Программные методы защиты информации. Защита объектов от несанкционированного доступа

Понятие зловредного программного обеспечения

Вероятно, наиболее изощренные угрозы для компьютерных систем представляют программы, которые предназначены для того, чтобы причинить вред или использовать ресурсы компьютера, выбранного в качестве мишени. Общее название угроз такого вида – зловредные программы (malicious softwareилиmalware).

Зловредные программы разделяются на такие, которые не воспроизводят себя, и такие, которые делают это. К программному обеспечению первого вида относятся фрагменты программ, которые должны активизироваться во время, определенных действий главной программы. В программное обеспечение второго вида входят либо фрагменты программ (вирусы), либо независимые программы (черви), способные при запуске создавать одну или несколько копий самих себя; эти копии позже активизируются в этой же или в какой-то другой системе.

Рассмотрим некоторые виды зловредного программного обеспечения [8, 19, 23].

Люк – это скрытая точка входа в программу, которая позволяет каждому, кто о ней знает, получать доступ к программе в обход обычных процедур, предназначенных для обеспечения безопасности. Часто люки используются программистами для отладки и тестирования программ. Меры безопасности должны предприниматься в основном на этапах разработки и обновления программ.

Логическая бомба – это код, помещенный в какую-то легальную программу и устроенный так, что при определенных условиях он «взрывается». Условием, используемым для включения логической бомбы, может быть наличие или отсутствие определенных файлов, определенный день недели или дата,  а также запуск приложения определенным пользователем.

Троянский конь– это полезная или кажущаяся таковой программа или процедура, в которой спрятан код, способный в случае срабатывания выполнить некоторую нежелательную или вредную функцию. Например, для получения злоумышленником доступа к файлам другого пользователя. Примером трудно обнаруживаемого троянского коня является компилятор, измененный таким образом, чтобы при компиляции он вставлял в определенные программы (например, программы регистрации в системе) дополнительный код. С помощью такого кода в программе регистрации можно создать люк, позволяющий автору входить в систему с помощью специального пароля. Такого троянского коня нельзя обнаружить в исходном коде программы регистрации.

Вирус – это программа, которая может «заражать» другие программы, изменяя их; к числу изменений относится копирование программы-вируса в программу, которая затем может заразить другие программы.

Сетевая среда, предоставляющая возможность получать доступ к приложениям и системным сервисам, которые находятся на других компьютерах, создает идеальные условия для распространения вирусов.

Сетевые черви используют сетевые соединения, чтобы переходить из одной системы в другую. Однажды активизировавшись в системе, сетевой червь может вести себя как компьютерный вирус, порождать троянских коней или выполнять любые другие разрушительные или деструктивные действия. Для самовоспроизведения сетевой червь использует некоторое транспортное средство, которыми могут быть:

– электронная почта;

– средства удаленного запуска программ;

– средства удаленной регистрации.

Перед тем как копировать себя на какую-то систему, сетевой червь может также попытаться определить, инфицирована ли эта система. Кроме того, в многозадачной системе он может маскироваться, присваивая своим копиям имена системных процессов или какие-то другие имена, которые будет трудно заметить системному оператору.

Сетевым червям так же трудно противостоять, как и вирусам. Однако продуманные и правильно реализованные меры безопасности, предусматривающие как безопасность сетей, так и безопасность отдельных систем, сводят угрозу проникновения червей к минимуму.

Зомби – это программа, которая скрытно соединяется с другим подключенным в сеть Интернет компьютером, а затем использует этот компьютер для запуска атак на информационные системы, что усложняет отслеживание пути к создателю программы-зомби.

Классификация компьютерных вирусов

Сгруппируем существующие компьютерные вирусы по категориям в соответствии с выполняемыми действиями и средой распространения.

Вирус-паразит. Наиболее распространенная форма вируса. Вирус-паразит прикрепляется к исполняемым файлам и размножается в процессе работы зараженной программы, отыскивая и заражая другие
исполняемые файлы.

Резидентный вирус. Проникает в основную память вместе с резидентной системной программой и заражает все запускаемые программы.

Вирус в загрузочном секторе. Этот тип вирусов заражает главную загрузочную запись или загрузочную запись диска, а затем распространяется при условии, что система загружается с диска, который содержит этот вирус.

Вирус-невидимка (стелс-вирус). Разновидность вирусов, специально разработанная так, чтобы скрываться от антивирусных программ.

Полиморфный вирус. Вирус, который может видоизменяться при каждом новом заражении, в связи с чем выявить вирус с использованием некоторой последовательности байтов его кода (сигнатуры) невозможно.

Полиморфный вирус в процессе размножения создает копии, которые функционально эквивалентны, но заметно отличаются битовыми комбинациями (изменен порядок комбинаций, дополнительные инструкции), причем каждая копия отличается от предыдущей. Как и в случае с вирусом-невидимкой, цель данного подхода состоит в том, чтобы сбить с толку программы, ведущие поиск вирусов.

Файловые вирусы могут внедряться только в исполняемые файлы: командные файлы (файлы, состоящие из команд операционной системы), саморазархивирующиеся файлы, пользовательские и системные программы в машинных кодах, а также в документы (таблицы), имеющие макрокоманды.

Загрузочные вирусы заражают загрузочные (Boot) секторы гибких дисков и Boot-сектора или Master Boot Record жестких дисков. Загрузочные вирусы являются резидентными. Заражение происходит при загрузке операционной системы с дисков.

Особое место среди файловых вирусов занимают макровирусы. Макровирусы представляют собой вредительские программы, написанные на макроязыках, встроенных в текстовые редакторы, электронные таблицы и др. При выполнении определенных действий над файлами, содержащими макропрограммы (открытие, сохранение, закрытие и т. д.), автоматически выполняются макропрограммы файлов. При этом управление получают макровирусы, которые сохраняют активность до тех пор, пока активен соответствующий редактор (процессор). Поэтому при работе с другим файлом в зараженном редакторе (процессоре), он также заражается. Здесь прослеживается аналогия с резидентными вирусами по механизму заражения.