V Пути проникновения вирусов

Суммируем способы распространения, которые использует вредоносное программное обеспечение всех классов и разновидностей:

1) Электронная почта, системы мгновенных сообщений, системы обмена файлами.

2) Вредоносные или взломанные веб-сайты.

3) Носители информации (дискеты, диски, Flash-накопители).

4) Инфицированные исполняемые файлы, авторские сборки программных продуктов, пересобранные дистрибутивы (т.е. установочные пакеты программ, измененные третьими лицами).

5) Эксплуатация уязвимостей программного обеспечения или потенциально уязвимого функционала операционной системы.

VI Классификация средств защиты от программных угроз безопасности

Какому программному обеспечению доверить свою безопасность (оставив в стороне финансовый вопрос) — зависит от требований к его качеству. Если активной работы с интернетом не ведётся, если посещаются только «проверенные» веб-сайты из ограниченного списка, если почтовая переписка ведётся только с ограниченным количеством людей и не заваливает тоннами спама, если из интернета не скачиваются новые программы — то требования к антивирусной защите могут быть самыми минимальными.

Если же ситуация обратная, если идёт постоянная работа в сети, активная переписка, регулярно используются поисковые сервисы — то требования к качеству и функционалу антивирусной защиты резко возрастают.

В соответствии с классификацией программных угроз безопасности существуют :

- средства противодействия вредоносному ПО;

- средства противодействия вредоносным сетевым технологиям (рис.3).

Рисунок 3 – Классификация средств защиты от программных угроз

В настоящее время существует следующая классификация программного обеспечения для борьбы с вредоносным ПО:

1) Антивирусы. Под антивирусным решением принято понимать систему детектирования и обработки троянских программ, червей, классических вирусов и другого вредоносного ПО; некоторые антивирусные продукты определяют также и нежелательное программное обеспечение. Методы, которыми антивирусы определяют вредоносное программное обеспечение, разделяются на две основные группы: реактивные и проактивные.

Антивирусными называются программы, предназначенные для защиты дан­ных от разрушения, обнаружения и удаления компьютерных вирусов. Различают следующие разновидности антивирусных программ:

• фильтры или сторожа,

• детекторы,

• доктора или фаги,

• ревизоры,

• иммунизаторы, или вакцины.

Фильтр представляет собой резидентную программу, которая контролирует опасные действия, характерные для вирусных программ, и запрашивает подтвер­ждение на их выполнение. К таким действиям относятся следующие:

- изменение файлов выполнимых программ;

- размещение резидентной программы;

- прямая запись на диск по абсолютному адресу;

- запись в загрузочные секторы диска;

- форматирование диска.

Достоинством программ-фильтров является их постоянное отслеживание опас­ных действий, повышающее вероятность обнаружения вирусов на ранней стадий их развития. С другой стороны, это же является и недостатком, так как приводит к отвлечению пользователя от основной работы для подтверждения запросов на выполнение подозрительных операций.

Детекторы обеспечивают поиск и обнаружение вирусов в оперативной памяти и на внешних носителях. Различают детекторы универсальные и специализирован­ные. Универсальные детекторы в своей работе используют проверку неизменности файлов путем подсчета и сравнения с эталоном контрольной суммы Недостаток универсальных детекторов связан с невозможностью определения причин искаже­ния файлов. Специализированные детекторы выполняют поиск известных вирусов по их сигнатуре (повторяющемуся участку кода). Недостаток таких детекторов со­стоит в том, что они неспособны, обнаруживать все известные вирусы. Детектор, позволяющий обнаруживать несколько вирусов, называют полидетектором

Доктором называют антивирусную программу, позволяющую обнаруживать и обезвреживать вирусы. При обезвреживании вирусов среда обитания может вос­станавливаться или не восстанавливаться. Программы-доктора, позволяющие отыс­кивать и обезвреживать большое число вирусов, называют полифагами.

Ревизор представляет собой программу, запоминающую исходное состояние программ, каталогов и системных областей и периодически сравнивающую теку­щее состояние с исходным. Сравнение может выполняться по ряду параметров, таких как длина и контрольная сумма файла, дата и время изменения и т. п. Досто­инством ревизоров является их способность обнаруживать стелс-вирусы и вноси­мые вирусами изменения в программы.

Иммунизатор представляет собой резидентную программу, предназначенную для предотвращения заражения рядом известных вирусов путем их вакцинации. Суть вакцинации заключается в модификации программ или диска таким обра­зом, чтобы это не отражалось на нормальном выполнении программ и то же время вирусы воспринимали их как уже зараженные и поэтому не пытались внедриться. Существенным недостатком таких программ является их ограниченные возмож­ности по предотвращению заражения от большого числа разнообразных вирусов.

Необходимо отметить, что современные антивирусные пакеты объединяют в единое целое все существующие антивирусные технологии.

2) Брандмауэры (firewall, сетевой экран). Брандмауэр – это продукт, отвечающий за обеспечение контроля и безопасности сетевых соединений, осуществляемых компьютером. Его основная задача состоит в управлении доступом приложений к ресурсам сети, а также в защите системы от сетевых атак, направленных на эксплуатацию уязвимостей или получение несанкционированного доступа к системе. Система детектирования вторжений (IDS, intrusion detection system) имеет сигнатурную природу, позволяя выявлять и блокировать определенные сетевые пакеты и соединения. К примеру, для эксплуатации уязвимостей некоторых приложений злоумышленник или вредоносная программа должны направить этому приложению специальным образом сформированный пакет данных; специалисты компании-производителя брандмауэра могут внести содержимое такого пакета в базу данных системы определения вторжений, и в дальнейшем, если поступивший пакет совпадет с образцом, IDS остановит его вне зависимости от того, какие правила имеются для приложения-адресата в таблице.

3) Антирекламные и антишпионские программы (anti-adware, anti-spyware). Эти продукты реализуют противодействие некоторым видам нежелательного программного обеспечения; обычно они устроены по типу антивирусного ПО, т.е. имеют частичный или полноценный монитор, сканер по требованию и систему обновления базы данных.

4) Системы предотвращения вторжений (Host(ed) Intrusion Prevention System, HIPS). Продукты этого класса управляют правами приложений на выполнение тех или иных действий, подобно тому, как брандмауэр управляет сетевым доступом; сходство принципов работы обусловливает тот факт, что нередко HIPS объединяются с брандмауэром в составе одного защитного продукта. HIPS является средством проактивной защиты, т.е. не содержит базы данных сигнатур вирусов и не осуществляет их детектирование; таким образом, HIPS оперирует не понятиями «легитимный файл – вредоносный файл», а понятиями «разрешенное действие – запрещенное действие». Эффективность HIPS может доходить до 100% предотвращения повреждения или инфицирования системы, однако большинство программ этого класса требует от пользователя определенных знаний для управления ими. В соответствии с принципом организации защиты HIPS могут быть подразделены на три основные группы: классические HIPS, экспертные HIPS, HIPS типа Sandbox

(«песочница»).

Средства противодействия вредоносным сетевым технологиям делятся на:

1) Антиспамы, или спам-фильтры. Антиспам в целом можно рассматривать как систему фильтрации, предназначенную для размежевания полезных и нежелательных сообщений; классифицировать и уточнять их специфику возможно по разным критериям. Бывают почтовые антиспамы и антиспамы для систем мгновенных сообщений

2) Средства защиты от Интернет-мошенничества. В настоящее время противодействие фишингу и другим разновидностям мошенничества в Сети осуществляется преимущественно методом ведения черных списков ресурсов, замеченных в распространении нежелательного содержимого или хищении конфиденциальной информации.

Защита информации от программных угроз безопасности подразумевает не только противодействие вредоносным программам и сетевым технологиям, но и процедуры предотвращения ее (информации) потерь и повреждений. Существует две основных процедуры, позволяющих обеспечивать общую защиту данных от агрессивных факторов: программное шифрование и резервное копирование.

В данном разделе не приведены конкретные программные продукты защиты (это является рекламой), так как практически любой современный, широко распространенный программный продукт (периодически обновляемый и правильно используемый) от отечественного или импортного производителя обеспечивает требуемую безопасность. Информацию о результатах тестирования программных продуктов для защиты от программных угроз можно найти в периодических изданиях и Internet (см. сайт [8] из списка литературы).