Виды угроз современным информационным системам

 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 

2. Вредоносное программное обеспечение

    Класс программ, предназначенных для выполнения различных несанкционированных пользователем действий, иногда направленных на причинение ущерба (уничтожение или повреждение данных, замедление работы и т. д.), называется вредоносным ПО.

    Существуют  следующие основные виды вредоносного ПО:

• троянские кони (Trojan horse);
• вирусы (virus);
• черви (worm).

    Троянские кони (троянские программы) — программы, содержащие скрытый модуль, не связанный с их основным назначением и осуществляющий несанкционированные действия. Примером может служить история, которая произошла в декабре 1989 г. Злоумышленник разослал 20 тыс. дискет, содержащих бесплатную систему с базой данных о заболевании СПИДом в различные организации ряда стран. После ее записи на винчестер пользователя вся информация винчестера была перекодирована, а на экране появлялось требование перечислить сумму в 378 долл. для получения программы восстановления информации.

    Вирусы — наиболее распространенный и опасный вид вредоносного ПО. Это программа, способная к саморазмножению (т. е. воспроизведению своих копий) и распространению (заражению) на различные запоминающие устройства. Программу вируса нельзя обнаружить в списке файлов, т. к. она внедряется в чужие файлы и всячески маскирует свое пребывание там. Как правило, вирус после активизации остается в памяти компьютера и продолжает работу до конца компьютерного сеанса (резидентный).[5]

    Компьютерные  вирусы могут не только присоединяться к другим программам, но и записываться на дискету или жесткий диск и  выполняться в момент запуска  программы носителя или загрузки операционной системы с зараженного диска.

    Вирусы  могут самостоятельно распространяться и быстро поражать значительное количество программ на огромном количестве компьютеров. Для этого им не требуется разрешение пользователей рабочих станций, которые могут даже не подозревать о вирусах. Вирусы могут содержать инструкции о выполнении разрушительных или же безвредных действий, мешающих, тем не менее, работе. Вирусы представляют собой серьезную проблему, т. к. снабжены кодом, способным нанести вред, а также могут самостоятельно распространяться.

    Вирусы  нельзя назвать таинственным явлением. Это всего лишь компьютерные программы, которые могут выполнять такие  же действия, что и все прочие программы. Однако, в отличие от большинства  других программ, они обладают способностью к саморазмножению.

    Программа-вирус  функционирует в два этапа.

    Первый  этап — размножение вируса. На этом этапе программный код вируса воспроизводится и внедряется в различные места вашей компьютерной системы. Куда конкретно — зависит от типа вируса. Например: в выполняемые файлы (СОМ, ЕХЕ, SYS и др.), в загрузочный сектор дискеты, в таблицу разделов жесткого диска, в сектора, обозначенные как поврежденные, на дополнительные дорожки, во временно свободные секторы корневого каталога и т. п. Некоторые вирусы живут и размножаются в операционной системе, другие — в зараженных программах.

    Второй  этап, который можно назвать активной фазой, характеризуется активными действиями вируса, направленными либо на разрушение вашей компьютерной системы, либо на выполнение каких-то безвредных, с точки зрения его автора, действий. Например, вирус может: уничтожить файлы, отформатировать диск, уничтожить случайно выбранные сектора, исказить выводимую на экран компьютера информацию, отображать сообщения, шифровать дату на жестком диске, останавливать работу персонального компьютера и тому подобное. А могут вывести на экран портрет президента, исполнить Гимн Советского Союза или США.

    Некоторые вирусы вообще не имеют каких-либо очевидных  симптомов, они только распространяются. Если вы считаете, что ничего страшного в этом нет, то рискуете полностью забить ваш гигабайтный винчестер копиями вируса и сетовать на нехватку дискового пространства.

    Вирус далеко не всегда можно обнаружить по каким-либо аномальным явлениям. Самым надежным способом выявления вирусов является применение эффективных антивирусных программных средств.[4]

    Как уже говорилось, к сожалению (или  к счастью?), при распространении  вирусов часто полностью отсутствуют  какие-либо очевидные симптомы. Проникая в операционную систему на рабочей  станции, вирус может выполнить  любые инструкции, выбранные его  создателем. Эти инструкции могут предусматривать активизацию вируса после какого-либо события (например, после определенного количества выполнении); в соответствии с определенным временем (до наступления определенной даты, например в пятницу, 13 числа или 1 апреля) или же в любое произвольное время.

    Создатель вируса не всегда включает в него инструкции, вызывающие очевидный вред или оказывающие  разрушительное действие. Наносимый  вирусом вред может быть обусловлен его тиражированием, что вызывает дефицит ресурсов, например, памяти на жестком диске, времени CPU или же сетевых соединений.

    Появление вирусов связано с развитием  теории самовоспроизводящихся систем. Первые работы в этой области принадлежат  Джону фон Нейману.

    Различают файловые вирусы, которые заражают отдельные программы, и бутовые (загрузочные), заражающие жесткие и гибкие диски. Для активации вируса необходим запуск зараженной программы или загрузка с зараженного диска, после этого дальнейшее заражение может происходить при любых операциях с файлами.

Среди современных вирусов встречаются:

• стелс-вирусы (stealth), способные скрыть от пользователя внешние проявления своей деятельности. Stealth-вирусы нельзя обнаружить, просто просматривая файлы на диске. Авторы этих вирусов применяют весьма разнообразные способы маскировки. Допустим, просматривая файл, зараженный вирусом в текстовом редакторе, вы не обнаружите и намека на заражение — вирус определяет, что вы просматриваете файл, и удаляет себя из него. Закрываете файл — вирус опять на месте;
• полиморфные или мутирующие (polymorph) вирусы, изменяющие свои копии для затруднения их поиска. Вирусы-мутанты содержат в себе алгоритмы шифровки-расшифровки. Внедряя свою копию в программу, такой вирус шифрует свой программный код, поэтому два экземпляра такого вируса, заразившие два разных файла, не имеют ни одного повторяющегося участка кода;
• макро вирусы, заражающие не только программы, но и некоторые документы.

С момента  заражения вирусом до момента  проявления его действия может пройти довольно много времени. Многие вирусы начинают действовать после наступления определенного события.

Черви — разновидность вирусов, предназначенных для распространения в компьютерных сетях. Иногда применяются в целях шпионажа. Использование сетей в значительной степени способствует массовому заражению программ пользователей. Например, в 1988 г. вирус Морриса, аспиранта факультета информатики Корнеллского университета, инфицировал около 6000 компьютеров и 70 компьютерных систем (в том числе ядерной лаборатории) — важнейшие компьютерные сети восточного и западного побережья США. Потери были несущественны (только рабочее время).[1]

Рассмотрим  подробнее компьютерные вирусы.

Компьютерный  вирусы - это класс программ способных к саморазмножению и самомодификации в работающей вычислительной среде и вызывающих нежелательные для пользователей действия. Действия могут выражаться в нарушении работы программ, выводе на экран посторонних сообщений или изображений, порче записей, файлов, дисков, замедлении работы ЭВМ и др.

Первые  случаи массового заражения компьютерными вирусами  отмечены  в  1987 году - "Пакистанский вирус",  создан братьями Амджатом и Базитом Алви.  Они решили наказать американцев, покупавших дешевые нелицензионные копии ПО в Пакистане.  Они заразили такие копии вирусом и продавали их.  В результате 18000 ПЭВМ в США были заражены им.

В 1989 г. вирус, написанный американским студентом  Моррисом, заразил  и  вывел из строя 6000 компьютеров в США,  в том числе в Министерстве обороны США. Моррис был приговорен к 3-м месяцам тюрьмы и штрафу в 270000 $.

Классификация  компьютерных   вирусов.

Рисунок 1 «Классификационные признаки компьютерных вирусов»

По  среде обитания вируса:

• сетевые - распространяются в компьютерных сетях;
• файловые - внедряются  в  файлы  программ  (чаще всего *.com и *.exe). Заражение происходит при запуске таких программ.
• загрузочные -  заражают компоненты системной области диска или дискеты,  используемые при загрузке DOS. Заражение происходит при загрузке ПЭВМ с таких дискет.

По  способу заражения (активизации):

• Нерезидентные  вирусы -   активизация  вируса происходит после запуска инфицированной программы.   Программа - вирус исполняется 1 раз и  осуществляет  свои вредные действия.  Нерезидентные  вирусы  не заражают память компьютера и являются активными в течении ограниченного времени.            
• Резидентный вирус - при инфицировании ПЭВМ оставляет  в оперативной памяти свою резидентную часть, которая затем перехватывает обращение DOS к другим программам и внедряется в них.  Резидентные вирусы находятся в памяти и являются активными вплоть до выключения или перезагрузки ПЭВМ.      По сравнению с нерезидентными - эти вирусы более опасны и их труднее обнаружить антивирусными средствами.

  Основные  деструктивные действия вирусов:

 влияние на работы ПЭВМ (звуковые, видео-эффекты)

• искажение файлов программ
• форматирование диска или его части  
• замена информации на диске или его части
• искажение  информации,  хранящейся в системной части диска
• разрушение связанности частей файла в FAT  
• искажение данных в системных установках самого компьютера (например: нарушение работы часов).

 

 По особенностям алгоритма:

• Вирусы-спутники - это вирусы, не изменяющие файлы. Они создают для exe-файлов файлы-спутники, имеющие такое же имя ,но с расширением  .com . При запуске такого файла DOS первым обнаружит и выполнит .com файл, т.е. вирус, который затем запустит и exe-файл.
• Вирусы-черви - вирусы, которые распространяются в компьютерной сети. Они проникают в память компьютера из сети, вычисляют сетевые адреса других компьютеров и рассылают по этим адресам свои копии. В результате уменьшается пропускная способность сети, замедляется работа серверов .
• Вирусы-паразиты - при распространении своих копий обязательно изменяют содержание дисковых секторов и файлов
• Стелс-вирусы (невидимки) - Stealth перехватывают обращение DOS к пораженным  файлам или секторам дисков и подставляют вместо себя незараженные участки информации.
• Вирусы-призраки (полиморфные)- трудно обнаруживаемые вирусы, не содержащие ни одного постоянного участка кода. В большинстве случаев два образца одного и того же вируса могут не иметь ни одного совпадения. Это достигается шифрованием основного тела вируса и модификациями программы расшифровщика.
• Мacro-вирусы используют возможности макро-языков, встроенных в различные системы обработки информации (текстовые редакторы, электронные таблицы). Распространены в системах MS Word и Excel. Вирусы захватывают управление при открытии или закрытии зараженного файла, перехватывают некоторые файловые функции и затем заражают файлы, к которым происходит обращение. Вирусы можно назвать "резидентными", так как они активны только в своей среде - соответствующем приложении. Особенность - быстрое распространение по сети.