67

СОДЕРЖАНИЕ

• Введение 3
• 1. Информация как объект права собственности 6
• 2. Вредоносное воздействие на информацию 10
• 2.1 Программные закладки 10
• 2.2 Вирусы 15
• 2.3 Кража паролей 25
• 2.4 Удаленные атаки на распределенные вычислительные системы интрнет 28
• 3. Методы и средства защиты 33
• 3.1 Шифрование данных 33
• 3.2 Антивирусы 38
• 3.3 Сетевые экраны (firewalls) 49
• 3.4 Виртуальная частная сеть 57
• Заключение 60
• Библиографический список литературы 63
• Приложения 67
• ВВЕДЕНИЕ

Наступивший XXI век - это не только век новых технологий, прогресса, но и век информационных войн. Общество постепенно включатся в виртуальный мир, поддается соблазнам Интернета, компьютеризируется и не противится процессу увеличения роли компьютеров в своей жизни. Теперь практически каждый современный человек знает, что такое компьютер, использует его на работе, дома. Современный мир компьютерных технологий позволяет нам решать невероятно большое количество задач, помогает нам обрабатывать огромные объемы информации за считанные минуты, секунды. Современная скорость развития аппаратных средств для компьютеров и целого спектра новых периферийных устройств позволили нам замахнуться на решение задач невозможное ранее. Бурный рост сети Интернет, её доступность и огромные возможности которые она предоставляет пользователю, обусловили появление целых индустрий в бизнесе, науке, образовании. Сегодня мы без особого труда можем обработать видео и аудио информацию, провести Интернет-конференцию, оперативно передать любую информацию в любую точку мира, мира использующего Интернет [1].

Каждый студент сейчас старается сдать красиво оформленный реферат или доклад. Дети стали интересоваться компьютерными игровыми разработками, в том числе широкое распространение получили сетевые игры. Многие не представляют себе жизнь без Интернета и это понятно. Интернет - огромный мир, который еще не изучен нами, который содержит много увлекательного и интересного. Но где гарантия, что во время онлайна к вам не ворвется какой-нибудь злоумышленник и не испортит вам систему вирусом?

В связи с новыми процессами происходящими в современном обществе существенно возрастает значение фактора корпоративной культуры. Информатизация российского бизнеса, использование Интернета во многих сферах предпринимательской деятельности (финансы, реклама, торговля и т.п.), внедрение компьютерных технологий управления выдвигают на первый план проблемы информационной безопасности организации, создают необходимость адаптации традиционной профессиональной и корпоративной культуры к новой информационной ситуации, поэтому неотъемлемой частью корпоративной культуры российского предпринимательства становиться стратегия информационной безопасности. Но, вкладывая средства в информационную безопасность не стоит пренебрегать человеческим фактором. При этом важна опора не на приблизительные оценки, а на результаты специальных диагностических исследований. Проведение таких исследований предполагает разработку теоретических аспектов. Наиболее трудно сейчас уйти от шпионажа, от взлома и порчи информации, которая подчас также необходима [8].

Защита данных в компьютерных сетях становится одной из самых открытых проблем в современных информационно-вычислительных системах. На сегодняшний день сформулировано три базовых принципа информационной безопасности, задачей которой является обеспечение:

- целостности данных - защита от сбоев, ведущих к потере информации или ее уничтожения;

- конфиденциальности информации;

- доступности информации для авторизованных пользователей.

Рассматривая проблемы, связанные с защитой данных в сети, возникает вопрос о классификации сбоев и несанкционированности доступа, что ведет к потере или нежелательному изменению данных. Это могут быть сбои оборудования (кабельной системы, дисковых систем, серверов, рабочих станций и т.д.), потери информации (из-за инфицирования компьютерными вирусами, неправильного хранения архивных данных, нарушений прав доступа к данным), некорректная работа пользователей и обслуживающего персонала. Перечисленные нарушения работы в сети вызвали необходимость создания различных видов защиты информации. Условно их можно разделить на три класса:

- средства физической защиты;

- программные средства (антивирусные программы, системы разграничения полномочий, программные средства контроля доступа);

- административные меры защиты (доступ в помещения, разработка стратегий безопасности фирмы и т.д.).

Каналы, по которым передаются данные в Интернет, общедоступны и в большинстве случаев никак не защищены. Следовательно, любая частная информация, которая передается по этим каналам, должна передаваться с использованием каких-либо средств защиты. Чтобы гарантировать надежную защиту информации необходимо знать все возможные пути воздействия на информацию в сети Интернет, цели этих воздействий, а также знать и уметь противостоять им [2], [8], [9].

Данная выпускная работа направлена детальное изучение современных проблем защиты информации в сети Интернет. Приводится обзор возможных угроз информации в сети. В работе подробно рассматриваются вопросы практического обеспечения защиты информации. Проводится исследование современных программных средств используемых для этих целей. В работе проведён обзор законодательной базы по защите информации.

Целью работы является формирование четкой концепции обеспечения защиты информации в сферах деятельности связанных с использованием сети Интернет. Для этой цели в работе будут предложены конкретные меры по практической реализации защиты информации в сети Интернет.

Объектом исследования в работе являются методы и средства обеспечения информационной безопасности в сети Интернет.

Актуальность выбранной темы обусловлена растущими требованиями обеспечения безопасности обмена информацией в сети Интернет. Такую безопасность может обеспечить знание всех возможных угроз и средств борьбы с ними.

1. Информация как объект права собственности

Комплекс проблем, связанных с информационной безопасностью, включает в себя не только технические, программные и технологические аспекты защиты информации, но и вопросы защиты прав на нее. Таким образом, информация может рассматриваться как объект права собственности. С этой точки зрения можно выделить следующие особенности информационной собственности:

- информация не является материальным объектом;

- информация копируется с помощью материального носителя, т.е. является перемещаемой;

- информация является отчуждаемой от собственника.

Право собственности на информацию включает правомочия собственника, составляющие содержание (элементы) права собственности, к которым относятся:

- право распоряжения;

- право владения;

- право пользования.

В рассматриваемом случае информационной собственности закон должен регулировать отношения субъектов и объектов права собственности на информацию в целях защиты информационной собственности от разглашения, утечки и несанкционированной обработки [12].

Правовое обеспечение защиты информации включает:

- правовые нормы, методы и средства защиты охраняемой информации в Российской Федерации;

- правовые основы выявления и предупреждения утечки охраняемой информации;

- правовое регулирование организации и проведения административного расследования к фактам нарушения порядка защиты информации.

Существует ряд документов, которые регламентируют информацию в качестве объекта права. В первую очередь здесь следует указать на первую часть гражданского кодекса Российской Федерации (ст. 128, 18, 139, 209), принятого 21.04.94.

Среди законов Российской Федерации, относящихся к рассматриваемой проблеме, можно выделить Федеральный закон « Об информации, информатизации и защите информации» от 20.01.95, а также закон Российской Федерации «О государственной тайне».

Среди последних законов связанных с "преступлениями в сфере компьютерной информации" следует отметить УК РФ. Для тех, кто хочет посмотреть на проблему безопасности с другой стороны, со стороны злоумышленника намеривающегося совершить противоправные действия с чужой информацией, хочется напомнить, что с 1997 года начали действовать новые статьи УК РФ, где, к сожалению, довольно расплывчато и нечетко описывается та возможная уголовная ответственность, которую могут нести граждане РФ за "преступления в сфере компьютерной информации" (Глава 28 УК РФ):

Статья 272. Неправомерный доступ к компьютерной информации.

1. Неправомерный доступ к охраняемой законом компьютерной информации, то есть информации на машинном носителе, в электронно-вычислительной машине (ЭВМ), системе ЭВМ или их сети, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети, - наказывается штрафом в размере от двухсот до пятисот минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период от двух до пяти месяцев, либо исправительными работами на срок от шести месяцев до одного года, либо лишением свободы на срок до двух лет.

2. То же деяние, совершенное группой лиц по предварительному сговору или организованной группой, либо лицом с использованием своего служебного положения, а равно имеющим доступ к ЭВМ, системе ЭВМ или их сети, - наказывается штрафом в размере от пятисот до восьмисот минимальных размеров оплаты труда или в размере заработной платы, или иного дохода осужденного за период от пяти до восьми месяцев, либо исправительными работами на срок от одного года до двух лет, либо арестом на срок от трех до шести месяцев, либо лишением свободы на срок до пяти лет.

Статья 273. Создание, использование и распространение вредоносных программ для ЭВМ.

1. Создание программ для ЭВМ или внесение изменений в существующие программы, заведомо приводящих к несанкционированному уничтожению, блокированию, модификации либо копированию информации, нарушению работы ЭВМ, системы ЭВМ или их сети, а равно использование либо распространение таких программ или машинных носителей с такими программами, - наказываются лишением свободы на срок до трех лет со штрафом в размере от двухсот до пятисот минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период от двух до пяти месяцев.

2. Те же деяния, повлекшие по неосторожности тяжкие последствия, - наказываются лишением свободы на срок от трех до семи лет.

Статья 274. Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети.

1. Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети лицом, имеющим доступ к ЭВМ, системе ЭВМ или их сети, повлекшее уничтожение, блокирование или модификацию охраняемой законом информации ЭВМ, если это деяние причинило существенный вред, - наказывается лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет, либо обязательными работами на срок от ста восьмидесяти до двухсот сорока часов, либо ограничением свободы на срок до двух лет.

2. То же деяние, повлекшее по неосторожности тяжкие последствия, - наказывается лишением свободы на срок до четырех лет.

Появление законодательной базы направленной на защиту информации это, безусловно, шаг в перед. Но расплывчатость формулировок статей закона, в случае их формальной трактовки, позволяет привлечь к уголовной ответственности практически любого программиста или системного администратора (например, допустившего ошибку, которая повлекла за собой причинение определенного законом ущерба).

Применение на практике данного закона чрезвычайно затруднено. Это связано, во-первых, со сложной доказуемостью подобных дел (судя по зарубежному опыту) и, во-вторых, с естественным отсутствием высокой квалификации в данной области у следователей. Поэтому, видимо, пройдет еще не один год, пока мы дождемся громкого успешного уголовного процесса по "преступлению в сфере компьютерной информации".

2. Вредоносное воздействие на информацию

2.1 ПРОГРАММНЫЕ ЗАКЛАДКИ

Программные закладки класс программ с потенциально опасными последствиями, обязательно выполняющие следующие функции:

- разрушают код программы в памяти;

- сохраняют фрагменты информации из оперативной памяти в некоторой области внешней памяти прямого доступа;

- искажает произвольным образом, блокирует или подменяет выводимые во внешнюю память или в канал связи массив информации, образовавшийся в результате работы прикладных программ.

Программная реализация несанкционированного доступа к информации основана на использование программных закладок [9]. Под несанкционированным доступом (НСД) к ресурсам компьютерной системы понимаются по использованию, изменению и уничтожению используемых данных указанной системы, производимые субъектом, не имеющие права на такие действия. Если компьютерная система содержит механизмы защиты от несанкционированного доступа, то несанкционированные действия могут быть вызваны:

- отключением или видоизменением защитных механизмов нелегальным пользователям;

- входом в систему под именем и с полномочиями реального пользователя.

В первом случае злоумышленник должен видоизменить программу, защитные механизмы в системе (например, отключить программу запросов пользователей), во втором - каким-либо образом выяснить или подделать идентификатор реального пользователя (например, подсмотреть или вычислить пароль, вводимый с клавиатуры).

В обоих случаях несанкционированный доступ можно представить моделью опосредованного доступа, когда проникновение в систему осуществляется на основе некоторого воздействия, произведенного предварительно внедренной в систему программой или несколькими программами[4], [7].

Особый интерес представляют уязвимые места компьютерных систем, используемые для внедрения программных закладок. Основные известные способы внедрения программных закладок приведены в таблице 1.

Таблица 1.

Способы внедрения программных закладок

Способы внедрения	Характеристика
Внесение программных дефектов вирусного типа	Внедрение возможно на всех участках жизненного цикла программного обеспечения: эскизного и технического проектирования; рабочего проектирования; внедрения; эксплуатации, включая сопровождение и модернизацию.
Несанкционированный доступ к ресурсам компьютерной системы	Несанкционированный доступ к ресурсам компьютерной системы - действия по использованию, изменению и уничтожению используемых модулей и массивов данных, производимые субъектом, не имеющим права на такие действия
Несанкционированное вмешательство в процесс обмена сообщениями между узлами связи локально вычислительных сетей.	Осуществляется путем передачи следующих сообщений: - разрушающих; - искажающих; - имитирующих; - хаотических.

Под уязвимостью компьютерной системы понимается некоторая слабость системы безопасности, которая может послужить причиной нанесения компьютерной системе ущерба. Обычно слабые (уязвимые) места в компьютерной системе называются дырами, люками, брешами.

Люк механизм внутри операционной системы (программное обеспечение), позволяющий программе злоумышленника получить привилегированную функцию. Умышленный люк может присутствовать в программе из-за того, что программист умышленно оставил его в программе, например:

- для обеспечения тестирования или выполнения оставшейся части отладки;

- в интересах облегчения окончательной сборки конечного программного продукта;

- с тем, чтобы иметь скрытое средство доступа к программе уже после того, как она вошла в состав конечного продукта.

В найденной бреши программа «разрывается, и туда дополнительно вставляют одну или несколько команд. Этот люк «открывается» по мере необходимости, а встроенные команды автоматически осуществляют свою задачу. Люк это возможность получить управление системой в обход защиты.

Изо всех известных угроз наиболее часто встречаются программные закладки типа «троянского коня» и «компьютерного червя»[11].

«Троянский конь» программа, имеющая законный доступ к системе. Но выполняющая и скрытые функции. Закладки типа «троянский конь» проявляют себя в различных в определенных условиях (по времени, ключевым сообщениям) и могут разрушать (искажать) информацию, копировать фрагменты конфиденциальной информации или пароли (ключи), засылать сообщения не по адресу или блокировать прием (отправку) сообщений.

В последние годы наиболее распространенным способом получения приватной информации стало использование программ - троянов - программ, выполняющих помимо заявленных некоторые дополнительные не афишируемых функции, направленные, например, на получение личной информации пользователя. Конечный пользователь получает их, как правило, по системе электронной почты под видом важного документа или давно разыскиваемой программы. После запуска программа прописывается в системном реестре для запуска при загрузке операционной системы и начинает собирать информацию. Ее целью могут быть файлы учетной записи пользователя, содержащие его пароль, скрипты Скрипт - (англ. Script) небольшая программа специального назначения. удаленного доступа к Интернет или пароли электронной почты.

Возможна также ее работа в режиме подслушивания - в этом случае, например, все вводимые с клавиатуры символы записываются в отдельный файл, кроме того, «прослушиваться» может и передаваемая по сети информация. Далее вся собранная информация отправляется атакующему для дальнейшего анализа на предмет содержания ценной информации, такой как пароли или личная пользовательская информация.

Возможен также и самый простой способ: при работе пользователя на компьютере программа выводит на экран системное окно с предложением ввести имя пользователя и пароль, маскируясь под работу операционной системы. В результате пользователь «добровольно» сообщает злоумышленнику свой пароль, даже не подозревая о происшедшем. А если этим пользователем окажется ответственный сотрудник, то перед атакующим откроются огромные возможности.

«Программный червь» программа, маскирующаяся под системные средства поиска свободных вычислительных ресурсов в сети. Закладки типа компьютерного червя нацелены на проникновение в системы разграниченного доступа пользователей к ресурсам сети, к наущению работы всей сети в целом и системы разграничения доступа в частности.

Для того чтобы закладка смогла выполнить какие-либо функции по отношению к прикладной программе, она должна, получить управление на себя, т.е. процессор должен начать выполнять инструкции (команды), относящиеся к коду закладки. Это возможно только при одновременном выполнении двух условий:

- закладка должна находиться в оперативной памяти до начала работы программы, которая является целью воздействия закладки; следовательно, она должна быть загружена раньше или одновременно с этой программой;

- закладка должна активизироваться по некоторому общему как для закладки, так и доя программы событию, т.е. при выполнении ряда условий в программно-аппаратной среде управление должно быть, передано на программу - закладку.

К способам задействования программных закладок можно отнести:

- запуск программы;

- прерывания;

- определенное сочетание входных данных;

- определенное сочетание условий применения системы.

По времени пребывания программной закладки в оперативной памяти можно выделить следующие типы закладок:

- резидентного вида - находятся постоянно с некоторого момента до окончания сеанса работы персонального компьютера (включения питание или перезагрузке). Закладка может быть загружена в память при начальной загрузке ПЭВМ, загрузке операционной среды или запуске некоторой программы (которая по традиции называется вирусоносителем), а также запущена отдельно;

- нерезидентного вида - начинают работу по аналогичному событию, но заканчивают ее самостоятельно по истечении некоторого промежутка времени или некоторому событию, при этом выгружая себя из памяти целиком.

Помимо классификации программных закладок по времени пребывания в оперативной памяти их можно классифицировать еще по методу их внедрения и по типам вредоносного воздействия.

Таким образом, программные закладки в настоящее время являются наиболее мощным и эффективным инструментом в реализации компьютерных угроз, защита от которых должна быть динамичной и постоянно совершенствования. Одним из наиболее эффективных способов борьбы с сетевыми угрозами, в том числе с программными закладками, является совершенствования методов и средств контроля доступа к сети.

2.2 Вирусы

Компьютерный вирус это программа, обладающая способностью к скрытому размножению в среде используемой операционной системы путем включения в исполняемые или хранящиеся программы своей, возможно модифицированной копии, которая сохраняет способность к дальнейшему размножению.

Компьютерные вирусы способны размножаться, внедряться в программы, передаваться по линиям связи, сетям обмена информации, выводить из строя системы управления.

В принципе, не все вредоносные программы являются вирусами. Строго определения компьютерного вируса не существует. Разнообразие вирусов столь велико, что дать достаточное условие(перечислить набор признаков, при выполнении которых программу можно однозначно отнести к вирусам) просто невозможно - всегда найдется класс программ с данными признаками, не являющихся при этом вирусом [2], [11] .

При этом большинство определений необходимого условия сходятся на том, что компьютерные вирусы - это программы, которые умеют размножаться и внедрять свои копии в другие программы. То есть заражают уже существующие файлы.

Необходимо отметить, что компьютерные вирусы, или, как более правильно, программные вирусы, являются в настоящее время наиболее эффективным средством доставки внедрения различных разведывательных программ. Под программные вирусом понимается автономно функционирующая программа, обладающая способностью к самовключению в тела других программ и последующему самовоспроизведению и самораспространению в информационно - вычислительных сетях и отдельных ЭВМ. Программные вирусы представляют собой весьма эффективное средство реализации практически всех угроз безопасности информационно-вычислительных сетях. Поэтому вопросы анализа возможностей программных вирусов и разработки способов противодействия вирусам в настоящее время приобрели значительную актуальность и образовали одно из наиболее приоритетных направлений работ по обеспечению безопасности информационно вычислительных сетях.

Предшественниками программных вирусов принято считать так называемые троянские программы, тела которых содержат скрытые последовательности команд, выполняющие действия, наносящие вред пользователям. Наиболее распространенной разновидностью троянских программ являются широко известные программы массового применения (редакторы, игры, трансляторы), в которых встроены так называемые логические бомбы, срабатывающие по наступлению некоторого события. В свою очередь, разновидностью логической бомбы являет «бомба с часовым механизмом», запускаемая в моменты времени. Следует отметить, что троянские программы не являются саморазмножающимися и распространяются по информационно - вычислительным сетям самими программистами, в частности посредством общедоступных банков данных и программ.

Принципиальное отличие вируса от троянской программы состоит в том, что вирус после запуска его в информационно- вычислительные сети существуют самостоятельно и в процессе своего функционирования заражает программы путем включения в них своего текста. Таким образом, вирус представляет собой своеобразный генератор троянских программ. Программы, зараженные вирусом, называют также вирусоносителем.

Заражение программы, как правило, выполняется таким образом, чтобы вирус получил управление раньше самой программы, либо имплантируется в ее тело так, что первой командой зараженной программы является безусловный переход на вирус, тест заканчивается аналогичной командой безусловного перехода на команду вирусоносителя, бывшую первой до заражения. Получив управление, вирус выбирает следующий файл, заражает его, возможно, выполняет какие - либо другие действия, после чего отдает управление вирусоносителю.

«Первичное заражение» происходит в процессе поступления инфицированных программ из памяти одной машины в память другой, причем в качестве средства перемещения этих программ могут использоваться как магнитные носители (дискеты), так и каналы информационно - вычислительных сетей. Вирусы, использующие для размножения каналы информационно - вычислительных сетей, принято называть сетевыми.

Вероятные пути проникновения вирусов, в течение многих лет наиболее распространенным способом заражения компьютера являлась дискета. С ростом глобальных сетей пальма первенства перешла к сети Internet и системе электронной почты.

Вирус может попасть на локальный компьютер пользователя следующими способами:

- напрямую через дискету, компакт - диск, удаленный почтовый ящик - классический способ;

- через корпоративную систему электронной почты;

- через корпоративный канал доступа в систему Internet;

- с корпоративного сервера.

Цикл жизни вируса обычно включает следующие периоды: внедрение, инкубационный, репликация (самозаражение) и проявление. В течение инкубационного периода вирус пассивен. Что усложняет задачу поиска и нейтрализации. На этапе проявления вирус выполняет свойственные ему целевые функции, например необратимую коррекцию информации на магнитных носителях.

Физическая структура вируса достаточно проста. Он состоит из головы и, возможно, хвоста. Под головой вируса понимается его компонент, получающий управление первым. Хвост - это часть вируса,, расположенная в тексте зараженной программы отдельно от головы. Вирусы, состоящие из одной головы, называются несегментированными, тогда как вирусы, содержащие голову и хвост - сегментированными [11]. В таблице 2 даны характеристики компьютерных вирусов.

Таблица 2.

Характеристики компьютерных вирусов

Класс вируса	Виды вируса	Характер воздействия
1	2	3
Не повреждающие файловую структуру	Размножающиеся в ОЗУ Раздражающие оператора Сетевые.	Имитация неисправности процессора, памяти, НМД, НГМД, принтера, портов, дисплея, клавиатуры Формирование на терминале текстовых и графических сообщений. Синтез речи, формирование мелодии и звуковых спецэффектов Переключение режимов настройки клавиатуры, дисплея, принтера, портов.
Повреждающие файловую структуру	Повреждающие пользовательские программы и данные Разрушающие системную информацию (в	Разрушение исходных текстов программ, библиотек компьютеров, искажений без данных, текстовых документов, графических изображений и электронных таблиц. Разрушение логической системы диска, ис-
1	2	3
	том числе криптовирусы)	кажение структуры заполнения носителя, формирование носителей, повреждение файлов операционной системы.
Действующие на аппаратуру оператора	Выводящие из строя аппаратуру Действующие на оператора	Выжигание люминофора, повреждение микросхем, магнитных дисков, принтера. Воздействие на психику оператора и т.п.

Современные компьютерные вирусы обладают широкими возможностями враждебного воздействия, начиная от безобидных шуток и кончая серьезными повреждениями аппаратуры. В этом плане примером может служить вирус Win95. CIH, он разрушает память BIOS BIOS - (англ. - Basic Input\Output System) базовая система ввода\вывода., определяющий саму рабочею логику компьютера. При этом наносимые повреждения достаточно легко исправляются, профилактика деструктивной функции довольна, проста - достаточно в программе Setup установить запрет на обновление BIOS.

2.2.1 Файловые вирусы

Файловые вирусы - это вирусы, которые при размножении используют систему, какой - либо операционной системы. Внедрение файлового вируса возможно во все исполняемые файлы всех популярных операционных систем - DOS, Windows, OS\2, Macintosh, UNIX и т.д.

По способу заражения файлов файловые вирусы делятся на обычные, которые встраивают свой код в файл, по возможности не нарушая его функциональности, а также на overwriting, паразитические (parasitic), компаньон-вирусы (companion), link-вирусы, вирусы-черви, заражающие объектные модули (OBJ), библиотеки компиляров (LIB) и исходные тексты программ.

2.2.2 Файловый нерезидентный вирус

Файловый нерезидентный Термин «резидентный» в данном случае означает - постоянно находящийся в памяти. вирус целиком размещается в исполняемом файле, в связи, с чем он активизируется только в случае активизации вирусоносителя, а по выполнении необходимых действий возвращает управление самой программе. При этом выбор очередного файла для заражения осуществляется вирусом посредством поиска по каталогу.

2.2.3 Файловый резидентный вирус

Файловый резидентный вирус отличается от нерезидентного тем, что заражает не только исполняемые файлы, находящиеся во внешней памяти, но и оперативную память ПЭВМ.

Резидентный вирус состоит из так называемого инсталлятора и программ обработки прерываний. Инсталлятор получает управление при активизации вирусоносителя и инфицирует оперативную память путем размещения в ней управляющей части вируса и замены адресов в элементах вектора прерываний на адреса своих программ, обрабатывающих эти прерывания. На так называемой фазе слежения, следующей за описанной фазой инсталляции, при возникновении какого-либо прерывания управление получает соответствующая программа вируса.

В связи с существенно более универсальной по сравнению с нерезидентными вирусами обще схемой функционирования, резидентные вирусы могут реализовать самые разные способы инфицирования. Наиболее распространенными способами являются инфицирование запускаемых программ, а так же файлов при их открытии или чтении.

2.2.4 Overwriting-вирусы

Overwriting-вирус записывает свой код вместо кода заражаемого файла, уничтожая его содержимое, после чего файл перестает работать и не восстанавливается. Такие вирусы быстро обнаруживают себя, так как операционная система и приложения быстро перестают работать.

2.2.5 Parasitic-вирусы

Parasitic-вирусы изменяют содержимое файлов, оставляя при этом сами файлы полностью или частично работоспособными. Такие вирусы подразделяются на вирусы, записывающиеся в начало, в конец и в середину файлов.

2.2.6 Companion-вирусы

Companion-вирусы не изменяют заражаемых файлов, а создают для заражаемого файла файл - двойник, причем при запуске зараженного файла управление получает именно этот двойник, то есть вирус.

2.2.7 Файловые черви

Файловые черви (worms) являются разновидностью компаньон - вирусов, однако не связывают свое присутствие с каким - либо выполняемым файлом. При размножении они всего копируют свой код в какие - либо каталоги дисков в надежде, что эти новые копии будут когда - либо запущены пользователем.

2.2.8 Link-вирусы

Link-вирусы используют особенно организации файловой системы. Они, как и компаньон - вирусы, не изменяют физического содержимого файлов, однако при запуске зараженного файла «заставляют» операционную систему выполнить свой код за счет модификации необходимых полей файловой системы.

2.2.9 OBJ, LIB и вирусы в исходных текстах

Вирусы, заражающие библиотеки компиляторов, объектные модули и исходные тексты программ. Вирусы, заражающие OBJ- и LIB- файлы, записывают в них свой код в формате объектного модуля или библиотеки. Зараженный файл не является выполняемым и не способен на дальнейшее распространение вируса в текущем состоянии. Носителем же «живого» вируса становится СОМ - или ЕХЕ-файл, получаемый в процессе линковки зараженного OBJ/LIB - файла с другими объектными модулями и библиотеками. Таким образом, вирус распространяется в два этапа: на первом заражаются OBJ/LIB

файлы, на втором этапе (линковка) получается работоспособный вирус.

2.2.10 Макровирусы

Макровирусы являются программами на макроязыках, встроенные в некоторые системные обработки данных (текстовые редакторы, электронные таблицы и т.д.). Они заражают документы и электронные таблицы ряда офисных редакторов.

Для размножения они используют возможности макроязыков и при их помощи переносят себя из одного зараженного файла в другие. Наибольшее распространение получили Макровирусы для Microsoft Word, Excel и Office. Вирусы этого типа получают управление при открытии зараженного файла и идентифицируют файлы, к которым впоследствии идет обращение из соответствующего офисного приложения - Word, Excel и пр.

2.2.11 Скрипт-вирусы

Скрипт-вирусы - это вирусы, написанные на скрипт-языках, таких как Visual Basic script, Java Script и др. Они, в свою очередь, делятся на вирусы для DOS, для Windows, для других систем.

Помимо описанных классов существует большое количество сочетаний: например файлово - загрузочный вирус, заражающий как файлы, так и загрузочные сектора дисков, или сетевой макровирус, который не только заражает редактируемые документы, но и рассылает свои копии по электронной почте.

2.2.12 Резидентные вирусы

Вирус находится в оперативной памяти и перехватывает сообщения ОС. Если нерезидентные вирусы активны только в момент запуска зараженной программы, то резидентные вирусы находятся в памяти и остаются активными вплоть до выключения компьютера или перезагрузки операционной системы. Резидентные вирусы находятся в оперативной памяти, перехватывают обращения операционной системы к тем или иным объектам и внедряются в них. Такие вирусы активны не только в момент работы зараженной программы, но и после завершения работы.

2.2.13 Бутовые вирусы

Одной из разновидностей резидентных вирусов являются так называемые бутовые вирусы. Отличительной особенностью последних является инфицирование загрузочного (бут - сектора бут - сектор - сектор с которого начинается загрузка диска.) магнитного носителя (гибкого или жесткого диска). При этом инфицированным могут быть как загружаемые, так и не загружаемые дискеты.

Голова бутового вируса всегда находится в бут - секторе (единственном для гибких дисков и одном из двух - для жестких), а хвост - в любой другой области носителя.

Хвост бутового вируса всегда содержит копию оригинального бут сектора. Механизм инфицирования, реализуемый бутовыми вирусами таков. При загрузке MS DOS с инфицированного диска вирус в силу своего положения на нем (независимо от того, с дискеты или винчестера производится загрузка) получает управление и копирует себя в оперативную память. Затем он моделирует вектор прерываний таким образом, чтобы прерывания по обращении к диску обрабатывались собственным обработчиком прерываний вируса, и запускает загрузчик операционной системы. Благодаря перехвату прерываний бутовые вирусы могут реализовать столь же широкий набор способов инфицирования и целевых функций, сколь и файловые резидентные вирусы.

Близость механизмов функционирования бутовых и файловых резидентных вирусов сделала возможным и естественным появление файлово - бутовых, или гибридных, вирусов, инфицирующих как файлы, так и бут секторы. Особенностью пакетного вируса является размещение его головы в пакетном файле. При этом голова представляет собой строку или программу на языке управления заданиями операционной системы.

2.2.14 Стелс-вирусы

Стелс-вирусы (невидимки) скрывают факт своего присутствия в системе. Они изменяют информацию таким образом, что файл появляется перед пользователем в незараженном виде, например, временно лечат зараженные файлы.

2.2.15 Полиморфик - вирусы

Полиморфик-вирусы используют шифрование для усложнения процедуры определения вируса. Данные вируса не содержат постоянных участков кода, что достигается шифрованием основного тела вируса и модификациями программы-расшифровщика. В большинстве случаев два образца одного и того же полиморфик - вируса не будут иметь ни одного совпадения. Именно поэтому полиморфик - вирус невозможно обнаружить при помощи выявления участков постоянного кода, специфичных для конкретного вируса. Полиморфизм встречается в вирусах всех типов - от загрузочных и файловых DOS - вирусов до Windows - вирусов и даже макровирусов.

 2.3 Кража паролей

В последнее время все чаще появляются предложения по предоставлению доступа в Интернет по ценам, значительно меньшим, нежели в основных провайдерских фирмах? Низкая цена и то, что при покупке доступа не заключается никакого договора, наводит на некоторые размышления по поводу легальности подписки на услуги подобного рода. Может случиться, что через несколько дней после первого выхода в Интернет с купленного таким образом доступа вас лишат его как такового, да к тому же обвинят в воровстве пароля, принадлежащего другому пользователю. В итоге вы окажетесь без возможности выхода в Интернет, без денег, к тому же с испорченным настроением и репутацией [2], [3].

Пользователю же, чьими регистрационными данными (логином Логин (англ. -Login ) - учетная запись или имя пользователя. и паролем) воспользовались онлайновые воры, помимо морального наносится еще и серьезный материальный ущерб, усугубляемый неприятным чувством одураченности. «Взломщики» за редким исключением остаются непойманными.

Кто виноват? Как порой бывает, часть вины лежит и на жертве, которая не предпринимает элементарных мер защиты, провоцируя проходимцев.

Наиболее массовой домашней операционной системой (ОС) на данный момент является Windows 95/98. ОС данной серии не обладают системой безопасности достаточно высокого уровня, пресекающей несанкционированный доступ. Это позволяет, зная слабые места системы, беспрепятственно проникнуть в ваш компьютер и скопировать некоторые данные. Даже если вы считаете, что на компьютере не содержится какой-либо важной информации, уже само существование «лазейки» является опасным. Скопировать можно если не документы, то хотя бы имя (Login) и пароль (Password), под которым пользователь данного компьютера выходит в Сеть.

При каждом входе в Сеть каждый пользователь проходит обязательную процедуру регистрации, после чего только определенным пользователям предоставляется разрешение на работу в Интернете. Введение каждый раз имени и пароля доставляет массу неудобств, так как пароль, генерируемый сервером провайдера, может иметь очень трудный для запоминания вид, например Jh8iGlQ17. Хотя подобный неинтуитивный пароль взломщику трудно подобрать, но и запомнить его также весьма затруднительно. Для решения данной проблемы в операционной системе или браузере имеется такая возможность, как сохранение пароля и последующая автоматическая регистрация, которая позволяет не привлекать пользователя для набора пароля в момент регистрации.

Регистрационные данные сохраняются в рабочей папке Windows в файлах с расширением PWL. При этом уровень шифровки этих данных крайне низок, что также не создает препятствия для сетевых воров. Таким образом, вор все-таки может прочитать сохраненный пароль и имя в целях дальнейшего нелегального пользования или перепродажи.

Защитить свой компьютер от несанкционированного проникновения на все 100%, наверное, невозможно, но вы можете закрыть наиболее простые лазейки, ограничив возможности взломщиков низкой квалификации. Ведь людям с большими знаниями в данной области просто неинтересно заниматься подобным «мелким хулиганством».

Как же защитится от подобных действий злоумышленников. Настраивая опции Интернет-доступа на вашем компьютере, вы получаете возможность не только передавать и получать предоставляемую информацию, но и предоставлять в свободное пользование свою. Сделать это можно непроизвольно, а в ряде случаев -- незаметно для себя. Разрешив свободный доступ к ресурсам своего компьютера, вы тем самым позволяете любому постороннему пользователю посредством Сети прочитать данные, находящиеся на вашем компьютере. Безусловно, не каждый может знать, что ваш компьютер разрешает подобные операции. Однако существуют полностью автоматизированные программы, которые специализируются на поиске пользователей, подключившихся к Интернету, и выбирают среди них тех, чьи компьютеры предоставляют свободный доступ к своим дискам. Данные программы могут также взломать и доступ, ограниченный паролем, если последний несложен (менее пяти символов).

Любой желающий, так или иначе узнавший о свободном доступе к данным на вашем компьютере, может копировать на свой компьютер нужный ему файл, поэтому все данные, под которыми вы входите в Интернет, легко оказываются в чужих руках. Поэтому в первую очередь рекомендуется в настройках сети (Мой компьютер - Панель управления - Сеть - Доступ к файлам и принтерам) отключить организацию свободного доступа к файлам и принтерам вашего компьютера, если отсутствует необходимость в данном доступе. В случае если предоставить доступ все же необходимо, лучше всего ограничить его паролем, так что каждый желающий ознакомиться с данными, находящимися на компьютере, обязан будет ввести пароль.

Один из наиболее простых способов организации предоставления доступа к вашему диску или папке -- выбор в контекстном меню (посредством нажатия правой кнопкой мыши на нужном диске или папке) пункта <Доступ>, после чего в поле <Пароли> необходимо ввести пароль, при правильном наборе которого доступ будет разрешен.

Стоит также помнить, что чем длиннее пароль, тем больше уходит времени на его взлом и тем лучше он отпугивает любителей легкой наживы.

Мысль о том, что все это может обойти вас стороной, не должна вас успокаивать, поэтому стоит проверить, не открыт ли у вас случайно свободный доступ. Имея, к примеру, дома два компьютера, на которых данные предоставлены для свободного обоюдного пользования, и выходя с одного из компьютеров в Интернет, вы предоставляете возможность проникновения в вашу систему.

2.4 удаленные атаки на распределенные вычислительные системы Интрнет

В чем же причина того, что нарушители проникают в чужие машины? Попытаемся кратко перечислить основные причины уязвимости хостов сети:

- открытость системы, свободный доступ к информации по организации сетевого взаимодействия, протоколам и механизмам защиты;

- наличие ошибок в программном обеспечении, операционных системах и утилитах, которые открыто публикуются в сети;

- разнородность используемых версий программного обеспечения и операционных систем;

- сложность организации защиты межсетевого взаимодействия;

- ошибки конфигурирования систем и средств защиты;

- неправильное или ошибочное администрирование систем;

- несвоевременное отслеживание и выполнение рекомендаций специалистов по защите и анализу случаев вторжения для ликвидации лазеек и ошибок в программном обеспечении;

- "экономия" на средствах и системах обеспечения безопасности или игнорирование их;

- умолчание о случаях нарушения безопасности своего хоста или сети.

Для более точного описания удаленных атак и предлагается следующая их классификация [10].

1. По характеру воздействия

- пассивное (класс 1.1)

- активное (класс 1.2)

Пассивным воздействием на распределенную вычислительную систему назовем воздействие, которое не оказывает непосредственного влияния на работу системы, но может нарушать ее политику безопасности. Именно отсутствие непосредственного влияния на работу распределенной ВС приводит к тому, что пассивное удаленное воздействие практически невозможно обнаружить. Примером пассивного типового удаленного воздействия в РВС служит прослушивание канала связи в сети [5], [10].

Под активным воздействием на распределенную ВС будем понимать воздействие, оказывающее непосредственное влияние на работу системы (изменение конфигурации РВС, нарушение работоспособности и т. д.) и нарушающее принятую в ней политику безопасности. Практически все типы удаленных атак являются активными воздействиями. Это связано с тем, что в самой природе разрушающего воздействия содержится активное начало. Очевидной особенностью активного воздействия по сравнению с пассивным является принципиальная возможность его обнаружения (естественно, с большей или меньшей степенью сложности), так как в результате его осуществления в системе происходят определенные изменения. В отличие от активного, при пассивном воздействии не остается никаких следов (от того, что атакующий просмотрит чужое сообщение в системе, в тот же момент ничего не изменится).

2. По цели воздействия

- нарушение конфиденциальности информации либо ресурсов системы (класс 2.1)

- нарушение целостности информации (класс 2.2)

- нарушение работоспособности (доступности) системы (класс 2.3)

Этот классификационный признак является прямой проекцией трех основных типов угроз - раскрытия, целостности и отказа в обслуживании.

Основная цель практически любой атаки - получить несанкционированный доступ к информации. Существуют две принципиальные возможности доступа к информации: перехват и искажение. Возможность перехвата информации означает получение к ней доступа, но невозможность ее модификации. Следовательно, перехват информации ведет к нарушению ее конфиденциальности. В этом случае имеется несанкционированный доступ к информации без возможности ее искажения. Очевидно также, что нарушение конфиденциальности информации является пассивным воздействием. Возможность искажения информации означает либо полный контроль над информационным потоком между объектами системы, либо возможность передачи сообщений от имени другого объекта. Таким образом, очевидно, что искажение информации ведет к нарушению ее целостности. Данное информационное разрушающее воздействие представляет собой яркий пример активного воздействия.

Принципиально другой целью атаки является нарушение работоспособности системы. В этом случае не предполагается получение атакующим несанкционированного доступа к информации. Его основная цель - добиться, чтобы операционная система на атакуемом объекте вышла из строя и для всех остальных объектов системы доступ к ресурсам атакованного объекта был бы невозможен.

3. По расположению субъекта атаки относительно атакуемого объекта

- внутрисегментное (класс 5.1)

- межсегментное (класс 5.2)

Для пояснения рассмотрим ряд определений:

Субъект атаки (или источник атаки) - это атакующая программа или оператор, непосредственно осуществляющие воздействие.

Хост (host) - сетевой компьютер.

Маршрутизатор (router) - устройство, обеспечивающее маршрутизацию пакетов обмена в глобальной сети.

Подсеть (subnetwork) (в терминологии Internet) - совокупность хостов, являющихся частью глобальной сети, для которых маршрутизатором выделен одинаковый номер подсети. Подсеть - логическое объединение хостов маршрутизатором. Хосты внутри одной подсети могут взаимодействовать между собой непосредственно, минуя маршрутизатор.

Сегмент сети - физическое объединение хостов. Например, сегмент сети образуют совокупность хостов, подключенных к серверу по схеме "общая шина". При такой схеме подключения каждый хост имеет возможность подвергать анализу любой пакет в своем сегменте.

С точки зрения удаленной атаки чрезвычайно важно, как по отношению друг к другу располагаются субъект и объект атаки, то есть в одном или в разных сегментах они находятся. В случае внутрисегментной атаки, как следует из названия, субъект и объект атаки находятся в одном сегменте. При межсегментной атаке субъект и объект атаки находятся в разных сегментах. Данный классификационный признак позволяет судить о так называемой "степени удаленности" атаки.

В дальнейшем будет показано, что на практике межсегментную атаку осуществить значительно труднее, чем внутрисегментную. Важно отметить, что межсегментная удаленная атака представляет гораздо большую опасность, чем внутрисегментная. Это связано с тем, что в случае межсегментной атаки объект её и непосредственно атакующий могут находиться на расстоянии многих тысяч километров друг от друга, что может существенно воспрепятствовать мерам по отражению атаки.

4. По уровню эталонной модели ISO/OSI, на котором осуществляется воздействие;

- физический (класс 6.1)

- канальный (класс 6.2)

- сетевой (класс 6.3)

- транспортный (класс 6.4)

- сеансовый (класс 6.5)

- представительный (класс 6.6)

- прикладной (класс 6.7)

Международная Организация по Стандартизации (ISO) приняла стандарт ISO 7498, описывающий взаимодействие открытых систем (OSI). Распределенные ВС также являются открытыми системами. Любой сетевой протокол обмена, как и любую сетевую программу, можно с той или иной степенью точности спроецировать на эталонную семиуровневую модель OSI. Такая многоуровневая проекция позволит описать в терминах модели OSI функции, заложенные в сетевой протокол или программу. Удаленная атака также является сетевой программой. В связи с этим представляется логичным рассматривать удаленные атаки на распределенные ВС, проецируя их на эталонную модель ISO/OSI.

3. МЕТОДЫ И СРЕДСТВА ЗАЩИТЫ

Для выработки действенной методики защиты информации циркулирующей по каналам сети Интернет необходимо акцентировать внимание на основных проблемах с которыми придется столкнутся [5], [8].

Проблема сохранности: вы должны быть уверены, что ваши данные не повредятся и не исчезнут по причине чьего либо злонамеренного воздействия.

Проблема секретности: понятно, что вы не захотели бы сообщать конфиденциальную информацию (номер вашей кредитной карты или т.п.), если бы знали, что эта информация может попасть в чужие руки?

Проблема целостности: вы должны иметь возможность определить, не была ли посланная вам информация изменена злоумышленником (хакером).

Проблема подлинности: вы должны быть уверены в том, что компания, получающая вашу информацию, имеет хорошую репутацию.

Проблема отказа от обязательств: как вам иметь возможность доказать, что сообщение было действительно послано.

Для решения этих проблем применяется ряд средств, которые будут рассмотрены в данном разделе.

3.1 ШИФРОВАНИЕ ДАННЫХ

Требования успешного, безопасного обмена информацией (транзакции) могут быть учтены с помощью такого популярного механизма защиты электронного обмена информацией, как шифрование с открытым ключом [6].

    Каждый использующий Сеть, например, для электронной торговли должен понимать важность проблемы безопасности персональной информации. Существуют несколько протоколов, которые обеспечивают защиту данных при выполнении транзакции. Речь идет о протоколах Secure Sockets Layer (SSL - уровень защищенных гнезд, протокол безопасных соединений) и SET - протокол защищенных электронных транзакций.

Каналы, по которым передаются данные в Интернет, не защищены. Следовательно, любая частная информация, которая передается по этим каналам, должна передаваться с использованием каких-либо средств защиты. Чтобы гарантировать защиту информации, данные можно зашифровать. Эту задачу решает криптография, с помощью которой данные трансформируются с использованием ключа шифрования. Зашифрованные данные становятся недоступными для всех, за исключением получателей этой информации. Нешифрованные данные называются открытым текстом; шифрованные данные называются зашифрованным текстом. Только получатели данных должны иметь соответствующий ключ, позволяющий им перевести шифрованный текст в открытый текст [6], [7].