Отличительные свойства компьютерных вирусов

• Паразитическое существование - размещение внутри программного файла или программного фрагмента
• Способность к саморазмножению через внедрение в другие программы
• Выраженные деструктивные действия
• Наличие латентного (скрытого) периода
• Признаки авторства

Жизненный цикл компьютерного вируса

• Проникновение на чужой компьютер
• Активация
• Поиск объектов для заражения
• Подготовка копий
• Внедрение копий

Сетевые черви

Вид вредоносных программ, распространяющийся с использованием сети

Типовые элементы сетевого червя:

1. средство выявления новых целей заражения
2. механизм размножения
3. механизм активации
4. «полезная» нагрузка

Пример сетевого червя Nimda

1. Средства выявления новых целей
• При помощи MAPI-функций получается доступ к почтовым ящикам MS Exchange и считываются адреса
• Сканирование файлов.htm, html на предмет наличия адресов электронной почты
2. Механизм размножения
• Рассылка посредством электронной почты
• Ресурсы локальной сети
• Использование уязвимостей MS IIS и MS IE
3. Механизм активации
• запуск с использованием уязвимости почтового клиента
• прописывание в автозапуск
4. «Полезная» нагрузка
• Делает все диски компьютера доступными для анонимного доступа
• Делает тысячи собственных копий

Троянские программы

• Вредоносные программы, осуществляющие: сбор информации и ее передачу злоумышленнику, ее разрушение или злонамеренную модификацию, нарушение работоспособности компьютера, использование ресурсов компьютера в неблаговидных целях
• Основное отличие – троянская программа имеет внешне привлекательную для пользователя оболочку

Виды троянских программ (в зависимости от деструктивных функций)

• Клавиатурные и другие шпионы (SpyWare)
• Похитители паролей
• Утилиты скрытого удаленного управления (в том числе RootKit)
• Анонимные SMTP-серверы и прокси-серверы
• Утилиты дозвона (Dialers)
• Модификаторы настроек браузера
• Логические бомбы
• Члены бот-сетей (рассылка спама, DDoS-атаки)

Другие вредоносные программ

• Рекламные программ (AdWare)
• Псевдо антивирусы
• Вымогатели (отправить SMS для разблокировки компьютера)
• «Жадные» программы
• Программы-шутки

Размещение вредоносных программ в аппаратуре

• На аппаратном уровне вредоносные программы вырождаются в аппаратные закладки
• Аппаратные закладки выполняют перехват сигналов с целью накопления и несанкционированной передачи конфиденциальной информации, а также повреждения или имитации повреждений аппаратуры
• Аппаратная закладка невидима для операционной системы
• Возможности аппаратной закладки определяются функциональностью устройства ввода/вывода, в которое она установлена

Антивирусная защита. СПАМ и защита от него.

 

Защита от вредоносных программ

• Основное средство – использование специализированной программы – антивируса
• Многие производители предлагают подобные средства:
• Kaspersky
• Доктор WEB
• Symantec
• …

Механизмы обнаружения, используемые антивирусом

• Сигнатурный анализ
• Эвристический анализ
• Поведенческий анализ

Режимы работы антивируса

• Проверка в режиме реального времени
• Проверка по требованию
• Обновление:
• антивирусного ядра
• баз данных сигнатур
• Действия с подозрительными объектами:
• Карантин
• Удаление
• Блокировка доступа

Уровни работы антивируса

• Уровень рабочей станции
• Уровень сервера:
• Файловый сервер
• Почтовый сервер
• Прокси сервер
• Шлюз

СПАМ – как угроза

• Защита от СПАМа – защита от информации
• Основной ущерб от СПАМа – потерянное время (н.р. работника), использование ресурсов (н.р. канала доступа в Интернет), элемент реализации вредоносного воздействия
• SPIM–СПАМ с использованием систем мгновенных сообщений
• VoIP-СПАМ
• Любые каналы взаимодействия потенциально могут быть использованы для рассылки СПАМа

Закон о рекламе

Распространение рекламы по сетям электросвязи, в том числе посредством использования телефонной, факсимильной, подвижной радиотелефонной связи, допускается только при условии предварительного согласия абонента или адресата на получение рекламы. При этом реклама признается распространенной без предварительного согласия абонента или адресата, если рекламораспространитель не докажет, что такое согласие было получено

Виды СПАМа

• 18,9 % — образование
• 15,7 % — отдых и путешествия
• 15,5 % — медикаменты, товары/услуги для здоровья
• 9,2 % — компьютерное мошенничество
• 6,5 % — компьютеры и И нтернет
• 5,2 % — реплики элитных товаров
• 4,1 % — реклама спамерских услуг
• 2,7 % — для взрослых
• 2,2 % — недвижимость
• 2,2 % — юридические услуги
• 1,9 % — личные финансы
• 1,4 % — полиграфия

Связь СПАМа и вредоносных программ

• СПАМ может использоваться для распространения вредоносных программ
• СПАМ может быть связан с угрозой вида фишинг
• СПАМ может использоваться для реализации мошеннических действий

Методы защиты от СПАМа

• «Компьютерная гигиена»
• Использование спам-фильтров:
• «Черные» и «Серые» списки почтовых шлюзов
• Поиск по ключевым словам
• Статистические и вероятностные методы
• Глобальные системы слежения
• Совершенствование систем доставки электронной почты

 

Межсетевое экранирование, виртуальные частные сети (в т.ч. IPSEC).

Межсетевой экран или сетевой экран — комплекс аппаратных или программных средств, осуществляющий контроль и фильтрацию проходящих через него сетевых пакетов в соответствии с заданными правилами.

Основной задачей сетевого экрана является защита компьютерных сетей или отдельных узлов от несанкционированного доступа. Также сетевые экраны часто называют фильтрами, так как их основная задача — не пропускать (фильтровать) пакеты, не подходящие под критерии, определённые в конфигурации.

Некоторые сетевые экраны также позволяют осуществлять трансляцию адресов — динамическую замену внутрисетевых (серых) адресов или портов на внешние, используемые за пределами ЛВС.

Другие названия

Брандма́уэр (нем. Brandmauer) — заимствованный из немецкого языка термин, являющийся аналогом английского firewall в его оригинальном значении (стена, которая разделяет смежные здания, предохраняя от распространения пожара). Интересно, что в области компьютерных технологий в немецком языке употребляется слово «Firewall».

Разновидности сетевых экранов

Файрво́лл, файрво́л, файерво́л, фаерво́л — образовано транслитерацией английского термина firewall.

Сетевые экраны подразделяются на различные типы в зависимости от следующих характеристик:

•обеспечивает ли экран соединение между одним узлом и сетью или между двумя или более различными сетями;

•на уровне каких сетевых протоколов происходит контроль потока данных;

•отслеживаются ли состояния активных соединений или нет.

В зависимости от охвата контролируемых потоков данных сетевые экраны делятся на:

•традиционный сетевой (или межсетевой) экран — программа (или неотъемлемая часть операционной системы) на шлюзе (сервере, передающем трафик между сетями) или аппаратное решение, контролирующие входящие и исходящие потоки данных между подключенными сетями.

•персональный сетевой экран — программа, установленная на пользовательском компьютере и предназначенная для защиты от несанкционированного доступа только этого компьютера.

В зависимости от уровня, на котором происходит контроль доступа, существует разделение на сетевые экраны, работающие на:

•сетевом уровне, когда фильтрация происходит на основе адресов отправителя и получателя пакетов, номеров портов транспортного уровня модели OSI и статических правил, заданных администратором;

•сеансовом уровне (также известные как stateful) — отслеживающие сеансы между приложениями, не пропускающие пакеты нарушающих спецификации TCP/IP, часто используемых в злонамеренных операциях — сканировании ресурсов, взломах через неправильные реализации TCP/IP, обрыв/замедление соединений, инъекция данных.

•уровне приложений, фильтрация на основании анализа данных приложения, передаваемых внутри пакета. Такие типы экранов позволяют блокировать передачу нежелательной и потенциально опасной информации на основании политик и настроек.

Некоторые решения, относимые к сетевым экранам уровня приложения, представляют собой прокси-серверы с некоторыми возможностями сетевого экрана, реализуя прозрачные прокси-серверы, со специализацией по протоколам. Возможности прокси-сервера и многопротокольная специализация делают фильтрацию значительно более гибкой, чем на классических сетевых экранах, но такие приложения имеют все недостатки прокси-серверов (например, анонимизация трафика).

В зависимости от отслеживания активных соединений сетевые экраны бывают:

stateless (простая фильтрация), которые не отслеживают текущие соединения (например, TCP), а фильтруют поток данных исключительно на основе статических правил;

stateful, stateful packet inspection (SPI) (фильтрация с учётом контекста), с отслеживанием текущих соединений и пропуском только таких пакетов, которые удовлетворяют логике и алгоритмам работы соответствующих протоколов и приложений. Такие типы сетевых экранов позволяют эффективнее бороться с различными видами DoS-атак и уязвимостями некоторых сетевых протоколов. Кроме того, они обеспечивают функционирование таких протоколов, как H.323, SIP, FTP и т. п., которые используют сложные схемы передачи данных между адресатами, плохо поддающиеся описанию статическими правилами, и, зачастую, несовместимых со стандартными, stateless сетевыми экранами.

Типичные возможности

•фильтрация доступа к заведомо незащищенным службам;

•препятствование получению закрытой информации из защищенной подсети, а также внедрению в защищенную подсеть ложных данных с помощью уязвимых служб;

•контроль доступа к узлам сети;

•может регистрировать все попытки доступа как извне, так и из внутренней сети, что позволяет вести учёт использования доступа в Интернет отдельными узлами сети;

•регламентирование порядка доступа к сети;

•уведомление о подозрительной деятельности, попытках зондирования или атаки на узлы сети или сам экран;

Вследствие защитных ограничений могут быть заблокированы некоторые необходимые пользователю службы, такие как Telnet, FTP, SMB, NFS, и так далее. Поэтому настройка файрвола требует участия специалиста по сетевой безопасности. В противном случае вред от неправильного конфигурирования может превысить пользу.

Так же следует отметить, что использование файрвола увеличивает время отклика и снижает пропускную способность, поскольку фильтрация происходит не мгновенно.

Проблемы, не решаемые файрволом

•Межсетевой экран сам по себе не панацея от всех угроз для сети. В частности, он:

•не защищает узлы сети от проникновения через «люки» (англ. back doors) или уязвимости ПО;

•не обеспечивает защиту от многих внутренних угроз, в первую очередь — утечки данных;

•не защищает от загрузки пользователями вредоносных программ, в том числе вирусов;

Для решения последних двух проблем используются соответствующие дополнительные средства, в частности, антивирусы. Обычно они подключаются к файрволу и пропускают через себя соответствующую часть сетевого трафика, работая как прозрачный для прочих сетевых узлов прокси, или же получают с файрвола копию всех пересылаемых данных. Однако такой анализ требует значительных аппаратных ресурсов, поэтому обычно проводится на каждом узле сети самостоятельно.

Межсетевое экранирование повышает безопасность объектов внутренней сети за счет игнорирования неавторизованных запросов из внешней среды, тем самым, обеспечивая все составляющие информационной безопасности. Кроме функций разграничения доступа экранирование обеспечивает регистрацию информационных обменов.

Функции экранирования выполняет межсетевой экран или брандмауэр (firewall), под которым понимают программную или программно-аппаратную систему, которая выполняет контроль информационных потоков, поступающих в информационную систему и/или выходящих из нее, и обеспечивает защиту информационной системы посредством фильтрации информации.

 

Межсетевые экраны классифицируются по следующим признакам: по месту расположения в сети и по уровню фильтрации, соответствующему эталонной модели OSI/ISO.

Внешние межсетевые экраны обычно работают только с протоколом TCP/IP глобальной сети Интернет. Внутренние сетевые экраны могут поддерживать несколько протоколов.

Межсетевые экраны разделяют на четыре типа:

•межсетевые экраны с фильтрацией пакетов;

•шлюзы сеансового уровня;

•шлюзы прикладного уровня;

•межсетевые экраны экспертного уровня.

Наиболее комплексно задачу экранирования решают межсетевые экраны экспертного уровня, которые сочетают в себе элементы всех типов межсетевых экранов.

Межсетевые экраны с фильтрацией пакетов представляют собой маршрутизаторы или работающие на сервере программы, сконфигурированные таким образом, чтобы фильтровать входящие и исходящие пакеты. Поэтому такие экраны называют иногда пакетными фильтрами. Фильтрация осуществляется путем анализа IP-адреса источника и приемника, а также портов входящих TCP- и UDP-пакетов и сравнением их со сконфигурированной таблицей правил. Эти межсетевые экраны просты в использовании, дешевы, оказывают минимальное влияние на производительность вычислительной системы. Основным недостатком является их уязвимость при подмене адресов IP. Кроме того, они сложны при конфигурировании: для их установки требуется знание сетевых, транспортных и прикладных протоколов.

Шлюзы сеансового уровня контролируют допустимость сеанса связи. Они следят за подтверждением связи между авторизованным клиентом и внешним хостом (и наоборот), определяя, является ли запрашиваемый сеанс связи допустимым. При фильтрации пакетов шлюз сеансового уровня основывается на информации, содержащейся в заголовках пакетов сеансового уровня протокола TCP, т. е. функционирует на два уровня выше, чем межсетевой экран с фильтрацией пакетов. Кроме того, указанные системы обычно имеют функцию трансляции сетевых адресов, которая скрывает внутренние IP-адреса, тем самым, исключая подмену IP-адреса. Однако в таких межсетевых экранах отсутствует контроль содержимого пакетов, генерируемых различными службами. Для исключения указанного недостатка применяются шлюзы прикладного уровня.

Шлюзы прикладного уровня проверяют содержимое каждого проходящего через шлюз пакета и могут фильтровать отдельные виды команд или информации в протоколах прикладного уровня, которые им поручено обслуживать. Это более совершенный и надежный тип межсетевого экрана, использующий программы-посредники (proxies) прикладного уровня или агенты. Агенты составляются для конкретных служб сети Интернет (HTTP, FTP, Telnet и т. д.) и служат для проверки сетевых пакетов на наличие достоверных данных.