Пути проникновения вируса в компьютер
Основными путями проникновения вирусов в компьютер являются съемные диски, а также компьютерные сети. Заражение жесткого диска вирусами может произойти при загрузке программы с носителя, содержащего вирус. Заразить флеш носитель очень просто- достаточно воткнуть его в разъем зараженного компьютера. Диск с записью заразить невозможно. Вирус, как правило, внедряется в рабочую программу таким образом, чтобы при ее запуске управление сначала передалось ему и только после выполнения всех его команд снова вернулось к рабочей программе. Получив доступ к управлению, вирус, прежде всего, переписывает сам себя в другую рабочую программу и заражает ее. После запуска программы, содержащей вирус, становится возможным заражение других файлов.
Наиболее часто вирусом заражаются загрузочный сектор диска и исполняемые файлы, имеющие расширения EXE, COM, SYS, BAT. Крайне редко заражаются текстовые файлы. После заражения программы вирус может выполнить какую-нибудь диверсию, не слишком серьезную, чтобы не привлечь внимания. И, наконец, не забывает возвратить управление той программе, из которой был запущен. Каждое выполнение зараженной программы переносит вирус в следующую. Таким образом, заразится все программное обеспечение.
Признаки появления вируса
При заражении компьютера вирусом важно его обнаружить. Для этого следует знать об основных признаках проявления вирусов. К ним можно отнести следующие: прекращение работы или неправильная работа ранее успешно функционировавших программ:
- медленная работа компьютера;
- исчезновение файлов и каталогов или искажение их содержимого;
- изменение даты и времени модификации файлов;
- изменение размеров файлов;
- неожиданное значительное увеличение количества файлов на диске;
- существенное уменьшение размера свободной оперативной памяти;
- вывод на экран непредусмотренных сообщений или изображений;
- подача непредусмотренных звуковых сигналов;
- частые зависания и сбои в работе компьютера.
Следует отметить, что вышеперечисленные явления необязательно вызываются присутствием вируса, а могут быть следствием других причин. Поэтому всегда затруднена правильная диагностика состояния компьютера.
АНТИВИРУСНЫЕ СРЕДСТВА
К настоящему времени накоплен значительный опыт борьбы с компьютерными вирусами, разработаны антивирусные программы, известны меры защиты программ и данных. Происходит постоянное совершенствование, развитие антивирусных средств, которые в короткий срок с момента обнаружения вируса - от недели до месяца - оказываются способными справиться с вновь появляющимися вирусами.
Создание антивирусных программ начинается с обнаружения вируса по аномалиям в работе компьютера. После этого вирус тщательно изучается, выделяется его сигнатура - последовательность байтов, которая полностью характеризует программу вируса (наиболее важные и характерные участки кода), выясняется механизм работы вируса, способы заражения. Полученная информация позволяет разработать способы обнаружения вируса в памяти компьютера и на магнитных дисках, а также алгоритмы обезвреживания вируса (если возможно, удаления вирусного кода из файлов - «лечения»).
Типы антивирусных программ
Известные ныне антивирусные программы можно разделить на несколько типов.
Детекторы. Их назначение - лишь обнаружить вирус. Детекторы вирусов могут сравнивать загрузочные сектора дискет с известными загрузочными секторами, формируемыми операционными системами различных версий, и таким образом обнаружить загрузочные вирусы или выполнять сканирование файлов на магнитных дисках с целью обнаружения сигнатур известных вирусов. Такие программы в чистом виде в настоящее время редки.
Фаги.Фаг - это программа, которая способна не только обнаружить, но и уничтожить вирус, т.е. удалить его код из зараженных программ и восстановить их работоспособность (если возможно). Известнейшим в России фагом является Aidstest, созданный Д.Н.Лозинским. Одна из последних версий обнаруживает более 8000 вирусов. Aidstest для своего нормального функционирования требует, чтобы в памяти не было резидентных антивирусов, блокирующих запись в программные файлы, поэтому их следует выгрузить, либо, указав опцию выгрузки самой резидентной программе, либо воспользоваться соответствующей утилитой.
Очень мощным и эффективным антивирусом является фаг Dr Web (созданный И.Даниловым). Детектор этого фага не просто сканирует файлы в поисках одной из известных вирусных сигнатур. Для нахождения вирусов Dr Web использует программу эмуляцию процессора, т.е. он моделирует выполнение остальных файлов с помощью программной модели микропроцессора I-8086 и тем самым создает среду для проявления вирусов и их размножения. Таким образом, программа Dr Web может бороться не только с полиморфными вирусами, но и вирусам, которые только еще могут появиться в перспективе.
По результатам сравнительного тестирования антивирусных программ первым оказался «Антивирус Касперского 7.0», на 15 баллов меньше набрал Norton Anti-Virus 2007, третий результат показала антивирусная программа Eset Nod32 2.7.
На общие результаты тестирования оказали влияние разные критерии, по которым оценивались антивирусные программы и называть какую-то программу абсолютным лидером было бы некорректным хотя бы потому, что для разных пользователей наиболее привлекательными являются различные параметры работы антивирусов, хотя главный критерий - качество защиты является, конечно же, приоритетным.
Лучшие результаты в сравнительном тестировании «Антивируса Касперского 7.0» определяются быстротой реакции на новые угрозы, частое обновление вирусных баз, наличие поведенческого блокиратора, отсутствующего у других антивирусных программ, способность к удалению руткитов и эффективная самозащита.
К достоинствам «Антивируса Касперского 7.0» нужно также отнести его большой функциональный диапазон: нахождение и иннактивация активных руткитов, быстрая проверка трафика HTTP, способность изменять последствия деятельности вредоносных программ, наличие программы аварийного восстановления, эффективное регулирование нагрузки на центральный процессор.
К недостаткам «Антивируса Касперского 7.0» следует отнести низкую устойчивость к сбоям, относительно низкую эффективность эвристического анализа, что препятствует надежному противостоянию тем видам угроз, которые на данный момент «Антивирусу Касперского 7.0» неизвестны. Среди отрицательных качеств «Антивируса Касперского 7.0» и большое количество ложных срабатываний, что особо раздражает некоторых пользователей.
Оказавшийся на второй позиции Norton Anti-Virus 2007 привлекает удобством и простотой и удобством интерфейса, эффективностью сигнатурного детектирования и невысоким числом ложных тревог.
Вместе с тем Norton Anti-Virus 2007 довольно сильно потребляет ресурсы системы и обладает невысокой скоростью реакции. Проактивная защита у него не самая сильная и поддержка упаковщиков несколько ограничена. Возможность настроек Norton Anti-Virus 2007 ограничена, что не позволяет адаптировать его к широкому числу пользователей.
Наиболее сильными сторонами занявшего третье место Eset Nod32 2.7 стали его эффективный эвристический анализатор и минимальное потребление ресурсов системы, что особо отмечают владельцы не очень «быстрых» компьютеров.
К недостаткам Eset Nod32 2.7 относятся недостаточно быстрое реагирование на новые угрозы, минимальные способности к обнаружению активных руткитов и ликвидировать последствия активного заражения. Устаревший интерфейс также нуждается в обновлении.
Четвертое место антивирусной программы «Доктор Веб» обусловлено отсутствием активного блокиратора, эффективных инструментов противостояния активному заражению и обнаружения руткитов. Эффективность эвристического анализатора «Доктор Веб» тоже оставляет желать лучшего. При всех недостатках этого антивируса нельзя не отметить довольно высокую гибкость настроек, скорость реакции и доступный даже самому неопытному пользователю алгоритм установки.
Худшие результаты в сравнении с остальными участниками тестирования показал Avira AntiVir PE Classic 7.0. И хотя сигнатурный детектор и аналитический анализатор у него сравнительно неплохие, неэффективные средства защиты и низкая способность к ликвидации последствий заражения программ отодвинули Avira AntiVir PE Classic 7.0 на последнее место.
Единственным преимуществом Avira AntiVir PE Classic 7.0 перед остальными участниками тестирования является ее бесплатность. Другие антивирусные имеют примерно одинаковую стоимость (в пределах 1000 рублей), хотя несколько более привлекательно выглядят отечественные «Антивирус Касперского» и «Доктор Веб», у которых более качественный уровень технической поддержки.
- Методы защиты информации.
В зависимости от способа реализации методы и средства защиты разделяются на следующие группы.
1. Организационные методы. Они представляют собой набор инструкций, определяющий обязательные для всех пользователей порядок и правила использования компьютеров сети, а также ограничения по правилам доступа в компьютерные помещения.
2. Технологические методы. Они рассматриваются как основа защиты любой системы. Любое технологическое решение реализуется организационно, аппаратно или программно. Примеры технологических решений: фильтрация пакетов, мониторинг и аудит сети, автоматическое ведение журналов регистрации, система «обратного дозвона» (по запросу удаленного пользователя соединение не устанавливается, а лишь регистрируется запрос на соединение, после чего система сама производит обратный вызов абонента по указанному им адресу).
3. Аппаратные средства защиты (АСЗ). Они обеспечивают наиболее надежную защиту, с их помощью могут быть реализованы практически любые концепции защиты, но стоимость реализации оказывается на порядок выше по сравнению с аналогичными по назначению программным средствами. Аппаратные средства исключают любое вмешательство в их работу непосредственно из сети, изучение их работы возможно только при наличии непосредственного физического доступа к ним. Кроме того, они отличаются большей производительностью по сравнению с программными средствами (особенно если они используются в устройствах криптографической защиты).
4. Программные средства защиты (ПСЗ). Это наиболее распространенные средства, с их помощью реализуются все идеи и методы защиты, причем стоимость реализации сравнительно невысока. Основной недостаток программных средств - доступность для хакеров, особенно это касается широко распространенных на рынке средств защиты. Поэтому желательна разработка собственных оригинальных программных средств защиты.
5. Программно-аппаратные (гибридные) средства защиты. Они основаны на использовании технологических устройств, допускающих некоторую настройку параметров их работы программными методами, и представляют собой компромисс между предыдущими двумя способами, совмещая высокую производительность аппаратно реализованных систем и гибкость настройки программных. К числу таких гибридных средств относятся аппаратно реализованные маршрутизаторы фирмы Cisco, допускающие их настройку для работы в качестве пакетных фильтров.
Для СОБ корпоративной сети существуют различные варианты разработки и приобретения средств защиты. Приведем краткую характеристику этих вариантов.
Коммерческая реализация средств защиты - это доступное и полнофункциональное решение по комплектации СОБ аппаратными и программными средствами защиты. Используя такое решение, необходимо обращать внимание на сертификацию этих средств и приобретать только лицензионные версии. Общим и очевидным недостатком является неопределенность степени защиты по отношению к возможностям фирмы производителя. В связи с этим там, где это возможно, следует воспринимать общие рекомендации, но не всегда использовать конкретные рекомендуемые решения.
Самостоятельная разработка средств защиты - во всех случаях это наиболее предпочтительный вариант, особенно если речь идет о технологических и организационных методах защиты. При самостоятельной разработке АСЗ и ПСЗ достигается более высокая надежность защиты ККС, однако серьезным недостатком такого решения является трудность сертификации конечного продукта. Рациональным представляется такой вариант, когда осуществляется самостоятельная разработка только тех дополнений средств защиты, которые необходимы, но отсутствуют в готовом продукте. В этом случае получается дополнительный рубеж защиты, в том числе и от фирмы-производителя данного продукта.
Индивидуальный заказ средств защиты крупным производителям - такое решение могло бы стать идеальным, но в настоящее время трудно найти организацию, готовую реализовать такой заказ в полном объеме. Кроме того, этот вариант связан с немалыми финансовыми и временными затратами.
Смешанный подход к реализации средств защиты основан на том, что следует, не полагаясь на опыт поставщика, самостоятельно разобраться во всех возможностях настройки предлагаемого изделия и произвести ее, хотя это и связано с существенными трудозатратами. Такой подход почти всегда реален и реализуем.
Понятие информационной безопасности
Словосочетание "информационная безопасность" в разных контекстах может иметь различный смысл. В Доктрине информационной безопасности Российской Федерации термин "информационная безопасность" используется в широком смысле. Имеется в виду состояние защищенности национальных интересов в информационной сфере, определяемых совокупностью сбалансированных интересов личности, общества и государства.
Цель мероприятий в области информационной безопасности - защитить интересы субъектов информационных отношений. Интересы эти многообразны, но все они концентрируются вокруг трех основных аспектов:
· доступность;
· целостность;
· конфиденциальность.
Успех в области информационной безопасности может принести только комплексный подход, сочетающий меры четырех уровней:
· законодательного;
· административного;
· процедурного;
· программно-технического.
Проблема ИБ - не только (и не столько) техническая; без законодательной базы, без постоянного внимания руководства организации и выделения необходимых ресурсов, без мер управления персоналом и физической защиты решить ее невозможно. Комплексность также усложняет проблематику ИБ; требуется взаимодействие специалистов из разных областей.
В качестве основного инструмента борьбы со сложностью предлагается объектно-ориентированный подход. Инкапсуляция, наследование, полиморфизм, выделение граней объектов, варьирование уровня детализации - все это универсальные понятия, знание которых необходимо всем специалистам по информационной безопасности.
Меры защиты