Лекция 12
Наиболее распространённым видом информационно-программного оружия являются компьютерные вирусы.
Вирусные атаки, то есть внедрение вирусных программ в информационные и управляющие системы как гражданского, так и военного назначения, можно рассматривать как специфическую форму информационной войны, называемую вирусным подавлением. Вирусное подавление может применяться для достижения таких целей как:
скрытое изменение функций системы;
вывод системы из строя;
разрушение файлов данных и прикладных программ.
Процесс развития современных автоматизированных систем, как военного, так и гражданского применения, как правило, приводит к возрастанию их уязвимости для компьютерных вирусов.
Современные автоматизированные системы имеют характерные основные особенности:
расширение применения распределенной цифровой обработки информации;
использование перепрограммируемых встроенных ЭВМ и сетей связи;
стандартизация ЭВМ, программного обеспечения, форматов сообщений, каналов и процедур передачи данных.
Следствием первой особенности является значительное расширение доступности различных компонентов вычислительной системы для злоумышленников.
Вторая особенность приводит к большей доступности перепрограммируемых запоминающих устройств и сетей обмена, что провоцирует, например, такой способ поражения АС, как изменение маршрутов обмена.
Третья особенность современных систем создает благоприятные условия для использования стандартных программ вирусного подавления.
Основными каналами внедрения компьютерных вирусов являются телекоммуникационные системы информационного обмена и отчуждаемые носители информации, которые используются в АС без предварительного входного антивирусного контроля.
Общее описание компьютерных вирусов
С начала 80-х годов в ведущих промышленно развитых странах наметился рост публикаций об относительно маленьких саморепродуцирующихся программах, названных компьютерными вирусами. Компьютерный вирус, однажды внесенный в систему, может распространяться самостоятельно и лавинообразно и в зависимости от цели заражения может нанести существенный вред информации и программному обеспечению.
Приблизительно до середины двадцатого столетия было распространено мнение, что саморепродукция, также как мутация, может встречаться как элементарный процесс естественного развития только для живой материи.
Следует отметить, что общепринятые положения теории развития, в которых биологические процессы рассматриваются как особый случай, до настоящего времени не содержат глубоких исследований процесса саморепродукции искусственных систем.
В то же время Джон фон Нейман, исследуя логический аспект саморепродукции, поставил вопрос: "Можно ли принципиально проектировать автоматы, которые сами репродуцируются или конструируют совершенно новые автоматы?". И в 1951 году ответил на него положительно, описав соответствующий метод. В дальнейшем на этой основе были открыты саморепродуцирующиеся компьютерные программы.
Не вдаваясь в теорию таких программ, отметим, что саморепродуцирующаяся программа в состоянии производить свои собственные копии и располагать их в других программах или в памяти компьютера.
Главное условие для этого универсальная интерпретация данных в вычислительных системах.
В этом случае программа может интерпретировать команды как данные, при этом ее собственные программные коды используются в качестве входных и выходных данных.
Вид саморепродуцирующихся программ был представлен впервые в 1984 году Ф. Коэном. На основе сходства определённых свойств этой программы с биологическим вирусом она и была названа компьютерным вирусом.
Сообщение Ф. Коэна, сделанное на 7-й конференции по безопасности информации, проходившей в США в 1984 году, в то время не нашло отклика у специалистов по информационным технологиям. Они не придали ему большого значения.
Однако сообщения о фактах проявления компьютерных вирусов стали появляться уже в 1985 году:
В мае 1985 г. вследствие вирусной атаки во время голосования в конгрессе США вышла из строя компьютерная система подсчета голосов.
В сентябре 1985 г. вирус, написанный Д. Г. Бурлесоном, уничтожил за два дня более 160 тысяч платежных записей.
Начиная с 1987 года, количество сообщений о вирусных проявлениях резко увеличилось. Описания фактов заражения компьютерными вирусами, в том числе и с достаточно серьезными последствиями, практически не сходят со страниц западной прессы.
С 1987 года начали фиксироваться факты появления компьютерных вирусов и в нашей стране:
На первой Всесоюзной научно-технической конференции "Методы и средства защиты от компьютерных вирусов в операционной системе MS DOS" (Киев, ноябрь 1990 г.) была приведена статистика выявления вирусов на территории СССР: 1987г. – 8; 1988 г. – 24; 1989 г. – 49; 1990 г. (осень) – 75.
Весьма примечательной является статистика, представленная Национальной ассоциацией по компьютерной защите США за 2006 год:
63 % опрошенных респондентов подверглись вирусной атаке;
предполагаемые потери американского бизнеса от компьютерных вирусов составили четыре миллиардов долларов;
идентифицировано более 25000 вирусов;
каждый месяц появляются более 50 новых компьютерных вирусов;
в среднем от каждой вирусной атаки страдает 142 персональных компьютера, на отражение атаки в среднем уходит 2,4 дня;
для компенсации ущерба в 114 случаях требуется 5 дней.
|
В настоящее время ежегодно в мире выявляется более тысячи компьютерных вирусов.
|
Прежде всего, необходимо дать более точное определение компьютерного вируса.
Компьютерным вирусом называется часть заражённой программы-носителя (набор кодов), которая может «заражать» другие программы, включая в них свою копию (возможно модифицируя их) и выполнять деструктивные функции в системе, а эта копия в свою очередь также способна к дальнейшему размножению.
Таким образом, компьютерный вирус обладает двумя основными функциями:
● способностью к саморепродукции;
● способностью осуществлять определенные манипуляции в вычислительной системе.
Как и биологический вирус, который только при наличии основной клетки может стать активным, компьютерный вирус связан с программой-носителем.
|
Особенность саморепродукции компьютерных вирусов заключается в том, что их копии вводятся в другую выполняемую программу лишь тогда, когда с помощью отличительного признака устанавливается, что эта программа еще не содержит копий. При этом инфицированная программа переносит копию вируса в другие «чистые» программы и этим продолжает процесс его распространения. |
Заражая программы, компьютерный вирус может распространяться по компьютерной системе или сети, используя полномочия пользователей для заражения их программ.
Представим, исходя из этого, обобщенную структуру и схему функционирования компьютерного вируса V (рисунок 1), рассмотрев самый простой вариант его построения: вирус файловый, поражающий пользовательские программы, после инфицирования программы он уничтожает её как функциональный элемент системы.
Рис.1.Схема функционирования компьютерного вируса
|
Сам вирус включает в себя следующие типы наборов кодов:
|
Признак вируса M – это характерная для данного вируса команда передачи управления.
Ядро вируса VIR – программные коды, реализующие инфицирование (размножение) как основную функцию вируса.
Обрабатывающая задача WOR реализует деструктивные функции, которые могут быть безобидными или опасными, вплоть до уничтожения данных, порчи оборудования или разрушения среды функционирования.
Вызванная для исполнения заражённая программа представляет собой набор кодов вируса V, который размещён в начале программы, и тела программы, являющейся программой-носителем вируса. Тело программы является по существу незаражённой программой системы, предназначенной для реализации какой-либо процедуры или функции. Рассмотрение предложенной схемы позволяет продемонстрировать механизм заражения вирусом и исполнение программы-носителя.
Вирус V в программе-носителе первым берёт управление на себя, прежде всего, реализуя функцию инфицирования с помощью своего ядра VIR. Ядро ищет незараженную программу путём сканирования памяти компьютера, пропуская уже заражённые этим вирусом программы, в которых первым стоит признак вируса M. Определив незаражённую программу, ядро VIR выделяет в ней (как правило, в её начале) место для записи кода вируса. Затем переносит код вируса на выделенное место, в данном примере затирая начальные коды найденной незаражённой программы, тем самым, уничтожая её как функциональный элемент программного обеспечения системы. Однако она может быть вызвана для исполнения в последующих процессах, и при этом, став инфицированной программой, продолжить процесс заражения.
После заражения первой найденной неинфицированной программы ядро вируса может быть настроено на дальнейшую реализацию процесса заражения до выполнения какого-то определённого условия. А может передать управление обрабатывающей программе WOR, которая либо реализует свои деструктивные действия, либо, если не выполнено предусмотренное условие реализации, сразу передать управление программе-носителю. Программа-носитель выполняет свои функции. Инфицирование произошло, но пользователь, вызвавший программу-носитель и получивший результат от её выполнения, не замечает факта инфицирования.
Данная схема представляет собой элементарный процесс заражения системы файловым вирусом, причём с порчей вновь заражённой программы. Существуют технологии построения файлового вируса, когда вновь заражённая программа остаётся неиспорченной, а заложенный в него вирус впадает в режим «спячки» до определённого условия.
В общем случае, когда вирус, заражая программу, сохраняет её, он может существовать в следующих четырех фазах:
распространение в вычислительной системе или сети;
"спячка";
запуск;
разрушение программ, данных, среды функционирования или какие-либо другие деструктивные действия.
Фаза распространения обязательна для любой программы-вируса. В этой фазе в результате загрузки и выполнения программы, зараженной вирусом, происходит заражение других программ путем многократного самокопирования вируса в другие программы и системные области.
Фаза "спячки" может использоваться автором вируса для его сокрытия и создания у пользователя уверенности в правильной работе системы.
Запуск вируса осуществляется, как правило, после некоторого события, например наступления определенной даты или заданного числа копирований.
В последней фазе происходит разрушение программ и данных или какие-либо другие негативные действия, предусмотренные нарушителем.
Вирусы могут записываться в виде позиционно независимого или позиционно зависимого кода.
Позиционно независимый вирус обычно дописывается в конце исходной программы и изменяет ее первые три байта для передачи управления самому себе.
Позиционно зависимый вирус, размещаемый в начале программы, обычно копирует исходные начальные команды в конец области данных программы. Такие вирусы должны иметь подпрограмму перемещения, которая обеспечивает восстановление исходной программы. Это необходимо для того, чтобы исходный код, перемещенный вирусом, мог быть восстановлен в первоначальном положении и выполнен корректно.
Многие вирусы не опасны и созданы не злонамеренно, а ради шутки или эксперимента с существующей техникой. Степень опасности вируса характеризуется потенциально наносимым им ущербом.
Можно предложить следующую шкалу степени опасности вирусов:
недеструктивное проявление (звуковые или визуальные эффекты), все зараженные файлы могут быть корректно восстановлены;
слабо деструктивное проявление, из-за вносимых ошибок он может некорректно заразить и тем самым испортить некоторые программы;
воздействие на систему (эффект замедления, блокировка клавиатуры, процессов), никакие файлы преднамеренно не портятся;
слабо деструктивное воздействие (помимо выше названных эффектов преднамеренно портятся или стираются программные или другие файлы), в целом файловая система остается работоспособной;
деструктивное воздействие (вирус частично портит некоторые важные части файловой системы на гибком или жестком диске), но остаётся возможность их восстановления вручную;
сильно деструктивное воздействие (вирус полностью портит файловую систему на жестком диске, произвольным образом форматирует винчестер и т. п.);
разрушающее воздействие (вирус физически портит аппаратуру: прожигание экрана монитора, вывод из строя микросхем за счет нарушения теплового режима и т. п.).