Захист даних від несанкціонованого доступу на персональному комп’ютері
Захист даних від несанкціонованого доступу дозволяє:
запобігти втраті даних,
запобігти розкриттю конфіденційних даних
шляхом:
захисту від читання,
захисти від запису,
повного захисту (як від запису, так і від читання)
і забезпечується:
використанням технічних і програмних засобів,
проведенням організаційних заходів.
Захист від читання необхідний при роботі з конфіденційними даними для запобігання їх розкриттю і реалізовується, як правило, шляхом шифрування.
Захист від запису організується для запобігання втрати даних внаслідок їх ненавмисного або навмисного знищення (руйнування), поновлення.
Повний захист дозволяє запобігти втратам даних та їх розкриттю.
Захист від несанкціонованого доступу на персональному комп’ютері, як правило, заснований на використанні пароля.
Ефективним способом забезпечення повного захисту даних, що зберігаються в комп’ютері від несанкціонованого доступу – повністю захистити комп’ютер.
Ця задача вирішується на рівні BIOS за допомогою утиліти Setup BIOS, яка має функцію парольного захисту і дозволяє захистити як доступ до системи, так і доступ до самої утиліти.
Реалізація засобів захисту на персональному комп’ютері істотно залежить від встановленої операційної системи.
Захист від несанкціонованого доступу операційною системою MS-DOS практично не забезпечується. Тому необхідно використовувати додаткові технічні і програмні засоби. Серед ефективних програмних засобів можна відзначити утиліту Diskreet, яка входить в комплект програм Norton Utilities і забезпечує захист паролем доступ до логічних дисків або окремих файлів.
Операційна система Windows XP має вмонтовавані засоби захисту даних від несанкціонованого доступу. До них відносяться:
захист паролем входу в систему;
організація системи для роботи декількох користувачів;
захист паролем зберігача екрана.
Використання автономних програмних засобів (Norton Utilities, McAfee Office (PGP Security) тощо) дозволяє підвищити ефективність і ступінь захисту даних від несанкціонованого доступу.
Комп’ютерні віруси
Поняття "комп’ютерного вірусу"
Назву "віруси" програми одержали завдяки тому, що багато їх властивостей подібні до властивостей природних вірусів.
Під комп’ютерним вірусом розуміють програму, яка створена для того, щоб зашкодити нормальній роботі обчислювальної системи та її складових. Така програма складається з коду, що виконується, та здатна до самовідтворення і впровадження своїх клонів в оперативну пам’ять, системні області, Boot-сектор, драйвери, файли, мережу, тощо. Як правило, комп’ютерний вірус виконує шкідливі чи небажані дії або деструктивні функції руйнівного характеру (заміна, знищення частини або всього файла, форматування диска, руйнація таблиці розміщення файлів (FAT), зменшення обсягу вільного дискового простору, псування даних, блокування роботи системи, перезавантаження комп’ютера в довільний момент роботи тощо) або проявляється у вигляді різноманітних завад (виведенні на екран дисплея інформації, що ускладнює читання повідомлень програм, програванні мелодії або демонструванні різноманітних відеоефектів). Способи проникнення вірусу в програму різні для кожного типу операційних систем.
Теоретична база, що є основою "вірусної" технології започаткована в 40-х роках нинішнього сторіччя, коли проводилися перші дослідження штучних систем, здатних до самовідтворення. Ця проблема розглядалася в роботах Н. Вінера, Дж. фон Неймана, Г. Джекобсона, Дж. Майхилла та інших, в яких досліджуються фундаментальні принципи, наводяться означення, проводиться математичний аналіз скінчених автоматів, у тому числі й таких, що
здатні до самовідтворення.
Термін "комп’ютерний вірус" з’явився набагато пізніше. Вважається, що його вперше використав співробітник Лехайського університету (США) Ф. Коен на 7-й конференції з безпеки інформації, яка відбувалася у США у 1984 році. Проте строгого визначення поняття "комп’ютерний вірус" немає і дотепер, незважаючи на те, що такі спроби здійснювалися неодноразово.
Класифікація комп’ютерних вірусів
Комп’ютерні віруси поділяють на класи за наступними головними ознаками:
За середовищем існування віруси поділяють на:
файлові
До файлових вірусів відносять віруси, що у процесі своєї діяльності певним чином використовують файлову систему різних операційних систем. Даний тип є найбільше поширеним.
Віруси цього типу можуть різноманітними способами інфікувати програмні файли, створювати файли-двійники, використовувати особливості організації файлової системи. Впровадження файлового вірусу можливо практично в усі файли, що виконуються в середовищі поширених операційних систем: Windows 95, Windows 98, Windows NT, Windows XP, OS/2, UNIX, Macintosh.
Файлові віруси можуть проникати у:
файли з компонентами операційної системи, у тому числі системні файли стандартної MS-DOS:
io.sys, msdos.sys, command.com;
драйвери зовнішніх пристроїв: *.sys, *.bin;
двійкові файли, що виконуються: *.com, *.exe;
файли з програмами, що написані мовами програмування: *.asm, *.pas,*.bas, тощо;
командні пакетні файли *.bat (вірус підключає до такого файла com- або ехе-програму, попередньо її інфікувавши);
об’єктні файли *.obj;
динамічні бібліотеки *.dll;
об’єктні бібліотеки *.lib.
Не виключена можливість запису вірусу у файли даних.
завантажувальні
При звертанні до дискети або компакт-диска керування одержує програма з Boot-сектора, що аналізує таблицю параметрів диска (BPB – BIOS Parameter Block), обчислює адреси системних файлів операційної системи, зчитує їх у пам’ять і запускає на виконання. Якщо на завантажувальному диску відсутні файли операційної системи (системними файлами операційної системи MS-DOS є msdos.sys і io.sys, або інші в залежності від встановленої версії DOS, Windows чи інших операційних систем), програма, розташована в Boot-секторі диска видає повідомлення про помилку і пропонує замінити завантажувальний диск.
При звертанні до жорсткого диска керування передається програмі, яка розташована в MBR жорсткого диска. Ця програма аналізує таблицю поділу диска (Disk Partition Table), обчислює адреси активного Boot-сектора (як правило, цим сектором є Boot-сектор диска C:), завантажує його в пам’ять і передає йому керування. Отримавши керування, активний Boot-сектор жорсткого диска виконує ті ж дії, що і Boot-сектор дискети.
Завантажувальні віруси впроваджуються або в завантажувальний сектор диска (Boot-сектор), або в сектор системного завантажувача жорсткого диска (MBR – Master Boot Record). Віруси цього типу отримують керування в процесі завантаження системи, виконують запрограмовані в ньому дії, а потім передають керування операційній системі.
При зараженні дисків завантажувальні віруси записують свій код замість програми, що одержує керування при завантаженні системи. Отже, принцип дії завантажувальних вірусів полягає в тому, що при запуску системи в пам’ять зчитується і передається
керування не оригінальному коду завантажувача, а коду вірусу.
файлово-завантажувальні (комбіновані)
Віруси цього типу відрізняються від завантажувальних тим, що вони поширюються як через завантажувальні сектори, так і через файли.
макровіруси
Це програми, що написані макромовами, які, в свою чергу, вмонтовані в системи обробки даних (текстові, електронні процесори, тощо). Для свого розмноження такі віруси використовують можливості макромов і за їх допомогою впроваджуються з одного інфікованого файла (документа або таблиці) в інші. Найбільше поширення одержали макровіруси для Microsoft Word, Excel та інших офісних додатків різних версій.
Ця група вірусів достатньо специфічна. Так, більшість відомих вірусів для Word несумісні з локалізованими версіями або навпаки – розраховані тільки на певні версії Word. Проте, знаходячись у документі, вірус залишається активним і може заражувати інші комп’ютери, що мають відповідну версію.
Серед найбільш поширених макровірусів можна відзначити:
Concept. Уражує документи Microsoft Word: записується в шаблон Normal.dot і виводить на екран вікно з числом 1; інфікує всі файли, що збережені у форматі документа Microsoft Word (*.doc).
Cap. Уражує документи Microsoft Word: знищує всі наявні макрокоманди і замінює їх власними. Діє протягом всього сеансу роботи в середовищі Microsoft Word.
Wazzu. Уражує команду Auto Open. Ушкоджує кожний документ, що відкривається Microsoft Word: переставляє в ньому декілька слів і вставляє в довільне місце слово Wazzu.
Npad. Уражує файл Normal.dot. Кожний двадцять третій раз при відкритті документа Word виводить повідомлення:
DOEUNPAD94, v. 2.21.
Mdma. Діє першого числа наступного після зараження місяця. Шкідливі дії залежать від операційної системи:
у середовищі Windows 3.х і MS-DOS модифікує файл автозапуску Autoexec.bat таким чином, що при наступному перезавантаженні знищуються всі файли з жорсткого диска;
у середовищі Windows XP змінює параметри спеціальних можливостей, режим входу до мережі, знищує всі довідкові та деякі системні файли операційної системи.
мережеві
Мережеві віруси використовують для свого поширення протоколи або команди локальних та глобальних комп’ютерних мереж, електронної пошти.
Головним принципом роботи мережевого вірусу є можливість самостійно передати свій код на віддалений сервер або робочу станцію. Деякі мережеві віруси здатні запустити на виконання свій код на віддаленому комп’ютері.
Швидкість поширення вірусів такого типу найвища. Розповсюджуючись від станції до станції, вони проникають в інші мережі і за досить короткий проміжок часу можуть інфікувати тисячі комп’ютерів.
Наступний рівень поділу – об’єкти операційної системи, що інфікуються.
Файлові або мережеві віруси інфікують файли однієї або декількох операційних систем – MS-DOS, Windows 95, Windows 98, Windows NT, Windows XP, OS/2, UNIX. Макровіруси інфікують файли форматів Microsoft Office. Завантажувальні віруси також орієнтовані на конкретні формати розташування системних даних у завантажувальних секторах дисків.
До особливостей алгоритму роботи вірусів відносять:
резидентність
Резидентні віруси – це віруси, що залишають свої копії в оперативній пам’яті. Отже, резидентні віруси активні не лише в момент роботи інфікованої програми, але і після того, як програма закінчила свою роботу. Резидентні копії таких вірусів зберігають свою активність аж до чергового перезавантаження операційної системи. Досить часто від таких вірусів неможливо позбутися шляхом відновлення файлів за їх копіями, наприклад, з
дистрибутивних дисків або backup-копій. Резидентна копія вірусу залишається активною і здатна інфікувати знову файли, що відновлюються. Аналогічно діють і завантажувальні віруси. Так, радикальним засобом лікування диска від вірусів є форматування. Але при наявності в пам’яті резидентного вірусу форматування не завжди виліковує диск, оскільки резидентний вірус може інфікувати диск повторно.
Резидентними можна вважати макровіруси, оскільки вони знаходяться в пам’яті комп’ютера протягом всього сеансу роботи інфікованого текстового або табличного процесора. При цьому роль операційної системи виконує власне сам процесор, а процес перезавантаження трактується як вихід з середовища процесора.
Зауваження. У багагозадачних операційних системах час діяльності резидентного DOS-вірусу може обмежуватися тривалістю сеансу DOS.
нерезидентність
Нерезидентні віруси починають активну діяльність тільки в момент запуску інфікованої програми. Для свого поширення вони відшукують на диску незаражені файли і впроваджуються в них. Після того, як код вірусу передає керування інфікованій програмі, вірус не впливає на роботу операційної системи аж до чергового запуску іншої інфікованої програми. Тому файли, що інфіковані нерезидентними вірусами значно простіше видалити з диска і при цьому не дозволити вірусу заразити їх повторно.
Деякі віруси залишають в оперативній пам’яті невеликі резидентні програми, що не поширюють вірус. Такі віруси вважаються нерезидентними.
стелс-алгоритми
Алгоритми такого типу передбачають заходи для маскування наявності вірусів в інфікованій програмі або в оперативній пам’яті. Найбільш поширеним стелс-алгоритмом є перехоплення запитів операційної системи на зчитування/запис інфікованих об’єктів. Наприклад, вірус може видалити своє тіло з інфікованого файла при зчитуванні його з диска або замість реальної довжини файла, що збільшена внаслідок впровадження вірусу в цей файл, видати початкову довжину файла.
cамошифрування і поліморфність
використовуються всіма типами вірусів з метою максимального ускладнення процедури виявлення вірусу.
Більша частина основного коду вірусу, що самошифрується, зашифрована і розшифровується лише перед початком його виконання.
Поліморфність полягає в тому, що вірус не містить жодної постійної ділянки коду. В більшості випадків два зразки того ж самого вірусу даного типу не мають жодного співпадання. Це досягається шифруванням головного тіла вірусу і модифікаціями програми, що його розшифровує. Тому віруси такого типу достатньо важко виявити.
нестандартні прийоми
Використовуються для створення вірусів з метою приховати тіло вірусу в ядрі операційної системи, захистити від виявлення резидентну копію, ускладнити лікування тощо.
Деструктивні функції, що виконуються вірусами дуже різноманітні. Їх можна поділити на:
нешкідливі, що не впливають на роботу комп’ютера, (крім, можливо, зменшення вільного обсягу диска в результаті свого поширення);
безпечні, вплив яких зводиться до зменшення обсягів вільної пам’яті на диску і різноманітних графічних та звукових ефектів;
небезпечні, що можуть призвести до серйозних збоїв у роботі системи;
дуже небезпечні, що можуть призвести до втрати програм, знищення даних та необхідної для роботи комп’ютера інформації, записаної в системних областях.
Існує цілий клас програм, що завдають шкоду користувачам, але від вірусів відрізняються способом поширення. До таких програм належать "троянські" програми і програми-реплікатори (комп’ютерні "хробаки").
Термін "троянська" програма був започаткований у 1985 році,
коли Том Нельф (Tom Nelf) створив список програм під назвою "Брудна дюжина" ("The Dirty Dozen"). В цьому списку були зазначені відомі на момент упорядкування шкідливі програми. Замасковані, як правило, під комерційні продукти ці програми при запуску виконували певну деструктивну дію паралельно з виведенням на екран тематичних повідомлень, характерних для даної програми. Наприклад, одна з наведених у списку програм псувала FAT, виводячи на екран картинки, інша робила форматування жорсткого диска відразу ж після запуску. На відміну від вірусів, "троянскі" програми не можуть розмножуватися і впроваджуватися в інші програмні продукти. Найпростіші "троянські" програми виконують руйнівні дії при кожному запуску їх на виконання. Більш досконалі з них діють аналогічно вірусам, наприклад, при настанні конкретної події або певного моменту часу.
Поняття комп’ютерний "хробак" вперше стало вживатися після виявлення в деяких комп’ютерних мережах сторонніх ділянок коду, що розмножувалися по всій мережі, інколи навіть проникали в іншу мережу і приносили ледь відчутну шкоду, що полягала у зменшенні пропускної здатності мережі, уповільненні роботи деяких серверів, тощо. Ці ділянки коду інтенсивно розмножувалися, але не інфікували файли, і були названі комп’ютерними "хробаками".
"Хробаки" приносили відчутну шкоду комп’ютерним мережам. Для їхньої локалізації і знешкодження доводилося навіть зупиняти на деякий час ділянки мережі, що спричиняло відчутні збитки. Перші комп’ютерні "хробаки" не поширювалися за межі даної комп’ютерної мережі, хоча в останні час в зв’язку з прогресом в області технологій, дана проблема, на жаль, уже вирішена.
Програми-реплікатори безпосередньо руйнівних дій не виконують, але вони можуть автономно розмножуватися і містити в собі віруси.
Способи прояву комп’ютерних вірусів
Дії вірусів можуть виявлятися наступним чином:
значно сповільнюється робота обчислювальної системи;
зменшується обсяг доступної оперативної пам’яті;
з’являються збої в роботі операційної системи, можливе її зависання або відмова;
змінюються розміри, зміст та кількість файлів;
на екрані дисплея з’являються незвичні повідомлення та різноманітні ефекти;
здійснюється звернення до дисковода в той час, коли на диск нічого не повинно записуватися або зчитуватися з нього;
здійснюється несанкціоноване форматування диска;
незвично функціонує клавіатура;
спотворюються дані в CMOS-пам’яті.
Шляхи поширення вірусів
Шляхи проникнення вірусу в комп’ютер і комп’ютерну мережу дуже різноманітні.
Глобальні мережі. Головним джерелом вірусів сьогодні є глобальні мережі,зокрема – Internet.
Електронна пошта. Найбільше число заражень вірусом відбувається при обміні листами у форматах Microsoft Word, інших додатків Microsoft Office. Користувач інфікованого макровірусом процесора розсилає заражені листи адресатам, які в свою чергу відправляють нові заражені листи і так далі.
Електронні конференції, сервери ftp і BBS. Електронні конференції і файл-сервери спільного користування є одним із головних джерел поширення вірусів. При цьому заражені файли поширюються автором вірусу на декілька серверів або передааються по декількох конференціях одночасно. Ці файли маскуються під нові версії якогось програмного продукту. В такій ситуації ураженими практично одночасно можуть виявитися тисячі комп’ютерів.
Локальні мережі. Якщо заражена робоча станція, то при вході в мережу вона заражає один або декілька службових файлів на сервері. В свою чергу, користувачі запускають заражені файли із сервера і вірус поширюється на комп’ютери користувачів.
Нелегальні копії програмного забезпечення. Досить часто піратські копії програмних продуктів на дискетах і навіть на CD-дисках
містять файли, що заражені найрізноманітнішими типами вірусів.
Персональні комп’ютери спільного користування являють собою реальне джерело поширення вірусів. Особливо швидко поширюються віруси на комп’ютерах, встановлених в навчальних закладах. Якщо один із користувачів приніс на своїх дискетах вірус і інфікував якийсь із комп’ютерів, то будуть інфіковані і дискети всіх інших користувачів, що працюють на цьому комп’ютері. Те ж стосується і домашніх комп’ютерів, якщо на них працює більше, ніж один користувач.
Ремонтні служби. Існує достатньо висока ймовірність інфікування вірусом комп’ютера при ремонті або профілактичному огляді деякими сервісними службами.