Кризис обеспечения безопасности современных компьютерных систем.

1.1. Основные понятия безопасности компьютерных систем.

В настоящее время благополучие и даже жизнь многих людей зависят от обеспечения информационной безопасно­сти множества компьютерных систем обработки информа­ции, а также контроля и управления различными объектами. К таким объектам (их называют критическими) можно отнес­ти системы телекоммуникаций, банковские системы, атом­ные станции, системы управления воздушным и наземным транспортом, а также системы обработки и хранения секретной и конфиденциальной информации. Для нор­мального и безопасного функционирования этих систем необходимо поддерживать их безопасность и целостность. Под безопасностью информации понимается "состояние защищенности информации, обрабатываемой средствами вычислительной техники или автоматизированной системы, от внутренних или внешних угроз" [1]. Целостность понимается как «способность средств вычислительной техники или автоматизированной системы обеспечивать неизменность вида и качества информации в условиях случайного искажения или угрозы разрушения». Согласно этому же документу угрозы безопасности и целостности состоят в потенциально возможных воздействиях на вычислительную систему (ВС), которые прямо или косвенно могут нанести ущерб безопасности и целостности информации, обрабатываемой системой. Ущерб целостности информации состоит в ее изменении, приводящем к нарушению ее вида или качества. Ущерб безопасности подразумевает нарушение состояния защищенности содержащейся в ВС информации путем осуществления несанкционированного доступа (НСД) к объектам ВС. НСД определяется как "доступ к информации, нарушающий правила разграничения доступа с использованием штатных средств, предоставляемых ВС"[1]. Введем более простое определение НСД, не противоречащее [1]: НСД заключается в получении пользователем или программой доступа к объекту, разрешение на который в соответствии с принятой в системе политикой безопасности отсутствует. Реализация угрозы называется атакой. Человек, стремящийся реализо­вать угрозу, называется нарушителем, или злоумышленни­ком

Существует множество классификаций видов угроз по принципам и характеру их воздействия на систему, по используемым средствам, по целям атаки и т. д.[2]. Рассмотрим общую классификацию угроз безопасности ВС по средствам воздействия на ВС. С этой точки зрения все угрозы могут быть отнесены к одному из следующих классов (см. рис. 1.1):

Рис. 1.1 Классификация угроз безопасности ВС.

1. Вмешательство человека в работу ВС. К этому классу относятся организационные средства нарушения безопас­ности ВС (кража носителей информации, НСД к устройствам хранения и обработки информации, порча оборудования и т.д.) и осуществление нарушителем НСД к программным компонентам ВС (все способы несанкционированного проникновения в ВС, а также способы получения пользователем-нарушителем незаконных прав доступа к компонентам ВС). Меры, противостоящие таким угрозам, носят организационный характер (охрана, режим доступа к устройствам ВС), а также включают в себя совершенствование систем разграничения доступа и системы обнаружения попыток атак (например, попыток подбора паролей).

2. Аппаратно-техническое вмешательство в работу ВС.

Имеется в виду нарушение безопасности и целостности информации в ВС с помощью технических средств, например, получение информации по электромагнитному излучению устройств ВС, электромагнитные воздействия на каналы передачи информации и другие методы. Защита от таких угроз, кроме организационных мер, предусматривает соответствующие аппаратные (экранирование излучений аппаратуры, защита каналов передачи информации от прослушивания) и программные меры (шифрация сообщений в каналах связи).

3. Разрушающее воздействие на программные компоненты ВС с помощью программных средств. Логично назвать такие средства разрушающими программными средствами (РПС). К ним относятся компьютерные вирусы, троянские кони (иногда их называют "закладки"), средства проникновения в удаленные системы с использованием локальных и глобальных сетей. Средства борьбы с подобными атаками состоят из программно и (реже) аппаратно реализованных систем защиты.

Данная книга посвящена борьбе с угрозами третьего типа, т. к. рассматриваемый класс средств нарушения безопасности представляет собой наиболее динамично развивающуюся угрозу, использующую все последние

достижения в области информационных технологий.

1.2. Современные программные угрозы информационной безопасности.

Приведем некоторые факты, свидетельствующие об актуальности проблемы безопасности ВС.

Каждые двадцать секунд в Соединенных Штатах имеет место преступление с использованием программных средств.

Недавние оценки исчисляют потери от хищения или повреждения компьютерных данных в 100 млн. долларов за год, но точная статистика не поддается учету. Во многих случаях организации не знают о том, что вторжение имело место — информация воруется незаметно, и похитители гениально заметают свои следы.

Примерами наиболее крупных преступлений последних лет в отечественной практике [3] являются хищение в 1991 г. 125,5 тыс. долларов США во Внешэкономбанке (Москва), попытка "электронного мошенничества" на сумму более 68 млрд. рублей в Центральном банке России в сентябре 1993 г., умышленное нарушение работы программ автоматизированной системы управления ядерных реакторов Игналинской АЭС в 1992 г.

Как уже говорилось, класс РПС составляют компьютерные вирусы, троянские кони (закладки) и средст­ва проникновения в удаленные системы через локальных и глобальных сетей (см. рис. 1.2).

Рис. 1.2 Типы рпс.

При этом налицо эволюция средств РПС от простейших программ, осуществляющих НСД, к действующим самостоятельно удаленным сетевым агентам, которые представляют собой настоящие средства информационного нападения.

Рассмотрим историю развития и современное состояние РПС.

Компьютерные вирусы.

Компьютерный вирус — одно из интереснейших явлений, которые мы можем наблюдать в результате развития компьютерной и информационной техники. Суть его сводится к тому, что программы приобретают свойства, присущие живым организмам, причем самые неотъемлемые — они рождаются, размножаются, умирают.

Главное условие существования вирусов — универ­сальная интерпретация информации в вычислительных системах. Вирус в процессе заражения программы может интерпретировать ее как данные, а в процессе выполнения как исполняемый код. Этот принцип был положен в основу всех современных компьютерных систем, использующих архитектуру фон Неймана.

Дать формальное определение понятию "компьютерный вирус" очень непросто[4]. Традиционное определение, данное Ф. Козном, "компьютерный вирус — это программа, которая может заражать другие программы, модифицируя их посредством добавления своей, возможно измененной, копии"[5], при детальном разборе ставит в тупик:

непонятно, что это за "копия", если она не совпадает с оригиналом. Однако, совершенно очевидно, что ключевым понятием в определении вируса является его способность к саморазмножению, — это единственный критерий, позволяющий отличить программы-вирусы от остальных программ. При этом "копии" вируса действительно могут структурно и функционально отличаться между собой. Можно дать вирусу рекурсивное определение типа: "вирус— это программа, которая порождает другие вирусы", однако оно рекурсивно неразрешимо. Таким образом, мы сталкиваемся с почти философской проблемой: как определить объекты, ключевым свойством которых является порождение себе подобных, причем подобие определяется с помощью того же свойства — порождать себе подобных и т.д. и т.п. Выход состоит в установлении отношения подобия вируса и его копии с помощью набора отношений эквивалентности, относящихся к структуре, содержанию алгоритму вируса, имеющих смысл для заданной операционной системы и компьютера. Правда, такое определение будет не совсем точным: множество вирусов будет ограничиваться классами эквивалентности задаваемых этими отношениями, но более точного определения дать не удается.

История компьютерных вирусов начинается еще с работ теоретика современных компьютеров фон Неймана. Oн разрабатывал модели автоматов, способных к самовоспроизведению, и математически доказал возможность существования таких машин. После этого идея саморазмножающихся программ "витала в воздухе" и время от времени находила свою более или менее адекватную реализацию.

С каждым годом число вирусов растет. Сейчас их уже более 7000. Считается признанным, что в последние годы больше всего вирусов создавалось в СССР, а затем в России и других странах СНГ. Но и в других странах, в том числе в США, значителен урон, наносимый вирусами. В США борьба с вирусами ведется на самом высоком уровне. Вскоре после объявления в 1993 году Белым домом о подключении президента Билла Клинтона и вице президента Альберта Гора к сети Internet администрация поддержала идею проведения Национального дня борьбы с компьютерными вирусами (National Computer Virus Awareness Day). Такой день отмечается теперь ежегодно. Национальной ассоциацией по компьютерной защите США(NCSA) и компанией Dataquest опубликованы следующие данные по результатам исследований вирусно проблемы(данные 1993 г.)[6]:

- 63% опрошенных пострадали от компьютерных вирусов;

- предполагаемые потери американского бизнеса от компьютерных вирусов в 1994 году составят около 2 млрд. долларов;

- идентифицировано более 2100 компьютерных вирусов;

- каждый месяц появляется более 50 новых вирусов;

- в среднем от каждой вирусной атаки страдает 142 персональных компьютера: на ее отражение в среднем уходит 2,4 дня;

- для компенсации ущерба в 1/4 случаев требовалось более 5 дней.

Начиная с конца 1990 г., появилась новая тенденция, получившая название "экспоненциальный вирусный взрыв". Количество новых вирусов, обнаруживаемых в месяц, стало исчисляться десятками, а в дальнейшем и сотнями. Поначалу эпицентром этого взрыва была Болгария, затем он переместился в Россию. После 1994 г. темп роста вирусов пошел на убыль, хотя их общее количество продолжает уеличиваться. Это связано с тем, что ОС MS DOS, которая и дает 99% существующих компьютерных вирусов, постепенно сдает свои лидирующие позиции как операционная система для персональных компьютеров, уступая их Windows, OS/2, UNIX и т.п. Данные о количестве известных вирусов по годам приведены на рис. 1.3 [7].

Год	Количество вирусов

Рис.1.3. Количество компьютерных вирусов в 1987-1996 гг.

Современная ситуация характеризуется двумя момен­тами: появлением полиморфных вирусов и генераторов (конструкторов) вирусов. Полиморфные вирусы характеризуются тем, что для обнаружения неприменимы обычные алгоритмы поиска, так как каждая новая копия вируса не имеет со своим родителем ничего общего. Это достигается шифровкой тела самого вируса и расшифровщиком, не имеющим ни одного постоянного бита в каждом своем экземпляре. На сегодняшний день известно около десятка алгоритмов (вирусов намного больше!) генерации таих расшифровщиков.

Появление генераторов вирусов позволяет, задав программе-генератору в виде входных параметров способ распространения, тип, вызываемые эффекты, причиняем вред, получить ассемблерный текст нового вируса. На сегодняшний день известно около пяти таких генератор вирусов.

Кроме того, вирусы постоянно расширяют свою "среду обитания" и реализуют принципиально новые алгоритмы внедрения и поведения. Так, в 1995 году появились представители, опровергающие ключевые принципы антивирусной защиты — то, что компьютер, загруженный с заведомо чистой системной дискеты, не может содержать вирус; и то, что вирусы не заражают файлы с данными.

Первым появился вирус, который таким образ корректирует конфигурацию компьютера, что при попытке загрузки с дискеты он все равно загружается с зараженного жесткого диска, и вирус активизируется в системе.

Другой вирус, появившийся в середине августа 1995 США и ряде стран Западной Европы, использует современные технологии представления информации в виде конгломерата данных и программ. Он заражает докумен подготовленные в системе MS Word for Windows 6.0 — файлы типа.DOC. Так как такие файлы ежедневно десятками тысяч циркулируют в локальных и глобальных сетях, способность вируса обеспечила его мгновенное распространение по всему свету в течение нескольких дней и 25 августа он был обнаружен в Москве. Вирус написан на макроязыке пакета Word. Вирус переносит себя в область глобальных макросов, переопределяет макрос File-SaveAs и копирует себя в каждый файл, сохраняемый с помощью команды Save As. При этом он переводит файл из категории "документ" в категорию "шаблон", что делает невозможным его дальнейшее редактирование. Обнаружить наличие этого вируса можно по появлению в файле winword6.ini строки ww6i=1.