2015-05-27
690
Довольно интересным является портрет злоумышленника… кто именно может осуществить преднамеренную атаку.
В 1998 году в Экспертно-криминалистическом центре МВД России была проведена классификация компьютерных преступников. Обобщенный портрет отечественного компьютерного злоумышленника, созданный на основе этого анализа, выглядит так:
· мужчина в возрасте от 15 до 45 лет, имеющий многолетний опыт работы на компьютере либо почти не обладающий таким опытом;
· в прошлом к уголовной ответственности не привлекался;
· яркая мыслящая личность;
· способен принимать ответственные решения;
· хороший, добросовестный работник, по характеру нетерпимый к насмешкам и к потере своего социального статуса среди окружающих его людей;
· любит уединенную работу;
· приходит на службу первым и уходит последним; часто задерживается на работе после окончания рабочего дня и очень редко использует отпуск и отгулы.
Но это общий портрет. Согласно общепринятой классификации, компьютерных злоумышленников подразделяют на следующие категории:
|
|
|
хакер - лицо, проявляющее чрезмерный интерес к устройству сложных систем, как правило, компьютерных, и вследствие этого интереса обладающее большими познаниями по части архитектуры и принципов устройства вычислительной среды или технологии телекоммуникаций, что используется для похищения информации;
кракер - лицо, изучающее систему именно с целью ее взлома. Именно кракеры реализуют свои криминальные наклонности в похищении информации и написании вирусов разрушающих программное обеспечение;
вандал – лицо, ставящее своей целью разрушение системы. Они могут отформатировать диск, удалить все файлы не с целью получения материальной выгоды, а для собственного удовлетворения. Иногда их еще называют луддитами;
шутник – лицо, основной целью которого является достижение известности. Такие «шутники» пишут вирусы, использующие при проявлении имя автора, подменяют содержимое Интернет-ресурсов на собственные произведения и т.д.
Злоумышленник, осуществляющий осознанную атаку на информационную систему, способен нарушить целостность или доступность информации, но чаще всего целью предумышленной атаки является неправомерный доступ к информации, т.е. нарушение конфиденциальности.
Рассмотрим основные способы осуществления предумышленных атак и меры защиты от них.
2.2.1. Компьютерные вирусы и другие вредоносные программы.
В настоящее время под компьютерным вирусом принято понимать программный код, обладающий следующими необходимыми свойствами:
· способностью к созданию собственных копий, не обязательно совпадающих с оригиналом, но обладающих свойствами оригинала (самовоспроизведение);
|
|
|
· наличием механизма, обеспечивающего внедрение создаваемых копий в исполняемые объекты вычислительной системы.
Условно жизненный цикл любого компьютерного вируса можно разделить на пять стадий:
1. Проникновение на чужой компьютер.
2. Активация.
3. Поиск объектов для заражения.
4. Подготовка копий.
5. Внедрение копий.
Путями проникновения вируса могут служить как мобильные носители, так и сетевые соединения - фактически, все каналы, по которым можно скопировать файл. Однако заражение вирусом возможно, только если пользователь сам каким-либо образом его активировал. Например, скопировал или получил по почте зараженный файл и сам его запустил или просто открыл
После проникновения следует активация вируса. Это может происходить несколькими путями, и в соответствии с выбранным методом вирусы делятся на такие виды:
1.Загрузочные вирусы заражают загрузочные сектора жестких дисков и мобильных носителей.
2.Файловые вирусы – заражают файлы. Отдельно по типу среды обитания в этой группе также выделяют:
· Классические файловые вирусы.
· Макровирусы.
· Скрипт-вирусы.
Дополнительным отличием вирусов от других вредоносных программ служит их жесткая привязанность к операционной системе или программной оболочке, для которой каждый конкретный вирус был написан. Это означает, что вирус для Microsoft Windows не будет работать и заражать файлы на компьютере с другой установленной операционной системой, например Unix. Точно также макровирус для Microsoft Word 2003 скорее всего не будет работать в приложении Microsoft Excel 97.
Червь (сетевой червь) - это вредоносная программа, распространяющаяся по сетевым каналам и способная к самостоятельному преодолению систем защиты компьютерных сетей, а также к созданию и дальнейшему распространению своих копий, не обязательно совпадающих с оригиналом.
В отличие от вирусов, черви - это вполне самостоятельные программы. Главной их особенностью также является способность к саморазмножению, однако при этом они способны к самостоятельному распространению с использованием сетевых каналов. Для подчеркивания этого свойства иногда используют термин «сетевой червь».
После проникновения на компьютер червь должен активироваться - иными словами, запуститься.
По методу активации все черви можно разделить на две большие группы - на тех, которые требуют активного участия пользователя и тех, кто его не требует, т.е. используя ошибки в настройке или бреши в системе безопасности операционной системы. Отличительная особенность червей из первой группы - это использование обманных методов. Это проявляется, например, когда получатель инфицированного файла вводится в заблуждение текстом письма и добровольно открывает вложение с почтовым червем, тем самым его активируя. В последнее время наметилась тенденция к совмещению этих двух технологий - такие черви наиболее опасны и часто вызывают глобальные эпидемии.
Трояны, или программы класса троянский конь, в отличие от вирусов и червей, не обязаны уметь размножаться. Это программы, написанные только с одной целью - нанести ущерб целевому компьютеру путем выполнения несанкционированных пользователем действий: кражи, порчи или удаления конфиденциальных данных, нарушения работоспособности компьютера или использования его ресурсов в неблаговидных целях.
Троян (троянский конь) - программа, основной целью которой является вредоносное воздействие по отношению к компьютерной системе.
Некоторые трояны способны к самостоятельному преодолению систем защиты компьютерной системы с целью проникновения в нее. Однако в большинстве случаев они проникают на компьютеры вместе с вирусом либо червем - то есть такие трояны можно рассматривать как дополнительную вредоносную нагрузку, но не как самостоятельную программу. Нередко пользователи сами загружают троянские программы из Интернет.
|
|
|
Кроме вирусов, червей и троянов существует еще множество других вредоносных программ, для которых нельзя привести общий критерий. Однако и среди них можно выделить небольшие группы. Это в первую очередь:
1. Условно опасные программы, то есть такие, о которых нельзя однозначно сказать, что они вредоносны. Такие программы обычно становятся опасными только при определенных условиях или действиях пользователя. К ним относятся:
2. Хакерские утилиты. К этому виду программ относятся программы скрытия кода зараженных файлов от антивирусной проверки (шифровальщики файлов), автоматизации создания сетевых червей, компьютерных вирусов и троянских программ (конструкторы вирусов), наборы программ, которые используют хакеры для скрытного взятия под контроль взломанной системы (RootKit) и другие подобные утилиты. То есть такие специфические программы, которые обычно используют только хакеры.
3. Злые шутки - программы, которые намеренно вводят пользователя в заблуждение путем показа уведомлений о, например, форматировании диска или обнаружении вирусов, хотя на самом деле ничего не происходит. Текст таких сообщений целиком и полностью отражает фантазию автора.
Таким образом, компьютерные вирусы и прочие вредоносные программы могут быть созданы всеми категориями злоумышленников и несут угрозу всем трем принципам информационной безопасности.
Наиболее полную защиту от проникновения вирусов на компьютер и, конечно же, от срабатывания вирусов способны обеспечить только антивирусные программы – программы, написанные специально для распознавания компьютерных вирусов и их корректного удаления из информационной системы.
Проверка в режиме реального времени, или постоянная проверка, обеспечивает непрерывность работы антивирусной защиты. Это реализуется с помощью обязательной проверки всех действий, совершаемых другими программами и самим пользователем, на предмет вредоносности, вне зависимости от их исходного расположения - будь это свой жесткий диск, внешние носители информации, другие сетевые ресурсы или собственная оперативная память. Также проверке подвергаются все косвенные действия через третьи программы. Часто антивирусные программы, осуществляющие такую постоянную проверку, называют программами-мониторами.
|
|
|
В некоторых случаях наличия постоянно работающей проверки в режиме реального времени может быть недостаточно. Возможна ситуация, когда на компьютер был скопирован зараженный файл, исключенный из постоянной проверки ввиду больших размеров, и, следовательно, вирус в нем обнаружен не был. Если этот файл на рассматриваемом компьютере запускаться не будет, то вирус может остаться незамеченным и проявить себя только после пересылки его на другой компьютер, что может сильно повредить репутации отправителя - распространителя вирусов. Для исключения подобных случаев используется второй режим работы антивируса - проверка по требованию.
Для такого режима обычно предполагается, что пользователь лично укажет какие файлы, каталоги или области диска необходимо проверить и время, когда нужно произвести такую проверку - в виде расписания или разового запуска вручную. Обычно рекомендуется проверять все чужие внешние носители информации, такие как дискеты, компакт диски, флэш-накопители каждый раз перед чтением информации с них, а также весь свой жесткий диск не реже одного раза в неделю.
