УМК. УМК Управление ИС 2019-20 ннн. Методические рекомендации по выполнению срс материалы по контролю и оценке учебных достижений обучающихся
Скачать 2.55 Mb.
|
Вопросы для самоконтроля:Электронная подпись (ЭП)? электронная подпись? Достоверность? Шифрование? Рекомендуемая литература:Информационные системы и технологии в экономике. В.Б.Уткин, К.В.Балдин. Учебник для вузов.-М.: ЮНИТИ-ДАНА, 2015. Салмии С.П. Управленческие информационные комплексы и автоматизированные информационные технологии. - Н. Новгород: Изд-во ННГУ, 2019. Тема 30.Тема: Защита информации от компьютерных вирусовЦель лекции: ознакомится с защитой информации от компьютерных вирусов Ключевые слова: ит - служба, услуги, функций, факторы. План лекции:разнообразные программные средства проблема борьбы с компьютерными вирусами «История» компьютерных вирусов Рассмотренные ранее способы и средства защиты информации являются в значительной мере универсальными и могут быть использованы в компьютерных сетях с любой машинной базой и для любой операционной платформы. Вместе с тем, в последние годы. Появилась необходимость разработки совершенно новых средств защиты информации, предназначенных для противодействия так Называемым компьютерным вирусам, способным уничтожать или искажать информацию, обрабатываемую на персональных ЭВМ (ПЭВМ). Важность и значимость таких методов определяется несколькими основными факторами. Во-первых, ПЭВМ получили весьма широкое распространение во всех отраслях человеческой деятельности, причем круг непосредственных пользователей машин постоянно расширяется и в скором времени охватит, очевидно, практически все трудоспособное население. Во-вторых, к настоящему времени разработаны разнообразные программные средства, существенно облегчающие использование новых информационных технологий, и расширилась область их сбыта и применения, что в ряде случаев способствует распространению «зараженных» программных продуктов. В-третьих, появилось значительное число программистов, способных самостоятельно создавать достаточно сложные версии компьютерных вирусов и по различным причинам делающих это (в качестве причин могут выступать и весьма необычные — от желания испытать свои силы, прославиться, сделать рекламу своей квалификации и т.п. до сознательных попыток сорвать работу тех или иных информационных систем). Следует отметить, что проблема борьбы с компьютерными вирусами возникла тогда, когда программисты стали создавать и использовать свои программы в некоторой системной среде, т.е. стали в определенном смысле по отношению друг к другу обезличенными. И еще одно замечание: разработка компьютерных вирусов (и, соответственно, способов и средств борьбы с ними) не является вопросом науки, а имеет чисто инженерный («программистский») уровень. «История» компьютерных вирусов ведет начало с 1984 г., когда Фред Коэн (США) написал программу, которая автоматически активизировалась и проводила деструктивные изменения информации при незаконном обращении к другим программам автора. После этого было создано большое количество программ, предназначенных для вызова тех или иных «вредных» действий, и постепенно сформировалось самостоятельное инженерное направление по борьбе с ними. Компьютерные вирусы были и остаются одной из наиболее распространенных причин потери информации. Данное положение особенно важно для локальных и глобальных компьютерных сетей, объединяющих работу сотен и миллионов пользователей. Известны слу- чаи, когда вирусы блокировали работу организаций и предприятий. Более того, несколько лет назад был зафиксирован случай, когда компьютерный вирус стал причиной гибели человека: в одном из госпиталей Нидерландов пациент получил летальную дозу морфия по той причине, что компьютер был заражен вирусом и выдавал неверную информацию. Несмотря на огромные усилия конкурирующих между собой антивирусных фирм (разрабатывающих программы против вирусов), убытки, приносимые компьютерными вирусами, не падают и достигают астрономических величин, измеряемых сотнями миллионов долларов ежегодно. Особенно эти потери актуальны в больших компьютерных сетях. Так, например, в апреле 1999 г. только по причине деструктивного действия одного компьютерного вируса под названием ТОП95. С1Н во Франции было поражено более 100 тысяч банковских компьютеров с общим ущербом более 300 млн долларов. Надо полагать, что эти оценки явно занижены, поскольку известно становится лишь о части подобных инцидентов. При этом следует иметь в виду, что используемые антивирусные программы и аппаратная часть не дают полной гарантии защиты от вирусов. Примерно так же плохо обстоят дела на другой стороне тандема «человек — компьютер». Как прикладные пользователи, так и профессионалы-программисты часто не имеют даже навыков «самообороны» от вирусов, а их представления о проблеме порой весьма и весьма поверхностны. Компьютерный вирус — это специально написанная, как правило, на языке программирования низкого уровня, небольшая по размерам программа, которая может «приписывать» себя к другим программам и выполнять различные нежелательные для пользователя действия на компьютере. Жизненный цикл вируса. Жизненный цикл вируса включает четыре основных этапа [53]: внедрение; инкубационный период (прежде всего для скрытия источника проникновения); репродуцирование (саморазмножение); деструкция (искажение и/или уничтожение информации). Заметим, что использование медицинской (вирусологической) терминологии связано с тем, что по характеру жизнедеятельности и проявлениям программы-вирусы сходны с настоящими (живыми) вирусами. В этой связи естественным является применение той же терминологии и для способов и средств борьбы с компьютерными вирусами: «антивирус», «карантин», «вакцина», «фаг» и т.п., о чем более подробно будет сказано далее. Для реализации каждого из этапов цикла жизни вируса в его структуру включают несколько взаимосвязанных элементов: часть вируса, ответственную за внедрение и инкубационный период; часть вируса, осуществляющую его копирование и добавление к другим файлам (программам); часть вируса, в которой реализуется проверка условия активизации его деятельности; часть вируса, содержащую алгоритм деструктивных действий; часть вируса, реализующую алгоритм саморазрушения. Следует помнить, что часто названные части вируса хранятся отдельно друг от друга, что затрудняет борьбу с ними. Объекты воздействия и деструктивные функции вирусов. Объекты воздействия компьютерных вирусов можно условно разделить на две группы; с целью продления своего существования вирусы поражают другие программы, причем не все, а те, которые наиболее часто используются и/или имеют высокий приоритет в вычисли- тельной системе (заметим, что сами программы, в которых находятся вирусы, с точки зрения реализуемых ими функций, как правило, не портятся); с деструктивными целями вирусы воздействуют чаще всего на данные, реже — на программы. Назовем наиболее широко распространившиеся деструктивные функции вирусов: изменение данных в соответствующих файлах; изменение назначенного магнитного диска, когда запись информации осуществляется на неизвестный пользователю диск; уничтожение информации путем форматирования диска или отдельных треков (дорожек) на нем; уничтожение каталога файлов или отдельных файлов на диске; уничтожение (выключение) программ, постоянно находящихся в операционной системе (ОС); нарушение работоспособности ОС, что требует ее периодической перезагрузки; уничтожение специальных файлов ОС и др. Классифицировать компьютерные вирусы можно по различным признакам. Укажем четыре из них [53]: среда обитания; операционная система; особенности алгоритма работы; деструктивные возможности. По среде обитания вирусы можно разделить на типы: файловые; загрузочные; макровирусы; сетевые. Файловые вирусы либо различными способами внедряются в выполняемые файлы (наиболее распространенный тип вирусов), либо создают файлы-двойники (компаньон- вирусы), либо используют особенности организации файловой системы (link-вирусы). Загрузочные вирусы записывают себя либо в загрузочный сектор диска (boot-сектор), либо в сектор, содержащий системный загрузчик винчестера (Master Boot Record), либо меняют указатель на активный boot-сектор. Макровирусы заражают файлы-документы, электронные таблицы и презентации ряда популярных редакторов. Сетевые вирусы используют для своего распространения протоколы или команды компьютерных сетей и электронной почты. Существует большое количество сочетаний, например файлово-загрузочные вирусы, заражающие как файлы, так и загрузочные сектора дисков. Такие вирусы, как правило, имеют довольно сложный алгоритм работы, часто применяют оригинальные методы проникновения в операционную систему, используют стелc- и полиморфик-технологии. Другой пример такого сочетания — сетевой макровирус, который не только заражает редактируемые документы, но и рассылает свои копии по электронной почте (например, «I lov you» или «Анна Курникова»). Заражаемая операционная система (вернее, ОС, объекты которой подвержены заражению) является вторым уровнем деления вирусов на классы. Каждый файловый или сетевой вирус заражает файлы какой-либо одной или нескольких OS DOS, Win95/98/NТ, OS/2 и т.д. Макровирусы заражают файлы форматов Word, Excel, Power Point, Officce97. Загрузочные вирусы также ориентированы на конкретные форматы расположения системных данных в загрузочных секторах дисков. Среди особенностей алгоритма работы вирусов выделяются следующие: резидентность; использование стелc-алгоритмов; самошифрование и полиморфичность; использование нестандартных приемов. Резидентный вирус при инфицировании компьютера оставляет в оперативной памяти свою резидентную часть, которая затем перехватывает обращения операционной системы к объектам заражения и внедряется в них. Резидентные вирусы находятся в памяти и являются активными вплоть до выключения компьютера или перезагрузки операционной системы. Нерезидентные вирусы не заражают память компьютера и сохраняют активность ограниченное время. Некоторые вирусы оставляют в оперативной памяти небольшие резидентные программы или функции, которые не распространяют вирус. Такие вирусы считаются нерезидентными. Резидентными можно считать макровирусы, поскольку они постоянно присутствуют в памяти компьютера на все время работы зараженного редактора. При этом роль операционной системы берет на себя редактор, а понятие «перезагрузка операционной системы» трактуется как выход из редактора. В многозадачных операционных системах время «жизни» резидентного DOS-вируса также может быть ограничено моментом закрытия зараженного DOS-окна, а активность загрузочных вирусов в некоторых операционных системах ограничивается моментом инсталляции дисковых драйверов ОС. Использование стелc-алгоритмов позволяет вирусам полностью или частично скрыть себя в системе. Наиболее распространенным стел с-алгоритмом является перехват запросов ОС на чтение/запись зараженных объектов. Стелс-вирусы при этом либо временно лечат их, либо «подставляют» вместо себя незараженные участки информации. В случае макровирусов наиболее популярный способ — запрет вызовов меню просмотра макросов. Один из первых файловых стелс-вирусов — вирус «Frodo», первый загрузочный стелс-вирус — «Brain». Самошифрование и полиморфичность используются практически всеми типами вирусов для того, чтобы максимально усложнить процедуру детектирования вируса. Полиморфик- вирусы — это достаточно трудно обнаружимые вирусы, не имеющие сигнатур, т.е. не со- держащие ни одного постоянного участка кода. В большинстве случаев два образца одного и того же полиморфик-вируса не будут иметь ни одного совпадения. Это достигается шифрованием основного тела вируса и модификациями программы-расшифровщика. Различные нестандартные приемы часто используются в вирусах для того, чтобы как можно глубже спрятать себя в ядре ОС (как это делает вирус «ЗАРАЗА»), защитить от обнаружения свою резидентную копию (вирусы «TPVO», «ТROUT2»), затруднить лечение от вируса (например, поместив свою копию в Flash-BIOS) и т.д. По деструктивным возможностям вирусы можно разделить на: безвредные, т.е. никак не влияющие на работу компьютера (кроме уменьшения свободной памяти на диске в результате своего распространения); неопасные, влияние которых ограничивается уменьшением свободной памяти на диске и графическими, звуковыми и т.п. эффектами; опасные вирусы, которые могут привести к серьезным сбоям в работе компьютера; очень опасные, в алгоритм работы которых заведомо заложены процедуры, которые могут привести к потере программ, уничтожению данных, утрате необходимой для работы компьютера информации, записанной в системных областях памяти, и даже, как гласит одна из непроверенных компьютерных легенд, способствовать быстрому износу движущихся частей механизмов — вводить в резонанс и разрушать головки некоторых типов винчестеров. На сегодняшний день сложились установившиеся названия для некоторых типов вирусов. Так, «ловушками» называют вирусы, использующие имеющиеся неточности в действующих программах или их несовершенство (например, изменяющие адрес входа из программы в подпрограммы и обратно). «Логические бомбы», или «бомбы замедленного действия» осуществляют длительную и разнообразную подготовку к проведению деструктивных действий и затем срабатывают при выполнении определенного комплекса условий (например, выполнении определенного этапа работ, наступлении заданного времени, при обращении к программе определенного пользователя и т.п.). Эти вирусы особенно опасны в силу длительности периода, в течение которого они себя практически не обнаруживают, хотя уже ведут разрушительную работу. Факт проявления этих вирусов сопряжен с такой степенью порчи данных, что в установленной версии ОС оказываются неработоспособными практически все (или большинство) программ. Таким образом, машина становится полностью неработоспособной. Вирусы-«черви» вызывают неуправляемое функционирование, например, сетевых или периферийных устройств (бесконечный «прогон» бумаги в принтере, постоянную перезагрузку операционной системы и т.п.). «Троянскими конями» называют вирусы, распространяемые вместе с программным обеспечением специального назначения, причем для пользователя оказываются крайне неожиданными их деструктивные действия (например, таким вирусом могут быть заражены сами антивирусные программы). Внешне «троянцы» могут даже выполнять некие полезные функции (фиктивно оптимизировать распределение памяти на компьютере, проводить уплотнение информации на диске и т.д.), но на самом деле либо разрушают систему (например, форматируют ваш винчестер на низком уровне или операцией многократного и оперативного считывания-записи информации способствуют механическому выведению из строя дисковода вашего компьютера), либо отдают контроль в руки другого человека. Пород «троянцев» множество: некоторые из них вообще не выполняют полезных функций, а просто скрытно «живут» на диске ЭВМ и совершают различные деструктивные действия, а некоторые, наоборот, совершенно не скрываются от пользователя, при этом производя некоторые манипу- ляции, о которых никто не подозревает (или не должен подозревать). Пример вируса первого типа — известный вирус Васк Опйсе, дающий «врагу» почти полный контроль над вашим компьютером в компьютерной сети и для вас невидимый. Пример вируса второго типа — подделки под браузер MS Internet Explorer, который при соединении с сайтом фирмы Майкрософт развивает небывалую активность по пересылке данных с компьютера на сервер Майкрософт, объем которых явно превосходит простой запрос скачиваемого НТМL документа (Web-страницы с ИНТЕРНЕТ). Для того, чтобы применить тот или иной способ борьбы с конкретным вирусом, нужно сначала осуществить его диагностику {хотя следует признать, что все современные методы диагностики вирусов являются несовершенными). Названной цели служат программы трех типов: программы для выявления наличиявируса; программы для обнаружения и удалениявируса; программы защиты от вирусов (препятствующие проникновению новых вирусов). Борьба с вирусами ведется путем применения программ -антивирусов.Антивирус — программа, осуществляющая обнаружение или обнаружение и удаление вируса. Самыми популярными и эффективными антивирусными программами являются [25] антивирусные ска- неры (другие названия: фаги, полифаги}. Следом за ними по эффективности и популярности следуют СRС-сканеры (также: ревизоры, checksumer, integrity checker). Часто оба приведенных метода объединяются в одну универсальную антивирусную программу, что значительно повышает ее мощность. Применяются также различного типа блокировщики и иммунизаторы. Проблема защиты от макровирусов Поскольку проблема макровирусов в последнее время перекрывает все остальные проблемы, связанные с прочими вирусами, на ней следует остановиться подробнее. Существует несколько приемов и встроенных в Word/Ехсеl и другие программы функций, направленных на предотвращение запуска вируса. Наиболее действенной из них является защита от вирусов, встроенная в Word и Ехсеl (начиная с версий 7.0). Эта защита при открытии файла, содержащего любой макрос, сообщает о его присутствии и предлагает запретить этот макрос. В результате макрос не только не выполняется, но и не виден средствами Word/Ехсеl. Такая защита является достаточно надежной, однако абсолютно; бесполезна, если пользователь работает с макросами (любыми): она не отличает макросы вируса от не-вируса и выводит предупреждающее сообщение при открытии практически любого файла. По этой причине защита в большинстве случаев оказывается отключенной, что дает возможность вирусу проникнуть в систему. К тому же включение защиты от вирусов в уже зараженной системе не во всех случаях помогает — некоторые вирусы, однажды получив управление, при каждом запуске отключают защиту от вирусов и таким образом полностью блокируют ее. Существуют другие методы противодействия вирусам, например функция DisableAutoMacros, однако она не запрещает выполнение прочих макросов и блокирует только те вирусы, которые для своего распространения используют один из автомакросов. Запуск редактора Word с опцией /М (или с нажатой клавишей 5Н1И.) не является локацией от всех бед, а только отключает один макрос AutoExec и таким образом также не может служить надежной защитой от вируса. Среди множества известных вирусов особое место занимают сетевые вирусы, как правило, они считаются и наиболее опасными [24]. Возможность инфицирования компьютерными вирусами корпоративных компьютерных сетей становится все более серьезной проблемой. Опасность действия вирусов определяется возможностью частичной или полной потери ценной информации, а также потерей времени и средств, направленных на восстановление нормального функционирования информационных систем. |