Студопедия

КАТЕГОРИИ:


Архитектура-(3434)Астрономия-(809)Биология-(7483)Биотехнологии-(1457)Военное дело-(14632)Высокие технологии-(1363)География-(913)Геология-(1438)Государство-(451)Демография-(1065)Дом-(47672)Журналистика и СМИ-(912)Изобретательство-(14524)Иностранные языки-(4268)Информатика-(17799)Искусство-(1338)История-(13644)Компьютеры-(11121)Косметика-(55)Кулинария-(373)Культура-(8427)Лингвистика-(374)Литература-(1642)Маркетинг-(23702)Математика-(16968)Машиностроение-(1700)Медицина-(12668)Менеджмент-(24684)Механика-(15423)Науковедение-(506)Образование-(11852)Охрана труда-(3308)Педагогика-(5571)Полиграфия-(1312)Политика-(7869)Право-(5454)Приборостроение-(1369)Программирование-(2801)Производство-(97182)Промышленность-(8706)Психология-(18388)Религия-(3217)Связь-(10668)Сельское хозяйство-(299)Социология-(6455)Спорт-(42831)Строительство-(4793)Торговля-(5050)Транспорт-(2929)Туризм-(1568)Физика-(3942)Философия-(17015)Финансы-(26596)Химия-(22929)Экология-(12095)Экономика-(9961)Электроника-(8441)Электротехника-(4623)Энергетика-(12629)Юриспруденция-(1492)Ядерная техника-(1748)

Практические методы и средства для защиты сети от вредоносных программ

Программные средства, уведомляющие администратора об атаке на сервер или сеть либо только о попытке такой атаки, появились совсем недавно. Первые продукты это­го типа были апробированы военным ведомством США в середине 90-х годов. Тем не менее за прошедшие несколько лет растущая армия поставщиков программного обес­печения успела выпустить несколько пакетов программ, нацеленных на выявление хакерских атак. Одни производители предлагают серверные продукты, обеспечиваю­щие защиту операционных систем, Web-серверов и баз данных. Другие рассматрива­ют проблему защиты с общесетевых позиций, и их разработки позволяют сканировать весь сетевой трафик для выявления пакетов сомнительного происхождения.

Что касается экономической стороны дела, то рынок детектирующих систем обоих типов бурно развивается. По данным компании IDC, в 1997 году его оборот составлял 20 млн долларов, а уже в 2000 году достиг 100 млн долларов. Оценки дальнейшего развития весьма оптимистичны: аналитики IDC полагают, что мировые продажи про­грамм обнаружения сетевых атак в 2005 году перевалят за 500 млн долларов.

В такой сфере, как обнаружение сетевых атак, процесс совершенствования беско­нечен. Хакеры не устают изобретать все новые схемы проникновения в компьютерные системы. Стоящие по другую сторону баррикад разработчики детектирующих прило­жений отслеживают появляющиеся новинки и спешат предложить свои контрмеры. Вот почему выпускаемые продукты требуют постоянной модернизации и пользовате­лям настоятельно рекомендуется устанавливать обновленные сигнатуры, позволяю­щие идентифицировать новые виды сетевых атак.

Старое антивирусное программное обеспечение подобно лекарству с истекшим сроком годности — толку от него мало. Если не обновлять файлы сигнатур, то рано или поздно можно оказаться беззащитными против новых вирусов. Большинство фирм, производящих антивирусы, выпускают новые файлы сигнатур по крайней мере два раза в месяц и чаще, если появляется серьезный вирус. Для получения новых сигнатур удобно пользоваться функцией автоматического обновления через Web, имеющейся в антивирусном пакете.

Сопровождение через Internet программы PC-cillin, например, обладает уникаль­ной особенностью. Вы можете не только запросить консультацию по электронной почте, но и в любое время суток поболтать в реальном времени со специалистом службы сопровождения Trend. (Разумеется, от этой замечательной ус­луги не особенно много проку, если компьютер заблокирован и войти в Internet невозможно, однако она бесплатна.)

Такие антивирусные продукты, как Norton AntiVirus 2000 и McAfee VirusScan, поддерживают самые крупные исследо­вательские группы отрасли: соответственно Symantec AntiVirus Research Center и AntiVirus Emergency Response Team. Поэтому Norton и McAfee исключительно быстро реа­гируют на угрозу нового вируса.

Чтобы снизить число дорогостоящих телефонных консуль­таций, антивирусные компании стараются усилить поддержку через Internet. Но иногда все-таки бывает нужно задать вопрос живому человеку. Если вы купили продукт, то, скорее всего, получите сопровождение по телефону и через Internet бесплатно, а вот в случае бесплатных пакетов поддержка будет стоить денег.

Все основные фирмы-поставщики антивирусного обеспечения регулярно и притом часто обновляют файлы сигнатур вирусов, а при появлении особо зловредного вируса делают дополнительный экстренный выпуск. Еще совсем недавно считалось, что сиг­натуры нужно обновлять ежемесячно, но в нашу эпоху новых отвратительных виру­сов, возможно, будет разумным проверять их каждую неделю вручную или с помощью автоматического обновления антивирусной программы. В утилитах McAfee, Symantec и Trend Micro для обновления достаточно один раз щелкнуть кнопкой мыши.

Распространение противоядия в рамках корпоративной среды возвращает нас об­ратно к вопросу времени реакции со стороны поставщика антивирусных средств. Ко­нечно, доставка сигнатур новых вирусов на настольные системы чрезвычайно важна, но для того чтобы их распространять, эти сигнатуры надо сначала получить. В идеале их хотелось бы иметь до того, как ваш компьютер будет атакован.

Обычно поставщик антивирусных средств дает ответ в течение не более двух суток после предоставления ему подозрительного файла (срок в 48 час. стал, по сути, стан­дартной верхней границей). Однако в наши дни 48 час. — это слишком долго, за это время могут быть инфицированы тысячи рабочих станций. Можно это делать быстрее, используя автоматизацию, которая будет играть все более важную роль в разрабатыва­емых централизованных корпоративных системах, куда выявленные с помощью эврис­тических средств образцы можно направлять на карантин и откуда их передают постав­щику антивирусных средств. В этом случае анализ образцов поставщиком может быть автоматизирован. Под этим подразумевается автоматическое тиражирование образцов, определение наличия инфекции, автоматическое создание лекарства для этой инфек­ции, автоматическая проверка лекарства и передача его обратно корпоративному кли­енту и любым другим клиентам этой сети. Результат — вместо обещаемых большин­ством компаний 48 час. вся процедура продлится около получаса, и даже быстрее.

Компания Symantec, например, уже сегодня располагает подобной системой для макровирусов, т. е. вирусов Word for Windows и Excel. Ей требуется два часа, чтобы предоставить вам набор определений для противодействия новому вирусу (если он никогда ранее не встречался), — и все это исключительно посредством компьютера.

Определенный набор средств антивирусной защиты присутствует во всех утили­тах основных фирм-производителей программного обеспечения. Таковы постоянная защита от вирусов (антивирусный монитор), проверка системы по расписанию и об­новление сигнатур через Internet, а также создание аварийной загрузочной дискеты, позволяющей запустить компьютер даже тогда, когда у него заражен вирусом загру­зочный сектор (естественно, дискету надо создать до того, как вирус попал в компью­тер). Помимо этих стандартных средств, некоторые пакеты содержат «архитектурные излишества»: например, специальную добавочную защиту от почтовых вирусов (тре­вога по поводу которых нарастает), а также зловредных модулей ActiveX и Java-аплетов (которые до сих пор редкость). А такие программы, как Panda Antivirus Platinum и PC-cillin, даже позволяют родителям заблокировать доступ детей к нежелательным Web-страницам. Характеристики категорий антивирусного программного обеспече­ния представлены в табл. 3.7.

Таблица 3.7. Характеристики категорий антивирусного программного обеспечения

Категория Название антивирусного программного обеспечения Характеристика антивирусов
  Command Antivirus Деловой подход, простота, доступность, реагируют на угрозу нового вируса
  F-Secure  
  Inoculate IT Высокая скорость распознавания вирусов, пропуск вирусов
  Norman Virus Control  
  Norton Antivirus Лучший антивирус по всем показателям
  McAfee Virus Scan Большая информативность
  Panda Antivirus Platinum Блокируют доступ компьютеров к нежелательным Web-страницам. Возможность консультации по электронной почте
  PC-citlin  

Поскольку у новых вирусов имеются новые сигнатуры, файлы сигнатур необходи­мо поддерживать в актуальном состоянии. При выходе новой версии антивируса фор­мат файла сигнатур обычно меняется, и обновленные сигнатуры оказываются несов­местимы с предыдущими версиями программы. Именно поэтому антивирусное программное обеспечение уже довольно давно продается по той же схеме, что бритвы и лезвия: однажды купив основную утилиту (бритву), вы затем вынуждены постоянно покупать обновленные файлы сигнатур (лезвия).

Так, компании McAfee и Symantec предоставляют право неограниченного обнов­ления сигнатур в течение года с момента приобретения утилиты, но за каждый следу­ющий год нужно в обоих случаях заплатить 4 доллара. Такую сумму вряд ли можно считать серьезным ударом по карману (в отличие от подписки на обновленные файлы сигнатур F-Secure, которая стоит 63 доллара); кроме того, через год вы с большой вероятностью захотите обновить саму программу. Их основные конкуренты — Command AntiVirus, Inoculate IT, Panda Antivirus Platinum и PC‑cillin — предлагают бесплатное обновление сигнатур в течение всей жизни продукта.

В настоящее время способы предоставления антивирусной защиты существенно меняются. Компания McAfee.com (существующая отдельно от McAfee Software) уже предлагает проверку на вирусы через Internet в своей «электронной больнице» McAfee Clinic (наряду с еще несколькими видами диагностики). Услуга предоставляется по подписке и стоит 50 долларов в год, но часто появляются специальные предложения, а за первые две недели плата не берется — это испытательный период. Проверку уда­ленных компьютеров на вирусы производит модуль ActiveX, который берет сигнату­ры с Web-сервера производителя программы.

К сожалению, сегодня производители не располагают какими бы то ни было сверх­новыми технологиями для упрощения процедуры постоянной модернизации приобре­тенного заказчиками программного обеспечения. Более того, даже самостоятельная загрузка пользователями обновлений для базы данных с сервера производителя, став­шая общим местом в индустрии антивирусного программного обеспечения, для по­ставщиков средств обнаружения сетевых атак пока еще в диковинку.

В качестве потенциального выхода из создавшегося положения эксперты по систе­мам сетевой безопасности рассматривают применение технологий искусственного интеллекта. Они позволили бы распознавать угрозы отдельным компьютерам или сети в целом без использования файлов сигнатур, требующих постоянного обновления. Отдельные продукты предоставляют пользователям возможность добавлять в систе­му собственные сигнатуры сетевых атак (например, для защиты специфических при­ложений). Такая гибкость достигается путем включения в комплект поставки допол­нительных инструментальных средств.

Существенным недостатком многих систем обнаружения атак является их неспо­собность выдавать предупреждающие сообщения на консоли основных платформ се­тевого администрирования. Диагностическая информация и отчеты о событиях, как правило, объединяются только на их собственных управляющих станциях. Это зат­рудняет принятие ответных мер против хакера.

Системы выявления сетевых атак, предлагаемые фирмами Network Associates и ISS, способны взаимодействовать с рядом брандмауэров и платформ сетевого администри­рования, однако в настоящее время эти компании заняты реализацией технологии ав­томатического реагирования на попытки несанкционированного доступа, что предпо­лагает более активное участие представителей всей сетевой индустрии. Основная идея такой технологии состоит в установке на хостах и отдельных сетевых устройствах «сканеров» сетевых атак, которые при обнаружении серьезной угрозы информацион­ной безопасности могли бы активизировать средства защиты без вмешательства адми­нистратора.

Сети становятся все более уязвимыми к инфицированным сообщениям электрон­ной почты. Этому способствует интерактивный характер приложений, незакрытые бреши в системах защиты и постоянное совершенствование вирусных программ. Ви­русы, подобные LoveLetter и Prolin, способны самотиражироваться по электронной почте, используя недостатки таких программ, как Microsoft Outlook и Outlook Express. В силу активного характера каждого из этих вирусов за считанные часы могут быть разосланы тысячи инфицированных сообщений, в результате чего вирусы окажутся в системе других клиентов. Вирус Melissa, появившийся в марте 1999 года, стал первым широко распространенным размножающимся по почте вирусом и вызвал многочис­ленные сбои на корпоративных серверах электронной почты, буквально засыпав их огромным количеством сообщений. Созданный тоже не так давно вирус LoveLetter точно так же поразил серверы электронной почты. По некоторым оценкам, ущерб от него в различных организациях по всему миру составил несколько миллиардов долла­ров.

Помимо переполнения системы электронной почты, вирус может повредить фай­лы, переслать конфиденциальную информацию путем рассылки документов, иниции­ровать атаку на отказ от обслуживания (Denial of Service, DoS), изменить и удалить конфигурационные настройки, хранящиеся в памяти CMOS и во Flash BIOS систем­ных плат некоторых типов.

Как правило, для доставки своего «смертоносного груза» вирусы используют код HTML в теле сообщения электронной почты. Вирус KakWorm, например, скрывается в подписи, передаваемой вместе с сообщениями электронной почты MS Outlook Express 5. Он написан на JavaScript и распространяется через английскую и француз­скую версии Windows 95/98. Этот червь заражает систему в тот момент, когда пользо­ватель открывает или просто просматривает инфицированное сообщение электронной почты. Поскольку многие так и не установили необходимую заплатку для Outlook, этот вирус по-прежнему широко распространен, хотя впервые он был обнаружен еще в октябре 1999 года.

На программы электронной почты MS Outlook и Outlook Express рассчитано нема­ло вирусов, в том числе Bubble-Boy, Stages, Lucky, Melissa, NewLove и LoveLetter. Хотя некоторые из наиболее распространенных вирусов и «червей» появляются на настольной системе пользователя как код HTML в теле сообщения, многие, тем не менее, рассылаются в виде прикрепленных файлов, зачастую с «замаскированными» расширениями. Чаще всего они представляют собой файлы в формате DOC, внутри которых находятся вредоносные макросы. Хотя количество макровирусов продолжа­ет быстро расти, подавляющее число инцидентов связано с вирусами, рассылающими себя по электронной почте.

Хотя основную угрозу представляет традиционный вредоносный код, проблемы может вызвать и код иного типа. Например, внешний вид многих коммерческих Web-сайтов формируется с помощью апплетов JavaScript и элементов управления ActiveX. Чтобы эта схема работала, пользователь должен загрузить данный мобильный код на настольную систему, где тот получает доступ к жесткому диску. Код такого типа мо­жет читать, удалять и изменять файлы, а кроме того, способен обращаться к файлам на компьютерах, подключенных к данному через локальную сеть.

Поскольку апплеты Java относят к не вызывающему доверия коду, они работают внутри виртуальной машины в так называемой «песочнице». Теоретически это при­звано ограничить выполняемые ими операции и уберечь от несанкционированных дей­ствий компьютер пользователя. Зачастую ActiveX воспринимается как более серьез­ная угроза, потому что, по существу, он представляет собой компактную версию OLE, позволяющую напрямую обращаться к оригинальным вызовам Windows и связывать их с любой системной функцией.

Более того, поскольку хакер может присоединить апплет Java к электронной по­чте, браузер способен автоматически активировать этот апплет. Узнать, на какие раз­рушительные действия способно вредоносное программное обеспечение на основе JavaScript и ActiveX, можно на многих сайтах.

Основную проблему, сдерживающую широкое распространение продуктов рассмат­риваемого класса, представляют заоблачные цены, которые оказываются не по зубам небольшим компаниям — самой легкой добыче злоумышленников. Скажем, типичная стоимость серверного агента в таких системах составляет 4000 долларов. В результа­те большинство организаций вынуждены устанавливать детектирующее программное обеспечение только на наиболее уязвимых сетевых узлах, например, на брандмауэрах или на серверах с конфиденциальной информацией делового характера.

Однако, все не так уж плохо, как кажется на первый взгляд. Корпоративные заказ­чики, например, могут теперь оперативно решить проблемы информационной безо­пасности благодаря растущему предложению коммерческих услуг в этой области со стороны независимых фирм.

Это связано с тем, что сегодня налицо дефицит специалистов высокой квалификации в области сетевой безопасности, да к тому же обладающих практическим опытом обна­ружения хакерской активности. Поэтому организации предпочитают делегировать ре­шение возникающих задач немногочисленным специализированным компаниям.

Можно также обратиться к компаниям, оказывающим специализированные услуги по организации безопасности информационных систем. Они обычно предлагают целый пакет услуг, включающий в качестве базовых компонентов межсетевые экраны и систе­мы выявления вторжений (Intrusion Detection System, IDS). В пакет услуг может вхо­дить и оценка слабых мест в системе защиты, и проверка возможности проникновения в систему, и централизованная защита и др. Это, конечно, недешево, но такие трудоемкие задачи, как мониторинг работы межсетевого экрана и журналов системы выявления втор­жений (IDS), не слишком дороги, зато сэкономят время для не менее важных дел.

Для улучшения качества антивирусной защиты необходимо обучать пользовате­лей. Правила, действующие вчера, сегодня уже не работают. Пользователей необхо­димо информировать о возможном риске, они должны быть особенно внимательны при просмотре электронной почты и работе с ней. Кроме того, важно, чтобы они пред­видели неприятные последствия об изменении настроек защиты или установки про­граммного обеспечения, не являющегося корпоративным стандартом.

Компьютерная безопасность требует, чтобы ей каждый день уделялось время и внимание. Устанавливая очередную «заплату», внимательно наблюдая за появлением новых.уязвимых мест в системе, повышая свою квалификацию и изучая опыт более осведомленных в этой области людей, вы можете поддерживать свою сеть в стабиль­ном состоянии. Квалифицированный администратор сетевой безопасности — вот от­личная защита от незаконных вторжений в информационную систему. Поэтому луч­шей инвестицией станет обучение сотрудников, ответственных за безопасность. Но ничто не сравнится с практическим обучением. А для этого потребуется собственная лаборатория, где администраторы могли бы экспериментировать без опасения поме­шать работе основной сети.

Но это в общем. А что делать пользователю, если заражение уже произошло? Преж­де всего, не надо паниковать. Первый шаг при обнаружении атаки на систему — это ее идентификация. Для успешной идентификации атаки необходимо наличие загрузоч­ного диска, создаваемого при установке системы, и осуществление загрузки системы с его помощью.

Если атака идентифицируется антивирусом, проблема решается фактически мо­ментально. Но, если вы имеете дело с неизвестным вирусом, во многих случаях кри­тичным является время, за которое была идентифицирована атака. Поэтому решаю­щее значение имеет способность пользователя быстро обнаружить вирусную атаку (признаками могут служить массовая рассылка почты, уничтожение файлов и т. д.). Сложность идентификации часто зависит от сложности самой атаки. На данном этапе желательно установить, как минимум, следующие признаки:

– сам факт атаки;

– тип атаки (сетевая или локальная);

– источник происхождения.

Вне зависимости от типа операционной системы необходимо обращать внимание на следующую активность в системе:

– целостность программного обеспечения, используемого для обнаружения нару­шителя;

– целостность критичных для безопасности системы программ и данных;

– операции в системе и сетевой трафик.

Если вы смогли определить факт вирусного заражения неизвестным вирусом (или у вас есть такие небезосновательные подозрения), то желательно обратиться к произ­водителю используемого антивирусного программного обеспечения. Кроме того, не­обходимо проанализировать последствия вирусной атаки. Если в вашей системе обра­батывались какие-то ценные данные, то настоятельно рекомендуется иметь их резервную копию. Для этого должны быть разработаны правила резервного копирова­ния. К сожалению, если резервная копия отсутствует, данные могут быть утеряны на­всегда (это уже зависит не от вас, а от злоумышленника, написавшего вирус).

В любом случае необходимо помнить: наличие адекватных средств защиты и дисциплины их применения позволяет если не избежать вирусной атаки, то, по крайней мере, минимизировать ее последствия. Для этого всегда проверяйте файлы, попадаю­щие на ваш компьютер. Нужно помнить, что любой из них может быть заражен виру­сом. Никогда не позволяйте посторонним работать на вашем компьютере — именно они чаще всего приносят вирусы. Особое внимание следует уделять играм: ведь часто вирусы распространяются именно так. Новые игры и программы всегда нужно прове­рять на наличие вирусов. Кажется очевидным, что лучше чуть-чуть потесниться и най­ти 8-12 кбайт свободного места в оперативной памяти, скажем в UMB, где можно разместить «недремлющее око» резидентного монитора, контролирующее все вирусоподобные проявления и предотвращающее малейшие попытки вирусного зараже­ния. А сканировать лучше прямо на сервере, так как в сетевых антивирусных системах это обычная опция.

В большинстве организаций антивирусное программное обеспечение установле­но, по крайней мере, на настольных компьютерах. Весьма разумным вложением средств было бы также добавление антивирусного программного обеспечения на шлюзы элек­тронной почты и межсетевые экраны. Согласно данным опроса, проведенного в круп­ных организациях компанией Tru-Secure, большинство вирусов и другой вредоносный код попадают в систему через электронную почту. Выявление как можно большего числа потенциальных проблем на основной точке входа в систему значительно сокра­щает внутренние работы.

К сожалению, большая часть антивирусного программного обеспечения плохо скон­фигурирована и анализирует лишь часть потенциально инфицированных объектов. В электронной почте и на настольной системе имеет смысл использовать сканер, на­строенный так, чтобы он проверял все файлы. Учитывая, что содержать инфицирован­ные объекты могут более 200 типов файлов, сканировать нужно не только файлы, расширение которых совпадаете одним из предлагаемого вместе с продуктом списка.

Кроме того, следует иметь в виду, что заданные по умолчанию в большинстве приложений настройки защиты неадекватны реальной среде. Поскольку исследова­тели обнаруживают все новые уязвимые места в продуктах, необходимо постоянно следить за выпуском новых «заплаток». Это можно сделать, подписавшись на бюл­летень новостей по вопросам защиты компании Microsoft и других компаний, отсле­живающих ошибки в программном обеспечении, например, на списки рассылки Security-Focus.

Применяемые средства защиты должны быть как можно более разнообразными, в частности, антивирусные сканеры от различных производителей на каждом рубеже системы защиты:

– межсетевых экранах;

– почтовых серверах;

– файловых серверах;

– настольных системах.

Эти многочисленные фильтры теоретически позволяют отсечь больше вирусов, поскольку часто разные продукты способны выявлять различные виды вредоносного программного обеспечения. Несмотря на рост затрат в случае применения различных сканеров (как правило, на разных уровнях системы защиты), преимущества переве­шивают недостатки.

Многие преступления в сфере информационных технологий стали возможны бла­годаря тому, что хакеры находят бреши в программном обеспечении, которые позво­ляют легко обойти сетевую защиту. Это происходит почти с каждой известной про­граммой. В девяти случаях из десяти они используют в своих интересах старые, давно известные недоработки в программах, для которых уже существуют «заплаты», кото­рые не успели или не побеспокоились применить.

Теоретически установка «заплаты» не так уж сложна, хотя на практике не все так просто даже для опытных администраторов, которые стараются быть в курсе самых последних разработок. Самое главное — не нужно опаздывать с установкой «заплат» в своей системе. При этом одна из трудностей заключается в том, что в информацион­ных системах устанавливается все больше и больше новых программных продуктов. Количество же брешей, выявляемых еженедельно, увеличилось более чем в два раза за период с 1999 года по 2000 год. Хакеры могут использовать эти недоделки, чтобы проникнуть в компьютерные сети и вывести их из строя. В результате поставщики программного обеспечения вынуждены регулярно создавать «заплаты» на эти уязви­мые места.

В руках сетевого администратора анализатор протоколов — весьма полезный ин­струмент, помогающий находить и устранять неисправности, избавляться от узких мест, снижающих пропускную способность сети, и обнаруживать проникновение в нее ком­пьютерных взломщиков. Для тех, кто желает дать отпор компьютерным взломщикам, использующим анализаторы протоколов для организации атак на компьютерные сис­темы, подключенные к сети, можно посоветовать следующее:

– обзаведитесь сетевым адаптером, который принципиально не может функцио­нировать в беспорядочном режиме;

– приобретите современный сетевой интеллектуальный коммутатор;

– не допускайте несанкционированной установки анализаторов протоколов на ком­пьютеры сети;

– шифруйте весь трафик сети.

Сетевые адаптеры, которые принципиально не могут функционировать в беспоря­дочном режиме, на самом деле существуют. Одни адаптеры не поддерживают беспо­рядочный режим на аппаратном уровне (их меньшинство), а остальные просто снаб­жаются драйвером, не допускающим работу в беспорядочном режиме, хотя этот режим и реализован в них аппаратно. Чтобы отыскать адаптер, не поддерживающий беспоря­дочный режим, достаточно связаться со службой технической поддержки любой ком­пании, торгующей анализаторами протоколов, и выяснить, с какими адаптерами их программные пакеты не работают.

Учитывая, что спецификация РС99, подготовленная по инициативе корпораций Microsoft и Intel, требует безусловного наличия в сетевой карте беспорядочного режи­ма, необходимо приобрести современный сетевой интеллектуальный коммутатор, ко­торый буферизует каждое отправляемое по сети сообщение в памяти и отправляет его по мере возможности точно по адресу. В результате отпадает надобность в «прослу­шивании» сетевым адаптером всего трафика для того, чтобы выбирать из него сообще­ния, адресатом которых является данный компьютер.

Чтобы не допустить несанкционированной установки анализаторов протоколов на компьютеры сети, следует применять средства из арсенала, который повсеместно ис­пользуется для борьбы с программными закладками и, в частности, с троянскими про­граммами.

Для шифрования всего трафика сети имеется широкий спектр программных па­кетов, которые позволяют делать это достаточно эффективно и надежно. Возмож­ность шифрования почтовых паролей предоставляется протоколом АРОР (Authentication POP) — надстройкой над почтовым протоколом POP (Post Office Protocol). При работе с протоколом АРОР по сети каждый раз передается новая за­шифрованная комбинация, которая не позволяет злоумышленнику извлечь какую-либо пользу из информации, перехваченной с помощью анализатора протоколов. Проблема только в том, что не все почтовые серверы и клиенты поддерживают про­токол АРОР.

Другой продукт под названием Secure Shell (SSL) был изначально разработан фин­ской компанией SSH Communications Security и в настоящее время имеет множество реализаций, доступных бесплатно через Internet. Программный продукт SSL пред­ставляет собой защищенный протокол для осуществления безопасной передачи сооб­щений по компьютерной сети с помощью шифрования.

Особую известность среди компьютерных пользователей приобрела серия про­граммных пакетов, предназначенных для защиты передаваемых по сети данных путем шифрования и объединенных присутствием в их названии аббревиатуры PGP (Pretty Good Privacy).

Кроме программных, существуют и аппаратные средства защиты. Имеются спе­циальные дополнительные устройства, обеспечивающие достаточно надежную за­щиту. В отличие от всех рассмотренных выше антивирусных средств, аппаратный комплекс Sheriff, например, способен предотвратить нападение вируса. К сожале­нию, всегда существуют области жесткого диска, не защищенные платой Sheriff, a такие области есть практически всегда. То есть если защитить винчестер целиком, то как же работать?

Необходимо помнить, что антивирусные средства должны применяться комплекс­но и только такая комплексная защита с использованием надежного ревизора (ADinf), фагов DrWeb и Aidstest, а при необходимости и платы Sheriff, способна обеспечить максимальную безопасность.

Помимо программного обеспечения для сканирования на наличие вирусов, есть еще, например, блокираторы действий, программы контроля доступа и модули про­верки целостности. Эти программы препятствуют совершению злонамеренных дей­ствий или модификации существующих файлов, а не сканируют файлы в поиске изве­стного вредоносного программного обеспечения. Такой подход обеспечивает дополнительную защиту от атак, осуществляемых с помощью ActiveX, Java и другого разрушительного невирусного кода.

Подобные функции выполняют продукты таких производителей, как Aladdin, Computer Associates, Pelican Security, Sandbox Security, Stiller Research и Trend Micro. Они выявляют вредоносный код Java и ActiveX либо путем использования списков известных блоков кода, либо посредством выявления вредоносных действий.

Методы защиты от программных закладок

Признаки, выявляемые с помощью средств тестирования и диагностики, характер­ны как для компьютерных вирусов, так и для программных закладок. Например, заг­рузочные закладки успешно обнаруживаются антивирусными программами, которые сигнализируют о наличии подозрительного кода в загрузочном секторе диска. С ини­циированием статической ошибки на дисках хорошо справляется Disk Doctor, входя­щий в распространенный комплект утилит Norton Utilities. А средства проверки цело­стности данных на диске типа Adinf позволяют успешно выявлять изменения, вносимые в файлы программными закладками. Кроме того, эффективен поиск фрагментов кода программных закладок по характерным для них последовательностям нулей и единиц (сигнатурам), а также разрешение выполнения только программ с известными сигна­турами.

Выявление внедренного кода программной закладки заключается в обнаружении признаков его присутствия в компьютерной системе. Эти признаки можно разделить на следующие два класса:

– качественно-визуальные;

– обнаруживаемые средствами тестирования и диагностики.

К качественно-визуальным признакам относятся ощущения и наблюдения пользо­вателя компьютерной системы, который отмечает определенные отклонения в ее ра­боте (изменяются состав и длины файлов, старые файлы куда-то пропадают, а вместо них появляются новые, программы начинают работать медленнее или заканчивают работу слишком быстро, или вообще перестают запускаться).

Несмотря на то, что суждение о наличии признаков этого класса кажется слишком субъективным, тем не менее, они часто свидетельствуют о наличии неполадок в ком­пьютерной системе и, в частности, о необходимости проведения дополнительных про­верок присутствия программных закладок средствами тестирования и диагностики.

Например, пользователи пакета шифрования и цифровой подписи «Криптоцентр» с некоторых пор стали замечать, что цифровая подпись под электронными документа­ми ставится слишком быстро. Исследование, про­веденное специалистами ФАПСИ, показало при­сутствие программной закладки, работа которой основывалась на навязывании длины файла, В дру­гом случае тревогу забили пользователи пакета шифрования и цифровой подписи «Криптон», ко­торые с удивлением отметили, что скорость шиф­рования по криптографическому алгоритму ГОСТ 28147-89 вдруг возросла более, чем в 30 раз. А в третьем случае программная закладка обнаружила свое присутствие в программе кла­виатурного ввода тем, что пораженная ею программа перестала нормально работать.

Задача защиты от программных закладок может рассматриваться в трех принципи­ально различных вариантах:

– не допустить внедрения программной закладки в компьютерную систему;

– выявить внедренную программную закладку;

– удалить внедренную программную закладку.

При рассмотрении этих вариантов защита от программных закладок сходна с за­щитой) компьютерных систем от вирусов. Как и в случае борьбы с вирусами, задача решается с помощью средств контроля за целостностью запускаемых системных и прикладных программ, а также за целостностью информации, хранимой в компьютер­ной системе и за событиями, критическими для функционирования системы. Однако данные средства действенны только тогда, когда сами они не подвержены влиянию программных закладок, которые могут:

– навязывать конечные результаты контрольных проверок;

– влиять на процесс считывания информации и запуск программ, за которыми осу­ществляется контроль;

– изменять алгоритмы функционирования средств контроля.

При этом чрезвычайно важно, чтобы включение средств контроля выполнялось до начала воздействия программной закладки либо когда контроль осуществлялся только с использованием программ управления, находящихся в ПЗУ компьютерной системы.

Интересный метод борьбы с внедрением программных закладок может быть ис­пользован в информационной банковской системе, в которой циркулируют исключи­тельно файлы-документы. Чтобы не допустить проникновения программной закладки через каналы связи, в этой системе не допускается прием никакого исполняемого кода. Для распознавания событий типа «ПОЛУЧЕН ИСПОЛНЯЕМЫЙ КОД» и «ПОЛУ­ЧЕН ФАЙЛ-ДОКУМЕНТ» применяют контроль за наличием в файле запрещенных символов: файл считается содержащим исполняемый код, если в нем присутствуют символы, которые никогда не встречаются в файлах-документах.

Конкретный способ удаления внедренной программной закладки зависит от мето­да ее внедрения в компьютерную систему. Если это программно-аппаратная закладка, то следует перепрограммировать ПЗУ компьютера. Если это загрузочная, драйверная, прикладная, замаскированная закладка или закладка-имитатор, то можно заме­нить их на соответствующую загрузочную, запись, драйвер, утилиту, прикладную или служебную программу, полученную от источника, заслуживающего доверия. Нако­нец, если это исполняемый программный модуль, то можно попытаться добыть его исходный текст, убрать из него имеющиеся закладки или подозрительные фрагменты, а затем заново откомпиллировать.

Универсальным средством защиты от внедрения программных закладок является создание изолированного компьютера (рис. 3.37). Компьютер называется изолирован­ным, если выполнены следующие условия:

– в нем установлена система BIOS, не содержащая программных закладок;

– операционная система проверена на наличие в ней закладок;

– достоверно установлена неизменность BIOS и операционной системы для дан­ного сеанса;

– на компьютере не запускалось и не запуска­ется никаких иных программ, кроме уже про­шедших проверку на присутствие в них закла­док;

– исключен запуск проверенных программ в каких-либо иных условиях, кроме перечислен­ных выше, т. е. вне изолированного компьютера.

Для определения степени изолированности компьютера может использоваться модель сту­пенчатого контроля. Суть ее заключается в сле­дующем. Сначала производится проверка, нет ли изменений в BIOS. Затем, если все в порядке, считываются загрузочный сектор диска и драйверы операционной системы, кото­рые, в свою очередь, также анализируются на предмет внесения в них несанкциониро­ванных изменений. И, наконец, с помощью операционной системы запускается драйвер контроля вызовов программ, который следит за тем, чтобы в компьютере запускались только проверенные программы.

 

<== предыдущая лекция | следующая лекция ==>
Антивирусное программное обеспечение | Методы и средства защиты информации от удаленных атак
Поделиться с друзьями:


Дата добавления: 2014-01-07; Просмотров: 874; Нарушение авторских прав?; Мы поможем в написании вашей работы!


Нам важно ваше мнение! Был ли полезен опубликованный материал? Да | Нет



studopedia.su - Студопедия (2013 - 2024) год. Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав! Последнее добавление




Генерация страницы за: 0.092 сек.