Основы проблемы защиты программ различных объектов автоматизации

Краткие теоретические сведения

Реестр операционной системы Windows - это большая база данных, где хранится информация о конфигурации системы. Этой информацией пользуются как операционная система Windows, так и другие программы. В некоторых случаях восстановить работоспособность системы после сбоя можно, загрузив работоспособную версию реестра, но для этого, естественно, необходимо иметь копию реестра. Основным средством для' просмотра и редактирования записей реестра служит специализированная утилита «Редактор реестра».

Файл редактора реестра находится в папке Windows. Называется он regedit.exe.

 

 

После запуска появится окно редактора реестра. Вы увидите список из 5 разделов (рисунок 1):

 

HKEY_CLASSES_ROOT.

HKEY_CURRENT_USER.

HKEY_LOCAL_MACHINE.

HKEY_USERS.

HKEY_CURRENT_CONFIG.

Работа с разделами реестра аналогична работе с папками в Проводнике. Конечным элементом дерева реестра являются ключи или параметры, делящиеся на три типа (рис. 2):

• строковые (напр. «C:\Windows»);
• двоичные (напр. 10 82 АО 8F);

DWORD - этот тип ключа занимает 4 байта и отображается в шестнадцатеричном и в десятичном виде (например, 0x00000020 (32)).

В Windows системная информация разбита на так называемые ульи (hive). Это обусловлено принципиальным отличием концепции безопасности этих операционных систем. Имена файлов ульев и пути к каталогам, в которых они хранятся, расположены в разделе HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Contro!\hivelist  (рис. 3).

В таблице 1 даны краткие описания ульев реестра и файлов, в которых хранятся параметры безопасности.

Таблица 1 Характеристика основных разделов системного Реестра

 

HKEY_LOCAL_MACHINE\SAM	Содержит информацию SAM (Security Access Manager), хранящуюся в файлах SAM, SAM.LOG, SAM.SAV в папке \%System-root%\System32\Confiq
HKEY_LOCAL_MACH!NE\SECURITY	Содержит информацию безопасности в файлах SECURITY.SECURITY.LOG, SECURITY.SAV в папке \%Systemroot%\System32\Confiq
HKEY_LOCAL_MACHINE\SYSTEM	Содержит информацию об аппаратных профилях этого подраздела. Информация хранится в файлахSYSTEM.SYSTEM.LOG, SYSTEM.SAV в папке \%Systemroot%\System32\Config
HKEY_CURRENT_CONFIG	Содержит информацию о подразделе System этого улья, которая хранится в файлах SYSTEM.SAV и SYSTEM.ALT в папке \%Systemroot%\System32\Config
HKEY_USERS\.DEFAULT	Содержит информацию, которая будет использоваться для создания профиля нового пользователя, впервые регистрирующегося в системе. Информация хранится в файлах DEFAULT, DEFAULT.LOG, DEFAULT.SAV в папке \%Systemroot%\System32\Confiq
HKEY_CURRENT_USER	Содержит информацию о пользователе, зарегистрированном в системе на текущий момент. Эта информация хранится в файлах NTUSER.DAT и - NTUSER.DAT.LOG, расположенных в каталоге \%Systemroot%\Profiles\User name, где User name — имя пользователя, зарегистрированного в системе на данный момент

 

 

2. Проверка потенциальных мест записей вредоносного программного обеспечения в системном реестре операционной системы Windows

 

Алгоритм выполнения работы

Потенциальными местами записей «троянских программ» в системном реестре являются разделы, описывающие программы, запускаемые автоматически при загрузке операционной системы от имени пользователей и системы.

1. Запустите программу regedit.exe.

2. В открывшемся окне выберите ветвь HKEY_LOCAL_MACHINE и далее Software\ Microsoft\WindowsNT\CurrentVersion\Winlogon.

3. В правой половине открытого окна программы regedit.exe появится список ключей.

4. Найдите ключ Userinit (REG_SZ) и проверьте его содержимое.

5. По умолчанию (исходное состояние) 151 этот ключ содержит следующую запись C:\WINDOWS\system32\userinit.exe (рис. 4).

 

 

6. Если в указанном ключе содержатся дополнительные записи, то это могут быть «троянские программы».

7. В этом случае проанализируйте место расположения программы, обратите внимание на время создания файла и сопоставьте с Вашими действиями в это время.

8. Если время создания файла совпадает со временем Вашей работы в Интернете, то возможно, что в это время Ваш компьютер был заражен «троянским конем».

9. Для удаления этой записи необходимо дважды щелк-

нуть на названии ключа (или при выделенном ключе выбрать команду Изменить из меню Правка программы regedit.exe).

10. В открывшемся окне в поле Значение (рисунок 5) удалите ссылку на подозрительный файл.

11. Закройте программу regedit.exe.

12. Перейдите в папку с подозрительным файлом и удалите его.

13. Перезагрузите операционную систему и выполните пункты задания 1-4.

14. Если содержимое рассматриваемого ключа не изменилось, то предполагаемый «троянский конь» удален из Вашей системы.

Еще одним потенциальным местом записей на запуск «троянских программ» является раздел автозапуска Run.

Для его проверки выполните следующее.

1. Запустите программу  regedit.exe.

2. В открывшемся окне  выберите ветвь HKEY_LOCAL_MACHINE и далее

Software\Microsoft\Windows\CurrentVersion\Run\... (REG_SZ) (рис. 6).

 

3. В рассматриваемом примере автоматически запускается резидентный антивирус (nod32kui), а также утилита, относящаяся к программе контроля состояния электропитания и заряда батареи (EPM-DM и ePowerManagement) .

4. Если в указанном разделе есть записи вызывающие подозрения, то выполните пункты 6-14 предыдущего задания.

 

3. Профилактика проникновения вредоносного программного обеспечения посредством исследования  организации защиты от макровирусов средствами Microsoft Word  (для Office XP)

 

Краткие теоретические сведения

Макрос - макрокоманда или набор макрокоманд, используемый для автоматического выполнения некоторых операций. Макросы записываются на языке программирования Visual Basic для приложений.

Макровирус – вредоносная программа, прописанная в макросе.

Цифровая подпись макроса. Специально созданный фрагмент макроса, подтверждающий  его подлинность и безопасность. Наличие цифровой подписи подтверждает, что макрос или документ был получен от владельца подписи и не был изменен.

Цифровой сертификат - вложение в файл, проект макроса или сообщение электронной почты, подтверждающее его подлинность, обеспечивающее шифрование или предоставляющее поддающуюся проверке подпись. Для цифрового подписания проектов макросов необходимо установить цифровой сертификат.

Макровирусы используют возможности макроязыков, встроенных в системы обработки данных (текстовые редакторы, электронные таблицы и т.д.).

Для существования вирусов в конкретной системе необходимо наличие встроенного в систему макроязыка со следующими возможностями:

1. привязка программы на макроязыке к конкретному файлу;

2. копирование макропрограмм (далее макросов) из одного файла в другой;

3. возможность получения управления макросом без вмешательства пользователя (автоматические или стандартные макросы).

Данным условиям удовлетворяют редакторы Microsoft Word и AmiPro, а также редактор электронных таблиц Excel. Эти системы содержат в себе макроязыки (Word - Word Basic, Excel - Visual Basic). В этих системах вирусы получают управление при открытии или закрытии зараженного файла, перехватывают стандартные файловые функции и затем заражают файлы, к которым каким-либо образом идет обращение.

Макровирусы активны не только в момент открытия/закрытия файла, но до тех пор, пока активен сам редактор.

В текстовом процессоре Microsoft Word определены, например, макросы, которые автоматически получают управление при вызове пользователем одной из стандартных команд — FileSave (Файл | Сохранить), FileSaveAs (Файл | Сохранить как), ToolsMacro (Сервис | Макрос | Макросы), ToolsCustomize (Сервис | Настройка) и т.д.

Документ Microsoft Office может также содержать макросы, автоматически получающие управление при нажатии пользователем определенной комбинации клавиш на клавиатуре или достижении некоторого момента времени (даты, времени суток).

Так как макровирусы распространяются под управлением прикладных программ, то этот факт делает их независимыми от операционной системы.

Наилучшим способом защиты от вредоносных макросов (макровирусов) в дополнение к административным мерам необходимо приобрести и установить специальное антивирусное программное обеспечение.

 

2.3.1 Исследовать порядок формирования политики защиты от макровирусов при использовании приложения Microsoft Word  (из пакета Office XP)

Алгоритм выполнения работы

Запустите приложение Microsoft Word  из пакета Office XP.

Произвести настройку уровня безопасности при отработке макросов

1. В меню Сервис выбрать команду Параметры.

2. Открыть вкладку Безопасность.

3. В группе Защита от макросов нажать кнопку Защита от макросов.

 

 

4. Открыть вкладку Уровень безопасности.

5. Выбрать нужный уровень безопасности.

 

 

 

В зависимости от настроек безопасности макросов, например средний уровень, при открытии макросов выводится предупреждение [Предупреждение об установленных шаблонах и надстройках, которые содержат макросы] и предоставляется возможность запретить выполнение макросов для установленных шаблонов и настроек (в том числе для мастеров).

 

 

6. Откройте вкладку Надежные источники.

7. Если снять флажок (5) «Доверять всем установленным надстройкам и шаблонам»,

 

 

то при запуске приложения загрузка всех прописанных в приложении макросов будут сопровождаться предупреждением системы безопасности. Данный шаг может производиться опытными пользователями при анализе причин неустойчивой работы приложения.

 

2.4 Знакомство с вопросами защиты компьютеров от атак из Интернет с помощью межсетевых экранов.

Выполнение работы:

Изучение работы Kaspersky Anti-Hacker:

1) Ознакомиться с режимами  безопасности программы Kaspersky Anti-Hacker:

 

 

2) Познакомится с возможностями  контроля приложений

 

 

3) Параметры правил для  приложений:

 

 

4) Изучить настройки пакетной  фильтрации:

 

 

 

5) Создание нового правила  фильтрации пакетов:

 

 

6) Изучение информации  в журналах:

 

 

 

7) Просмотр активных сетевых  приложений:

 

 

7) Просмотр открытых портов:

 

 

8) Настройка параметров  программы Kaspersky Anti-Hacker:

 

 

Изучение работы ViPNet [Personal Firewall]:

 

1) Настройка "открытой сети":

 

 

2) Настройка режимов безопасности ViPNet:

 

 
3) Настройка фильтрации IP-пакетов:

 

 

 

 

 

4) Настройка журнала IP-пакетов:

 

 

 

5) Просмотр статистики IP-пакетов:

 

 

Заключение

 

 

Количество и уровень угроз безопасности для программных комплексов компьютерных систем как со стороны внешних, так и со стороны внутренних источников угроз постоянно возрастает. Это объясняется стремительным развитием компьютерных и телекоммуникационных средств, глобальных информационных систем, необходимостью разработки для них сложного программного обеспечения с применение современных средств автоматизации процесса проектирования программ. Кроме того, это объясняется значительным или даже резким повышением в последнее время активности деятельности хакеров и групп хакеров, атакующих компьютерные системы, криминальных групп компьютерных взломщиков, различных специальных подразделений и служб, осуществляющих свою деятельность в области создания средств воздействия на критически уязвимые объекты информатизации.

В настоящей работе излагаются научно-практические основы обеспечения безопасности программного обеспечения компьютерных систем, рассматриваются методы и средства защиты программ от воздействия разрушающих программных средств .

Значительная часть материала посвящена выявлению и анализу угроз безопасности программного обеспечения, рассмотрению основ формирования моделей угроз и их вербальному описанию, методов и средств обеспечения технологической и эксплуатационной безопасности программ.