55. Особенности организации защиты от различных видов вредоносного программного обеспечения. Виды угроз:

• Мобильные угрозы

Поскольку голосовая мобильная связь остается достаточно дорогим средством обмена информацией, то d настоящее время в становится популярной VoIP-телефония, суть которой состоит в том, что голосовой сигнал кодируется и передается по IP-протоколу. Работать с VoIP будет удобнее, если использовать широкополосное беспроводное подключение к Интернету, например, по сетям WCDMA или через Wi-Fi.

Как показывают исследования, треть подобных сетей работает без шифрования и любой желающий может при желании перехватить трафик, идущий по каналу. Таким образом VoIP может использоваться злоумышленниками для кражи персональных данных и финансовой отчетности, причем методы особо не будут отличаться от существующих для «традиционного» Интернета.

Другой аспект безопасности мобильных устройств связан с развитием мобильных платежей.

Эксперты утверждают, что в 2009 году мобильные вирусы будут поражать не отдельные телефоны, уничтожая данные или расходующие денежные средства на счете, а будут превращать сотовые телефоны в компоненты бот-сетей. Зомбированные вирусами телефоны будут использоваться для DDoS-атак на сети сотовых операторов, перегружая их.

Главные уязвимые места сотового телефона сегодня – это приложения для работы с сообщениями и Java-интерпретатор, позволяющий запускать на устройстве мидлеты (JAVA-приложения).

• Crimeware. Класс вредоносных программ нацеленных на совершение финансовых преступлений. В отличие от программ-шпионов, рекламного и вредоносного ПО Crimware используется для хищения личных данных пользователя, с тем чтобы использовать их для совершения финансовых сделок от имени жертвы. Crimware может использоваться не только для кражи денег, но и для нанесения иного вреда владельцу личных данных, например, путем публикации конфиденциальной информации в сети интернет.

Rootkit (руткит, от англ. root kit, то есть «набор root'а») — программа или набор программ для скрытия следов присутствия злоумышленника или вредоносной программы в системе.

Основные методы реализации

В Microsoft Windows

1. В Windows из-за Windows File Protection переписывание системных файлов затруднено (хотя и его можно обойти!), поэтому основные способы внедрения в систему — модификация памяти.

2. перехват системных функций Windows API (API hooking) на уровне пользователя;

3. то же на уровне ядра (перехват Native API);

4. изменение системных структур данных;

В UNIX

1. реализуемые подменой основных системных утилит (очень легко обнаруживаются средствами контроля целостности, кроме того, легко блокируются средствами типа SELinux (RedHat) и AppArmor (SUSE));

2. реализованные в виде модуля ядра и основанные на патчинге VFS или перехвате таблицы системных вызовов (sys_call_table);

3. основанные на модификации физической памяти ядра.

Кроме непосредственно себя руткит, как правило, может маскировать присутствие в системе любых описанных в его конфигурации каталогов и файлов на диске, ключей в реестре. По этой причине естественным образом появились «навесные» руткитные библиотеки. Многие rootkit устанавливают в систему свои драйверы и службы (они, естественно, также являются «невидимыми»). Вирусы. Разновидность компьютерных программ, отличительной особенностью которой является способность к размножению (саморепликация). В дополнение к этому вирусы могут повредить или полностью уничтожить все файлы и данные, подконтрольные пользователю, от имени которого была запущена заражённая программа, а также повредить или даже уничтожить операционную систему со всеми файлами в целом.