Информационные системы в экономике В 2-х ч. Ч. 1. Методология - Карминский A.M., Черников Б.В
..pdf310 |
Глава 5 |
увидеть все больше видеокамер, установленных дома и на рабочих местах. Однако большинство разработчиков пока испытывают труд ности в достижении высокого уровня исполнения данных устройств. Тем не менее можно ожидать появления в ближайшем будущем спе циальных устройств идентификации личности по чертам лица в залах аэропортов для защиты от террористов и для других целей.
Клавиатурный почерк. Клавиатурный почерк, также называемый ритмом печатания, анализирует способ печатания пользователем той или иной фразы. Это аналогично идентификации радиста "по почер ку". Коммерческие усилия в развитии данной технологии пока не были удачными.
Подпись. Статическое закрепление подписи становится весьма популярным взамен росписи ручкой. В основном устройства иденти фикации подписи используют специальные ручки и чувствительные к давлению столы или комбинацию обоих предметов. Устройства, использующие специальные ручки, менее дороги и занимают меньше места, но в то же время имеют меньший срок службы. До сих пор финансовое сообщество не спешило принимать автоматизированные методы идентификации подписи для кредитных карточек и проверки заявления, потому что подписи все еще слишком легко подделать. Данный аспект препятствует внедрению идентификации личности по подписи в высокотехнологические системы безопасности.
Устройства биометрического контроля начали распространяться в России начиная с 1998 г. Спрос на них значительно повысился с проявлением тенденции к снижению стоимости. Поэтому первая при чина возрастания спроса на эти устройства в России - чисто эконо мическая, устройства стали более доступны. Вторая причина - рост необходимости защиты от преступности у нас в стране.
На сегодняшний день наиболее развитыми системами данного типа являются дактилоскопические системы, т.е. основанные на ана лизе отпечатков пальцев. Тем не менее апробируются и другие тех нологии. Активизировавшаяся в последнее время в области иннова ционных разработок компания Fujitsu (точнее, ее подразделение ~ Fujitsu Laboratories) представила новую биометрическую систему, основанную на сканировании и идентификации папиллярного рисун ка на ладони человека, который является уникальным у каждого че ловека. Для сканирования используется удаленный метод инфра красного мониторинга ладони, данные которого сравниваются с об-
Информационная безопасность |
3 1 1 |
разцом, хранящимся в памяти системы. Сообщается, что при тести ровании на выборке из 700 человек узнаваемость достигла 99%, что является достаточно высоким показателем в этой области.
5.5. Компьютерные вирусы
иборьба с ними
кодному из основных технических феноменов XX в. относят ошеломляющее развитие компьютерной техники. Однако при слове компьютер тут же вспоминаются компьютерные вирусы. Этот про дукт "интеллектуальной деятельности" человека может нанести не поправимый вред информации, которую обрабатывают современные компьютеры.
Применение только разъяснительных мер часто оказывается не достаточным, поэтому во многих странах сегодня предусмотрены уголовные наказания за создание и распространение таких заведомо вредных программ, как компьютерные вирусы. По ст. 273 Уголовно го кодекса РФ автора "вредоносных программ для ЭВМ" могут при влечь к ответственности: "Создание программ для ЭВМ или внесение изменений в существующие программы, заведомо приводящих к не санкционированному уничтожению, блокированию, модификации либо копированию информации, нарушению работы ЭВМ, системы ЭВМ или их сети, а равно использование либо распространение та ких программ или машинных носителей с такими программами на казываются лишением свободы на срок до трех лет со штрафом в размере от двухсот до пятисот минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период от двух до пяти месяцев". Последствия воздействия компью терных вирусов заставляют пользователей компьютеров помнить об этой потенциальной опасности.
5.5.1. Компьютерные вирусы
Что такое компьютерный вирус? Попробуем дать объяснение этому объекту на примере клерка, работающего в офисе исключи тельно с документами. Идея такого объяснения принадлежит извест ному российскому компьютерному вирусологу Д.Н. Лозинскому.
312 Глава 5
Представим себе аккуратного клерка, который приходит на рабо ту и каждый день обнаруживает у себя на столе стопку листов бумаги со списком заданий, которые он должен выполнить за рабочий день. Клерк берет верхний лист, читает указания, пунктуально их выпол няет, выбрасывает "отработанный" лист в мусорное ведро и перехо дит к следующему листу. Предположим, что некий злоумышленник тайком прокрадывается в контору и подкладывает в стопку бумаг лист, на котором написано следующее: "Переписать этот лист в двух экземплярах и положить копии в стопку заданий соседей".
Что сделает клерк? Дважды перепишет лист, положит его сосе дям на стол, выбросит оригинал и перейдет к выполнению заданий следующего листа из стопки, т.е. продолжит выполнять свою на стоящую работу. Что сделают соседи, являясь такими же аккуратны ми клерками, обнаружив новое задание? То же, что и первый: пере пишут его по два раза и раздадут другим клеркам. Таким образом, в конторе бродят уже четыре копии первоначального документа, кото рые и дальше будут копироваться и раздаваться на другие столы.
Примерно так же работает и компьютерный вирус, только стоп ками бумаг-указаний являются программы, а роль добросовестного клерка выполняет компьютер. Так же, как и клерк, компьютер акку ратно выполняет все команды программы, начиная с первой. Если же первая команда звучит как "скопируй меня в две другие программы", то компьютер так и сделает, и команда-вирус попадает в две другие программы. Когда компьютер перейдет к выполнению других "зара женных" программ, вирус тем же способом будет расходиться все дальше и дальше по всей файловой структуре компьютера.
Термин "вирус" в применении к компьютерам был придуман Фредом Когеном из Университета Южной Калифорнии (США). Сло во "вирус" латинского происхождения и означает "яд". Совершенно точных определений компьютерных вирусов не существует, однако можно эти объекты определить следующим образом.
Компьютерный вирус - это программа, обычно скрывающаяся внутри других программ, способная сама себя воспроизводить ("раз множаться") и приписывать себя к другим программам ("заражать их") без ведома и согласия пользователя, а также выполняющая ряд нежелательных действий на компьютере (проявление "болезни").
Обычно вирусная программа создается специально для того, что бы нарушить работу компьютеров или создать затруднения пользова-
Информационная безопасность |
313 |
телю. Появление программ-вирусов обусловлено массовостью ком пьютеров, а также распространенностью стандартных операционных систем.
Зараженные программы или электронные письма с вложенными зараженными файлами сами становятся носителями вируса и зара жают другие объекты. Помимо заражения вирусы могут выполнять некоторые побочные действия, как безвредные (например, высвечи вание на экране некоторого сообщения или воспроизведение какойлибо мелодии), так и злостные (уничтожение информации на носите лях, замедление выполнения программ и т.д.). В начальной стадии заражения действие вируса может быть практически незаметно для пользователя. Однако через некоторое время одни программы пере стают работать, другие начинают работать неправильно, скорость выполнения программ уменьшается, на экран выводятся посторонние сообщения и т.п. К этому времени, как правило, многие используе мые программы оказываются зараженными, а возможно, и испорчен ными. Велика вероятность того, что в процессе работы через локаль ную сеть (при ее наличии) или с помощью электронной почты вирус распространится на другие компьютеры. Такой спонтанный процесс распространения вирусов называют "эпидемией".
При заражении компьютера вирусом важно его своевременно об наружить. Для этого следует знать основные лрызнаки их проявления,
ккоторым можно отнести следующие:
•участившиеся перезагрузки или зависание компьютера;
•замедленные загрузка и выполнение программ;
•мигание лампочки дисковода, когда не должны происходить операции записи-чтения;
•изменение размеров выполняемых программ;
• уменьшение объема основной доступной памяти.
Следует отметить, что вышеперечисленные явления не обяза тельно вызываются присутствием вируса, они могут быть следствием других причин. Именно поэтому всегда затруднена правильная диаг ностика состояния компьютера.
Механизм заражения компьютерных программ вирусами схема тично изображен на рис. 5.8.
При выполнении после считывания программа попадает в опера тивную память. Если перед этим выполнялась зараженная вирусом программа, вирус также оказывается в оперативной памяти.
314 |
|
|
|
Глава 5 |
Программа |
Программа |
Программа |
Программа |
о |
1 |
2 |
3 |
1 |
Q. |
00
i к
^Оперативная память^
<(Вирус)>-'
Рис. 5.8. Механизм заражения компьютерным вирусом
При выполнении программы вирус в соответствии с его алгорит мом проверяет, заражена ли выполняемая программа данным виру сом. Если не заражена, то вирус "дописывается" к программе, "при крепляясь" к файлу. После этого программа записывается на диск, уже имея в своем составе вирусное тело, готовое при необходимости "задержаться" в оперативной памяти для самораспространения ана логичным образом.
ПРИЗНАКИ КОМПЬЮТЕРНЫХ ВИРУСОВ
Среда |
|
Способ |
Особенности |
Деструктивные |
|
|||
заражения |
алгоритма |
|
||||||
обитания |
|
возможности |
|
|||||
|
файлов |
|
работы |
|
|
|||
|
|
|
|
|
|
|
||
|
1 ( |
л |
|
|
\ |
С |
|
^ |
Программные |
И |
Перезапись |
Н |
Резидентность |
|
Н |
Безвредные |
|
|
) |
|
|
|
|
|
|
|
Загрузочные |
Н |
Паразитирование |
Н |
Скрытность |
\ |
Н |
Неопасные |
|
|
|
|||||||
н Документные |
1 ( |
Л |
1 г |
|
ч |
1 |
|
|
Ч |
Компаньон-вирусы |
и |
Самошифрование |
|
\v |
Опасные |
|
|
1 |
и полиморфизм |
|
J |
|||||
г\
Сетевые |
л |
Очень опасные |
|
V |
J |
Рис. 5.9. Классификация компьютерных вирусов
Информационная безопасность |
315 |
В настоящее время насчитывается огромное количество компью терных вирусов, однако значительное их число является на самом деле лишь разновидностью других.
Компьютерные вирусы можно классифицировать по различным признакам (рис. 5.9).
5.5.2. Назначение и характеристики антивирусных программ
Борьба с компьютерными вирусами осуществляется с помощью антивирусных программ, которые в настоящее время должны обла дать весьма значительным запасом "прочности" против различных ухищрений создателей компьютерных вирусов. Изначально самым распространенным способом обнаружения компьютерных вирусов был "поиск по маске", т.е. выявление в файлах специфичной для ка ждого вируса последовательности символов. Со временем эти после довательности стали объединять в специализированные антивирус ные базы, которые стали неотъемлемым атрибутом современных ан тивирусных программ. Чем больше набор подобных шаблонов в базе антивирусной программы, тем с большим количеством вирусов она способна бороться.
Большая антивирусная база - залог удачного восстановления за раженного объекта в первоначальном виде. При этом необходимы индивидуальный подход к каждому вирусу и его тщательный анализ. Разные вирусы используют одинаковые методы заражения объектов, но не следует забывать и о том, что каждый вирус индивидуален, да же если это вирусы одного семейства.
Говоря о тенденциях увеличения числа компьютерных вирусов, нельзя не сказать о том, что все чаще встречаются сложные вирусы, не только способные обходить традиционную защиту и использовать свои механизмы заражения и маскировки, но и направленные против конкретных антивирусных средств.
К отличительным особенностям современных антивирусных про грамм можно добавить еще две: мощный эвристический механизм для борьбы с еще неизвестными программе вирусами и механизм для борьбы с самошифрующимися вирусами. Не вдаваясь в подробности работы этих сложных программных механизмов, отметим, что по
316 |
Глава 5 |
характерным для вирусов участкам кода можно с определенной сте пенью вероятности утверждать о наличии неизвестного программе вируса в объекте. Тесты независимых изданий (например, англий ский журнал "Virus Bulletin") и большой опыт работы с пользовате лями во всем мире позволяют утверждать, что в 80 случаях из 100, когда объект заражен неизвестным вирусом, программа выдаст по дозрение о заражении объекта. Эвристический механизм позволяет предполагать (прогнозировать) наличие вируса, маска которого на данный момент отсутствует в базе антивирусной программы. Встраивание эвристического механизма в антивирусные программы позволяет расширить их возможности, поскольку дает возможность вести борьбу с пока еще "неизвестными" вирусами. Любой механизм, работающий по эвристическому принципу, может давать ложные срабатывания. Однако, как показал продолжительный опыт работы, их процент незначителен, и в любом случае в таких вопросах лучше немного перестраховаться.
Характерной особенностью так называемых полиморфных виру сов является способность к существенной мутации своего кода, из-за чего некоторые программы (типа Aidstest, весьма популярной в свое время) принципиально не в состоянии обезвредить такие вирусы. Для борьбы с полиморфными вирусами антивирусы нового поколения используют встроенный эмулятор процессора, благодаря которому опознают вирусы под различными шифровщиками и упаковщиками, а с помощью блока эвристического анализа обнаруживают и многие (свыше 80%) неизвестные вирусы. Эмулятор процессора создает имитацию продолжительной работы компьютерных программ, что провоцирует полиморфные вирусы к мутации и, следовательно, к изменению программ.
Отличительными особенностями современных антивирусных программ являются заложенные в них новые возможности:
•проверка архивных и упакованных файлов;
•избыточное сканирование, при котором в поисках вируса объ ект "разбирается" по байтам и проводится тщательный анализ воз можности выполнения деструктивного действия. Это несколько за медляет процесс сканирования, однако повышает надежность обна ружения и удаления вирусных тел из файлов компьютера;
•наличие вирусной энциклопедии с детальным описанием виру сов, которые могут обнаруживаться конкретной программой.
Информационная безопасность |
317 |
В России антивирусные программы активно разрабатывают сле дующие фирмы:
•ЗАО "Лаборатория Касперского" (раньше называлась КАМИ), где идеологом развития средств борьбы с вирусами с самого начала является Е.В. Касперский;
•"Диалог-Наука", в которой раньше основным разработчиком был Д.Н. Лозинский, а затем коллектив пополнился И.А. Даниловым, благодаря которому появилась "Лаборатория Данилова".
Помимо антивирусных программ отечественного производства в нашей стране достаточно широко используются разработки таких зарубежных компаний, как Symantec, McAfee, Elashim, Avil Software, S&S International, Sophos.
Антивирусные программы можно классифицировать по различ ным признакам (рис. 5.10).
1 |
ПРИЗНАКИ АНТИВИРУСНЫХ ПРОГРАММ |
| |
J |
Характер |
Способ |
|
j |
Способ |
1 |
действия |
проверки |
|
1 |
настройки |
/ |
Полифаги |
Принудительный л |
/ |
Пакетный |
|
|
запуск |
|
|
||
|
|
|
|
|
|
/ |
Ревизоры |
Постоянное |
"\ |
f |
Оболочка |
|
наблюдение |
|
|
||
|
|
(мониторинг) |
J |
|
|
|
|
|
|
|
|
Вакмины
Рис. 5.10. Классификация антивирусных программ
По характеру действия антивирусные программы подразде ляются на следующие виды: полифаги, ревизоры, вакцины.
318 |
Глава 5 |
Полифаги |
предназначены для выявления вирусов и излечения от |
них файлов. К полифагам относятся AidsTest (Д.Н. Лозинский), DrWeb (И.А. Данилов), AVP (Е.В. Касперский), NAV (Symantec).
Ревизоры (иногда встречается название "CRC-сканеры") служат для информирования пользователя обо всех изменениях в структуре и содержании файлов с момента последней проверки компьютера. Как правило, подобные программы включаются в состав стартового пакета и проводят проверку изменений в файловой системе компью тера по сравнению с предыдущим включением. Программы этой ка тегории не тестируют файлы на предмет наличия в них вирусов и не удаляют вирусы из файлов, их задача - только констатация всех из менений, которые выводятся в виде таблицы. Решать, что явилось причиной изменений, - задача пользователя.
Примером про1раммы-ревизора является ADINF, созданная в свое время Д.Н. Лозинским.
Вакцины (другое название - иммунизаторы) предназначены для защиты файлов от заражения, как правило, определенным вирусом. Так, например, корпорация Microsoft создала иммунизирующую про грамму, предотвращающую заражение операционных систем виру сом W32.Blaster. Worm.
По способу проверки антивирусные программы классифици руются на две категории:
• программы принудительного запуска. Для поиска и устранения вирусов такие программы (AidsTest, DrWeb for DOS) необходимо запускать специально. Несмотря на возможность многих антивирус ных программ вести мониторинг на предмет отсутствия вирусов, иногда ими пользуются в режиме принудительного запуска для про верки отдельных носителей информации (дискет, дисков);
• программы, осуществляющие постоянное наблюдение за вирус ной обстановкой. Такие программы (AVP, DrWeb for Windows, NAV), будучи запущены резидентно, ведут постоянный мониторинг на пред мет отсутствия вирусов. В зависимости от установленных параметров при возникновении опасной ситуации программы проводят необходи мые действия или формируют сообщение пользователю. Следящие программы наблюдают за появлением вирусов и удаляют вирусные тела из файлов без прерывания обычной работы компьютера.
По способу настройки |
программы можно объединить в две |
группы: |
|
Информационная безопасность |
319 |
•пакетные (AidsTest, Cleaner), параметры работы которых за даются в командной строке при запуске программы;
•программы-оболочки (подавляющее большинство современных программ для Windows), имеющие развитый интерфейс. Настройка параметров работы проводится в специальном режиме установки па раметров.
5.5.3. Рекомендации по защите от компьютерных вирусов
Панацеи от компьютерных вирусов не существует и существо вать не может. Совершенствуется компьютерное оборудование, раз виваются информационные технологии. К сожалению, вирусные раз работчики постоянно повышают свое мастерство, создавая все более сложные и опасные вирусы. Однако соблюдение следующих реко мендаций по крайней мере снизит вероятность тяжелых последствий, которые могут вызвать их творения.
В целях защиты компьютеров от заражения вирусами рекоменду ется:
•оснастить свой компьютер современными антивирусными про граммами (например, DrWeb, AVP, McAfee, NAV или другими) и постоянно обновлять их версии;
•регулярно создавать резервные копии важных файлов и сис темных областей жестких дисков;
•периодически проверять на наличие вирусов жесткие диски компьютера, запуская антивирусные программы для тестирования файлов, памяти и системных областей дисков;
•перед считыванием с дискет информации, записанной на дру гих компьютерах, всегда проверять эти дискеты на отсутствие виру сов, запуская антивирусные программы своего компьютера до чтения содержания дискет;
•при переносе на свой компьютер файлов в архивированном ви де проверять их сразу же после разархивации на жестком диске, ог раничивая область проверки только вновь записанными файлами;
•всегда защищать свои дискеты от записи при работе на других компьютерах, если на них не будет проводиться запись информации.