 |
Sendmail и электронная почта 7 глава
|
|
|
|
Стопроцентную защиту от данной атаки обеспечивает шифрование TCP/IP -графика (на уровне приложений – secure shell) или на уровне протокола – IPsec). Это исключает возможность модификации сетьвого потока. Для защиты почтовых сообщений может применяться PGP (об этих средствах читайте далее).
Следует -заметить, что метод также не срабатывает на некоторых конкретных реализациях TCP/IP. Несмотря на требование молчаливого закрытия сессии в ответ на RST-макет, некоторые системы генерируют встречный RST-пакет. Это делает невозможным раннюю десинхронизацию.
2.4.5. Другие примеры современных атак злоумышленников
Приведем краткие описания некоторых наиболее часто используемых в настоящее время атак злоумышленников.
1. Фрагментация данных. Во время атаки инициируется посылка большого числа фрагментов, что приводит к переполнению программных буферов на приемной стороне или к аварийному завершению системы. Данная атака эффективна против компьютеров с ОС Windows NT без установленной специализированной дополняющей программной "заплатки" icmp-fix. Выявления атаки заключается в осуществлении и анализе сборки пакетов "на лету".
2. Сканирование Half scan. Незаметно выявляются каналы информационного воздействия на систему. Посылаются пакеты установления соединения и при получении ответов от системы сбрасывается соединение (пакет с флагом RST). Стандартные средства не фиксируют попытку установления соединения, а злоумышленник определяет присутствие служб на определенных портах.
3. Сканирование сети посредством DNS. Производится опрос сервера имён и получении от него информации о домене. Для выявления атаки и определения сканирования анализируются DNS-запросы (адрес и имя), приходящие, быть может, от разных DNS-серверов за определенный, фиксированный промежуток времени. При этом просматривается информация, передаваемая в них, и отслеживается перебор адресов.
|
|
|
4. Атака DNS flooding. Атака направлена на сервера имён Internet и заключается в передаче большого числа DNS-запросов. В результате пользователь не может обращаться к сервису имен и, следовательно, его работа становится невозможной. Выявление атаки сводится к анализу загрузки DNS-сервера и определению источников запросов.
5. Атака DNS spoofing. Результатом данной атаки является внесение навязываемого соответствия между IP-адресом и доменным именем в кэш DNS-сервера. Атака характеризуется большим количеством DNS-пакетов с одним и тем же доменным именем, что связано с необходимостью подбора некоторых параметров DNS обмена. Выявление атаки связано с анализом содержимого DNS-трафика.
6. Сканирование сети методом ping sweep. Атака определяет атакуемые цели с помощью протокола ICMP. Для определения факта ping-сканирования целей, находящихся внутри подсети, необходимо анализировать исходные и конечные адреса ICMP-пакетов.
7. UDP bomb. При реализации атаки передаваемый пакет UDP содержит неправильный формат служебных полей. При его получении некоторые старые версии сетевого ПО приводят к аварийному завершению системы.
8. Сканирование UDP-nopmoв. Атака заключается в следующем: на сканируемый компьютер передаётся UDP-пакет, адресованный к порту, который проверяется на предмет доступности. Если порт недоступен, то в ответ приходит ICMP-сообщение о его недоступности (destination port unreachable), в противном случае ответа нет. Противодействием данной атаке является передача сообщений о недоступности порта на компьютер злоумышленника.
9. Сканирование TCP-портов. Атака предназначена для распознавания конфигурации компьютера и доступных сервисов на компьютере-жертве – на каких TCP-портах работают демоны, отвечающие на запросы из сети. Существует несколько методов TCP-сканирования, часть из них называется скрытными (stealth) (используют уязвимости реализаций стека TCP/IP в большинстве ОС и не обнаруживаются стандартными средствами).
|
|
|
Обычная программа-сканер последовательно открывает соединения с различными портами. В случае, когда соединение устанавливается, программа сбрасывает его, сообщая номер порта злоумышленнику. Данный способ легко детектируется по сообщениям демонов, удивленных мгновенно прерванным после установки соединением, или с помощью использования специальных программ. Лучшие из таких программ обладают некоторыми попытками внести элементы искусственного интеллекта в отслеживание попыток соединения с различными портами.
Однако злоумышленник может воспользоваться другим методом – пассивным сканированием. При его использовании посылается. ТСРЛР SYN-пакет на все порты подряд (или по какому-то заданному алгоритму). Для TCP-портов, принимающих соединения извне, будет возвращен SYN/ACK-пакет. Остальные вернут RST-пакеты. Проанализировав данные ответа, злоумышленник может быстро понять, на каких портах работает программа. В ответ на SYN/ACK-пакеты он может также ответить RST-пакетами, показывая, что процесс установки соединения продолжен не будет (в общем случае RST-пакетами автоматически ответит TCP/IP-реализация злоумышленника, если он не предпримет специальных мер).
Метод просто не детектируется, поскольку реальное ТСР/IР-соединение не устанавливается. Однако можно отслеживать
• резко возросшее количество сессий, находящихся в состоянии SYN_RECEIVED (при условии, что злоумышленник не посылает в ответ RST);
• прием от клиента RST-пакета в ответ на SYN/ACK.
К сожалению, при достаточно умном поведении злоумышленника (например, сканирование с низкой скоростью или проверка лишь конкретных портов) выявить пассивное сканирование невозможно, поскольку оно ничем не отличается от обычных попыток установить соединение.
В качестве защиты можно лишь посоветовать закрыть на МЭ все сервисы, доступ к которым не требуется извне.
10. Атака smurf. Атака заключается в передаче в сеть широковещательных ICMP-запросов от имени компьютера-жертвы. Компьютеры, принявшие такие пакеты, отвечают компьютеру-жертве, что приводит к существенному снижение пропускной способности канала связи или к полной изоляции атакуемой сети. Распознавание атаки возможно при анализе загрузки канала и определении причины снижения пропускной способности.
|
|
|
11. Атака Land. Атака использует уязвимости реализаций стека TCP/IP в некоторых ОС и заключается в передаче на открытый порт компьютера-жертвы TCP-пакета с установленным флагом SYN, причем исходный адрес и порт такого пакета соответственно равны адресу и порту атакуемого компьютера. Компьютер-жертва пытается установить соединение сам с собой, в результате чего сильно возрастает загрузка процессора и может произойти "подвисание" или перезагрузка. Атака эффективна на некоторых моделях маршрутизаторов фирмы Cisco Systems. Защитой от атаки является установка пакетного фильтра между внутренней сетью и Internet с правилом фильтрации, указывающим подавлять пришедшие из Internet пакеты с исходными IP-адресами компьютеров внутренней сети.
12. Некоторыми конкретными примерами атаки "отказ в обслуживании" (DoS) являются следующие реализации:
• arnudp 100.c, состоящая в подделке IP-адреса в UDP-пакете (действует на портах с номерами 7,13,19 и 37);
• cbcb.c (Cancelbot), представляющая собой утилиту на языке Си; поражающую выбранные пользователем телеконференции (Usenet news);
• win95ping.c, созданная как утилита на языке Си и известная в виде двух версий – для Linux и BSD4.4.
Средства обнаружения атак DoS в Internet можно найти по многим адресам, среди которых наиболее известны ссылки MCI Security (http://www.security.mci.net/dosalert.html); продукты компании ANS Communications (http://www.ans.net/whatneed/security/security.html); программа Berkley Software Design, Inc. (http://www.bsdi.com/press/19961002.html); информация по предотвращению DoS-атак от Cisco (http://www.cisco.com/warp/public/l 46/917_security.html).
В заключение данного раздела перечислим несколько утилит, которые помогут обнаруживать описанные здесь атаки:
• L5 – сканирует директории Unix и DOS, записывая информацию о файлах и выявляя изменения в файлах и их размерах, а также давая информацию о файлах в закрытых областях;
|
|
|
• Clog – выявляет атаки злоумышленников извне, когда они пытаются найти "дыры" в системе, удаленно сканируя их;
• LogCheck – анализирует log-файлы для выявления атак, связанных с подбором пароля;
• Netlog – "прослушивает" TCP/IP-соединения (это sniffer);
• DumpACL – представляет собой утилиту для Windows NT, преобразующую информацию об управлении доступом в "читаемый" вид.
2.5. Сетевые вирусы в интрасетях
Существуют сетевые вирусы [26] - самостоятельно размножающиеся и распространяющиеся злонамеренные программные продукты. Они могут затронуть как сетевую и системную информацию, так и информацию пользователей в интрасети.
Специалисты выделяют следующие пути проникновения вирусов в сети: через дискеты (около 37 % всех вирусов); через приложения к электронным письмам (около 36 %); некоторыми неизвестными способами (около 9 %); простой загрузкой файлов из Internet (около 7 %); просмотром Web-страниц (около 5 %). Оставшиеся 6 % приходятся на другие причины [27]. Часто вирусы могут попасть и через систему телеконференций (через Usenet) при получении ответных сообщений и файлов, так как послать сообщение в этом сервисе можно относительно анонимно.
Наличие компьютерных вирусов в пространстве Internet может серьезно осложнить жизнь системным администраторам. Поэтому не следует списывать со счетов вероятность атаки сетевыми вирусами только из-за отсутствия информации о существовании таковых. Действительно, сетевые вирусы в пространстве Internet встречаются нечасто. Это связано прежде всего со сложностью написания программного продукта, использующего, как правило, далеко не тривиальные и не очевидные способы атаки internet-узлов. На писать сетевой вирус может только высококвалифицированный специалист, обладающий незаурядными познаниями в сетевой архитектуре и низкоуровневом программировании. Как правило, специалисты такого плана имеют гораздо более привлекательные способы выражения своего таланта чем написание вредноносных программ, но тем не менее иногда зло, умноженное на программистский гений, вырывается наружу.
Наиболее известным случаем массового заражения компьютеров Internet, повлекшим за собой тяжелые последствия, является чрезвычайное происшествие 2 ноября 1988 г., когда тысячи компьютеров практически вышли из строя в результате распространения вируса ("червя", WORM) Морриса, который представлял собой сложную 60-килобайтную программу, написанную на языке Си. Программа работала на нескольких различных, хотя и сходных, операционных системах: BSD-Unix, VAX. SunOS. Обосновавшись на одном компьютере, вирус пытался заразить все другие ПК, подключенные к данному. Сначала он пытался обнаружить следующую жертву путем попыток установления соединения сервисами Telnet или SMTP или Rexec. Если на другом конце соединения обнаруживался компьютер, то вирус пытался заразить его собой одним из трех способов. В случае доверительных отношений между уже зараженным компьютером и новой жертвой, заражение происходило при помощи стандартных команд командного процессора Борна rch. В случае отсутствия подобных отношений происходило заражение с помощью утилит fingerd или sendmail.
|
|
|
Для заражения с помощью утилиты fingerd использовалась запись 536 байтов данных в буфер ввода этой утилиты. При переполнении буфера код возврата из утилиты оказывался равным инструкции на выполнение кода вируса. Для заражения с помощью команды sendmail использовалась опция debug этой команды, предназначенная для отладки. С ее помощью в компьютер-жертву вводились команды, приводящие к копированию вируса на ПК. После проникновения на компьютер-жертву вирус находил файл паролей Unix и пытался разгадать пароли привилегированных пользователей компьютера. В вирусе имелось несколько алгоритмов разбиения паролей. Один из них пытался подобрать пароль, используя различные производные от имен пользователей, другой имел встроенную таблицу из 432 наиболее употребительных паролей, третий подбирал пароль методом перебора символов. Для ускорения процесса разбиения паролей вирус запускал несколько параллельно работающих процессов. Получив пароли всех пользователей, вирус пытался их использовать для захвата следующих компьютеров. За короткое время своего существования (не более суток) вирус неограниченно размножился и парализовал своей работой большинство крупных компьютерных комплексов США, подключенных к Internet.
16 октября 1989 г. в Internet появилось сообщение об атаке сети SPAN систем VAX/VMS сетевым "червем" W.COM. Этот вирус поражал только операционные системы VMS фирмы DEC и распространялся по сетям, использующим протоколы семейства DECnet. Сети TCP/IP не были подвергнуты угрозе заражения, однако могли служить транспортной средой для распространения вируса в случае передачи по сетям TCP/IP инкапсулированных пакетов DECnet.
Червь W.COM модифицировал выполняемые файлы путем добавления в них своего кода, приводящего к выдаче на экран угроз разработчикам ядерного оружия. Для своего размножения червь искал в сети пользователей без пароля или с паролем, совпадающим с именем пользователя. При нахождении такого пользователя червь запускался от его имени и модифицировал новые файлы.
Наихудшие последствия имели случаи, когда червь выполнялся от имени привилегированного пользователя. В этом случае он создавал новых пользователей и модифицировал пароли существующих пользователей, т.е. создавал условия для своей инициализации в будущем. Проникновение в другие системы осуществлялось путем случайного перебора сетевых адресов и доступа от имени активных пользователей в удаленные системы.
Часто вирусы в Internet маскируются под zip- или иначе сжатые файлы. Показателен случай 1995 г., когда можно было списать файлы pkz300B.exe или pkz300B.zip. При их запуске или разархивировании активизировались самораскрывающиеся архивы, вызывающие переформатирование жесткого диска.
Меньше всего, по оценкам специалистов, вирусным атакам подвергается Unix – известна только исследовательская атака AT&T Virus Attack. Причина этого заключается в ограничениях на управление доступом. Для Linux в Internet уже был обнаружен вирус Bliss.
В 1999 г. отмечено появление нового макровируса. Он похищает ключи системы шифрования PGP. PGP, или Pretty Good Privacy, является стандартом Internet де-факто в области шифрования. Широко распространено мнение о непреодолимости этой системы защиты. Однако новый вирус Caligula может поколебать ее репутацию. Он принадлежит к новейшему классу, который некоторые специалисты называют вирусами-шпионами. Эти вирусы создаются с целью похищения информации, хранимой на чужих компьютерах. Caligula попадает на ПК вместе с зараженным документом в формате Microsoft Word. Оказавшись на новом ПК, этот макровирус проверяет, не установлена ли на ней копия ПО PGP. В случае успешного обнаружения такой системы используемые в ней закрытые ключи к шифрам с открытым и закрытым ключами – важнейший с точки зрения безопасности зашифрованных с использованием алгоритма PGP данных компонент – будет скопирован потихоньку на один из серверов FTP в Internet, Более подробно с новыми "разработками" компьютерных хулиганов можно ознакомиться в вирусном бюллетене (http://www.virusbtn.com) и по публикациям организации CIAC (http://ciac.llnl.gov/ciac/ClACVirusDatabase.html).
Защитой от сетевых вирусов являются различные антивирусные комплексы и программы – это сканеры, ревизоры, резидентные сторожи и вакцины [28]. Антивирусные комплексы должны защищать от проникновения вирусов интрасеть в целом, отдельные рабочие станции, серверы группового ПО, Web-узел, флоппи-дисководы, распределенные вычисления и т.п.
Для борьбы с вирусами часто оказывается достаточно элементарных мер, а регулярное использование программ сканирования почти полностью устраняет вероятность заражения. Разработкой именно таких антивирусов занимаются, например, фирма Integralis Ltd. (почтовый маршрутизатор-посредник MIME-Sweeper [29], который обезвреживает "почтовые бомбы", вылавливает вирусы, ограничивает трафик и контролирует модификацию cookie-файлов). MIME (Multipurpose Internet Mail Extension) используется для отправки электронной почтой любой информации, отличной от обычного текста: таким образом можно в теле сообщения переслать выполняемую программу - "бомбу". Эти специально создаваемые антивирусные системы обнаруживают вирусы, загруженные из WWW или замаскированные в электронной почте, и обеспечивают защиту от макровирусов. Аппаратное средство защиты MIME-Sweeper может одновременно "вылавливать" вирусы из файлов, присоединенных к почтовым сообщениям, до их доставки к месту назначения и ограничивать трафик для определенных пользователей или конечных доменов в Internet по специальному списку.
Компания Calluna pic., специализирующаяся на производстве аппаратных средств безопасности для ПК, по соглашению с московским представительством DC-Hadler Networks в 1999 г. начала поставки в Россию платы для ПК "Hardwall", предназначенной для защиты информации от вирусов и злоумышленников. Hardwall создает индивидуальное аппаратное заграждение для пользователя Internet, при этом Hardwall ограничивает область диска, в которой могут производиться постоянные изменения, до одного сектора, выбранного пользователем (активный сектор). Выявляется вирус, который попытается проникнуть и навредить за пределами этой области. Hardwall ограничивает повреждения и предупреждает пользователей о попытках взломать защиту. По заявлению разработчиков, Hardwall – это идеальное устройство локализации повреждений для банковских приложений, где ПК также подключен к Internet. Оно может предотвратить кражу банковской информации и использование вирусов-червей для кражи средств с банковских счетов. После того как выбран сектор для работы с Internet, сектор банковских операций становится скрытым, и наоборот. Когда выбран сектор Internet, все остальные сектора становятся невидимыми, так что взломщик не сможет обнаружить хранящиеся там важные данные. Если все-таки из Internet проник вирус, он будет "изолирован" и вычищен с помощью собственного антивирусного ПО.
Ниже представим несколько замечаний о критериях выбора антивирусных программ [30]. Сформулировать их не просто. Часто в качестве одного из критериев используется количество вирусов и псевдовирусов, обнаруженных сканером: чем больше, тем лучше. При таком подходе на протяжении всего времени эксплуатации придется модернизировать ПО сканера. Существенным недостатком данного метода является то, что сканеры ищут вирусы, уже проникшие на компьютеры и заразившие (а иногда и уничтожившие) файлы пользователя. Следует отметить и такой фактор, как скорость сканирования - необходимость проверки файла на все типы вирусов вынуждает разработчиков использовать множество методов поиска, что затягивает процедуру. Как отмечалось в журнале "Software Digest", проводившем в 1995 г. сравнение десяти основных антивирусных программ для сетей NetWare, "если время, необходимое для выявления инфекции, превосходит время, требующееся для восстановления данных после вирусной атаки, высока вероятность, что пользователь прекратит работу антивирусного ПО, остановив процедуру сканирования". Наконец, работа сканера требует от пользователя запуска, а значит, изучения документации и способов работы с программой.
По мере того, как за компьютеры садится все больше людей, не имеющих специальной подготовки, все более актуальными становятся возможность самостоятельной и постоянной работы антивирусного ПО в фоновом режиме незаметно для пользователя и контроль любой подозрительной активности. Это позволяет автоматически перехватить вирусы еще до того, как они проникнут в компьютер и уничтожат данные.
Только функционально полный антивирусный продукт, созданный на основе таких современных технологий, как сканирование, он-лайновый мониторинг, эвристический анализ, контроль подозрительного поведения, проверка целостности программ и файлов, разнообразные методы обнаружения неизвестных вирусов и вирусов-невидимок, в совокупности с разумной идеологией обновления действительно не дадут вирусу доступа к компьютерной системе.
Еще один критерий выбора - репутация программы. Независимая организация Ассоциация компьютерной безопасности США (International Computer Security Association, ICSA, http://www.icsa.net) проводит сертификацию антивирусного ПО. Список сертифицированных продуктов открыт и постоянно пополняется. Что же означает наличие сертификата? Известно, что существует более 15000 вирусов для IBM-совместимых компьютеров, но только около 200 из них (принадлежащих к категории in the wild) по-настоящему активны и широко распространены в компьютерном мире. Схема сертификации, используемая ICSA, требует от продукта способности обнаруживать 100 % вирусов из верхней части списка (in the wild) и, как минимум, 90 % более чем из 8000 других известных вирусов, входящих в коллекцию ICSA (Zoo). Процедура сертификации осуществляется без участия разработчиков, при этом программы запускаются в режиме по умолчанию (как это сделал бы пользователь, не утруждающий себя чтением документации), т.е. без использования особо изощренных средств обнаружения вирусов. Таким образом, при прочих равных условиях сертифицированное ПО имеет больше шансов обнаружить вирус и предотвратить заражение, нежели любое другое.
Также важна и многоплатформенность, т.е. способность поддержки рабочих станций, функционирующих под управлением разных операционных систем. Windows 95, несмотря на ее 32-разрядность, не имеет защиты на уровне файловой системы. Это означает, что в сети один зараженный компьютер может явиться источником инфекции для всех остальных. Что касается Windows NT, то несмотря на наличие всего одного "настоящего" NT-вируса, эта ОС не может рассматриваться как полностью защищенная. Во-первых, остается возможность заражения MBR-вирусами при загрузке с дискеты. Такие вирусы, как Michelangelo и One-Half, могут серьезно повредить саму ОС Windows NT. Во-вторых, многие DOS-вирусы неплохо себя чувствуют в DOS-окне Windows NT. B-третьих, большинство Windows З.х-вирусов работает также и в среде Windows NT. Это касается и макровирусов.
Простота внедрения и удобство эксплуатации связаны, как правило, со следующими вопросами: насколько сложна процедура установки, хороши ли документация и пользовательский интерфейс, имеются ли сетевые средства централизованного администрирования и авторизации доступа к конфигурированию антивирусной системы и пр.
На Web-сервере ICSA приведен список сертифицированных продуктов и соответствующих ссылок на Web-серверы производителей. В их числе: Cheyenne (InocuLAN), Command (F-PROT, PROT), EliaShim (ViruSafe), IBM (AntiVirus), Intel (LANDesk Virus Protect), Network Associates (NetShield, VirusScan), S&S (Dr. Jolomon's AntiVirus ToolKit), Symantec (Norton AntiVirus), ThunderByte (Thunder Byte AntiVirus) и Trend Micro (Pccillin). Ha российском компьютерном рынке сегодня продаются продукты четырех из вышеперечисленных компаний: Network Associates (до слияния нескольких компаний разработками владела компания McAfee), S&S, EliaShim и Symantec.
Некоторые из этих антивирусов, а также отечественных разработок подробно рассмотрены в Приложении 6. Выбрать наиболее подходящий продукт нелегко. В какой-то мере это связано с тем, что существует три категории антивирусных средств со своими критериями оценки. Речь идет о ПО для конечных пользователей, технических специалистов и сетевых администраторов. Если вы четко определите сферу применения, то выбор значительно упростится. Программа для конечного пользователя должна быть удобной, легко осваиваться, инсталлироваться и иметь изящный интерфейс. Из рассмотренных программ этим критериям в наибольшей степени соответствует, пожалуй, Norton AntiVirus. Техническим специалистам нужен в первую очередь хороший сканер, который способен очень часто обновлять таблицы вирусных сигнатур. Дело в том, что при возникновении любой проблемы техническому персоналу бывает важно прежде всего выяснить, не связана ли она с действиями вирусов. Вот почему им необходим инструментальный набор, реализующий самые передовые сканерные технологии. Здесь сильные позиции у продукта Dr. Solomon's AntiVirus Tool Kit. Администраторам важно, чтобы ПО предъявляло минимальные требования к системным ресурсам сервера и рабочей станции, не нуждалось в активном взаимодействии с пользователем и осуществляло он-лайновый мониторинг с эвристическим анализом, позволяющий в реальном масштабе времени защищать от всех известных и даже неизвестных вирусов. Для этой категории специалистов предпочтительней продукт ViruSafe. Разумеется, это идеальные варианты, весьма вероятно, что кому-то необходим продукт, сочетающий качества средств разных категорий (например, ПО фирмы McAfee).
Хорошим примером многоплатформенного антивируса является разработка LANdesk Virus Protect 5.0 корпорации Intel. Этот продукт обеспечивает защиту сети от вирусов с единым экраном и позволяет сетевым администраторам просматривать, конфигурировать и управлять логическими доменами в сетях с одновременно используемыми различными ОС – Netware, Windows NT, клиентами DOS или Windows
Интересен сканирующий антивирусный Internet-шлюз InterScan VirusWall производства Trend Micro (http://www.antivirus.com). Это ПО, которое не требует для своей работы вмешательства конечного пользователя, детектирует, а затем блокирует, удаляет или изолирует потенциально опасные сообщения электронной почты. Он, в частности, не позволяет проникать на ПК пользователей опасным почтовым сообщениям с присоединенными файлами, которые могут вывести из строя сам ПК или разрушить хранящиеся в нем данные. Опасность здесь усугубляется еще тем, что для начала разрушительных действий не нужно даже и открывать этот присоединенный файл Опасный код встраивается в "теги" в самом сообщении электронной почты. Администрирование InterScan VirusWall не требует привлечения конечных пользователей, сканирование производится автоматически в реальном времени. Системный администратор может выбрать удобный для него вариант предупредительных сообщений, в число которых входит отправка сигналов тревоги самому администратору, адресату и отправителю. Потенциально опасные файлы могут удаляться или изолироваться. Также проверяется передача ftp, сжатые или закодированные в форматах PKZip или uuencode файлы. Российские антивирусные средства представлены на рынке следующими разработками:
• антивирусная программа Adinf (ДиалогНаука);
• антивирусная программа Aidstest (ДиалогНаука);
• антивирусная программа Dr. Web (ДиалогНаука);
• аппаратно-программный комплекс антивирусной защиты Sheriff (ДиалогНаука);
• интегрированная антивирусная система Antiviral Toolkit Pro (Лаборатория Е. Касперского).
Только последняя программа предназначена для работы в сетевом режиме. Правда, с начала 1998 г. фирма ДиалогНаука предоставляет пользователям Internet возможность удаленной проверки файлов, пересылаемых фирме через Internet, последними версиями программ Dr.Web и Aidstest. Результаты тестирования также передаются владельцам через Internet.
Говоря о средствах защиты от компьютерных вирусов, нельзя обойти вопрос средств обнаружения специального класса вредоносных программ – "троянских коней" (программ, содержащих дополнительные скрытые функции, с помощью которых используются законные полномочия субъекта для осуществления НСД к информации). Этот класс средств после выявления факта атаки обеспечивает проверку целостности файловой системы и в первую очередь конфигурационных файлов и системных демонов.
Для Microsoft-платформ функции выявления "троянских коней" выполняют обычные сканеры вирусов. Для Unix-платформ разработан ряд специальных программ. К ним относятся следующие средства:
1) программа Trip Wire, основанная на MD5, MD4, CRC32, MD2, Snefru (Xerox secure hash function), SHA (MIST secure hash algorithm). Во время работы создается БД атрибутов файлов, которая в целях защиты размещается в среде только для чтения (ftp://coast.cs.purdue.edu/pub/tools/unix/tripwire);
2) программа ТAMU (Texas A&M University) включает защиту от фильтрации drawbridge; защиту частных хостов с цифровой подписью tiger scripts; монитор для распределенных сетей xvefc (ftp://coast.cs.purdue.edu/pub/tools/unix/TAMU);
3) программа ATP (Anti-Tampering Program), основанная на CRC32, MD5. БД атрибутов файлов шифруется с помощью DES;
4) программа Hobgoblin (ftp://frebsd.cdrom.com/).
2.6. Атаки, основанные на ошибках при программировании
Атаки класса "buffer-overflow exploits" [31] - общее название программ, которые для прорыва в систему и/или для получения привилегий суперпользователя используют неточности в контроле размеров строк и буферов. Эта технология сегодня используется все чаще и требует для борьбы с ней понимания работы системы и навыков программирования, лишний раз показывая, что культура программирования - вопрос не только стиля, но и безопасности. Именно ошибка переполнения буфера была использована при распространении червя Морриса. При программировании на Си или Паскале можно столкнуться с ошибками типа "Memory fault – core dumped" или "General Protection Fault". Как правило, они связаны с тем, что программа попыталась получить доступ к не принадлежащей ей области памяти. Это случается, если программист забыл, например, проверить размеры строки, заносимой в буфер, и остаток строки попал в какие-то другие данные или даже в код. В защищенном режиме программа-монитор или ядро ОС может контролировать попытки доступа к "чужой памяти" и завершать нарушившую правила программу. Одни операционные системы делают это лучше - Unix, другие оболочки - хуже (Windows), а такие, как MS-DOS, не умеют ничего подобного и зависают.
|
|
|
