Лекции по "Информационной безопасности"

Для ввода пароля пользователь заманивается на поддельный сайт, повторяющий по своему дизайну  сайт банка, другой компании или организации. Пользователю могут демонстрироваться всплывающие окна, копирующие сайт.

Программы Spyware

Вредоносные программы Spyware устанавливаются на компьютер  пользователя и собирают различную  информацию о действиях пользователя. Обычно это информация, ценная для маркетологов, которая после сбора отсылается разработчику программы через Интернет.

Программы Spyware могут собирать и другую информацию:

·       данные о качестве связи, способе  подключения, скорости модема и т. д.;

·  информацию о содержании жесткого диска с  целью составления списка ПО, установленного на компьютере у пользователя;

·       информацию о нажатых клавишах (клавиатурные шпионы);

·       приложения, с которыми работает пользователь;

·       сведения о посещении Web-сайтов и другой активности в Интернете;

·       содержимое сообщений электронной  почты

Программы Adware

Программы adware отображают рекламную информацию на компьютере. Эти программы могут  отображать на экране всплывающие окна с рекламными баннерами и текстом, даже при отсутствии подключения к Интернету.

Клавиатурные  шпионы

Одна из наиболее распространенных разновидностей программных  закладок — клавиатурные шпионы (кейлоггеры). Такие программные закладки нацелены на перехват паролей пользователей операционной системы, а также на определение их легальных полномочий и прав доступа к компьютерным ресурсам.

Поведение клавиатурных шпионов в общем случае является довольно традиционным: типовой клавиатурный шпион обманным путем завладевает  пользовательскими паролями, а затем переписывает эти пароли туда, откуда их может без особого труда извлечь злоумышленник. Различия между клавиатурными шпионами касаются только способа, который применяется ими для перехвата пользовательских паролей. Соответственно все клавиатурные шпионы делятся на три типа — имитаторы, фильтры и заместители.

Парольные взломщики 

Эффективным методом  взлома парольной защиты операционной системы является метод, при котором  атаке подвергается системный файл, содержащий информацию о ее легальных пользователях и их паролях. Однако любая современная операционная система надежно защищает при помощи шифрования пользовательские пароли, которые хранятся в этом файле. Доступ к таким файлам, как правило, по умолчанию запрещен даже для системных администраторов. Тем не менее, в ряде случаев злоумышленнику удается путем различных ухищрений получить в свое распоряжение файл с именами пользователей и их зашифрованными паролями. В этом случае используются так называемые парольные взломщики — специализированные программы, которые служат для взлома паролей операционных систем.

Криптографические алгоритмы, применяемые для шифрования паролей пользователей в современных  операционных системах, в подавляющем  большинстве случаев являются слишком  стойкими, чтобы можно было надеяться отыскать методы их дешифрования, которые окажутся более эффективными, чем тривиальный перебор возможных вариантов. Поэтому парольные взломщики иногда просто шифруют все пароли с использованием того же самого криптографического алгоритма, который применяется для их засекречивания в атакуемой операционной системе, и сравнивают результаты шифрования с тем, что записано в системном файле, где находятся шифрованные пароли ее пользователей. При этом в качестве вариантов паролей парольные взломщики используют символьные последовательности, автоматически генерируемые из некоторого набора символов. Данный способ позволяет взломать все пароли, если известно их представление в зашифрованном виде и они содержат только символы из данного набора. Максимальное время, которое потребуется для взлома пароля, можно вычислить по следующей формуле:

T=L^N/S,

где N — число  символов в наборе, L — предельная длина пароля, S — количество проверок в секунду.

Для более эффективного подбора паролей парольные взломщики обычно используют так называемые словари, представляющие собой заранее сформированный список слов, наиболее часто применяемых на практике в качестве паролей.

Для каждого  слова из словаря парольный взломщик использует одно или несколько правил. В соответствии с этими правилами слово изменяется и порождает дополнительное множество опробуемых паролей. Учитывая, что обычные словари человеческих языков состоят всего из нескольких сотен тысяч слов, а скорость шифрования паролей достаточно высока, парольные взломщики, осуществляющие поиск с использованием словаря работают достаточно быстро.  Наиболее популярным парольным взломщиком является программа LophtCrack(LC5). Стоит отметить, что кроме огромной опасности парольные взломщики являются ценным инструментом для выявления слабых мест в парольной защите операционных систем.

Антивирусное  программное обеспечение

Невозможность существования абсолютного антивируса была доказана Фредом Коэном математически  на основе теории конечных автоматов.

В антивирусном ПО используются следующие термины:

• «Ложное срабатывание» (False positive) — детектирование вируса в незараженном объекте. Обратный термин — «False negative», т.е. недетектирование вируса в зараженном объекте.
• «Сканирование по запросу» («on-demand») — поиск вирусов по запросу пользователя.
• «Сканирование на-лету» («real-time», «on-the-fly») — постоянная проверка на вирусы объектов, к которым происходит обращение (запуск, открытие, создание и т.п.). В этом режиме антивирус постоянно активен, он присутствует в памяти «резидентно» и проверяет объекты без запроса пользователя.

Качество антивирусной программы можно определить по следующим  позициям:

1. Надежность и удобство работы — отсутствие «зависаний» антивируса и прочих технических проблем, требующих от пользователя специальной подготовки.
2. Качество обнаружения вирусов всех распространенных типов, сканирование внутри файлов-документов/таблиц (Word, Excel), упакованных и архивированных файлов.
3. Отсутствие «ложных срабатываний».
4. Многоплатформенность антивирусного программного обеспечения.
5. Возможность лечения зараженных объектов.
6. Периодичность обновления.
7. Существование серверных версий с возможностью проверки сетевых дисков.
8. Скорость работы и другие полезные функции.

Антивирусное  ПО может использовать следующие  методы обнаружения вирусов и других вредоносных программ:

·       сканирование;

·       эвристический анализ (блокирование подозрительных действий);

·       CRC-сканирование (обнаружение изменений);

·       анализ сетевого трафика;

·       анализ баз данных почтовых программ;

·       обнаружение вирусов в системе  автоматизации документооборота.

Принцип работы антивирусных сканеров основан на проверке файлов, секторов и системной памяти и поиске в них известных и новых (неизвестных сканеру) вирусов. Для поиска известных вирусов используются так называемые «маски». Маской вируса является некоторая постоянная последовательность кода, специфичная для этого конкретного вируса. Если вирус не содержит постоянной маски, или длина этой маски недостаточно велика, то используются другие методы. Примером такого метода являетcя алгоритмический язык, описывающий все возможные варианты кода, которые могут встретиться при заражении подобного типа вирусом. Такой подход используется некоторыми антивирусами для детектирования полиморфик-вирусов.

Во многих сканерах используются также алгоритмы «эвристического сканирования», т.е. анализ последовательности команд в проверяемом объекте, набор некоторой статистики и принятие решения («возможно заражен» или «не заражен») для каждого проверяемого объекта. Поскольку эвристическое сканирование является во многом вероятностным методом поиска вирусов, то на него распространяются многие законы теории вероятностей. Эвристический анализ не дает полной гарантии обнаружения любых новых вирусов. Кроме того, эвристический анализатор может принять «безобидную» программу за вредоносную. Это происходит в тех случаях, когда программа выполняет какие-либо действия, характерные для вирусов или вредоносных программ другого типа. Эвристический анализ отнимает немало процессорного времени. Поэтому, настраивая антивирусную программу, пользователь может отключить эвристический анализатор. Учитывая, что без эвристического анализатора антивирусная программа не сможет обнаружить полиморфные и шифрующиеся, а также новые вирусы, такое отключение приведет к снижению надежности антивирусной защиты.

Наиболее эффективной  методикой обнаружения и нейтрализации  вредоносных программ, распространяющихся по каналам электронной почты, является анализ трафика электронной почты непосредственно на почтовом сервере. При этом антивирусные программы проверяют данные, проходящие через почтовый сервер, и удаляют из них вредоносные объекты еще до того, как они попадут на компьютер пользователя. Антивирусы, работающие на почтовом сервере, сканируют трафик электронной почты, исключая распространение вредоносных программ вместе с почтовыми сообщениями. Для передачи сообщений электронной почты используются протоколы SMTP, POP3 и IMAP. Специализированные антивирусы, работающие на почтовых серверах, способны анализировать потоки данных, передаваемые с использованием этих протоколов, предотвращая распространение вредоносных программных объектов через электронную почту.

Сканеры также  можно разделить на две категории  — «универсальные» и «специализированные». Универсальные сканеры рассчитаны на поиск и обезвреживание всех типов вирусов вне зависимости от операционной системы, на работу в которой рассчитан сканер. Специализированные сканеры предназначены для обезвреживания ограниченного числа вирусов или только одного их класса, например макро-вирусов. Специализированные сканеры, рассчитанные только на макро-вирусы, часто оказываются наиболее удобным и надежным решением для защиты систем документооборота в средах MS Word и MS Excel.

Сканеры также  делятся на «резидентные» (мониторы), производящие сканирование «на-лету», и «нерезидентные», обеспечивающие проверку системы только по запросу. Как правило, «резидентные» сканеры обеспечивают более надежную защиту системы, поскольку они немедленно реагируют на появление вируса, в то время как «нерезидентный» сканер способен опознать вирус только во время своего очередного запуска.

К достоинствам сканеров всех типов относится их универсальность, к недостаткам  — размеры антивирусных баз, которые  сканерам приходится «таскать за собой», и относительно небольшую скорость поиска вирусов.

Принцип работы CRC-сканеров основан на подсчете CRC-сумм (контрольных сумм) для присутствующих на диске файлов/системных секторов. Эти CRC-суммы затем сохраняются в базе данных антивируса, как, впрочем, и некоторая другая информация: длины файлов, даты их последней модификации и т.д. При последующем запуске CRC-сканеры сверяют данные, содержащиеся в базе данных, с реально подсчитанными значениями. Если информация о файле, записанная в базе данных, не совпадает с реальными значениями, то CRC-сканеры сигнализируют о том, что файл был изменен или заражен вирусом.

CRC-сканеры, использующие  анти-стелс алгоритмы, являются  довольно сильным оружием против  вирусов: практически 100% вирусов  оказываются обнаруженными почти сразу после их появления на компьютере. Однако у этого типа антивирусов есть врожденный недостаток, который заметно снижает их эффективность. Этот недостаток состоит в том, что CRC-сканеры не способны поймать вирус в момент его появления в системе, а делают это лишь через некоторое время, уже после того, как вирус разошелся по компьютеру. CRC-сканеры не могут определить вирус в новых файлах (в электронной почте, на дискетах, в файлах, восстанавливаемых из backup или при распаковке файлов из архива), поскольку в их базах данных отсутствует информация об этих файлах. Более того, периодически появляются вирусы, которые используют эту «слабость» CRC-сканеров, заражают только вновь создаваемые файлы и остаются, таким образом, невидимыми для них.

Антивирусные блокировщики — это резидентные программы, перехватывающие «вирусоопасные»  ситуации и сообщающие об этом пользователю. К «вирусоопасным» относятся  вызовы на открытие для записи в  выполняемые файлы, запись в boot-сектора  дисков или MBR винчестера, попытки программ остаться резидентно и т.д., то есть вызовы, которые характерны для вирусов в моменты из размножения.

К достоинствам блокировщиков  относится их способность обнаруживать и останавливать вирус на самой  ранней стадии его размножения. К недостаткам относятся существование путей обхода защиты блокировщиков, большое количество срабатываний, требующих от пользователя принятия решения.