Від чого захищатися?

При інтеграції індивідуальних і корпоративних інформаційних систем і ресурсів у єдину інформаційну інфраструктуру визначальним фактором є забезпечення належного рівня інформаційної безпеки для кожного суб'єкта, що прийняв рішення ввійти в цей простір. У єдиному інформаційному просторі повинні бути створені всі необхідні передумови для встановлення дійсності користувача (суб'єкта), дійсності змісту й дійсності повідомлення (тобто створені механізми й інструмент аутентификации). Таким чином, повинна існувати система інформаційної безпеки, що включає необхідний комплекс заходів і технічних рішень по захисту:

• від порушення функціонування інформаційного простору шляхом виключення впливу на інформаційні канали й ресурси;
• від несанкціонованого доступу до інформації шляхом виявлення й ліквідації спроб використання ресурсів інформаційного простору, що приводять до порушення його цілісності;
• від руйнування засобів захисту, що вбудовуються, з можливістю доказу неправомочності дій користувачів і обслуговуючого персоналу;
• від впровадження "вірусів" і "закладок" у програмні продукти й технічні засоби.

Особливо слід зазначити завдання забезпечення безпеки розроблювальних і систем, що модифікуються, в інтегрованому інформаційному середовищі, тому що в процесі модифікації неминуче виникнення додаткових ситуацій незахищеності системи. Для рішення цієї проблеми поряд із загальними методами й технологіями слід зазначити введення ряду вимог до розроблювачів, створення регламентів внесення змін у системи, а також використання спеціалізованих засобів.

Лавинообразное поширенням вірусів стало великою проблемою для більшості компаній і державних установ. У цей час відомо більше 45000 комп'ютерних вірусів і щомісяця з'являється більше 300 нових різновидів [Енциклопедія Вірусів,. За різним даними в 2007 році вірусним атакам було піддано від 65% до 80% компаній в усьому світі. Прямі й непрямі втрати обчислюються сотнями мільйонів доларів. І ці цифри неухильно ростуть.

Комп'ютерний вірус - це спеціально написана програма, що може "приписувати" себе до інших програм, тобто "заражати їх" з метою виконання різних небажаних дій на комп'ютері й у мережі. Коли така програма починає роботу, те спочатку, як правило, керування одержує вірус. Вірус може діяти самостійно, виконуючи певні шкідливі дії (змінює файли або таблицю розміщення файлів на диску, засмічує оперативну пам'ять, змінює адресацію звертань до зовнішніх пристроїв і т.д.), або "заражає" інші програми. Заражені програми можуть бути перенесені на інший комп'ютер за допомогою дискет або локальної мережі.

Форми організації вірусних атак досить різноманітні, але в цілому практично їх можна "розкидати" по наступних категоріях:

• вилучене проникнення в комп'ютер - програми, які одержують неавторизований доступ до іншого комп'ютера через Internet (або локальну мережу);
• локальне проникнення в комп'ютер - програми, які одержують неавторизований доступ до комп'ютера, на якому вони згодом працюють;
• вилучене блокування комп'ютера - програми, які через Internet (або мережу) блокують роботу всього вилученого комп'ютера або окремої програми на ньому;
• локальне блокування комп'ютера - програми, які блокують роботу комп'ютера, на якому вони працюють;
• мережні сканери - програми, які здійснюють збір інформації про мережу, щоб визначити, які з комп'ютерів і програм, що працюють на них, потенційно уразливі до атак;
• сканери уразливих місць програм - програми, перевіряють більші групи комп'ютерів в Інтернет у пошуках комп'ютерів, уразливих до того або іншого конкретного виду атаки;
• "вскрыватели" паролів - програми, які виявляють паролі, що вгадуються легко, у зашифрованих файлах паролів;
• мережні аналізатори (sniffers) - програми, які слухають мережний трафик. Часто в них є можливості автоматичного виділення імен користувачів, паролів і номерів кредитних карт із трафика;
• модифікація переданих даних або підміна інформації;
• підміна довіреного об'єкта розподіленої ВР (робота від його ім'я) або помилковий об'єкт розподіленої ВР (РВС).
• "соціальна інженерія" - несанкціонований доступ до інформації інакше, чим злом програмного забезпечення. Ціль - увести в оману співробітників (мережних або системних адміністраторів, користувачів, менеджерів) для одержання паролів до системи або іншої інформації, що допоможе порушити безпека системи.

До шкідливого програмного забезпечення ставляться мережні хробаки, класичні файлові віруси, троянські програми, хакерские утиліти та інші програми, що наносять відому шкоду комп'ютеру, на якому вони запускаються на виконання, або іншим комп'ютерам у мережі.

Мережні хробаки. Основною ознакою, по якому типи хробаків розрізняються між собою, є спосіб поширення хробака - яким способом він передає свою копію на вилучені комп'ютери. Іншими ознаками розходження КЧ між собою є способи запуску копії хробака на заражається компьютере, що, методи впровадження в систему, а також поліморфізм, "стелс" та інші характеристики, властивим і іншим типам шкідливого програмного забезпечення (вірусам і троянським програмам). Приклад - поштові хробаки (Email-Worm). До даної категорії хробаків ставляться ті з них, які для свого поширення використовують електронну пошту. При цьому хробак відсилає або свою копію у вигляді вкладення в електронний лист, або посилання на свій файл, розташований на якому-небудь мережному ресурсі (наприклад, на заражений файл, розташований на зламаному або хакерском Web-Сайті). У першому випадку код хробака активізується при відкритті (запуску) зараженого вкладення, у другому - при відкритті посилання на заражений файл. В обох випадках ефект однаковий - активізується код хробака.

Класичні комп'ютерні віруси. До даної категорії ставляться програми, що поширюють свої копії по ресурсах локального комп'ютера з метою: наступного запуску свого коду при яких-небудь діях користувача або подальшого впровадження в інші ресурси комп'ютера.

На відміну від хробаків, віруси не використовують мережних сервісів для проникнення на інші комп'ютери. Копія вірусу попадає на вилучені комп'ютери тільки в тому випадку, якщо заражений об'єкт по яким-небудь не залежним від функціонала вірусу причинам виявляється активізованим на іншому комп'ютері, наприклад:

• при зараженні доступних дисків вірус проникнув у файли, розташовані на мережному ресурсі;
• вірус скопіював себе на знімний носій або заразив файли на ньому;
• користувач відіслав електронний лист із зараженим вкладенням.

Деякі віруси містять у собі властивості інших різновидів шкідливого програмного забезпечення, наприклад " бэкдор-процедуру" або троянський компонент знищення інформації на диску.

Багато табличних і графічних редакторів, системи проектування, текстові процесори мають свої макромови для автоматизації виконання повторюваних дій. Ці макромови часто мають складну структуру й розвитий набір команд. Макро-Віруси є програмами на макромовах, убудованих у такі системи обробки даних. Для свого розмноження віруси цього класу використовують можливості макромов і при їхній допомозі переносять себе з одного зараженого файлу (документа або таблиці) в інші.

Скрипт-Віруси. Слід зазначити також скрипт-віруси, що є підгрупою файлових вірусів. Дані віруси, написані на різних скрипт-мовах (VBS, JS, BAT, PHP і т.д.). Вони або заражають інші скрипт-програми (командні й службові файли MS Windows або Linux), або є частинами багатокомпонентних вірусів. Також, дані віруси можуть заражати файли інших форматів (наприклад, HTML), якщо в них можливе виконання скриптов.

Троянські програми. У дану категорію входять програми, що здійснюють різні несанкціоновані користувачем дії: збір інформації і її передачу зловмисникові, її руйнування або зловмисна модифікація, порушення працездатності комп'ютера, використання ресурсів комп'ютера в непорядних цілях. Окремі категорії троянських програм завдають шкоди вилученим комп'ютерам і мережам, не порушуючи працездатність зараженого комп'ютера (наприклад, троянські програми, розроблені для масованих Do-Атак на вилучені ресурси мережі).

Хакерские утиліти та інші шкідливі програми. До даної категорії ставляться:

• утиліти автоматизації створення вірусів, хробаків і троянських програм (конструктори);
• програмні бібліотеки, розроблені для створення шкідливого ПО;
• хакерские утиліти приховання коду заражених файлів від антивірусної перевірки (шифрувальники файлів);
• "злі жарти", що утрудняють роботу з комп'ютером;
• програми, що повідомляють користувачеві свідомо помилкову інформацію про свої дії в системі;
• інші програми, тим або іншому способу навмисно наносять прямій або непрямий збиток даному або вилученому комп'ютерам.

До прочим шкідливим ставляться різноманітні програми, що не представляють погрози безпосередньо комп'ютеру, на якому виконуються, а розроблені для створення інших вірусів або троянських програм, організації Do-Атак на вилучені сервери, злому інших комп'ютерів і т.п.

Найбільш масовані атаки проводяться програмами типу "троянський кінь", які можуть бути непомітно для власника встановлені на його комп'ютер і так само непомітно функціонувати на ньому. Найпоширеніший варіант "троянського коня" виконує найчастіше одну функцію - це, як правило, крадіжка паролів, але є й більше "просунуті" екземпляри. Вони реалізують широкий спектр функцій для вилученого керування комп'ютером, у тому числі перегляд умісту екрана, перехоплення сигналів від натискань клавіш, крадіжку або знищення даних і інформації, зміну й заміну файлів і баз даних.

Іншим розповсюдженим типом атак є дії, спрямовані на виведення з ладу того або іншого вузла мережі. Ці атаки одержали назву "реалізація відмови в обслуговуванні" (Denial of Service Realization), і на сьогоднішній день відомо більше сотні різних варіантів цих дій. Як ми вже відзначали, виведення з ладу вузла мережі навіть на кілька годин або мінут може привести до дуже серйозних наслідків. Наприклад, ушкодження сервера платіжної системи банку приведе до неможливості здійснення платежів і, як наслідок, до більших прямих і непрямих фінансових втрат не тільки самого банку, але і його клієнтів.

Саме атаки такого роду зараз найбільш обговорювані. Однак існують і інші погрози, які можуть привести до серйозних наслідків. Наприклад, система виявлення атак RealSecure відслідковує більше 600 різних подій, що впливають на безпеку й ставляться до можливості зовнішніх атак.

Загальні методики захисту від вірусів в обов'язковому порядку є обов'язковою складовою частиною "Політики інформаційної безпеки підприємства". У відповідних розділах політики описуються принципи антивірусного захисту, застосовувані стандарти й нормативні документи, що визначають порядок дій користувача при роботі в локальній і зовнішній мережах, його повноваження, застосовувані антивірусні засоби. Набори обов'язкових правил можуть бути досить різноманітні, однак можна сформулювати в загальному виді наступні правила для користувачів:

• перевіряти на віруси всі дискети, CD-RW, ZIP-диски, що побували на іншому комп'ютері, всі придбані CD;
• використовувати антивірусні програми відомих перевірених фірм, регулярно (в ідеалі - щодня) обновляти їхньої бази;
• не вивантажувати резидентну частину (монітор) антивірусної програми з оперативної пам'яті комп'ютера;
• використовувати тільки програми й дані, отримані з надійних джерел - найчастіше вірусами бувають заражені піратські копії програм;
• ніколи не відкривати файли, прикріплені до електронних листів, що пришли від невідомих відправників, і не заходити на сайти, рекламовані через спам-розсилання (за даними Лабораторії Касперского, у цей час близько 90% вірусів поширюються саме в такий спосіб).

Аналогічно можна сформулювати кілька загальних вимог до гарної антивірусної програми. Така програма повинна:

• забезпечувати ефективний захист у режимі реального часу - резидентна частина (монітор) програми повинна постійно перебувати в оперативній пам'яті комп'ютера й робити перевірку всіх файлових операцій (при створенні, редагуванні, копіюванні файлів, запуску їх на виконання), повідомлень електронної пошти, даних і програм, одержуваних з Internet;
• дозволяти перевіряти весь уміст локальних дисків "на вимогу", запускаючи перевірку вручну або автоматично за розкладом або при включенні комп'ютера;
• захищати комп'ютер навіть від невідомих вірусів - програма повинна містити в собі технології пошуку невідомих вірусів, засновані на принципах евристичного аналізу;
• уміти перевіряти й лікувати архівірувані файли;
• давати можливість регулярно (бажано щодня) обновляти антивірусні бази (через Internet, з дискет або CD).

У цей час у Росії використовуються головним чином два перевірених якісних антивірусних пакети: Dr.WEB і "Антивірус Касперского". Кожна із цих продуктів має свою лінійку, орієнтовану на різні сфери застосування - для використання на локальних комп'ютерах, для малого й середнього бізнесу, для великих корпоративних клієнтів, для захисту локальних мереж, для поштових, файлових серверів, серверів додатків. Обидва продукти, безумовно, відповідають всім перерахованим вище вимогам.