- •Затверджую
- •Опорний конспект лекцій з курсу
- •1. Основні етапи історії розвитку інформаційної безпеки. 33
- •Лекція №1. Вступ. Предмет захисту. Проблеми безпечної діяльності. Визначення та загальні властивості інформації
- •1. Предмет захисту
- •1.1. Проблеми безпечної діяльності
- •1.2. Визначення та загальні властивості інформації
- •Контрольні запитання
- •Лекція №2. Вступ. Предмет захисту. Цінність та класифікація інформації
- •1.3. Цінність та класифікація інформації
- •Контрольні запитання
- •Лекція №3. Вступ. Предмет захисту. Проблеми захисту інформації
- •1.4. Проблеми захисту інформації
- •1.5. Предмет захисту інформації
- •1.6. З історії зі
- •Контрольні запитання
- •Лекція №4. Вступ. Предмет захисту. Проблеми захисту інформації
- •Контрольні запитання
- •1. Хто, від кого чи від чого, як і яку інформацію має захищати?
- •2. Зміст основних етапів історії розвитку інформаційної безпеки.
- •3. Чи можна ототожнювати захист інформації з криптозахистом? Обґрунтуйте. Лекція №5. Нормативно-законодавча база із захисту інформації. Проблеми створення стандартів з зі
- •2. Нормативно-законодавча база із захисту інформації
- •2.1. Проблеми створення стандартів з зі
- •2.2. Огляд стандартів з захисту інформації
- •Контрольні запитання
- •Лекція №6. Нормативно-законодавча база із захисту інформації. Єдині критерії безпеки інформаційних технологій
- •Контрольні запитання
- •Лекція №7. Нормативно-законодавча база із захисту інформації. Законодавчі акти і нормативні документи України щодо зі
- •2.3. Законодавчі акти і нормативні документи України щодо зі
- •Контрольні запитання
- •Лекція №8. Нормативно-законодавча база із захисту інформації. Державний стандарт (Критерії) України з зі
- •2.4. Державний стандарт (Критерії) України з зі
- •Контрольні запитання
- •Лекція №9. Організаційно-технічні заходи щодо забезпечення захисту інформації. Класифікація засобів забезпечення безпеки ас
- •3. Організаційно-технічні заходи щодо забезпечення захисту інформації
- •3.1. Класифікація засобів забезпечення безпеки ас
- •3.2. Організаційні заходи
- •3.3. Служба безпеки
- •Контрольні запитання
- •Лекція №10. Організаційно-технічні заходи щодо забезпечення захисту інформації. Технічне забезпечення безпеки інформації
- •3.4. Технічне забезпечення безпеки інформації
- •3.5. Технічні канали витоку інформації
- •Канали витоку інформації.
- •4.2. Канали витоку інформації
- •Контрольні запитання
- •Лекція №12. Захист інформації від несанкціонованого доступу. Поняття загрози інформації
- •4.3. Поняття загрози інформації
- •4.4. Моделі загроз та порушника
- •Контрольні запитання
- •Лекція №13. Захист інформації від несанкціонованого доступу. Причини порушення безпеки
- •4.5. Причини порушення безпеки
- •4.5. Віруси як засіб атаки на кс
- •Контрольні запитання
- •Лекція №14. Захист інформації від несанкціонованого доступу. Віруси як засіб атаки на кс
- •Правила, що запобігають появі та поширенню комп‘ютерних вірусів
- •Дії при заражені комп‘ютерним вірусом
- •5.2. Ідентифікація та автентифікація
- •Контрольні запитання
- •Лекція №16. Механізми захисту інформації від нсд. Біометрична ідентифікація
- •Контрольні запитання
- •Лекція №17. Механізми захисту інформації від нсд. Вступ до криптології
- •5.3. Вступ до криптології
- •Контрольні запитання
- •Лекція №18. Механізми захисту інформації від нсд. Вступ до криптології
- •Контрольні запитання
- •Лекція №19. Механізми захисту інформації від нсд. Вступ до криптології
- •Контрольні запитання
- •Лекція №20. Окремі питання захисту інформації від нсд. Особливості зі від нсд в локальних обчислювальних мережах
- •6. Окремі питання захисту інформації від нсд
- •6.1. Особливості зі від нсд в локальних обчислювальних мережах
- •6.2. Зі від нсд в базах даних
- •6.3. Зі при організації конфіденційного зв’язку
- •6.4. Захист програмного забезпечення
- •Контрольні запитання
- •Лекція №21. Проблеми безпеки корпоративних інформаційних систем. Підходи щодо вирішення проблеми забезпечення безпеки
- •7. Проблеми безпеки корпоративних інформаційних систем
- •7.1. Підходи щодо вирішення проблеми забезпечення безпеки
- •7.2. Недоліки у сфері захищеності служб і протоколів Internet
- •Контрольні запитання
- •Лекція №22. Проблеми безпеки корпоративних інформаційних систем. Модель корпоративної мережі
- •7.3. Модель корпоративної мережі
- •7.4. Принципи побудови підсистеми інформаційної безпеки
- •Контрольні запитання
- •Лекція №24. Особливості процесів обробки інформації в іс дпс. Розвиток інформаційної інфраструктури
- •8.2. Розвиток інформаційної інфраструктури
- •8.3. Особливості податкової інформації
- •Контрольні запитання
- •Лекція №25. Особливості процесів обробки інформації в іс дпс. Підсистема інтегрованого електронного документообігу
- •8.4. Підсистема інтегрованого електронного документообігу
- •8.5. Електронна пошта
- •Контрольні запитання
- •Лекція №26. Політика інформаційної безпеки. Поняття політики безпеки
- •9. Політика інформаційної безпеки
- •9.1. Поняття політики безпеки
- •9.2. Види політик безпеки
- •Контрольні запитання
- •Лекція №27. Політика інформаційної безпеки. Загальний зміст політики інформаційної безпеки
- •9.3. Загальний зміст політики інформаційної безпеки
- •Контрольні запитання
- •Лекція №28. Політика інформаційної безпеки. Внутрішня політика безпеки організації дпс
- •9.4. Внутрішня політика безпеки організації дпс
- •9.4.1. Правила розмежування доступу
- •9.4.2. Внутрішня політика безпеки організації дпс
- •9.4.3. Політика оцінки ризику
- •9.4.4. Політика пароля
- •9.4.5. Політика антивірусного захисту
- •9.4.6. Політика етики
- •9.4.7. Політика адміністрування
- •Контрольні запитання
- •Перелік термінів
- •Література
- •Додаткова література
4.5. Віруси як засіб атаки на кс
Торкнемось до ще однієї винятково важливої сучасної та актуальної проблеми, що має безпосереднє відношення до інформаційної безпеки як специфічна загроза. Це проблема вірусів.
Результати досліджень по комп’ютерним вірусам не оптимістичні: вірусна проблема загострюється з кожним днем. В 1999 році на кожну тисячу комп’ютерів кожного місяця реєструвалося в середньому біля 10 випадків зараження вірусами. З тих пір, за результатами опитування ICSA Labs 300 великих підприємств, кожного року інтенсивність заражень зростає приблизно у двічі.
Станом на початок 1999 року мало місце 80 випадків на місяць. Таким чином, майже кожен десятий комп’ютер в середньому раз на місяць заражається вірусами. За оцінками американського інституту досліджень Computer Economics випадки зараження вірусами тільки в першому півріччі 1999 року обійшлося світовій економіці приблизно в $7,6 млрд (включаючи витрати на антивірусне програмне забезпечення).
Все важче стає справлятися з новими вірусами, які з’являються в кількості 500 – 800 штук на місяць. Нема нічого дивного в тому, що розробники антивірусного ПЗ об’єднують свої зусилля. Компанія Network Associates (NAI), розробник антивірусної програми McAfeeSoftware, поглинула свого конкурента Dr. Solomon. Компанія Symantec, яка займає разом з Norton Antivirus друге місце в антивірусному бізнесі, володіє антивірусними рішеннями IBM. Норвезька фірма Norman Data Defense придбала голландську компанію Thunderbyte.
В теперішній час розроблено достатня кількість антивірусних програм, що доступні для домашніх та корпоративних користувачів.
Таким чином, швидкість розповсюдження вірусів невпинно зростає, з’являються їх нові різновиди, вони все активніше проникають до Internet, а ринок антивірусного програмного забезпечення стає все більш динамічнішим.
Експерти нараховують близько 50 тисяч екземплярів. Однак ця кількість залежить від того, як рахувати родинні та дуже подібні екземпляри. Саме тому порівняно якісні антивірусні програми-сканери можуть визначати різну кількість вірусів. Нажаль, жодна компанія, що розробляє антивірусне ПЗ, не має у своїй добірці усіх відомих вірусів.
Перший прототип сучасних вірусів був створений в лабораторії Xerox ще в 60-ті роки. Це була програма, яка «мандрувала» по мережі та перевіряла працездатність підключених до мережі обчислювальних пристроїв.
3 листопада 1983 року Фредерик Коен (Frederick Cohen) так вдало продемонстрував своє «розмножувальне програмне рішення» на комп’ютері університету в Південній Кароліні, що був позбавлений можливості працювати на ньому. Його науковий керівник запропонував назву «вірус» за аналогією з біологічними вірусами. Перший DOS-вірус, Brain, з’явився в 1986 році в Пакистані. В науково-художній літературі ця ідея виникла ще в 1972 році.
Раніше віруси найчастіше програмувалися на машинно-орієнтованій мові Assembler, зараз – на мовах більш вищого рівня, наприклад С. Завдяки макромовам, таким як VBA, програмування вірусів ще більш спрощується.
Важко дати загальне і всеохоплююче визначення поняття «комп’ютерний вірус». У деякому наближенні можна вважати, що комп’ютерні віруси – це програми-«паразити», які можуть включати себе до інших програм та файлів («заражати» їх ). Саме ця обставина і дає можливість вірусам розмножуватися і поширюватися. Людина, яка використовує заражену програму або файл, може й гадки не мати, що ця програма містить вірус.
Законодавство більшості країн передбачає за створення вірусів адміністративну, цивільну і кримінальну відповідальність. Віруси, як і інші програми, можуть виконувати практично будь-які дії. Деякі віруси не приносять майже ніякої шкоди, а лише розмножуються. Інші, порівняно безпечні віруси, видають на екран відволікаючі повідомлення. Однак існують шкідливі віруси, які спричиняють «зависання» програм (припинення роботи програм) або несподівані перезавантаження комп’ютера. Нарешті, найнебезпечніші віруси можуть псувати або знищувати інформацію, яка зберігається на дисках.
Комп'ютерний вірус – це спеціально написана невелика за розмірами, складна, ретельно складена програма, що може «приписувати» себе до інших програм (тобто «заражати» їх), а також виконувати різні небажані дії на комп'ютері. Програма, усередині якої знаходиться вірус, називається «зараженою». Коли така програма починає роботу, то спочатку, як правило, керування одержує вірус. Вірус знаходить і «заражає» інші програми або виконує будь-які шкідливі функції: псує файли або таблицю розміщення файлів на диску, «засмічує» оперативну пам'ять, змінює адресацію звертань до зовнішніх пристроїв тощо. Більш того, заражені програми можуть бути перенесені на інший комп'ютер за допомогою дискет або локальної мережі.
Умовно віруси можна поділяють на класи за наступними ознаками:
середовище проживання;
операційна система (OC);
особливості алгоритму роботи;
деструктивні можливості.
За середовищем проживання віруси можна поділити на:
файлові (або різними способами впроваджуються у виконувані файли (найбільш розповсюджений тип вірусів), або створюють файли-двійники (компаньйон-віруси), або використовують особливості організації файлової системи (link-віруси));
завантажувальні (записують себе або в завантажувальний сектор диска (boot-сектор), або в сектор, що містить системний завантажник вінчестера (Master Boot Record), або змінюють показник на активний boot-сектор);
макро (заражають файли-документи й електронні таблиці декількох популярних редакторів);
мережеві (використовують для свого поширення протоколи або команди комп'ютерних мереж і електронної пошти).
Існує велика кількість їх комбінацій, наприклад, файлово-завантажувальні віруси, що заражають як файли, так і завантажувальні сектори дисків. Такі віруси, як правило, мають досить складний алгоритм роботи, часто застосовують оригінальні методи проникнення в систему, використовують стелс і полиморфик-технології. Інший приклад такого сполучення – мережний макро-вірус, що не тільки заражає документи, що редагуються, але і розсилає свої копії електронною поштою.
За операційною системою, що заражається (точніше, ОС, об'єкти якої піддані зараженню). Кожен файловий або мережевий вірус заражає файли якої-небудь однієї або декількох OS - DOS, Windows, Win95/NT, OS/2 тощо. Макро-віруси заражають файли форматів Word, Excel, Office97. Завантажувальні віруси також орієнтовані на конкретні формати розташування системних даних у завантажувальних секторах дисків.
Серед особливостей алгоритму роботи вірусів виділяються наступні пункти:
резидентність (при інфікуванні комп'ютера залишає в оперативній пам'яті свою резидентну частину, що потім перехоплює звертання операційної системи до об'єктів зараження і впроваджується в них);
використання стелс-алгоритмів (дозволяє вірусам цілком або частково сховати себе в системі. Найбільш розповсюдженим стелс-алгоритмом є перехоплення запитів OC на читання/запис заражених об'єктів. Стелс-віруси при цьому або тимчасово лікують їх, або «підставляють» замість себе незаражені ділянки інформації);
самошифрування і поліморфічність (використовуються практично всіма типами вірусів для того, щоб максимально ускладнити процедуру детектування вірусу). Полиморфні віруси (polymorphic) – це віруси, які досить важко знайти, вони не мають сигнатур, тобто не утримують жодної постійної ділянки коду. У більшості випадків два зразки того самого полиморфік-вірусу не будуть мати жодного збігу. Це досягається шифруванням основного тіла вірусу і модифікаціями програми-розшифровувача);
використання нестандартних прийомів (використовуються у вірусах для того, щоб якнайглибше сховати себе в ядрі OC, захистити від виявлення свою резидентну копію, ускладнити лікування від вірусу (наприклад, помістивши свою копію в Flash-BIOS) і т.п.
За деструктивними можливостями віруси можна поділити на:
нешкідливі, тобто що ніяк не впливають на роботу комп'ютера (крім зменшення вільної пам'яті на диску в результаті свого поширення);
безпечні, вплив яких обмежується зменшенням вільної пам'яті на диску і графічними, звуковими й ін. ефектами;
небезпечні віруси, що можуть призвести до серйозних збоїв у роботі комп'ютера;
дуже небезпечні, в алгоритм роботи яких свідомо закладені процедури, що можуть привести до втрати програм, знищити дані, стерти необхідну для роботи комп'ютера інформацію, записану в системних областях пам'яті, і навіть, як говорить одна з неперевірених комп'ютерних легенд, сприяти швидкому зносу частин механізмів, що рухаються – вводити в резонанс і руйнувати голівки деяких типів вінчестерів.
Є багато і інших класифікацій, які ураховують дяекі інші ознаки. Наприклад, подамо наступну класифікацію.
За середовищем розповсюдження – віруси поділяються на DOS, Windows, OS/2, MACOS, Unix, та інші. Тобто цей розподіл обумовлений використанням того чи іншого операційного середовища.
За способом маскування – віруси розділяються на видимі та невидимі. Невидимі віруси запобігають своєму виявленню шляхом перегляду файлів. Видимі віруси не маскують свої файли.
За способом інфікування – віруси можуть бути резидентними, тобто такими, що постійно містяться в оперативній пам'яті, та нерезидентними, що потрапляють у пам'ять лише при запуску певної програми і зникають з пам'яті після того, як ця програма закінчує свою дію.
За об'єктами, що інфікуються – віруси можуть бути файловими, завантажувальними та файлово-завантажувальними. Файлові віруси можуть проникати в інші типи файлів, проте, як правило, записані в таких файлах, вони ніколи не отримують управління і не можуть саморозмножитися. Завантажувальні віруси проникають в завантажувальний сектор диску (boot-сектор) або в сектор, що містить программу завантаження системного диску (Master Boot Record). Файлово-завантажувальні віруси інфікують як файли, так і завантажувальні сектори дисків.
За способом розміщення в середині інфікованого об'єкту – віруси можуть бути супроводжувальними, включеними та перекриваючими. Супроводжувальні віруси «приклеїваються» або спереду або ззаду коду виконання корисних програм. Для цього вони створюють додатковий файл, який має таку саму назву, що і корисна програма, але відрізняється розширенням. В середині цього файлу код виконання вірусної програми записується або попереду, або позаду коду виконання корисної програми. Після цього попередній файл корисної програми знищується.
Включені віруси вміщують свій код виконання в середину коду виконання корисної програми. Свій власний код віруси розподіляють на велику кількість маленьких шматочків, що «розкидані» в середині коду виконання корисної програми. Перекриваючи вірусні програми записують власний код виконання зверху коду виконання корисної програми. При цьому корисна програма псується безповоротньо. Тобто «вилікувати» програму, що заражена таким типом вірусу уже практично неможливо.
За дією руйнування віруси розподіляються на нешкідливі (вони не завдають ніякої шкоди, не рахуючи «засмічування» оперативної пам'яті), безпечні (вони не псують комп'ютерну інформацію, але створюють незручності для користувача), небезпечні (вони знищують або перейменовують файли, викликають відмову в обслуговуванні комп'ютерної техніки), особливо небезпечні (вони виконують дії, що приводять не тільки до втрати інформації, а до виводу комп'ютера з робочого стану).
За можливістю самозмінювання – розрізняють сигнатурні віруси (тобто ті, що мають певний виконавчий код) та поліморфні віруси (ті, що можуть самозмінювати власний виконавчий код за певними законами).
За стилем написання. Як і кожну іншу програму, вірус створює людина. Вірус може бути написаний як модифікація раніше відомого вірусу. Він може бути разовий або серійний. Серійні віруси на певній основі виконують подібні дії. Наприклад, в певний час грають певну мелодію. Як правило, над створенням серійних вірусів працює або конкретна людина, або цілий колектив. Автором вірусу може бути:
психічно хвора людина (технопат);
студент або школяр, що тільки-но отримали перші знання з програмування і не знають, як іх конструктивно застосовувати;
співробітник, що вважає себе незаслужено ображеним;
терорист, що діє з метою політичного або фізичного шантажу;
висококваліфікований професіонал, що працює за домовленістю зі спецслужбами або військовою розвідкою; в останній час вірусні програми широко використовуються в сфері промислового шпіонажу.