Віруси як засіб атаки на КС
Торкнемось до ще однієї винятково важливої сучасної та актуальної проблеми, що має безпосереднє відношення до інформаційної безпеки як специфічна загроза. Це проблема вірусів.
Результати досліджень по комп’ютерним вірусам не оптимістичні: вірусна проблема загострюється з кожним днем. В 1999 році на кожну тисячу комп’ютерів кожного місяця реєструвалося в середньому біля 10 випадків зараження вірусами. З тих пір, за результатами опитування ICSA Labs 300 великих підприємств, кожного року інтенсивність заражень зростає приблизно у двічі.
Станом на початок 1999 року мало місце 80 випадків на місяць. Таким чином, майже кожен десятий комп’ютер в середньому раз на місяць заражається вірусами. За оцінками американського інституту досліджень Computer Economics випадки зараження вірусами тільки в першому півріччі 1999 року обійшлося світовій економіці приблизно в $7,6 млрд (включаючи витрати на антивірусне програмне забезпечення).
Все важче стає справлятися з новими вірусами, які з’являються в кількості 500 – 800 штук на місяць. Нема нічого дивного в тому, що розробники антивірусного ПЗ об’єднують свої зусилля. Компанія Network Associates (NAI), розробник антивірусної програми McAfeeSoftware, поглинула свого конкурента Dr. Solomon. Компанія Symantec, яка займає разом з Norton Antivirus друге місце в антивірусному бізнесі, володіє антивірусними рішеннями IBM. Норвезька фірма Norman Data Defense придбала голландську компанію Thunderbyte.
В теперішній час розроблено достатня кількість антивірусних програм, що доступні для домашніх та корпоративних користувачів.
Таким чином, швидкість розповсюдження вірусів невпинно зростає, з’являються їх нові різновиди, вони все активніше проникають до Internet, а ринок антивірусного програмного забезпечення стає все більш динамічнішим.
Експерти нараховують близько 50 тисяч екземплярів. Однак ця кількість залежить від того, як рахувати родинні та дуже подібні екземпляри. Саме тому порівняно якісні антивірусні програми-сканери можуть визначати різну кількість вірусів. Нажаль, жодна компанія, що розробляє антивірусне ПЗ, не має у своїй добірці усіх відомих вірусів.
Перший прототип сучасних вірусів був створений в лабораторії Xerox ще в 60-ті роки. Це була програма, яка «мандрувала» по мережі та перевіряла працездатність підключених до мережі обчислювальних пристроїв.
3 листопада 1983 року Фредерик Коен (Frederick Cohen) так вдало продемонстрував своє «розмножувальне програмне рішення» на комп’ютері університету в Південній Кароліні, що був позбавлений можливості працювати на ньому. Його науковий керівник запропонував назву «вірус» за аналогією з біологічними вірусами. Перший DOS-вірус, Brain, з’явився в 1986 році в Пакистані. В науково-художній літературі ця ідея виникла ще в 1972 році.
Раніше віруси найчастіше програмувалися на машинно-орієнтованій мові Assembler, зараз – на мовах більш вищого рівня, наприклад С. Завдяки макромовам, таким як VBA, програмування вірусів ще більш спрощується.
Важко дати загальне і всеохоплююче визначення поняття «комп’ютерний вірус». У деякому наближенні можна вважати, що комп’ютерні віруси – це програми-«паразити», які можуть включати себе до інших програм та файлів («заражати» їх ). Саме ця обставина і дає можливість вірусам розмножуватися і поширюватися. Людина, яка використовує заражену програму або файл, може й гадки не мати, що ця програма містить вірус.
Законодавство більшості країн передбачає за створення вірусів адміністративну, цивільну і кримінальну відповідальність. Віруси, як і інші програми, можуть виконувати практично будь-які дії. Деякі віруси не приносять майже ніякої шкоди, а лише розмножуються. Інші, порівняно безпечні віруси, видають на екран відволікаючі повідомлення. Однак існують шкідливі віруси, які спричиняють «зависання» програм (припинення роботи програм) або несподівані перезавантаження комп’ютера. Нарешті, найнебезпечніші віруси можуть псувати або знищувати інформацію, яка зберігається на дисках.
Комп'ютерний вірус – це спеціально написана невелика за розмірами, складна, ретельно складена програма, що може «приписувати» себе до інших програм (тобто «заражати» їх), а також виконувати різні небажані дії на комп'ютері. Програма, усередині якої знаходиться вірус, називається «зараженою». Коли така програма починає роботу, то спочатку, як правило, керування одержує вірус. Вірус знаходить і «заражає» інші програми або виконує будь-які шкідливі функції: псує файли або таблицю розміщення файлів на диску, «засмічує» оперативну пам'ять, змінює адресацію звертань до зовнішніх пристроїв тощо. Більш того, заражені програми можуть бути перенесені на інший комп'ютер за допомогою дискет або локальної мережі.
Умовно віруси можна поділяють на класи за наступними ознаками:
· середовище проживання;
· операційна система (OC);
· особливості алгоритму роботи;
· деструктивні можливості.
Засередовищем проживання віруси можна поділити на:
· файлові (або різними способами впроваджуються у виконувані файли (найбільш розповсюджений тип вірусів), або створюють файли-двійники (компаньйон-віруси), або використовують особливості організації файлової системи (link-віруси));
· завантажувальні (записують себе або в завантажувальний сектор диска (boot-сектор), або в сектор, що містить системний завантажник вінчестера (Master Boot Record), або змінюють показник на активний boot-сектор);
· макро (заражають файли-документи й електронні таблиці декількох популярних редакторів);
· мережеві (використовують для свого поширення протоколи або команди комп'ютерних мереж і електронної пошти).
Існує велика кількість їх комбінацій, наприклад, файлово-завантажувальні віруси, що заражають як файли, так і завантажувальні сектори дисків. Такі віруси, як правило, мають досить складний алгоритм роботи, часто застосовують оригінальні методи проникнення в систему, використовують стелс і полиморфик-технології. Інший приклад такого сполучення – мережний макро-вірус, що не тільки заражає документи, що редагуються, але і розсилає свої копії електронною поштою.
За операційною системою, що заражається (точніше, ОС, об'єкти якої піддані зараженню). Кожен файловий або мережевий вірус заражає файли якої-небудь однієї або декількох OS - DOS, Windows, Win95/NT, OS/2 тощо. Макро-віруси заражають файли форматів Word, Excel, Office97. Завантажувальні віруси також орієнтовані на конкретні формати розташування системних даних у завантажувальних секторах дисків.
Серед особливостей алгоритму роботи вірусів виділяються наступні пункти:
· резидентність (при інфікуванні комп'ютера залишає в оперативній пам'яті свою резидентну частину, що потім перехоплює звертання операційної системи до об'єктів зараження і впроваджується в них);
· використання стелс-алгоритмів (дозволяє вірусам цілком або частково сховати себе в системі. Найбільш розповсюдженим стелс-алгоритмом є перехоплення запитів OC на читання/запис заражених об'єктів. Стелс-віруси при цьому або тимчасово лікують їх, або «підставляють» замість себе незаражені ділянки інформації);
· самошифрування і поліморфічність (використовуються практично всіма типами вірусів для того, щоб максимально ускладнити процедуру детектування вірусу). Полиморфні віруси (polymorphic) – це віруси, які досить важко знайти, вони не мають сигнатур, тобто не утримують жодної постійної ділянки коду. У більшості випадків два зразки того самого полиморфік-вірусу не будуть мати жодного збігу. Це досягається шифруванням основного тіла вірусу і модифікаціями програми-розшифровувача);
· використання нестандартних прийомів (використовуються у вірусах для того, щоб якнайглибше сховати себе в ядрі OC, захистити від виявлення свою резидентну копію, ускладнити лікування від вірусу (наприклад, помістивши свою копію в Flash-BIOS) і т.п.
За деструктивними можливостями віруси можна поділити на:
· нешкідливі, тобто що ніяк не впливають на роботу комп'ютера (крім зменшення вільної пам'яті на диску в результаті свого поширення);
· безпечні, вплив яких обмежується зменшенням вільної пам'яті на диску і графічними, звуковими й ін. ефектами;
· небезпечні віруси, що можуть призвести до серйозних збоїв у роботі комп'ютера;
· дуже небезпечні, в алгоритм роботи яких свідомо закладені процедури, що можуть привести до втрати програм, знищити дані, стерти необхідну для роботи комп'ютера інформацію, записану в системних областях пам'яті, і навіть, як говорить одна з неперевірених комп'ютерних легенд, сприяти швидкому зносу частин механізмів, що рухаються – вводити в резонанс і руйнувати голівки деяких типів вінчестерів.
Є багато і інших класифікацій, які ураховують дяекі інші ознаки. Наприклад, подамо наступну класифікацію.
За середовищем розповсюдження– віруси поділяються на DOS, Windows, OS/2, MACOS, Unix, та інші. Тобто цей розподіл обумовлений використанням того чи іншого операційного середовища.
За способом маскування– віруси розділяються на видимі та невидимі. Невидимі віруси запобігають своєму виявленню шляхом перегляду файлів. Видимі віруси не маскують свої файли.
За способом інфікування– віруси можуть бути резидентними, тобто такими, що постійно містяться в оперативній пам'яті, та нерезидентними, що потрапляють у пам'ять лише при запуску певної програми і зникають з пам'яті після того, як ця програма закінчує свою дію.
За об'єктами, що інфікуються– віруси можуть бути файловими, завантажувальними та файлово-завантажувальними. Файлові вірусиможуть проникати в інші типи файлів, проте, як правило, записані в таких файлах, вони ніколи не отримують управління і не можуть саморозмножитися. Завантажувальні вірусипроникають в завантажувальний сектор диску (boot-сектор) або в сектор, що містить программу завантаження системного диску (Master Boot Record). Файлово-завантажувальні вірусиінфікують як файли, так і завантажувальні сектори дисків.
За способом розміщення в середині інфікованого об'єкту– віруси можуть бути супроводжувальними, включеними та перекриваючими. Супроводжувальні віруси «приклеїваються» або спереду або ззаду коду виконання корисних програм. Для цього вони створюють додатковий файл, який має таку саму назву, що і корисна програма, але відрізняється розширенням. В середині цього файлу код виконання вірусної програми записується або попереду, або позаду коду виконання корисної програми. Після цього попередній файл корисної програми знищується.
Включені вірусивміщують свій код виконання в середину коду виконання корисної програми. Свій власний код віруси розподіляють на велику кількість маленьких шматочків, що «розкидані» в середині коду виконання корисної програми. Перекриваючи вірусні програмизаписують власний код виконання зверху коду виконання корисної програми. При цьому корисна програма псується безповоротньо. Тобто «вилікувати» програму, що заражена таким типом вірусу уже практично неможливо.
За дією руйнуваннявіруси розподіляються на нешкідливі (вони не завдають ніякої шкоди, не рахуючи «засмічування» оперативної пам'яті), безпечні (вони не псують комп'ютерну інформацію, але створюють незручності для користувача), небезпечні (вони знищують або перейменовують файли, викликають відмову в обслуговуванні комп'ютерної техніки), особливо небезпечні (вони виконують дії, що приводять не тільки до втрати інформації, а до виводу комп'ютера з робочого стану).
За можливістю самозмінювання– розрізняють сигнатурні віруси (тобто ті, що мають певний виконавчий код) та поліморфні віруси (ті, що можуть самозмінювати власний виконавчий код за певними законами).
За стилем написання.Як і кожну іншу програму, вірус створює людина. Вірус може бути написаний як модифікація раніше відомого вірусу. Він може бути разовий або серійний. Серійні віруси на певній основі виконують подібні дії. Наприклад, в певний час грають певну мелодію. Як правило, над створенням серійних вірусів працює або конкретна людина, або цілий колектив. Автором вірусу може бути:
· психічно хвора людина (технопат);
· студент або школяр, що тільки-но отримали перші знання з програмування і не знають, як іх конструктивно застосовувати;
· співробітник, що вважає себе незаслужено ображеним;
· терорист, що діє з метою політичного або фізичного шантажу;
· висококваліфікований професіонал, що працює за домовленістю зі спецслужбами або військовою розвідкою; в останній час вірусні програми широко використовуються в сфері промислового шпіонажу.
Контрольні запитання
1. Основні причини порушень безпеки.
2. Класифікація вірусів.
3. Хто може бути автором вірусів?
Дата добавления: 2015-12-22; просмотров: 1081;