283

граммы либо иная компьютерная информация, заведомо предназначенная для несанкционированного уничтожения, блокирования, модификации, копирования или нейтрализации средств защиты компьютерной информации1.

Первой вредоносной компьютерной программой принято считать созданный сотрудником компании BBN Бобом Томасом в начале 1970-х гг. вирус Creeper, распространявшийся посредством модемной связи и выводивший на экран надпись: „I’M THE CREEPER: CATCH ME IF YOU CAN“. В 1974 г. был создан вирус Rabbit, про-

изводящий с высокой скоростью большое количество своих копий

ипостепенно занимающий все системные ресурсы.

В1981 г. появился первый загрузочный вирус Elk Clone, заражающий компьютеры Apple II. В 1987 г. произошла первая глобальная вирусная эпидемия, вызванная вирусом Brain. Авторы данного вируса – братья из Пакистана Базит и Амжад Фарук Альви – создали его для защиты своего программного обеспечения от компьютерного пиратства, однако неожиданно для всех вирус заразил десятки тысяч компьютеров по всему миру. В дальнейшем с распространением персональных компьютеров увеличилась скорость распространения и число создаваемых вредоносных программ.

Сегодня атаки с использованием вредоносного программного обеспечения способны блокировать работу организаций и предприятий, нанося колоссальный ущерб. Одной из наиболее масштабных атак, произошедших за последние годы, стала атака в 2017 г. вредоносной программы WannaCry, которая за короткий промежуток времени поразила по всему миру более 500 тысяч компьютеров под управлением операционной системы Windows. Программа WannaCry, используя уязвимость операционных систем, проникала в компьютеры, шифровала находящиеся на них файлы пользователей и предлагала перечислить сумму в 300 или 600 долларов США за их рас-

шифровку. По оценке экспертов, ущерб, нанесенный в первые четыре дня атаки, превысил 1 миллиард долларов США2. В результате атаки были инфицированы компьютеры частных лиц, коммерческих

1См.: Уголовный кодекс Российской Федерации от 13 июня 1996 г. № 63-ФЗ. Доступ из справ.-правовой системы «КонсультантПлюс».

2См.: Ущерб от вируса-вымогателя WannaCry оценили в $1 млрд // Интерфакс: новости:[сайт]. URL:https://www.interfax.ru/world/563784(дата обращения:01.09.2018).

31

и общественных организаций, а также государственных органов, в том числе МВД России1.

Вредоносные программы часто пытаются скрыть свое присутствие на компьютере, однако существует целый ряд признаков, косвенно указывающих на то, что система была инфицирована. Необходимо отметить некоторые признаки заражения, которые встречаются наиболее часто:

–приложения на компьютере стали долго запускаться и медленнее работать;

–при работе компьютер часто подвисает;

–часто выводятся различные системные сообщения об ошибках;

–исчезли файлы или папки, их содержимое было изменено;

–изменились дата и время создания/модификации файлов или папок;

–невозможно получить доступ к некоторым файлам или папкам;

–операционная система перестала загружаться;

–размер свободной оперативной памяти существенно уменьшился;

–объем свободного пространства на жестком диске существенно уменьшился;

–объем потребляемого сетевоготрафика существенно увеличился;

–отсутствует доступ к панели управления либо изменения параметров системы не сохраняются;

–изменилась домашняя страница браузера;

–в браузере появляются рекламные и иные непредусмотренные сообщения;

–в браузере не открываются страницы официальных сайтов разработчиков антивирусных программ;

–антивирусная программа перестала запускаться, либо при запущенном антивирусе всплывает сообщение «защита отключена»;

–при запуске приложений компьютер зависает, после чего выводится синий экран c сообщением окритической системной ошибке;

–приложения запускаются самостоятельно;

–на экран выводятся непредусмотренные графические изображения;

1 См.: Заражению WannaCry в МВД подверглись только персональные компьютеры сотрудников // Интерфакс: новости: [сайт]. URL: https://www.interfax.ru/ world/562526 (дата обращения: 01.09.2018).

32

–пользователи посредством электронной почты, мессенджеров или социальных сетей получают от другого пользователя сообщения, которое он не отправлял.

Все вредоносные программы классифицируют по способу распространения и вредоносной нагрузке.

По способу распространения (методу размножения) вредоносные программы делят:

–на вирусы;

–черви;

–троянские программы;

–прочие вредоносные программы.

Из-за того, что первые вредоносные программы представляли собой именно компьютерные вирусы, часто под термином «вирус» понимают любую вредоносную программу, как и термин «заражение вирусом» применяют по отношению ко всем вредоносным программам. Однако это не совсем корректно.

Компьютерный вирус – программа или часть программного кода, способная самопроизвольно присоединяться к другим программам, создавать свои копии и внедрять их в файлы или системные области компьютера. Эти программы получили свое название из-за сходства с вирусами биологическими: после заражения они выполняют нежелательные действия и способны самопроизвольно размножаться. Отличительная особенность вирусов от других вредоносных программ заключается в том, что они заражают отдельный компьютер, распространяясь по его ресурсам, но не могут самостоятельно проникать на другие компьютеры. Заражение вирусом другого компьютера происходит только в том случае, когда инфицированный объект активируется на другом компьютере. Это может произойти, например, при подключении внешнего носителя, содержащего инфицированный объект, или при запуске вложения письма электронной почты.

Вирусы в свою очередь условно классифицируются по среде обитания и способу заражения среды обитания.

Под «средой обитания» понимаются ресурсы компьютера, в которые вирус внедряет свой код. По среде обитания вирусы делятся на файловые, загрузочные и файлово-загрузочные.

Файловые вирусы используют для размножения файловую систему операционной системы: они могут внедряться непосредственно вфайлы,создаватьфайлы-двойники,ярлыки, своикопиивпапкахит.д.

33

Загрузочные вирусы инфицируют загрузочный сектор или главную загрузочную запись дискового устройства и активируются при запуске компьютера.

Файлово-загрузочные вирусы представляют собой комбинацию предыдущих двух типов.

Иногда в литературе файловыми вирусами называют вирусы, поражающие только исполняемые файлы. В этом случае в классификацию по среде обитания дополнительно включают макровирусы и скрипт-вирусы.

Макровирусы – это вирусы, написанные на языке макрокоманд

иисполняемые в среде какого-либо приложения. Чаще всего ими заражены файлы текстовых документов и шаблонов. При открытии такого документа приложение начинает выполнять команды, содержащиеся во вредоносном макросе, при этом происходит инфицирование всех документов, открываемых в приложении.

Скрипт-вирус – вредоносный активный элемент (скрипт или сценарий), исполняемый в среде определенной командной оболочки

инаписанный на скриптовом языке. Наиболее известными скриптовыми языками являются PHP, Perl, JavaScript. Скрипт-вирусами могут быть заражены WEB-страницы. При заходе на такую инфицированную страницу браузер начинает выполнять вредоносный скрипт, в результате чего может произойти заражение компьютера.

По способу заражения среды обитания вирусы делятся на резидентные и нерезидентные.

Резидентные вирусы после активации загружаются в оперативную память компьютера и находятся в ней, выполняя свою деструктивную функцию, вплоть до его выключения. Нерезидентные вирусы после активации загружаются в оперативную память, но находятся в ней лишь ограниченное время, в течение которого выполняют заранее заданные создателем вредоносные действия.

Влитературе встречается и иная классификация по способу зара-

жения среды обитания. Согласно ей вирусы делятся на перезаписывающие, паразитические, вирусы-компаньоны, вирусы-ссылки и т. д.1 Перезаписывающие вирусы являются наиболее простыми. Они записывают свой код поверх кода файла и тем самым выводят его

1 См.: Сычев Ю. Н. Основы информационной безопасности: учеб.-практ. пособие.

М.: ЕАОИ, 2007.

34

из строя. Паразитические вирусы заражают файл, внедряют свой код в его содержимое, оставляя файл полностью или частично работоспособным. Вирусы-компаньоны не изменяют содержимое файлов, а создают файлы-двойники. Чаще всего оригинальный файл переименовывается, поэтому сначала запускается именно его зараженная копия, которая в дальнейшем запускает и сам оригинальный файл. Вирусы-ссылки (link-вирусы) также не изменяют содержимое файлов, однако при запуске инфицированного файла за счет модификации файловой системы сначала активируется сам вирус, который затем запускает и оригинальный файл.

Черви – это класс вредоносных программ, способных самостоятельно распространяться по вычислительным сетям. Ранее в литературе их иногда называли вирусами-репликаторами. В отличие от вирусов черви не заражают локальные файлы на компьютере, а создают и распространяют свои копии, которые не всегда совпадают

соригиналом.

Взависимости от способа распространения по сети черви делятся на несколько видов:

1.Почтовые черви (Email-Worm) распространяются посредством электронной почты. Для этого они либо отсылают свою копию в качестве вложения в электронное письмо, либо помещают в него ссылку на внешний ресурс, на котором хранится их копия.

2.IM-черви (IM-Worm) используют для распространения программы обмена сообщениями через Интернет в реальном времени (Instant Messenger, IM) посредством службы мгновенных сообщений. Они рассылают свои копии или ссылку на них по адресам, содержащимся в списке контактов, аналогично почтовым червям.

3.IRC-черви (IRC-Worm) по механизму распространения полностью аналогичны IM-червям, за исключением того, что используют не службы мгновенных сообщений, а IRC-каналы. IRC (Internet Relay Chat) – протокол прикладного уровня для обмена сообщениями в режиме реального времени.

4.P2P-черви (P2P-Worm) для распространения используют пиринговые (peer-to-peer, P2P) файлообменные сети, для чего копируют себя в каталог, предназначенный для обмена файлами. Встречаются и более опасные P2P-черви, имитирующие сетевой протокол конкретной файлообменной сети.

35

5. Net-Worm – прочие сетевые черви. Здесь следует отдельно выделить сетевых червей, использующих критические уязвимости операционных систем и программного обеспечения, распространяющихся в виде сетевых пакетов. Такие черви для заражения компьютера не требуют от пользователя ни переходов по ссылкам, ни запуска файлов-носителей.

Троянские программы (трояны) – это вредоносные программы,

основной целью которых является вредоносное воздействие по отношению к компьютерной системе. Данный тип программ назван в честь деревянного коня, которого греки согласно легенде использовали для проникновения в Трою. Существенным их отличием от вирусов и червей является то, что они не способны распространяться самостоятельно. В связи с этим они используют два механизма заражения. В первом случае троян маскируется под программу, документ или мультимедиафайл, которые пользователь сам скачивает себе на компьютери запускает, вовтором–проникаетв систему с помощью вируса или червя, модулем которого он является.

Трояны обычно состоят из двух частей: серверной и клиентской. Серверная часть находится на инфицированном компьютере, а клиентская – у владельца трояна. Посредством сетевого соединения владелец трояна с клиентской части может отправлять серверной части команды, которые она будет выполнять на инфицированном компьютере. Таким образом владелец трояна может получать с инфицированного компьютера конфиденциальную информацию различного характера, например данные банковских карт, пароли, отслеживать нажатие клавиш, осуществлять удаленное управление и т. д.

К прочим вредоносным программам относят программы, предна-

значенные для автоматизации процесса создания вредоносного обеспечения, организации атак на удаленные рабочие станции и сервера и т. п.

Единой классификации вредоносных программ по вредоносной нагрузке не существует, поскольку она различна у различных производителей антивирусных продуктов.

Некоторые типы вредоносных программ согласно номенклатуре «Лаборатории Касперского»:

– создающие помехи в работе ЭВМ, например блокирующие функции управления операционной системой, доступ к сайтам производителей антивирусных продуктов, работу антивирусных программ;

36

–предназначенные для кражи данных, шпионажа, мошенничества и вымогательства (вредоносное программное обеспечение, созданное для хищения логинов и паролей доступа к различным сервисам (электронной почте, платежным системам, социальным сетям

ит. п.), хищения ценной конфиденциальной информации, блокирующее рабочий стол или зашифровывающее файлы пользователя на компьютере в целях дальнейшего вымогательства; программы, позволяющие отслеживать действия пользователя на компьютере,

ит. д.);

–предназначенные для инсталляции иных вредоносных программ, например путем их загрузки на компьютер посредством сети Интернет;

–предназначенные для прочей незаконной деятельности (вредоносное программное обеспечение для создания ботнета1 в целях дальнейшего проведения DDoS-атак, распространения спама, организации майнинга криптовалют; организации прокси-сервера; получения несанкционированногодоступа кресурсам компьютера и т. д.);

–не являющиеся истинно вредоносными, однако выполняющие нежелательные для пользователя функции, например программы для показа рекламы, различные хакерские утилиты, конструкторы вредоносного программного обеспечения и т. д.

Для защиты компьютера от заражения вредоносным программным обеспечением, а также его нейтрализации предназначены антивирусные программы, или антивирусы. В настоящее время создано много средств антивирусной защиты различных разработчиков, но все их можно разделить на три группы: использующие реактивные технологии защиты, использующие проактивные технологии защиты и комбинированные, использующие обе технологии.

Суть реактивной защиты состоит в следующем. Каждая вредоносная программа содержит исключительный участок программного кода или иные уникальные особенности. Такие характерные признаки называются сигнатурами. Производители антивирусных программ аккумулируют сигнатуры известного вредоносного программного обеспечения в своих антивирусных базах (базах сигнатур). При проверке файла антивирусом анализируется его содержимое

1 Ботнет (англ. botnet) – это компьютерная сеть, состоящая из некоторого количества хостов, сзапущенными ботами– автономным программным обеспечением.

37

ив случае, если оно будет соответствовать одной из имеющихся в базе сигнатур, антивирус сообщит об этом. Реактивные технологии защиты также называют сигнатурными. После обнаружения вредоносного файла антивирус обычно предлагает пользователю сделать выбор: удалить вредоносный файл, отправить его в карантин, чтобы исключить возможность дальнейшего запуска на исполнение, или попытаться вылечить инфицированный файл, удалив из него вредоносный код. Основной недостаток данных технологий защиты состоит в том, что антивирусная программа неспособна обнаружить вредоносное программное обеспечение, сигнатура которого не содержится в антивирусной базе. В результате реактивные технологии не могут эффективно противодействовать неизвестным вредоносным программам. Кроме того, пользователю необходимо систематически проводить обновление антивирусных баз с сервера разработчика.

Проактивная защита позволяет обнаруживать вредоносные программы, которые еще неизвестны разработчикам антивирусного программного обеспечения. Ее механизм основан на анализе поведения программ. В случае если действия программы покажутся антивирусу подозрительными, т. е. характерными для вредоносного программного обеспечения, то он предложит пользователю заблокировать данную программу. Недостатком антивирусов, использующих проактивную технологию защиты, является то, что они могут ложно срабатывать при работе приложений, не выполняющих вредоносных функций.

Большинство современных антивирусных программ являются комплексными, т. е. реализуют одновременно и реактивные и проактивные механизмы антивирусной защиты. Тем не менее следует понимать, что ни одна антивирусная программа не дает стопроцентной гарантии защиты от вредоносных программ, а риск заражения компьютера вомногом зависит от действий самого пользователя.

Для снижения риска заражения рекомендуется придерживаться некоторых правил:

–своевременно обновлять операционную систему, браузер, антивирусную программу и ее базу сигнатур;

–использовать межсетевой экран для защиты от сетевых червей

исетевых атак;

38

–не открывать электронные письма, полученные из незнакомых источников, и тем более их вложения;

–отключать макросы при открытии документов, полученных из сети Интернет;

–отключать автоматическое выполнение сценариев в настройках браузера;

–стараться избегать потенциально опасных интернет-сайтов.

39

ГЛАВА 2

Основы защиты информации в сетях

2.1. Основные понятия

Основные понятия и определения, необходимые для составления классификации удаленных атак1.

Распределенная вычислительная система (РВС) – объединенные между собой каналами связи вычислительные узлы, которые на уровне определенного программного обеспечения воспринимаются как единое целое.

Удаленная атака (УА) – вредоносное (разрушительное) воздействиена информационную системус использованием каналов связи.

Источник атаки (злоумышленник) – это осуществляющие вредо-

носное воздействие на атакуемую систему пользователь или специально написанная для этих целей компьютерная программа.

Хост (host) – любое устройство, подключенное к сети и являющееся частью распределенной вычислительной системы.

Сегмент сети – физическое (на уровне сетевого оборудования и каналов передачи данных)объединениехостов сети в однугруппу.

Маршрутизатор (router) – устройство или компьютер, которое пересылает пакеты между различными сегментами сети на основе правил маршрутизации.

Подсеть (subnetwork) – логическое (на уровне IP-адресов) разделение сети на несколько групп. Данное разделение как правило производится при помощи маршрутизатора.

Возможность проведения успешных удаленных атак обусловлена наличием уязвимостей в сетевых протоколах обмена данными, операционных системах рабочих станций, а также используемых для функционирования системы прикладных программах.

Основные причины потенциальной уязвимости хостов распределенной вычислительной системы:

1) открытость информационной системы, свободный доступ к протоколам и механизмам защиты, а также информации по организации сетевого взаимодействия;

1 См.:Макаренко С. И. Информационная безопасность: учеб. пособие. Ставрополь: СФ МГГУ им. М. А. Шолохова, 2009.

40