История развития ПАСЗИ. Университет итмо

40 как документы MS Office и другие самые популярные приложения, например, Corel.
2. использование языка высокого уровня,
3. возможность передачи различными способами
(через вложения к электронной почте и мобильные носители информации),
4. кроссплатформенность, т.к. макровирусы не используют уязвимости в каких–то определенных ОС, а зависят от среды исполнения, программы, поддерживающей выполнение макросов.
В течение нескольких следующих лет макровирусы вытеснили остальные типы вирусов, став наиболее распространенными. Ситуация изменилась только к 2002 году, когда их количество постепенно начало снижаться [11], что было обусловлено появлением механизмов защиты встроенных в Microsoft Office 2000, блокировавших выполнение макросов. А также технологий антивирусной защиты, позволявших выявить макровирусы еще до их выполнения. В результате, макровирусы полностью перестали существовать в 2008 году.
Почтовые вирусы
В 1999 году случилась еще одна крайне обширная вирусная эпидемия, вызванная вирусом Melissa, распространяющимся через адресную книгу Microsoft Outlook. Пользователь собственноручно запускал этот вирус на свой компьютер, открывая вложение к письму, содержащее макрос. Вирус Melissa был первым почтовым червем. За его создание разработчик получил наказание в виде 20 месяцев тюремного заключения и штрафа в 5000 долларов.
В 2000 году распространение вируса «ILOVEYOU» или «Love
Bug» привело к ущербу мировой экономике в размере около 15 миллиардов долларов, сегодня он считается самым разрушительным вирусом из существующих. Вирус ILOVEYOU – это почтовый червь написанный на языке VBScript, распространяющийся через вложение к электронному письму. Автор червя использовал методы социальной инженерии, провоцируя пользователей открывать вложение к письму.
Далее вирус распространял себя по всем контактам пользователя, всего заражению подверглись более 3 миллионов компьютеров по всему миру. ФБР удалось довольно быстро отследить место запуска вируса в сеть – Филиппины, и его автора. Однако отсутствие национального законодательства по борьбе с компьютерными преступлениями, и в том числе с созданием вирусов, привело к тому, что данное преступление осталось безнаказанным.

41
Именно вирус ILOVEYOU заставил мировое сообщество задуматься о создании единых общих межгосударственных законов о компьютерных преступлениях [11].
Компьютерные взломы
В этот период произошло несколько крупных взломов компьютерных систем в банковских и государственных организациях, среди которых особенно выделяются взломы Citibank и компьютерных систем Министерства Обороны США.
Владимир Левин и Citibank
В 1995 году в аэропорте Лондон Хитроу Интерполом был задержан Владимир Левин, возглавлявший группу хакеров, которые взломали компьютерные системы Citibank и похитили около 10 миллионов долларов. Деньги были переведены на зарубежные счета, в частности в банках Финляндии и Израиля.
Левин был экстрадирован в США, где ему было предъявлено обвинение. В результате судебных разбирательств Левин был приговорен к трём годам лишения свободы и возмещению ущерба
Ситибанку в размере 240 015 долларов (его доля от украденных средств).
Арест Левина, как и совершенное им ограбление, стали одним из самых громких событий 1990–х годов.
Взлом МО США
В 1998 году хакерами (подростки из США) под руководством
Эхуда Тененбаума (Analyzer), гражданина Израиля, были взломаны компьютеры МО США. Изначально военные связывали эту атаку с обострением ситуации в Персидском заливе, однако позже эта версия была опровергнута. Хакеры использовали известную уязвимость ОС
Solaris. Эхуд Тененбаума избежал наказания.
Компьютерное мошенничество и угрозы электронной коммерции
Рост популярности систем онлайн торговли, переход на системы электронной коммерции и перевод банковских услуг в Интернет не могли не спровоцировать рост хакерской активности в данных областях.
К началу периода во всех развитых странах кредитные карты были абсолютно привычным явлением, и уже к началу 2000–х онлайн платежи также стали достаточно популярны.

42
Примерно в середине 1990–х обострилась проблема, связанная с мошенничеством с кредитными картами. В 1995 году ущерб от мошенничества составил порядка 1,63 миллиарда долларов.
Существующие способы борьбы не были достаточно эффективными, меры противодействия, в том числе законодательные, также являлись недостаточными.
Спам
Считается, что несколько случаев массовой рассылки писем и даже телеграмм произошли еще до эры ПК и Интернета.
В середине 1990–х началось победоносное шествие такого явления как спам по просторам сетей. Толчком к созданию и развитию спам–технологий и спам–ботов стала программа, призванная защищать пользователей USENET от нежелательных рассылок. Приложение для модераторов – Automated Retroactive Minimal Moderation (ARMM), позволяющее просматривать и блокировать сообщения пользователей до публикации, содержало ошибку. Сообщение, отклоненное модератором, отправлялось на адрес группы USENET бесконечное число раз.
Первым известным случаем массовой рассылки нежелательных рекламных объявлений с использованием специального скрипта, первого спам–бота, по различным группам в сети USENET, является рассылка инициированная Лоуренсом Кантером и Мартой Сигел.
Фактически эта пара открыла новую технологию продвижения собственного товара, попутно создав одну из основных проблем безопасности 21 века – спам.
Количество спам сообщений росло экспоненциально, если в 2001 году процент спама от всего почтового трафика составлял всего лишь
8%, то к концу периода (2004 году) количество спама достигло отметки в 72%. Достигнув своего пика в 2010 году – 89%, процент спама постепенно стал снижаться.
Развитие Интернета и рост числа обычных пользователей, не являющихся компьютерными специалистами, привели к тому, что во второй половине 1990–х получил развитие новый вид угроз – фишинг
(в т.ч. «нигерийские письма» и мошенничество с лотереей), когда злоумышленник пытается похитить персональную, финансовую информацию или пароли, или же, используя методы социальной инженерии, вынуждает пользователя к совершению необходимого злоумышленнику действия (открытие ссылки, скачивание вложения к письму).

43
Отказ в обслуживании
Считается, что первые атаки на отказ в обслуживании были произведены относительно давно, но именно в этот период они получили максимальное развитие. Отсчет «классическим» DoS и DDoS атакам начинается в 1996 году Эти атаки были совершены с помощью отправки «почтовых бомб» на адреса нескольких тысяч списков рассылки, в результате несанкционированных рассылок подписчик получал порядка 100 000–1 000 000 писем ежедневно. Данные атаки были возможны, в силу того, что при оформлении подписки не требовалось прохождение аутентификации, и злоумышленник просто добавлял в списки новые и новые адреса. Целью атаки злоумышленник называл желание повысить уровень безопасности и требование введения процедуры аутентификации и подтверждения запроса на подписку на сетевых ресурсах.
Также в 1996 году была произведена первая другого типа – флуд атака, получившая огласку. Атаке подвергся крупнейший Интернет–
провайдер Нью–Йорка. Это была атака типа SYN Flood, в которой с рандомных IP–адресов создается запрос на подключение (с использованием SYN пакетов, порядка 150 в секунду) к серверу, все пакеты доставляются получателю, и, т.к. при получении анализируется только адрес отправителя, сервер начинает соединение по каждому их запросов, резервирует под него место, отправляет пакет–
подтверждение и начинает ожидать пакет в ответ. Множество подобных соединений полностью парализуют работу сервера.
В начале 1998 года, появились первые сообщения о проведении
DDoS атак с помощью различных средств автоматизации и специальных программных инструментов. В открытом доступе в
Интернете появилось большое количество инструментов для DDos атак: Fapi, Trinoo, TFN (Tribal Flood Network), Stacheldraht, Mstream,
Omega, Trinity, Derivatives, myServer, Plague [13].
В результате развития технологий DDoS и доступности готовых инструментов, в 2000 году 15–летний хакер под ником MafiaBoy запустил одну из крупнейших DDoS атак, направленную на сайты eBay, CNN, Yahoo и Amazon. Эта атака явно продемонстрировала уязвимости и слабую степень защиты даже на сайтах крупнейших ИТ–
компаний. В результате атаки были понесены многомилионные убытки, связанные с восстановлением доступности своих систем, а также с потерей доверия от пользователей, опасающихся производить электронные покупки через их сайты (не достаточно защищенные для оплаты по кредитным картам).
Начиная с 2002 года DDoS атаки набирают популярность, и постепенно становятся самыми распространенными и опасными. Атаки

44 подобного типа получили широкое распространение благодаря тому, что они направлены на нарушение доступности конкретных сервисов или ресурсов защиты, и из–за этого достаточно легко реализуемы.
Сегодня DDoS атаки, в основном, это орудие хакеров–
шантажистов и политически или идеологически ориентированных хакеров и кибертеррористов.
Часто DDoS атаки направлены на сам Интернет, а точнее на вывод из строя участка сети, путем произведения атак на аккумулирующие или центральные маршрутизаторы и коммутаторы, или на серверы систем доменных имен (DNS) Интернет–провайдеров, а не на какой–то конкретный сайт [14].
В октябре 2002 года была произведена мощная DDoS атака, которая вывела из строя 8 из 13 корневых серверов DNS. Несмотря на то, что атака не имела серьезных последствий и сильно не нарушила работу сети, она продемонстрировала уязвимость корневых DNS перед атаками этого типа.
Защита информации в период с 1994 года до начала 2000–х
Криптография, новые стандарты и технологии
В начале 1990–х криптография развивалась в основном благодаря ИТ–компаниям, занимающимся поиском новой единой технологии безопасной передачи данных через Интернет.
Компанией RSA Security был разработан стандарт S/MIME
(Secure Multipurpose Internet Mail Extensions), для обеспечения криптографической безопасности электронной почты.
Вышедший в 1994 году первый Интернет–браузер Netscape уже реализовывал стандарт шифрования SSL (также разработка компании
Netscape Communications), для аутентификации и обеспечения конфиденциальности и целостности сообщений.
Стандарт SSL также основан на использовании открытых ключей, что позволяло обеспечивать целостность и конфиденциальность передаваемых данных. SSL, встроенный в браузер, позволял производить безопасный обмен такой информацией, как данные кредитных карт и прочей критически важной информацией.
В CommerceNet была разработана безопасная версия протокола
HTTP – S–HTTP, для шифрования соединений по HTTP. Протокол
HTTPS появился несколько позже и был поддержан основными игроками рынка ИТ – Microsoft и Netscape.
До 1996 года в США существовали законы, запрещающие экспорт ПО и оборудования с криптографической защитой, использующей ключи длиной более 40 бит. Разработчики были вынуждены создавать 2 версии – для внутреннего рынка и для

45 экспорта. В 1996 году вышли поправки к законам, позволяющие использовать более длинные ключи в 56 бит. Позже ограничения на экспорт и использование криптографических технологий с длинными ключами были сняты.
В этот период был разработан алгоритм AES (Advanced
Encryption Standard). AES – это алгоритм блочного симметричного шифрования. Сегодня алгоритм AES применяется для защиты данных в правительственных и банковских организациях, для защиты беспроводных соединений, а также для защиты государственных данных США уровня «совершенно секретно».
Специализированное ПО
В данный период продолжают активно развиваться технологии программной защиты информации, происходит поиск новых научно–
обоснованных технологий и методов защиты: обнаружения вирусов, предотвращения атак.
Рынок программных решений компьютерной безопасности сложился во многом благодаря таким компаниям как RSA Data
Security, Symantec, MacAfee, которые вели собственные разработки в интересах обычных пользователей и компаний. Увеличение внимания к проблеме безопасности среди таких крупных компаний как IBM,
Microsoft, Cisco, и, как следствие, увеличение затрат на эти исследования привело к развитию и появлению новых программных и программно–аппаратных решений. Исследования и разработки по новым коммерческим продуктам велись совместно научным и коммерческим сообществом, что позволило создать гораздо более эффективные решения, чем те, которые разрабатывались в закрытых организациях.
Именно переход от закрытых разработок по заказу правительства к свободной разработке привело к новому качественному росту и развитию технологий компьютерной защиты. Данный факт во многом обусловлен тем, что в военных и правительственных организациях основной угрозой является угроза конфиденциальности информации, тогда как в коммерческих структурах важнее ее целостность.
Для решения задач защиты для государственных нужд было необходимо разрабатывать методы, основываясь на существующих правилах и протоколах работы с секретной информацией. Новые компьютерных технологии защиты разрабатывались с учетом сложившейся системы классификации секретной информации, принятых моделей управления доступом.

46
К концу периода рынок решений по компьютерной безопасности наполнился коммерческими коробочными антивирусными решениями и системами обнаружения вторжений.
Антивирусное программное обеспечение
Если технологии аутентификации и криптографии в основном развивались в ответ на запрос от крупных корпораций, занимающихся электронной торговлей, то производители антивирусных программ обратили свое внимание на растущий рынок персональных компьютеров. Именно в течение этих 10–ти лет определились лидеры и крупнейшие на сегодняшний день поставщики антивирусного программного обеспечения: Symantec, MacAfee, Kaspersky, Dr.Web.
В 1999 году в «Лаборатории Касперского» был разработан первый поведенческий блокиратор для макровирусов. В отличие от традиционных антивирусов, эта технология блокирует подозрительные действия, а не ищет оригинальную последовательность вирусного кода. Такой подход обеспечивает защиту как от известных, так и от неизвестных макровирусов.
Технологии поиска автора вируса и на сегодняшний день являются достаточно несовершенными. Например, практически невозможно отследить конкретного автора, если он запустил вирус из компьютера, находящегося в публичном доступе. Как правило, случаи успешного задержания автора связаны с тем, что разработчик оставил какие–то следы в коде, как автор вируса Melissa, или же вовсе собственное имя. Однако опытные разработчики вряд ли могут допустить подобные ошибки.
Межсетевые экраны
В 1994 году появился первый коммерческий межсетевой экран прикладного уровня. Шлюзы прикладного уровня позволяли как производить фильтрацию пакетов по заголовкам, так и работали на уровне приложений. Они способны перехватывать все пакеты, направляемые от или для определенных приложений. Такие межсетевые экраны позволяют фильтровать трафик не по портам и адресам, а по создавшему его процессу, что позволило повысить антивирусную защиту.
Развитие Интернета и клиент–серверных технологий требовало также развития технологий организации защищенных соединений между ресурсами и данными компании, доверенными пользователями и партнерами, физически находящимися вне локальной сети. Данный фактор послужил толчком к развитию технологий «интранет» и
«экстранет» – доверенной частной сети внутри компании и другой,

47 гораздо более защищенной, корпоративной сети, доступ к которой осуществляется из Интернета.
Именно развитие «экстранета» послужило толчком к развитию файерволлов – к ним добавляется ряд функций: шифрование, аутентификация пользователей, функции антивируса.
Крупные территориально распределенные компании нуждались в технологиях создания единой защищенной сети, на подобии локальной, между своими региональными офисами и партнерами.
Решение было основано на использовании межсетевых экранов, позволяющих обеспечить туннелированние и организовать виртуальные частные сети.
Системы обнаружения вторжений
Подсоединение к Интернету коммерческих организаций, в которых имелась некоторая чувствительная информация, требовало применения дополнительных мер защиты.
В течение данного периода появилось достаточно большое число коммерческих систем обнаружения вторжений (Intrusion detecting systems, IDS). Это были экспертные системы, позволяющие сигнализировать о происходящих сетевых атаках.
В 1990–ых наиболее популярными сетевыми системами были
Netranger (Wheelgroup, позже выкупленная Cisco) и Real Secure
(Internet Security Systems).
История IDS начинается еще в 1980–ых годах, когда базовые идеи автоматизации обнаружения вторжений были представлены
Джеймсом Андерсоном в работе, посвященной возможности применения результатов финансового аудита для выявления НСД к мейнфреймам. Перед исследователями того времени стояла задача определения перечня потенциальных угроз и атак, а также их особенностей и способов обнаружения в данных аудита.
В 1984–1986 годах Дороти Деннинг и Питером Нейманом была разработана первая система обнаружения вторжений IDES (Intrusion detection expert system), действующая в реальном времени. Система позволяла выявлять действия известного вредоносного ПО и НСД. Эти
IDS являлись экспертными системами, основанными на правилах, и действовали на основании статистических методов. Они были призваны выявлять некоторую подозрительную или вредоносную активность анализируя сетевой трафик и данные приложений пользователей. Именно из этих исследований родились современные системы обнаружения вторжений [15]. В течение нескольких следующих лет появились IDS, в которых реализовывались новые,

48 более совершенные методы выявления атак. Например, в системе
NIDES (1993 год) применялись нейронные сети.
Другой тип IDS, появившийся в этот период, это системы, основанные на знании. Они производят детектирование атак, основываясь на сигнатурном анализе процессов компьютерной системы или анализе сетевого трафика. Основным недостатком является то, что они неэффективны против новых атак, необходимо постоянное обновление и, возможно, обучение их новым сигнатурам.
Последний тип систем, разработанных в этот период, основывался на анализе поведения, позволяя выявлять новые, еще неизвестные типы атак. Такие системы позволяли выявлять аномальное поведение на пользовательских станциях.
Однако, сетевые IDS обладают одним большим недостатком – ограничение скорости анализа трафика. В 2001 году максимальная скорость составляла всего 1 Гигабит/сек (125 Мбайт/сек). Развитие технологий связи и увеличение скорости передачи данных привели к тому, что достаточно быстро сетевые IDS утратили свою актуальность.
Для решения проблемы скоростей исследователи и разработчики обратились к развитию узловых IDS, позволяющих анализировать данные на хосте и также выявлять атаки. Одна из первых подобных систем, SNORT, была разработана под UNIX в 1998 году, а в 2000 году портирована на Windows.
К концу периода в развитии систем IDS оставался ряд нерешенных проблем, наиболее важной из которых были DDoS атаки.
На каждый из запросов к атакуемой системе IDS будет срабатывать и выводить оповещения, в результате чего работоспособность системы окажется нарушенной. Также и сама IDS может являться объектом
DDoS атак.