Вопрос 3. Антивирус. Сигнатура. Фишинг. Спам. Брандмауэр

Вопрос 1. Позиционная и непозиционная системы счисления

Вопрос 2. Информационная безопасность

Три базовых принципа защиты информации, которые должны соблюдаться в информационной среде:

1. Конфиденциальность – обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя, а также обеспечение невозможности доступа к информации лицам, не имеющим соответствующего разрешения.

2. Целостность – отсутствие в защищаемой информации каких-либо несанкционированных изменений;

3. Достоверность – гарантия того, что информация получена из известного доверенного или из надежного источника.

 

ВИДЫ ЗАЩИЩАЕМОЙ ИНФОРМАЦИИ

 

В соответствии с Федеральным законом «Об информации, информационных технологиях и защите информации» информация в зависимости от категории доступа подразделяется на:

- общедоступную, которая может использоваться любыми лицами по их усмотрению при соблюдении ограничений в отношении распространения такой информации;

- информацию, доступ к которой ограничен федеральными законами.

Защите подлежит как общедоступная информация, которая может подвергнуться подмене или искажению, так и информация ограниченного доступа.

 

КЛАССИФИКАЦИЯ УГРОЗ ИНФОРМАЦИИ

Фундаментальные

a. Утечка информации – раскрытие информации неавторизованному пользователю или процессу.

b.  Нарушение целостности – компрометация согласованности (достоверности) данных путем их целенаправленной подмены и разрушения.

c. Отказ в услуге – преднамеренная блокировка доступа легального пользователя к информации или другим ресурсам.

d. Незаконное использование – использование выделенных пользователю ресурсов незаконным образом или неавторизованным пользователем.

Первичные

a. Обход защиты - использование слабых мест системы безопасности с целью получения законных прав в обход защитных механизмов и средств.

b. Нарушение полномочий – использование ресурсов информационной системы не по назначению.

c. Маскарад – маскировка пользователя в целях выдать себя за другого, легального пользователя.

d. Троянский конь – применение программы, содержащий скрытый или явный программный код, при исполнении которого нарушается функционирование системы защиты или безопасности.

 

КЛАССИФИКАЦИЯ МЕР ЗАЩИТЫ ИНФОРМАЦИИ

1. Законодательные меры

2. Физические меры

3. Организационные меры

4. Технические меры

a. Парольная защита

b. Разграничение прав доступа

c. Перекодирование информации

Вопрос 3. Антивирус. Сигнатура. Фишинг. Спам. Брандмауэр

Антивирусная программа – программа, предназначенная для борьбы с компьютерными вирусами. В своей работе эти программы используют различные принципы для поиска и лечения зараженных файлов. Для нормальной работы на ПК каждый пользователь должен следить за обновлением антивирусов.

Если антивирусная программа обнаруживает вирус в файле, то она удаляет из него программный код вируса. Если лечение невозможно, то зараженный файл удаляется целиком.

Различают следующие виды антивирусных программ:

· Программы – детекторы (сканеры);

· Программы – доктора (или фаги, дезинфекторы);

· Программы – ревизоры;

· Программы – фильтры (сторожа, мониторы);

· Программы – иммунизаторы.

Программы – детекторы рассчитаны на обнаружение конкретных вирусов и основаны на сравнении характерной (спецификой) последовательности байтов (сигнатур или масок вирусов), содержащихся в теле вируса, с байтами проверяемых программ. Программы – детекторы нужно регулярно обновлять, так как они быстро устаревают и не могут выявлять новые виды вирусов.

Следует подчеркнуть, что программы – детекторы могут обнаружить только те вирусы, которые ей “известны”, то есть, есть сигнатуры этих вирусов заранее помещены в библиотеку антивирусных программ.

Программы – доктора не только находят файлы, зараженные вирусами, но и лечат их, удаляя из файла тело программы – вируса. Программы – доктора, которые позволяет лечить большое число вирусов, называют полифагами.

Ревизоры – это программы, которые анализируют текущее состояние файлов и системных областей диска и сравнивают его с информацией, сохраненной ранее в одном из файлов ревизора. При этом проверяется состояние BOOT – сектора, FAT – таблицы, а также длина файлов, их время создания, атрибуты, контрольные суммы.

Контрольная сумма является интегральной оценкой всего файла (его слепком). Получается контрольная сумма путем суммирования по модулю для всех байтов файла. Практически всякое изменение кода программы приводит к изменению контрольной суммы файла.

Антивирусы – фильтры – это резидентные программы (сторожа), которые оповещают пользователя обо всех попытках какой – либо программы выполнить подозрительные действия. Фильтры контролируют следующие операции:

• Обновление программных файлов и системной области диска;
• Форматирование диска;
• Резидентное размещение программ в ОЗУ.

Обнаружив попытку выполнения таких действий, сторож (монитор) сообщает об этом пользователю, который окончательное решение по выполнению данной операции. Заметим, что она не способна обезвредить даже известные вирусы. Для “лечения” обнаруженных фильтром вирусов нужно использовать программы – доктора.

Наименее эффективные антивирусы – вакцинаторы (иммунизаторы). Они записывают в вакцинируемую программу признаки конкретного вируса так, что вирус считает ее уже зараженной, и поэтому не производит повторное инфицирование. Этот вид антивирусных программ морально устарел.

Сигнатура (лат. "signature" – "указывать") — в сфере безопасности компьютерных систем обозначает фрагмент кода или функцию, характерные для определенного типа вирусов. Соответственно, метод обнаружения вредоносного ПО при помощи проверки сигнатур называется "сигнатурным методом".

Большинство современных антивирусов используют именно сигнатурный метод поиска вирусов. На то есть ряд причин.

Во-первых, проверка сигнатуры происходит намного быстрее, чем, например, побайтное сканирование, но позволяет с высокой долей вероятности выявить вирус.

Во-вторых, файлы баз данных сигнатур занимают не очень много места и могут быть легко обновлены при помощи Интернет-подключения.

Сигнатуры могут быть двух типов. Первый тип основан на характерных фрагментах кода вредоносных программ. Он может содержаться как в теле вируса, так и в его цифровой подписи.

Второй же тип сигнатур основывается на типичном поведении вируса. В данном случае сигнатура являет собой описание для антивируса цикла атаки и не содержит непосредственно элементов кода.

Несмотря на высокую эффективность сигнатурного метода, в нем есть и ряд недостатков. Во-первых, текстовые фрагменты, характерные для той или иной сигнатуры, могут храниться и во вполне законопослушных программах. Соответственно, имеет место быть некоторый процент ложных срабатываний антивируса, использующего данный метод обнаружения.

Во-вторых, вирусописатели намеренно всячески искажают код и поведение вирусов, чтобы они не подпадали под определение ни одной из сигнатур. Отсюда имеем проблему потенциального заражения компьютера еще неизвестными типами вредоносных программ.

Именно по этим причинам, современные антивирусы все чаще, в дополнение к сигнатурному методу обнаружения (как самому быстрому), снабжаются механизмами эвристического анализа и проактивной защиты, без которых эффективность антивирусного ПО в наше время весьма сомнительна.

Фишинг - один из видов интернет-мошенничества, целью которого является получение доступа к конфиденциальным данным пользователей. В основном, используется метод проведения массовых рассылок от имени популярных компаний или организаций, содержащих ссылки на ложные сайты, внешне неотличимые от настоящих.