Конспект лекций к семинарам, страница 19

Идентификация пользователя (сообщений) - комплекс мер, используемых для защиты вычислительной системы от несанкционированного доступа, позволяющих устанавливать конкретного пользователя.

Конечная цель процедуры идентификации объекта (субъекта) - допуск его к информации ограниченного пользования в случае положительной проверки либо отказ в допуске в случае отрицательного исхода проверки. Один из наиболее распространенных методов идентификации - присвоение лицу или другому имени пароля и хранение его значения в вычислительной системе. Пароль - это совокупность символов, определяющая объект (субъект).

Для идентификации пользователей могут использоваться и физические методы, например карточка с магнитным покрытием, на которой записывается персональный идентификатор пользователя, карточки с встроенным чипом (для уменьшения риска злоупотреблений карточки, как правило, используются с каким-либо другим способом идентификации пользователя, например с коротким паролем). Кроме того, могут применяться сложные в плане технической реализации системы, обеспечивающие установление подлинности пользователя на основе анализа его индивидуальных параметров: отпечатков пальцев, рисунка линий руки, радужной оболочки глаз, тембра голоса и др.

Одно из интенсивно разрабатываемых направлений по обеспечению безопасности информации - идентификация и установление подлинности документов на основе электронной цифровой подписи - ныне простирается от проведения финансовых и банковских операций до контроля за выполнением различных договоров. Электронная цифровая подпись представляет собой способ шифрования с помощью криптографического преобразования и является паролем, зависящим от отправителя, получателя и содержания передаваемого сообщения. Для предупреждения повторного использования подпись должна меняться от сообщения к сообщению.

Криптографическое преобразование - один из методов, резко повышающих безопасность:

• передачи данных в компьютерных сетях;

• данных, хранящихся в удаленных устройствах памяти;

• информации при обмене между удаленными объектами.

Защита информации методом криптографического преобразования заключается в приведении ее к неявному виду путем преобразования составных частей информации (букв, цифр, слогов, слов) с помощью специальных алгоритмов либо аппаратных средств и кодов ключей. Ключ - это изменяемая часть криптографической системы, хранящаяся в тайне и определяющая, какое шифрующее преобразование из возможных выполняется в данном случае.

Для преобразования (шифрования) используется некоторый алгоритм или устройство, реализующее заданный алгоритм, которые могут быть известны широкому кругу лиц. Само же управление процессом шифрования осуществляется с помощью периодически меняющегося кода ключа, обеспечивающего каждый раз оригинальное представление информации при использовании одного и того же алгоритма или устройства. Знание ключа позволяет относительно быстро, просто и надежно расшифровать текст. Однако без знания ключа эта процедура может оказаться практически невыполнимой даже при использовании компьютера.

3.2. Компьютерные вирусы, их свойства и классификация

Компьютерный вирус - специально написанная, небольшая по размерам программа, способная самопроизвольно присоединяться к другим программам (т.е. заражать их), создавать свои копии и внедрять их в файлы, системные области компьютера и в другие, объединенные с ним компьютеры, с целью нарушения нормальной работы программ, порчи файлов и каталогов, создания различных помех при работе на компьютере.

Для маскировки вируса его действия по заражению других программ и нанесению вреда могут выполняться не всегда, а при выполнении каких-либо условий. После того как вирус выполнит нужные ему действия, он передает управление той программе, в которой он находится, и ее работа некоторое время не отличается от работы незараженной. Все действия вируса могут выполняться достаточно . быстро и без выдачи каких-либо сообщений, поэтому пользователь часто и не замечает, что компьютер работает со "странностями". К признакам появления вируса можно отнести:

• замедление работы компьютера;

• невозможность загрузки операционной системы;

• частые "зависания" и сбои в работе компьютера;

• прекращение работы или неправильная работа ранее успешно функционировавших программ;

• увеличение количества файлов на диске;

• изменение размеров файлов;

• периодическое появление на экране монитора неуместных системных сообщений;

• уменьшение объема свободной оперативной памяти;

• заметное возрастание времени доступа к жесткому диску;

• изменение даты и времени создания файлов;

• разрушение файловой структуры (исчезновение файлов, искажение каталогов и др.);

• загорание сигнальной лампочки дисковода, когда к нему нет обращения.

Надо заметить, что названные симптомы необязательно вызываются компьютерными вирусами, они могут быть следствием других причин, поэтому компьютер следует периодически диагностировать.

Существует три основных разновидности вирусов:

Вирусы, инфицирующие файлы. Они присоединяются к исполняемым файлам и распространяются на другие файлы в процессе работы программы.

Вирусы загрузочного сектора, которые замещают главную загрузочную запись жесткого диска (или загрузочный сектор дискеты) собственной искаженной версией кода начальной загрузки. Это позволяет им загружаться в память при запуске системы.

Троянские кони, которые на первый взгляд кажутся нормальными программами, но после загрузки уничтожают данные.

В наше время вирусы стали постоянным негативным фактором. Однако рынок предлагает достаточно антивирусных программ для Windows 98.

+

3.3. Программы обнаружения и защиты от вирусов

3.3.1. Классификация программ защиты от вирусов

Для обнаружения, удаления и защиты от компьютерных вирусов разработано несколько видов специальных программ, которые позволяют обнаруживать и уничтожать вирусы.

Различают следующие виды антивирусных программ (рис. 3.1):

• программы-детекторы;

• программы-доктора или фаги;

• программы-ревизоры;

• программы-фильтры;

• программы-вакцины или иммунизаторы.

Программы-детекторы осуществляют поиск характерной для конкретного вируса последовательности байтов (сигнатуры вируса) в оперативной памяти и в файлах и при обнаружении выдают соответствующее сообщение. Недостатком таких антивирусных программ является то, что они могут находить только те вирусы, которые известны разработчикам таких программ.

Программы-доктора или фаги, а также программы-вакцины не только находят зараженные вирусами файлы, но и "лечат" их, т.е. удаляют из файла тело программы вируса, возвращая файлы в исходное состояние. В начале своей работы фаги ищут вирусы в оперативной памяти, уничтожая их, и только затем переходят к "лечению" файлов. Среди фагов выделяют полифаги, т.е. программы-доктора, предназначенные для поиска и уничтожения большого количества вирусов. Наиболее известными полифагами являются программы Aidstest, Scan, Norton AntiVirus и Doctor Web.

Учитывая, что постоянно появляются новые вирусы, программы-детекторы и программы-доктора быстро устаревают, и требуется регулярное обновление их версий.

Программы-ревизоры относятся к самым надежным средствам защиты от вирусов. Ревизоры запоминают исходное состояние программ, каталогов и системных областей диска тогда, когда компьютер не заражен вирусом, а затем периодически или по желанию пользователя сравнивают текущее состояние с исходным. Обнаруженные изменения выводятся на экран видеомонитора. Как правило, сравнение состояний производят сразу после загрузки операционной системы. При сравнении проверяются длина файла, код циклического контроля (контрольная сумма файла), дата и время модификации, другие параметры. Программы-ревизоры имеют достаточно развитые алгоритмы и могут даже отличить изменения версии проверяемой программы от изменений, внесенных вирусом. К числу программ-ревизоров относится широко распространенная в России программа ADinf фирмы "Диалог-Наука".

Программы-фильтры или "сторожа" представляют собой небольшие резидентные программы, предназначенные для обнаружения подозрительных действий при работе компьютера, характерных для вирусов. Такими действиями могут являться:

• попытки коррекции файлов с расширениями СОМ и ЕХЕ;

• изменение атрибутов файлов;

• прямая запись на диск по абсолютному адресу;

• запись в загрузочные секторы диска;

• загрузка резидентной программы.

При попытке какой-либо программы произвести указанные действия "сторож" посылает пользователю сообщение и предлагает запретить или разрешить соответствующее действие. Программы-фильтры весьма полезны, так как способны обнаружить вирус на самой ранней стадии его существования до размножения. Однако они не "лечат" файлы и диски. Для уничтожения вирусов требуется применить другие программы, например фаги. К недостаткам программ-сторожей можно отнести их "назойливость" (например, они постоянно выдают предупреждение о любой попытке копирования исполняемого файла), а также возможные конфликты с другим программным обеспечением. Примером программы фильтра является программа Vsafe, входящая в состав пакета утилит операционной системы MS DOS.

Вакцины или иммунизаторы - это резидентные программы, предотвращающие заражение файлов. Вакцины применяют, если отсутствуют программы-доктора, "лечащие" этот вирус. Вакцинация возможна только от известных вирусов. Вакцина модифицирует программу или диск таким образом, чтобы это не отражалось на их работе, а вирус будет воспринимать их зараженными и поэтому не внедрится. В настоящее время программы-вакцины имеют ограниченное применение.

Своевременное обнаружение зараженных вирусами файлов и дисков, полное уничтожение обнаруженных вирусов на каждом компьютере позволяют избежать распространения вирусной эпидемии на другие компьютеры.

3.3.2. Антивирусная программа DRWEB32

Антивирус DRWEB32 представляет собой 32-разрядную версию антивируса для Windows, современного, мощного средства поиска, обнаружения и удаления вирусных программ. Возможности антивируса DRWEB32:

• обнаружение файлов, зараженных вирусом;

• лечение зараженных вирусом файлов;

• показ проверяемых каталогов в виде дерева файлов;

• поиск вирусов на жестком диске;

• поиск вирусов на гибком диске;

• поиск вирусов на CD-ROM и в сети.

Для запуска антивируса DRWEB32 можно использовать один из двух способов. Дважды щелкните мышью или нажмите Enter на значке DRWEB32 на рабочем столе системы Windows. Можно также запустить антивирус, выполнив команды из меню: Пуск \ Программы, затем щелкнуть в списке программ по пункту DRWEB32.

При запуске DRWEB32 показывает экранную заставку, а затем основное окно (рис. 3.2.) со списком носителей файлов и папок. Вам нужно выбрать устройство, в котором находятся файлы, предназначенные для проверки.

Для выбора объектов выберите один из двух способов:

• щелкнуть непосредственно по ярлычку в окне;

• или поставить "галочку" в окошке вкладки, например, все жесткие диски. В этом случае производится включение в список всех проверяемых объектов, соответствующих данной вкладке.

После выбора устройств загорается зеленым цветом фигура человека в светофоре диалогового окна. Это означает, что в принципе можно начинать проверку и для этого надо просто щелкнуть левой клавишей мыши по указанной фигурке человека в светофоре. В этом случае проверка будет идти в режиме настройки параметров "По умолчанию". Результат проверки будет выдан на листе статистики хода проверки по завершению.

Для проверки и изменения настроек следует выполнить команды меню диалогового окна Установки или нажать одновременно две клавиши Ctrl + F9.

В этом случае появляется окно, показанное на рис. 3.3.