в зависимости от параметров, установленных в
BIOS Setup) и передает на него управление.
В случае дискеты или компакт-диска управление получает boot-сектор, который анализирует таблицу
параметров диска (BPB - BIOS Parameter Block) высчитывает адреса системных файлов операционной
системы, считывает их в память и запускает на выполнение. Системными файлами обычно являются
MSDOS.SYS и IO.SYS, либо IBMDOS.COM и IBMBIO.COM, либо других в зависимости от установленной
версии DOS, Windows или других операционных систем. Если же на загрузочном диске отсутствуют файлы
операционной системы, программа, расположенная в boot-секторе диска выдает сообщение об ошибке и
предлагает заменить загрузочный диск.
В случае винчестера управление получает программа, расположенная в MBR винчестера. Эта программа
анализирует таблицу разбиения диска (Disk Partition Table), вычисляет адрес активного boot-сектора
(обычно этим сектором является boot-сектор диска C:), загружает его в память и передает на него
управление. Получив управление, активный boot-сектор винчестера проделывает те же действия, что и bootсектор дискеты.
При заражении дисков загрузочные вирусы “подставляют” свой код вместо какой-либо программы,
получающей управление при загрузке системы. Принцип заражения, таким образом, одинаков во всех
описанных выше способах: вирус "заставляет" систему при ее перезапуске считать в память и отдать
управление не оригинальному коду загрузчика, но коду вируса.
Заражение дискет производится единственным известным способом — вирус записывает свой код вместо
оригинального кода boot-сектора дискеты. Винчестер заражается тремя возможными способами - вирус
записывается либо вместо кода MBR, либо вместо кода boot-сектора загрузочного диска (обычно диска C:),
либо модифицирует адрес активного boot-сектора в Disk Partition Table, расположенной в MBR винчестера.
Макро-вирусы
Макро-вирусы заражают файлы-документы и электронные таблицы нескольких популярных редакторов.
Макро-вирусы (macro viruses) являются программами на языках (макро-языках), встроенных в некоторые
системы обработки данных (текстовые редакторы, электронные таблицы и т.д.). Для своего размножения
такие вирусы используют возможности макро-языков и при их помощи переносят себя из одного
зараженного файла (документа или таблицы) в другие. Наибольшее распространение получили макровирусы для Microsoft Word, Excel и Office97. Существуют также макро-вирусы, заражающие документы Ami
Pro и базы данных Microsoft Access.
Сетевые вирусы
К сетевым относятся вирусы, которые для своего распространения активно используют протоколы и
возможности локальных и глобальных сетей. Основным принципом работы сетевого вируса является
возможность самостоятельно передать свой код на удаленный сервер или рабочую станцию. “Полноценные”
сетевые вирусы при этом обладают еще и возможностью запустить на выполнение свой код на удаленном
компьютере или, по крайней мере, “подтолкнуть” пользователя к запуску зараженного файла. Пример
сетевых вирусов – так называемые IRC-черви.
IRC (Internet Relay Chat) — это специальный протокол, разработанный для коммуникации пользователей
Интернет в реальном времени. Этот протокол предоставляет им возможность Итрернет-"разговора" при
помощи специально разработанного программного обеспечения. Помимо посещения общих конференций
пользователи IRC имеют возможность общаться один-на-один с любым другим пользователем. Кроме этого
существует довольно большое количество IRC-команд, при помощи которых пользователь может получить
информацию о других пользователях и каналах, изменять некоторые установки IRC-клиента и прочее.
Существует также возможность передавать и принимать файлы - именно на этой возможности и базируются
IRC-черви. Как оказалось, мощная и разветвленная система команд IRC-клиентов позволяет на основе их
скриптов создавать компьютерные вирусы, передающие свой код на компьютеры пользователей сетей IRC,
так называемые "IRC-черви". Принцип действия таких IRC-червей примерно одинаков. При помощи IRCкоманд файл сценария работы (скрипт) автоматически посылается с зараженного компьютера каждому
вновь присоединившемуся к каналу пользователю. Присланный файл-сценарий замещает стандартный и при
следующем сеансе работы уже вновь зараженный клиент будет рассылать червя. Некоторые IRC-черви
также содержат троянский компонент: по заданным ключевым словам производят разрушительные действия
на пораженных компьютерах. Например, червь "pIRCH.Events" по определенной команде стирает все файлы
на диске пользователя.
Существует большое количество сочетаний - например, файлово-загрузочные вирусы, заражающие как
файлы, так и загрузочные сектора дисков. Такие вирусы, как правило, имеют довольно сложный алгоритм
работы, часто применяют оригинальные методы проникновения в систему, используют стелс и полиморфиктехнологии. Другой пример такого сочетания - сетевой макро-вирус, который не только заражает
редактируемые документы, но и рассылает свои копии по электронной почте.
В дополнение к этой классификации следует сказать несколько слов о других вредоносных программах,
которые иногда путают с вирусами. Эти программы не обладают способностью к самораспространению как
вирусы, но способны нанести столь же разрушительный урон.
Троянские кони (логические бомбы или временные бомбы)
К троянским коням относятся программы, наносящие какие-либо разрушительные действия, т.е. в
зависимости от каких-либо условий или при каждом запуске уничтожающая информацию на дисках,
"завешивающая" систему, и т.п. В качестве примера можно привести и такой случай – когда такая
программа во время сеанса работы в Интернете пересылала своему автору идентификаторы и пароли с
компьютеров, где она обитала. Большинство известных троянских коней являются программами, которые
"подделываются" под какие-либо полезные программы, новые версии популярных утилит или дополнения к
ним. Очень часто они рассылаются по BBS-станциям или электронным конференциям. По сравнению с
вирусами "троянские кони" не получают широкого распространения по достаточно простым причинам - они
либо уничтожают себя вместе с остальными данными на диске, либо демаскируют свое присутствие и
уничтожаются пострадавшим пользователем.
Методы обнаружения и удаления компьютерных вирусов
Способы противодействия компьютерным вирусам можно разделить на несколько групп: профилактика
вирусного заражения и уменьшение предполагаемого ущерба от такого заражения; методика использования
антивирусных программ, в том числе обезвреживание и удаление известного вируса; способы обнаружения
и удаления неизвестного вируса:



Профилактика заражения компьютера;
Восстановление пораженных объектов;
Антивирусные программы.
Профилактика заражения компьютера
Одним из основных методов борьбы с вирусами является, как и в медицине, своевременная профилактика.
Компьютерная профилактика предполагает соблюдение небольшого числа правил, которое позволяет
значительно снизить вероятность заражения вирусом и потери каких-либо данных.
Для того чтобы определить основные правила компьютерной гигиены, необходимо выяснить основные пути
проникновения вируса в компьютер и компьютерные сети.
Основным источником вирусов на сегодняшний день является глобальная сеть Internet. Наибольшее число
заражений вирусом происходит при обмене письмами в форматах Word/Office97. Пользователь зараженного
макро-вирусом редактора, сам того не подозревая, рассылает зараженные письма адресатам, которые в свою
очередь отправляют новые зараженные письма и т.д. Выводы – следует избегать контактов с
подозрительными источниками информации и пользоваться только законными (лицензионными)
программными продуктами. К сожалению в нашей стране это не всегда возможно.
Восстановление пораженных объектов
В большинстве случаев заражения вирусом процедура восстановления зараженных файлов и дисков
сводится к запуску подходящего антивируса, способного обезвредить систему. Если же вирус неизвестен ни
одному антивирусу, то достаточно отослать зараженный файл фирмам-производителям антивирусов и через
некоторое время (обычно — несколько дней или недель) получить лекарство-“апдейт” против вируса. Если
же время не ждет, то обезвреживание вируса придется произвести самостоятельно. Для большинства
пользователей необходимо иметь резервные копии своей информации.
Классификация антивирусных программ
Наиболее эффективны в борьбе с компьютерными вирусами антивирусные программы. Однако сразу
хотелось бы отметить, что не существует антивирусов, гарантирующих стопроцентную защиту от вирусов, и
заявления о существовании таких систем можно расценить как либо недобросовестную рекламу, либо
непрофессионализм. Таких систем не существует, поскольку на любой алгоритм антивируса всегда можно
предложить контр-алгоритм вируса, невидимого для этого антивируса (обратное, к счастью, тоже верно: на
любой алгоритм вируса всегда можно создать антивирус).
Самыми популярными и эффективными антивирусными программами являются антивирусные сканеры
(другие названия: фаг, полифаг, программа-доктор). Следом за ними по эффективности и популярности
следуют CRC-сканеры (также: ревизор, checksumer, integrity checker). Часто оба приведенных метода
объединяются в одну универсальную антивирусную программу, что значительно повышает ее мощность.
Применяются также различного типа блокировщики и иммунизаторы.
Сканеры
Принцип работы антивирусных сканеров основан на проверке файлов, секторов и системной памяти и
поиске в них известных и новых (неизвестных сканеру) вирусов. Для поиска известных вирусов
используются так называемые “маски”. Маской вируса является некоторая постоянная последовательность
кода, специфичная для этого конкретного вируса. Если вирус не содержит постоянной маски, или длина
этой маски недостаточно велика, то используются другие методы. Примером такого метода являетcя
алгоритмический язык, описывающий все возможные варианты кода, которые могут встретиться при
заражении подобного типа вирусом. Такой подход используется некоторыми антивирусами для
детектирования полиморфик - вирусов. Сканеры также можно разделить на две категории —
“универсальные” и “специализированные”. Универсальные сканеры рассчитаны на поиск и обезвреживание
всех типов вирусов вне зависимости от операционной системы, на работу в которой рассчитан сканер.
Специализированные сканеры предназначены для обезвреживания ограниченного числа вирусов или только
одного их класса, например макро-вирусов. Специализированные сканеры, рассчитанные только на макровирусы, часто оказываются наиболее удобным и надежным решением для защиты систем документооборота
в средах MS Word и MS Excel.
Сканеры также делятся на “резидентные” (мониторы, сторожа), производящие сканирование “на-лету”, и
“нерезидентные”, обеспечивающие проверку системы только по запросу. Как правило, “резидентные”
сканеры обеспечивают более надежную защиту системы, поскольку они немедленно реагируют на
появление вируса, в то время как “нерезидентный” сканер способен опознать вирус только во время своего
очередного запуска. С другой стороны резидентный сканер может несколько замедлить работу компьютера
в том числе и из-за возможных ложных срабатываний.
К достоинствам сканеров всех типов относится их универсальность, к недостаткам —относительно
небольшую скорость поиска вирусов. Наиболее распространены в России следующие программы: AVP Касперского, Dr.Weber – Данилова, Norton Antivirus фирмы Semantic.
CRC-сканеры
Принцип работы CRC-сканеров основан на подсчете CRC-сумм (контрольных сумм) для присутствующих
на диске файлов/системных секторов. Эти CRC-суммы затем сохраняются в базе данных антивируса, как,
впрочем, и некоторая другая информация: длины файлов, даты их последней модификации и т.д. При
последующем запуске CRC-сканеры сверяют данные, содержащиеся в базе данных, с реально
подсчитанными значениями. Если информация о файле, записанная в базе данных, не совпадает с
реальными значениями, то CRC-сканеры сигнализируют о том, что файл был изменен или заражен вирусом.
CRC-сканеры, использующие анти-стелс алгоритмы, являются довольно сильным оружием против вирусов:
практически 100% вирусов оказываются обнаруженными почти сразу после их появления на компьютере.
Однако у этого типа антивирусов есть врожденный недостаток, который заметно снижает их эффективность.
Этот недостаток состоит в том, что CRC-сканеры не способны поймать вирус в момент его появления в
системе, а делают это лишь через некоторое время, уже после того, как вирус разошелся по компьютеру.
CRC-сканеры не могут определить вирус в новых файлах (в электронной почте, на дискетах, в файлах,
восстанавливаемых из backup или при распаковке файлов из архива), поскольку в их базах данных
отсутствует информация об этих файлах. Более того, периодически появляются вирусы, которые
используют эту “слабость” CRC-сканеров, заражают только вновь создаваемые файлы и остаются, таким
образом, невидимыми для них. Наиболее используемые в России программы подобного рода- ADINF и AVP
Inspector.
Блокировщики
Антивирусные блокировщики — это резидентные программы, перехватывающие “вирусо-опасные”
ситуации и сообщающие об этом пользователю. К “вирусо-опасным” относятся вызовы на открытие для
записи в выполняемые файлы, запись в boot-сектора дисков или MBR винчестера, попытки программ
остаться резидентно и т.д., то есть вызовы, которые характерны для вирусов в моменты из размножения.
Иногда некоторые функции блокировщиков реализованы в резидентных сканерах.
К достоинствам блокировщиков относится их способность обнаруживать и останавливать вирус на самой
ранней стадии его размножения, что, кстати, бывает очень полезно в случаях, когда давно известный вирус
постоянно “выползает неизвестно откуда”. К недостаткам относятся существование путей обхода защиты
блокировщиков и большое количество ложных срабатываний, что, видимо, и послужило причиной для
практически полного отказа пользователей от подобного рода антивирусных программ (например,
неизвестно ни об одном блокировщике для Windows95/NT — нет спроса, нет и предложения).
Необходимо также отметить такое направление антивирусных средств, как антивирусные блокировщики,
выполненные в виде аппаратных компонентов компьютера (“железа”). Наиболее распространенной является
встроенная в BIOS защита от записи в MBR винчестера. Однако, как и в случае с программными
блокировщиками, такую защиту легко обойти прямой записью в порты контроллера диска, а запуск DOSутилиты FDISK немедленно вызывает “ложное срабатывание” защиты.
Существует несколько более универсальных аппаратных блокировщиков, но к перечисленным выше
недостаткам добавляются также проблемы совместимости со стандартными конфигурациями компьютеров
и сложности при их установке и настройке. Все это делает аппаратные блокировщики крайне
непопулярными на фоне остальных типов антивирусной защиты.
Иммунизаторы
Иммунизаторы - это программы записывающие в другие программы коды, сообщающие о заражении. Они
обычно записывают эти коды в конец файлов (по принципу файлового вируса) и при запуске файла каждый
раз проверяют его на изменение. Недостаток у них всего один, но он летален: абсолютная неспособность
сообщить о заражении стелс-вирусом. Поэтому такие иммунизаторы, как и блокировщики, практически не
используются в настоящее время. Кроме того многие программы, разработанные в последнее время, сами
проверяют себя на целостность и могут принять внедренные в них коды за вирусы и отказаться работать.
Перспективы борьбы с вирусами
Вирусы успешно внедрились в повседневную компьютерную жизнь и покидать ее в обозримом будущем не
собираются. Так кто же пишет вирусы? Основную их массу создают студенты и школьники, которые только
что изучили язык ассемблера, хотят попробовать свои силы, но не могут найти для них более достойного
применения. Вторую группу составляют также молодые люди (чаще - студенты), которые еще не полностью
овладели искусством программирования, но уже решили посвятить себя написанию и распространению
вирусов. Единственная причина, толкающая подобных людей на написание вирусов, это комплекс
неполноценности, который проявляет себя в компьютерном хулиганстве. Из-под пера подобных “умельцев”
часто выходят либо многочисленные модификации “классических” вирусов, либо вирусы крайне
примитивные и с большим числом ошибок. Став старше и опытнее, но так и не повзрослев, некоторые из
подобных вирусописателей попадают в третью, наиболее опасную группу, которая создает и запускает в
мир “профессиональные” вирусы. Однако другие профессионалы будут создавать и новые более
совершенные антивирусные средства. Какой прогноз этого единоборства? Для того, чтобы ответить на этот
вопрос следует определить, где и при каких условиях размножаются вирусы.
Основная питательная среда для массового распространения вируса в ЭВМ – это:



слабая защищенность операционной системы (ОС);
наличие разнообразной и довольно полной документации по OC и “железу”. используемой
авторами вирусов;
широкое распространение этой ОС и этого “железа”.
Хотя следует отметить, что понятие операционной системы достаточно растяжимое. Например, для макровирусов операционной системой являются редакторы Word и Excel, поскольку именно редакторы, а не
Windows предоставляют макро-вирусам (т.е. программам на бейсике) необходимые ресурсы и функции.
Нем больше в операционной системе присутствуют элементов защиты информации, тем труднее будет
вирусу поразить объекты своего нападения, так как для этого потребуется (как минимум) взломать систему
шифрования, паролей и привилегий. В результате работа, необходимая для написания вируса, окажется по
силам только профессионалам высокого уровня. А у профессионалов, как представляется, уровень
порядочности все-таки намного выше, чем в среде потребителей их продукции, и, следовательно, число
созданных и запущенных в большую жизнь вирусов будет сокращаться. Пример этому – новая
операционная система Windows 2000 с модифицированной файловой системой NTFS. (Уже ближайшее
будущее даст оценку усилиям разработчиков создать операционную систему с высокой степенью
защищенности).