Компьютерные вирусы. Защита информации от несанкционированного доступа

Защита информации от несанкционированного доступа

Для определения принципа защиты информации важно точное определение несанкционированного доступа к информации (НСД).

Несанкционированный доступ – доступ с нарушением правил разграничения доступа субъекта к информации, с использованием штатных средств (программного или аппаратного обеспечения), предоставляемых компьютерной системой.

Правила разграничения доступа – регламентация прав доступа субъекта к определенному компоненту системы.

Защита от несанкционированного доступа к ресурсам компьютера – это комплексная проблема, подразумевающая решение следующих вопросов:

1) присвоение пользователю, а равно и терминалам, программам, файлам и каналам связи уникальных имен и кодов (идентификаторов);

2) выполнение процедур установления подлинности при обращениях (доступе) к информационной системе и запрашиваемой информации, т.е. проверка того, что лицо или устройство, сообщившее идентификатор, в действительности ему соответствует (подлинная идентификация программ, терминалов и пользователей при доступе к системе чаще всего выполняется путем проверки паролей, реже обращением в специальную службу, ведающую сертификацией пользователей);

3) проверка полномочий, т. е. проверка права пользователя на доступ к системе или запрашиваемым данным (на выполнение над ними определенных операций – чтение, обновление) с целью разграничения прав доступа к сетевым и компьютерным ресурсам;

4) автоматическая регистрация в специальном журнале всех как удовлетворенных, так и отвергнутых запросов к информационным ресурсам с указанием идентификатора пользователя, терминала, времени и сущности запроса, т. е. ведение журналов, позволяющих определить, через какой хост-компьютер действовал хакер, а иногда и определить его IP-адрес и точное местоположение.

Компьютерный вирус – это класс программ, способных к саморазмножению (возможно и самомодификации) в работающей вычислительной среде и вызывающих нежелательные для пользователей действия. Последние могут выражаться в нарушении работы программ, выводе на экран монитора посторонних сообщений, символов, изображений и т. п., порче и/или невозможности прочтения записей как отдельных файлов, так и дисков (дискет) в целом, замедлении работы ЭВМ и т. д.

Все компьютерные вирусы классифицируются по следующей схеме (рис.1).

Загрузочные вирусы внедряются в загрузочный сектор дискеты или в главную загрузочную запись жесткого диска. Такой вирус изменяет программу начальной загрузки операционной системы, запуская необходимые для нарушения конфиденциальности программы или подменяя, для этой цели, системные файлы. В основном это относится к файлам, обеспечивающим доступ пользователей в систему.

Файловые вирусы чаще всего внедряются в исполняемые файлы, имеющие расширение.exe и.com, но могут внедряться и в файлы с компонентами операционных систем, драйверы внешних устройств, объектные файлы и библиотеки, в командные пакетные файлы. При запуске зараженных программ вирус на некоторое время получает управление и в этот момент производит запланированные деструктивные действия и внедрение в другие файлы программ. В свою очередь файловые вирусы делятся на ряд подгрупп:

Рис. 1. Классификация компьютерных вирусов

а) перезаписывающие вирусы записывают свой код вместо кода заражаемого файла и уничтожают его содержимое;

б) паразитирующие вирусы изменяют содержимое файлов, оставляя сами файлы полностью или частично работоспособными;

в) вирусы-компаньоны не изменяют заражаемые файлы, а создают для них файлы-двойники, которые при запуске перехватывают управление на себя;

г) файловые черви являются разновидностью вирусов-компаньонов. Они отличаются тем, что не связывают себя с каким-либо выполняемым файлом, а лишь копируют свой код в один из каталогов дисков в расчете на то, что они будут когда-либо запущены пользователем;

д) загрузочно-файловые (многосторонние), или файлово-загрузочные вирусы – способны поражать как загрузочные сектора, так и файлы (в том числе вирусы типа DIR, которые нарушают файловую систему диска);

е) линк-вирусы, как и вирусы-компаньоны, не изменяют физическое содержание файлов, однако при запуске зараженного файла приводят к тому, что за счет модификации определенных его полей, операционная система выполняет их код;

ж) вирусы в исходных текстах, OBJ и LIB-вирусы заражают библиотеки компиляторов, объектные модули и исходные тексты программ.

Документальные вирусы (макровирусы) заражают текстовые файлы редакторов или электронных таблиц, используя макросы, которые сопровождают такие документы. Вирус активизируется, когда документ загружается в соответствующее приложение. По разным данным в настоящее время на макровирусы приходится от 75 до 80 % всех заражений компьютеров.

Сетевые вирусы используют для своего распространения протоколы и/или команды компьютерных сетей и электронной почты. К таким вирусам относятся, в частности, троянские программы (см. далее) и почтовые вирусы – «сетевые черви».

Сетевые черви – программы, которые, распространяясь по сети, не изменяют файлы, а проникают в память компьютера, вычисляют сетевые адреса других компьютеров и рассылают по этим адресам свои копии. Хотя их и называют вирусами, таковыми они не являются. Они не размножаются и не обращаются к ресурсам компьютера за исключением его оперативной памяти.

Сетевые черви подразделяют на следующие виды:

а) Интернет-черви – распространяются по Интернету;

б) LAN-черви – распространяются по локальным сетям;

в) IRC-черви – распространяются через телеконференции – чаты [IRC, Internet Relay Chat].

Резидентные вирусы после завершения инфицированной программы остаются в оперативной памяти и продолжают свои деструктивные действия, заражая другие исполняемые программы, вплоть до выключения компьютера.

Нерезидентные вирусы запускаются вместе с зараженной программой и удаляются из памяти вместе с ней.

Паразитирующие – вирусы, изменяющие содержимое зараженных файлов. Эти вирусы легко обнаруживаются и удаляются из файла, так как имеют всегда один и тот же внедряемый программный код.

Троянские кони («троянцы») – программы, которые выглядят как обычные, однако фактически являются атакующими (в том числе вирусными) или имеют очень слабую защиту, облегчающую успех нападения.

Троянские программы подразделяют на следующие виды:

а) утилиты несанкционированного удаленного управления, внедряясь в компьютер, предоставляют своему владельцу возможность доступа в этот компьютер и управления им;

б) эмуляторы DDoS-атак создают условия, при которых на зараженный Web-сервер поступает из разных мест большое количество пакетов, что вызывает отказ работы системы;

в) похитители информации, ворующие информацию, в том числе и конфиденциальную;

г) дроперы [ от англ. drop – бросать ] – программы, предназначенные для «сброса» в атакуемые системы вирусов или других вредоносных программ.

Невидимые вирусы (вирусы-невидимки) маскируют свое присутствие в зараженном файле при попытках их обнаружения. Они перехватывают запрос антивирусной программы и либо временно удаляются из зараженного файла, либо подставляют вместо себя незараженные участки программы.

Мутирующие вирусы (вирусы-мутанты, полиморфные вирусы) способны самопроизвольно видоизменяться при размножении, чтобы затруднить их идентификацию и ликвидацию, включая устранение последствий их действия.

Существует еще скрипт-вирусы, логические бомбы и т.п.

Скрипт-вирусы – вирусы, написанные на скрипт-языках, таких, как Visual Basic Script, Java Script и др.. Скрипт-вирусы делятся на подгруппы, ориентированные на DOS, Windows и другие операционные системы. Сигналом к активизации (началу действия) компьютерных вирусов могут служить: включение ЭВМ, начало работы (загрузки) зараженной программы, диска или дискеты, а также дата, кратность перезагрузки ЭВМ и т. д.;

Логическая бомба – программа (или ее отдельный модуль), которая при выполнении условий, определенных ее создателем, осуществляет несанкционированные действия, например при наступлении обусловленной даты или, скажем, появлении или исчезновении какой-либо записи в базе данных происходит разрушение программ или БД.

Известен случай, когда программист, разрабатывавший систему автоматизации бухгалтерского учета, заложил в нее логическую бомбу, и, когда из ведомости на получение зарплаты исчезла pro фамилия, специальная программа-бомба уничтожила всю систему.

При заражении компьютера вирусом важно его обнаружить. Для этого следует знать об основных признаках проявления вирусов. К ним можно отнести:

• прекращение работы или неправильная работа ранее успешно функционировавших программ;

• замедление работы компьютера;

• невозможность загрузки операционной системы;

• исчезновение файлов и каталогов или искажение их содержимого;

• изменение даты и времени модификации файлов;

• изменение размеров файлов;

• неожиданное значительное увеличение количества файлов на диске;

• существенное уменьшение размера свободной оперативной памяти;

• вывод на экран непредусмотренных сообщений или изображений;

• подача непредусмотренных звуковых сигналов;

• частые зависания и сбои в работе компьютера.

Следует отметить, что вышеперечисленные явления необязательно вызываются присутствием вируса, а могут быть следствием других причин. Поэтому всегда затруднена правильная диагностика состояния компьютера.