Филин С.А. Информационная безопасность, 2006

Макровирус WordMacro/Wazzu содержит всего лишь одну ма­ крокоманду — AutoOpen. Поэтому он не зависит от языка. Другими словами, этот макровирус может выполняться в локализованных версиях Word. Макровирус Wazzu изменяет содержание зараженных документов: он перемешивает слова и вставляет слово «wazzu».

Word 97 и более поздние версии автоматически предупреждают пользователей о том, что открываемый документ содержит макроко­ манды. Компания Microsoft создала для Word специальное средство борьбы с макровирусами — MVP (Macro Virus Protection), которое устанавливает набор защитных макрокоманд, обнаруживающих по­ дозрительные файлы и предупреждающих пользователя о потенци­ альной опасности открываемых файлов. С помощью этого инстру­ ментального средства можно также просматривать все документы Word, поступающие по электронной почте или загруженные из Ин­ тернет.

Самые последние версии Word менее подвержены действию ма­ кровирусов. Однако тот факт, что один и тот же внутренний язык программирования — Visual Basic for Application (VBA) поддержи­ вается многими приложениями, может привести к появлению но­ вого поколения макровирусов, которые смогут работать и инфици­ ровать не только Word, но также все остальные приложения и их документы.

В Интернете существует значительное количество «мнимых» ви­ русов. Один из наиболее известных «мнимых» вирусов — это троян­ ский конь aol4free.com. Когда большая часть сообщества Интернета узнала о том, что такого вируса нет, а сообщение о нем — это просто чья-то злая шутка, некоторые создатели вирусов создали троянско­ го коня с именем aol4free.com. Этот вирус также, как и одноимен­ ный «мнимый» вирус aol4free.com, предлагает бесплатный доступ к службе America Online, а вместо этого удаляет элементы каталогов на жестком диске, используя команду DELTREE. Каталоги можно восстановить с помощью любой удобной пользователю утилиты,

входящей в пакеты Norton Utilities или Mace Utilities.

Чтобы избежать самоуничтожения, КВ используют сигнатуру. Большинство обычных КВ (включая и макровирусы) использу­ ет символьные сигнатуры. Более сложные вирусы (полиморфные) используют сигнатуры алгоритмов. Независимо от типа сигнатуры КВ антивирусные программы используют их для обнаружения КВ. Поэтому наилучший способ защитить компьютерную систему от ви­ русов — регулярно использовать антивирусные программы, пред­ назначенные для проверки памяти и файлов системы, а также по­ иска сигнатур вирусов. Обычно в антивирусные программы входит

303

периодически обновляемая база данных сигнатур вирусов. При вы­ полнении антивирусная программа просматривает компьютерную систему на предмет наличия в ней сигнатур, подобных имеющимся в базе данных.

Хорошее антивирусное программное обеспечение не только ищет соответствие с сигнатурами в базе данных, но использует и другие методы. Такие антивирусные программы могут выявить новый КВ даже тогда, когда он еще не был специально идентифицирован.

Большинство КВ обезвреживается путем поиска соответствия с базой данных. Когда программа находит такое соответствие, она будет пытаться удалить обнаруженный КВ. Однако этот процесс зависит от сложности КВ и качества антивирусной программы. Наиболее сложно обнаружить троянских коней и полиморфные ви­ русы. Первые из них не добавляют свое тело к программе, а внедря­ ются внутрь нее. Что касается вторых, то антивирусные программы должны потратить достаточно много времени, чтобы определить сигнатуру полиморфных вирусов. Дело в том, что их сигнатуры ме­ няются с каждой новой копией.

Важно постоянно пополнять имеющуюся базу вирусных сиг­ натур. Большинство поставщиков антивирусного программного обеспечения распространяет файлы обновлений через Интернет. Для успешной борьбы с КВ необходимо также проверять, не являет­ ся ли файл уже инфицированным этим же КВ.

Существуют следующие основные методы поиска КВ с помощью

антивирусных программ.

В первом методе поиск КВ производится при начальной загруз­ ке. При этом команду запуска антивирусной программы включают в AUTOEXEC.BAT. Этот метод эффективен, но при его исполь­ зовании увеличивается время начальной загрузки компьютера. Преимущество же его в том, что просмотр при загрузке происходит автоматически.

Второй метод заключается в том, что пользователь вручную вы­ полняет сканирование системы с помощью антивирусной програм­ мы. Этот метод может быть столь же эффективным, как и первый, если он выполняется добросовестно, как и резервное копирование.

Третий метод поиска КВ состоит в просмотре каждого загружа­ емого файла, при этом не придется слишком часто проверять всю систему.

Иногда встречаются КВ, идентификация которых затруднена (некоторые КВ не могут быть обнаружены даже самыми лучшими антивирусными программами) либо вследствие их новизны, либо

304

из-за большого промежутка времени перед их активизацией (у ви­ русов имеется некоторый инкубационный период и они некоторое время скрываются, прежде чем активизироваться и распространить­ ся на другие диски и системы). Поэтому следует обращать внимание на следующее:

1.Самопроизвольное уменьшение объема свободного места на жест­ ком диске.

2.Команды CHKD.SK и 8СА1Ч018К возвращают некорректные значения.

3.Имена файлов изменяются без видимых причин.

4.Доступ к жесткому диску запрещен.

5.Изменение размеров программы или файла по непонятным при­ чинам. Файловые вирусы почти всегда изменяют размер зараженных файлов, поэтому если вы заметите, что объем какого-либо файла, особенно СОМ или ЕХЕ, вырос на несколько килобайт, необходимо немедленно обследовать жесткие диски антивирусной программой.

6.Необычное поведение компютерной системы. При загрузке КВ,

как и любой новой программы, в компьютерную систему происхо­ дит некоторое изменение в ее поведении. Это может быть:

—неожиданное изменение времени перезагрузки;

—нажатие клавиш сопровождаются странными звуками;

—более медленная, чем обычно, загрузка программ;

—несанкционированное появление и исчезновение файлов;

—то, что элементы экрана выглядят нечеткими, размытыми;

—появление на экране необычных сообщений.

Все эти симптомы означают, что следует незамедлительно запус­ тить антивирусную программу.

Если вы обнаружили в компьютере какой-либо из указанных выше симптомов, а антивирусная программа не в состоянии обнару­ жить вирусную инфекцию, следует обратить внимание на саму анти­ вирусную программу — она может быть устаревшей (не содержать новых вирусных сигнатур) или же сама может быть заражена. В этом случае необходимо запустить надежную антивирусную программу.

Предотвращение или существенное снижение вероятности про­ никновения в компьютерные сети КВ достигается также за счет:

—блокировки запуска исполняемых программных файлов с дискет;

—использования только дистрибутивов программных продук­ тов, приобретенных через официальных дилеров фирм — раз­ работчиков этих продуктов;

—обязательного контроля целостности программной среды;

—организации постоянного антивирусного контроля.

305

При разработке антивирусной стратегии компании следует пом­ нить, что основными путями распространения КВ являются про­ даваемое программное обеспечение, системы электронной почты в локальных сетях, а также дискеты, используемые служащими в их домашних компьютерах.

Существует опасность заражения компьютерной системы через программное обеспечение. Если кто-то уже использовал эти дискеты на зараженном компьютере, то с большой долей вероятности можно утверждать, что эти диски уже заражены. Чтобы избежать подобных проблем, многие компании (включая и Microsoft) начали запаковы­ вать отдельные дискеты и только затем помещать их в коробки.

Любой разработчик и владелец Web-сайта (Web-master), элект­ ронных досок объявлений, а также авторы программного обеспече­ ния, желающие и дальше иметь прибыль от своего бизнеса, должны тщательно проверять каждый файл на наличие КВ. Конечно же это ни коей мере не освобождает от проверки программ, загружаемых с помощью Интернета.

Пользователь может верить сообщениям о вирусах, рассылаемым специальными группами из организаций по компьютерной без­ опасности. Большинство этих организаций зашифровывают свои сообщения с помощью PGP или другой системы шифрования с от­ крытым ключом. Чтобы идентифицировать создателя сообщения, достаточно расшифровать это сообщение с помощью открытого ключа организации, т. е. необходимо проверять источник сообще­ ния. Открытые ключи организаций хранятся на их Интернет-стра­ ницах. Избегайте сообщений, не прошедших процедуру иденти­ фикации. При обнаружении нового вируса необходимо сообщить об этом в организацию по компьютерной безопасности. Доверьтесь профессионалам.

Для защиты корпоративной сети от КВ необходимо выполнять с приходящими данными следующие операции.

Во-первых, необходимо проверять всю приходящую информа­ цию с помощью антивирусных программ. И не важно, как пришла эта информация: на дискетах или в сообщениях электронной почты. Только после этого можно запускать полученные программы или просматривать пришедшие документы.

Во-вторых, необходимо установить антивирусное программное обеспечение прямо в брандмауэре так, чтобы инфицированные файлы не могли проникнуть в сеть. Практически все брандмауэры содержат средства проверки на вирусы. Большинство из них содер­ жат готовые антивирусные программы, а также средства проверки целостности данных. С их помощью можно просматривать в ре­

306

альном времени все изменения в системе. Так пользователь сможет заметить большинство операций, производимых вирусами. Кроме того, большинство брандмауэров предоставляют средства защиты DOS-сеансов.

В-третьих, установите антивирусное программное обеспечение на каждой подключенной к сети компьютерной системе. Так вы сможете предотвратить распространение вирусов по сети, если один из компьютеров будет заражен.

В настоящее время появляется все больше и больше КВ, рассчи­ танных на работу в сети. В связи с этим возрастает нагрузка на се­ тевых администраторов и простых пользователей. Правила компью­ терной безопасности приведены в приложении 8.

4.3.3. ЗАЩИТА СЕТЕЙ, ОСНОВАННЫХ НА NT-CHCTEMAX

Windows-2000 работает с сетями, созданными на основе NT47-no- добных операционных систем сервера. С помощью NT-подобных операционных систем можно присоединяться к серверам Novell NetWare или Unix.

NT-подобные операционные системы построены на объект­ ной модели безопасности, т. е. в этой операционной системе есть возможность обеспечения безопасности каждого файла и каталога в отдельности. Модель безопасности NT-подобных операционных систем состоит из четырех компонентов: локального ведомства без­ опасности, диспетчера учетных записей, монитора ссылок безопас­ ности и пользовательского интерфейса.

Для управления передачей данных в NT-подобных операцион­ ных системах используется протокол SMB. Все остальные сетевые протоколы реализуются на основе (поверх) протокола SMB.

В операционную систему NT-подобных операционных систем встроен интерфейс SSP, с помощью которого поддерживается не­ сколько интерфейсов безопасности.

Для создания безопасной сети требуется обеспечение физической безопасности сервера.

NT-подобные операционные системы в качестве файловой систе­ мы, являющейся основой безопасности любой операционной систе­ мы, используют NTFS. С ее помощью сервер может управлять досту­ пом к своим файлам. Используемая в NT-подобных операционных системах модель безопасности может быть достаточно просто расши­ рена, чтобы включать другие средства обеспечения безопасности.

47 New Technology (NT) — новая технология.

307

Каждый объект ОТ-подобных операционных систем обладает своими собственными атрибутами безопасности — дескриптора­ ми безопасности. С их помощью операционная система управляет доступом отдельных пользователей к этому объекту. Дескриптор безопасности состоит из двух компонентов: списка управления до­ ступом (обязательного для обеспечения безопасности класса С2) и информации о самом объекте.

Системы класса защиты С2 обладают достаточно хорошими сред­ ствами управления сетевыми объектами. На каждого пользователя подобной системы налагается ответственность за свои действия в се­ ти. Для этого в системах класса защиты С2 используются процеду­ ры регистрации, аудит связанных с безопасностью событий и лока­ лизация ресурсов (серверы печати и файлов должны располагаться на отдельных компютерах). Кроме того, системы класса защиты С2 удовлетворяют всем требованиям класса зашиты С1, а также должны обладать следующим свойствами:

—определенный и контролируемый доступ между именованны­ ми пользователями и именованными объектами;

—система идентификации и паролей, которые должны быть пройдены пользователями, прежде чем они получат доступ к информации в сети;

—элементы управления доступом как целых групп, так и отдель­ ных пользователей;

—элементы управления доступом должны ограничивать копи­ рование прав доступа;

—механизм дискреционного контроля доступа будет по явно за­ данным пользователем параметрам или по умолчанию обеспе­ чивать защиту от незарегистрированного доступа;

—элементы управления доступом могут разрешать или ограни­ чивать доступ определенных пользователей к определенным объектам;

—система идентификации уникальным образом определяет каждого пользователя, связанного с системой;

—операционная система ассоциирует каждое действие, произ­ веденное определенным пользователем, с уникальным иден­ тификатором этого пользователя;

—сеть может создавать и поддерживать функции аудита всех по­ пыток доступа к сетевым объектам (например, к файлам).

В модели безопасности ЫТ-подобных операционных систем ис­ пользована концепция пользователей и групп, а также предоставля­ емых им прав. Список управления доступом определяет тип и права

308

доступа отдельных пользователей и групп. Под группами понимают­ ся объединения пользователей с одинаковыми правами (например, администраторы) или принадлежащие к одной области деятельности или отделу фирмы (например, отдел маркетинга). По умолчанию при установке ЫТ-подобных операционных систем создается несколь­ ко групп: «Все», «Опытные пользователи» и «Администраторы». При этом операционная система управляет типом и правами досту­ па каждого пользователя или группы к каждому объекту. Так, каждая группа в МТ-подобных операционных системах может обладать от­ личными от других правами доступа. Например, группа «Все» может обладать только правами на чтение некоторого объекта, а группа «Опытные пользователи» может обладать правами на чтение, запись, копирование и удаление того же объекта.

Список управления доступом состоит из двух частей: дополни­ тельного списка управления доступом и системного списка управ­ ления доступом. Каждый из этих компонентов отвечает за два раз­ личных типа ограничений безопасности объекта. Дополнительный список управления доступом определяет тип и права доступа к объ­ екту отдельных пользователей. Именно этот список изменяется наи­ более часто, так как основная информация хранится в системном списке управления доступом.

Дополнительный список управления доступом содержит описа­ ния каждого из пользователей и групп, зарегистрированных в систе­ ме. Эти описания также называют элементами управления доступом. Каждый из них содержит информацию об уровне доступа к объекту каждого пользователя или группы.

Когда пользователь или служба 1ЧТ-подобных операционных систем создает новый объект, то вместе с ним автоматически соз­ дается дескриптор безопасности. Если пользователь (или служба) не определит атрибуты безопасности нового объекта, то операци­ онная система присвоит ему пустой дополнительный список управ­ ления доступом, т. е. МТ-подобные операционные системы не при­ своят объекту атрибутов доступа.

Основные требования класса защиты С2 можно выразить так: «Запрещено все, что не разрешено». Поэтому доступ к новому объек­ ту будет запрещен всем. Более того, после присвоения объекту спе­ циальных атрибутов доступом к нему будут обладать только те поль­ зователи и группы, которые определены в дополнительном списке управления доступом. Описание компонентов модели безопасности 1ЧТ-подобных операционных систем приводится в табл. 4.1 [66].

Очевидно, что локальное ведомство безопасности выполня­ ет основную долю работы по обеспечению безопасности системы.

309

По мере необходимости оно вызывает службы диспетчера безопас­ ности учетных записей и монитор ссылок безопасности. Полученные результаты предоставляются пользователю через пользовательский интерфейс. Взаимодействие всех четырех компонентов безопасно­ сти ЫТ-подобных операционных систем показано на рис. 4.18 [66].

Таким образом, чтобы получить доступ к какому-либо объекту, пользователь должен обладать соответствующими правами. Без них никто не может работать с объектом.

Пользовательский Достаточно важная часть модели безопасности. Этот компо­ интерфейс нент ответственен за то, что может увидеть пользователь и с по­ мощью чего он может проводить администрирование системы

Рис. 4.18. Взаимодействие четырех компонентов безопасности МТ-подобных операционных систем

Пользовательский

интерфейс

£

и

310

Идентификация пользователей

Диспетчер безопасности учетных записей предоставляет локаль­ ному ведомству безопасности службу идентификации пользовате­ лей. Процесс идентификации заключается в следующем.

Пользователь должен зарегистрироваться в системе. Если NT-по­ добная операционная система опознает имя и пароль пользователя, она зарегистрирует его. При этом операционная система создаст объект-маркер, представляющий пользователя. Впоследствии каж­ дый запускаемый пользователем процесс будет ассоциирован с этим маркером (или его копией). Совокупность маркера и связанного с ним процесса называется в NT-подобных операционных системах субъектом. Если пользователь запустит какую-либо программу (на­ пример, Word), то операционная система создаст субъект, содержа­ щий процесс (или поток) программы и маркер пользователя. Модель создания субъекта представлена на рис. 4.19 [66].

Рис. 4.19. Создание операционной системой субъекта, состоящего из процесса и маркера пользователя

Прежде чем предоставить субъекту доступ к объектам, операци­ онная система сверит его маркер со списком управления доступом. В зависимости от настроек сервера, каждая попытка доступа (как успешная, так и неудачная) может быть зарегистрирована средства­ ми аудита.

Аудит — лучшее средство для борьбы с хакерами. Поэтому необ­ ходимо создать политику аудита для каждого сервера. В частности, она должна включать следующие сведения:

1.Какие события нужно регистрировать (поведение пользовате­ лей, изменения файлов или процессов и т. д.).

2.Как долго нужно хранить записи аудита. Как долго нужно хра­ нить резервные копии записей аудита.

3.Нужно ли подключать средства аудита на всех компьютерах или

только на серверах.

311