49655 (Захист данних), страница 5

Вартість подібних комплексів залежно від стандарту контрольованої системи зв'язку і об'ємів вирішуваних завдань може складати від 5 до 60 тисяч доларів.

IV. Технічні засоби захисту даних від їх витоку

Захист інформації від її витоку технічними каналами зв'язку забезпечується наступними засобами й заходами:

• використанням екранованого кабелю й прокладкою проводів і кабелів в
  екранованих конструкціях;

• установкою на лініях зв'язку високочастотних фільтрів;

• побудовою екранованих приміщень («капсул»);

• використанням екранованого устаткування;

• установкою активних систем зашумлення.

З метою оцінки стану технічного захисту інформації, що обробляється або циркулює в інформаційних системах, комп'ютерних мережах, системах зв'язку, і підготовки обґрунтованих виводів для прийняття відповідних рішень звичайно проводиться експертиза в сфері технічного захисту інформації.

Розглянемо основні поняття, що існують при розгляді технічних засобів захисту даних від їх витоку:

Основні технічні засоби і системи (ОТЗС) - технічні засоби і системи, а також їх комунікації, використовувані для обробки, зберігання і передачі закритої інформації.

Допоміжні технічні засоби і системи (ДТЗС) - технічні засоби, системи і засоби комунікації, не призначені для обробки, зберігання і передачі закритої інформації, але встановлені спільно з ОТЗС (засоби передачі даних по радіозв'язку, кондиціонери і сигналізації).

Інформаційний сигнал - сигнал у вигляді електричних, електромагнітних і інших фізичних полів, при перехопленні якого може бути розкрита інформація, циркулююча в ОТЗС.

Контрольована зона - територія, на якій виключена можливість перебування сторонніх осіб і транспортних засобів.

Засоби захисту від знімання інформації по акустичному каналу: 1 Акустичні генератори перешкод:

• портативні (кишенькові) генератори перешкод (захищають невеликі площі. Генерують шум звукової частоти, забезпечуючи маскування розмови і погіршення розбірливості мови. Для людини вони не чутні. Площа зашумлення становить 6-8 м²);

• настільні генератори перешкод;

• стаціонарні генератори аудіоперешкод (мають в своєму складі вібродатчики, що перешкоджають зніманню інформації по вібро-акустичному каналу).

1. Спеціальний матеріал - прозорий пластик «Сонар» (з нього виготовляються спеціальні кабіни, в яких можна безпечно вести переговори).

2. Засоби захисту від записуючих диктофонів (детектори роботи електродвигуна; диктофоношукачі (РТRD-01 - виконаний у вигляді жезла завдовжки 24 см, діаметром 20 мм; радіус дії- до 1,5 м).

Засоби виявлення засобів знімання і передачі інформації:

1. Апаратура контролю і пошуку по електромагнітним імпульсам (ЕМІ).

(виявляє активно працюючі пристрої, що створюють ЕМІ): детектори випромінювання, сканери, аналізатори спектра, селективні мікровольтметри, частотоміри, програмно-апаратні комплекси з радіомоніторингом.

2. Апарати для виявлення непрацюючих пристроїв (нелінійні локатори,
ендоскопи, дефектоскопи, металошукачі, рентгенівські комплекси).

Захист розмов по телефонних лініях:

• фіксація факту знімання інформації;

• підвищення конфіденційності;

• дискретизація мови з подальшим шифруванням (оцифровування, шифрування мови і передача за допомогою модему);

• аналогове скремблювання.

Скремблювання - зміна характеристик мовного сигналу так, щоб одержаний сигнал, володіючи властивостями нерозбірливості і невпізнання, займав таку ж смугу частот, як і відкритий мовний сигнал.

Скремблери поділяються на аналогові і комбіновані. Принцип роботи аналогових скремблерів заснований на тимчасовій або частотній перестановці мовного сигналу. Комбіновані скремблери діють аналогічно, але на базі цифрової обробки сигналу.

ЛЕКЦІЯ 5

Тема: Основи захисту даних від комп'ютерних вірусів

План

1. Шкідливі програми на ЕОМ.

2. Засоби захисту від комп'ютерних вірусів та їх особливості.

І. Шкідливі програми на ЕОМ

Шкідлива програма - це будь-яке програмне забезпечення, призначене для забезпечення діставання несанкціонованого доступу до інформації, що зберігається на ЕОМ, з метою спричинення шкоди (збитку) власникові інформації або власникові ЕОМ (мережі ЕОМ).

Однією з найнебезпечніших програм є комп'ютерний вірус.

Комп 'ютерний вірус - це спеціально написана програма, здатна мимоволі приєднуватися до інших програм, створювати свої копії та упроваджуватися у файли, системні області комп'ютера або мережі з метою порушення роботи комп'ютера і створення всіляких перешкод.

Класифікацію комп'ютерних вірусів наведено в таблиці 5.1.

Таблиця 5.1 Класифікація комп'ютерних вірусів

До шкідливих програм, крім вірусів, відносяться також мережеві черв'яки, троянські коні (логічні бомби), intended-віруси, конструктори вірусів і поліморфік-генератори.

Мережеві черв'яки - програми, що розповсюджуються по мережі і не залишають своєї копії на магнітному носії або диску.

До троянських коней відносяться програми, що завдають будь-яку руйнівну дію, в залежності від яких-небудь умов або при кожному запуску знищують інформацію на дисках, зупиняють роботу операційної системи і т.д. Найпоширенішою різновидністю "троянських програм" є широко відомі програми масового використання (редактори, ігри, транслятори і т.п.), в які вбудовані, так звані "логічні бомби", що спрацьовують у випадку виникнення деякої події. Різновидністю "логічної бомби" є "бомба з годинниковим механізмом", яка запускається у визначенні моменти часу.

Потрібно зазначити, що "троянські програми" не можуть самостійно розмножуватися і розповсюджуватися по локальній обчислювальній мережі самими користувачами, зокрема, через загальнодоступні банки даних і програм. У порівнянні з вірусами "троянські коні" не одержали широкого поширення внаслідок достатньо простих причин: вони або знищують себе разом з іншими даними на диску, або демаскують свою присутність і знищуються постраждалим користувачем.

Серед шкідливих програм слід відмітити також «люті жарти» (hoax). До них відносяться програми, що не заподіюють комп'ютеру якоїсь прямої шкоди, проте виводять повідомлення про те, що така шкода вже заподіяна або буде заподіяною за яких-небудь умов, або попереджують користувача про неіснуючу небезпеку. До «лютих жартів» відносяться, наприклад, програми, що лякають користувача повідомленнями про форматування диска (хоча ніякого форматування насправді не відбувається), виявляють віруси в неінфікованих файлах, виводять дивні вірусоподібні повідомлення у залежності від почуття гумору автора такої програми.

До intended-вірусів відносяться програми, що на перший погляд є стовідсотковими вірусами, але не спроможні розмножуватися через помилки. Наприклад, вірус, що при інфікації «забуває» передбачити активізацію вірусу, що розмножується тільки один раз - з «авторської» копії. Інфікувавши якийсь файл, вони втрачають спроможність до подальшого розмноження. Частіше всього intended-віруси з'являються при неякісній перекомпіляції якогось вже існуючого вірусу, або через недостатнє знання мови програмування, або через незнання технічних тонкощів операційної системи.

Конструктор вірусів - це програма, що призначена для виготовлення нових комп'ютерних вірусів. Відомі конструктори вірусів для DOS, Windows і макровірусів. Вони дозволяють генерувати вихідні тексти вірусів (АSM-файли), об'єктні модулі і (або) безпосередньо інфікувати файли.

Поліморфік-генератори, як і конструктори вірусів, не є вірусами в буквальному значенні цього слова, оскільки в їхній алгоритм не закладаються функції розмноження, тобто відкриття, закриття і запису у файли, читання і запису секторів і т.д. Головною функцією подібного роду програм є шифрування тіла вірусу і генерація відповідного розшифровувача. Звичайні поліморфні генератори поширюються їхніми авторами без обмежень у вигляді файла-архіву. Основним файлом в архіві будь-якого генератора є об'єктний модуль, що містить цей генератор. В усіх генераторах, що зустрічалися, цей модуль містить зовнішню (ехternal) функцію - виклик програми генератора. У такий спосіб автору вірусу, якщо він бажає створити справжній поліморфік-вірус, не потрібно розробляти власний за- чи розшифровувач. За бажанням він може підключити до свого вірусу будь-який відомий поліморфік-генератор.

II. Засоби захисту від комп'ютерних вірусів та їх особливості

Для захисту від різноманітних вірусів існує декілька видів антивірусів, які за своїм призначенням поділяють на детектори, фаги, ревізори, фільтри та вакцини. Розглянемо їх характеристики більш докладно.

Детектори (сканери) - перевіряють оперативну або зовнішню пам'ять на наявність вірусу за допомогою розрахованої контрольної суми або сигнатури і складають список ушкоджених програм. Якщо детектор - резидентний, то програма перевіряється і тільки в разі відсутності вірусів вона активується. Детекторами є, наприклад, програма MS Anti Virus.

Фаги (поліфаги) - виявляють та знешкоджують вірус (фаг) або кілька вірусів. Сучасні версії поліфагів, як правило, можуть проводити евристичний аналіз файлу, досліджуючи його на наявність коду, характерного для вірусу (додання частини однієї програми в іншу, шифрування коду тощо). Фагами є, наприклад, програми Aidstest, DrWeb.

Дуже часто функції детектора та фага суміщені в одній програмі, а вибір режиму роботи здійснюється завданням відповідних параметрів (опцій, ключів). На початку вірусної ери кожний новий вірус визначався та лікувався окремою програмою. При цьому для деяких з вірусів (наприклад, VIENNA) цих програм було не менше десятка. Згодом окремі програми почали виявляти та лікувати декілька типів вірусів, тому їх стали звати полідетекторами та поліфагами відповідно.

Сучасні антивірусні програми знаходять і знешкоджують багато тисяч різновидів вірусів і заради простоти їх звуть коротко детекторами та фагами. Серед детекторів та фагів найбільш відомими та популярними є програми Аidstest, DrWeb (фірма «ДиалогНаука», Росія), Sсаn, Сlean (фірма МсАfее Аssociates, США), Norton AntiVirus (фірма Symantec Соrporation, США). Ці програми періодично поновлюються, даючи користувачеві змогу боротися з новими вірусами.

Ревізори - програми, що контролюють можливі засоби зараження комп'ютера, тобто вони можуть виявити вірус, невідомий програмі. Ці програми перевіряють стан ВООТ-сектора, FAТ-таблиці, атрибути файлів. При створенні будь-яких змін користувачеві видається повідомлення (навіть у разі відсутності вірусів, але наявності змін).

При першому запуску ревізор утворює таблиці, куди заносить інформацію про вільну пам'ять, Раrtition Таble, Вооt-сектор, директорії, файли, що містяться у них, погані кластери тощо. При повторному запуску ревізор сканує пам'ять та диски і видає повідомлення про всі зміни, що відбулися у них з часу останнього сеансу ревізії. Нескладний аналіз цих змін дозволяє надійно визначити факт зараження комп'ютера вірусами. Серед ревізорів найбільш популярною є програма АDinf (фірма «ДиалогНаука», Росія).