Кафедра безопасности информационных систем

К.т.н. Воронов А.В.

Основы защиты информации

Вредоносное программное обеспечение и защита от него

Учебное пособие.

Санкт-Петербург

2011 г.

Автор: к.т.н. Воронов А.В., к.т.н. Волошина Н.В.

Основы защиты информации. Вредоносное программное обеспечение и защита от него. Учебное пособие. Санкт-Петербургский государственный университет аэрокосмического приборостроения. Кафедра комплексной безопасности информационных систем. Санкт-Петербург, 55 стр.

Краткая аннотация на учебное пособие.

В учебном пособии «Основы защиты информации. Вредоносное программное обеспечение и защита от него» рассматривается семейство вредоносных программ, и методы защиты от них в информационно-вычислительных системах. Пособие предназначено для изучения основ организации защиты информации от деструктивного воздействия программ типа: компьютерные вирусы, «троянский конь», и аналогичных, а так же защиты почтовых систем от спама. Рекомендуется для студентов технических и гуманитарных направлений.

СОДЕРЖАНИЕ

1. Понятия и определения. 4

2. Компьютерные вирусы.. 6

2.1. История компьютерных вирусов. 6

2.2. Классификация компьютерных вирусов. 15

3. Классификация других деструктивных программ. 27

3.1. Трояны. 27

3.2. Программы-шпионы (Spyware) 28

3.3. Рекламные коды (Аdware) 29

3.4. Спам.. 30

3.5. Фишинг. 36

4. Классификация методов защиты от вредоносного ПО. 38

4.1. Основные методы защиты от компьютерных вирусов. 38

4.2. Дополнительные рекомендации по защите от вредоносного ПО. 42

4.3. Борьба со спамом.. 47

5. Организация системы защиты корпоративных информационных систем от вредоносного программного обеспечения. 51

5.1. Требования к системе. 51

5.2. Общая структура решения. 53

Приложение. ………………………………………………………………………………………55

1. Понятия и определения.

На сегодняшний день понятие вредоносного ПО охватывает довольно обширный спектр прикладных программ. В перечень вредоносных входит не только вирусное программное обеспечение, приводящее к разрушению информации и нарушению работы компьютерных систем, но и программы, обеспечивающие несанкционированный доступ к конфиденциальной информации и персональным данным пользователей информационных систем, в том числе и банковских электронных систем. В эту же группу входят и программные решения, затрудняющие повседневную работу пользователей и корпоративных систем, например – рекламное ПО.

При этом необходимо учесть, что с развитием информационных технологий границы между отдельными видами вредоносного ПО всё больше стираются, и одни виды вредоносного ПО в своих алгоритмах всё больше используют методы других видов данного ПО. Например, программы-шпионы для внедрения в систему используют технологию ПО «троян», которое в свою очередь, использует для распространения вирус типа «почтовый червь», который, для повышения эффективности размножения использует спам-технологии.

Размеры ущерба от воздействия данных программ от года к году растут с лавинообразной скоростью, несмотря на, казалось бы, адекватные меры защиты. К сожалению, порой даже системные администраторы (не говоря уж об обычных пользователях) не всегда точно представляют себе как функционируют подобные программы, и как они проникают в компьютеры и сети. Однако, без понимания механизма функционирования и распространения подобного ПО, невозможно организовать эффективную защиту, даже имея в своем распоряжении соответствующие средства защиты информации.

В связи с этим, в настоящее время под вредоносным ПО подразумевают любое прикладное ПО, в результате прямого действия которого в информационной системе, возникает какой либо ущерб. В данной части учебного пособия мы рассмотрим наиболее популярные виды вредоносного ПО и методы защиты от него.

Для удобства рассмотрения дальнейшего материала введем некоторые понятия и определения.

Компьютерный вирус – программа, особенность которой состоит в том, что она стремится самостоятельно размножиться, создавая свои копии (не обязательно полностью совпадающие с оригиналом) и внедряя их в различные объекты и ресурсы компьютерных систем, сетей и т.д. без ведома пользователя. При этом копии сохраняют способность дальнейшего распространения. Активизация программы происходит в процессе взаимодействия с зараженным ресурсом.

Трояны («Троянский конь») – программы, которые содержат внутри себя некие скрытые функции реализующие какие-либо информационные угрозы, либо программный код, позволяющий инсталлировать вредоносные программы в системе.

Внешне незаметные, или выглядящие достаточно безобидно, эти программы, как правило, обеспечивают возможность удаленного доступа в зараженную систему (так называемые «back doors»), или занимаются перехватом, сбором и отправкой в адрес злоумышленника определенной информации. Либо инсталлируют специальное резидентное ПО («зомбируют систему»), обеспечивающее участие данного ПК в массовых сетевых акциях (атаках) скрытно от пользователя системы. Например, рассылка спама или проведение DoS-атак.

Программы-шпионы (Spyware) – программное обеспечение, которое позволяет собирать информацию о характере действий отдельного пользователя или группы пользователей на персональной ЭВМ, либо узлах компьютерной сети, без их уведомления. Для проникновения, инсталляции и скрытия себя в системе, spyware могут использовать вирусные технологии и технологии «троянских коней».

Рекламные коды (Аdware) – это программное обеспечение, позволяющее осуществлять скрытую загрузку рекламной информации на рабочую станцию пользователя через компьютерную сеть. Кроме того, данные программы могут производить сбор и отправку третьим лицам информации о посещаемых сайтах, и вводимых владельцем компьютера данных. Для проникновения, инсталляции и скрытия себя в системе, adware могут использовать вирусные технологии и технологии «троянских коней».

Спам – это несанкционированные массовые рассылки электронных почтовых сообщений, не имеющие конкретного адресата. При помощи спама может осуществляться массовое распространение почтовых вирусов и троянов.

Фишинг (англ. phishing, от fishing – рыбная ловля, выуживание и password – пароль) – вид электронного мошенничества, цель которого – получить идентификационные данные пользователей. Сюда относятся кражи паролей, номеров кредитных карт, банковских счетов и другой конфиденциальной информации.

Компьютерные вирусы

Компьютерные вирусы являются феноменом второй половины двадцатого столетия. Концептуальные основы компьютерных вирусов были заложены задолго до возникновения самой вирусной угрозы. Известно, что эти идеи родились ещё во времена, когда компьютеры представляли собой примитивные, огромные и очень дорогие конструкции, обладать которыми могли только научные центры, университеты и правительственные учреждения. Первоначально идея компьютерных вирусов состояла из моделирования процесса развития живых организмов в природе. Ставилась задача написания компьютерной программы, которая могла бы самостоятельно создавать свои, или подобные себе жизнеспособные копии. Такое поведение программ – шаг на пути к созданию искусственного интеллекта. К сожалению, реализация этих идей получила совершенно неадекватное и опасное воплощение. Результаты исследований и способы реализации алгоритмов достаточно широко освещались в литературе, и как это не редко бывает – дорога в ад оказалась вымощена благими намереньями.

Когда компьютерный мир состоял из относительно небольшого количества ЭВМ, вирус не имел возможности широкого распространения, но с появлением недорогих персональных компьютеров, вирусы получили благодатную питательную среду. Лавинообразный рост глобальных сетей, возможность присоединять файлы к сообщениям электронной почты и общий рост зависимости человека от компьютерных информационных технологий – все это создает для распространения компьютерных вирусов превосходные условия [45].

Наши рекомендации