Тема. Защита информации от компьютерных вирусов Понятие о компьютерных вирусах
Скачать 47 Kb.
|
Тема. Защита информации от компьютерных вирусов Понятие о компьютерных вирусах Компьютерный вирус – это программный код, встроенный в другую программу или в определенную область носителя данных, предназначенный для выполнения несанкционированных действий на компьютере. Компьютерный вирус внедряется в другую программу и в процессе ее работы осуществляет вредные действия. Такая программа называется зараженной. Как правило, при запуске зараженной программы вирус получает управление, заражает другие программы, то есть, размножается, а затем передает управление зараженной программе, которая начинает работать, как обычно. Тем самым действия вируса внешне остаются незамеченными. Создатель вируса должен быть высоко подготовленным специалистом, хорошо знать аппаратную часть компьютера и уметь программировать на ассемблере. Типы компьютерных вирусов: - файловые вирусы, - загрузочные вирусы, - файлово-загрузочные вирусы, - макровирусы, - троянские программы. Файловые вирусы записывают свой код (внедряются) в тело исполняемого файла и выполняют свои действия при запуске зараженного файла. Сначала файловые вирусы размножаются, а затем начинают разрушительные действия – вирусная атака. Самое разрушительное действие – это форматирование диска, связанное с полной потерей информации. Однако этот процесс длительный, поэтому вместо форматирования вирусы могут уничтожать данные в системных секторах диска, что равносильно уничтожению таблиц файловой структуры. Хотя данные на диске остаются нетронутыми, воспользоваться ими становится невозможным, что равносильно их уничтожению. В связи с тем, что ПЗУ в настоящее время стало ППЗУ, некоторые вирусы могут уничтожить данные в BIOS. Для восстановления работоспособности компьютера придется менять микросхему или перепрограммировать ее на программаторе. Загрузочные вирусы заражают загрузочную запись на дискете или главную загрузочную запись на диске. После загрузки операционной системы вирус располагается в оперативной памяти и начинает контролировать работу операционной системы. Файлово-загрузочные вирусы наиболее опасны. Макровирусы заражают документы, имеющие средства для выполнения макрокоманд, например файлы с расширением doc или xls. «Троянские кони» - это одна из самых опасных угроз для файлов и конфиденциальной информации (пароли, данные кредитной карты, личная корреспонденция). «Троянец» предоставляет хакерам полный сетевой доступ к вашему компьютеру.«Троянец» позволяет хакеру просматривать, копировать или стирать любые папки и файлы на Вашем компьютере точно так же, как это делаете Вы сами. Признаки наличия вируса: - программы начинают работать неправильно или перестают работать, - на экране появляются посторонние сообщения, - некоторые файлы оказываются испорченными, - замедляется работа компьютера, - происходит потеря данных на диске, - компьютер зависает. Пути проникновения вируса: запуск зараженной программы с дискеты, запуск зараженной программы с компакт-диска, запуск зараженной программы, полученной через вычислительные сети. Объекты внедрения вируса: - исполняемые файлы с расширением EXE, COM, BAT, - загрузочные секторы дискет и дисков, - драйверы устройств (расширение SYS), - динамические библиотеки (расширение DLL), - файлы, содержащие макросы (например, созданные с помощью Word или Excel). Текстовые файлы, не содержащие макросов (расширение ТХТ), растровые графические файлы (расширение ВМР) не могут быть заражены вирусами. Вирусы можно классифицировать и по способу кодирования: простые вирусы, полиморфные вирусы, стелс-вирусы. Простые вирусы свой код не меняют, поэтому антивирусные программы обнаруживают такие вирусы по их коду. Полиморфные вирусы способны шифровать свой код. При каждом новом заражении код такого вируса меняется. Если антивирусная программа «знает» процедуру шифрования, то она может обнаружить полиморфный вирус. Стелс-вирусы после своего запуска создают в оперативной памяти специальные модули, которые перехватывают обращения программ к диску компьютера. Если обращающаяся к диску программа пытается проверить зараженный файл, то этот модуль подменяет считываемые данные, а зараженный файл остается незамеченным. Основные методы защиты от вирусов Методы защиты от вирусов подразделяются на программные, аппаратные и организационные. Для уменьшения вероятности заражения компьютерными вирусами используются следующие профилактические меры: дублирование информации, разграничение доступа к данным, отказ от использования дискет, отключение от вычислительных сетей, использование антивирусных программ. Последняя мера является наиболее эффективной. Классификация антивирусных программ: программы-детекторы, программы-доктора, программы-ревизоры, программы-фильтры, программы-вакцины. Программы-детекторы способны только обнаружить известные вирусы. Программы-доктора при обнаружении вируса удаляют код вируса из тела файла и восстанавливают зараженный файл (лечат). Программы-ревизоры при первом запуске запоминают сведения о состоянии программ, загрузочных секторов, таблиц размещения файлов, структуры каталогов (папок). Предполагается, что в этот момент в компьютере вирусов нет. При последующих проверках происходит сравнение сведений и выдается сообщение об изменениях. Если антивирусная программа сочетает в себе функции доктора и ревизора, то она способна не только обнаруживать опасные изменения, но и лечить зараженные файлы. Программы-фильтры следят за всеми действиями на компьютере и предупреждают пользователя об опасных действиях (изменение файлов с расширением СОМ или ЕХЕ, изменением атрибутов файлов, форматирование диска и т.д.). Программы–вакцины изменяют свойства файла так, что вирус считает этот файл зараженным. 2.2 Методы поиска вирусов: сканирование, эвристический анализ, обнаружение изменений на диске, постоянное наблюдение. Программы, которые работают на основе сканирования, называются полифагами. К ним относятся Aidstest фирмы Диалог-Наука и программа AVP лаборатории Касперского. Эвристический анализ используется для поиска полиморфных вирусов. При этом можно обнаружить даже неизвестные вирусы, хотя лечение в этом случае невозможно. Примером такой программы является DrWeb фирмы Диалог-Наука. Изменения на диске (изменение размеров и атрибутов файлов) обнаруживают программы-ревизоры. К таким программам относится Adinf фирмы Диалог-Наука. Постоянное наблюдение осуществляет резидентный монитор (программа AVP). Примечание: следует иметь в виду, что замедление работы компьютера происходит при длительном дефрагментировании файлов на винчестере. Поэтому следует регулярно выполнять профилактику (удалять ненужные данные, устранять дефрагментацию) с помощью сервисных программ. Защита информации в Интернете Интернет является открытой системой, поэтому невозможно исключить доступ к данным, передаваемым по сети. Для защиты данных от несанкционированного доступа используются соответствующие методы, исключающие возможность преобразования данных в информацию. Основной прием защиты – шифрование данных. Пусть имеется некоторый метод шифрования – ключ. Отправитель шифрует ключом документ, а получатель, знающий этот ключ, может расшифровать документ. Для остальных информация останется недоступной. Такая система шифрования называется симметричной. Основная проблема при этом – передача ключа получателю. Например, торговая фирма должна каким-то образом передать каждому клиенту по одному ключу для обеспечения оплаты по кредитной карте. Поэтому широко используются системы шифрования, основанные на использовании двух ключей, - несимметричные системы. При этом один ключ открытый, а другой закрытый. Сообщение, зашифрованное одним ключом, может быть расшифровано только другим ключом. Торговая фирма распространяет открытый ключ и надежно хранит закрытый ключ. Клиент открытым ключом шифрует свое сообщение, которое может прочесть только представитель фирмы, знающий закрытый ключ. Фирма отправляет клиенту сообщение, зашифрованное закрытым ключом, и клиент уверен, что никто не может передать такое сообщение кроме фирмы. Конечно, злоумышленник, получив открытый ключ, может в течение достаточно долгого времени изучать алгоритм шифрования и, в конечном счете, реконструировать закрытый ключ. Поэтому абсолютной надежности система шифрования не обеспечивает. Дело только во времени. Защиту информации принято считать достаточной, если затраты на ее преодоление превышают стоимость самой информации. Область науки, занимающаяся изучением методов шифрования и дешифрования, называется криптоанализом, а средняя продолжительность времени, необходимого для реконструкции закрытого ключа по опубликованному открытому ключу, называется криптостойкостью алгоритма шифрования. Если проблема защиты информации решается с использованием закрытого ключа фирмы и открытого ключа клиента, то остается проблема подтверждения личности клиента, отправляющего, например, банку распоряжение перевести деньги со счета на другой счет. Для этого клиент получает у банка специальную программу, которая создает два ключа: открытый и закрытый. Открытый ключ клиент отправляет банку, а закрытый ключ хранит у себя в надежном месте. Эти ключи предназначены для шифрования подписи. Клиент открытым ключом банка шифрует сообщение, а своим закрытым ключом шифрует подпись. Банк закрытым ключом расшифровывает сообщение, а открытым ключом, полученным от клиента, расшифровывает его подпись. |