Защита информации от вредоносного ПО
Вредоносное программное обеспечение – компьютерная программа или переносной код, предназначенный для реализации угроз информации, либо скрытого нецелевого использования ресурсов, либо иного воздействия, препятствующего нормальному функционированию компьютера. К вредоносным программам относятся компьютерные вирусы, трояны, сетевые черви и др.
Компьютерный вирус – разновидность компьютерных программ или вредоносный код, отличительной особенностью которых является способность к размножению. В дополнение к этому вирусы могут без ведома пользователя выполнять прочие произвольные действия, в том числе наносящие вред пользователю и/или компьютеру. Даже если автор вируса не программировал такие действия, вирус может приводить к сбоям компьютера из-за ошибок, некорректного с операционной системой и другими программами. Кроме того, вирусы занимают ресурсы системы, в некоторых случаях занимают значительно.
Вирусы делятся на:
– загрузочные, заражающие загрузочные сектора постоянных и сменных носителей;
– файловые, заражающие файлы;
– макровирусы, написанные на языке макрокоманд и исполняемые в среде какого-либо приложения. В подавляющем большинстве случаев речь идет о макросах в документах Microsoft Office;
– скрипт-вирусы — вирусы, исполняемые в среде определенной командной оболочки, например, bat-файлы в командной оболочке DOS, VBS и JS-скрипты в командной оболочке Windows Scripting Host (WSH);
Червь (сетевой червь) – тип вредоносных программ, самостоятельно распространяющихся по сетевым каналам и способных к преодолению систем защиты компьютерных сетей, а также к созданию и дальнейшему распространению своих копий, не всегда совпадающих с оригиналом.
Черви делятся на:
– сетевые черви, использующие для распространения протоколы Интернет и локальных сетей. Обычно этот тип червей использует неправильную обработку некоторыми приложениями сетевых пакетов;
– почтовые черви, распространяющиеся в формате сообщений электронной почты;
– P2P-черви, распространяющиеся при помощи файлообменных сетей;
– IM-черви, использующие для распространения системы мгновенного обмена сообщениями (например, ICQ).
Троян (троянский конь) – тип вредоносных программ, основной целью которых является вредоносное воздействие по отношению к компьютерной системе. У троянов обычно отсутствует механизм создания собственных копий. Некоторые из них способны к автономному преодолению защиты, но в основном троян попадает в систему вместе с вирусом или червем, в результате неосмотрительных действий пользователя или активных действий злоумышленника.
Трояны делятся на:
– клавиатурные шпионы, постоянно находящиеся в памяти и сохраняющие все данные, поступающие от клавиатуры. Далее они передаются злоумышленнику. Обычно, таким способом можно узнать пароли или другую конфиденциальную информацию;
– похитители паролей, в которых реализованы способы извлечения паролей из соответствующих файлов;
– снифферы, перехватывающие поток данных, идущий по сети;
– утилиты удаленного управления, обеспечивающие полный удаленный контроль над компьютером пользователя. Такие утилиты никак не выдают свое присутствие, так что пользователь зачастую и не подозревает о том, что его компьютер под контролем злоумышленника. На основе таких программ строятся ботнеты – целые сети компьютеров, находящихся вод удаленным контролем;
– бэкдоры (люки, backdoor) – программы, предоставляющие злоумышленнику ограниченный контроль над компьютером пользователя. Обычно такими действиями являются возможность загрузки и запуска файлов;
– логические бомбы, суть работы которых состоит в том, чтобы при определенных условиях (дата, время суток, действия пользователя, команда извне) произвести определенное действие: например, уничтожение данных (Virus.Win9x.CIH, Macro.Word97.Thus);
– и другие.
На сегодняшний день известны десятки тысяч базовых вредоносных программ, а если учитывать модификации, то счет идет на сотни тысяч.
Создание и распространение вредоносных программ (в том числе вирусов) преследуется в России согласно Уголовному кодексу РФ (глава 28, статья 273).
Основы теории самовоспроизводящихся механизмов заложил еще фон Нейман, он в 1951 году предложил метод создания таких механизмов. Первый вирус был создан в 1961 г. в компании BBN Technologies как экспериментальная программа, демонстрирующая способность компьютерного кода самовоспроизводиться и распространяться без участия человека. В то время BBN Technologies занималась разработкой метода пакетной коммутации для сети APRANET, из которой через двадцать лет вырос интернет. Получается, что «компьютерные черви» и интернет родились практически одновременно.
Само понятие «компьютерный вирус» появилось в 1983-1984 гг. Профессор информатики Леонард Эйдлман со своим студентом Ф.Коэном создали демонстрационную паразитическую программу, способную «заражать» другие программы, внедряя в них свою копию, иногда видоизменённую. Примерно так же действует биологический вирус, поэтому программу так и назвали.
Часть вирусов не осуществляла никакие действия, кроме саморазмножения, часть несла деструктивную функцию. Например, вирус Jerusalem (1987) многократно заражал все исполняемые файлы на компьютере, до тех пор, пока они не переставали запускаться, поскольку не помещались в оперативной памяти. При этом значительно, до нескольких раз, замедлялась работа компьютера. А начиная с 1988 года, каждую пятницу тринадцатого, этот вирус просто уничтожал все зараженные программы.
Другой вирус, One Half, постепенно шифровал данные, записанные на жестком диске. Когда достигалось шифрование примерно половины всех данных, он препятствовал работоспособности компьютера. Сложность в его устранении заключалась в том, что требовалось восстановление зашифрованных файлов.
В ноябре 1988 года специалисты выявили вирус, получивший название «червь Морриса». Автором вируса является Роберт Моррис, бывший на тот момент студентом Корнелльского университета, создавший программу, с помощью которой хотел – по его словам – просто выяснить, сколько в мире компьютеров подключено к интернету. «Червь» должен был заражать машины под управлением BSD, используя самые разные уязвимости в защите программного обеспечения – от программных брешей до слабых паролей. Кроме того, ему полагалось самовоспроизводиться и перед заражением опрашивать каждую машину на наличие на ней своей копии. Ошибка в реализации этого алгоритма привела к бесконтрольному размножению и распространению вируса, практически парализовавшему работу компьютерных сетей многих крупных организаций. Стоимость ущерба оценили в 96 млн. долларов, Моррис был осуждён по новому закону о злоупотреблениях и мошенничестве при использовании компьютерных технологий.
В 1989 году появился первый «троянский конь» AIDS. Троянская программа распространяется людьми, в отличие от вирусов и червей, которые распространяются самопроизвольно. AIDS делал недоступной всю информацию на жёстком диске и высвечивал на экране только одну надпись: «Пришлите чек на $189 на такой-то адрес». Автор программы был арестован в момент обналичивания чека и осуждён за вымогательство.
В 1995 году на свет появился первый макровирус, использовавший уязвимости в текстовом процессоре Microsoft Word – Concept. Впоследствии макровирусы стали чрезвычайно популярны у вирусописателей. Чем больше распространялись операционные системы и офисные пакеты Microsoft, тем больше становилось макровирусов.
В 1998 году появился чрезвычайно опасный вирус китайского происхождения CIH. Вирус заполнял первый загрузочный сектор жесткого диска нулями и выводил из строя BIOS. Для большинства пользователей это фактически означало замену материнской платы.
В 2000 г. появился вирус LoveLetter – один из наиболее зловредных в истории вирусов. Он получал адреса из адресной книги почтового клиента Outlook и рассылал сам себя по электронной почте в виде вложения с файлом-скриптом. Получатель открывал приложенный файл, тем самым запуская скрипт. Ранние версии вируса подгружали в систему ещё и троян, а более поздние – вирус CIH. Вред, который был нанесен этим вирусом, оценивается в сумму от 5,5 до 10 млрд. долларов.
В 2003 г. вирус Sapphire оставил без интернета Южную Корею, нарушил работу банкоматов в США и серьезно замедлил работу всего интернета в целом. Он генерировал случайные сетевые адреса и сразу же отправлял туда свою копию. За первые три минуты атаки вирус поразил 75 тысяч адресов и продолжал размножаться, пока не забил все каналы связи.
Примерно с 2005 г. изменились цели написания вирусов. До этого они создавались большей частью в соревновательных целях, либо в качестве мести. С 2005 г. трояны и вирусы пишутся в основном не для того, чтобы нанести прямой ущерб компьютерам, а с целью получения личной информации вроде номеров кредитных карт и паролей к ним, а также возможности удаленно контролировать работу компьютера незаметно от его владельца. Во втором случае формируются целые сети подконтрольных компьютеров, так называемые ботнеты, активно используемые в рассылке спама, распределенных DDoS-атаках и т.д. Количество компьютеров, входящих в ботнеты, может достигать десятков миллионов.
Венцом вирусописательского творения на сегодняшний день является вирус Stuxnet. Был обнаружен в 2010 г., причем не только на компьютерах рядовых пользователей, но и в промышленных системах, управляющих автоматизированными производственными процессами. Это первый известный компьютерный червь, перехватывающий и модифицирующий информационный поток между программируемыми логическими контроллерами и рабочими станциями. Таким образом, он может быть использован в качестве средства несанкционированного сбора данных (шпионажа) и диверсий в АСУ ТП промышленных предприятий, электростанций, аэропортов и т. п. Уникальность вируса в том, что впервые в истории кибератак он физически разрушал инфраструктуру предприятия. Существует предположение, что Stuxnet является специализированной разработкой, направленной против развития ядерной программы Ирана, поскольку ряд действий, которые он осуществляет, специфичны для центрифуг по обогащению урана, применяемых в Иране. Объём исходного текста вируса составляет примерно 500 КБ кода на языке ассемблера, С и С++.
Антивирусы
Антивирусная программа (антивирус) – программа для обнаружения компьютерных вирусов, а также нежелательных (вредоносными) программ вообще и восстановления зараженных (модифицированных) такими программами файлов, а также для профилактики – предотвращения заражения (модификации) файлов или операционной системы вредоносным кодом.
Существуют две основные технологии детектирования вирусов:
– сигнатурный метод, при котором программа, просматривая файл или пакет, обращается к словарю с характерными фрагментами (сигнатурами) известных вирусами, составленному авторами программы;
– проактивный метод, который отслеживает подозрительные действия программ, такие как попытка изменить программный код на диске или в оперативной памяти, интерпретировать данные как команды, получить доступ к системным файлам и т.д.
Выделяют несколько видов проактивного подхода:
– эвристический анализ позволяет на основе анализа программного кода обнаружить фрагменты программы, отвечающие за вредоносную активность;
– эмуляция кода позволяет запускать приложение в виртуальной среде, эмулируя поведение ОС или центрального процессора. При таком выполнении никакой вред системе нанесен быть не может, а вот вредоносное действие будет обнаружено;
– анализ поведения основывается на перехвате всех важных системных функций, что позволяет отслеживать и анализировать всю активность в системе пользователя;
– sandboxing (песочница) – ограничение привилегий выполнения программы, при котором она не имеет прав доступа к критическим системным файлам и другим ресурсам;
– виртуализация окружения работает с помощью драйвера, который перехватывает все запросы на запись на жесткий диск и вместо выполнения записи на реальный жесткий диск выполняет запись в специальную дисковую область – буфер. Таким образом, даже в том случае, если пользователь запустит вредоносное программное обеспечение, оно проживет не далее чем до очистки буфера, которая по умолчанию выполняется при выключении компьютера.
Большинство антивирусов сочетают в себе оба подхода. Однако нужно иметь в виду, что вредоносное ПО опасно не только тем, что способно уничтожить или повредить данные, но и переслать файлы с секретной информацией некоему третьему лицу. Поэтому полноценное решение по защите информации включает в себя также ряд других инструментов, обеспечивающих контроль обращения к ресурсам, фильтрацию спама, шифрование и резервное копирование данных и другие функции.
Межсетевой экран, или брандмауэр (от немецкого), или файрволл (от английского) – комплекс аппаратных или программных средств, предназначенный для контроля и фильтрации пакетов вычислительной сети в соответствии с заданными правилами. Основной задачей сетевого экрана является защита компьютерных сетей или отдельных узлов от несанкционированного доступа.
Дата добавления: 2019-10-16; просмотров: 547;