Защита программного обеспечения |
60 |
Хакерские утилиты и прочие вредоносные программы
К данной категории относятся:
утилиты автоматизации создания вирусов, червей и троянских программ (конструкторы);
программные библиотеки, разработанные для создания вредоносного ПО;
хакерские утилиты скрытия кода зараженных файлов от антивирусной проверки (шифровальщики файлов);
«злые шутки», затрудняющие работу с компьютером;
программы, сообщающие пользователю заведомо ложную информацию о своих действиях в системе;
прочие программы, тем или иным способом намеренно наносящие прямой или косвенный ущерб данному или удалённым компьютерам
Защита программного обеспечения |
61 |
Trojan-Notifier — оповещение об успешной атаке |
|
предназначены для сообщения своему «хозяину» о зараженном компьютере. При этом на адрес «хозяина» отправляется информация о компьютере, например, IP-адрес компьютера, номер открытого порта, адрес электронной почты и т. п. Отсылка осуществляется различными способами: электронным письмом, специально оформленным обращением к веб-странице «хозяина», ICQ-сообщением. Данные троянские программы используются в многокомпонентных троянских наборах для извещения своего «хозяина» об успешной инсталляции троянских компонент в атакуемую систему.
ArcBomb — «бомбы» в архивах представляют собой архивы, специально оформленные таким образом, чтобы вызывать нештатное поведение архиваторов при попытке разархивировать данные — зависание или существенное замедление работы компьютера или заполнение диска большим количеством «пустых» данных. Особенно опасны «архивные бомбы» для файловых и почтовых серверов, если на сервере используется какая-либо система автоматической обработки входящей информации — «архивная бомба» может просто остановить работу сервера.
Встречаются три типа подобных «бомб»:
некорректный заголовок архива,
повторяющиеся данные
одинаковые файлы в архиве.
Защита программного обеспечения |
62 |
Клавиатурные шпионы
Виды: 1.Имитаторы. 2.Фильтры. 3.Заместители.
1 Имитаторы
Злоумышленник внедряет в ОС модуль, который предлагает пользователю зарегистрироваться для входа в систему. Имитатор сохраняет введенные данные в определенной области памяти. Инициируется выход из системы и появляется уже настоящее приглашение. Для надежной защиты от имитаторов необходимо:
Чтобы системный процесс, который получает от пользователя идентификатор и пароль, имел свой рабочий стол.
Переключение на регистрационное окно рабочего стола аутентификации должно происходить абсолютно незаметно для прикладных программ.
Защита программного обеспечения |
63 |
2. Фильтры
Фильтры – охотятся за всеми данными, которые вводятся с клавиатуры. Самые элементарные фильтры сбрасывают перехваченный ввод на жесткий диск или в другое нужное место.
Фильтры являются резидентными программами, перехватывающими одно или несколько прерываний, связанных с обработкой клавиатурных сигналов. Эти прерывания возвращают информацию о нажатой клавише, которая анализируется фильтрами на предмет выявления данных, имеющих отношение к паролю пользователя.
Любой клавиатурный русификатор – это самый простой фильтр. Его не трудно доработать, чтобы он еще выполнял действия по перехвату пароля. Для защиты от фильтров необходимо выполнение 3 условий:
Во время ввода пароля не разрешать переключения раскладки клавиатуры (срабатывает фильтр).
Конфигурировать цепочку программных модулей, участвующих в работе с паролем пользователя может только системный администратор.
Доступ к файлам этих модулей имеет только системный администратор.
Защита программного обеспечения |
64 |
3.Заместители
Заместители полностью подменяют собой программные модули, отвечающие за аутентификацию пользователей. Такие закладки могут быть созданы для работы в многопользовательских системах.
Заместители полностью берут на себя функции подсистемы аутентификации, поэтому они должны выполнять следующие действия:
подобно вирусу внедриться в один / несколько файлов системы;
использовать интерфейсные связи между программными модулями подсистемы аутентификации для встраивания себя в цепочку обработки введенного пользователем пароля.
Защита программного обеспечения |
65 |
• Защита от программных закладок
Задача защиты от ПЗ включает три подзадачи
не допустить внедрение ПЗ в компьютерную систему;
выявить внедренную программную закладку;
удаление внедренной программной закладки.
•Как видно, эти задачи сходны с задачами защиты от компьютерных вирусов.
Задача решается с помощью средств контроля за целостностью запускаемых системных и прикладных программ, а также за целостностью хранимой в ИС информации и за критическими для функционирования системы событиями. Однако эти средства действенны, если сами не подвержены ПЗ, которые могут выполнять следующие действия:
навязывать конечные результаты контрольных проверок;
влиять на процесс считывания информации и запуск программ, за которыми осуществляется контроль.
Защита программного обеспечения |
66 |
Защита от внедрения программных закладок
Универсальными средствами защиты от внедрения ПЗ является создание изолированного компьютера. Компьютер называется изолированным, если выполняется следующие условия:
на нем установлена система BIOS, не имеющая закладок;
ОС проверена на наличие ПЗ;
достоверно установлена неизменность BIOS и ОС для данного сеанса;
на компьютере не запускались другие программы, кроме уже прошедших проверку на наличие ПЗ;
исключен запуск проверенных программ в каких-либо иных условиях кроме изолированного ПК.
Для определения степени изолированности компьютера используется модель ступенчатого контроля. Сначала проверяется:
нет ли изменений в BIOS; затем считываются загрузочный сектор диска и драйверы ОС, которые также анализируются на предмет внесений в них несанкционированных изменений;
запускается с помощью ОС монитор контроля вызовов программы, который следит, за тем, чтобы в компьютере запускались только проверенные программы.
Защита программного обеспечения |
67 |
Выявление внедренной программной закладки
Необходимо выявить признаки присутствия кода ПЗ в компьютерной системе. Признаки могут быть качественными и визуальными; обнаруживаемые средствами тестирования и диагностики.
Качественные и визуальные признаки: отклонение в работе программы; изменяется состав и длины файлов. Программа работает слишком медленно или слишком быстро заканчивает свою работу или совсем перестает запускаться. Например, пользователи пакета шифрования и ЭЦП «Криптоцентр» заметили, что подпись ставится слишком быстро.
Исследования экспертов ФАПСИ показали, что внедрена ПЗ, которая основывалась на навязывании длины файла. Пользователи пакета «Криптон» забили тревогу, что скорость шифрования по криптографическому алгоритму ГОСТ 28147-89 возросла в 30 раз.
Признаки, выявляемые с помощью средств тестирования и диагностики, характерны как для ПЗ, так и для компьютерных вирусов. С инициированием статической ошибки на дисках хорошо справляется Disk Doctor из Norton Utilities. А средства проверки целостности данных типа ADINF позволяют успешно выявлять изменения, вносимые в файлы ПЗ.
Защита программного обеспечения |
68 |
Как выявить троянца:
Программные средства, предназначенные для защиты от троянцев, используют согласование объектов. В качестве объектов – файлы, каталоги. Согласование позволяет ответить на вопрос, изменились ли файлы и каталоги с момента последней проверки. Берется резервная копия файла и его атрибуты сравниваются с атрибутами файла на диске:
время;
размер;
контрольная сумма;
получение хэш-функции файла.
Для вычисления контрольной суммы есть специальные утилиты sum, но и контрольную сумму можно подделать. Более надежным является одностороннее хэширование файлов.
Алгоритмы: MD4, MD5, SНA.
Вычисленные ХЭШ–значения файлов хранятся в специальной БД, которая является самым уязвимым местом {в ОС Unix - TRIPWIRE}. Пользователю предлагается хранить эту БД на съемном носителе и запирать в сейф.
Защита программного обеспечения |
69 |
Защита бизнес-приложений от программных закладок Организационный способ защиты
Организационный подход к защите чаще всего применяется в крупных компаниях, ведущих собственные дополнительные разработки к крупным приложениям, чаще всего это ERP или АБС. Ключевым моментом этого подхода является разделение жизненного цикла продукта на три этапа: разработка, тестирование и непосредственное использование.
На первом этапе пишется код, на втором тестируется корректность реализации функционала и наличие ошибок, в том числе и с точки зрения безопасности (всевозможные тесты на проникновение). На обоих этапах хорошей практикой является привлечение в проектную команду консультантов по безопасности. После положительного заключения
тестировщиков программное обеспечение передается во внедрение. Таким образом, достигается разделение разработки, контроля качества и пользователей программного обеспечения. В результате
вероятность успешной незаметной установки и последующего использования программной закладки серьезно падает. Кроме того, для проведения успешной аферы нужно будет вовлечь в преступный сговор сотрудников на нескольких этапах, что может быть очень рискованно.