Шкідливі програми, та їх класи.

Шкідницькі програми і, передусім, віруси представляють дуже серйозну небезпеку для інформації в комп'ютерних системах. Знання механізмів дії вірусів, методів і засобів боротьби з ними дозволяє ефективно організувати протидію вірусам, звести до мінімуму вірогідність зараження і втрат від їх дії. Комп'ютерні віруси - це невеликі виконувані або такі, що інтерпретуються програми, що мають властивість поширення і самовідтворення в комп'ютерних системах. Віруси можуть виконувати зміну або знищення програмного забезпечення або даних, що зберігаються в комп'ютерних системах. В процесі поширення віруси можуть себе модифікувати.

Усі комп'ютерні віруси класифікуються за наступними ознаками:

-по місцю існування;

-за способом зараження;

-по мірі небезпеки шкідницьких дій;

-по алгоритму функціонування.

По місцю існування комп'ютерні віруси підрозділяються на:

-мережеві;

-файлові;

-завантажувальні;

-комбіновані.

Середовищем мешкання мережевих вірусів являються елементи комп'ютерних мереж. Файлові віруси розміщуються у виконуваних файлах. Завантажувальні віруси знаходяться в завантажувальних секторах зовнішніх пристроїв, що запам'ятовують. Комбіновані віруси розміщуються в декількох місцях існування. Наприклад, завантажувально-файлові віруси.

За способом зараження місця існування комп'ютерні віруси діляться на:

-резидентні;

-нерезидентні.

Резидентні віруси після їх активізації повністю або частково переміщаються з місця існування в оперативну пам'ять комп'ютера. Ці віруси, використовуючи, як правило, привілейовані режими роботи, дозволені тільки операційній системі, заражають місце існування і при виконанні певних умов реалізують шкідницьку функцію.

Нерезидентні віруси потрапляють в оперативну пам'ять комп'ютера тільки на час їх активності, впродовж якого виконують шкідницьку функцію і функцію зараження. Потім вони повністю покидають оперативну пам'ять, залишаючись в місці існування. По мірі небезпеки для інформаційних ресурсів користувача віруси розділяються на:

-нешкідливі;

-небезпечні;

-дуже небезпечні.

Нешкідливі віруси створюються авторами, які не ставлять собі мети завдати якого-небудь збитку ресурсам комп'ютерної системи. Проте такі віруси все-таки завдають певного збитку:

-витрачають ресурси комп'ютерної системи;

-можуть містити помилки, що викликають небезпечні наслідки для інформаційних ресурсів;

-віруси, створені раніше, можуть призводити до порушень штатного алгоритму роботи системи при модернізації операційної системи або апаратних засобів.

Небезпечні віруси викликають істотне зниження ефективності комп'ютерної системи, але не призводять до порушення цілісності і конфіденційності інформації, що зберігається в пристроях, що запам'ятовують.

Дуже небезпечні віруси мають наступні шкідницькі дії:

-викликають порушення конфіденційності інформації;

-знищують інформацію;

-викликають безповоротну модифікацію (у тому числі і шифрування) інформації

-блокують доступ до інформації;

-призводять до відмови апаратних засобів;

-завдають збитку здоров'ю користувачам.

По алгоритму функціонування віруси підрозділяються на:

-мешкання, що не змінюють середовище, при їх поширенні;

-мешкання, що змінюють середовище, при їх поширенні.

Для боротьби з комп'ютерними вірусами використовуються спеціальні антивірусні засоби і методи їх застосування. Антивірусні засоби виконують наступні завдання:

- виявлення вірусів в комп'ютерних системах;

- блокування роботи програм-вірусів;

- усунення наслідків дії вірусів.

Виявлення вірусів і блокування роботи програм-вірусів здійснюється наступними методами:

- сканування;

- виявлення змін;

- евристичний аналіз;

- використання резидентних сторожів;

- вакцинація програм;

- апаратно-програмний захист.

Усунення наслідків дії вірусів реалізується наступними методами:

- відновлення системи після дії відомих вірусів;

- відновлення системи після дії невідомих вірусів.

 

КСЗІ.

Захист інформації в комп'ютерних системах забезпечується створенням комплексної системи захисту. Комплексна система захисту включає:

- правові методи захисту;

- рганізаційні методи захисту;

- методи захисту від випадкових загроз;

- методи захисту від традиційного шпигунства і диверсій;

- методи захисту від електромагнітних випромінювань і наведень;

- методи захисту від несанкціонованого доступу;

- криптографічні методи захисту;

- методи захисту від комп'ютерних вірусів.

Серед методів захисту є і універсальні, які є базовими при створенні будь-якої системи захисту. Це, передусім, правові методи захисту інформації, які служать основою легітимної побудови і використання системи захисту будь-якого призначення. До числа універсальних методів можна віднести і організаційні методи, які використовуються у будь-якій системі захисту без виключень і, як правило, забезпечують захист від декількох загроз. Методи захисту від випадкових загроз розробляються і впроваджуються на етапах проектування, створення, впровадження і експлуатації комп'ютерних систем. До їх числа відносяться:

- створення високої надійності комп'ютерних систем;

- створення відмовостійких комп'ютерних систем;

- блокування помилкових операцій;

- оптимізація взаємодії користувачів і обслуговуючого персоналу з комп'ютерною системою;

- мінімізація збитку від аварій і стихійних лих;

- дублювання інформації.

При захисті інформації в комп'ютерних системах від традиційного шпигунства і диверсій використовуються ті ж засоби і методи захисту, що і для захисту інших об'єктів, на яких не використовуються комп'ютерні системи. До їх числа відносяться:

- створення системи охорони об'єкту;

- організація робіт з конфіденційними інформаційними ресурсами;

- протидія спостереженню і підслуховуванню;

- захист від зловмисних дій персоналу.

Усі методи захисту від електромагнітних випромінювань і наведень можна розділити на пасивні і активні. Пасивні методи забезпечують зменшення рівня небезпечного сигналу або зниження інформативності сигналів. Активні методи захисту спрямовані на створення перешкод в каналах побічних електромагнітних випромінювань і наведень, що утрудняють прийом і виділення корисної інформації з перехоплених зловмисником сигналів. На електронні блоки і магнітні пристрої, що запам'ятовують, можуть впливати потужні зовнішні електромагнітні імпульси і високочастотні випромінювання. Ці дії можуть призводити до несправності електронних блоків і стирати інформацію з магнітних носіїв інформації. Для блокування загрози такої дії використовується екранування засобів, що захищаються.

Для захисту інформації від несанкціонованого доступу створюються:

- система розмежування доступу до інформації;

- система захисту від дослідження і копіювання програмних засобів.

Початковою інформацією для створення системи розмежування доступу є рішення адміністратора комп'ютерної системи про допуск користувачів до певних інформаційних ресурсів. Оскільки інформація в комп'ютерних системах зберігається, обробляється і передається файлами(частинами файлів), то доступ до інформації регламентується на рівні файлів. У базах даних доступ може регламентуватися до окремих її частин за певними правилами. При визначенні повноважень доступу адміністратор встановлює операції, які дозволено виконувати користувачеві. Розрізняють наступні операції з файлами:

- читання(R);

- запис;

- виконання програм(E).

Операції запису мають дві модифікації:

- суб'єктові доступу може бути дано право здійснювати запис зі зміною утримуваного файлу(W);

- дозвіл дописування у файл без зміни старого вмісту(A).

Система захисту від дослідження і копіювання програмних засобів включає наступні методи:

- методи, що утрудняють причитування скопійованій інформації;

- методи, що перешкоджають використанню інформації.

 

ЗІНСД.

Аналіз систем захисту інформації від несанкціонованого доступу (HСД)показав, що вони забезпечують виконання наступних функцій:– ідентифікація ресурсів, що захищаються, тобто привласнення ресурсам,що захищаються, ідентифікаторів – унікальних ознак, за якими вподальшому система виробляє аутентифікацію;– аутентифікації ресурсів, що захищаються, тобто встановлення їхньоїсправжності на основі порівняння з еталонними ідентифікаторами;– розмежування доступу користувачів до ІС;– розмежування доступу користувачів по операціям над ресурсами(програми, дані, сектори і т.д.), що захищаються, з допомогою програмнихзасобів;адміністрування:– визначення прав доступу до ресурсів, що захищаються,– обробка реєстраційних журналів,– установка системи захисту на ПЕОМ,– зняття системи захисту з ПЕОМ,реєстрації подій:– входу користувача в систему, виходу користувача їх системи,– порушення прав доступу до ресурсів, що захищаються,– реакції на факти невстановлення справжності і порушення прав доступу,тобто ініціалізація відповідних мір на факти HСД і невстановленнясправжності;– контролю цілісності і дієздатності систем захисту;– забезпечення безпеки інформації при проведенні ремонтно-профілактичнихробіт;– забезпечення безпеки інформації в аварійних ситуаціях.Контроль і розмежування доступу до ресурсів виробляється на основітаблиць, що описують права користувачів та інших суб'єктів захисту,таких як задачі, процеси і т.д., по доступу до об'єктів захисту або,інакше кажучи, ресурсам, що захищаються.Процес доступу до ресурсів повинен контролюватися програмними засобамизахисту. Якщо доступ, який запитується щодо ресурсів, які захищаються,не відповідає наявному в таблиці прав доступу, системи захистуреєструють факт HСД та ініціалізують відповідну реакцію.Система розмежування доступу повинна забезпечувати виконання наступнихфункцій:– аутентифікація користувача за паролем і, можливо, за ключовоюдискетою;– розмежування доступу до логічних дисків;– прозорого шифрування логічних дисків;– шифрування вибраних файлів;– розмежування доступу до каталогу і файлів, включаючи посекторнийзахист даних для вибраних файлів і заборона модифікації областей FAT іDIR для вибраних файлів;– дозволу запуску суворо певних для користувача програм;– реєстрації всіх спроб HСД і входу/ виходу користувача в систему;– реакції на HСД;– захисту від відладників. У загальному випадку доцільно використати наступну схему роботи системи розмежування доступу. Вона складається з двох етапів: установки і експлуатації. Під час встановлення системи шифруються таблиці розділів в MBR і логічних дисків в запису EXTENDED BOOT RECORD для відвертання доступу до інформації на логічних дисках при завантаженні з дискети. При необхідності шифруються області даних на логічних дисках. Після цього система готова до експлуатації. У процесі експлуатації MBR виконує завантаження програми первинного налагодження. Програма первинного налагодження дійснює аутентифікацію, встановлює таблицю повноважень по доступу до логічних дисків і HГМД, забезпечує при необхідності установку програми, що реалізує РПШ, і виконує завантаження DOS. Драйвер, що завантажується з файлу CONFIG. SYS, здійснює перехват функцій системи DOS і реалізує розмежування доступу до файлів та каталогу і, при необхідності, до певних нестандартних логічних дисків. У взаємодії з програмою перехвату переривання 13h системи BIOS можна реалізувати і посекторне блокування звернення до HЖМД. Слід зазначити, що при цьому вимагається достатньо великий обсяг пам'яті для зберігання таблиць посекторного розмежування і, отже, комп'ютери, що мають достатні для зберігання цих даних розміри розширеної (EXTENDED) або додаткової (EXPANDED) пам'яті. Командний процесор, що завантажується з файлу CONFIG. SYS, дозволяє запуск суворо певних для даного користувача задач. Розглянута схема розподілу функцій системи розмежування доступу між перерахованими засобами є найбільш раціональною і забезпечує контроль доступу як до всіх логічних, так і до фізичних елементів HЖМД. Слід зазначити, що реалізація цих функцій у повному обсязі вимагає від розробників детального знання принципів побудови файлової системи DOS, а також принципів її функціонування.

На сьогоднішній день не відомі системи, що реалізують у повному обсязі всі вищенаведені вимоги. Розглянемо труднощі, що виникають при виконанні деяких функцій.

Аутентифікація користувача. Для коректної аутентифікації користувача

звичайно вимагається введення паролю, за яким відбувається вибір новажень користувача. Доцільно додатково виконувати аутентифікацію користувача по спеціальній, захищеній від копіювання, дискеті, на якій записуються додаткові дані для організації роботи користувача (ключі шифрування даних, елементів, що описують користувачів в таблицях повноважень; параметри доступу до мережі і т.д.). Цей механізм дозволяє покращити контроль входу в систему, бо знання паролю в низці випадків не достатньою умовою.

Режим прозорого шифрування логічних дисків. Режим прозорого шифрування має сенс використати тільки за наявності відповідної апаратури, оскільки будь-які програмні засоби припускають зберігання ключів в оперативній пам'яті під час виконання шифрування. Отже, ці ключі можуть бути отримані несанкціоновано. Справедливості заради слід зазначити, що доступність ключа залежить від потужності засобів захисту від відладника. Шифрування вибраних файлів. Шифрування вибраних файлів може здійснюватися в прозорому режимі або на вимогу. У випадку режиму на вимогу користувач сам вказує файл, що підлягає зашифровуванню, і вводить конкретні значення ключів. Для отримання відкритого тексту користувач повинен сам виконати аналогічну процедуру розшифрування.

У випадку прозорого режиму користувач вибирає файл або групу файлів, що автоматично повинні розшифровуватися при читанні та зашифровуватись при запису. Цей режим має низку істотних доліків. По-перше, ключі шифрування зберігаються в оперативній пам'яті зі всіма наслідками, що звідси випливають. По-друге, завжди можна отримати відкритий вміст файлу, переписавши його в деякий файл, розташований не в групі файлів прозорого шифрування.

Розмежування доступу до каталогу і файлів. Розмежування доступу до каталогу і файлів включає в себе посекторний захист від читання/ запису, захист від перейменування і переміщення. Для реалізації цієї функції необхідно зберігати таблиці великого обсягу, що описують повноваження по

доступу до кожного сектора, і тіньові таблиці FAT і DIR для перевірки коректності при їх перезапису. У загальному випадку ця проблема уявляється такою, яку важко вирішити через великий обсяг даних, що підлягають зберіганню і обробці у системі розмежування доступу.

Контроль запуску програми. Контроль запуску програми є також проблематичним. Завантаження і виконання програм можуть реалізуватися не засобами DOS, а засобами переривання 13h системи BIOS (зчитування файлу в пам'ять, налагодження таблиці адрес і передача управління цьому файлу). Тому фактично для всіх програм, запуск яких заборонений для користувача, має встановлюватися режим недоступності відповідних файлів. Таким чином функція контролю запуску програм може бути реалізована за рахунок розмежування доступу до файлів. Якщо ж таке розмежування по будь-яким причинам встановити не можна, то неможливо гарантувати санкціонований запуск програми, реалізуючи контроль на рівні DOS.

Захист від відладників. Захист від відладника має реалізуватися на всіх

етапах роботи системи. Найбільш важливим є етап аутентифікації користувача. При її виконанні до завантаження DOS бажано перевірити, що жодна програма не завантажена в пам'ять, а якщо завантажена, то не отримає управління. Для цього необхідно переконатися у виконанні наступних умов:

– усі вектори переривань, що використовуються програмою або апаратурою

вказані на області пам'яті ROM;

– розмір пам'яті в області даних системи BIOS відповідає розміру пам'яті

ПЕОМ;

– система не запущена в режимі віртуального процесора 8086;

– закрита 20-а адресна лінія (А20) на процесорах 80286, 80386, 80486 і

т.д.