Компьютерные вирусы и средства защиты от них

Источники компьютерных вирусов. Защита от компьютерных вирусов — отдельная проблема, описанию решений которой посвящено много книг, учебников и учебных пособий, в том числе и учебное пособие авторов «Антивирусная защита корпоративных и банковских информационных систем». В них данная проблема рассматривается с разных точек зрения и определяются разнообразные подходи к решению задач.

В данном учебном пособии приведены лишь некоторые сведения, необходимые для ознакомления с проблемой и отдельными путями ее решения.

Для современных компьютерных сетей, состоящих из персональных компьютеров, большую опасность представляют злоумышленники, обладающие достаточно высоким профессиональным интеллектом и способностями. Деятельность этих лиц представляет серьезную опасность. Достаточно ознакомиться с соответствующей статистикой в информационной сети Интернет (по сетевым червям, например).

Подобные вредоносные действия наносят существенный ущерб владельцам компьютеров. Основная часть потерь связана с прекращением обработки информации, простоем терминалов пользователей и затратами на восстановление испорченных данных. Причем восстановление подчас бывает самой дорогостоящей процедурой. Опасность, которую представляет подобная деятельность, усугубляется еще и тем, что в их распоряжении находятся современные средства обмена информацией, такие, как глобальная информационная сеть Интернет.

Часто злоумышленниками становятся недовольные или нелояльные сотрудники, имеющие доступ к компьютерным средствам. Причем ущерб, который они могут нанести своими действиями, может быть особенно велик потому, что они досконально знакомы с особенностями системы защиты данной сети и, хорошо осведомлены о степени ценности тех или иных данных. При проникновении в компьютерную систему злоумышленник размещает в ней программу типа "Троянский конь", которая модифицирует работу программного обеспечения входа или управления обменом данными с сетью для того, чтобы выявить пароли пользователей и администраторов системы. Проникновение в систему часто осуществляется путем сообщения ей имен точек входа и паролей, используемых по умолчанию и упоминаемых в описании системы, а также за счет известных ошибок в средствах защиты. Если ошибки исправлены, то злоумышленникам часто удается угадать пароль. Эффективность угадывания паролей увеличивается с помощью программ расшифровки, которые вполне можно найти в определенных разделах сети Интернет.

Преступление с помощью компьютерных средств создает видимость безопасного для нарушителей благодаря следующим обстоятельствам:

 не оставляет почти никаких материальных свидетельств;

 не требует установления прямого контакта между преступником и его жертвой;

 осуществляется достаточно быстро (при необходимой предварительной подготовке);

 требует применения сложных технических средств для сбора косвенных улик и доказательств виновности.

Необходимо отметить, что уже выработано достаточно четких правовых норм, классифицирующих факт данных преступлений и ответственность за них.

Не существует ни одной исчерпывающей модели поведения при совершении компьютерных преступлений. Ранее много вторжений осуществлялось злоумышленниками, которые испытывают потребность совершить то, что, по их мнению, является решением интеллектуальной задачи или головоломки, которую они считают вызовом своим способностям. Сейчас вторжения чаще всего носят финансовый характер, т.е. заказной. И поэтому становятся более серьезными как по последствиям, так и по арсеналу применяемого инструментария.

Вредоносные действия при помощи компьютерных средств сейчас совершают не столько одиночки, сколько коллективы и сообщества.

Что создает еще большие трудности противостоянию данным деструктивным процессам в информационных системах, и заставляет специалистов работающих в области защиты информации еще более мобилизоваться и кооперироваться для успешных действий.

При автономном режиме работы компьютера источниками компьютерного вируса могут быть посторонние носители программных изделий: внешние носители информации и совместная работа за одним компьютером с нарушителем. Попадание вируса в компьютер происходит по причинам случайного и преднамеренного характера. Отсутствие учета и порядка в хранении внешних носителей, их проверке перед использованием может привести к преднамеренной подмене на "зараженный" носитель.

В компьютерную сеть вирус может проникнуть и по каналам связи вместе с сообщением, принятым пользователем-нарушителем, имеющим законный доступ или же подключившимся к сети незаконным образом.

Потенциальные угрозы и характер проявления компьютерных вирусов. Компьютерный вирус — это специально написанная, обычно небольшая по размерам программа, которая может "приписывать" себя к другим программам (т. е. "заражать" их), а также выполнять различные нежелательные действия на компьютере (например, портить файлы или таблицу размещения файлов на диске, "засоряя" оперативную память, и т. д.). Подобные действия выполняются достаточно быстро, и никаких сообщений при этом на экран не выдается. Далее вирус передает управление той программе, в которой он находится. Внешне работа зараженной программы выглядит так же, как и незараженной.

Некоторые разновидности вирусов устроены таким образом, что после первого запуска зараженной этим вирусом программы вирус остается постоянно (точнее до перезагрузки операционной системы) в памяти компьютера и время от времени заражает файлы и выполняет другие вредные действия на компьютере. По прошествии некоторого времени одни программы перестают работать, другие — начинают работать неправильно, на экран выводятся произвольные сообщения или символы и т. д. К этому моменту, как правило, уже достаточно много (или даже большинство) программ оказываются зараженными вирусом, а некоторые файлы и диски испорченными. Более того, зараженные программы могут быть перенесены с помощью внешних носителей или по локальной сети на другие компьютеры.

Компьютерный вирус может испортить, т. е. изменить любой файл на имеющихся в компьютере дисках, а может "заразить". Это означает, что вирус "внедряется" в эти файлы, т. е. изменяет их так, что они будут содержать сам вирус, который при некоторых условиях, определяемых видом вируса, начнет свою разрушительную работу. В настоящее время, благодаря наличию макрокоманд, может заражаться, а не только быть испорченными, тексты программ и документов, информационные файлы баз данных, таблицы, картинки и другие аналогичные файлы.

Средства защиты от компьютерных вирусов. Одна из причин, из-за которых стало возможным такое явление, как компьютерный вирус, — отсутствие в операционных системах эффективных средств защиты информации от несанкционированного доступа. В связи с этим различными фирмами и программистами разработаны программы, которые в определенной степени восполняют указанный недостаток. "Эти программы постоянно находятся в оперативной памяти (являются "резидентными") и "перехватывают" все запросы к операционной системе на выполнение различных "подозрительных" действий, т. е. операций, которые используют компьютерные вирусы для своего "размножения" и порчи информации в компьютере.

При каждом запросе на такое действие на экран компьютера выводится сообщение о том, какое действие затребовано и какая программа желает его выполнять. Пользователь может либо разрешить выполнение этого действия, либо запретить его.

Такой способ защиты не лишен недостатков. Прежде всего резидентная программа для защиты от вируса постоянно занимает какую-то часть оперативной памяти компьютера, что не всегда приемлемо. Кроме того, при частых запросах, довольно ощутимо замедляется работа пользователя и отвечать на них может ему надоесть. И наконец, имеются виды вирусов, работа которых не обнаруживается резидентными программами защиты. Однако преимущества этого способа весьма значительны. Он позволяет обнаружить вирус на самой ранней стадии, когда вирус еще не успел размножиться и что-либо испортить. Тем самым можно свести убытки от воздействий компьютерного вируса к минимуму.

Более ранняя диагностика вируса в файлах на диске основана на том, что при заражении и порче вирусом файлы изменяются, а при заражении, как правило, еще и увеличиваются в своем размере. Для проверки того, не изменился ли файл, вычисляется его контрольная сумма — некоторая специальная функция всего содержимого файла. Для вычисления контрольной суммы необходимо прочесть весь файл, а это относительно длительный процесс. В связи с этим, как правило, при обычной проверке на наличие вируса вычисление контрольной суммы производится только для нескольких особо важных файлов, а у остальных файлов проверяется лишь их размер, указанный в каталоге. Подобную проверку наиболее целесообразно производить для файлов на жестком диске.

Большинство пользователей знают о том, что запись на дискету, флэш - карту и т.п. можно запретить, используя встроенную механическую защиту от записи. Эта возможность широко используется многими для защиты информации на "эталонных" подобных носителях, содержащих архивные файлы, программы и данные, которые могут использоваться, но не должны меняться. Этот же способ можно применить для защиты от вирусов рабочего носителя, в которую не потребуется вводить какую-либо запись.

Защитить файлы от записи можно и на жестком диске. Для этого поле памяти диска следует разбить с помощью специальных программ на несколько частей — условных логических дисков. Если на жестком диске имеется несколько логических дисков, доступных операционной системе, то некоторые из них можно сделать доступными только для чтения, что также послужит средством защиты от заражения или порчи вирусом (определенного уровня стойкости к взлому).

Если заранее известно (хотя бы приблизительно), какую часть жесткого диска могут занимать программы и данные, не изменяемые в процессе выполнения текущей задачи, то целесообразно разбить жесткий диск на два логических диска, один из которых отвести для хранения изменяемых программ и данных, а другой с защитой от записи — для хранения программ и данных, которые будут использоваться, но не изменяться.

Другой уровень защиты основывается:

на сегментации жесткого диска с помощью специального драйвера, обеспечивающего присвоение отдельным логическим дискам атрибута READ ONLY;

на системе парольного доступа;

на использовании для хранения ценной информации разделов жесткого диска, отличных от C и D, не указываемых в РАТН, или скрытых с помощью средств реестра операционной системы.

При этом рекомендуется раздельное хранение исполняемых программ и баз данных.

При правильном размещении операционной системы можно гарантировать, что после канальной загрузки она не будет заражена резидентным файловым вирусом. Главное в этом случае — разместить операционную систему в защищенном от записи разделе. Кроме того, вновь полученные утилиты нельзя включать в состав этого диска без тщательной проверки на отсутствие вирусов и прохождения "карантинного" режима.

Если программное изделие получено без сертификата, из сомнительного источника или не эксплуатировалось в том месте, откуда было получено, первые несколько дней его полезно эксплуатировать в карантинном режиме с использованием, если это возможно, ускоренного календаря. Это повышает вероятность обнаружения "троянской" компоненты, срабатывающей в определенное время. При работе со вновь поступившими программами целесообразно употребление специального имени пользователя. Для выбранного имени все остальные разделы должны быть либо невидимы, либо иметь статус READ ONLY. При этом для всех компонент операционной системы и некоторых утилит, используемых как "ловушки" для вируса, следует записать в соответствующий файл контрольные суммы, вычисленные соответствующей программой.

Основным средством защиты от вирусов служит архивирование. Другие методы заменить его не могут, хотя и повышают общий уровень защиты. Архивирование необходимо делать ежедневно. Архивирование заключается в создании копий используемых файлов и систематическом обновлении изменяемых файлов. Для этой цели удобно использовать специально разработанные программы. Они дают возможность не только экономить место на специальных архивных дисках, но и объединять группы совместно используемых файлов в один архивный файл, в результате чего гораздо легче разбираться в общем архиве файлов. Наиболее уязвимыми считаются таблицы размещения файлов, главного каталога и бутсектор. Файлы, создаваемые этими утилитами, рекомендуется периодически копировать на специальный носитель. Их резервирование важно не только для защиты от вирусов, но и для страховки на случай аварийных ситуаций или чьих-то действий, в том числе собственных ошибок. Современные операционные системы позволяют это делать в автоматическом или полуавтоматическом режиме, в них встроены программные утилиты так называемого аварийного восстановления.

В целях профилактики для защиты от вирусов рекомендуется:

 работа с внешними носителями информации, защищенными от записи;

 минимизация периодов доступности внешних носителей информации для записи;

 разделение внешних носителей информации между конкретными ответственными пользователями;

 разделение передаваемых и поступающих внешних носителей информации;

 раздельное хранение вновь полученных программ и эксплуатировавшихся ранее;

 хранение программ на жестком диске в архивированном виде.

Вновь поступившие программные изделия должны подвергаться входному контролю — проверке соответствия длины и контрольных сумм в сертификате полученным длинам и контрольным суммам. Систематическое обнуление первых трех байтов сектора начальной загрузки на полученных внешних носителях информации до их использования поможет уничтожению "бутовых" вирусов (хотя в настоящее время их распространение практически заблокированно).

Многие программисты и организации разрабатывают собственные или используют готовые программы для обнаружения и удаления вирусов на своих компьютерах и дисках. Обнаружение вируса основано на том, что каждая конкретная версия вируса, как любая программа, содержит присущие только ей комбинации байтов. Программы-фильтры проверяют, имеется ли в файлах на указанном пользователем носителе специфическая для данного вируса комбинация байтов. При ее обнаружении в каком-либо файле на экран выводится соответствующее сообщение. Для обнаружения вирусов также используется специальная обработка файлов, дисков, каталогов — вакцинирование: запуск резидентных программ-вакцин, имитирующих сочетание условий, в которых заработает данный тип вируса и проявит себя.

Существуют также специальные программы удаления конкретного вируса в зараженных программах. Такие программы называются программами-фагами. С зараженными файлами программа-фаг выполняет (если это возможно) действия, обратные тем, которые производятся вирусом при заражении файла, т. е. делает попытку восстановления файла. Те файлы, которые не удалось восстановить, как правило, считаются неработоспособными и удаляются.

Следует подчеркнуть, что действия, которые надо предпринять для обнаружения и удаления вируса, индивидуальны для каждой версии вируса. Пока не существует универсальной программы, способной обнаружить любой вирус. Поэтому надо иметь в виду, что заражение компьютера возможно и такой разновидностью вируса, которая не выявляется известными программами для их обнаружения.

В настоящее время трудно назвать более или менее точно количество типов вирусов, так как оно постоянно увеличивается. Соответственно увеличивается, но с некоторым запаздыванием, и число программ для их обнаружения, хотя в настоящее время существует определенный список лидеров – разработчиков в данной области создания антивирусного программного обеспечения.

Проблему защиты информации и программных продуктов от вирусов необходимо рассматривать в общем контексте проблемы защиты от несанкционированного доступа. Основной принцип, который должен быть положен в основу методологии защиты от вирусов, состоит в создании многоуровневой распределенной системы защиты, включающей приведенные выше средства. Наличие нескольких уровней позволяет компенсировать недостатки одних средств защиты достоинствами других. Если вирус обойдет один вид защиты, то может быть остановлен другим. Для того чтобы избежать появления компьютерных вирусов, необходимо соблюдать прежде всего элементарные следующие меры:

 не переписывать программное обеспечение с других компьютеров. Если это необходимо, то следует принять перечисленные выше меры;

 не допускать к работе на компьютере посторонних лиц, особенно если они собираются работать со своими носителями;

 не пользоваться посторонними носителями информации, особенно с компьютерными играми.

Дата добавления: 2014-12-08; Просмотров: 907; Нарушение авторских прав?; Мы поможем в написании вашей работы!