А.И. Куприянов - Основы защиты информации (1022813), страница 50
Текст из файла (страница 50)
Для снижения уровня опасности заражения вычислительной системы вирусными программами нужно выполнять следующие довольно простые правила 111, 291. ° Перед использованием проверять файлы, являющиеся потенциальными носителями вирусов. Такие файлы поступают извне (приносятся на дискетах, поступают из глобальных сетей и т.п.). Для проверки нужно иметь одну или несколько антивирусных программ (программных комплексов), возможности которых хорошо известны. Не запускать непроверенные и неизвестные файлы, в том числе полученные из компьютерной сети. Перед запуском новых программ обязательно проверить их одним или несколькими антивирусами.
В случае большого объема документов, поступающих по электронной почте, целесообразно иметь активный антивирус, отсле еживающий наличие вирусов. Для этого подходят программыРе евизоры проверяющие наличие несанкционированных изме ений в системных областях и в файловой системе компьютер . ° Круг лиц, работающий на конкретном компьютере, должен быть максимально ограничен, а права и полномочия пользователей строго регламентированы. 230, ° Не следует использовать нелицензионное программное обеспечение. Лучше покупать дистрибутивные копии программного обеспечения у официальных продавцов, чем бесплатно или почти бесплатно копировать их из других источников.
Необходимо использовать только хорошо зарекомендовавшие себя источники программ и других файлов. Как следствие из этого правила вытекает необходимость хранения дистрибутивных копий программного обеспечения (в том числе копий операционной системы). Копии желательно хранить на защищенных от записи носителях. . Для обеспечения целостности и сохранности информации следует периодически сохранять на внешнем носителе файлы, с которыми ведется работа, а также файлы, имеющие наибольшую ценность. Резервные копии позволяют восстановить информацию в случае ее потери (разрушения).
Не вредно копировать и хранить все содержимое винчестера. ° Необходимо осознавать и помнить, что не существует такой защиты, которую невозможно было бы обойти. Поэтому не стоит всецело уповать на встроенные системы защиты от вирусов (например, встроенной в В10$, МБ %огсз и т.п.). Не следует использовать незнакомые и устаревшие антивирусы для обнаружения и лечения компьютеров от новых вирусов.
Вероятность обнаружения активного вируса такими программами снижается по мере их устаревания и появления новых вирусов. А пропуск опасных вирусов может способствовать широкому распространению вируса. Так, например, известны случаи, когда полифаг А1 ОБТЕРТ способствовал заражению практически всех выполняемых модулей не- распознаваемым им вирусом. ° Проблема макровирусов в последнее время перекрывает все остальные проблемы, связанные с прочими вирусами, Существует несколько приемов и встроенных в %оп1 и Ехсе1 средств, предотвращающих запуск вируса. Наиболее действенной из них является защита от вирусов, встроенная в %оп1 и Ехсе1 (начиная с версий 7.0). Эта защита при открытии файла, содержащего любой макрос, сообщает о его присутствии и предлагает запретить этот макрос.
В результате макрос не только не выполняется, но он даже не виден средствами %оп1 и Ехсе1. Такая защита является достаточно надежной, однако абсолютно бесполезна, если пользователь работает с макросами (любыми): она не отличает макросы вируса от не вируса и выводит предупреждающее сообщение при открытии практически любого файла. По этой причине защита в большинстве случаев оказывается отключенной, что дает возможность вирусу проникнуть в систему.
Включение защиты от вирусов в уже зараженной системе не во всех случаях помогает: некоторые вирусы, однажды получив управление, при каждом запуске отключают защиту от вирусов и таким образом полностью блокируют ее. Существуют и другие методы противодействия вирусам. 231 7.4. Программные закладки Существует другой, отличный от вирусов, вид деструктивных компьютерных программ, который не обладает способностью к размножению, самодублированию. Такие программы, получая несанкционированный доступ к данным в памяти ЭВМ, перехватывают эти данные. Для перехвата данные несанкционированно копируются и сохраняются в специально созданных разделах памяти или передаются по сети потребителям, не имеющим на то законного права. Такие программы могут, подобно вирусам, искажать или уничтожать данные, но в отличие от вирусов деструктивное действие таких программ селективно направлено на конкретные данные.
Такие программы назвали закладками — по аналогии с тайно помещенными миниатюрными электронными системами перехвата радио-, видео-, и аудиоинформации. При рассмотрении взаимодействия закладок и программ защиты информации уместны аналогии с взаимодействием вируса и прикладной программы. Вирус может присоединиться к исполняемому файлу, соответствующим образом изменив его, может уничтожить некоторые файлы или встроиться в цепочку драйверов.
Закладка отличается более направленным и тонким воздействием. Но и вирус, и закладка должны скрывать свое присутствие в операционной среде компьютерной системы. Особенностью закладок может быть и то, что они фактически становятся неотделимы от прикладных или системных программ, если внедрены в них на стадии разработки программного обеспечения. Если компьютерная система содержит механизмы защиты от НСД, то несанкционированные действия могут быть вызваны отключением или видоизменением защитных механизмов нелегальным полыователем; входом в систему под именем и с полномочиями реального пользователя, В первом случае злоумышленник стремится видоизменить защитные механизмы в системе (например, отключить программу запросов паролей пользователей), во втором — каким-либо образом выявить или подделать идентификатор реального полыователя (например, подсмотреть пароль, вводимый с клавиатуры).
И в том и другом случаях НСД можно представить моделью опосредованного доступа — когда проникновение в систему осуществляется на основе некоторого воздействия, произведенного предварительно внедренной в систему одной или несколькими программами. Например, злоумышленник полыуется информацией, которая извлечена из некоторого массива данных, созданного работой программного средства злоумышленника совместно с системой проверки прав доступа и предоставления этих прав.
Предварительно внедренная в систему программа при осуществлении доступа легального пользователя запомнит его пароль и сохранит в заранее 232 известном доступном злоумышленнику файле, а затем нелегальный пользователь воспользуется данным паролем для входа в систему. Либо злоумышленник изменит часть системы защиты так, чтобы она перестала выполнять свои функции (например, изменит программу шифрования вручную или при помощи другой программы, чтобы она перестала шифровать или изменила алгоритм шифрования на более простой). Ч асто используют синонимы термина «закладка»: «логическая бомба», «логический люк», «троянский конь».
Обычно. в литературе понятие закладки в основном связано с разработкой программного обеспечения, а конкретно — с написанием исходных текстов программ, в которых создаются дополнительные функции. Следовательно, ранее закладка понималась как внутренний объект защищенной системы. Однако закладка может быть и внешним объектом по отношению к защищенной системе.
Программные закладки можно классифицировать по методу и месту их внедрения и применения: (В1ОЯ); закладки, ассоциированные с программно-аппаратной средой закладки, ассоциированные с программами первичной загрузки (находящиеся в Мазут Воок Кесогд или ВООТ секторах активных разделов); закладки, ассоциированные с загрузкой драйверов 003, командного интерпретатора, сетевых драйверов, т.е. с загрузкой операционной среды; закладки, ассоциированные с прикладным программным обеспечением общего назначения (встроенные в клавиатурные и экранные драйверы, программы тестирования ПЭВМ, утилиты и оболочки типа ХОКТОХ); исполняемые модули, содержащие только код закладки (как правило, внедряемые в пакетные файлы типа '.Ьа~); модули-имитаторы, совпадающие с некоторыми программами, требующими ввода конфиденциальной информации; закладки, маскируемые под программные средства оптимизационного назначения (архиваторы, ускорители и т.д.); закладки, маскируемые под программные средства игрового и развлекательного назначения (как правило, исполыуются для первичного внедрения закладок).
Как видно, программные закладки имеют много общего с вирусами, особенно в части ассоциирования себя с исполняемым кодом (загрузочные вирусы, вирусы-драйверы, файловые вирусы). Кроме того, программные закладки, как и многие известные вирусы классического типа, имеют развитые средства борьбы с отладчиками и дисассемблерами. Для того чтобы закладка смогла выполнить какие-либо функции по отношении к прикладной программе, она должна принять 233 управление на себя. Иначе говоря, процессор должен начать выполнять инструкции (команды), относящиеся к коду закладки: закладка должна находиться в оперативной памяти до начала работы программы, которая является целью воздействия закладки, следовательно, она должна быть загружена раньше или одновременно с этой программой; закладка должна активизироваться по некоторому событию, т.е.
при выполнении ряда условий в программно-аппаратной среде управление должно быть передано на программу-закладку. Разумеется, вьпюлнение перечисленных требований достигается путем анализа и обработки закладкой общих относительно закладки и прикладной программы воздействий (как правило, прерываний). Прерывания должны сопровождать работу прикладной программы или работу всей ЭВМ.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
