Методы мониторинга

 

Компьютерный  вирус – это самораспространяющийся в информационной среде программный код. Он может внедряться в исполняемые и командные файлы программ, распространяться через загрузочные секторы дискет и жестких дисков, документы офисных приложений, через электронную почту, Web-сайты, по другим электронным каналам. Проникнув в компьютерную систему, вирус может ограничиться безобидными визуальными или звуковыми эффектами, но может и вызвать потерю или искажение данных, утечку личной и конфиденциальной информации. В худшем случае компьютерная система, пораженная вирусом, окажется под полным контролем злоумышленника.

Сегодня компьютерам  доверяют решение многих критических  задач. Поэтому выход из строя  компьютерных систем может иметь  весьма тяжелые последствия, вплоть до человеческих жертв (представьте  себе, например, вирус в компьютерных системах аэродромных служб…).

На сегодняшний  день известны десятки тысяч различных  вирусов. Несмотря на такое изобилие, число типов вирусов, отличающихся друг от друга механизмом распространения  и принципом действия, весьма ограниченно. Есть и комбинированные вирусы, которые  можно отнести одновременно к  нескольким типам. Вирусы представлены в хронологическом порядке появления.

 

 

1.2 Классификация  компьютерных вирусов

 

1.2.1 Файловые  вирусы

Внедряясь в тело файлов программ .COM и .EXE, файловые вирусы изменяют их таким образом, что при  запуске управление передается не зараженной программе, а вирусу. Вирус может  записать свой код в конец, начало или середину файла. Получив управление, вирус может заразить другие программы, внедриться в оперативную память компьютера и т. д. Далее вирус  передает управление зараженной программе, и та исполняется обычным образом.

Помимо .COM и .EXE файловые вирусы могут заражать программные  файлы других типов – оверлеи MS-DOS (.OVL, .OVI, .OVR и другие), драйверы .SYS, библиотеки .DLL, а также любые файлы  с программным кодом. Известны файловые вирусы для различных ОС – MS-DOS, Microsoft Windows, Linux, IBM OS/2 и т. д.

 

1.2.2 Загрузочные  вирусы

Загрузочные вирусы получают управление на этапе инициализации  компьютера, еще до начала загрузки ОС. При заражении дискеты или  жесткого диска загрузочный вирус  заменяет загрузочную запись BR или  главную загрузочную запись MBR. Исходные записи BR или MBR при этом обычно не пропадают (хотя бывает и иначе): вирус копирует их в один из свободных секторов диска.

При начальной  загрузке компьютера BIOS считывает загрузочную  запись с диска или дискеты, в  результате чего вирус получает управление еще до загрузки ОС. Затем он копирует себя в конец оперативной памяти и перехватывает несколько функций BIOS. В конце процедуры заражения  вирус загружает в память компьютера настоящий загрузочный сектор и  передает ему управление. Далее все  происходит, как обычно, но вирус  уже находится в памяти и может  контролировать работу всех программ и драйверов.

 

1.2.3 Комбинированные  вирусы

Очень часто встречаются  комбинированные вирусы, объединяющие свойства файловых и загрузочных. В качестве примера можно привести широко распространенный когда-то файлово-загрузочный вирус OneHalf. Проникая в компьютер с ОС MS-DOS, этот вирус заражает главную загрузочную запись. Во время загрузки вирус постепенно шифрует секторы жесткого диска, начиная с самых последних секторов. Вирус OneHalf использует различные механизмы маскировки. Он представляет собой стелс-вирус и при распространении применяет полиморфные алгоритмы.

 

1.2.4 Вирусы-спутники

Как известно, в MS-DOS и в Microsoft Windows различных версий существует три типа файлов, которые пользователь может запустить на выполнение. Это командные или пакетные файлы .BAT, а также исполняемые файлы .COM и .EXE. Когда вирус-спутник заражает файл .EXE или .BAT, он создает в этом же каталоге еще один файл с таким же именем, но с расширением .COM. Вирус записывает себя в этот COM-файл, который запускается до EXE-файла. При запуске программы первым получит управление вирус-спутник, который затем может запустить ту же программу, но уже под своим контролем.

 

1.2.5 Вирусы в  пакетных файлах

Существует несколько  вирусов, способных заражать пакетные файлы .BAT. Они записывают свой двоичный код в тело пакетного файла. При  запуске такой пакетный файл копирует вирусный код в обычный исполняемый  файл. Затем файл с вирусной программой запускается и удаляется. Получив  управление, исполняемый файл вируса выполняет вредоносные действия и заражает другие пакетные файлы.

 

1.2.6 Шифрующиеся и полиморфные вирусы

Некоторые вирусы шифруют собственный код, чтобы  затруднить их обнаружение. Каждый раз, заражая новую программу, вирус  использует для шифрования новый  ключ. В результате два экземпляра такого вируса могут значительно  отличаться друг от друга, даже иметь  разную длину.

Для шифрования применяются не только разные ключи, но и разные процедуры шифрования. Два экземпляра такого вируса не имеют  ни одной совпадающей последовательности кода. Вирусы, способные полностью  изменять свой код, получили название полиморфных.

 

1.2.7 Стелс-вирусы

Стелс-вирусы пытаются скрыть свое присутствие в компьютере. Они имеют резидентный модуль, постоянно находящийся в оперативной памяти компьютера. Этот модуль перехватывает обращения к дисковой подсистеме компьютера. Если ОС или другая программа считывают файл зараженной программы, то вирус подставляет настоящий, незараженный, файл программы. Для этого резидентный модуль может временно удалять вирус из зараженного файла. После окончания работы с файлом он заражается снова. Загрузочные стелс-вирусы действуют по такой же схеме. Когда какая-либо программа считывает данные из загрузочного сектора, вместо зараженного подставляется настоящий загрузочный сектор.

 

1.2.8 Макрокомандные вирусы

Файлы документов Microsoft Office могут содержать в себе небольшие программы для обработки этих документов, составленные на языке Visual Basic for Applications. Это относится и к базам данных Access, а также к файлам презентаций Power Point. Такие программы создаются с использованием макрокоманд, поэтому вирусы, живущие в офисных документах, называются макрокомандными. Макрокомандные вирусы распространяются вместе с файлами документов. Чтобы заразить компьютер таким вирусом, достаточно просто открыть файл документа в соответствующем приложении.

Макрокомандные вирусы очень распространены, чему в немалой степени способствует популярность Microsoft Office. Они могут изменять зараженные документы, оставаясь незамеченными долгое время.

Кроме вирусов  принято выделять еще, по крайней  мере, три вида вредоносных программ. Это троянские программы, логические бомбы и программы-черви. Четкого  разделения между ними не существует: троянские программы могут содержать  вирусы, в вирусы могут быть встроены логические бомбы, и т. д.

 

1.2.9 Троянские  программы

По основному  назначению троянские программы  совершенно безобидны или даже полезны. Но когда пользователь запишет программу  в свой компьютер и запустит ее, она может незаметно выполнять  вредоносные функции. Чаще всего  троянские программы используются для первоначального распространения  вирусов, для получения удаленного доступа к компьютеру через Интернет, кражи данных или их уничтожения.

 

1.2.10 Логические  бомбы

Логической бомбой называется программа или ее отдельные  модули, которые при определенных условиях выполняют вредоносные  действия. Логическая бомба может, например, сработать по достижении определенной даты или тогда, когда в базе данных появится или исчезнет запись, и  т. д. Такая бомба может быть встроена в вирусы, троянские программы  и даже в обычные программы.

3. Как защититься от удаленных  атак в сети Internet?

Особенность сети Internet на сегодняшний день состоит в том, что 99% процентов информационных ресурсов сети являются общедоступными. Удаленный доступ к этим ресурсам может осуществляться анонимно любым неавторизованным пользователем сети. Примером подобного неавторизованного доступа к общедоступным ресурсам является подключение к WWW- или FTP-серверам, в том случае, если подобный доступ разрешен. Определившись, к каким ресурсам сети Internet пользователь намерен осуществлять доступ, необходимо ответить на следующий вопрос: а собирается ли пользователь разрешать удаленный доступ из сети к своим ресурсам? Если нет, то тогда имеет смысл использовать в качестве сетевой ОС "чисто клиентскую" ОС (например, Windows '95 или NT Workstation), которая не содержит программ-серверов, обеспечивающих удаленный доступ, а, следовательно, удаленный доступ к данной системе в принципе невозможен, так как он просто программно не предусмотрен (например, ОС Windows '95 или NT, правда с одним но: под данные системы действительно нет серверов FTP, TELNET, WWW и т. д., но нельзя забывать про встроенную в них возможность предоставления удаленного доступа к файловой системе, так называемое разделение (share) ресурсов. А вспомнив по меньшей мере странную позицию фирмы Microsoft по отношению к обеспечению безопасности своих систем, нужно серьезно подумать, прежде чем остановить выбор на продуктах данной фирмы. Последний пример: в Internet появилась программа, предоставляющая атакующему несанкционированный удаленный доступ к файловой системе ОС Windows NT 4.0!). Выбор клиентской операционной системы во многом решает проблемы безопасности для данного пользователя (нельзя получить доступ к ресурсу, которого просто нет!). Однако в этом случае ухудшается функциональность системы. Здесь своевременно сформулировать, на наш взгляд, основную аксиому безопасности:

Аксиома безопасности. Принципы доступности, удобства, быстродействия и функциональности вычислительной системы антагонистичны принципам ее безопасности.

Данная аксиома, в принципе, очевидна: чем более доступна, удобна, быстра и многофункциональна ВС, тем она  менее безопасна. Примеров можно  привести массу. Например, служба DNS: удобно, но опасно.

Вернемся к выбору пользователем  клиентской сетевой ОС. Это, кстати, один из весьма здравых шагов, ведущих к сетевой политике изоляционизма. Данная сетевая политика безопасности заключается в осуществлении как можно более полной изоляции своей вычислительной системы от внешнего мира. Также одним из шагов к обеспечению данной политики является, например, использование систем Firewall, позволяющих создать выделенный защищенный сегмент (например, приватную сеть), отделенный от глобальной сети. Конечно, ничто не мешает довести эту политику сетевого изоляционизма до абсурда - просто выдернуть сетевой кабель (полная изоляция от внешнего мира!). Не забывайте, это тоже "решение" всех проблем с удаленными атаками и сетевой безопасностью (в связи c полным отсутствием оных).

Итак, пусть пользователь сети Internet решил использовать для доступа в сеть только клиентскую сетевую ОС и осуществлять с помощью нее только неавторизованный доступ. Проблемы с безопасностью решены? Ничуть! Все было бы хорошо, если бы ни было так плохо. Для атаки "Отказ в обслуживании"  абсолютно не имеет значения ни вид доступа, применяемый пользователем, ни тип сетевой ОС (хотя клиентская ОС с точки зрения защиты от атаки несколько предпочтительнее). Эта атака, используя фундаментальные пробелы в безопасности протоколов и инфраструктуры сети Internet, поражает сетевую ОС на хосте пользователя с одной единственной целью - нарушить его работоспособность. ля атаки, связанной с навязыванием ложного маршрута при помощи протокола ICMP, целью которой является отказ в обслуживании, ОС Windows '95 или Windows NT - наиболее лакомая цель. Пользователю в таком случае остается надеяться на то, что его скромный хост не представляет никакого интереса для атакующего, который может нарушить его работоспособность разве что из желания просто напакостить.

3.1. Административные методы защиты  от удаленных атак в сети  Internet

Самым правильным шагом в этом направлении  будет приглашение специалиста  по информационной безопасности, который  вместе с вами постарается решить весь комплекс задач по обеспечению  требуемого необходимого уровня безопасности для вашей распределенной ВС. Это  довольно сложная комплексная задача, для решения которой необходимо определить, что (список контролируемых объектов и ресурсов РВС), от чего (анализ возможных угроз данной РВС) и  как (выработка требований, определение политики безопасности и выработка административных и программно-аппаратных мер по обеспечению на практике разработанной политики безопасности) защищать. Пожалуй, наиболее простыми и дешевыми являются именно административные методы защиты от информационно-разрушающих воздействий.

3.1.1. Как защититься от  анализа сетевого трафика?

Существует  атака, позволяющая кракеру при помощи программного прослушивания канала передачи сообщений в сети перехватывать любую информацию, которой обмениваются удаленные пользователи, если по каналу передаются только нешифрованные сообщения. Также можно показать, что базовые прикладные протоколы удаленного доступа TELNET и FTP не предусматривают элементарную криптозащиту передаваемых по сети даже идентификаторов (имен) и аутентификаторов (паролей) пользователей. Поэтому администраторам сетей, очевидно, можно порекомендовать не допускать использование этих базовых протоколов для предоставления удаленного авторизованного доступа к ресурсам своих систем и считать анализ сетевого трафика той постоянно присутствующей угрозой, которую невозможно устранить, но можно сделать ее осуществление по сути бессмысленным, применяя стойкие криптоалгоритмы защиты IP-потока.

3.1.2. Как защититься от ложного  ARP-сервера?

В том случае, если у сетевой ОС отсутствует информация о соответствии IP- и Ethernet-адресов хостов внутри одного сегмента IP-сети, данный протокол позволяет посылать широковещательный ARP-запрос на поиск необходимого Ethernet-адреса, на который атакующий может прислать ложный ответ, и, в дальнейшем, весь трафик на канальном уровне окажется перехваченным атакующим и пройдет через ложный ARP-сервер. Очевидно, что для ликвидации данной атаки необходимо устранить причину, по которой возможно ее осуществление. Основная причина успеха данной удаленной атаки - отсутствие необходимой информации у ОС каждого хоста о соответствующих IP- и Ethernet-адресах всех остальных хостов внутри данного сегмента сети. Таким образом, самым простым решением будет создание сетевым администратором статической ARP-таблицы в виде файла (в ОС UNIX обычно /etc/ethers), куда необходимо внести соответствую-щую информацию об адресах. Данный файл устанавливается на каждый хост внутри сегмента, и, следовательно, у сетевой ОС отпадает необходимость в использовании удаленного ARP-поиска.

3.1.3. Как защититься от ложного  DNS-сервера?

Использование в сети Internet службы DNS в ее нынешнем виде может позволить кракеру получить глобальный контроль над соединениями путем навязывания ложного маршрута через хост кракера - ложный DNS-сервер. Осуществление этой удаленной атаки, основанной на потенциальных уязвимостях службы DNS, может привести к катастрофическим последствиям для огромного числа пользователей Internet и стать причиной массового нарушения информационной безопасности данной глобальной сети. В следующих двух пунктах предлагаются возможные административные методы по предотвращению или затруднению данной удаленной атаки для администраторов и пользователей сети и для администраторов DNS-серверов.