Современные информационные технологии/4. Информационная безопасность

Овчаренко М.А.

Национальный горный университет, Украина

Вредоносное программное обеспечение

Изобретение первого компьютера открыло перед человечеством большие возможности. Они значительно ускоряли научные вычисления.

С развитием компьютерных технологий компьютер стал незаменим практически во всех сферах деятельности человечества. Сегодня благодаря компьютерным технологиям не только происходят научные вычисления, моделирования, сохранение, воспроизведение любой информации, но и ее передача на большие расстояния, что дало возможность злоумышленникам воспользоваться несанкционированными методами ее получения.

Несанкционированный доступ к информации (англ. unauthorized access to information) — доступ к информации, осуществляемый с нарушением правил разграничения доступа.

Правила разграничения доступа (англ. access mediation rules) — часть политики безопасности, регламентирующая правила доступа пользователей и процессов к пассивным объектам.

Один из методов несанкционированного получения информации может осуществляться с помощью специального программного обеспечения, внедряемое в компьютеры и компьютерные сети нарушая политику безопасности.

Политика безопасности информации (англ. information security policy) — совокупность законов, правил, ограничений, рекомендаций, инструкций и т. д., регламентирующих порядок обработки информации.

Такой метод удаленного получения информации реализуется с помощью внедрения вредоносного программного обеспечения.

Вредоносная программа (буквальный перевод англоязычного термина Malware, malicious — злонамеренный и software — программное обеспечение) — злонамеренная программа, то есть программа, созданная со злым умыслом и/или злыми намерениями, предназначенная для обеспечения получения несанкционированного доступа к информации, хранимой на ЭВМ с целью причинения вреда (ущерба) владельцу информации и/или владельцу ЭВМ (сети ЭВМ).

Создание вредоносной программы преследует одну из двух главных целей:

1) получение прямой выгоды от получения доступа вредоносной программы злоумышленника (хищение конфиденциальной информации, получение доступа управлением компьютером, вымогательство и т.д.);

2) не приносящие прямую материальную выгоду (самоутверждение автора вредоносной программы, шутка, хулиганство).

Способы внедрения вредоносного программного обеспечения

Внедрения вредоносного программного обеспечения осуществляется с помощью:

1       способов непосредственного доступа к компьютеру и его информации для последующего внедрения вредоносного ПО;

2       способов удаленного доступа к компьютеру и внедрения вредоносного ПО;

3       способов смешанного доступа к компьютеру, осуществляющимися с помощью непосредственного и удаленного внедрения вредоносного ПО.

При этом, внедрение вредоносного ПО может быть активным и пассивным.

К активным методам внедрения относят осознанные (умышленные) методы инсталляции вредоносного ПО. Такой метод внедрения осуществляется:

·       при непосредственном доступе к компьютеру пользователя достаточно инсталлировать заранее подготовленное ПО с любого съемного носителя информации, узлов локальной компьютерной сети, серверов глобальной сети Internet;

·       при помощи удаленного доступа к компьютеру можно установить вредоносное ПО с помощью проникновения на компьютер благодаря неблокируемым компьютером способами (пробелам в политике безопасности);

К пассивным методам внедрения вредоносного ПО относят неумышленное проникновение на компьютер пользователя. При этом данный вид проникновения может осуществляться с помощью:

·       сетевых атак со стороны зараженных компьютеров

·       непосредственного доступа к компьютеру пользователя (копирование вредоносного ПО на компьютер со съемных носителей, других зараженных узлов компьютерной сети без умышленного участия пользователей);

·       социальная инженерия. Этот метод внедрения предлагает пользователю установить определенную полезную на первый взгляд программу, открыть ссылку и т.д., после чего происходит фоновое копирование на компьютер пользователя вредоносного программного обеспечения.

 

Классификация вредоносного программного обеспечения

Вредоносные программы можно разделить на:

1.     вирусные программы:

1)                сетевые вирусы (черви);

К данной категории относятся программы, распространяющие свои копии по локальным и/или глобальным сетям с целью:

·       проникновения на удаленные компьютеры;

·       запуска своей копии на удаленном компьютере;

·       дальнейшего распространения на другие компьютеры в сети.

Для своего распространения сетевые черви используют разнообразные компьютерные и мобильные сети: электронную почту, системы обмена мгновенными сообщениями, файлообменные (P2P) и IRC-сети, LAN, сети обмена данными между мобильными устройствами (телефонами, карманными компьютерами) и т. д.

Большинство известных червей распространяется в виде файлов: вложение в электронное письмо, ссылка на зараженный файл на каком-либо Web- или FTP-ресурсе в ICQ- и IRC-сообщениях, файл в каталоге обмена P2P (Peer to Peer) и т. д.

Некоторые черви (так называемые "бесфайловые" или "пакетные" черви) распространяются в виде сетевых пакетов, проникают непосредственно в память компьютера и активизируют свой код.

2)                файловые вирусы;

Файловые вирусы любыми различными способами внедряются в выполняемые файлы (наиболее распространенный тип вирусов), либо создают файлы-двойники (компаньон-вирусы), либо используют особенности организации файловой системы (link-вирусы).

3)                загрузочные вирусы;

Загрузочные вирусы записывают себя либо в загрузочный сектор диска (boot-сектор), либо в сектор, содержащий системный загрузчик винчестера (Master Boot Record), либо меняют указатель на активный boot-сектор.

4)                скриптовые вирусы;

Скриптовые вирусы могут заражать служебные и командные скрипт-файлы, как операционных систем (Linux, MS Windows), так и других приложений, программ. Кроме этого, подобные вирусы способны заражать файлы иных форматов, напр., HTML. Помимо самостоятельной зловредной активности скриптовые вирусы могут являться лишь компонентами других вирусов.

Иногда подобные вирусы могут никак не проявлять себя в системе, до того момента, пока не будут запущены файлы, содержащие вирусный код.

5)                макро-вирусы;

Макро-вирусы заражают файлы-документы и электронные таблицы нескольких популярных редакторов.

6)                сетевые;

Сетевые вирусы используют для своего распространения протоколы или команды компьютерных сетей и электронной почты.

2.     программы предназначенные для атаки:

1)                троянские программы;

Троя́нская программа (также — троян, троянец, троянский конь, трой) — вредоносная программа, проникающая на компьютер под видом безвредной — кодека, скринсейвера, хакерского ПО и т. д.

«Троянские кони» не имеют собственного механизма распространения, и этим отличаются от вирусов, которые распространяются, прикрепляя себя к безобидному ПО или документам, и «червей», которые копируют себя по сети. Впрочем, троянская программа может нести вирусное тело

2)                RootKit;

Руткит (англ. rootkit, т.е. «набор root'а») — программа или набор программ для скрытия следов присутствия злоумышленника или вредоносной программы в системе.

Кроме непосредственно себя руткит, как правило, может маскировать присутствие в системе любых описанных в его конфигурации каталогов и файлов на диске, ключей в реестре. По этой причине естественным образом появились «навесные» руткитные библиотеки. Многие руткиты устанавливают в систему свои драйверы и службы (они, естественно, также являются «невидимыми»).

3)                снифферы (Нюхачи);

Снифферы - это программное обеспечение, которое позволяет просматривать содержимое сетевых пакетов, перехватывать трафик в сети и анализировать его.

4)                DoS, DDoS;

Программы данного типа реализуют атаки на удаленные сервера, посылая на них многочисленные запросы, что приводит к отказу в обслуживании, если ресурсы атакуемого сервера недостаточны для обработки всех поступающих запросов (DoS = Denial of Service).

DoS-программы реализуют атаку с одного компьютера с ведома пользователя. DDoS-программы (Distributed DoS) реализуют распределенные атаки с разных компьютеров, причем без ведома пользователя зараженного компьютера. Для этого DDoS-программа засылается любым способом на компьютер "жертв-посредников" и после запуска в зависимости от текущей даты или по команде от "хозяина" начинает DoS-атаку на указанный сервер в сети.

5)                Nuker;

Утилиты, отправляющие специально оформленные запросы на атакуемые компьютеры в сети, в результате чего атакуемая система прекращает работу. Используют уязвимости в программном обеспечении и операционных системах, в результате чего сетевой запрос специального вида вызывает критическую ошибку в атакуемом приложении.

6)                Exploit, HackTool;

Хакерские утилиты данного класса предназначены для проникновения в удаленные компьютеры с целью дальнейшего управления ими (используя методы троянских программ типа "backdoor") или для внедрения во взломанную систему других вредоносных программ.

Хакерские утилиты типа "exploit" при этом используют уязвимости в операционных системах или приложениях, установленных на атакуемом компьютере.

3.     прочие вредоносные и условно опасные программы.

К прочим вредоносным программам относятся разнообразные программы, которые не представляют угрозы непосредственно компьютеру, на котором исполняются, а разработаны для создания других вирусов или троянских программ, взлома других компьютеров и т. п.

 

Методы защиты от вредоносных программ

Стопроцентной защиты от всех вредоносных программ не существует. Чтобы снизить риск потерь от воздействия вредоносных программ необходимо:

·       использовать современные операционные системы, имеющие серьёзный уровень защиты от вредоносных программ;

·       своевременно устанавливать патчи; если существует режим автоматического обновления, включить его;

·       постоянно работать на персональном компьютере исключительно под правами пользователя, а не администратора, что не позволит большинству вредоносных программ инсталлироваться на персональном компьютере;

·       использовать специализированные программные продукты, которые для противодействия вредоносным программам используют так называемые эвристические (поведенческие) анализаторы, то есть не требующие наличия сигнатурной базы;

·       использовать антивирусные программные продукты известных производителей, с автоматическим обновлением сигнатурных баз;

·       использовать персональный Firewall (аппаратный или программный), контролирующий выход в сеть Интернет с персонального компьютера на основании политик, которые устанавливает сам пользователь;

·       ограничить физический доступ к компьютеру посторонних лиц;

·       использовать внешние носители информации только от проверенных источников;

·       не открывать компьютерные файлы, полученные от ненадёжных источников;

·       отключить автозапуск со сменных носителей, что не позволит запускаться кодам, которые находятся на нем без ведома пользователя.

 

 

Литература:

1. Фейнштайн К. Защита ПК от спама, вирусов, всплывающих окон и шпионских программ. - Москва: NT Press, 2005 - 240 c.: ил.

2. Касперски К. Компьютерные вирусы изнутри и снаружи. - СПб.: Питер 2006 - 527 с.:ил.

3. http://www.whatis.ru/razn/razn22.shtml