 |
Основы информационной безопасности
|
|
|
|
При организации вычислительных сетей предъявляются достаточно жесткие требования к сохранности конфиденциальной информации и защите сетевых ресурсов от несанкционированного доступа.
Анализ практики использования вычислительных сетей показал, что есть достаточно много ПУТЕЙ УТЕЧКИ ИНФОРМАЦИИ И СПОСОБОВ НАНЕСЕНИЯ ВРЕДА ПО:
- незаконное подключение к аппаратуре и линиям связи;
- перехват электронных излучений;
- перехват акустических излучений и восстановление текста принтера;
- хищение носителей информации;
- считывание данных из массивов других пользователей;
- чтение остаточной информации в памяти системы после выполнения санкционированного запроса;
- маскировка под зарегистрированного пользователя;
- внедрение вирусов и др.
Проведение финансовых операций с использованием Internet, заказ товаров и услуг, использование кредитных карточек, доступ к закрытым информационным ресурсам, передача телефонных разговоров требуют обеспечения соответствующего уровня безопасности.
МЕРЫ ЗАЩИТЫ ИНФОРМАЦИИ могут быть подразделены на следующие группы.
1. Организационные меры (ограничение доступа в помещение, где происходит обработка информации; хранение в сейфах машинных носителей; установка лицензионных копий, архивирование информации и др.).
Стратегия организационной защиты включает в себя ограничения, накладываемые на пользователя и ограничения, накладываемые на каталоги и файлы.
В состав ограничений, накладываемых на пользователя, входят:
- защита именем регистрации и паролем;
- ограничение числа конкурирующих соединений;
Пользователь может войти в сеть под одним именем с нескольких рабочих станций. Появляются конкурирующие соединения, которые могут повлиять на нагрузку сети. С этой целью устанавливается порог для числа входов в сеть под одним именем.
|
|
|
- ограничение попыток неправильного ввода пароля;
- ограничение времени входа в сеть.
Для введения ограничений доступа к файлам и каталогам устанавливаются восемь типов прав доступа.
ПРАВА ДОСТУПА – возможность выполнять в сети определенные операции с данными, предоставляемая пользователю сетевой операционной системой.
Для файлов и каталогов могут быть установлены атрибуты, которые определяют возможности работы с файлами и каталогами для той или иной категории пользователя.
Установлены следующие категории пользователей:
- администратор (отвечает за бесперебойную работу сети и управляет работой всей системы – может вводить и удалять пользователей, назначать права доступа, регонфигурировать всю сеть);
- пользователь рабочей станции;
- оператор (пользователи, имеющие некоторые возможности управления сетью – управление очередями на печать);
- аудитор (пользователь, который может собирать различные статистические данные о сети и событиях, происходящих в ней, без контроля со стороны администратора).
Кроме того, файлы могут быть защищены опекунскими правами (при получении прав работы с файлами некоторого каталога пользователь автоматически получает те же права и во всех его подкаталогах).
2. Программные меры (антивирусные программы);
3. Аппаратные меры (использование электронных ключей, использование смарт-карт, установка брандмауэров).
Конфиденциальная информация, которая передается по сети Internet, проходит через определенное количество маршрутизаторов и серверов, прежде чем достигнет пункта назначения. Существует возможность того, что она будет перехвачена или изменена и передана адресату в измененном виде.
Проблемы, возникающие с безопасностью передачи информации при работе в компьютерных сетях, делят на три класса:
|
|
|
- перехват информации – целостность информации сохраняется, но нарушена конфиденциальность;
- модификация информации – исходное сообщение изменяется либо полностью подменяется другим и отсылается адресату;
- подмена авторства информации.
В связи с этим, под самим термином «безопасность» понимается совокупность трех различных характеристик обеспечивающей безопасность системы:
- аутентификация – это процесс распознавания пользователя системы и предоставления ему определенных прав и полномочий;
- целостность – состояние данных, при котором они сохраняют свое информационное содержание и однозначность интерпретации в условиях различных воздействий;
- секретность – предотвращение несанкционированного доступа к информации.
Для обеспечения секретности применяется шифрование, или криптография, позволяющая трансформировать данные в зашифрованную форму, из которой извлечь исходную информацию можно только при наличии ключа.
Но даже должным образом зашифрованное послание, безопасность которого требуется обеспечить, может быть модифицировано или подменено другим. Для защиты от этого используется передача получателю краткого представления передаваемого сообщения, называемого контрольной суммой или дайджестом сообщения, включаемого в так называемую электронную подпись. При помощи электронной подписи получатель может убедиться в том, что полученное им сообщение послано не сторонним лицом, а имеющим определенные права отправителем.
В последнее время корпоративные сети все больше включаются в сеть Internet. Учитывая, какой урон может принести незаконное вторжение в корпоративную сеть, для защиты используются брандмауэры – система или комбинация систем, позволяющая разделить сеть на две и более частей и реализовать набор правил, определяющих условия прохождения пакетов из одной части в другую.
4. Правовые меры.
Правовые меры защиты программных продуктов, в основе которых лежит авторское право, заложены в российском законодательстве:
- Закон РФ «О правовой охране программ для электронных вычислительных машин и баз данных» №3523-1 от 23 сентября 1992 года.
|
|
|
- Закон РФ «Об авторском праве и смежных правах» №5352-1 от 9 июля 1993 года;
- Закон «Об информации, информатизации и защите информации» – февраль 1995 года и др.
Наиболее важным среди правовых мер информационной безопасности является правовое регулирование деятельности организаций, предоставляющих услуги глобальных информационно-телекоммуникационных сетей на территории РФ.
Главной опасностью для сетевого программного обеспечения, особенно в сетях предприятий с существенным объемом удаленной связи, включая электронные доски объявлений, являются вирусы.
ВИРУС – программа, обладающая способностью к самовоспроизведению.
Такая способность является единственным средством, присущим всем типам вирусов. Вирусы можно классифицировать по следующим признакам:
- среде обитания;
- способу заражения среды обитания;
- воздействию;
- особенностям алгоритма.
В зависимости от СРЕДЫ ОБИТАНИЯ вирусы можно разделить на:
- сетевые (распространяются по различным компьютерным сетям);
- файловые (внедряются главным образом в исполняемые модули, т. е. в файлы, имеющие расширения com и exe, могут внедряться и в другие типы файлов, но, записанные в таких файлах, они никогда не получают управление и, следовательно, теряют способность к размножению);
- загрузочные (внедряются в загрузочный сектор диска Boot-сектор или в сектор, содержащий программу загрузки системного диска (Master Boot Record);
- файлово-загрузочные (заражают как файлы, так и загрузочные сектора дисков).
По СПОСОБУ ЗАРАЖЕНИЯ вирусы делятся на:
- резидентные (при заражении компьютера оставляет в оперативной памяти свою резидентную часть, которая потом перехватывает обращение операционной системы к объектам заражения – файлам, загрузочным секторам дисков и т. п. – и внедряется в них, находятся в памяти и являются активными вплоть до выключения или перезагрузки компьютера);
- нерезидентные (не заражают память компьютера и являются активными ограниченное время).
По СТЕПЕНИ ВОЗДЕЙСТВИЯ вирусы можно разделить на следующие виды:
|
|
|
- неопасные (не мешающие работе компьютера, но уменьшающие объем свободной оперативной памяти и памяти на дисках, действия проявляются в каких-либо графических или звуковых эффектах);
- опасные вирусы (могут привести к различным нарушениям в работе компьютера);
- очень опасные (воздействие может привести к потере программ, уничтожению данных, стиранию информации в системных областях диска).
По ОСОБЕННОСТЯМ АЛГОРИТМА вирусы классифицируются (трудно классифицировать из-за большого разнообразия):
- паразитические (изменяют содержимое файлов и секторов диска и могут быть достаточно легко обнаружены и уничтожены;
- репликаторы («черви», которые распространяются по компьютерным сетям, вычисляют адреса сетевых компьютеров и записывают по этим адресам свои копии;
- невидимки («стелс-вирусы», которые очень трудно обнаружить и обезвредить, т. к. они перехватывают обращения операционной системы к пораженным файлам и секторам дисков и подставляют вместо своего тела незараженные участки диска);
- мутанты (содержащие алгоритмы шифровки-расшифровки, благодаря которым копии одного и того же вируса не имеют ни одной повторяющейся цепочки байтов);
- квазивирусные или «троянские» программы (не способны к самораспространению, но очень опасны, т. к., маскируясь под полезную программу, разрушают загрузочный сектор и файловую систему дисков).
Схема функционирования загрузочного вируса, заражающего дискеты следующая.
При включении компьютера управление передается программе начальной загрузки, которая хранится в постоянно запоминающем устройстве ПНЗ (ПЗУ).
Эта программа тестирует оборудование и при успешном завершении проверок пытается найти дискету в дисководе. В секторе начальной загрузки хранится информация о дискете – количество поверхностей, количество дорожек, количество секторов и пр. и небольшая программа начальной загрузки (ПНЗ), которая должна загрузить саму операционную систему и передать ей управление.
Таким образом, нормальная схема начальной загрузки следующая: ПНЗ (ПЗУ) – ПНЗ (диск) – СИСТЕМА.
В загрузочных вирусах выделяют две части – т. н. голову и т. н. хвост. Вирус зараженного компьютера (под которым понимается компьютер с активным резидентным вирусом), обнаружив, что в дисководе появилась подходящая «жертва» – не защищенная от записи и еще не зараженная дискета, приступает к заражению:
- выделяет некоторую область диска и помечает ее как недоступную операционной системе (занятые вирусом секторы помечаются как сбойные bad);
- копирует в выделенную область диска свой «хвост» и оригинальный (здоровый) загрузочный сектор;
|
|
|
- замещает программу начальной загрузки в настоящем загрузочном секторе своей «головой»;
- организует цепочку передачи управления согласно схеме.
Таким образом, «голова» вируса теперь первой получает управление, вирус устанавливается в память и передает управление оригинальному загрузочному сектору. В цепочке
ПНЗ (ПЗУ) – ПНЗ (диск) – СИСТЕМА появляется новое звено
ПНЗ (ПЗУ) – ВИРУС – ПНЗ (диск) – СИСТЕМА.
Как правило, вирусы способны заражать не только загрузочные секторы дискет, но и загрузочные секторы винчестеров. При этом в отличие от дискет на винчестере имеются два типа загрузочных секторов, содержащих программы начальной загрузки, которые получают управление. При загрузке компьютера с винчестера первой берет на себя управление программа начальной загрузки в MBR (Master Boot Record – главная загрузочная запись). Если жесткий диск разбит на несколько разделов, то лишь один из них помечен как загрузочный (Boot). Программа начальной загрузки в MBR находит загрузочный раздел винчестера и передает управление на программу начальной загрузки этого раздела. Код последней совпадает с кодом программы начальной загрузки, содержащейся на обычных дискетах, а соответствующие загрузочные секторы отличаются только таблицами параметров. Таким образом, на винчестере имеются два объекта атаки загрузочных вирусов – программа начальной загрузки в MBR и программа начальной загрузки в бут-секторе загрузочного диска.
Схема работы нерезидентного файлового вируса (в отличие от загрузочных вирусов, которые практически всегда резидентны, файловые вирусы совсем не обязательно резидентные) следующая.
При запуске инфицированного исполняемого файла вирус получает управление, производит некоторые действия и передает управление «хозяину». При этом он ищет новый объект для заражения – подходящий по типу файл, который еще не заражен. Заражая файл, вирус внедряется в его код, чтобы получить управление при запуске этого файла. Кроме своей основной функции – размножения, вирус может сделать что-нибудь еще («сказать», «спросить», «сыграть») – это уже зависит от фантазии автора вируса.
Резидентный файловый вирус установится в память и получит возможность заражать файлы и проявлять прочие способности не только во время работы зараженного файла.
Заражая исполняемый файл, вирус всегда изменяет его код – следовательно, заражение исполняемого файла всегда можно обнаружить. Но, изменяя код файла, вирус не обязательно вносит другие изменения (не обязательно меняет длину файла; неиспользуемые участки кода; начало файла).
К файловым вирусам часто относят вирусы, которые «имеют некоторое отношение к файлам», но не обязаны внедряться в их код (например, вирусы известного семейства Dir-II).
Информация о файлах хранится в каталогах. Каждая запись каталога включает в себя имя файла, дату и время создания, некоторую дополнительную информацию, номер первого кластера файла и т. н. резервные байты (последние оставлены «про запас» и самой MS-DOS не используются).
При запуске исполняемых файлов система считывает из записи в каталоге первый кластер файла и далее все остальные кластеры. Вирусы семейства Dir-II производят следующую «реорганизацию» файловой системы: сам вирус записывается в некоторые свободные секторы диска, которые он помечает как сбойные. Кроме того, он сохраняет информацию о первых кластерах исполняемых файлов в резервных битах, а на место этой информации записывает ссылки на себя.
Таким образом, при запуске любого файла вирус получает управление (операционная система запускает его сама), резидентно устанавливается в память и передает управление вызванному файлу.
Основное разрушительное действие загрузочно-файлового вируса (например, OneHalf, заражающего главный загрузочный сектор MBR и исполняемые файлы) – шифрование секторов винчестера. При каждом запуске вирус шифрует очередную порцию секторов, а, зашифровав половину жесткого диска, сообщает об этом. Основная проблема при лечении данного вируса состоит в том, что недостаточно просто удалить вирус из MBR и файлов, надо расшифровать зашифрованную им информацию.
Полиморфный вирус (представляется на сегодняшний день наиболее опасным) – вирус, модифицирующие свой код в зараженных программах таким образом, что два экземпляра одного и того же вируса могут не совпадать ни в одном бите.
Такие вирусы не только шифруют свой код, используя различные пути шифрования, но и содержат код генерации шифровщика и расшифровщика, что отличает их от обычных шифровальных вирусов, которые также могут шифровать участки своего кода, но имеют при этом постоянный код шифровальщика и расшифровщика.
Полиморфные вирусы – это вирусы с самомодифицирующимися расшифровщиками. Цель такого шифрования: имея зараженный и оригинальный файлы, все равно не возможно проанализировать его код с помощью обычного дизассемблирования. Этот код зашифрован и представляет собой бессмысленный набор команд. Расшифровка производится самим вирусом уже непосредственно во время выполнения. При этом возможны варианты: он может расшифровать себя всего сразу, а может выполнить такую расшифровку «по ходу дела», может вновь шифровать уже отработавшие участки. Все это делается ради затруднения анализа кода вируса.
ОСНОВНЫМИ ПУТЯМИ ПРОНИКНОВЕНИЯ ВИРУСОВ в компьютер являются:
- съемные диски (гибкие и лазерные);
- компьютерные сети.
Заражение жесткого диска вирусами может произойти при загрузке программы с дискеты, содержащей вирус. Такое заражение может быть и случайным, например, если дискету не вынули из дисковода А и перезагрузили компьютер, при этом дискета может быть и не системной. Заразить дискету гораздо проще. На нее вирус может попасть, даже если дискету просто вставили в дисковод зараженного компьютера и, например, прочитали ее оглавление.
Вирус, как правило, внедряется в рабочую программу таким образом, чтобы при ее запуске управление сначала передалось ему и только после выполнения всех его команд снова вернулось к рабочей программе. Получив доступ к управлению, вирус прежде всего переписывает сам себя в другую рабочую программу и заражает ее. После запуска программы, содержащей вирус, становится возможным заражение других файлов. Наиболее часто вирусом заражаются загрузочный сектор диска и исполняемые файлы, имеющие расширения EXE, COM, SYS, BAT. Крайне редко заражаются текстовые файлы.
После заражения программы вирус может выполнить какую-нибудь диверсию, не слишком серьезную, чтобы не привлечь внимания. И, наконец, возвращает управление той программе, из которой был запущен. Каждое выполнение зараженной программы переносит вирус в следующую. Таким образом, заразится все программное обеспечение.
ОСНОВНЫЕ ПРИЗНАКИ ПРОЯВЛЕНИЯ ВИРУСОВ следующие:
- прекращение работы или неправильная работа ранее успешно функционировавших программ;
- медленная работа компьютера;
- невозможность загрузки операционной системы;
- исчезновение файлов и каталогов или искажение их содержимого;
- изменение даты и времени модификации файлов;
- изменение размеров файлов;
- неожиданное значительное увеличение количества файлов на диске;
- существенное уменьшение размера свободной оперативной памяти;
- вывод на экран непредусмотренных сообщений или изображений;
- подача непредусмотренных звуковых сигналов;
- частые зависания и сбои в работе компьютера.
Следует отметить, что вышеперечисленные явления необязательно вызываются присутствием вируса, а могут быть следствием других причин. Поэтому всегда затруднена правильная диагностика состояния компьютера.
В процессе диагностики (выяснения «что, как и когда вирус делает») собирается вся необходимая информация о данном вирусе, в частности, выделяется СИГНАТУРА ВИРУСА – последовательность байтов, которая вполне определенно его характеризует. Для построения сигнатуры обычно берутся наиболее важные и характерные участки кода вируса. Одновременно становятся ясны механизмы работы вируса, например, в случае загрузочного вируса важно знать, где он прячет свой «хвост», где находится оригинальный загрузочный сектор, а в случае файлового – способ заражения файла. Полученная информация позволяет выяснить:
- как обнаружить вирус, для этого уточняются методы поиска сигнатур в потенциальных объектах вирусной атаки – файлах и \ или загрузочных секторах;
- как обезвредить вирус, если это возможно, разрабатываются алгоритмы удаления вирусного кода из пораженных объектов.
Для ОБНАРУЖЕНИЯ, УДАЛЕНИЯ И ЗАЩИТЫ от компьютерных вирусов разработано несколько видов специальных программ, называемых антивирусными. Различают следующие виды антивирусных программ:
- программы-детекторы;
- программы-доктора (фаги);
- программы-ревизоры;
- программы-фильтры;
- программы-вакцины или иммунизаторы.
ПРОГРАММЫ-ДЕТЕКТОРЫ осуществляют поиск характерной для конкретного вируса сигнатуры в оперативной памяти и в файлах и при обнаружении выдают соответствующее сообщение.
Недостатком таких антивирусных программ является то, что они могут находить только те вирусы, которые известны разработчикам таких программ.
ПРОГРАММЫ-ДОКТОРА (фаги), а также ПРОГРАММЫ-ВАКЦИНЫ не только находят зараженные вирусами файлы, но и «лечат» их, т. е. удаляют из файла тело программы-вируса, возвращая файлы в исходное состояние.
В начале своей работы фаги ищут вирусы в оперативной памяти, уничтожая их, и только затем переходят к «лечению» файлов. Среди фагов выделяют полифаги, т. е. программы-доктора, предназначенные для поиска и уничтожения большого количества вирусов (наиболее известные из них – Aidstest, Scan, Norton AntiVirus, Doctor Web).
Учитывая, что постоянно появляются новые вирусы, программы-детекторы и программы-доктора быстро устаревают, и требуется регулярное обновление версий.
ПРОГРАММЫ-РЕВИЗОРЫ (относятся к самым надежным средствам защиты от вирусов) фиксируют исходное состояние программ, каталогов и системных областей диска незараженного вирусом компьютера и периодически или по желанию пользователя сравнивают текущее состояние с исходным.
Обнаруженные изменения выводятся на экран монитора. Как правило, сравнение состояний производят сразу после загрузки операционной системы. При сравнении проверяются длина файла, код циклического контроля (контрольная сумма файла), дата и время модификации, другие параметры.
Программы-ревизоры (Adinf) имеют достаточно развитые алгоритмы, обнаруживают стелс-вирусы и могут даже очистить изменения версии проверяемой программы от изменений, внесенных вирусом.
ПРОГРАММЫ-ФИЛЬТРЫ («сторожа») представляют собой небольшие резидентные программы, предназначенные для обнаружения подозрительных действий при работе компьютера, характерных для вирусов.
Такими действиями могут являться:
- попытки коррекции файлов с расширениями COM, EXE;
- изменение атрибутов файла;
- прямая запись на диск по абсолютному адресу;
- запись в загрузочные сектора диска;
- загрузка резидентной программы.
При попытке какой-либо программы произвести указанные действия «сторож» посылает пользователю сообщение и предлагает запретить или разрешить соответствующее действие.
Программы-фильтры весьма полезны, т. к. способны обнаружить вирус на самой ранней стадии его существования до размножения. Однако, они не «лечат» файлы и диски. Для уничтожения вирусов требуется применить другие программы, например фаги.
К недостаткам программ-сторожей (примером программы-фильтра является программа Vsafe, входящая в состав пакета утилит MS DOS) можно отнести их «назойливость» (например, они постоянно выдают предупреждение о любой попытке копирования исполняемого файла), а также возможные конфликты с другим программным обеспечением.
ПРОГРАММЫ-ВАКЦИНЫ или ИММУНИЗАТОРЫ – резидентные программы, предотвращающие заражение файлов.
Вакцины применяют, если отсутствуют программы-доктора, «лечащие» этот вирус. Вакцинация возможна только от известных вирусов. Вакцина модифицирует программу или диск таким образом, чтобы это не отражалось на их работе, а вирус будет воспринимать их зараженными и поэтому не внедрится.
ОСНОВНЫЕ МЕРЫ ПО ЗАЩИТЕ ОТ ВИРУСОВ следующие:
- оснастить компьютер современными антивирусными программами, например Aidstest, Doctor Web, и постоянно обновлять их версии;
- перед считыванием с дискет информации, записанной на других компьютерах, всегда проверять эти дискеты на наличие вирусов, запуская антивирусные программы компьютера;
- при переносе на компьютер файлов в архивированном виде проверять их сразу же после разархивации на жестком диске, ограничивая область проверки только вновь записанными файлами;
- периодически проверять на наличие вирусов жесткие диски компьютера, запуская антивирусные программы для тестирования файлов, памяти и системных областей дисков с защищенной от записи дискеты, предварительно загрузив операционную систему с защищенной от записи системной дискеты;
- всегда защищать дискеты от записи при работе на других компьютерах, если на них не будет производится запись информации;
- обязательно делать архивные копии на дискетах ценной информации;
- не оставлять в дисководе A дискеты при включении или перезагрузке операционной системы, чтобы исключить заражение компьютера загрузочными вирусами;
- использовать антивирусные программы для входного контроля всех исполняемых файлов, получаемых из компьютерных сетей;
- для обеспечения большей безопасности применения Aidstest и Doctor Web необходимо сочетать с повседневным использованием ревизора диска Adinf.
Таким образом, угроза информационному ресурсу возрастает с каждым днем, подвергая в панику ответственных лиц в банках, на предприятиях и в компаниях во всем мире. И угроза эта исходит от компьютерных вирусов, которые искажают или уничтожают жизненно важную, ценную информацию, что может привести не только к финансовым потерям, но и к человеческим жертвам.
Компьютерный вирус – специально написанная программа, способная самопроизвольно присоединяться к другим программам, создавать свои копии и внедрять их в файлы, системные области компьютера и в вычислительные сети с целью нарушения работы программ, порчи файлов и каталогов, создания всевозможных помех в работе компьютера.
В настоящее время известно более 5000 программных вирусов, число которых непрерывно растет. Известны случаи, когда создавались учебные пособия, помогающие в написании вирусов.
|
|
|
