Методы и средства защиты информационных объектов от вредоносных программ

42.1

Методы и средства защиты информационных объектов от вредоносных программ

Содержание

42.2

Методы и средства защиты информационных объектов от вредоносных программ

Введение

В последнее время участились случаи воздействия на вычислительную систему при помощи специально создан$ ных программ. Для обозначения всех программ такого рода был предложен термин “вредоносные программы”.

1. Понятие о вредоносных программах

Под вредоносными программами в дальнейшем будем понимать такие программы, которые прямо или кос$ венно дезорганизуют процесс обработки информации или способствуют утечке или искажению информации. Ниже мы рассмотрим некоторые (самые распространенные) виды подобных программ: “троянский конь”, вирус, “червь”, “жадная” программа, “захватчик паролей”.

“ТРОЯНСКИЙ КОНЬ (ТРОЯНСКАЯ ПРОГРАММА)” (Trojan Horse) $ программа, выполняющая в дополнение к основным (проектным и документированным) дополнительные, но не описанные в документации действия. Аналогия с древнегреческим “троянским конем” таким образом вполне оправдана $ и в том и другом случае в не вызы$ вающей подозрений оболочке таится угроза. Программы такого типа являются серьезной угрозой безопас$ ности АС.

По характеру угрозы “троянский конь” относится к активным угрозам, реализуемым программными средствами, работающими в пакетном режиме. Он может угрожать любому объекту АС. Наиболее опасным является опос$ редованное воздействие, при котором “троянский конь” действует в рамках полномочий одного пользовате$ ля, но в интересах другого пользователя, установить которого порой невозможно.

Опасность “троянского коня” заключается в дополнительном блоке команд, тем или иным образом вставленном в исходную безвредную программу, которая затем предлагается (дарится, продается, подменяется) пользователям АС. Этот блок команд может срабатывать при наступлении некоторого условия (даты, времени и т.д., либо по ко$ манде извне). Запустивший такую программу подвергает опасности как себя и свои файлы, так и всю АС в целом. Наиболее опасные действия “троянский конь” может выполнять, если запустивший ее пользователь обладает рас$ ширенным набором привилегий. В этом случае злоумышленник, составивший и внедривший “троянского коня”, и сам этими привилегиями не обладающий, может выполнить несанкционированные привилегированные функции чужими руками. Или, например, злоумышленника очень интересуют наборы данных пользователя, запустившего такую программу. Последний может даже не обладать расширенным набором привилегий $ это не помешает вы$ полнению несанкционированных действий.

“Троянский конь” $ одна из наиболее опасных угроз безопасности АС. Радикальным способом защиты от этой угрозы является создание замкнутой среды исполнения программ.

Желательно также, чтобы привилегированные и непривилегированные пользователи работали с разными экзем$ плярами прикладных программ, которые должны храниться и защищаться индивидуально. При соблюдении этих мер вероятность внедрения программ подобного рода будет достаточно низкой.

Наиболее распространенной разновидностью “троянских программ” являются широко известные программы массового применения (редакторы, игры, трансляторы и т.п.), в которые встроены так называемые “логические бомбы”, срабатывающие по наступлении некоторого события. В свою очередь разновидностью “логической бом$ бы” является “бомба с часовым механизмов”, запускаемая в определенные моменты времени. Следует подчер$ кнуть, что “троянские программы” не являются саморазмножающимися и распространяются по ЛВС самими про$ граммистами, в частности, посредством общедоступных банков данных и программ.

“Троянские программы” принято считать предшественниками программных вирусов.

ВИРУС (COMPUTER VIRUS) $ это программа, которая может заражать другие программы путем включения в них своей, возможно модифицированной, копии, причем последняя сохраняет способность к дальнейшему раз$ множению.

Это исторически первое определение вируса. Хотя с той поры прошло много времени (более 7 лет) и многие делали попытки дать четкое определение вируса $ до сих пор его все$таки не существует. Дело в том, что все предлагаемые определения характеризуют не столько сущность вируса, сколько его различные свойства, которые позволяют либо обнаружить вирус, либо защититься от его воздействия.

Принципиальное отличие вируса от “троянской программы” состоит в том, что вирус после запуска его в ЛВС су$ ществует самостоятельно (автономно) и в процессе своего функционирования заражает (инфицирует) програм$ мы путем включения (имплантации) в них своего текста. Таким образом, вирус представляет собой своеобразный генератор “троянских программ”. Программы, зараженные вирусом, называют также вирусоносителями.

Соответственно, вирус может быть охарактеризован двумя основными особенностями:

$способностью к самовоспроизведению. Это свойство означает, что за время своего существования на компьютере вирус должен хотя бы один раз воспроизвести свою копию на долговременном носителе;

$способностью к вмешательству (получению управления) в вычислительный процесс. Это свойство являет$ ся аналогом “паразитирования” в живой природе, которое свойственно биологическим вирусам.

И то и другое свойство является определяющим $ при отсутствии хотя бы одного из них вирус существовать не может.

Это определение не имеет прикладной направленности. Из него невозможно сделать вывод, каким образом сле$ дует защититься от воздействия вирусов.

Как и “троянские кони” вирусы относятся к активным программным средствам. Классификация вирусов, ис$ пользуемые ими методы заражения, способы борьбы с ними достаточно хорошо изучены и описаны. В после$

42.3

Методы и средства защиты информационных объектов от вредоносных программ

дние несколько лет эта проблема в нашей стране стала особенно актуальной, поэтому очень многие занима$ ются ею. Мы остановимся здесь только на некоторых аспектах проблемы вирусов.

Во$первых, проблема защиты от вирусов может рассматриваться с двух сторон: как самостоятельная пробле$ ма и как одна из сторон проблемы общей защиты АС. И тот, и другой подходы имеют свои отличительные осо$ бенности и, соответственно, свои собственные методы решения проблемы. Заметим, что ни тот, ни другой путь пока не привел к успеху.

Во$вторых, в последнее время удалось более или менее ограничить масштабы заражений и разрушений. Тут сыграли свою роль и превентивные меры, и новые антивирусные средства, и пропаганда всех этих мер. Вообще говоря, проблема вирусов может стать тем толчком, который приведет к новому осмыслению как кон$ цепций защиты, так и принципов автоматизированной обработки информации в целом.

“ЧЕРВЬ”(WORM) $ программа, распространяющаяся через сеть и не оставляющая своей копии на магнитном носителе. “Червь” использует механизмы поддержки сети для определения узла, который может быть зара$ жен. Затем с помощью тех же механизмов передает свое тело или его часть на этот узел и либо активизирует$ ся, либо ждет для этого подходящих условий.

Наиболее известный представитель этого класса $ вирус Морриса (или, вернее, “червь Морриса”), поразивший сеть Internet в 1988 г. Наиболее подходящей средой распространения “червя” является сеть, все пользователи которой считаются дружественными и доверяют друг другу. Отсутствие защитных механизмов как нельзя боль$ ше способствует уязвимости сети. Самый лучший способ защиты от “червя” $ принять меры предосторожности против несанкционированного доступа к сети. Вообще же сетевые нарушения и способы защиты от них тема отдельного занятия. Таким образом, как вирусы, так “троянские кони” и “черви” на сегодняшний день являют$ ся одной из самых опасных угроз АС. Для защиты от этих разновидностей вредоносных программ необходимо создание замкнутой среды исполнения программ, разграничение доступа к исполняемым файлам, контроль це$ лостности исполняемых файлов и системных областей, тестирование приобретаемых программных средств.

“ЖАДНЫЕ” ПРОГРАММЫ (GREEDY PROGRAM) $ это программы, которые при выполнении стремятся монополизировать ка$ кой$либо ресурс системы, не давая другим программам возможности использовать его. Доступ таких программ к ресурсам системы обычно приводит к нарушению ее доступности. Естественно, такая атака будет активным вме$ шательством в работу системы. Непосредственной атаке обычно подвергаются объекты системы: процессор, опе$ ративная память, устройства ввода$вывода.

Многие компьютеры, особенно в исследовательских центрах, имеют фоновые программы, выполняющиеся с низким приоритетом. Они обычно производят большой объем вычислений, а результаты их работы требуют$ ся не так часто. Однако при повышении приоритета такая программа может блокировать все остальные. Та$ кая программа и будет “жадной”. Тупиковая ситуация возникает, когда “жадная” программа бесконечна (на$ пример, исполняет заведомо бесконечный цикл). Однако во многих операционных системах существует воз$ можность ограничения времени процессора, используемого задачей. Это не относится к операциям, выпол$ няющимся в зависимости от других программ, например, к операциям ввода$вывода, которые завершаются асинхронно к основной программе; время их выполнения не включается в счет времени программы.

Перехватывая асинхронное сообщение о завершении операции ввода$вывода и посылая вновь запрос на но$ вый ввод$вывод, можно добиться по$настоящему бесконечной программы. Такие атаки называют также асинх$ ронными.

Другой пример “жадной” программы $ программа, захватывающая слишком большую область оперативной памя$ ти. В оперативной памяти последовательно размещаются данные, например, подкачиваемые с внешнего носите$ ля. В конце концов, память может оказаться во владении одной программы, и выполнение других окажется невоз$ можным. Обычно “жадные” программы осуществляют захват одного из трех основных ресурсов системы: времени процессора, оперативной памяти, каналов ввода$вывода. Однако возможен захват и любых других ресурсов сис$ темы: блокирование ее работы, или же использование побочного результата деятельности какой$либо програм$ мы (например, вируса). Бороться с захватом ресурсов можно путем введения различных ограничений для выпол$ няемых программ (на время процессора, на количество операций ввода$вывода, на разрешенный объем опера$ тивной памяти и т.д.), а также постоянным операторским контролем за их соблюдением.

ЗАХВАТЧИКИ ПАРОЛЕЙ (PASSWORD GRABBER). Это программы, специально предназначенные для воровства паролей. Они выводят на экран терминала (друг за другом): пустой экран, экран, появляющийся после крушения систе$ мы или сигнализирующий об окончании сеанса работы. При попытке входа имитируется ввод имени и пароля, которые пересылаются владельцу программы$захватчика, после чего выводится сообщение об ошибке ввода и управление возвращается операционной системе. Пользователь, думающий, что допустил ошибку при наборе пароля, повторяет вход и получает доступ к системе. Однако его имя и пароль уже известны владельцу програм$ мы$захватчика. Перехват пароля может осуществляться и другим способом $ с помощью воздействия на про$ грамму, управляющую входом пользователей в систему и ее наборы данных.

Захват пароля является активным, непосредственным воздействием на АС в целом. Для предотвращения этой уг$ розы, перед входом в систему необходимо убедиться, что вы вводите имя и пароль именно системной программе входа, а не какой$то другой. Кроме того, необходимо неукоснительно придерживаться правил использования па$ ролей и работы с системой. Большинство нарушений происходят не из$за хитроумных атак, а из$за элементарной небрежности.

Не покидайте рабочее место, не выйдя из системы. Постоянно проверяйте сообщения о дате и времени после днего входа и количестве ошибочных входов. Эти простые действия помогут избежать захвата пароля. Кроме описанных выше, существуют и другие возможности компрометации пароля. Не записывайте команды, содер жащие пароль, в командные процедуры, старайтесь избегать явного объявления пароля при запросе доступа по сети; эти ситуации можно отследить и захватить пароль. Не используйте один и тот же пароль для доступа к разным узлам. Соблюдение правил использования паролей $ необходимое условие надежной защиты.

42.4

Методы и средства защиты информационных объектов от вредоносных программ

2. Программные вирусы и вопросы их нейтрализации

Под программным вирусом (ПВ), как было отмечено выше, понимается автономно функционирующая програм ма, обладающая способностью к самовключению в тела других программ и последующему самовоспроизведе нию и самораспространению в информационно вычислительных сетях и отдельных ЭВМ. Программные виру$ сы представляют собой весьма эффективное средство реализации практически всех угроз безопасности ЛВС. Потому вопросы анализа возможностей ПВ и разработки способов противодействия вирусам в настоящее вре$ мя приобрели значительную актуальность и образовали одно из наиболее приоритетных направлений работ по обеспечению безопасности ЛВС.

Зараженные программы (исполняемого файла применительно к наиболее распространенной операционной систе$ ме РС$подобных ПЭВМ), как правило, выполняются таким образом, чтобы вирус получил управление раньше самой программы, Для этого он либо встраивается в начало программы, либо имплантируется в ее тело так, что первой ко$ мандой зараженной программы является безусловный переход на вирус, текст которого заканчивается аналогичной командой безусловного перехода на команду вирусоносителя, бывшей первой до заражения. Получив управление, вирус выбирает следующий файл, заражает его, возможно, выполняет какие$либо другие действия, после чего отда$ ет управление вирусоносителю.

“Первичное заражение” происходит в процессе поступления инфицированных программ из памяти одной ма$ шины в память другой, причем в качестве средства перемещения этих программ могут использоваться как маг$ нитные носители (дискеты), так и каналы ЛВС. Вирусы, использующие для размножения каналы ЛВС, принято называть сетевыми.

Цикл жизни вируса обычно включает следующие периоды: внедрения, инкубационный, репликации (само$ размножения), проявления.

В течении инкубационного периода вирус пассивен, что усложняет задачу его поиска и нейтрализации. На этапе проявления вирус выполняет свойственные ему целевые функции, например необратимую коррекцию информа$ ции на магнитных носителях (жестких либо гибких).

Физическая структура вируса достаточно проста. Он состоит из “головы” и, возможно, “хвоста”. Под голо$ вой вируса понимается его компонента, получающая управление первой. Хвост $ это часть вируса, располо$ женная в тексте зараженной программы отдельно от головы. Вирусы, состоящие из одной головы, называют несегментированными, тогда как вирусы, содержащие голову и хвост, $ сегментированными.

По характеру размещения в памяти ПЭВМ принято делить на: файловые нерезидентные, файловые резидент$ ные, бутовые, гибридные, пакетные.

Файловый нерезидентный вирус целиком размещается в исполняемом файле, в связи с чем он активизируется толь$ ко в случае активизации вирусоносителя, а по выполнении необходимых действий возвращает управление самой программе. При этом выбор очередного файла для заражения осуществляется вирусом посредством поиска по каталогу.

Файловый резидентный вирус отличается от нерезидентного тем, что заражает не только исполняемые файлы, находящиеся во внешней памяти, но и оперативную память ПЭВМ. С чисто технологической точки зрения ОП можно считать файлом, к которому применимы все описанные выше способы имплантации. Однако резидент$ ный вирус отличается от нерезидентного как логической структурой, так и общим алгоритмом функционирова$ ния. Резидентный вирус состоит из так называемого инсталлятора и программ обработки прерываний. Инстал$ лятор получает управление при активизации вирусоносителя и инфицирует оперативную память путем разме$ щения в ней управляющей части вируса и замены адресов в элементах вектора прерываний на адреса своих программ, обрабатывающих эти прерывания. На так называемой фазе слежения, следующей за описанной фа$ зой инсталляции, при возникновении какого$либо прерывания управление получает соответствующая программа вируса. В связи с существенно более универсальной по сравнению с нерезидентными вирусами общей схемой функционирования резидентные вирусы могут реализовывать самые разные способы инфицирования. Наибо$ лее распространенными способами являются инфицирование запускаемых программ, а также файлов при их открытии или чтении.

Одной из разновидностей резидентных вирусов являются так называемые “бутовые вирусы”. Отличитель$ ной особенностью последних является инфицирование загрузочного (бут$сектора) магнитного носителя (гиб$ кого или жесткого диска). При этом инфицированными могут быть как загружаемые, так и незагружаемые дискеты. Голова бутового вируса всегда находится в бут$секторе (единственном для гибких дисков и одном из двух $ для жестких), а хвост $ в любой другой области носителя.

Наиболее безопасным для вируса способом считается размещение хвоста в так называемых псевдосбойных кластерах, логически исключенных из числа доступных для пользования. Существенно, что хвост бутового вируса всегда содержит копию оригинального (исходного) бут$сектора. Механизм инфицирования, реализу$ емый бутовыми вирусами, таков. При загрузке операционной системы с инфицированного диска вирус в силу своего положения на нем (независимо от того, с дискеты или винчестера производится загрузка) получает управление и копирует себя в оперативную память. Затем он модифицирует вектор прерывания таким обра$ зом, чтобы прерывание по обращению к диску обрабатывалось собственным обработчиком прерываний ви$ руса, и запускает загрузчик операционной системы. Благодаря перехвату прерываний “бутовые вирусы” мо$ гут реализовать столь же широкий набор способов инфицирования и целевых функций, сколь и файловые резидентные вирусы.

Близость механизмов функционирования бутовых и файловых резидентных вирусов сделала возможным и естественным проявление файлово$бутовых, или гибридных, вирусов, инфицирующих как файлы, так и бут$ секторы.

42.5

Методы и средства защиты информационных объектов от вредоносных программ

Особенностью пакетного вируса является его головы в пакетном файле. При этом голова представляет собой строку или программу на языке управления заданиями операционной системы.

Сетевые вирусы, называемые также автономными репликативными программами, или, для краткости, реплика$ торами, используют для размножения средства сетевых операционных систем ЛВС. Наиболее просто реализу$ ется размножение в тех случаях, когда протоколами ЛВС предусмотрен обмен программами. Однако, как пока$ зывает опыт, размножение возможно и в тех случаях, когда указанные протоколы ориентированны только на обмен сообщениями.

Эффекты, называемые вирусами в процессе реализации ими целевых функций, принято делить на следую$ щие целевые группы:

•искажение информации в файлах либо таблице размещения файлов;

•имитация сбоев аппаратных средств;

•создание звуковых и визуальных эффектов, включая, например, отображение сообщений, вводящих опе$ ратора в заблуждение или затрудняющих его работу;

•инициирование ошибок в программах пользователей или операционной системы.

Наиболее распространенным средством нейтрализации вирусов являются программные антивирусы. Ан$ тивирусы, исходя из реализованного в них подхода к выявлению и нейтрализации вирусов, принято делить на следующие группы: детекторы, фаги, вакцины, прививки, ревизоры, мониторы.

Детекторы обеспечивают выявление вирусов посредством просмотра исполняемых файлов и поиска так на$ зываемых сигнатур $ устойчивых последовательностей байтов, имеющихся в телах известных вирусов. Нали$ чие сигнатуры в каком$либо файле свидетельствует о его заражении соответствующим вирусом. Антивирус, обеспечивающий возможность поиска различных сигнатур, называют полидетектором.

Фаги выполняют функции, свойственные детекторам, но, кроме того, “излечивают” инфицированные програм$ мы посредством “выкусывания” (“пожирания”) вирусов из их тел. По аналогии с полидетекторами фаги, ори$ ентированные на нейтрализацию различных вирусов, именуют полифагами.

В отличии от детекторов и фагов вакцины по своему принципу действия напоминают сами вирусы. Вакцина имплантируется в защищаемую программу и запоминает ряд количественных и структурных характеристик последней. Если вакцинированная программа не была к моменту вакцинации инфицированной, то при пер$ вом же после заражения запуске произойдет следующее. Активизация вирусоносителя приведет к получе$ нию управления вирусом, который, выполнив свои целевые функции, передаст управление вакцинирован$ ной программе. В последней в свою очередь сначала управление получит вакцина, которая выполнит про$ верку соответствия запомненных ею характеристик аналогичным характеристикам, полученным в текущий момент. Если указанные наборы характеристик не совпадают, то делается вывод об изменении текста вакци$ нированной программы вирусом. Характеристиками, используемыми вакцинами, могут быть длина програм$ мы, ее контрольная сумма и т.п.

Принцип действия прививок основан на учете того обстоятельства, что любой вирус, как правило, помечает ин$ фицированные программы каким$либо признаком, с тем, чтобы не выполнять их повторное заражение. В ином случае имело бы место многократное инфицирование,сопровождаемое существенным и поэтому легко обнару$ живаемым увеличением объема зараженных программ. Прививка, не внося никаких других изменений в текст защищаемой программы, помечает ее тем же признаком, что и вирус, который, таким образом, после активиза$ ции и проверки наличия указанного признака считает ее инфицированной и “оставляет в покое”.

Ревизоры обеспечивают слежение за состоянием файловой системы, используя для этого подход, аналогичный реализованному в вакцинах. Программа$ревизор в процессе своего функционирования выполняет примени$ тельно к каждому исполняемому файлу сравнение его текущих характеристик с аналогичными характеристика$ ми, полученными в ходе предшествующего просмотра файлов. Если при этом обнаруживается, что согласно имеющейся системной инфорамции файл с момента предшествующего просмотра не обновляяся пользовате$ лем, а сравниваемые наборы характеристик не совпадают, то файл считается инфицированным. Характеристи$ ки исполняемых файлов, получаемые в ходе очередного просмотра, запоминаются в отдельном файле (файлах), в связи с чем увеличения длин исполняемых файлов, имеющего место при вакцинировании, в данном случае не происходит. Другое отличие ревизоров от вакцин состоит в том, что каждый просмотр исполняемых файлов ревизором требует его повторного запуска.

Монитор представляет собой резидентную программу, обеспечивающую перехват потенциально опасных пре$ рываний, характерных для вирусов, и запрашивающую у пользователей подтверждение на выполнение опе$ раций, следующих за прерыванием. В случае запрета или отсутствия подтверждения монитор блокирует вы$ полнение пользовательской программы.

Антивирусы рассмотренных типов существенно повышают вирусозащищенность отдельных ПЭВМ и ЛВС в целом, однако в связи со свойственными им ограничениями, естественно, не являются панацеей. Так, для разработки детекторов, фагов и прививок нужно иметь тексты вирусов, что возможно только для выявленных вирусов. Вак$ цины обладают потенциальной возможностью защиты программ не только от известных, но и от новых вирусов, однако обнаруживают факт заражения только в тех случаях, если сами были имплантированы в защищаемую программу раньше вируса. Результативность применения ревизоров зависит от частоты их запуска, которая не может быть больше 1$2 раза в день в связи со значительными затратами времени на просмотр файлов (порядка 0,5$1 ч применительно к жесткому диску емкостью всего до 1 Гбайта). Мониторы контролируют процесс функ$ ционирования пользовательских программ постоянно, однако характеризуются чрезмерной эффективностью ложных срабатываний, которые вырабатывают у оператора “рефлекс подтверждения” и тем самым, по суще$ ству, минимизируют эффект от такого контроля. Следует также учитывать, что принципы действия и тексты лю$ бых антивирусов доступны разработчикам ПВ, что позволяет создавать им более изощренные вирусы, способ$ ные успешно обходить все известные способы защиты.

42.6

Методы и средства защиты информационных объектов от вредоносных программ

В связи с изложенным очевидно, что наряду с созданием антивирусов необходима реализация альтернатив$ ных подходов к нейтрализации ПВ: создание операционных систем, обладающих более высокой вирусоза$ щищенностью, разработка аппаратных средств защиты от вирусов и т.п.

Не меньшее значение имеют организационные меры и соблюдение определенной технологии защиты от виру$ сов, предполагающей выполнение следующих этапов: входной контроль дискет с новым программным обеспе$ чением, сегментацию информации на жестком диске, защиту системных программ от заражения, систематичес$ кий контроль целостности и архивирование информации.

3. Уровни и методы антивирусной защиты

Для уменьшения потенциальной опасности внедрения компьютерных вирусов и их распространения по корпо$ ративной сети необходим комплексный подход, сочетающий различные административные меры, программно$ технические средства антивирусной защиты, а также средства резервирования и восстановления. Делая акцент на программно$технических средствах, можно выделить три основных уровня антивирусной зашиты: 1) поиск и уничтожение известных вирусов; 2) поиск и уничтожение неизвестных вирусов; 3) блокировка проявления вирусов (рис. 1).

Рис. 1. Уровни и средства антивирусной защиты

1.При поиске и уничтожении известных вирусов наиболее распространенным является метод сканирования. Он заключается в выявлении компьютерных вирусов по их уникальному фрагменту программного кода (сиг$ натура, программный штамм). Для этого создается некоторая база данных сканирования с фрагментами ко$ дов известных компьютерных вирусов Обнаружение вирусов осуществляется путем сравнения данных в па$ мяти компьютера с фиксированными кодами базы данных сканирования. В случае выявления и идентифика$ ции кода нового вируса его сигнатура может быть введена в базу данных сканирования Ввиду того, что сиг$ натура известна, существует возможность корректного восстановления (обеззараживания) зараженных фай$ лов и областей. Следует добавить, чго некоторые системы хранят не сами сигнатуры, а например, контрольные суммы или имитоприставки сигнатур.

Антивирусные программы, выявляющие известные компьютерные вирусы, как было отмечено выше, называ$ ются сканерами или детекторами. Программы, включающие функции восстановления зараженных файлов, называют полифагами (фагами), докторами или дезинфекторами Примером сканера$полифага является знакомая программа Aidstest.

Принято разделять сканеры на два типа: 1) транзитные, периодически запускаемые для выявления и лик$ видации вирусов; 2) резидентные (постоянно находящиеся в оперативной памяти), проверяющие заданные области памяти системы при возникновении связанных с ними событий (например, проверка файла при его копировании или переименовании).

К недостаткам сканеров следует отнести то, что они позволяют обнаружить вирусы, которые уже проникали в вычислительные системы, изучены, и для них определена сигнатура. Для эффективной работы сканеров не$ обходимо оперативно пополнять базу данных сканирования. Однако с увеличением объема базы данных ска$ нирования и числа различных типов искомых вирусов снижается скорость антивирусной проверки. Очевид$ но, что если время сканирования будет приближаться ко времени восстановления, то необходимость в анти$ вирусном контроле может стать не столь актуальной.

Некоторые вирусы (мутанты и полиморфные) кодируют или видоизменяют свой программный код. Это зат$ рудняет или делает невозможным выделить сигнатуру, а, следовательно, обнаружить вирусы методом скани$ рования Для выявления указанных маскирующихся вирусов используются специальные методы. К ним мож$ но отнести метод эмуляции процессора. Он заключается в имитации выполнения процессором программ и “подсовывания” вирусу фиктивных управляющих ресурсов. Обманутый таким образом вирус, находящийся под контролем антивирусной программы, расшифровывает свой код. После этого сканер сравнивает расшиф$ рованный код с кодами из своей базы данных сканирования.

2.Выявление и ликвидация неизвестных вирусов необходимы для защиты от вирусов, пропущенных на пер$ вом уровне антивирусной защиты. Наиболее эффективным методом является контроль целостности систе мы (обнаружение изменений). Данный метод заключается в проверке и сравнении текущих параметров вы$ числительной системы с эталонными, соответствующими ее незараженному состоянию. Понятно, что конт$ роль целостности не является прерогативой исключительно системы антивирусной защиты. Он обеспечива$ ет защищенность информационного ресурса от несанкционированной модификации и удаления в результате различного рода нелегитимных воздействий, сбоев и отказов системы и среды.

Для реализации указанных функций используются программы, называемые ревизорами. Работа ревизора со$ стоит из двух этапов: фиксирование эталонных характеристик вычислительной системы (в основном диска)

42.7

Методы и средства защиты информационных объектов от вредоносных программ

и периодическое сравнение их с текущими характеристиками. Обычно контролируемыми характеристиками являются контрольная сумма, длина, время, атрибут “только для чтения’ файлов, дерево каталогов, сбойные кластеры, загрузочные сектора димов. В сетевых системах могут накапливаться среднестатистические пара$ метры функционирования подсистем (в частности, исторический профиль сетевого трафика), которые срав$ ниваются с текущими.

Ревизоры, как и сканеры, делятся на транзитные и резидентные.

Кнедостаткам ревизоров, в первую очередь резидентных, относят создаваемые ими неудобства и трудности в работе пользователя. Например, многие изменения параметров системы могут быть вызваны не вирусами, а работой системных программ или действиями пользователя$программиста. По этой же причине ревизоры не используют для контроля зараженности текстовых файлов, которые постоянно меняются. Таким образом, не$ обходимо соблюдение некоторого баланса между удобством работы и контролем целостности системы.

Ревизоры обеспечивают высокий уровень выявления неизвестных компьютерных вирусов, но не всегда $ кор$ ректное лечение зараженных файлов. Для лечения зараженных файлов неизвестными вирусами обычно ис$ пользуются эталонные характеристики файлов и данные о предполагаемых способах их заражения. Недо$ статком ревизоров является также то, что они не определяют зараженные файлы, создаваемые или копируе$ мые в систему.

Примеры ревизоров $ программы MSAV ОС MS$DOS и AOinI фирмы “Диалог$Наука”.

Разновидностью контроля целостности системы является метод программного самоконтроля, именуемый вак цинацией. Идея этого метода состоит в присоединении к защищаемой программе модуля (вакцины), контро$ лирующего характеристики программы, например, ее контрольную сумму Помимо статистических методов контроля целостности, для выявления неизвестных и маскирующихся виру$

сов используются эвристические методы. Они позволяют выявить по известным признакам (определенным в базе знаний системы) некоторые маскирующиеся или новые модифицированные вирусы известных типов. В качестве примера признака вируса можно привести код, устанавливающий резидентный модуль в памяти, меняющий параметры таблицы прерываний и др. Программный модуль, реализующий эвристический метод обнаружения вирусов, называют эвристическим анализатором Примером сканера с эвристическим анализа$ тором является программа Dr.Web фирмы “Диалог$Наука”.

Кнедостаткам эвристических анализаторов можно отнести так называемые ошибки 1$го и 2$го рода, т.е. лож$ ные срабатывания и пропуск вирусов соответственно. Соотношение указанных ошибок зависит от уровня эв$ ристики.

Понято, что если для обнаруженного эвристическим анализатором компьютерного вируса сигнатура отсут$ ствует в базе данных сканирования, то лечение зараженных данных может быть некорректным.

3. Блокировка проявления вирусов предназначена для защиты от деструктивных действий и размножения ком$ пьютерных вирусов, которым удалось преодолеть первые два уровня защиты. Методы основаны на перехва$ те характерных для вирусов функций. Известны два вида указанных антивирусных средств$ 1) программы$ фильтры; 2) аппаратные средства контроля.

Программы фильтры, называемые также резидентными сторожами и мониторами, постоянно находятся в оперативной памяти и перехватывают заданные прерывания с целью контроля подозрительных действий. При этом они могут блокировать “опасные” действия или выдавать запрос пользователю. Действия, подлежащие контролю, могут быть следующими: модификация главной загрузочной записи (MBR) и загрузочных записей логических дисков и гибких магнитных дисков, запись по абсолютному адресу, низкоуровневое форматиро$ вание диска, оставление в оперативной памяти резидентною модуля и др. Как и ревизоры, фильтры часто являются “навязчивыми” и создают определенные неудобства в работе пользователя. Примером фильтра яв$ ляется программа Veafe ОС MS$DOS.

Встроенные аппаратные средства ПК обеспечивают контроль модификации системного загрузчика и таблицы разделов жесткого диска, находящихся в главном загрузочном секторе диска (M8R). Включение указанных воз$ можностей в ПК осуществляется с помощью программы Setup, расположенной в ПЗУ. Следует отметить, что про$ грамму Setup можно обойти в случае замены загрузочных секторов путем непосредственного обращения к пор$ там ввода$вывода контроллеров жесткого и гибкого дисков.

Наиболее полная защита от вирусов монет быть обеспечена с помощью специальных контроллеров аппарат$ ной защиты. Такой контроллер может подключаться, например, к ISA$шине ПК и на аппаратном уровне конт$ ролировать все обращения к дисковой подсистеме компьютера. Это не позволяет вирусам маскировать себя. Контроллер может выть сконфигурирован так, чтобы контролировать отдельные файлы, логические разделы, “опасные” операции и т.д. Кроме того, контроллеры могут выполнять различные дополнительные функции защиты, например, обеспечивать разграничение доступа и шифрование. Примером специальных контролле$ ров аппаратной защиты является плата Sheriff предприятия ФомСофт.

Кнедостаткам указанных контроллеров относят отсутствие системы автоконфигурирования и, как след$ ствие, возможность возникновения конфликтов с некоторыми системными программами, в том числе ан$ тивирусными.

При работе в глобальных сетях общего пользования (в частности, в Internet), кроме традиционных способов антивирусной защиты данных компьютеров, становится актуальным антивирусный контроль всего проходяще го трафика. Он может быть осуществлен путем реализации антивирусного прокоп$сервера либо интеграции антивирусного компонента с межсетевым экраном. В последнем случае межсетевой экран передает антивирус$ ному компоненту (или серверу) допустимый трафик (например, SMTP, FTP и НТТР$трафик). Содержащиеся в нем файлы проверяются на предмет наличия вирусов и затем направляются пользователям. Можно сказать, что это еще один (четвертой) уровень антивирусной защиты $ уровень межсетевого экранирования.

42.8

Методы и средства защиты информационных объектов от вредоносных программ

4. Потери времени и информации, связанные с вирусами

Потери времени можно разделить на следующие группы:

1. Прямые потери:

1.1.Из$за нарушения работы системы и прикладных программ; при этом большая часть времени теряется на выяснение причин непонятных явлений.

1.2.Потери времени на “лечение” от известных вирусов и восстановление поврежденной информации. Как правило, при отсутствии надежных систем защиты после успешного лечения от вирусов по крайней мере не$ сколько раз происходит повторное заражение $ из$за того, что быстро обнаружить и вылечить дискеты с за$ раженными файлами и загрузочными секторами не удается. Во многих случаях после лечения удается вос$ становить зараженные файлы с точностью “до последнего байта”, но бывает и так, что якобы “вылеченные” программы становятся неработоспособными, обнаруживается это только спустя значительное время.

2. Косвенные потери времени: $ на проверку дискет и жестких дисков, $ на входной контроль новых программ, $ на создание резервных копий

и архивов. Кроме того, при применении систем санкционирования доступа к программам для уменьшения ве$ роятности заражения вирусами возникают проблемы, которые также приводят к увеличению потерь машинно$ го времени.

Потери информации. Случаи потерь полезной информации в результате срабатывания “бомб”, заложенных в вирусах, достаточно редки. Например, некоторые программы, скопированные с машины, зараженной вирусом NOP, разрушают информацию в таблице разделов жесткого диска на других машинах. Кроме того, даже в после$ днее время появляются вирусы, преднамеренно искажающие данные на дисках. Например, вирус Warlock 1817 успел испортить значительное количество файлов с расширениями DBF, распространившись в нескольких пе$ тербургских организациях. Таким образом, при использовании традиционных антивирусных средств компью$ тер превращается в своего рода полигон для проверки свойств современных вирусов и программ для обнару$ жения вирусов и “лечения” от них. При использовании строгого контроля за дискетами и программами, посту$ пившими по сети, вероятность повреждения информации несколько снижается за счет дополнительных потерь времени и определенных неудобств. Подавляющая же часть повреждений, наносимых системным областям, связаны с ошибками работы самих вирусов либо их конфликтами с той или иной версией DOS, с нестандартной аппаратной частью или резидентными программами. Кроме того, многие пользователи предпочитают формати$ ровать жесткий диск либо разрушают файловую систему при попытке исправить мелкие проблемы, которые они связывают с вирусами. Наиболее характерным примером явился вирус, широко известный под названием DIR. В его коде нет ни одной команды, которая была бы предназначена для нанесения какого$то вреда. Тем не ме$ нее, в результате широкого распространения этого вируса на большом количестве компьютеров и дискет была разрушена файловая система. Это происходило как в результате ошибок в работе самого вируса, так и при по$ пытках пользователей запустить такие программы, как CHKDSK, NORTON DOCTOR DISK или ANTI$DIR (антивирус, который, как следует из документации, должен был бы вылечить от этого вируса все файлы на диске, а не разру$ шать в некоторых случаях файловую систему при попытке лечения). Если же попытаться просуммировать всю информацию о потерях, связанных с вирусами, то оказывается, что вероятность того, что часть информации на компьютере останется поврежденной, достаточна велика (около 5 %), но большинство потерь все же происхо$ дят не в результате “сознательных” действий вируса.

5.Средства антивирусной защиты серверов

До сих пор считалось, что серверы, будь то Unix, NetWare или Windows NT, не подвержены вирусным атакам. Серверная антивирусная защита просто предотвращала сохранение и повторное использование зараженных файлов на клиентских машинах, что создавало дополнительную линию обороны для клиентской антивирус$ ной защиты. При этом предполагалось, что сам сервер находится вне опасности.

Материал, изложенный в данном вопросе, написан по результатам тестирования серверных антивирусных про$ дуктов шести фирм$производителей, каждый в двух версиях — для ОС Windows NT и NetWare, т. е. всего 12 программных пакетов: Command AntiVirus фирмы Command Software Systems, InoculateIT фирмы Computer Associates International (CA), Vet Anti$Virus фирмы Ontrack Data International, Sophos Anti$Virus фирмы Sophos, Norton AntiVirus фирмы Symantec и Trend Micro ServerProtect фирмы Trend Micro. Испытания проводились в исследовательской лаборатории ICSA (ныне филиала Gartner Group) — одной из компаний, которые занима$ ются постояныым тестированием и сертификацией антивирусных средств разных производителей.

Естественно, при выборе серверного антивирусного продукта решающими становятся совсем другие крите$ рии, чем при отборе клиентского антивирусного ПО. Главной характеристикой любого серверного ПО, в том числе и антивирусного, является его производительность. Причем понятие производительности для сервер$ ного и клиентского антивирусного ПО сильно различаются. Для клиентского ПО таким показателем является время сканирования жестких дисков, а для серверного — скорость сканирования в режиме реального вре$ мени поступающих из сети файлов.

Информация для руководителей. В большинстве организаций пользовательские файлы в основном хранятся на сервере. Установка антивирусного ПО на нем хоть и не освобождает от использования клиентского антивирусного ПО, но уменьшает риск заражения пользовательских файлов макро$ и файловыми вирусами, а сам сервер при этом защищается еще и от заг$ рузочных вирусов.

42.9

Методы и средства защиты информационных объектов от вредоносных программ

Во время тестирования особенно интересны такие основные моменты, как администрирование, регистрация, распознава$ ние, удаление вирусов и, что не менее важно для серверного ПО, производительность. Как уже указывалось, были проте$ стированы продукты шести фирм, предназначенные для защиты сервеоов NetWare и Windows NT. Удивило несоответствие между NetWare$ и NT$версиями одних и тех же продуктов разных производителей. Все они обеспечивают по крайней мере приемлемую производительность, а вот в функциональности их управляющих средств наблюдается сильнейший разброс. Общее первое место в проведнных испытаниях занял продукт InocuVateTT компании Computer Associates благодаря раз$ витым средствам управления и большому списку предлагаемых действий при обнаружении вирусов. Единственным паке$ том, сумевшим его превзойти (в версии для Windows NT), был ServerProtect фирмы Trend Micro.

В процессе тестирования неожиданно выяснилась одна приятная вещь: каждый из протестированных продуктов обладал каким$нибудь достоинством, которое делало бы его привлекательным для определенного типа узла. Так, Norton AntiVirus фирмы Symantec единственный из всех обеспечивает гибкость запрашиваемых действий вместо привычной автоматичес$ кой обработки вирусов. Среди антивирусных продуктов для платформы Windows NT безусловным победителем стал ServerProtert фирмы Тrend Micro. Command AntiVirus стоит значительно дешевле своих конкурентов, обеспечивая при этом хорошую производительность и проставляя хороший набор средств. Продукт фирмы Sophos один из всех NetWare$про$ дуктов предоставляет доступ к большинству своих функций и из интерфейса консоли, и с рабочей станции. И даже у па$ кета Anti$Virus фирмы Ontrack есть свои достоинства: простота использования и великолепная производительность.

Многие аналитики считают, что в будущем антивирусное ПО переместится на Web$серверы. С внедрением технологии «тон$ ких» клиентов проблема антивирусной защиты разрешится автоматически $ клиентская станция будет проверяться на вирусы либо при подключении к корпоративному Web$серверу, либо путем подписки на антивирусное ПО. Но до тех пор, особенно если учесть появление таких вирусов, как Remote Explorer (распространяющихся среди сетевых серверов само$ стоятельно, т. е. не будучи спровоцированным какими$либо действиями пользователей), надежным решением проблемы можно считать лишь установку серверного антивирусного ПО.

Несмотря на небольшую производительность, продукт InoculateIT фирмы Computer Associates за счет своей об$ щей эффективности занял в испытаниях первое место. InoculateIT предоставил наиболее развитые средства уп$ равления и для NetWare и для Windows NT, благодаря чему он обошел продукт Norton AntiVirus корпорации Symantec. Впрочем, двум фирмам$победительницам не стоит почивать на лаврах. Хотя итоговая оценка семейства продук$ тов ServerProtect фирмы Trend Micro сильно снизилась из$за провала версии для NetWare, зато ServerProtect for Windows NT был оценили как наилучший из протестированных продуктов: он продемонстрировал просто превос$ ходную производительность и отличные средства управления.

Оценка результатов тестирования

Результаты тестирования были разнесены по трем таблицам: первая для ПО защиты серверов Windows NT, вторая — для NetWare и третья — для суммарных оценок. Ожидалось, что продукты одной линии будут де$ монстрировать сходную функциональность в версиях для обеих серверных платформ, но практически в каж$ дом случае это было не так, отсюда — и несколько таблиц. Итоговая оценка продуктов базировалась на сум$ марных результатах, и по ним первое место занял InoculateIT фирмы СА. В группе продуктов для среды NetWare развернулась острая борьба между пакетами InoculateIT и Norton Antivirus, тогда как в NT$группе безогово$ рочно лидировал продукт Trend Micro ServerProtect.

Для тестирования производительности и функциональности антивирусного ПО использовались образцы толь$ ко файловых и макровирусов. Не рассматривались вирусы, атакующие загрузочный сектор, так как они не спо$ собны распространяться по сети: в силу своего устройства, загрузочные вирусы передаются только через дискеты.

InoculateIT фирмы Computer Associates International

Основное преимущество InoculateIT — в развитости его средств управления. Продукт нe только обеспечивает цен$ траизованное управление отдельными серверами, но и представляет возможность конфигуирования целых групп серверов, выполняющих сходные функции. Единственным среди конкурирующих продуктов, имеющих аналогич$ ную возможность, является ServerProtect or NT фирмы Trend Micro. Кроме того, InoculatelT позволяет задавать время выполнения различных задач как для отдельных серверов, так и для иx групп, причем даже на серверах, принад$ лежащих различным платформам. Вести регистрацию выполнения данных заданий продукт также может на мно$ жестве платформ и серверов. Такая группа или домен управления существенно упрощают администрирование средств антивирусной защиты в крупномасштабных средах. Например, если запросы к службе технической под$ держки сигнализируют о возникновении проблем в отделе сбыта, то администратор несколькими щелчками мыши может так сконфигурировать журнал регистрации событий для группы серверов этого отдела, чтобы регистри$ ровались не только аварийные сообщения, но и сообщения прочих уровней.

В случае же, когда группа серверов финансового отдела оказывается занятой интенсивной обработкой дан$ ных, администратор может переключить эту группу из режима тщательного («Secure scan») в режим быст$ рого сканирования («Fast scan»), снизив таким образом нагрузку на серверы в период решения приклад$ ной задачи.

Разумеется, для того чтобы антивирусное ПО сохраняло свою эффективность, оно должно быть наделено воз$ можностью постоянно отслеживать возникновение новых вирусов. Обновленные версии InoculateIT можно ав$ томатически загружать с электронной доски объявлений (BBS) на одну из машин в сети, а затем так же автома$ тически распространять их на все остальные серверы. Версия продукта для Windows, кроме того, поддерживает загружу обновленных версий через Интернет, но, как это ни странно, в версии для NetWare такая возможность отсутствует. Предупреждение об обнаружении вируса может быть передано по электронной почте, на пейджер, в виде заявки на обслуживание (trouble ticket) или по протоколу SNMP. Данный продукт — и это неудивитель$

42.10

Методы и средства защиты информационных объектов от вредоносных программ

но — тесно интегрирован с базовой связующей средой Unicenter TNG Framework фирмы Computer Associates. Средства антивирусного сканирования InoculateIT очень хорошо продуманы: они могут осуществлять сканирова$ ние файлов Macintosh и различных форматов архивирования. Собственно говоря, NT$версия данного продукта ока$ залась единственной (помимо Trend Micro ServerPro$tect for NT), которая справилась с придуманным нами (боль$ ше из любопытства) небольшим тестом, заключавшимся в обнаружении вируса в файлах, дважды подвергшихся архивированию.

Таблица 3.

Антивирусные продукты для NetWare: результаты тестирования

42.11

Методы и средства защиты информационных объектов от вредоносных программ

InoculateIT по перечню действий, предпринимаемых при обнаружении вируса, оказался вторым после NT$ версии продукта Symantec. Помимо обязательных функций очистки, перемещения, переименования и удале$ ния, InoculateIT позволяет сначала копировать зараженные файлы, а затем их очищать. Это очень полезная функция, так как она позволяет пользователю продолжать работу все то время, пока администратор держит копию зараженного файла в «карантине». Таким образом обеспечивается дополнительная проверка и со$ храняется резервная копия на тот случай, если попытка очистить файл окончилась неудачей и были повреж$ дены ценные данные.

Однако за такой набор функций приходится расплачиваться производительностью: в тестах на производи$ тельность InoculateIT показал слабые результаты. Среди протестированных нами продуктов он один сильно загрузил процессор при работе под Windows NT, и к тому же он стал одним из двух наиболее ресурсоемких продуктов, написанных для NetWare (вторым был Sophos). Впрочем, под управлением Windows NT рост на$ грузки на ЦП не повлек за собой увеличения времени передачи файлов. Одно несомненно: запуск InoculateIT негативно скажется на работе достаточно загруженного сервера.

В среде NetWare ситуация со временем передачи файлов не совсем ясна. В первом тесте (передача большого числа чистых, или незараженных, файлов) задержка почему$то оказалась довольно большой. Однако во вто$ ром тесте, при работе с инфицированными файлами, скорость передачи неожиданно резко увеличилась, что заставило нас еще раз проверить передачу чистых файлов. На этот раз чистые файлы почему$то передава$ лись с той же скоростью, что и зараженные; при дополнительном тестировании все повторилось.

Разработчики из фирмы Computer Associates эти результаты объяснили тем, что для определения уже от$ сканированных файлов продукт использует контрольные суммы. Это позволяет существенно уменьшить время передачи неизмененных файлов, так как проверку на вирусы они уже прошли. На практике, однако, большинство пользователей обращаются за файлами на файловый сервер именно с целью их модифика$ ции, поэтому мы вовсе не уверены в эффективности такого подхода для реальной сетевой рабочей среды, и, по$видимому, мы в этом не одиноки. Так, компания Ontrack в своем продукте Vet ушла от подобного ре$ шения и ее пакет продемонстрировал в нашем тестировании очень хорошую производительность. И все же, даже если вы увеличите мощность сервера с помощью дополнительного ЦП, по нашему мнению, это вполне окупится той широтой функциональности, которую обеспечивает пакет СА в смешанных средах, со$ держащих серверы NT и NetWare.

Norton AntiVirus фирмы Symantec

Продукт Norton AntiVirus «боролся» за второе место в категориях для обеих платформ. Так, в категории для NetWare он отстал на две позиции от InoculateIT, а в категории для NT разделил второе место с тем же продук$ том СА. И хотя по производительности его результаты были одними из лучших, но средства администрирования

исбора данных значительно уступали тем, что реализованы в InoculateIT. В то же время продукт обладает про$ сто уникальной гибкостью в отношении настроек режимов работы при проверке файловой системы, что очень выгодно отличает его от других антивирусных средств, предоставляющих в основном ограниченное число оп$ ций автоматической обработки.

Если вас не устраивает производительность InoculateIT, особенно в среде NetWare, то, скорее всего, вам подойдет продукт Symantec. Удобно, что в его версии для NetWare особое внимание было уделено загрузке ЦП. Числовой индикатор загрузки постоянно выводится на экране консоли, и, что еще важнее, продукт автоматически увеличи$ вает промежуток между сканированием, если процент использования ЦП превышает предельное значение. Во время испытаний наблюдалось небольшое снижение производительности и в среде NetWare, и в среде Windows NT NT$версия предоставляет чуть более широкий выбор средств, чем ее NetWare$собрат. К примеру, она обеспечи$ вает поддержку протокола SNMP, регистрацию для множества серверов, усиленный контроль над объектами ска$ нирования и большую гибкость в предлагаемых вариантах действий при обнаружении вируса. Стоит также от$ метить, что компания Symantec недавно приобрела линии антивирусных продуктов корпораций IBM и Intel, и можно ожидать, что скоро мы станем свидетелями попытки включить лучшее, что имеется в обеих линиях, в сле$ дующие выпуски продукта, хотя никаких сведений на сей счет к моменту публикации данной статьи мы от Symantec не получили.

Как проводилось тестирование. Тестирование в лабораториях компании ICSA начиналось с установки трех «чистых» об$ разцовых экземпляров ОС Novell 4.11, Windows NT 4.0 Server и Windows 95. На клиентской машине Windows 95 были созданы два больших каталога с одинаковым набором файлов. Этот набор состоял из файлов разных размеров и типов, что должно было отразить типичное разнообразие содержимого корпоративного файлового сервера. Первый каталог был назван Clean («Чистый»), а второй — Dirty («Зараженный»). К содержимому каталога Dirty были добавлены образцы разнообразных макро$

ифайловых вирусов, предоставленных нам ICSA, в том числе и все вирусы, входящие в десятку наиболее распространенных. Вирусные файлы были небольшого размера, так что они мало повлияли на общий объем каталога.

Перед тестированием каждого продукта на жесткий диск переписывалась чистая копия NetWare и Windows NT так, чтобы ис$ ключить всякую возможность влияния на результаты предыдущих протестированных продуктов или ненамеренной активи$ зации вируса. Та же операцию проделывалвсь и для клиента Windows 95. Это было весьма предусмотрительно, поскольку однажды, сделав по неосторожности двойное нажатие мыши на одном из файлов, зараженных вирусом one half, и запустив таким образом его на выполнение, исседователи испортили загрузочную запись диска, а заодно и файловую таблицу. Этот случай еще раз показывает, почему тестирование вирусов следует проводить только в жестко контролируемой среде.

После инсталляции каждого антивирусного пакета в заново переписанной серверной среде инициировалась передача файлов сначала из каталога Clean, а затем из Dirty. Во время обеих передач производился мониторинг процента загрузки ЦП, общего времени передачи и эффективности антивирусного продукта в обнаружении вирусов, их обработке и регист$ рации, оповещении клиентов, а также в создании отчетов. Для получения контрольных характеристик производилась точно такая же передача, но уже без антивирусного ПО.

42.12

Методы и средства защиты информационных объектов от вредоносных программ

ServerProtect фирмы Trend Micro

Если в вашей корпоративной сети работают только серверы Windows NT, то лучшим антивирусным средством для нее, несомненно, станет продукт ServerProtect фирмы Trend Micro. Он обладает довольно мощной функ$ циональностью и незначительно загружает процессор сервера. Однако в его NetWare$версии дела обстоят совсем иначе, и, чтобы приблизить ее по эффективности к версии для Windows NT, фирме Trend Micro придет$ ся над ней еще немало поработать. Прежде всего бросаются в глаза слабые средства мониторинга и отсут$ ствие возможности очищать файлы от вирусов.

Большая часть преимуществ NT$версии обусловлена ее взаимодействием с другим продуктом — Virus Control System (VCS), который в качестве бесплатного дополнения включается во все лицензионные продукты Trend Micro. Система VCS является управляющей Web$системой, расширяющей набор функций всех антивирусных продуктов Trend Micro. Она даже способна показывать статус антивирусных продуктов других фирм$произ$ водителей, включая Command, СА, Network Associates и Symantec.

Однако на взаимодействии NetWare$версии ServerProtect с системой VCS необходимо остановиться отдель$ но. Дело в том, что она поддерживается только при загрузке на сервере Windows NT, связанном через сеть с сервером NetWare, специального агента. Все это несколько усложняет задачу оценки характеристик версии продукта для NetWare. При рассмотрении NetWare$продуктов мы приняли решение не учитывать возможнос$ ти, предоставляемые системой VCS, поскольку во многих средах NetWare ими нельзя будет воспользоваться. Впрочем, если большая часть ваших серверов NetWare связана с серверами Windows NT Server, то система VCS, несомненно, усилит административные возможности ServerProtect for NetWare. Но и в этом случае при вы$ полнении операций мониторинга и контроля антивирусного NetWare$продукта она будет опираться на рабо$ ту NT$сервера. Эта чрезмерно сложная архитектурная конструкция служит лишь для того, чтобы компенсиро$ вать недостатки продукта в его версии для ОС NetWare.

NetWare$решение весьма интересно в одном аспекте — это единственный из протестированных продук$ тов, не предоставляющий возможности восстанавливать поврежденные вирусами файлы. ServerProtect for NetWare может выявить зараженный файл, перенести или переименовать, но очистить его от вируса вам не удастся — для этого придется обратиться к другому средству, например, к продукту РС$сillin этой же фирмы.

AntiVirus фирмы Command Software Systems

Пакет Commad Antivirus при тестировании продемонстрировал превосходную производительность и отличные средства обнаружения вирусов и обработки инфицированных файлов. Кроме того, этот про$ дукт заметно дешевле трех ведущих пакетов, которые обошли его с минимальным перевесом. Фирме Command следовало бы улучшить в продукте средства централизованного управления, особенно в ча$ сти администрирования, обновления, регистрации и оповещения, что позволило бы ему получить бо$ лее высокую оценку.

Следует, однако, учесть, что критерию «цена продукта» был назначен не самый высокий весовой коэффици$ ент в силу того, что для корпоративных антивирусных решений лицензионная цена обычно составляет только незначительную часть от стоимости поддержки. С учетом вышесказанного продукты Command и Ontrack сто$ ят значительно дешевле всех прочих. Если для вашей фирмы цена продукта играет не последнюю роль, при$ мите во внимание, что из первых четырех продуктов нашего рейтинга у Command наилучшее отношение цены к качеству. Для некоммерческих организаций фирма$поставщик тоже предлагает весьма привлекательную ценовую политику.

Антивирусные информационные ресурсы

Висследовательских лабораториях собраны огромные «коллекции» образцов разнообразных вирусов (по разным оценкам, от 10 до 40 тыс.). Но вас, как сетевого администратора, должны волновать только те из них, которые реаль$ но могут заразить машины ваших пользователей. В первую очередь необходимо обратить внимание на перечень так называемых «Особо опасных вирусов» (Wild List), насчитывающий 254 вируса — 80 загрузочных, 89 файловых и 85 макровирусов.

К счастью, вам нет необходимости самим проверять эффективность основных антивирусных продуктов по отношению к новым вирусам, так как этим занимаются специальные сертификационные компании. Первой такую работу начала осуще$ ствлять фирма ICSA (www.icsa.net) (ставшая сейчас филиалом Gartner Group). В ее исследовательской лаборатории хра$ нится огромная коллекция вирусов. (Недавно на этом поприще начала работать и компания West Coast Labs (www.westcoast.com/checkmark). Она предлагает два уровня сертификации продуктов (один — по обнаружению виру$ сов, другой — по их уничтожению). Сертификация продуктов в любой из этих организаций требует определенных фи$ нансовых затрат, поэтому небольшие фирмы, разрабатывающие довольно качественные антивирусные программы, нередко отказываются от их услуг. Производители антивирусов должны платить ICSA за сертификацию: 7,5 тыс. долл. за полное членство и 4 тыс. долл. за сертификат для одной платформы.

ВСША Федеральной правительственной программой CIAC (Computer Incident Advisory Capability) предусмотрено со$ здание целого ряда баз данных с самой разнообразной информацией о вирусах, в которых дается не только их опи$ сание, но и разоблачаются распространяемые о них мистификации и домыслы (все это можно найти по адресу www.ciac.org). Перечислим еще несколько интересных Web$узлов с подобной тематикой: сервер Национального ин$ ститута по стандартам и технологиям (crsc.nist.gov/virus), независимый Web$узел с названием Computer Virus Myths («Мифы о компьютерных вирусах» — kumite.com/myths), a также поддерживаемый компанией Sophos узел The Virus Bulletin (www.virusbtn.com). Все основные поставщики антивирусных пакетов тоже размещают информацию о ви$ русах на своих Web$узлах.

42.13

Методы и средства защиты информационных объектов от вредоносных программ

Anti-Virus фирмы Sophos

Пакет Anti$Virus фирмы Sophos реализует несколько отличный от прочих подход к антивирусной защите. Фун$ кции сканирования и очистки вирусов, выполняемые по запросу или по списанию, возложены на программу Sweep. Для сканирования в режиме реального времени м потребуется полный комплект продукта InterCheck, который содержит клиентский и серверный компоненты. Клиентский компонент запрашивает у серверного, разрешен ли доступ конкретному файлу. Если данный файл уже был ранее просканирован серверным компо$ нентом (что проверяется по его контрольной сумме), то доступ к нему разрешается. В противном случае (в процессе сканирования выяснится, что файл инфицирован вирусом) серверный компонент запретит к нему доступ. К счастью, пользоваться клиентом InterCheck вместе с сервером InterCheck нет необходимости, вместо него можно ограничиться программой Sweep — по$видимому, именно этот вариант и окажется предпочтитель$ ным для защиты сервера. На то, чтобы разобраться в этом замысловатом процессе, требуется масса времени. Если вы намерены провести обучение своего персонала, то Sophos предложит вам множество различных вари$ антов конфигурации, но такая повышенная сложность продукта все$таки избыточна для решения возложен$ ных на него задач.

У продукта имеются некоторые недостатки в средствах управления, кроме того, он не поддерживает функ$ цию очистки от вирусов в режиме реального времени. Помимо Sophos, еще только одна компания оставила ручное обновление антивирусных сигнатур, вместо того чтобы осуществлять его автоматически через Ин$ тернет.Однако стоит отметить, что Sophos — единственная фирма из поставляющих NetWare$продукты, ко$ торая обеспечивает доступ к большинству функций и из интерфейса консоли, и с сетевой рабочей станции. Такая возможность будет весьма кстати, если вам необходимо оперативно отреагировать на попадание ви$ руса в вашу сеть, не обращаясь к серверной консоли.

Vet Anti-Virus фирмы Ontrack Data International

Фирма Ontrack тоже снабдила NetWare$версию своего продукта Vet Anti$Virus интерфейсом консоли. Правда, это и единственный интерфейс управления данным NetWare$продуктом: никаких других оболочек управления в Vet Anti$Virus больше не предусмотрено.

Впрочем, если не брать во внимание это упущение, в целом продукт хороший. Он сочетает в себе простоту функционирования с превосходной производительностью. Недостаток средств управления делает его мало$ привлекательным для распространения в корпоративной среде, тем не менее он обеспечивает надежное и быстрое выявление вирусов, к тому же легок в освоении и обе его версии — как для NetWare, так и для Windows NT — стоят недорого. Vet Anti$Virus от Ontrack несомненно заслуживает серьезного внимания со стороны не$ больших организаций.

Коротко о продуктах

Command AntiVirus for NetWare Command AntiVirus for NT Server

Цена: 295 долл. за сервер

Фирма: Command Software Systems http://www.commctndcom.com

InoculateIT for NetWare

Цена: 995 долл.

InoculateIT Workgroup Edition Цена: 695 долл.

Фирма: Computer Associates International Телефон в Москве: 937$4850 http://www.cai.com

Vet Anti Virus (версия 9.85)

Цена: 19,95 долл. для отдельного пользователя,

395 долл. для серверов Novell NetWare или Windows NT Фирма: Ontrack Data International

http://www. ontrack. corn

Sophos Anti Virus

Цена: от 595 долл. (включая ПО для сервера и рабочей станции) Фирма:Sophos

http://www. sophos. сот

Norton AntiVirus 5.0 for Windows NT Server Norton AntiVirus 4.0 for NetWare

Цена: 499,95 долл. каждый Фирма: Symantec

Телефон в Москве: 238$3822 http://www. Symantec, сот

Trend Micro ServerProtect for NetWare Trend Micro ServerProtect for NT

Цена: от 420 долл. каждый (на 25 пользователей) Фирма: Trend Micro

http://www. antivirus. сот

Заключение

Противодействие вредоносным программам должно иметь плановый характер. Целесообразно поручить со$ труднику службы безопасности предприятия проведение ежедневного контроля на предмет выявления про$ граммных вирусов.

42.14