Понятие "компьютерного вируса" и его свойства

1.3. Антивирусные программы

Антивирус - это  программа, предназначенная для  сканирования и распознавания на компьютере пользователя программ или  скриптов (скрипт - текстовый файл, содержащий секции, параметры секций и значения параметров секций, описывающие действия, которые необходимо выполнить интерпретатору скрипта), макросов (макрос - это набор команд, которые можно применить, нажав всего лишь одну клавишу). С помощью макроса можно автоматизировать любое действие, которое выполняется в используемом приложении, которое может причинить вред пользователю или существенно замедлить работу компьютера.

Антивирусные программы можно разделить на несколько типов:

- Детекторы. Их назначение - лишь обнаружить вирус. Детекторы вирусов могут сравнивать загрузочные сектора флеш-карт с известными загрузочными секторами, формируемыми операционными системами различных версий, и таким образом обнаружить загрузочные вирусы или выполнять сканирование файлов на магнитных дисках с целью обнаружения сигнатур известных вирусов. Такие программы в чистом виде в настоящее время редки.

- Доктора (Фаги. Фаг) - это программа, которая способна не только обнаружить, но и уничтожить вирус, т.е. удалить его код из зараженных программ и восстановить их работоспособность (если возможно). Известнейшим в России фагом является Aidstest, созданный Д.Н.Лозинским. Одна из последних версий обнаруживает более 8000 вирусов. Aidstest для своего нормального функционирования требует, чтобы в памяти не было резидентных антивирусов, блокирующих запись в программные файлы, поэтому их следует выгрузить, либо, указав опцию выгрузки самой резидентной программе, либо воспользоваться соответствующей утилитой.

- Ревизоры. Программа-ревизор контролирует возможные пути распространения программ-вирусов и заражения компьютеров. Программы-ревизоры относятся к самым надежным средствам защиты от вирусов и должны входить в арсенал каждого пользователя. Ревизоры являются единственным средством, позволяющим следить за целостностью и изменениями файлов и системных областей магнитных дисков. Наиболее известна в России программа-ревизор ADinf, разработанная Д.Мостовым.

- Вакцины. Так называются антивирусные программы, ведущие себя подобно вирусам, но не наносящие вреда. Вакцины предохраняют файлы от изменений и способны не только обнаружить факт заражения, но и в некоторых случаях "вылечить" пораженные вирусами файлы. В настоящее время антивирусные программы-вакцины широко не применяются, так как в прошлые годы некоторыми некорректно работающими вакцинами был нанесен ущерб многим пользователям.

Для нахождения вирусов Dr. Web использует программу эмуляцию процессора, т.е. он моделирует выполнение остальных файлов с помощью программной модели микропроцессора I-8086 и тем самым создает среду для проявления вирусов и их размножения. Таким образом, программа Dr. Web может бороться не только с полиморфными вирусами, но и вирусам, которые только еще могут появиться в перспективе.

Основными функциональными особенностями Dr. Web являются:

· защита от червей, вирусов, троянов, полиморфных вирусов, макровирусов, spyware, программ-дозвонщиков, adware, хакерских утилит и вредоносных скриптов;

· обновление антивирусных баз до нескольких раз  в час, размер каждого обновления до 15 KB;

· проверка системной  памяти компьютера, позволяющая обнаружить вирусы, не существующие в виде файлов (например, CodeRed или Slammer);

· эвристический  анализатор, позволяющий обезвредить  неизвестные угрозы до выхода соответствующих  обновлений вирусных баз.

Любой современный  антивирусный продукт - это не только набор отдельных технологий детектирования, но и сложная система защиты, построенная на собственном понимании антивирусной компанией того, как нужно обеспечивать безопасность от вредоносных программ.

Антивирус Касперского Personal предназначен для антивирусной защиты персональных компьютеров, работающих под управлением операционных систем Windows 98/ME, 2000/NT/XP и других операционных систем, от всех известных видов вирусов, включая потенциально опасное программное обеспечение. Программа осуществляет постоянный контроль всех источников проникновения вирусов - электронной почты, интернета, флеш-карт и накопителей, компакт-дисков и т.д. Уникальная система эвристического анализа данных эффективно нейтрализует неизвестные вирусы. Можно выделить следующие варианты работы программы (они могут использоваться как отдельно, так и в совокупности):

· Постоянная защита компьютера - проверка всех запускаемых, открываемых и сохраняемых на компьютере объектов на присутствие  вирусов.

· Проверка компьютера по требованию - проверка и лечение как всего компьютера в целом, так и отдельных дисков, файлов или каталогов. Такую проверку вы можете запускать самостоятельно или настроить ее регулярный автоматический запуск.

Программа создает надежный барьер на пути проникновения вирусов через электронную почту. Антивирус Касперского Personal автоматически осуществляет проверку и лечение всей входящей и исходящей почтовые корреспонденции по протоколам POP3 и SMTP и эффективно обнаруживает вирусы в почтовых базах. Программа поддерживает более семисот форматов архивированных и сжатых файлов и обеспечивает автоматическую антивирусную проверку их содержимого, а также удаление вредоносного кода из архивных файлов формата ZIP, CAB, RAR, ARJ, LHA и ICE. В состав Антивируса Касперского включен специальный компонент, обеспечивающий защиту файловой системы компьютера от заражения - Файловый Антивирус. Он запускается при старте операционной системы, постоянно находится в оперативной памяти компьютера и проверяет все открываемые, сохраняемые и запускаемые вами или программами файлы.

 

 

 

2.1. Основные угрозы и каналы утечки информации с ПЭВМ

Перед разработкой  систем компьютерной безопасности необходимо оценить потенциальные угрозы и  каналы утечки информации, обрабатываемой на ПЭВМ, т.е. составить модель нарушителя.

Потенциальные угрозы можно  разделить на две основные категории: случайные и преднамеренные.

Особый случай представляют программы вирусы, природа рождения которых имеет преднамеренный характер, а попадание в конкретный компьютер - случайный. По-видимому, целесообразно защиту от вирусов строить с позиций преднамеренности воздействий, исходя из наихудшего (опасного) случая - любой вирус может появиться в любое время.

Появление возможных каналов  преднамеренного несанкционированного доступа к информации в ПЭВМ зависит от поддерживаемого режима работы и от её конфигурации.

Различают автономный режим  работы и сетевой, в составе локальной, региональной или глобальной сети.

При автономном режиме возможны два варианта управления компьютером:

однопользовательский, при  котором, пользователь сам выполняет  функции управления и контроля и  несет ответственность за безопасность своей и доверяемой ему информации;

многопользовательский, при  котором перечисленные функции  выполняет специальное лицо. Им может быть один из пользователей или руководитель работ. Однако ключи шифрования и информация, закрытая другим пользователем, могут быть недоступны до момента передачи руководителю работ.

К ПЭВМ могут быть подключены различные периферийные устройства, такие, как плоттер, сканер, стример, внешние накопители, образующие дополнительный канал утечки информации за счет побочных электромагнитных излучений. Значительное влияние на уровень излучения влияет тип монитора.

Анализируя  перечисленные факторы, можно выделить три основные группы каналов утечки, позволяющих нарушителю получить доступ к обрабатываемой или хранящейся в ПЭВМ информации, связанные с  особенностями:

работы аппаратуры;

программное обеспечение;

действий человека (злоумышленника или обслуживающего персонала).

Группа каналов, связанных с особенностями работы аппаратуры, представляет собой:

подключение специальных  аппаратных средств и внесение изменений  в аппаратные средства;

использование специальных технических средств для перехвата электромагнитных излучений аппаратуры и линий связи.

К каналам, связанным  с особенностями программного обеспечения, относятся:

несанкционированный доступ программ к информации;

расшифровка программой зашифрованной информации;

копирование защищенной информации.

Классификация угроз безопасности представлена в таблице 1.

Таблица 1

КЛАССИФИКАЦИЯ УГРОЗ БЕЗОПАСНОСТИ

о способу воздействия  на сеть: в интерактивном режиме; в пакетном режиме. По целям угрозы: нарушение конфиденциальности; нарушение целостности; нарушение работоспособности. По используемой ошибке: неадекватность политики безопасности; ошибки администратора; ошибки в алгоритмах; ошибки в программах. По объекту атаки: субъекты АСОИ; объекты АСОИ; процессы пользователя; пакеты данных и каналы связи.

По используемым средствам: стандартное программное  обеспечение; специальное программное  обеспечение. По характеру воздействия: активное воздействие; пассивное воздействие. По состоянию объекта атаки: хранение (на диске, ленте); передача по линии связи; обработка (когда объектом атаки является процесс пользователя). По принципу воздействия: с использованием доступа субъекта к объекту; с использованием скрытых каналов. По способу воздействия: непосредственное воздействие на объект; воздействие на систему разрешений.

 

Группу каналов, связанных с действиями людей, образуют:

хищение носителей  информации (накопителей дисков, дискет, лент, документации);

чтение информации с экрана посторонним лицом (чаще при отсутствии пользователя);

чтение информации с распечаток, оставленных без присмотра;

ввод заведомо ложной информации;

копирование информации ограниченного пользования;

проникновение в компьютерные сети.

Наиболее часто  утечка связана с деятельностью  хакеров. Понятие «хакер» употребляется, в основном, как иное название компьютерного взломщика. В более широком смысле - это человек, отлично разбирающийся в компьютерной технике и фанатично преданный своему призванию. Именно хакеры первыми осваивают новые программные пакеты и системы, стремятся выжать из новой техники все, на что способна, и благодаря этому для них часто нет преград в доступе к чужой информации.

Перечисленные каналы имеют место независимо от присутствия штатного пользователя. Принимая концепцию защиты информации ПЭВМ, необходимо рассматривать опасные и доступные каналы, исходя из того, что нарушитель воспользуется наиболее удобным.

Классификация каналов утечки информации представлена в таблице 2.

Таблица 2

Каналы утечки информации
Электромагнитные  каналы	Электрические каналы	Параметрические каналы
Утечка за счет  побочного излучения  терминала; Съем информации с дисплея; Высокочастотный  канал утечки в бытовой технике; Утечка по трансляционной сети  и  громкоговорящей связи.	Наводки на линию  коммуникаций и сторонние проводки; Утечка по сети электропитания; Утечка по цепям заземления; Радиозакладки в стенах и мебели	Съем акустической информации с использованием диктофонов; Съем информации направленным микрофоном; Утечка за счет структурного звука  в стенах и перекрытиях; Утечка через линии связи.

 

2.2. Программно-аппаратные комплексы защиты

информации  на ПЭВМ

Из программно-аппаратных средств идентификации можно  отметить комплексы «Аккорд» (производитель - ОКБ САПР), «КРИПТОН» (АНКАД), «Снег-2» (ЦНИИ АТОМИНФОРМ), «DALLAS LOCK» (ассоциация защиты информации «Конфидент»), «Кобра» («Кобра Лайн»).

Программно-аппаратный комплекс «Аккорд»

В состав комплекса  входят контроллер, контактное устройство для съема информации, программное  обеспечение, и персональный идентификатор LS199 x Touch Memoru.

Контактное  устройство устанавливается на передней панели ПЭВМ. Идентификация осуществляется прикосновением к нему идентификатора. Аутентификация выполняется до загрузки ОС. Количество идентификаторов, используемых системой «Аккорд», не ограниченно. Объем дискового пространства, необходимого для установки программных средств, составляет < 700 Кбайт. Комплекс прошел испытания по сертификации на соответствие требованиям безопасности информации. К недостаткам можно отнести необходимость сверлить отверстие для установки съемника информации, в результате чего теряются гарантии фирмы-производителя ПЭВМ.

Устройство  шифрования «КРИПТОН»

«Криптон» - это  ряд выполненных в виде одноплатных  устройств программно-аппаратных комплексов, обеспечивающих шифрование и дешифрование информации в ПЭВМ и информационно-вычислительных сетях. Они содержат датчики случайных чисел для генерации ключей и узлы шифрования, реализованные аппаратно в специализированных однокристальных микроЭВМ. Открытый интерфейс позволяет внедрять «КРИПТОН» в любые системы и дополнять программным обеспечением специального назначения.