Компьютерные преступления и методы защиты информации

     Метод автоматического  обратного вызова.

     Может обеспечивать  более надежную защиту системы от несанкционированного доступа, чем простые программные пароли. В данном случае пользователю  нет необходимости запоминать пароли и следить за соблюдением их секретности. Идея системы с обратным вызовом  достаточно проста. Удаленные  от  центральной базы пользователи не могут непосредственно с ней обращаться,  а вначале получают доступ к специальной программе, которой они сообщают соответствующие идентификационные коды. После этого  разрывается  связь  и  производится  проверка идентификационных  кодов. В  случае,  если код,  посланный по каналу связи,  правильный,  то производится обратный вызов пользователя  с одновременной фиксацией даты, времени и номера телефона. К недостатку рассматриваемого метода следует отнести низкую скорость обмена среднее время задержки может исчисляться десятками секунд.[7]

     Метод шифрования данных.

     Один  из наиболее эффективных методов защиты. Он может быть  особенно полезен  для усложнения процедуры несанкционированного доступа, даже если обычные средства защиты удалось обойти. Для этого  источник информации  кодирует ее при помощи некоторого алгоритма шифрования и ключа шифрования.  Получаемые зашифрованные выходные данные не может понять никто,  кроме владельца ключа.  Например, алгоритм шифрования может предусмотреть замену  каждой  буквы  алфавита числом, а  ключом при этом может служить порядок номеров букв этого алфавита.[7]

     Защита  от компьютерных вирусов.

     Это особая и важная статья. По мере развития и усложнения  компьютерных  систем  возрастает объем и  повышается уязвимость хранящихся в них данных. Одним из новых факторов,  резко повысивших эту уязвимость, является массовое производство программно-совместимых персональных компьютеров, которое можно назвать одной из причин появления нового класса программ-вандалов ─ компьютерных вирусов. Наибольшая опасность, возникающая в связи с возможностью заражения программного обеспечения  компьютерными вирусами,  состоит в искажении или уничтожении жизненно важной информации.[7]

2. Обзор современных программных  средств, обеспечивающих безопасное функционирование компьютера

• Антивирусы – пожалуй, самый известный класс, и, к счастью, хотя бы антивирус на компьютерах имеется почти везде.

    Антивирус – это программа, использующая специальную  обновляемую базу данных для детектирования вредоносных программ. С этой целью используются так называемые сигнатуры, добавляемые в базу вирусными аналитиками компании. Сигнатура содержит фрагмент кода вредоносной программы, который сравнивается со сканируемыми файлами; если сигнатура совпадает, файл признается зараженным. В этом причина встречающихся в практике любого антивируса ложных срабатываний. Несмотря на длительное тестирование сигнатуры перед выпуском обновления базы, тестовые роботы не могут предусмотреть всех возможных совпадений. Наиболее технически продвинутые антивирусы используют также разнообразные средства детектирования неизвестных вирусов. Это технологии анализа кода, средства виртуализации, поведенческие анализаторы и так далее.[10]

• Брандмауэры (firewalls), или сетевые экраны – средства защиты компьютера от взломов, сетевых атак и нежелательных подключений. Антивирусом и брандмауэром должна быть оснащена любая машина в Сети – однако, к сожалению, очень часто пользователи даже не подозревают о существовании сетевых экранов, чем изрядно облегчают жизнь взломщикам.[10]

    Системы предотвращения и детектирования вторжений  типового брандмауэра обеспечивают следующие стандартные функции:

1. Фильтрация сетевого трафика, отклонение попыток внешнего подключения к компьютеру, отражение сетевых атак.
2. Управление приложениями, запрашивающими доступ к сети – разрешение или запрещение соединений в зависимости от их параметров.

    Схематически  принцип работы брандмауэра можно изобразить следующим образом [Рисунок 1: Принцип работы брандмауэра.] 

    

Рисунок 1: Принцип работы брандмауэра. 

     Среди наиболее популярных брандмауэров –  ZoneAlarm, Outpost Firewall, Sunbelt Kerio Personal Firewall, COMODO Personal Firewall и другие.

    Сейчас  приобретают популярность пакеты типа Internet Security, содержащие антивирус, брандмауэр и несколько второстепенных дополнительных средств сетевой защиты. Такие интегрированные решения менее конфликтны и могут быть предпочтительнее использования отдельных элементов защиты. В качестве примера таких интегрированных решений можно привести BitDefender Internet Security или Kaspersky Internet Security.

     Следует заметить: антивирусы и брандмауэры, как правило, используют драйверы, т.е. системные файлы, работающие не на уровне интерфейса, а на уровне ядра операционной системы. Это позволяет им эффективно задерживать приложения, требующие рассмотрения со стороны пользователя. На данный момент использование драйверов является почти обязательным для уважающего себя решения по безопасности: в отличие от процесса или службы, драйвер очень сложно нейтрализовать (выгрузить). Большинство программ поддерживает связь драйвера с интерфейсом программы, и при недоступности интерфейса драйвер переходит в режим блокировки. Это опровергает еще один популярный миф о том, что, если вредоносной программе удастся выгрузить интерфейс антивируса или брандмауэра, она получит полную свободу действий. Сами по себе показатели способности софта сопротивляться выгрузке интерфейса еще ничего не значат. Главное здесь – инструкции, заложенные в драйвер на случай таковой выгрузки. Тесты показывают, что большинство антивирусов и брандмауэров все равно не позволяют программе выйти в сеть или произвести вредоносные действия даже при выгруженном интерфейсе.

• Антишпион – это инструмент поиска известных шпионских модулей по различным признакам. Как правило, антишпион оснащен сканером по требованию и некоторым количеством специализированных настроек системы или вспомогательных инструментов. Некоторые из них имеют полноценный или частичный монитор и самозащиту. На Западе такие программы весьма популярны.

    Специализированные  тесты показывают, что в удалении активных шпионов и рекламных  программ антишпионы проигрывают любому антивирусу, однако они могут быть полезны при устранении последствий работы таких приложений, главным образом – в исправлении системного реестра.[10]

    Наиболее  популярные антирекламные и антишпионские  программы – Ad-Aware, Spybot – Search and Destroy, AVG Anti-Spyware и другие.

• Host Intrusion Prevention Systems (HIPS), или средства предотвращения вторжений локального базирования, - это системы анализа и блокировки опасных системных функций.  В отличие от антивирусов, системы HIPS не имеют сигнатур и не детектируют вирусы – они позволяют управлять разрешениями на совершение определенных действий со стороны приложения. Эффективность HIPS чрезвычайно высока и может доходить до 100% при блокировании любых вирусов, как известных, так и неизвестных, однако большинство таких систем требуют высокой квалификации пользователя.

     Существует  несколько видов HIPS – классические, экспертные HIPS и HIPS на основе технологии Sandbox.

     Классические  HIPS – это системы, оснащенные открытой таблицей правил. На основании такой таблицы драйверы HIPS разрешают / запрещают определенные действия со стороны приложений либо спрашивают пользователя, что следует предпринять. Такие системы не пользуются популярностью у непрофессионалов, так как очень часто задают вопросы, что раздражает пользователя.

     Экспертные  HIPS называют еще поведенческими эвристиками. На основании анализа действий приложения HIPS этого типа выносят вердикты о его вредоносности. 

     HIPS типа Sandbox построены на принципе минимального взаимодействия с пользователем. В основе песочницы – принцип разделения приложений на доверенные и недоверенные. На работу доверенных приложений HIPS не оказывает никакого воздействия; недоверенные запускаются в специальном пространстве, отграниченном от системы. Таким образом, недоверенное приложение «считает», что оно выполняется на реальной системе, хотя на самом деле настоящая Windows никоим образом не модифицируется.

     Примерs классических HIPS - программы System Safety Monitor и AntiHook.

     Пример  экспертной HIPS – система CyberHawk.

     Примеры HIPS типа Sandbox – продукты DefenseWall HIPS и Sandboxie.[10]

1. Norton Win Doctor

     Утилиты – это специализированные программы, предназначенные для обслуживания и оптимизации работы системы, программы-помощники, решающие задачи, с которыми сама оперативная система справиться не в состоянии. Большинство утилит предназначено  для обслуживания файловой системы и дисков. Некоторые утилиты используются для ведения архивов данных, а специальные антивирусные программы обеспечивают защиту системы от компьютерных вирусов. Утилиты - необходимая компонента инструментария программиста любого уровня и, в первую очередь, прикладного. Первоначально слово «утилита» отождествлялось с простыми маленькими программами. Но сегодняшние утилиты часто занимают десятки мегабайт и по сложности не уступают некоторым офисным пакетам. И выполнять они могут уже не одну - две операции, как раньше, а значительно больше.

     Многие  утилиты представляют собой  серьезные  коммерческие пакеты, которые продаются  в красивых коробках в магазинах. Но большинство утилит, относящихся к разряду условно-бесплатного программного обеспечения (shareware), можно найти в свободном доступе в сети Internet.

     Norton Win Doctor - Оптимизатор Регистра – база данных в которой хранятся различные параметры Windows. Регистр тоже иногда нуждается в оптимизации, т.к. со временем в нём образуется множество лишних записей, относящихся к установленным в системе программам. Многое из них никак не влияют на работу Windows , но некоторые способны навредить. Особенно страдает Регистр из-за некорректных установки и удаления программ.

     WinDoctor сканирует Регистр и отлавливает  в нём всевозможные ошибки  и лишние записи: в частности,  он контролирует корректность  всех имеющихся в Windows ярлыков  программ и так называемые  «ассоциации» (то есть какому  типу файлов (расширению) соответствует та или иная программа редактирования и просмотра, и  наоборот).[Рисунок 2: Поиск неисправностей в системе Norton WinDoctor'ом]

    После завершения работы Доктора и вывода на экран всех имеющихся проблем будет необходимо их исправить – для этого нужно нажать кнопку «Исправить всё» (Repair All) на кнопочной панели Win Doctor.

Рисунок 2: Поиск неисправностей в системе Norton WinDoctor'ом 

     Утилита допускает полное или выборочное сканирование любым из 15 тестов. При  выборочном сканировании пользователь может задать дополнительные параметры анализаторов, координирующих действия программы в случае обнаружения неисправности. После сканирования неисправности можно исправить как "оптом" (все сразу) в автоматическом режиме, так и индивидуально. Утилита ведет журнал вносимых изменений, что позволяет в любой момент отменить внесенные изменения.[3]

2. UnErase Wizard (Корзина)

     А последняя утилита называется Unerase Wizard. Предназначена она для восстановления удаленных файлов. Сейчас она особо  и не нужна, потому что есть Корзина  и add-on к ней в качестве Norton Protection (он - защищает файлы, которые не ловит "корзина", допустим, файлы, удаляемые в сеансе DOS или в окне DOS-приложений. В свойствах корзины появляются две закладки, которые позволяют настроить программу. И в результате на иконке корзины в углу появляется значок щита. Различные цвета этого значка позволяют выяснить состояние Norton Protection.[2]

     При вызове программы на экране появится содержимое каталога, из которого была вызвана данная утилита. Файлы, которые были удалены, будут показаны на экране без первых букв в их именах (вместо первой буквы в имени файла находится знак «?»).

     О каждом файле приводится следующая  информация:

     Name – имя файла;

       Size – размер файла;

     Date –дата создания файла;

     Time – время создания файла;

     Prognosis – вероятность восстановления (если “good” или “excellent” – восстановление удалённого файла возможно, если “poor” – восстановить нельзя).

     Нижняя  часть окна позволяет осуществить  выбор между:

     Info – просмотр полной информации о файле, на  который указывает курсор;

     View – просмотр файла;

     UnErase – восстановление файла. В случае выбора данного пункта пользователю будет предложено ввести первую букву восстанавливаемого файла.[6]

     Выводы  и предложения