Лекція №14. ЗАХИСТ ІНФОРМАЦІЇ ВІД НЕСАНКЦІОНОВАНОГО ДОСТУПУ. Віруси як засіб атаки на КС
План
1. Основні ознаки дії вірусів.
2. Критерії якості антивірусної програми.
3. Класифікація антивірусних програм.
4. Методи захисту від вірусів.
5. Правила, що запобігають появі та поширенню комп’ютерних вірусів.
6. Дії при зараженні комп’ютерним вірусом.
Без сумніву, найголовнішею задачею користувача є виявлення та знешкодження вірусу. Як показує практика є багато ознак зараження вірусами комп’ютера і, звичайно, може здатися, що віруси легко виявити. Проте ці ознаки є лише певними зовнішніми проявами наявності вірусу, які іноді не мають відношення до справжніх дій вірусу, а іноді ці прояви можуть виникати зовсім з інших причин, навіть без вірусів. Звичайно, всі ознаки дуже важко зібрати та класифікувати, оскільки в кожному конкретному випадку вони можуть проявлятися по різному. Серед таких ознак зазначимо наступні:
· неможливість завантаження операційної системи;
· завершення роботи або неправильна робота раніше успішного функціонування програм;
· зміна дати та часу модифікації файлів;
· помітне зниження швидкодії комп'ютера;
· суттєве зменшення розміру оперативної пам’яті;
· зміна розширень файлів;
· зміна розмірів файлів;
· зникнення файлів та каталогів або перекручування їх змісту;
· несподіване збільшення кількості файлів на диску;
· поява несподіваних звукових ефектів;
· поява незвичайних повідомлень;
· порушення деяких секторів на диску;
· зациклювання при завантаженні;
· «осипання» літер на екрані;
· недоречне «зависання» або збої комп'ютера;
· при зверненні до дисководу з'являються повідомлення про необхідність зняття захисту з дискети, хоча такий захист не встановлювався;
· у певні дні місяця комп'ютер відмовляється працювати, а в усі інші працює без змін;
· при роботі зі звичною програмою відбувається одночасне звертання до дисководу, хоча цього не повинно відбуватися;
· частина файлів на диску раптово виявляється зашифрованою за допомогою невідомо якого методу шифрування;
· жорсткий диск комп'ютера форматується без відома користувача.
Ще раз зазначимо, що вищенаведені явища необов’язково можуть бути наслідком присутності вірусу, вони можуть бути наслідком якіхось інших причин. Отже, це підтверджує думку про труднощі з вірусною діагностикою стану комп’ютера. Взагалі, зважаючи на один з основних принципів захисту інформації – «усе, що незрозуміле – небезпечне», слід будь-які незвичайні явища при функціонуванні комп’ютера обов’язково зв’язувати з присутністю в ньому вірусів. Тобто можна сформулювати і в подальшому обов’язково використовувати наступний принцип: будь-що незвичайне в вашому комп’ютері – це вірус.
Схема дії вірусних програм полягає в наступному. Розглянемо схему функціонування завантажувального вірусу, який інфікує дискети. При включенні комп'ютера управління передається програмі початкового завантаження, яка зберігається в постійному запам'ятовуючому пристрої. Ця програма тестує пристрої комп'ютера, після чого намагається знайти дискету в дисководі. Якщо дискету не знайдено, програма початкового завантаження завантажує безпосередньо операційну систему і передає їй управління.
Тепер уявимо, що комп'ютер, що завантажується, інфіковано завантажувальним вірусом. Як і кожен інший вірус, завантажувальний вірус складається з двох основних частин: голови та хвоста. Голова вірусу містить частину коду, що дозволяє вірусу саморозмножуватись, а хвіст може містити частину коду, що викликає той чи інший візуальний ефект, або бути взагалі пустим.
Припустимо, що з дисководу забули витягнути системну дискету. Кожна дискета розмічена на сектори та доріжки. Серед секторів є декілька службових (що використовуються операційною системою для власних потреб), і, зокрема, сектор початкового завантажування (boot-sector). Цей сектор містить інформацію про дискету, а саме про кількість робочих областей, кількість доріжок, кількість секторів та ін. Як тільки вірус виявить дискету в дисководі, він повинен відпрацювати наступні дії:
1. Перевірити, чи захищена дискета від запису. Якщо захист таки є, вірус себе реалізувати неспроможний.
2. Вірус вибирає яку-небудь область на дискеті і помічає її як таку, що не доступна операційній системі. Це можна зробити, наприклад, помітивши обрані сектори як помилкові (bad).
3. Вірус копіює в обрану частину диску свій хвіст і справжній завантажувальний сектор.
4. Вірус заміняє програму початкового завантаження в справжньому завантажувальному секторі власною головою. Таким чином, голова вірусу перша отримує право управління і має змогу інфікувати комп'ютер при кожному новому завантаженні операційної системи.
Ця схема підходить для опису роботи практично кожного завантажувального вірусу, що працює з дискетами. Але є віруси, що інфікують і завантажувальні сектори вінчестерів. При завантаженні операційної системи з вінчестеру першою отримує право управління програма початкового завантаження в MBR (Master Boot Record – головний завантажувальний запис). Програма початкового завантаження знаходить завантажувальний (boot) розділ вінчестера і передає управління на програму початкового завантаження цього розділу. Таким чином, на вінчестері з'являються два можливі об'єкти атаки завантажувального комп'ютерного вірусу, а саме – програма початкового завантаження в MBR і програма початкового завантаження в бут-секторі завантажувального диску.
На відмінність від завантажувальних вірусів, файлові віруси можуть бути нерезидентними. Уявимо: файл, що виконується, інфіковано саме таким типом вірусу. Отже, при запуску такого файлу на виконання, управління передається коду корисної програми. Під час виконання даного коду вірус шукає собі «нову домівку», а саме – файл, що співпадає за розширенням з «батьківським». Обравши такий файл, вірус інфікує його. При цьому вірус просто приєднує свій виконавчий код до виконавчого коду корисної програми. Тобто, коли файл інфіковано таким типом вірусу, його початковий розмір змінюється.
Для захисту від вірусів можна використовувати:
· загальні засоби захисту інформації, що корисні також і як страховка від фізичного псування магнітних дисків, що неправильно працюють програми або помилкових дій користувачів;
· профілактичні заходи, що дозволяють зменшити імовірність зараження вірусом;
· спеціалізовані програми для захисту від вірусів.
Якість антивірусної програми визначається наступними критеріями:
· надійність і зручність роботи – відсутність «зависань» антивірусу й інших технічних проблем, що вимагають від користувача спеціальної підготовки;
· якість виявлення вірусів усіх розповсюджених типів, сканування усередині файлів-документів/таблиць (MS Word, Excel, Office97), упакованих і архівованих файлів. Відсутність «помилкових спрацьовувань». Можливість лікування заражених об'єктів. Для сканерів як наслідок, важливим є також періодичність появи нових версій, тобто швидкість настроювання сканера на нові віруси;
· існування версій антивірусу під усі популярні платформи (DOS, Windows, Windows95, Windows NT, Novell NetWare, OS/2, Alpha, Linux тощо.), присутність не тільки режиму «сканування по запиту», але і «постійне сканування», існування серверних версій з можливістю адміністрування мережі;
· швидкість роботи та інші корисні особливості і функції.
Надійність роботи антивірусу є найбільш важливим критерієм, оскільки навіть «абсолютний антивірус» може виявитися марним, якщо він буде не в змозі довести процес сканування до кінця – «зависне» і не перевірить частину дисків і файлів і, таким чином, залишить вірус непоміченим у системі. Якщо ж антивірус жадає від користувача спеціальних знань, то він також виявиться марним – більшість користувачів просто проігнорує повідомлення антивірусу і натисне [OK] або [Cancel] випадковим чином, залежно від того, до якої кнопки ближче знаходиться курсор миші в даний момент. Якщо антивірус буде надто часто задавати складні питання рядовому користувачу то, швидше за все, він (користувач) перестане запускати такий антивірус або навіть видалить його з диска.
Якість детектування. Будь-який найкращий за своїми можливостями антивірус буде марним, якщо він не в змозі ловити віруси або робить це не дуже якісно. Наприклад, якщо антивірус не детектує 100% якого-небудь поліморфного вірусу, то при зараженні системи цим вірусом такий антивірус знайде тільки частину (припустимо 99%) заражених на диску файлів. Невиявленими залишиться всього 1%, але коли вірус знову проникне в комп'ютер, то антивірус знову знайде 99%, але вже не від усіх файлів, а тільки від знову заражених. У результаті на диску буде 1,99% заражених файлів. І так само, поки усі файли на диску не будуть заражені при повному мовчанні антивірусу.
Багатоплатформенність антивірусу – програма, розрахована на конкретну операційну систему, може цілком використовувати функції цієї системи. «Нерідні» ж антивіруси часто виявляються непрацездатними, а іноді навіть руйнівними. Наприклад, вірус «OneHalf» вразить комп'ютер із установленими на ньому Windows 95 або Windows NT. Якщо для розшифровки диска (даний вірус шифрує сектори диска) скористатися DOS-антивірусом, то результат може виявитися жалюгідним: інформація на диску виявиться безнадійно зіпсованою, оскільки Windows 95/NT не дозволить антивірусу користуватися прямими викликами читання/запису секторів при розшифровці секторів. Антивірус, який є Windows-програмою, справляється з цією задачею без проблем.
Можливість «постійної перевірки» файлів також є досить важливою рисою антивірусу. Моментальна і примусова перевірка прихожих на комп'ютер файлів і дискет, що вставляються, є практично 100% гарантією від зараження вірусом, якщо, звичайно, антивірус здатний знайти цей вірус. Дуже корисними є антивіруси, що здатні постійно стежити за серверами – Novell NetWare, Windows NT, а останнім часом, після масового поширення макро-вирусів, і за поштовими серверами, скануючи вхідну/вихідну пошту. Якщо ж у серверному варіанті антивірусу присутні можливість антивірусного адміністрування мережі, то його цінність ще більше зростає.
Наступним за важливістю критерієм є швидкість роботи. Якщо на повну перевірку комп'ютера потрібно кілька годин, то навряд чи більшість користувачів будуть запускати його досить часто. При цьому повільна швидкість роботи антивірусу зовсім не говорить про те, що він ловить вірусів більше і робить це краще, ніж більш швидкий антивірус. У різних антивірусах використовуються різні алгоритми пошуку вірусів, один алгоритм може виявитися більш швидким і якісним, інший – повільним і менш якісним. Усе залежить від здібностей і професіоналізму розроблювачів конкретного антивірусу.
Для того, щоб позбавити комп'ютер від вірусів, необхідно виявити та знешкодити вірусні програми та «вилікувати» корисні програми, що були інфіковані. Це зробити досить-таки важко. По-перше, віруси намагаються зробити себе «невидимими», тобто при звернені до частин диска, де знаходяться вірусні програми висвітлюється інформація, що відповідає стану диска до моменту зараження. По-друге, деякі віруси самомодифікуються, тобто вони постійно змінюють власний код виконання. Таким чином, для вирішення проблеми виявлення програм, що заражені, а також для знешкодження програм-вірусів, необхідно використовувати спеціальні антивірусні програми, які можна поділити на кілька видів:
· програми-детектори дозволяють знайти файли, заражені вірусом. Робота детектора ґрунтується на пошуку ділянки коду, що належить тому або іншому відомому вірусові. Найбільш відомими детекторами є DRWEB, Norton Antivirus, AVP;
· програми-доктори (або фаги) «лікують» заражені програми або диски, знищуючи тіло вірусу. При цьому в ряді випадків ваша інформація може бути загублена, тому що деякі віруси настільки спотворюють середовище «проживання», що її вихідний стан не може бути відновлено. Широко відомими програмами-докторами є AVP, DRWEB, Norton Antivirus;
· програми-ревізори спочатку запам'ятовують інформацію про стан програм і системних областей дисків, а надалі порівнюють їхній стан з вихідним. При виявленні невідповідностей видають повідомлення користувачу. Робота цих програм заснована на перевірці цілісності (незмінності) файлів шляхом підрахунку контрольної суми і її порівняння з еталонної, обчисленої при першому запуску ревізора; можливо також використання контрольних сум, що включаються до складу програмних файлів виробниками. Можуть бути створені віруси, що не змінюють при зараженні контрольну суму, пораховану традиційним образом – підсумовуванням усіх байтів файлу, однак практично неможливо замаскувати модифікацію файлу, якщо підрахунок ведеться по довільній, заздалегідь невідомій схемі (наприклад, парні байти додатково збільшуються на 2), і зовсім неймовірно при використанні двох (або більш) по-різному порахованих сум. До широко розповсюджених програм-ревізорів відносяться Adinf, AVP Inspector;
· доктори-ревізори – це програми, що поєднують властивості ревізорів і фагів, що здатні знайти зміни у файлах і системних областях дисків і при необхідності, у випадку патологічних змін, можуть автоматично повернути файл у вихідний стан. До широко розповсюджених докторів-ревізорів відносяться Adinf, AVP Inspector;
· програми-фільтри розташовуються резидентно в оперативній пам'яті комп'ютера, перехоплюють ті звертання до операційної системи, що можуть використовуватися вірусами для розмноження і нанесення шкоди, і повідомляють про них користувачеві. Програми-фільтри контролюють дії, характерні для поводження вірусу, такі як: відновлення програмних файлів; запис на твердий диск за фізичною адресою (прямий запис); форматування диска; резидентне розміщення програм в оперативній пам'яті. Виявивши спробу здійснення однієї з цих дій, програма-фільтр видає опис ситуації і вимагає від користувача підтвердження. Користувач може дозволити операцію, якщо її робить «корисна» програма, або скасувати, якщо джерело даної дії незразуміле. До широко розповсюджених програм-фільтрів відносяться Spider, AVP, Norton Antivirus. Це досить надійний метод захисту, але він створює істотні незручності для користувача.
Останнім часом з'явилися спеціальні антивірусні пакети, що включають до себе антивірусні програми згаданих вище видів. Існують як клієнтські версії таких пакетів, так і корпоративні.
Клієнтські версії містять у собі програми детектування, лікування і фільтрування для робочих станцій. Вони поставляються в різних зборках і можуть мати у своєму складі різні компоненти.
Корпоративні пакети містять у собі антивірусні програми як для робочих станцій, так і для серверів, а також засоби об'єднання всіх компонентів у логічні мережі. До них входять програми сканування поштових серверів, WEB серверів, шлюзів і файлових серверів. Логічні мережі дозволяють реалізувати комплексний захист усієї мережі від комп'ютерних вірусів, що так важливо в середніх та великих мережах.
У нас найбільш поширені корпоративні пакети AVP і Norton Antivirus. Ці пакети дозволяють побудувати логічну мережу захисту від вірусів, що надає можливості:
· централізованого керування всіма компонентами;
· автоматичного оновлення вірусних баз з виділених антивірусних серверів;
· видаленої установки оновленого антивірусного програмного забезпечення;
· створення адміністративних задач;
· відправлення повідомлень про виявлення вірусів;
· реалізації «захищеного сховища вірусів» локально або на антивірусному серверу.
Антивірусні програми, як і їхні вірусні бази, постійно модифікуються й оновлюються. Останнім часом деякі виробники пропонують щоденне оновлення їхніх продуктів. Тому своєчасна установка цих відновлень відіграє ключову роль у реалізації дійсно надійної й актуальної системи захисту від комп'ютерних вірусів. Серед методів захисту від комп’ютерних вірусів виділимо наступні.
1. Одним з найпоширених методів, що використовуються для захисту від комп‘ютерних вірусів є архівація. Цей метод полягає у використанні спеціальних програм-архіваторів. Такі програми здатні певним чином стискувати та зберігати комп‘ютерну інформацію. При проведені регулярної архивації (в кінці кожного робочого дня, крім того, раз на місяць або раз в квартал і т.п.) пошкоджена вірусом інформація може бути легко поновлена.
2. Вхідний контроль – це такий метод захисту, що передбачає використання спеціальних програм, за допомогою яких перевіряють всю вхідну інформацію. Це запобігає проникненню вірусних програм в компю‘тер.
3. Профілактика– передбачає строге закріплення дискет за певними користувачами, а також правила окремого встановлення нових програм від місць зберігання програм, що використовувалися раніше.
4. Вакціонування. Передбачає використання спеціальних програм, що імітують створення найсприятливіших умов для розповсюдження певного вірусу. Вакціонування, як правило, застосовується при встановленні нових програм, що були отримані з місць, інфікованих певним вірусом.
5. Терапія. Використовується разом із вхідним контролем і передбачає використання програм, що здатні «вилікувати» інфіковані програми.
Дата добавления: 2015-12-22; просмотров: 1220;