32. Захист інформації від комп’ютерних вірусів. Особливості захисту інформації у відкритих системах.
Віруси й інші зловмисні програми викликають катастрофічні руйнації тільки в тому випадку, якщо користувач до них не готовий і неправильно на них реагує. Прийняти належні запобіжні заходи допоможуть наступні поради.
Створіть завантажувальні дискети на випадок поразки вірусом
Пускові дискети знадобляться, якщо ваш ПК початків працювати ненадійно. У будь-якому випадку ПК необхідно запустити з «чистої» пускової дискети і «просканувати» жорсткий диск за допомогою актуальної версії антивірусної програми, що знаходиться на дискеті, захищеної від перезапису. Якщо ж запустити антивірусну програму з ураженої системи, а не «стерильно» запущеного комп'ютера, то поширення вірусу гарантовано.
Необхідно завчасно перевірити (попередньо встановивши захист від перезапису), чи є у вас пускові дискети. Якщо немає, Windows або антивірусна програма підтримає вас у їхньому створенні. Виберіть у Windows 9х команду Пуск/Настройка/Панель управления і потім Установка и удаление программ У діалоговому вікні, що з'явилося, перейдіть у вкладку Загрузочный диск і клацніть на кнопці Создать диск. Тепер Windows створить аварійний диск.
У Windows NT пускові дискети можна створити, якщо в каталозі I386 на CD-ROM із Windows NT запустити файл WINNT32. EXE із параметром /ох.
Boot-вірусам - ні єдиного шансу
Boot-віруси входять у першу десятку найпоширеніших вірусів.
Але усе ж один простий викрут дозволяє разом і назавжди покінчити з непрошеними гістьми: не запускайте ПК із дискети. Якщо ви не хочете заразити комп'ютер, відключіть запуск з дискет. Для цього поміняйте в BIOS-Setup ПК послідовність початкового запуску: спочатку жорсткий диск, потім дисковод для дискет, тобто наприклад «С:, А:». Така процедура нічого не вартує і не має недоліків (якщо вам усе ж потрібно запуститися з дискети, тимчасово відключіть цю послідовність запуску). Після цього можна назавжди забути про дискети, інфіковані Boot-вірусом.
Поставте заслін макровірусам
У MS Office 7.0/97/2000 макроси Word, Excel, PowerPoint, Outlook і FrontPage можна проігнорувати, встановивши “високий” рівень захисту.
Цією порадою можуть скористатися користувачі, що не пишуть макросів. У Word, наприклад, існує попереднє настроювання такого захисту, коли працюють тільки сертифіковані макроси. Якщо ж необхідно протестувати свій власний макрос, то рівень захисту потрібно знизити до “середнього”. При цьому при відкритті документа можна вибрати, активізувати макроси або ні.
Вторая часть вопроса: такой бред… Особливості захисту інформації у відкритих системах
6.3.1 Стандарти захисту інформації у відкритих інформаційних системах.
Еталонна модель взаємодії відкритих систем OSI (англ. Open Systems Interconnection) була розроблена інститутом стандартизації ISO з метою розмежувати функції різних протоколів у процесі передачі інформації від одного абонента іншому. Подібних класів функцій було виділено 7 – вони одержали назву шарів (layer). Кожен шар виконує свої визначені задачі в процесі передачі блоку інформації, причому відповідний шар на приймальному боці робить перетворення, точно зворотні до тих, що робив той же шар на передавальній стороні. У цілому проходження блоку даних від відправника до одержувача показане на рис.6.3. Кожен шар додає до пакета невеликий обсяг своєї службової інформації – префікс (на малюнку вони зображені як P1...P7). Деякі рівні в конкретній реалізації цілком можуть бути відсутні.
Дана модель дозволяє провести класифікацію мережних атак відповідно до рівня їхнього впливу.
Фізичний шар відповідає за перетворення електронних сигналів у сигнали середовища передачі інформації (імпульси напруги, радіохвилі, інфрачервоні сигнали). На цьому рівні основним класом атак є «відмова в сервісі». Постановка шумів по всій смузі перепускання каналу може привести до «надійного» розриву зв’язку.
Канальний шар керує синхронізацією двох і більшої кількості мережних адаптерів, підключених до єдиного середовища передачі даних. Прикладом його є протокол EtherNet. Впливу на цьому рівні також полягають в основному в атаці «відмови в сервісі». Однак, на відміну від попереднього рівня, тут виробляється збій синхропосилок чи самої передачі даних періодичною передачею «без дозволу і не у свій час».
Мережний шар відповідає за систему унікальних імен і доставку пакетів за цим іменем, тобто за маршрутизацію пакетів. Прикладом такого протоколу є протокол Інтернету IP. Всі атаки засновані на свідомо неправильній маршрутизації пакетів.
Рис.6.3.
Модель класифікації мережних атак
Транспортний шар відповідає за доставку великих повідомлень лініями з комутацією пакетів. Тому що в подібних лініях розмір пакета є звичайно невелике число (від 500 байт до 5 кілобайт), то для передачі великих обсягів інформації їх необхідно розбивати на передавальній стороні і збирати на приймальній. Транспортними протоколами в мережі Інтернет є протоколи UDP і TCP. Реалізація транспортного протоколу – досить складна задача, а якщо ще врахувати, що зловмисник придумує найрізноманітніші схеми складання неправильних пакетів, то проблема атак транспортного рівня цілком з’ясовна.
Уся справа в тім, що пакети на приймальну сторону можуть приходити й іноді приходять не в тому порядку, у якому вони були відправлені. Причина звичайно полягає у втраті деяких пакетів через помилки чи переповнення каналів, рідше – у використанні для передачі потоку двох альтернативних шляхів у мережі. А, отже, операційна система повинна зберігати деякий буфер пакетів, чекаючи приходу затриманих у дорозі. А якщо зловмисник із наміром формує пакети таким чином, щоб послідовність була великою і свідомо неповною, то отут можна чекати як постійної зайнятості буфера, так і більш небезпечних помилок через його переповнення.
Сеансовий шар відповідає за процедуру встановлення початку сеансу і підтвердження (квітування) приходу кожного пакета від відправника одержувачу. У мережі Інтернет протоколом сеансового рівня є протокол TCP (він займає і 4, і 5 рівні моделі OSI). У відношенні сеансового рівня дуже широко поширена специфічна атака класу «відмовлення в сервісі», заснована на властивостях процедури встановлення з’єднання в протоколі TCP. Вона одержала назву SYN-Flood (flood – англ. «великий потік»).
При спробі клієнта підключитися до Сервера, що працює за протоколом TCP (а його використовують більше 80% інформаційних служб, у тому числі HTTP, FTP, SMTP, POP3), він посилає серверу пакет без інформації, але з бітом SYN, встановленим у 1 в службовій частині пакета – запитом на з’єднання. Після одержання такого пакета сервер зобов’язаний вислати клієнту підтвердження прийому запиту, після чого з третього пакета починається власне діалог між клієнтом і сервером. Одночасно сервер може підтримувати в залежності від типу сервісу від 20 до декількох тисяч клієнтів.
При атаці типу SYN-Flood зловмисник починає на своїй ЕОМ створювати пакети, що представляють собою запити на з’єднання (тобто SYN-пакети) від імені довільних IP-адрес (можливо навіть неіснуючих) на ім’я Сервера, що атакується, по порту сервісу, який він хоче призупинити. Усі пакети будуть доставлятися одержувачу, оскільки при доставці аналізується тільки адреса призначення. Сервер, починаючи з’єднання за кожним із цих запитів, резервує під нього місце у своєму буфері, відправляє пакет-підтвердження і починає очікувати третього пакета клієнта протягом деякого проміжку часу (1-5 секунд). Пакет-підтвердження піде за адресою, зазначеною як помилкового відправника в довільну точку Інтернету й або не знайде адресата взагалі, або надмірно «здивує» операційну систему на цій IP-адресі (оскільки вона ніяких запитів на даний сервер не посилала) і буде просто зігнорований. А от сервер при досить невеликому потоці таких запитів буде постійно тримати свій буфер заповненим непотрібним чеканням з’єднань і навіть SYN-запити від дійсних легальних користувачів не будуть міститися в буфер: Сеансовий шар просто не знає і не може довідатися, які з запитів фальшиві, а які дійсні і могли б мати більший пріоритет.
Атака SYN-Flood одержала досить широке поширення, оскільки для неї не потрібно ніяких додаткових підготовчих дій. Її можна проводити з будь-якої точки Інтернету на адресу будь-якого Сервера, а для відстеження зловмисника будуть потрібні спільні дії всіх провайдерів, що складають ланцюжок від зловмисника до Сервера, що атакується, (до честі сказати, практично усі фірми-провайдери, якщо вони володіють відповідним програмним забезпеченням і кваліфікованим персоналом, активно беруть участь у відстеженні атак ЕОМ за першим же проханням, у тому числі і від закордонних колег).