Защита комьютерных сетей

Однако стоит выделить топологию "дерево", которую можно рассматривать как объединение нескольких "звезд". Именно эта топология сегодня является наиболее популярной при построении локальных сетей.

рис. 1.8. Сеть с топологией "дерево"[10]

1.3. Основные протоколы обмена в компьютерных сетях

Для обеспечения согласованной  работы в сетях передачи данных используются различные коммуникационные протоколы  передачи данных – наборы правил, которых  должны придерживаться передающая и  принимающая стороны для согласованного обмена данными. Протоколы – это  наборы правил и процедур, регулирующих порядок осуществления некоторой  связи. Протоколы – это правила  и технические процедуры, позволяющие  нескольким компьютерам при объединении  в сеть общаться друг с другом.

Существует множество  протоколов. И хотя все они участвуют  в реализации связи, каждый протокол имеет различные цели, выполняет  различные задачи, обладает своими преимуществами и ограничениями.

Протоколы работают на разных уровнях модели взаимодействия открытых систем OSI/ISO (рис.). Функции протоколов определяются  уровнем, на котором он работает. Несколько протоколов могут работать совместно. Это так называемый стек, или набор, протоколов.

Как сетевые функции распределены по всем уровням модели OSI, так и протоколы совместно работают на различных уровнях стека протоколов. Уровни в стеке протоколов соответствуют уровням модели OSI. В совокупности протоколы дают полную характеристику функций и возможностей стека.[5]

Передача данных по сети, с технической точки зрения, должна состоять из последовательных шагов, каждому  из которых соответствуют свои процедуры  или протокол. Таким образом, сохраняется  строгая очередность в выполнении определенных действий.

Кроме того, все эти действия должны быть выполнены в одной  и той же последовательности на каждом сетевом компьютере. На компьютере-отправителе  действия выполняются в направлении  сверху вниз, а на компьютере-получателе снизу вверх.

Компьютер-отправитель в  соответствии с протоколом выполняет  следующие действия: Разбивает данные на небольшие блоки, называемыми  пакетами, с которыми может работать протокол, добавляет к пакетам  адресную информацию, чтобы компьютер-получатель мог определить, что эти данные предназначены именно ему, подготавливает данные к передаче через плату  сетевого адаптера и далее – по сетевому кабелю.

Компьютер-получатель в соответствии с протоколом выполняет те же действия, но только в обратном порядке: принимает  пакеты данных из сетевого кабеля; через  плату сетевого адаптера передает данные в компьютер; удаляет из пакета всю  служебную информацию, добавленную  компьютером-отправителем, копирует данные из пакета в буфер – для их объединения в исходный блок, передает приложению этот блок данных в формате, который оно использует.

И компьютеру-отправителю, и  компьютеру-получателю необходимо выполнить  каждое действие одинаковым способом, с тем чтобы пришедшие по сети данные совпадали с отправленными.

Если, например, два протокола  будут по-разному разбивать данные на пакеты и добавлять информацию (о последовательности пакетов, синхронизации  и для проверки ошибок), тогда  компьютер, использующий один из этих протоколов, не сможет успешно связаться  с компьютером, на котором работает другой протокол.

До середины 80-ых годов  большинство локальных сетей  были изолированными. Они обслуживали  отдельные компании и редко объединялись в крупные системы. Однако, когда  локальные сети достигли высокого уровня развития и объем передаваемой ими  информации возрос, они стали компонентами больших сетей. Данные, передаваемые из одной локальной сети в другую по одному из возможных маршрутов, называются маршрутизированными. Протоколы, которые  поддерживают передачу данных между  сетями по нескольким маршрутам, называются маршрутизируемыми протоколами.

Среди множества протоколов наиболее распространены следующие:

- NetBEUI;

- XNS;

- IPX/SPX и NWLmk;

- Набор протоколов OSI.[10]

Глава 2

вредоносное  Программное Обеспечение

2.1. История появления  вредоносного ПО

Вредоносная программа —  компьютерная программа или переносной код, предназначенный для реализации угроз информации, хранящейся в компьютерной системе, либо для скрытого нецелевого использования ресурсов системы, либо иного воздействия, препятствующего  нормальному функционированию компьютерной системы.

1949 год. Американский ученый  венгерского происхождения Джон  фон Науманн (John von Naumann) разработал  математическую теорию создания  самовоспроизводящихся программ. Это  была первая теория создания  компьютерных вирусов, вызвавшая  весьма ограниченный интерес  у научного сообщества.

В начале 60-х инженеры из американской компании Bell Telephone Laboratories - В.А. Высотский, Г.Д. Макилрой и Роберт Моррис - создали игру "Дарвин". Игра предполагала присутствие в  памяти вычислительной машины так называемого  супервизора, определявшего правила  и порядок борьбы между собой  программ-соперников, создававшихся  игроками. Программы имели функции  исследования пространства, размножения  и уничтожения. Смысл игры заключался в удалении всех копий программы  противника и захвате поля битвы.

Конец 60-х – начало 70-х  годов. Появление первых вирусов. В  ряде случаев это были ошибки в  программах, приводивших к тому, что программы копировали сами себя, засоряя жесткий диск компьютеров, что снижало их продуктивность, однако считается, что в большинстве  случаев вирусы сознательно создавались  для разрушения. Вероятно, первой жертвой  настоящего вируса, написанного программистом  для развлечения, стал компьютер Univax 1108. Вирус назывался Pervading Animal и заразил только один компьютер - на котором и был создан.

1974 год. Создана сеть Telenet - коммерческая версия ARPANET. На компьютерах  этого времени появляется программа,  получившая название "кролик" (Rabbit). Это имя она получила  потому, что кроме размножения  и распространения по носителям  информации она ничего не делала. Программа клонировала себя, занимала  системные ресурсы и таким  образом снижала производительность  системы. Достигнув определенного  уровня распространения на зараженной  машине "кролик" нередко вызывал  сбой в ее работе.

1975 год. Через Telenet распространяется  первый в истории сетевой вирус  The Creeper. Написанная для некогда  популярной операционной системы  Tenex, эта программа была в состоянии  самостоятельно войти в сеть  через модем и передать свою  копию удаленной системе. На  зараженных системах вирус обнаруживал  себя сообщением: "I'M THE CREEPER : CATCH ME IF YOU CAN". Для противодействия вирусу  впервые в истории написана  особая антивирусная программа  The Reeper.

1979 год. Инженеры из  исследовательского центра компании Xerox создали первого компьютерного  червя. 

1981 год. Вирус Elk Cloner поражает  компьютеры Apple. Вирус записывался  в загрузочные сектора дискет, к которым шло обращение. Elk Cloner переворачивал изображение на  экране, заставлял мигать текст,  выводил разнообразные сообщения 

1983 год. Лен Эйделман  впервые употребляет термин "вирус"  в применении к саморазмножающимся  компьютерным программам. 10 ноября 1983 г. Фред Коэн, родоначальник  современной компьютерной вирусологии,  на семинаре по компьютерной  безопасности в Лехайском университете (США) демонстрирует на системе  VAX 11/750 вирусоподобную программу,  способную внедряться в другие  объекты. Годом позже, на 7-й  конференции по безопасности  информации, он дает научное определение термину "компьютерный вирус", как программе, способной "заражать" другие программы при помощи их модификации с целью внедрения своих копий.

1986 год. Впервые создан  вирус для IBM PC - The Brain. Два брата-программиста  из Пакистана написали программу,  которая должна была "наказать" местных "пиратов", ворующих  программное обеспечение у их  фирмы. В программке значились  имена, адрес и телефоны братьев.  Однако неожиданно для всех The Brain вышел за границы Пакистана  и заразил сотни компьютеров  по всему миру. Успех вируса  был обеспечен тем, что компьютерное  сообщество было абсолютно не  готово к подобному развитию  событий. Интересно, что вирус  Brain являлся также и первым  вирусом-невидимкой. При обнаружении  попытки чтения зараженного сектора  диска вирус незаметно "подставлял" его незараженный оригинал. В  том же году немецкий программист  Ральф Бюргер (Ralf Burger) открыл возможность  создания программой своих копий  путем добавления своего кода  к выполняемым DOS-файлам формата  COM. Опытный образец программы,  получившей название Virdem и имевшей  такую способность, был представлен  Бюргером в декабре 1986 года, в  Гамбурге, на форуме компьютерного  "андерграунда" - Chaos Computer Club. В  то время форум собирал хакеров,  специализировавшихся на взломе VAX/VMS-систем.

1987 год. Появление вируса Vienna. Его происхождение и распространение  практически по всему миру  имело большой резонанс и вызвало  горячие споры о настоящем  авторе. В этом же году, один  из претендентов на авторство  - Ральф Бергер, написал первую  книгу об искусстве создания  и борьбы с вирусами. Книга  называлась "Компьютерные вирусы. Болезнь высоких технологий" (Computer Viruses. The Decease of High Technologies) и стала "букварем" начинающих создателей вирусов.  Кроме того, в 1987 году независимо  друг от друга появляется еще  несколько вирусов для IBM-совместимых  компьютеров: знаменитый Лехайский  вирус (Lehigh), названный в честь  университета г. Бетлехэм, штат Пенсильвания, США; семейство вирусов Suriv; ряд загрузочных вирусов (Yale в США, Stoned в Новой Зеландии, Ping-pong в Италии) и первый в истории компьютеров самошифрующийся файловый вирус Cascade. [11]

1988 год. Одно из наиболее  знаменательных событий в области  вирусов в 1988 года - глобальная  эпидемия, вызванная вирусом Suriv-3, более известным как Jerusalem. Вирус  был обнаружен одновременно в  компьютерных сетях многих коммерческих  фирм, государственных организаций  и учебных заведений. По сути  дела вирус обнаружился сам:  в пятницу, 13-го, он уничтожал все  запускаемые на зараженном компьютере  файлы. В 1988 году этой черной  датой стало 13 мая. Именно в  этот день сообщения о тысячах  инцидентах с участием Jerusalem поступили  со всех концов планеты, в  первую очередь из Америки,  Европы и с Ближнего Востока.  В этом же году, 23-летний американский  программист создал червя, поразившего  6 тыс. компьютеров в сети ARPANET. И впервые суд приговорил автора  этого вируса к штрафу в  10 тыс. долл. и 3 годам испытательного  срока. 

22 апреля 1988 года создан  первый электронный форум по  проблеме антивирусной безопасности. Ею стала конференция Virus-L в  сети Usenet, которая была создана  Кеном Ван Уайком (Ken van Wyk). Помимо  этого, 1988 год ознаменовался появлением  антивирусной программы - Dr. Solomon's Anti-Virus Toolkit. Программа была создана  английским программистом Аланом  Соломоном (Alan Solomon), завоевала огромную  популярность и просуществовала  до 1998 года, когда компания была  поглощена другим производителем  антивирусов - американской Network Associates (NAI).

1989 год. ARPANET официально переименован  в Интернет. Появляются новые  вирусы - Datacrime, FuManchu (модификация вируса Jerusalem) и целые семейства - Vacsina и Yankee. Вирус Datacrime имел крайне  опасное проявление - с 13 октября  по 31 декабря он инициировал низкоуровневое форматирование нулевого цилиндра жесткого диска, что приводило к уничтожению таблицы размещения файлов (FAT) и безвозвратной потере данных.

4 октября 1989 года появился  в продаже антивирус IBM Virscan для  MS-DOS. 16 октября 1989 г. на компьютерах  VAX/VMS в сети SPAN была зафиксирована  эпидемия вируса-червя WANK Worm. Для  распространения червь использовал  протокол DECNet и менял системные  сообщения на сообщение "WORMS AGAINST NUCLEAR KILLERS", сопровождаемое текстом  "Your System Has Been Officially WANKed". WANK также  менял системный пароль пользователя  на набор случайных знаков  и пересылал его на имя GEMPAK в сети SPAN.

В декабре этого же года появился первый «троянский конь» — AIDS, который делал недоступной  всю информацию на жестком диске  компьютера и высвечивал на экране лишь одну надпись: «Пришлите чек  на 189 долл. на такой-то адрес». Автор  программы был осужден за вымогательство.

1990 год. Появились первые  полиморфные вирусы – Chameleon (1260, V2P1, V2P2 и V2P6). В Болгарии появился  так называемый "завод по производству  вирусов". В течение этого года  и ряда последующих лет было  обнаружено огромное количество  новых вирусов, которые имели  именно болгарское происхождение.  Это были целые семейства вирусов  - Murphy, Nomenclatura, Beast (или 512, Number-of-Beast), новые  модификации вируса Eddie и многие  другие. Особенную активность проявлял  некто Dark Avenger, выпускавший в год  по несколько новых вирусов,  использовавших принципиально новые  алгоритмы заражения и сокрытия  себя в системе. Там же, в  Болгарии, появилась и первая BBS (VX BBS), ориентированная на обмен  вирусами и информацией для  вирусописателей. В этом же  году были обнаружены и первые  известные отечественные вирусы: "Peterburg", "Voronezh" и ростовский "LoveChild".

В июле 1990 г. произошел серьезный  инцидент с английским компьютерным журналом PC Today. К каждому номеру журнала бесплатно прилагался флоппи-диск, как оказалось впоследствии, зараженный вирусом DiskKiller.

В декабре 1990 г. в Гамбурге (Германия) был создан Европейский  институт компьютерных антивирусных исследований (EICAR - European Institute for Computer Anti-virus Research). Примерно в это же время, компания Symantec представила  свой антивирусный продукт – Norton AntiVirus.

1991 год. Вслед за болгарской VX BBS и неуловимым Dark Avenger по всему  миру появляются другие станции,  ориентированные на обмен вирусами, и новые вирусописатели. В Италии  появляется Cracker Jack (Italian Virus Research Laboratory BBS), в Германии - Gonorrhoea, в Швеции - Demoralized Youth, в США - Hellpit, в Англии - Dead On Arrival и Semaj.

1992 год. Все большую  значимость начинают приобретать  файловые, загрузочные и файлово-загрузочные  вирусы для наиболее распространенной  операционной системы MS-DOS на компьютере IBM-PC. Количество вирусов растет  в геометрической прогрессии. Развиваются  различные антивирусные программы,  выходят десятки книг и несколько  регулярных журналов, посвященных  вирусам. Появляется первый полиморфик-генератор  MtE. Его главное предназначение - возможность интеграции в другие  вирусы для обеспечения их  полиморфизма. Появляются первые  вирусы класса анти-антивирус,  способные обходить защиту и  оставался незаметными. В июле 1992 года появились первые конструкторы  вирусов - VCL и PS-MPC, позволявшие  создавать вирусы различных типов  и модификаций. В конце этого  же года появился первый вирус  для Windows - Win.Vir_1_4 (10), заражающий исполняемые  файлы операционной системы.