Информационная безопасность. Вредоносное программное обеспечение. Вирусы, шпионское программное обеспечение, руткиты

Сетевые вирусы:

К сетевым относятся вирусы, которые для своего распространения активно используют протоколы и возможности локальных и глобальных сетей. Основным принципом работы сетевого вируса является возможность самостоятельно передать свой код на удаленный сервер или рабочую станцию. "Полноценные" сетевые вирусы при этом обладают еще и возможностью запустить на выполнение свой код на удаленном компьютере или, по крайней мере, "подтолкнуть" пользователя к запуску зараженного файла.

Способы противодействия компьютерным вирусам  можно разделить на несколько  групп:

1. профилактика вирусного заражения и уменьшение предполагаемого ущерба от такого заражения;
2. методика использования антивирусных программ, в том числе обезвреживание и удаление известного вируса;
3. способы обнаружения и удаления неизвестного вируса.

Oдним из oбщeпpинятыx мeтoдoв профилактики заболеваний ПК являeтcя иcпoльзoвaниe пpoгpaмм, кoтopыe тщaтeльнo oбcлeдyют диcки, пьrтaяcь oбнapyжить и oбeзвpeдить виpycы. Boзмoжнo тaкжe иcпoльзoвaниe peзидeнтньrx пpoгpaмм DOS, пocтoяннo пpoвepяющиx вaшy cиcтeмy на виpycы. Peзидeнтныe пpoгpaммы имеют cлeдyющee пpeимyщecтвo: oни пpoвepяют вce пpoгpaммы нa виpycы при кaждoм иx вьшoлнeнии. Peзидeнтныe пpoгpaммы должны быть oчeнь тщaтeльнo paзpaбoтaны, т.к. инaчe oни бyдyт зaдepживaть зaгpyзкy и выпoлнeниe пpoгpaмм. Hepeзидeнтныe пpoгpaммы эффeктивны пpи нeoбxoдимocти oднoвpeмeннoгo oбcлeдoвaния вceй cиcтeмы нa виpycы и иx oбeзвpeживaния. Oни пpeдcтaвляют coбoй cpeдcтвo, дoпoлняющee peзидeнтныe пporpaммы.

Компьютерные  вирусы – это одна из основных проблем  связанных с компьютером, поэтому нужно пoмнить o нeoбxoдимocти peгyляpнoгo выпoлнeния aнтивиpycнoй пpoгpaммы. K coжaлeнию, кaк пoкaзывaeт oпыт, oб этoм чacтo зaбывaют. Пpeнeбpeжeниe пpoфилaктичecкими пpoвepкaми кoмпьютepa yвeличивaет pиcк инфициpoвaния нe тoлькo одной кoмпьютepнoй cиcтeмы, нo и pacпpocтpaнeния виpyca нa дpyгиe кoмпьютepы.

2.3 Шпионское программное обеспечение

 

Шпионским ПО называют любую программу, файлы  Cookie или записи реестра, которые тайно собирают информацию о вашей деятельности в Интернете. Такие программы используются для передачи этих данных компаниям, использующим их в рекламных целях. Однако по данным Коалиции по борьбе со шпионским ПО (Anti-spyware Coalition) шпионское ПО становится все более вредоносным и все чаще используется для кражи данных с помощью методов, которые сложно обнаружить. Многие люди считают, что шпионское ПО нарушает неприкосновенность личной жизни.

Откуда  же берется шпионское ПО? Распространители шпионского ПО часто добавляют его в пакет с другим программным обеспечением. Как правило, оно загружается в комплекте с условно-бесплатными программами или файлами из систем совместного доступа, таких как Kazaa, Limewire или Morpheus, а также с веб-сайтов с экранными заставками, виджетами и содержимым "для взрослых". Для распространения нежелательных программ также используются слабые места систем безопасности и мошеннические приемы.

Многие  люди считают, что шпионское ПО нарушает неприкосновенность личной жизни. Помимо этого, шпионское ПО является раздражающей помехой для пользователя. Такие программы устанавливаются без ведома пользователя, наносят значительный урон системе безопасности и самостоятельно восстанавливаются после удаления. Кроме потенциального вреда компьютерной системе, они являются источником навязчивых всплывающих окон, отображают оскорбительные материалы, замедляют работу компьютера и конфликтуют с другими программами. Чрезмерное количество шпионского ПО на компьютере приводит к регулярным сбоям и зависаниям.

Лучший  способ защитить себя от шпионского ПО при работе с Интернетом – предупредительные  меры. Своевременно узнавайте о новых угрозах и используйте безопасные методы работы с Интернетом:

• Выполните чистку компьютера с помощью антивирусных программ и программ для защиты от шпионского ПО.
• Своевременно устанавливайте новейшие исправления средств защиты браузера и операционной системы.
• По возможности активируйте функцию автоматического обновления программного обеспечения.
• Установите более высокий уровень безопасности и конфиденциальности браузера.
• Не загружайте файлы из Интернета необдуманно и будьте предельно осторожны при использовании одноранговых сетей.
• Не щелкайте всплывающую рекламу. Если вы это сделаете, рекламные окна начнут размножаться.
• С помощью средства проверки репутации, расположенного в верхней части страниц, ознакомьтесь с оценочной картой репутации того или иного веб-сайта.

Шпионское ПО, как правило, разрабатывается  компаниями, которые пытаются заработать различными незаконными способами. В этом случае, они собирают информацию о пользователях для того, чтобы определить их пристрастия и предпочтения. Затем эта информация используется этими компаниями для собственных нужд или для продажи третьим лицам.

2.4 Руткиты

 

Руткиты вовсе не новое явление, поскольку их появление связывают еще с UNIX-платформами. Однако, за последние годы этот вид вредоносного ПО стал всё чаще использоваться для маскировки вредоносных кодов в зараженных компьютерах.

Руткит (от англ. root kit, то есть "набор root'а") — программа или набор программ для скрытия следов присутствия злоумышленника или вредоносной программы в системе. Термин Rootkit исторически пришёл из мира UNIX, и под этим термином понимается набор утилит или специальный модуль ядра, которые взломщик устанавливает на взломанной им компьютерной системе сразу после получения прав суперпользователя. Этот набор, как правило, включает в себя разнообразные утилиты для "заметания следов" вторжения в систему, сниферы, сканеры, кейлоггеры, троянские программы, замещающие основные утилиты UNIX (в случае неядерного руткита). Rootkit позволяет взломщику закрепиться во взломанной системе и скрыть следы своей деятельности путём сокрытия файлов, процессов, а также самого присутствия руткита в системе.

Руткиты можно классифицировать в соответствии со следующими характеристиками:

Постоянство существования:

- Постоянный руткит активируется при каждом запуске системы. Для этого ему необходимо хранить свой код внутри компьютера, а также нужен способ для автоматического самозапуска.

- С другой  стороны, непостоянный руткит не способен автоматически перезапускаться после перезагрузки системы.

Способ  выполнения руткита:

- Режим  пользователя: данный вид руткита перехватывает системные запросы и фильтрует информацию, возвращаемую API (Application Programming Interface). Наиболее известный руткит, принадлежащий к данном увиду, это Hacker Defender.

- Режим  ядра (ядро операционной системы): такие руткиты модицируют структуру данных ядра, а также перехватывают собственный API ядра. Это наиболее надежный и действенный способ перехвата системы.

Война против руткитов – это настоящая вооруженная борьба, в рамках которой создатели руткитов разрабатывают новые способы для того, чтобы оставаться незамеченными, а антивирусные компании предпринимают ответные меры для того, чтобы защитить своих клиентов.

Для обнаружения  руткитов в системе можно использовать следующие технологии:

• Сигнатурное обнаружение: действенная технология, которая успешно применяестя антивирусными компаниями уже на протяжении многих лет. Данная технология основана на сканировании файлов и их сравнении с коллекцией сигнатур известного вредоносного ПО
• Эвристическое или поведенческое обнаружение: идентифицирует руткиты путем распознавания любых отклонений в нормальной деятельности компьютера.
• Обнаружение по сравнению: Результаты, возвращенные операционной системой, сравниваются с результатами, полученными посредством низкоуровневых запросов – наличие каких-либо различий свидетельствует о присутствии в системе руткита.
• Обнаружение на основе целостности: отпределяет наличие руткита путем сравнения файлов и памяти с надежным тестовым статусом.

Каждая  из перечисленных технологий имеет  свои ограничения, поэтому рекомендуется  сочетать различные технологии. Также  необходимо учесть, что некоторые  их этих руткитов специально разработаны для того, чтобы не быть обнаруженными лидирующими на рынке антивирусными компаниями.

Глава3. Эшелонированная антивирусная защита

1. Понятие эшелонираванная защита, её применение и реализация

 

Понятие «эшелонированная защита»  давно закрепилось в практике построения оборонительных редутов  в военном деле. Довольно быстро данное понятие прижилось и в  тематике обеспечения информационной безопасности. Важно понимать, что  многие годы под «эшелоном» понимали многоуровневую защиту сети с формированием  механизмов защиты зоны доступа, демилитаризованной зоны, ядра и прикладных сегментов  сети. С некоторых пор данный подход стали применять при реализации защиты приложений. Вот почему при  построении эффективной антивирусной (и не только) защиты следует руководствоваться  многоуровневым подходом: совокупность применения разнотипных техник дает хороший результат по фильтрации вредоносного ПО.

Что дает применение эшелонированной защиты

Любая организация подвергается риску компрометации и утечки данных, потери работоспособности ключевых узлов корпоративной информационной системы вследствие деятельности вредоносных  программ. Одним из основных вопросов обеспечения безопасности информации является создание системы эшелонированной  антивирусной защиты. Существует большое  количество разновидностей вредоносных  программ: вирусы, троянские программы, сетевые черви, логические бомбы, которые, попадая в информационную систему  предприятия, способны вызвать следующие  угрозы:

• неавторизованный доступ к конфиденциальной информации, то есть ее уничтожение, изменение (включая  намеренное искажение информации в  корыстных целях), передачу (отсылку, то есть организацию утечки информации, в том числе конфиденциальной/секретной);

• нештатное поведение  программного и аппаратного обеспечения  — сбои и/или замедление работы компьютерных систем, зависания элементов систем и т. п.;

• использование вычислительных, дисковых и прочих ресурсов систем в чужих интересах и/или в  ущерб интересам владельца ресурсов. Применение эшелонированной защиты позволит достичь:

• высокой управляемости (помогает также снизить показатель ТСО);

• высокой масштабируемости (как следствие возможности кластеризации);

• высокой надежности и  отказоустойчивости (резервирование и  балансировка нагрузки);

• высокой доступности (доступ к ресурсам и инфраструктуре из любой  точки мира);

• максимального уровня защищенности.

Реализация эшелонированной антивирусной защиты

Цель эшелонированной  защиты состоит в фильтрации вредоносного ПО на уровне подключения, приложений и хоста. Подробная реализация механизма защиты на каждом из уровней.

Уровень подключения

Корпоративная сеть как минимум  состоит из уровня подключения и  ядра. На уровне подключения у многих организаций установлены средства межсетевого экранирования, системы  обнаружения и предотвращения вторжений (IDS/IPS/IDP) и средства защиты от атак типа отказа в обслуживании. На базе данных решений реализуется первый уровень  защиты от проникновения вредоносного ПО. Межсетевые экраны и средства IDS/IPS/IDP «из коробки» обладают встроенным функционалом инспекции на уровне протокол-агентов. Более того, стандартом де-факто для UTM решений является встроенный антивирус, который проверяет входящий/исходящий трафик. Наличие поточных антивирусов в межсетевых экранах также становится нормой. Подобные опции появляются все чаще в новых версиях хорошо известных всем продуктов. Однако же многие пользователи забывают про встроенные функции сетевого оборудования, но, как правило, их активация не требует дополнительных затрат на покупку опций расширения.

Таким образом, оптимальное  применение встроенных функций безопасности сетевого оборудования и активация  дополнительных опций антивирусного  контроля на межсетевых экранах позволит создать первый уровень эшелонированной  защиты.

Уровень защиты приложений

К уровню защиты приложений можно отнести как шлюзовые решения  по антивирусной проверке, так и  средства безопасности, изначально направленные на решение не антивирусных задач. Такие решения представлены на рынке и сертифицированы по требованиям ФСТЭК. Данные продукты не требуют серьезных затрат при внедрении и не привязаны к типам проверяемого контента, а потому могут использоваться в организациях любого масштаба.

Решения, основной функцией которых не является антивирусная проверка, также могут выступать в роли второго уровня фильтрации вредоносного ПО. Примером служат широко распространенные шлюзовые решения по фильтрации спама и защите веб-сервисов — URL-фильтрации, Web Application Firewall, средства балансировки. Зачастую они обладают возможностью осуществлять антивирусную проверку обрабатываемого контента при помощи нескольких производителей фильтрации вредоносного контента. В частности, реализация антивирусной проверки на уровне почтовых систем или шлюзов фильтрации спама. В случае последовательного применения нескольких антивирусных продуктов эффективность фильтрации вирусов во входящей/исходящей корреспонденции может достигать почти 100%.

С помощью указанного подхода  можно уже на первом и втором уровне эшелонированной защиты достичь  серьезных показателей по фильтрации вредоносного ПО. Иными словами, при реализации адекватной системы антивирусной защиты (до пользователя) львиная доля вредоносного ПО будет отфильтрована на уровне шлюзовых решений того или иного назначения.