Компьютерные вирусы

Бактерии

Захватчики паролей

Черви

Троянские кони

Логические бомбы

Люки

Понятие и виды вредоносных программ

Первые сообщения о несущих вред программах, преднамеренно и скрытно внедряемых в программное обеспечение различных вычисли­тельных систем, появились в начале 80-х гг. Название «компьютерные вирусы» произошло, вероятно, по причине сходства с биологическим прототипом, с точки зрения возможности самостоятельного размноже­ния. В новую компьютерную область были перенесены и некоторые другие медико-биологические термины, например такие, как мутация, штамм, вакцина и др.

Сообщение о программах, которые при наступлении определенных условий начинают производить вредные действия, например, после оп­ределенного числа запусков разрушают хранящуюся в системе инфор­мацию, но при этом не обладают характерной для вирусов способностью к самовоспроизведению, появились значительно раньше. По аналогии с персонажем известного древнегреческого мифа такие программы по­лучили название «троянских коней».

Кроме таких программ в настоящее время выделяют целый ряд раз­новидностей вредоносных программ и компьютерных вирусов, которые являются существенной угрозой безопасности информации в информа­ционных технологиях.

Выделяют следующие классы вредоносных программ, включая ком­пьютерные вирусы, представленные ниже.

ОСНОВНЫЕ ВИДЫ ВРЕДОНОСНЫХ ПРОГРАММ

1. Люк. Условием, способствующим реализации многих видов угроз безопасности информации в информационных технологиях, является наличие «люков».

Люк вставляется в программу обычно на этапе отладки для облегче­ния работы: данный модуль можно вызывать в разных местах, что позво­ляет отлаживать отдельные части программы независимо.

Наличие люка позволяет вызывать программу нестандартным обра­зом, что может отразиться на состоянии системы защиты. Люки могут остаться в программе по разным причинам:

• их могли забыть убрать;

• оставили для дальнейшей отладки;

• оставили для обеспечения поддержки готовой программы;

• оставили для реализации тайного доступа к данной программе по­сле ее установки.

Большая опасность люков компенсируется высокой сложностью их обнаружения (если, конечно, не знать заранее об их наличии), т. к. об­наружение люков — результат случайного и трудоемкого поиска. Защита от люков одна — не допускать их появления в программе, а при приемке программных продуктов, разработанных другими производителями, следует проводить анализ исходных текстов программ с целью обнару­жения люков.

2. Логические бомбы, как вытекает из названия, используются для искажения или уничтожения информации, реже с их помощью совер­шаются кража или мошенничество. Логическую бомбу иногда вставля­ют во время разработки программы, а срабатывает она при выполнении некоторого условия (время, дата, кодовое слово).

Манипуляциями с логическими бомбами занимаются также чем-то недовольные служащие, собирающиеся покинуть организацию, но это могут быть и консультанты, служащие с определенными политическими убеждениями и т. п.

Реальный пример логической бомбы: программист, предвидя свое увольнение, вносит в программу расчета заработной платы определен­ные изменения, которые начинают действовать, когда его фамилия ис­чезнет из набора данных о персонале фирмы.

3. Троянский конь — программа, выполняющая в дополнение к ос­новным, т. е. запроектированным и документированным действиям, действия дополнительные, не описанные в документации. Аналогия с древнегреческим троянским конем оправданна — и в том и в другом случае в не вызывающей подозрения оболочке таится угроза. Троянский конь представляет собой дополнительный блок команд, тем или иным образом вставленный в исходную безвредную программу, которая затем передается (дарится, продается, подменяется) пользователям ИТ. Этот блок команд может срабатывать при наступлении некоторого условия (даты, времени, по команде извне и т. д.). Запустивший такую програм­му подвергает опасности как свои файлы, так и всю ИТ в целом. Троян­ский конь действует обычно в рамках полномочий одного пользователя, но в интересах другого пользователя или вообще постороннего челове­ка, личность которого установить порой невозможно.

Наиболее опасные действия троянский конь может выполнять, если запустивший его пользователь обладает расширенным набором приви­легий. В таком случае злоумышленник, составивший и внедривший тро­янского коня и сам этими привилегиями не обладающий, может выпол­нять несанкционированные привилегированные функции чужими ру­ками.

Для защиты от этой угрозы желательно, чтобы привилегированные и непривилегированные пользователи работали с различными экземп­лярами прикладных программ, которые должны храниться и защищать­ся индивидуально. А радикальным способом защиты от этой угрозы яв­ляется создание замкнутой среды использования программ.

4. Червь — программа, распространяющаяся через сеть и не остав­ляющая своей копии на магнитном носителе.

Червь использует механизмы поддержки сети для определения узла, который может быть заражен. Затем с помощью тех же механизмов пе­редает свое тело или его часть на этот узел и либо активизируется, либо ждет для этого подходящих условий. Наиболее известный представитель этого класса — вирус Морриса (червь Морриса), поразивший сеть Internet в 1988 г. Подходящей средой распространения червя является сеть, все пользователи которой считаются дружественными и доверяют друг другу, а защитные механизмы отсутствуют. Наилучший способ за­щиты от червя — принятие мер предосторожности против несанкцио­нированного доступа к сети.

5. Захватчик паролей — это программы, специально предназначен­ные для воровства паролей. При попытке обращения пользователя к ра­бочей станции информационной технологии на экран выводится ин­формация, необходимая для окончания сеанса работы. Пытаясь органи­зовать вход, пользователь вводит имя и пароль, которые пересылаются владельцу программы-захватчика, после чего выводится сообщение об ошибке, а ввод и управление возвращаются к операционной системе. Пользователь, думающий, что допустил ошибку при наборе пароля, по­вторяет вход и получает доступ к системе. Однако его имя и пароль уже известны владельцу программы-захватчика. Перехват пароля возможен и другими способами. Для предотвращения этой угрозы перед входом в систему необходимо убедиться, что вы вводите имя и пароль именно системной программе ввода, а не какой-нибудь другой. Кроме того, не­обходимо неукоснительно придерживаться правил использования паро­лей и работы с системой. Большинство нарушений происходит не из-за хитроумных атак, а из-за элементарной небрежности. Соблюдение спе­циально разработанных правил использования паролей — необходимое условие надежной защиты.

6. Бактерии (bacteria). Этот термин вошел в употребление недавно и обозначает программу, которая делает копии самой себя и становится паразитом, перегружая память и микропроцессор персонального компь­ютера или рабочей станции сети.

7.Компьютерный вирус — это специальная программа, предназначенная для выпол­нения разрушительных дей­ствий в вычислительной теме или сети.

Компьютерным вирусом принято называть специально написанную, обыч­но небольшую по размерам программу, способную самопроизвольно присоеди­няться к другим программам (т. е. зара­жать их), создавать свои копии (не обязательно полностью совпадающие с оригиналом) и внедрять их в файлы, системные области персонального компьютера и в другие объединенные с ним компьютеры с целью нарушения нормальной работы программ, порчи файлов и каталогов, создания различных помех при работе на компью­тере.